一种WEB系统页面集成防盗链方法及系统技术方案

本发明专利技术公开了一种WEB系统页面集成防盗链方法及系统，所述方法包括：将获取的业务参数和生成的唯一验证值进行拼接并加密；将携带有加密后的字符串的目标系统页面URL发送给目标系统WEB服务器；目标系统WEB服务器对接收到的目标系统页面URL进行解密，得到解密后的业务参数和唯一验证值；将唯一验证值在数据库中进行查找；根据查找结果，允许或拒绝集成目标系统页面。通过本发明专利技术提供的方法，目标系统WEB服务器对源系统WEB服务器发送的唯一验证值进行查找，根据查找结果确定目标系统页面是否被集成，保证同一个URL地址在目标系统WEB服务器上只能访问成功一次，解决了页面集成过程中的盗链问题。

【技术实现步骤摘要】

本专利技术涉及互联网安全领域，具体涉及一种WEB系统页面集成防盗链方法及系统。
技术介绍
鉴于浏览器的方便性，越来越多的系统采用B/S模式开发，由于业务的需要，需将很多系统嵌入到一起，系统间的联系越来越紧密。系统集成的方式有很多，比如数据集成、业务集成和页面集成。其中，页面集成是B/S模式的系统最常用的一种，但是由于URL地址容易泄露，容易出现‘盗链’情况。目前常用的页面集成防盗链的处理方式主要由两种:第一种方式，时间戳验证，时间戳验证是在A系统集成B系统前，在url地址中添加一个时间戳参数，B系统获取请求后，判断时间戳是否在一个有效的时间范围内，若在允许范围内，则允许，否则拒绝A系统集成B系统。第二种方式为Token验证，Token验证是A系统在集成B系统前，在C系统中获取一个token值，然后在请求B的url地址中添加该token参数，当B系统获取Token参数后再到C系统中进行验证，验证成功后则允许A系统集成B系统，否则拒绝A系统集成B系统。其中，采用第一种方式，其优点为执行效率高，开发时间最短；其缺点为需要保持两个系统时钟同步，否则计算的时间误差较大，导致访问失败，另外如果系统没有设置清除缓存，可能会导致获取的时间是上次缓存时间，从而被拒绝访问，造成错误。采用第二种方式，其优点为验证正确性高；其缺点为由于涉及3个系统，开发难度较大，并且每次验证都需要调用webservice接口，性能较低。
技术实现思路
本专利技术所要解决的技术问题是提供一种WEB系统页面集成防盗链方法及系统，能够方便快捷地解决WEB系统页面集成时出现的防盗链问题，防止同一 URL地址被多次访问。本专利技术解决上述技术问题的技术方案如下:—方面，本专利技术提供了一种WEB系统页面集成防盗链方法，所述方法包括:S1、源系统WEB服务器获取预定的业务参数以及生成唯一验证值，并对所述业务参数和唯一验证值按照预定规则进行拼接，得到拼接后的字符串；S2、按照预定的加密算法对所述拼接后的字符串进行加密，获得加密后的字符串;S3、将携带有所述加密后的字符串的目标系统页面URL地址发送给目标系统WEB服务器，发起集成请求；S4、目标系统WEB服务器接收到所述携带有加密后的字符串的目标系统页面URL地址，对其进行解密，得到解密后的业务参数和唯一验证值；S5、将所述得到的唯一验证值在预定的数据库中进行查找；S6、根据查找结果，允许源系统页面根据所述业务参数集成目标系统页面或者拒绝源系统页面集成目标系统页面。另一方面，本专利技术提供了一种WEB系统页面集成防盗链系统，所述系统包括:系统WEB服务器和目标WEB服务器；所述源系统WEB服务器包括:业务参数获取模块，用于获取预定业务参数；唯一验证值生成模块，用于生成唯一验证值；拼接模块，用于将所述获取的预定业务参数和所述生成的唯一验证值按照预定规则进行拼接，得到拼接后的字符串；加密模块，用于按照预定的加密算法对所述拼接后的字符串进行加密，获得加密后的字符串；集成请求发起模块，用于将携带有所述加密后的字符串的目标系统页面URL地址发送给目标系统WEB服务器，发起集成请求；所述目标系统WEB服务器包括:接收模块，用于接收所述携带有加密后的字符串的目标系统页面URL地址；解密模块，用于对所述接收到的携带有加密后的字符串的目标系统页面URL地址进行解密，获得解密后的业务参数和唯一验证值；查找模块，用于将所述得到的唯一验证值在预定的数据库中进行查找；允许/拒绝访问模块，用于允许源系统页面根据所述业务参数集成目标系统页面或者拒绝源系统页面集成目标系统页面。本专利技术提供的一种WEB系统页面集成防盗链方法及系统，源系统WEB服务器将携带有唯一验证值的URL地址发送给目标系统WEB服务器，目标系统WEB服务器对唯一验证值进行验证，根据验证结果决定先允许或拒绝源系统页面集成目标系统界面，解决了页面集成过程中的盗链问题；在对唯一验证值的过程中只涉及到两个系统，开发难度小，执行的效率也高；另外，源系统WEB服务器对唯一验证值进行加密，防止唯一验证值被偷窥的问题，提高了传输过程的安全性。【附图说明】图1为本专利技术实施例1的一种WEB系统页面集成防盗链方法流程图；图2为本专利技术实施例1的整个实现过程流程图；图3为本专利技术实施I中目标系统WEB服务器对唯一验证值验证的过程示意图；图4为本专利技术实施例2的一种WEB系统页面集成防盗链系统示意图。【具体实施方式】以下结合附图对本专利技术的原理和特征进行描述，所举实例只用于解释本专利技术，并非用于限定本专利技术的范围。实施例1、一种WEB系统页面集成防盗链方法。下面结合图1-图3对本实施例提供的方法进行详细描述。参见图1，源系统WEB服务器获取预定的业务参数以及生成唯一验证值，并对该业务参数和唯一验证值按照预定规则进行拼接，得到拼接后的字符串。具体的，在源系统界面希望集成目标系统页面，源系统WEB服务器与目标系统WEB服务器之间具有约定的业务逻辑，因此，参见图2，首先源系统WEB服务器获取源系统WEB服务器与目标系统WEB服务器预先约定好的业务参数。另外，为了保证唯一性，源系统WEB服务器生成唯一验证值，比如，在本实施例中，源系统WEB服务器生成32位唯一验证值，其中，唯一验证值可以由时间戳参数(13位)和目标系统IP地址(12位)以及预定长度的随机数(本实施例的随机数定为7位)组合而成，通过DES-ECB加密生成32位的唯一验证值。在本实施例中，时间戳格式:‘月日时分秒微秒’，比如‘1110212029249’ ；目标系统IP地址不包含”，每一部分前面补‘O，补足3位，比如，目标系统的IP地址为“10.95.242.153”，经过格式化后为“010095242153”，随机数为随机生成的7位数字，如‘1234567’，将三部分数据拼接成为‘11102120292490100952421531234567’，通过DES-ECB加密生成32位的唯一验证值为 ‘8BD4DF510E74B29D903E68FCA1FA9FDF’。源系统WEB服务器获取预定的业务参数以及生成了唯一验证值后，对该预定的业务参数和唯一验证值按照预定规则进行拼接，比如，将预定的业务参数和唯一验证值通过分隔符进行拼接，拼接成一个字符串，分隔符通常使用“&”，比如，^uniqueValue = 8BD4DF510E74B29D903E68FCAlFA9FDF&groupId = 10008&loginNo = aagh6m’。S2、按照预定的加密算法对所述拼接后的字符串进行加密，获得加密后的字符串。具体的，步骤SI将获取的业务参数和唯一验证值进行拼接后，本步骤对拼接后的字符串按照预定的加密算法进行加密，保证了数据传输过程中的安全性，以免字符串被人偷窥。在本实施例中，将预设的唯一码，比如，源系统或目标系统的工号作为密匙，该密匙由源系统WEB服务器与目标系统WEB服务器约定，并采用3DES-CBC加密算法对拼接后的字符串进行加密，形成加密后的字符串。S3、将携带有所述加密后的字符串的目标系统页面URL地址发送给目标系统WEB服务器，发起集成请求。具体的，步骤S2获取加密后的字符串后，源系统WEB服务器将该加密后的字符串嵌本文档来自技高网...

【技术保护点】
一种WEB系统页面集成防盗链方法，其特征在于，所述方法包括：S1、源系统WEB服务器获取预定的业务参数以及生成唯一验证值，并对所述业务参数和唯一验证值按照预定规则进行拼接，得到拼接后的字符串；S2、按照预定的加密算法对所述拼接后的字符串进行加密，获得加密后的字符串；S3、将携带有所述加密后的字符串的目标系统页面URL地址发送给目标系统WEB服务器，发起集成请求；S4、目标系统WEB服务器接收到所述携带有加密后的字符串的目标系统页面URL地址，对其进行解密，得到解密后的业务参数和唯一验证值；S5、将所述得到的唯一验证值在预定的数据库中进行查找；S6、根据查找结果，允许源系统页面根据所述业务参数集成目标系统页面或者拒绝源系统页面集成目标系统页面。

【技术特征摘要】

【专利技术属性】
技术研发人员：陈敏，
申请(专利权)人：北京思特奇信息技术股份有限公司，
类型：发明
国别省市：北京;11