TWI696089B - 業務請求認證方法及裝置 - Google Patents
業務請求認證方法及裝置 Download PDFInfo
- Publication number
- TWI696089B TWI696089B TW104128644A TW104128644A TWI696089B TW I696089 B TWI696089 B TW I696089B TW 104128644 A TW104128644 A TW 104128644A TW 104128644 A TW104128644 A TW 104128644A TW I696089 B TWI696089 B TW I696089B
- Authority
- TW
- Taiwan
- Prior art keywords
- session
- service request
- server
- gateway
- token
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本發明公開了一種業務請求認證方法及裝置,用以避免未與閘道簽約的終端或第一伺服器繞過閘道直接訪問第二伺服器。該方法接收業務請求並確定業務請求所在的會話,判斷是否存在該會話對應的權杖,該權杖與來自閘道的業務請求所在的會話相對應,若是,則確定該業務請求認證通過,可以處理相應業務,否則,確定該業務請求認證不通過,拒絕處理相應業務。這樣,由於只有閘道轉發的業務請求對應的會話才有權杖,因此,屬於該會話的各業務請求均可認證通過,不屬於該會話的業務請求很可能是商戶通過未與第二伺服器的業務介面簽約的終端或第一伺服器繞過閘道直接發送的業務請求,則認證不通過。
Description
本發明涉及電腦技術領域,尤其涉及一種業務請求認證方法及裝置。
隨著網際網路技術的不斷發展,越來越多的用戶選擇在網頁上進行操作,來獲取網路設備(如,伺服器)提供的相應服務。
在實際應用場景中,當一個網路設備(以下稱為第一伺服器)需要向另一個網路設備(以下稱為第二伺服器)發起業務請求,以請求第二伺服器完成相應的業務處理時,第一伺服器會先將該業務請求發送給位於兩個伺服器之間的認證系統,由認證系統對該業務請求進行認證。當認證通過時,認證系統將該業務請求發送給第二伺服器,否則,認證系統拒絕將該業務請求發送給第二伺服器。
在現有技術中,往往通過處於兩個伺服器之間的閘道對業務請求進行認證。例如,假設用戶需要在網頁上操作並購買機票時,用戶首先通過終端在旅遊網站上向相應的第一伺服器發送購票資訊。第一伺服器根據接收到的購票
資訊向閘道(認證系統)發送購票請求。閘道收到該購票請求後,判斷第一伺服器是否已經與該閘道簽約,若是,則確定該購票請求認證通過,並將該購票請求發送給航空售票系統對應的第二伺服器。第二伺服器接收到該購票請求之後,處理購票業務。當閘道判斷該第一伺服器未與自身簽約時,則確定該購票請求認證不通過,拒絕將該購票請求發送給第二伺服器。但是,在實際應用場景中,有可能存在未與第二伺服器簽約的第一伺服器或終端繞過閘道直接訪問第二伺服器的情況,而第二伺服器只要接收到業務請求時,就會對該業務請求進行處理,這樣,可能會降低第二伺服器的安全性。
本發明實施例提供一種業務請求認證方法及裝置,用以避免未與閘道簽約的終端或第一伺服器繞過閘道直接訪問第二伺服器。
本發明實施例提供的一種業務請求認證方法,包括:接收業務請求,並確定所述業務請求所在的會話;判斷是否存在與確定的會話對應的權杖,其中,所述權杖與來自閘道的業務請求所在的會話相對應;若是,則確定所述業務請求認證通過;否則,確定所述業務請求認證不通過。
本發明實施例提供的一種業務請求認證裝置,包括:接收模組,用於接收業務請求;
第一確定模組,用於確定所述業務請求所在的會話;判斷模組,用於判斷是否存在與確定的會話對應的權杖,其中,所述權杖與來自閘道的業務請求所在的會話相對應;認證模組,當判斷存在與確定的會話對應的權杖時,則確定所述業務請求認證通過,當判斷不存在與確定的會話對應的權杖時,確定所述業務請求認證不通過。
本發明實施例提供的一種業務請求認證方法及裝置,該方法接收業務請求,確定該業務請求所在的會話,判斷是否存在與確定的會話對應的權杖,其中,該權杖與來自閘道的業務請求所在的會話相對應;若是,則確定該業務請求認證通過,可以處理相應業務,否則,確定該業務請求認證不通過,拒絕處理相應業務。這樣,由於只有閘道轉發的業務請求對應的會話才有權杖,因此,屬於該會話的各業務請求均可認證通過,不屬於該會話的業務請求很可能是商戶通過未與第二伺服器的業務介面簽約的終端或第一伺服器繞過閘道直接發送的業務請求,則認證不通過。
41‧‧‧接收模組
42‧‧‧第一確定模組
43‧‧‧判斷模組
44‧‧‧認證模組
45‧‧‧權杖產生模組
46‧‧‧儲存模組
47‧‧‧第一複製模組
48‧‧‧第二複製模組
49‧‧‧第二確定模組
此處所說明的圖式用來提供對本發明的進一步理解,構成本發明的一部分,本發明的示意性實施例及其說明用於解釋本發明,並不構成對本發明的不當限定。在圖式中:
圖1為本發明實施例提供的一種業務請求認證方法整體流程示意圖;圖2為本發明實施例提供的一種業務請求認證系統結構示意圖;圖3為本發明實施例提供的一種業務請求認證方法具體流程示意圖;圖4為本發明實施例提供的一種業務請求認證裝置結構示意圖。
為使本發明的目的、技術方案和優點更加清楚,以下將結合本發明具體實施例及相應的圖式對本發明技術方案進行清楚、完整地描述。顯然,所描述的實施例僅是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在未做出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。
參見圖1,為本發明實施例提供的業務請求認證方法流程示意圖,包括:
S101、接收業務請求,確定該業務請求所在的會話。
在本發明實施例中,第二伺服器接收到的業務請求至少包括以下三種業務請求。
第一種:直接來自閘道轉發的業務請求,該業務請求是第一伺服器或終端通過閘道轉發的,且該第一伺服器的商戶已經與第二伺服器的業務介面簽約。比如,商戶伺服
器(第一伺服器)若要通過閘道訪問業務伺服器(第二伺服器)的某一業務介面時,商戶需要預先與業務伺服器的業務介面簽約,該閘道才會將該商戶伺服器發送的業務請求轉發給業務伺服器。
第二種:直接來自第一伺服器或終端的業務請求,該業務請求是與閘道轉發的業務請求屬於同一個會話的業務請求,也即該業務請求為與閘道轉發的業務請求相關聯的業務請求,第二伺服器直接從終端或第一伺服器接收業務請求。
在實際應用場景中,第一種業務請求和第二種業務請求的發起端一般相同(如,為同一個終端或同一個第一伺服器),則第二伺服器允許終端或第一伺服器直接發送業務請求給第二伺服器而無需經過閘道。
第三種:直接來自第一伺服器或終端的業務請求,該業務請求不屬於閘道轉發業務請求所在的會話,也即該業務請求與閘道轉發的業務請求無關聯,在實際應用場景中,該業務請求很可能是商戶未與第二伺服器的業務介面簽約,該商戶通過終端或第一伺服器繞過閘道直接發送給第二伺服器的業務請求,比如,商戶未與支付伺服器的業務介面簽約,閘道接收到商戶伺服器發起的業務請求時不會將該業務請求轉發給支付伺服器(即不允許商戶伺服器訪問該支付伺服器),但是,商戶伺服器或終端可繞過閘道直接向支付伺服器發送業務請求,來訪問支付伺服器。
其中,在本發明實施例中,所述的閘道與第二伺服器
處於同一個域,如圖2所示,虛線框內的閘道與第二伺服器表示二者處於同一個域。
在本發明實施例中,第二伺服器在接收到來自閘道轉發的業務請求(第一種業務請求)時會建立相應的會話,後續接收到與該業務請求相關聯的其他業務請求時,這些後續接收到的各業務請求(第二種業務請求)也屬於該會話,無需再次建立。而第二伺服器在接收到終端或第一伺服器發送的與第一種業務請求無關聯的業務請求時,可能建立與該業務請求對應的會話,也可能不建立會話,本發明以建立與該業務請求對應的會話為例說明。
在本發明實施例中,所述的業務請求可以是支付類型的業務請求、轉帳類型的業務請求、充值類型的業務請求等。
以下將以業務請求為支付類型的業務請求為例說明。
所述的支付類型的業務請求具體可以包括:支付請求,與該支付請求相關聯的登錄請求、修改請求等。
例如,假設商戶已經簽約支付伺服器的業務介面,用戶通過終端在商戶伺服器提供的頁面上進行操作,選擇購買商品S,並向閘道發送該支付請求,該閘道可將接收到的支付請求轉發給支付伺服器,支付伺服器則可根據該支付請求,向終端推送支付頁面,用戶則可在支付頁面上進行操作,完成商品S的在線支付。則,支付伺服器從閘道接收到的該支付請求為上述第一種業務請求。
又例如,上例中支付伺服器根據該接收到的支付請求
建立會話1,並產生會話1對應的權杖1,向終端推送支付頁面。用戶可在該支付頁面進行操作,並通過終端直接向支付伺服器發送修改請求(業務請求)。支付伺服器接收到的與支付請求屬於同一個會話(會話1)的修改請求為上述第二種業務請求。
又例如,假設上例中的支付請求鏈結位址為X,若商戶未與支付伺服器的業務介面簽約,而是通過終端直接向支付伺服器發送支付請求時,該支付請求與閘道轉發的支付請求不關聯(即直接訪問業務介面的支付請求與該閘道轉發的支付請求不屬於同一個會話),則該支付請求為上述第三種業務請求;其中,該鏈結位址具體可以是統一資源定位器(Uniform Resource Locator,URL)。
S102、判斷是否存在與確定的會話對應的權杖,若是,執行步驟S103,否則,執行步驟S104。
其中,本發明實施例所述的權杖與來自閘道的業務請求所在的會話相對應。
考慮到在實際應用場景中,第二伺服器可根據業務請求攜帶的鏈結位址中是否存在閘道標識來確定該業務請求是否來自閘道。但是,第二伺服器一般無法確定發起該業務請求的終端或第一伺服器的商戶是否已經簽約支付伺服器的業務介面,則第二伺服器很可能會處理未簽約支付伺服器的商戶通過終端或第一伺服器繞過閘道直接發送給的業務請求。
為了避免第二伺服器處理未簽約支付伺服器的商戶通
過終端或第一伺服器繞過閘道直接發送給的業務請求,在本發明實施例中,第二伺服器不為任何未經過閘道轉發的業務請求產生權杖,相應的,若該業務請求建立會話時,該會話也不存在權杖,因此,當第二伺服器接收到第一伺服器或終端直接發送的業務請求,可確定該業務請求所在的會話,判斷是否存在該會話對應的權杖,若存在,則說明該業務請求與來自閘道的業務請求屬於同一個會話,發起該業務請求的終端或第一伺服器的商戶已經簽約支付伺服器的業務介面,可確定該業務請求認證通過,並處理相應的業務,若不存在,則說明該業務請求與閘道轉發的業務請求不關聯,商戶未簽約支付伺服器的業務介面,可確定該業務請求認證不通過,拒絕處理相應的業務,或者還可說明該業務請求與閘道轉發的業務請求可能關聯,但是閘道轉發的業務請求所在的會話已經失效,無法找到當前接收到的業務請求對應的會話,則可確定該業務請求認證不通過,拒絕處理相應的業務。
例如,假設支付伺服器接收到來自閘道的支付請求1時,建立會話1,並產生與該會話1對應的權杖1,假設支付伺服器後續又接收到終端A直接發送的基於該支付請求1的修改請求時,確定該修改請求屬於會話1。
假設支付伺服器接收到終端B直接發送的支付請求2時,建立會話2,不產生與該支付請求2對應的權杖,當然,會話2也不存在權杖。則發送端(如閘道、終端A或終端B)、業務請求、會話和權杖相互之間的對應關係,
如表1所示。
在表1中,來自閘道的支付請求1與會話1和權杖1相對應,直接來自終端A的修改請求與會話1和權杖1相對應;直接來自終端B的支付請求2與會話2相對應,且該會話2不存在對應的權杖。
當支付伺服器接收到的業務請求為支付請求1時,可以通過表1確定該支付請求1所在的會話為會話1,進而確定存在與該會話1對應的權杖1,則可確定支付請求1認證通過,並展示支付頁面。
當支付伺服器接收到的業務請求為直接來自終端A的修改請求時,通過表1確定該修改請求所在的會話為會話1,進而也可確定存在與該會話1對應的權杖1,也就是說,可確定終端A或者發起該修改請求的商戶伺服器與閘道已經簽約,從而可確定修改請求認證通過,並展示登錄頁面。
假設支付伺服器接收到的業務請求為終端B直接發送的支付請求2時,通過表1確定該支付請求2所在的會話為會話2,進而確定不存在與該會話2對應的權杖,也就
是說,可確定商戶未簽約支付伺服器的業務介面,從而可確定支付請求2認證不通過,並拒絕展示支付頁面。
S103、確定業務請求認證通過。
當確定業務請求認證通過時,第二伺服器可處理與該業務請求相應的業務。
S104、確定業務請求認證不通過。
當確定業務請求認證不通過時,第二伺服器拒絕處理與該業務請求相應的業務。
本發明上述圖1所示的方法,第二伺服器在接收到直接來自第一伺服器或終端的業務請求時,確定該業務請求所在的會話,判斷是否存在與該會話對應的權杖,若存在,則說明該業務請求與閘道轉發的業務請求相關聯,且第一伺服器的商戶已經與第二伺服器的業務介面簽約,則確定該業務請求認證通過,並處理相應的業務;若不存在,則說明該業務請求與閘道轉發的業務請求無關聯,商戶未與第二伺服器的業務介面簽約,則確定該業務請求認證不通過,並拒絕處理相應的業務。這樣,就可有效避免未與第二伺服器的業務介面簽約的商戶通過終端或第一伺服器繞過閘道訪問第二伺服器的業務介面。
當然,第二伺服器在接收到終端或第一伺服器發送的與第一種業務請求無關聯的業務請求(即上述的第三種業務請求)時,也可能不建立會話。
因此,在本發明實施例中,當第二伺服器在接收到終端或第一伺服器發送的業務請求時,首先判斷是否存在與
該業務請求對應的權杖,若是,說明該業務請求是與閘道轉發的業務請求相關聯的業務請求,則認證該業務請求通過,否則,說明該業務請求與閘道轉發的業務請求不關聯,可能是繞過閘道想要直接訪問業務介面的業務請求,因此,認證不通過。
在本發明實施例中,第二伺服器產生與業務請求所在的會話對應的權杖之後,進一步的,可將該權杖保存在指定的儲存區域(也稱儲存模組)中。一般的,Session儲存區域(簡稱Session)是一個用於儲存一個會話的會話內容的儲存區域,則在本發明實施例中,可將該權杖保存在該會話對應的Session中。由於Session的安全性相對較高,這樣,儲存於Session中的權杖的安全性也較高。
相應的,第二伺服器在判斷是否存在與確定的會話對應的權杖時,具體的,可判斷該會話對應的Session中是否存在權杖。
考慮到在實際應用場景中,第二伺服器需要處理包括但不限於帳號登錄請求、帳號註冊請求、或密碼修改請求等特定類型的業務請求時,出於安全考慮,在處理該特定類型的業務請求之前,需要刪除Session中的所有內容(如會話內容和權杖),以便於後續處理該特定類型的業務請求時,僅保留與該特定類型的業務請求對應的會話內容。
需要說明的是,本發明實施例所述的刪除會話是指刪除會話內容,而不是指拆除會話。
例如,假設會話1為基於支付請求建立的會話,登錄請求(特定類型的業務請求)屬於該會話1,且該會話1對應權杖1,該會話1的會話內容1和權杖1均保存在Session1中。當支付伺服器接收到登錄請求後,確定登錄請求對應的會話內容1儲存於Session1,則刪除Session1中的會話內容1和權杖1,然後處理該登錄請求,將處理過程中產生的會話內容保存在Session1中。
考慮到在實際應用中,處理完所述登錄請求之後,還會接收到基於該會話1的其他業務請求,如修改請求。當支付伺服器刪除Session1中的權杖1後,再接收到基於該會話1發送的修改請求時,由於該Session1中的權杖1已經被刪除,支付伺服器在判斷Session1中是否存在與該修改請求對應的權杖時,會確定該Session1中不存在該權杖,從而就會誤認為該修改請求認證不通過。
在本發明實施例中,當第二伺服器確定接收到的業務請求為上述特定類型的業務請求時,將預先產生的權杖保存在該業務請求所在的會話對應的Session中之後,將Session中儲存的權杖複製到該特定類型的業務請求攜帶的鏈結位址中,該鏈結位址具體可以是統一資源定位器(Uniform Resource Locator,URL)。
考慮到在實際應用場景中,URL中的權杖可能被篡改,當閘道轉發的業務請求所在的會話的權杖被篡改後,第二伺服器可能會將屬於該會話的業務請求誤認為未與第二伺服器簽約的商戶通過終端或第一伺服器繞過閘道發送
的業務請求,並拒絕處理該業務請求。
因此,在本發明實施例中,將Session中儲存的權杖複製到該特定類型的業務請求攜帶的URL中,具體的,可對該Session中儲存的權杖進行加密或簽名,將加密或簽名後的權杖複製到該特定類型的業務請求攜帶的URL中。
相應的,當第二伺服器判斷是否存在與確定的會話對應的權杖時,具體可判斷儲存會話內容的Session中是否存在該權杖,若不存在,則可進一步判斷特定類型的業務請求的鏈結位址中是否存在該權杖。
可選的,當確定特定類型的業務請求的鏈結位址中存在加密或簽名後的權杖時,可對該權杖進行解密處理,或驗證簽名,當解密成功或驗證簽名通過時,說明該權杖合法,確定該權杖為業務請求所在會話對應的權杖,當解密不成功或驗證簽名不通過時,說明該權杖為非法權杖,則確定不存在與該業務請求對應的權杖。
由於相比較鏈結位址,Session的安全性較高,因此,當判斷特定類型的業務請求的鏈結位址中存在該權杖時,進一步的,可將該鏈結位址中的該權杖複製到儲存該業務請求所在會話Session中。
沿用上例,支付伺服器在接收到登錄請求(特定類型的業務請求)後,將儲存在Session1中的權杖1複製到該登錄請求攜帶的URL中。當支付伺服器處理完登錄請求之後,接收到屬於會話1的修改請求時,支付伺服器確定
該修改請求所在的會話1,並確定與該會話1對應的Session1,然後判斷該Session1中是否存在與該修改請求所在的會話1對應的權杖1,當判斷該Session1中不存在該權杖1時,則可判斷登錄請求攜帶的URL中是否存在權杖1。當判斷該URL中存在權杖1時,可確定該修改請求認證通過。為了提高會話1對應的權杖1的安全性,進一步的,還可將URL中的權杖1複製到Session1中。
當然,第二伺服器判斷是否存在與確定的會話對應的權杖時,也可先判斷業務請求的鏈結位址中是否存在與該會話對應的權杖,若不存在,再判斷Session中是否存在與該會話對應的權杖。也就是說,判斷Session中是否存在權杖,與判斷鏈結位址中是否存在權杖的先後順序不限。
考慮到在實際應用場景中,第二伺服器接收到的業務請求中,既存在需要認證的業務請求,也存在不需要認證的業務請求。針對需要認證的業務請求,第二伺服器首先會對該業務請求進行認證,認證通過時,處理相應的業務。針對不需要認證的業務請求,第二伺服器可直接進行相應的業務處理。
例如,某些需要付費的業務,需要商戶預先與第二伺服器的業務介面簽約,第二伺服器就需要對相應的業務請求進行認證,認證通過時,說明終端或第一伺服器對應的商戶已經與第二伺服器的業務介面簽約,進行相應的處理,否則,說明終端或第一伺服器對應的商戶並未與第二
伺服器的業務介面簽約,不進行相應的處理。需要認證的業務請求包括但不限於:支付類型的業務請求、轉帳類型的業務請求、充值類型的業務請求等。某些不需要付費的業務,第二伺服器就不需要對相應的業務請求進行認證,直接對該業務請求進行處理。
則在本發明實施例中,第二伺服器判斷是否存在與確定的會話對應的權杖之前,還包括:確定該業務請求是否為需要認證的業務請求,若是,執行本發明實施例提供的業務請求認證方法,否則,直接進行業務處理。
具體的,可預先設置需要認證的業務請求的類型,例如,可預先設置需要認證的業務請求的類型包括:支付類型的業務請求、轉帳類型的業務請求、充值類型的業務請求等。
以下將具體說明本發明實施例提供的業務請求認證方法的詳細過程,如圖3所示。
參見圖3,本發明實施例提供的業務請求認證方法,包括以下步驟:
S301、接收業務請求。
S302、判斷該業務請求是否為需要認證的業務請求,若是,執行步驟S303,否則,執行步驟S310。
S303、判斷該業務請求是否來自閘道,若是,執行步驟S304,否則執行步驟S306。
S304、建立基於該業務請求的會話,產生與該會話對應的權杖。
S305、將該權杖儲存於該會話對應的Session中,當接收到的業務請求為特定類型的業務請求時,將該權杖複製到該業務請求的URL中。
S306、確定該業務請求所在的會話。
S307、判斷確定的會話中的特定類型的業務請求的URL中是否存在權杖,若是,執行步驟S309和步驟S310,否則執行步驟S308。
S308、判斷確定的會話對應的Session中是否存在權杖,若是,執行步驟S310,否則,執行步驟S311。
S309、將特定類型的業務請求的URL中的權杖複製到確定的會話對應的Session中。
S310、處理該業務請求。
S311、拒絕處理該業務請求。
其中,步驟S307和步驟S308的先後順序可以互換。
以上為本發明實施例提供的業務請求認證方法,基於同樣的思路,本發明實施例還提供了業務請求認證裝置,如圖4所示。
參見圖4,為本發明實施例提供的業務請求認證裝置,該裝置包括:接收模組41,用於接收業務請求;第一確定模組42,用於確定所述業務請求所在的會話;判斷模組43,用於判斷是否存在與確定的會話對應的權杖,其中,所述權杖與來自閘道的業務請求所在的會
話相對應;認證模組44,當判斷存在與確定的會話對應的權杖時,則確定所述業務請求認證通過,當判斷不存在與確定的會話對應的權杖時,確定所述業務請求認證不通過。
可選的,所述裝置還包括:權杖產生模組45,用於當所述接收模組41接收到的所述業務請求為閘道轉發的業務請求時,產生與為閘道轉發的業務請求的業務請求所在的會話對應的權杖。
可選的,所述裝置還包括:儲存模組46,用於在產生與所述會話對應的權杖之後,將所述產生的權杖保存在與所述會話對應的Session中。
可選的,所述裝置還包括:第一複製模組47,用於當接收到的所述業務請求為特定類型的業務請求時,將所述產生的權杖保存在與所述會話對應的Session中之後,將所述Session中儲存的權杖複製到所述業務請求攜帶的鏈結位址中。
可選的,所述判斷模組43具體用於:當所述Session中不存在與確定的會話對應的權杖時,判斷所述鏈結位址中是否存在與確定的會話對應的權杖。
可選的,所述裝置還包括:第二複製模組48,用於當所述判斷模組判斷所述鏈結位址中存在與確定的會話對應的權杖時,將所述鏈結位
址中的權杖複製到所述Session中。
可選的,所述裝置還包括:第二確定模組49,用於在判斷是否存在與確定的會話對應的權杖之前,確定所述業務請求為需要認證的業務請求。
綜上所述,本發明提供的業務請求認證方法和裝置,該方法第二伺服器在接收到直接來自第一伺服器或終端的業務請求時,確定該業務請求所在的會話,判斷是否存在與該會話對應的權杖,若存在,則說明該業務請求與閘道轉發的業務請求屬於同一個會話,且發起該業務請求的終端或第一伺服器的商戶已經與第二伺服器的業務介面簽約,則確定該業務請求認證通過,並處理相應的業務;若不存在,則說明該業務請求與閘道轉發的業務請求不屬於同一個會話,發起該業務請求的終端或第一伺服器的商戶未與第二伺服器的業務介面簽約,則確定該業務請求認證不通過,並拒絕處理相應的業務。這樣,就可有效避免未與第二伺服器的業務介面簽約的商戶通過終端或第一伺服器繞過閘道訪問第二伺服器。
本領域內的技術人員應明白,本發明的實施例可提供為方法、系統、或電腦程式產品。因此,本發明可採用完全硬體實施例、完全軟體實施例、或結合軟體和硬體方面的實施例的形式。而且,本發明可採用在一個或多個其中包含有電腦可用程式碼的電腦可用儲存媒體(包括但不限於磁碟記憶體、CD-ROM、光學記憶體等)上實施的電腦
程式產品的形式。
本發明是參照根據本發明實施例的方法、設備(系統)、和電腦程式產品的流程圖和/或方塊圖來描述的。應理解可由電腦程式指令實現流程圖和/或方塊圖中的每一流程和/或方塊、以及流程圖和/或方塊圖中的流程和/或方塊的結合。可提供這些電腦程式指令到通用電腦、專用電腦、嵌入式處理機或其他可編程資料處理設備的處理器以產生一個機器,使得通過電腦或其他可編程資料處理設備的處理器執行的指令產生用於實現在流程圖一個流程或多個流程和/或方塊圖一個方塊或多個方塊中指定的功能的裝置。
這些電腦程式指令也可儲存在能引導電腦或其他可編程資料處理設備以特定方式工作的電腦可讀記憶體中,使得儲存在該電腦可讀記憶體中的指令產生包括指令裝置的製造品,該指令裝置實現在流程圖一個流程或多個流程和/或方塊圖一個方塊或多個方塊中指定的功能。
這些電腦程式指令也可裝載到電腦或其他可編程資料處理設備上,使得在電腦或其他可編程設備上執行一系列操作步驟以產生電腦實現的處理,從而在電腦或其他可編程設備上執行的指令提供用於實現在流程圖一個流程或多個流程和/或方塊圖一個方塊或多個方塊中指定的功能的步驟。
在一個典型的配置中,計算設備包括一個或多個處理器(CPU)、輸入/輸出介面、網路介面和記憶體。
記憶體可能包括電腦可讀媒體中的非永久性記憶體,隨機存取記憶體(RAM)和/或非揮發性記憶體等形式,如唯讀記憶體(ROM)或快閃記憶體(flash RAM)。記憶體是電腦可讀媒體的示例。
電腦可讀媒體包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現資訊儲存。資訊可以是電腦可讀指令、資料結構、程式的模組或其他資料。
電腦的儲存媒體的例子包括,但不限於相變記憶體(PRAM)、靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、其他類型的隨機存取記憶體(RAM)、唯讀記憶體(ROM)、電可擦除可編程唯讀記憶體(EEPROM)、快閃記憶體或其他記憶體技術、唯讀光碟唯讀記憶體(CD-ROM)、數位多功能光碟(DVD)或其他光學儲存、磁盒式磁帶,磁帶磁片儲存或其他磁性儲存設備或任何其他非傳輸媒體,可用於儲存可以被計算設備存取的資訊。按照本文中的界定,電腦可讀媒體不包括暫存電腦可讀媒體(transitory media),如調變的資料信號和載波。
還需要說明的是,術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素,而且還包括未明確列出的其他要素,或者是還包括為這種過程、方法、商品或者設備所固有的要素。在未更多限制的情況下,由語句“包括一個......”限定的要素,並不排除在
包括所述要素的過程、方法、商品或者設備中還存在另外的相同要素。
本領域技術人員應明白,本發明的實施例可提供為方法、系統或電腦程式產品。因此,本發明可採用完全硬體實施例、完全軟體實施例或結合軟體和硬體方面的實施例的形式。而且,本發明可採用在一個或多個其中包含有電腦可用程式碼的電腦可用儲存媒體(包括但不限於磁碟記憶體、CD-ROM、光學記憶體等)上實施的電腦程式產品的形式。
以上所述僅為本發明的實施例而已,並不用於限制本發明。對於本領域技術人員來說,本發明可以有各種更改和變化。凡在本發明的精神和原理之內所作的任何修改、等同替換、改進等,均應包含在本發明的申請專利範圍之內。
Claims (12)
- 一種業務請求認證方法,其特徵在於,包括:接收第一伺服器繞過閘道直接發送給第二伺服器的業務請求,並確定該業務請求所在的會話;判斷是否存在與確定的會話對應的權杖,其中,該權杖是當接收到閘道轉發的業務請求時,產生的與閘道轉發的業務請求所在的會話相對應的權杖;若是,則確定該第一伺服器繞過閘道直接發送給第二伺服器的業務請求認證通過;否則,確定該第一伺服器繞過閘道直接發送給第二伺服器的業務請求認證不通過。
- 如申請專利範圍第1項的方法,其中,產生與該業務請求所在的會話對應的權杖之後,該方法還包括:將該產生的權杖保存在與該閘道轉發的業務請求所在的會話對應的Session中。
- 如申請專利範圍第2項的方法,其中,當接收到的該閘道轉發的業務請求為特定類型的業務請求時,將該產生的權杖保存在該閘道轉發的會話對應的Session中之後,該方法還包括:將該Session中儲存的權杖複製到該閘道轉發的業務請求攜帶的鏈結位址中。
- 如申請專利範圍第3項的方法,其中,判斷是否存在與確定的會話對應的權杖,具體包括:當該Session中不存在與確定的會話對應的權杖時, 判斷該鏈結位址中是否存在與確定的會話對應的權杖。
- 如申請專利範圍第4項的方法,其中,當判斷該鏈結位址中存在與確定的會話對應的權杖時,該方法還包括:將該鏈結位址中的權杖複製到該Session中。
- 如申請專利範圍第1項的方法,其中,判斷是否存在與確定的會話對應的權杖之前,該方法還包括:確定該第一伺服器繞過閘道直接發送給第二伺服器的業務請求為需要認證的業務請求。
- 一種業務請求認證裝置,其特徵在於,包括:接收模組,用於接收第一伺服器繞過閘道直接發送給第二伺服器的業務請求;第一確定模組,用於確定該業務請求所在的會話;判斷模組,用於判斷是否存在與確定的會話對應的權杖,其中,該權杖是當接收到閘道轉發的業務請求時,產生的與閘道轉發的業務請求所在的會話相對應的權杖;認證模組,當判斷存在與確定的會話對應的權杖時,則確定該第一伺服器繞過閘道直接發送給第二伺服器的業務請求認證通過,當判斷不存在與確定的會話對應的權杖時,確定該第一伺服器繞過閘道直接發送給第二伺服器的業務請求認證不通過。
- 如申請專利範圍第7項的裝置,其中,該裝置還包括:儲存模組,用於產生與該閘道轉發的業務請求所在的 會話對應的權杖之後,將該產生的權杖保存在與該閘道轉發的業務請求所在的會話對應的Session中。
- 如申請專利範圍第8項的裝置,其中,該裝置還包括:第一複製模組,用於當接收到的該閘道轉發的業務請求為特定類型的業務請求時,將該產生的權杖保存在與該閘道轉發的業務請求所在的會話對應的Session中之後,將該Session中儲存的權杖複製到該閘道轉發的業務請求攜帶的鏈結位址中。
- 如申請專利範圍第9項的裝置,其中,該判斷模組具體用於:當該Session中不存在與確定的會話對應的權杖時,判斷該鏈結位址中是否存在與確定的會話對應的權杖。
- 如申請專利範圍第10項的裝置,其中,該裝置還包括:第二複製模組,用於當該判斷模組判斷該鏈結位址中存在與確定的會話對應的權杖時,將該鏈結位址中的權杖複製到該Session中。
- 如申請專利範圍第7項的裝置,其中,該裝置還包括:第二確定模組,用於在判斷是否存在與確定的會話對應的權杖之前,確定該第一伺服器繞過閘道直接發送給第二伺服器的業務請求為需要認證的業務請求。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510043786.X | 2015-01-28 | ||
CN201510043786.XA CN105991514B (zh) | 2015-01-28 | 2015-01-28 | 一种业务请求认证方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201627902A TW201627902A (zh) | 2016-08-01 |
TWI696089B true TWI696089B (zh) | 2020-06-11 |
Family
ID=56434298
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW104128644A TWI696089B (zh) | 2015-01-28 | 2015-08-31 | 業務請求認證方法及裝置 |
Country Status (10)
Country | Link |
---|---|
US (1) | US10038685B2 (zh) |
EP (1) | EP3251285B1 (zh) |
JP (1) | JP6633636B2 (zh) |
KR (1) | KR102056973B1 (zh) |
CN (1) | CN105991514B (zh) |
ES (1) | ES2871028T3 (zh) |
PL (1) | PL3251285T3 (zh) |
SG (1) | SG11201705555YA (zh) |
TW (1) | TWI696089B (zh) |
WO (1) | WO2016123336A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110022279B (zh) * | 2018-01-08 | 2021-11-26 | 普天信息技术有限公司 | 一种微服务系统中认证鉴权的方法和系统 |
CN110099031A (zh) * | 2018-01-30 | 2019-08-06 | 普天信息技术有限公司 | 一种服务调用方法、装置及微服务平台 |
CN111107047B (zh) * | 2018-10-29 | 2021-03-23 | 华为技术有限公司 | 服务授权方法及通信装置 |
CN111435932B (zh) * | 2019-01-14 | 2021-10-01 | 华为技术有限公司 | 一种令牌处理方法及装置 |
CN110943934A (zh) * | 2019-11-19 | 2020-03-31 | 上海钧正网络科技有限公司 | 服务请求处理方法、系统、终端及可读存储介质 |
CN111917714B (zh) * | 2020-06-18 | 2022-11-11 | 云南电网有限责任公司信息中心 | 一种零信任架构系统及其使用方法 |
CN114866247B (zh) * | 2022-04-18 | 2024-01-02 | 杭州海康威视数字技术股份有限公司 | 一种通信方法、装置、系统、终端及服务器 |
CN114745196B (zh) * | 2022-04-27 | 2024-01-02 | 广域铭岛数字科技有限公司 | 接口测试方法、系统、电子设备及可读存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060236093A1 (en) * | 2005-02-07 | 2006-10-19 | Lucent Technologies Inc. | Method and apparatus for preventing bridging of secure networks and insecure networks |
US20070192842A1 (en) * | 2006-02-06 | 2007-08-16 | Cisco Technology, Inc. | Secure extended authentication bypass |
US20100070634A1 (en) * | 2008-09-16 | 2010-03-18 | Microsoft Corporation | Protocol exchange and policy enforcement for a terminal server session |
US20120060025A1 (en) * | 2004-04-15 | 2012-03-08 | Aol Inc. | Service provider invocation |
US20140057599A1 (en) * | 2012-08-22 | 2014-02-27 | Vodafone Ip Licensing Limited | Communications Device Authentication |
TW201424316A (zh) * | 2008-12-19 | 2014-06-16 | F2Ware Inc | 使用瀏覽器認證線上交易的方法 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6226752B1 (en) * | 1999-05-11 | 2001-05-01 | Sun Microsystems, Inc. | Method and apparatus for authenticating users |
US7444407B2 (en) * | 2000-06-29 | 2008-10-28 | Transnexus, Inc. | Intelligent end user devices for clearinghouse services in an internet telephony system |
US7225464B2 (en) * | 2002-04-03 | 2007-05-29 | Yodlee.Com, Inc. | Method for verifying the identity of a user for session authentication purposes during Web navigation |
US7340525B1 (en) * | 2003-01-24 | 2008-03-04 | Oracle International Corporation | Method and apparatus for single sign-on in a wireless environment |
WO2008002081A1 (en) | 2006-06-29 | 2008-01-03 | Electronics And Telecommunications Research Institute | Method and apparatus for authenticating device in multi domain home network environment |
CN101351027A (zh) * | 2007-07-19 | 2009-01-21 | 中国移动通信集团公司 | 业务鉴权处理方法及系统 |
CN101227415A (zh) | 2008-02-04 | 2008-07-23 | 华为技术有限公司 | 多业务资源分配方法、系统、网关设备及认证服务器 |
EP2355439A1 (en) | 2010-02-02 | 2011-08-10 | Swisscom AG | Accessing restricted services |
US8601266B2 (en) | 2010-03-31 | 2013-12-03 | Visa International Service Association | Mutual mobile authentication using a key management center |
CN102378170B (zh) * | 2010-08-27 | 2014-12-10 | 中国移动通信有限公司 | 一种鉴权及业务调用方法、装置和系统 |
CN102572815B (zh) * | 2010-12-29 | 2014-11-05 | 中国移动通信集团公司 | 一种对终端应用请求的处理方法、系统及装置 |
US9276929B2 (en) * | 2013-03-15 | 2016-03-01 | Salesforce.Com, Inc. | Method and apparatus for multi-domain authentication |
WO2013087984A1 (en) * | 2011-12-12 | 2013-06-20 | Nokia Corporation | Method and apparatus for providing federated service accounts |
JP5978759B2 (ja) | 2012-05-21 | 2016-08-24 | 富士通株式会社 | サービス要求装置、サービス提供システム、サービス要求方法およびサービス要求プログラム |
US9729514B2 (en) | 2013-03-22 | 2017-08-08 | Robert K Lemaster | Method and system of a secure access gateway |
-
2015
- 2015-01-28 CN CN201510043786.XA patent/CN105991514B/zh active Active
- 2015-08-31 TW TW104128644A patent/TWI696089B/zh active
-
2016
- 2016-01-28 ES ES16744100T patent/ES2871028T3/es active Active
- 2016-01-28 WO PCT/US2016/015354 patent/WO2016123336A1/en active Application Filing
- 2016-01-28 JP JP2017533202A patent/JP6633636B2/ja active Active
- 2016-01-28 EP EP16744100.5A patent/EP3251285B1/en active Active
- 2016-01-28 SG SG11201705555YA patent/SG11201705555YA/en unknown
- 2016-01-28 KR KR1020177020348A patent/KR102056973B1/ko active IP Right Grant
- 2016-01-28 PL PL16744100T patent/PL3251285T3/pl unknown
- 2016-01-28 US US15/009,168 patent/US10038685B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120060025A1 (en) * | 2004-04-15 | 2012-03-08 | Aol Inc. | Service provider invocation |
US20060236093A1 (en) * | 2005-02-07 | 2006-10-19 | Lucent Technologies Inc. | Method and apparatus for preventing bridging of secure networks and insecure networks |
US20070192842A1 (en) * | 2006-02-06 | 2007-08-16 | Cisco Technology, Inc. | Secure extended authentication bypass |
US20100070634A1 (en) * | 2008-09-16 | 2010-03-18 | Microsoft Corporation | Protocol exchange and policy enforcement for a terminal server session |
TW201424316A (zh) * | 2008-12-19 | 2014-06-16 | F2Ware Inc | 使用瀏覽器認證線上交易的方法 |
US20140057599A1 (en) * | 2012-08-22 | 2014-02-27 | Vodafone Ip Licensing Limited | Communications Device Authentication |
Also Published As
Publication number | Publication date |
---|---|
KR102056973B1 (ko) | 2019-12-17 |
JP2018503901A (ja) | 2018-02-08 |
CN105991514B (zh) | 2019-10-01 |
PL3251285T3 (pl) | 2021-08-02 |
SG11201705555YA (en) | 2017-08-30 |
JP6633636B2 (ja) | 2020-01-22 |
EP3251285B1 (en) | 2021-04-07 |
WO2016123336A1 (en) | 2016-08-04 |
EP3251285A1 (en) | 2017-12-06 |
CN105991514A (zh) | 2016-10-05 |
ES2871028T3 (es) | 2021-10-28 |
US20160219030A1 (en) | 2016-07-28 |
TW201627902A (zh) | 2016-08-01 |
US10038685B2 (en) | 2018-07-31 |
KR20170108003A (ko) | 2017-09-26 |
EP3251285A4 (en) | 2018-10-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI696089B (zh) | 業務請求認證方法及裝置 | |
US11223477B2 (en) | Data sharing method, client, server, computing device, and storage medium | |
TWI672648B (zh) | 業務處理方法、裝置、資料共享系統及儲存介質 | |
US10848310B2 (en) | Method and device for identifying user identity | |
US20200084045A1 (en) | Establishing provenance of digital assets using blockchain system | |
US9344424B2 (en) | Authorizing access by a third party to a service from a service provider | |
US11811946B2 (en) | Systems, apparatus and methods for backing up and auditing distributed ledger data within a network and securely without using private keys | |
US20180157809A1 (en) | Increased security using dynamic watermarking | |
WO2023207086A1 (zh) | 一种基于区块链的用户数据流转方法、装置及设备 | |
JP2022518061A (ja) | デジタル資産の所有権を譲渡するための方法、コンピュータプログラム製品、および装置 | |
CN112861102A (zh) | 基于区块链对电子文件的处理方法和系统 | |
US10019696B2 (en) | Distributed digital rights-managed file transfer and access control | |
CN116991936A (zh) | 基于区块链的权益凭证管理方法、装置、电子设备和介质 | |
US20150101059A1 (en) | Application License Verification | |
CA2844888A1 (en) | System and method of extending a host website | |
US10158643B2 (en) | Token-based routing for in-network authorization | |
US20140019758A1 (en) | System, method and apparatus for securely distributing content | |
JP2020500381A (ja) | ネットワークに著作物を公開するための方法および装置 | |
US20240086549A1 (en) | Systems and methods for user characteristic determination through cryptographic tokenized data | |
JP2024519654A (ja) | クッキー窃盗を防止すべく同じ場所に設置された二次デバイスを使用すること |