【技术实现步骤摘要】
浏览器和服务器架构身份认证令牌的状态控制方法与装置
本专利技术涉及信息
,特别信息安全
技术介绍
身份认证是建立一套能够个人自主控制、可移植的身份认证体系,是认证体系的重要建设目标。近年来浏览器和服务器架构即B/S架构逐渐取代客户端和服务器架构即C/S架构的背景下,通常采http/https协议进行前后端交互,由于http/https协议是无状态的,所以Browser端每次访问都是新的请求。这样每次请求都需要验证身份,传统方式是用session+cookie来记录/传输用户信息,而JWT就是更安全方便的方式。它的特点就是简洁,紧凑和自包含,而且不占空间,传输速度快,而且有利于多端分离,接口的交互等等。JWT是JSON风格轻量级的授权和身份认证规范,而由于JWT授权签发的Token令牌是无状态,导致系统浏览器端携带认证签发的Token令牌对服务器端进行服务请求时不能在服务器端有效的识别令牌的状态,而产生一些信息泄露的安全问题。为了解决浏览器和服务器架构中系统身份认证的安全威胁,我们必须要...
【技术保护点】
1.浏览器和服务器架构身份认证令牌的状态控制装置,其特征在于由令牌状态控制器、令牌状态库和令牌有效性校验器组成;/n本专利技术的令牌状态控制器、令牌状态库和令牌有效性校验器安装于网关过滤器的应用上层入口,保证浏览器发送给服务器应用系统的信息必须先通过本专利技术的令牌状态控制器,保证服务器应用系统发送给浏览器的信息必须先通过本专利技术的令牌状态控制器;/n令牌状态库用来记录令牌及令牌的状态,令牌记录的格式为:令牌位,加上令牌状态位,加上登入时间位,加上操作时间位;/n令牌位,类型为字符串,记录令牌本身的字符串;/n令牌状态位,类型为数字,当类型数字为0表示登入状态,当类型数字...
【技术特征摘要】
1.浏览器和服务器架构身份认证令牌的状态控制装置,其特征在于由令牌状态控制器、令牌状态库和令牌有效性校验器组成;
本发明的令牌状态控制器、令牌状态库和令牌有效性校验器安装于网关过滤器的应用上层入口,保证浏览器发送给服务器应用系统的信息必须先通过本发明的令牌状态控制器,保证服务器应用系统发送给浏览器的信息必须先通过本发明的令牌状态控制器;
令牌状态库用来记录令牌及令牌的状态,令牌记录的格式为:令牌位,加上令牌状态位,加上登入时间位,加上操作时间位;
令牌位,类型为字符串,记录令牌本身的字符串;
令牌状态位,类型为数字,当类型数字为0表示登入状态,当类型数字为1表示失效状态,当类型数字为2表示退出状态;
登入时间位,类型为数字,记录首次获取令牌的时刻;
操作时间位,类型为数字,记录浏览器最近一次访问服务器应用系统的时刻;
令牌状态控制器识别浏览器发送给服务器应用系统的信息,当浏览器发送给服务器应用系统的信息为登录指令时,令牌状态控制器透传登录指令,服务器应用系统的令牌签发器收到登录指令后签发令牌并将签发的令牌返回给浏览器,令牌状态控制器截取并解析服务器应用系统的令牌签发器签发的令牌,并将令牌记录到令牌状态库,同时记录令牌状态标志位为0,记录令牌初始获取时刻;
当浏览器发送给服务器应用系统的信息为业务操作请求,令牌状态控制器识别业务操作请求中的令牌,通知令牌有效性校验器根据令牌判断令牌的有效性,令牌有效性校验器判断令牌有效性后对令牌状态库记录的令牌状态进行更新;
由令牌有效性校验器设定令牌的操作时差阈值,令牌的操作时差阈值决定令牌在浏览器与服务器应用系统间无信息沟通的情况下令牌有效的时间间隔,当浏览器与服务器应用系统间无...
【专利技术属性】
技术研发人员:林飞,吴超武,孙远洋,李晨光,易永波,龙泉,陈浏天,
申请(专利权)人:北京亚鸿世纪科技发展有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。