用于保持用户认证会话的方法和装置制造方法及图纸

本公开的实施例公开了用于保持用户认证会话的方法和装置。该方法的一具体实施方式包括：与认证服务端进行密钥协商，得到第一公共密钥；将账号凭证通过第一公共密钥加密后生成认证会话请求，并将认证会话请求发送给认证服务端；接收认证服务端发送的经第一公共密钥加密的第一认证会话凭证报文；使用第一公共密钥对加密后的第一认证会话凭证报文进行解密，得到第一刷新凭证报文和第一认证凭证报文签名，其中，第一认证凭证报文签名是通过认证服务端的私钥对第一认证凭证报文加密得到的。该实施方式提高了报文的安全性和应用服务的验签效率。

【技术实现步骤摘要】
用于保持用户认证会话的方法和装置
本公开的实施例涉及计算机
，具体涉及用于保持用户认证会话的方法和装置。
技术介绍
在分布式系统中，认证会话保持是指在无状态的应用服务器上的一种保持用户认证状态的机制，用户只需要通过客户端登录到统一认证系统输入认证报文信息，登录成功后，在一段时间内可以通过的认证会话凭证报文信息请求分布式系统的任何应用服务，应用服务向统一认证系统发送校验凭证报文的真实性请求。如果校验不通过，应用服务则控制不让客户端访问；如果通过，应用服务在本地备份保存报文信息，后续客户端再次请求时可以认为客户端与服务器之间交互过程的安全性，在不同的应用服务器上响应客户端时，也可以根据凭证报文信息进行访问控制。上述技术方案存在以下几个缺点：1、如果用户认证会话有效期设置的很长，由于认证会话凭证报文保持不变，且所有的业务请求报文都包含凭证报文，一旦业务系统泄露了认证报文，则窃取者很容易伪造客户端向业务服务发起非法的请求。2、应用服务需要请求统一认证服务进行真实性校验，消耗了应用服务的网络资源导致性能下降，尽管可以采用本地缓存方式，但是同本文档来自技高网...

【技术保护点】
1.一种用于保持用户认证会话的方法，应用于客户端，包括：/n与认证服务端进行密钥协商，得到第一公共密钥；/n将账号凭证通过所述第一公共密钥加密后生成认证会话请求，并将所述认证会话请求发送给所述认证服务端；/n接收所述认证服务端发送的经所述第一公共密钥加密的第一认证会话凭证报文；/n使用所述第一公共密钥对所述加密后的第一认证会话凭证报文进行解密，得到第一刷新凭证报文和第一认证凭证报文签名，其中，所述第一认证凭证报文签名是通过所述认证服务端的私钥对第一认证凭证报文加密得到的。/n

【技术特征摘要】
1.一种用于保持用户认证会话的方法，应用于客户端，包括：
与认证服务端进行密钥协商，得到第一公共密钥；
将账号凭证通过所述第一公共密钥加密后生成认证会话请求，并将所述认证会话请求发送给所述认证服务端；
接收所述认证服务端发送的经所述第一公共密钥加密的第一认证会话凭证报文；
使用所述第一公共密钥对所述加密后的第一认证会话凭证报文进行解密，得到第一刷新凭证报文和第一认证凭证报文签名，其中，所述第一认证凭证报文签名是通过所述认证服务端的私钥对第一认证凭证报文加密得到的。


2.根据权利要求1所述的方法，其中，所述方法还包括：
与应用服务端进行密钥协商，得到第二公共密钥；
组装包括所述第一认证凭证报文签名的业务报文；
使用所述第二公共密钥对所述业务报文加密后生成业务请求；
将所述业务请求发送给所述应用服务端。


3.根据权利要求2所述的方法，其中，所述方法还包括：
响应于接收到所述应用服务端返回的因超时导致的业务请求失败消息，向所述认证服务端发送续期请求，其中，所述续期请求包括通过所述第一公共密钥加密的所述第一刷新凭证报文；
接收所述认证服务端发送的经所述第一公共密钥加密的第二认证会话凭证报文；
使用所述第一公共密钥对所述加密的第二认证会话凭证报文进行解密，得到第二刷新凭证报文和第二认证凭证报文签名，其中，所述第二认证凭证报文签名是通过所述认证服务端的私钥对第二认证凭证报文加密得到的。


4.根据权利要求1所述的方法，其中，所述方法还包括：
响应于接收到退出请求，将失效的刷新凭证报文通过所述第一公共密钥加密后生成终止请求；
将所述终止请求发送给所述认证服务端；
响应于接收到所述认证服务端发送的终止成功消息，通过所述第一公共密钥对所述终止成功消息解密后，得到失效的刷新凭证报文；
删除所述失效的刷新凭证报文和对应的失效的认证凭证报文签名。


5.一种用于保持用户认证会话的方法，应用于认证服务端，包括：
与客户端进行密钥协商，得到第一公共密钥；
响应于接收到所述客户端发送的认证会话请求，通过所述第一公共密钥对所述认证会话请求解密，得到账号凭证；
对所述账号凭证进行校验；
若校验成功，则根据所述账号凭证获取用户信息并组装认证报文；
根据所述认证报文和凭证失效时间组装第一认证凭证报文；
使用私钥对所述第一认证凭证报文加密得到第一认证凭证报文签名；
根据刷新失效时间组装第一刷新凭证报文；
根据所述第一刷新凭证报文和所述第一认证凭证报文签名组装第一认证会话凭证报文，并使用所述第一公共密钥加密后发给所述客户端。


6.根据权利要求5所述的方法，其中，所述方法还包括：
响应于接收到所述客户端发送的续期请求，对所述续期请求进行解密，得到第一刷新凭证报文，其中，所述续期请求包括通过所述第一公共密钥加密后的所述第一刷新凭证报文；
判断所述第一刷新凭证报文是否失效；
若未失效，则删除所述第一刷新凭证报文；
根据所述认证报文和更新的凭证失效时间组装第二认证凭证报文；
使用私钥对所述第二认证凭证报文加密得到第二认证凭证报文签名；
根据更新的刷新失效时间组装第二刷新凭证；
根据所述第二刷新凭证报文和所述第二认证凭证报文签名组装第二认证会话凭证报文，并使用所述第一公共密钥加密后发给所述客户端。


7.根据权利要求6所述的方法，其中，所述方法还包括：
若失效，则向所述客户端发送续期请求失败消息。


8.根据权利要求5所述的方法，其中，所述方法还包括：
响应于接收到所述客户端发送的终止请求，使用所述第一公共密钥对所述终止请求解密，得到失效的刷新凭证报文；
判断所述失效的刷新凭证报文是否失效；
若失效，则向所述客户端发送经所述第一公共密钥加密得到的终止请求失败消息；
若未失效，则删除所述失效的刷新凭证报文，向所述客户...

【专利技术属性】
技术研发人员：陈昱良，
申请(专利权)人：京东数字科技控股有限公司，
类型：发明
国别省市：北京;11