CN113315637B - 安全认证方法、装置及存储介质 - Google Patents

安全认证方法、装置及存储介质 Download PDF

Info

Publication number
CN113315637B
CN113315637B CN202110603422.8A CN202110603422A CN113315637B CN 113315637 B CN113315637 B CN 113315637B CN 202110603422 A CN202110603422 A CN 202110603422A CN 113315637 B CN113315637 B CN 113315637B
Authority
CN
China
Prior art keywords
user
authority
client
interface access
token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110603422.8A
Other languages
English (en)
Other versions
CN113315637A (zh
Inventor
于璐
李玺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Agricultural Bank of China
Original Assignee
Agricultural Bank of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Agricultural Bank of China filed Critical Agricultural Bank of China
Priority to CN202110603422.8A priority Critical patent/CN113315637B/zh
Publication of CN113315637A publication Critical patent/CN113315637A/zh
Application granted granted Critical
Publication of CN113315637B publication Critical patent/CN113315637B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Abstract

本申请提供一种安全认证方法、装置及存储介质,该方法包括:在接收到来自客户端的接口访问请求后,获取接口访问请求中携带的用户机构信息以及用户标识;基于用户机构信息,从数据库中查询用户所在机构所具有的第一权限;根据用户标识,确定用户的第二权限;根据第一权限和第二权限,确定用户的目标权限;向客户端发送接口访问响应给客户端,接口访问响应携带目标权限范围内的功能列表。本申请通过结合用户所在的机构信息以及用户自身的信息确定用户所具有的权限范围,增加了机构一致性的校验,提高了系统安全性。

Description

安全认证方法、装置及存储介质
技术领域
本申请涉及互联网技术领域,尤其涉及一种安全认证方法、装置及存储介质。
背景技术
随着互联网技术的不断革新,信息技术已与各行各业深度融合,互联网已成为推动各行各业向智能化发展的重要支撑。与此同时,国内外系统都遭遇过不同程度的漏洞攻击和信息泄露事件,因此迫切需要一套安全可靠的认证机制保障系统的正常运行与用户的安全使用。
现有技术中,服务器在接收到接口访问请求时,认证机制是基于用户角色进行了接口访问的权限控制,导致存在安全隐患。
发明内容
为了解决现有技术中的上述问题,即为了消除现有技术潜在的安全隐患,本申请提供了一种安全认证方法、装置及存储介质。
第一方面,本申请提供了一种安全认证方法,应用于服务器,包括:
在接收到来自客户端的接口访问请求后,获取所述接口访问请求中携带的用户机构信息以及用户标识;
基于用户机构信息,从数据库中查询用户所在机构所具有的第一权限;
根据用户标识,确定用户的第二权限;
根据第一权限和第二权限,确定用户的目标权限;
向客户端发送接口访问响应给客户端,接口访问响应携带目标权限范围内的功能列表。
一种可能实施的方式中,接口访问请求为登录请求,在向客户端发送接口访问响应之前,安全认证方法还可以包括:确定登录请求中携带用户的用户信息和密码;根据用户信息和密码,进行用户身份验证;若身份验证通过,则发送第一指示信息给客户端,第一指示信息用于指示客户端实时采集并向服务器发送用户的面部图像;接收面部图像,并校验面部图像的真实性;若面部图像是真实的,则根据用户信息和密码生成令牌,令牌用于客户端与服务器的交互使用。此时,接口访问响应还包括令牌。
一种可能的实施方式中,上述校验面部图像的真实性,包括:在用户对应的面部图像档案中匹配面部图像;若匹配成功,则确定面部图像是真实的;和/或,与相关机构联网核查面部图像的真实性。
一种可能的实施方式中,安全认证方法还包括:若面部图像是真实的,则发送第二指示信息给客户端,第二指示信息用于指示客户端提示用户开启客户端侧进行的面部识别和/或指纹识别。
一种可能的实施方式中,接口访问请求为登录请求,在向客户端发送接口访问响应之前,安全认证方法还包括:确定登录请求中携带令牌;检测令牌与服务器缓存中保存的令牌是否一致;若一致,则确定令牌对应的用户是否在用户白名单,以及令牌对应的设备是否在设备黑名单;确定用户在用户白名单,且设备不在设备黑名单。
一种可能的实施方式中,安全认证方法还包括:确定接收到的接口访问请求中是否携带目标攻击字符,目标攻击字符包括SQL注入敏感字符、XSS漏洞字符以及CSRF攻击字符中的至少一种;若是,则拒绝访问;若否,则获取接口访问请求中携带的用户机构信息以及用户标识。
第二方面,本申请提供一种安全认证装置,包括:
获取模块,用于在接收到来自客户端的接口访问请求后,获取接口访问请求中携带的用户机构信息以及用户标识;
查询模块,用于基于用户机构信息,从数据库中查询用户所在机构所具有的第一权限;以及,根据用户标识,确定用户的第二权限;根据第一权限和第二权限,确定用户的目标权限;
发送模块,用于向客户端发送接口访问响应给客户端,接口访问响应携带目标权限范围内的功能列表。
一种可能实施的方式中,接口访问请求为登录请求。安全认证装置还包括:校验模块,用于确定登录请求中携带用户的用户信息和密码;根据用户信息和密码,进行用户身份验证;若身份验证通过,则通过发送模块发送第一指示信息给客户端,第一指示信息用于指示客户端实时采集并向服务器发送用户的面部图像;接收面部图像,并校验面部图像的真实性;若面部图像是真实的,则根据用户信息和密码生成令牌,通过发送模块发送接口访问响应给客户端,令牌用于客户端与服务器的交互使用。此时,接口访问响应还包括令牌。
一种可能的实施方式中,校验模块在用于校验面部图像的真实性时,具体用于:在用户对应的面部图像档案中匹配该面部图像;若匹配成功,则确定该面部图像是真实的。和/或,校验模块在用于校验面部图像的真实性时,具体用于:与相关机构联网核查该面部图像的真实性。
一种可能的实施方式中,校验模块还用于:若面部图像是真实的,则通过发送模块发送第二指示信息给客户端,第二指示信息用于指示客户端提示用户开启客户端侧进行的面部识别和/或指纹识别。
一种可能的实施方式中,接口访问请求为登录请求。校验模块还用于:确定登录请求中携带令牌;检测令牌与服务器缓存中保存的令牌是否一致;若一致,则确定令牌对应的用户是否在用户白名单,以及令牌对应的设备是否在设备黑名单;若用户在用户白名单,且设备不在设备黑名单,则通过发送模块发送接口访问响应给客户端。
一种可能的实施方式中,安全认证装置还包括:拦截模块,用于确定接收到的接口访问请求中是否携带目标攻击字符,目标攻击字符包括SQL注入敏感字符、XSS漏洞字符以及CSRF攻击字符中的至少一种;若是,则拒绝访问;若否,则通过获取模块获取接口访问请求中携带的用户机构信息以及用户标识。
第三方面,本申请提供一种电子设备,包括:
存储器和处理器;
存储器用于存储程序指令;
处理器用于调用所述存储器中的程序指令执行第一方面的安全认证方法。
第四方面,本申请一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序指令,计算机程序指令被执行时,实现第一方面的安全认证方法。
第五方面,本申请提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现第一方面的安全认证方法。
本领域技术人员能够理解的是,本申请中,先根据用户所在机构信息,获取用户所在机构的第一权限,再根据用户标识,获取用户的第二权限,将所获取的第一权限和第二权限发送给客户端,不仅校验了用户的接口访问权限,还进行了机构一致性校验,从而减少了系统的安全隐患。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一实施例提供的应用场景示意图;
图2为本申请一实施例提供的安全认证方法的流程图;
图3为本申请另一实施例提供的安全认证方法的流程图;
图4为本申请又一实施例提供的安全认证方法的流程图;
图5为本申请又一实施例提供的安全认证方法的流程图;
图6为本申请一实施例提供的安全认证装置的结构示意图;
图7为本申请另一实施例提供的安全认证装置的结构示意图;
图8为本申请又一实施例提供的安全认证装置的结构示意图;
图9为本申请一实施例提供的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
首先,对本申请涉及的部分技术术语进行解释说明:
SQL注入,是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。根据攻击方式区分,SQL注入可以分为SQL操作注入攻击、代码注入攻击、函数调用注入攻击和缓冲区溢出攻击。其中SQL操作注入和代码注入更加常见,另外两种攻击都是直接对数据库攻击,对系统的危害更大。
正则表达式,又称规则表达式(英语:Regular Expression,在代码中常简写为regex、regexp或RE),计算机科学的一个概念。正则表达式通常被用来检索、替换那些符合某个模式(规则)的文本。
许多程序设计语言都支持利用正则表达式进行字符串操作。例如,在Perl中就内建了一个功能强大的正则表达式引擎。正则表达式这个概念最初是由Unix中的工具软件(例如sed和grep)普及开的。正则表达式通常缩写成“regex”,单数有regexp、regex,复数有regexps、regexes、regexen。
令牌(Token),是服务器生成的一串字符串,以作客户端进行请求的一个令牌。当第一次登录后,服务器生成一个令牌,并将此令牌返回给客户端,以后客户端只需带上这个令牌前来请求数据即可,无需再次带上用户名和密码。使用令牌可以有效的减轻服务器的压力,减少查询数据库的次数,从而使服务器更加健壮,同时无需多次使用用户信息进行认证,提高了安全性。
客户端,或称为用户端,是指与服务端相对应,为客户提供本地服务的程序。除了一些只在本地运行的应用程序之外,一般安装在普通的客户机上,需要与服务端互相配合运行。
服务端,服务的内容诸如向客户端提供资源和保存客户端数据等。一般来说,服务端就是存放网页与数据库数据的服务器。
缓存,就是数据交换的缓冲区(称作:Cache),当某一硬件要读取数据时,会首先从缓存汇总查询数据,有则直接执行,不存在时从内存中获取。由于缓存的数据比内存快的多,所以缓存的作用就是帮助硬件更快的运行。
HTTP请求(英文名HTTP Request),是指从客户端到服务器的请求消息。包括:消息首行中,对资源的请求方法、资源的标识符及使用的协议。
跨站脚本(Cross-Site Scripting,简称XSS)漏洞,简称为XSS或跨站脚本或者跨站脚本攻击,是一种针对网站或者应用程序的漏洞攻击技术,也是利用代码注入的一种。它允许恶意用户将代码注入网页,其他用户浏览网页时将会受到影响。与其他Web应用攻击方式有所区别的是,XSS是涉及多方共同作用的一种攻击方式。XSS通过窃取客户端的Cookie信息或者网站用于鉴别用户的关键信息等为攻击目标,通过冒用真实用户的信息登录网站,对网站的重要数据进行窃取或破坏。跨站脚本攻击根据攻击类型大致分成三类:基于反射的XSS攻击、基于存储的XSS攻击和基于DOM的XSS攻击。
应用程序接口(Application Programming Interface,简称API)访问请求,即API接口访问请求,它是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力。API之主要目的是提供应用程序与开发人员以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。提供API所定义的功能的软件称作此API的实现。API是一种接口,故而是一种抽象。
跨站请求伪造(Cross-Site Request Forgery,简称CSRF)攻击,是一种网络攻击方式。通过CSRF攻击,攻击者利用用户多访问场景的需求将恶意网站推给用户,在用户未退出受信网站的同时,通过恶意网站对用户进行攻击。通过仿冒用户账户,对受信网站进行非法操作。CSRF攻击是利用Web身份验证机制的漏洞进行攻击的,当收到一个来自真实用户浏览器发起的请求时,Web身份验证机制无法确认一个请求的发起者是真实用户还是攻击者。
目前,当服务器接收到来自客户端的接口访问请求时,是根据访问控制模型根据用户角色进行了权限控制与分类,但是对于接口访问请求的附加信息并无过多关注,导致存在安全隐患。
基于上述问题,本申请的实施例提供了一种安全认证方法、装置及存储介质,在客户端发送接口访问请求时,不仅根据用户角色判断当前用户的使用权限,也根据接口访问请求中的机构码进行机构一致性校验,从而提高了安全性,避免了用户的越权行为。
图1为本申请一实施例提供的应用场景示意图。如图1所示,本应用场景中,客户端110中安装有包含银行应用等各种应用,用户通过客户端110可登录应用并进行相关的操作。示例地,在用户通过客户端110可登录应用时,客户端110向服务器120发送登录请求;用户通过客户端110登录应用后,在客户端110上进行相关操作时,客户端110向服务器120发送业务请求。对应地,服务器120响应于接收到登录请求或业务请求,进行相应的处理,并将处理结果发送给客户端110。
需要说明的是,图1仅是本申请实施例提供的一种应用场景的示意图,本申请实施例不对图1中包括的设备进行限定,也不对图1中设备之间的位置关系进行限定。例如,在图1所示的应用场景中,还可以包括数据存储设备,该数据存储设备相对客户端110或者服务器120可以是外部存储器,也可以是集成在客户端110或者服务器120中的内部存储器。客户端110既可以是PC,即电脑,也可以是手机或笔记本等终端设备。
接下来,以服务器为例进行说明,通过具体实施例介绍安全认证方法。
图2为本申请一实施例提供的安全认证方法的流程图。本申请实施例的方法可以应用于服务器或服务器集群等,如图2所示,本申请实施例的方法包括:
S201、在接收到来自客户端的接口访问请求后,获取接口访问请求中携带的用户机构信息以及用户标识。
其中,接口访问请求包含API接口访问请求,但本申请不以此为限制。示例地,接口访问请求的请求头中包含有用户所在机构的机构码,因此,通过该请求头即可获取用户所在机构的机构码,也即用户机构信息。
S202、基于用户机构信息,从数据库中查询用户所在机构所具有的第一权限。
示例地,数据库中包含有用户机构信息与权限的对应关系,其中,这里的权限是指用户机构信息表示的机构所拥有的权限。对于用户机构信息与权限的对应关系在数据库中的存在形式,本申请实施例不予限制,例如,用户机构信息与权限的对应关系可以存储为表格形式,等等。
在该步骤中,用户机构信息是已知的,即可通过查询数据库来确定该用户机构信息对应的权限,为与下文中用户对应的权限进行区分,将其命名为“第一权限”。另外,该步骤的第一权限,可以理解为机构能够使用的具体模块,实现机构访问权限控制。
可选地,将从数据库中查询用户所在机构所具有的第一权限在服务器中缓存。
S203、根据用户标识,确定用户的第二权限。
用户标识是因特网上用户登录时用于识别用户身份的名字,例如用户号或账号。除了如前所述的数据库中包含有用户机构信息与权限的对应关系,可选地,数据库中还包含有用户标识和用户个人所具有的权限的对应关系。这两个数据库可以是同一个数据库,也可以是不同的数据库,对此本申请实施例不予限制。
在实际应用中,由于每个用户在系统中的职位不同,所具有的操作权限也不同,因此,除了获取用户机构信息对应的第一权限之外,还需根据用户标识确定该用户所具有的操作权限,即第二权限。目前根据用户角色所确定的用户的权限即这里的第二权限,仅根据第二权限判断用户是否具有接口访问权限,若具有接口访问权限,则进行下一步操作;若不具有接口访问权限,拒绝访问,没有考虑用户所在机构的权限。
示例地,服务器通过用户号从数据库查询用户个人所具有的权限并在服务器缓存中存储。该步骤中,用户号,即用户标识,是已知的,通过查询数据库便可以查询到该用户号对应的用户个人所具有的权限。
S204、根据第一权限和第二权限,确定用户的目标权限。
在确定用户所在机构的第一权限以及用户对应的第二权限之后,就可以通过该步骤确定用户的目标权限。例如,第一权限和第二权限是包含关系,第一权限包含第二权限或者第二权限包含第一权限,此时,所确定的目标权限为第一权限和第二权限的交集,缩小权限范围。
示例地,用户不同机构具有对应的职位,其中不同职位对应了不同的权限(即第一权限),但该用户对应的第二权限是各不同机构对应的权限的总和,即第二权限的范围大于第一权限,该情况下,可能出现该用户在低职位机构执行高职位机构的相应的权限操作,而通过本申请实施例提供的方案即可避免该越权操作问题。
S205、向客户端发送接口访问响应,接口访问响应携带目标权限范围内的功能列表。
在确定用户的目标权限之后,服务器生成携带有目标权限范围内的功能列表的接口访问响应,并向客户端发送该接口访问响应。相应地,客户端接收到该接口访问响应之后,便可进行相关的业务的办理或者权限操作。
其中,该功能列表包含了用户在目标权限下能够办理的业务。
本申请实例中,服务器在接收到来自客户端的接口访问请求后,根据接口访问请求中携带的用户机构信息确定用户所在机构的第一权限,并根据接口访问请求中携带的用户标识确定用户的第二权限,通过机构权限和个人权限相互结合的权限控制方式,实现了用户的访问控制和操作权限控制,不但解决了越权操作的问题,也提高了系统的安全性,避免了潜在的安全隐患。
如前所述,在用户通过客户端进行相应业务操作之前,需要首先通过客户端启动应用,因此,接口访问请求可以具体为登录请求。在上述实施例的基础上,以下通过具体实施例对用户通过客户端启动应用的场景进行说明。
为了适应对用户身份要求更高的场景,在登录认证中引入了活体检测、面部识别,利用生物特征识别增强认证的可靠性。
图3为本申请另一实施例提供的安全认证方法的流程图。如图3所示,该安全认证方法还可以包括:
S301、在接收到来自客户端的登录请求后,确定登录请求中携带用户的用户信息和密码。
示例地,用户在客户端输入用户名和密码进行登录操作,响应于该登录操作,客户端发出登录请求,对应地,服务器接收该登录请求,并获取其中携带的用户信息和密码。其中,用户信息可以包括但不限于该用户的用户名,还可以是账号名;密码可以是默认密码或用户自身设置的登录密码。
S302、根据用户信息和密码,进行用户身份验证。
具体地,确认该用户信息与密码是否匹配。若匹配,则确定身份验证通过;若不匹配,则确定身份验证不通过。进一步地,若身份验证不通过,则执行步骤S303;若身份验证通过,则执行步骤S304。
S303、拒绝该用户访问。
S304、发送第一指示信息给客户端,第一指示信息用于指示客户端实时采集并向服务器发送用户的面部图像。
客户端在接收到第一指示信息后,实时采集用户的面部图像,并发送给服务器,以由服务器对用户进行活体检测以及身份真实性进行进一步检测。
具体地,活体检测即检测用户是否为真实活体,其目的是为了保证登录是本人操作,可有效抵御照片、换脸、面具、遮挡以及屏幕翻拍等常见的攻击手段,此时,客户端会对用户人脸照片进行捕捉,并向服务器发起人脸识别验证,结合身份真实性检测,可以有效甄别欺诈行为,保障用户的利益。
S305、接收面部图像,并校验面部图像的真实性。
具体地,服务器可通过多种方式来校验面部图像的真实性。示例地:
第一种实现方式中,校验面部的真实性可以具体为在用户对应的面部的图像档案中匹配面部图像。第二种实现方式中,校验面部的真实性可以具体为与相关机构联网核查面部图像的真实性。第三种实现方式中,结合第一种实现方式和第二种实现方式来校验面部的真实性。
具体地,服务器通过将客户端传送的面部图像与系统维护的用户近期图像档案进行对比来验证面部图像的真实性,或者将面部图像发送至相关机构进行核查对照,通过联网备案进行面部图像的真实性验证。
本实施例中,通过现实场景的多种情况验证面部图像的真实性,如当用户曾经已经在服务器有过面部图像的缓存和备份,则通过查询图像档案便可以验证面部图像的真实性。若用户为第一次进行面部图像采集,即用户还没有面部图像缓存在服务器中,此时可以通过与相关部门/机构进行联网核查,同样可以验证面部图像的真实性,这种方法在验证用户身份时,对用户身份要求更加严苛,有效的保障了身份认证的准确性和安全性。
若面部图像是不真实的,则执行S303、拒绝访问;若面部图像是真实的,则执行S306。
S306、根据用户信息和密码生成令牌。
其中,令牌用于客户端与服务器的交互使用。
服务器根据客户端的标识、用户信息和密码,利用一定规则生成与该用户绑定的令牌,并将令牌发送到客户端,同时将令牌存入缓存中,这时客户端在令牌的有效期内将维持登录状态。用户在有效期内不需要再次输入用户名和密码即可以完成登录。
因此,根据登录请求中携带的信息即可确定当前登录是首次登录还是非首次登录:若登录请求中携带用户信息和密码,则为首次登录;若登录请求中携带令牌,则为非首次登录。
可选地,在上述基础上,安全认证还可以包括:若面部图像是真实的,则发送第二指示信息给客户端。其中,该第二指示信息用于指示客户端提示用户开启客户端侧进行的面部识别和/或指纹识别。对应地,客户端接收到第二指示信息后,提示用户开启客户端侧进行的面部识别和/或指纹识别,若用户开启,则当用户再次通过该客户端启动应用时,无需密码验证,客户端直接对用户进行面部识别和/或指纹识别的活体检测,实现无感登录,增强了系统的便捷性;若用户不开启,则仍由客户端发送携带有令牌的登录请求给服务器,实现无感登录,具体通过图4所示实施例进行说明。
在通过S301至S305进行用户身份验证之后,还可以通过S201至S204进行权限控制,之后,服务器执行S307、向客户端发送接口访问响应,接口访问响应携带目标权限范围内的功能列表和令牌。
图4为本申请又一实施例提供的安全认证方法的流程图。如图4所示,
S401、在接收到来自客户端的登录请求后,确定登录请求中携带令牌。
由于用户在首次登录成功后,服务器会按一定规则生成与该用户绑定的令牌,因此,用户且在令牌有效期内再次登录时,不需要在客户端进行用户信息及密码的身份验证,只需要服务器验证该用户绑定的令牌即可。在有效期内,令牌缓存在服务器中。
S402、检测令牌与服务器缓存中保存的令牌是否一致。
若从登录请求中获取的令牌与服务器中缓存的令牌相同,则一致;若从登录请求中获取的令牌与服务器中缓存的令牌不相同,则不一致。若不一致,则执行S403、返回错误信息,并记录错误日志;若一致,则执行S404。
可选地,服务器在接收到登录请求后,可以先判断令牌是否为空(即登录请求中是否携带令牌),若令牌不为空(登录请求中携带令牌),则进一步判断登录请求中携带的令牌是否与服务器中缓存的令牌一致。
S404、确定令牌对应的用户是否在用户白名单,以及令牌对应的设备是否在设备黑名单。
由于令牌是基于一定准则,根据客户端的标识、用户信息和密码生成的,因此可根据令牌得到其对应的用户信息和客户端的标识。之后,确定该用户信息对应的用户是不在用户白名单,该客户端是否在设备黑名单。
只有当用户在用户白名单,且设备不在设备黑名单时,执行步骤S405;否则,执行S403、返回错误信息,并记录错误日志。
具体地,白名单的概念与黑名单相对应,对于白名单中的用户,认为是可以信任的用户;对于黑名单中的设备,认为是不可信设备。在设备黑名单启用后,被列入到设备黑名单的设备发送的内容不能通过校验。
示例地,在运营体系中,如果某一设备被列入设备黑名单,那么它可能不能享用某项业务或全部业务,若某用户在用户白名单,但其所使用的设备在设备黑名单中,则仍然无法通过登录的身份认证。同理,若用户不在用户白名单中,且使用的设备也不在设备黑名单中,也是无法通过登录的身份认证的。因此,只有当用户在用户白名单,且设备不在设备黑名单时,才允许用户启动应用,发送应用页面给客户端。
在通过S401至S404进行用户身份验证之后,还可以通过S201至S204进行权限控制,之后,服务器执行S405、向客户端发送接口访问响应,接口访问响应携带目标权限范围内的功能列表和令牌。
在客户端接收到应用页面后,显示应用页面,之后通过登录的认证即可在该应用页面上进行相应业务的办理。
本申请实例中,在非首次登录时,由服务器获取登录请求中携带的令牌并进行令牌一致性校验,当令牌一致性校验通过后,再检测用户是否在用户白名单以及设备是否在设备黑名单;当用户在用户白名单且设备不在设备黑名单时,表明用户的身份认证通过,服务器发送应用页面给客户端,用户可以在客户端进行相应的业务操作。本方案中,由于在对用户的身份认证过程中加入了用户白名单和设备黑名单的认证,通过用户白名单维护可信用户,通过设备黑名单拦截危险设备,不仅提高了系统的安全性,也在登录流程中满足了对特定用户的控制,满足系统对于用户安全性的把控。
以上主要从服务器一端说明如何进行安全认证,接下来结合客户端和服务器进行安全认证的说明。
图5为本申请又一实施例提供的安全认证方法的流程图。如图5所示,本申请实施例的安全认证方法可以包括:
S501、客户端对用户输入的数据进行过滤。
用户在客户端显示的界面中输入数据(例如账号和密码)后,客户端会首先对用户输入的数据进行过滤。示例地,客户端对用户输入的数据进行正则校验,比如对密码中包括的“?、#”等特殊字符以及长度根据实际情况进行限制,对数据中的敏感信息进行过滤,这种方法可以达到规范交互信息的目的,且可以有效降低服务器对非法字符处理的工作量。
之后,响应于用户输入的登录操作,客户端执行S502。
S502、向服务器发送登录请求。
S503、服务器对用户进行身份认证。
服务器在接收登录请求之后,根据如图3或图4所示的实施例提供的方案进行用户的身份认证。
若身份认证不通过,则拒绝访问;若身份认证通过,则执行S504。
S504、获取登录请求中携带的用户机构信息以及用户标识。
S505、基于用户机构信息,从数据库中查询用户所在机构所具有的第一权限。
S506、根据用户标识,确定用户的第二权限。
S507、根据第一权限和第二权限,确定用户的目标权限。
S508、向客户端发送接口访问响应,接口访问响应携带目标权限范围内的功能列表。
对于S504至S508到的相关描述可参考前述实施例,此处不再赘述。
更进一步地,安全认证方法还可以包括:确定接收到的登录请求中是否携带目标攻击字符,目标攻击字符包括SQL注入敏感字符、XSS漏洞字符以及CSRF攻击字符中的至少一种;若是,则拒绝访问;若否,则执行S508。
具体地,服务器通过截取客户端发送请求以及服务端返回的响应信息,并根据设定规则进行过滤,过程为:服务器对客户端发送的HTTP请求所携带的请求头以及参数等信息进行拦截,利用正则表达式,对请求信息中可能存在的非法SQL字符进行校验,对容易引起XSS漏洞的字符以及可能存在的CSRF攻击的字符进行校验,从而有效避免SQL注入攻击与恶意篡改代码对网站的非法攻击。
示例地,在设计SQL注入敏感字符匹配表达式时,将敏感字符替换为“FORBID”,之后只要验证存在“FORBID”的就进行拦截;如果不存在上述字符,则请求验证通过;攻击过滤器截取客户端发送的请求以及Web服务端返回的响应信息,并按照设定的规则进行过滤,过滤掉非法的URL、去除非法字符以及统一设置字符编码;通过编码设计授权拦截器,判断用户是否具有访问相应资源的权限,验证用户是否具备操作数据的权限。
S509、客户端显示应用页面。
本申请实例中,在完成对用户的身份认证和权限控制后,服务器还对请求信息中可能存在的非法SQL字符、容易引起XSS漏洞的字符以及可能存在的CSRF攻击的字符进行校验,从而可以拦截更多类型的非法攻击,提高了系统的安全性。
综上,本申请提供的一种基于多因子校验的安全认证机制,针对现有方案的不足进行了相应改进,结合可控认证、多级授权和攻击防御为一体,稳固系统安全的基础。首先,为了适应对用户身份要求更高的场景,在登录认证中引入了活体检测、面部识别,利用生物特征识别增强认证的可靠性;其次,为了弥补现有方案中缺少对特定用户的控制,本方案增加了黑白名单校验功能,通过用户白名单维护可信用户、设备黑名单拦截危险设备;同时,在用户发送接口访问请求时,不仅根据用户角色和机构权限判断当前用户的使用权限,也根据HTTP请求头中的机构码进行机构一致性校验,防止用户的越权操作;最后,在用户合法性校验中,不只引入了SQL注入和XSS攻击过滤器,而且增加CSRF攻击过滤,增强方案的健壮性。
图6为本申请一实施例提供的安全认证装置的结构示意图,如图6所示,本申请实施例的安全认证装置600包括:获取模块601和查询模块602和发送模块603。其中:
获取模块601,用于在接收到来自客户端的接口访问请求后,获取接口访问请求中携带的用户机构信息以及用户标识;
查询模块602,用于基于用户机构信息,从数据库中查询用户所在机构所具有的第一权限;以及,根据用户标识,确定用户的第二权限;根据第一权限和第二权限,确定用户的目标权限;
发送模块603,用于向客户端发送接口访问响应给客户端,接口访问响应携带目标权限范围内的功能列表。
图7为本申请另一实施例提供的安全认证装置的结构示意图。该实施例中,接口访问请求为登录请求。如图7所示,在图6所示装置结构的基础上,本申请实施例的安全认证装置700进一步地还可以包括:
校验模块604,用于确定登录请求中携带用户的用户信息和密码;根据用户信息和密码,进行用户身份验证;若身份验证通过,则通过发送模块603发送第一指示信息给客户端,第一指示信息用于指示客户端实时采集并向服务器发送用户的面部图像;接收面部图像,并校验面部图像的真实性;若面部图像是真实的,则根据用户信息和密码生成令牌,通过发送模块603发送接口访问响应给客户端,令牌用于客户端与服务器的交互使用。此时,接口访问响应还包括令牌。
一种可能的实施方式中,校验模块604在用于校验面部图像的真实性时,具体用于:在用户对应的面部图像档案中匹配该面部图像;若匹配成功,则确定该面部图像是真实的。
和/或,校验模块604在用于校验面部图像的真实性时,具体用于:与相关机构联网核查该面部图像的真实性。
一种可能的实施方式中,校验模块604还可以用于:若面部图像是真实的,则通过发送模块发送第二指示信息给客户端,第二指示信息用于指示客户端提示用户开启客户端侧进行的面部识别和/或指纹识别。
一种可能的实施方式中,校验模块604又可以用于:确定登录请求中携带令牌;检测令牌与服务器缓存中保存的令牌是否一致;若一致,则确定令牌对应的用户是否在用户白名单,以及令牌对应的设备是否在设备黑名单;若用户在用户白名单,且设备不在设备黑名单,则通过发送模块发送接口访问响应给客户端。
图8为本申请另一实施例提供的安全认证装置的结构示意图。如图8所示,在图7所示装置结构的基础上,本申请实施例的账户管理装置800进一步地还可以包括:拦截模块605,用于确定接收到的接口访问请求中是否携带目标攻击字符,目标攻击字符包括SQL注入敏感字符、XSS漏洞字符以及CSRF攻击字符中的至少一种;若接收到的接口访问请求中携带包括SQL注入敏感字符、XSS漏洞字符以及CSRF攻击字符中至少一种的目标攻击字符,则拒绝访问;若没有携带,则通过获取模块601获取接口访问请求中携带的用户机构信息以及用户标识。
图9为本申请一实施例提供的电子设备的结构示意图。示例性地,电子设备可以被提供为一服务器或计算机。参照图9,电子设备900包括处理组件901,其进一步包括一个或多个处理器,以及由存储器902所代表的存储器资源,用于存储可由处理组件901的执行的指令,例如应用程序。存储器902中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件901被配置为执行指令,以执行上述任一方法实施例。
电子设备900还可以包括一个电源组件903被配置为执行电子设备900的电源管理,一个有线或无线网络接口904被配置为将电子设备900连接到网络,和一个输入输出(I/O)接口905。电子设备900可以操作基于存储在存储器902的操作系统,例如WindowsServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
本申请还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,当处理器执行计算机执行指令时,实现如上安全认证方法的方案。
本申请还提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如上的安全认证方法的方案。
上述的计算机可读存储介质,上述可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。可读存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的可读存储介质耦合至处理器,从而使处理器能够从该可读存储介质读取信息,且可向该可读存储介质写入信息。当然,可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(Application Specific IntegratedCircuits,简称:ASIC)中。当然,处理器和可读存储介质也可以作为分立组件存在于安全认证装置中。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (7)

1.一种安全认证方法,其特征在于,应用于服务器,所述安全认证方法包括:
在接收到来自客户端的接口访问请求后,获取所述接口访问请求中携带的用户机构信息以及用户标识;
基于所述用户机构信息,从数据库中查询用户所在机构所具有的第一权限;
根据所述用户标识,确定用户的第二权限;
根据所述第一权限和所述第二权限,确定所述用户的目标权限;其中,所述目标权限为第一权限和第二权限的交集;
向所述客户端发送接口访问响应,所述接口访问响应携带所述目标权限范围内的功能列表;
若所述接口访问请求为登录请求,所述登录请求中携带令牌;则在所述向所述客户端发送接口访问响应之前,所述安全认证方法还包括:
检测所述令牌与服务器缓存中保存的令牌是否一致;
若一致,则确定所述令牌对应的用户是否在用户白名单,以及所述令牌对应的设备是否在设备黑名单;
确定用户在所述用户白名单,且设备不在所述设备黑名单;
所述方法还包括:
确定接收到的接口访问请求中是否携带目标攻击字符,所述目标攻击字符包括结构化查询语言SQL注入敏感字符、跨站脚本XSS漏洞字符以及跨站请求伪造CSRF攻击字符中的至少一种;
若是,则拒绝访问;
若否,则执行所述获取所述接口访问请求中携带的用户机构信息以及用户标识。
2.根据权利要求1所述的安全认证方法,其特征在于,所述接口访问请求为登录请求,所述登录请求中携带所述用户的用户信息和密码;则在所述向所述客户端发送接口访问响应之前,所述安全认证方法还包括:
根据所述用户信息和所述密码,进行用户身份验证;
若身份验证通过,则发送第一指示信息给所述客户端,所述第一指示信息用于指示所述客户端实时采集并向所述服务器发送用户的面部图像;
接收所述面部图像,并校验所述面部图像的真实性;
若所述面部图像是真实的,则根据所述用户信息和所述密码生成令牌,所述令牌用于所述客户端与所述服务器的交互使用;
所述接口访问响应还包括所述令牌。
3.根据权利要求2所述的安全认证方法,其特征在于,所述校验所述面部图像的真实性,包括:
在所述用户对应的面部图像档案中匹配所述面部图像;若匹配成功,则确定所述面部图像是真实的;
和/或,与相关机构联网核查所述面部图像的真实性。
4.根据权利要求2所述的安全认证方法,其特征在于,还包括:
若所述面部图像是真实的,则发送第二指示信息给所述客户端,所述第二指示信息用于指示所述客户端提示用户开启客户端侧进行的面部识别和/或指纹识别。
5.一种安全认证装置,其特征在于,包括:
获取模块,用于在接收到来自客户端的接口访问请求后,获取所述接口访问请求中携带的用户机构信息以及用户标识;
查询模块,用于基于所述用户机构信息,从数据库中查询用户所在机构所具有的第一权限;以及,根据所述用户标识,确定用户的第二权限;根据所述第一权限和所述第二权限,确定所述用户的目标权限;其中,所述目标权限为第一权限和第二权限的交集;
发送模块,用于向所述客户端发送接口访问响应给客户端,所述接口访问响应携带所述目标权限范围内的功能列表;
所述接口访问请求为登录请求,所述登录请求中携带令牌;校验模块,用于检测所述令牌与服务器缓存中保存的令牌是否一致;若一致,则确定所述令牌对应的用户是否在用户白名单,以及所述令牌对应的设备是否在设备黑名单;确定用户在所述用户白名单,且设备不在所述设备黑名单;
拦截模块,用于确定接收到的接口访问请求中是否携带目标攻击字符,目标攻击字符包括SQL注入敏感字符、跨站脚本XSS漏洞字符以及跨站请求伪造CSRF攻击字符中的至少一种;若是,则拒绝访问;若否,则通过所述获取模块获取接口访问请求中携带的用户机构信息以及用户标识。
6.一种电子设备,其特征在于,包括:存储器和处理器;
所述存储器用于存储程序指令;
所述处理器用于调用所述存储器中的程序指令执行如权利要求1至4任一项所述的安全认证方法。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序指令,所述计算机程序指令被执行时,实现如权利要求1至4任一项所述的安全认证方法。
CN202110603422.8A 2021-05-31 2021-05-31 安全认证方法、装置及存储介质 Active CN113315637B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110603422.8A CN113315637B (zh) 2021-05-31 2021-05-31 安全认证方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110603422.8A CN113315637B (zh) 2021-05-31 2021-05-31 安全认证方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN113315637A CN113315637A (zh) 2021-08-27
CN113315637B true CN113315637B (zh) 2023-07-04

Family

ID=77376570

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110603422.8A Active CN113315637B (zh) 2021-05-31 2021-05-31 安全认证方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN113315637B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113704721A (zh) * 2021-09-03 2021-11-26 广州因陀罗软件有限公司 一种游戏后台集中权限控制方法及系统
CN113824712A (zh) * 2021-09-17 2021-12-21 上海浦东发展银行股份有限公司 一种基于微服务的请求处理方法、装置、电子设备及介质
CN114070583B (zh) * 2021-10-12 2023-10-20 鸬鹚科技(深圳)有限公司 信息访问控制方法、装置、计算机设备及介质
CN114510643A (zh) * 2022-02-17 2022-05-17 中科三清科技有限公司 数据分发方法、装置及存储介质
CN114598541A (zh) * 2022-03-18 2022-06-07 维沃移动通信有限公司 一种安全评估方法及装置、电子设备和可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016015436A1 (zh) * 2014-07-28 2016-02-04 百度在线网络技术(北京)有限公司 平台授权方法、平台服务端、应用客户端及系统和存储介质
CN109801152A (zh) * 2019-01-24 2019-05-24 中国农业银行股份有限公司 基于区块链的企业年金业务处理方法及系统
CN109829287A (zh) * 2018-11-20 2019-05-31 新疆福禄网络科技有限公司 Api接口权限访问方法、设备、存储介质及装置
CN112733103A (zh) * 2021-01-11 2021-04-30 浪潮云信息技术股份公司 接口访问的控制方法和装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8032922B2 (en) * 2006-12-18 2011-10-04 Oracle International Corporation Method and apparatus for providing access to an application-resource
CN104301331A (zh) * 2014-10-31 2015-01-21 北京思特奇信息技术股份有限公司 一种服务接口权限验证方法及装置
CN111274046A (zh) * 2020-01-16 2020-06-12 平安医疗健康管理股份有限公司 服务调用的合法性检测方法、装置、计算机设备及计算机存储介质
CN112615875A (zh) * 2020-12-24 2021-04-06 中国农业银行股份有限公司 一种用户访问控制方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016015436A1 (zh) * 2014-07-28 2016-02-04 百度在线网络技术(北京)有限公司 平台授权方法、平台服务端、应用客户端及系统和存储介质
CN109829287A (zh) * 2018-11-20 2019-05-31 新疆福禄网络科技有限公司 Api接口权限访问方法、设备、存储介质及装置
CN109801152A (zh) * 2019-01-24 2019-05-24 中国农业银行股份有限公司 基于区块链的企业年金业务处理方法及系统
CN112733103A (zh) * 2021-01-11 2021-04-30 浪潮云信息技术股份公司 接口访问的控制方法和装置

Also Published As

Publication number Publication date
CN113315637A (zh) 2021-08-27

Similar Documents

Publication Publication Date Title
CN113315637B (zh) 安全认证方法、装置及存储介质
US9832225B2 (en) Identity theft countermeasures
US10693880B2 (en) Multi-stage authentication of an electronic communication
JP6426189B2 (ja) 生体認証プロトコル標準のためのシステムおよび方法
EP2605567B1 (en) Methods and systems for increasing the security of network-based transactions
US8087068B1 (en) Verifying access to a network account over multiple user communication portals based on security criteria
US8775524B2 (en) Obtaining and assessing objective data ralating to network resources
EP1999609B1 (en) Client side attack resistant phishing detection
EP3970040B1 (en) Mitigation of ransomware in integrated, isolated applications
US20210014246A1 (en) In-stream malware protection
US8015598B2 (en) Two-factor anti-phishing authentication systems and methods
US20140082736A1 (en) Certifying server side web applications against security vulnerabilities
RU2634174C1 (ru) Система и способ выполнения банковской транзакции
CN114297708A (zh) 访问控制方法、装置、设备和存储介质
Singh et al. The security implications of data subject rights
EP3407241B1 (en) User authentication and authorization system for a mobile application
US20230315890A1 (en) Call location based access control of query to database
Singh et al. High Performance Computing (HPC) Data Center for Information as a Service (IaaS) Security Checklist: Cloud Data Governance.
Manjula et al. Pre-Authorization And Post-Authorization Techniques For Detecting And Preventing The Session Hijacking
Ndiaye et al. Requirements for preventing logic flaws in the authentication procedure of web applications
TWI609287B (zh) Using communication device identification code and network operation password as methods for network authentication
Bays et al. FIC Vulnerability Profile
Vakil et al. Cyber Attacks: Detection and Prevention
CN112615879A (zh) 一种网络请求的处理方法及装置
Fan-Osuala A Note on Web Vulnerabilities

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant