【技术实现步骤摘要】
一种服务接口的安全接入方法和装置
本专利技术涉及计算机
,尤其涉及一种服务接口的安全接入方法和装置。
技术介绍
随着互联网时代的到来,越来越多的服务从线下转到线上,应用体量不断增长。由于一些特殊场景的需要,传统的网络请求技术(短连接)已经很难满足,于是更符合这些特定场景的长连接技术慢慢发展起来。由于长连接技术的特定属性,在设计此类服务的时候就必须要谨慎设计策略方案来保证后台服务资源可以最大化地用在有效的服务上,否则一些简单地恶意攻击就会极大的影响服务的可用性和健壮性。现在业内最常用的对于长连接的攻击模式包括伪造身份以及刷接口,其中,伪造身份如果不防范会造成一些非法恶意请求来攻击服务,达成个人非法目的等;刷接口如果不防范对于长连接会很容易造成连接数达到上限,合法用户无法建立新连接从而导致服务不可用。现有的对于身份验证主要的方案是通过在客户端(主要在客户端Cookie(为存储在浏览器目录中的文本文件))存放服务端下发的信息,服务端在下发信息的同时也在服务端记录此信息,一般服务端信息有一定的时效性,在一段时间内以此信息来表明用户身份,服务端在收到请求的同时验证此Cookie中的信息是否在服务端有过记录,有记录则通过请求,反之请求不合法。以上方案存在诸多缺陷:第一,Cookie中信息非常容易被第三方获取,一旦第三方获取该信息则完全有能力通过修改Cookie来伪造身份,从而通过身份验证;第二,第三方可以对Cookie进行篡改,在一些情况下也容易对服务端造成有目的的破坏;第三,Cookie中的信息在失效之前可以被反复使用,第三方在获取信息后可以对服务端进行请求攻 ...
【技术保护点】
1.一种服务接口的安全接入方法,其特征在于,包括:服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌,并将所述令牌下发到所述请求令牌的客户端,以及保存所述令牌与所述请求令牌的客户端之间的对应关系;当所述服务器端收到一待接入客户端发来的接入请求时,根据保存的所述对应关系验证所述待接入客户端是否为所述请求令牌的客户端,若所述验证通过,则允许所述待接入客户端接入所述服务接口,否则,拒绝所述待接入客户端接入所述服务接口。
【技术特征摘要】
1.一种服务接口的安全接入方法,其特征在于,包括:服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌,并将所述令牌下发到所述请求令牌的客户端,以及保存所述令牌与所述请求令牌的客户端之间的对应关系;当所述服务器端收到一待接入客户端发来的接入请求时,根据保存的所述对应关系验证所述待接入客户端是否为所述请求令牌的客户端,若所述验证通过,则允许所述待接入客户端接入所述服务接口,否则,拒绝所述待接入客户端接入所述服务接口。2.根据权利要求1所述的方法,其特征在于,所述服务器端包括第一服务端和所述服务接口所在的第二服务端,服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌的步骤之前,还包括:服务器端根据预设的校验规则校验请求令牌的客户端发来的令牌获取请求,并确定所述令牌获取请求校验通过。3.根据权利要求2所述的方法,其特征在于,所述令牌获取请求包括预先生成的验签,还包括所述请求令牌的客户端的请求时间戳和设备标识,所述预设的校验规则包括校验所述令牌获取请求的合法性和有效性,服务器端根据预设的校验规则校验请求令牌的客户端发来的令牌获取请求,并确定所述令牌获取请求校验通过的步骤包括:通过所述第一服务端的网关解析所述令牌获取请求中的验签,如果解析成功,则所述令牌获取请求合法,否则,所述令牌获取请求不合法;若所述令牌获取请求合法,则通过所述第一服务端判断是否存在所述请求令牌的客户端的请求时间戳和设备标识的关联存储记录,若存在,则判定所述令牌获取请求无效,若不存在,则判断所述请求时间戳是否过期,若所述请求时间戳过期,则判定所述令牌获取请求无效,若所述请求时间戳未过期,则判定所述令牌获取请求有效;当所述令牌获取请求合法且有效时,确定所述令牌获取请求校验通过。4.根据权利要求3所述的方法,其特征在于,所述接入请求包括所述待接入客户端的接入令牌和设备标识,保存所述令牌与所述请求令牌的客户端之间的对应关系的步骤,包括:保存所述令牌与对应的所述请求令牌的客户端的设备标识之间的匹配关系,根据保存的所述对应关系验证所述待接入客户端是否为所述请求令牌的客户端的步骤,包括:通过所述第二服务端判断保存的所述令牌与对应的所述请求令牌的客户端的设备标识之间的匹配关系之中,是否存在所述待接入客户端的接入令牌和设备标识之间的匹配关系,若存在,则所述验证通过,否则,所述验证不通过。5.根据权利要求4所述的方法,其特征在于,允许所述待接入客户端接入所述服务接口的步骤之后,还包括:从保存的所述令牌与对应的所述请求令牌的客户端的设备标识之间的匹配关系之中,删除所述待接入客户端的接入令牌和设备标识之间的匹配关系。6.根据权利要求3所述的方法,其特征在于,服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌的步骤之后,还包括:关联存储所述请求令牌的客户端的请求时间戳和设备标识。7.一种服务接口的安全接入方法,其特征在于,包括:客户端向服务器端发送令牌获取请求,并接收所述服务器端下发的令牌;所述客户端将所述令牌添加在用于请求接入所述服务接口的接入...
【专利技术属性】
技术研发人员:吴骏宇,
申请(专利权)人:北京京东尚科信息技术有限公司,北京京东世纪贸易有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。