WO2021238990A1

WO2021238990A1 - 认证方法、装置、电子设备和服务端、程序及存储介质

Info

Publication number: WO2021238990A1
Application number: PCT/CN2021/096101
Authority: WO
Inventors: 施剑峰
Original assignee: 杭州海康威视数字技术股份有限公司
Priority date: 2020-05-27
Filing date: 2021-05-26
Publication date: 2021-12-02
Also published as: EP4161012A4; CN111447245A; EP4161012A1

Abstract

本申请提供一种认证方法、装置、电子设备和服务端、程序及存储介质，包括：在接收到来自客户端的访问请求的情况下，生成待携带在所述访问请求的标识信息，向服务端上的第一指定端口发送携带了所述标识信息的访问请求；获得第一指定端口返回的待验证标识；所述待验证标识为所述服务端在监听到第一指定端口收到所述访问请求的情况下，基于该访问请求携带的标识信息返回的；对待验证标识进行验证，在待验证标识通过验证的情况下，向服务端上的第二指定端口发送该待验证标识通过验证的第一消息，以使服务端在监听到第二指定端口接收到所述第一消息的情况下，响应所述访问请求。使用本申请提供的方法，可以实现高效的用户认证。

Description

认证方法、装置、电子设备和服务端、程序及存储介质

技术领域

本申请涉及计算机通信领域，尤其涉及一种认证方法、装置、电子设备和服务端、程序及存储介质。

背景技术

在客户端和至少一个服务端的网络架构中，为了方便对服务端的管理，通常在该网络架构中部署用于管理所有服务端的服务端管理平台。

在客户端需要访问服务端上的网络资源时，客户端需要先登录服务端管理平台，再登录该服务端，才能访问该服务端上的网络资源。

具体地，客户端需要向服务端管理平台提交客户端的用户信息，以由服务端管理平台对客户端的用户信息进行认证。在服务端管理平台对客户端的用户信息进行认证后，客户端还需要向服务端提交用户信息，以由服务端对客户端的用户信息进行认证，在服务端对客户端的用户信息进行认证后，服务端才会向客户端返回客户端所访问的网络资源。

由于在认证过程中，用户需要多次提交用户信息，所以不仅大大降低了认证效率，而且还给用户造成了极大的不便。

发明内容

有鉴于此，本申请提供一种认证方法、装置、电子设备和服务端、程序及存储介质，用于提高用户的认证效率。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种认证方法，所述方法包括：在接收到来自客户端的访问请求的情况下，生成待携带在所述访问请求的标识信息，向服务端上的第一指定端口发送携带了所述标识信息的访问请求；获得所述第一指定端口返回的待验证标识；所述待验证标识为所述服务端在监听到所述第一指定端口收到所述访问请求的情况下，基于该访问请求携带的标识信息返回的；对所述待验证标识进行验证，在所述待验证标识通过验证的情况下，向服务端上的第二指定端口发送该待验证标识通过验证的第一消息，以使所述服务端在监听到所述第二指定端口接收到所述第一消息的情况下，响应所述访问请求。

可选的，所述方法由电子设备执行，所述电子设备为处于所述客户端访问所述服务端的访问路径上且与所述服务端连接的设备；所述第一指定端口为所述服务端上连接所述电子设备的第一端口；所述第二指定端口为所述服务端上连接所述电子设备的第二端口；或者，所述方法由服务端执行；所述第一指定端口为所述服务端上与第一指定协议对应的端口；所述第二指定端口为所述服务端上与第二指定协议对应的端口。

可选的，所述服务端包括合法校验模块和业务模块，当所述方法由服务端执行时，所述方法由服务端的所述合法校验模块执行，所述合法校验模块通过所述第一端口将访问请求发至所述业务模块，通过所述第二端口将所述第一消息发至所述业务模块，所述业务模块响应所述访问请求。

可选的，所述生成待携带在所述访问请求的标识信息之后，所述方法还包括：记录所述标识信息；所述对所述待验证标识进行验证，包括：在已记录的标识信息中，查找是否存在与所述待验证标识匹配的标识信息；若存在，则确定所述待验证标识通过验证；若不存在，则确定所述待验证标识未通过验证。可选的，所述方法还包括：在确定所述待验证标识通过验证后，删除与该待验证标识匹配的标识信息；和/或，在检测到所述标识信息的老化时间到达时，删除所述标识信息。

可选的，所述方法还包括：在所述待验证标识未通过验证的情况下，向所述第二指定端口发送待验证标识未通过验证的第二消息，以使所述服务端在监听到所述第二指定端口接收到所述第二消息的情况下指示所述客户端提供校验信息，并对所述客户端提供的所述校验信息进行校验，并在校验通过后响应所述访问请求。

根据本申请的第二方面，提供一种认证方法，所述方法由服务端执行，所述方法包括：在监听到所述服务端上的第一指定端口接收到访问请求的情况下，基于该访问请求携带的标识信息，返回待验证标识至发送所述访问请求的对端；在监听到所述服务端上的第二指定端口接收到所述待验证标识通过验证的第一消息的情况下，响应所述访问请求。

可选的，所述第一指定端口为所述服务端上连接所述对端的第一端口；第二指定端口为所述服务端上连接所述对端的第二端口；所述对端为处于客户端访问所述服务端的访问路径上且与所述服务端连接的电子设备；或者，所述第一指定端口为所述服务端上与第一指定协议对应的端口；所述第二指定端口为所述服务端上与第二指定协议对应的端口。

可选的，所述方法还包括：在监听到所述第二指定端口接收到所述待验证标识未通过验证的第二消息的情况下，指示客户端提供校验信息，并对所述客户端提供的所述校验信息进行校验，并在校验通过后响应所述访问请求。

可选的，所述服务端包括合法校验模块和业务模块，所述方法具体由服务端的所述业务模块执行，所述合法校验模块是所述对端，所述业务模块通过所述第一指定端口与所述合法校验模块之间建立第一连接，所述业务模块通过所述第二指定端口与所述合法校验模块之间建立第二连接。根据本申请的第三方面，提供一种认证装置，所述装置包括：生成单元，用于在接收到来自客户端的访问请求的情况下，生成待携带在所述访问请求的标识信息，向服务端上的第一指定端口发送携带了所述标识信息的访问请求；获得单元，用于获得所述第一指定端口返回的待验证标识；所述待验证标识为所述服务端在监听到所述第一指定端口收到所述访问请求的情况下，基于该访问请求携带的标识信息返回的；验证单元，用于对所述待验证标识进行验证，在所述待验证标识通过验证的情况下，向服务端上的第二指定端口发送该待验证标识通过验证的第一消息，以使所述服务端在监听到所述第二指定端口接收到所述第一消息的情况下，响应所述访问请求。

根据本申请的第四方面，提供一种认证装置，所述装置包括：发送单元，用于在监听到所述服务端上的第一指定端口接收到访问请求的情况下，基于该访问请求携带的标识信息，返回待验证标识至发送所述访问请求的对端；响应单元，用于在监听到所述服务端上的第二指定端口接收到所述待验证标识通过验证的第一消息的情况下，响应所述访问请求。根据本申请的第五方面，提供一种电子设备，所述设备包括可读存储介质和处理器；其中，所述可读存储介质，用于存储机器可执行指令；所述处理器，用于读取所述可读存储介质上的所述机器可执行指令，并执行所述指令以实现上述第一方面中的认证方法步骤。

根据本申请的第六方面，提供一种服务端，所述设备包括可读存储介质和处理器；其中，所述可读存储介质，用于存储机器可执行指令；所述处理器，用于读取所述可读存储介质上的所述机器可执行指令，并执行所述指令以实现上述第二方面中的认证方法步骤。

根据本申请的第七方面，提供一种计算机程序，计算机程序存储于机器可读存储介质，并且当处理器执行计算机程序时，促使处理器实现上述第一方面中的认证方法。

根据本申请的第八方面，提供一种计算机程序，计算机程序存储于机器可读存储介质，并且当处理器执行计算机程序时，促使处理器实现上述第二方面中的认证方法。

根据本申请的第九方面，提供一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器执行第一方面中的认证方法。

根据本申请的第十方面，提供一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器执行第二方面中的认证方法。

由于在本申请提供的访问网络资源的机制中，在接收到的来自于客户端的访问请求中添加标识信息，再将添加了标识信息的访问请求发送给服务端，在接收到服务端基于该标识信息返回的待验证标识时，通过验证待验证标识而非验证用户信息来实现对用户的合法性认证，使得服务端在对用户进行认证时不需要用户多次输入用户信息，所以大大提高了用户的认证效率，方便了用户操作。

附图说明

图1是本申请一示例性实施例示出的认证组网的示意图；

图2是本申请示出的传统的网络资源访问方法的流程图；

图3是本申请一示例性实施例示出的一种认证方法的流程图；

图4是本申请一示例性实施例示出的另一种认证方法的流程图；

图5是本申请一示例性实施例示出的一种认证方法的交互图；

图6是本申请一示例性实施例示出的一种电子设备的硬件结构图；

图7是本申请一示例性实施例示出的一种认证装置的框图；

图8是本申请一示例性实施例示出的一种服务端的硬件结构图；

图9是本申请一示例性实施例示出的另一种认证装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

参见图1，图1是本申请一示例性实施例示出的认证组网的示意图。

该认证组网包括：客户端、服务端管理平台和至少一个服务端。

服务端已提前经过了服务端管理平台的认证，服务端管理平台可以管理服务端。

在这种组网架构下，传统的客户端访问服务端的网络资源的方式是：客户端需要先登录服务端管理平台，再登录该服务端，才能访问该服务端上的网络资源。

参见图2，图2是本申请示出的传统的网络资源访问方法的流程图。

步骤201：客户端向服务端管理平台发送携带有用户信息的第一认证请求。

在实现时，客户端向用户展示服务端管理平台登录界面，用户可以在服务端管理平台登录界面上输入用户信息。客户端在获取到用户输入的用户信息后，可向服务端管理平台发送携带有该用户信息的第一认证请求。

步骤202：服务端管理平台在接收到该第一认证请求后，对该第一认证请求携带的用户信息进行认证。

步骤203：服务端管理平台向客户端返回认证成功或者认证失败的消息。

服务端管理平台还可向客户端返回认证成功或者认证失败的消息。

步骤204：客户端向服务端管理平台发送访问请求。

步骤205：服务端管理平台在确定该客户端在服务端管理平台上认证成功后，将访问请求转发给服务端。

步骤206：服务端在确定该客户端未在服务端进行认证时，向服务端管理平台发送未认证消息。

步骤207：服务端管理平台将该未认证消息转发给客户端。

步骤208：客户端向服务端管理平台发送携带有用户信息的第二认证请求。

在实现时，客户端在接收到未认证消息后，向用户展示服务端登录界面，用户可以在服务端登录界面上输入用户信息。客户端在获取到用户输入的用户信息后，可向服务端管理平台发送携带有该用户信息的第二认证请求。

步骤209：服务端管理平台向服务端转发携带有用户信息的第二认证请求。

步骤210：服务端获取第二认证请求中携带的用户信息，并基于用户信息对该客户端进行认证。

步骤211：服务端向服务端管理平台返回认证成功或者认证失败的消息。

步骤212：服务端管理平台向客户端返回认证成功或者认证失败的消息。

步骤213：客户端向服务端管理平台发送访问请求。

步骤214：服务端管理平台将该访问请求转发给服务端。

步骤215：服务端在确定对客户端认证成功后，向服务端管理平台返回该访问请求所请求的网络资源。

步骤216：服务端管理平台将网络资源转发给客户端。

由此可以看出，在传统的客户端访问服务端的网络资源的技术中，用户需要多次提交用户信息来完成服务端管理平台的登录和服务端的登录，所以在大大降低了认证效率的同时，还给用户访问网络资源造成了极大的不便。

有鉴于此，本申请提供一种认证方法，在接收到来自客户端的访问请求的情况下，生成待携带在该访问请求的标识信息，向服务端上的第一指定端口发送携带了该标识信息的访问请求，以由服务端在监听到该指定端口收到该访问请求时，基于该访问请求携带的标识信息返回待验证标识。在接收到该服务端返回的待验证标识的情况下，对该待验证标识进行验证，在该待验证标识通过验证的情况下，向服务端上的第二指定端口发送待验证标识通过验证的第一消息，以使该服务端在监听到该第二指定端口接收到该第一消息的情况下响应该访问请求。

参见图3，图3是本申请一示例性实施例示出的一种认证方法的流程图，该方法可包括如下所示步骤。

步骤301：在接收到来自客户端的访问请求的情况下，生成待携带在所述访问请求的标识信息，向服务端上的第一指定端口发送携带了所述标识信息的访问请求。

步骤302：获得所述第一指定端口返回的待验证标识；所述待验证标识为所述服务端在监听到所述第一指定端口收到所述访问请求的情况下，基于该访问请求携带的标识信息返回的。

步骤303：对所述待验证标识进行验证，在所述待验证标识通过验证的情况下，向服务端上的第二指定端口发送该待验证标识通过验证的第一消息，以使所述服务端在监听到所述第二指定端口接收到所述第一消息的情况下，响应所述访问请求。

其中，标识信息可以与访问请求对应，标识信息可以随机生成，当然也可以基于访问请求的特征信息生成，这里不对该标识信息的生成方式进行具体地限定。

该标识信息可以是Token(令牌)，当然也可以是其他信息，这里不对标识信息进行具体地限定。

在本申请实施例中，图3所示的方法可由电子设备执行，该电子设备可以是客户端访问服务端上的访问路径上的、且与该服务端相连的设备。上述第一指定端口为所述服务端上连接所述电子设备的第一端口。上述第二指定端口为所述服务端上连接所述电子设备的第一端口。上述第一指定端口和第二指定端口可以是服务端上的同一端口，也可以是服务端上的不同端口，这里只是对第一指定端口和第二指定端口进行示例性地说明，不对其进行具体地限定。

比如，该电子设备可以是图1所示的服务端管理平台。当然，该电子设备还可以是图1所示的服务端管理平台和服务端之间新增的设备(图1未示出)，这里只是对电子设备进行示例性地说明，不对其进行具体地限定。

可选的，在本申请实施例中，图3所示的方法可由服务端执行，该第一指定端口为所述服务端上与指定协议对应的第一端口。该第二指定端口为所述服务端上与指定协议对应的第二端口。其中，上述第一指定协议和第二指定协议可以是同一协议，也可以是不同的协议，因此上述第一指定端口和第二指定端口可以是同一端口也可以是不同的端口，这里只是对第一指定端口和第二指定端口进行示例性地说明，不对其进行具体地限定。

在实现时，例如服务端上可包括第一模块和第二模块，可分别称为合法校验模块和业务模块。当然，在实际应用中，服务端还可包括与实际应用相关的模块，这里不对服务端上所包含的模块进行具体地限定。

图3所示的方法可以由服务端的合法校验模块上执行，该第一指定端口可以是服务端上与指定协议对应的第一端口。业务模块通过所述第一端口连接所述合法校验模块。

该第二指定端口可以是服务端上与指定协议对应的第二端口。业务模块通过所述第二端口连接所述合法校验模块。上述第一指定端口和第二指定端口可以是同一端口也可以是不同的端口，这里只是对第一指定端口和第二指定端口进行示例性地说明，不对其进行具体地限定。

下面介绍实现步骤301至步骤303的几种方式。

实现步骤301和步骤303的方式一：

该方法由服务端管理平台执行时，该第一指定端口为服务端上的、用于连接该服务端管理平台的第一端口。第二指定端口为所述服务端上连接所述电子设备的第二端口。

在实现步骤301和步骤303时，客户端可将访问请求发送给服务端管理平台。服务端管理平台在接收到客户端发送的访问请求时，可为该访问请求生成标识信息，并将该标识信息添加在该访问请求中。然后，服务端管理平台可将该访问请求发送给服务端上的第一指定端口。

服务端在监听到第一指定端口接收到该访问请求后，可获取该访问请求携带的标识信息，并基于该标识信息向服务端管理平台返回待验证标识。

其中，该待验证标识可以是标识信息，也可以是基于标识信息生成的标识，这里只是对待验证标识进行示例性地说明，不对其进行具体地限定。

服务端管理平台在接收到所述服务端返回的待验证标识，对所述待验证标识进行验证。

在所述待验证标识通过验证的情况下，服务端管理平台向该服务端上的第二指定端口发送待验证标识通过验证的第一消息，以使所述服务端在监听到该第二指定端口接收到第一消息时响应所述访问请求(比如返回该访问请求所访问的网络资源等)。

在一个实施例中，在该待验证标识未通过校验的情况下，服务端管理平台向服务端上的第二指定端口发送待验证标识未通过验证的第二消息，以使所述服务端在监听到该第二指定端口接收到所述第二消息时指示所述客户端提供校验信息，并对所述客户端提供的所述校验信息进行校验，并在校验通过后响应所述访问请求。其中，该校验信息可以是用户信息(比如用户名、密码等)，当然该校验信息也可以是其他信息，这里只是对校验信息进行示例性地说明，不对其进行具体地限定。

下面介绍下“对待验证标识进行验证”的方式。

在本申请实施例中，在生成待携带在所述访问请求的标识信息后，还可记录该标识信息。

在对待验证标识进行验证时，可在已记录的标识信息中，例如在已记录的所有标识信息中，查找是否存在与所述待验证标识匹配的标识信息；

若存在与该待验证标识匹配的标识信息，则确定所述待验证标识通过验证；

若不存在与该待验证标识匹配的标识信息，则确定所述待验证标识未通过验证。

需要说明的是，当该待验证标识是标识信息时，与该待验证标识匹配的标识信息为该待验证标识。

当该待验证标识是由标识信息基于第一规则生成的标识时，与该待验证标识匹配的标识信息为指定标识信息，该指定标识信息基于第一规则生成的标识与该待验证标识相同。

这里只是对“标识信息”、“待验证标识”、“对待验证标识进行验证”的示例性说明，不对其进行具体地限定。

此外，在本申请实施例中，为了保证对待验证标识进行验证的有效性，在确定待验证标识验证通过后，还可将与该待验证标识匹配的标识信息删除。

此外，在本申请实施例中，为了保证对待验证标识进行验证的有效性，在检测到所述标识信息的预定的一时间段(称为老化时间)到达时，删除所述标识信息。

在一种可选的实现方式中，在记录所述标识信息后，为所述标识信息添加老化时间。然后，可定期检测已记录的标识信息的老化时间是否超时，并将超时的标识信息删除。

实现步骤301和步骤303的方式二：

该方法由在服务端管理平台与服务端之间新增的电子设备执行，该第一指定端口为服务端上的、用于连接该电子设备的第一端口。第二指定端口为服务端上连接所述电子设备的第二端口。

在实现步骤301和步骤303时，客户端可将访问请求发送给服务端管理平台。服务端管理平台在接收到客户端发送的访问请求时，可将该访问请求发送给该新增的电子设备(这里为了方便叙述，记为目标电子设备)。目标电子设备可为该访问请求生成标识信息，并将该标识信息添加在该访问请求中。然后，目标电子设备可将该访问请求发送给服务端上的第一端口。

服务端在监听到第一端口接收到该访问请求后，可获取该访问请求携带的标识信息，并基于该标识信息，向目标电子设备返回待验证标识。

目标电子设备在接收到所述服务端返回的待验证标识，对所述待验证标识进行验证。

在所述待验证标识通过验证的情况下，目标电子设备向该服务端上的第二指定端口发送待验证标识通过验证的第一消息，以使所述服务端在监听到该第二指定端口接收到所述第一消息时响应所述访问请求。

在一个实施例中，在该待验证标识未通过校验的情况下，目标电子设备向服务端上的第二指定端口发送待验证标识未通过验证的第二消息，以使所述服务端在监听到该第二指定端口接收到所述第二消息时指示所述客户端提供校验信息，并对客户端提供的校验信息进行校验，并在校验通过后响应所述访问请求。

需要说明的是，对于“对待验证标识进行验证”的方式，可参见上文所述，这里不再赘述。

实现步骤301至步骤303的方式三：

服务端包括：合法校验模块和业务模块。服务端管理平台与服务端的合法校验模块建立连接，合法校验模块与业务模块建立连接(如socket连接等)。

图3所示的方法由服务端的合法校验模块执行，该第一指定端口为服务端上的与第一指定协议对应的端口。比如该第一指定端口为服务端上与HTTP协议对应的第一端口，例如该端口为80端口。该第二指定端口为服务端上的与第二指定协议对应的端口。

业务模块通过该第一指定端口与合法校验模块之间建立第一socket连接。业务模块也可以通过第二指定端口与合法校验模块之间建立第二socket连接。换句话来说，该第一socket连接在业务模块上的端口为该第一指定端口，业务模块可以通过第一指定端口与合法校验模块进行通信。该第二socket连接在业务模块上的端口为该第二指定端口，业务模块可以通过第二指定端口与合法校验模块进行通信。

需要说明的是，第二指定端口与第一指定端口可以相同，也可以不同。因此，第一socket连接和第二socket连接可以相同也可以不同。

在实现步骤301和步骤303时，客户端可将访问请求发送给服务端管理平台。服务端管理平台在接收到客户端发送的访问请求时，可将该访问请求发送给该服务端的合法校验模块。合法校验模块可为该访问请求生成标识信息，并将该标识信息添加在该访问请求中。然后，合法校验模块可将该访问请求发送给服务端上的第一指定端口。

业务模块可监听第一指定端口，在业务模块监听到第一指定端口接收到该访问请求后，可获取该访问请求携带的标识信息，并基于标识信息向合法校验模块返回待验证标识。

合法校验模块在接收到业务模块返回的待验证标识，对所述待验证标识进行验证。

在所述待验证标识通过验证的情况下，合法校验模块向该服务端上的第二指定端口发送待验证标识通过验证的第一消息，以使所述业务模块在监听到所述第二指定端口接收到所述第一消息时响应所述访问请求。

在一个实施例中，在该待验证标识未通过校验的情况下，合法校验模块向服务端上的第二指定端口发送待验证标识未通过验证的第二消息，以使所述业务模块在监听到第二指定端口接收到所述第二消息时指示所述客户端提供校验信息，并对所述客户端提供的所述校验信息进行校验，并在校验通过后响应所述访问请求。

需要说明的是，采用这种“服务端的合法校验模块在接收到服务端管理平台发送的访问请求后，可将该访问请求发送至服务端上的第一指定端口，以由服务端上的业务模块监听第一指定端口，获取该访问请求”的方式，可以将客户端与服务端之间的非直连方式(即客户端与服务端管理平台相连，服务端管理平台与服务端相连)，修改为仿直连方式(即客户端与服务端直连)，使得服务端业务模块接收到的经由服务端管理平台转发的访问请求与从客户端直接发送的访问请求相同，从而使得服务端的业务模块认为访问请求是从客户端直接发送的，从而可以尽可能地忽略处理服务端管理平台协议相关的事项，从而简化服务端对于该访问请求的处理流程。

还需要说明的是，对于“对待验证标识进行验证”的方式，可参见上文所述，这里不再赘述。

由上述描述可以看出，一方面，在接收到的来自于客户端的访问请求中添加标识信息，再将添加了标识信息的访问请求发送给服务端，在接收到服务端基于该标识信息返回的待验证标识时，通过验证待验证标识而非验证用户信息来实现对用户的合法性认证，使得服务端在对用户进行认证时不需要用户多次输入用户信息，所以大大提高了用户的认证效率，方便了用户操作。

另一方面，在现有的客户端、服务端管理平台和服务端的架构下，通常是对服务端管理平台进行二次开发，使得服务端管理平台具有对用户认证是否能够访问服务端的网络资源的功能，如图2的所示，认证成功后可以提供服务端所提供的网络资源。在客户端访问服务端时，客户端可先登录服务端管理平台。在登录成功后，客户端可向服务端管理平台发送用于访问服务端上的网络资源的访问请求，服务端管理平台可响应该访问请求，并向客户端返回该访问请求所访问的网络资源。由此可以看出，这种方式，需要对服务端管理平台进行二次开发，大大增加了开发人员的工作量。

而在本申请中，由于服务端管理平台是将访问请求透传给服务端，由服务端来响应客户端的访问请求的，所以在本申请中，不需要服务端管理平台提供对用户认证是否能够访问服务端的网络资源的功能，即无需对服务端管理平台进行二次开发，所以大大降低了开发人员的工作量。

参见图4，图4是本申请一示例性实施例示出的另一种认证方法的流程图，该方法可包括如下所示步骤。

步骤401：在监听到所述服务端上的第一指定端口接收到访问请求的情况下，基于该访问请求携带的标识信息，返回待验证标识至发送所述访问请求的对端；

步骤402：在监听到所述服务端上的第二指定端口接收到所述待验证标识通过验证的第一消息的情况下，响应所述访问请求。

在本申请实施例中，图4所示的方法可由服务端执行，也可以由服务端的合法校验模块执行，这里不对图4所示的方法的执行设备或者模块进行具体地限定。

下面介绍实现步骤401和步骤402的几种方式。

实现步骤401和步骤402的方式一：

图4所示的方法由服务端执行，对端为服务端管理平台，第一指定端口为服务端上的、用于连接该电子设备的第一端口。第二指定端口为服务端上的、用于连接该电子设备的第二端口。上述第一指定端口和第二指定端口可以是同一端口也可以是不同的端口，这里只是对第一指定端口和第二指定端口进行示例性地说明，不对其进行具体地限定。

在实现步骤401和步骤402时，客户端可将访问请求发送给服务端管理平台。服务端管理平台在接收到客户端发送的访问请求时，可为该访问请求生成标识信息，并将该标识信息添加在该访问请求中。然后，服务端管理平台可将该访问请求发送给服务端上的第一指定端口。

在一个实施例中，在该待验证标识未通过校验的情况下，服务端管理平台向服务端上的第二指定端口发送待验证标识未通过验证的第二消息，以使所述服务端在监听到该第二指定端口接收到所述第二消息时指示所述客户端提供校验信息，并对所述客户端提供的所述校验信息进行校验，并在校验通过后响应所述访问请求。

实现步骤401和步骤402的方式二：

图4所示的方法由服务端执行，对端为服务端管理平台和服务端之间新增的电子设备，第一指定端口为服务端上的、与该新增的电子设备相连的第一端口。第二指定端口为服务端上的、与该新增的电子设备相连的第二端口。

在实现步骤401和步骤402时，客户端可将访问请求发送给服务端管理平台。服务端管理平台在接收到客户端发送的访问请求时，可将该访问请求发送给该新增的电子设备(这里为了方便叙述，记为目标电子设备)。目标电子设备可为该访问请求生成标识信息，并将该标识信息添加在该访问请求中。然后，目标电子设备可将该访问请求发送给服务端上的第一端口。

实现步骤401和步骤402的方式三：

服务端包括合法校验模块和业务模块。服务端管理平台与服务端的合法校验模块建立连接。合法校验模块与业务模块建立连接(如socket连接等)。

图4所示的方法由服务端的业务模块执行，对端为服务端的合法性校验模块。该第一指定端口为服务端上的与第一指定协议对应的端口。比如该第一指定端口为服务端上与HTTP协议对应的第一端口，例如该端口为80端口。该第二指定端口为服务端上的与第二指定协议对应的端口。

在实现时，业务模块通过该第一指定端口与合法校验模块之间建立第一socket连接。业务模块也可以通过第二指定端口与合法校验模块之间建立第二socket连接。换句话来说，该第一socket连接在业务模块上的端口为该第一指定端口，业务模块可以通过第一指定端口与合法校验模块进行通信。该第二socket连接在业务模块上的端口为该第二指定端口，业务模块可以通过第二指定端口与合法校验模块进行通信。

在实现步骤401和步骤402时，客户端可将访问请求发送给服务端管理平台。服务端管理平台在接收到客户端发送的访问请求时，可将该访问请求发送给该服务端的合法校验模块。合法校验模块可为该访问请求生成标识信息，并将该标识信息添加在该访问请求中。然后，合法校验模块可将该访问请求发送给服务端上的第一指定端口。

以上完成图4的介绍。

下面以标识信息为Token，待验证标识为标识信息为例，介绍下本申请的一优选实施例。

参见图5，图5是本申请一示例性实施例示出的一种认证方法的交互图。

步骤501：客户端向服务端管理平台发送携带有用户信息的第一认证请求。

步骤502：服务端管理平台在接收到第一认证请求后，基于用户信息，对用户进行认证。

步骤503：服务端管理平台向客户端返回认证成功或者认证失败的消息。

步骤504：客户端向服务端管理平台发送访问请求。

步骤505：服务端管理平台在确定用户在服务端管理平台上认证成功后，将访问请求转发给服务端的合法校验模块。

步骤506：合法校验模块为访问请求分配Token，将分配的Token添加在访问请求中，并在本地记录为该访问请求分配的Token。

步骤507：合法校验模块向服务端上的与HTTP协议对应的目标端口发送携带有Token的访问请求。

步骤508：业务模块在监听到该目标端口接收到访问请求时，获取该访问请求中的Token。

步骤509：业务模块向合法校验模块发送Token。

步骤510：合法校验模块检测本地已记录的所有Token中，是否存在与该业务模块返回的Token匹配的Token。

若本地已记录的所有Token中存在与该业务模块返回的Token匹配的Token，则执行步骤511至步骤513

若本地已记录的所有Token中不存在与该业务模块返回的Token匹配的Token，则执行步骤514至步骤521。

步骤511：若存在，合法校验模块向目标端口发送Token通过验证的第一消息。

步骤512：业务模块在监听到目标端口接收到该第一消息时，向服务端管理平台返回该访问请求所请求的网络资源。

步骤513：服务端管理平台向客户端转发网络资源。

步骤514：若不存在，合法校验模块向目标端口发送Token未通过验证的第二消息。

步骤515：业务模块在监听到目标端口接收到该第二消息时，向服务端管理平台返回未认证消息。

步骤516：服务端管理平台向客户端返回未认证消息。

步骤517：客户端向服务端管理平台发送携带有用户信息的第二认证请求。

步骤518：服务端管理平台向合法校验模块转发携带有用户信息的第二认证请求。

步骤519：合法校验模块基于用户信息，对用户的合法性进行校验。

步骤520：在确定用户合法后，向目标端口发送用户合法的第三消息。

步骤521：业务模块在监听到该目标端口接收到第三消息后，向服务端管理平台返回该访问请求所请求的网络资源。

步骤522：服务端管理平台将该网络资源转发给客户端。

由上述描述可以看出，一方面，在接收到来自于客户端的访问请求中添加Token，再将添加了Token的访问请求发送给服务端，在接收到服务端返回的Token时，通过验证Token而非验证用户信息来实现对客户端的合法性认证，使得服务端在对客户端进行认证时不需要用户多次输入用户信息，所以大大提高了验证效率，方便了用户操作。

另一方面，由于服务端管理平台是将访问请求透传给服务端，由服务端来响应客户端的访问请求的，而不是服务端管理平台负责响应客户端发送的访问请求的，所以在本申请中，不需要对服务端管理平台进行二次开发，所以大大降低了开发人员的工作量。

参见图6，图6是本申请一示例性实施例示出的一种电子设备的硬件结构图。该电子设备可以是服务端管理平台，也可以是服务端管理平台与服务端之间新增的设备、当然该电子设备也可以是服务端。这里不对该电子设备进行具体地限定。

该电子设备可包括：可读存储介质和处理器；其中，所述可读存储介质，用于存储机器可执行指令；所述处理器，用于读取所述可读存储介质上的所述机器可执行指令，并执行所述指令以实现上述认证方法步骤。

可选的，该电子设备除了包括处理器602、机器可读存储介质603外，还可包括：通信接口601、总线604；其中，通信接口601、处理器602和机器可读存储介质603通过总线604完成相互间的通信。处理器602通过读取并执行机器可读存储介质603中与认证控制逻辑对应的机器可执行指令，可执行上文描述的认证方法。

本文中提到的机器可读存储介质603可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：易失存储器、非易失性存储器或者类似的存储介质。具体地，机器可读存储介质603可以是RAM(Radom Access Memory，随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等)，或者类似的存储介质，或者它们的组合。

参见图7，图7是本申请一示例性实施例示出的一种认证装置的框图。该装置可为图6所述的电子设备的一部分或安装在该电子设备中，或者该装置可为服务端的合法校验模块的一部分或安装在该服务端的合法校验模块中，可包括如下所示单元。

生成单元701，用于在接收到来自客户端的访问请求的情况下，生成待携带在所述访问请求的标识信息，向服务端上的第一指定端口发送携带了所述标识信息的访问请求；

获得单元702，用于获得所述第一指定端口返回的待验证标识；所述待验证标识为所述服务端在监听到所述第一指定端口收到所述访问请求的情况下，基于该访问请求携带的标识信息返回的；

验证单元703，用于对所述待验证标识进行验证，在所述待验证标识通过验证的情况下，向服务端上的第二指定端口发送该待验证标识通过验证的第一消息，以使所述服务端在监听到所述第二指定端口接收到所述第一消息的情况下，响应所述访问请求。

可选的，所述装置是电子设备的一部分或安装在该电子设备中，所述电子设备为处于所述客户端访问所述服务端的访问路径上且与所述服务端连接的设备；所述第一指定端口为所述服务端上连接所述电子设备的第一端口；所述第二指定端口为所述服务端上连接所述电子设备的第二端口；或者，所述装置是服务端的一部分或安装在该服务端中；所述第一指定端口为所述服务端上与第一指定协议对应的端口；所述第二指定端口为所述服务端上与第二指定协议对应的端口。

可选的，所述电子设备为用于管理所述服务端的服务端管理平台；或者，所述电子设备为新增加的介于所述服务端管理平台与所述服务端之间的设备。

可选的，所述生成单元701，还用于生成待携带在所述访问请求的标识信息之后，记录所述标识信息；所述验证单元702，在对所述待验证标识进行验证时，用于在已记录的标识信息中，例如在已记录的所有标识信息中，查找是否存在与所述待验证标识匹配的标识信息；若存在，则确定所述待验证标识通过验证；若不存在，则确定所述待验证标识未通过验证。

可选的，所述装置还包括：删除单元704(图7中未示出)，用于在确定所述待验证标识通过验证后，删除与该待验证标识匹配的标识信息；和/或，在检测到所述标识信息的老化时间到达时，删除所述标识信息。

可选的，所述验证单元703，还用于在所述待验证标识未通过验证的情况下，向所述第二指定端口发送待验证标识未通过验证的第二消息，以使所述服务端在监听到所述第二指定端口接收到所述第二消息的情况下指示所述客户端提供校验信息，并对所述客户端提供的所述校验信息进行校验，并在校验通过后响应所述访问请求。

此外，本申请一示例性实施例还提供了一种服务端。

该服务端可包括：可读存储介质和处理器；其中，所述可读存储介质，用于存储机器可执行指令；所述处理器，用于读取所述可读存储介质上的所述机器可执行指令，并执行所述指令以实现上述认证方法步骤。

可选的，如图8所示，该服务端除了包括：处理器802、机器可读存储介质803外，还可包括通信接口801、和总线804；其中，通信接口801、处理器802和机器可读存储介质803通过总线804完成相互间的通信。处理器802通过读取并执行机器可读存储介质803中与认证控制逻辑对应的机器可执行指令，可执行上文描述的认证方法。

本文中提到的机器可读存储介质803可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：易失存储器、非易失性存储器或者类似的存储介质。具体地，机器可读存储介质803可以是RAM(Radom Access Memory，随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等)，或者类似的存储介质，或者它们的组合。

参见图9，图9是本申请一示例性实施例示出的另一种认证装置的框图。该装置可以是图8所示的服务端的一部分或安装在该服务端中，也可以是服务端的业务模块的一部分或安装在该服务端的业务模块中，这里不对其进行具体地限定。该装置可包括如下所示单元。

发送单元901，用于在监听到所述服务端上的第一指定端口接收到访问请求的情况下，基于该访问请求携带的标识信息，返回待验证标识至发送所述访问请求的对端；

响应单元902，用于在监听到所述服务端上的第二指定端口接收到所述待验证标识通过验证的第一消息的情况下，响应所述访问请求。

可选的，所述第一指定端口为所述服务端上连接所述对端的第一端口；第二指定端口为所述服务端上连接所述对端的第二端口；

所述对端为处于客户端访问所述服务端的访问路径上且与所述服务端连接的电子设备；或者，所述第一指定端口为所述服务端上与第一指定协议对应的端口；所述第二指定端口为所述服务端上与第二指定协议对应的端口。

可选的，所述响应单元902，还用于在监听到所述第二指定端口接收到所述待验证标识未通过验证的第二消息的情况下，指示客户端提供校验信息，并对所述客户端提供的所述校验信息进行校验，并在校验通过后响应所述访问请求。

此外，本申请还提供一种计算机程序，计算机程序存储于机器可读存储介质，并且当处理器执行计算机程序时，促使处理器实现上述图3所示的认证方法。

此外，本申请还提供一种计算机程序，计算机程序存储于机器可读存储介质，并且当处理器执行计算机程序时，促使处理器实现上述图4所示的认证方法。此外，本申请还提供一种机器可读存储介质，机器可读存储介质存储有机器可执行指令，在被处理器调用和执行时，该机器可执行指令促使实现上述图3所示的认证方法。

此外，本申请还提供一种机器可读存储介质，机器可读存储介质存储有机器可执行指令，在被处理器调用和执行时，该机器可执行指令促使实现上述图4所示的认证方法。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims

一种认证方法，其特征在于，所述方法包括：

在接收到来自客户端的访问请求的情况下，生成待携带在所述访问请求的标识信息，向服务端上的第一指定端口发送携带了所述标识信息的访问请求；

获得所述第一指定端口返回的待验证标识；所述待验证标识为所述服务端在监听到所述第一指定端口收到所述访问请求的情况下，基于该访问请求携带的标识信息返回的；

对所述待验证标识进行验证，在所述待验证标识通过验证的情况下，向服务端上的第二指定端口发送该待验证标识通过验证的第一消息，以使所述服务端在监听到所述第二指定端口接收到所述第一消息的情况下，响应所述访问请求。
根据权利要求1所述的方法，其特征在于，所述方法由电子设备执行，所述电子设备为处于所述客户端访问所述服务端的访问路径上且与所述服务端连接的设备；所述第一指定端口为所述服务端上连接所述电子设备的第一端口；

所述第二指定端口为所述服务端上连接所述电子设备的第二端口；

或者，

所述方法由服务端执行；所述第一指定端口为所述服务端上与第一指定协议对应的端口；所述第二指定端口为所述服务端上与第二指定协议对应的端口。
根据权利要求2所述的方法，其特征在于，所述服务端包括合法校验模块和业务模块，当所述方法由服务端执行时，所述方法由服务端的所述合法校验模块执行，所述合法校验模块通过所述第一端口将访问请求发至所述业务模块，通过所述第二端口将所述第一消息发至所述业务模块，所述业务模块响应所述访问请求。
根据权利要求1所述的方法，其特征在于，所述生成待携带在所述访问请求的标识信息之后，所述方法还包括：

记录所述标识信息；

所述对所述待验证标识进行验证，包括：

在已记录的标识信息中，查找是否存在与所述待验证标识匹配的标识信息；

若存在，则确定所述待验证标识通过验证；

若不存在，则确定所述待验证标识未通过验证。
根据权利要求4所述的方法，其特征在于，所述方法还包括：

在确定所述待验证标识通过验证后，删除与该待验证标识匹配的标识信息；和/或，

在检测到所述标识信息的老化时间到达时，删除所述标识信息。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

在所述待验证标识未通过验证的情况下，向所述第二指定端口发送待验证标识未通过验证的第二消息，以使所述服务端在监听到所述第二指定端口接收到所述第二消息的情况下指示所述客户端提供校验信息，并对所述客户端提供的所述校验信息进行校验，并在校验通过后响应所述访问请求。
一种认证方法，其特征在于，所述方法由服务端执行，所述方法包括：

在监听到所述服务端上的第一指定端口接收到访问请求的情况下，基于该访问请求携带的标识信息，返回待验证标识至发送所述访问请求的对端；

在监听到所述服务端上的第二指定端口接收到所述待验证标识通过验证的第一消息的情况下，响应所述访问请求。
根据权利要求7所述的方法，其特征在于，所述第一指定端口为所述服务端上连接所述对端的第一端口；第二指定端口为所述服务端上连接所述对端的第二端口；

所述对端为处于客户端访问所述服务端的访问路径上且与所述服务端连接的电子设备；

或者，

所述第一指定端口为所述服务端上与第一指定协议对应的端口；所述第二指定端口为所述服务端上与第二指定协议对应的端口。
根据权利要求8所述的方法，其特征在于，所述服务端包括合法校验模块和业务模块，所述方法具体由服务端的所述业务模块执行，所述合法校验模块是所述对端，所述业务模块通过所述第一指定端口与所述合法校验模块之间建立第一连接，所述业务模块通过所述第二指定端口与所述合法校验模块之间建立第二连接。
根据权利要求7所述的方法，其特征在于，所述方法还包括：

在监听到所述第二指定端口接收到所述待验证标识未通过验证的第二消息的情况下，指示客户端提供校验信息，并对所述客户端提供的所述校验信息进行校验，并在校验通过后响应所述访问请求。
一种认证装置，其特征在于，所述装置包括：

生成单元，用于在接收到来自客户端的访问请求的情况下，生成待携带在所述访问请求的标识信息，向服务端上的第一指定端口发送携带了所述标识信息的访问请求；

获得单元，用于获得所述第一指定端口返回的待验证标识；所述待验证标识为所述服务端在监听到所述第一指定端口收到所述访问请求的情况下，基于该访问请求携带的标识信息返回的；

验证单元，用于对所述待验证标识进行验证，在所述待验证标识通过验证的情况下，向服务端上的第二指定端口发送该待验证标识通过验证的第一消息，以使所述服务端在监听到所述第二指定端口接收到所述第一消息的情况下，响应所述访问请求。
一种认证装置，其特征在于，所述装置包括：

发送单元，用于在监听到所述服务端上的第一指定端口接收到访问请求的情况下，基于该访问请求携带的标识信息，返回待验证标识至发送所述访问请求的对端；

响应单元，用于在监听到所述服务端上的第二指定端口接收到所述待验证标识通过验证的第一消息的情况下，响应所述访问请求。
一种电子设备，其特征在于，所述设备包括可读存储介质和处理器；

其中，所述可读存储介质，用于存储机器可执行指令；

所述处理器，用于读取所述可读存储介质上的所述机器可执行指令，并执行所述指令以实现权利要求1-6任一所述方法的步骤。
一种服务端，其特征在于，所述设备包括可读存储介质和处理器；

其中，所述可读存储介质，用于存储机器可执行指令；

所述处理器，用于读取所述可读存储介质上的所述机器可执行指令，并执行所述指令以实现权利要求7-10任一所述方法的步骤。
一种计算机程序，所述计算机程序存储于机器可读存储介质，并且当处理器执行计算机程序时，促使处理器实现根据权利要求1-6中任一项所述的方法。
一种计算机程序，所述计算机程序存储于机器可读存储介质，并且当处理器执行计算机程序时，促使处理器实现根据权利要求7-10中任一项所述的方法。
一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器执行根据权利要求1-6中任一项所述的方法。
一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器执行根据权利要求7-10中任一项所述的方法。