本发明专利技术属于网络技术领域,尤其涉及一种交互式web验证优化方法和系统。方法包括:建立验证双方的链接以获取验证优化许可;根据所述验证优化许可,建立token盗用优化机制、验证效率优化机制和安全优化机制。通过建立验证双方的链接以获取验证优化许可,可以满足验证双方的确认需求,提高隐私保护程度和安全性;根据所述验证优化许可,建立token盗用优化机制、验证效率优化机制和安全优化机制,能够满足不同缺陷的优化需求。陷的优化需求。陷的优化需求。
【技术实现步骤摘要】
一种交互式web验证优化方法和系统
[0001]本专利技术属于网络
,尤其涉及一种交互式web验证优化方法和系统。
技术介绍
[0002]随着互联网技术的不断发展,企业的WEB服务越来越多,同时面对的安全问题也越来越多。为保障WEB服务的安全,防止黑客的恶意攻击,多数WEB服务采用了安全验证技术。
[0003]当前WEB主要有以下几种验证方式有:HTTP Basic Auth,即用户名密码认证方式,也是最简单且安全性最低的方式,最容易把用户名密码暴露给第三方客户端;OAuth(开放授权),即开放授权方式;Cookie Auth方式,即通过session 和cookie来认证;Token Auth方式,即通过Token 的身份认证来进行验证。以上验证方式中,Token认证方式可以解决大多数网络安全问题,但本身也存在一些防盗、验证和效率之类的缺陷。
技术实现思路
[0004]为了解决或者改善上述问题,本专利技术提供了一种交互式web验证优化方法和系统,具体技术方案如下:本专利技术提供一种交互式web验证优化方法,包括:建立验证双方的链接以获取验证优化许可;根据所述验证优化许可,建立token盗用优化机制、验证效率优化机制和安全优化机制。
[0005]优选的,所述token盗用优化机制,包括:在token中添加客户ID和IP地址;在客户端提交的表单中添加加密后的客户ID和IP地址;在服务器端收到请求后,通过比对客户端ID与token里的客户ID,比对IP地址,如果出现不一致的情况,则对该请求进行拦截操作。
[0006]优选的,所述验证效率优化机制,包括:通过继承TokenAuthentication类,并重载authenticate_credentials方法进行认证优化。
[0007]优选的,所述安全优化机制,包括:采用HTTPS,通过SSL加密传输,以确保通道的安全性;基于预设的代码库,移除导致浏览器做非预期执行的代码;设置HTTP
‑
Only Cookies以来防止通过JavaScript 来访问Cookie。
[0008]优选的,所述预设的代码库,包括js
‑
xss、XSS HTMLFilter和TWIG。
[0009]本专利技术提供一种交互式web验证优化系统,包括:第一单元,用于建立验证双方的链接以获取验证优化许可;第二单元,用于根据所述验证优化许可,建立token盗用优化机制、验证效率优化机制和安全优化机制。
[0010]优选的,所述token盗用优化机制,包括:在token中添加客户ID和IP地址;在客户端提交的表单中添加加密后的客户ID和IP地址;在服务器端收到请求后,通过比对客户端ID与token里的客户ID,比对IP地址,如果出现不一致的情况,则对该请求进行拦截操作。
[0011]优选的,所述验证效率优化机制,包括:通过继承TokenAuthentication类,并重载authenticate_credentials方法进行认证优化。
[0012]优选的,所述安全优化机制,包括:采用HTTPS,通过SSL加密传输,以确保通道的安
全性;基于预设的代码库,移除导致浏览器做非预期执行的代码;设置HTTP
‑
Only Cookies以来防止通过JavaScript 来访问Cookie。
[0013]优选的,所述预设的代码库,包括js
‑
xss、XSS HTMLFilter和TWIG。
[0014]本专利技术的有益效果为:通过建立验证双方的链接以获取验证优化许可,可以满足验证双方的确认需求,提高隐私保护程度和安全性;根据所述验证优化许可,建立token盗用优化机制、验证效率优化机制和安全优化机制,能够满足不同缺陷的优化需求。
附图说明
[0015]图1是根据本专利技术的交互式web验证优化方法的示意图;图2是根据本专利技术的交互式web验证优化系统的示意图。
[0016]附图标记包括:1
‑
第一单元,2
‑
第二单元。
具体实施方式
[0017]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0018]应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
[0019]还应当理解,在本专利技术说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本专利技术。如在本专利技术说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
[0020]还应当进一步理解,在本专利技术说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
[0021]为了解决或者改善背景提到的问题,提出如图1所示的一种交互式web验证优化方法,包括:S1、建立验证双方的链接以获取验证优化许可;S2、根据所述验证优化许可,建立token盗用优化机制、验证效率优化机制和安全优化机制。
[0022]验证双方包括客户端和服务器,因为更换或者优化验证的流程,需要获得双方的认可,因此,需要先通过建立验证双方的链接以获取验证优化许可。该验证优化许可的内容包括建立token盗用优化机制、建立验证效率优化机制和建立安全优化机制,目的实现token盗用流程的优化,验证效率的优化以及安全措施的优化。
[0023]正常情况下,token验证的流程:
⑴
当客户端第一次请求时,发送用户信息至服务器(用户名、密码),服务器对用户信息使用HS256算法及密钥进行签名,再将这个签名和数据一起作为Token一起返回给客户端;
⑵
服务器不保存Token,客户端保存Token(比如放在Cookie里或者Local Storage里);
⑶
当客户端再次发送请求时,在请求信息中将Token一起发给服务器;
⑷
服务器用同样的HS256算法和同样的密钥,对数据再进行一次签名,和客户端返回的Token的签名进行比较,如果验证成功,就向客户端返回请求的数据。
[0024]token验证的不足包括:1)无法作废已经颁布的令牌所有的认证信息都在token中,由于在服务端没有状态,即使知道了某个token被盗取了,也没有办法将其作废。在token过期之前,们没有办法对其作废。
[0025]2)性能问题为保障WEB的安全性,token使用加密签名,由于这个特性,接收方得以验证本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种交互式web验证优化方法,其特征在于,包括:建立验证双方的链接以获取验证优化许可;根据所述验证优化许可,建立token盗用优化机制、验证效率优化机制和安全优化机制。2.根据权利要求1所述交互式web验证优化方法,其特征在于,所述token盗用优化机制,包括:在token中添加客户ID和IP地址;在客户端提交的表单中添加加密后的客户ID和IP地址;在服务器端收到请求后,通过比对客户端ID与token里的客户ID,比对IP地址,如果出现不一致的情况,则对该请求进行拦截操作。3.根据权利要求1所述交互式web验证优化方法,其特征在于,所述验证效率优化机制,包括:通过继承TokenAuthentication类,并重载authenticate_credentials方法进行认证优化。4.根据权利要求1所述交互式web验证优化方法,其特征在于,所述安全优化机制,包括:采用HTTPS,通过SSL加密传输,以确保通道的安全性;基于预设的代码库,移除导致浏览器做非预期执行的代码;设置HTTP
‑
Only Cookies以来防止通过JavaScript 来访问Cookie。5. 根据权利要求4所述交互式web验证优化方法,其特征在于,所述预设的代码库,包括js
‑
xss、XSS HTMLFilter和TWIG。6.一种交互式web验证优化...
【专利技术属性】
技术研发人员:凌颖,余通,杨春燕,黎新,宾冬梅,韩松明,谢铭,唐福川,明少锋,卢杰科,贺冠博,曾明霏,蒙亮,
申请(专利权)人:广西电网有限责任公司电力科学研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。