CN115913671A - 基于零信任网关的令牌注入访问方法、装置、电子设备和存储介质 - Google Patents
基于零信任网关的令牌注入访问方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN115913671A CN115913671A CN202211364576.7A CN202211364576A CN115913671A CN 115913671 A CN115913671 A CN 115913671A CN 202211364576 A CN202211364576 A CN 202211364576A CN 115913671 A CN115913671 A CN 115913671A
- Authority
- CN
- China
- Prior art keywords
- token
- access request
- client terminal
- url
- cookie
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种基于零信任网关的令牌注入访问方法、装置、电子设备和存储介质。其中,基于零信任网关的令牌注入访问方法包括:接收客户终端发送的访问请求;确定访问请求为针对目标应用的第一个页面请求,并提取访问请求的url携带的令牌;将访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为访问请求的url;基于跳转域名和响应头构建应答信息,并将应答信息返回至客户终端,以使客户终端将应答信息携带的令牌存入本地cookie,并基于应答信息中的跳转域名跳转至零信任网关,以及,使客户终端针对目标应用发起的后续请求携带本地cookie。本申请能够减少网关拆包注入令牌的次数,从而提高网关并发性能。
Description
技术领域
本申请涉及计算机领域,具体而言,涉及一种基于零信任网关的令牌注入访问方法、装置、电子设备和存储介质。
背景技术
通常,客户终端可向应用服务器发起访问请求,以获取应用服务器提供的资源,然而在一些场景中,需要对客户终端的访问请求进行控制,例如,需要实现只有符合条件的客户终端才能够访问应用服务器这一功能。
进一步地,现有技术是通过网络中的两个安全网关实现上述功能,其中,两个安全网关中的一个安全网关用于生成身份标识令牌,并将身份标识令牌注入到客户终端的访问请求中,而第二安全网关对访问请求中的身份标识令牌进行校验,并在身份标识令牌校验通过后,使客户终端与应用服务器通信连接,最终使客户终端能够访问应用服务器提供的资源。
在上述现有技术中,第一个安全网关需要对每一个访问请求进行拆包解析,从而将身份标识令牌注入到访问请求,例如,针对客户终端先后发起的6个访问请求,第一个安全网关需要对6个访问请求进行拆包解析并注入身份标识令牌,即第一个安全网关需要执行6遍拆包解析、注入过程,这样一来,第一个安全网关的并发处理能力就会下降。由此可知,现有技术存在网关并发性能低的缺点。
发明内容
本申请实施例的目的在于提供一种基于零信任网关的令牌注入访问方法、装置、电子设备和存储介质,用以减少网关拆包注入令牌的次数,从而提高网关并发性能。
第一方面,本发明提供一种基于零信任网关的令牌注入访问方法,所述方法应用于零信任网关,所述方法包括:
接收客户终端发送的访问请求;
判断所述访问请求的url是否携带令牌和判断所述访问请求中的cookie是否携带令牌;
当所述访问请求的url携带令牌,所述访问请求中的cookie没有携带令牌时,确定所述访问请求为针对目标应用的第一个页面请求,并提取所述访问请求的url携带的令牌;
将所述访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为所述访问请求的url;
基于所述跳转域名和所述响应头构建应答信息,并将所述应答信息返回至所述客户终端,以使所述客户终端将所述应答信息携带的令牌存入本地cookie,并基于所述应答信息中的所述跳转域名跳转至所述零信任网关,以及,使所述客户终端针对所述目标应用发起的后续请求携带所述本地cookie。
在本申请第一方面中,通过接收客户终端发送的访问请求,和判断所述访问请求的url是否携带令牌和判断所述访问请求中的cookie是否携带令牌,进而当所述访问请求的url携带令牌,所述访问请求中的cookie没有携带令牌时,能够确定所述访问请求为针对目标应用的第一个页面请求,并提取所述访问请求的url携带的令牌,进而通过将所述访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为所述访问请求的url,能够基于所述跳转域名和所述响应头构建应答信息,并将所述应答信息返回至所述客户终端,以使所述客户终端将所述应答信息携带的令牌存入本地cookie,并基于所述应答信息中的所述跳转域名跳转至所述零信任网关,以及,使所述客户终端针对所述目标应用发起的后续请求携带所述本地cookie。
与现有技术相比,本申请能够在客户终端发起第一个页面请求后,将令牌注入到响应头的设置cookie字段,使客户终端能够将令牌保存到本地cookie中,进而在针对目标应用的后续请求中,携带令牌,这样一来,网关就需要在针对目标应用的后续请求中,注入令牌,从而能够减少网关拆包注入令牌的次数,从而能够提高网关并发处理性能。
在可选的实施方式中,所述方法还包括:
当所述客户终端基于所述应答信息中的所述跳转域名跳转至所述零信任网关时,对所述访问请求的url携带的令牌进行校验,并在所述令牌校验通过后,允许所述客户终端与应用程序服务器之间的通信连接。
在上述可选的实施方式中,当所述客户终端基于所述应答信息中的所述跳转域名跳转至所述零信任网关时,通过对所述访问请求的url携带的令牌进行校验,能够在所述令牌校验通过后,允许所述客户终端与应用程序服务器之间的通信连接。
在可选的实施方式中,所述方法还包括:
当接收到所述客户终端针对所述目标应用发送的后续请求时,提取所述后续请求携带的所述本地cookie;
基于所述本地cookie提取所述令牌;
对所述令牌进行校验,并在所述令牌校验通过后,允许所述客户终端与应用程序服务器之间的通信连接。
在上述可选的实施方式中,当接收到所述客户终端针对所述目标应用发送的后续请求时,通过提取所述后续请求携带的所述本地cookie,进而能够基于所述本地cookie提取所述令牌,进而能够对所述令牌进行校验,并在所述令牌校验通过后,允许所述客户终端与应用程序服务器之间的通信连接。
在可选的实施方式中,所述方法还包括:
将基于所述本地cookie提取的所述令牌作为第一令牌;
基于所述后续请求的url提取第二令牌;
将所述第一令牌与所述第二令牌进行比对,若所述第一令牌与所述第二令牌不相同,则将所述第二令牌注入到所述响应头中的设置cookie字段,并将跳转域名设置为所述后续请求的url,以使所述客户终端基于所述第二令牌更新所述本地cookie,并基于所述后续请求的url跳转至所述零信任网关,以及,使所述客户终端基于更新后的所述本地cookie发起请求。
在上述可选的实施方式中,通过将基于所述本地cookie提取的所述令牌作为第一令牌,和基于所述后续请求的url提取第二令牌,进而能够将所述第一令牌与所述第二令牌进行比对,若所述第一令牌与所述第二令牌不相同,则能够将所述第二令牌注入到所述响应头中的设置cookie字段,并将跳转域名设置为所述后续请求的url,以使所述客户终端基于所述第二令牌更新所述本地cookie,并基于所述后续请求的url跳转至所述零信任网关,以及,使所述客户终端基于更新后的所述本地cookie发起请求。
在可选的实施方式中,所述方法还包括:
接收所述应用程序服务器返回的响应数据;
对所述响应数据进行过滤,以过滤所述响应数据中的敏感信息;
将过滤后的所述响应数据发送给所述客户终端。
在上述可选的实施方式中,通过接收所述应用程序服务器返回的响应数据,进而能够对所述响应数据进行过滤,以过滤所述响应数据中的敏感信息,从而能够将过滤后的所述响应数据发送给所述客户终端。
在可选的实施方式中,所述访问请求的url携带的所述令牌由认证服务在所述客户终端认证通过后生成。
在上述可选的实施方式中,访问请求的url携带的所述令牌由认证服务在所述客户终端认证通过后生成,因此不需要网关生成令牌,从而能够进一步提高网关的并发处理能力。
在可选的实施方式中,所述后续请求包括针对所述目标应用的静态资源获取请求、针对所述目标应用的接口请求。
在上述可选的实施方式中,网关不需要在针对目标应用的静态资源获取请求中注入令牌,和在针对所述目标应用的接口请求注入令牌。
第二方面,本发明提供一种基于零信任网关的令牌注入访问装置,所述装置应用于零信任网关,所述装置包括:
接收模块,用于接收客户终端发送的访问请求;
判断模块,用于判断所述访问请求的url是否携带令牌和判断所述访问请求中的cookie是否携带令牌;
确定模块,用于当所述访问请求的url携带令牌,所述访问请求中的cookie没有携带令牌时,确定所述访问请求为针对目标应用的第一个页面请求,并提取所述访问请求的url携带的令牌;
注入模块,用于将所述访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为所述访问请求的url;
响应模块,用于基于所述跳转域名和所述响应头构建应答信息,并将所述应答信息返回至所述客户终端,以使所述客户终端将所述应答信息携带的令牌存入本地cookie,并基于所述应答信息中的所述跳转域名跳转至所述零信任网关,以及,使所述客户终端针对所述目标应用发起的后续请求携带所述本地cookie。
本申请通过接收客户终端发送的访问请求,和判断所述访问请求的url是否携带令牌和判断所述访问请求中的cookie是否携带令牌,进而当所述访问请求的url携带令牌,所述访问请求中的cookie没有携带令牌时,能够确定所述访问请求为针对目标应用的第一个页面请求,并提取所述访问请求的url携带的令牌,进而通过将所述访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为所述访问请求的url,能够基于所述跳转域名和所述响应头构建应答信息,并将所述应答信息返回至所述客户终端,以使所述客户终端将所述应答信息携带的令牌存入本地cookie,并基于所述应答信息中的所述跳转域名跳转至所述零信任网关,以及,使所述客户终端针对所述目标应用发起的后续请求携带所述本地cookie。
与现有技术相比,本申请能够在客户终端发起第一个页面请求后,将令牌注入到响应头的设置cookie字段,使客户终端能够将令牌保存到本地cookie中,进而在针对目标应用的后续请求中,携带令牌,这样一来,网关就需要在针对目标应用的后续请求中,注入令牌,从而能够减少网关拆包注入令牌的次数,从而能够提高网关并发处理性能。
第三方面,本发明提供一种电子设备,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如前述实施方式任一项所述的基于零信任网关的令牌注入访问方法。
本申请的电子设备通过执行基于零信任网关的令牌注入访问方法,进而能够接收客户终端发送的访问请求,和判断所述访问请求的url是否携带令牌和判断所述访问请求中的cookie是否携带令牌,进而当所述访问请求的url携带令牌,所述访问请求中的cookie没有携带令牌时,能够确定所述访问请求为针对目标应用的第一个页面请求,并提取所述访问请求的url携带的令牌,进而通过将所述访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为所述访问请求的url,能够基于所述跳转域名和所述响应头构建应答信息,并将所述应答信息返回至所述客户终端,以使所述客户终端将所述应答信息携带的令牌存入本地cookie,并基于所述应答信息中的所述跳转域名跳转至所述零信任网关,以及,使所述客户终端针对所述目标应用发起的后续请求携带所述本地cookie。
与现有技术相比,本申请能够在客户终端发起第一个页面请求后,将令牌注入到响应头的设置cookie字段,使客户终端能够将令牌保存到本地cookie中,进而在针对目标应用的后续请求中,携带令牌,这样一来,网关就需要在针对目标应用的后续请求中,注入令牌,从而能够减少网关拆包注入令牌的次数,从而能够提高网关并发处理性能。
第四方面,本发明提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如前述实施方式任一项所述的基于零信任网关的令牌注入访问方法。
本申请的存储介质通过执行基于零信任网关的令牌注入访问方法,进而能够接收客户终端发送的访问请求,和判断所述访问请求的url是否携带令牌和判断所述访问请求中的cookie是否携带令牌,进而当所述访问请求的url携带令牌,所述访问请求中的cookie没有携带令牌时,能够确定所述访问请求为针对目标应用的第一个页面请求,并提取所述访问请求的url携带的令牌,进而通过将所述访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为所述访问请求的url,能够基于所述跳转域名和所述响应头构建应答信息,并将所述应答信息返回至所述客户终端,以使所述客户终端将所述应答信息携带的令牌存入本地cookie,并基于所述应答信息中的所述跳转域名跳转至所述零信任网关,以及,使所述客户终端针对所述目标应用发起的后续请求携带所述本地cookie。
与现有技术相比,本申请能够在客户终端发起第一个页面请求后,将令牌注入到响应头的设置cookie字段,使客户终端能够将令牌保存到本地cookie中,进而在针对目标应用的后续请求中,携带令牌,这样一来,网关就需要在针对目标应用的后续请求中,注入令牌,从而能够减少网关拆包注入令牌的次数,从而能够提高网关并发处理性能。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本申请实施例公开的一种零信任网关的令牌注入访问方法的流程示意图;
图2是本申请实施例公开的一种零信任网关的令牌注入访问装置的结构示意图;
图3是本申请实施例公开的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一
请参阅图1,图1是本申请实施例公开的一种零信任网关的令牌注入访问方法的流程示意图,其中,零信任网关的令牌注入访问方法应用于零信任网关。如图1所示,本申请实施例的方法包括以下步骤:
101、接收客户终端发送的访问请求;
102、判断访问请求的url是否携带令牌和判断访问请求中的cookie是否携带令牌;
103、当访问请求的url携带令牌,访问请求中的cookie没有携带令牌时,确定访问请求为针对目标应用的第一个页面请求,并提取访问请求的url携带的令牌;
104、将访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为访问请求的url;
105、基于跳转域名和响应头构建应答信息,并将应答信息返回至客户终端,以使客户终端将应答信息携带的令牌存入本地cookie,并基于应答信息中的跳转域名跳转至零信任网关,以及,使客户终端针对目标应用发起的后续请求携带本地cookie。
在本申请实施例中,通过接收客户终端发送的访问请求,和判断访问请求的url是否携带令牌和判断访问请求中的cookie是否携带令牌,进而当访问请求的url携带令牌,访问请求中的cookie没有携带令牌时,能够确定访问请求为针对目标应用的第一个页面请求,并提取访问请求的url携带的令牌,进而通过将访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为访问请求的url,能够基于跳转域名和响应头构建应答信息,并将应答信息返回至客户终端,以使客户终端将应答信息携带的令牌存入本地cookie,并基于应答信息中的跳转域名跳转至零信任网关,以及,使客户终端针对目标应用发起的后续请求携带本地cookie。
与现有技术相比,本申请实施例能够在客户终端发起第一个页面请求后,将令牌注入到响应头的设置cookie字段,使客户终端能够将令牌保存到本地cookie中,进而在针对目标应用的后续请求中,携带令牌,这样一来,网关就需要在针对目标应用的后续请求中,注入令牌,从而能够减少网关拆包注入令牌的次数,从而能够提高网关并发处理性能。
在本申请实施例中,示例性,假设客户终端需要访问应用程序服务器的A页面和A页面所需数据,则客户终端向零信任网关发起访问请求,进而当网关判断出该访问请求为针对A页面时,则通过响应头向客户终端返回令牌,使客户终端在获取到A页面之后,针对A页面的静态资源访问请求等后续请求中携带令牌,这样一来,网关不需要在后续请求中注入令牌。
在本申请实施例中,针对步骤101,客户终端可以是指浏览器,对此本申请实施例不作限定。
在本申请实施例中,针对步骤102和103,访问请求的url是指统一资源定位符(Uniform Resource Locator)。进一步地,如果访问请求是针对目标应用的第一页面请求,则说明客户终端在此之前没有访问过目标应用,因此,网关没有将令牌返回给客户终端,进而客户终端的本地cookie没有携带令牌,进而基于本地cookie生成的访问请求没有携带令牌。
在本申请实施例中,针对步骤104,在客户终端将令牌存入本地cookie后,可基于跳转域名跳转至零信任网关,及基于跳转域名重新访问零信任网关。
在本申请实施例中,零信任网关是指处于零信任网络中的网关,其中,本申请实施例的零信任网关可以是指零信任网络的一个网关,也可以是指两个网关,例如,当零信任网关指零信任网络的一个网关时,一个网关可以专用于检测访问请求中是否携带令牌,而另一个网关可以专用于对令牌进行校验。
在本申请实施例中,令牌可以包括应用令牌和用户令牌。
在可选的实施方式中,本申请实施例方法还包括以下步骤:
当客户终端基于应答信息中的跳转域名跳转至零信任网关时,对访问请求的url携带的令牌进行校验,并在令牌校验通过后,允许客户终端与应用程序服务器之间的通信连接。
在上述可选的实施方式中,当客户终端基于应答信息中的跳转域名跳转至零信任网关时,通过对访问请求的url携带的令牌进行校验,能够在令牌校验通过后,允许客户终端与应用程序服务器之间的通信连接。
在可选的实施方式中,本申请实施例中的方法还包括以下步骤:
当接收到客户终端针对目标应用发送的后续请求时,提取后续请求携带的本地cookie;
基于本地cookie提取令牌;
对令牌进行校验,并在令牌校验通过后,允许客户终端与应用程序服务器之间的通信连接。
在上述可选的实施方式中,当接收到客户终端针对目标应用发送的后续请求时,通过提取后续请求携带的本地cookie,进而能够基于本地cookie提取令牌,进而能够对令牌进行校验,并在令牌校验通过后,允许客户终端与应用程序服务器之间的通信连接。
在可选的实施方式中,本申请实施例的方法还包括以下步骤:
将基于本地cookie提取的令牌作为第一令牌;
基于后续请求的url提取第二令牌;
将第一令牌与第二令牌进行比对,若第一令牌与第二令牌不相同,则将第二令牌注入到响应头中的设置cookie字段,并将跳转域名设置为后续请求的url,以使客户终端基于第二令牌更新本地cookie,并基于后续请求的url跳转至零信任网关,以及,使客户终端基于更新后的本地cookie发起请求。
在上述可选的实施方式中,通过将基于本地cookie提取的令牌作为第一令牌,和基于后续请求的url提取第二令牌,进而能够将第一令牌与第二令牌进行比对,若第一令牌与第二令牌不相同,则能够将第二令牌注入到响应头中的设置cookie字段,并将跳转域名设置为后续请求的url,以使客户终端基于第二令牌更新本地cookie,并基于后续请求的url跳转至零信任网关,以及,使客户终端基于更新后的本地cookie发起请求。
在可选的实施方式中,本申请实施例的方法还包括以下步骤:
接收应用程序服务器返回的响应数据;
对响应数据进行过滤,以过滤响应数据中的敏感信息;
将过滤后的响应数据发送给客户终端。
在上述可选的实施方式中,通过接收应用程序服务器返回的响应数据,进而能够对响应数据进行过滤,以过滤响应数据中的敏感信息,从而能够将过滤后的响应数据发送给客户终端。
在上述可选的实施方式中,认证
在可选的实施方式中,访问请求的url携带的令牌由认证服务在客户终端认证通过后生成。
在上述可选的实施方式中,访问请求的url携带的令牌由认证服务在客户终端认证通过后生成,因此不需要网关生成令牌,从而能够进一步提高网关的并发处理能力。
在可选的实施方式中,后续请求包括针对目标应用的静态资源获取请求、针对目标应用的接口请求。
在上述可选的实施方式中,网关不需要在针对目标应用的静态资源获取请求中注入令牌,和在针对目标应用的接口请求注入令牌。
实施例二
请参阅图2,图2是本申请实施例公开的一种基于零信任网关的令牌注入访问装置的结构示意图,该装置应用于零信任网关,如图2所示,本申请实施例的装置包括以下功能模块:
接收模块201,用于接收客户终端发送的访问请求;
判断模块202,用于判断访问请求的url是否携带令牌和判断访问请求中的cookie是否携带令牌;
确定模块203,用于当访问请求的url携带令牌,访问请求中的cookie没有携带令牌时,确定访问请求为针对目标应用的第一个页面请求,并提取访问请求的url携带的令牌;
注入模块204,用于将访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为访问请求的url;
响应模块205,用于基于跳转域名和响应头构建应答信息,并将应答信息返回至客户终端,以使客户终端将应答信息携带的令牌存入本地cookie,并基于应答信息中的跳转域名跳转至零信任网关,以及,使客户终端针对目标应用发起的后续请求携带本地cookie。
本申请实施例通过接收客户终端发送的访问请求,和判断访问请求的url是否携带令牌和判断访问请求中的cookie是否携带令牌,进而当访问请求的url携带令牌,访问请求中的cookie没有携带令牌时,能够确定访问请求为针对目标应用的第一个页面请求,并提取访问请求的url携带的令牌,进而通过将访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为访问请求的url,能够基于跳转域名和响应头构建应答信息,并将应答信息返回至客户终端,以使客户终端将应答信息携带的令牌存入本地cookie,并基于应答信息中的跳转域名跳转至零信任网关,以及,使客户终端针对目标应用发起的后续请求携带本地cookie。
与现有技术相比,本申请实施例能够在客户终端发起第一个页面请求后,将令牌注入到响应头的设置cookie字段,使客户终端能够将令牌保存到本地cookie中,进而在针对目标应用的后续请求中,携带令牌,这样一来,网关就需要在针对目标应用的后续请求中,注入令牌,从而能够减少网关拆包注入令牌的次数,从而能够提高网关并发处理性能。
需要说明的是,关于本申请实施例的装置的其他详细说明,请参阅本申请实施例一的相关说明,本申请实施例对此不作赘述。
实施例三
请参阅图3,图3是本申请实施例公开的一种电子设备的结构示意图,如图3所示,本申请实施例的电子设备包括:
处理器301;以及
存储器302,配置用于存储机器可读指令,指令在由处理器301执行时,执行如前述实施方式任一项的基于零信任网关的令牌注入访问方法。
本申请实施例的电子设备通过执行基于零信任网关的令牌注入访问方法,进而能够接收客户终端发送的访问请求,和判断访问请求的url是否携带令牌和判断访问请求中的cookie是否携带令牌,进而当访问请求的url携带令牌,访问请求中的cookie没有携带令牌时,能够确定访问请求为针对目标应用的第一个页面请求,并提取访问请求的url携带的令牌,进而通过将访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为访问请求的url,能够基于跳转域名和响应头构建应答信息,并将应答信息返回至客户终端,以使客户终端将应答信息携带的令牌存入本地cookie,并基于应答信息中的跳转域名跳转至零信任网关,以及,使客户终端针对目标应用发起的后续请求携带本地cookie。
与现有技术相比,本申请实施例能够在客户终端发起第一个页面请求后,将令牌注入到响应头的设置cookie字段,使客户终端能够将令牌保存到本地cookie中,进而在针对目标应用的后续请求中,携带令牌,这样一来,网关就需要在针对目标应用的后续请求中,注入令牌,从而能够减少网关拆包注入令牌的次数,从而能够提高网关并发处理性能。
实施例四
本申请实施例提供一种存储介质,存储介质存储有计算机程序,计算机程序被处理器执行如前述实施方式任一项的基于零信任网关的令牌注入访问方法。
本申请实施例的存储介质通过执行基于零信任网关的令牌注入访问方法,进而能够接收客户终端发送的访问请求,和判断访问请求的url是否携带令牌和判断访问请求中的cookie是否携带令牌,进而当访问请求的url携带令牌,访问请求中的cookie没有携带令牌时,能够确定访问请求为针对目标应用的第一个页面请求,并提取访问请求的url携带的令牌,进而通过将访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为访问请求的url,能够基于跳转域名和响应头构建应答信息,并将应答信息返回至客户终端,以使客户终端将应答信息携带的令牌存入本地cookie,并基于应答信息中的跳转域名跳转至零信任网关,以及,使客户终端针对目标应用发起的后续请求携带本地cookie。
与现有技术相比,本申请实施例能够在客户终端发起第一个页面请求后,将令牌注入到响应头的设置cookie字段,使客户终端能够将令牌保存到本地cookie中,进而在针对目标应用的后续请求中,携带令牌,这样一来,网关就需要在针对目标应用的后续请求中,注入令牌,从而能够减少网关拆包注入令牌的次数,从而能够提高网关并发处理性能。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种基于零信任网关的令牌注入访问方法,其特征在于,所述方法应用于零信任网关,所述方法包括:
接收客户终端发送的访问请求;
判断所述访问请求的url是否携带令牌和判断所述访问请求中的cookie是否携带令牌;
当所述访问请求的url携带令牌,所述访问请求中的cookie没有携带令牌时,确定所述访问请求为针对目标应用的第一个页面请求,并提取所述访问请求的url携带的令牌;
将所述访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为所述访问请求的url;
基于所述跳转域名和所述响应头构建应答信息,并将所述应答信息返回至所述客户终端,以使所述客户终端将所述应答信息携带的令牌存入本地cookie,并基于所述应答信息中的所述跳转域名跳转至所述零信任网关,以及,使所述客户终端针对所述目标应用发起的后续请求携带所述本地cookie。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述客户终端基于所述应答信息中的所述跳转域名跳转至所述零信任网关时,对所述访问请求的url携带的令牌进行校验,并在所述令牌校验通过后,允许所述客户终端与应用程序服务器之间的通信连接。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
当接收到所述客户终端针对所述目标应用发送的后续请求时,提取所述后续请求携带的所述本地cookie;
基于所述本地cookie提取所述令牌;
对所述令牌进行校验,并在所述令牌校验通过后,允许所述客户终端与应用程序服务器之间的通信连接。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
将基于所述本地cookie提取的所述令牌作为第一令牌;
基于所述后续请求的url提取第二令牌;
将所述第一令牌与所述第二令牌进行比对,若所述第一令牌与所述第二令牌不相同,则将所述第二令牌注入到所述响应头中的设置cookie字段,并将跳转域名设置为所述后续请求的url,以使所述客户终端基于所述第二令牌更新所述本地cookie,并基于所述后续请求的url跳转至所述零信任网关,以及,使所述客户终端基于更新后的所述本地cookie发起请求。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述应用程序服务器返回的响应数据;
对所述响应数据进行过滤,以过滤所述响应数据中的敏感信息;
将过滤后的所述响应数据发送给所述客户终端。
6.如权利要求1所述的方法,其特征在于,所述访问请求的url携带的所述令牌由认证服务在所述客户终端认证通过后生成。
7.如权利要求1所述的方法,其特征在于,所述后续请求包括针对所述目标应用的静态资源获取请求、针对所述目标应用的接口请求。
8.一种基于零信任网关的令牌注入访问装置,其特征在于,所述装置应用于零信任网关,所述装置包括:
接收模块,用于接收客户终端发送的访问请求;
判断模块,用于判断所述访问请求的url是否携带令牌和判断所述访问请求中的cookie是否携带令牌;
确定模块,用于当所述访问请求的url携带令牌,所述访问请求中的cookie没有携带令牌时,确定所述访问请求为针对目标应用的第一个页面请求,并提取所述访问请求的url携带的令牌;
注入模块,用于将所述访问请求的url携带的令牌注入到响应头中的设置cookie字段,并将跳转域名设置为所述访问请求的url;
响应模块,用于基于所述跳转域名和所述响应头构建应答信息,并将所述应答信息返回至所述客户终端,以使所述客户终端将所述应答信息携带的令牌存入本地cookie,并基于所述应答信息中的所述跳转域名跳转至所述零信任网关,以及,使所述客户终端针对所述目标应用发起的后续请求携带所述本地cookie。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如权利要求1-7任一项所述的基于零信任网关的令牌注入访问方法。
10.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如权利要求1-7任一项所述的基于零信任网关的令牌注入访问方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211364576.7A CN115913671A (zh) | 2022-11-02 | 2022-11-02 | 基于零信任网关的令牌注入访问方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211364576.7A CN115913671A (zh) | 2022-11-02 | 2022-11-02 | 基于零信任网关的令牌注入访问方法、装置、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115913671A true CN115913671A (zh) | 2023-04-04 |
Family
ID=86478808
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211364576.7A Pending CN115913671A (zh) | 2022-11-02 | 2022-11-02 | 基于零信任网关的令牌注入访问方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115913671A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117411724A (zh) * | 2023-12-13 | 2024-01-16 | 北京持安科技有限公司 | 一种零信任应用网关多应用跨域共享凭据的方法及装置 |
-
2022
- 2022-11-02 CN CN202211364576.7A patent/CN115913671A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117411724A (zh) * | 2023-12-13 | 2024-01-16 | 北京持安科技有限公司 | 一种零信任应用网关多应用跨域共享凭据的方法及装置 |
| CN117411724B (zh) * | 2023-12-13 | 2024-03-19 | 北京持安科技有限公司 | 一种零信任应用网关多应用跨域共享凭据的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9021564B2 (en) | Method and apparatus to assist user input based on a mobile terminal browser | |
| CN105591743B (zh) | 通过用户终端的设备运行特征进行身份鉴权的方法及装置 | |
| US20180196875A1 (en) | Determining repeat website users via browser uniqueness tracking | |
| US11431699B2 (en) | Method and device for processing user operation | |
| CN109302394A (zh) | 一种终端防模拟登录方法、装置、服务器及存储介质 | |
| US11570196B2 (en) | Method for determining duplication of security vulnerability and analysis apparatus using same | |
| CN110708335A (zh) | 访问认证方法、装置及终端设备 | |
| CN109889487B (zh) | 外部设备接入终端的处理方法及装置 | |
| CN103973635A (zh) | 页面访问控制方法和相关装置及系统 | |
| CN112100536A (zh) | 一种网页访问方法、装置、设备及可读存储介质 | |
| CN112671605A (zh) | 一种测试方法、装置及电子设备 | |
| CN113469866A (zh) | 数据处理方法、装置和服务器 | |
| CN115913671A (zh) | 基于零信任网关的令牌注入访问方法、装置、电子设备和存储介质 | |
| CN111355730A (zh) | 一种平台登录方法、装置、设备及计算机可读存储介质 | |
| CN112600864A (zh) | 一种验证码校验方法、装置、服务器及介质 | |
| CN106326419B (zh) | 网络自动机处理方法及装置 | |
| CN112528286B (zh) | 终端设备安全检测方法、关联设备以及计算机程序产品 | |
| CN111931159B (zh) | 一种网页数据接口合法性验证的方法及其系统 | |
| CN110427745B (zh) | 验证码获取方法、装置、电子设备和计算机可读介质 | |
| CN112417324A (zh) | 基于Chrome的URL拦截方法、装置及计算机设备 | |
| WO2018166365A1 (zh) | 一种记录网站访问日志的方法和装置 | |
| CN112580038A (zh) | 反病毒数据的处理方法、装置及设备 | |
| CN112699034B (zh) | 虚拟登录用户构建方法、装置、设备及存储介质 | |
| CN114465811B (zh) | 一种网站登录的确定方法、装置、电子设备和存储介质 | |
| CN112929321B (zh) | 一种鉴权方法、装置及终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |