一种服务接口的安全接入方法和装置制造方法及图纸

本发明专利技术公开了一种服务接口的安全接入方法和装置，涉及计算机技术领域。该方法一具体实施方式包括：服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌，并将所述令牌下发到所述请求令牌的客户端，以及保存所述令牌与所述请求令牌的客户端之间的对应关系；当所述服务器端收到一待接入客户端发来的接入请求时，根据保存的所述对应关系验证所述待接入客户端是否为所述请求令牌的客户端，若所述验证通过，则允许所述待接入客户端接入所述服务接口，否则，拒绝所述待接入客户端接入所述服务接口。该实施方式在成本允许情况下增强后台服务器端的身份验证能力、数据完整性和防刷能力。

【技术实现步骤摘要】
一种服务接口的安全接入方法和装置
本专利技术涉及计算机
，尤其涉及一种服务接口的安全接入方法和装置。
技术介绍
随着互联网时代的到来，越来越多的服务从线下转到线上，应用体量不断增长。由于一些特殊场景的需要，传统的网络请求技术(短连接)已经很难满足，于是更符合这些特定场景的长连接技术慢慢发展起来。由于长连接技术的特定属性，在设计此类服务的时候就必须要谨慎设计策略方案来保证后台服务资源可以最大化地用在有效的服务上，否则一些简单地恶意攻击就会极大的影响服务的可用性和健壮性。现在业内最常用的对于长连接的攻击模式包括伪造身份以及刷接口，其中，伪造身份如果不防范会造成一些非法恶意请求来攻击服务，达成个人非法目的等；刷接口如果不防范对于长连接会很容易造成连接数达到上限，合法用户无法建立新连接从而导致服务不可用。现有的对于身份验证主要的方案是通过在客户端(主要在客户端Cookie(为存储在浏览器目录中的文本文件))存放服务端下发的信息，服务端在下发信息的同时也在服务端记录此信息，一般服务端信息有一定的时效性，在一段时间内以此信息来表明用户身份，服务端在收到请求的同时验证此Cookie中的信息是否在服务端有过记录，有记录则通过请求，反之请求不合法。以上方案存在诸多缺陷：第一，Cookie中信息非常容易被第三方获取，一旦第三方获取该信息则完全有能力通过修改Cookie来伪造身份，从而通过身份验证；第二，第三方可以对Cookie进行篡改，在一些情况下也容易对服务端造成有目的的破坏；第三，Cookie中的信息在失效之前可以被反复使用，第三方在获取信息后可以对服务端进行请求攻击，从而压垮服务器造成服务不可用。在实现本专利技术过程中，专利技术人发现现有技术中至少存在如下问题：现有的方案无法有效地验证请求者身份，无法防止Cookie中的信息被盗用或篡改，无法满足服务端的防刷要求，从而无法有效抵御对服务器的非法攻击。
技术实现思路
有鉴于此，本专利技术实施例提供一种服务接口的安全接入方法和装置，使得服务器端下发给某客户端的令牌(token)只有该客户端才能使用，防止恶意攻击者盗用令牌来通过身份验证，保证令牌无法被篡改，保证数据完整性，防止了恶意攻击者用合法令牌来多次刷后台服务接口，在成本允许的情况下增强了后台服务器端的身份验证能力、数据完整性和防刷能力。为实现上述目的，根据本专利技术实施例的一个方面，提供了一种服务接口的安全接入方法。一种服务接口的安全接入方法，包括：服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌，并将所述令牌下发到所述请求令牌的客户端，以及保存所述令牌与所述请求令牌的客户端之间的对应关系；当所述服务器端收到一待接入客户端发来的接入请求时，根据保存的所述对应关系验证所述待接入客户端是否为所述请求令牌的客户端，若所述验证通过，则允许所述待接入客户端接入所述服务接口，否则，拒绝所述待接入客户端接入所述服务接口。可选地，所述服务器端包括第一服务端和所述服务接口所在的第二服务端，服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌的步骤之前，还包括：服务器端根据预设的校验规则校验请求令牌的客户端发来的令牌获取请求，并确定所述令牌获取请求校验通过。可选地，所述令牌获取请求包括预先生成的验签，还包括所述请求令牌的客户端的请求时间戳和设备标识，所述预设的校验规则包括校验所述令牌获取请求的合法性和有效性，服务器端根据预设的校验规则校验请求令牌的客户端发来的令牌获取请求，并确定所述令牌获取请求校验通过的步骤包括：通过所述第一服务端的网关解析所述令牌获取请求中的验签，如果解析成功，则所述令牌获取请求合法，否则，所述令牌获取请求不合法；若所述令牌获取请求合法，则通过所述第一服务端判断是否存在所述请求令牌的客户端的请求时间戳和设备标识的关联存储记录，若存在，则判定所述令牌获取请求无效，若不存在，则判断所述请求时间戳是否过期，若所述请求时间戳过期，则判定所述令牌获取请求无效，若所述请求时间戳未过期，则判定所述令牌获取请求有效；当所述令牌获取请求合法且有效时，确定所述令牌获取请求校验通过。可选地，所述接入请求包括所述待接入客户端的接入令牌和设备标识，保存所述令牌与所述请求令牌的客户端之间的对应关系的步骤，包括：保存所述令牌与对应的所述请求令牌的客户端的设备标识之间的匹配关系，根据保存的所述对应关系验证所述待接入客户端是否为所述请求令牌的客户端的步骤，包括：通过所述第二服务端判断保存的所述令牌与对应的所述请求令牌的客户端的设备标识之间的匹配关系之中，是否存在所述待接入客户端的接入令牌和设备标识之间的匹配关系，若存在，则所述验证通过，否则，所述验证不通过。可选地，允许所述待接入客户端接入所述服务接口的步骤之后，还包括：从保存的所述令牌与对应的所述请求令牌的客户端的设备标识之间的匹配关系之中，删除所述待接入客户端的接入令牌和设备标识之间的匹配关系。可选地，服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌的步骤之后，还包括：关联存储所述请求令牌的客户端的请求时间戳和设备标识。根据本专利技术实施例的另一方面，提供了另一种服务接口的安全接入方法。一种服务接口的安全接入方法，包括：客户端向服务器端发送令牌获取请求，并接收所述服务器端下发的令牌；所述客户端将所述令牌添加在用于请求接入所述服务接口的接入请求中，以便所述服务器端验证所述客户端是否为被下发所述令牌的客户端；当所述验证的结果为验证通过，所述客户端接入所述服务接口。可选地，所述服务器端包括第一服务端和所述服务接口所在的第二服务端，客户端向服务器端发送令牌获取请求，并接收所述服务器端下发的令牌的步骤，包括：客户端向所述第一服务端发送令牌获取请求，并接收所述第一服务端下发的令牌；所述客户端将所述令牌添加在用于请求接入所述服务接口的接入请求中，以便所述服务器端验证所述客户端是否为被下发所述令牌的客户端的步骤，包括：所述客户端将所述令牌添加在用于向第二服务端请求接入所述服务接口的接入请求中，以便所述第二服务端验证所述客户端是否为被下发所述令牌的客户端。可选地，所述令牌获取请求包括验签、请求时间戳和所述客户端的设备标识，客户端向所述第一服务端发送令牌获取请求的步骤之前，还包括：客户端使用与所述第一服务端的网关对应的集成工具生成所述验签。可选地，在所述客户端接入所述服务接口之后，所述令牌失效。可选地，所述接入请求还包括所述客户端的设备标识，当所述令牌和所述客户端的设备标识之间的匹配关系与所述服务器端保存的一已下发令牌和被下发所述一已下发令牌的客户端的设备标识之间的匹配关系一致，则所述第二服务端通过所述验证。根据本专利技术实施例的又一方面，提供了一种服务接口的安全接入装置。一种服务接口的安全接入装置，用于服务器端，包括：令牌生成模块，用于根据请求令牌的客户端发来的令牌获取请求生成令牌，并将所述令牌下发到所述请求令牌的客户端，以及保存所述令牌与所述请求令牌的客户端之间的对应关系；服务接入模块，用于当收到一待接入客户端发来的接入请求时，根据保存的所述对应关系验证所述待接入客户端是否为所述请求令牌的客户端，若所述验证通过，则允许所述待接入客户端接入所述服务接口，否则，拒绝所述待接入客户端接入所述服务接口。根据本专利技术实施本文档来自技高网...

【技术保护点】
1.一种服务接口的安全接入方法，其特征在于，包括：服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌，并将所述令牌下发到所述请求令牌的客户端，以及保存所述令牌与所述请求令牌的客户端之间的对应关系；当所述服务器端收到一待接入客户端发来的接入请求时，根据保存的所述对应关系验证所述待接入客户端是否为所述请求令牌的客户端，若所述验证通过，则允许所述待接入客户端接入所述服务接口，否则，拒绝所述待接入客户端接入所述服务接口。

【技术特征摘要】
1.一种服务接口的安全接入方法，其特征在于，包括：服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌，并将所述令牌下发到所述请求令牌的客户端，以及保存所述令牌与所述请求令牌的客户端之间的对应关系；当所述服务器端收到一待接入客户端发来的接入请求时，根据保存的所述对应关系验证所述待接入客户端是否为所述请求令牌的客户端，若所述验证通过，则允许所述待接入客户端接入所述服务接口，否则，拒绝所述待接入客户端接入所述服务接口。2.根据权利要求1所述的方法，其特征在于，所述服务器端包括第一服务端和所述服务接口所在的第二服务端，服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌的步骤之前，还包括：服务器端根据预设的校验规则校验请求令牌的客户端发来的令牌获取请求，并确定所述令牌获取请求校验通过。3.根据权利要求2所述的方法，其特征在于，所述令牌获取请求包括预先生成的验签，还包括所述请求令牌的客户端的请求时间戳和设备标识，所述预设的校验规则包括校验所述令牌获取请求的合法性和有效性，服务器端根据预设的校验规则校验请求令牌的客户端发来的令牌获取请求，并确定所述令牌获取请求校验通过的步骤包括：通过所述第一服务端的网关解析所述令牌获取请求中的验签，如果解析成功，则所述令牌获取请求合法，否则，所述令牌获取请求不合法；若所述令牌获取请求合法，则通过所述第一服务端判断是否存在所述请求令牌的客户端的请求时间戳和设备标识的关联存储记录，若存在，则判定所述令牌获取请求无效，若不存在，则判断所述请求时间戳是否过期，若所述请求时间戳过期，则判定所述令牌获取请求无效，若所述请求时间戳未过期，则判定所述令牌获取请求有效；当所述令牌获取请求合法且有效时，确定所述令牌获取请求校验通过。4.根据权利要求3所述的方法，其特征在于，所述接入请求包括所述待接入客户端的接入令牌和设备标识，保存所述令牌与所述请求令牌的客户端之间的对应关系的步骤，包括：保存所述令牌与对应的所述请求令牌的客户端的设备标识之间的匹配关系，根据保存的所述对应关系验证所述待接入客户端是否为所述请求令牌的客户端的步骤，包括：通过所述第二服务端判断保存的所述令牌与对应的所述请求令牌的客户端的设备标识之间的匹配关系之中，是否存在所述待接入客户端的接入令牌和设备标识之间的匹配关系，若存在，则所述验证通过，否则，所述验证不通过。5.根据权利要求4所述的方法，其特征在于，允许所述待接入客户端接入所述服务接口的步骤之后，还包括：从保存的所述令牌与对应的所述请求令牌的客户端的设备标识之间的匹配关系之中，删除所述待接入客户端的接入令牌和设备标识之间的匹配关系。6.根据权利要求3所述的方法，其特征在于，服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌的步骤之后，还包括：关联存储所述请求令牌的客户端的请求时间戳和设备标识。7.一种服务接口的安全接入方法，其特征在于，包括：客户端向服务器端发送令牌获取请求，并接收所述服务器端下发的令牌；所述客户端将所述令牌添加在用于请求接入所述服务接口的接入...

【专利技术属性】
技术研发人员：吴骏宇，
申请(专利权)人：北京京东尚科信息技术有限公司，北京京东世纪贸易有限公司，
类型：发明
国别省市：北京,11