本发明专利技术提供一种跨域系统登录验证的方法和装置,能够解决跨域名子系统的用户身份合法性校验问题,并且能够实现在子站点内进行用户身份的合法性验证,防止SID标识被盗用,保证子站下的用户信息安全。本发明专利技术的跨域系统登录验证的方法包括:接收客户端发来的请求,并判断该请求的参数中是否包含唯一标识符;如果该参数中包含唯一标识符,则根据该唯一标识符获取位于客户端的第一验证参数和位于服务器的第二验证参数,并判断第一验证参数和第二验证参数是否匹配;如果第一验证参数和第二验证参数匹配,则根据该唯一标识符从服务器获取用户的登录状态,并判断登录状态是否为登录成功;如果登录状态为登录成功,则登录验证通过。
【技术实现步骤摘要】
本专利技术涉及计算机
,特别地涉及一种跨域系统登录验证的方法和装置。
技术介绍
主站是由许多不同的子站点组成的系统,主站及其下面的子站可以具有相同的域名,也可具有不同的域名。主站系统有统一的用户登录入口,用户登录主站后,系统会为每个用户生成一个登录标识,子站点将根据这个登录标识来判断用户是否登录以及获取用户信息。目前,在判断用户身份的合法性时,通常采用在客户端写入cookie的方式来进行验证,具体方法为:用户登录生成唯一标识SID(SecurityIdentifiers,安全标识符);将SID加密后写入客户端cookie;用户访问需要登录的页面时,系统取得客户端cookie中的加密串进行验证;验证通过则展示页面,验证不通过则跳转到登录页。这种方法在主站和子站域名相同时能够正常地进行合法性验证,而在主站和子站域名不同时,则无法进行身份合法性验证,并会带来一些用户信息安全问题。由于根据cookie的规范,不同域名之间无法共享cookie,例如:域名b.aa.com下的应用无法访问c.aa.com域名下的cookie。那么,采用上述的方法则只要校验SID有效就判定为用户登录过系统,而无法验证用户身份的合法性,从而无法保证所有通过身份验证的用户都是合法用户。例如:子站点将根据上述SID标识来判断用户是否登录以及获取用户信息,当A用户登录后将子站点页面链接分享给B用户时,B用户将得到A用户的登录标识SID,B用户就可以利用这个登录标识以A用户的身份进行操作,如果B用户不是合法用户,那么将会导致A用户的信息泄漏。可见,现有方法在使用过程中,无法解决跨域名子系统的用户身份合法性校验问题。
技术实现思路
有鉴于此,本专利技术提供一种跨域系统登录验证的方法和装置,能够在子站点内进行用户身份的合法性验证,防止SID标识被盗用,从而保证子站下的用户信息安全。为实现上述目的,根据本专利技术的一个方面,提供了一种跨域系统登录验证的方法。一种跨域系统登录验证的方法,包括:接收客户端发来的请求,并判断所述请求的参数中是否包含唯一标识符;如果所述请求的参数中包含所述唯一标识符,则根据所述唯一标识符获取第一验证参数和第二验证参数,并判断所述第一验证参数和所述第二验证参数是否匹配,其中,所述第一验证参数位于客户端,所述第二验证参数位于服务器;如果所述第一验证参数和所述第二验证参数匹配,则根据所述唯一标识符从所述服务器获取用户的登录状态,并判断所述登录状态是否为登录成功;如果所述登录状态为登录成功,则登录验证通过。可选地,如果所述请求的参数中不包含所述唯一标识符,则登录验证不通过。可选地,如果所述第一验证参数和所述第二验证参数不匹配,则登录验证不通过。可选地,如果所述登录状态不是登录成功,则登录验证不通过。可选地,所述第一验证参数和所述第二验证参数匹配包括:所述第一验证参数和所述第二验证参数都存在,且所述第一验证参数和所述第二验证参数中相关字段相同;和所述第一验证参数和所述第二验证参数都不存在;并且,所述第一验证参数和所述第二验证参数不匹配包括:所述第一验证参数和所述第二验证参数都存在,但是所述第一验证参数和所述第二验证参数中相关字段不相同;和所述第一验证参数和所述第二验证参数两者中只存在其中一个。可选地,所述第一验证参数和所述第二验证参数都不存在的步骤之后,还包括:生成匹配的第一验证参数和第二验证参数,并将所述生成的第一验证参数保存在客户端,将所述生成的第二验证参数保存在服务器。根据本专利技术的另一方面,提供了一种跨域系统登录验证的装置。一种跨域系统登录验证的装置,包括:用户请求接收模块,用于接收客户端发来的请求,并判断所述请求的参数中是否包含唯一标识符;参数匹配判断模块,用于如果所述请求的参数中包含所述唯一标识符,则根据所述唯一标识符获取第一验证参数和第二验证参数,并判断所述第一验证参数和所述第二验证参数是否匹配,其中,所述第一验证参数位于客户端,所述第二验证参数位于服务器;登录状态判断模块,用于如果所述第一验证参数和所述第二验证参数匹配,则根据所述唯一标识符从所述服务器获取用户的登录状态,并判断所述登录状态是否为登录成功;用户登录验证模块,用于如果所述登录状态为登录成功,则登录验证通过。可选地,所述用户登录验证模块还用于:如果所述请求的参数中不包含所述唯一标识符时,则登录验证不通过。可选地,所述用户登录验证模块还用于:如果所述第一验证参数和所述第二验证参数不匹配,则登录验证不通过。可选地,所述用户登录验证模块还用于:如果所述登录状态不是登录成功,则登录验证不通过。可选地,所述第一验证参数和所述第二验证参数匹配包括:所述第一验证参数和所述第二验证参数都存在,且所述第一验证参数和所述第二验证参数中相关字段相同;和所述第一验证参数和所述第二验证参数都不存在;并且,所述第一验证参数和所述第二验证参数不匹配包括:所述第一验证参数和所述第二验证参数都存在,但是所述第一验证参数和所述第二验证参数中相关字段不相同;和所述第一验证参数和所述第二验证参数两者中只存在其中一个。可选地,还包括验证参数生成模块,用于如果所述第一验证参数和所述第二验证参数都不存在,则生成匹配的第一验证参数和第二验证参数,并将所述生成的第一验证参数保存在客户端,将所述生成的第二验证参数保存在服务器。根据本专利技术的技术方案,通过引入两个验证参数,一个验证参数保存在客户端的cookie中,另一个验证参数保存在服务器的缓存中,并根据对引入的两个验证参数进行比对得到的校验结果,来判断用户是否合法或登录成功。使用本专利技术的技术方案,能够解决跨域名子系统的用户身份合法性校验问题,并且能够实现在子站点内进行用户身份的合法性验证,防止SID标识被盗用,保证子站下的用户信息安全。附图说明附图用于更好地理解本专利技术,不构成对本专利技术的不当限定。其中:图1是根据本专利技术实施例的跨域系统登录验证的方法的主要步骤示意图;图2是根据本专利技术实施例的跨域系统登录验证的装置的主要模块示意图;图3是根据本专利技术实施例的跨域系统登录验证的方法实现流程示意图。具体实施方式以下结合附图对本专利技术的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技本文档来自技高网...
【技术保护点】
一种跨域系统登录验证的方法,其特征在于,包括:接收客户端发来的请求,并判断所述请求的参数中是否包含唯一标识符;如果所述请求的参数中包含所述唯一标识符,则根据所述唯一标识符获取第一验证参数和第二验证参数,并判断所述第一验证参数和所述第二验证参数是否匹配,其中,所述第一验证参数位于客户端,所述第二验证参数位于服务器;如果所述第一验证参数和所述第二验证参数匹配,则根据所述唯一标识符从所述服务器获取用户的登录状态,并判断所述登录状态是否为登录成功;如果所述登录状态为登录成功,则登录验证通过。
【技术特征摘要】
1.一种跨域系统登录验证的方法,其特征在于,包括:
接收客户端发来的请求,并判断所述请求的参数中是否包含唯一
标识符;
如果所述请求的参数中包含所述唯一标识符,则根据所述唯一标
识符获取第一验证参数和第二验证参数,并判断所述第一验证参数和
所述第二验证参数是否匹配,其中,所述第一验证参数位于客户端,
所述第二验证参数位于服务器;
如果所述第一验证参数和所述第二验证参数匹配,则根据所述唯
一标识符从所述服务器获取用户的登录状态,并判断所述登录状态是
否为登录成功;
如果所述登录状态为登录成功,则登录验证通过。
2.根据权利要求1所述的方法,其特征在于,还包括:
如果所述请求的参数中不包含所述唯一标识符,则登录验证不通
过。
3.根据权利要求1所述的方法,其特征在于,还包括:
如果所述第一验证参数和所述第二验证参数不匹配,则登录验证
不通过。
4.根据权利要求1所述的方法,其特征在于,还包括:
如果所述登录状态不是登录成功,则登录验证不通过。
5.根据权利要求1或3所述的方法,其特征在于,所述第一验证
参数和所述第二验证参数匹配包括:
所述第一验证参数和所述第二验证参数都存在,且所述第一验证
参数和所述第二验证参数中相关字段相同;和
所述第一验证参数和所述第二验证参数都不存在;
并且,所述第一验证参数和所述第二验证参数不匹配包括:
所述第一验证参数和所述第二验证参数都存在,但是所述第一验
证参数和所述第二验证参数中相关字段不相同;和
所述第一验证参数和所述第二验证参数两者中只存在其中一个。
6.根据权利要求5所述的方法,其特征在于,所述第一验证参数
和所述第二验证参数都不存在的步骤之后,还包括:
生成匹配的第一验证参数和第二验证参数,并将所述生成的第一
验证参数保存在客户端,将所述生成的第二验证参数保存在服务器。
7.一种跨域系统登录验证的装置,其特征在于,包括:
用户请求接收模块,用于接收客户端发来的请求,并...
【专利技术属性】
技术研发人员:王冠,
申请(专利权)人:北京京东尚科信息技术有限公司,北京京东世纪贸易有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。