WO2020173019A1

WO2020173019A1 - 访问凭证验证方法、装置、计算机设备及存储介质

Info

Publication number: WO2020173019A1
Application number: PCT/CN2019/091903
Authority: WO
Inventors: 邹陈波
Original assignee: 平安科技（深圳）有限公司
Priority date: 2019-02-27
Filing date: 2019-06-19
Publication date: 2020-09-03
Also published as: CN109992976A

Abstract

一种访问凭证验证方法、装置、设备及存储介质，该方法包括：获取客户端访问请求中访问目的对应的访问码；然后根据访问码以及客户端的特征信息生成访问凭证并发客户端；之后获取客户端的访问指令；根据访问指令中访问目的对应的访问码以及特征信息生成验证凭证；若验证凭证与访问指令中的访问凭证一致，则访问指令通过验证。

Description

访问凭证验证方法、装置、计算机设备及存储介质

本申请要求于2019年2月27日提交中国专利局、申请号为201910145579.3、发明名称为“访问凭证验证方法、装置、计算机设备及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及身份认证技术领域，尤其涉及一种访问凭证验证方法、装置、计算机设备及存储介质。

背景技术

在云服务器上存储着某一种类型的数据文件，数据文件的所有者可以分享给指定的第三方。

目前常用的数据共享的方式一般采用基于用户名密码访问的方式，存在以下缺陷：如果用户名密码过于简单，容易被恶意的第三方破解；如果数据文件所有者，通过分配用户名密码的方式将数据分享给了A，但是无法保障A不会泄露用户名密码给其他人B，这是文件所有者不希望发生的；如果用户A通过正常的渠道得到了某个数据文件的访问链接，但是该链接不小心被泄露，则会造成数据文件的隐私泄露。

发明内容

本申请实施例提供一种访问凭证验证方法、装置、计算机设备及存储介质，防止通过窃取、篡改或伪造的访问凭证访问文件，更好的保证了数据的隐私性。

第一方面，本申请提供了一种访问凭证验证方法，所述方法包括：

获取客户端发送的访问请求，所述访问请求包括访问目的；

获取所述访问目的对应的访问码；

根据所述访问码以及所述客户端的特征信息生成访问凭证；

将生成的访问凭证发送给所述客户端；

获取客户端发送的访问指令，所述访问指令包括所述访问目的、所述客户端的特征信息以及所述访问凭证；

根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证；

若所述验证凭证与所述访问指令中的访问凭证一致，则所述访问指令通过验证。

第二方面，本申请提供了一种访问凭证验证装置，所述装置包括：

第一获取模块，用于获取客户端发送的访问请求，所述访问请求包括访问目的；

第二获取模块，用于获取所述访问目的对应的访问码；

第一生成模块，用于根据所述访问码以及所述客户端的特征信息生成访问凭证；

发送模块，用于将生成的访问凭证发送给所述客户端；

第三获取模块，用于获取客户端发送的访问指令，所述访问指令包括所述访问目的、所述客户端的特征信息以及所述访问凭证；

第二生成模块，用于根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证；

验证模块，用于若所述验证凭证与所述访问指令中的访问凭证一致，则所述访问指令通过验证。

第三方面，本申请提供了一种计算机设备，所述计算机设备包括存储器和处理器；所述存储器用于存储计算机程序；所述处理器，用于执行所述计算机程序并在执行所述计算机程序时实现上述的访问凭证验证方法。

第四方面，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，若所述计算机程序被处理器执行，实现上述的访问凭证验证方法。

本申请公开了一种访问凭证验证方法、装置、设备及存储介质，通过根据客户端所请求文件对应的访问码，以及客户端的特征信息生成和验证访问凭证，防止通过窃取、篡改或伪造的访问凭证访问该文件；例如将根据访问码和客户端的公钥和/或过期时间计算出的哈希值作为客户端的访问凭证，可以防止某一客户端的访问凭证被其他客户端窃取后仍然可以通过验证，避免访问凭证被有意或是无意的泄露，更好的保证了数据的隐私性。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请一实施例的访问凭证验证方法的流程示意图；

图2为本申请的访问凭证验证方法的应用场景示意图；

图3为本申请另一实施例的访问凭证验证方法的流程示意图；

图4为本申请再一实施例的访问凭证验证方法的流程示意图；

图5为本申请又一实施例的访问凭证验证方法的流程示意图；

图6为本申请又一实施例的访问凭证验证方法的流程示意图；

图7为本申请又一实施例的访问凭证验证方法的流程示意图；

图8为本申请又一实施例的访问凭证验证方法的流程示意图；

图9为本申请一实施例的访问凭证验证装置的结构示意图；

图10为本申请另一实施例的访问凭证验证装置的结构示意图；

图11为本申请再一实施例的访问凭证验证装置的结构示意图；

图12为本申请一实施例提供的一种计算机设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

附图中所示的流程图仅是示例说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解、组合或部分合并，因此实际执行的顺序有可能根据实际情况改变。另外，虽然在装置示意图中进行了功能模块的划分，但是在某些情况下，可以以不同于装置示意图中的模块划分。

本申请的实施例提供了一种访问凭证验证方法、装置、设备及存储介质。其中，该访问凭证验证方法可以应用于服务器中，以验证客户端是否具有相应的权限。

例如，访问凭证验证方法用于下载服务器，当然也可以用于网站访问控制、数据查询等场景。但为了便于理解，以下实施例将以客户端向服务器请求服务器管理的某文件这一场景进行详细介绍。

在本实施例中，服务器预先存储有文件的存储地址、与文件对应的文件标识以及与文件对应的唯一且固定的访问码。

例如，服务器对某一文件存储的信息，用以下JSON格式来表示：

"external_data":{

"server":"http://download.pinganyun.com/image/"，

"uid":"ca0aeab7360a9dc6a29a-2aae6c35c94…08b9ce91ee846ed",

"access_code":"d6b0d82cea4269b51572b8fab43adcee9fc3cf9a"

}

其中"server"：表示存储该文件的存储地址，例如为存储该文件的服务器的地址。

"uid"：表示该文件的文件标识，为该文件在服务器上的与该文件对应的唯一标识。

"access_code"：表示该文件唯一且固定的访问码，示例性的，访问码不对客户端公开。

在一些实施例中，服务器对各文件存储的信息可以单独放在一个用于对客户端进行验证、发放凭证的服务器中，而文件放置在其他专用于存储数据的服务器中，文件的存储地址即该文件在专用于存储数据的服务器中的地址。在另一些实施例中，文件和文件存储的信息位于同一个服务器中。

下面结合附图，对本申请的一些实施方式作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

请参阅图1，图1是本申请的实施例提供的一种访问凭证验证方法的流程示意图，访问凭证验证方法用于服务器。

如图2所示，客户端向服务器请求服务器管理的某文件。

如图1所示，访问凭证验证方法包括以下步骤：

步骤S110、服务器获取客户端发送的访问请求，所述访问请求包括访问目的。

客户端可以向服务器发送相应的访问请求，例如可以向服务器请求访问某一文件。

在一些实施例中，所述访问目的包括所述客户端请求访问的网络地址和/或所述客户端所请求访问文件的文件标识。

示例性的，客户端访问某一文件的存储地址，如客户端直接访问http://download.pinganyun.com/image/，服务器可以侦测到客户端发送的访问请求。

在另一些实施例中，客户端向服务器请求访问某一文件的存储地址，如客户端将包括存储地址http://download.pinganyun.com/image/的访问请求发送给服务器。

在其他一些实施例中，客户端向服务器发送包含某文件标识的访问请求，如包含文件标识即uid为ca0aeab7360a9dc6a29a-2aae6c35c94…08b9ce91ee846ed的访问请求给服务器。

步骤S120、服务器获取所述访问目的对应的访问码。

服务器根据客户端发送的访问请求中的访问目的，如文件的存储地址和/或与文件对应的文件标识，就可以根据服务器对该文件存储的信息查询到和该文件的存储地址和/或与该文件对应的文件标识对应的访问码，例如访问码access_code为：d6b0d82cea4269b51572b8fab43adcee9fc3cf9a。

步骤S130、服务器根据所述访问码以及所述客户端的特征信息生成访问凭证。

在一些实施例中，所述客户端的特征信息包括所述客户端的公钥。

示例性的，客户端向服务器请求某一文件时，还将客户端的公钥证书发送给服务器，从而服务器可以获取该客户端的公钥。例如，步骤S110中服务器获取客户端发送的访问请求还包括该客户端的公钥。

示例性的，客户端向服务器请求某一文件时，还将在客户端上登录用户的账户对应的公钥证书发送给服务器，从而服务器可以获取该客户端的公钥。客户端的公钥可以为服务器为相应客户端发放的公钥，也可以为服务器为某一账户发放的公钥，该账户登录某一非特定的客户端后，该公钥作为该客户端的公钥。

示例性的，客户端向服务器请求某一文件时，还将在客户端上登录用户的账户等信息发送给服务器，服务器根据用户的账户等信息查询对应的公钥证书。

在一些可行的实施例中，如图3所示，步骤S130服务器根据所述访问码以及所述客户端的特征信息生成访问凭证，具体包括以下步骤：

步骤S131、服务器根据所述访问码以及所述客户端的公钥生成访问凭证。

示例性的，服务器根据该文件对应的访问码以及该客户端的公钥一起计算出一个哈希值，将计算出的哈希值作为该客户端访问该文件的访问凭证。

具体的，服务器生成的访问凭证access_key＝SHA1(access_code+certificate)，其中access_code表示该文件的访问码，certificate表示该客户端的公钥。服务器生成的访问凭证是和客户端所请求的具体文件的访问码access_code，以及具体的客户端的公钥certificate相关的，可以防止伪造的客户端访问文件。

由于客户端或者不同账户的公钥证书的唯一性，即不同的客户端或者不同的账户对应的公钥证书均不同；因此不同的客户端或者不同的账户访问同一文件的存储地址，或者请求访问同一文件时，服务器根据客户端的公钥计算出的访问凭证都是不一样的。

步骤S140、服务器将生成的访问凭证发送给所述客户端。

在一些可行的实施例中，如果同一客户端多次向服务器请求同一文件，每一次都需要客户端向服务器发送访问请求以获取服务器生成的访问凭证，即服务器每次都执行上述步骤S110-S140，可以认为该访问凭证是一次性的；在另一些可行的实施例中，同一客户端向服务器请求同一文件时，可以重复利用先前请求该文件时获取的服务器生成的访问凭证，从而服务器不需要每次都执行上述步骤S110-S140。

步骤S150、服务器获取客户端发送的访问指令，所述访问指令包括所述访问目的、所述客户端的特征信息以及所述访问凭证。

客户端得到服务器生成的访问凭证access_key_1后，就可以去服务器访问该访问凭证access_key_1对应的文件了。

客户端需要向服务器请求某一文件时，调取从服务器获取的相应的访问凭证以访问该文件。一般的，访问指令中的访问凭证为从服务器获取的访问凭证本身。但是如果将从服务器获取的访问凭证篡改后作为访问指令中的访问凭证，或者伪造访问指令中的访问凭证，则访问指令中的访问凭证与从服务器获取的访问凭证不一致。

在一些实施例中，访问指令中的访问目的包括所述客户端请求访问的网络地址和/或所述客户端所请求访问文件的文件标识。

示例性的，客户端访问某一文件的存储地址，如客户端直接访问http://download.pinganyun.com/image/，服务器可以侦测到客户端发送的访问指令。

在另一些实施例中，客户端向服务器请求访问某一文件的存储地址，如客户端将包括存储地址http://download.pinganyun.com/image/的访问指令发送给服务器。

在其他一些实施例中，客户端向服务器发送包含某文件标识的访问指令，如包含文件标识即uid为ca0aeab7360a9dc6a29a-2aae6c35c94…08b9ce91ee846ed的访问指令给服务器。

步骤S160、服务器根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证。

服务器根据客户端发送的访问指令中的访问目的，如文件的存储地址和/或与文件对应的文件标识查询到和该文件的存储地址和/或与该文件对应的文件标识对应的访问码，例如d6b0d82cea4269b51572b8fab43adcee9fc3cf9a。

在一些实施例中，步骤S150服务器获取的访问指令中客户端的特征信息包括所述客户端的公钥。如图3所示，步骤S160服务器根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证，具体包括以下步骤：

步骤S161、服务器根据所述访问目的对应的访问码以及访问指令中所述客户端的公钥生成验证凭证。

示例性的，服务器根据访问指令中访问目对应的访问码以及该客户端的公钥一起计算出一个哈希值，将计算出的这个哈希值作为用于验证该客户端是否可以访问该文件的验证凭证。

步骤S170、若所述验证凭证与所述访问指令中的访问凭证一致，则所述访问指令通过验证。

如果服务器生成的验证凭证和访问指令中的访问凭证一致，则表示该访问指令中的访问凭证确实属于该客户端或者相应的账户，则该访问指令通过验证，该客户端可以访问该文件，例如可以读取、修改、移动、删除该文件；如果服务器生成的验证凭证和访问指令中的访问凭证不一致，则访问凭证被篡改或者是伪造的，这一访问指令未通过验证，服务器拒绝该客户端访问该文件。

因为不同客户端的特征信息，如公钥证书是不同的，因此同一个文件对于不同客户端的访问凭证是不同的，哈希计算之后的访问凭证必然也不同。即便拿到了其他人的访问凭证，在使用该访问凭证请求数据时，也很难提供与该访问凭证对应的特征信息，如公钥证书，则访问凭证的验证无法通过。例如，第三方在获取到其他客户端的访问凭证后附带自己的公钥证书发起访问指令，那么，服务器重算的验证凭证一定不会与客户端访问指令中的访问凭证匹配；因为哈希计算中使用的公钥不一样。

上述实施例提供的访问凭证验证方法，通过根据客户端所请求文件对应的访问码，以及客户端的特征信息生成和验证访问凭证，防止通过窃取、篡改或伪造的访问凭证访问该文件；例如将根据访问码和客户端的公钥计算出的哈希值作为客户端的访问凭证，可以防止某一客户端的访问凭证被其他客户端窃取后仍然可以通过验证，避免访问凭证被有意或是无意的泄露，更好的保证了数据的隐私性。

在一些实施例中，步骤S110中服务器获取客户端发送的访问请求还包括该客户端的公钥。如图4所示，在步骤S110服务器获取客户端发送的访问请求之后，如在步骤S120服务器获取所述访问目的对应的访问码之前，还包括以下步骤：

步骤S101、服务器根据所述访问请求中所述客户端的公钥验证所述客户端是否合法。

示例性的，服务器验证公钥的签发机构是否可信任。若步骤S101验证所述客户端合法，则执行步骤S120。若不合法，则无需执行后续步骤。

在一些实施例中，步骤S150中服务器从客户端获取的访问指令还包括所述客户端的私钥签名。示例性的，客户端用自己的私钥证书对访问指令进行签名。

例如，访问指令可以是：

POST/v1/image/data HTTP/1.1

Accept:application/json

Content-Length:676

Content-Type:application/json

Signature:3ff7af79177cae……121825582eb8a4a11d

{

"image_uid":"ca0aeab7360a9dc6a29a-2aae6c35c94…08b9ce91ee846ed",

"access_key":"d6b0d82cea4269b51572b8fab43adcee9fc3cf9a",

"certificate":tLS1CRUdJTiBDakNDQVVHZ0F3SUJBZ…＝＝"

}

其中，image_uid为文件的该文件的文件标识，access_key为客户端独一无二的该文件的读取凭证，即访问凭证，certificate为该客户端的公钥；在该访问指令的头部，有一个字段Signature，表示客户端用自己的私钥证书对整个HTTP请求的请求体BODY，即访问指令进行了签名。

示例性的，服务器为客户端分配公匙和私匙，公匙代表客户端身份并对应唯一的私匙。

在一些实施例中，如图5所示，在步骤S150服务器获取客户端发送的访问指令之后，如步骤S160服务器根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证之前，还包括以下步骤：

步骤S102、服务器根据所述访问指令中所述客户端的公钥验证所述私钥签名是否正确。

若正确则该访问指令没有被篡改，可以进行后续步骤，如步骤S160；若不正确则拒绝访问，不执行后续步骤。

第三方如果在窃取某客户端的合法的访问凭证以及与该访问凭证对应的客户端的公钥发起访问指令，并用自己的私钥进行签名；由于整个访问指令中的私钥签名与该公钥是不匹配的，即使可以重算出匹配的验证凭证也无法通过私钥签名的验证。因为任何人的私钥是不会公开的，第三方的公私钥不匹配。

在另一些可行的实施例中，所述客户端的特征信息包括所述客户端的过期时间。

具体的，客户端或账户对应的过期时间预先保存在服务器中或者由服务器规定。例如，文件所有者和/或服务器方预先商定了客户端存储或使用该文件的过期时间，服务器保存了这些信息；或者服务器根据文件所有者或者客户端使用者的业务情况，如按次付费，包月，包年等制定了客户端的过期时间。

示例性的，文件所有者订购了包月服务将一个文件存放于服务器，供自己或其他人访问，则客户端的过期时间为订购后一个月到期时的时间。又例如，客户端使用者按次付费，则客户端的过期时间为该次业务到期的时间。

在一些可行的实施例中，如图6所示，步骤S130服务器根据所述访问码以及所述客户端的特征信息生成访问凭证，具体包括以下步骤：

步骤S132、服务器根据所述访问码以及所述客户端的过期时间生成访问凭证。

示例性的，服务器根据该文件对应的访问码以及该客户端的过期时间一起计算出一个哈希值，将计算出的哈希值作为该客户端访问该文件的访问凭证。

具体的，服务器生成的访问凭证access_key＝SHA1(access_code+expire_time)，其中access_code表示该文件的访问码，expire_time表示该客户端的过期时间。服务器生成的访问凭证是和客户端所请求的具体文件的访问码access_code，以及客户端的过期时间expire_time相关的，可以防止客户端利用被篡改或伪造的过期时间访问文件。

在一些实施例中，访问凭证验证方法还包括以下步骤：将与所述访问凭证对应的过期时间发送给所述客户端。

示例性的，客户端可以以明文的方式将该过期时间展示给用户，以提示用户关注可以访问该文件的时间，如提示用户及时续费。

在本实施例中，步骤S150服务器获取的访问指令中客户端的特征信息包括客户端发送的过期时间expire_time。

例如，访问指令可以是：

{

"image_uid":"ca0aeab7360a9dc6a29a-2aae6c35c94…08b9ce91ee846ed",

"access_key":"d6b0d82cea4269b51572b8fab43adcee9fc3cf9a",

"expire_time":"1538097133"

}

其中，image_uid为文件的该文件的文件标识，access_key为访问凭证，expire_time为客户端的过期时间。

在本实施例中，如图6所示，步骤S160服务器根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证，具体包括以下步骤：

步骤S162、服务器根据所述访问目的对应的访问码以及访问指令中所述客户端的过期时间生成验证凭证。

示例性的，服务器根据访问码以及该过期时间一起计算出一个哈希值，将计算出的这个哈希值作为用于验证该客户端访问该文件的验证凭证。如果步骤S170中该验证凭证和访问指令中的访问凭证一致，则表示该访问指令中的访问凭证确实属于该客户端或者相应的账户，则该访问指令通过验证，该客户端可以访问该文件，例如可以读取、修改、移动、删除该文件；如果生成的验证凭证和访问指令中的访问凭证不一致，则访问凭证被篡改或者是伪造的，过期时间可能被篡改，这一访问指令未通过验证，服务器拒绝该客户端访问该文件。

上述实施例提供的访问凭证验证方法，通过根据客户端所请求文件对应的访问码，以及客户端的过期时间这一特征信息生成和验证访问凭证，防止通过窃取、篡改或伪造的访问凭证访问该文件；例如，如果访问凭证中的过期时间access_key过期，客户端企图通过修改过期时间来继续使用访问凭证，由于客户端不知道该文件的访问码，因此无法根据修改后的过期时间重新生成合法的访问凭证，则不能通过验证。

在一些实施例中，如图7所示，在步骤S150服务器获取客户端发送的访问指令之后，如步骤S160服务器根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证之前，还包括以下步骤：

步骤S103、服务器根据所述访问指令中所述客户端的过期时间判断所述访问凭证是否过期。

若未过期，执行步骤S160；若已过期，拒绝所述客户端访问该文件，也无需生成验证凭证。

在另一些可行的实施例中，客户端的特征信息既包括所述客户端的公钥，也包括客户端的过期时间。

如图8所示，步骤S130服务器根据所述访问码以及所述客户端的特征信息生成访问凭证，具体包括以下步骤：

步骤S133、服务器根据所述访问码以及所述客户端的公钥和过期时间生成访问凭证。

示例性的，服务器根据访问码access_code和客户端的公钥certificate，以及过期时间expire_time一起计算出一个哈希值，将计算出的哈希值发送给该客户端作为客户端的访问凭证；既可以防止伪造的客户端访问文件，也可以防止客户端利用被篡改或伪造的过期时间访问文件。

具体的，access_key＝SHA1(access_code+certificate+expire_time)。

如图8所示，步骤S160服务器根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证，具体包括以下步骤：

步骤S163、服务器根据所述访问目的对应的访问码以及访问指令中所述客户端的公钥和过期时间生成验证凭证。

上述实施例提供的访问凭证验证方法，通过根据客户端所请求文件对应的访问码，以及客户端的公钥和过期时间这两个特征信息生成和验证访问凭证，防止通过窃取、篡改或伪造的访问凭证访问该文件，安全性更高。

请参阅图9，图9是本申请一实施例提供的一种访问凭证验证装置的结构示意图，该访问凭证验证装置可以配置于服务器中，用于执行前述的访问凭证验证方法。

如图9所示，该访问凭证验证装置包括：

第一获取模块110，用于获取客户端发送的访问请求，所述访问请求包括访问目的。

具体的，所述访问目的包括所述客户端请求访问的网络地址和/或所述客户端所请求访问文件的文件标识。

第二获取模块120，用于获取所述访问目的对应的访问码。

第一生成模块130，用于根据所述访问码以及所述客户端的特征信息生成访问凭证。

具体的，所述客户端的特征信息包括所述客户端的公钥和/或所述客户端的过期时间。

具体的，第一生成模块130根据所述访问码以及所述客户端的公钥和/或所述客户端的过期时间生成访问凭证。

发送模块140，用于将生成的访问凭证发送给所述客户端。

第三获取模块150，用于获取客户端发送的访问指令，所述访问指令包括所述访问目的、所述客户端的特征信息以及所述访问凭证。

第二生成模块160，用于根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证。

具体的，第二生成模块160根据所述访问目的对应的访问码以及访问指令中所述客户端的公钥和/或访问指令中所述客户端的过期时间生成验证凭证。

验证模块170，用于若所述验证凭证与所述访问指令中的访问凭证一致，则所述访问指令通过验证。

在一些可行的实施例中，第一获取模块110获取的客户端发送的访问请求还包括所述客户端的公钥。如图10所示，访问凭证验证装置还包括：

第一验证单元101、用于根据所述访问请求中所述客户端的公钥验证所述客户端是否合法。

若合法，第二获取模块120获取所述访问目的对应的访问码。

在一些可行的实施例中，第三获取模块150获取的客户端发送的访问指令还包括所述客户端的私钥签名。如图10所示，访问凭证验证装置还包括：

第二验证单元102、用于根据所述访问指令中所述客户端的公钥验证所述私钥签名是否正确。

若正确，第二生成模块160根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证。

在一些可行的实施例中，如图11所示，访问凭证验证装置还包括：

第三验证单元103、用于根据所述访问指令中所述客户端的过期时间判断所述访问凭证是否过期。

若未过期，第二生成模块160根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证。

需要说明的是，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的装置和各模块、单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本申请的方法、装置可用于众多通用或专用的计算系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。

示例性的，上述的方法、装置可以实现为一种计算机程序的形式，该计算机程序可以在如图12所示的计算机设备上运行。

请参阅图12，图12是本申请实施例提供的一种计算机设备的结构示意图。该计算机设备可以是服务器。

参阅图12，该计算机设备包括通过系统总线连接的处理器、存储器和网络接口，其中，存储器可以包括非易失性存储介质和内存储器。

非易失性存储介质可存储操作系统和计算机程序。该计算机程序包括程序指令，该程序指令被执行时，可使得处理器执行任意一种访问凭证验证方法。

处理器用于提供计算和控制能力，支撑整个计算机设备的运行。

内存储器为非易失性存储介质中的计算机程序的运行提供环境，该计算机程序被处理器执行时，可使得处理器执行任意一种访问凭证验证方法。

该网络接口用于进行网络通信，如发送分配的任务等。本领域技术人员可以理解，图12中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

应当理解的是，处理器可以是中央处理单元(Central Processing Unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

其中，在一个实施例中，所述处理器用于运行存储在存储器中的计算机程序，以实现本申请实施例提供的任一项访问凭证验证方法的步骤。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法，如：

一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序中包括程序指令，所述处理器执行所述程序指令，实现本申请实施例提供的任一项访问凭证验证方法。

其中，所述计算机可读存储介质可以是前述实施例所述的计算机设备的内部存储单元，例如所述计算机设备的硬盘或内存。所述计算机可读存储介质也可以是所述计算机设备的外部存储设备，例如所述计算机设备上配备的插接式硬盘，智能存储卡(Smart Media Card，SMC)，安全数字(Secure Digital，SD)卡，闪存卡(Flash Card)等。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims

一种访问凭证验证方法，包括：

获取客户端发送的访问请求，所述访问请求包括访问目的；

获取所述访问目的对应的访问码；

根据所述访问码以及所述客户端的特征信息生成访问凭证；

将生成的访问凭证发送给所述客户端；

获取客户端发送的访问指令，所述访问指令包括所述访问目的、所述客户端的特征信息以及所述访问凭证；

根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证；

若所述验证凭证与所述访问指令中的访问凭证一致，则所述访问指令通过验证。
如权利要求1所述的访问凭证验证方法，其中，所述访问目的包括所述客户端请求访问的网络地址和/或所述客户端所请求访问文件的文件标识。
如权利要求1所述的访问凭证验证方法，其中，所述客户端的特征信息包括所述客户端的公钥；

所述根据所述访问码以及所述客户端的特征信息生成访问凭证，具体包括：

根据所述访问码以及所述客户端的公钥生成访问凭证；

所述根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证，具体包括：

根据所述访问目的对应的访问码以及访问指令中所述客户端的公钥生成验证凭证。
如权利要求3所述的访问凭证验证方法，其中，所述访问请求还包括所述客户端的公钥；

所述获取所述访问目的对应的访问码之前，还包括：

根据所述访问请求中所述客户端的公钥验证所述客户端是否合法；

若合法，获取所述访问目的对应的访问码。
如权利要求3所述的访问凭证验证方法，其中，所述访问指令还包括所述客户端的私钥签名；

所述根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证之前，还包括：

根据所述访问指令中所述客户端的公钥验证所述私钥签名是否正确；

若正确，根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证。
如权利要求1-5中任一项所述的访问凭证验证方法，其中，所述客户端的特征信息包括所述客户端的过期时间；

所述根据所述访问码以及所述客户端的特征信息生成访问凭证，具体包括：

根据所述访问码以及所述客户端的过期时间生成访问凭证；

所述根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证，具体包括：

根据所述访问目的对应的访问码以及访问指令中所述客户端的过期时间生成验证凭证。
如权利要求6所述的访问凭证验证方法，其中，所述根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证之前，还包括：

根据所述访问指令中所述客户端的过期时间判断所述访问凭证是否过期；

若未过期，根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证。
一种访问凭证验证装置，包括：

第一获取模块，用于获取客户端发送的访问请求，所述访问请求包括访问目的；

第二获取模块，用于获取所述访问目的对应的访问码；

第一生成模块，用于根据所述访问码以及所述客户端的特征信息生成访问凭证；

发送模块，用于将生成的访问凭证发送给所述客户端；

第三获取模块，用于获取客户端发送的访问指令，所述访问指令包括所述访问目的、所述客户端的特征信息以及所述访问凭证；

第二生成模块，用于根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证；

验证模块，用于若所述验证凭证与所述访问指令中的访问凭证一致，则所述访问指令通过验证。
一种计算机设备，其中，所述计算机设备包括存储器和处理器；

所述存储器用于存储计算机程序；

所述处理器，用于执行所述计算机程序并在执行所述计算机程序时实现如下步骤：

获取客户端发送的访问请求，所述访问请求包括访问目的；

获取所述访问目的对应的访问码；

根据所述访问码以及所述客户端的特征信息生成访问凭证；

将生成的访问凭证发送给所述客户端；

获取客户端发送的访问指令，所述访问指令包括所述访问目的、所述客户端的特征信息以及所述访问凭证；

根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证；

若所述验证凭证与所述访问指令中的访问凭证一致，则所述访问指令通过验证。
根据权利要求9所述的计算机设备，其中，所述处理器在实现所述根据所述访问码以及所述客户端的特征信息生成访问凭证时，用于实现如下步骤：

根据所述访问码以及所述客户端的公钥生成访问凭证；

所述处理器在实现所述根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证时，用于实现如下步骤：

根据所述访问目的对应的访问码以及访问指令中所述客户端的公钥生成验证凭证。
根据权利要求10所述的计算机设备，其中，所述处理器在实现所述获取所述访问目的对应的访问码之前，还用于实现如下步骤：

根据所述访问请求中所述客户端的公钥验证所述客户端是否合法；

若合法，获取所述访问目的对应的访问码。
根据权利要求10所述的计算机设备，其中，所述处理器在实现所述根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证之前，还用于实现如下步骤：

根据所述访问指令中所述客户端的公钥验证所述访问请求中的私钥签名是否正确；

若正确，根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证。
根据权利要求9-12中任一项所述的计算机设备，其中，所述处理器在实现所述根据所述访问码以及所述客户端的特征信息生成访问凭证时，用于实现如下步骤：

根据所述访问码以及所述客户端的过期时间生成访问凭证；

所述处理器在实现所述根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证时，用于实现如下步骤：

根据所述访问目的对应的访问码以及访问指令中所述客户端的过期时间生成验证凭证。
根据权利要求13所述的计算机设备，其中，所述处理器在实现所述根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证之前，还用于实现如下步骤：

根据所述访问指令中所述客户端的过期时间判断所述访问凭证是否过期；

若未过期，根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证。
一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，若所述计算机程序被处理器执行，实现如下步骤：

获取客户端发送的访问请求，所述访问请求包括访问目的；

获取所述访问目的对应的访问码；

根据所述访问码以及所述客户端的特征信息生成访问凭证；

将生成的访问凭证发送给所述客户端；

获取客户端发送的访问指令，所述访问指令包括所述访问目的、所述客户端的特征信息以及所述访问凭证；

根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证；

若所述验证凭证与所述访问指令中的访问凭证一致，则所述访问指令通过验证。
根据权利要求15所述的存储介质，其中，所述处理器在实现所述根据所述访问码以及所述客户端的特征信息生成访问凭证时，用于实现如下步骤：

根据所述访问码以及所述客户端的公钥生成访问凭证；

所述处理器在实现所述根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证时，用于实现如下步骤：

根据所述访问目的对应的访问码以及访问指令中所述客户端的公钥生成验证凭证。
根据权利要求16所述的存储介质，其中，所述处理器在实现所述获取所述访问目的对应的访问码之前，还用于实现如下步骤：

根据所述访问请求中所述客户端的公钥验证所述客户端是否合法；

若合法，获取所述访问目的对应的访问码。
根据权利要求16所述的存储介质，其中，所述处理器在实现所述根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证之前，还用于实现如下步骤：

根据所述访问指令中所述客户端的公钥验证所述访问请求中的私钥签名是否正确；

若正确，根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证。
根据权利要求15-18中任一项所述的存储介质，其中，所述处理器在实现所述根据所述访问码以及所述客户端的特征信息生成访问凭证时，用于实现如下步骤：

根据所述访问码以及所述客户端的过期时间生成访问凭证；

所述处理器在实现所述根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证时，用于实现如下步骤：

根据所述访问目的对应的访问码以及访问指令中所述客户端的过期时间生成验证凭证。
根据权利要求19所述的存储介质，其中，所述处理器在实现所述根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证之前，还用于实现如下步骤：

根据所述访问指令中所述客户端的过期时间判断所述访问凭证是否过期；

若未过期，根据所述访问目的对应的访问码以及所述客户端的特征信息生成验证凭证。