CN112261008A - 一种基于临时令牌的鉴权方法、客户端、和服务器 - Google Patents

Abstract

本发明公开了一种基于临时令牌的鉴权方法、客户端、和服务器，方法包括：将认证信息发送到服务器，并从服务器接收针对认证信息的认证令牌；针对每个请求生成唯一标识和请求参数的摘要，将唯一标识、摘要、和请求者信息使用认证令牌加密生成临时令牌，并将临时令牌和请求一起发送到服务器；从服务器接收请求所指向的数据或服务、或接收无法执行请求的错误信息。本发明能够抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露。

Description

一种基于临时令牌的鉴权方法、客户端、和服务器

技术领域

本发明涉及神经网络领域，更具体地，特别是指一种基于临时令牌的鉴权方法、客户端、和服务器。

背景技术

微服务架构中，各个服务通常是无状态，它并不知道是谁访问了我们的应用，我们必须保证我们的服务被正确合法的访问。所以在微服务API(应用程序接口)的设计中，通常需要引入鉴权机制来防止非法攻击以及保护用户隐私免被泄露。在现有的技术方案中通常是使用Token机制来实现这种保护，Token的意思是“令牌”，是服务端生成的一串字符串，作为客户端进行请求的一个标识，其流程如下：

1、客户端将认证信息——通常是用户名和密码——发送到服务端，进行登录；

2、服务端验证认证信息，验证无误后使用随机算法生成Token，创建Session(会话)，并将Token保存于Session中。然后将Token返回给客户端；

3、客户端接收到服务端返回的Token，并进行保存；

4、客户端之后每次向服务端请求数据时都需要带上Token；

5、服务端验证Token是否与用户匹配，若匹配则返回正确的数据，否则向客户端报错；

6、当客户端注销登录时，同时在服务端和客户端销毁Token，该Token的生命周期结束。

从以上Token鉴权机制中，我们不能看出，用于鉴权的Token是单一的，且复杂性一般不高，给不怀好意者留下攻击的可能，其具体表现在以下几个方面：

1、若生成Token的算法复杂度不高，攻击者可以猜测系统中其他存在的Token，实现撞库攻击；

2、由于所有数据请求使用的是同一个Token，攻击者可以通过拦截请求的方式拿到Token，从而实现模拟请求攻击或中间人攻击；

3、Token单纯的用来鉴权，服务端只验证Token是否存在，所以Token本身不能反应出该次请求所携带的数据是否被攻击者修改。

以上三种情形，任何一种都可以给系统造成数据泄露、数据被非法篡改等无法挽回的损失。

针对现有技术中Token鉴权机制容易受到撞库攻击、请求攻击、中间人攻击、无法自证可信的问题，目前尚无有效的解决方案。

发明内容

有鉴于此，本发明实施例的目的在于提出一种基于临时令牌的鉴权方法、客户端、和服务器，能够抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露。

基于上述目的，本发明实施例的第一方面提供了一种基于临时令牌的鉴权方法，包括执行以下步骤：

将认证信息发送到服务器，并从服务器接收针对认证信息的认证令牌；

针对每个请求生成唯一标识和请求参数的摘要，将唯一标识、摘要、和请求者信息使用认证令牌加密生成临时令牌，并将临时令牌和请求一起发送到服务器；

从服务器接收请求所指向的数据或服务、或接收无法执行请求的错误信息。

在一些实施方式中，认证信息包括请求者的用户名和密码；从服务器接收针对认证信息的认证令牌包括：建立与服务器的会话，并通过会话获取认证令牌。

在一些实施方式中，方法还包括：响应于每个请求执行完成而停用针对请求生成的临时令牌；响应于会话结束而停用认证令牌。

在一些实施方式中，临时令牌由客户端独立生成。

基于上述目的，本发明实施例的第二方面提供了一种基于临时令牌的鉴权方法，包括执行以下步骤：

从客户端接收认证信息，并响应于认证信息正确而生成认证令牌以反馈给客户端；

从客户端接收请求和临时令牌，并通过认证令牌解密临时令牌以提取针对请求的唯一标识、请求参数的摘要、和请求者信息；

响应于确认唯一标识和临时令牌未被使用、请求者信息具有所请求的权限、和摘要与请求参数相匹配，而执行请求者的请求，否则中断并返回错误信息。

在一些实施方式中，认证信息包括请求者的用户名和密码；生成认证令牌以反馈给客户端包括：建立与客户端的会话，并通过会话反馈给客户端。

在一些实施方式中，方法还包括：响应于每个请求执行完成而停用针对请求生成的临时令牌；响应于会话结束而停用认证令牌。

在一些实施方式中，方法还包括：在执行请求者的请求时，还额外地存储与请求相对应的临时令牌；确认临时令牌未被使用包括：响应于接收到的临时令牌与已经存储的临时令牌中的任意一个均不相同，而确认临时令牌未被使用。

本发明实施例的第三方面提供了一种客户端，包括：

处理器；和

存储器，存储有处理器可运行的程序代码，程序代码在被运行时执行以下步骤：

将认证信息发送到服务器，并从服务器接收针对认证信息的认证令牌；

针对每个请求生成唯一标识和请求参数的摘要，将唯一标识、摘要、和请求者信息使用认证令牌加密生成临时令牌，并将临时令牌和请求一起发送到服务器；

从服务器接收请求所指向的数据或服务、或接收无法执行请求的错误信息。

本发明实施例的第四方面提供了一种服务器，包括：

处理器；和

存储器，存储有处理器可运行的程序代码，程序代码在被运行时执行以下步骤：

从客户端接收认证信息，并响应于认证信息正确而生成认证令牌以反馈给客户端；

从客户端接收请求和临时令牌，并通过认证令牌解密临时令牌以提取针对请求的唯一标识、请求参数的摘要、和请求者信息；

响应于确认唯一标识和临时令牌未被使用、请求者信息具有所请求的权限、和摘要与请求参数相匹配，而执行请求者的请求，否则中断并返回错误信息。

本发明具有以下有益技术效果：本发明实施例提供的基于临时令牌的鉴权方法、客户端、和服务器，通过将认证信息发送到服务器，并从服务器接收针对认证信息的认证令牌；针对每个请求生成唯一标识和请求参数的摘要，将唯一标识、摘要、和请求者信息使用认证令牌加密生成临时令牌，并将临时令牌和请求一起发送到服务器；从服务器接收请求所指向的数据或服务、或接收无法执行请求的错误信息的技术方案，能够抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的基于临时令牌的鉴权方法的流程示意图；

图2为本发明提供的基于临时令牌的另一鉴权方法的流程示意图；

图3为本发明提供的基于临时令牌的鉴权方法的信息交互示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。

需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。

基于上述目的，本发明实施例的第一个方面，提出了一种抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露的鉴权方法的一个实施例。图1示出的是本发明提供的基于临时令牌的鉴权方法的流程示意图。

所述的基于临时令牌的鉴权方法，如图1所示，包括执行以下步骤：

步骤S101：将认证信息发送到服务器，并从服务器接收针对认证信息的认证令牌；

步骤S103：针对每个请求生成唯一标识和请求参数的摘要，将唯一标识、摘要、和请求者信息使用认证令牌加密生成临时令牌，并将临时令牌和请求一起发送到服务器；

步骤S105：从服务器接收请求所指向的数据或服务、或接收无法执行请求的错误信息。

临时Token由客户端生成，每个临时Token有UUID(通用唯一识别码)。临时Token包含的数据由三部分组成：UUID、用户信息、Request(请求)参数HASH(哈希)值。客户端使用认证Token对临时Token数据进行加密，作为最终的临时Token。客户端向服务端请求数据时，将临时Token发送给服务端，服务端使用认证Token对临时Token进行解密、用户信息鉴权和Request参数HASH值校验，校验通过后返回正确数据，将该临时Token进行存储并置为已使用，该临时Token生命周期结束，保证每个临时Token只能使用一次。当服务端发现临时Token无法解密、用户信息不匹配、Request参数HASH值不匹配或者已被使用时，拒绝客户端的请求，返回报错信息。本发明不对加密时使用的加密算法、HASH算法作限制，可在具体实现时自由选择符合安全需求的算法。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

在一些实施方式中，认证信息包括请求者的用户名和密码；从服务器接收针对认证信息的认证令牌包括：建立与服务器的会话，并通过会话获取认证令牌。

在一些实施方式中，方法还包括：响应于每个请求执行完成而停用针对请求生成的临时令牌；响应于会话结束而停用认证令牌。

在一些实施方式中，临时令牌完全由客户端独立生成。

下面根据图3所示的具体实施例进一步阐述本发明的具体实施方式：

1、客户端将认证信息(通常是用户名和密码)发送到服务端，进行登录；

2、服务端接收认证信息；

3、服务端验证认证信息，验证无误后使用随机算法生成认证Token，创建Session，并将认证Token保存于Session中。然后将认证Token返回给客户端；

4、客户端接收到服务端返回的认证Token，并进行保存，以备后续使用；

5、认证通过后，客户端准备后续数据请求；

6、客户端生成UUID，将UUID、用户信息和Request参数HASH值进行拼接并使用认证Token作为密匙加密生成临时Token；

7、客户端使用生成的临时Token作为凭证向服务端请求数据；

8、服务端接收到请求后，提取出该请求中附带的临时Token，进行后续的临时Token合法性验证；

9、服务端使用Session中存储的该用户的认证Token作为密匙对接收到的临时Token进行解密；

10、若服务端无法对接收到的临时Token进行解密，则判定该临时Token非法，中断执行，向客户端返回错误信息，否则进行下一步；

11、服务端使用临时Token中解密出来的UUID在数据库中进行检索；

12、若检索结果不为空，说明该临时Token已被使用过，则判定该临时Token非法，中断执行，向客户端返回错误信息，否则进行下一步；

13、服务端计算该请求中Request参数HASH值；

14、若服务端对Request参数计算的HASH值与从临时Token解密出来的HASH值不匹配，则判定该临时Token非法，中断执行，向客户端返回错误信息。否则，进行下一步；

15、服务端对用户信息进行比对，若服务端对解密出来的用户信息无法与数据库中的存储的用户信息进行匹配，则判定该临时Token非法，中断执行，向客户端返回错误信息。否则，进行下一步；

16、服务端认定该临时Token合法；

17、服务端返回客户端所请求的数据；

18、服务端将该临时Token进行数据库存储，并标为“已使用”。

本发明实施例不直接使用固定不变的认证Token来进行后续数据请求，认证Token只在获取时传输一次，而是使用一次性的超短生命周期的临时Token进行后续数据请求，避免不法分子进行特征分析后进行模拟请求攻击，避免被中间人拦截请求后获取Token造成数据泄露；临时Token由客户端生成，服务端不参与临时Token的生成过程，在很大程度上减轻服务端压力；临时Token中包含Request参数的HASH值，也就是说每一个临时Token都与一个请求对应并且绑定的，每一个临时Token都只能用在与它绑定的请求上，而无法用在其他请求上来获取数据，这更进一步保证了，在临时Token被非法拦截后，攻击者无法进行任何破坏性的操作；以认证Token作为密匙进行加密，认证Token在用户登录时生成，且每次都不相同，保证了系统鉴权无法进行暴力破解。

从上述实施例可以看出，本发明实施例提供的基于临时令牌的鉴权方法，通过将认证信息发送到服务器，并从服务器接收针对认证信息的认证令牌；针对每个请求生成唯一标识和请求参数的摘要，将唯一标识、摘要、和请求者信息使用认证令牌加密生成临时令牌，并将临时令牌和请求一起发送到服务器；从服务器接收请求所指向的数据或服务、或接收无法执行请求的错误信息的技术方案，能够抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露。

需要特别指出的是，上述基于临时令牌的鉴权方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于基于临时令牌的鉴权方法也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。

基于上述目的，本发明实施例的第二个方面，提出了一种抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露的鉴权方法的一个实施例。图2示出的是本发明提供的基于临时令牌的鉴权方法的流程示意图。

所述的基于临时令牌的鉴权方法，如图2所示，包括执行以下步骤：

步骤S201：从客户端接收认证信息，并响应于认证信息正确而生成认证令牌以反馈给客户端；

步骤S203：从客户端接收请求和临时令牌，并通过认证令牌解密临时令牌以提取针对请求的唯一标识、请求参数的摘要、和请求者信息；

步骤S205：响应于确认唯一标识和临时令牌未被使用、请求者信息具有所请求的权限、和摘要与请求参数相匹配，而执行请求者的请求，否则中断并返回错误信息。

临时Token由客户端生成，每个临时Token有UUID(通用唯一识别码)。临时Token包含的数据由三部分组成：UUID、用户信息、Request(请求)参数HASH(哈希)值。客户端使用认证Token对临时Token数据进行加密，作为最终的临时Token。客户端向服务端请求数据时，将临时Token发送给服务端，服务端使用认证Token对临时Token进行解密、用户信息鉴权和Request参数HASH值校验，校验通过后返回正确数据，将该临时Token进行存储并置为已使用，该临时Token生命周期结束，保证每个临时Token只能使用一次。当服务端发现临时Token无法解密、用户信息不匹配、Request参数HASH值不匹配或者已被使用时，拒绝客户端的请求，返回报错信息。本发明不对加密时使用的加密算法、HASH算法作限制，可在具体实现时自由选择符合安全需求的算法。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

在一些实施方式中，认证信息包括请求者的用户名和密码；生成认证令牌以反馈给客户端包括：建立与客户端的会话，并通过会话反馈给客户端。

在一些实施方式中，方法还包括：响应于每个请求执行完成而停用针对请求生成的临时令牌；响应于会话结束而停用认证令牌。

在一些实施方式中，方法还包括：在执行请求者的请求时，还额外地存储与请求相对应的临时令牌；确认临时令牌未被使用包括：响应于接收到的临时令牌与已经存储的临时令牌中的任意一个均不相同，而确认临时令牌未被使用。

下面根据图3所示的具体实施例进一步阐述本发明的具体实施方式：

1、客户端将认证信息(通常是用户名和密码)发送到服务端，进行登录；

2、服务端接收认证信息；

3、服务端验证认证信息，验证无误后使用随机算法生成认证Token，创建Session，并将认证Token保存于Session中。然后将认证Token返回给客户端；

4、客户端接收到服务端返回的认证Token，并进行保存，以备后续使用；

5、认证通过后，客户端准备后续数据请求；

6、客户端生成UUID，将UUID、用户信息和Request参数HASH值进行拼接并使用认证Token作为密匙加密生成临时Token；

7、客户端使用生成的临时Token作为凭证向服务端请求数据；

8、服务端接收到请求后，提取出该请求中附带的临时Token，进行后续的临时Token合法性验证；

9、服务端使用Session中存储的该用户的认证Token作为密匙对接收到的临时Token进行解密；

10、若服务端无法对接收到的临时Token进行解密，则判定该临时Token非法，中断执行，向客户端返回错误信息，否则进行下一步；

11、服务端使用临时Token中解密出来的UUID在数据库中进行检索；

12、若检索结果不为空，说明该临时Token已被使用过，则判定该临时Token非法，中断执行，向客户端返回错误信息，否则进行下一步；

13、服务端计算该请求中Request参数HASH值；

14、若服务端对Request参数计算的HASH值与从临时Token解密出来的HASH值不匹配，则判定该临时Token非法，中断执行，向客户端返回错误信息。否则，进行下一步；

15、服务端对用户信息进行比对，若服务端对解密出来的用户信息无法与数据库中的存储的用户信息进行匹配，则判定该临时Token非法，中断执行，向客户端返回错误信息。否则，进行下一步；

16、服务端认定该临时Token合法；

17、服务端返回客户端所请求的数据；

18、服务端将该临时Token进行数据库存储，并标为“已使用”。

本发明实施例不直接使用固定不变的认证Token来进行后续数据请求，认证Token只在获取时传输一次，而是使用一次性的超短生命周期的临时Token进行后续数据请求，避免不法分子进行特征分析后进行模拟请求攻击，避免被中间人拦截请求后获取Token造成数据泄露；临时Token由客户端生成，服务端不参与临时Token的生成过程，在很大程度上减轻服务端压力；临时Token中包含Request参数的HASH值，也就是说每一个临时Token都与一个请求对应并且绑定的，每一个临时Token都只能用在与它绑定的请求上，而无法用在其他请求上来获取数据，这更进一步保证了，在临时Token被非法拦截后，攻击者无法进行任何破坏性的操作；以认证Token作为密匙进行加密，认证Token在用户登录时生成，且每次都不相同，保证了系统鉴权无法进行暴力破解。

从上述实施例可以看出，本发明实施例提供的基于临时令牌的鉴权方法，通过从客户端接收认证信息，并响应于认证信息正确而生成认证令牌以反馈给客户端；从客户端接收请求和临时令牌，并认证令牌解密临时令牌以提取针对请求的唯一标识、请求参数的摘要、和请求者信息；响应于确认唯一标识和临时令牌未被使用、请求者信息具有所请求的权限、和摘要与请求参数相匹配，而执行请求者的请求，否则中断并返回错误信息的技术方案，能够抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露的技术方案，能够抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露。

需要特别指出的是，上述基于临时令牌的鉴权方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于基于临时令牌的鉴权方法也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。

基于上述目的，本发明实施例的第三个方面，提出了一种抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露的客户端的一个实施例。客户端包括：

处理器；和

存储器，存储有处理器可运行的程序代码，程序代码在被运行时执行以下步骤：

将认证信息发送到服务器，并从服务器接收针对认证信息的认证令牌；

针对每个请求生成唯一标识和请求参数的摘要，将唯一标识、摘要、和请求者信息使用认证令牌加密生成临时令牌，并将临时令牌和请求一起发送到服务器；

从服务器接收请求所指向的数据或服务、或接收无法执行请求的错误信息。

从上述实施例可以看出，本发明实施例提供的客户端，通过将认证信息发送到服务器，并从服务器接收针对认证信息的认证令牌；针对每个请求生成唯一标识和请求参数的摘要，将唯一标识、摘要、和请求者信息使用认证令牌加密生成临时令牌，并将临时令牌和请求一起发送到服务器；从服务器接收请求所指向的数据或服务、或接收无法执行请求的错误信息的技术方案，能够抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露。

需要特别指出的是，上述基于客户端的实施例采用了所述基于临时令牌的鉴权方法的实施例来具体说明各模块的工作过程，本领域技术人员能够很容易想到，将这些模块应用到所述基于临时令牌的鉴权方法的其他实施例中。当然，由于所述基于临时令牌的鉴权方法实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于所述基于客户端也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。

基于上述目的，本发明实施例的第四个方面，提出了一种抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露的服务器的一个实施例。服务器包括：

处理器；和

存储器，存储有处理器可运行的程序代码，程序代码在被运行时执行以下步骤：

从客户端接收认证信息，并响应于认证信息正确而生成认证令牌以反馈给客户端；

从客户端接收请求和临时令牌，并通过认证令牌解密临时令牌以提取针对请求的唯一标识、请求参数的摘要、和请求者信息；

响应于确认唯一标识和临时令牌未被使用、请求者信息具有所请求的权限、和摘要与请求参数相匹配，而执行请求者的请求，否则中断并返回错误信息。

从上述实施例可以看出，本发明实施例提供的服务器，通过从客户端接收认证信息，并响应于认证信息正确而生成认证令牌以反馈给客户端；从客户端接收请求和临时令牌，并认证令牌解密临时令牌以提取针对请求的唯一标识、请求参数的摘要、和请求者信息；响应于确认唯一标识和临时令牌未被使用、请求者信息具有所请求的权限、和摘要与请求参数相匹配，而执行请求者的请求，否则中断并返回错误信息的技术方案，能够抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露的技术方案，能够抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露。

需要特别指出的是，上述基于服务器的实施例采用了所述基于临时令牌的鉴权方法的实施例来具体说明各模块的工作过程，本领域技术人员能够很容易想到，将这些模块应用到所述基于临时令牌的鉴权方法的其他实施例中。当然，由于所述基于临时令牌的鉴权方法实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于所述基于服务器也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。

以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上所述的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。

Claims (10)

1.一种基于临时令牌的鉴权方法，其特征在于，包括执行以下步骤：

将认证信息发送到服务器，并从服务器接收针对所述认证信息的认证令牌；

针对每个请求生成唯一标识和请求参数的摘要，将所述唯一标识、所述摘要、和请求者信息使用所述认证令牌加密生成临时令牌，并将所述临时令牌和请求一起发送到服务器；

从服务器接收请求所指向的数据或服务、或接收无法执行请求的错误信息。

2.根据权利要求1所述的方法，其特征在于，所述认证信息包括请求者的用户名和密码；

从服务器接收针对所述认证信息的认证令牌包括：建立与服务器的会话，并通过所述会话获取所述认证令牌。

3.根据权利要求2所述的方法，其特征在于，还包括：

响应于每个请求执行完成而停用针对所述请求生成的所述临时令牌；

响应于所述会话结束而停用所述认证令牌。

4.根据权利要求1所述的方法，其特征在于，所述临时令牌由客户端独立生成。

5.一种基于临时令牌的鉴权方法，其特征在于，包括执行以下步骤：

从客户端接收认证信息，并响应于所述认证信息正确而生成认证令牌以反馈给客户端；

从客户端接收请求和临时令牌，并通过所述认证令牌解密所述临时令牌以提取针对所述请求的唯一标识、请求参数的摘要、和请求者信息；

响应于确认所述唯一标识和所述临时令牌未被使用、所述请求者信息具有所请求的权限、和所述摘要与请求参数相匹配，而执行请求者的所述请求，否则中断并返回错误信息。

6.根据权利要求5所述的方法，其特征在于，所述认证信息包括请求者的用户名和密码；

生成认证令牌以反馈给客户端包括：建立与客户端的会话，并通过所述会话反馈给客户端。

7.根据权利要求6所述的方法，其特征在于，还包括：

响应于每个请求执行完成而停用针对所述请求生成的所述临时令牌；

响应于所述会话结束而停用所述认证令牌。

8.根据权利要求5所述的方法，其特征在于，还包括：在执行请求者的所述请求时，还额外地存储与所述请求相对应的所述临时令牌；

确认所述临时令牌未被使用包括：响应于接收到的所述临时令牌与已经存储的所述临时令牌中的任意一个均不相同，而确认所述临时令牌未被使用。

9.一种客户端，其特征在于，包括：

处理器；和

存储器，存储有处理器可运行的程序代码，所述程序代码在被运行时执行以下步骤：

将认证信息发送到服务器，并从服务器接收针对所述认证信息的认证令牌；

针对每个请求生成唯一标识和请求参数的摘要，将所述唯一标识、所述摘要、和请求者信息使用所述认证令牌加密生成临时令牌，并将所述临时令牌和请求一起发送到服务器；

从服务器接收请求所指向的数据或服务、或接收无法执行请求的错误信息。

10.一种服务器，其特征在于，包括：

处理器；和

存储器，存储有处理器可运行的程序代码，所述程序代码在被运行时执行以下步骤：

从客户端接收认证信息，并响应于所述认证信息正确而生成认证令牌以反馈给客户端；

从客户端接收请求和临时令牌，并通过所述认证令牌解密所述临时令牌以提取针对所述请求的唯一标识、请求参数的摘要、和请求者信息；

响应于确认所述唯一标识和所述临时令牌未被使用、所述请求者信息具有所请求的权限、和所述摘要与请求参数相匹配，而执行请求者的所述请求，否则中断并返回错误信息。

Images