一种请求认证方法及终端技术

本发明专利技术公开了一种请求认证方法及终端，根据登录信息返回对应令牌和加密密钥；接收客户端根据令牌、资源获取请求所对应的时间戳和第一请求签名生成的请求头，其中第一请求签名根据令牌、加密密钥和时间戳生成；获取请求头中的令牌和时间戳，根据令牌查找对应的加密密钥，根据令牌及其对应的加密密钥和时间戳生成第二请求签名；判断第一请求签名与第二请求签名是否相同且时间戳是否不重复，若是，则缓存时间戳且资源获取请求认证通过，因此客户端和服务端使用同样的方法生成请求签名并进行对比，能够提高认证准确性，且时间戳不能重复，避免使用相同时间戳的请求签名进行资源获取，从而在保证认证准确性的同时提高了系统的安全性。性。性。

【技术实现步骤摘要】
一种请求认证方法及终端


[0001]本专利技术涉及计算机
，特别涉及一种请求认证方法及终端。

技术介绍

[0002]多数网站提供的第三方登录都遵循OAuth(开放授权)协议，虽然大多数网站的细节处理都是不一致的，甚至会基于OAuth协议进行扩展，但大体上其流程是一定的。
[0003]OAuth是一个开放标准，允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息，而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。其主要流程就是用户通过访问OAuth授权服务器获取token(令牌)，之后通过token进行资源服务器或者第三方服务器的访问。
[0004]大多数场景之下，当系统获取到token之后，用户直接带上token请求，是可以正常获取对应的资源，但是当token是明文表示且被截取到请求时，获取到该token即可直接进行相关的操作，存在着一定的安全漏洞。

技术实现思路

[0005]本专利技术所要解决的技术问题是：提供了一种请求认证方法及终端，能够在保证请求准确认证的同时提高系统的安本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种请求认证方法，其特征在于，包括步骤：根据登录信息返回对应的令牌和加密密钥至客户端；接收所述客户端发送的根据所述令牌、资源获取请求所对应的时间戳和第一请求签名生成的请求头，所述第一请求签名根据所述令牌、加密密钥和时间戳生成；获取所述请求头中的所述令牌和时间戳，根据获取到的所述令牌查找对应的加密密钥，根据所述令牌及其对应的加密密钥和所述时间戳生成第二请求签名；判断所述第一请求签名与所述第二请求签名是否相同且所述时间戳是否不重复，若是，则缓存所述时间戳且所述资源获取请求认证通过，否则所述资源获取请求认证不通过。2.根据权利要求1所述的一种请求认证方法，其特征在于，所述根据登录信息返回对应的令牌和加密密钥至客户端包括：根据用户登录信息获取对应的令牌；随机生成预设长度的密钥，使用预设加密规则对所述密钥进行加密得到加密密钥；将所述令牌与所述加密密钥进行关联并返回至客户端。3.根据权利要求2所述的一种请求认证方法，其特征在于，所述第一请求签名根据所述令牌、加密密钥和时间戳生成包括：所述第一请求签名由客户端根据所述令牌、加密密钥、资源获取请求的第一请求内容生成，所述第一请求内容由客户端根据时间戳和所述资源获取请求的请求方法与请求地址生成。4.根据权利要求2所述的一种请求认证方法，其特征在于，获取所述请求头中的所述令牌和时间戳，根据获取到的所述令牌查找对应的加密密钥，根据所述令牌及其对应的加密密钥和所述时间戳生成第二请求签名包括：获取包含所述请求头的资源获取请求，解析所述请求头中的令牌以及时间戳，根据所述令牌查询对应的加密密钥；根据所述时间戳和所述资源获取请求的请求方法和请求地址生成第二请求内容；根据所述令牌、加密密钥和所述第二请求内容生成第二请求签名。5.根据权利要求1所述的一种请求认证方法，其特征在于，判断所述第一请求签名与所述第二请求签名是否相同且所述时间戳是否不重复，若是，则缓存所述时间戳且所述资源获取请求认证通过，否则所述资源获取请求认证不通过包括：判断所述第一请求签名与所述第二请求签名是否相同且所述时间戳是否不重复，若是，则根据时间戳的有效时间对所述时间戳进行缓存，并且所述请求签名资源获取请求认证通过，否则所述资源获取请求认证不通过。6.一种请求认证终端，包括存储器、处理器以及存储在所述存储器上并可在...

【专利技术属性】
技术研发人员：刘德建，林伟，陈宏，
申请(专利权)人：福建天泉教育科技有限公司，
类型：发明
国别省市：