The invention belongs to the field of communication technology, and relates to a method and system for preventing conversation from happening again. If the third party attack attempts to intercept and reuse the credit certificate, the request will be initiated within 30 minutes, and the server's replay verification will find that the credit voucher has been submitted. Because the third party intercepts the user request and the credit certificate must be the real legitimate user, this really legitimate user request will continue to wear to the server. And the third party attack intercept credit certificate, forge IP, organize the request content, need a certain time. So the first submission must be the real legitimate user, and the future commit must be an attacker. If the third party initiates a claim after 30 minutes, the credit voucher itself has a limitation period of 30 minutes, and the attempt of an attacker can not be achieved.
【技术实现步骤摘要】
一种防止会话重演的方法及系统
本专利技术属于通信
,涉及一种防止会话重演的方法及系统。
技术介绍
现在貌似大多数网站用户认证主要包括两种方式:一.基于SESSION的用户认证用户通过服务器的身份验证后,在服务器端生成用户相关的SESSION数据,而将发给客户端SESSION_ID存放到COOKIE中。当客户端需要向服务器请求服务时,在发送至服务器的用户请求中带上SESSION_ID。服务器就可以根据SESSION_ID验证服务器端是否存在对应的SESSION数据,以此完成用户认证。二.基于TOKEN的用户认证基于TOKEN的用户认证是一种服务器端无状态的认证方式,服务器端不用存放TOKEN数据。用户通过服务器的身份验证后,由服务器生成一个TOKEN(Hash或Encrypt,即哈希或加密)发给客户端。客户端可以放到COOKIE或LOCALSTORAGE中,客户端在发送给服务器的每个用户请求中附上TOKEN作为授信凭证,服务端在收到TOKEN以后进行授信凭证验证,通过验证后即可确认用户的身份。上述两种认证方式,主要靠唯一的授信凭证发给客户端,客户端的每次用户请求都附带上SESSION或TOKEN来保持、识别授信凭证。虽然每一个客户端上的SESSION或TOKEN是唯一的,但是SESSION或TOKEN在一定时间内也是固定不变的。在开放网络上,SESSION或TOKEN很可能被恶意第三方截取盗用,并且附在自己的恶意请求上,使得恶意第三方可以冒充真正的用户向服务器发送恶意请求,服务器难以识别,威胁网络完全。于是现有技术中,服务器每次先给客户端分配一个随机数 ...
【技术保护点】
一种防止会话重演的方法,其特征在于,包括步骤:步骤S1,接收用户请求,所述用户请求附带授信凭证;步骤S2,验证所述授信凭证,验证通过则缓存所述授信凭证并且响应所述用户请求,验证不通过则拒绝所述用户请求;验证所述授信凭证包括授信凭证的重演性验证;其中,所述重演性验证是指检查缓存中是否存在所述授信凭证,如果存在则所述重演性验证失败,如果不存在则所述重演性验证通过。
【技术特征摘要】
1.一种防止会话重演的方法,其特征在于,包括步骤:步骤S1,接收用户请求,所述用户请求附带授信凭证;步骤S2,验证所述授信凭证,验证通过则缓存所述授信凭证并且响应所述用户请求,验证不通过则拒绝所述用户请求;验证所述授信凭证包括授信凭证的重演性验证;其中,所述重演性验证是指检查缓存中是否存在所述授信凭证,如果存在则所述重演性验证失败,如果不存在则所述重演性验证通过。2.根据权利要求1所述的一种防止会话重演的方法,其特征在于:所述授信凭证包括时效信息;所述步骤S2中,验证所述授信凭证包括授信凭证的时效性验证;所述时效性验证是根据所述时效信息验证所述授信凭证是否在时效期内,如果所述授信凭证在所述时效期内则所述时效性验证通过,如果所述授信凭证不在所述时效期内则所述时效性验证不通过。3.根据权利要求2所述的一种防止会话重演的方法,其特征在于,所述步骤S2包括:步骤S2-1,授信凭证的合法性验证,所述合法性验证通过则继续步骤S2-2,所述合法性验证不通过则所述授信验证不通过并且不响应所述用户请求;步骤S2-2,授信凭证的时效性验证,所述时效性验证通过则继续步骤S2-3,所述合法性验证不通过则所述授信验证不通过并且不响应所述用户请求;步骤S2-3,授信凭证的重演性验证,所述重演性验证通过则所述授信验证通过,所述重演性验证不通过则所述授信验证不通过并且不响应所述用户请求;步骤S2-4,缓存所述授信凭证。4.根据权利要求3所述的一种防止会话重演的方法,其特征在于,所述时效信息包括所述授信凭证的形成时间;步骤S2-2包括:步骤S2-2-1,提取所述授信凭证中的时效信息;步骤S2-2-2,比较所述授信凭证的接...
【专利技术属性】
技术研发人员:仇亚东,
申请(专利权)人:上海斐讯数据通信技术有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。