本发明专利技术公开了一种登录验证方法及装置。其中,该方法包括:接收账户的登录请求,其中,登录请求包括上一次成功登录后生成的令牌,其中,令牌为加盐令牌和时间戳进行加密生成的;对令牌进行解密,得到加盐令牌和时间戳;根据加盐令牌验证账户是否有效,在账户有效的情况下,确定登录请求通过验证;在当前时间和时间戳的时间差值超过预设阈值的情况下,更新时间戳,根据加盐令牌和更新的时间戳生成新的令牌。本发明专利技术解决了现有技术中浏览器验证用户信息的方式,容易泄露信息,且传统的令牌验证机制,令牌固定不变,容易被获取,导致浏览器验证用户信息的安全性较差的技术问题。用户信息的安全性较差的技术问题。用户信息的安全性较差的技术问题。
【技术实现步骤摘要】
登录验证方法及装置
[0001]本专利技术涉及网络安全领域,具体而言,涉及一种登录验证方法及装置。
技术介绍
[0002]首先传统的Web应用技术,用户登陆成功后仅是基于服务端的Session会话保持和浏览器端的Cookie机制来验证用户的有效性。这种用户验证机制需要在客户端的Cookie中存储Session的ID来标志这个会话,很容易暴漏给其他用户而被利用。同时这种会话保持机制必须将客户端的请求固定到服务端的一台服务器上,不利于分布式应用的开发和扩展。其次传统的Token令牌验证机制,生成Token令牌的规则都很简单且Token令牌生成之后就不再变化,这样的Token令牌类似于前述中Session的ID,虽然解决了Web应用中分布式开发的问题,但是依然会有Token令牌泄漏给其他用户的安全风险。
[0003]针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
[0004]本专利技术实施例提供了一种登录验证方法及装置,以至少解决现有技术中浏览器验证用户信息的方式,容易泄露信息,且传统的令牌验证机制,令牌固定不变,容易被获取,导致浏览器验证用户信息的安全性较差的技术问题。
[0005]根据本专利技术实施例的一个方面,提供了一种登录验证方法,包括:接收账户的登录请求,其中,所述登录请求包括上一次成功登录后生成的令牌,其中,所述令牌为加盐令牌和时间戳进行加密生成的;对所述令牌进行解密,得到所述加盐令牌和所述时间戳;根据所述加盐令牌验证所述账户是否有效,在所述账户有效的情况下,确定所述登录请求通过验证;在当前时间和所述时间戳的时间差值超过预设阈值的情况下,更新所述时间戳,根据所述加盐令牌和更新的时间戳生成新的令牌。
[0006]可选的,接收账户的登录请求之前,所述方法还包括:在所述账户上一次登陆成功后,获取账户登录的浏览器的第一标识信息,客户端的第二标识信息,以及所述账户的第三标识信息;根据所述第一标识信息,第二标识信息和第三标识信息,生成所述加盐令牌;将所述加盐令牌与所述时间戳信息进行加密生成所述令牌。
[0007]可选的,根据所述第一标识信息,第二标识信息和第三标识信息,生成所述加盐令牌,包括:通过第一散列函数根据所述第一标识信息,第二标识信息和第三标识信息,生成预备令牌;对所述预备令牌进行加盐处理;通过第二散列函数对加盐处理后的预备令牌进行处理,得到所述加盐令牌。
[0008]可选的,根据所述加盐令牌验证所述账户是否有效,在所述账户有效的情况下,确定所述登录请求通过验证,包括:根据所述加盐令牌,获取所述第三标识信息,其中,上一次成功登录后将所述加盐令牌和对应的第三标识信息进行存储;根据所述登录请求,获取本次登录的浏览器的第一标识信息,客户端的第二标识信息,其中,所述登录请求还包括本次登录的浏览器的第一标识信息,客户端的第二标识信息;根据所述第三标识信息,以及本次
登录的浏览器的第一标识信息,客户端的第二标识信息,通过生成所述加盐令牌相同的处理步骤,生成验证加盐令牌;在对比所述加盐令牌和所述验证加盐令牌一致的情况下,确定所述账户有效,确定所述登录请求通过验证。
[0009]可选的,将所述加盐令牌与所述时间戳进行加密生成所述令牌包括:通过对称加密算法所述加盐令牌与所述时间戳进行加密生成所述令牌;将所述对称加密算法的对称密钥进行存储,并定期进行更换。
[0010]根据本专利技术实施例的另一方面,还提供了一种验证令牌生成方法,包括:获取账户登录的浏览器的第一标识信息,客户端的第二标识信息,以及所述账户的第三标识信息;通过第一散列函数根据所述第一标识信息,第二标识信息和第三标识信息,生成预备令牌;对所述预备令牌进行加盐处理,生成加盐令牌;将所述加盐令牌与时间戳进行加密生成验证令牌;在当前时间和所述时间戳的时间差值超过预设阈值的情况下,更新所述时间戳,根据所述加盐令牌和更新的时间戳生成新的令牌。
[0011]根据本专利技术实施例的另一方面,还提供了一种登录验证装置,包括:接收模块,用于接收账户的登录请求,其中,所述登录请求包括上一次成功登录后生成的令牌,其中,所述令牌为加盐令牌和时间戳进行加密生成的;解密模块,用于对所述令牌进行解密,得到所述加盐令牌和所述时间戳;验证模块,用于根据所述加盐令牌验证所述账户是否有效,在所述账户有效的情况下,确定所述登录请求通过验证;第一更新模块,用于在当前时间和所述时间戳的时间差值超过预设阈值的情况下,更新所述时间戳,根据所述加盐令牌和更新的时间戳生成新的令牌。
[0012]根据本专利技术实施例的另一方面,还提供了一种验证令牌生成装置,包括:获取模块,用于获取账户登录的浏览器的第一标识信息,客户端的第二标识信息,以及所述账户的第三标识信息;生成模块,用于通过第一散列函数根据所述第一标识信息,第二标识信息和第三标识信息,生成预备令牌;加盐模块,用于对所述预备令牌进行加盐处理,生成加盐令牌;加密模块,用于将所述加盐令牌与时间戳进行加密生成验证令牌;第二更新模块,用于在当前时间和所述时间戳的差值时间超过预设阈值的情况下,更新所述时间戳,根据所述加盐令牌和更新的时间戳生成新的令牌。
[0013]根据本专利技术实施例的另一方面,还提供了一种计算机存储介质,所述计算机存储介质包括存储的程序,其中,在所述程序运行时控制所述计算机存储介质所在设备执行上述中任意一项所述的登录验证方法或上述的验证令牌生成方法。
[0014]根据本专利技术实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述中任意一项所述的登录验证方法或上述所述的验证令牌生成方法。
[0015]在本专利技术实施例中,采用接收账户的登录请求,其中,登录请求包括上一次成功登录后生成的令牌,其中,令牌为加盐令牌和时间戳进行加密生成的;对令牌进行解密,得到加盐令牌和时间戳;根据加盐令牌验证账户是否有效,在账户有效的情况下,确定登录请求通过验证;在当前时间和时间戳的时间差值超过预设阈值的情况下,更新时间戳,根据加盐令牌和更新的时间戳生成新的令牌的方式,通过加盐令牌和时间戳进行加密,生成令牌,并根据时间戳动态更新,达到了通过安全可靠且动态变化的令牌进行登录验证的目的,从而实现了提高登录验证的可靠性和安全性的技术效果,进而解决了现有技术中浏览器验证用
户信息的方式,容易泄露信息,且传统的令牌验证机制,令牌固定不变,容易被获取,导致浏览器验证用户信息的安全性较差的技术问题。
附图说明
[0016]此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:
[0017]图1是根据本专利技术实施例的一种登录验证方法的流程图;
[0018]图2是根据本专利技术实施例的一种验证令牌生成方法的流程图;
[0019]图3是根据本专利技术实施方式的浏览器和服务器的连接关系的示意图;
[0020]图4是根据本专利技术实施方式的Token令牌生成的流程图;
...
【技术保护点】
【技术特征摘要】
1.一种登录验证方法,其特征在于,包括:接收账户的登录请求,其中,所述登录请求包括上一次成功登录后生成的令牌,其中,所述令牌为加盐令牌和时间戳进行加密生成的;对所述令牌进行解密,得到所述加盐令牌和所述时间戳;根据所述加盐令牌验证所述账户是否有效,在所述账户有效的情况下,确定所述登录请求通过验证;在当前时间和所述时间戳的时间差值超过预设阈值的情况下,更新所述时间戳,根据所述加盐令牌和更新的时间戳生成新的令牌。2.根据权利要求1所述的方法,其特征在于,接收账户的登录请求之前,所述方法还包括:在所述账户上一次登陆成功后,获取账户登录的浏览器的第一标识信息,客户端的第二标识信息,以及所述账户的第三标识信息;根据所述第一标识信息,第二标识信息和第三标识信息,生成所述加盐令牌;将所述加盐令牌与所述时间戳信息进行加密生成所述令牌。3.根据权利要求2所述的方法,其特征在于,根据所述第一标识信息,第二标识信息和第三标识信息,生成所述加盐令牌,包括:通过第一散列函数根据所述第一标识信息,第二标识信息和第三标识信息,生成预备令牌;对所述预备令牌进行加盐处理;通过第二散列函数对加盐处理后的预备令牌进行处理,得到所述加盐令牌。4.根据权利要求3所述的方法,其特征在于,根据所述加盐令牌验证所述账户是否有效,在所述账户有效的情况下,确定所述登录请求通过验证,包括:根据所述加盐令牌,获取所述第三标识信息,其中,上一次成功登录后将所述加盐令牌和对应的第三标识信息进行存储;根据所述登录请求,获取本次登录的浏览器的第一标识信息,客户端的第二标识信息,其中,所述登录请求还包括本次登录的浏览器的第一标识信息,客户端的第二标识信息;根据所述第三标识信息,以及本次登录的浏览器的第一标识信息,客户端的第二标识信息,通过生成所述加盐令牌相同的处理步骤,生成验证加盐令牌;在对比所述加盐令牌和所述验证加盐令牌一致的情况下,确定所述账户有效,确定所述登录请求通过验证。5.根据权利要求2所述的方法,其特征在于,将所述加盐令牌与所述时间戳进行加密生成所述令牌包括:通过对称加密算法所述加盐令牌与所述时间戳进行加密生成所述令牌;将所...
【专利技术属性】
技术研发人员:刘智鑫,陈震宇,刘国华,
申请(专利权)人:中国邮政储蓄银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。