WO2019134233A1

WO2019134233A1 - 网络令牌生成的方法、装置、终端设备及存储介质

Info

Publication number: WO2019134233A1
Application number: PCT/CN2018/077311
Authority: WO
Inventors: 辜坤
Original assignee: 平安科技（深圳）有限公司
Priority date: 2018-01-08
Filing date: 2018-02-27
Publication date: 2019-07-11
Also published as: CN108462581B; CN108462581A

Abstract

本申请公开了一种网络令牌生成的方法、装置、终端设备及存储介质，涉及网络安全认证领域。该网络令牌生成的方法包括：获取客户端发送的登录请求，登录请求包括终端ID和令牌有效性，令牌有效性包括初始值、有效和无效中的任一个；若令牌有效性为初始值或者无效，则基于登录请求中的用户敏感数据进行身份认证；若身份认证通过，则生成载荷数据；基于载荷数据和用户敏感数据，生成带有令牌规则的网络令牌，将令牌有效性设置为有效。该网络令牌生成的方法，在增强验证用户身份的真实性和唯一性的同时，也保障用户敏感数据在传输过程中的安全性。

Description

网络令牌生成的方法、装置、终端设备及存储介质

本专利申请以2018年01月08日提交的申请号为201810014392.5，名称为“网络令牌生成的方法、装置、终端设备及存储介质”的中国发明专利申请为基础，并要求其优先权。

技术领域

本申请涉及网络安全认证领域，尤其涉及一种网络令牌生成的方法、装置、终端设备及存储介质。

背景技术

JWT(JSON Web Token，JSON网络令牌)是一种用于客户端和服务器之间传递安全信息的简洁的、URL安全的表述性声明规范。基于JWT的无状态认证机制会在每一次请求中都带上完成签名的Token信息(即令牌)，意味着不需要对通过token进行认证的应用服务器重新进行用户身份认证，为应用的扩展提供了便利。

JWT包括用于获取记录用户登录数据的载荷部，和基于载荷部、用户登录数据构成的签名部，其中，载荷部和签名部携带的数据都是可被解密的。从JWT的组成结构看出，现有生成JWT网络令牌的技术规范安全性不高，不能存放用户敏感数据。

发明内容

本申请实施例提供一种网络令牌生成的方法、装置、终端设备及存储介质，以解决现有生成JWT网络令牌技术规范安全性不高，不能存放用户敏感数据的问题。

第一方面，本申请实施例提供一种网络令牌生成的方法,包括如下步骤：

获取客户端发送的登录请求，登录请求包括终端ID和令牌有效性，令牌有效性包括初始值、有效和无效中的任一个；

若令牌有效性为初始值或者无效，则基于登录请求中的用户敏感数据进行身份认证；

若身份认证通过，则生成载荷数据；

基于载荷数据和用户敏感数据，生成带有令牌规则的网络令牌，将令牌有效性设置为有效；

将所述终端ID、所述终端ID对应的令牌规则存储到数据库，并将所述网络令牌发送给所述客户端，以使所述终端ID对应的客户端发送的所有请求携带所述网络令牌。

第二方面，本申请实施例提供一种网络令牌生成的装置，包括：

获取登录请求模块，用于获取客户端发送的登录请求，登录请求包括终端ID和令牌有效性，令牌有效性包括初始值、有效和无效中的任一个；

进行身份认证模块，用于若令牌有效性为初始值或者无效，则基于登录请求中的用户敏感数据进行身份认证；

生成载荷数据模块，用于若身份认证通过，则生成载荷数据；

生成网络令牌模块，用于基于载荷数据和用户敏感数据，生成带有令牌规则的网络令牌，将令牌有效性设置为有效；

发送网络令牌模块，用于将所述终端ID、所述终端ID对应的令牌规则存储到数据库，并将所述网络令牌发送给所述客户端，以使所述终端ID对应的客户端发送的所有请求携带所述网络令牌。

本申请第三方面提供一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机可读指令，所述处理器执行所述计算机可读指令时实现如下步骤：

获取客户端发送的登录请求，所述登录请求包括终端ID和令牌有效性，所述令牌有效性包括初始值、有效和无效中的任一个；

若所述令牌有效性为初始值或者无效，则基于所述登录请求中的用户敏感数据进行身份认证；

若身份认证通过，则生成载荷数据；

基于所述载荷数据和所述用户敏感数据，生成带有令牌规则的网络令牌，将令牌有效性设置为有效；

本申请第四方面提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可读指令，所述计算机可读指令被处理器执行时实现如下步骤：

若身份认证通过，则生成载荷数据；

本申请实施例提供的网络令牌生成的方法、装置、终端设备及存储介质，通过登录请求中的用户敏感数据进行身份认证,若身份认证通过，则基于载荷数据和用户敏感数据生成带有令牌规则的网络令牌,可以将网络令牌中加入用户敏感数据，增强验证用户身份的真实性和唯一性；同时，将网络令牌发送给客户端，以使终端ID对应的客户端发送的所有请求携带网络令牌，保障携带用户敏感数据的网络令牌的安全性和专有性。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例1中网络令牌生成的方法的一流程图。

图2是本申请实施例1中网络令牌生成的方法的另一具体流程图。

图3是本申请实施例1中网络令牌生成的方法的另一具体流程图。

图4是本申请实施例1中网络令牌生成的方法的另一具体流程图。

图5是本申请实施例1中网络令牌生成的方法的另一具体流程图。

图6是本申请实施例1中网络令牌生成的方法的另一具体流程图。

图7是本申请实施例2中网络令牌生成的装置的一原理框图。

图8是本申请实施例4中终端设备的一示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

实施例1

图1示出本实施例中网络令牌生成的方法的流程图。网络令牌是一种用于客户端和服务器之间传递安全信息的简洁的、URL安全的表述性声明规范。该网络令牌生成的方法应用在服务器。如图1所示，该网络令牌生成的方法包括如下步骤：

S110.获取客户端发送的登录请求，登录请求包括终端ID和令牌有效性，令牌有效性包括初始值、有效和无效中的任一个。

具体地，登录请求是客户端通过浏览器或者第三方接口与服务器进行连接时发送的请求。

终端ID是用于唯一识别发送该登录请求的客户端的标识，该终端ID可以是客户端连接服务器使用的登录IP或者客户端的硬件MAC地址，随具体应用环境而定。

令牌有效性的标识包括初始值、有效或无效中的任一个，是用于说明网络令牌是否处于有效状态的。网络令牌若处在有效期，则令牌有效性为有效；网络令牌若处在失效期，则令牌有效性为无效；当客户端第一次连接服务器发送登录请求时，是没有携带网络令牌的，此时，将第一次连接服务器的登录请求的令牌有效性设置为初始值。一般地，初始值为空或者为零。

本实施例中，通过登录请求中记录的令牌有效性即可快速将该登录请求进行分类，进行后续步骤的处理；并且通过具有唯一性的终端ID，保证后续步骤的处理结果准确地发回终端ID对应的客户端。

可以理解地，在步骤S110之前，即在获取客户端发送的登录请求的步骤之前，网络令牌生成的方法还包括：将首次发送登录请求的令牌有效性设置为初始值。

具体地，初始值一般设置为空或者零。本实施例中，通过设置第一次向服务器申请登录请求的令牌有效性，有利于服务器根据令牌有效性的初始值立即判定给该登录请求生成网络令牌。

S120.若所述令牌有效性为初始值或者无效，则基于所述登录请求中的用户敏感数据进行身份认证。

具体地，用户敏感数据是指带有用户隐私，不希望公之于众的信息数据。比如常用身份验证登录时，需输入客户手机号和个人身份证号码等用户敏感数据。手机号和个人身份证号码等可以用来区别特定用户，作为验证身份信息的重要手段。以手机号和个人身份证为例，基于登录请求中的用户敏感数据进行身份认证具体是指将包括手机号和个人身份证号码的用户敏感数据与预先存储的服务器中的手机号和个人身份证号码进行匹配，若匹配一致，则身份认证通过。

本实施例中，基于用户敏感数据进行身份认证有利于保证客户端登录的唯一性和真实性。

S130.若身份认证通过，则生成载荷数据。

具体地，载荷数据用来承载要传递的数据，它是对JWT要传递的数据的一组声明。载荷数据的一个“属性值对”其实就是一个声明，每一个声明的都代表特定的含义和作用。载荷数据传递的用以进行令牌认证、可解密和验证令牌有效性的数据，因为数据会被进行解密认证，载荷数据里不携带任何敏感的数据。

根据JWT的标准，载荷数据的声明主要包括：

iss(Issuser)：代表这个JWT签发主体；

sub(Subject)：代表这个JWT的主体，即它的所有人；

aud(Audience)：代表这个JWT接收对象；

exp(Expiration time)：是一个时间戳，代表这个JWT过期时间；

nbf(Not Before)：是一个时间戳，代表这个JWT生效的开始时间，意味着在这个时间之前验证JWT是会失败的；

iat(Issued at)：是一个时间戳，代表这个JWT签发时间；

jti(JWT ID)：是JWT的唯一标识。

本实施例中，通过用户认证的操作并添加了其它信息生成载荷数据，可以帮助今后收到该JWT的服务器理解这个JWT。

S140.基于载荷数据和用户敏感数据，生成带有令牌规则的网络令牌，将令牌有效性设置为有效。

具体地，网络令牌实际上是一种允许JWT在客户端和服务器之间传递安全可靠信息的字符串。网络令牌由两部分组成，载荷部(也即载荷数据)与签名部。其中，载荷数据和用户敏感数据构成签名部，签名部再结合载荷部形成网络令牌。

令牌规则就是根据用户的初次登录状态设定的登录规则，应用于本实施例中，令牌规则记录的内容等同于载荷数据，规定：JWT签发主体、JWT所有人、JWT接收对象、JWT过期时间、JWT生效开始时间、JWT签发时间等。可以理解地，本步骤新生成的网络令牌，必然是有效的。

本实施例中，通过给网络令牌加入用户敏感数据信息，如用户联系方式，可增强服务器验证用户身份的真实性和唯一性。

S150.将网络令牌发送给客户端，以使终端ID对应的客户端发送的所有请求携带网络令牌。

具体地，终端ID对应的客户端包括但不限于：移动终端、台式机等经互联网连接到服务器的可联网终端。服务器将生成的网络令牌指定发送到该终端ID代表的可联网终端，确保携带用户敏感数据的网络令牌的安全性和专有性。

本申请实施例提供的网络令牌生成的方法，通过登录请求中的用户敏感数据进行身份认证,若身份认证通过，则基于载荷数据和用户敏感数据生成带有令牌规则的网络令牌,可以将网络令牌中加入用户敏感数据，增强验证用户身份的真实性和唯一性；同时，将网络令牌发送给客户端，以使终端ID对应的客户端发送的所有请求携带网络令牌，保障携带敏感数据的网络令牌的安全性和专有性。

在一具体实施方式中，为了保障服务器和客户端之间通过网络令牌进行连接的安全性，服务器在每次接收到客户端发送的登录请求时，都需要判定该登录请求携带的网络令牌的有效性。如图2所示，在获取客户端发送的登录请求的步骤之后，该网络令牌生成的方法还包括：

S160.若令牌有效性为有效，则根据预设规则刷新网络令牌的令牌有效性。

具体地，预设规则是指网络令牌保持有效性的标准。本实施例中，网络令牌保持有效的规则是网络令牌的载荷部设定的。

服务器接收到的登录请求记录的令牌有效性，是客户端上一次登录服务器时网络令牌的有效性的记录结果。本次客户端登录服务器，服务器需要对当前登录请求携带的网络令牌重新判定有效性。

本实施例中，服务器通过获取登录请求携带的令牌有效性，可以快速直接地对网络令牌进行刷新操作，不需要重新对客户端进行身份验证，节省判定时间。

S170.若刷新网络令牌的令牌有效性后保持有效，与终端ID对应的客户端建立安全连接。

具体地，刷新网络令牌的有效性包括：检测当前的登录请求携带的网络令牌是否符合网络令牌载荷部记录的标准数据。若当前的登录请求携带的网络令牌符合网络令牌载荷部记录的标准数据，表示该网络令牌经刷新后还是有效的。

本实施例中，当确认刷新后的网络令牌保持有效，即可快速建立客户端与服务器之间的安全连接，减少进行身份验证的时间，实现客户端一站式登录服务器授权的系列网站。

S180.若刷新网络令牌的令牌有效性变更为无效，给客户端发送响应信息，以提醒客户端向服务器再次发送登录请求。

具体地，响应信息包括但不限于向客户端发送文字提示重新登录发送登录请求或者直接跳转回客户端发送登录请求的界面。

进一步地，若当前的登录请求携带的网络令牌不符合网络令牌载荷部记录的标准数据，表示该网络令牌经刷新后成为失效的网络令牌，相应地，令牌有效性也同时记录为无效。

本实施例中，当确认刷新后的网络令牌失效，即可及时提醒客户端重新发起与服务器之间的连接，提醒客户端更新网络令牌，提升了用户体验。

在一具体实施方式中，如图3所示，刷新网络令牌的令牌有效性，包括：

S161.获取与登录请求的终端ID相对应的存储在数据库中的令牌规则。

具体地，网络令牌的有效性是通过检测网络令牌中载荷部记载的内容是否符合服务器中的令牌规则来进行判定的。

本实施例中登记请求携带的网络令牌的载荷部包括：当前令牌签发主体、当前令牌所有人、当前令牌接收对象、当前令牌过期时间、当前令牌生效开始时间、当前令牌签发时间等。数据库中的令牌规则包括：JWT签发主体、JWT所有人、JWT接收对象、JWT过期时间、JWT生效开始时间、JWT签发时间等。

本实施例中通过获取登录请求携带的网络令牌和服务存储的令牌规则，便于服务器进一步判定网络令牌的有效性。

S162.根据令牌规则检测网络令牌，判断所述网络令牌是否完全符合所述令牌规则。

具体地，令牌规则针对网络令牌载荷部记录的内容中的每一项都设定有规则，本步骤中，将登记请求携带的网络令牌中的载荷部记录的数据依次对比数据库中的令牌规则，可以对网络令牌的有效性进行判定。

本实施例通过令牌规则检测网络令牌的有效性，避免对用户输入的登录数据检测客户端的安全性，提高用户体验。

S163.若网络令牌完全符合令牌规则，则维持令牌有效性为有效。

具体地，网络令牌完全符合令牌规则，代表该网络令牌载荷部记录的每一项数据都符合令牌规则的记录，此时该网络令牌就是有效的。本步骤是基于登录请求携带有效的网络令牌的步骤之上，经过本步骤因网络令牌完全符合令牌规则，所以维持该网络令牌的令牌有效性为有效。

本实施例中，服务器监测到该登录请求携带的网络令牌还保持有效，便于服务器迅速建立与客户端的安全连接。

S164.若网络令牌不完全符合令牌规则，则刷新令牌有效性为无效。

具体地，如果网络令牌的载荷部记录的数据只要有一项不符合服务器记录的令牌规则，比如，网络令牌载荷部记录的当前令牌过期时间早于令牌规则中记录的JWT过期时间，或者网络令牌载荷部记录的当前令牌签发主体不同于令牌规则中记录的签发主体，就可认定网络令牌不完全符合令牌规则，也即网络令牌失效。此时需将令牌有效性更新为无效。

进一步地，提供不同业务的服务器可根据实际应用场景设定不同的JWT过期时间，比如，银行类或者支付类的第三方APP接口，令牌有效性为15分钟。

本实施例中，服务器监测到该登录请求携带的网络令牌已经失效，便于服务器迅速向客户端发起重新连接的提示。

在一具体实施方式中，服务器和客户端之间通过网络令牌进行安全连接时，可以通过登录请求携带网络令牌进行安全认证；也可以将业务请求等所有请求通过携带网络令牌实现安全认证后直接推送业务，扩大了网络令牌的应用范围。如图4所示，网络令牌生成的方法还包括：

S210.获取客户端发送的业务请求，业务请求包括业务请求信息和令牌有效性。

具体地，业务请求是向服务器申请业务服务的请求，比如，转账请求、支付请求等。业务请求信息包括服务器实现客户端申请的业务的具体信息内容，比如，转账请求中的业务请求信息包括转账对象和转账数目等。

本实施例中，服务器还可以接收客户端发送的带有网络令牌的业务请求，扩大了网络令牌的应用范围。

S220.若业务请求的令牌有效性为初始值或者无效，则生成网络令牌。

具体地，当业务请求的令牌有效性为初始值或者无效时，根据步骤S120至步骤150，生成有效的网络令牌。

本实施例中，同样需要判定网络令牌的有效性，这也是应用网络令牌的意义所在。若业务请求的令牌有效性为初始值说明该业务请求是第一次登录服务器；若业务请求的令牌有效性为无效，说明上一次本登录请求中的网络令牌已经失效，需要客户端重新申请网络令牌，以快速促成业务请求信息的实现。

S230.若令牌有效性为有效，则根据预设规则刷新网络令牌的令牌有效性。

业务请求中令牌有效性记录为有效表示上次业务请求的网络令牌是有效的，本次业务请求需要重新验证网络令牌的有效性。

本实施例通过验证网络令牌的有效性判定客户端的安全性，避免客户端输入身份验证信息进行验证，提高了客户体验。

S240.若业务请求的令牌有效性为有效，则响应业务请求信息。

本实施例中，对通过验证有效性的网络令牌可以直接提供业务请求信息，提高了业务处理速度。

S250.若业务请求的令牌有效性为无效时，则给客户端发送提示信息，以提醒客户端向服务器再次发送业务请求。

本实施例中，对未通过验证有效性的网络令牌提出提示信息，提高了客户体验。

在一具体实施方式中，如图5所示，步骤S130，即若身份认证通过，则生成载荷数据，具体包括如下步骤：

S131.若身份认证通过，则通过客户端的登录请求，获取客户端的登录状态。

具体地，身份认证通过是服务器接收用户端发送的用户敏感数据，与服务器中已经记录的该终端ID的相应的备份数据，如果用户端发送的用户敏感数据与备份数据相匹配，则身份验证通过。

登录状态是指客户端通过第一次跟服务器进行会话后，如果客户端没有主动注销、清除缓存数据或被卸载，就在一段时间内或一直保持登录状态。为了确保登录状态的合法性和安全性，需要客户端跟服务器进行第一次会话时提供可靠的信息。比如，客户端第一次登录服务器时：

1)请求中携带用户敏感数据，比如用户手机号、密码信息到服务器端做认证；

2)或者通过服务器已经认证的内网进行访问；

只有当客户端通过服务器的认证保持安全的登录状态时，服务器对客户端配置载荷数据。

进一步地，若所述身份认证未通过，可以给所述客户端发送提示信息，以提醒所述客户端向服务器再次发送登录请求。

S132.基于所述客户端的登录状态，获取载荷数据。

具体地，载荷数据以JSON(JavaScript Object Notation，轻量级的数据交换格式)对象格式来承载要传递的数据。其中，JSON对象格式是一种易于人编写和阅读，更易于生成和解析数据存储格式。

载荷数据主要包括：

iss(Issuser)：代表这个JWT签发主体；

sub(Subject)：代表这个JWT的主体，即它的所有人；

aud(Audience)：代表这个JWT接收对象；

exp(Expiration time)：是一个时间戳，代表这个JWT过期时间；

iat(Issued at)：是一个时间戳，代表这个JWT签发时间；

jti(JWT ID)：是JWT的唯一标识。

举一个场景为例说明基于客户端的登录状态生成载荷数据的过程：

B登录example网站通过认证后，向A发起通过网页添加好友的请求。服务器根据B的登录状态，给B生成的网络令牌为(JSON对象)：

上述网络令牌中前五个字段是由JWT的标准定义的。将上面的JSON对象进行BASE64编码可以得到下面的字符串,也即载荷数据：

eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9。

本实施例中，通过用户认证的登录状态并添加其它信息生成载荷数据，可以帮助今后收到该JWT的服务器理解这个JWT。

本实施例中，只给身份认证通过的客户端生成载荷数据进而生成网络令牌，有效保障了网络令牌的安全性和可靠性。

在一具体实施方式中，如图6所示，步骤S140，即基于载荷数据和用户敏感数据，生成带有令牌规则的网络令牌，具体包括如下步骤：

S141.采用BASE64编码算法对所述载荷数据进行编码，获取载荷部。

具体地，BASE64是网络上最常见的用于传输8Bit字节码的编码方式之一，BASE64就是一种基于64个可打印字符来表示二进制数据的方法，可用于在HTTP环境下传递较长的标识信息。在应用程序中，常常需要把二进制数据编码为适合放在URL(Universal Resource Locator,统一资源定位符)中的形式。此时，采用BASE64编码对载荷数据进行编码具有不可读性，需要解码后才能阅读。

本实施例中，采用可解码的BASE64编码方式对载荷数据进行编码，便于被授权的服务器获取网络令牌的有效性。

S142.采用预设公钥算法对用户敏感数据和载荷数据进行加密，获取签名部。

具体地，将载荷数据以及用户敏感数据Payload.Userinfo(Userinfo存放用户敏感数据)进行公钥加密得到签名部，加密算法统一采用带密钥的加密，包括但不限于：RSA(Ron Rivest、Adi Shamir、Leonard Adleman，三人名字的联名)算法、国密SM2非对称加密算法、3DES(TDEA，Triple Data Encryption Algorithm，三重数据加密算法)等。

进一步地，RSA是目前最有影响力和最常用的公钥加密算法，它能够抵抗到目前为止已知的绝大多数密码攻击，已被ISO推荐为公钥数据加密标准。SM2算法是一种较RSA更先进安全的算法，在我国商用密码体系中被用来替换RSA算法。如今只有短的RSA钥匙才可能被强力方式解破。到2008年为止，世界上还没有任何可靠的攻击RSA算法的方式。只要其钥匙的长度足够长，用RSA加密的信息实际上是不能被解破的。

3DES是DES(Data Encryption Standard，数据加密标准)加密算法的一种模式，使用3条56位的密钥对数据进行三次加密。DES是美国的一种由来已久的加密标准，使用对称密钥加密法，并于1981年被ANSI组织规范为ANSI X.3.92。DES使用56位密钥和密码块的方法，而在密码块的方法中，文本被分成64位大小的文本块然后再进行加密。比起最初的DES，3DES更为安全。

本实施例中，将用户敏感数据和载荷数据一起进行公钥加密，难以被第三方破解，有效保护用户敏感数据，防止用户敏感数据在网络传输过程中遭到泄露。

S143.基于载荷部和签名部，获取网络令牌。

具体地，经本实施例改造后的网络令牌生成方式：

Token＝BASE64(载荷部Payload)+加密算法(签名部Payload.Userinfo)

Userinfo即为用户敏感信息，在传输过程中经加密不会直接暴露。

本实施例中，通过给网络令牌中携带的用户敏感数据进行公钥加密，大大提升了网络令牌携带用户敏感数据的安全性。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

实施例2

图7示出与实施例1中网络令牌生成的方法一一对应的网络令牌生成的装置的原理框图。网络令牌是用于客户端和服务器双方之间传递安全信息的简洁的、URL安全的表述性声明规范。该网络令牌生成的装置应用在服务器。如图7所示，该网络令牌生成的装置包括获取登录请求模块110、进行身份认证模块120、生成载荷数据模块130、生成网络令牌模块140、和发送网络令牌模块150。其中，获取登录请求模块110、进行身份认证模块120、生成载荷数据模块130、生成网络令牌模块140和发送网络令牌模块150的实现功能与实施例1中网络令牌生成的方法对应的步骤一一对应，为避免赘述，本实施例不一一详述。

获取登录请求模块110，用于获取客户端发送的登录请求，登录请求包括终端ID和令牌有效性，令牌有效性包括初始值、有效和无效中的任一个。

进行身份认证模块120，用于若登录请求未携带网络令牌或者携带无效的网络令牌，则基于登录请求中的用户敏感数据进行身份认证。

生成载荷数据模块130，用于若身份认证通过，则生成载荷数据。

生成网络令牌模块140，用于基于载荷数据和用户敏感数据，生成带有令牌规则的网络令牌。

发送网络令牌模块150，用于将所述终端ID、所述终端ID对应的令牌规则存储到数据库，并将所述网络令牌发送给所述客户端，以使所述终端ID对应的客户端发送的所有请求携带所述网络令牌。

优选地，如图7所示，网络令牌生成的装置还包括刷新网络令牌模块160、建立安全连接模块170、和再次发送请求模块180。其中，刷新网络令牌模块160、建立安全连接模块170、和再次发送请求模块180的实现功能与实施例1中网络令牌生成的方法对应的步骤一一对应，为避免赘述，本实施例不一一详述。

刷新网络令牌模块160，用于若令牌有效性为有效，则根据预设规则刷新网络令牌的令牌有效性。

建立安全连接模块170，用于若刷新网络令牌的令牌有效性后保持有效，与终端ID对应的客户端建立安全连接。

再次发送请求模块180，用于若刷新网络令牌的令牌有效性后变更为无效，给客户端发送响应信息，以提醒客户端向服务器再次发送登录请求。

优选地，如图7所示，刷新网络令牌模块160还包括获取网络令牌单元161、检测网络令牌单元162、维持有效性单元163、和刷新有效性单元164。其中，获取网络令牌单元161、检测网络令牌单元162、维持有效性单元163、和刷新有效性单元164的实现功能与实施例1中网络令牌生成的方法对应的步骤一一对应，为避免赘述，本实施例不一一详述。

获取网络令牌单元161，用于获取登记请求携带的网络令牌，和与登录请求的终端ID相对应的存储在数据库中的令牌规则。

检测网络令牌单元162，用于根据令牌规则检测网络令牌，判断网络令牌是否完全符合令牌规则。

维持有效性单元163，用于若网络令牌完全符合令牌规则，则维持令牌有效性为有效。

刷新有效性单元164，用于若网络令牌不完全符合令牌规则，则刷新令牌有效性为无效。

优选地，如图7所示，该网络令牌生成的装置还包括获取业务请求模块210、生成业务令牌模块220、刷新网络令牌模块230、响应业务请求模块240和发送提示信息模块250。其中，获取业务请求模块210、生成业务令牌模块220、刷新网络令牌模块230、响应业务请求模块240和发送提示信息模块250的实现功能与实施例1中网络令牌生成的方法对应的步骤一一对应，为避免赘述，本实施例不一一详述。

获取业务请求模块210，用于获取客户端发送的业务请求，业务请求包括业务请求信息和令牌有效性。

生成业务令牌模块220，用于若业务请求的令牌有效性为初始值或者无效，则生成网络令牌。

刷新网络令牌模块230，用于若令牌有效性为有效，则根据预设规则刷新网络令牌的令牌有效性。

响应业务请求模块240，用于若业务请求的令牌有效性为有效，则响应业务请求信息。

发送提示信息模块250，用于若业务请求的令牌有效性为无效时，则给客户端发送提示信息，以提醒客户端向服务器再次发送业务请求。

优选地，如图7所示，生成载荷数据模块130还包括获取登录状态单元131和获取载荷数据单元132。其中，获取登录状态单元131和获取载荷数据单元132的实现功能与实施例1中网络令牌生成的方法对应的步骤一一对应，为避免赘述，本实施例不一一详述。

获取登录状态单元131，用于若身份认证通过，则通过客户端的登录请求，获取客户端的登录状态。

获取载荷数据单元132，用于基于所述客户端的登录状态，获取载荷数据。

优选地，如图7所示，生成网络令牌模块140还包括获取载荷部单元141、获取签名部单元142、获取网络令牌单元143。其中，获取载荷部单元141、获取签名部单元142、获取网络令牌单元143的实现功能与实施例1中网络令牌生成的方法对应的步骤一一对应，为避免赘述，本实施例不一一详述。

获取载荷部单元141，用于采用BASE64编码算法对所述载荷数据进行编码，获取载荷部。

获取签名部单元142，用于采用预设公钥算法对用户敏感数据和载荷数据进行加密，获取签名部。

获取网络令牌单元143，用于基于载荷部和签名部，获取网络令牌。

优选地，如图7所示，该网络令牌生成的装置还包括设置初始值模块260。其中，设置初始值模块260的实现功能与实施例1中网络令牌生成的方法对应的步骤一一对应，为避免赘述，本实施例不一一详述。

设置初始值模块260，用于将首次发送登录请求的令牌有效性设置为初始值。

实施例3

本实施例提供一计算机可读存储介质，该计算机可读存储介质上存储有计算机可读指令，该计算机可读指令被处理器执行时实现实施例1中网络令牌生成的方法，为避免重复，这里不再赘述。或者，该计算机可读指令被处理器执行时实现实施例2中网络令牌生成的装置中各模块/单元的功能，为避免重复，这里不再赘述。

所述计算机可读存储介质可以包括：能够携带所述计算机可读指令代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。

实施例4

图8是本申请一实施例提供的网络令牌生成的终端设备的示意图。如图8所示，该实施例的网络令牌生成的终端设备800包括：处理器810、存储器820以及存储在存储器820 中并可在处理器810上运行的计算机可读指令830，例如网络令牌生成的程序。处理器810执行计算机可读指令830时实现上述实施例1中网络令牌生成的方法的步骤，例如图1所示的步骤S110至S150。或者，处理器810执行计算机可读指令830时实现上述实施例2中网络令牌生成的装置中各模块/单元的功能，例如图7所示获取登录请求模块110至发送网络令牌模块150的功能。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。

以上所述实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。

Claims

一种网络令牌生成的方法,其特征在于，包括如下步骤：

获取客户端发送的登录请求，所述登录请求包括终端ID和令牌有效性，所述令牌有效性包括初始值、有效和无效中的任一个；

若所述令牌有效性为初始值或者无效，则基于所述登录请求中的用户敏感数据进行身份认证；

若身份认证通过，则生成载荷数据；

基于所述载荷数据和所述用户敏感数据，生成带有令牌规则的网络令牌，将令牌有效性设置为有效；

将所述终端ID、所述终端ID对应的令牌规则存储到数据库，并将所述网络令牌发送给所述客户端，以使所述终端ID对应的客户端发送的所有请求携带所述网络令牌。
如权利要求1所述的网络令牌生成的方法，其特征在于，在所述获取客户端发送的登录请求的步骤之后，所述网络令牌生成的方法还包括：

若所述令牌有效性为有效，则根据预设规则刷新所述网络令牌的令牌有效性；

若所述刷新所述网络令牌的令牌有效性后保持有效，与所述终端ID对应的客户端建立安全连接；

若所述刷新所述网络令牌的令牌有效性后变更为无效，给所述客户端发送响应信息，以提醒客户端向服务器再次发送登录请求。
如权利要求2所述的网络令牌生成的方法，其特征在于，则刷新所述网络令牌的令牌有效性，包括：

获取与所述登录请求的终端ID相对应的存储在所述数据库中的令牌规则；

根据所述令牌规则检测所述网络令牌，判断所述网络令牌是否完全符合所述令牌规则；

若所述网络令牌完全符合所述令牌规则，则维持所述令牌有效性为有效；

若所述网络令牌不完全符合所述令牌规则，则刷新所述令牌有效性为无效。
如权利要求1所述的网络令牌生成的方法，其特征在于，所述网络令牌生成的方法还包括：

获取客户端发送的业务请求，所述业务请求包括业务请求信息和令牌有效性；

若所述业务请求的令牌有效性为初始值或者无效，则生成所述网络令牌；

若所述令牌有效性为有效，则根据预设规则刷新所述网络令牌的令牌有效性；

若所述业务请求的令牌有效性为有效，则响应所述业务请求信息；

若所述业务请求的令牌有效性为无效时，则给所述客户端发送提示信息，以提醒所述客户端向服务器再次发送所述业务请求。
如权利要求1所述的网络令牌生成的方法，其特征在于，所述若身份认证通过，则生成载荷数据，包括：

若身份认证通过，则通过所述客户端的登录请求，获取所述客户端的登录状态；

基于所述客户端的登录状态，获取载荷数据。
如权利要求1所述的网络令牌生成的方法，其特征在于，所述基于所述载荷数据和所述用户敏感数据，生成带有令牌规则的网络令牌，包括：

采用BASE64编码算法对所述载荷数据进行编码，获取载荷部；

采用预设公钥算法对所述用户敏感数据和所述载荷数据进行加密，获取签名部；

基于所述载荷部和所述签名部，获取网络令牌。
如权利要求1所述的网络令牌生成的方法，其特征在于，所述获取客户端发送的登录请求的步骤之前，所述网络令牌生成的方法还包括：

将首次发送所述登录请求的令牌有效性设置为初始值。
一种网络令牌生成的装置,其特征在于，包括：

获取登录请求模块，用于获取客户端发送的登录请求，所述登录请求包括终端ID和令牌有效性，所述令牌有效性包括初始值、有效和无效中的任一个；

进行身份认证模块，用于若所述登录请求未携带网络令牌或者携带无效的网络令牌，则基于所述登录请求中的用户敏感数据进行身份认证；

生成载荷数据模块，用于若身份认证通过，则生成载荷数据；

生成网络令牌模块，用于基于所述载荷数据和所述用户敏感数据，生成带有令牌规则的网络令牌；

发送网络令牌模块，用于将所述终端ID、所述终端ID对应的令牌规则存储到数据库，并将所述网络令牌发送给所述客户端，以使所述终端ID对应的客户端发送的所有请求携带所述网络令牌。
一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机可读指令，其特征在于，所述处理器执行所述计算机可读指令时实现如下步骤：

获取客户端发送的登录请求，所述登录请求包括终端ID和令牌有效性，所述令牌有效性包括初始值、有效和无效中的任一个；

若所述令牌有效性为初始值或者无效，则基于所述登录请求中的用户敏感数据进行身份认证；

若身份认证通过，则生成载荷数据；

基于所述载荷数据和所述用户敏感数据，生成带有令牌规则的网络令牌，将令牌有效性设置为有效；

将所述终端ID、所述终端ID对应的令牌规则存储到数据库，并将所述网络令牌发送给所述客户端，以使所述终端ID对应的客户端发送的所有请求携带所述网络令牌。
如权利要求9所述的终端设备，其特征在于，在所述获取客户端发送的登录请求的步骤之后，所述处理器执行所述计算机可读指令时还实现如下步骤：

若所述令牌有效性为有效，则根据预设规则刷新所述网络令牌的令牌有效性；

若所述刷新所述网络令牌的令牌有效性后保持有效，与所述终端ID对应的客户端建立安全连接；

若所述刷新所述网络令牌的令牌有效性后变更为无效，给所述客户端发送响应信息，以提醒客户端向服务器再次发送登录请求。
如权利要求10所述的终端设备，其特征在于，则刷新所述网络令牌的令牌有效性，包括：

获取与所述登录请求的终端ID相对应的存储在所述数据库中的令牌规则；

根据所述令牌规则检测所述网络令牌，判断所述网络令牌是否完全符合所述令牌规则；

若所述网络令牌完全符合所述令牌规则，则维持所述令牌有效性为有效；

若所述网络令牌不完全符合所述令牌规则，则刷新所述令牌有效性为无效。
如权利要求9所述的终端设备，其特征在于，所述网络令牌生成的方法还包括：

获取客户端发送的业务请求，所述业务请求包括业务请求信息和令牌有效性；

若所述业务请求的令牌有效性为初始值或者无效，则生成所述网络令牌；

若所述令牌有效性为有效，则根据预设规则刷新所述网络令牌的令牌有效性；

若所述业务请求的令牌有效性为有效，则响应所述业务请求信息；

若所述业务请求的令牌有效性为无效时，则给所述客户端发送提示信息，以提醒所述客户端向服务器再次发送所述业务请求。
如权利要求9所述的终端设备，其特征在于，所述若身份认证通过，则生成载荷数据，包括：

若身份认证通过，则通过所述客户端的登录请求，获取所述客户端的登录状态；

基于所述客户端的登录状态，获取载荷数据。
如权利要求9所述的终端设备，其特征在于，所述基于所述载荷数据和所述用户敏感数据，生成带有令牌规则的网络令牌，包括：

采用BASE64编码算法对所述载荷数据进行编码，获取载荷部；

采用预设公钥算法对所述用户敏感数据和所述载荷数据进行加密，获取签名部；

基于所述载荷部和所述签名部，获取网络令牌。
一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可读指令，其特征在于，所述计算机可读指令被处理器执行时实现下步骤：

获取客户端发送的登录请求，所述登录请求包括终端ID和令牌有效性，所述令牌有效性包括初始值、有效和无效中的任一个；

若所述令牌有效性为初始值或者无效，则基于所述登录请求中的用户敏感数据进行身份认证；

若身份认证通过，则生成载荷数据；

基于所述载荷数据和所述用户敏感数据，生成带有令牌规则的网络令牌，将令牌有效性设置为有效；

将所述终端ID、所述终端ID对应的令牌规则存储到数据库，并将所述网络令牌发送给所述客户端，以使所述终端ID对应的客户端发送的所有请求携带所述网络令牌。
如权利要求15所述的计算机可读存储介质，其特征在于，在所述获取客户端发送的登录请求的步骤之后，所述计算机可读指令被处理器执行时还实现下步骤：

若所述令牌有效性为有效，则根据预设规则刷新所述网络令牌的令牌有效性；

若所述刷新所述网络令牌的令牌有效性后保持有效，与所述终端ID对应的客户端建立安全连接；

若所述刷新所述网络令牌的令牌有效性后变更为无效，给所述客户端发送响应信息，以提醒客户端向服务器再次发送登录请求。
如权利要求16所述的计算机可读存储介质，其特征在于，则刷新所述网络令牌的令牌有效性，包括：

获取与所述登录请求的终端ID相对应的存储在所述数据库中的令牌规则；

根据所述令牌规则检测所述网络令牌，判断所述网络令牌是否完全符合所述令牌规则；

若所述网络令牌完全符合所述令牌规则，则维持所述令牌有效性为有效；

若所述网络令牌不完全符合所述令牌规则，则刷新所述令牌有效性为无效。
如权利要求15所述的计算机可读存储介质，其特征在于，所述网络令牌生成的方法还包括：

获取客户端发送的业务请求，所述业务请求包括业务请求信息和令牌有效性；

若所述业务请求的令牌有效性为初始值或者无效，则生成所述网络令牌；

若所述令牌有效性为有效，则根据预设规则刷新所述网络令牌的令牌有效性；

若所述业务请求的令牌有效性为有效，则响应所述业务请求信息；

若所述业务请求的令牌有效性为无效时，则给所述客户端发送提示信息，以提醒所述客户端向服务器再次发送所述业务请求。
如权利要求15所述的计算机可读存储介质，其特征在于，所述若身份认证通过，则生成载荷数据，包括：

若身份认证通过，则通过所述客户端的登录请求，获取所述客户端的登录状态；

基于所述客户端的登录状态，获取载荷数据。
如权利要求15所述的计算机可读存储介质，其特征在于，所述基于所述载荷数据和所述用户敏感数据，生成带有令牌规则的网络令牌，包括：

采用BASE64编码算法对所述载荷数据进行编码，获取载荷部；

采用预设公钥算法对所述用户敏感数据和所述载荷数据进行加密，获取签名部；

基于所述载荷部和所述签名部，获取网络令牌。