CN115865379A - 无状态分布式鉴权方法、客户端、鉴权服务器及介质 - Google Patents
无状态分布式鉴权方法、客户端、鉴权服务器及介质 Download PDFInfo
- Publication number
- CN115865379A CN115865379A CN202310168365.4A CN202310168365A CN115865379A CN 115865379 A CN115865379 A CN 115865379A CN 202310168365 A CN202310168365 A CN 202310168365A CN 115865379 A CN115865379 A CN 115865379A
- Authority
- CN
- China
- Prior art keywords
- storage area
- client
- token
- login request
- parameter information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及分布式鉴权技术领域,尤其涉及无状态分布式鉴权方法、客户端、鉴权服务器及介质。一种无状态分布式鉴权方法,应用于客户端,包括:通过第一方式获取第一存储区的参数信息;基于所述参数信息以及用户参数生成登录请求信息发送到鉴权服务器;接收所述鉴权服务器发送的基于所述登录请求信息生成的状态令牌,并将所述状态令牌存储在第一存储区。将通过鉴权服务器得到的状态令牌,进而将状态令牌存储到第一存储区,该第一存储区为特定区域,保证在客户端中的状态令牌不会被其他网站或通过其他途径获取到并使用,确定单一账户登录的令牌使用上的安全性,进一步提升用户登录的安全性。
Description
技术领域
本发明涉及分布式鉴权技术领域,尤其涉及无状态分布式鉴权方法、客户端、鉴权服务器及介质。
背景技术
目前身份令牌鉴权一般都是通过将令牌由鉴权服务器生成,再将令牌传输到客户端中,客户端将之存储在缓存中,当需要使用时,客户端会在缓存中获取令牌,访问数据库服务器返回令牌对应的用户基本信息。
但是处于缓存中的数据,有可能被非法使用,因此需要提供另外一种新的鉴权方式:将令牌的生成与存储区结合,同时将令牌存储在固定的存储区中,进一步提高令牌存储的安全性,同时提高登录账户的安全性。
发明内容
鉴于上述现有技术的不足之处,本发明的目的在于提供无状态分布式鉴权方法、客户端、鉴权服务器及介质,能够提升登录账户的安全性。
为了达到上述目的,本发明采取了以下技术方案:
一方面,本发明提供一种无状态分布式鉴权方法,应用于客户端,包括:
通过第一方式获取第一存储区的参数信息;
基于所述参数信息以及用户参数生成登录请求信息发送到鉴权服务器;
接收所述鉴权服务器发送的基于所述登录请求信息生成的状态令牌,并将所述状态令牌存储在第一存储区。
进一步的,还包括调用令牌步骤;
所述调用令牌步骤包括:
通过第一方式从所述第一存储区中获取所述状态令牌。
进一步的,所述第一存储区具有密保单元;
使用第一秘钥对所述密保单元进行解锁后,才能获取所述参数信息或所述状态令牌。
进一步的,所述第一存储区设置在预定移动存储装置上或为客户端的预定存储区;
在获取所述参数信息前,还包括:
确定是否具有所述参数信息的第一存储区;
若是,则获取所述参数信息;
若否,则提示构建所述第一存储区。
进一步的,所述第一存储区的构建步骤包括:
确定目标扇区组;所述目标扇区组包括一个或多个扇区;
通过所述鉴权服务器获取所述密保单元和参数信息,将所述参数信息写入到所述目标扇区组,并使用所述密保单元对所述目标扇区组进行加密得到第一存储区。
进一步的,还包括:
当所述第一存储区中的存储的状态令牌数量大于极限存储值时,按照先进先出原则删除旧的状态令牌,使第一存储区中存储的状态令牌的数量小于或等于所述极限存储值。
另一方面,本发明提供一种无状态分布式鉴权方法,应用于鉴权服务器,包括:
接收客户端发送的登录请求信息;所述登录请求信息由客户端基于第一存储区的参数信息和用户参数生成得到;所述参数信息通过第一方式得到;
基于所述登录请求信息生成状态令牌发送到所述客户端;其中,所述客户端得到所述状态令牌后,将所述状态令牌存储在第一存储区。
另一方面,本发明提供一种客户端,包括:
获取模块,用于通过第一方式获取第一存储区的参数信息;
第一处理模块,用于基于所述参数信息以及用户参数生成登录请求信息发送到鉴权服务器;接收所述鉴权服务器发送的基于所述登录请求信息生成的状态令牌,并将所述状态令牌存储在第一存储区。
另一方面,本发明提供一种鉴权服务器,包括:
交互模块,用于接收客户端发送的登录请求信息;所述登录请求信息由客户端基于第一存储区的参数信息和用户参数生成得到;所述参数信息通过第一方式得到;
第二处理模块,用于基于所述登录请求信息生成状态令牌发送到所述客户端;以使,所述客户端得到所述状态令牌后,将所述状态令牌存储在第一存储区。
另一方面,本发明提供一种计算机可读介质,存储有计算机程序,所述计算机程序被处理器执行时,实现任一所述的无状态分布式鉴权方法。
相较于现有技术,本发明提供的无状态分布式鉴权方法、客户端、鉴权服务器及介质,具有以下有益效果:
将通过鉴权服务器得到的状态令牌,进而将状态令牌存储到第一存储区,该第一存储区为特定区域,保证在客户端中的状态令牌不会被其他网站或通过其他途径获取到并使用,确定单一账户登录的令牌使用上的安全性,进一步提升用户登录的安全性。
附图说明
图1是本发明提供的应用于客户端的无状态分布式鉴权方法的流程图。
图2是本发明提供的应用于鉴权服务器的无状态分布式鉴权方法的流程图。
图3是本发明提供的客户端的结构框图。
图4是本发明提供的鉴权服务器的结构框图。
具体实施方式
为使本发明的目的、技术方案及效果更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本领域技术人员应当理解,前面的一般描述和下面的详细描述是本发明的示例性和说明性的具体实施例,不意图限制本发明。
本文中术语“包括”,“包含”或其任何其他变体旨在覆盖非排他性包括,使得包括步骤列表的过程或方法不仅包括那些步骤,而且可以包括未明确列出或此类过程或方法固有的其他步骤。同样,在没有更多限制的情况下,以“包含...一个”开头的一个或多个设备或子系统,元素或结构或组件也不会没有更多限制,排除存在其他设备或其他子系统或其他元素或其他结构或其他组件或其他设备或其他子系统或其他元素或其他结构或其他组件。在整个说明书中,短语“在一个实施例中”,“在另一个实施例中”的出现和类似的语言可以但不一定都指相同的实施例。
除非另有定义,否则本文中使用的所有技术和科学术语具有与本发明所属领域的普通技术人员通常所理解的相同含义。
请参阅图1,本发明提供一种无状态分布式鉴权方法,应用于客户端,所述客户端优选为手机、笔记本电脑、台式机等智能设备。
该无状态分布式鉴权方法中,所述客户端将登录请求信息发送到专门用于登录鉴权的鉴权服务器,进而接收所述鉴权服务器发送的状态令牌(token)并缓存,这样在登录其他的业务服务器时,就可以通过该状态令牌进行直接登录,方便快捷。
所述无状态分布式鉴权方法包括:
S1、通过第一方式获取第一存储区的参数信息;具体的,所述第一存储区主要用于存储所述状态令牌,进而保证针对一个特定平台的账户登录的状态令牌均存储在所述第一存储区,实现提高状态令牌的安全性。
进一步的,所述第一方式根据所述客户端与所述第一存储区之间的连接方式进行确定,若是使用有线连接(包括第一存储区与客户端之间通过USB数据线连接、或者第一存储区为客户端上存储器中的预定位置),则直接读取第一存储区中的数据即可;若是连接方式使用无线连接(主要为近距离通讯技术,例如蓝牙、NFC、紫蜂、WiFi等;即,此时所述第一存储区位于移动存储装置上),则使用对应的无线方式进行数据交互。
其中,若是使用NFC通讯技术,则第一存储区中还具有第一NFC读写模块、存储磁条和历史数据存储区,对应的所述客户端具有第二NFC读写模块。使用方式为:
客户端将状态令牌基于第二NFC读写模块间状态令牌(即token值)写入所述存储磁条;
第一NFC读写模块获取所述存储磁条中的状态令牌存储到历史数据存储区中。
当每次使用该状态令牌时,通过所述第二NFC读写模块读取存储磁条中的状态令牌数据即可。
即在使用过程中,该移动存储装置需与客户端的第二NFC读写模块贴合。
进一步的,作为优选方案,本实施例中,还包括调用令牌步骤;
所述调用令牌步骤包括:
通过第一方式从所述第一存储区中获取所述状态令牌。方便快速的调用状态令牌。
S2、基于所述参数信息以及用户参数生成登录请求信息发送到鉴权服务器;具体的,所述登录请求信息是以第一存储区的参数信息以及用户参数综合生成,
S3、接收所述鉴权服务器发送的基于所述登录请求信息生成的状态令牌,并将所述状态令牌存储在第一存储区。
进一步的,所述鉴权服务器在接收到所述登录请求信息后,还针对参数信息与在参数库中进行匹配,当个匹配到对应的参数信息后,才会结合所述用户参数(包括用户名、用户密码等基础参数)生成所述状态令牌。
将通过鉴权服务器得到的状态令牌,进而将状态令牌存储到第一存储区,该第一存储区为特定区域,保证在客户端中的状态令牌不会被其他网站或通过其他途径获取到并使用,确定单一账户登录使用上的安全性,进一步提升用户登录的安全性。
进一步的,作为优选方案,本实施例中,所述第一存储区具有密保单元;
使用第一秘钥对所述密保单元进行解锁后,才能获取所述参数信息或所述状态令牌。即所述第一存储区主要对应该系统平台建立,即只有通过所述密保单元解锁,才能使用该第一存储区,可以保证平台状态令牌的安全性。
进一步的,所述第一秘钥由鉴权服务器提供,当用户提供了正确的用户密码后,才能正确的获取所述第一秘钥,即虽然用户仅输入一次用户参数;但首先需要通过正确的用户参数才能得到第一秘钥,进而才能省所述登录请求信息,进行二次请求登录。进一步提升鉴权时的安全性。
进一步的,作为优选方案,本实施例中,所述第一存储区设置在预定移动存储装置上或为终端的预定存储区;即,本发明提供的分布式鉴权系统中,客户端需要将得到状态令牌存储在特定的第一存储区中,否则不与鉴权,将进一步提高状态令牌的安全性。同时,若是所述第一存储区设置在移动存储上,则还可以实现在外地动态的登录系统,不用局限于某一固定的终端设备的使用。
在获取所述参数信息前,还包括:
确定是否具有所述参数信息的第一存储区;
若是,则获取所述参数信息;
若否,则提示构建所述第一存储区。
进一步的,作为优选方案,本实施例中,所述第一存储区的构建步骤包括:
确定目标扇区组;所述目标扇区组包括一个或多个扇区;具体的,所述目标扇区组的确定,是客户端通过第一方式读取预定移动存储装置或客户端的预定存储区得到。
通过所述鉴权服务器获取所述密保单元和参数信息,将所述参数信息写入到所述目标扇区组,并使用所述密保单元对所述目标扇区组进行加密得到第一存储区。即,在本实施例中,所述第一存储区中的参数信息通过鉴权服务器得到,保证数据的安全性,同时该参数信息与客户端进行绑定,实现硬件构建绑定。
进一步的,所述第一存储区在构建完成后,可以选择与多个硬件设备共享使用,还可以是针对某一固定的客户端绑定使用,进一步提高安全性。
进一步的,无论该客户端登录的用户账户是否固定,均可以使用同一所述第一存储区进行使用,即只要第一存储区是正确的,即可登录对应的平台。
进一步的,若是所述第一存储区构建在预定移动存储设备上,可以实现与其他没有绑定的客户端进行使用,即只要客户端识别到该第一存储区,就可以获取对应的参数信息,以及将状态令牌存储在该第一存储区中,方便快捷。
进一步的,作为优选方案,本实施例中,还包括:
当所述第一存储区中的存储的状态令牌数量大于极限存储值时,按照先进先出原则删除旧的状态令牌,使第一存储区中存储的状态令牌的数量小于或等于所述极限存储值。具体的,所述极限存储值优选为设定为10000-50000条,具体可以根据实际需求设定。
进一步的,客户端还包括登录管理模块,用于根据状态令牌存储数据得到登录的账户信息、登录时间等,即可以通过第一存储区中的状态令牌进行登录数据的存储与管理,方便查看使用该第一存储区登录过的账户的登录情况,方便快捷。
相应的,请参阅图2,本发明还提供一种无状态分布式鉴权方法,应用于鉴权服务器,包括:
接收客户端发送的登录请求信息;所述登录请求信息由客户端基于第一存储区的参数信息和用户参数生成得到;所述参数信息通过第一方式得到;
基于所述登录请求信息生成状态令牌发送到所述客户端;其中,所述客户端得到所述状态令牌后,将所述状态令牌存储在第一存储区。具体的,生成所述状态令牌(token)的过程本发明不做限定,本领域的技术人员可以根据实际需求选择合适的方式生成该状态令牌。
相应的,请参阅图3,本发明还提供一种客户端,包括:
获取模块,用于通过第一方式获取第一存储区的参数信息;
第一处理模块,用于基于所述参数信息以及用户参数生成登录请求信息发送到鉴权服务器;接收所述鉴权服务器发送的基于所述登录请求信息生成的状态令牌,并将所述状态令牌存储在第一存储区。
相应的,请参阅图4,本发明还提供一种鉴权服务器,包括:
交互模块,用于接收客户端发送的登录请求信息;所述登录请求信息由客户端基于第一存储区的参数信息和用户参数生成得到;所述参数信息通过第一方式得到;
第二处理模块,用于基于所述登录请求信息生成状态令牌发送到所述客户端;以使,所述客户端得到所述状态令牌后,将所述状态令牌存储在第一存储区。
相应的,本发明还提供一种计算机可读介质,存储有计算机程序,所述计算机程序被处理器执行时,实现前述任一实施例所述的无状态分布式鉴权方法。
计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。
可以理解的是,对本领域普通技术人员来说,可以根据本发明的技术方案及其发明构思加以等同替换或改变,而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。
Claims (10)
1.一种无状态分布式鉴权方法,其特征在于,应用于客户端,包括:
通过第一方式获取第一存储区的参数信息;
基于所述参数信息以及用户参数生成登录请求信息发送到鉴权服务器;
接收所述鉴权服务器发送的基于所述登录请求信息生成的状态令牌,并将所述状态令牌存储在第一存储区。
2.根据权利要求1所述的无状态分布式鉴权方法,其特征在于,还包括调用令牌步骤;
所述调用令牌步骤包括:
通过第一方式从所述第一存储区中获取所述状态令牌。
3.根据权利要求2所述的无状态分布式鉴权方法,其特征在于,所述第一存储区具有密保单元;
使用第一秘钥对所述密保单元进行解锁后,才能获取所述参数信息或所述状态令牌。
4.根据权利要求3所述的无状态分布式鉴权方法,其特征在于,所述第一存储区设置在预定移动存储装置上或为客户端的预定存储区;
在获取所述参数信息前,还包括:
确定是否具有所述参数信息的第一存储区;
若是,则获取所述参数信息;
若否,则提示构建所述第一存储区。
5.根据权利要求3所述的无状态分布式鉴权方法,其特征在于,所述第一存储区的构建步骤包括:
确定目标扇区组;所述目标扇区组包括一个或多个扇区;
通过所述鉴权服务器获取所述密保单元和参数信息,将所述参数信息写入到所述目标扇区组,并使用所述密保单元对所述目标扇区组进行加密得到第一存储区。
6.根据权利要求1所述的无状态分布式鉴权方法,其特征在于,还包括:
当所述第一存储区中的存储的状态令牌数量大于极限存储值时,按照先进先出原则删除旧的状态令牌,使第一存储区中存储的状态令牌的数量小于或等于所述极限存储值。
7.一种无状态分布式鉴权方法,其特征在于,应用于鉴权服务器,包括:
接收客户端发送的登录请求信息;所述登录请求信息由客户端基于第一存储区的参数信息和用户参数生成得到;所述参数信息通过第一方式得到;
基于所述登录请求信息生成状态令牌发送到所述客户端;其中,所述客户端得到所述状态令牌后,将所述状态令牌存储在第一存储区。
8.一种客户端,其特征在于,包括:
获取模块,用于通过第一方式获取第一存储区的参数信息;
第一处理模块,用于基于所述参数信息以及用户参数生成登录请求信息发送到鉴权服务器;接收所述鉴权服务器发送的基于所述登录请求信息生成的状态令牌,并将所述状态令牌存储在第一存储区。
9.一种鉴权服务器,其特征在于,包括:
交互模块,用于接收客户端发送的登录请求信息;所述登录请求信息由客户端基于第一存储区的参数信息和用户参数生成得到;所述参数信息通过第一方式得到;
第二处理模块,用于基于所述登录请求信息生成状态令牌发送到所述客户端;以使,所述客户端得到所述状态令牌后,将所述状态令牌存储在第一存储区。
10.一种计算机可读介质,其特征在于,存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1-7任一所述的无状态分布式鉴权方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310168365.4A CN115865379B (zh) | 2023-02-27 | 2023-02-27 | 无状态分布式鉴权方法、客户端、鉴权服务器及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310168365.4A CN115865379B (zh) | 2023-02-27 | 2023-02-27 | 无状态分布式鉴权方法、客户端、鉴权服务器及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115865379A true CN115865379A (zh) | 2023-03-28 |
| CN115865379B CN115865379B (zh) | 2023-05-30 |
Family
ID=85659040
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310168365.4A Active CN115865379B (zh) | 2023-02-27 | 2023-02-27 | 无状态分布式鉴权方法、客户端、鉴权服务器及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115865379B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7240192B1 (en) * | 2003-03-12 | 2007-07-03 | Microsoft Corporation | Combining a browser cache and cookies to improve the security of token-based authentication protocols |
| CN103391197A (zh) * | 2013-07-19 | 2013-11-13 | 武汉大学 | 一种基于手机令牌和NFC技术的Web身份认证方法 |
| CN109327477A (zh) * | 2018-12-06 | 2019-02-12 | 泰康保险集团股份有限公司 | 认证鉴权方法、装置及存储介质 |
| CN109587126A (zh) * | 2018-11-26 | 2019-04-05 | 平安科技(深圳)有限公司 | 用户鉴权方法和系统 |
| CN111783067A (zh) * | 2016-05-09 | 2020-10-16 | 阿里巴巴集团控股有限公司 | 多网站间的自动登录方法及装置 |
| CN114338212A (zh) * | 2021-12-31 | 2022-04-12 | 航天信息股份有限公司 | 身份验证令牌管理方法、装置、电子设备及可读存储介质 |
-
2023
- 2023-02-27 CN CN202310168365.4A patent/CN115865379B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7240192B1 (en) * | 2003-03-12 | 2007-07-03 | Microsoft Corporation | Combining a browser cache and cookies to improve the security of token-based authentication protocols |
| CN103391197A (zh) * | 2013-07-19 | 2013-11-13 | 武汉大学 | 一种基于手机令牌和NFC技术的Web身份认证方法 |
| CN111783067A (zh) * | 2016-05-09 | 2020-10-16 | 阿里巴巴集团控股有限公司 | 多网站间的自动登录方法及装置 |
| CN109587126A (zh) * | 2018-11-26 | 2019-04-05 | 平安科技(深圳)有限公司 | 用户鉴权方法和系统 |
| CN109327477A (zh) * | 2018-12-06 | 2019-02-12 | 泰康保险集团股份有限公司 | 认证鉴权方法、装置及存储介质 |
| CN114338212A (zh) * | 2021-12-31 | 2022-04-12 | 航天信息股份有限公司 | 身份验证令牌管理方法、装置、电子设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115865379B (zh) | 2023-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107480555B (zh) | 基于区块链的数据库访问权限控制方法及设备 | |
| CN109510849B (zh) | 云存储的帐号鉴权方法和装置 | |
| CN109150835B (zh) | 云端数据存取的方法、装置、设备及计算机可读存储介质 | |
| US8880027B1 (en) | Authenticating to a computing device with a near-field communications card | |
| CN106341234B (zh) | 一种授权方法及装置 | |
| CN111030812A (zh) | 令牌验证方法、装置、存储介质及服务器 | |
| CN104144419A (zh) | 一种身份验证的方法、装置及系统 | |
| CN106878250B (zh) | 跨应用的单态登录方法及装置 | |
| CN103139200A (zh) | 一种web service单点登录的方法 | |
| CN105516055B (zh) | 数据访问方法、访问设备、目标设备及管理服务器 | |
| CN113132404B (zh) | 身份认证方法、终端及存储介质 | |
| KR102248249B1 (ko) | 복수의 브라우저를 이용한 did 시스템 및 그것의 제어방법 | |
| CN111431920A (zh) | 一种基于动态令牌的安全控制方法及系统 | |
| CN111460400A (zh) | 一种数据处理方法、装置及计算机可读存储介质 | |
| CN105022939A (zh) | 信息验证方法及装置 | |
| CN101437227B (zh) | 一种应用访问控制系统和方法 | |
| CN103532989A (zh) | 文件数据的下载方法 | |
| CN107645474B (zh) | 登录开放平台的方法及登录开放平台的装置 | |
| CN110706143A (zh) | 基于政务服务的身份认证方法及装置 | |
| CN111988262A (zh) | 认证方法、装置及服务器、存储介质 | |
| CN111090616B (zh) | 一种文件管理方法、对应装置、设备及存储介质 | |
| CN117375986A (zh) | 一种应用访问方法、装置、服务器 | |
| CN115865379B (zh) | 无状态分布式鉴权方法、客户端、鉴权服务器及介质 | |
| CN111314343A (zh) | 账号管理方法、装置及可读存储介质 | |
| CN105550558B (zh) | 一种指纹读取方法及用户设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |