CN114157420B - 一种令牌失效方法和装置 - Google Patents
一种令牌失效方法和装置 Download PDFInfo
- Publication number
- CN114157420B CN114157420B CN202111447419.8A CN202111447419A CN114157420B CN 114157420 B CN114157420 B CN 114157420B CN 202111447419 A CN202111447419 A CN 202111447419A CN 114157420 B CN114157420 B CN 114157420B
- Authority
- CN
- China
- Prior art keywords
- user
- token
- identification code
- verification
- user identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000012795 verification Methods 0.000 claims abstract description 78
- 238000012545 processing Methods 0.000 claims abstract description 30
- 238000004590 computer program Methods 0.000 claims description 14
- 230000004048 modification Effects 0.000 claims description 9
- 238000012986 modification Methods 0.000 claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 8
- 230000008901 benefit Effects 0.000 abstract description 7
- 230000008569 process Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000002045 lasting effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种令牌失效方法和装置,所述方法包括:接收客户端发送的下线请求,下线请求包括用户令牌,用户令牌包括用户标识码;通过指定加密算法,根据用户标识码,对用户令牌进行验证处理;若验证通过,修改预先存储的用户标识码对应的用户密钥,使得用户令牌失效,通过令牌校验的方式,具有有效性和校验速度快优势,在特殊条件下能够使得不安全的令牌主动失效,避免信息泄露,提高安全性。
Description
技术领域
本发明涉及会话控制领域,尤其涉及一种令牌失效方法和装置。
背景技术
企业内部多年留存积累了多个独立的、不同技术栈应用系统,在经过前后端分离改造后,多个系统可以共享一个令牌,通过该令牌可以实现简洁、无状态的单点登陆,即:服务端不再存储认证信息,用户登录和请求操作均基于该令牌。令牌一旦签发给客户端后,就脱离了服务端的掌控。若需要使不安全的令牌主动失效,相关技术中提供了客户端删除令牌以及服务端保存令牌黑名单或白名单的方式,但上述方式的校验速度较慢且存在泄露信息的安全隐患。
发明内容
本发明的一个目的在于提供一种令牌失效方法,通过令牌校验的方式,具有校验速度快优势,在特殊条件下能够使得不安全的令牌主动失效,避免信息泄露,提高安全性。本发明的另一个目的在于提供一种令牌失效装置。本发明的再一个目的在于提供一种计算机可读介质。本发明的还一个目的在于提供一种计算机设备。
为了达到以上目的,本发明一方面公开了一种令牌失效方法,包括:
接收客户端发送的下线请求,下线请求包括用户令牌,用户令牌包括用户标识码;
通过指定加密算法,根据用户标识码,对用户令牌进行验证处理;
若验证通过,修改预先存储的用户标识码对应的用户密钥,使得用户令牌失效。
优选的,在接收客户端发送的下线请求,下线请求包括用户令牌,用户令牌包括用户标识码之前,还包括:
接收客户端发送的登录请求,登录请求包括用户标识码;
查询是否存储有用户标识码;
若是,通过指定开放标准和指定加密算法,根据用户标识码,生成用户令牌。
优选的,在接收客户端发送的登录请求之后,还包括:
随机生成用户密钥;
将用户密钥与用户标识码进行绑定,生成用户密钥键值对;
将用户密钥键值对进行存储。
优选的,还包括:
接收客户端发送的业务请求,业务请求包括用户令牌和业务数据,用户令牌包括用户标识码;
通过指定加密算法,根据用户标识码,对用户令牌进行验证处理;
若验证通过,根据业务数据进行业务处理;
修改预先存储的用户标识码对应的用户密钥,使得用户令牌失效。
优选的,通过指定加密算法,根据用户标识码,对用户令牌进行验证处理,包括:
对用户标识码与存储的存储标识码进行匹配;
若匹配成功,查询出用户标识码对应的用户密钥;
通过指定加密算法,根据用户密钥,对用户令牌进行验签;
若验签成功,确定出验证通过;
若验签失败,确定出验证失败,并生成异常结果。
优选的,修改预先存储的用户标识码对应的用户密钥,包括:
将用户密钥置为空值。
优选的,修改预先存储的用户标识码对应的用户密钥,包括:
随机生成失效密钥;
将用户密钥更新为失效密钥。
本发明还公开了一种令牌失效装置,包括:
接收单元,用于接收客户端发送的下线请求,下线请求包括用户令牌,用户令牌包括用户标识码;
验证单元,用于通过指定加密算法,根据用户标识码,对用户令牌进行验证处理;
失效单元,用于若验证通过,修改预先存储的用户标识码对应的用户密钥,使得用户令牌失效。
优选的,装置还包括:
接收单元,还用于接收客户端发送的登录请求,登录请求包括用户标识码;
查询单元,用于查询是否存储有用户标识码;
第一生成单元,用于若查询出存储有用户标识码,通过指定开放标准和指定加密算法,根据用户标识码,生成用户令牌。
本发明还公开了一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述方法。
本发明还公开了一种计算机设备,包括存储器和处理器,所述存储器用于存储包括程序指令的信息,所述处理器用于控制程序指令的执行,所述处理器执行所述程序时实现如上所述方法。
本发明接收客户端发送的下线请求,下线请求包括用户令牌,用户令牌包括用户标识码;通过指定加密算法,根据用户标识码,对用户令牌进行验证处理;若验证通过,修改预先存储的用户标识码对应的用户密钥,使得用户令牌失效,通过令牌校验的方式,具有有效性和校验速度快优势,在特殊条件下能够使得不安全的令牌主动失效,避免信息泄露,提高安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种令牌失效方法的流程图;
图2为本发明实施例提供的又一种令牌失效方法的流程图;
图3为本发明实施例提供的又一种令牌失效方法的流程图;
图4为本发明实施例提供的一种令牌失效装置的结构示意图;
图5为本发明实施例提供的一种计算机设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于理解本申请提供的技术方案,下面先对本申请技术方案的相关内容进行说明。JWT(Json web token)令牌,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519),被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景,JWT令牌由三部分组成:头部(header)、载荷(payload)、签证(signature)。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
目前,存在客户端删除令牌、服务端使用版本号以及服务端保存令牌黑名单或白名单的方式使得令牌无效。客户端删除令牌的方式为当用户登出后,将客户端的令牌删除,并请求用户重新登录,但这种方式并未做到使令牌失效,若该令牌处于有效期,通过拷贝或传输链路的获取方式再次得到该令牌仍然可以继续使用且保存的信息存在泄露风险。服务端保存令牌黑名单或白名单为服务端存储需要失效的令牌到黑名单,或者采用白名单只存储有效的令牌,每次请求验证名单再决定是否合法请求。存储,既可以是本地存储,也可以是分布式存储;应用,既可以是单体应用,也可以是分布式应用,虽然服务端使用版本号以及服务端保存令牌黑名单或白名单的方式能够使得令牌无效,但服务器端需要将每个令牌都进行保存,在对令牌验签后,还需要将令牌与黑名单或白名单进行匹配,校验过程繁琐,校验速度较慢。
下面以令牌失效装置作为执行主体为例,说明本发明实施例提供的令牌失效方法的实现过程。可理解的是,本发明实施例提供的令牌失效方法的执行主体包括但不限于令牌失效装置。
图1本发明实施例提供的一种令牌失效方法的流程图,如图1所示,该方法包括:
步骤101、接收客户端发送的下线请求,下线请求包括用户令牌,用户令牌包括用户标识码。
步骤102、通过指定加密算法,根据用户标识码,对用户令牌进行验证处理。
步骤103、若验证通过,修改预先存储的用户标识码对应的用户密钥,使得用户令牌失效。
本发明实施例提供的技术方案中,接收客户端发送的下线请求,下线请求包括用户令牌,用户令牌包括用户标识码;通过指定加密算法,根据用户标识码,对用户令牌进行验证处理;若验证通过,修改预先存储的用户标识码对应的用户密钥,使得用户令牌失效,通过令牌校验的方式,具有有效性和校验速度快优势,在特殊条件下能够使得不安全的令牌主动失效,避免信息泄露,提高安全性。
图2为本发明实施例提供的又一种令牌失效方法的流程图,如图2所示,该方法包括:
步骤201、接收客户端发送的登录请求,登录请求包括用户标识码。
本发明实施例中,各步骤由令牌失效装置执行。
本发明实施例中,用户可以通过客户端输入用户标识码(ID),以请求登录服务端,使得服务端接收到客户端发送的登录请求。其中,用户ID唯一标识一个用户。
步骤202、查询是否存储有用户ID;若是,执行步骤203;若否,执行步骤207。
本发明实施例中,服务端查询是否存储有用户ID,若是,表明用户存在,继续执行步骤203;若否,表明用户不存在,继续执行步骤207。
步骤203、通过指定开放标准和指定加密算法,根据用户ID,生成用户令牌。
本发明实施例中,若用户存在,需要生成用户ID对应的用户令牌。具体地,对指定加密算法类型和用户令牌类型进行Base64编码,得到用户令牌的头部(header);对包括用户ID的数据集进行Base64编码,得到用户令牌的载荷(payload);通过指定加密算法对header和payload进行加密,得到用户令牌的签证(signature);将header、payload和signature三部分进行组合,得到用户令牌。本发明实施例中,指定开放标准为JWT,用户令牌类型即为JWT令牌。数据集中包括但不限于用户ID和过期时间等非敏感信息。值得说明的是,加密算法可以根据实际需求进行设置,本发明实施例对此不作限定。作为一种可选方案,加密算法为对称加密算法或非对称加密算法。
进一步地,用户ID对应有用户密钥,用户密钥是随机生成的;将用户ID与用户密钥进行绑定,生成用户密钥键值对。
进一步地,将用户密钥键值对进行存储。作为一种可选方案,将用户密钥键值对存储至缓存;作为另一种可选方案,将用户密钥键值对存储至分布式存储。
步骤204、接收客户端发送的下线请求,下线请求包括用户令牌,用户令牌包括用户ID。
本发明实施例中,下线请求包括但不限于登出请求或服务器管理端请求,服务器管理端请求可以为强制用户下线的请求。
步骤205、通过指定加密算法,根据用户标识码,对用户令牌进行验证处理,若验证通过,执行步骤206;若验证失败,执行步骤207;
本发明实施例中,步骤205具体包括:
步骤2051、服务端对用户ID与存储的存储ID进行匹配,若匹配成功,执行步骤2052;若匹配失败,执行步骤207。
具体地,判断服务端是否存储有与用户ID相同的存储ID,若是,表明匹配成功,继续执行步骤2052;若否,表明匹配失败,继续执行步骤207。
步骤2052、查询出用户ID对应的用户密钥。
步骤2053、通过指定加密算法,根据用户密钥,对用户令牌进行验签,若验签成功,确定出验证通过,继续执行步骤206;若验签失败,确定出验证失败,继续执行步骤207。
本发明实施例中,指定加密算法与生成用户令牌的算法一致,若生成用户的令牌的加密算法为对称加密算法,则进行验签的算法为对称加密算法。
本发明实施例中,对用户密钥的验签过程具体的实现方式可以是工具包,也可以是过滤器或拦截器,本发明实施例对此不作限定。作为一种可选方案,可以通过JJWT包对用户密钥进行验签,若通过指定加密算法和用户密钥生成的用户令牌的签证部分与接收到的用户令牌的签证部分一致,表明验签成功;若通过指定加密算法和用户密钥生成的用户令牌的签证部分与接收到的用户令牌的签证部分不一致,表明验签失败。
本发明实施例中,用户ID和唯一对应的用户密钥(用户密钥键值)持久化存储于服务端中。作为一种可选方案,用户密钥存储于缓存;作为另一种可选方案,用户密钥存储于分布式存储。
步骤206、修改预先存储的用户ID对应的用户密钥,使得用户令牌失效,流程结束。
作为一种可选方案,可以将用户密钥置为空值,以修改用户ID对应的用户密钥,使得用户令牌失效;作为另一种可选方案,可以随机生成失效密钥,并将用户密钥更新为失效密钥,以修改用户ID对应的用户密钥,使得用户令牌失效。
本发明实施例中,服务端通过修改签发JWT令牌时的用户ID对应的密钥,可以实现JWT令牌主动失效,当客户端再次发起请求时,JWT令牌无法成功通过验签,可以保证存储信息的安全性,避免信息泄露。
步骤207、生成异常结果。
本发明实施例中,若用户不存在、用户ID与存储ID匹配失败或对用户密钥验签失败,生成异常结果,并将异常结果返回客户端。
本发明实施例提供的令牌失效方法的技术方案中,接收客户端发送的下线请求,下线请求包括用户令牌,用户令牌包括用户标识码;通过指定加密算法,根据用户标识码,对用户令牌进行验签处理;若验签通过,修改预先存储的用户标识码对应的用户密钥,使得用户令牌失效,通过令牌校验的方式,具有有效性和校验速度快优势,在特殊条件下能够使得不安全的令牌主动失效,避免信息泄露,提高安全性。
图3为本发明实施例提供的又一种令牌失效方法的流程图,如图3所示,该方法包括:
步骤301、接收客户端发送的登录请求,登录请求包括用户标识码。
本发明实施例中,各步骤由令牌失效装置执行。
步骤302、查询是否存储有用户ID;若是,执行步骤303;若否,执行步骤308。
步骤303、通过指定开放标准和指定加密算法,根据用户ID,生成用户令牌。
本发明实施例中,步骤301至步骤303与步骤201至步骤203相同,在此不再一一赘述。
步骤304、接收客户端发送的业务请求,业务请求包括用户令牌和业务数据,用户令牌包括用户ID。
本发明实施例中,业务请求包括但不限于数据访问请求或修改密码请求。若业务请求为数据访问请求,业务数据可以包括需要访问的数据类型;若业务请求为修改密码请求,业务数据可以包括修改后的密码。
值得说明的是,业务请求还可以包括其他类型业务数据的请求,本发明实施例对此不做限定。
步骤305、通过指定加密算法,根据用户ID,对用户令牌进行验证处理,若验证通过,执行步骤306;若验证失败,执行步骤308。
本发明实施例中,步骤305具体包括:
步骤3051、服务端对用户ID与存储的存储ID进行匹配,若匹配成功,执行步骤3052;若匹配失败,执行步骤308。
具体地,判断服务端是否存储有与用户ID相同的存储ID,若是,表明匹配成功,继续执行步骤3052;若否,表明匹配失败,继续执行步骤308。
步骤3052、查询出用户标ID对应的用户密钥。
步骤3053、通过指定加密算法,根据用户密钥,对用户令牌进行验签,若验签成功,确定出验证通过,继续执行步骤306;若验签失败,确定出验证失败,继续执行步骤308。
本发明实施例中,指定加密算法与生成用户令牌的算法一致,若生成用户的令牌的加密算法为对称加密算法,则进行验签的算法为对称加密算法。
本发明实施例中,对用户密钥的验签过程具体的实现方式可以是工具包,也可以是过滤器或拦截器,本发明实施例对此不作限定。作为一种可选方案,可以通过JJWT包对用户密钥进行验签,若通过指定加密算法和用户密钥生成的用户令牌的签证部分与接收到的用户令牌的签证部分一致,表明验签成功;若通过指定加密算法和用户密钥生成的用户令牌的签证部分与接收到的用户令牌的签证部分不一致,表明验签失败。
本发明实施例中,用户ID和唯一对应的用户密钥(用户密钥键值)持久化存储于服务端中。作为一种可选方案,用户密钥存储于缓存;作为另一种可选方案,用户密钥存储于分布式存储。
步骤306、根据业务数据进行业务处理。
作为一种可选方案,业务数据包括需要访问的数据类型,则按照数据类型查询出指定数据,以供客户端按照需求对数据进行数据处理;作为另一种可选方案,业务数据可以包括修改后的密码,则将登录密码修改为业务数据中修改后的密码。
步骤307、修改预先存储的用户标识码对应的用户密钥,使得用户令牌失效。
步骤308、生成异常结果。
本发明实施例中,步骤307和步骤308分别与步骤206和步骤207相同,在此不再一一赘述。
本发明接收客户端发送的下线请求,下线请求包括用户令牌,用户令牌包括用户标识码;通过指定加密算法,根据用户标识码,对用户令牌进行验证处理;若验证通过,修改预先存储的用户标识码对应的用户密钥,使得用户令牌失效,通过令牌校验的方式,具有有效性和校验速度快优势,在特殊条件下能够使得不安全的令牌主动失效,避免信息泄露,提高安全性。
图4为本发明实施例提供的一种令牌失效装置的结构示意图,该装置用于执行上述令牌失效方法,如图4所示,该装置包括:接收单元11、验证单元12和失效单元13。
接收单元11用于接收客户端发送的下线请求,下线请求包括用户令牌,用户令牌包括用户标识码。
验证单元12用于通过指定加密算法,根据用户标识码,对用户令牌进行验证处理。
失效单元13用于若验证通过,修改预先存储的用户标识码对应的用户密钥,使得用户令牌失效。
本发明实施例中,装置还包括:查询单元14和第一生成单元15。
接收单元11还用于接收客户端发送的登录请求,登录请求包括用户标识码。
查询单元14用于查询是否存储有用户标识码。
第一生成单元15用于若查询出存储有用户标识码,通过指定开放标准和指定加密算法,根据用户标识码,生成用户令牌。
本发明实施例中,该装置还包括:验签单元16、业务处理单元17和修改单元18。
接收单元11还用于接收客户端发送的业务请求,业务请求包括用户令牌和业务数据,用户令牌包括用户标识码。
验签单元16用于通过指定加密算法,根据用户标识码,对用户令牌进行验证处理。
业务处理单元17用于若验证通过,根据业务数据进行业务处理。
修改单元18修改预先存储的用户标识码对应的用户密钥,使得用户令牌失效。
本发明实施例中,验签单元16具体用于对用户标识码与存储的存储标识码进行匹配;若匹配成功,查询出用户标识码对应的用户密钥;通过指定加密算法,根据用户密钥,对用户令牌进行验签;若验签成功,确定出验证通过;若验签失败,确定出验证失败,并生成异常结果。
本发明实施例中,修改单元18具体用于将用户密钥置为空值。
本发明实施例中,修改单元18还具体用于随机生成失效密钥;将用户密钥更新为失效密钥。
本发明实施例中,该装置还包括:第二生成单元19、绑定单元20和存储单元21。
第二生成单元19用于随机生成用户密钥。
绑定单元20用于将所述用户密钥与用户标识码进行绑定,生成用户密钥键值对。
存储单元21用于将所述用户密钥键值对进行存储。
本发明实施例的方案中,接收客户端发送的下线请求,下线请求包括用户令牌,用户令牌包括用户标识码;通过指定加密算法,根据用户标识码,对用户令牌进行验证处理;若验证通过,修改预先存储的用户标识码对应的用户密钥,使得用户令牌失效,通过令牌校验的方式,具有有效性和校验速度快优势,在特殊条件下能够使得不安全的令牌主动失效,避免信息泄露,提高安全性。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机设备,具体的,计算机设备例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
本发明实施例提供了一种计算机设备,包括存储器和处理器,存储器用于存储包括程序指令的信息,处理器用于控制程序指令的执行,程序指令被处理器加载并执行时实现上述令牌失效方法的实施例的各步骤,具体描述可参见上述令牌失效方法的实施例。
下面参考图5,其示出了适于用来实现本申请实施例的计算机设备600的结构示意图。
如图5所示,计算机设备600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM))603中的程序而执行各种适当的工作和处理。在RAM603中,还存储有计算机设备600操作所需的各种程序和数据。CPU601、ROM602、以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶反馈器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡,调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装如存储部分608。
特别地,根据本发明的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明的实施例包括一种计算机程序产品,其包括有形地包含在机器可读介质上的计算机程序,所述计算机程序包括用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (7)
1.一种令牌失效方法,其特征在于,所述方法包括:
接收客户端发送的下线请求,所述下线请求包括用户令牌,所述用户令牌包括用户标识码;
通过指定加密算法,根据所述用户标识码,对所述用户令牌进行验证处理;
若验证通过,修改预先存储的所述用户标识码对应的用户密钥,使得所述用户令牌失效;
所述通过指定加密算法,根据所述用户标识码,对所述用户令牌进行验证处理,包括:
对所述用户标识码与存储的存储标识码进行匹配;
若匹配成功,查询出所述用户标识码对应的用户密钥;
通过指定加密算法,根据所述用户密钥,对所述用户令牌进行验签;
若验签成功,确定出验证通过;
若验签失败,确定出验证失败,并生成异常结果;
所述修改预先存储的所述用户标识码对应的用户密钥,包括:
将所述用户密钥置为空值;或者,
随机生成失效密钥;
将所述用户密钥更新为所述失效密钥。
2.根据权利要求1所述的令牌失效方法,其特征在于,在接收客户端发送的下线请求,所述下线请求包括用户令牌,所述用户令牌包括用户标识码之前,还包括:
接收所述客户端发送的登录请求,所述登录请求包括用户标识码;
查询是否存储有所述用户标识码;
若是,通过指定开放标准和指定加密算法,根据所述用户标识码,生成用户令牌。
3.根据权利要求2所述的令牌失效方法,其特征在于,在接收所述客户端发送的登录请求之后,还包括:
随机生成用户密钥;
将所述用户密钥与用户标识码进行绑定,生成用户密钥键值对;
将所述用户密钥键值对进行存储。
4.一种令牌失效装置,其特征在于,所述装置包括:
接收单元,用于接收客户端发送的下线请求,所述下线请求包括用户令牌,所述用户令牌包括用户标识码;
验证单元,用于通过指定加密算法,根据所述用户标识码,对所述用户令牌进行验证处理;
失效单元,用于若验证通过,修改预先存储的所述用户标识码对应的用户密钥,使得所述用户令牌失效;
所述验证单元,具体用于对所述用户标识码与存储的存储标识码进行匹配;若匹配成功,查询出所述用户标识码对应的用户密钥;通过指定加密算法,根据所述用户密钥,对所述用户令牌进行验签;若验签成功,确定出验证通过;若验签失败,确定出验证失败,并生成异常结果;
修改单元,具体用于将所述用户密钥置为空值;或者,随机生成失效密钥;将所述用户密钥更新为所述失效密钥。
5.根据权利要求4所述的令牌失效装置,其特征在于,所述装置还包括:
接收单元,还用于接收所述客户端发送的登录请求,所述登录请求包括用户标识码;
查询单元,用于查询是否存储有所述用户标识码;
第一生成单元,用于若查询出存储有所述用户标识码,通过指定开放标准和指定加密算法,根据所述用户标识码,生成用户令牌。
6.一种计算机可读介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至3任一项所述的令牌失效方法。
7.一种计算机设备,包括存储器和处理器,所述存储器用于存储包括程序指令的信息,所述处理器用于控制程序指令的执行,其特征在于,所述程序指令被处理器加载并执行时实现权利要求1至3任意一项所述的令牌失效方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111447419.8A CN114157420B (zh) | 2021-11-30 | 2021-11-30 | 一种令牌失效方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111447419.8A CN114157420B (zh) | 2021-11-30 | 2021-11-30 | 一种令牌失效方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114157420A CN114157420A (zh) | 2022-03-08 |
CN114157420B true CN114157420B (zh) | 2024-03-26 |
Family
ID=80455306
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111447419.8A Active CN114157420B (zh) | 2021-11-30 | 2021-11-30 | 一种令牌失效方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114157420B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110121873A (zh) * | 2017-10-23 | 2019-08-13 | 华为技术有限公司 | 一种访问令牌管理方法、终端和服务器 |
CN110311895A (zh) * | 2019-05-28 | 2019-10-08 | 深圳壹账通智能科技有限公司 | 基于身份验证的会话权限校验方法、系统及电子设备 |
CN110336820A (zh) * | 2019-07-09 | 2019-10-15 | 中国联合网络通信集团有限公司 | 单点登出方法、装置、设备、存储介质及系统 |
CN111447180A (zh) * | 2020-03-04 | 2020-07-24 | 国电南瑞科技股份有限公司 | 一种电力物联网边缘接入管理系统安全访问控制策略 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9544301B2 (en) * | 2015-01-28 | 2017-01-10 | International Business Machines Corporation | Providing data security with a token device |
WO2019147251A1 (en) * | 2018-01-25 | 2019-08-01 | Visa International Service Association | Token offline provisioning |
US11190522B2 (en) * | 2019-07-15 | 2021-11-30 | International Business Machines Corporation | Access delegation using offline token |
-
2021
- 2021-11-30 CN CN202111447419.8A patent/CN114157420B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110121873A (zh) * | 2017-10-23 | 2019-08-13 | 华为技术有限公司 | 一种访问令牌管理方法、终端和服务器 |
CN110311895A (zh) * | 2019-05-28 | 2019-10-08 | 深圳壹账通智能科技有限公司 | 基于身份验证的会话权限校验方法、系统及电子设备 |
CN110336820A (zh) * | 2019-07-09 | 2019-10-15 | 中国联合网络通信集团有限公司 | 单点登出方法、装置、设备、存储介质及系统 |
CN111447180A (zh) * | 2020-03-04 | 2020-07-24 | 国电南瑞科技股份有限公司 | 一种电力物联网边缘接入管理系统安全访问控制策略 |
Also Published As
Publication number | Publication date |
---|---|
CN114157420A (zh) | 2022-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111898153B (zh) | 调用合约的方法及装置 | |
CN106209749B (zh) | 单点登录方法及装置、相关设备和应用的处理方法及装置 | |
US9621355B1 (en) | Securely authorizing client applications on devices to hosted services | |
CN107483509A (zh) | 一种身份验证方法、服务器及可读存储介质 | |
US10536271B1 (en) | Silicon key attestation | |
US9401911B2 (en) | One-time password certificate renewal | |
CN110784433A (zh) | 一种用户访问处理方法、装置及设备 | |
CN111639327A (zh) | 一种开放平台的认证方法及装置 | |
CN111447220B (zh) | 认证信息管理方法、应用系统的服务端及计算机存储介质 | |
CN108616540B (zh) | 一种基于跨平台加密算法与声明式过滤认证的平台认证方法及系统 | |
CN111371725A (zh) | 一种提升会话机制安全性的方法、终端设备和存储介质 | |
US11146552B1 (en) | Decentralized application authentication | |
CN116458117A (zh) | 安全数字签名 | |
KR20160018554A (ko) | 신뢰 및 비신뢰 플랫폼에 걸쳐 인터넷 액세스가능 애플리케이션 상태를 로밍하는 기법 | |
WO2023093500A1 (zh) | 一种访问验证方法及装置 | |
CN112883357A (zh) | 无状态登录鉴权方法和装置 | |
CN111294354A (zh) | 用于分布式环境的签名验证方法、装置、设备和存储介质 | |
US20230403154A1 (en) | Verifier credential determination by a registrant | |
US20190132304A1 (en) | Loopback verification of multi-factor authentication | |
CN114157420B (zh) | 一种令牌失效方法和装置 | |
KR20160109241A (ko) | 리소스의 안전성 검증 장치와 서버 및 검증방법 | |
CN112069436A (zh) | 页面展示方法、系统和设备 | |
KR102515721B1 (ko) | 블록체인 기반의 본인인증을 위한 일회성 패스워드를 이용하는 nfp 본인인증 지원 방법 및 장치 | |
US20230177184A1 (en) | Selective security augmentation in source control environments | |
Goel | Access Control and Authorization Techniques wrt Client Applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |