CN116827551A - 一种防止全局越权的方法及装置 - Google Patents

一种防止全局越权的方法及装置 Download PDF

Info

Publication number
CN116827551A
CN116827551A CN202310732418.0A CN202310732418A CN116827551A CN 116827551 A CN116827551 A CN 116827551A CN 202310732418 A CN202310732418 A CN 202310732418A CN 116827551 A CN116827551 A CN 116827551A
Authority
CN
China
Prior art keywords
request
check code
time stamp
client
timestamp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310732418.0A
Other languages
English (en)
Inventor
王亚平
张智慧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Yuannian Technology Co ltd
Original Assignee
Beijing Yuannian Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yuannian Technology Co ltd filed Critical Beijing Yuannian Technology Co ltd
Priority to CN202310732418.0A priority Critical patent/CN116827551A/zh
Publication of CN116827551A publication Critical patent/CN116827551A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供一种防止全局越权的方法,该方法包括:获取客户端发送的请求和第一校验码,请求中包含请求时间戳;对比请求时间戳与服务端的请求接收时间戳;在请求时间戳与请求接收时间戳的第一差值小于预设阈值的情况下,加密请求,得到第二校验码;对比第一校验码与第二校验码;在第一校验码与第二校验码相同的情况下,确认请求有效。本申请通过统一的安全校验拦截处理,并通过时间戳的校验以及校验码的校验双重校验,可以有效地以校验出在请求过程中的篡改数据,达到防止全局越权的目的。

Description

一种防止全局越权的方法及装置
技术领域
本申请涉及数据安全领域,尤其涉及一种防止全局越权的方法及装置。
背景技术
在B/S模式架构系统中,水平越权和垂直越权是较为常见和严重的安全问题。
例如:通过拦截http请求,对提交的数据进行修改,造成脏数据或修改了他人数据;
例如:在得知了一个高权限的rest接口地址后,通过http请求工具访问此地址,形成低权限用户使用了高权限用户的功能。
对于垂直越权,一般按菜单、按钮等颗粒度定义权限和分配,但这种方式在低耦合高内聚的微服务环境下尤为困难。
对于水平越权,一般在提交数据后,在系统里针对性的再次判断操作人和被操作数据的权限匹配度。这种方式比较安全,但需要分散在各服务模块独自处理,而且处理起来比较繁琐。
有鉴于此,提出了本发明,以至少部分地解决现有技术中存在的技术问题。
发明内容
本申请提供一种防止全局越权的方法及装置,用以解决现有技术中,对垂直越权的处理方式不适用微服务环境,以及对水平越权的处理方式繁琐,占用运算资源的技术问题。
根据本申请的第一方面,提供一种防止全局越权的方法,该方法包括:
获取客户端发送的请求和第一校验码,请求中包含请求时间戳;
对比请求时间戳与服务端的请求接收时间戳;
在请求时间戳与请求接收时间戳的第一差值小于预设阈值的情况下,加密请求,得到第二校验码;
对比第一校验码与第二校验码;
在第一校验码与第二校验码相同的情况下,确认请求有效。
优选的,客户端登录服务端时,客户端的登录时间戳与登录返回服务端的时间戳之间的差值为第二差值;请求时间戳基于客户端发送请求时的时间戳与第二差值得到。
优选的,请求还包括请求地址、请求参数、token以及菜单ID,在请求时间戳与请求接收时间戳的第一差值小于预设阈值的情况下,加密请求,得到第二校验码,包括:
将请求地址、请求参数、token、请求时间戳以及菜单ID按照固定规则进行排列拼接,得到初始明文,其中,请求参数中的业务数据按照预设规则进行排列拼接;
利用正则表达式去掉初始明文中的特殊字符,得到目标明文;
加密目标明文,得到第二校验码。
优选的,请求参数中的业务数据按照预设规则进行排序拼接包括:
将请求参数中的业务数据的键按照正序排列或倒序排列后,拼接业务数据的键对应的值。
优选的,客户端通过加密请求得到第一校验码,且客户端加密请求得到第一校验码的加密规则与服务端加密请求得到第二校验码的加密规则相同。
优选的,该方法还包括:
基于token以及菜单ID,读取客户端的功能权限集合;
在读取到客户端的功能权限集合的情况下,匹配请求地址与功能权限集合;
在请求地址与功能权限集合相匹配的情况下,确定请求的功能权限有效。
优选的,该方法还包括:
在请求时间戳与请求接收时间戳的第一差值超过预设阈值或第一校验码与第二校验码不同的情况下,确认请求无效。
优选的,该方法还包括:
在未读取到客户端的功能权限集合或请求地址与功能权限集合不相匹配的情况下,确认请求超出其功能权限。
根据本发明的第二方面,提供一种防止全局越权的装置,该装置包括:
获取模块,用于获取客户端发送的请求和第一校验码,请求中包含请求时间戳;
第一对比模块,用于对比请求时间戳与服务端的请求接收时间戳;
加密模块,用于在请求时间戳与请求接收时间戳的第一差值小于预设阈值的情况下,加密请求,得到第二校验码;
第二对比模块,用于对比第一校验码与第二校验码;
第一确定模块,用于在第一校验码与第二校验码相同的情况下,确认请求有效。
优选的,客户端登录服务端时,客户端的登录时间戳与登录返回服务端的时间戳之间的差值为第二差值;请求时间戳基于客户端发送请求时的时间戳与第二差值得到。
优选的,加密模块,用于:
将请求地址、请求参数、token、请求时间戳以及菜单ID按照固定规则进行排列拼接,得到初始明文,其中,请求参数中的业务数据按照预设规则进行排列拼接;
利用正则表达式去掉初始明文中的特殊字符,得到目标明文;
加密目标明文,得到第二校验码。
优先的,加密模块,用于:
将请求参数中的业务数据的键按照正序排列或倒序排列后,拼接业务数据的键对应的值。
优选的,客户端通过加密请求得到第一校验码,且客户端加密请求得到第一校验码的加密规则与服务端加密请求得到第二校验码的加密规则相同。
优选的,该装置还包括:
读取模块,用于基于token以及菜单ID,读取客户端的功能权限集合;
匹配模块,用于在读取到客户端的功能权限集合的情况下,匹配请求地址与功能权限集合;
第二确定模块,用于在请求地址与功能权限集合相匹配的情况下,确定请求的功能权限有效。
优选的,该装置还包括:
第三确定模块,用于在请求时间戳与请求接收时间戳的第一差值超过预设阈值或第一校验码与第二校验码不同的情况下,确认请求无效。
优先的,该装置还包括:
第四确定模块,用于在未读取到客户端的功能权限集合或请求地址与功能权限集合不相匹配的情况下,确认请求超出其功能权限。
根据本发明的第三方面,提供一种电子设备,电子设备包括:处理器以及存储有计算机程序指令的存储器;
处理器执行计算机程序指令时实现上述的任一种防止全局越权的方法。
根据本发明的第四方面,提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现上述的任一种防止全局越权的方法。
综上所述,本申请提供的防止全局越权的方法及装置至少具有以下有益效果:
本申请提供一种防止全局越权的方法,该方法包括:获取客户端发送的请求和第一校验码,请求中包含请求时间戳;对比请求时间戳与服务端的请求接收时间戳;在请求时间戳与请求接收时间戳的第一差值小于预设阈值的情况下,加密请求,得到第二校验码;对比第一校验码与第二校验码;在第一校验码与第二校验码相同的情况下,确认请求有效。本申请通过统一的安全校验拦截处理,并通过时间戳的校验以及校验码的校验双重校验,可以有效地以校验出在请求过程中的篡改数据,达到防止全局越权的目的。
附图说明
为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域的技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请的实施例提供的一种防止全局越权的方法的流程图;
图2为本申请的实施例提供的一种防止全局越权的方法的交互示意图;
图3为本申请的实施例提供的一种防止全局越权的装置的结构图;
图4为本申请的实施例提供的一种电子设备的结构图。
具体实施方式
为了使本申请的上述以及其他特征和优点更加清楚,下面结合附图进一步描述本申请。应当理解,本文给出的具体实施例是出于向本领域的技术人员解释的目的,仅是示例性的,而非限制性的。
在以下描述中,阐述了许多具体细节以提供对本申请的透彻理解。然而,对于本领域的技术人员来说,明显的是,不需要采用具体细节来实践本申请。在其他情况下,未详细描述众所周知的步骤或操作,以避免模糊本申请。
本申请实施例提供的防止全局越权的方法,可由本申请实施例提供的防止全局越权的装置执行,该装置可配置于电子设备中;其中,本申请中的全局越权包括水平越权以及垂直越权。
参考图1,本申请提供了一种防止全局越权的方法,该方法包括:
S110,获取客户端发送的请求和第一校验码,请求中包含请求时间戳。
本申请的执行主体为服务端,服务端可以接收客户端发送的针对某一功能的请求,例如客户端可以向服务端发送一条请求,请求查询销售数据。请求中会携带用于校验请求权限的第一校验码以及请求时间戳,需要说明的是请求时间戳为客户端发送请求时,客户端同步服务端的时间后的客户端时间。
S120,对比请求时间戳与服务端的请求接收时间戳;
S130,在请求时间戳与请求接收时间戳的第一差值小于预设阈值的情况下,加密请求,得到第二校验码;
其中,请求接收时间戳为服务端接收到客户端发送的请求后,读取的服务端的当前时间。针对客户端的请求,服务端首先对比请求时间戳和请求接收时间戳,在请求时间戳与请求接收时间戳的第一差值小于预设阈值的情况下,服务端才会进行后续的校验。具体的如上述校验过程未通过,服务端则会判断该请求无效,以节约服务器的运算资源。在一些实施例中,预设阈值可以设置为2秒。
在时间戳的校验通过后,服务端会对请求中的内容进行加密,得到第二校验码,需要说明的是,服务端进行加密的内容需要与第一校验码的原始内容一致,以保证校验第一校验码与第二校验码的操作是有效操作。
S1140,对比第一校验码与第二校验码;
S150,在第一校验码与第二校验码相同的情况下,确认请求有效。
需要说明的是,在时间戳的校验以及校验码的校验均通过的情况,服务端才会确定本次请求有效,如校验码的校验未通过,即第一校验码与第二校验码不一致的情况下,服务端同样会确定本次请求无效。
本申请通过统一的安全校验拦截处理,并通过时间戳的校验以及校验码的校验双重校验,可以有效地以校验出在请求过程中的篡改数据,达到防止全局越权的目的。
在一些实施方式中,客户端通过以下方式同步服务器的时间,
客户端登录服务端时,客户端的登录时间戳与登录返回服务端的时间戳之间的差值为第二差值;请求时间戳基于客户端发送请求时的时间戳与第二差值得到。
在一些实施方式中,请求还包括请求地址、请求参数、token以及菜单ID,在请求时间戳与请求接收时间戳的第一差值小于预设阈值的情况下,加密请求,得到第二校验码,包括:
将请求地址、请求参数、token、请求时间戳以及菜单ID按照固定规则进行排列拼接,得到初始明文,其中,请求参数中的业务数据按照预设规则进行排列拼接;
利用正则表达式去掉初始明文中的特殊字符,得到目标明文;
加密目标明文,得到第二校验码。
本申请对排序规则并不做限定,在一些实施例中,由于请求地址、请求参数、token、请求时间戳以及菜单ID为每个请求中均包含的内容,因此可以按照相关技术人员预先设定固定顺序排列拼接;进一步地,由于用户的每个请求所要实现的功能可能不同,导致用户的请求中的业务数据也可能不同,无法按照固定顺序排列拼接,以及由于业务数据一般是键(key)-值(value)对的格式,因此可以将业务数据的键(key)按照正序或倒序的预设规则进行排列后拼接值(value)。
本申请中加密请求指的是加密请求中除校验码以外的部分数据,在上述实施方式中,加密的内容包括请求地址、请求参数、token、请求时间戳以及菜单ID。
参照图2,图2中的浏览器可以理解为本申请中的客户端的一个示例。在一些实施方式中,客户端通过加密请求得到第一校验码,且客户端加密请求得到第一校验码的加密规则与服务端加密请求得到第二校验码的加密规则相同。
客户端与服务端对加密原文的排列组合和加密算法约定相同规则,以保证前后端对请求加密的结果一致,在一些具体的实施例中,可以采用hash算法,比如SHA256,加密得到一个不可逆的结果。
在一些实施例中,该方法还包括:
基于token以及菜单ID,读取客户端的功能权限集合;在读取到客户端的功能权限集合的情况下,匹配请求地址与功能权限集合;在请求地址与功能权限集合相匹配的情况下,确定请求的功能权限有效。
本申请中,服务端可以基于token以及菜单ID匹配发送请求的客户端的功能权限集合,校验请求中的请求地址是否符合其功能权限集合,并在请求地址与功能权限集合相匹配的情况下,才会确定请求的功能权限有效。从而,本申请通过对客户端的权限的校验,可以进一步防止低级别权限的用户使用高级别权限用户的权限,即进一步防止垂直越权。
在一些实施方式中,在请求时间戳与请求接收时间戳的第一差值超过预设阈值或第一校验码与第二校验码不同的情况下,确认请求无效。
在一些实施方式中,在未读取到客户端的功能权限集合或请求地址与功能权限集合不相匹配的情况下,确认请求超出其功能权限。
参照图3,本申请提供一种防止全局越权的装置,该装置还包括:
获取模块301,用于获取客户端发送的请求和第一校验码,请求中包含请求时间戳;
第一对比模块302,用于对比请求时间戳与服务端的请求接收时间戳;
加密模块303,用于在请求时间戳与请求接收时间戳的第一差值小于预设阈值的情况下,加密请求,得到第二校验码;
第二对比模块304,用于对比第一校验码与第二校验码;
第一确定模块305,用于在第一校验码与第二校验码相同的情况下,确认请求有效。
在一些实施方式中,客户端登录服务端时,客户端的登录时间戳与登录返回服务端的时间戳之间的差值为第二差值;请求时间戳基于客户端发送请求时的时间戳与第二差值得到。
在一些实施方式中,加密模块,用于:
将请求地址、请求参数、token、请求时间戳以及菜单ID按照固定规则进行排列拼接,得到初始明文,其中,请求参数中的业务数据按照预设规则进行排列拼接;利用正则表达式去掉初始明文中的特殊字符,得到目标明文;加密目标明文,得到第二校验码。
在一些实施方式中,加密模块,用于:
将请求参数中的业务数据的键按照正序排列或倒序排列后,拼接业务数据的键对应的值。
在一些实施方式中,客户端通过加密请求得到第一校验码,且客户端加密请求得到第一校验码的加密规则与服务端加密请求得到第二校验码的加密规则相同。
在一些实施方式中,该装置还包括:
读取模块,用于基于token以及菜单ID,读取客户端的功能权限集合;
匹配模块,用于在读取到客户端的功能权限集合的情况下,匹配请求地址与功能权限集合;
第二确定模块,用于在请求地址与功能权限集合相匹配的情况下,确定请求的功能权限有效。
在一些实施方式中,该装置还包括:
第三确定模块,用于在请求时间戳与请求接收时间戳的第一差值超过预设阈值或第一校验码与第二校验码不同的情况下,确认请求无效。
在一些实施方式中,该装置还包括:
第四确定模块,用于在未读取到客户端的功能权限集合或请求地址与功能权限集合不相匹配的情况下,确认请求超出其功能权限。
应理解,本文中前述关于本申请的方法所描述的具体特征、操作和细节也可类似地应用于本申请的装置和系统,或者,反之亦然。另外,上文描述的本申请的方法的每个步骤可由本申请的装置或系统的相应部件或单元执行。
应理解,本申请的装置的各个模块/单元可全部或部分地通过软件、硬件、固件或其组合来实现。各模块/单元各自可以硬件或固件形式内嵌于电子设备的处理器中或独立于处理器,也可以软件形式存储于电子设备的存储器中以供处理器调用来执行各模块/单元的操作。各模块/单元各自可以实现为独立的部件或模块,或者两个或更多个模块/单元可实现为单个部件或模块。
参照图4,本申请提供了一种电子设备400,电子设备包括处理器401以及存储有计算机程序指令的存储器402。其中,处理器401执行计算机程序指令时实现上述的防止全局越权的方法的各步骤。该电子设备400可以广义地为服务端、终端,或任何其他具有必要的计算和/或处理能力的电子设备。
在一个实施例中,该电子设备400可包括通过系统总线连接的处理器、存储器、网络接口、通信接口等。该电子设备400的处理器可用于提供必要的计算、处理和/或控制能力。该电子设备400的存储器可包括非易失性存储介质和内存储器。该非易失性存储介质可存储有操作系统、计算机程序等。该内存储器可为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备400的网络接口和通信接口可用于与外部的设备通过网络连接和通信。该计算机程序被处理器执行时执行本申请的方法的步骤。
本申请提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现上述的防止全局越权的方法。
本领域的技术人员可以理解,本申请的方法步骤可以通过计算机程序来指示相关的硬件如电子设备400或处理器完成,计算机程序可存储于非暂时性计算机可读存储介质中,该计算机程序被执行时导致本申请的步骤被执行。根据情况,本文中对存储器、存储或其它介质的任何引用可包括非易失性或易失性存储器。非易失性存储器的示例包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)、闪存、磁带、软盘、磁光数据存储装置、光学数据存储装置、硬盘、固态盘等。易失性存储器的示例包括随机存取存储器(RAM)、外部高速缓冲存储器等。
以上描述的各技术特征可以任意地组合。尽管未对这些技术特征的所有可能组合进行描述,但这些技术特征的任何组合都应当被认为由本说明书涵盖,只要这样的组合不存在矛盾。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (10)

1.一种防止全局越权的方法,其特征在于,包括:
获取客户端发送的请求和第一校验码,所述请求中包含请求时间戳;
对比所述请求时间戳与服务端的请求接收时间戳;
在所述请求时间戳与所述请求接收时间戳的第一差值小于预设阈值的情况下,加密所述请求,得到第二校验码;
对比所述第一校验码与所述第二校验码;
在所述第一校验码与所述第二校验码相同的情况下,确认所述请求有效。
2.根据权利要求1所述的防止全局越权的方法,其特征在于,
所述客户端登录所述服务端时,所述客户端的登录时间戳与登录返回所述服务端的时间戳之间的差值为第二差值;
所述请求时间戳基于所述客户端发送所述请求时的时间戳与第二差值得到。
3.根据权利要求1所述的防止全局越权的方法,其特征在于,所述请求还包括请求地址、请求参数、token以及菜单ID,所述在所述请求时间戳与所述请求接收时间戳的第一差值小于预设阈值的情况下,加密所述请求,得到第二校验码,包括:
将所述请求地址、所述请求参数、所述token、所述请求时间戳以及所述菜单ID按照固定规则进行排列拼接,得到初始明文,其中,所述请求参数中的业务数据按照预设规则进行排列拼接;
利用正则表达式去掉所述初始明文中的特殊字符,得到目标明文;
加密所述目标明文,得到第二校验码。
4.根据权利要求1所述的防止全局越权的方法,其特征在于,所述请求参数中的业务数据按照预设规则进行排序拼接包括:
将请求参数中的业务数据的键按照正序排列或倒序排列后,拼接所述业务数据的键对应的值。
5.根据权利要求1所述的防止全局越权的方法,其特征在于,所述客户端通过加密所述请求得到第一校验码,且所述客户端加密所述请求得到第一校验码的加密规则与所述服务端加密所述请求得到第二校验码的加密规则相同。
6.根据权利要求3所述的防止全局越权的方法,其特征在于,所述方法还包括:
基于所述token以及所述菜单ID,读取所述客户端的功能权限集合;
在读取到所述客户端的功能权限集合的情况下,匹配所述请求地址与所述功能权限集合;
在所述请求地址与所述功能权限集合相匹配的情况下,确定所述请求的功能权限有效。
7.根据权利要求1所述的防止全局越权的方法,其特征在于,所述方法还包括:
在所述请求时间戳与所述请求接收时间戳的第一差值超过所述预设阈值或所述第一校验码与所述第二校验码不同的情况下,确认所述请求无效。
8.根据权利要求5所述的防止全局越权的方法,其特征在于,所述方法还包括:
在未读取到所述客户端的功能权限集合或所述请求地址与所述功能权限集合不相匹配的情况下,确认所述请求超出其功能权限。
9.一种防止全局越权的装置,其特征在于,包括:
获取模块,用于获取客户端发送的请求和第一校验码,所述请求中包含请求时间戳;
第一对比模块,用于对比所述请求时间戳与服务端的请求接收时间戳;
加密模块,用于在所述请求时间戳与所述请求接收时间戳的第一差值小于预设阈值的情况下,加密所述请求,得到第二校验码;
第二对比模块,用于对比所述第一校验码与所述第二校验码;
第一确定模块,用于在所述第一校验码与所述第二校验码相同的情况下,确认所述请求有效。
10.一种电子设备,其特征在于,所述电子设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-7任意一项所述的防止全局越权的方法。
CN202310732418.0A 2023-06-20 2023-06-20 一种防止全局越权的方法及装置 Pending CN116827551A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310732418.0A CN116827551A (zh) 2023-06-20 2023-06-20 一种防止全局越权的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310732418.0A CN116827551A (zh) 2023-06-20 2023-06-20 一种防止全局越权的方法及装置

Publications (1)

Publication Number Publication Date
CN116827551A true CN116827551A (zh) 2023-09-29

Family

ID=88125210

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310732418.0A Pending CN116827551A (zh) 2023-06-20 2023-06-20 一种防止全局越权的方法及装置

Country Status (1)

Country Link
CN (1) CN116827551A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117714216A (zh) * 2024-02-06 2024-03-15 杭州城市大脑有限公司 一种基于对多维度唯一标识加密的数据越权访问控制方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117714216A (zh) * 2024-02-06 2024-03-15 杭州城市大脑有限公司 一种基于对多维度唯一标识加密的数据越权访问控制方法
CN117714216B (zh) * 2024-02-06 2024-04-30 杭州城市大脑有限公司 一种基于对多维度唯一标识加密的数据越权访问控制方法

Similar Documents

Publication Publication Date Title
CN111147255B (zh) 数据安全服务系统、方法和计算机可读储存介质
CN109150907B (zh) 车载工控机登录方法、装置、系统、计算机设备及介质
CN109600377B (zh) 防越权方法、装置、计算机设备及存储介质
WO2020181809A1 (zh) 基于接口校验的数据处理的方法、系统和计算机设备
CN110784450A (zh) 一种基于浏览器的单点登录方法和装置
CN112398824B (zh) 一种权限校验方法、存储介质及电子设备
CN111241555B (zh) 模拟用户登录的访问方法、装置、计算机设备和存储介质
CN109145628B (zh) 一种基于可信执行环境的数据采集方法及系统
CN113179240B (zh) 密钥保护方法、装置、设备及存储介质
US12088583B2 (en) Permissions for backup-related operations
CN113225351B (zh) 一种请求处理方法、装置、存储介质及电子设备
CN111177741A (zh) 一种基于企业浏览器的预授权数据访问方法和装置
CN111193740A (zh) 加密方法、装置、解密方法、计算机设备和存储介质
CN113360868A (zh) 应用程序登录方法、装置、计算机设备和存储介质
CN111585970A (zh) 一种令牌的验证方法和装置
CN116827551A (zh) 一种防止全局越权的方法及装置
CN113259429A (zh) 会话保持管控方法、装置、计算机设备及介质
CN112836206B (zh) 登录方法、装置、存储介质和计算机设备
CN110008727B (zh) 加密敏感参数的处理方法、装置、计算机设备和存储介质
CN108900595B (zh) 访问云存储服务器数据的方法、装置、设备及计算介质
CN111652720A (zh) 云取证方法、装置、计算机设备及存储介质
CN114139131A (zh) 操作系统登录方法、装置及电子设备
CN114329574A (zh) 基于域管平台的加密分区访问控制方法、系统及计算设备
CN113901428A (zh) 多租户系统的登录方法及装置
CN114090996A (zh) 多方系统互信认证方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination