TWM538610U - 植基於ajax序列化請求的認證處理系統 - Google Patents
植基於ajax序列化請求的認證處理系統 Download PDFInfo
- Publication number
- TWM538610U TWM538610U TW105214282U TW105214282U TWM538610U TW M538610 U TWM538610 U TW M538610U TW 105214282 U TW105214282 U TW 105214282U TW 105214282 U TW105214282 U TW 105214282U TW M538610 U TWM538610 U TW M538610U
- Authority
- TW
- Taiwan
- Prior art keywords
- server
- client
- application
- request
- service identifier
- Prior art date
Links
Landscapes
- Information Transfer Between Computers (AREA)
Description
本創作係涉及網路技術領域,特別指一種保障AJAX網頁運行序列化請求的資料認證處理,可針對每次發送請求更新所取得的session憑證以防止惡意侵入使用者端的防護方式的認證處理系統。
全球資訊網技術(Web Technology)是現今之電子商務系統所使用的主要技術,其中包含許多複雜的作業機制,用來確保電子商務的安全進行。例如,使用者登入及管理在電子商務系統中是一個常用而且重要的功能,但在一般之電子商務系統中受限於HTTP(Hyper Text Transfer Protocol)協定的無狀態式(stateless)及無連接式(connectionless)的工作模式之特性,使用者登入及管理的功能無法與一般Windows Based的程式(即一般之視窗程式)之使用者登入管理功能相比擬。
目前使用之技術通常以伺服端之Session及網站全域物件Application來記錄使用者之資訊,其主要做法為當使用者成功登入時,將該使用者之資訊記錄在Session物件中,待使用者按下登出按鈕再從Session物件中移除該使用者,但為避免Server記憶體被大量耗用在記錄使用者資訊上,通常都會以Session Timeout的方式亦即設定一無動作期間,當該瀏覽器對該網頁達到該期間以上之時間無動作即自動將使用者登出,因此對於登入後未登出前直接關閉瀏覽器或是直接在瀏覽器之網址列輸入新網址進而改變瀏覽之網址之使用者,前述之技術便無法精確地用來管理使用者。
多數網站系統都是透過session的機制來維持已登入使用者的狀態,且小型文字檔案(cookie)是作為HTTP的一個擴展誕生的,主要彌補HTTP的無狀態性,提供了一種保持客戶端與伺服器端之間狀態的途徑,傳統上,即是運用小型文字檔案(cookie)實現session機制的,但此方式在資安上的防護相對而言是較為脆弱的,而session多用來儲存敏感的資料,實用性較高,因此常常會成為駭客攻擊的目標,攻擊者會想辦法取得使用者的session ID,一般session的攻擊方式大致包含猜測session ID(session prediction)、竊取session ID(session hijacking)以及固定session ID(session fixation),而伺服器端(server)和客戶端(client)不會一直保持連線狀態,也不會有雙方狀態的即時更新,伺服器端(server)並不清楚客戶端(client)的狀態,有了使用者的的ID(user ID)即可冒充使用者對網站進行存取,導致可能受到侵害客戶端隱私的問題。
為有效解決先前技術中所存在的問題,本創作之目的在提供一種植基於AJAX序列化請求的認證處理系統,透過於每次請求取得新的服務識別憑證,且可及時感知惡意程式的攻擊以使系統管理者取得更好的網站防護。
為達到本創作之目的,本創作提供一種植基於AJAX序列化請求的認證處理系統,適用於一電腦主機以及一作為伺服器之用的電腦且透過有線或無線方式連接網路以相互通信從而架構一資料處理環境,所述資料處理環境包含一客戶端及一伺服器端,其特徵在於:所述客戶端包含一客戶應用程式,所述伺服器端包含一應用程式伺服器,其中所述客戶端係用以發送一請求,所述伺服器端接收該請求並提供回應一服務識別符以使所述客戶端產生並發送一子請求,該應用程式伺服器係驗證判定該子請求中的一服務識別符之有效性,其中該應用程式伺服器係根據判定服務識
別符之有效性產生一新的服務識別符,並且提供回應該新的服務識別符到所述客戶端
於本創作之一實施例,其中子請求之該服務識別符有效性判定包含是否被修改、過期或其前述兩者。
於本創作之一實施例,其中判定無效之該服務識別符係由所述伺服器端回應一錯誤訊息至所述客戶端。
於本創作之一實施例,其中應用程式伺服器係為操作以伺服其他應用程式及服務之任何應用程式。
於本創作之一實施例,其中應用程式伺服器包含一應用程式伺服器組件,該應用程式伺服器組件可為該應用程式伺服器對應執行的認證應用程式或認證引擎。
100‧‧‧資料處理環境
100a‧‧‧電腦主機
100b‧‧‧伺服器用之電腦
101‧‧‧網路
102‧‧‧伺服器端
103‧‧‧應用程式伺服器
104‧‧‧伺服器端
105‧‧‧應用程式伺服器
110‧‧‧客戶端
112‧‧‧客戶端
113‧‧‧客戶應用程式
114‧‧‧客戶端
200‧‧‧客戶應用程式
201‧‧‧初始請求
202‧‧‧發送使用服務識別符之子請求
203‧‧‧發送使用新的服務識別符之子請求
211‧‧‧動態地建構子請求
212‧‧‧服務識別符過期
300‧‧‧應用程式伺服器
301‧‧‧回傳作業
302‧‧‧回傳作業
310‧‧‧應用程式伺服器組件
311‧‧‧登入檔
312‧‧‧服務識別符
313‧‧‧服務識別符之驗證
314‧‧‧服務識別符有效性判定
第1圖係繪製本創作植基於AJAX網路架構之一資料處理環境示意圖。
第2圖係繪製本創作發送請求並進行服務識別符(session)認證過程的方塊圖。
有關本創作之詳細說明及技術內容,配合圖式說明如下,然而所附圖式僅提供參考與說明用,並非用來對本創作加以限制者;為了使貴審查委員及閱讀大眾能更容易瞭解本發明並避免混淆,針對本創作AJAX網路架構之一資料處理環境先行說明。
一或多個資料網路頻繁地在各種資料處理系統之間交換。可將一些資料處理系統視為客戶資料處理系統,因為該等系統為資料或服務之消費者可將其他資料處理系統視為伺服器資料處理系統,因為該等系統提供所請求之資料或服務。將作為客戶端(亦即,作為資料或服務之消費者)執行之應用程式稱為客戶應用程式。將作為伺服器端(亦即,提供資料或服務)執行之應用程式稱為伺服器應用程式。
資料所駐留之系統及系統所操作之網路的安全性係資料通信中所要關心的,通常藉由某一安全性機制來實現資料處理系統、其內容及資料處理系統所操作之網路的安全性,使用者識別符(UID)及密碼(password)鑑認(authentication)為實現資料處理環境下之安全性目標之普通方法;客戶資料處理系統及伺服器資料處理系統可使用各種協定彼此通信,發生在一客戶與一伺服器資料處理系統之間的資料通信包括一系列請求及回應。相互相關之請求及回應形成異動。
目前以各種方式來達成客戶伺服器異動之安全性。諸如安全超文字傳送協定(HTTPS)之某些協定藉由使用對伺服器資料處理系統之加密及安全識別來實現客戶伺服器異動之安全性。某些其他異動安全性機制包括使用作業階段識別符(作業階段ID),作業階段ID為用以識別客戶與伺服器資料處理系統之間的作業階段之識別符,典型作業階段可包括一系列異動。
在一些情況下,客戶可以非同步方式請求來自伺服器之資料,非同步資料傳送傳送資料而不干擾進行中任務之行為;舉例而言,網頁瀏覽器應用程式可為一客戶應用程式,網頁瀏覽器可以非同步方式請求來自web伺服器之資料,以使得在網頁瀏覽器中顯示的頁面之行為或顯示不受非同步資料請求或回應影響,非同步請求亦不等待對應回應;換言之,對非同步請求之回應可在
任何時間在客戶處到達且加以處理。客戶並不等待對非同步請求之回應,但繼續進行其他任務。
非同步請求為對非同步資料或服務之請求,非同步客戶伺服器異動為相對於另一進行中任務以非同步方式發生的客戶伺服器異動,而非同步JavaScript及XML(AJAX)為目前用於創建及執行非同步客戶伺服器異動之技術。非同步客戶伺服器異動在改良web應用程式之效能及改良使用者體驗上特別有用,再者非同步JavaScript及XML(AJAX)為一種可讓瀏覽器進行非同步之網頁請求之技術,因為它是一種非同步之技術,因此,瀏覽器可在有需要的時候以背景(background)的方式執行網頁請求,而不用打斷或干擾瀏覽器前景(foreground)所執行之工作。
第1圖係描繪本創作認證系統之網路架構,以表示網路架構下的一資料處理環境100包括一網路101以提供資料處理環境100內連接在一起的多部電腦主機100a以及多部作為伺服器用之電腦100b之間的通信連接的媒介;而該些電腦主機100a係定義為一客戶端(110,112,114),該些伺服器用之電腦100b係定義為一伺服器端(102,104),前述兩者以有線或無線方式連接的網路101以相互通信。補充說明,該些伺服器端或者該些客戶端可含有各種資料且可具有在系統上執行之軟體應用程式或軟體工具。
伺服器端102及伺服器端104可個別包括有一應用程式伺服器103及一應用程式伺服器105。應用程式伺服器(103,105)可為操作以伺服其他應用程式及服務之任何應用程式。客戶端112可包括客戶應用程式113。客戶應用程式113可為一應用程式或其一組件,其能夠進行根據本創作之一實施例之序列化請求的資料認證處理。
伺服器端(102,104)及客戶端(110,112,114)可使用有線連接、無線通信協定或其他合適之資料連接性而耦接至網路101。客戶端(110,112,114)可為(例如)個人電腦或各型式具有連網功能的行動電子裝置;於本實施例中,各伺服器(102,104)將諸如啟動檔案、作業系統影像及應用程式之資料提供至客戶端(110,112,114)。客戶端(110,112,114)或其某一組合可包括其自身的資料、啟動檔案、作業系統影像及應用程式。資料處理環境100可包括圖式中所未示之額外伺服器、客戶及其他裝置。
網路101可表示使用傳輸控制協定/網際網路協定(TCP/IP)及其他協定以相互通信的網路及閘道器之集合。網際網路之中心處為主要節點或主機電腦之間的資料通信鏈路之骨幹,包括投送資料及訊息之成千之商業、政府、教育及其他電腦系統。當然,資料處理環境100亦可實施為許多不同類型之網路,諸如,企業內部網路、區域網路(LAN)或廣域網路(WAN)。
本創作所述之植基於AJAX序列化請求的認證處理系統係於前述資料處理環境100的架構進行運作,如同目前植基於AJAX之非同步客戶伺服器異動技術,其認證處理程序的過程步驟的大致說明如下:客戶應用程式113可向應用程式伺服器103或者應用程式伺服器105發出一初始非同步請求,例如請求網路位址(URL),會將URL插入原始碼陣列中,以進行下一步驟。
第二步驟係確認等待標籤的狀態,若是狀態為真,則會於一等待時間後,重新確認等待標籤的狀態,直到標籤狀態為否;若是等待標籤狀態為否,則進到進行下一步驟。
第三步步驟係為確認這個陣列裡是否還有URL,若是沒有URL存在,則視狀態為真,則結束動作並返回,若是狀態為否,則進行下一步動作。
第四步驟係利用AJAX引擎向伺服器端發送請求,並且設定等待標籤的狀態為真,然後清除陣列裡的第一筆資料,再回到第二步驟來做循環。
第五步為伺服器端接收到客戶端的請求後,會檢查cookie中的憑證,若是憑證錯誤,則回傳給客戶端一未登入警訊,若是憑證沒有錯,則作廢舊憑證產生新憑證,再將結果回傳給客戶端。
第六步為客戶端接收到伺服器端回傳之後,會清除等待狀態,然後進行回傳的結果,並結束動作。
第2圖係描繪根據本創作於發送請求並進行服務識別符(session)檢查及更新過程的方塊圖;其包含一客戶應用程式200可類似於第1圖中所述之客戶應用程式113,一應用程式伺服器300可類似於第1圖中所述之應用程式伺服器(103,105),以及一應用程式伺服器組件310可為應用程式伺服器300對應執行的應用程式或引擎,例如認證應用程式或者認證引擎等等;而應用程式伺服器組件310可為服務不同功能的至少一個以上的應用程式伺服器組件。
承上所述,客戶應用程式200將一初始請求201發送至應用程式伺服器300,並藉由應用程式伺服器組件310產生一登入檔311及一服務識別符312並且將基於一登錄檔之目錄以及服務識別符312執行一回傳作業301至客戶應用程式200;客戶應用程式200使用該目錄及該服務識別符而產生一動態地建構子請求211,爾後將一或多個發送使用服務識別符之子請求202發送至應用程式伺服器300。
應用程式伺服器組件310係驗證每一子請求中的服務識別符,而服務識別符之驗證313係包含服務識別符的完整性以進行一服務識別符有效性判定314,該服務識別符有效性判定314包含是否被修改、過期等等,若驗證判定為無效之服務識別符將會發送一錯誤訊息(圖未示),如上述未登入警訊至該請求
的發送者,該發送者不一定是前述客戶應用程式200,可能為一惡意應用程式(圖未示)。
承上所述,回傳之服務識別符過期212係無法通過應用程式伺服器組件310之驗證,因此應用程式伺服器組件310將產生一新的服務識別符312,並且進行該新的服務識別符312的一回傳作業302至客戶應用程式200,而客戶應用程式200係使用該換新的符為識別符312而動態地建構後續子請求,以進行一發送使用新的服務識別符之子請求203,且客戶應用程式200以及應用程式伺服器300之間的資料傳遞以前述方式持續進行,直到確保非同步客戶伺服器異動的程序結束。
綜所上述,本創作之認證處理系統係使在session機制上的cookie值在每次請求被處理後都被變更,透過這樣的方式,使用者可以在當駭客透過攔截網路封包,並藉以冒充使用者做一些事情後,而及時發送錯誤資訊以立即感知到;由於cookie的值被改變了,因此,使用者拿舊的cookie跟系統做請求時,會被系統認定為是非法使用者。而此時,透過使用者跟系統管理者反應狀況,便可讓這個網站系統得到更好的防護。
藉由以上較佳具體實施例之詳述,係希望能更加清楚描述本創作之特徵與精神,而並非以上述所揭露的較佳具體實施例來對本創作之範疇加以限制,相反地,其目的是希望能涵蓋各種改變及具相等性的安排於本創作明所欲申請之專利範圍的範疇內,因此,本創作所申請之專利範圍的範疇應該根據上述的說明作最寬廣的解釋,以致使其涵蓋所有可能的改變以及具相等性的安排。
100‧‧‧資料處理環境
104‧‧‧伺服器端
112‧‧‧客戶端
200‧‧‧客戶應用程式
201‧‧‧初始請求
202‧‧‧發送使用服務識別符之子請求
203‧‧‧發送使用新的服務識別符之子請求
211‧‧‧動態地建構子請求
212‧‧‧服務識別符過期
300‧‧‧應用程式伺服器
301‧‧‧回傳作業
302‧‧‧回傳作業
310‧‧‧應用程式伺服器組件
311‧‧‧登入檔
312‧‧‧服務識別符
313‧‧‧服務識別符之驗證
314‧‧‧服務識別符有效性判定
Claims (7)
- 一種植基於AJAX序列化請求的認證處理系統,適用於一電腦主機以及一作為伺服器之用的電腦且透過有線或無線方式連接網路以相互通信從而架構一資料處理環境,所述資料處理環境包含一客戶端及一伺服器端,其特徵在於:所述客戶端包含一客戶應用程式,所述伺服器端包含一應用程式伺服器,其中所述客戶端係用以發送一請求,所述伺服器端接收該請求並提供回應一服務識別符以使所述客戶端產生並發送一子請求,該應用程式伺服器係驗證判定該子請求中的一服務識別符之有效性,其中該應用程式伺服器係根據判定該服務識別符之有效性而產生一新的服務識別符,並且提供回應該新的服務識別符到所述客戶端。
- 如申請專利範圍第1項所述之植基於AJAX序列化請求的認證處理系統,其中該子請求之該服務識別符有效性判定包含是否被修改、過期或其前述兩者。
- 如申請專利範圍第2項所述之植基於AJAX序列化請求的認證處理系統,其中判定無效之該服務識別符係由所述伺服器端回應一錯誤訊息至所述客戶端。
- 如申請專利範圍第1項所述之植基於AJAX序列化請求的認證處理系統,其中該應用程式伺服器係為操作以伺服其他應用程式及服務之任何應用程式。
- 如申請專利範圍第4項所述之植基於AJAX序列化請求的認證處理系統,其中該應用程式伺服器包含一應用程式伺服器組件,該應用 程式伺服器組件可為該應用程式伺服器對應執行的認證應用程式或認證引擎。
- 如申請專利範圍第1項所述之植基於AJAX序列化請求的認證處理系統,其中所述客戶端包含個人電腦或各型式具有連網功能的行動電子裝置。
- 如申請專利範圍第1項所述之植基於AJAX序列化請求的認證處理系統,其中該客戶應用程式係為一網頁瀏覽器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW105214282U TWM538610U (zh) | 2016-09-14 | 2016-09-14 | 植基於ajax序列化請求的認證處理系統 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW105214282U TWM538610U (zh) | 2016-09-14 | 2016-09-14 | 植基於ajax序列化請求的認證處理系統 |
Publications (1)
Publication Number | Publication Date |
---|---|
TWM538610U true TWM538610U (zh) | 2017-03-21 |
Family
ID=58775310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW105214282U TWM538610U (zh) | 2016-09-14 | 2016-09-14 | 植基於ajax序列化請求的認證處理系統 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWM538610U (zh) |
-
2016
- 2016-09-14 TW TW105214282U patent/TWM538610U/zh not_active IP Right Cessation
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9774622B2 (en) | Cross-site request forgery defense | |
EP2810208B1 (en) | Efficiently throttling user authentication | |
Armando et al. | An authentication flaw in browser-based single sign-on protocols: Impact and remediations | |
US10846432B2 (en) | Secure data leak detection | |
US11233802B1 (en) | Cookie and behavior-based authentication | |
US9356963B2 (en) | Detecting and applying different security policies to active client requests running within secure user web sessions | |
EP2347559B1 (en) | Service access control | |
US8051465B1 (en) | Mitigating forgery of electronic submissions | |
US20090007243A1 (en) | Method for rendering password theft ineffective | |
JP2020057363A (ja) | セキュリティーアサーションマークアップランゲージ(saml)サービスプロバイダー起点のシングルサインオンのための方法及びプログラム | |
US9009800B2 (en) | Systems and methods of authentication in a disconnected environment | |
US20080294781A1 (en) | Method and system for global logoff from a web-based point of contact server | |
US20150007269A1 (en) | Delegating authentication for a web service | |
US7895644B1 (en) | Method and apparatus for accessing computers in a distributed computing environment | |
US20130160132A1 (en) | Cross-site request forgery protection | |
CA2510647A1 (en) | Signing of web request | |
Bursztein et al. | Sessionjuggler: secure web login from an untrusted terminal using session hijacking | |
Wedman et al. | An analytical study of web application session management mechanisms and HTTP session hijacking attacks | |
EP3573310B1 (en) | Pluggable control system for fallback website access | |
Wang et al. | A framework for formal analysis of privacy on SSO protocols | |
TWM538610U (zh) | 植基於ajax序列化請求的認證處理系統 | |
US10819816B1 (en) | Investigating and securing communications with applications having unknown attributes | |
TWI620091B (zh) | 植基於worker序列化請求的認證處理方法 | |
JP2010079431A (ja) | 情報漏洩防止プログラム | |
US11647036B1 (en) | Advanced interstitial techniques for web security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4K | Annulment or lapse of a utility model due to non-payment of fees |