【技术实现步骤摘要】
一种提升会话机制安全性的方法、终端设备和存储介质
本申请涉及移动通信领域,尤其涉及一种提升会话机制安全性的方法、终端设备和存储介质。
技术介绍
JSONWebTokens(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC7519),该token因为其紧凑且安全的特点,特别适用于分布式站点的单点登陆(SingleSignOn,SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,可以直接用于认证,也可被加密。JWT通常被用于鉴权,当用户登录后,每个后续请求都将包含JWT,以允许用户访问该令牌允许的路由,服务和资源。因为JWT的开销很小,并且能够轻松地跨不同域使用,使JWT可以广泛应用于这种单点登录中。另外,JWT是在各方之间进行安全传输信息的优选方式之一,因此JWT也被广泛应用于信息交换。在现有的JWT会话机制中,用户在进行正常登录后,如果token的过期时间到了,用户必...
【技术保护点】
1.一种提升会话机制安全性的方法,其特征在于,包括:/n为登录客户端的用户生成token,并将token返回给客户端;/n基于token中的用户信息生成会话信息存储在数据库中;/n为存储在数据库中的会话信息加载第一时限并计时;/n响应于对会话信息的第一期限计时超时的事件,删除数据库中存储的该会话信息;/n响应于来自客户端的包含有token的业务请求,对数据库中与token中的用户信息相匹配的会话信息的第一时限执行计时刷新。/n
【技术特征摘要】
1.一种提升会话机制安全性的方法,其特征在于,包括:
为登录客户端的用户生成token,并将token返回给客户端;
基于token中的用户信息生成会话信息存储在数据库中;
为存储在数据库中的会话信息加载第一时限并计时;
响应于对会话信息的第一期限计时超时的事件,删除数据库中存储的该会话信息;
响应于来自客户端的包含有token的业务请求,对数据库中与token中的用户信息相匹配的会话信息的第一时限执行计时刷新。
2.根据权利要求1所述的方法,其特征在于,进一步包括:
在接收到用户发送的包含有所述token的业务请求之后,对所述token进行验证。
3.根据权利要求2所述的方法,其特征在于,进一步包括:
当对所述token进行验证的验证结果为未通过时,向所述客户端返回表示拒绝访问的提示信息。
4.根据权利要求2所述的方法,其特征在于,进一步包括:
当对所述token进行验证的验证结果为通过时,将所述token中的所述用户信息与所述数据库中对应的所述会话信息进行匹配,其中,所述用户信息包括用户名、登录时间和用户ID,所述会话信息包括用户名、登录时间、客户端IP地址和用户ID;
当所述token中的所述用户信息与对应的所述会话信息全部匹配成功,以及用户发送的客户端IP地址与所述会话信息中的客户端IP地址一致时,向所述客户端返回与所述业务请求对应的目标资源。
5.根据权利要求4所述的方法,其特征在于,进一步包括:
当所述token中的所述用户信息与所述数据库中对应的所述会话信息匹配失败时,向所述客户端返回表示拒绝访问的提示信息。
6.根据权利要求1所...
【专利技术属性】
技术研发人员:张翼,任坤,王苏林,
申请(专利权)人:成都鼎桥通信技术有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。