CN114257583A - 一种解决jwt授权的安全下载方法 - Google Patents
一种解决jwt授权的安全下载方法 Download PDFInfo
- Publication number
- CN114257583A CN114257583A CN202111581273.6A CN202111581273A CN114257583A CN 114257583 A CN114257583 A CN 114257583A CN 202111581273 A CN202111581273 A CN 202111581273A CN 114257583 A CN114257583 A CN 114257583A
- Authority
- CN
- China
- Prior art keywords
- interface
- authorization
- download
- downloading
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
- G06F16/9566—URL specific, e.g. using aliases, detecting broken or misspelled links
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- Data Mining & Analysis (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种解决JWT授权的安全下载方法,包括以下步骤:浏览器端通过授权接口获取临时授权凭证,该接口被安全保护,需要登陆系统才可以访问,该凭证是临时性的且只能使用一次,并与文件下载导出接口绑定;再获取到的临时授权凭证传递到系统,系统“安全下载处理器”识别该接口是否为安全下载接口,如果是进行授权ID、KEY校验,若校验通过则允许执行下载操作,若通过系统则不允许执行下载操作;系统需要实现一个注解或者通过配置方试,将该接口标记为受“安全下载控制保护”的接口,同时系统需实现“安全下载处理器”,该安全下载处理器能够识别注解和配置,这样系统就能够识别接口是不是受安全下载控制。
Description
技术领域
本发明属于网络授权技术领域,具体涉及一种解决JWT授权的安全下载方法。
背景技术
现有技术中,使用JWT登陆授权并通过HTTPHeader传输TOKEN到系统后端的登陆授权后,通过浏览器进行文件下载、导出文件将无法得到安全保护,因为文件下载、导出文件是通过浏览器表单提交的请求,所以无法将JWTTOKEN放入HTTPHeader中,就无法将JWTTOKEN传输到服务后端导致文件无法进行下载、导出,在最初解决方案是直接将该下载接口忽略安全校验或者将JWTTOKEN作为URL查询参数传递到后端,但是这些方案都不安全的。
发明内容
针对现有技术中的不足之处,本发明提供一种解决JWT授权的安全下载方法,以实现JWT+HTTP Header、OAuth+HTTP Header、OAuth2+HTTP Header、TOKEN+HTTP Header等类似传输TOKEN信息的登陆授权方案的文件安全下载。
为了达到上述目的,本发明技术方案如下:
一种解决JWT授权的安全下载方法,包括以下步骤:
S1系统需要实现一个受登陆保护的授权接口,浏览器端通过该授权接口获取临时授权凭证,要求该接口被安全保护,需要登陆系统才可以访问,该凭证是临时性的且只能使用一次,并且与访问的目标“文件下载导出接口”绑定;
S2获取到临时授权凭证后请求目标“文件下载导出接口”,将步骤S1获取到的临时授权凭证传递到系统,系统“安全下载处理器”识别该接口是否为安全下载接口,如果是进行授权ID、KEY校验,如果校验通过则允许执行下载操作,如果不通过系统不允许执行下载操作;
S3安全下载接口的识别方式:系统需要实现一个注解或者通过配置方试,将该接口标记为受“安全下载控制保护”的接口,同时系统需实现“安全下载处理器”,该安全下载处理器能够识别注解和配置,这样系统就能够识别接口是否受安全下载控制。
进一步的,所述步骤S1中,实现与目标“文件下载导出接口”绑定,浏览器申请授权凭证时将目标“文件下载导出接口”的URL PATH作为参数传递到“授权接口”,“授权接口”提供一个参数接收URL PATH,接收到URL PATH后使用一种算法将URL PATH计算出一个授权ID、KEY,这样该ID、KEY只能适用于该绑定的目标“文件下载接口”不能适用于其它接口,除支持和URL PATH绑定外,还可以将URL PATH、请求参数传递给授权接口形成一对一绑定(请求参数与请求目标“文件下载导出接口”时的完全一致),这样就能做到更细粒度的安全控制,该ID、KEY只能适用于本次并且请求参数必须完全一致的请求。
有益效果:本发明能够对浏览器进行文件下载、导出文件进行安全保护。
附图说明
图1为本发明的流程图。
具体实施方式
以下参照具体的实施例来说明本发明。本领域技术人员能够理解,这些实施例仅用于说明本发明,其不以任何方式限制本发明的范围。
一种解决JWT授权的安全下载方法,如图1所示,包括以下步骤:
(1)通过拦截器或者AOP方式,实现安全下载处理器;
(2)实现授权凭证签发接口;
(3)实现目标“文件下载导出接口”,同时在接口上添加安全下载Annotation(注解),或者将该接口配置到安全下载列表,让系统能够识别该接口是安全下载接口;
(4)通过授权凭证接口获取临时授权凭证,由于该接口受登陆安全保护,访问该接口前需要登陆系统;
(5)请求文件下载接口,同时将获取到的临时凭证通过目标接口传递到目标系统;
(6)安全下载处理器识别接口为安全下载接口;
(7)从请求中获取授权凭证进行授权凭证校验,验证通过允许下载,否则禁止下载。
Claims (2)
1.一种解决JWT授权的安全下载方法,其特征在于,包括以下步骤:
S1系统需要实现一个受登陆保护的授权接口,浏览器端通过该授权接口获取临时授权凭证,要求该接口被安全保护,需要登陆系统才可以访问,该凭证是临时性的且只能使用一次,并且与访问的目标“文件下载导出接口”绑定;
S2获取到临时授权凭证后请求目标“文件下载导出接口”,将步骤S1获取到的临时授权凭证传递到系统,系统“安全下载处理器”识别该接口是否为安全下载接口,如果是进行授权ID、KEY校验,如果校验通过则允许执行下载操作,如果不通过系统不允许执行下载操作;
S3安全下载接口的识别方式:系统需要实现一个注解或者通过配置方试,将该接口标记为受“安全下载控制保护”的接口,同时系统需实现“安全下载处理器”,该安全下载处理器能够识别注解和配置,这样系统就能够识别接口是否受安全下载控制。
2.如权利要求1所述的解决JWT授权的安全下载方法,其特征在于,所述步骤S1中,实现与目标“文件下载导出接口”绑定,浏览器申请授权凭证时将目标“文件下载导出接口”的URL PATH作为参数传递到“授权接口”,“授权接口”提供一个参数接收URL PATH,接收到URLPATH后使用一种算法将URL PATH计算出一个授权ID、KEY,这样该ID、KEY只能适用于该绑定的目标“文件下载接口”不能适用于其它接口,除支持和URL PATH绑定外,还可以将URLPATH、请求参数传递给授权接口形成一对一绑定,请求参数与请求目标“文件下载导出接口”时的完全一致,这样就能做到更细粒度的安全控制,该ID、KEY只能适用于本次并且请求参数必须完全一致的请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111581273.6A CN114257583A (zh) | 2021-12-22 | 2021-12-22 | 一种解决jwt授权的安全下载方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111581273.6A CN114257583A (zh) | 2021-12-22 | 2021-12-22 | 一种解决jwt授权的安全下载方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114257583A true CN114257583A (zh) | 2022-03-29 |
Family
ID=80794268
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111581273.6A Pending CN114257583A (zh) | 2021-12-22 | 2021-12-22 | 一种解决jwt授权的安全下载方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114257583A (zh) |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102724647A (zh) * | 2012-06-06 | 2012-10-10 | 电子科技大学 | 一种能力访问授权方法及系统 |
CN103647652A (zh) * | 2013-12-20 | 2014-03-19 | 北京奇虎科技有限公司 | 一种实现数据传输的方法、装置和服务器 |
CN105491058A (zh) * | 2015-12-29 | 2016-04-13 | Tcl集团股份有限公司 | 一种api访问分布式授权方法及其系统 |
CN106506498A (zh) * | 2016-11-07 | 2017-03-15 | 安徽四创电子股份有限公司 | 一种系统间数据调用授权认证方法 |
CN106612290A (zh) * | 2017-01-19 | 2017-05-03 | 河海大学 | 一种面向系统集成的跨域单点登录方法 |
CN107315948A (zh) * | 2016-04-26 | 2017-11-03 | 阿里巴巴集团控股有限公司 | 数据调用方法及装置 |
CN107623694A (zh) * | 2017-09-30 | 2018-01-23 | 南威软件股份有限公司 | 一种基于url访问路径的匿名授权方法 |
CN109165499A (zh) * | 2018-08-21 | 2019-01-08 | 努比亚技术有限公司 | 单点登录方法、移动终端及计算机可读存储介质 |
US20190253306A1 (en) * | 2016-12-02 | 2019-08-15 | Worldpay, Llc | Systems and methods for registering computer server event notifications |
CN110147261A (zh) * | 2019-04-15 | 2019-08-20 | 平安普惠企业管理有限公司 | 基于调用接口的参数校验方法及相关设备 |
CN110636103A (zh) * | 2019-07-22 | 2019-12-31 | 中山大学 | 一种多异构集群作业统一调度方法及api接口 |
CN111314306A (zh) * | 2020-01-17 | 2020-06-19 | 网易(杭州)网络有限公司 | 接口访问方法及装置、电子设备、存储介质 |
CN112487450A (zh) * | 2020-11-30 | 2021-03-12 | 银盛支付服务股份有限公司 | 一种文件服务器访问分级方法 |
US20210084032A1 (en) * | 2019-09-18 | 2021-03-18 | Microstrategy Incorporated | Authentication for requests from third-party interfaces |
-
2021
- 2021-12-22 CN CN202111581273.6A patent/CN114257583A/zh active Pending
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102724647A (zh) * | 2012-06-06 | 2012-10-10 | 电子科技大学 | 一种能力访问授权方法及系统 |
CN103647652A (zh) * | 2013-12-20 | 2014-03-19 | 北京奇虎科技有限公司 | 一种实现数据传输的方法、装置和服务器 |
CN105491058A (zh) * | 2015-12-29 | 2016-04-13 | Tcl集团股份有限公司 | 一种api访问分布式授权方法及其系统 |
CN107315948A (zh) * | 2016-04-26 | 2017-11-03 | 阿里巴巴集团控股有限公司 | 数据调用方法及装置 |
CN106506498A (zh) * | 2016-11-07 | 2017-03-15 | 安徽四创电子股份有限公司 | 一种系统间数据调用授权认证方法 |
US20190253306A1 (en) * | 2016-12-02 | 2019-08-15 | Worldpay, Llc | Systems and methods for registering computer server event notifications |
CN106612290A (zh) * | 2017-01-19 | 2017-05-03 | 河海大学 | 一种面向系统集成的跨域单点登录方法 |
CN107623694A (zh) * | 2017-09-30 | 2018-01-23 | 南威软件股份有限公司 | 一种基于url访问路径的匿名授权方法 |
CN109165499A (zh) * | 2018-08-21 | 2019-01-08 | 努比亚技术有限公司 | 单点登录方法、移动终端及计算机可读存储介质 |
CN110147261A (zh) * | 2019-04-15 | 2019-08-20 | 平安普惠企业管理有限公司 | 基于调用接口的参数校验方法及相关设备 |
CN110636103A (zh) * | 2019-07-22 | 2019-12-31 | 中山大学 | 一种多异构集群作业统一调度方法及api接口 |
US20210084032A1 (en) * | 2019-09-18 | 2021-03-18 | Microstrategy Incorporated | Authentication for requests from third-party interfaces |
CN111314306A (zh) * | 2020-01-17 | 2020-06-19 | 网易(杭州)网络有限公司 | 接口访问方法及装置、电子设备、存储介质 |
CN112487450A (zh) * | 2020-11-30 | 2021-03-12 | 银盛支付服务股份有限公司 | 一种文件服务器访问分级方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2359576B1 (en) | Domain based authentication scheme | |
US20160277383A1 (en) | Binding to a user device | |
US20140189799A1 (en) | Multi-factor authorization for authorizing a third-party application to use a resource | |
CN106452782A (zh) | 为终端设备生成安全通信信道的方法和系统 | |
US9268922B2 (en) | Registration of devices in a digital rights management environment | |
JP2011510387A5 (zh) | ||
CN105430014B (zh) | 一种单点登录方法及其系统 | |
US11373762B2 (en) | Information communication device, authentication program for information communication device, and authentication method | |
RU2011153984A (ru) | Доверенный администратор достоверности (tim) | |
EP2561461A1 (de) | Verfahren zum lesen eines attributs aus einem id-token | |
US20140282994A1 (en) | Method for calling up a client program | |
CN110535884B (zh) | 跨企业系统间访问控制的方法、装置及存储介质 | |
CN106302606A (zh) | 一种跨应用访问方法及装置 | |
EP2620892B1 (de) | Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens | |
CN108737338A (zh) | 一种认证方法及系统 | |
US9087201B2 (en) | System and methods for host enabled management in a storage system | |
CN114257583A (zh) | 一种解决jwt授权的安全下载方法 | |
CN104506518B (zh) | Mips平台网络系统访问控制的身份认证方法 | |
CN111182004A (zh) | Ssl握手方法、装置及设备 | |
KR20180024746A (ko) | 서버단 세션 관리 방식 및 쿠키 정보 공유 방식을 병행 지원하는 싱글 사인온 인증 방법 | |
US11985118B2 (en) | Computer-implemented system and authentication method | |
CN103716366A (zh) | 云计算服务器接入系统及接入方法 | |
KR102143511B1 (ko) | 스마트 거래의 보안 안정성 관리 서버 | |
CN210157214U (zh) | 燃气器具物联网信息安全传输系统 | |
WO2021159702A1 (zh) | 一种应用程序与其搭载移动终端的imei的关联方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |