CN116232727A - 身份认证方法及装置 - Google Patents
身份认证方法及装置 Download PDFInfo
- Publication number
- CN116232727A CN116232727A CN202310216733.8A CN202310216733A CN116232727A CN 116232727 A CN116232727 A CN 116232727A CN 202310216733 A CN202310216733 A CN 202310216733A CN 116232727 A CN116232727 A CN 116232727A
- Authority
- CN
- China
- Prior art keywords
- client
- parameter
- authentication
- data
- processing request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本说明书实施例提供身份认证方法及装置,其中所述身份认证方法包括:接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;对所述认证数据进行解析,确定第二客户端环境参数;对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。通过接收第一客户端发送的数据处理请求,从数据处理请求得到已认证的环境参数和当前使用的环境参数,并将第一客户端环境参数和第二客户端环境参数进行比较,从而对客户端发送的数据处理请求发送者的身份进行认证,由此可以防止认证数据的泄露造成的恶意操作,从而提高了安全性。
Description
技术领域
本说明书实施例涉及计算机技术领域,特别涉及身份认证方法。
背景技术
目前的一种网络通信协议是无状态的,通过本地数据来存储用户的状态信息。当用户遭遇恶意软件攻击、钓鱼攻击、网络流量劫持,甚至服务端维护人员中存在内鬼导致本地数据泄漏时,攻击者可以伪装成用户的身份进行一系列操作,如刷关注、刷评论、刷赞等。因此需要一种更好的身份认证方案。
发明内容
有鉴于此,本说明书实施例提供了身份认证方法。本说明书一个或者多个实施例同时涉及身份认证装置,一种计算设备,一种计算机可读存储介质以及一种计算机程序,以解决现有技术中存在的技术缺陷。
根据本说明书实施例的第一方面,提供了一种身份认证方法,应用于服务端,包括:
接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
对所述认证数据进行解析,确定第二客户端环境参数;
对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。
根据本说明书实施例的第二方面,提供了一种身份认证方法,应用于服务端,包括:
接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
对所述第一客户端环境参数和第二客户端环境参数进行比较确定认证结果并向所述客户端返回所述认证结果,其中,所述第二客户端环境参数为预先从第二客户端获取。
根据本说明书实施例的第三方面,提供了一种身份认证方法,应用于服务端,包括:
接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
对所述认证数据进行解析,确定第二客户端环境参数,其中,所述第二客户端环境参数为第二客户端生成;
对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。
根据本说明书实施例的第四方面,提供了一种身份认证装置,应用于服务端,包括:
请求接收模块,被配置为接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
参数确定模块,被配置为对所述认证数据进行解析,确定第二客户端环境参数;
参数认证模块,被配置为对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。
根据本说明书实施例的第五方面,提供了一种身份认证装置,应用于服务端,包括:
请求接收模块,被配置为接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
参数认证模块,被配置为对所述第一客户端环境参数和第二客户端环境参数进行比较确定认证结果并向所述客户端返回所述认证结果,其中,所述第二客户端环境参数为预先从第二客户端获取。
根据本说明书实施例的第六方面,提供了一种身份认证装置,应用于服务端,包括:
请求接收模块,被配置为接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
参数确定模块,被配置为对所述认证数据进行解析,确定第二客户端环境参数,其中,所述第二客户端环境参数为第二客户端生成;
参数认证模块,被配置为对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。
根据本说明书实施例的第七方面,提供了一种身份认证系统,所述系统包括服务端、第一客户端和第二客户端;
所述系统被配置为执行前述任意一项所述身份认证方法的步骤。
根据本说明书实施例的第八方面,提供了一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现上述身份认证方法的步骤。
根据本说明书实施例的第九方面,提供了一种计算机可读存储介质,其存储有计算机可执行指令,该指令被处理器执行时实现上述身份认证方法的步骤。
根据本说明书实施例的第十方面,提供了一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述身份认证方法的步骤。
本说明书实施例提供身份认证方法及装置,其中所述身份认证方法包括:接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;对所述认证数据进行解析,确定第二客户端环境参数;对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。通过接收第一客户端发送的数据处理请求,从数据处理请求得到已认证的环境参数和当前使用的环境参数,并将第一客户端环境参数和第二客户端环境参数进行比较,从而对客户端发送的数据处理请求发送者的身份进行认证,由此可以防止认证数据的泄露造成的恶意操作,从而提高了安全性。
附图说明
图1是本说明书一个实施例提供的一种身份认证方法的整体流程图;
图2a是本说明书一个实施例提供的一种身份认证方法的流程图;
图2b是本说明书一个实施例提供的一种身份认证方法的登录时序图;
图2c是本说明书一个实施例提供的一种身份认证方法的操作时序图;
图2d是本说明书一个实施例提供的一种身份认证方法的拦截时序图;
图3是本说明书一个实施例提供的另一种身份认证方法的流程图;
图4是本说明书一个实施例提供的又一种身份认证方法的流程图;
图5是本说明书一个实施例提供的一种身份认证装置的结构示意图;
图6是本说明书一个实施例提供的另一种身份认证装置的结构示意图;
图7是本说明书一个实施例提供的又一种身份认证装置的结构示意图;
图8是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本说明书内涵的情况下做类似推广,因此本说明书不受下面公开的具体实施的限制。
在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先,对本说明书一个或多个实施例涉及的名词术语进行解释。
JSON Web Token(JWT):它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。
HTTP cookie:简称cookie,是用户浏览网站时由网络服务器创建并由用户的网页浏览器存储在计算机或其他设备的小文本文件。Cookie使网页服务器能够在用户的设备存储状态信息或跟踪用户的浏览活动。
数字签名:又称公钥数字签名,是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
由于HTTP协议是无状态的,而许多Web应用都需要登录才能使用大部分功能,导致Cookie或JWT被攻击者盗用后并加以利用,存在较大的安全危害。要解决这个问题,就需要区分使用Cookie或JWT的“用户”是正常用户还是恶意攻击者。
想要区分“用户”是否是合法的,就要考虑可以取到用户的什么信息。这里针对的是Web应用,相比于终端软件,可以获取到的用户终端设备是信息是很少的,这里只能从网络请求的角度入手,去制定相应的安全方案。
基于此,在本说明书中,提供了身份认证方法,本说明书同时涉及身份认证装置,一种计算设备,以及一种计算机可读存储介质,在下面的实施例中逐一进行详细说明。
需要说明的是,本说明书实施例所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。
参见图1,图1示出了根据本说明书一个实施例提供的一种身份认证方法的整体流程图,具体包括以下步骤。
用户在网页登录系统A之后,服务端需要执行步骤102,服务端设置正常业务标识,额外设置环境信息。为保证用户身份没有被窃取盗用,在步骤104,用户发起操作请求之后,执行步骤106,服务端检查此时环境信息,步骤108,服务端判定环境信息是否变化。若发生变化,执行步骤110,服务端采取安全措施。具体的,安全措施可以为要求用户重新登录、验证用户手机号、要求用户输入验证码、要求用户进行人脸验证等。若未发生变化,执行步骤112,服务端响应业务请求。从而避免用户的数据被盗用,以此在网页对系统A进行操作。
本说明书实施例通过接收第一客户端发送的数据处理请求,从数据处理请求得到已认证的环境参数和当前使用的环境参数,并将第一客户端环境参数和第二客户端环境参数进行比较,从而对客户端发送的数据处理请求发送者的身份进行认证,由此可以防止认证数据的泄露造成的恶意操作,从而提高了安全性。
参见图2a,图2a示出了根据本说明书一个实施例提供的一种身份认证方法的流程图,具体包括以下步骤。
步骤202:接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据。
其中,第一客户端可以为基于任意计算设备的客户端,例如,安装在个人计算机上的客户端。数据处理请求可以为客户端发送的访问请求,例如,客户端打开某一网址,即向服务端发送页面访问请求。第一客户端环境参数可以为客户端的相关数据参数,例如,客户端所使用的系统参数等。认证数据可以为cookie数据或者JWT数据。
在实际应用中,在用户在网页上进行操作的情况下,需要向服务端发送数据处理请求,并且数据处理请求中会携带当前客户端的环境参数,以及在之前登录该网页时从服务端收到的cookie数据,cookie数据用于对操作者的身份进行认证,以确定操作为可信的。
例如,用户在网页登录系统A之后,在网页点击查看数据按钮,即向服务器发送数据处理请求,数据处理请求中携带登录态的cookie数据,并且携带操作系统标识和归属地标识。
又例如,用户在网页登录系统A之后,在网页点击查看数据按钮,即向服务器发送数据处理请求,数据处理请求中携带登录态的JWT数据,并且携带操作系统标识和归属地标识。
需要说明的是,操作系统标识可以包含来源于HTTP协议的请求的头部字段,其中包含操作系统标识、浏览器类型、浏览器版本等信息。
本说明书实施例通过接收客户端的数据处理请求,以使后续可以从数据处理请求中获取操作时的环境参数,以及登录时的环境参数,从而对当前的操作进行认证,达到防止恶意执行的目的。
进一步的,在用户在网页上首次登录之后,才能在网页上进行数据获取、处理和查看等操作,并且在用户在网页上首次登录时,服务器端会生成cookie数据,并发送至客户端。具体实现方式如下所述。
在一种可实现的方式中,在所述接收客户端发送的数据处理请求之前,还包括:
接收第二客户端发送的数据处理请求,其中,所述数据访问请求中携带第二客户端环境参数;
根据所述第二客户端环境参数生成认证数据,并将所述认证数据发送至所述第二客户端。
其中,第二客户端可以为首次登录时的客户端,相应的,第二客户端环境参数可以为第二客户端的相关数据参数,例如,客户端所使用的系统参数等。
在实际应用中,在用户首次打开网页时,需要通过账号和密码登录网页,在登录时需要客户端向服务端发送登录请求,登录请求中携带了登录时的环境参数。服务端可以通过该环境参数生成cookie数据,并将cookie数据返回至客户端。
例如,参见图2b,图2b示出了本说明书一个实施例提供的一种身份认证方法的登录时序图,用户通过客户端在首次登录之前需要先在客户端请求登录,通过客户端向负载均衡系统发送登录请求,登录请求中包括登录时的环境参数,负载均衡系统再将请求转发至服务器。服务端会根据当前的登录状态生成cookie2,并返回至负载均衡系统,如果是登录成功的状态,由负载均衡系统在cookie2中设置登录时的环境参数。并将cookie2返回至客户端,并将登录结果呈现给用户。所以在登录之后的发送的请求中,cookie2数据中存在携带登录时的客户端环境参数。用户在网页登录系统A之后,在网页点击查看数据按钮,即向服务器发送数据处理请求,数据处理请求中携带登录态的cookie数据,即,cookie2,并且携带操作系统标识和归属地标识。
又例如,用户通过客户端在首次登录之前需要先向服务器访问相应的网页,在从服务端接收相应的页面数据之后,同时从服务端接收到JWT1,用户通过客户端在首次登录时已通过请求发送客户端环境参数,服务端在向客户端返回JWT数据时,会将客户端环境参数放入JWT数据中以生成JWT2,并将JWT2发送至客户端。所以在登录之后的发送的请求中,JWT2数据中存在携带登录时的客户端环境参数。用户在网页登录系统A之后,在网页点击查看数据按钮,即向服务器发送数据处理请求,数据处理请求中携带登录态的JWT数据,即,JWT2,并且携带操作系统标识和归属地标识。
具体的,在一种实施例中,系统使用Cookie,业务登录态是通过字段JESSIONID=xxx体现的,那么可以增加一个字段ENV=yyy,yyy为环境参数,环境参数放入ENV中。这种情况下,需要服务端认定ENV内容合法,可以比较当前环境参数与登录时的环境参数。
在另一种实施例中,系统使用Cookie,业务登录态是JESSIONID=xxx,那么可以增加一个字段ENV=yyy,yyy为环境参数,环境参数放入ENV中。这种情况下,需要JESSIONID中的环境参数合法,服务端可以比较当前环境参数与登录时的环境参数。
在又一种实施例中,系统使用JWT,则将环境参数放入JWT结构的主体中。这种情况下,需要服务端可以比较当前环境参数与登录时的环境参数。
本说明书实施例通过不同的方式将环境参数加入认证数据中,提高了灵活性。由此可以提高方案的普适性。
进一步的,为了防止环境参数被篡改,还可以对环境参数进行签名。具体实现方式如下所述。
在一种可实现的方式中,所述根据所述第二客户端环境参数生成认证数据,包括:
对所述第二客户端环境参数进行加密处理生成环境数据,并将所述环境数据添加至初始认证数据中,生成认证数据。
其中,加密处理可以为签名处理,即,使用签名算法对数据进行处理,以保证数据不被篡改,环境数据可以为加密后的环境参数。
在实际应用中,通过对环境参数进行签名,从而可以保证环境参数的安全性。
例如,用户通过客户端在首次登录之前需要先向服务器访问相应的网页,在从服务端接收相应的页面数据之后,同时从服务端接收到cookie1,用户通过客户端在首次登录时已通过请求发送客户端环境参数,服务端在向客户端返回cookie数据时,会将客户端环境参数放入cookie数据中以生成cookie2,并将cookie2进行加密,将加密后的cookie2发送至客户端。所以在登录之后的发送的请求中,cookie2数据中存在携带登录时的客户端环境参数。用户在网页登录系统A之后,在网页点击查看数据按钮,即向服务器发送数据处理请求,数据处理请求中携带登录态的cookie数据,即,cookie2,并且携带操作系统标识和归属地标识。
本说明书实施例通过对环境参数进行加密,保证了环境参数的安全性。
步骤204:对所述认证数据进行解析,确定第二客户端环境参数。
在实际应用中,在上述实施例的步骤中,用户通过客户端在首次登录时已通过请求发送客户端环境参数,服务端在向客户端返回cookie数据时,会将客户端环境参数放入cookie数据中,所以在登录之后的发送的请求中,cookie数据中存在携带登录时的客户端环境参数,由此,可以从cookie中解析得到登录时的客户端环境参数,且,登录时的客户端环境参数被认为是可信的,从而可以用于后续的环境参数对比,达到认证的效果。
例如,用户在网页登录系统A之后,在网页点击查看数据按钮,即向服务器发送数据处理请求,数据处理请求中携带登录态的cookie数据,并且携带操作系统标识和归属地标识,从收到的cookie数据中解析得到登录时的操作系统标识和归属地标识。
例如,用户在网页登录系统A之后,在网页点击查看数据按钮,即向服务器发送数据处理请求,数据处理请求中携带登录态的JWT数据,并且携带操作系统标识和归属地标识,从收到的JWT数据中解析得到登录时的操作系统标识和归属地标识。
本说明书实施例对认证数据进行解析,确定第二客户端环境参数,以此得到认证的环境参数,从而在后续步骤进行身份认证。
步骤206:对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。
其中,认证结果可以为认证通过或者认证失败等结果。
在实际应用中,因为攻击者窃取到的Cookie或JWT是含有登录态,所以将场景分为两个,一个是用户登录时,一个是用户登录后,假定登录时用户是正常用户,登录后是否是正常用户是不确定的。所以可以将登录时的环境参数与登录后的环境参数进行比较,如IP归属地是否发生变化,如果发生了变化,可能是存在攻击者。也就是说,通过对第一客户端环境参数和第二客户端环境参数进行比较,确定是否操作时的环境参数是否与登录时的环境参数一致,从而确定是否认证成功。
例如,用户在网页登录系统A之后,在网页点击查看数据按钮,即向服务器发送数据处理请求,数据处理请求中携带登录态的cookie数据,并且携带操作系统标识1和归属地标识1,从收到的cookie数据中解析得到登录时的操作系统标识2和归属地标识2。根据操作系统标识1和归属地标识1以及操作系统标识2和归属地标识2进行对比,从而确定认证结果。
又例如,参见图2c,图2c示出了本说明书一个实施例提供的一种身份认证方法的操作时序图,用户在网页登录系统A之后,在网页点击查看数据按钮,即向负载均衡系统发送数据处理请求,数据处理请求中携带登录态的cookie数据,并且携带操作系统标识1和归属地标识1,负载均衡系统可以进行从收到的cookie数据中解析得到登录时的操作系统标识2和归属地标识2。根据操作系统标识1和归属地标识1以及操作系统标识2和归属地标识2进行对比,从而确定认证结果,在认证通过时,负载均衡系统将数据处理请求发送至服务端,服务端将操作结果返回给负载均衡系统,并呈现给用户。
本说明书实施例通过对第一客户端环境参数和第二客户端环境参数进行比较,确定是否操作时的环境参数是否与登录时的环境参数一致,从而确定是否认证成功,以此防止认证数据的泄露,导致的风险操作。
在确定第一客户端环境参数和第二客户端环境参数之后,还需要将第一客户端环境参数和第二客户端环境参数中相同类型的参数进行对比,具体实现方式如下所述。
在一种可实现的方式中,所述对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果,包括:
从所述第一客户端环境参数中确定至少一个类型参数的第一参数值,并从所述第二客户端环境参数中确定至少一个类型参数的第二参数值;
确定相同类型参数的第一参数值和第二参数值,并将相同类型参数的所述第一参数值和所述第二参数值进行比对,确定认证结果。
其中,至少一个类型参数可以为上述实施例中的操作系统标识、IP归属地等类型参数。参数值可以为操作系统标识、IP归属地等类型参数的参数值,如,操作系统标识的参数值为操作系统X。
在实际应用中,由于手机流量和网络宽带的普及,通过IP白名单的方式区分普通用户和攻击者是困难的。所以这里从其他途径入手,去寻找网络请求或网络流量中可以起到类似IP效果的字段。通过人工分析,得到可以起到类似IP效果的字段如下,这里将这些字段称为“环境参数”:如,IP归属地,操作系统标识,设备标识和用户标识。
例如,用户在网页登录系统A之后,在网页点击查看数据按钮,即向服务器发送数据处理请求,数据处理请求中携带登录态的cookie数据,并且携带操作系统标识1和归属地标识1,从收到的cookie数据中解析得到登录时的操作系统标识2和归属地标识2。根据操作系统标识1和归属地标识1以及操作系统标识2和归属地标识2进行对比,将操作系统标识1和操作系统标识2进行对比,将归属地标识1和归属地标识2进行对比,从而确定认证结果。
需要说明的是,还可以进行自定义环境参数,例如,加入自定义的字段作为环境参数。
本说明书实施例将相同类型参数的第一参数值和第二参数值进行比对,确定认证结果,由此提高了安全性。
在一种可实现的方式中,所述将相同类型参数的所述第一参数值和所述第二参数值进行比对,确定认证结果,包括:
将相同类型参数的所述第一参数值和所述第二参数值进行比对,在所述第一参数值与所述第二参数值不匹配的情况下,确定所述认证结果为认证失败。
在实际应用中,如果任何一个相同类型参数的第一参数值和第二参数值不相同的情况下,则判定认证失败。
例如,用户在网页登录系统A之后,在网页点击查看数据按钮,即向服务器发送数据处理请求,数据处理请求中携带登录态的cookie数据,并且携带操作系统标识1和归属地标识1,从收到的cookie数据中解析得到登录时的操作系统标识2和归属地标识2。根据操作系统标识1和归属地标识1以及操作系统标识2和归属地标识2进行对比,将操作系统标识1和操作系统标识2进行对比,将归属地标识1和归属地标识2进行对比,如果操作系统标识1和操作系统标识2不相同,归属地标识1和归属地标识2相同,那么判定身份认证失败。
相应的,归属地标识1和归属地标识2不相同,而操作系统标识1和操作系统标识2相同,那么判定身份认证失败。
本说明书实施例通过在不匹配的情况下,确定认证结果为认证失败,由此可以对相应的操作进行拦截,提高了安全性。
在一种可实现的方式中,在所述确定所述认证结果为认证失败之后,还包括:
根据所述认证结果生成告警日志,并将所述告警日志发送至告警系统。
其中,告警日志可以理解为在身份认证失败之后产生的用于告警的日志。告警系统可以为用于接收告警日志的系统。
例如,用户在网页登录系统A之后,在网页点击查看数据按钮,即向服务器发送数据处理请求,数据处理请求中携带登录态的cookie数据,并且携带操作系统标识1和归属地标识1,从收到的cookie数据中解析得到登录时的操作系统标识2和归属地标识2。根据操作系统标识1和归属地标识1以及操作系统标识2和归属地标识2进行对比,将操作系统标识1和操作系统标识2进行对比,将归属地标识1和归属地标识2进行对比,如果操作系统标识1和操作系统标识2不相同,归属地标识1和归属地标识2相同,那么判定身份认证失败。由此生成告警信息,并将告警信息发送至告警系统,由工作人员进行处理。
参见图2d,图2d示出了本说明书一个实施例提供的一种身份认证方法的拦截时序图,用户在网页登录系统A之后,在网页点击查看数据按钮,即向负载均衡系统发送数据处理请求,数据处理请求中携带登录态的cookie数据,并且携带操作系统标识1和归属地标识1,负载均衡系统可以进行从收到的cookie数据中解析得到登录时的操作系统标识2和归属地标识2。根据操作系统标识1和归属地标识1以及操作系统标识2和归属地标识2进行对比,从而确定认证结果,在认证失败时,负载均衡系统生成告警信息,并将告警信息发送至告警系统,由工作人员进行处理。
本说明书实施例提供身份认证方法及装置,其中所述身份认证方法包括:接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;对所述认证数据进行解析,确定第二客户端环境参数;对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。通过接收第一客户端发送的数据处理请求,从数据处理请求得到已认证的环境参数和当前使用的环境参数,并将第一客户端环境参数和第二客户端环境参数进行比较,从而对客户端发送的数据处理请求发送者的身份进行认证,由此可以防止认证数据的泄露造成的恶意操作,从而提高了安全性。
参见图3,图3示出了根据本说明书一个实施例提供的另一种身份认证方法的流程图,具体包括以下步骤。
步骤302:接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
步骤304:对所述第一客户端环境参数和第二客户端环境参数进行比较确定认证结果并向所述客户端返回所述认证结果,其中,所述第二客户端环境参数为预先从第二客户端获取。
在实际应用中,环境参数的存储,不仅可以将环境参数放在Cookie或JWT中。还可以将环境参数存储在后端,后端即服务端,从而使得用户无法接触提升了安全性。
在一种可实现的方式中,用户在网页登录系统A之后,在网页点击查看数据按钮,即向服务器发送数据处理请求,数据处理请求中携带登录态的cookie数据,并且携带操作系统标识1和归属地标识1,从本地存储中得到登录时的操作系统标识2和归属地标识2。根据操作系统标识1和归属地标识1以及操作系统标识2和归属地标识2进行对比,将操作系统标识1和操作系统标识2进行对比,将归属地标识1和归属地标识2进行对比,如果操作系统标识1和操作系统标识2不相同,归属地标识1和归属地标识2相同,那么判定身份认证失败。
进一步的,在所述接收客户端发送的数据处理请求之前,还包括:
接收第二客户端发送的数据处理请求,其中,所述数据访问请求中携带第二客户端环境参数;
将所述第二客户端环境参数进行存储。
具体的,用户通过客户端在首次登录之前需要先向服务器访问相应的网页,在从服务端接收相应的页面数据之后,同时从服务端接收到cookie1,用户通过客户端在首次登录时已通过请求发送客户端环境参数,服务端将这些客户端环境参数存储在本地。以使在后续步骤中进行对比环境参数。
本说明书实施例通过接收第一客户端发送的数据处理请求,从数据处理请求得到已认证的环境参数和当前使用的环境参数,并将第一客户端环境参数和第二客户端环境参数进行比较,从而对客户端发送的数据处理请求发送者的身份进行认证,由此可以防止认证数据的泄露造成的恶意操作,从而提高了安全性。
参见图4,图4示出了根据本说明书一个实施例提供的又一种身份认证方法的流程图,具体包括以下步骤。
步骤402:接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
步骤404:对所述认证数据进行解析,确定第二客户端环境参数,其中,所述第二客户端环境参数为第二客户端生成;
步骤406:对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。
在实际应用中,还可以通过在客户端将环境参数加入cookie中,以得到携带环境参数的认证数据。
在一种可实现的方式中,用户在网页登录系统A之后,在网页点击查看数据按钮,即向服务器发送数据处理请求,数据处理请求中携带登录态的cookie数据,并且携带操作系统标识1和归属地标识1,对接收到的cookie使用预设的解密算法进行解密,并从解密的cookie数据中解析得到登录时的操作系统标识2和归属地标识2。根据操作系统标识1和归属地标识1以及操作系统标识2和归属地标识2进行对比,将操作系统标识1和操作系统标识2进行对比,将归属地标识1和归属地标识2进行对比,如果操作系统标识1和操作系统标识2不相同,归属地标识1和归属地标识2相同,那么判定身份认证失败。
本说明书实施例通过接收第一客户端发送的数据处理请求,从数据处理请求得到已认证的环境参数和当前使用的环境参数,并将第一客户端环境参数和第二客户端环境参数进行比较,从而对客户端发送的数据处理请求发送者的身份进行认证,由此可以防止认证数据的泄露造成的恶意操作,从而提高了安全性。
本说明书实施例还包括一种身份认证系统,所述系统包括服务端、第一客户端和第二客户端;
所述系统被配置为执行上述任意一项所述身份认证方法的步骤。
具体的,本说明书实施例中的身份认证系统与上述实施例身份认证方法执行步骤相同,此处不再进行赘述。
本说明书实施例的身份认证系统通过接收第一客户端发送的数据处理请求,从数据处理请求得到已认证的环境参数和当前使用的环境参数,并将第一客户端环境参数和第二客户端环境参数进行比较,从而对客户端发送的数据处理请求发送者的身份进行认证,由此可以防止认证数据的泄露造成的恶意操作,从而提高了安全性。
与上述方法实施例相对应,本说明书还提供了身份认证装置实施例,图5示出了本说明书一个实施例提供的一种身份认证装置的结构示意图。如图5所示,该装置包括:
请求接收模块502,被配置为接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
参数确定模块504,被配置为对所述认证数据进行解析,确定第二客户端环境参数;
参数认证模块506,被配置为对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。
在一种可实现的方式中,请求接收模块502,还被配置为:
接收第二客户端发送的数据处理请求,其中,所述数据访问请求中携带第二客户端环境参数;
根据所述第二客户端环境参数生成认证数据,并将所述认证数据发送至所述第二客户端。
在一种可实现的方式中,参数认证模块506,还被配置为:
从所述第一客户端环境参数中确定至少一个类型参数的第一参数值,并从所述第二客户端环境参数中确定至少一个类型参数的第二参数值;
确定相同类型参数的第一参数值和第二参数值,并将相同类型参数的所述第一参数值和所述第二参数值进行比对,确定认证结果。
在一种可实现的方式中,参数认证模块506,还被配置为:
将相同类型参数的所述第一参数值和所述第二参数值进行比对,在所述第一参数值与所述第二参数值不匹配的情况下,确定所述认证结果为认证失败。
在一种可实现的方式中,参数认证模块506,还被配置为:
所述至少一个类型参数的第一参数值包括第一归属地参数值、第一系统参数值、第一设备标识参数值和第一用户标识参数值;
所述至少一个类型参数的第二参数值包括第二归属地参数值、第二系统参数值、第二设备标识参数值和第二用户标识参数值。
在一种可实现的方式中,参数认证模块506,还被配置为:
根据所述认证结果生成告警日志,并将所述告警日志发送至告警系统。
在一种可实现的方式中,参数认证模块506,还被配置为:
对所述第二客户端环境参数进行加密处理生成环境数据,并将所述环境数据添加至初始认证数据中,生成认证数据。
本说明书实施例提供身份认证方法及装置,其中所述身份认证装置包括:接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;对所述认证数据进行解析,确定第二客户端环境参数;对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。通过接收第一客户端发送的数据处理请求,从数据处理请求得到已认证的环境参数和当前使用的环境参数,并将第一客户端环境参数和第二客户端环境参数进行比较,从而对客户端发送的数据处理请求发送者的身份进行认证,由此可以防止认证数据的泄露造成的恶意操作,从而提高了安全性。
与上述方法实施例相对应,本说明书还提供了身份认证装置实施例,图6示出了本说明书一个实施例提供的另一种身份认证装置的结构示意图。如图6所示,该装置包括:
请求接收模块602,被配置为接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
参数认证模块604,被配置为对所述第一客户端环境参数和第二客户端环境参数进行比较确定认证结果并向所述客户端返回所述认证结果,其中,所述第二客户端环境参数为预先从第二客户端获取。
本说明书实施例提供的身份认证装置,通过接收第一客户端发送的数据处理请求,从数据处理请求得到已认证的环境参数和当前使用的环境参数,并将第一客户端环境参数和第二客户端环境参数进行比较,从而对客户端发送的数据处理请求发送者的身份进行认证,由此可以防止认证数据的泄露造成的恶意操作,从而提高了安全性。
与上述方法实施例相对应,本说明书还提供了身份认证装置实施例,图7示出了本说明书一个实施例提供的由一种身份认证装置的结构示意图。如图7所示,该装置包括:
请求接收模块702,被配置为接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
参数确定模块704,被配置为对所述认证数据进行解析,确定第二客户端环境参数,其中,所述第二客户端环境参数为第二客户端生成;
参数认证模块706,被配置为对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。
本说明书实施例提供的身份认证装置,通过接收第一客户端发送的数据处理请求,从数据处理请求得到已认证的环境参数和当前使用的环境参数,并将第一客户端环境参数和第二客户端环境参数进行比较,从而对客户端发送的数据处理请求发送者的身份进行认证,由此可以防止认证数据的泄露造成的恶意操作,从而提高了安全性。
上述为本实施例的一种身份认证装置的示意性方案。需要说明的是,该身份认证装置的技术方案与上述的身份认证方法的技术方案属于同一构思,身份认证装置的技术方案未详细描述的细节内容,均可以参见上述身份认证方法的技术方案的描述。
图8示出了根据本说明书一个实施例提供的一种计算设备800的结构框图。该计算设备800的部件包括但不限于存储器810和处理器820。处理器820与存储器810通过总线830相连接,数据库850用于保存数据。
计算设备800还包括接入设备840,接入设备840使得计算设备800能够经由一个或多个网络860通信。这些网络的示例包括公用交换电话网(PSTN,Public SwitchedTelephone Network)、局域网(LAN,Local Area Network)、广域网(WAN,Wide AreaNetwork)、个域网(PAN,Personal Area Network)或诸如因特网的通信网络的组合。接入设备840可以包括有线或无线的任何类型的网络接口(例如,网络接口卡(NIC,networkinterface controller))中的一个或多个,诸如IEEE802.11无线局域网(WLAN,WirelessLocal Area Network)无线接口、全球微波互联接入(Wi-MAX,WorldwideInteroperability for Microwave Access)接口、以太网接口、通用串行总线(USB,Universal Serial Bus)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC,Near FieldCommunication)。
在本说明书的一个实施例中,计算设备800的上述部件以及图8中未示出的其他部件也可以彼此相连接,例如通过总线。应当理解,图8所示的计算设备结构框图仅仅是出于示例的目的,而不是对本说明书范围的限制。本领域技术人员可以根据需要,增添或替换其他部件。
计算设备800可以是任何类型的静止或移动计算设备,包括移动计算机或移动计算设备(例如,平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如,智能手机)、可佩戴的计算设备(例如,智能手表、智能眼镜等)或其他类型的移动设备,或者诸如台式计算机或个人计算机(PC,Personal Computer)的静止计算设备。计算设备800还可以是移动式或静止式的服务器。
其中,处理器820用于执行如下计算机可执行指令,该计算机可执行指令被处理器执行时实现上述身份认证方法的步骤。上述为本实施例的一种计算设备的示意性方案。需要说明的是,该计算设备的技术方案与上述的身份认证方法的技术方案属于同一构思,计算设备的技术方案未详细描述的细节内容,均可以参见上述身份认证方法的技术方案的描述。
本说明书一实施例还提供一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现上述身份认证方法的步骤。
上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是,该存储介质的技术方案与上述的身份认证方法的技术方案属于同一构思,存储介质的技术方案未详细描述的细节内容,均可以参见上述身份认证方法的技术方案的描述。
本说明书一实施例还提供一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述身份认证方法的步骤。
上述为本实施例的一种计算机程序的示意性方案。需要说明的是,该计算机程序的技术方案与上述的身份认证方法的技术方案属于同一构思,计算机程序的技术方案未详细描述的细节内容,均可以参见上述身份认证方法的技术方案的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
所述计算机指令包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本说明书实施例并不受所描述的动作顺序的限制,因为依据本说明书实施例,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本说明书实施例所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书实施例的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本说明书实施例的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。
Claims (14)
1.一种身份认证方法,应用于服务端,包括:
接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
对所述认证数据进行解析,确定第二客户端环境参数;
对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。
2.根据权利要求1所述的方法,在所述接收客户端发送的数据处理请求之前,还包括:
接收第二客户端发送的数据处理请求,其中,所述数据访问请求中携带第二客户端环境参数;
根据所述第二客户端环境参数生成认证数据,并将所述认证数据发送至所述第二客户端。
3.根据权利要求1所述的方法,所述对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果,包括:
从所述第一客户端环境参数中确定至少一个类型参数的第一参数值,并从所述第二客户端环境参数中确定至少一个类型参数的第二参数值;
确定相同类型参数的第一参数值和第二参数值,并将相同类型参数的所述第一参数值和所述第二参数值进行比对,确定认证结果。
4.根据权利要求3所述的方法,所述将相同类型参数的所述第一参数值和所述第二参数值进行比对,确定认证结果,包括:
将相同类型参数的所述第一参数值和所述第二参数值进行比对,在所述第一参数值与所述第二参数值不匹配的情况下,确定所述认证结果为认证失败。
5.根据权利要求3或4所述的方法,所述至少一个类型参数的第一参数值包括第一归属地参数值、第一系统参数值、第一设备标识参数值和第一用户标识参数值;
所述至少一个类型参数的第二参数值包括第二归属地参数值、第二系统参数值、第二设备标识参数值和第二用户标识参数值。
6.根据权利要求4所述的方法,在所述确定所述认证结果为认证失败之后,还包括:
根据所述认证结果生成告警日志,并将所述告警日志发送至告警系统。
7.根据权利要求2所述的方法,所述根据所述第二客户端环境参数生成认证数据,包括:
对所述第二客户端环境参数进行加密处理生成环境数据,并将所述环境数据添加至初始认证数据中,生成认证数据。
8.一种身份认证方法,应用于服务端,包括:
接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
对所述第一客户端环境参数和第二客户端环境参数进行比较确定认证结果并向所述客户端返回所述认证结果,其中,所述第二客户端环境参数为预先从第二客户端获取。
9.根据权利要求8所述的方法,在所述接收客户端发送的数据处理请求之前,还包括:
接收第二客户端发送的数据处理请求,其中,所述数据访问请求中携带第二客户端环境参数;
将所述第二客户端环境参数进行存储。
10.一种身份认证方法,应用于服务端,包括:
接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
对所述认证数据进行解析,确定第二客户端环境参数,其中,所述第二客户端环境参数为第二客户端生成;
对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。
11.一种身份认证装置,应用于服务端,包括:
请求接收模块,被配置为接收第一客户端发送的数据处理请求,其中,所述数据处理请求中携带第一客户端环境参数以及认证数据;
参数确定模块,被配置为对所述认证数据进行解析,确定第二客户端环境参数;
参数认证模块,被配置为对所述第一客户端环境参数和所述第二客户端环境参数进行比较确定认证结果并向所述第一客户端返回所述认证结果。
12.一种身份认证系统,所述系统包括服务端、第一客户端和第二客户端;
所述系统被配置为执行权利要求1至7、权利要求8至9或10任意一项所述身份认证方法的步骤。
13.一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至7、权利要求8至9或10任意一项所述身份认证方法的步骤。
14.一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至7、权利要求8至9或10任意一项所述身份认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310216733.8A CN116232727A (zh) | 2023-03-01 | 2023-03-01 | 身份认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310216733.8A CN116232727A (zh) | 2023-03-01 | 2023-03-01 | 身份认证方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116232727A true CN116232727A (zh) | 2023-06-06 |
Family
ID=86588931
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310216733.8A Pending CN116232727A (zh) | 2023-03-01 | 2023-03-01 | 身份认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116232727A (zh) |
-
2023
- 2023-03-01 CN CN202310216733.8A patent/CN116232727A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107948204B (zh) | 一键登录方法及系统、相关设备以及计算机可读存储介质 | |
| US10491587B2 (en) | Method and device for information system access authentication | |
| US20220191016A1 (en) | Methods, apparatuses, and computer program products for frictionless electronic signature management | |
| US8019995B2 (en) | Method and apparatus for preventing internet phishing attacks | |
| CN101465735B (zh) | 网络用户身份验证方法、服务器及客户端 | |
| US20150341356A1 (en) | Login method and apparatus | |
| CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
| KR101383761B1 (ko) | 사용자 인증 시스템 및 그 방법 | |
| CN111770057B (zh) | 身份验证系统及身份验证方法 | |
| CN108322416B (zh) | 一种安全认证实现方法、装置及系统 | |
| CN109981665B (zh) | 资源提供方法及装置、资源访问方法及装置和系统 | |
| WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及系统 | |
| CN109218334B (zh) | 数据处理方法、装置、接入控制设备、认证服务器及系统 | |
| CN104426659A (zh) | 动态口令生成方法、认证方法及系统、相应设备 | |
| CN108737390B (zh) | 保护用户名隐私的认证方法及系统 | |
| CN111464532A (zh) | 信息加密方法及系统 | |
| CN112491890A (zh) | 一种访问方法及装置 | |
| CN109726578B (zh) | 一种动态二维码防伪解决办法 | |
| US20120204242A1 (en) | Protecting web authentication using external module | |
| JP2010505334A (ja) | 安全なオンライン取引を容易にするシステム及び方法 | |
| CA2793422C (en) | Hypertext link verification in encrypted e-mail for mobile devices | |
| Huseynov et al. | Context-aware multifactor authentication survey | |
| CN106850592A (zh) | 一种信息处理方法、服务器及终端 | |
| EP2940618A1 (en) | Method, system, user equipment and program for authenticating a user | |
| CN116232727A (zh) | 身份认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |