The application relates to the field of information security. The application discloses an identity verification method and related equipment based on token token. The method includes: detecting the login state of the user at the client, obtaining the identity information of the user; generating a random number at the client, and obtaining the time stamp of the client, according to the identity information, random number and time stamp of the user The client generates the current token and sends the HTTP task request to the server according to the current token; when the server receives the HTTP task request, the user identity corresponding to the HTTP task request is verified and the feedback information is sent to the client according to the verification result. The application can effectively improve the security of identity verification by generating token token on the client, sending it to the server, and verifying token on the server.
【技术实现步骤摘要】
基于TOKEN令牌的身份校验方法及相关设备
本申请涉及信息安全领域,特别涉及一种基于TOKEN令牌的身份校验方法及相关设备。
技术介绍
目前,大多数远程访问系统都是前后端分离,前后端分离的项目有个最难解决的问题就是怎么去做调用鉴权,即怎么才能知道这一次请求是合法的。现在一般的做法就是用户在前端登录成功之后,后端会给前端分配一个TOKEN令牌,所述TOKEN令牌用于对请求者的身份进行校验,其中TOKEN令牌一般会规定多长时间过期,过期之后所述TOKEN就会失效,但是在所述TOKEN失效之前容易被攻击者截获,然后伪造成用户去后端请求,由此造成伪造请求攻击,导致系统潜在的风险。
技术实现思路
本申请的目的在于针对现有技术的不足,提供一种基于TOKEN令牌的身份校验方法及相关设备,通过在客户端生成TOKEN令牌,发送给服务端,并在服务器端进行TOKEN的校验,可有效提高身份校验的安全性。为达到上述目的,本申请的技术方案提供一种基于TOKEN令牌的身份校验方法及相关设备。本申请公开了一种基于TOKEN令牌的身份校验方法,包括以下步骤:在客户端对用户的登录状态进行检测,当检测到用户在客户端成功登录时,获取所述用户的身份信息;当所述用户准备发起HTTP任务请求时,在客户端生成一个随机数,并获取客户端的时戳,根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌,并根据所述当前的TOKEN令牌向服务端发送HTTP任务请求;当服务端收到所述HTTP任务请求后, ...
【技术保护点】
1.一种基于TOKEN令牌的身份校验方法,其特征在于,包括以下步骤:/n在客户端对用户的登录状态进行检测,当检测到用户在客户端成功登录时,获取所述用户的身份信息;/n当所述用户准备发起HTTP任务请求时,在客户端生成一个随机数,并获取客户端的时戳,根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌,并根据所述当前的TOKEN令牌向服务端发送HTTP任务请求;/n当服务端收到所述HTTP任务请求后,对所述HTTP任务请求对应的用户身份进行校验,并根据校验结果向客户端发送反馈信息;/n当客户端收到服务端的反馈信息后,根据所述反馈信息对本次HTTP任务请求对应的数据进行更新。/n
【技术特征摘要】
1.一种基于TOKEN令牌的身份校验方法,其特征在于,包括以下步骤:
在客户端对用户的登录状态进行检测,当检测到用户在客户端成功登录时,获取所述用户的身份信息;
当所述用户准备发起HTTP任务请求时,在客户端生成一个随机数,并获取客户端的时戳,根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌,并根据所述当前的TOKEN令牌向服务端发送HTTP任务请求;
当服务端收到所述HTTP任务请求后,对所述HTTP任务请求对应的用户身份进行校验,并根据校验结果向客户端发送反馈信息;
当客户端收到服务端的反馈信息后,根据所述反馈信息对本次HTTP任务请求对应的数据进行更新。
2.如权利要求1所述的基于TOKEN令牌的身份校验方法,其特征在于,所述当所述用户准备发起HTTP任务请求时,在客户端生成一个随机数,包括:
当所述用户准备发起HTTP任务请求时,在客户端生成一个与所述用户的身份信息相同位数的随机数;
则所述根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌,包括:
将所述用户的身份信息、随机数以及时戳拼接以任意顺序生成第一字符串,并在所述第一字符串的头部添加时戳位置标识,生成第二字符串;
将所述第二字符串通过HASH算法在客户端生成一个TOKEN令牌。
3.如权利要求1所述的基于TOKEN令牌的身份校验方法,其特征在于,所述当所述用户准备发起HTTP任务请求时,在客户端生成一个随机数,包括:
当所述用户准备发起HTTP任务请求时,在客户端生成一个任意位数的随机数;
则所述根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌,包括:
将所述用户的身份信息、随机数以及时戳拼接生成一个字符串,并将所述时戳放在所述字符串的头部或尾部;
将所述字符串通过HASH算法在客户端生成一个TOKEN令牌。
4.如权利要求3所述的基于TOKEN令牌的身份校验方法,其特征在于,所述根据所述当前的TOKEN令牌向服务端发送HTTP任务请求,包括:
将所述字符串进行加密;
将所述加密后的字符串放入所述HTTP任务请求的包头中,并将所述TOKEN令牌放入所述HTTP任务请求的包体中;
将所述HTTP任务请求发送给服务端。
5.如权利要求1所述的基于TOKEN令牌的身份校验方法,其特征在于,所述对所述HTTP任务请求对应的用户身份进行校验之前,包括:
预设有效时间段;
对所述HTTP任务请求的包头进行解析,获得所述HTTP任务请求中的字符串,对所述字符串进行解密,获得所述字符串中的时戳;
获取服务端当前的系统时间,并将所述当前的系统时间与所述时戳之间的时间差与所述有效时间段进行比较,如果所述当...
【专利技术属性】
技术研发人员:杨小彦,
申请(专利权)人:平安普惠企业管理有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。