CN114900366A - 一种云主机数据访问安全处理方法 - Google Patents
一种云主机数据访问安全处理方法 Download PDFInfo
- Publication number
- CN114900366A CN114900366A CN202210563874.2A CN202210563874A CN114900366A CN 114900366 A CN114900366 A CN 114900366A CN 202210563874 A CN202210563874 A CN 202210563874A CN 114900366 A CN114900366 A CN 114900366A
- Authority
- CN
- China
- Prior art keywords
- user
- token
- server
- page
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 11
- 230000009191 jumping Effects 0.000 claims abstract description 7
- 238000013475 authorization Methods 0.000 claims abstract description 4
- 238000012545 processing Methods 0.000 claims abstract description 4
- 238000012795 verification Methods 0.000 abstract description 9
- 230000010354 integration Effects 0.000 abstract 1
- 238000000034 method Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 239000000243 solution Substances 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种云主机数据访问安全处理方法,它包括如下步骤,第一步,用户登录界面输入账号密码,服务端验证用户账号密码,使用secret生成JWT令牌;然后将JWT令牌返回给客户端;第二步,客户端访问服务端的时候,在请求头中带上这个令牌,服务端使用secret去验证令牌是否合法;第三步,授权单元获取用户的权限数据并验证用户的权限;第四步,当用户有权限操作页面或页面元素时,跳转到页面,并由页面Controller提交业务数据处理请求到服务器。本发明架构简单安全,可以实现用户访问认证和校验,接口访问校验,数据返回安全校验,数据安全性变高,集成简便。
Description
技术领域
本发明涉及一种云主机数据访问安全处理方法。
背景技术
在当今数字化社会,数据即的财富,如客户信息、身份证号码、银行记录及其他财务信息。若此类数据泄露将造成不可挽回的损失,那么数据的安全将显得尤为重要。
数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。为了能够安全可控地使用数据,需要多种技术手段作为保障,这些技术手段一般包括访问控制技术、加密技术、数据备份和恢复技术、系统还原技术等多种技术手段。
到目前为止,大部分数据盗窃案起源于个体黑客对生产数据库的恶意侵入。针对此类袭击的防护措施和手段正在快速地变得成熟先进,但攻击者同样也在步步紧逼。尽管业界已经对最险恶的数据盗窃采取了应对措施,但许多计算机系统在某些层面上依然存在易受攻击的弱点。如(1)黑客通过B/S应用,以Web服务器为跳板,窃取数据库中数据;传统解决方案对应用访问和数据库访问协议没有任何控制能力,比如:SQL注入就是一个典型的数据库黑客攻击手段。(2)数据泄露常常发生在内部,大量的运维人员直接接触敏感数据,传统以防外为主的网络安全解决方案失去了用武之地。
发明内容
针对上述现有技术的不足,本发明提供了一种可以保障数据访问安全的云主机数据访问安全处理方法。
本发明解决其技术问题所采用的技术方案是:
一种云主机数据访问安全处理方法,它包括如下步骤,
第一步,用户登录界面输入账号密码,服务端验证用户账号密码,使用secret生成JWT令牌;然后将JWT令牌返回给客户端;
第二步,客户端访问服务端的时候,在请求头中带上这个令牌,服务端使用secret去验证令牌是否合法,合法则让用户访问服务器接口,不合法则拒绝;
第三步,用户进入服务器后,授权单元获取用户的权限数据并验证用户的权限,根据用户名,查找该用户的角色信息,并计算用户权限列表,封装数据后返回;
第四步,当用户有权限操作页面或页面元素时,跳转到页面,并由页面Controller提交业务数据处理请求到服务器;如果用户没有权限访问该页面或页面元素时,则显示“未授权的访问操作”,跳转到系统异常处理页面。
进一步的,在第一步中,在生成token的时候指定过期时间。
进一步的,所述JWT令牌结构包括头部、负载和签名,所述头部用来存放token的类型和编码方式;所述负载包括用户的声明信息,所述签名包括头部、负载和密钥的压缩包。
进一步的,所述密钥为私钥,且只有服务端知道。
本发明的有益效果是:
它架构简单安全,可以实现用户访问认证和校验,接口访问校验,数据返回安全校验,数据安全性变高,集成简便,并且实时保存日志记录,可对日志进行分析,提升对数据的保护能力。
附图说明
附图1为本发明的流程图;
具体实施方式
为了更好地理解本发明,下面结合附图来详细解释本发明的实施方式。
如附图1所示,本发明的一种云主机数据访问安全处理方法包括如下步骤,
第一步,用户在客户端打开浏览器后,在账号登录界面输入账号密码,服务端验证用户账号密码,账号认证通过后,使用secret生成JWT令牌;然后将JWT令牌返回给客户端后保存在本地客户端。所述JWT令牌结构包括头部(Header,下同)、负载(Payload,下同)和签名(Signature,下同),所述头部用来存放token的类型和编码方式,通常是使用base-64编码作为JWI令牌的第一部分。在生成token的时候指定过期时间,这样可以保证系统的安全。所述负载包括用户的声明信息,负载可以存放其它信息,比如用户信息和产品信息等,它也被Base64编码,作为JWT结构的第二部分。所述签名是头部和负载被Base64编码后加上一个私钥形成的,私钥只有服务端知道,头部、负载和签名使用头部里面的算法进行签名后生成JWT。
服务器并不保存token,它不像Token认证方式,拿到token还得去redis数据库验证,根据token得到对应值。一般情况下是用户的id,拿到用户id后,判断用户存不存在,用户不存在直接返回用户不存在。JWT提供了一个verify方法可以用于验证该Token是否有效。JWT令牌是按照某种规则生成的,它可以包含用户信息,比如我们把用户id或带有权限标识的用户JSON数据(做权限校验)存到JWT令牌,它第二次带着JWT令牌登录时,解析JWT令牌得到它的用户id,此时拿着用户id去查询那个用户信息,得到账号密码进行校验。
第二步,客户端访问服务端的时候,在请求头中带上这个JWT令牌,服务端使用secret(公钥)去验证JWT令牌是否合法,合法则让用户访问服务器接口,不合法则拒绝。
第三步,用户进入服务器后,授权单元获取用户的权限数据并验证用户的权限,根据用户名,查找该用户的角色信息,并计算用户权限列表,封装数据后返回;
第四步,当用户有权限操作页面或页面元素时,直接跳转到该页面,并由页面Controller提交业务数据处理请求到服务器,用户可以根据需要进行相关操作。如果用户没有权限访问该页面或页面元素时,则显示“未授权的访问操作”,跳转到系统异常处理页面。进一步的,在用户没有访问权限时若多次请求操作,系统可以触发防御系统进行锁定界面或其他安全防护措施。
需要说明的是,在本文中,未解释的专业术语为本领域的通用名称,未详细说明的方法步骤也是本领域技术人员的常识。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法或者设备所固有的要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (4)
1.一种云主机数据访问安全处理方法,其特征在于它包括如下步骤,
第一步,用户登录界面输入账号密码,服务端验证用户账号密码,使用secret生成JWT令牌;然后将JWT令牌返回给客户端;
第二步,客户端访问服务端的时候,在请求头中带上这个令牌,服务端使用secret去验证令牌是否合法,合法则让用户访问服务器接口,不合法则拒绝;
第三步,用户进入服务器后,授权单元获取用户的权限数据并验证用户的权限,根据用户名,查找该用户的角色信息,并计算用户权限列表,封装数据后返回;
第四步,当用户有权限操作页面或页面元素时,跳转到页面,并由页面Controller提交业务数据处理请求到服务器;如果用户没有权限访问该页面或页面元素时,则显示“未授权的访问操作”,跳转到系统异常处理页面。
2.如权利要求1所述的一种云主机数据访问安全处理方法,其特征在于,在生成token的时候指定过期时间。
3.如权利要求1所述的一种云主机数据访问安全处理方法,其特征在于,所述JWT令牌结构包括头部、负载和签名,所述头部用来存放token的类型和编码方式;所述负载包括用户的声明信息,所述签名包括头部、负载和密钥。
4.如权利要求3所述的一种云主机数据访问安全处理方法,其特征在于,所述密钥为私钥,且只有服务端知道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210563874.2A CN114900366A (zh) | 2022-05-23 | 2022-05-23 | 一种云主机数据访问安全处理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210563874.2A CN114900366A (zh) | 2022-05-23 | 2022-05-23 | 一种云主机数据访问安全处理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114900366A true CN114900366A (zh) | 2022-08-12 |
Family
ID=82723903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210563874.2A Pending CN114900366A (zh) | 2022-05-23 | 2022-05-23 | 一种云主机数据访问安全处理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114900366A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107528853A (zh) * | 2017-09-12 | 2017-12-29 | 上海艾融软件股份有限公司 | 微服务权限控制的实现方法 |
| CN110225050A (zh) * | 2019-06-20 | 2019-09-10 | 四川长虹电器股份有限公司 | Jwt令牌的管理方法 |
| CN113468577A (zh) * | 2021-07-23 | 2021-10-01 | 福建天晴在线互动科技有限公司 | 一种基于web架构的权限管理方法及系统 |
| CN113676336A (zh) * | 2021-10-22 | 2021-11-19 | 深圳市明源云采购科技有限公司 | 微服务访问代理方法、设备及存储介质 |
| CN113783695A (zh) * | 2021-08-03 | 2021-12-10 | 西北大学 | 一种微服务架构的客户端信息认证方法及系统 |
-
2022
- 2022-05-23 CN CN202210563874.2A patent/CN114900366A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107528853A (zh) * | 2017-09-12 | 2017-12-29 | 上海艾融软件股份有限公司 | 微服务权限控制的实现方法 |
| CN110225050A (zh) * | 2019-06-20 | 2019-09-10 | 四川长虹电器股份有限公司 | Jwt令牌的管理方法 |
| CN113468577A (zh) * | 2021-07-23 | 2021-10-01 | 福建天晴在线互动科技有限公司 | 一种基于web架构的权限管理方法及系统 |
| CN113783695A (zh) * | 2021-08-03 | 2021-12-10 | 西北大学 | 一种微服务架构的客户端信息认证方法及系统 |
| CN113676336A (zh) * | 2021-10-22 | 2021-11-19 | 深圳市明源云采购科技有限公司 | 微服务访问代理方法、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Fatima | E-banking security issues-Is there a solution in biometrics? | |
| US8171287B2 (en) | Access control system for information services based on a hardware and software signature of a requesting device | |
| CN110149328B (zh) | 接口鉴权方法、装置、设备及计算机可读存储介质 | |
| Scheirer et al. | Cracking fuzzy vaults and biometric encryption | |
| CN1703002A (zh) | 便携式一次性动态密码生成器以及使用其的安全认证系统 | |
| CN101163009A (zh) | 用户认证系统、认证服务器、终端以及防篡改设备 | |
| WO2008109661A2 (en) | Method and system for securely caching authentication elements | |
| WO2003034188A2 (en) | Method and system for detecting unauthorised executable programs _______________________________________________________________ | |
| US20010048359A1 (en) | Restriction method for utilization of computer file with use of biometrical information, method of logging in computer system and recording medium | |
| US20170046530A1 (en) | Distributed Cloud Storage System (DCSS) for secure, reliable storage and retrieval of data and computing objects | |
| CN109635593A (zh) | 电力系统中基于电力缴费终端的数据完整性存储保护方法 | |
| WO2022107591A1 (ja) | パスワード認証システム | |
| Gulsezim et al. | Two factor authentication using twofish encryption and visual cryptography algorithms for secure data communication | |
| US20090019289A1 (en) | Negative authentication system for a networked computer system | |
| CN110601854B (zh) | 一种授权客户端、配电终端设备及其授权方法 | |
| Manjula et al. | Pre-authorization and post-authorization techniques for detecting and preventing the session hijacking | |
| US20220277102A1 (en) | Process using one-way hashing function for secure collection, presentation and storage of PII | |
| CN114900366A (zh) | 一种云主机数据访问安全处理方法 | |
| Kang et al. | A study on the needs for enhancement of personal information protection in cloud computing security certification system | |
| Rizqi et al. | Enhanced authentication mechanism for Automated Teller Machine (ATM) through implementation of soft two-factor authentication | |
| CN111526010A (zh) | 一种适用于用户身份认证的密钥托管方法 | |
| CN112637247A (zh) | 一种构建匿名式实名注册装置的方法及装置 | |
| CN112529574A (zh) | 一种智能密码设备证书的保护方法及智能密码设备 | |
| Brintha et al. | Securing Banking Credentials from SQL Injection Attacks using AES Algorithm | |
| CN101227281A (zh) | 动态防窃密及身份认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220812 |