【技术实现步骤摘要】
本申请涉及通信
,特别涉及一种授权验证方法。本申请同时还涉及一种验证设备。
技术介绍
随着互联网技术的不断普及,网络所能够提供给用户的功能越来越多。对于网站来说,其为不同的层次或是权限的用户提供差异化的服务也变得越来越重要。在现有技术中,当用户使用网站某一个功能时,由于页面浏览器是在客户端本地渲染的,因此不法用户有可能会通过修改水平权限的方式来篡改修改页面上某些参数,从而非法访问它人的数据。举例来说,假设用户a和用户b都拥有网站某个功能的授权,用户a的网站id为1,用户b的网站id为100,当用户a获得网站授权后,可能会通过将网站的URL地址:http://xxxx.com?id=1试图修改为用户b的http://xxxx.com?id=id=100,因此试图在浏览器客户端页面篡改参数以得到用户b的数据。针对以上问题,现有技术通过数据库验证(db验证)的方式来对当前访问链接的用户进行授权的验证。假设用户在访问http://abc.com/a.htm?id=100时试图将id100修为为id=1000来试图绕过授权验证,服务器在收到客户端的访问请求后会针对其...
【技术保护点】
一种授权验证方法,所述方法应用于服务器,其特征在于,该方法包括:接收客户端发送的页面访问请求,所述页面访问请求为所述客户端根据用户对初始授权页面的操作生成,所述初始授权页面中的业务链接含有签名信息,所述签名信息为所述服务器在确认所述用户登录成功后生成的;获取所述页面访问请求中携带的业务链接的签名信息;判断与所述用户对应的签名信息与所述页面访问请求中携带的签名信息是否一致;当与所述用户对应的签名信息与所述页面访问请求中携带的签名信息一致,确认授权验证通过。
【技术特征摘要】
1.一种授权验证方法,所述方法应用于服务器,其特征在于,该方法包括:接收客户端发送的页面访问请求,所述页面访问请求为所述客户端根据用户对初始授权页面的操作生成,所述初始授权页面中的业务链接含有签名信息,所述签名信息为所述服务器在确认所述用户登录成功后生成的;获取所述页面访问请求中携带的业务链接的签名信息;判断与所述用户对应的签名信息与所述页面访问请求中携带的签名信息是否一致;当与所述用户对应的签名信息与所述页面访问请求中携带的签名信息一致,确认授权验证通过。2.如权利要求1所述的方法,其特征在于,在接收所述客户端发送的页面访问请求之前,还包括:接收所述客户端发送的登录请求,所述登录请求中携带所述用户的登录信息;当根据所述登录信息判断所述用户登录成功时,生成与所述用户对应的签名信息,并将所述签名信息植入所述初始授权页面中的业务链接。3.如权利要求2所述的方法,其特征在于,生成与所述用户对应的签名信息,具体为:将签名组成部分进行拼接,并对所述拼接处理后的结果进行签名处理;将所述签名处理后生成的加密串作为所述签名信息。4.如权利要求1所述的方法,其特征在于,在接收客户端发送的页面访问请求之后,还包括:获取所述页面访问请求中携带的初始授权页面的业务链接;识别所述业务链接是否需要验证签名;当识别所述业务链接需要验证签名时,继续获取所述页面访问请求中携
\t带的签名信息;当识别所述业务链接不需要验证签名时,确认授权验证通过。5.如权利要求1-4任一项所述的方法,其特征在于,所述业务链接包括业务链接以及业务表单,所述签名组成部分,至少包括以下类型:排序后的参数、所述用户的...
【专利技术属性】
技术研发人员:吕建文,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。