CN114584381A - 基于网关的安全认证方法、装置、电子设备和存储介质 - Google Patents
基于网关的安全认证方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN114584381A CN114584381A CN202210225943.9A CN202210225943A CN114584381A CN 114584381 A CN114584381 A CN 114584381A CN 202210225943 A CN202210225943 A CN 202210225943A CN 114584381 A CN114584381 A CN 114584381A
- Authority
- CN
- China
- Prior art keywords
- security authentication
- network request
- service
- algorithm
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000012545 processing Methods 0.000 claims abstract description 12
- 230000004044 response Effects 0.000 claims description 25
- 238000012795 verification Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 10
- 230000007246 mechanism Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了基于网关的安全认证方法、装置、电子设备和存储介质。该方法的一具体实施方式包括:获取终端发送的网络请求;根据网络请求包括的统一资源标识符确定待执行的安全认证算法;根据确定出的安全认证算法对网络请求进行安全认证;响应于网络请求通过安全认证,将网络请求转发到后端服务。该实施方式提供了一种基于网关的安全认证机制,让后端服务只需专注于业务处理,而对认证功能无感知,当需要升级安全认证算法时,只需对网关进行改造即可,无需调整后端服务。
Description
技术领域
本申请实施例涉及计算机技术领域,尤其涉及基于网关的安全认证方法、装置、电子设备和存储介质。
背景技术
随着物联网技术的发展,物联系统逐渐被广大用户使用。在物联系统中,终端设备或者管理平台等不同业务系统或硬件需要不同的鉴权算法。不同平台终端硬件设备,访问服务接口时,一般采用的认证方法也不一致,例如,网页端的管理平台需要提供用户登录信息;设备终端,需要提供正确的验签信息。当前,终端系统发起的API(ApplicationProgramming Interface,应用程序接口)请求,到达网关后,直接通过网关路由转发到后端服务,后端服务再选择对应安全算法进行认证,通过后进行业务逻辑处理,将响应结果返回到终端。
发明内容
本申请实施例提出了基于网关的安全认证方法、装置、电子设备和存储介质。
第一方面,本申请的一些实施例提供了一种基于网关的安全认证方法,该方法包括:获取终端发送的网络请求;根据网络请求包括的统一资源标识符确定待执行的安全认证算法;根据确定出的安全认证算法对网络请求进行安全认证;响应于网络请求通过安全认证,将网络请求转发到后端服务。
在一些实施例中,根据网络请求包括的统一资源标识符确定待执行的安全认证算法,包括:通过正则匹配获取统一资源标识符中的目标标识;根据预先建立的目标标识与安全认证算法的对应关系以及所获取的目标标识,确定待执行的安全认证算法。
在一些实施例中,安全认证算法包括用户认证算法,网络请求包括登录用户通过业务操作界面发送的第一业务请求;以及根据确定出的安全认证算法对网络请求进行安全认证,包括:使用第一预设算法对第一业务请求包括的标识信息进行解密;响应于成功解析出数据,确定第一业务请求通过安全认证;响应于未成功解析出数据,确定第一业务请求未通过安全认证。
在一些实施例中,方法还包括标识信息的生成步骤,生成步骤包括:获取待登录用户通过登录页面输入账号和密码进行登录所生成的登录请求;将登录请求转发到用户服务,进行账号和密码的校验;响应于校验通过,使用第一预设算法将待登录用户的用户信息转换为标识信息并返回给待登录用户。
在一些实施例中,安全认证算法包括设备认证算法,网络请求包括设备发送的第二业务请求;以及根据确定出的安全认证算法对网络请求进行安全认证,包括:从第二业务请求中读取第一签名信息;通过应用程序接口的接口验证序号获取对应的应用密钥信息;根据获取的应用密钥信息使用第二预设算法生成第二签名信息;响应于第一签名信息与第二签名信息一致,确定第二业务请求通过安全认证;响应于第一签名信息与第二签名信息不一致,确定第二业务请求未通过安全认证。
在一些实施例中,方法还包括:接收后端服务执行业务处理逻辑返回的响应数据;将响应数据转发到终端。
第二方面,本申请的一些实施例提供了一种基于网关的安全认证装置,该装置包括:获取单元,被配置成获取终端发送的网络请求;确定单元,被配置成根据网络请求包括的统一资源标识符确定待执行的安全认证算法;认证单元,被配置成根据确定出的安全认证算法对网络请求进行安全认证;第一转发单元,被配置成响应于网络请求通过安全认证,将网络请求转发到后端服务。
在一些实施例中,确定单元,进一步被配置成:通过正则匹配获取统一资源标识符中的目标标识;根据预先建立的目标标识与安全认证算法的对应关系以及所获取的目标标识,确定待执行的安全认证算法。
在一些实施例中,安全认证算法包括用户认证算法,网络请求包括登录用户通过业务操作界面发送的第一业务请求;以及认证单元,进一步被配置成:使用第一预设算法对第一业务请求包括的标识信息进行解密;响应于成功解析出数据,确定第一业务请求通过安全认证;响应于未成功解析出数据,确定第一业务请求未通过安全认证。
在一些实施例中,装置还包括生成单元,生成单元被配置成:获取待登录用户通过登录页面输入账号和密码进行登录所生成的登录请求;将登录请求转发到用户服务,进行账号和密码的校验;响应于校验通过,使用第一预设算法将待登录用户的用户信息转换为标识信息并返回给待登录用户。
在一些实施例中,安全认证算法包括设备认证算法,网络请求包括设备发送的第二业务请求;以及认证单元,进一步被配置成:从第二业务请求中读取第一签名信息;通过应用程序接口的接口验证序号获取对应的应用密钥信息;根据获取的应用密钥信息使用第二预设算法生成第二签名信息;响应于第一签名信息与第二签名信息一致,确定第二业务请求通过安全认证;响应于第一签名信息与第二签名信息不一致,确定第二业务请求未通过安全认证。
在一些实施例中,装置还包括第二转发单元,第二转发单元被配置成:接收后端服务执行业务处理逻辑返回的响应数据;将响应数据转发到终端。
第三方面,本申请的一些实施例提供了一种设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序,当上述一个或多个程序被上述一个或多个处理器执行,使得上述一个或多个处理器实现如第一方面上述的方法。
第四方面,本申请的一些实施例提供了一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面上述的方法。
本申请实施例提供的基于网关的安全认证方法、装置、电子设备和存储介质,通过获取终端发送的网络请求;根据网络请求包括的统一资源标识符确定待执行的安全认证算法;根据确定出的安全认证算法对网络请求进行安全认证;响应于网络请求通过安全认证,将网络请求转发到后端服务,提供了一种基于网关的安全认证机制,让后端服务只需专注于业务处理,而对认证功能无感知,当需要升级安全认证算法时,只需对网关进行改造即可,无需调整后端服务。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请的一些可以应用于其中的示例性系统架构图;
图2是根据本申请的基于网关的安全认证方法的一个实施例的流程图;
图3是根据本申请的基于网关的安全认证方法的应用场景的一个示意图;
图4是根据本申请的基于网关的安全认证装置的一个实施例的结构示意图;
图5是适于用来实现本申请的一些实施例的网关的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请的基于网关的安全认证方法或基于网关的安全认证装置的实施例的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102、103,网关104和服务器105。
用户可以使用终端设备101、102、103通过网关104与服务器105交互,以使用后端服务等。终端设备101、102、103上可以安装有各种客户端应用,例如物联网类应用、电子商务类应用、搜索类应用等。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、102、103为硬件时,可以是各种电子设备,包括但不限于智能家居设备、智能手机、平板电脑、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
网关104可以是物联服务网关,其可以获取终端发送的网络请求;根据网络请求包括的统一资源标识符确定待执行的安全认证算法;根据确定出的安全认证算法对网络请求进行安全认证;响应于网络请求通过安全认证,将网络请求转发到后端服务。服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上安装的应用提供支持的后台服务器。
需要说明的是,本申请实施例所提供的基于网关的安全认证方法可以由网关104执行,相应地,基于网关的安全认证装置可以设置于网关104中。
需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务),也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的终端设备、网关和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网关和服务器。
继续参考图2,示出了根据本申请的基于网关的安全认证方法的一个实施例的流程200。该基于网关的安全认证方法,包括以下步骤:
步骤201,获取终端发送的网络请求。
在本实施例中,基于网关的安全认证方法执行主体(例如图1所示的网关)可以首先获取终端发送的网络(API)请求。
步骤202,根据网络请求包括的统一资源标识符确定待执行的安全认证算法。
在本实施例中,上述执行主体可以根据网络请求包括的统一资源标识符(UniformResource Identifier,URI)确定待执行的安全认证算法。统一资源标识符中可以包括与不同安全认证算法对应的指示信息,根据指示信息可以确定待执行的安全认证算法。指示信息可以是其包含预设标识或符合预设规则,可以通过正则匹配或模糊查询等方式进行确定。
在本实施例的一些可选实现方式中,根据网络请求包括的统一资源标识符确定待执行的安全认证算法,包括:通过正则匹配获取统一资源标识符中的目标标识;根据预先建立的目标标识与安全认证算法的对应关系以及所获取的目标标识,确定待执行的安全认证算法。
步骤203,根据确定出的安全认证算法对网络请求进行安全认证。
在本实施例中,上述执行主体可以根据步骤202中确定出的安全认证算法对网络请求进行安全认证。
在本实施例的一些可选实现方式中,安全认证算法包括用户认证算法,网络请求包括登录用户通过业务操作界面发送的第一业务请求;以及根据确定出的安全认证算法对网络请求进行安全认证,包括:使用第一预设算法对第一业务请求包括的标识信息进行解密;响应于成功解析出数据,确定第一业务请求通过安全认证;响应于未成功解析出数据,确定第一业务请求未通过安全认证。
在本实施例的一些可选实现方式中,方法还包括标识信息的生成步骤,生成步骤包括:获取待登录用户通过登录页面输入账号和密码进行登录所生成的登录请求;将登录请求转发到用户服务,进行账号和密码的校验;响应于校验通过,使用第一预设算法将待登录用户的用户信息转换为标识信息并返回给待登录用户。
作为示例,用户通过网页(web)端登录页面输入账号和密码进行登录API请求;网关可以将登录API请求转发到用户服务,进行账号和密码校验,通过则使用HmacSHA256算法或其他加密算法进行加密,将用户信息转换为套接字(token),返回给用户;用户登录成功,收到网关响应的token信息,缓存在浏览器中,用户进入web端业务操作界面,请求业务API时,将token放入API请求小型文本文件(cookie)中,一并发送到网关。网关可以读取cookie中的token信息,使用HmacSHA256算法或其他加密算法进行解密,能成功解析出数据则认为是有效用户,否则认为是非法用户请求。
在本实施例的一些可选实现方式中,安全认证算法包括设备认证算法,网络请求包括设备发送的第二业务请求;以及根据确定出的安全认证算法对网络请求进行安全认证,包括:从第二业务请求中读取第一签名信息;通过应用程序接口的接口验证序号获取对应的应用密钥信息;根据获取的应用密钥信息使用第二预设算法生成第二签名信息;响应于第一签名信息与第二签名信息一致,确定第二业务请求通过安全认证;响应于第一签名信息与第二签名信息不一致,确定第二业务请求未通过安全认证。在本实现方式中应用密钥信息根据加密流程可以为单个或两个以上,例如,包括可以应用秘钥(appkey)和应用密码(appsecret)。
作为示例,终端设备可以从云平台申请appkey与appsecret,预置在设备文件中;发送API请求之前,将appkey与appsecret,请求参数和时间戳信息进行md5加密或通过其他加密算法加密,生成sign签名信息,放入API请求header中,随请求的其他信息一并发送到网关。设备验签时,可以从API请求中读取签名(sign)信息,并通过appkey找到对应的appsecret信息(appsecret由于安全原因可以不随着API请求传递)。使用相同的md5算法或通过其他加密算法,对传入的数据进行加密,网关生成的加密sign信息和设备传入的sign信息进行对比,一致则认为是有效设备请求,否则认为是非法请求。
步骤204,响应于网络请求通过安全认证,将网络请求转发到后端服务。
在本实施例中,上述执行主体可以响应于步骤203中网络请求通过安全认证,将网络请求转发到后端服务。后端服务可以包括物联系统的空间服务、设备服务等。
在本实施例的一些可选实现方式中,方法还包括:接收后端服务执行业务处理逻辑返回的响应数据;将响应数据转发到终端。
继续参见图3,图3是根据本实施例的基于网关的安全认证方法的应用场景的一个示意图。在图3的应用场景中,物联服务网关可以获取用户端及网页端(web)管理后台或物联设备终端发送的网络请求;而后根据网络请求包括的统一资源标识符进行认证方式过滤,例如,匹配/u/**正则的URI路径走用户鉴权认证,匹配/s/**正则的URI走设备验签认证,而后通过相应的认证模块进行安全认证;最后响应于网络请求通过安全认证,将网络请求通过路由转发模块转发到相应的后端服务。
本申请的上述实施例提供的方法通过获取终端发送的网络请求;根据网络请求包括的统一资源标识符确定待执行的安全认证算法;根据确定出的安全认证算法对网络请求进行安全认证;响应于网络请求通过安全认证,将网络请求转发到后端服务,提供了一种基于网关的安全认证机制,让后端服务只需专注于业务处理,而对认证功能无感知,当需要升级安全认证算法时,只需对网关进行改造即可,无需调整后端服务。
进一步参考图4,作为对上述各图所示方法的实现,本申请提供了一种基于网关的安全认证装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图4所示,本实施例的基于网关的安全认证装置400包括:获取单元401、确定单元402、认证单元403、第一转发单元404。其中,获取单元,被配置成获取终端发送的网络请求;确定单元,被配置成根据网络请求包括的统一资源标识符确定待执行的安全认证算法;认证单元,被配置成根据确定出的安全认证算法对网络请求进行安全认证;第一转发单元,被配置成响应于网络请求通过安全认证,将网络请求转发到后端服务。
在本实施例中,基于网关的安全认证装置400的获取单元401、确定单元402、认证单元403、第一转发单元403的具体处理可以参考图2对应实施例中的步骤201、步骤202、步骤203、步骤204。
在本实施例的一些可选实现方式中,确定单元,进一步被配置成:通过正则匹配获取统一资源标识符中的目标标识;根据预先建立的目标标识与安全认证算法的对应关系以及所获取的目标标识,确定待执行的安全认证算法。
在本实施例的一些可选实现方式中,安全认证算法包括用户认证算法,网络请求包括登录用户通过业务操作界面发送的第一业务请求;以及认证单元,进一步被配置成:使用第一预设算法对第一业务请求包括的标识信息进行解密;响应于成功解析出数据,确定第一业务请求通过安全认证;响应于未成功解析出数据,确定第一业务请求未通过安全认证。
在本实施例的一些可选实现方式中,装置还包括生成单元,生成单元被配置成:获取待登录用户通过登录页面输入账号和密码进行登录所生成的登录请求;将登录请求转发到用户服务,进行账号和密码的校验;响应于校验通过,使用第一预设算法将待登录用户的用户信息转换为标识信息并返回给待登录用户。
在本实施例的一些可选实现方式中,安全认证算法包括设备认证算法,网络请求包括设备发送的第二业务请求;以及认证单元,进一步被配置成:从第二业务请求中读取第一签名信息;通过应用程序接口的接口验证序号获取对应的应用密钥信息;根据获取的应用密钥信息使用第二预设算法生成第二签名信息;响应于第一签名信息与第二签名信息一致,确定第二业务请求通过安全认证;响应于第一签名信息与第二签名信息不一致,确定第二业务请求未通过安全认证。
在本实施例的一些可选实现方式中,装置还包括第二转发单元,第二转发单元被配置成:接收后端服务执行业务处理逻辑返回的响应数据;将响应数据转发到终端。
本申请的上述实施例提供的装置,通过获取终端发送的网络请求;根据网络请求包括的统一资源标识符确定待执行的安全认证算法;根据确定出的安全认证算法对网络请求进行安全认证;响应于网络请求通过安全认证,将网络请求转发到后端服务,提供了一种基于网关的安全认证机制,让后端服务只需专注于业务处理,而对认证功能无感知,当需要升级安全认证算法时,只需对网关进行改造即可,无需调整后端服务。
下面参考图5,其示出了适于用来实现本申请实施例的网关的计算机系统500的结构示意图。图5示出的网关仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统500包括中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有系统500操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件可以连接至I/O接口505:包括诸如键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(CPU)501执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读介质或者是上述两者的任意组合。计算机可读介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如C语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括获取单元、确定单元、认证单元和第一转发单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,获取单元还可以被描述为“用于获取终端发送的网络请求的单元”。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的装置中所包含的;也可以是单独存在,而未装配入该装置中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该装置执行时,使得该装置:获取终端发送的网络请求;根据网络请求包括的统一资源标识符确定待执行的安全认证算法;根据确定出的安全认证算法对网络请求进行安全认证;响应于网络请求通过安全认证,将网络请求转发到后端服务。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种基于网关的安全认证方法,包括:
获取终端发送的网络请求;
根据所述网络请求包括的统一资源标识符确定待执行的安全认证算法;
根据确定出的安全认证算法对所述网络请求进行安全认证;
响应于所述网络请求通过安全认证,将所述网络请求转发到后端服务。
2.根据权利要求1所述的方法,其中,所述根据所述网络请求包括的统一资源标识符确定待执行的安全认证算法,包括:
通过正则匹配获取所述统一资源标识符中的目标标识;
根据预先建立的目标标识与安全认证算法的对应关系以及所获取的目标标识,确定待执行的安全认证算法。
3.根据权利要求1所述的方法,其中,所述安全认证算法包括用户认证算法,所述网络请求包括登录用户通过业务操作界面发送的第一业务请求;以及
所述根据确定出的安全认证算法对所述网络请求进行安全认证,包括:
使用第一预设算法对所述第一业务请求包括的标识信息进行解密;
响应于成功解析出数据,确定所述第一业务请求通过安全认证;
响应于未成功解析出数据,确定所述第一业务请求未通过安全认证。
4.根据权利要求3所述的方法,其中,所述方法还包括标识信息的生成步骤,所述生成步骤包括:
获取待登录用户通过登录页面输入账号和密码进行登录所生成的登录请求;
将所述登录请求转发到用户服务,进行账号和密码的校验;
响应于校验通过,使用第一预设算法将所述待登录用户的用户信息转换为标识信息并返回给所述待登录用户。
5.根据权利要求1所述的方法,其中,所述安全认证算法包括设备认证算法,所述网络请求包括设备发送的第二业务请求;以及
所述根据确定出的安全认证算法对所述网络请求进行安全认证,包括:
从所述第二业务请求中读取第一签名信息;
通过应用程序接口的接口验证序号获取对应的应用密钥信息;
根据获取的应用密钥信息使用第二预设算法生成第二签名信息;
响应于所述第一签名信息与所述第二签名信息一致,确定所述第二业务请求通过安全认证;
响应于所述第一签名信息与所述第二签名信息不一致,确定所述第二业务请求未通过安全认证。
6.根据权利要求1-5中任一项所述的方法,其中,所述方法还包括:
接收后端服务执行业务处理逻辑返回的响应数据;
将所述响应数据转发到所述终端。
7.一种基于网关的安全认证装置,包括:
获取单元,被配置成获取终端发送的网络请求;
确定单元,被配置成根据所述网络请求包括的统一资源标识符确定待执行的安全认证算法;
认证单元,被配置成根据确定出的安全认证算法对所述网络请求进行安全认证;
第一转发单元,被配置成响应于所述网络请求通过安全认证,将所述网络请求转发到后端服务。
8.根据权利要求7所述的装置,其中,所述确定单元,进一步被配置成:
通过正则匹配获取所述统一资源标识符中的目标标识;
根据预先建立的目标标识与安全认证算法的对应关系以及所获取的目标标识,确定待执行的安全认证算法。
9.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如权利要求1-6中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210225943.9A CN114584381A (zh) | 2022-03-07 | 2022-03-07 | 基于网关的安全认证方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210225943.9A CN114584381A (zh) | 2022-03-07 | 2022-03-07 | 基于网关的安全认证方法、装置、电子设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114584381A true CN114584381A (zh) | 2022-06-03 |
Family
ID=81773522
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210225943.9A Pending CN114584381A (zh) | 2022-03-07 | 2022-03-07 | 基于网关的安全认证方法、装置、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114584381A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115174180A (zh) * | 2022-06-28 | 2022-10-11 | 珠海奔图电子有限公司 | 认证方法、装置、服务器及存储介质 |
CN116226879A (zh) * | 2022-12-26 | 2023-06-06 | 易方达基金管理有限公司 | 服务接口访问控制方法、装置、计算机设备和存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103685244A (zh) * | 2013-11-28 | 2014-03-26 | 深圳大学 | 一种差异化认证方法及装置 |
US20150180859A1 (en) * | 2013-12-20 | 2015-06-25 | DeNA Co., Ltd. | Login requesting device and method for requesting login to server and storage medium storing a program used therefor |
CN106534150A (zh) * | 2016-11-29 | 2017-03-22 | 江苏通付盾科技有限公司 | 身份认证方法及系统、用户终端、网站服务器 |
CN110324328A (zh) * | 2019-06-26 | 2019-10-11 | 阿里巴巴集团控股有限公司 | 一种安全认证方法、系统及设备 |
CN113905380A (zh) * | 2021-11-01 | 2022-01-07 | 中国电信股份有限公司 | 接入层安全算法处理方法、系统、设备及存储介质 |
-
2022
- 2022-03-07 CN CN202210225943.9A patent/CN114584381A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103685244A (zh) * | 2013-11-28 | 2014-03-26 | 深圳大学 | 一种差异化认证方法及装置 |
US20150180859A1 (en) * | 2013-12-20 | 2015-06-25 | DeNA Co., Ltd. | Login requesting device and method for requesting login to server and storage medium storing a program used therefor |
CN106534150A (zh) * | 2016-11-29 | 2017-03-22 | 江苏通付盾科技有限公司 | 身份认证方法及系统、用户终端、网站服务器 |
CN110324328A (zh) * | 2019-06-26 | 2019-10-11 | 阿里巴巴集团控股有限公司 | 一种安全认证方法、系统及设备 |
CN113905380A (zh) * | 2021-11-01 | 2022-01-07 | 中国电信股份有限公司 | 接入层安全算法处理方法、系统、设备及存储介质 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115174180A (zh) * | 2022-06-28 | 2022-10-11 | 珠海奔图电子有限公司 | 认证方法、装置、服务器及存储介质 |
CN115174180B (zh) * | 2022-06-28 | 2023-10-27 | 珠海奔图电子有限公司 | 认证方法、装置、服务器及存储介质 |
CN116226879A (zh) * | 2022-12-26 | 2023-06-06 | 易方达基金管理有限公司 | 服务接口访问控制方法、装置、计算机设备和存储介质 |
CN116226879B (zh) * | 2022-12-26 | 2024-07-23 | 易方达基金管理有限公司 | 服务接口访问控制方法、装置、计算机设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112039826B (zh) | 应用于小程序端的登录方法和装置,电子设备,可读介质 | |
CN113179323B (zh) | 用于负载均衡设备的https请求处理方法、装置及系统 | |
US20100077467A1 (en) | Authentication service for seamless application operation | |
CN111199037B (zh) | 登录方法、系统和装置 | |
CN113742676B (zh) | 一种登录管理方法、装置、服务器、系统及存储介质 | |
CN113271296B (zh) | 一种登录权限管理的方法和装置 | |
CN114826733B (zh) | 文件传输方法、装置、系统、设备、介质以及程序产品 | |
CN114584381A (zh) | 基于网关的安全认证方法、装置、电子设备和存储介质 | |
CN112511565B (zh) | 请求响应方法、装置、计算机可读存储介质及电子设备 | |
CN111258602A (zh) | 信息更新方法和装置 | |
CN112202794A (zh) | 交易数据的保护方法、装置、电子设备和介质 | |
CN111049789B (zh) | 域名访问的方法和装置 | |
CN109150898B (zh) | 用于处理信息的方法和装置 | |
CN108449186B (zh) | 安全验证方法和装置 | |
EP4193568A1 (en) | Tenant aware mutual tls authentication | |
CN112905990A (zh) | 一种访问方法、客户端、服务端及访问系统 | |
CN116346486A (zh) | 联合登录方法、装置、设备及存储介质 | |
CN114785560B (zh) | 信息处理方法、装置、设备和介质 | |
CN114640524B (zh) | 用于处理交易重放攻击的方法、装置、设备及介质 | |
CN111885006B (zh) | 页面访问、授权访问方法和装置 | |
CN114090996A (zh) | 多方系统互信认证方法及装置 | |
CN110401674B (zh) | 数据访问方法、装置、系统、电子设备及计算机可读介质 | |
CN112767142A (zh) | 针对交易文件的处理方法、装置、计算设备和介质 | |
CN114553570B (zh) | 生成令牌的方法、装置、电子设备及存储介质 | |
CN113783835B (zh) | 一种口令分享方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |