【技术实现步骤摘要】
一种基于JWT协议的信息传递安全方法
本专利技术涉及一种信息传递安全方法,更具体地说,涉及一种基于JWT协议的信息传递安全方法。
技术介绍
身份认证场景下,一旦用户完成了登陆,在接下来的每个请求中需要包含可信TOKEN,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。JWT由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术。信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的风险。JSONWEBToken(JWT),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成:头信息(header),消息体(payload)和签名(signature)。在LocalStorage中保存敏感信息并不安全,容易受到跨站脚本攻击,跨站脚本(Crosssitescript,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”,这些脚本代码可以盗取cook...
【技术保护点】
1.一种基于JWT协议的信息传递安全方法,其特征在于,所述基于JWT协议的信息传递安全方法中在Payload部分增加state字段,state属性由服务端生成随机唯一的数,并在redis中以state其值为key,申请方ID为value进行保存;客户端携带JWT令牌由协议中的原样发出,优化为增加客户端动态一次性口令,以校验客户端身份。
【技术特征摘要】
1.一种基于JWT协议的信息传递安全方法,其特征在于,所述基于JWT协议的信息传递安全方法中在Payload部分增加state字段,state属性由服务端生成随机唯一的数,并在redis中以state其值为key,申请方ID为value进行保存;客户端携带JWT令牌由协议中的原样发出,优化为增加客户端动态一次性口令,以校验客户端身份。2.根据权利要求1所述的基于JWT协议的信息传递安全方法,其特征在于,所述基于JWT协议的信息传递安全方法步骤为:S1首先由令牌申请方发起认证请求,请求时应包含申请方ID等信息;S2服务端接受到请求后,判断用户是否已登录,未登录则需完成登录校验,最后服务端生成传统JWT的三段式票据信息,其中在Payload部分需增加state字段,...
【专利技术属性】
技术研发人员:杨一蛟,谢坚,
申请(专利权)人:深圳竹云科技有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。