本公开提出一种基于RESTful的交互方法、服务器、客户端和装置,涉及计算机通信技术领域。本公开的一种基于RESTful的交互方法包括:服务器接收来自客户端的加密摘要信息,加密摘要信息为将时间戳信息与会话标识信息中的至少一种,以及用户登录信息加密后生成;将加密摘要信息作为JWT的签名,将JWT发送给客户端,以便客户端在对JWT令牌的签名验证通过的情况下,根据JWT令牌的签名与服务器交互。通过这样的方法,服务器能以具有实际意义的加密摘要信息作为JWT的签名,从而提高签名破译的难度,提高RESTful架构的安全性。
Restful based interaction methods, servers, clients and devices
【技术实现步骤摘要】
基于RESTful的交互方法、服务器、客户端和装置
本公开涉及计算机通信
,特别是一种基于RESTful的交互方法、服务器、客户端和装置。
技术介绍
随着传统的Web(WorldWideWeb,全球广域网)开发架构逐渐向Restful架构转变,传统的认证信息的方式也从传统的主流Session(会话)交互认证信息方式变为Restful架构的JWT(JSONWebToken,JavaScript对象简谱网页令牌)认证。Restful架构不仅应用在现代Web开发方向,还应用在APP(Application,应用程序)开发方向,Restful前后端分离架构逐渐成为主流开发模式,JWT用来提高架构的安全性。
技术实现思路
专利技术人发现,采用JWT来提高架构安全性依然存在攻击成本低的安全性问题。本公开的一个目的在于提高RESTful架构的安全性。根据本公开的一个方面,提出一种基于RESTful的交互方法,包括:服务器接收来自客户端的加密摘要信息,加密摘要信息为将时间戳信息与会话标识信息中的至少一种,以及用户登录信息加密后生成;将加密摘要信息作为JWT的签名,将JWT发送给客户端,以便客户端在对JWT令牌的签名验证通过的情况下,根据JWT令牌的签名与服务器交互。在一些实施例中,基于RESTful的交互方法还包括:服务器以预定频率接收来自客户端的加密摘要信息,其中,客户端以预定周期修改时间戳信息与会话标识信息中的至少一种,更新加密摘要信息。在一些实施例中,基于RESTful的交互方法还包括:服务器在收到更新后的加密摘要信息后,更新JWT的签名。在一些实施例中,基于RESTful的交互方法还包括:服务器验证加密摘要信息,确定客户端的用户权限;根据用户权限生成相匹配的JWT。通过这样的方法,服务器能以具有实际意义的加密摘要信息作为JWT的签名,提高签名破译的难度,提高RESTful架构的安全性。根据本公开的另一个方面,提出一种基于RESTful的交互方法,包括:客户端将时间戳信息与会话标识信息中的至少一种,以及用户登录信息加密后生成加密摘要信息,并发送给服务器;接收来自服务器的JWT,根据加密摘要信息验证JWT的签名;在验证通过的情况下,根据JWT令牌的签名与服务器交互。在一些实施例中,基于RESTful的交互方法还包括:客户端以预定周期修改时间戳信息与会话标识信息中的至少一种,更新加密摘要信息,并发送给服务器,以便服务器更新JWT的签名。在一些实施例中,基于RESTful的交互方法还包括:客户端在生成加密摘要信息后,使原加密摘要信息过期,采用更新后的加密摘要信息验证签名。通过这样的方法,客户端能够向服务器提供具有实际意义的加密摘要信息,服务器与客户端能以该加密摘要信息作为JWT的签名,从而提高签名破译的难度,提高RESTful架构的安全性。根据本公开的又一个方面,提出一种基于RESTful的服务器,包括:摘要信息接收单元,被配置为接收来自客户端的加密摘要信息,加密摘要信息为将时间戳信息与会话标识信息中的至少一种,以及用户登录信息加密后生成;令牌生成发送单元,被配置为将加密摘要信息作为JWT的签名,将JWT发送给客户端,以便客户端在对JWT令牌的签名验证通过的情况下,根据JWT令牌的签名与服务器交互。在一些实施例中,摘要信息接收单元还被配置为以预定频率接收来自客户端的加密摘要信息,其中,客户端以预定周期修改时间戳信息与会话标识信息中的至少一种,更新加密摘要信息。在一些实施例中,令牌生成发送单元还被配置为更新JWT的签名。在一些实施例中,基于RESTful的服务器还包括:权限验证单元,被配置为验证加密摘要信息,确定客户端的用户权限;令牌生成发送单元还被配置为根据用户权限生成相匹配的JWT。这样的服务器能以具有实际意义的加密摘要信息作为JWT的签名,提高签名破译的难度,提高RESTful架构的安全性。根据本公开的再一个方面,提出一种基于RESTful的客户端,包括:摘要信息生成发送单元,被配置为将时间戳信息与会话标识信息中的至少一种,以及用户登录信息加密后生成加密摘要信息,并发送给服务器;令牌验证单元,被配置为接收来自服务器的JWT,根据加密摘要信息验证JWT的签名;交互单元,被配置为在令牌验证单元验证通过的情况下,根据JWT令牌的签名与服务器交互。在一些实施例中,摘要信息生成发送单元还被配置为以预定周期修改时间戳信息与会话标识信息中的至少一种,更新加密摘要信息,并发送给服务器,以便服务器更新JWT的签名。在一些实施例中,令牌验证单元还被配置为在摘要信息生成发送单元更新加密摘要信息后,使原加密摘要信息过期,采用更新后的加密摘要信息验证签名。这样的客户端能够向服务器提供具有实际意义的加密摘要信息,服务器与客户端能以该加密摘要信息作为JWT的签名,提高签名破译的难度,提高RESTful架构的安全性。根据本公开的其中一个方面,提出一种基于RESTful的交互装置,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器的指令执行上文中任意一种基于RESTful的交互方法。这样的交互装置中,客户端装置能够向服务器端提供具有实际意义的加密摘要信息,服务器与客户端能以该加密摘要信息作为JWT的签名,提高签名破译的难度,提高RESTful架构的安全性。另外,根据本公开的一个方面,提出一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上文中任意一种基于RESTful的交互方法的步骤。通过执行这样的计算机可读存储介质上的指令,客户端能够向服务器端提供具有实际意义的加密摘要信息,服务器与客户端能以该加密摘要信息作为JWT的签名,从而提高签名破译的难度,提高RESTful架构的安全性。附图说明此处所说明的附图用来提供对本公开的进一步理解,构成本公开的一部分,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。在附图中:图1为本公开的基于RESTful的交互方法的一个实施例的流程图。图2为本公开的基于RESTful的交互方法的另一个实施例的流程图。图3为本公开的基于RESTful的交互方法的又一个实施例的流程图。图4为本公开的基于RESTful的交互方法的一个实施例的信令交互图。图5为本公开的基于RESTful的服务器的一个实施例的示意图。图6为本公开的基于RESTful的客户端的一个实施例的示意图。图7为本公开的基于RESTful的交互装置的一个实施例的示意图。图8为本公开的基于RESTful的交互装置的另一个实施例的示意图。具体实施方式下面通过附图和实施例,对本公开的技术方案做进一步的详细描述。本公开的基于RESTful的交互方法的一个实施例的流程图如图1所示。在步骤101中,服务器接收来自客户端的加密摘要信息,加密摘要信息为将本文档来自技高网...
【技术保护点】
1.一种基于RESTful的交互方法,包括:/n服务器接收来自客户端的加密摘要信息,所述加密摘要信息为将时间戳信息与会话标识信息中的至少一种,以及用户登录信息加密后生成;/n将所述加密摘要信息作为JavaScript对象简谱网页令牌JWT的签名,将所述JWT发送给客户端,以便所述客户端在对所述JWT令牌的签名验证通过的情况下,根据所述JWT令牌的签名与服务器交互。/n
【技术特征摘要】
1.一种基于RESTful的交互方法,包括:
服务器接收来自客户端的加密摘要信息,所述加密摘要信息为将时间戳信息与会话标识信息中的至少一种,以及用户登录信息加密后生成;
将所述加密摘要信息作为JavaScript对象简谱网页令牌JWT的签名,将所述JWT发送给客户端,以便所述客户端在对所述JWT令牌的签名验证通过的情况下,根据所述JWT令牌的签名与服务器交互。
2.根据权利要求1所述的方法,还包括:
服务器以预定频率接收来自所述客户端的加密摘要信息,其中,所述客户端以预定周期修改所述时间戳信息与会话标识信息中的至少一种,更新所述加密摘要信息。
3.根据权利要求2所述的方法,还包括:
所述服务器在收到更新后的加密摘要信息后,更新所述JWT的签名。
4.根据权利要求1所述的方法,还包括:
所述服务器验证所述加密摘要信息,确定所述客户端的用户权限;
根据所述用户权限生成相匹配的JWT。
5.一种基于RESTful的交互方法,包括:
客户端将时间戳信息与会话标识信息中的至少一种,以及用户登录信息加密后生成加密摘要信息,并发送给服务器;
接收来自服务器的JavaScript对象简谱网页令牌JWT,根据所述加密摘要信息验证所述JWT的签名;
在验证通过的情况下,根据所述JWT令牌的签名与服务器交互。
6.根据权利要求5所述的方法,还包括:
所述客户端以预定周期修改所述时间戳信息与会话标识信息中的至少一种,更新所述加密摘要信息,并发送给服务器,以便所述服务器更新所述JWT的签名。
7.根据权利要求6所述的方法,还包括:
所述客户端在生成所述加密摘要信息后,使原加密摘要信息过期,采用更新后的所述加密摘要信息验证签名。
8.一种基于RESTful的服务器,包括:
摘要信息接收单元,被配置为接收来自客户端的加密摘要信息,所述加密摘要信息为将时间戳信息与会话标识信息中的至少一种,以及用户登录信息加密后生成;
令牌生成发送单元,被配置为将所述加密摘要信息作为JavaScr...
【专利技术属性】
技术研发人员:肖清旺,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。