基于访问的授权校验方法、信息的生成方法及装置、服务器制造方法及图纸

本文是关于鉴权操作技术，特别涉及一种基于访问的授权校验方法、信息的生成方法及装置、服务器。本文公开的一种基于访问的授权校验方法，包括：接收访问请求，从访问请求中提取用于授权校验的字符串；按照预设方式对字符串进行划分，得到多组字段，至少包括随机字段、创建时间、唯一标识和校验码，按照预设方式对得到的多组字段分别进行解析操作，得到各组字段对应的原始数据；根据所述原始数据校验所述访问请求的权限和合法性。本文中生成的字符串是不可读的，也就不存在暴露原始数据的规律，可以有效避免恶意用户暴力尝试和破解行为。

【技术实现步骤摘要】
基于访问的授权校验方法、信息的生成方法及装置、服务器
本文涉及客户端鉴权操作技术，尤其涉及一种基于访问的授权校验方案及授权校验信息的生成方案。
技术介绍
相关技术中，对于客户端鉴权的方式普通采用如下三种方式：一、采用前端校验比较的方式确认当前操作是否是合法的或当前用户是否具备权限进行此操作。即，前端对操作用户权限、访问操作动作一一请求，获取数据，然后前端通过计算比较进行核对权限范围和合法性，进而确认当前操作是否可以进行。这种利用前端对请求数据进行比较核对的方式，存在恶意用户通过浏览器直接临时修改前端逻辑的问题，进而使前端所进行的权限核对及合法性判定变的没有任何意义，也就是说，可以使所有的请求通过临时修改逻辑以符合用户的操作权限范围并且是合法的行为。二、采用双向加密解密方式，即是前端调用当前用户的权限信息时，采用后端进行加密后返回数据，前端获取到数据后，进行解密，然后仍然同上一中方式一样进行核对权限范围和合法性的比较确认。这种方式中，用户通过前端分析前端解密代码的业务逻辑，可以比较容易的反向推断出后端加密的方式，进而可以模拟伪造出本文档来自技高网...

【技术保护点】
1.一种基于访问的授权校验方法，其特征在于，所述方法包括：/n接收访问请求，从所述访问请求中提取用于授权校验的字符串；/n按照预设方式对所述字符串进行划分，得到多组字段，按照预设方式对得到的多组字段分别进行解析操作，得到各组字段对应的原始数据；/n根据所述原始数据校验所述访问请求的权限和合法性；/n其中，对所述字符串进行划分得到的多组字段至少包括：随机字段、创建时间、唯一标识和校验码。/n

【技术特征摘要】
1.一种基于访问的授权校验方法，其特征在于，所述方法包括：
接收访问请求，从所述访问请求中提取用于授权校验的字符串；
按照预设方式对所述字符串进行划分，得到多组字段，按照预设方式对得到的多组字段分别进行解析操作，得到各组字段对应的原始数据；
根据所述原始数据校验所述访问请求的权限和合法性；
其中，对所述字符串进行划分得到的多组字段至少包括：随机字段、创建时间、唯一标识和校验码。


2.根据权利要求1所述的方法，其特征在于，所述按照预设方式对所述字符串进行划分，包括：
在所述字符串中查找预设的固定字符，将查找到的每个固定字符做为划分标识，将所述字符串划分为多组字段，其中，划分得到的每组字段中不包含所述固定字符。


3.根据权利要求1所述的方法，其特征在于，从所述访问请求中提取字符串，包括：
从所述访问请求的设定位置中提取所述字符串，所述设定位置包括如下任一种或几种：
访问请求的path、访问请求的querystring、访问请求的header，访问请求的body。


4.根据权利要求1所述的方法，其特征在于，对所述字符串进行划分得到的多组字段，还包括如下一种或几种字段：
过期时间、冗余字段、类型。


5.一种基于访问的授权校验信息的生成方法，其特征在于，所述方法包括：
针对客户端待发起的操作，获取所述操作对应的原始数据，所述原始数据用于校验所述操作的权限和合法性；
将所获取的原始数据分别按照预设方式进行编码，编码后得到多组字段，其中，所得到的多组字段至少包括：随机字段、创建时间、唯一标识和校验码；
将所得到的多组字段按照预设方式进行组合，生成字符串；
将所述字符串嵌入访问请求中反馈给所述客户端，用于指示所述客户端按照所述访问请求发起操作请求。


6.根据权利要求5所述的方法，其特征在于，所述将所得到的多组字段按照预设方式进行组合，生成字符串，包括：
将所得到的多组字段按照设定顺序依次组合，在每组字段之间添加预设的固定字符，最终生成所述字符串。


7.根据权利要求5所述的方法，其特征在于，将所述字符串嵌入访问请求中，包括：
将所述字符串嵌入访问请求的设定位置中，所述设定位置包括如下任一种或几种：
访问请求的path、访问请求的querystring、访问请求的header，访问请求的body。


8.根据权利要求5至7任一项所述的方法，其特征在于，编码后得到多组字段，还包括如下一种或几种字段：
过期时间、冗余字段、类型。


9.一种基于访问的授权校验信息的使用方法，其特征在于，
客户端待发起某一操作时，获取按照权利要求5至8任一项所述的方法得到的访问请求，其中，所获取的访问请求中嵌入的字符串指示所述操作对应的授权校验信息；
所述客户端使用所述访问请求发起所述操作。


10.一种基于访问的授权校验装置，其特征在于，包括：
提取模块，接收访问请求，从所述访问请求中提取用于授权校验的字符串；
解析模块，按照预设方式对所述字符串进行划分，得到多组字段，按照预设方式对得到的多组字段分别进行解析操作，得到各组字段对应的原始数据，其中，对所述字符串进行划分得到的多组字段至少包括：随机字段、创建时间、唯一标识和校验码；
授权校验模块，根据所述原始数据校验所述访问请求的权限和合法性。


11.根据权利要求10所述...

【专利技术属性】
技术研发人员：于腾飞，
申请(专利权)人：北京数安鑫云信息技术有限公司，
类型：发明
国别省市：北京;11