应用于电信运营商电子渠道的http请求参数校验方法技术

本发明专利技术具体涉及一种应用于电信运营商电子渠道的http请求参数校验方法，包括：一：校验数据生成时将敏感内容计算校验字段；所述敏感内容为商品编号和/或价格折扣数据的数据参与生成校验数据S，并且服务端将生成的校验数据S，放入cookie字段，通过报文返回给用户前端浏览器；二对用户浏览器操作校验过程用户在浏览器端进行操作，选择相应的商品和价格折扣，并提交给服务端；服务端对用户的请求参数进行校验；读取用户选择的商品和价格折扣，根据用户选择的内容输出与内容对应的业务编码Code1；对Code1计算请求参数S1，服务端对校验数据S和请求参数S1进行比较，如果不一样，说明请求参数是浏览器侧非法修改或伪造内容，处理失败。

HTTP request parameter verification method applied to telecom operators'electronic channels

【技术实现步骤摘要】
应用于电信运营商电子渠道的http请求参数校验方法
本专利技术属于电信运营商电子渠道与互联网软件系统领域，具体涉及一种应用于电信运营商电子渠道的http请求参数校验方法。
技术介绍
“掌上营业厅”是移动运营商在电子渠道方面比较重要的一项移动互联网产品，因其活跃用户众多、承载大部分移动公司的业务、业界知名度高、经常开展优惠的互联网活动等特点，尤其是涉及到一些折扣与免费的业务成为非法用户的重点攻击对象。因此业内在办理上述敏感业务时通常通过发送验证数据进行验证。常见的http请求交互过程中，请求参数通过url或者requestbody等形式传输。但是由于http请求的开放性，使得请求参数很容易被拦截篡改。部分非法用户使用工具或编程方式，修改了htpp请求参数内容，导致服务端处理异常。现有的解决问题的方法是：在后端做权限验证，验证内容放在运营商的服务端的httpsession数据里。举例说明：先计算签名参数sign；假设用户浏览器端传输来的数据是：http://www.xxx.com/interface.aspxsign=sign_value&p2=v2&p1=v1&method=cancel&p3=&pn=vn；其中sign参数对应的sign_value就是签名的值。第一步，拼接字符串，首先去除sign参数本身，然后去除值是空的参数p3，剩下p2=v2&p1=v1&method=cancel&pn=vn，然后按参数名字符升序排序，method=cancel&p1=v1&p2=v2&pn=vn.第二步，然后做参数名和值的拼接，最后得到methodcancelp1v1p2v2pnvn第三步，在上面拼接得到的字符串前加上验证密钥key，我们假设是abc，得到新的字符串abcmethodcancelp1v1p2v2pnvn第四步，然后将这个字符串进行md5计算，假设得到的是abcdef，然后转为大写，得到ABCDEF这个值即为sign签名值。第五步：根据前面描述的签名参数sign生成的方法规则，计算得到参数的签名值，和参数中[Z1]过来的sign对应的参数值进行对比，如果是一致的，那么就校验通过，如果不一致，说明参数被修改过。上述现有的方法存在以下问题：在分布式集群系统中，应用服务可能是无状态的，并且多次请求有可能不在同一台服务端的服务器上处理，导致session数据获取不到。
技术实现思路
1、所要解决的技术问题：为了解决上述问题，本专利技术提供的方法一种应用于电信运营商电子渠道的http请求参数校验方法是基于cookie的http请求参数校验方法，本方法可以避免非法用户修改请求参数，防止一些折扣或免费业务被非法办理。2、技术方案：一种应用于电信运营商电子渠道的http请求参数校验方法，包括以下步骤：一：校验数据生成步骤为：1.1服务端返回给浏览器端的数据时，对敏感内容计算校验字段；所述敏感内容为商品编号和/或价格折扣数据；校验数据S生成方法如下：S=Hash（K，Userid，T，Code）；其中S是生成后的校验数据，Hash是生成算法，K是预设保密的密钥，参与Hash运算；Userid是用户标识；T是时间，为当前时间或有效期；Code是敏感内容；1.2：服务端将生成的校验数据S，放入cookie字段，通过报文返回给前端浏览器；二对用户浏览器操作校验过程为：2.1用户在浏览器端进行操作，选择相应的商品和价格折扣，并提交给服务端；2.2服务端对用户的请求参数进行校验；读取用户选择的商品和价格折扣，根据用户选择的内容输出与内容对应的业务编码Code1；对Code1计算请求参数S1，算法如下S1=Hash（K，Userid，T，Code1）；2.3服务端对校验数据S和请求参数S1进行比较，如果不一样，说明请求参数是浏览器侧非法修改或伪造内容，处理失败；如果是一样的，进行正常的业务办理。所述生成校验数据S和请求参数S1的算法都采用Md5算法。所述生成校验数据S和请求参数S1的算法都采用Sh1算法。3、有益效果：（1）本方法是借用用户浏览器的cookie进行存储，避免分布式集群系统的跨机器读取session失败。（2）在本方法中每个用户的用户ID参与运算，校验数据只对本用户有效，不可复制到其他用户。（3）在本专利技术中校验数据生成因子中可以加入有效期，本校验数据只在某个时间段内有效。附图说明图1为本专利技术的流程图。具体实施方式下面结合付他对本专利技术进行说明。一种应用于电信运营商电子渠道的http请求参数校验方法，包括以下步骤：一：校验数据生成步骤为：1.1服务端返回给浏览器端的数据时，对敏感内容计算校验字段；所述敏感内容为商品编号和/或价格折扣数据；校验数据S生成方法如下：S=Hash（K，Userid，T，Code）；其中S是生成后的校验数据，Hash是生成算法，K是预设保密的密钥，参与Hash运算；Userid是用户标识；T是时间，为当前时间或有效期；Code是敏感内容；1.2：服务端将生成的校验数据S，放入cookie字段，通过报文返回给前端浏览器；二对用户浏览器操作校验过程为：2.1用户在浏览器端进行操作，选择相应的商品和价格折扣，并提交给服务端；2.2服务端对用户的请求参数进行校验；读取用户选择的商品和价格折扣，根据用户选择的内容输出与内容对应的业务编码Code1；对Code1计算请求参数S1，算法如下S1=Hash（K，Userid，T，Code1）；2.3服务端对校验数据S和请求参数S1进行比较，如果不一样，说明请求参数是浏览器侧非法修改或伪造内容，处理失败；如果是一样的，进行正常的业务办理。所述生成校验数据S和请求参数S1的算法都采用Md5算法。所述生成校验数据S和请求参数S1的算法都采用Sh1算法。图1中ECP为业务处理服务平台，从图1中可以看出，本方法是通过ECP对办理接口进行统一校验，无须关注渠道侧的各类办理入口，可以避免遗漏。并且将可办理的业务编码通过加密方式存储在用户侧cookie中，服务侧无需要单独提供存储空间。虽然本专利技术已以较佳实施例公开如上，但它们并不是用来限定本专利技术的，任何熟习此技艺者，在不脱离本专利技术之精神和范围内，自当可作各种变化或润饰，因此本专利技术的保护范围应当以本申请的权利要求保护范围所界定的为准。本文档来自技高网...

【技术保护点】
1.应用于电信运营商电子渠道的http请求参数校验方法，其特征在于：包括以下步骤：一：校验数据生成步骤为：1.1服务端返回给浏览器端的数据时，对敏感内容计算校验字段；所述敏感内容包括：商品编号和/或价格折扣数据；校验数据S生成方法如下：S=Hash（K， Userid，T， Code）；其中S是生成后的校验数据，Hash是生成算法，K是预设保密的密钥，参与Hash运算；Userid是用户标识；T是时间，为当前时间或有效期；Code是敏感内容；1.2：服务端将生成的校验数据S，放入cookie字段，通过报文返回给前端浏览器；二对用户浏览器操作校验过程为：2.1用户在浏览器端进行操作，选择相应的商品和价格折扣，并提交给服务端；2.2服务端对用户的请求参数进行校验；读取用户选择的商品和价格折扣，根据用户选择的内容输出与内容对应的业务编码Code1；对Code1计算请求参数S1，算法如下S1=Hash（K， Userid，T， Code1）；2.3服务端对校验数据S和请求参数S1进行比较，如果不一样，说明请求参数是浏览器侧非法修改或伪造内容，处理失败；如果是一样的，进行正常的业务办理。

【技术特征摘要】
1.应用于电信运营商电子渠道的http请求参数校验方法，其特征在于：包括以下步骤：一：校验数据生成步骤为：1.1服务端返回给浏览器端的数据时，对敏感内容计算校验字段；所述敏感内容包括：商品编号和/或价格折扣数据；校验数据S生成方法如下：S=Hash（K，Userid，T，Code）；其中S是生成后的校验数据，Hash是生成算法，K是预设保密的密钥，参与Hash运算；Userid是用户标识；T是时间，为当前时间或有效期；Code是敏感内容；1.2：服务端将生成的校验数据S，放入cookie字段，通过报文返回给前端浏览器；二对用户浏览器操作校验过程为：2.1用户在浏览器端进行操作，选择相应的商品和价格折扣，并提交给服务端；2.2服...

【专利技术属性】
技术研发人员：石光捷，张良，付飞龙，张晓莉，
申请(专利权)人：南京欣网互联网络科技有限公司，
类型：发明
国别省市：江苏,32