基于TOKEN令牌的身份校验方法及相关设备技术

本申请涉及信息安全领域，本申请公开了一种基于TOKEN令牌的身份校验方法及相关设备，所述方法包括：在客户端对用户的登录状态进行检测，获取所述用户的身份信息；在客户端生成一个随机数，并获取客户端的时戳，根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌，并根据所述当前的TOKEN令牌向服务端发送HTTP任务请求；当服务端收到所述HTTP任务请求后，对所述HTTP任务请求对应的用户身份进行校验，并根据校验结果向客户端发送反馈信息。本申请通过在客户端生成TOKEN令牌，发送给服务端，并在服务器端进行TOKEN的校验，可有效提高身份校验的安全性。

Identity verification method and related devices based on token token

The application relates to the field of information security. The application discloses an identity verification method and related equipment based on token token. The method includes: detecting the login state of the user at the client, obtaining the identity information of the user; generating a random number at the client, and obtaining the time stamp of the client, according to the identity information, random number and time stamp of the user The client generates the current token and sends the HTTP task request to the server according to the current token; when the server receives the HTTP task request, the user identity corresponding to the HTTP task request is verified and the feedback information is sent to the client according to the verification result. The application can effectively improve the security of identity verification by generating token token on the client, sending it to the server, and verifying token on the server.

【技术实现步骤摘要】
基于TOKEN令牌的身份校验方法及相关设备
本申请涉及信息安全领域，特别涉及一种基于TOKEN令牌的身份校验方法及相关设备。
技术介绍
目前，大多数远程访问系统都是前后端分离，前后端分离的项目有个最难解决的问题就是怎么去做调用鉴权，即怎么才能知道这一次请求是合法的。现在一般的做法就是用户在前端登录成功之后，后端会给前端分配一个TOKEN令牌，所述TOKEN令牌用于对请求者的身份进行校验，其中TOKEN令牌一般会规定多长时间过期，过期之后所述TOKEN就会失效，但是在所述TOKEN失效之前容易被攻击者截获，然后伪造成用户去后端请求，由此造成伪造请求攻击，导致系统潜在的风险。
技术实现思路
本申请的目的在于针对现有技术的不足，提供一种基于TOKEN令牌的身份校验方法及相关设备，通过在客户端生成TOKEN令牌，发送给服务端，并在服务器端进行TOKEN的校验，可有效提高身份校验的安全性。为达到上述目的，本申请的技术方案提供一种基于TOKEN令牌的身份校验方法及相关设备。本申请公开了一种基于TOKEN令牌的身份校验方法，包括以下步骤：在客户端对用户的登录状态进行检测，当检测到用户在客户端成功登录时，获取所述用户的身份信息；当所述用户准备发起HTTP任务请求时，在客户端生成一个随机数，并获取客户端的时戳，根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌，并根据所述当前的TOKEN令牌向服务端发送HTTP任务请求；当服务端收到所述HTTP任务请求后，对所述HTTP任务请求对应的用户身份进行校验，并根据校验结果向客户端发送反馈信息；当客户端收到服务端的反馈信息后，根据所述反馈信息对本次HTTP任务请求对应的数据进行更新。较佳地，所述当所述用户准备发起HTTP任务请求时，在客户端生成一个随机数，包括：当所述用户准备发起HTTP任务请求时，在客户端生成一个与所述用户的身份信息相同位数的随机数；则所述根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌，包括：将所述用户的身份信息、随机数以及时戳拼接以任意顺序生成第一字符串，并在所述第一字符串的头部添加时戳位置标识，生成第二字符串；将所述第二字符串通过HASH算法在客户端生成一个TOKEN令牌。较佳地，所述当所述用户准备发起HTTP任务请求时，在客户端生成一个随机数，包括：当所述用户准备发起HTTP任务请求时，在客户端生成一个任意位数的随机数；则所述根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌，包括：将所述用户的身份信息、随机数以及时戳拼接生成一个字符串，并将所述时戳放在所述字符串的头部或尾部；将所述字符串通过HASH算法在客户端生成一个TOKEN令牌。较佳地，所述根据所述当前的TOKEN令牌向服务端发送HTTP任务请求，包括：将所述字符串进行加密；将所述加密后的字符串放入所述HTTP任务请求的包头中，并将所述TOKEN令牌放入所述HTTP任务请求的包体中；将所述HTTP任务请求发送给服务端。较佳地，所述对所述HTTP任务请求对应的用户身份进行校验之前，包括：预设有效时间段；对所述HTTP任务请求的包头进行解析，获得所述HTTP任务请求中的字符串，对所述字符串进行解密，获得所述字符串中的时戳；获取服务端当前的系统时间，并将所述当前的系统时间与所述时戳之间的时间差与所述有效时间段进行比较，如果所述当前的系统时间与所述时戳之间的时间差在所述有效时间段内，则对用户身份进行校验，否则向客户端发送超时拒绝反馈信息。较佳地，所述对所述HTTP任务请求对应的用户身份进行校验，并根据校验结果向客户端发送反馈信息，包括：对所述HTTP任务请求的包体进行解析，获得所述HTTP任务请求中的TOKEN令牌；根据所述解密后的字符串通过HASH算法生成校验TOKEN令牌；将所述校验TOKEN令牌与所述HTTP任务请求中的TOKEN令牌进行比对，如果一致，则校验通过，并向客户端发送校验成功反馈信息及本次HTTP任务请求对应的数据，否则向客户端发送校验失败拒绝反馈信息。较佳地，所述当客户端收到服务端的反馈信息后，根据所述反馈信息对本次HTTP任务请求对应的数据进行更新，包括：当客户端收到超时拒绝的反馈信息时，在客户端生成新的随机数并获取新的时戳，根据所述新的随机数、新的时戳以及用户的身份信息生成新的TOKEN令牌，并根据所述新的TOKEN令牌向服务端再次发起HTTP任务请求；当客户端收到校验失败拒绝的反馈信息时，结束本次HTTP任务请求；当客户端收到校验成功的反馈信息时，结束本次HTTP任务请求，并根据服务端发送的与所述HTTP任务请求对应的的数据进行更新。本申请还公开了一种基于TOKEN令牌的身份校验装置，所述装置包括：信息获取模块：设置为在客户端对用户的登录状态进行检测，当检测到用户在客户端成功登录时，获取所述用户的身份信息；请求发送模块：设置为当所述用户准备发起HTTP任务请求时，在客户端生成一个随机数，并获取客户端的时戳，根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌，并根据所述当前的TOKEN令牌向服务端发送HTTP任务请求；校验模块：设置为当服务端收到所述HTTP任务请求后，对所述HTTP任务请求对应的用户身份进行校验，并根据校验结果向客户端发送反馈信息；更新模块：设置为当客户端收到服务端的反馈信息后，根据所述反馈信息对本次HTTP任务请求对应的数据进行更新。本申请还公开了一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被一个或多个所述处理器执行时，使得一个或多个所述处理器执行上述所述身份校验方法的步骤。本申请还公开了一种存储介质，所述存储介质可被处理器读写，所述存储介质存储有计算机指令，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行上述所述身份校验方法的步骤。本申请的有益效果是：本申请通过在客户端生成由用户身份信息、时戳及随机数组成的TOKEN令牌，在服务端对此令牌进行校验，由于所述令牌中的随机数是随机产生且经过加密，并将所述随机数与用户信息和时戳一起经过hash算法生成令牌，保证了任务请求的安全性，避免了由服务端分配TOKEN导致被篡改的危险。附图说明图1为本申请第一个实施例的一种基于TOKEN令牌的身份校验方法的流程示意图；图2为本申请第二个实施例的一种基于TOKEN令牌的身份校验方法的流程示意图；图3为本申请第三个实施例的一种基于TOKEN令牌的身份校验方法的流程示意图；图4为本申请第四个实施例的一种基于TOKEN令牌的身份校验方法的流程示意图；图5为本申请第五个实施例的一种基于T本文档来自技高网...

【技术保护点】
1.一种基于TOKEN令牌的身份校验方法，其特征在于，包括以下步骤：/n在客户端对用户的登录状态进行检测，当检测到用户在客户端成功登录时，获取所述用户的身份信息；/n当所述用户准备发起HTTP任务请求时，在客户端生成一个随机数，并获取客户端的时戳，根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌，并根据所述当前的TOKEN令牌向服务端发送HTTP任务请求；/n当服务端收到所述HTTP任务请求后，对所述HTTP任务请求对应的用户身份进行校验，并根据校验结果向客户端发送反馈信息；/n当客户端收到服务端的反馈信息后，根据所述反馈信息对本次HTTP任务请求对应的数据进行更新。/n

【技术特征摘要】
1.一种基于TOKEN令牌的身份校验方法，其特征在于，包括以下步骤：
在客户端对用户的登录状态进行检测，当检测到用户在客户端成功登录时，获取所述用户的身份信息；
当所述用户准备发起HTTP任务请求时，在客户端生成一个随机数，并获取客户端的时戳，根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌，并根据所述当前的TOKEN令牌向服务端发送HTTP任务请求；
当服务端收到所述HTTP任务请求后，对所述HTTP任务请求对应的用户身份进行校验，并根据校验结果向客户端发送反馈信息；
当客户端收到服务端的反馈信息后，根据所述反馈信息对本次HTTP任务请求对应的数据进行更新。


2.如权利要求1所述的基于TOKEN令牌的身份校验方法，其特征在于，所述当所述用户准备发起HTTP任务请求时，在客户端生成一个随机数，包括：
当所述用户准备发起HTTP任务请求时，在客户端生成一个与所述用户的身份信息相同位数的随机数；
则所述根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌，包括：
将所述用户的身份信息、随机数以及时戳拼接以任意顺序生成第一字符串，并在所述第一字符串的头部添加时戳位置标识，生成第二字符串；
将所述第二字符串通过HASH算法在客户端生成一个TOKEN令牌。


3.如权利要求1所述的基于TOKEN令牌的身份校验方法，其特征在于，所述当所述用户准备发起HTTP任务请求时，在客户端生成一个随机数，包括：
当所述用户准备发起HTTP任务请求时，在客户端生成一个任意位数的随机数；
则所述根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌，包括：
将所述用户的身份信息、随机数以及时戳拼接生成一个字符串，并将所述时戳放在所述字符串的头部或尾部；
将所述字符串通过HASH算法在客户端生成一个TOKEN令牌。


4.如权利要求3所述的基于TOKEN令牌的身份校验方法，其特征在于，所述根据所述当前的TOKEN令牌向服务端发送HTTP任务请求，包括：
将所述字符串进行加密；
将所述加密后的字符串放入所述HTTP任务请求的包头中，并将所述TOKEN令牌放入所述HTTP任务请求的包体中；
将所述HTTP任务请求发送给服务端。


5.如权利要求1所述的基于TOKEN令牌的身份校验方法，其特征在于，所述对所述HTTP任务请求对应的用户身份进行校验之前，包括：
预设有效时间段；
对所述HTTP任务请求的包头进行解析，获得所述HTTP任务请求中的字符串，对所述字符串进行解密，获得所述字符串中的时戳；
获取服务端当前的系统时间，并将所述当前的系统时间与所述时戳之间的时间差与所述有效时间段进行比较，如果所述当...

【专利技术属性】
技术研发人员：杨小彦，
申请(专利权)人：平安普惠企业管理有限公司，
类型：发明
国别省市：广东;44