CN117896179B - 一种组合式url签名鉴权方法、装置及其存储介质 - Google Patents
一种组合式url签名鉴权方法、装置及其存储介质 Download PDFInfo
- Publication number
- CN117896179B CN117896179B CN202410288422.7A CN202410288422A CN117896179B CN 117896179 B CN117896179 B CN 117896179B CN 202410288422 A CN202410288422 A CN 202410288422A CN 117896179 B CN117896179 B CN 117896179B
- Authority
- CN
- China
- Prior art keywords
- information
- signature
- user
- resource
- service server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 21
- 238000012795 verification Methods 0.000 claims abstract description 15
- 230000004044 response Effects 0.000 claims description 5
- 101100217298 Mus musculus Aspm gene Proteins 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 3
- 230000009191 jumping Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及组合式URL签名鉴权方法、装置及其存储介质,其中方法包括:所述用户终端向所述业务服务器请求登录,所述业务服务器对所述用户终端进行身份验证;若身份验证通过,所述业务服务器计算返回所述用户终端签名后的身份信息;所述用户终端向所述业务服务器请求节目单,所述业务服务器返回签名后的内容信息;所述用户终端向所述资源服务器发送请求资源信息;所述资源服务器基于预设的签名算法和密钥,对请求资源信息进行校验。本发明将URL签名鉴权方案中的通过将内容信息附在节目单中,无需单独请求,简化请求次数,实现批量鉴权。在任一用户登录时一次性生成身份签名,资源服务器即可根据此签名与请求内容的签名完成鉴权。
Description
技术领域
本发明属于网络安全领域,特别涉及基于组合式URL签名鉴权方法及装置。
背景技术
JWT是业界广泛使用的一种认证机制,安全可靠,业务服务器与资源服务器分工合作,前者负责为用户对指定内容鉴权,通过后生成签名URL;资源服务器仅负责校验签名,即可校验用户是否有访问此资源权限。两者实现解耦。
但此方案在不牺牲安全的前提下会影响用户体验,业务服务器需要为每一个用户、每一个资源生成独立的签名URL,提前计算不太可行,如此用户在登录状态下访问任何一个资源都需要两步:先请求业务服务器生成签名URL,然后请求签名URL,资源服务器验证签名后响应资源。
发明内容
本发明提供组合式URL签名鉴权方法、装置及其存储介质,旨在至少解决现有技术中存在的技术问题之一。
本发明的技术方案涉及组合式URL签名鉴权方法、装置及其存储介质,所述组合式URL签名鉴权方法应用在组合式URL签名鉴权装置上,所述组合式URL签名鉴权装置包括用户终端、业务服务器和资源服务器,所述用户终端、所述业务服务器和所述资源服务器两两相互电性连接,其特征在于,所述的组合式URL签名鉴权方法包括以下步骤:
S100、所述用户终端向所述业务服务器请求登录,所述业务服务器对所述用户终端进行身份验证;
S200、若身份验证通过,所述业务服务器计算返回所述用户终端签名后的身份信息;
S300、所述用户终端向所述业务服务器请求节目单,所述业务服务器返回签名后的内容信息;
S400、基于用户的点播信息,所述用户终端向所述资源服务器发送请求资源信息;
S500、所述资源服务器基于预设的签名算法和密钥,对请求资源信息进行校验,若校验通过,返回所述用户终端请求的资源内容。
进一步,所述步骤S200中,所述业务服务器计算返回所述用户终端签名后的身份信息,包括:
S210、若身份验证通过,所述业务服务器生成用户身份信息签名;
S220、所述业务服务器生成签名后的身份信息;
S230、所述业务服务器把签名后的身份信息发生给所述用户终端。
进一步,所述用户身份信息签名由用户身份认证信息、用户身份认证过期时间和预设的签名密钥拼接后,经过预设的签名算法计算生成,所述用户身份认证信息包括用户名和用户权限参数;
所述签名后的身份信息由用户身份认证信息、用户身份认证过期时间和用户身份信息签名拼接组成。
进一步,所述步骤S300中,所述业务服务器返回签名后的内容信息包括:
S310、若已存在签名后的内容信息,跳转到步骤S330,若不存在已生成的签名后的内容信息,所述业务服务器生成内容信息签名;
S320、所述业务服务器生成签名后的内容信息,所述签名后的内容信息包括多个签名后的节目内容地址信息;
S330、所述业务服务器把签名后的内容信息发生给所述用户终端。
进一步,所述内容信息签名由内容信息、内容过期时间和预设的签名密钥拼接后,经过预设的签名算法计算生成,所述内容信息包括内容地址信息和内容权限参数;
所述签名后的节目内容地址信息由节目内容信息、节目过期时间和节目签名密钥经过预设的签名算法计算生成。
进一步,所述步骤S400包括:
S410、基于用户的点播信息,所述用户终端组合签名后的身份信息和签名后的内容信息,构造被访问资源的链接;
S420、所述用户终端把被访问资源的链接发送到所述资源服务器请求资源。
进一步,步骤S500包括:
S510、所述资源服务器接收到请求资源信息后,分别校验签名后的身份信息和签名后的内容信息;
S520、签名后的身份信息和签名后的内容信息都一致后,所述资源服务器匹配用户权限参数和内容权限参数,若所述资源服务器匹配用户权限参数和内容权限参数一致则请求合法,将响应资源发送给所述用户终端。
进一步,所述预设的签名算法至少包括MD5、SHA1和SHA256。
进一步,本发明还提出一种组合式URL签名鉴权装置,用于实现所述的组合式URL签名鉴权方法,所述的装置包括:
用户终端,所述用户终端为移动终端或固定终端设备;
业务服务器,所述业务服务器与所述用户终端通过有线或无线连接;
资源服务器,所述资源服务器与所述用户终端连接,所述业务服务器与所述资源服务器可选连接。
进一步,本发明还提出一种计算机可读存储介质,其上储存有程序指令,所述程序指令被处理器执行时实施所述的组合式URL签名鉴权方法。
与现有的技术相比,本发明具有以下的特点。
本发明将URL签名鉴权方案中的通过将内容信息附在节目单中,无需单独请求,简化请求次数,同时可实现批量鉴权,即一次生成所有内容签名,所有用户均可用。在任一用户登录时一次性生成身份签名,资源服务器即可根据此签名与请求内容的签名完成鉴权。
附图说明
图1为组合式URL签名鉴权方法的流程图。
图2为组合式URL签名鉴权方法中业务服务器计算返回所述用户终端签名后的身份信息的流程图。
图3为组合式URL签名鉴权方法中业务服务器返回签名后的内容信息的流程图。
图4为组合式URL签名鉴权方法中用户终端向所述资源服务器发送请求资源信息的流程图。
图5为组合式URL签名鉴权方法中资源服务器基于预设的签名算法和密钥,对请求资源信息进行校验的流程图。
图6为组合式URL签名鉴权装置的示意图。
图7为现有JWT认证技术的流程示意图。
图8为组合式URL签名鉴权方法中签名后的身份信息的示意图。
图9为组合式URL签名鉴权方法中签名后的内容信息的示意图。
图10为组合式URL签名鉴权方法中完整URL示意图的示意图。
图11为组合式URL签名鉴权方法中一实施例的示意图。
图12为组合式URL签名鉴权方法中另一实施例的示意图。
100、用户终端;200、业务服务器;300、资源服务器。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
以下将结合实施例和附图对本发明的构思、具体结构及产生的技术效果进行清楚、完整的描述,以充分地理解本发明的目的、方案和效果。
需要说明的是,如无特殊说明,当某一特征被称为“固定”、“连接”在另一个特征,它可以直接固定、连接在另一个特征上,也可以间接地固定、连接在另一个特征上。本文所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。此外,除非另有定义,本文所使用的所有的技术和科学术语与本技术领域的技术人员通常理解的含义相同。本文说明书中所使用的术语只是为了描述具体的实施例,而不是为了限制本发明。本文所使用的术语“和/或”包括一个或多个相关的所列项目的任意的组合。
应当理解,尽管在本公开可能采用术语第一、第二、第三等来描述各种元件,但这些元件不应限于这些术语。这些术语仅用来将同一类型的元件彼此区分开。例如,在不脱离本公开范围的情况下,第一元件也可以被称为第二元件,类似地,第二元件也可以被称为第一元件。本文所提供的任何以及所有实例或示例性语言(“例如”、“如”等)的使用仅意图更好地说明本发明的实施例,并且除非另外要求,否则不会对本发明的范围施加限制。此外,本文所采用的行业术语“位姿”是指某个元件相对于空间坐标系的位置和姿态。
参照图1至图12,本发明实施例提供了一种组合式URL签名鉴权方法、装置及其存储介质,所述组合式URL签名鉴权方法应用在组合式URL签名鉴权装置上,所述组合式URL签名鉴权装置包括用户终端100、业务服务器200和资源服务器300,所述用户终端100、所述业务服务器200和所述资源服务器300两两相互电性连接,其特征在于,所述的组合式URL签名鉴权方法包括以下步骤:
S100、所述用户终端100向所述业务服务器200请求登录,所述业务服务器200对所述用户终端100进行身份验证;
S200、若身份验证通过,所述业务服务器200计算返回所述用户终端100签名后的身份信息;
S300、所述用户终端100向所述业务服务器200请求节目单,所述业务服务器200返回签名后的内容信息;
S400、基于用户的点播信息,所述用户终端100向所述资源服务器300发送请求资源信息;
S500、所述资源服务器300基于预设的签名算法和密钥,对请求资源信息进行校验,若校验通过,返回所述用户终端100请求的资源内容。
与现有的技术相比,本发明具有以下的特点。
本发明将URL签名鉴权方案中的通过将内容信息附在节目单中,无需单独请求,简化请求次数,同时可实现批量鉴权,即一次生成所有内容签名,所有用户均可用。在任一用户登录时一次性生成身份签名,资源服务器300即可根据此签名与请求内容的签名完成鉴权。
具体地,本方案使用两部分签名信息用户身份信息auth、内容信息license按用户权限参数tag和/或内容权限参数tag进行组合,实际也可以将更多签名信息进行组合,比如auth(身份信息)、内容信息license(节目信息)、quality(清晰度信息),用户身份信息auth与内容信息license组合确定用户是否可以播放这个节目(一个节目会挂多个清晰度的文件),用户身份信息auth与quality组合确定用户是否可以播放指定的清晰度。
在一些具体的实施例中,将用户身份信息auth、内容信息license存储在URL中,放在Http Header中也是一种可行的实现。
此外,进一步的用户身份信息auth、内容信息license的匹配规则。上述方案中为简化,匹配用户身份信息auth、内容信息license只简单比较两者用户权限参数tag和/或内容权限参数tag是否一致,但匹配内容本身不限制为单个字段,匹配规则也不限制为相等(也可为字符串的包含,数值比较等)。
进一步,参照图2,所述步骤S200中,所述业务服务器200计算返回所述用户终端100签名后的身份信息,包括:
S210、若身份验证通过,所述业务服务器200生成用户身份信息签名;
S220、所述业务服务器200生成签名后的身份信息;
S230、所述业务服务器200把签名后的身份信息发生给所述用户终端100。
进一步,参照图2,所述用户身份信息签名由用户身份认证信息、用户身份认证过期时间和预设的签名密钥拼接后,经过预设的签名算法计算生成,所述用户身份认证信息包括用户名和用户权限参数;
所述签名后的身份信息由用户身份认证信息、用户身份认证过期时间和用户身份信息签名拼接组成。
进一步,参照图3,所述步骤S300中,所述业务服务器200返回签名后的内容信息包括:
S310、若已存在签名后的内容信息,跳转到步骤S330,若不存在已生成的签名后的内容信息,所述业务服务器200生成内容信息签名;
S320、所述业务服务器200生成签名后的内容信息,所述签名后的内容信息包括多个签名后的节目内容地址信息;
S330、所述业务服务器200把签名后的内容信息发生给所述用户终端100。
进一步,参照图3,所述内容信息签名由内容信息、内容过期时间和预设的签名密钥拼接后,经过预设的签名算法计算生成,所述内容信息包括内容地址信息和内容权限参数;
所述签名后的节目内容地址信息由节目内容信息、节目过期时间和节目签名密钥经过预设的签名算法计算生成。
进一步,参照图4,所述步骤S400包括:
S410、基于用户的点播信息,所述用户终端100组合签名后的身份信息和签名后的内容信息,构造被访问资源的链接;
S420、所述用户终端100把被访问资源的链接发送到所述资源服务器300请求资源。
进一步,参照图5,步骤S500包括:
S510、所述资源服务器300接收到请求资源信息后,分别校验签名后的身份信息和签名后的内容信息;
S520、签名后的身份信息和签名后的内容信息都一致后,所述资源服务器300匹配用户权限参数和内容权限参数,若所述资源服务器300匹配用户权限参数和内容权限参数一致则请求合法,将响应资源发送给所述用户终端100。
进一步,参照图1,所述预设的签名算法至少包括MD5、SHA1和SHA256。
进一步,参照图6,本发明还提出一种组合式URL签名鉴权装置,用于实现所述的组合式URL签名鉴权方法,所述的装置包括:
用户终端100,所述用户终端100为移动终端或固定终端设备;
业务服务器200,所述业务服务器200与所述用户终端100通过有线或无线连接;
资源服务器300,所述资源服务器300与所述用户终端100连接,所述业务服务器200与所述资源服务器300可选连接。
具体地,参照图1、图6 、图8至图10,在本发明的一些具体的实施例中,将URL签名鉴权方案中的保护信息拆分为两部分:用户身份信息auth,内容信息license,并独立进行签名。其中用户身份信息auth用于表明用户身份,一般签名有效期较短;内容信息license用于表明内容分类,所有用户拿到的内容信息都是一样的,且内容分类不会频繁变化,故可长期有效。用户身份信息auth、内容信息license信息使用用户权限参数tag和/或内容权限参数tag字段进行匹配,若一致,则两者可组合,否则无效。
APP启动后请求后端服务器进行认证,认证通过后服务器返回用户身份信息auth。用户在请求资源前必须要先拿到节目单,这是用户操作请求资源的入口,内容对应的内容信息license附在节目单中,无需单独请求。当用户需要访问指定资源时(若无权限则不会找到入口),需在请求中携带用户身份信息auth、内容信息license,服务器验证两者签名及是否匹配即可认定用户的合法身份及鉴权,不必每次都重新对用户进行认证及鉴权。为了防止用户篡改数据,服务器在生成用户身份信息auth、内容信息license的时候,会加上签名。
组合式URL签名鉴权在目标(安全)实现上与原版URL签名鉴权方案并无不同,但将身份信息与内容信息拆分后,用户与系统交互流程可由两步缩减为一步(内容信息license附在节目单中,无需单独请求),大幅提升用户体验。
具体地,用户登录成功后,登录服务器生成
身份信息user=lia&tag=vip,
过期时间戳为 1703748617,
签名算法MD5,
签名密钥(secret)5f5e0ffd8202f8eb08d66fa81749c5d0,
则签名sign,
sign=md5("user=lia&tag=vip"+"&ts=1703748617"+"5f5e0ffd8202f8eb08d66fa81749c5d0")=21e64876f74e845eda526686a49b7452,
签名后的身份信息
user=lia&tag=vip&ts=1703748617&sign=21e64876f74e845eda526686a49b7452,
服务器将此信息返回给用户。
业务服务器200为资源A生成内容信息file=/vod/a.mp4&tag=vip,
过期时间戳1704353417,
签名算法MD5,
签名密钥(secret)a31b3a0069354e2e93797c709e5ff732,
则签名sign,
sign=md5("file=/vod/a.mp4&tag=vip"+"&ts=1704353417"+"a31b3a0069354e2e93797c709e5ff732")=f020baa087007baafee07d51d4e09bcf,
签名后的内容信息
file=/vod/a.mp4&tag=vip&ts=1704353417&sign=f020baa087007baafee07d51d4e09bcf。
用户向业务服务器200请求节目单时得到资源A签名后的内容信息license。
用户需要资源A时,组合用户身份信息auth、内容信息license信息,构造访问资源的URL(Host可通过其他流程指定):
http://example.com/vod/a.mp4?auth=[url_encode(auth)]&license=[url_encode(license)]
其中,用户身份信息auth、内容信息license为URL参数中嵌套参数,为防止与外层参数混淆,需进行URL编码,编码后为
http://example.com/vod/a.mp4?auth=user%3Dlia%26tag%3Dvip%26ts%3D1703748617%26sign%3D21e64876f74e845eda526686a49b7452&license=file%3D%2Fvod%2Fa.mp4%26tag%3Dvip%26ts%3D1704353417%26sign%3Df020baa087007baafee07d51d4e09bcf
用户使用上述URL请求资源,服务器收到请求后,分别校验用户身份信息auth、内容信息license签名,若均有效再匹配两者用户权限参数tag和内容权限参数tag(用户身份信息auth中101参数与内容信息license中201参数)是否一致,若一致则请求合法,将响应资源发送给用户。
其他用户若无此资源访问权限,则用户身份信息auth的用户权限参数tag 与资源内容信息license内容权限参数tag不匹配,资源服务器300验证不会通过;若试图伪造用户身份信息auth或内容信息license,则资源服务器300验证用户身份信息auth、内容信息license签名不会通过。
与之对比的是,在现有技术中,参照图7,APP启动后请求后端服务器进行认证,认证通过后服务器返回用户身份信息,用户在后续所有请求中都需携带此信息,服务器仅验证此信息即可认定用户的合法身份,不必每次都重新对用户进行认证。为了防止用户篡改数据,服务器在生成用户身份信息的时候,会加上签名。签名利用哈希函数的特性,对保护信息和密钥生成哈希值,外部既不能通过保护信息和哈希值逆向计算出密钥,也不能在没有密钥的前提下修改保护信息并得到正确的哈希值,因此下游收到请求的服务器只要重新执行上述计算,比对哈希值,即可确认签名是否有效。为了进一步提高安全性,签名中加入了有效时间。
URL签名鉴权方案的机制与JWT完全相同,只是在用户传递的信息中加入了内容鉴权信息,并对数据结构做了简化:将业务信息存在URL参数中,而不是独立的JSON结构中。
参照图7,在现有技术的一些具体的例子中,用户登录成功后,向业务服务器200请求资源A,服务器检查该用户有资源A访问权限后,生成URL:
http://example.com/vod/a.mp4?user=lia,
过期时间戳为1703748617,
签名算法MD5,
签名密钥(secret)5f5e0ffd8202f8eb08d66fa81749c5d0,则
sign=md5(url+"&ts=1703748617"+secret)=md5("http://example.com/vod/a.mp4?user=lia&ts=17037486175f5e0ffd8202f8eb08d66fa81749c5d0")=04b437e3995bc5494bf92e6e5b780921
签名后的URL为
http://example.com/vod/a.mp4?user=lia&ts=1703748617&sign=04b437e3995bc5494bf92e6e5b780921
用户请求上述签名URL,资源服务器300收到请求后,使用约定的算法及密钥验证签名,若有效则将响应资源发送给用户。其他用户若无此资源访问权限,则业务服务器200不会生成有效URL;若试图伪造身份鉴权信息,则资源服务器300验证签名不会通过。
进一步,参照图1,本发明还提出一种计算机可读存储介质,其上储存有程序指令,所述程序指令被处理器执行时实施所述的组合式URL签名鉴权方法。
缩略语定义:
哈希(Hash)函数:是一种从任何一种数据中创建小的数字“指纹”的方法。一般哈希函数被设计为输入不同数据输出不同哈希值,不能逆向计算。由于输出空间相当大,提前计算反向查找也不可行,因此可认为无法刻意构造出能输出指定哈希值的输入数据。
时间戳:UNIX时间,一种时间表示方式:从UTC 1970年1月1日0时0分0秒起至现在的总秒数,不考虑闰秒。
JWT:JSON Web Token,一种跨域认证解决方案。
此外,本发明方案的用户权限参数tag和/或内容权限参数tag匹配规则:值是否相同,下面我们以字符串的包含,数值的大于两种拓展规则进行说明。
参照图11,拓展1:字符串包含。
用户身份信息auth中用户权限参数tag 为"480p,720p,1080p"字符串指示该用户可以播放的内容规格,内容信息license中内容权限参数tag为"1080p"字符串指示该内容规格为1080p,用户身份信息auth中用户权限参数tag包含此规格,因此组合有效,服务器认定该用户可以访问此文件。反之,对于内容权限参数tag为"4k"的内容信息license则与该用户身份信息auth组合无效。
参照图12,拓展2:数值比较。
用户身份信息auth中用户权限参数tag为1080数值指示用户可以播放内容的最高规格,内容信息license中内容权限参数tag为720数值指示该内容规格为720,用户身份信息auth中用户权限参数tag数值大于等于此值,因此组合有效,服务器认定该用户可以访问此文件。反之,对于内容权限参数tag为2160的内容信息license则与该用户身份信息auth组合无效。
应当认识到,本发明实施例中的方法步骤可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
进一步,所述方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时,本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时,本发明还可以包括计算机本身。
计算机程序能够应用于输入数据以执行本文所述的功能,从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中,转换的数据表示物理和有形的对象,包括显示器上产生的物理和有形对象的特定视觉描绘。
以上所述,只是本发明的较佳实施例而已,本发明并不局限于上述实施方式,只要其以相同的手段达到本发明的技术效果,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。在本发明的保护范围内其技术方案和/或实施方式可以有各种不同的修改和变化。
Claims (5)
1.一种组合式URL签名鉴权方法,所述组合式URL签名鉴权方法应用在组合式URL签名鉴权装置上,所述组合式URL签名鉴权装置包括用户终端、业务服务器和资源服务器,所述用户终端、所述业务服务器和所述资源服务器两两相互电性连接,其特征在于,所述的组合式URL签名鉴权方法包括以下步骤:
S100、所述用户终端向所述业务服务器请求登录,所述业务服务器对所述用户终端进行身份验证;
S200、若身份验证通过,所述业务服务器计算返回所述用户终端签名后的身份信息;
所述步骤S200中,所述业务服务器计算返回所述用户终端签名后的身份信息,包括:
S210、若身份验证通过,所述业务服务器生成用户身份信息签名;
S220、所述业务服务器生成签名后的身份信息;
S230、所述业务服务器把签名后的身份信息发生给所述用户终端;
S300、所述用户终端向所述业务服务器请求节目单,所述业务服务器返回签名后的内容信息;
所述步骤S300中,所述业务服务器返回签名后的内容信息包括:
S310、若已存在签名后的内容信息,跳转到步骤S330,若不存在已生成的签名后的内容信息,所述业务服务器生成内容信息签名;
S320、所述业务服务器生成签名后的内容信息,所述签名后的内容信息包括多个签名后的节目内容地址信息;
S330、所述业务服务器把签名后的内容信息发生给所述用户终端;
所述内容信息签名由内容信息、内容过期时间和预设的签名密钥拼接后,经过预设的签名算法计算生成,所述内容信息包括内容地址信息和内容权限参数;
所述签名后的节目内容地址信息由节目内容信息、节目过期时间和节目签名密钥经过预设的签名算法计算生成;
S400、基于用户的点播信息,所述用户终端向所述资源服务器发送请求资源信息;
所述步骤S400包括:
S410、基于用户的点播信息,所述用户终端组合签名后的身份信息和签名后的内容信息,构造被访问资源的链接;
S420、所述用户终端把被访问资源的链接发送到所述资源服务器请求资源;
S500、所述资源服务器基于预设的签名算法和密钥,对请求资源信息进行校验,若校验通过,返回所述用户终端请求的资源内容;
步骤S500包括:
S510、所述资源服务器接收到请求资源信息后,分别校验签名后的身份信息和签名后的内容信息;
S520、签名后的身份信息和签名后的内容信息都一致后,所述资源服务器匹配用户权限参数和内容权限参数,若所述资源服务器匹配用户权限参数和内容权限参数一致则请求合法,将响应资源发送给所述用户终端。
2.根据权利要求1所述的组合式URL签名鉴权方法,其特征在于,
所述用户身份信息签名由用户身份认证信息、用户身份认证过期时间和预设的签名密钥拼接后,经过预设的签名算法计算生成,所述用户身份认证信息包括用户名和用户权限参数;
所述签名后的身份信息由用户身份认证信息、用户身份认证过期时间和用户身份信息签名拼接组成。
3.根据权利要求1所述的组合式URL签名鉴权方法,其特征在于,所述预设的签名算法至少包括MD5、SHA1和SHA256。
4.一种组合式URL签名鉴权装置,用于实现如权利要求1至3任一项所述的组合式URL签名鉴权方法,其特征在于,所述的装置包括:
用户终端,所述用户终端为移动终端或固定终端设备;
业务服务器,所述业务服务器与所述用户终端通过有线或无线连接;
资源服务器,所述资源服务器与所述用户终端连接,所述业务服务器与所述资源服务器可选连接。
5.一种计算机可读存储介质,其上储存有程序指令,所述程序指令被处理器执行时实施如权利要求1至3中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410288422.7A CN117896179B (zh) | 2024-03-14 | 2024-03-14 | 一种组合式url签名鉴权方法、装置及其存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410288422.7A CN117896179B (zh) | 2024-03-14 | 2024-03-14 | 一种组合式url签名鉴权方法、装置及其存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117896179A CN117896179A (zh) | 2024-04-16 |
CN117896179B true CN117896179B (zh) | 2024-05-17 |
Family
ID=90642755
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410288422.7A Active CN117896179B (zh) | 2024-03-14 | 2024-03-14 | 一种组合式url签名鉴权方法、装置及其存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117896179B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1848944A (zh) * | 2005-04-05 | 2006-10-18 | 华为技术有限公司 | 一种iptv系统、加密数字节目的发布、收看方法 |
CN101207482A (zh) * | 2007-12-13 | 2008-06-25 | 深圳市戴文科技有限公司 | 一种实现单点登录的方法及系统 |
WO2009035283A2 (en) * | 2007-09-11 | 2009-03-19 | Lg Electronics Inc. | Secure signing method, secure authentication method and iptv system |
CN101977299A (zh) * | 2010-09-19 | 2011-02-16 | 中兴通讯股份有限公司 | 一种手机电视内容保护的方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2486002A (en) * | 2010-11-30 | 2012-06-06 | Youview Tv Ltd | Media Content Provision |
-
2024
- 2024-03-14 CN CN202410288422.7A patent/CN117896179B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1848944A (zh) * | 2005-04-05 | 2006-10-18 | 华为技术有限公司 | 一种iptv系统、加密数字节目的发布、收看方法 |
WO2009035283A2 (en) * | 2007-09-11 | 2009-03-19 | Lg Electronics Inc. | Secure signing method, secure authentication method and iptv system |
CN101207482A (zh) * | 2007-12-13 | 2008-06-25 | 深圳市戴文科技有限公司 | 一种实现单点登录的方法及系统 |
CN101977299A (zh) * | 2010-09-19 | 2011-02-16 | 中兴通讯股份有限公司 | 一种手机电视内容保护的方法及系统 |
Non-Patent Citations (1)
Title |
---|
一种基于PKI的DRM 广播系统设计;王振江;计算机应用;20070430;第27卷(第4期);第2节第1段至第3节最后一段 * |
Also Published As
Publication number | Publication date |
---|---|
CN117896179A (zh) | 2024-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6768960B2 (ja) | 2次元バーコード処理方法、デバイス、およびシステム | |
KR101883156B1 (ko) | 인증 시스템 및 방법과 이를 수행하기 위한 사용자 단말, 인증 서버 및 서비스 서버 | |
CN108369615B (zh) | 动态更新captcha质询 | |
CN104021333B (zh) | 移动安全表袋 | |
US8719911B2 (en) | Methods, systems, and computer program products for authenticating an identity of a user by generating a confidence indicator of the identity of the user based on a combination of multiple authentication techniques | |
US11017122B2 (en) | Method and server for authenticating and verifying file | |
CN112165382B (zh) | 软件授权方法、装置、授权服务端及终端设备 | |
US9667616B2 (en) | Authentication processing apparatus, authentication processing system, authentication processing method and authentication processing program | |
US12008145B2 (en) | Method and server for certifying an electronic document | |
US10469264B2 (en) | Method and server for authenticating and verifying file | |
CN111556002A (zh) | 用于通过耦合的设备授予权限的系统和方法 | |
KR101767534B1 (ko) | 근거리 무선 통신 기반의 카드를 이용하여 본인 인증 서비스를 제공하는 방법 및 이를 이용한 카드, 인증용 단말, 인증 지원 서버 및 본인 인증 서버 | |
KR101818601B1 (ko) | 근거리 무선 통신 기반의 카드를 이용하여 본인 인증 서비스를 제공하는 방법 및 이를 이용한 카드, 인증용 단말, 인증 지원 서버 및 본인 인증 서버 | |
US20190052632A1 (en) | Authentication system, method and non-transitory computer-readable storage medium | |
US8910260B2 (en) | System and method for real time secure image based key generation using partial polygons assembled into a master composite image | |
CN112258092A (zh) | 一种基于区块链的数据资产可信度评估方法、装置 | |
CN112948866A (zh) | 一种数据处理方法、装置、设备及可读存储介质 | |
CN117896179B (zh) | 一种组合式url签名鉴权方法、装置及其存储介质 | |
CN108965335B (zh) | 防止恶意访问登录接口的方法、电子设备及计算机介质 | |
CN112507370A (zh) | 一种基于区块链网络的电子证照核验方法 | |
CN112749964B (zh) | 一种信息监控方法、系统、设备及存储介质 | |
CN109992976B (zh) | 访问凭证验证方法、装置、计算机设备及存储介质 | |
CN116112178A (zh) | 验证标识生成方法、系统、电子设备及存储介质 | |
CN116488817A (zh) | 基于区块链的数据处理方法、装置、设备、介质及产品 | |
KR20240084939A (ko) | 가상 신분증에 대한 정보를 이용하는 방법 및 디바이스 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |