CN116192371A - 令牌发送、访问请求处理方法、装置、设备、介质及产品 - Google Patents

令牌发送、访问请求处理方法、装置、设备、介质及产品 Download PDF

Info

Publication number
CN116192371A
CN116192371A CN202211697604.7A CN202211697604A CN116192371A CN 116192371 A CN116192371 A CN 116192371A CN 202211697604 A CN202211697604 A CN 202211697604A CN 116192371 A CN116192371 A CN 116192371A
Authority
CN
China
Prior art keywords
information
login
user
encryption key
token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211697604.7A
Other languages
English (en)
Inventor
索俊祺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianyi Cloud Technology Co Ltd
Original Assignee
Tianyi Cloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianyi Cloud Technology Co Ltd filed Critical Tianyi Cloud Technology Co Ltd
Priority to CN202211697604.7A priority Critical patent/CN116192371A/zh
Publication of CN116192371A publication Critical patent/CN116192371A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0872Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例提供了一种令牌发送、访问请求处理方法和装置。方法包括:响应于用户在客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值,生成登录加密密钥,获取用户的用户信息和随机标识,根据登录加密密钥、唯一随机值以及随机标识,生成访问令牌,将访问令牌发送给客户端,以供客户端再次访问时的访问请求携带所述访问令牌,使得通过设置动态的登录加密密钥,避免了服务器登录密钥存在暴力破解的可能,并通过记录登录加密密钥和唯一随机值,在访问令牌被盗后,盗用者的信息和登录加密密钥中的信息也不一致,继而解决访问令牌在网络传输中被泄露、在使用本地电脑时被木马盗取的问题。

Description

令牌发送、访问请求处理方法、装置、设备、介质及产品
技术领域
本发明涉及计算机技术领域,特别是涉及一种令牌发送方法、一种访问请求处理方法、一种令牌发送装置、一种访问请求处理装置、一种电子设备、一种可读存储介质以及一种计算机程序产品。
背景技术
随着互联网技术的不断成熟,用户通过Web(网络)浏览器或者手机App(Application,应用程序)访问网页是当今互联网时代最频繁、最常见的应用场景。用户访问一个网页时往往需要先输入用户名和密码实现登录,然后才可以进行例如网上购物、业务办理等后续访问。Web服务器只有根据当前的登录请求中的登录信息和数据库中的用户信息做比较,才能确定用户身份,从而根据用户提供不同的资源和操作权限。
目前常见的Web技术会在用户输入用户名和密码成功登录之后,将用户信息标识内容加密后返回到http(Hyper Text Transfer Protocol,超文本传输协议)响应报文中,浏览器会将这些用户身份信息存储在本地缓存中,比如最常见的http cookies(储存在用户本地终端上的数据)技术等。当浏览器下次访问页面的时候自动带上这些身份信息,Web服务器解析到这些信息就可以确定访问者身份,从而实现登录之后的页面访问不再需要输入用户名和密码。
然而通过账号和密码登录返回用户身份信息这类登录方法会存在严重的安全隐患。首先Web服务器端用于对用户登录信息做统一加密使用的密钥长度有限,存在被暴力破解的可能;其次本地用户缓存信息能够被木马等程序获取,黑客可以通过木马获取缓存信息或者在传输过程中截获缓存信息,从而盗取用户信息实现对Web服务器进行访问;此外如果登录页面暴露在公网环境下时,极易遇到黑客通过暴力破解的方法获取登录密码。当前无数平台的Web系统面临上述的安全问题,一旦遭受攻击用户信息极易被盗取,攻击者利用盗取的信息登录企业系统之后,会造成不可估量的损失。
发明内容
本发明实施例所要解决的技术问题是提供一种令牌发送方法、一种访问请求处理方法、装置、电子设备、可读存储介质及计算机程序产品,以便解决用户信息被破解或盗取,登录存在安全隐患的问题。
为了解决上述问题,本发明提供了一种令牌发送方法,包括:
响应于用户在客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值,生成登录加密密钥,并对应存储所述唯一随机值和登录加密密钥;
获取所述用户的用户信息和随机标识,并对应存储所述用户信息和随机标识;
根据所述登录加密密钥、唯一随机值以及随机标识,生成访问令牌;
将所述访问令牌发送给所述客户端,以供所述客户端再次访问时的访问请求携带所述访问令牌。
可选地,所述方法还包括:
根据所述登录加密密钥、唯一随机值以及随机标识,生成刷新令牌;
将所述刷新令牌发送给所述客户端,以供所述客户端在所述访问令牌失效时,使用所述刷新令牌重新获取新的访问令牌。
可选地,所述根据所述登录加密密钥、唯一随机值以及随机标识,生成访问令牌包括:
使用所述登录加密密钥对所述随机标识进行加密,得到加密信息;
将所述加密信息和唯一随机值进行拼接,得到所述访问令牌。
本发明还提供了一种访问请求处理方法,包括:
接收客户端的访问请求,所述访问请求携带访问令牌;其中,所述访问令牌为根据登录加密密钥、唯一随机值以及随机标识生成后发送给所述客户端的;所述登录加密密钥为响应于用户在所述客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值生成的;
解析所述访问令牌,得到所述唯一随机值;
根据所述唯一随机值,查找存储的对应的登录加密密钥;
使用所述登录加密密钥,从所述访问令牌中解析得到所述随机标识;
根据所述随机标识,查找存储的对应的用户信息;
若查找到所述用户信息,则解析所述登录加密密钥,得到所述地址信息和用户代理信息;
根据所述访问请求,地址信息和用户代理信息,确定所述访问请求的安全性。
可选地,所述解析所述访问令牌,得到所述唯一随机值包括:
解析所述访问令牌,得到所述唯一随机值和加密信息;
所述使用所述登录加密密钥,从所述访问令牌中解析得到所述随机标识包括:
使用所述登录加密密钥,对所述加密信息进行解密,得到所述随机标识。
可选地,所述根据所述访问请求,地址信息和用户代理信息,确定所述访问请求的安全性包括:
获取所述访问请求中的当前地址信息和当前用户代理信息;
若所述当前地址信息和解析得到的地址信息一致,且所述当前用户代理信息和解析得到的用户代理信息一致,则确定所述访问请求为安全请求。
本发明还提供了一种令牌发送装置,包括:
密钥生成模块,用于响应于用户在客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值,生成登录加密密钥,并对应存储所述唯一随机值和登录加密密钥;
信息获取模块,用于获取所述用户的用户信息和随机标识,并对应存储所述用户信息和随机标识;
访问令牌生成模块,用于根据所述登录加密密钥、唯一随机值以及随机标识,生成访问令牌;
访问令牌发送模块,用于将所述访问令牌发送给所述客户端,以供所述客户端再次访问时的访问请求携带所述访问令牌。
可选地,所述装置还包括:
刷新令牌生成模块,用于根据所述登录加密密钥、唯一随机值以及随机标识,生成刷新令牌;
刷新令牌发送模块,用于将所述刷新令牌发送给所述客户端,以供所述客户端在所述访问令牌失效时,使用所述刷新令牌重新获取新的访问令牌。
可选地,所述访问令牌生成模块包括:
加密子模块,用于使用所述登录加密密钥对所述随机标识进行加密,得到加密信息;
拼接子模块,用于将所述加密信息和唯一随机值进行拼接,得到所述访问令牌。
本发明还提供了一种访问请求处理装置,包括:
请求接收模块,用于接收客户端的访问请求,所述访问请求携带访问令牌;其中,所述访问令牌为根据登录加密密钥、唯一随机值以及随机标识生成后发送给所述客户端的;所述登录加密密钥为响应于用户在所述客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值生成的;
令牌解析模块,用于解析所述访问令牌,得到所述唯一随机值;
密钥查找模块,用于根据所述唯一随机值,查找存储的对应的登录加密密钥;
第一解析模块,用于使用所述登录加密密钥,从所述访问令牌中解析得到所述随机标识;
信息查找模块,用于根据所述随机标识,查找存储的对应的用户信息;
第二解析模块,用于若查找到所述用户信息,则解析所述登录加密密钥,得到所述地址信息和用户代理信息;
安全确定模块,用于根据所述访问请求,地址信息和用户代理信息,确定所述访问请求的安全性。
可选地,所述令牌解析模块,具体用于解析所述访问令牌,得到所述唯一随机值和加密信息;
所述第一解析模块,具体用于使用所述登录加密密钥,对所述加密信息进行解密,得到所述随机标识。
可选地,所述安全确定模块包括:
信息获取子模块,用于获取所述访问请求中的当前地址信息和当前用户代理信息;
安全确定子模块,用于若所述当前地址信息和解析得到的地址信息一致,且所述当前用户代理信息和解析得到的用户代理信息一致,则确定所述访问请求为安全请求。
本发明实施例还公开了一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现如上所述的方法步骤。
本发明实施例还公开了一种可读存储介质,当所述存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行本发明实施例中一个或多个所述的方法。
本发明实施例还公开了一种计算机程序产品,所述计算机程序产品在电子设备上运行时,使处理器执行时实现本发明实施例中一个或多个所述的方法中的步骤。
依据本发明实施例,通过响应于用户在客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值,生成登录加密密钥,并对应存储所述唯一随机值和登录加密密钥,获取所述用户的用户信息和随机标识,并对应存储所述用户信息和随机标识,根据所述登录加密密钥、唯一随机值以及随机标识,生成访问令牌,将所述访问令牌发送给所述客户端,以供所述客户端再次访问时的访问请求携带所述访问令牌,使得通过设置动态的登录加密密钥,避免了服务器登录密钥存在暴力破解的可能,并通过记录登录加密密钥和唯一随机值,在访问令牌被盗后,盗用者的信息和登录加密密钥中的信息也不一致,继而解决访问令牌在网络传输中被泄露、在使用本地电脑时被木马盗取的问题。
附图说明
图1示出了本发明实施例提供的一种令牌发送方法的步骤流程图;
图2示出了本发明实施例提供的一种访问请求处理方法的步骤流程图;
图3示出了一种高安全性的安全前置装置的结构框图;
图4示出了一种安全前置装置的工作流程图;
图5示出了一种高安全性的用户登录装置的结构框图;
图6示出了一种用户登录装置的工作流程图;
图7示出了本发明另一实施例提供的一种令牌发送装置实施例的结构框图;
图8示出了本发明另一实施例提供的一种访问请求处理装置实施例的结构框图;
图9示出了根据一示例性实施例示出的一种电子设备的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
参照图1,示出了本发明实施例提供的一种令牌发送方法的步骤流程图,具体可以包括如下步骤:
步骤101,响应于用户在客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值,生成登录加密密钥,并对应存储所述唯一随机值和登录加密密钥。
在本发明实施例中,用户第一次登录时,调用登录接口传递用户名、密码等认证信息。服务器端根据用户名、密码等信息访问数据库进行校验,如果用户名、密码不匹配则返回鉴权失败。如果鉴权成功,从数据库获取用户唯一标识,用户名等信息生成一份鉴权信息,保存在Web系统的存储装置中。
在本发明实施例中,为每个用户生成每次登录在不同登录环境下均不相同的随机密钥值,这样Web服务端不使用固定密钥来生成令牌,采用动态密钥的方式生成令牌。不同时间、使用不同的访问软件、不同的网络环境均会影响密钥值,大大降低了被暴力破解的可能性,从而解决了用户可以根据凭证信息(如访问令牌)暴力破解服务器密钥从而完成用户权限提升的安全问题。
在本发明实施例中,服务器端根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值,生成登录加密密钥。其中,用户唯一标识用于唯一的标识用户,例如,用户ID(Identity Document,账号),或者其他任意适用的标识,本发明实施例对此不做限制。地址信息是指与网络地址相关的信息,例如,来访IP(Internet Protocol,网际互连协议)地址转化的字符串,或者其他任意适用的地址信息,本发明实施例对此不做限制。用户代理信息是指用户登录http协议内容中的User-Agent(用户代理)值,用户代理,是http协议中的一部分,属于头域的组成部分,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、处理器类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。在网络请求当中,用户代理信息是标明身份的一种标识。唯一随机值可以是固定长度的,随机生成的唯一值。
需要说明的是,传统的Web服务器使用固定的密钥,存在被暴力破解的可能,一旦被破解,黑客可以使用密钥随意生成访问令牌,后果不堪设想。
本申请实施例不使用传统的固定密钥加密的方法,而采用动态密钥的方法,从而杜绝了密钥被客户端暴力破解的可能。
例如,具体实施步骤如下:
步骤C1:查询数据库获取用户唯一ID,标记为UserId,作为用户唯一标识。
步骤C2:获取当前用户登录访问的时间戳,标记为Timestamp,作为当前登录时间戳。
步骤C3:生成一个36位长度唯一性随机字符串作为加盐值,标记为Salt,作为唯一随机值。
步骤C4:获取当前登录请求中http报文中的IP地址,转换为字符串,标记为IP,作为地址信息。
步骤C5:获取当前登录请求中http报文中的User-Agent地址,标记为UserAgent,作为用户代理信息。
步骤C6:根据以下公式为每次用户登录时生成一个唯一性的随机密钥。由UserId、Timestamp、IP、UserAgent、Salt拼接生成登录加密密钥:
SecretKey=UserId+Timestamp+IP+UserAgent+Salt。
步骤C7:在Web系统的存储装置中记录该唯一随机值Salt和登录加密密钥SecretKey的映射关系:Mapping={Salt:SecretKey}。
步骤102,获取所述用户的用户信息和随机标识,并对应存储所述用户信息和随机标识。
在本发明实施例中,用户信息是指与用户相关的信息,例如,来访IP,用户ID,用户名等一种或多种,本发明实施例对此不做限制。
在本发明实施例中,生成一个随机标识,用于记录。然后存储用户信息和随机标识的映射关系。
例如,具体包括以下步骤:
步骤D1:生成一个固定长度的随机字符串,标记为SessionID,作为随机标识。
步骤D2:将该用户的用户信息和SessionID保存在存储装置中。
步骤103,根据所述登录加密密钥、唯一随机值以及随机标识,生成访问令牌。
在本发明实施例中,访问令牌是为用户生成的用于后续访问使用的身份令牌,只有携带该访问令牌,才能实现访问。根据所述登录加密密钥、唯一随机值以及随机标识,生成访问令牌的具体实现方式可以包括多种,本发明实施例对此不做限制。
例如,利用登录加密密钥SecretKey对随机标识SessionID和唯一随机值Salt进行加密运算,然后再拼接唯一随机值Salt,得到访问令牌。又例如,唯一随机值Salt和加密信息拼接,得到访问令牌,加密信息是利用登录加密密钥SecretKey对随机标识SessionID进行加密运算得到的。
在本发明的一种可选实施例中,根据所述登录加密密钥、唯一随机值以及随机标识,生成访问令牌的一种具体实现方式中,可以包括:使用所述登录加密密钥对所述随机标识进行加密,得到加密信息;将所述加密信息和唯一随机值进行拼接,得到所述访问令牌。
例如,具体包括以下步骤:
步骤D3:利用登录加密密钥SecretKey对随机标识SessionID进行加密运算,得到加密信息encrypt(SessionID,SecretKey),然后加密信息再拼接Salt,得到访问令牌AccessToken,公式如下:
AccessToken=encrypt(SessionID,SecretKey)+Salt。
步骤104,将所述访问令牌发送给所述客户端,以供所述客户端再次访问时的访问请求携带所述访问令牌。
在本发明实施例中,服务器端将访问令牌返回给客户端。之后客户端需携带访问令牌访问服务器端。例如,客户端浏览器携带访问令牌访问Web系统。
依据本发明实施例,通过响应于用户在客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值,生成登录加密密钥,并对应存储所述唯一随机值和登录加密密钥,获取所述用户的用户信息和随机标识,并对应存储所述用户信息和随机标识,根据所述登录加密密钥、唯一随机值以及随机标识,生成访问令牌,将所述访问令牌发送给所述客户端,以供所述客户端再次访问时的访问请求携带所述访问令牌,使得通过设置动态的登录加密密钥,避免了服务器登录密钥存在暴力破解的可能,并通过记录登录加密密钥和唯一随机值,在访问令牌被盗后,盗用者的信息和登录加密密钥中的信息也不一致,继而解决访问令牌在网络传输中被泄露、在使用本地电脑时被木马盗取的问题。
在本发明的一种可选实施例中,还可以包括:根据所述登录加密密钥、唯一随机值以及随机标识,生成刷新令牌;将所述刷新令牌发送给所述客户端,以供所述客户端在所述访问令牌失效时,使用所述刷新令牌重新获取新的访问令牌。
刷新令牌是为用户生成的用于后续重新获取新的访问令牌使用的身份令牌。
服务器端将访问令牌和刷新令牌存储在存储装置中并设置过期时间,访问令牌设置较短的过期时间,刷新令牌设置长过期时间。然后通过http响应返回给客户端。客户端浏览器将接收到的两个令牌缓存在本地。
访问令牌因为设置的过期时间较短,有效期到期之后,需要使用刷新令牌去获取最新的访问令牌。正常的系统访问只能使用访问令牌,但是访问令牌只有较短的生命周期,即使被截获也很快就会失效,从而极大提高了安全性;刷新令牌拥有较长的生命周期,只有在访问令牌失效时候才会用来获取新的访问令牌。
根据所述登录加密密钥、唯一随机值以及随机标识,生成刷新令牌的具体实现方式可以包括多种,本发明实施例对此不做限制。
例如,利用登录加密密钥SecretKey对随机标识SessionID和唯一随机值Salt进行加密运算,然后再拼接唯一随机值Salt,得到刷新令牌。又例如,唯一随机值Salt和加密信息拼接,得到刷新令牌,加密信息是利用登录加密密钥SecretKey对随机标识SessionID进行加密运算得到的。
例如,具体包括以下步骤:
步骤D4:利用登录加密密钥SecretKey对随机标识SessionID进行加密运算,然后拼接Salt,得到刷新令牌RefreshToken,公式如下:
RefreshToken=encrypt(SessionID,SecretKey)+Salt。
参照图2,示出了本发明实施例提供的一种访问请求处理方法的步骤流程图,具体可以包括如下步骤:
步骤201,接收客户端的访问请求,所述访问请求携带访问令牌;其中,所述访问令牌为根据登录加密密钥、唯一随机值以及随机标识生成后发送给所述客户端的;所述登录加密密钥为响应于用户在所述客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值生成的。
在本发明实施例中,客户端的访问请求携带访问令牌。例如,客户端浏览器携带访问令牌访问Web系统。访问令牌是通过上述实施例的方式预先下发到客户端的。
步骤202,解析所述访问令牌,得到所述唯一随机值。
在本发明实施例中,访问令牌中包含唯一随机值,因此可以从访问令牌中解析得到唯一随机值。例如,Web服务器端根据携带的访问令牌,截取末尾固定长度得到Salt值,得到唯一随机值。
步骤203,根据所述唯一随机值,查找存储的对应的登录加密密钥。
在本发明实施例中,服务器端存储有唯一随机值和对应的登录加密加密。因此根据唯一随机值,可以查找存储的对应的登录加密密钥。
例如,Web服务器根据携带的访问令牌,截取末尾36位长度字符串得到唯一随机值Salt,并在存储装置中查询密钥映射关系,根据Salt值可以得到该用户当前登录所使用的登录加密密钥SecretKey,如果查询不到有效的映射关系,则拒绝当前的访问请求。
步骤204,使用所述登录加密密钥,从所述访问令牌中解析得到所述随机标识。
在本发明实施例中,访问令牌中除了由唯一随机值,还由登录加密密钥和随机标识生成。因此对访问令牌解析的过程中,得到唯一随机值后,使用登录加密密钥,能从访问令牌中解析得到随机标识。具体的解析方式是与访问令牌的生成方式相对应的方式,具体可以采用任意适用的解析方式,本发明实施例对此不做限制。
例如,使用登录加密密钥SecretKey解密访问令牌中的加密信息得到随机标识SessionID。
在本发明的一种可选实施例中,解析所述访问令牌,得到所述唯一随机值的一种具体实现方式中,可以包括:解析所述访问令牌,得到所述唯一随机值和加密信息;使用所述登录加密密钥,从所述访问令牌中解析得到所述随机标识的一种具体实现方式中,可以包括:使用所述登录加密密钥,对所述加密信息进行解密,得到所述随机标识。
对访问令牌进行解析,得到唯一随机值和加密信息。例如,根据携带的访问令牌,截取末尾固定长度得到唯一随机值Salt,其他的部分就是加密信息。再使用登录加密密钥,对加密信息进行解密,从而得到随机标识。
步骤205,根据所述随机标识,查找存储的对应的用户信息。
在本发明实施例中,服务器端存储有随机标识和对应的用户信息。因此根据随机标识,可以查找存储的对应的用户信息。
例如,在存储装置中查询用户信息的映射关系,根据随机标识SessionID可以得到该用户的用户信息,如果查询不到随机标识SessionID的映射关系,则拒绝当前的访问请求。
步骤206,若查找到所述用户信息,则解析所述登录加密密钥,得到所述地址信息和用户代理信息。
在本发明实施例中,若查找到用户信息,则对登录加密密钥进行解析,得到地址信息和用户代理信息。具体的解析方式是与登录加密密钥的生成方式相对应的方式,具体可以采用任意适用的解析方式,本发明实施例对此不做限制。
例如,解析登录加密密钥SecretKey,根据固定长度得到首次登录时的来访地址IP、登录浏览器的User-Agent信息。
步骤207,根据所述访问请求,地址信息和用户代理信息,确定所述访问请求的安全性。
在本发明实施例中,访问请求携带有本次访问的地址信息和用户代理信息。对访问请求携带的信息和步骤206解析得到的地址信息和用户代理信息进行比较,若信息一致,则确定访问请求是安全的访问请求,若信息不一致,则确定访问请求不是安全的访问请求。
例如,从登录加密密钥SecretKey解析得到首次登录时的来访地址IP、登录浏览器的User-Agent信息,和当前的访问请求中的来访IP和User-Agent做比较,如果不匹配拒绝当前的访问请求。
在本发明的一种可选实施例中,根据所述访问请求,地址信息和用户代理信息,确定所述访问请求的安全性的一种具体实现方式中,可以包括:获取所述访问请求中的当前地址信息和当前用户代理信息;若所述当前地址信息和解析得到的地址信息一致,且所述当前用户代理信息和解析得到的用户代理信息一致,则确定所述访问请求为安全请求。
访问请求携带有当前地址信息和当前用户代理信息。比较当前地址信息和解析得到的地址信息,比较当前用户代理信息和解析得到的用户代理信息。若所述当前地址信息和解析得到的地址信息一致,且所述当前用户代理信息和解析得到的用户代理信息一致,则确定访问请求为安全请求,否则访问请求不是安全请求。
依据本发明实施例,通过接收客户端的访问请求,所述访问请求携带访问令牌;其中,所述访问令牌为根据登录加密密钥、唯一随机值以及随机标识生成后发送给所述客户端的;所述登录加密密钥为响应于用户在所述客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值生成的,解析所述访问令牌,得到所述唯一随机值,根据所述唯一随机值,查找存储的对应的登录加密密钥,使用所述登录加密密钥,从所述访问令牌中解析得到所述随机标识,根据所述随机标识,查找存储的对应的用户信息,若查找到所述用户信息,则解析所述登录加密密钥,得到所述地址信息和用户代理信息,根据所述访问请求,地址信息和用户代理信息,确定所述访问请求的安全性,使得通过设置动态的登录加密密钥,避免了服务器登录密钥存在暴力破解的可能,并通过记录登录加密密钥和唯一随机值,在访问令牌被盗后,盗用者的信息和登录加密密钥中的信息也不一致,继而解决访问令牌在网络传输中被泄露、在使用本地电脑时被木马盗取的问题。
本发明实施例还提供了一种高安全性的Web登录方法以及装置。本发明实施例提供的方法可以应用于任意需要的设备,例如服务器、终端等电子设备,在此不做具体限定,为方便描述,后续统称为设备。
本发明实施例还提供了一种安全前置装置,该装置不具备向客户提供业务服务的能力,只用于保护企业Web系统免于遭受DDOS(Distributed Denial of Service,分布式拒绝服务)攻击和暴力破解登录等行为,互联网流量首先进入安全前置装置,通过所有验证才会被转发到客户要访问的Web系统。
图3为一种高安全性的安全前置装置包括配置模块、认证模块、日志模块、安全模块和路由模块。图4为本申请实施例提供的一种安全前置装置的工作流程图。
步骤S11:通过认证模块进行来访流量认证。来访流量首先通过认证模块进行来访认证,如果认证不通过则直接丢弃来访数据。
例如,具体包括以下步骤:
步骤A1:解析来访流量携带的认证信息与认证模块中的认证信息进行比较,完全匹配则视为认证通过,把通过认证的数据标记为数据A。认证算法设计:特殊密钥字符串加以年月日日期为输入参数的hash运算结果。
步骤A2:如果认证不通过则直接丢弃来访数据;
步骤S12:将步骤S11中通过认证的流量数据A进行日志记录。
日志模块将通过认证的流量数据进行解析记录,从而可以得到所有访问数据的http包特诊数据:来访IP地址、来访http包的User-Agent等关键数据;以及每个url(Uniform Resource Locator,统一资源定位符)的统计数据,包括当前访问频率、历史最高频率。
步骤S13:将步骤S12中得到的数据C进行安全分析。
安全模块根据配置模块配置的提供的配置数据,比如敏感级别等参数,对日志模块中的安全数据进行安全分析。如果当前访问行为属于攻击行为则直接拒绝来访;正常访问行为的数据则进入路由模块。
安全分析策略包括并不限于以下策略:
步骤B1:如果当前某一个来访IP的访问行为出现:访问频率大于配置上限值,则判定为攻击,拒绝访问,并把访问ip记录在攻击源数据库中。
步骤B2:如果当前存在频繁访问不存在的url地址,则判定为攻击行为,则拒绝访问,并把访问ip记录在攻击源数据库中。
步骤B3:http头部报文特征符合人为构造特征,判断属于攻击行为直接拒绝来访,并将该来访IP加入黑名单中。同时把该攻击行为的http报文中的特征数据记录在存储装置中以作为供判定攻击行为的特征数据库数据源。
步骤S14:将步骤S13中得到的数据E进行路由转发。
路由模块根据路由规则将数据转发到用户登录装置上,从而用户登录装置最终接收到数据。路由装置只是配置网络可达路径,不做过多赘述。
将属于正常访问行为的数据则标记为数据E。将步骤S13中得到的数据E通过路由模块,并根据配置的路由规则转发到用户登录装置上。从而用户登录装置最终接收到数据E。
图5为一种高安全性的用户登录装置包括登录模块、存储模块、业务模块。
需要说明的是,所述用户登录装置,当用户访问流量通过安全前置装置之后,用户通过登录模块通过输入用户名和密码的方式接入企业的业务模块,从而可以获取用户所需要的服务。用户登录装置用于提供完成用户登录的装置,并提供二次认证用于提高安全性。图6为本发明实施例提供的一种用户登录装置的工作流程图,包括以下具体步骤:
步骤S21:用户输入用户名和密码。
用户输入系统颁发的唯一性的用户名,并输入自己制定的密码。
步骤S22:用户拖动鼠标完成图形认证。
用户拖动鼠标进行图形认证,通过用户拖动鼠标完成图形认证的速度和轨迹,判断是否处于安全的登录环境。
步骤S23:输入六位验证码完成手机短信码二次认证。
用户点击接受验证码,系统会向用户注册的手机号发送六位随机码,随机码具有有效期。
步骤S24:点击登录。
如果所有信息无误,则进入企业Web系统,Web系统Web服务器会颁发一个登录凭证,此凭证具备有效时长,在此时长内访问Web系统均无需再次输入用户名密码,只要浏览器访问Web服务器的http请求中带上此凭证即可完成安全认证。
如果信息有误,则提示用户重新输入,如果连续错误达到规定阈值,则触发冻结用户账号,防止暴力破解用户密码。
安全前置装置和用户登录装置为用户提供一个高安全的登录外部登录环境,但是依旧无法彻底解决安全性的问题。比如:登录凭证用户无法确保安全保存,从而存在丢失的风险;用户可以根据凭证信息暴力破解从而获取服务器密钥从而完成用户权限提升等问题;用户鉴权信息在网络传输过程中,经过不安全的设备存在被盗的可能性。而本发明提供的令牌发送方法,或访问请求处理方法能解决这些问题。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图7,示出了本发明另一实施例提供的一种令牌发送装置实施例的结构框图,具体可以包括如下模块:
密钥生成模块301,用于响应于用户在客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值,生成登录加密密钥,并对应存储所述唯一随机值和登录加密密钥;
信息获取模块302,用于获取所述用户的用户信息和随机标识,并对应存储所述用户信息和随机标识;
访问令牌生成模块303,用于根据所述登录加密密钥、唯一随机值以及随机标识,生成访问令牌;
访问令牌发送模块304,用于将所述访问令牌发送给所述客户端,以供所述客户端再次访问时的访问请求携带所述访问令牌。
可选地,所述装置还包括:
刷新令牌生成模块,用于根据所述登录加密密钥、唯一随机值以及随机标识,生成刷新令牌;
刷新令牌发送模块,用于将所述刷新令牌发送给所述客户端,以供所述客户端在所述访问令牌失效时,使用所述刷新令牌重新获取新的访问令牌。
可选地,所述访问令牌生成模块包括:
加密子模块,用于使用所述登录加密密钥对所述随机标识进行加密,得到加密信息;
拼接子模块,用于将所述加密信息和唯一随机值进行拼接,得到所述访问令牌。
依据本发明实施例,通过响应于用户在客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值,生成登录加密密钥,并对应存储所述唯一随机值和登录加密密钥,获取所述用户的用户信息和随机标识,并对应存储所述用户信息和随机标识,根据所述登录加密密钥、唯一随机值以及随机标识,生成访问令牌,将所述访问令牌发送给所述客户端,以供所述客户端再次访问时的访问请求携带所述访问令牌,使得通过设置动态的登录加密密钥,避免了服务器登录密钥存在暴力破解的可能,并通过记录登录加密密钥和唯一随机值,在访问令牌被盗后,盗用者的信息和登录加密密钥中的信息也不一致,继而解决访问令牌在网络传输中被泄露、在使用本地电脑时被木马盗取的问题。
参照图8,示出了本发明另一实施例提供的一种访问请求处理装置实施例的结构框图,具体可以包括如下模块:
请求接收模块401,用于接收客户端的访问请求,所述访问请求携带访问令牌;其中,所述访问令牌为根据登录加密密钥、唯一随机值以及随机标识生成后发送给所述客户端的;所述登录加密密钥为响应于用户在所述客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值生成的;
令牌解析模块402,用于解析所述访问令牌,得到所述唯一随机值;
密钥查找模块403,用于根据所述唯一随机值,查找存储的对应的登录加密密钥;
第一解析模块404,用于使用所述登录加密密钥,从所述访问令牌中解析得到所述随机标识;
信息查找模块405,用于根据所述随机标识,查找存储的对应的用户信息;
第二解析模块406,用于若查找到所述用户信息,则解析所述登录加密密钥,得到所述地址信息和用户代理信息;
安全确定模块407,用于根据所述访问请求,地址信息和用户代理信息,确定所述访问请求的安全性。
可选地,所述令牌解析模块,具体用于解析所述访问令牌,得到所述唯一随机值和加密信息;
所述第一解析模块,具体用于使用所述登录加密密钥,对所述加密信息进行解密,得到所述随机标识。
可选地,所述安全确定模块包括:
信息获取子模块,用于获取所述访问请求中的当前地址信息和当前用户代理信息;
安全确定子模块,用于若所述当前地址信息和解析得到的地址信息一致,且所述当前用户代理信息和解析得到的用户代理信息一致,则确定所述访问请求为安全请求。
依据本发明实施例,通过接收客户端的访问请求,所述访问请求携带访问令牌;其中,所述访问令牌为根据登录加密密钥、唯一随机值以及随机标识生成后发送给所述客户端的;所述登录加密密钥为响应于用户在所述客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值生成的,解析所述访问令牌,得到所述唯一随机值,根据所述唯一随机值,查找存储的对应的登录加密密钥,使用所述登录加密密钥,从所述访问令牌中解析得到所述随机标识,根据所述随机标识,查找存储的对应的用户信息,若查找到所述用户信息,则解析所述登录加密密钥,得到所述地址信息和用户代理信息,根据所述访问请求,地址信息和用户代理信息,确定所述访问请求的安全性,使得通过设置动态的登录加密密钥,避免了服务器登录密钥存在暴力破解的可能,并通过记录登录加密密钥和唯一随机值,在访问令牌被盗后,盗用者的信息和登录加密密钥中的信息也不一致,继而解决访问令牌在网络传输中被泄露、在使用本地电脑时被木马盗取的问题。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
图9是根据一示例性实施例示出的一种电子设备700的结构框图。例如,电子设备700可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图9,电子设备700可以包括以下一个或多个组件:处理组件702,存储器704,电源组件706,多媒体组件708,音频组件710,输入/输出(I/O)的接口712,传感器组件714,以及通信组件716。
处理组件702通常控制电子设备700的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理元件702可以包括一个或多个处理器720来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件702可以包括一个或多个模块,便于处理组件702和其他组件之间的交互。例如,处理部件702可以包括多媒体模块,以方便多媒体组件708和处理组件702之间的交互。
存储器704被配置为存储各种类型的数据以支持在设备700的操作。这些数据的示例包括用于在电子设备700上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器704可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电力组件704为电子设备700的各种组件提供电力。电力组件704可以包括电源管理系统,一个或多个电源,及其他与为电子设备700生成、管理和分配电力相关联的组件。
多媒体组件708包括在所述电子设备700和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件708包括一个前置摄像头和/或后置摄像头。当电子设备700处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件710被配置为输出和/或输入音频信号。例如,音频组件710包括一个麦克风(MIC),当电子设备700处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器704或经由通信组件716发送。在一些实施例中,音频组件710还包括一个扬声器,用于输出音频信号。
I/O接口712为处理组件702和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件714包括一个或多个传感器,用于为电子设备700提供各个方面的状态评估。例如,传感器组件714可以检测到设备700的打开/关闭状态,组件的相对定位,例如所述组件为电子设备700的显示器和小键盘,传感器组件714还可以检测电子设备700或电子设备700一个组件的位置改变,用户与电子设备700接触的存在或不存在,电子设备700方位或加速/减速和电子设备700的温度变化。传感器组件714可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件714还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件714还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件716被配置为便于电子设备700和其他设备之间有线或无线方式的通信。电子设备700可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信部件714经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信部件714还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,电子设备700可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器704,上述指令可由电子设备700的处理器720执行以完成上述方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
一种非临时性计算机可读存储介质,当所述存储介质中的指令由终端的处理器执行时,使得终端能够执行本发明实施例中一个或多个所述的令牌发送方法。
一种非临时性计算机可读存储介质,当所述存储介质中的指令由终端的处理器执行时,使得终端能够执行本发明实施例中一个或多个所述的访问请求处理方法。
一种计算机程序产品,所述计算机程序产品在电子设备上运行时,使处理器执行时实现本发明实施例中一个或多个所述的令牌发送方法中的步骤。
一种计算机程序产品,所述计算机程序产品在电子设备上运行时,使处理器执行时实现本发明实施例中一个或多个所述的访问请求处理方法中的步骤。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种令牌发送方法、一种令牌发送装置,一种访问请求处理方法、一种访问请求处理装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (15)

1.一种令牌发送方法,其特征在于,包括:
响应于用户在客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值,生成登录加密密钥,并对应存储所述唯一随机值和登录加密密钥;
获取所述用户的用户信息和随机标识,并对应存储所述用户信息和随机标识;
根据所述登录加密密钥、唯一随机值以及随机标识,生成访问令牌;
将所述访问令牌发送给所述客户端,以供所述客户端再次访问时的访问请求携带所述访问令牌。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述登录加密密钥、唯一随机值以及随机标识,生成刷新令牌;
将所述刷新令牌发送给所述客户端,以供所述客户端在所述访问令牌失效时,使用所述刷新令牌重新获取新的访问令牌。
3.根据权利要求1所述的方法,其特征在于,所述根据所述登录加密密钥、唯一随机值以及随机标识,生成访问令牌包括:
使用所述登录加密密钥对所述随机标识进行加密,得到加密信息;
将所述加密信息和唯一随机值进行拼接,得到所述访问令牌。
4.一种访问请求处理方法,其特征在于,包括:
接收客户端的访问请求,所述访问请求携带访问令牌;其中,所述访问令牌为根据登录加密密钥、唯一随机值以及随机标识生成后发送给所述客户端的;所述登录加密密钥为响应于用户在所述客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值生成的;
解析所述访问令牌,得到所述唯一随机值;
根据所述唯一随机值,查找存储的对应的登录加密密钥;
使用所述登录加密密钥,从所述访问令牌中解析得到所述随机标识;
根据所述随机标识,查找存储的对应的用户信息;
若查找到所述用户信息,则解析所述登录加密密钥,得到所述地址信息和用户代理信息;
根据所述访问请求,地址信息和用户代理信息,确定所述访问请求的安全性。
5.根据权利要求4所述的方法,其特征在于,所述解析所述访问令牌,得到所述唯一随机值包括:
解析所述访问令牌,得到所述唯一随机值和加密信息;
所述使用所述登录加密密钥,从所述访问令牌中解析得到所述随机标识包括:
使用所述登录加密密钥,对所述加密信息进行解密,得到所述随机标识。
6.根据权利要求4所述的方法,其特征在于,所述根据所述访问请求,地址信息和用户代理信息,确定所述访问请求的安全性包括:
获取所述访问请求中的当前地址信息和当前用户代理信息;
若所述当前地址信息和解析得到的地址信息一致,且所述当前用户代理信息和解析得到的用户代理信息一致,则确定所述访问请求为安全请求。
7.一种令牌发送装置,其特征在于,包括:
密钥生成模块,用于响应于用户在客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值,生成登录加密密钥,并对应存储所述唯一随机值和登录加密密钥;
信息获取模块,用于获取所述用户的用户信息和随机标识,并对应存储所述用户信息和随机标识;
访问令牌生成模块,用于根据所述登录加密密钥、唯一随机值以及随机标识,生成访问令牌;
访问令牌发送模块,用于将所述访问令牌发送给所述客户端,以供所述客户端再次访问时的访问请求携带所述访问令牌。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
刷新令牌生成模块,用于根据所述登录加密密钥、唯一随机值以及随机标识,生成刷新令牌;
刷新令牌发送模块,用于将所述刷新令牌发送给所述客户端,以供所述客户端在所述访问令牌失效时,使用所述刷新令牌重新获取新的访问令牌。
9.根据权利要求7所述的装置,其特征在于,所述访问令牌生成模块包括:
加密子模块,用于使用所述登录加密密钥对所述随机标识进行加密,得到加密信息;
拼接子模块,用于将所述加密信息和唯一随机值进行拼接,得到所述访问令牌。
10.一种访问请求处理装置,其特征在于,包括:
请求接收模块,用于接收客户端的访问请求,所述访问请求携带访问令牌;其中,所述访问令牌为根据登录加密密钥、唯一随机值以及随机标识生成后发送给所述客户端的;所述登录加密密钥为响应于用户在所述客户端的首次登录成功,根据用户唯一标识、当前登录时间戳、地址信息、用户代理信息、唯一随机值生成的;
令牌解析模块,用于解析所述访问令牌,得到所述唯一随机值;
密钥查找模块,用于根据所述唯一随机值,查找存储的对应的登录加密密钥;
第一解析模块,用于使用所述登录加密密钥,从所述访问令牌中解析得到所述随机标识;
信息查找模块,用于根据所述随机标识,查找存储的对应的用户信息;
第二解析模块,用于若查找到所述用户信息,则解析所述登录加密密钥,得到所述地址信息和用户代理信息;
安全确定模块,用于根据所述访问请求,地址信息和用户代理信息,确定所述访问请求的安全性。
11.根据权利要求10所述的装置,其特征在于,所述令牌解析模块,具体用于解析所述访问令牌,得到所述唯一随机值和加密信息;
所述第一解析模块,具体用于使用所述登录加密密钥,对所述加密信息进行解密,得到所述随机标识。
12.根据权利要求10所述的装置,其特征在于,所述安全确定模块包括:
信息获取子模块,用于获取所述访问请求中的当前地址信息和当前用户代理信息;
安全确定子模块,用于若所述当前地址信息和解析得到的地址信息一致,且所述当前用户代理信息和解析得到的用户代理信息一致,则确定所述访问请求为安全请求。
13.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-6任一所述的方法步骤。
14.一种可读存储介质,其特征在于,当所述存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行如方法权利要求1-6中一个或多个所述的方法。
15.一种计算机程序产品,其特征在于,所述计算机程序产品在电子设备上运行时,使处理器执行时实现权利要求1-6中任一项所述的方法中的步骤。
CN202211697604.7A 2022-12-28 2022-12-28 令牌发送、访问请求处理方法、装置、设备、介质及产品 Pending CN116192371A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211697604.7A CN116192371A (zh) 2022-12-28 2022-12-28 令牌发送、访问请求处理方法、装置、设备、介质及产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211697604.7A CN116192371A (zh) 2022-12-28 2022-12-28 令牌发送、访问请求处理方法、装置、设备、介质及产品

Publications (1)

Publication Number Publication Date
CN116192371A true CN116192371A (zh) 2023-05-30

Family

ID=86443494

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211697604.7A Pending CN116192371A (zh) 2022-12-28 2022-12-28 令牌发送、访问请求处理方法、装置、设备、介质及产品

Country Status (1)

Country Link
CN (1) CN116192371A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116450383A (zh) * 2023-06-19 2023-07-18 合肥景云软件工程有限责任公司 一种通过网页调用操作系统的方法
CN116910720A (zh) * 2023-07-14 2023-10-20 北京五一嘉峪科技有限公司 一种验证方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116450383A (zh) * 2023-06-19 2023-07-18 合肥景云软件工程有限责任公司 一种通过网页调用操作系统的方法
CN116910720A (zh) * 2023-07-14 2023-10-20 北京五一嘉峪科技有限公司 一种验证方法及装置

Similar Documents

Publication Publication Date Title
US11658979B2 (en) Systems and methods for efficient and secure temporary anonymous access to media content
US10594696B2 (en) Network-based authentication and security services
US8019995B2 (en) Method and apparatus for preventing internet phishing attacks
US20180159694A1 (en) Wireless Connections to a Wireless Access Point
US10650119B2 (en) Multimedia data processing method, apparatus, system, and storage medium
CN111355726B (zh) 一种身份授权登录方法、装置及电子设备和存储介质
WO2017084290A1 (zh) 公众账号二维码生成方法和服务器、公众账号关注方法、服务器和终端
US11336686B2 (en) Electronic authentication infrastructure
WO2015143855A1 (zh) 一种对数据资源进行访问的方法、装置和系统
US20130318581A1 (en) Multi-factor authentication using a unique identification header (uidh)
US9992198B2 (en) Network-based frictionless two-factor authentication service
CN116192371A (zh) 令牌发送、访问请求处理方法、装置、设备、介质及产品
CN110278179B (zh) 单点登录方法、装置和系统以及电子设备
WO2014105263A1 (en) Multi-factor authentication and comprehensive login system for client-server networks
US20130333030A1 (en) Verifying source of email
JP2023518662A (ja) 暗号学的に安全な要求の検証
CN111800426A (zh) 应用程序中原生代码接口的访问方法、装置、设备及介质
CN114218510A (zh) 业务页面显示方法、装置和设备
Knockel et al. Baidu’s and don’ts: privacy and security issues in Baidu browser
CN112434339A (zh) 一种信息处理方法及装置
CN111835734A (zh) 信息处理方法、装置、电子设备、服务器及存储介质
EP4162647B1 (en) Anonymous authentication with token redemption
JP7098065B1 (ja) 電気通信ネットワーク測定におけるデータ操作の防止およびユーザのプライバシーの保護
JP2012138729A (ja) データ処理装置、プログラム、およびデータ処理システム
CN117708781A (zh) 一种用户注册方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 100007 room 205-32, floor 2, building 2, No. 1 and No. 3, qinglonghutong a, Dongcheng District, Beijing

Applicant after: Tianyiyun Technology Co.,Ltd.

Address before: 100093 Floor 4, Block E, Xishan Yingfu Business Center, Haidian District, Beijing

Applicant before: Tianyiyun Technology Co.,Ltd.

CB02 Change of applicant information