一种防御CSRF攻击的登录请求校验方法及装置制造方法及图纸

本申请提供了一种防御CSRF攻击的登录请求校验方法及装置，该方法应用于服务端，通过在接收到登录请求之后，获取登录请求携带的登录加密cookie；判断登录加密cookie是否是种植在自身根域下的预登录加密cookie；其中，预登录加密cookie是在接收到预登录请求时，利用预设加密算法对预登录请求的请求时间进行加密，将加密得到的请求时间加密值和请求时间进行拼接得到的；若否，则判定登录请求为伪造请求，也即本申请提供的防御CSRF攻击的登录请求校验方法能够通过验证登录请求是否是种植在服务端根域下的预登录加密cookie的方式，识别出伪造请求，避免了用户账户密码被爆破、短信平台被恶意消耗的问题。台被恶意消耗的问题。台被恶意消耗的问题。

【技术实现步骤摘要】
一种防御CSRF攻击的登录请求校验方法及装置


[0001]本专利技术涉及通信
，具体涉及一种防御CSRF攻击的登录请求校验方法及装置。

技术介绍

[0002]CSRF是指跨站点请求伪造(Cross
‑
Site Request Forgery)，危害性巨大。攻击者为了谋取利益，会使用CSRF对服务端进行恶意访问，以对用户身份信息进行盗用。
[0003]现有的登录方式中，用户登录客户端需要向服务端发送登录请求，经过服务端的认证之后才能实现登录。但是，攻击者会利用CSRF，绕过客户端向服务端发送的伪造请求，对用户信息进行盗用，以谋取利益。而服务端无法对伪造请求进行识别，会将伪造请求默认为合法请求，导致用户账户密码被爆破、平台短信被恶意消耗等情况的发生。

技术实现思路

[0004]对此，本申请提供一种防御CSRF攻击的登录请求校验方法及装置，以解决现有服务端无法对伪造请求进行识别，易导致用户账户密码被爆破、短信平台被恶意消耗的问题。
[0005]为实现上述目的，本专利技术实施例提供如下技术方案：
[0006]本专利技术第一方面公开了一种防御CSRF攻击的登录请求校验方法，应用于服务端，所述方法包括：
[0007]在接收到登录请求之后，获取所述登录请求携带的登录加密cookie；
[0008]判断所述登录加密cookie是否是种植在自身根域下的预登录加密cookie；其中，所述预登录加密cookie是在接收到预登录请求时，利用预设加密算法对所述预登录请求的请求时间进行加密，将加密得到的请求时间加密值和请求时间进行拼接得到的；
[0009]若判断出所述登录加密cookie不是种植在所述服务端根域下的预登录加密cookie，则判定所述登录请求为伪造请求。
[0010]可选地，在上述的防御CSRF攻击的登录请求校验方法中，在判断所述登录加密cookie是否是种植在自身根域下的预登录加密cookie之后，若判断出所述登录加密cookie是种植在自身根域下的预登录加密cookie，还包括：
[0011]判定所述登录请求为合法请求。
[0012]可选地，在上述的防御CSRF攻击的登录请求校验方法中，判断所述登录加密cookie是否是种植在所述服务端根域下的预登录加密cookie，包括：
[0013]对所述登录加密cookie进行解析，得到所述登录加密cookie的时间戳和时间戳加密值；
[0014]利用所述预设加密算法对所述时间戳进行加密，得到时间戳校验加密值；
[0015]判断所述时间戳加密值与所述时间戳校验加密值是否一致；
[0016]若判断出所述时间戳加密值与所述时间戳校验加密值不一致，则判定所述登录加密cookie不是种植在自身根域下的预登录加密cookie；
[0017]若判断出所述时间戳加密值与所述时间戳校验加密值一致，则判定所述登录加密cookie是种植在自身根域下的预登录加密cookie。
[0018]可选地，在上述的防御CSRF攻击的登录请求校验方法中，在判断所述登录加密cookie是否是种植在服务端根域下的预登录加密cookie之后，若判断出所述登录加密cookie是种植在服务端根域下的预登录加密cookie，则还包括：
[0019]获取当前校验时间；
[0020]判断当前校验时间与所述登录加密cookie的时间戳之间的时间间隔是否满足预设时间间隔；若否，则确定判定所述登录请求为伪造请求，若是，则确定判定所述登录请求为合法请求。
[0021]可选地，在上述的防御CSRF攻击的登录请求校验方法中，获取所述登录请求的请求头中的登录加密cookie之后，还包括：
[0022]判断所述登录加密cookie是否为空；若是，则确定判定所述登录请求为伪造请求；若否，则确定所述登录加密cookie是否是种植在所述服务端根域下的预登录加密cookie。
[0023]本专利技术第二方面公开了一种防御CSRF攻击的登录请求校验装置，应用于服务端，所述装置包括：
[0024]第一获取单元，用于在接收到登录请求之后，获取所述登录请求携带的登录加密cookie；
[0025]第一判断单元，用于判断所述登录加密cookie是否是种植在自身根域下的预登录加密cookie；其中，所述预登录加密cookie是在接收到预登录请求时，利用预设加密算法对所述预登录请求的请求时间进行加密，将加密得到的请求时间加密值和所述请求时间进行拼接得到的；
[0026]第一判定单元，用于若判断出所述登录加密cookie不是种植在自身根域下的预登录加密cookie，则判定所述登录请求为伪造请求。
[0027]可选地，在上述的防御CSRF攻击的登录请求校验装置中，还包括：
[0028]第二判定单元，用于若判断出所述登录加密cookie是种植在自身根域下的预登录加密cookie，则判定所述登录请求为合法请求。
[0029]可选地，在上述的防御CSRF攻击的登录请求校验装置中，所述第一判断单元，具体用于：
[0030]对所述登录加密cookie进行解析，得到所述登录加密cookie的时间戳和时间戳加密值；
[0031]利用所述预设加密算法对所述时间戳进行加密，得到时间戳校验加密值；
[0032]判断所述时间戳加密值与所述时间戳校验加密值是否一致；
[0033]若判断出所述时间戳加密值与所述时间戳校验加密值不一致，则判定所述登录请求不是种植在自身根域下的预登录加密cookie；
[0034]若判断出所述时间戳加密值与所述时间戳校验加密值一致，则判定所述登录请求是种植在自身根域下的预登录加密cookie。
[0035]可选地，在上述的防御CSRF攻击的登录请求校验装置中，还包括：
[0036]第二获取单元，用于获取当前校验时间；
[0037]第三判定单元，用于判断当前校验时间与所述登录加密cookie的时间戳之间的时
间间隔是否满足预设时间间隔；若否，则确定判定所述登录请求为伪造请求，若是，则确定判定所述登录请求为合法请求。
[0038]可选地，在上述的防御CSRF攻击的登录请求校验装置中，还包括：
[0039]第四判定单元，用于判断所述登录加密cookie是否为空；若是，则确定判定所述登录请求为伪造请求；若否，则确定所述登录加密cookie是否是种植在所述服务端根域下的预登录加密cookie。
[0040]本专利技术提供了一种防御CSRF攻击的登录请求校验方法及装置，本专利技术提供的防御CSRF攻击的登录请求校验方法，应用于服务端，通过在接收到登录请求之后，获取登录请求携带的登录加密cookie；判断登录加密cookie是否是种植在自身根域下的预登录加密cookie；其中，预登录加密cookie是在接收到预登录请求时，利用预设加密算法对预登录请求的请求时间进行加密，将加密得到的请求时间加密值和请求时间本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防御CSRF攻击的登录请求校验方法，其特征在于，应用于服务端，所述方法包括：在接收到登录请求之后，获取所述登录请求携带的登录加密cookie；判断所述登录加密cookie是否是种植在自身根域下的预登录加密cookie；其中，所述预登录加密cookie是在接收到预登录请求时，利用预设加密算法对所述预登录请求的请求时间进行加密，将加密得到的请求时间加密值和请求时间进行拼接得到的；若判断出所述登录加密cookie不是种植在所述服务端根域下的预登录加密cookie，则判定所述登录请求为伪造请求。2.根据权利要求1所述的防御CSRF攻击的登录请求校验方法，其特征在于，在判断所述登录加密cookie是否是种植在自身根域下的预登录加密cookie之后，若判断出所述登录加密cookie是种植在自身根域下的预登录加密cookie，还包括：判定所述登录请求为合法请求。3.根据权利要求1所述的防御CSRF攻击的登录请求校验方法，其特征在于，判断所述登录加密cookie是否是种植在所述服务端根域下的预登录加密cookie，包括：对所述登录加密cookie进行解析，得到所述登录加密cookie的时间戳和时间戳加密值；利用所述预设加密算法对所述时间戳进行加密，得到时间戳校验加密值；判断所述时间戳加密值与所述时间戳校验加密值是否一致；若判断出所述时间戳加密值与所述时间戳校验加密值不一致，则判定所述登录加密cookie不是种植在自身根域下的预登录加密cookie；若判断出所述时间戳加密值与所述时间戳校验加密值一致，则判定所述登录加密cookie是种植在自身根域下的预登录加密cookie。4.根据权利要求3所述的防御CSRF攻击的登录请求校验方法，其特征在于，在判断所述登录加密cookie是否是种植在服务端根域下的预登录加密cookie之后，若判断出所述登录加密cookie是种植在服务端根域下的预登录加密cookie，则还包括：获取当前校验时间；判断当前校验时间与所述登录加密cookie的时间戳之间的时间间隔是否满足预设时间间隔；若否，则确定判定所述登录请求为伪造请求，若是，则确定判定所述登录请求为合法请求。5.根据权利要求1
‑
4任一项所述的防御CSRF攻击的登录请求校验方法，其特征在于，获取所述登录请求的请求头中的登录加密cookie之后，还包括：判断所述登录加密cookie是否为空；若是，则确定判定...

【专利技术属性】
技术研发人员：刘慧中，彭一，
申请(专利权)人：湖南快乐阳光互动娱乐传媒有限公司，
类型：发明
国别省市：