CN113938323B - 基于jwt的防重放攻击方法、装置、设备以及存储介质 - Google Patents
基于jwt的防重放攻击方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN113938323B CN113938323B CN202111536489.0A CN202111536489A CN113938323B CN 113938323 B CN113938323 B CN 113938323B CN 202111536489 A CN202111536489 A CN 202111536489A CN 113938323 B CN113938323 B CN 113938323B
- Authority
- CN
- China
- Prior art keywords
- signaling
- address
- jwt
- information
- verified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明实施例涉及网络通信技术领域,公开了一种基于JWT的防重放攻击方法,该方法包括:获取访问者发送的身份验证请求;身份验证请求中包括发送身份验证请求的第一IP地址和待验证信令;待验证信令根据第二IP地址和预设密钥预先生成;第二IP地址为访问者发送信令生成请求时的地址;对身份验证请求进行响应,得到第一原始载荷;将第一IP地址与预设密钥进行组合,得到第一处理后密钥;根据第一处理后密钥对第一原始载荷进行签名处理,得到第一签名后载荷;对第一签名后载荷进行编码处理,得到合法信令;将合法信令和待验证信令进行匹配,根据匹配结果对身份验证请求进行验证。本发明实施例提高了基于JWT进行身份验证过程中的防重放攻击的可靠性。
Description
技术领域
本发明实施例涉及通信技术领域,具体涉及一种基于JWT的防重放攻击方法、装置、设备以及计算机存储介质。
背景技术
JWT是一种使用身份换token(信令)的会话保持方式,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
本申请的发明人在实施本发明实施例的过程中发现:基于JWT进行身份验证时,现有的防重放攻击方法存在可靠性或效率较低的问题。
发明内容
鉴于上述问题,本发明实施例提供了一种基于JWT的防重放攻击的方法、装置、设备以及计算机存储介质,用于解决现有技术中存在的基于JWT进行身份验证时防重放攻击的可靠性或效率较低问题。
根据本发明实施例的一个方面,提供了一种基于JWT的防重放攻击方法,所述方法包括:
获取访问者发送的身份验证请求;所述身份验证请求中包括发送所述身份验证请求的第一IP地址和待验证信令;所述待验证信令为JWT类型;所述待验证信令根据第二IP地址和预设密钥预先生成;所述第二IP地址为所述访问者发送信令生成请求时的地址;
对所述身份验证请求进行响应,得到第一原始载荷;
将所述第一IP地址与所述预设密钥进行组合,得到第一处理后密钥;
根据所述第一处理后密钥对所述第一原始载荷进行签名处理,得到第一签名后载荷;
对所述第一签名后载荷进行编码处理,得到合法信令;所述合法信令为JWT类型;
将所述合法信令和所述待验证信令进行匹配,根据匹配结果对所述身份验证请求进行验证。
在一种可选的方式中,所述方法还包括:
获取所述访问者发送的信令生成请求;所述信令生成请求中包括发送所述信令生成请求的第二IP地址和第一账号密码信息;
对所述第一账号密码信息进行验证;
当所述第一账号密码信息验证通过时,对所述信令生成请求进行响应,得到第二原始载荷;
根据所述第二IP地址以及所述预设密钥对所述第二原始载荷进行签名,得到所述待验证信令;
将所述待验证信令返回至所述访问者。
在一种可选的方式中,所述身份验证请求中还包括所述访问者的第一访问工具信息;所述信令生成请求中还包括所述访问者的第二访问工具信息;
所述方法还包括:
根据所述第二IP地址、所述第二访问工具信息以及所述预设密钥对所述第二原始载荷进行签名,得到所述待验证信令;
根据所述第一IP地址、第一访问工具信息以及所述预设密钥对所述第一原始载荷进行签名,得到所述合法信令。
在一种可选的方式中,所述方法还包括:
确定所述身份验证请求的第一请求头信息;
根据所述第一请求头信息确定所述第一访问工具信息;
在所述将所述待验证信令返回至所述访问者之前,包括:
确定所述信令生成请求的第二请求头信息;
根据所述第二请求头信息确定所述第二访问工具信息。
在一种可选的方式中,所述方法还包括:
将所述第一IP地址、所述第一访问工具信息以及所述预设密钥进行组合,得到第二处理后密钥;
根据所述第二处理后密钥对所述第一原始载荷进行进行签名处理,得到第二签名后载荷;
对所述第二签名后载荷进行编码处理,得到所述合法信令。
在一种可选的方式中,所述身份验证请求中还包括所述访问者的第二账号密码信息;
所述方法还包括:
根据所述第一IP地址、第一访问工具信息、所述第二账号密码信息以及预设密钥对所述第一原始载荷进行签名,得到所述合法信令;
根据所述第二IP地址、第二访问工具信息、所述第一账号密码信息以及预设密钥对所述第二原始载荷进行签名,得到所述待验证信令。
在一种可选的方式中,所述方法还包括:
将所述第一IP地址、第一访问工具信息、所述第二账号密码信息以及预设密钥进行组合,得到第三处理后密钥;
根据所述第三处理后密钥对所述第一原始载荷进行进行签名处理,得到第三签名后载荷;
对所述第三签名后载荷进行编码处理,得到所述合法信令。
根据本发明实施例的另一方面,提供了一种基于JWT的防重放攻击装置,包括:
获取模块,用于获取访问者发送的身份验证请求;所述身份验证请求中包括发送所述身份验证请求的第一IP地址和待验证信令;所述待验证信令为JWT类型;所述待验证信令根据第二IP地址和预设密钥预先生成;所述第二IP地址为所述访问者发送信令生成请求时的地址;
响应模块,用于对所述身份验证请求进行响应,得到第一原始载荷;
组合模块,用于将所述第一IP地址与所述预设密钥进行组合,得到第一处理后密钥;
签名模块,用于根据所述第一处理后密钥对所述第一原始载荷进行签名处理,得到第一签名后载荷;
编码模块,用于对所述第一签名后载荷进行编码处理,得到合法信令;所述合法信令为JWT类型;
匹配模块,用于将所述合法信令和所述待验证信令进行匹配,根据匹配结果对所述身份验证请求进行验证。
根据本发明实施例的另一方面,提供了一种基于JWT的防重放攻击设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如所述的基于JWT的防重放攻击方法的操作。
根据本发明实施例的又一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使基于JWT的防重放攻击设备执行所述的基于JWT的防重放攻击方法的操作。
本发明实施例通过获取访问者发送的身份验证请求;身份验证请求中包括发送身份验证请求的第一IP地址和待验证信令;其中,待验证信令为JWT类型;所述待验证信令根据第二IP地址和预设密钥预先生成;所述第二IP地址为所述访问者发送信令生成请求时的地址;对身份验证请求进行响应,得到第一原始载荷;将第一IP地址与预设密钥进行组合,得到第一处理后密钥;根据第一处理后密钥对第一原始载荷进行签名处理,得到第一签名后载荷;对第一签名后载荷进行编码处理,得到合法信令;合法信令为JWT类型;将合法信令和待验证信令进行匹配,根据匹配结果对身份验证请求进行验证。从而区别于现有技术中所存在防重放攻击的可靠性不足或者效率较低的问题,本发明实施例通过身份验证请求中直接携带的、且用发送者所无法伪造的发送该身份验证请求的第一IP地址对原始载荷进行签名,得到第一IP地址对应的合法信令,并且根据该身份验证请求中携带的待验证信令与合法信令的匹配情况确定该访问者的身份验证请求的发送地址是否和其信令生成请求的发送地址一致,由此能够提高基于JWT的防重放攻击的可靠性和效率。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
附图仅用于示出实施方式,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的基于JWT的防重放攻击方法的流程示意图;
图2示出了本发明另一实施例提供的基于JWT的防重放攻击方法的流程示意图;
图3示出了本发明实施例提供的基于JWT的防重放攻击装置的结构示意图;
图4示出了本发明实施例提供的基于JWT的防重放攻击设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。
在进行本发明实施例的说明之前,先对相关名词进行说明。
Token:访问资源的凭据。请求API时携带 token 的方式也有很多种,通过 HTTPHeader 或者 url 参数或者 google 提供的类库都可以。用于调用 API 的 token 称为access token。
JWT:即Json web token,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。
JWT由三部分构成,即头部(Header)、载荷(Payload)与签名(Signature),每部分都是通过base64加密而成。其中,通常头部有两部分信息:声明类型type以及加密算法。载荷一般包含用户身份信息、注册声明,如token的签发时间、过期时间、签发人以及JWT的唯一身份标识等。签证是整个数据的认证信息。一般根据前两步的数据,再加上服务的密钥(secret,盐),通过加密算法生成,用于验证整个数据完整和可靠性。
重放攻击(Replay Attacks):又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击在任何网络通过程中都可能发生,是计算机领域黑客常用的攻击方式之一。
图1示出了本发明实施例提供的基于JWT的防重放攻击方法的流程图,该方法由计算机处理设备执行。该计算机处理设备可以包括手机、笔记本电脑等。如图1所示,该方法包括以下步骤:
步骤10:获取访问者发送的身份验证请求;所述身份验证请求中包括发送所述身份验证请求的第一IP地址和待验证信令。
在本发明的一个实施例中,访问者可以是用户所使用的代理工具,身份验证请求可以包含在资源访问请求中。待验证信令为JWT类型。所述待验证信令根据第二IP地址和预设密钥预先生成;所述第二IP地址为所述访问者发送信令生成请求时的地址。其中,信令生成请求用于访问者向信令签发服务器请求签发信令。具体地,访问者从第二IP地址向信令签发服务器发送信令生成请求,信令签发服务器在进行身份验证之后,签发的该第二IP地址对应的信令返回至访问者。因此,在本发明的再一个实施例中,在步骤10之前,还包括:
步骤101:获取所述信令生成请求;所述信令生成请求中包括所述第二IP地址和第一账号密码信息。
在本发明的一个实施例中,信令生成请求可以是访问者在首次与信令签发服务器建立连接之后发送的。第一账号密码信息可以包括账号以及对应的密码。需要说明的是,第一账号密码信息由访问者保存以及发送,因此是存在泄漏和被篡改的可能的,而第二IP地址是信令生成请求中自带的且无法被访问者所修改,而重放攻击者一般在通过窃取到的合法信令,会在异地进行登录,进行重放攻击,因此,第二IP地址可以很好地区分出合法的访问者以及攻击者。
步骤102:对所述第一账号密码信息进行验证。
在本发明的一个实施例中,可以根据预设的账号密码数据库对第一账号密码信息进行验证,验证第一账号对应的密码是否与数据库中存储的一致,若是,则确定第一账号密码信息验证通过。
步骤103:当所述第一账号密码信息验证通过时,对所述信令生成请求进行响应,得到第二原始载荷。
在本发明的一个实施例中,首先对第一账号密码信息进行验证,在验证通过的情况下,再进行信令的签发,从而保证待验证信令的有效性。
在本发明的一个实施例中,对信令生成请求进行响应包括:确定信令签发者信息、信令所面向的用户、接受信令的一方、信令的签发时间以及信令的有效时间信息等,将上述确定的各项信息写入第二原始载荷中。其中,信令的有效时间信息包括信令在何时之前是不可用的以及信令的过期时间。
步骤104:根据所述第二IP地址以及所述预设密钥对所述第二原始载荷进行签名,得到所述待验证信令。
在本发明的一个实施例中,为了保持同一个IP地址的访问者对应的合法信令和待验证信令的一致性,预设密钥可以是签发信令的服务器中所预置的,可以将第二IP地址与预设密钥进行组合,得到组合后密钥,根据组合后密钥按照预设的加密算法对第二原始载荷进行签名,得到待验证信令,其中,加密算法可以包括rs256、sm3以及hs256等。
进一步地,考虑到当攻击者与合法的访问者使用同一个代理服务器发送身份验证请求时,由于同一代理服务器的IP地址有可能相同,也就是说,基于JWT的重放攻击的异地性可能存在例外情况。因此,为了进一步提高防重放攻击的可靠性,在本发明的再一个实施例中,所述信令生成请求中还包括所述访问者的第二访问工具信息。其中,第二访问工具信息用于表征访问工具的类型信息,访问工具可以是用于访问服务器的代理工具。
在本发明的一个实施例中,在步骤103之后,还包括:
步骤1031:根据所述第二IP地址、所述第二访问工具信息以及所述预设密钥对所述第二原始载荷进行签名,得到所述待验证信令。
在本发明的一个实施例中,类似于步骤104,可以将第二IP地址、所述第二访问工具信息与预设密钥进行组合,得到组合后密钥,根据组合后密钥按照预设的加密算法对第二原始载荷进行签名,得到待验证信令,其中,加密算法可以包括rs256、sm3以及hs256等。
需要说明的是,即使是在攻击者和合法的访问者所使用的代理服务器的IP地址相同的情况下,合法的访问者发起信令生成请求时所使用的访问工具很难被伪造者同时能知道的。即伪造者必须同时和请求者在同一代理服务器并且知道请求当时的访问工具信息,并且对访问工具信息进行伪造,这样的可能性极小,也就是说,基于JWT的重放攻击在具有很大可能的异地性的同时,也具有较大可能的异工具性。本发明实施例中将异工具性与异地性结合起来对待验证信令进行验证,由此加大了攻击者通过身份验证的难度,能够提高基于JWT的防重放攻击的可靠性。
在本发明的另一个实施例中,为了进一步地提高基于JWT的重放攻击的准确率,步骤103之后还可以包括:
步骤1032:根据所述第二IP地址、第二访问工具信息、所述第一账号密码信息以及预设密钥对所述第二原始载荷进行签名,得到所述待验证信令。
在本发明的一个实施例中,类似于步骤1031,可以将第二IP地址、所述第二访问工具信息以及前述验证过的第一账号信息与预设密钥进行组合,得到组合后密钥,根据组合后密钥按照预设的加密算法对第二原始载荷进行签名,得到待验证信令,其中,加密算法可以包括rs256、sm3以及hs256等。
关于第二访问工具信息的获取,为了提高身份验证的效率,尽可能少地对现有的身份验证过程进行改造,可以直接对信令生成请求的第二请求头信息中的代理工具信息进行读取。
因此,在本发明的一个实施例中,步骤1031还包括:
步骤311:确定所述信令生成请求的第二请求头信息。
在本发明的一个实施例中,第二请求头信息可以是信令生成请求的HEADER信息。
步骤312:根据所述第二请求头信息确定所述第二访问工具信息。
在本发明的一个实施例中,从信令生成请求的HEADER信息中提取出User-Agent字段信息作为第二访问工具信息。
步骤105:将所述待验证信令返回至所述访问者。
在本发明的一个实施例中,将待验证信令访问给身份验证通过的访问者,使其在后续的操作中都可以将待验证信令作为自己的登录令牌,实现单点登录。
步骤20:对所述身份验证请求进行响应,得到第一原始载荷。
在本发明的一个实施例中,对身份验证请求进行响应包括:确定信令签发者信息、信令所面向的用户、接受信令的一方、信令的签发时间以及信令的有效时间信息等,将上述确定的各项信息写入第一原始载荷中。其中,信令的有效时间信息包括该信令在何时之前是不可用的以及信令的过期时间。
步骤30:将所述第一IP地址与所述预设密钥进行组合,得到第一处理后密钥。
在本发明的一个实施例中,考虑到待验证信令是可能泄露或被窃取的,为了检测出窃取到待验证信令的攻击者对服务器发起重放攻击,考虑到前述的重放攻击具有的异地性特征,在对后续过程中访问者发送的信令进行验证时,可以结合其对应的IP地址。
进一步考虑到原始载荷中包括信令签发时签发主体和签发对象以及信令本身有效期的一些基本信息,一般较为固定,因此,为了提高防重放攻击的效率,尽可能少地对现有的JWT信令签发过程进行改造,在结合第一IP地址时,可以将第一IP地址作为密钥的一部分,从而在加密过程中,将第一IP地址和预设密钥的组合作为第一处理后密钥。
步骤40:根据所述第一处理后密钥对所述第一原始载荷进行签名处理,得到第一签名后载荷。
在本发明的一个实施例中,区别于现有技术中仅仅用服务器中预设密钥对原始载荷进行签名的防重放攻击的可靠性较低的问题,根据结合了第一IP地址的第一处理后密钥对第一原始载荷进行签名处理,得到第一签名后载荷,从而使得后续得到的合法信令中携带了第一IP地址信息。
对应于前述步骤中待验证信令的生成,考虑到JWT的防重放攻击的异地性以及异工具性,在本发明的再一个实施例中,所述身份验证请求中还包括所述访问者的第一访问工具信息;其中,第一访问工具信息的获取类似于前述第二访问工具信息,不再赘述。步骤40还包括:
步骤401:根据所述第一IP地址、第一访问工具信息以及所述预设密钥对所述第一原始载荷进行签名,得到所述合法信令。
在本发明的再一个实施例中,步骤401类似于前述步骤103,不再赘述。
在本发明的再一个实施例中,为了进一步地提高基于JWT的重放攻击的准确率,对应于步骤1032;所述身份验证请求中还包括所述访问者的第二账号密码信息;步骤40还包括步骤402:根据所述第一IP地址、第一访问工具信息、所述第二账号密码信息以及预设密钥对所述第一原始载荷进行签名,得到所述合法信令。
在本发明的一个实施例中,步骤402还包括:
步骤4021:将所述第一IP地址、第一访问工具信息、所述第二账号密码信息以及预设密钥进行组合,得到第三处理后密钥。
在本发明的一个实施例中,将第一IP地址、第一访问工具信息、所述第二账号密码信息以及预设密钥进行字符串拼接,得到第三处理后密钥。
步骤4022:根据所述第三处理后密钥对所述第一原始载荷进行进行签名处理,得到第三签名后载荷。
在本发明的一个实施例中,步骤4022类似于步骤1032,不再赘述。
步骤4023:对所述第三签名后载荷进行编码处理,得到所述合法信令。
在本发明的一个实施例中,编码处理的方式可以采取JWT中通常的,如base64。
在本发明的一个实施例中,第一访问工具信息的确定过程可以包括:
步骤4011:确定所述身份验证请求的第一请求头信息。
在本发明的一个实施例中,第一请求头信息可以是信令生成请求的HEADER信息。
步骤4012:根据所述第一请求头信息确定所述第一访问工具信息。
在本发明的一个实施例中,从身份验证请求的HEADER信息中提取出User-Agent字段信息作为第一访问工具信息。
为了进一步提高基于JWT的防重放攻击的可靠性,在本发明的一个实施例中,步骤401还包括:
步骤4013:将所述第一IP地址、所述第一访问工具信息以及所述预设密钥进行组合,得到第二处理后密钥。
在本发明的一个实施例中,组合方式可以是字符串拼接等。
步骤4014:根据所述第二处理后密钥对所述第一原始载荷进行进行签名处理,得到第二签名后载荷。
在本发明的一个实施例中,签名处理采用的算法可以如步骤1032中所示的。
步骤4015:对所述第二签名后载荷进行编码处理,得到所述合法信令。
在本发明的一个实施例中,对第二签名后载荷进行编码处理,得到处理后载荷,再将对于身份验证请求响应时所生成的信令头部以及信令签名与处理后载荷按照JWT的格式进行组合,得到合法信令。
步骤50:对所述第一签名后载荷进行编码处理,得到合法信令;所述合法信令为JWT类型。
在本发明的一个实施例中,对第一签名后载荷进行编码处理,得到处理后载荷,再将对于身份验证请求响应时所生成的信令头部以及信令签名与处理后载荷按照JWT的格式进行组合,得到合法信令。
步骤60:将所述合法信令和所述待验证信令进行匹配,根据匹配结果对所述身份验证请求进行验证。
在本发明的一个实施例中,当合法信令与待验证信令一致时,确定身份验证请求通过,返回对应的资源或开放对应的访问权限。
当合法信令与待验证信令不一致时,确定身份验证请求未通过,拒绝访问。
在本发明的再一个实施例中,在将所述合法信令和所述待验证信令进行匹配之前,还可以首先对待验证信令进行解析,得到待验证信令的有效时间,将有效时间与当前时间进行比对,若当前时间不在有效时间内,则确定身份验证请求不通过,无需进行后续的匹配步骤。
下面结合图2,对本发明另一实施例的基于JWT的防重放攻击的方法的流程图进行说明。
如图2所示,访问者对访问工具发起访问,访问工具发送信令生成请求到服务器上,信令生成请求中包括用户名以及密码。
服务器接收用户名以及密码的同时,获取到信令生成请求的发送的IP地址以及访问工具信息,服务器对用户名以及密码进行验证,当验证未通过时,提示访问工具登录失败,当验证通过时,服务器生成Header、Payload以及Signature,并且根据s+[up]+tip+ua组成新的密钥,用新的密钥根据es对Payload进行签名,对签名结果、Header以及Signature进行base64编码以及组装,得到待验证信令,将待验证信令返回至访问工具。其中,Header指的是信令头部、Payload为原始载荷、Signature为信令签名,s为服务器的预设密钥、[up]为用户的密码、tip为发送信令生成请求的IP地址、ua为发送信令生成请求的访问工具的类型信息。
访问工具发送身份验证请求至服务器,身份验证请求中携带有待验证信令,服务器对待验证信令进行base64解码,得到载荷信息,检验载荷信息是否不在有效期内,若是,则提示访问工具该待验证信令非法,若不是,则提取出身份验证请求中携带的IP地址以及访问工具信息,根据提取出的IP地址以及访问工具信息进行签名,得到合法信令,将合法信令与待验证信令进行比较,若两者一致,则确定访问工具身份验证通过,为其执行对应的资源访问请求,若两者不一致,则提示访问工具信令不合法,访问工具向访问者返回登录失败的提示,至此,身份验证过程结束。
区别于现有技术中采取的下列方法:方法一:控制当前JWT数据由哪个签发者颁布,时间不能晚于某个指定时间,不能早于某个指定时间以预防止重放攻击。
其存在的问题如下:针对JWT不同签发者,签发者之间的JWT数据不能被重放,但是同一签发者的JWT数据可以被重放;对于同一个签发者控制时间范围,在有效时间外,JWT数据不能被重放,但是在有效时间内,JWT数据还是可以被重放;以及,JWT在有效时间内,同一签发者颁发给一个终端的token也能被另外一个终端窃听后,对这个签发者服务器进行会话伪造攻击。该方法的可靠性较低。
方法二:在签发jwt载荷数据中的唯一身份标识jid,并且在服务端保存至JWT生命周期的1.5倍以上,一次一个标识,每次产生新的token,如传输的是旧有的token则视作重放。
其问题在于:显然抛弃了JWT无需在服务端保留会话的优点,如果登录用户多,或者是分布式的系统部署下需要部署集中管理jid,该方法和session机制较为相似,正是由于 Session持久性的服务器内存量可能会很大,从而影响了可伸缩性,由此该方法违背了使用JWT无需在服务器保存会话状态的初衷,使得基于JWT的身份验证的效率较低。
方法三:在签发jwt载荷数据中的clientid(客户端标识),url(访问资源地址),userid(用户),timestamp等客户端的相关属性信息。其问题在于:所谓的clientid,url,userid,timestamp都是可以被窃取和被伪造的,因此,由此生成的信令对于防重放攻击的可靠性较低。
区别于上述现有技术中存在的问题,本发明实施例的基于JWT的防重放攻击方法直接利用访问者发送的请求中自带的且无法被人为篡改或伪造的IP地址对信令进行加密签名,在提高JWT的防重放攻击的可靠性的同时,也提高了防重放攻击的效率,降低了防重放攻击的成本。
本发明实施例的基于JWT的防重放攻击方法通过获取访问者发送的身份验证请求;身份验证请求中包括发送身份验证请求的第一IP地址和待验证信令;所述待验证信令为JWT类型;所述待验证信令根据第二IP地址和预设密钥预先生成;所述第二IP地址为所述访问者发送信令生成请求时的地址;对身份验证请求进行响应,得到第一原始载荷;将第一IP地址与预设密钥进行组合,得到第一处理后密钥;根据第一处理后密钥对第一原始载荷进行签名处理,得到第一签名后载荷;对第一签名后载荷进行编码处理,得到合法信令;合法信令为JWT类型;将合法信令和待验证信令进行匹配,根据匹配结果对身份验证请求进行验证。从而区别于现有技术中所存在防重放攻击的可靠性不足或者效率较低的问题,本发明实施例通过请求中直接携带的、且用发送者所无法伪造的发送请求的IP地址对原始载荷进行签名,得到该IP地址对应的合法信令,并且根据待验证信令与合法信令的匹配情况确定该待验证信令的发送者是否为从合法信令对应的IP地址以外的IP地址发送请求的攻击者,由此能够提高基于JWT的防重放攻击的可靠性和效率。
图3示出了本发明实施例提供的基于JWT的防重放攻击装置的结构示意图。如图3所示,该装置70包括:获取模块701、响应模块702、组合模块703、签名模块704、编码模块705以及匹配模块706。
其中,获取模块701,用于获取访问者发送的身份验证请求;所述身份验证请求中包括发送所述身份验证请求的第一IP地址和待验证信令;所述待验证信令为JWT类型;所述待验证信令根据第二IP地址和预设密钥预先生成;所述第二IP地址为所述访问者发送信令生成请求时的地址;
响应模块702,用于对所述身份验证请求进行响应,得到第一原始载荷;
组合模块703,用于将所述第一IP地址与所述预设密钥进行组合,得到第一处理后密钥;
签名模块704,用于根据所述第一处理后密钥对所述第一原始载荷进行签名处理,得到第一签名后载荷;
编码模块705,用于对所述第一签名后载荷进行编码处理,得到合法信令;所述合法信令为JWT类型;
匹配模块706,用于将所述合法信令和所述待验证信令进行匹配,根据匹配结果对所述身份验证请求进行验证。
本发明实施例的基于JWT的防重放攻击装置与前述方法实施例的操作过程大体一致,不再赘述。
本发明实施例提供的基于JWT的防重放攻击装置通过获取访问者发送的身份验证请求;身份验证请求中包括发送身份验证请求的第一IP地址和待验证信令;待验证信令为JWT类型;对身份验证请求进行响应,得到第一原始载荷;将第一IP地址与预设密钥进行组合,得到第一处理后密钥;根据第一处理后密钥对第一原始载荷进行签名处理,得到第一签名后载荷;对第一签名后载荷进行编码处理,得到合法信令;合法信令为JWT类型;将合法信令和待验证信令进行匹配,根据匹配结果对身份验证请求进行验证。从而区别于现有技术中所存在防重放攻击的可靠性不足或者效率较低的问题,本发明实施例通过请求中直接携带的、且用发送者所无法伪造的发送请求的IP地址对原始载荷进行签名,得到该IP地址对应的合法信令,并且根据待验证信令与合法信令的匹配情况确定该待验证信令的发送者是否为从合法信令对应的IP地址以外的IP地址发送请求的攻击者,由此能够提高基于JWT的防重放攻击的可靠性和效率。
图4示出了本发明实施例提供的基于JWT的防重放攻击设备的结构示意图,本发明具体实施例并不对基于JWT的防重放攻击设备的具体实现做限定。
如图4所示,该基于JWT的防重放攻击设备可以包括:处理器(processor)802、通信接口(Communications Interface)804、存储器(memory)806、以及通信总线808。
其中:处理器802、通信接口804、以及存储器806通过通信总线808完成相互间的通信。通信接口804,用于与其它设备比如客户端或其它服务器等的网元通信。处理器802,用于执行程序810,具体可以执行上述用于基于JWT的防重放攻击方法实施例中的相关步骤。
具体地,程序810可以包括程序代码,该程序代码包括计算机可执行指令。
处理器802可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。基于JWT的防重放攻击设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器806,用于存放程序810。存储器806可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序810具体可以被处理器802调用使基于JWT的防重放攻击设备执行以下操作:
获取访问者发送的身份验证请求;所述身份验证请求中包括发送所述身份验证请求的第一IP地址和待验证信令;所述待验证信令为JWT类型;所述待验证信令根据第二IP地址和预设密钥预先生成;所述第二IP地址为所述访问者发送信令生成请求时的地址;
对所述身份验证请求进行响应,得到第一原始载荷;
将所述第一IP地址与所述预设密钥进行组合,得到第一处理后密钥;
根据所述第一处理后密钥对所述第一原始载荷进行签名处理,得到第一签名后载荷;
对所述第一签名后载荷进行编码处理,得到合法信令;所述合法信令为JWT类型;
将所述合法信令和所述待验证信令进行匹配,根据匹配结果对所述身份验证请求进行验证。
本发明实施例的基于JWT的防重放攻击设备与前述方法实施例的操作过程大体一致,不再赘述。
本发明实施例提供的基于JWT的防重放攻击设备通过获取访问者发送的身份验证请求;身份验证请求中包括发送身份验证请求的第一IP地址和待验证信令;待验证信令为JWT类型;对身份验证请求进行响应,得到第一原始载荷;将第一IP地址与预设密钥进行组合,得到第一处理后密钥;根据第一处理后密钥对第一原始载荷进行签名处理,得到第一签名后载荷;对第一签名后载荷进行编码处理,得到合法信令;合法信令为JWT类型;将合法信令和待验证信令进行匹配,根据匹配结果对身份验证请求进行验证。从而区别于现有技术中所存在防重放攻击的可靠性不足或者效率较低的问题,本发明实施例通过请求中直接携带的、且用发送者所无法伪造的发送请求的IP地址对原始载荷进行签名,得到该IP地址对应的合法信令,并且根据待验证信令与合法信令的匹配情况确定该待验证信令的发送者是否为从合法信令对应的IP地址以外的IP地址发送请求的攻击者,由此能够提高基于JWT的防重放攻击的可靠性和效率。
本发明实施例提供了一种计算机可读存储介质,所述存储介质存储有至少一可执行指令,该可执行指令在基于JWT的防重放攻击设备上运行时,使得所述基于JWT的防重放攻击设备执行上述任意方法实施例中的基于JWT的防重放攻击方法。
可执行指令具体可以用于使得基于JWT的防重放攻击设备执行以下操作:
获取访问者发送的身份验证请求;所述身份验证请求中包括发送所述身份验证请求的第一IP地址和待验证信令;所述待验证信令为JWT类型;所述待验证信令根据第二IP地址和预设密钥预先生成;所述第二IP地址为所述访问者发送信令生成请求时的地址;
对所述身份验证请求进行响应,得到第一原始载荷;
将所述第一IP地址与所述预设密钥进行组合,得到第一处理后密钥;
根据所述第一处理后密钥对所述第一原始载荷进行签名处理,得到第一签名后载荷;
对所述第一签名后载荷进行编码处理,得到合法信令;所述合法信令为JWT类型;
将所述合法信令和所述待验证信令进行匹配,根据匹配结果对所述身份验证请求进行验证。
本发明实施例的计算机可读存储介质与前述方法实施例的操作过程大体一致,不再赘述。
本发明实施例提供的计算机可读存储介质通过获取访问者发送的身份验证请求;身份验证请求中包括发送身份验证请求的第一IP地址和待验证信令;待验证信令为JWT类型;对身份验证请求进行响应,得到第一原始载荷;将第一IP地址与预设密钥进行组合,得到第一处理后密钥;根据第一处理后密钥对第一原始载荷进行签名处理,得到第一签名后载荷;对第一签名后载荷进行编码处理,得到合法信令;合法信令为JWT类型;将合法信令和待验证信令进行匹配,根据匹配结果对身份验证请求进行验证。从而区别于现有技术中所存在防重放攻击的可靠性不足或者效率较低的问题,本发明实施例通过请求中直接携带的、且用发送者所无法伪造的发送请求的IP地址对原始载荷进行签名,得到该IP地址对应的合法信令,并且根据待验证信令与合法信令的匹配情况确定该待验证信令的发送者是否为从合法信令对应的IP地址以外的IP地址发送请求的攻击者,由此能够提高基于JWT的防重放攻击的可靠性和效率。
本发明实施例提供一种基于JWT的防重放攻击装置,用于执行上述基于JWT的防重放攻击方法。
本发明实施例提供了一种计算机程序,所述计算机程序可被处理器调用使基于JWT的防重放攻击设备执行上述任意方法实施例中的基于JWT的防重放攻击方法。
本发明实施例提供了一种计算机程序产品,计算机程序产品包括存储在计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令在计算机上运行时,使得所述计算机执行上述任意方法实施例中的基于JWT的防重放攻击方法。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。
本领域技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。
Claims (9)
1.一种基于JWT的防重放攻击方法,其特征在于,所述方法包括:
获取访问者发送的身份验证请求;所述身份验证请求中包括发送所述身份验证请求的第一IP地址、第一访问工具的信息和待验证信令;所述第一访问工具用于发送所述身份验证请求;所述待验证信令为JWT类型;所述待验证信令根据第二IP地址、第二访问工具的信息和预设密钥预先生成;所述第二IP地址为所述访问者发送信令生成请求时的地址;所述第二访问工具用于发送所述信令生成请求;
对所述身份验证请求进行响应,得到第一原始载荷;
将所述第一IP地址、第一访问工具的信息与所述预设密钥进行组合,得到第一处理后密钥;
根据所述第一处理后密钥对所述第一原始载荷进行签名处理,得到第一签名后载荷;
对所述第一签名后载荷进行编码处理,得到合法信令;所述合法信令为JWT类型;
将所述合法信令和所述待验证信令进行匹配,根据匹配结果对所述身份验证请求进行验证。
2.根据权利要求1所述的方法,其特征在于,在所述访问者发送的身份验证请求之前,包括:
获取所述信令生成请求;所述信令生成请求中包括所述第二IP地址和第一账号密码信息;
对所述第一账号密码信息进行验证;
当所述第一账号密码信息验证通过时,对所述信令生成请求进行响应,得到第二原始载荷;
根据所述第二IP地址以及所述预设密钥对所述第二原始载荷进行签名,得到所述待验证信令;
将所述待验证信令返回至所述访问者。
3.根据权利要求1所述的方法,其特征在于,在所述将所述合法信令和所述待验证信令进行匹配之前,包括:
确定所述身份验证请求的第一请求头信息;
根据所述第一请求头信息确定所述第一访问工具的信息;
在所述将所述待验证信令返回至所述访问者之前,包括:
确定所述信令生成请求的第二请求头信息;
根据所述第二请求头信息确定所述第二访问工具的信息。
4.根据权利要求1所述的方法,其特征在于,所述根据所述第一IP地址、第一访问工具的信息以及所述预设密钥对所述第一原始载荷进行签名,得到所述合法信令,包括:
将所述第一IP地址、所述第一访问工具的信息以及所述预设密钥进行组合,得到第二处理后密钥;
根据所述第二处理后密钥对所述第一原始载荷进行签名处理,得到第二签名后载荷;
对所述第二签名后载荷进行编码处理,得到所述合法信令。
5.根据权利要求2所述的方法,其特征在于,所述身份验证请求中还包括所述访问者的第二账号密码信息;
所述在将所述合法信令和所述待验证信令进行匹配之前,还包括:
根据所述第一IP地址、第一访问工具的信息、所述第二账号密码信息以及预设密钥对所述第一原始载荷进行签名,得到所述合法信令;
在所述将所述待验证信令返回至所述访问者之前,还包括:
根据所述第二IP地址、第二访问工具的信息、所述第一账号密码信息以及预设密钥对所述第二原始载荷进行签名,得到所述待验证信令。
6.根据权利要求5所述的方法,其特征在于,所述根据所述第一IP地址、第一访问工具的信息、所述第二账号密码信息以及预设密钥对所述第一原始载荷进行签名,得到所述合法信令,包括:
将所述第一IP地址、第一访问工具的信息、所述第二账号密码信息以及预设密钥进行组合,得到第三处理后密钥;
根据所述第三处理后密钥对所述第一原始载荷进行签名处理,得到第三签名后载荷;
对所述第三签名后载荷进行编码处理,得到所述合法信令。
7.一种基于JWT的防重放攻击装置,其特征在于,所述装置包括:
获取模块,用于获取访问者发送的身份验证请求;所述身份验证请求中包括发送所述身份验证请求的第一IP地址、第一访问工具的信息和待验证信令;所述第一访问工具用于发送所述身份验证请求;所述待验证信令为JWT类型;所述待验证信令根据第二IP地址、第二访问工具的信息和预设密钥预先生成;所述第二IP地址为所述访问者发送信令生成请求时的地址;所述第二访问工具用于发送所述信令生成请求;
响应模块,用于对所述身份验证请求进行响应,得到第一原始载荷;
组合模块,用于将所述第一IP地址、第一访问工具的信息与所述预设密钥进行组合,得到第一处理后密钥;
签名模块,用于根据所述第一处理后密钥对所述第一原始载荷进行签名处理,得到第一签名后载荷;
编码模块,用于对所述第一签名后载荷进行编码处理,得到合法信令;所述合法信令为JWT类型;
匹配模块,用于将所述合法信令和所述待验证信令进行匹配,根据匹配结果对所述身份验证请求进行验证。
8.一种基于JWT的防重放攻击设备,其特征在于,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-6任意一项所述的基于JWT的防重放攻击方法的操作。
9.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一可执行指令,所述可执行指令在基于JWT的防重放攻击设备上运行时,使得基于JWT的防重放攻击设备执行如权利要求1-6任意一项所述的基于JWT的防重放攻击方法的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111536489.0A CN113938323B (zh) | 2021-12-16 | 2021-12-16 | 基于jwt的防重放攻击方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111536489.0A CN113938323B (zh) | 2021-12-16 | 2021-12-16 | 基于jwt的防重放攻击方法、装置、设备以及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113938323A CN113938323A (zh) | 2022-01-14 |
| CN113938323B true CN113938323B (zh) | 2022-03-25 |
Family
ID=79289007
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111536489.0A Active CN113938323B (zh) | 2021-12-16 | 2021-12-16 | 基于jwt的防重放攻击方法、装置、设备以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113938323B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060405A (zh) * | 2006-04-19 | 2007-10-24 | 华为技术有限公司 | 防止重放攻击的方法及系统 |
| CN109450865A (zh) * | 2018-10-18 | 2019-03-08 | 弘成科技发展有限公司 | 基于jwt验证的api用户认证方法 |
| CN109639672A (zh) * | 2018-12-11 | 2019-04-16 | 北京首汽智行科技有限公司 | 基于jwt数据的防止重放攻击的方法及系统 |
| CN110225045A (zh) * | 2019-06-18 | 2019-09-10 | 平安科技(深圳)有限公司 | 全链路数据鉴权方法、装置、设备及存储介质 |
| CN110958119A (zh) * | 2019-10-25 | 2020-04-03 | 泰康保险集团股份有限公司 | 身份验证方法和装置 |
| CN111371725A (zh) * | 2018-12-25 | 2020-07-03 | 成都鼎桥通信技术有限公司 | 一种提升会话机制安全性的方法、终端设备和存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112202705A (zh) * | 2020-08-21 | 2021-01-08 | 上海微亿智造科技有限公司 | 一种数字验签生成和校验方法、系统 |
-
2021
- 2021-12-16 CN CN202111536489.0A patent/CN113938323B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060405A (zh) * | 2006-04-19 | 2007-10-24 | 华为技术有限公司 | 防止重放攻击的方法及系统 |
| CN109450865A (zh) * | 2018-10-18 | 2019-03-08 | 弘成科技发展有限公司 | 基于jwt验证的api用户认证方法 |
| CN109639672A (zh) * | 2018-12-11 | 2019-04-16 | 北京首汽智行科技有限公司 | 基于jwt数据的防止重放攻击的方法及系统 |
| CN111371725A (zh) * | 2018-12-25 | 2020-07-03 | 成都鼎桥通信技术有限公司 | 一种提升会话机制安全性的方法、终端设备和存储介质 |
| CN110225045A (zh) * | 2019-06-18 | 2019-09-10 | 平安科技(深圳)有限公司 | 全链路数据鉴权方法、装置、设备及存储介质 |
| CN110958119A (zh) * | 2019-10-25 | 2020-04-03 | 泰康保险集团股份有限公司 | 身份验证方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| Persona Assertion Tokendraft-ietf-stir-passport-06;C. Wendt等;《IETF 》;20160822;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113938323A (zh) | 2022-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI725958B (zh) | 雲端主機服務權限控制方法、裝置和系統 | |
| US8528076B2 (en) | Method and apparatus for authenticating online transactions using a browser and a secure channel with an authentication server | |
| WO2017028804A1 (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
| US20220394026A1 (en) | Network identity protection method and device, and electronic equipment and storage medium | |
| US20100217975A1 (en) | Method and system for secure online transactions with message-level validation | |
| CN112202705A (zh) | 一种数字验签生成和校验方法、系统 | |
| US20100146609A1 (en) | Method and system of securing accounts | |
| CN112333198A (zh) | 安全跨域登录方法、系统及服务器 | |
| US20110320818A1 (en) | System and method for providing security in browser-based access to smart cards | |
| CA2641995A1 (en) | System and method for network-based fraud and authentication services | |
| CN112532599B (zh) | 一种动态鉴权方法、装置、电子设备和存储介质 | |
| CN112491776B (zh) | 安全认证方法及相关设备 | |
| CN114422139B (zh) | Api网关请求安全验证方法、装置、电子设备及计算机可读介质 | |
| KR20190120899A (ko) | 브라우저 지문을 이용한 싱글 사인온 방법 | |
| KR101890584B1 (ko) | m of n 다중 서명에 의한 인증서 서비스를 제공하는 방법 및 이를 이용한 서버 | |
| Aljawarneh et al. | A web client authentication system using smart card for e-systems: initial testing and evaluation | |
| JP5186648B2 (ja) | 安全なオンライン取引を容易にするシステム及び方法 | |
| US8261328B2 (en) | Trusted electronic communication through shared vulnerability | |
| CN113938323B (zh) | 基于jwt的防重放攻击方法、装置、设备以及存储介质 | |
| CN115022047B (zh) | 基于多云网关的账户登录方法、装置、计算机设备及介质 | |
| CN109428869B (zh) | 钓鱼攻击防御方法和授权服务器 | |
| WO2004099949A1 (en) | Web site security model | |
| US20230129128A1 (en) | Secure and documented key access by an application | |
| WO2010070456A2 (en) | Method and apparatus for authenticating online transactions using a browser | |
| CN116305068A (zh) | 验证方法、装置、系统、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 518000 4001, Block D, Building 1, Chuangzhi Yuncheng Lot 1, Liuxian Avenue, Xili Community, Xili Street, Nanshan District, Shenzhen, Guangdong Patentee after: Shenzhen Zhuyun Technology Co.,Ltd. Address before: 518000 East, 3rd floor, incubation building, China Academy of science and technology, 009 Gaoxin South 1st Road, Nanshan District, Shenzhen City, Guangdong Province Patentee before: SHENZHEN BAMBOOCLOUD TECHNOLOGY CO.,LTD. |