一种令牌跨区域交换与鉴权方法和系统技术方案

本发明专利技术公开了一种令牌跨区域交换与鉴权方法和系统，应用于目标服务区域，方法包括：接收前端发送的加密后的令牌身份信息和信息签名，加密后的令牌身份信息和信息签名为用户访问前端时通过前端发送切换区域请求至当前服务区域后，再由当前服务区域进行用户身份校验和加密签名后发送至前端的；对加密后的令牌身份信息和信息签名进行验签解密处理，并生成访问白名单；将前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并发送至前端，用于前端加载来自目标服务区域的内容至页面。通过实施本发明专利技术，跨域访问时不同区域数据中心之间不用同步令牌，减少了数据中心之间的交互频繁，且不同区域数据中心不会存储非本区域注册的用户信息。的用户信息。的用户信息。

【技术实现步骤摘要】
一种令牌跨区域交换与鉴权方法和系统


[0001]本专利技术涉及跨域访问
，尤其涉及一种令牌跨区域交换与鉴权方法和系统。

技术介绍

[0002]在对于拥有跨国跨区域的业务的系统，区域之间不同数据中心，需要共享数据和访问鉴权，对于数据一致性，和网络的延迟都有较高的考验。一般需要购买网络专线，加速访问。
[0003]不同国家地区之间物理距离导致的，网络延迟，影响系统可用性。并且因为政治或法律原因导致不同国家之间不能直接畅通的进行数据互访，造成跨域数据访问不便。
[0004]出于安全原因，浏览器会限制从页面脚本内发起的跨域请求，有些浏览器不会限制跨域请求的发起，但是也会将结果拦截了。意味着前端脚本只能加载同一个域下的资源。

技术实现思路

[0005]本专利技术要解决的技术问题在于，针对现有技术存在的至少一个缺陷：跨域访问不便，提供一种令牌跨区域交换与鉴权方法和系统。
[0006]本专利技术解决其技术问题所采用的技术方案是：构造一种令牌跨区域交换与鉴权方法，应用于目标服务区域，所述方法包括：
[0007]接收前端发送的加密后的令牌身份信息和信息签名，所述加密后的令牌身份信息和信息签名为用户访问所述前端时通过所述前端发送切换区域请求至当前服务区域后，再由所述当前服务区域进行用户身份校验和加密签名后发送至所述前端的；
[0008]对所述加密后的令牌身份信息和信息签名进行验签解密处理，并生成访问白名单；
[0009]将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并发送至所述前端，用于所述前端加载来自所述目标服务区域的内容至页面。优选地，在本专利技术所述的令牌跨区域交换与鉴权方法中，所述令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。
[0010]优选地，在本专利技术所述的令牌跨区域交换与鉴权方法中，将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并发送至所述前端，之后还包括：
[0011]在切换区域成功，并在用户通过所述前端进行功能访问时，根据所述访问白名单校验用户的合法性；
[0012]响应功能信息，将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中；
[0013]将所述允许跨域访问的跨域资源共享响应头发送至所述前端，用于所述前端加载来自所述目标服务区域的功能信息至页面。
[0014]优选地，在本专利技术所述的令牌跨区域交换与鉴权方法中，根据所述访问白名单校
验用户的合法性，包括：
[0015]校验白名单内所述用户令牌的值和所述用户互联网地址的合法性。
[0016]优选地，在本专利技术所述的令牌跨区域交换与鉴权方法中，由所述当前服务区域进行用户身份校验和加密签名，包括：
[0017]在所述当前服务区域内使用所述目标服务区域的公钥对所述令牌身份信息进行组合加密生成加密字符串；在所述当前服务区域内使用所述当前服务区域的私钥将所述加密字符串加密生成所述信息签名。
[0018]优选地，在本专利技术所述的令牌跨区域交换与鉴权方法中，对所述加密后的令牌身份信息和信息签名进行验签解密处理，包括：
[0019]使用所述当前服务区域的公钥对所述信息签名进行验签后，再对加密后的所述令牌身份信息使用所述目标服务区域的私钥进行解密。
[0020]优选地，在本专利技术所述的令牌跨区域交换与鉴权方法中，生成访问白名单，之前还包括：
[0021]校验所述令牌身份信息中所述时间戳的有效期，若所述校验时间戳在有效期内，则将所述用户令牌和所述用户互联网地址生成所述访问白名单。
[0022]本专利技术还构造了一种令牌跨区域交换与鉴权方法，应用于当前服务区域，所述方法包括：
[0023]接收用户访问前端时通过所述前端发送的切换区域请求；
[0024]校验所述切换区域请求的用户身份信息；
[0025]加密令牌身份信息并生成信息签名；
[0026]发送加密后的所述令牌身份信息和所述信息签名至所述前端，所述加密后的令牌身份信息和信息签名用于所述前端发送至目标服务区域内进行验签解密，并生成访问白名单，所述目标服务区域将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并将所述允许跨域访问的跨域资源共享响应头发送至所述前端，用于所述前端加载来自所述目标服务区域的内容至页面。
[0027]优选地，在本专利技术所述的令牌跨区域交换与鉴权方法中，所述令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。
[0028]优选地，在本专利技术所述的令牌跨区域交换与鉴权方法中，加密所述令牌身份信息并生成信息签名，包括：
[0029]通过所述令牌身份信息进行组合，使用所述目标服务区域的公钥加密生成加密字符串；并使用所述当前服务区域的私钥将所述加密字符串加密生成所述信息签名。
[0030]优选地，在本专利技术所述的令牌跨区域交换与鉴权方法中，所述加密后的令牌身份信息和信息签名用于所述前端发送至所述目标服务区域内进行验签解密，包括：
[0031]在所述目标服务区域内使用所述当前服务区域的公钥对所述信息签名进行验签后再对加密后的所述令牌身份信息使用所述目标服务区域的私钥进行解密。
[0032]优选地，在本专利技术所述的令牌跨区域交换与鉴权方法中，生成访问白名单，之前还包括：
[0033]在所述目标服务区域内通过所述解密使得所述目标服务区域获得所述令牌身份信息，校验所述令牌身份信息中所述时间戳的有效期，所述校验时间戳的有效期用于触发
当所述校验时间戳在有效期内，则将所述用户令牌和所述用户互联网地址加入所述访问白名单内。
[0034]本专利技术还构造了一种令牌跨区域交换与鉴权方法，应用于前端，所述方法包括：
[0035]发送用户访问时触发的切换区域请求至当前服务区域，所述切换请求中的用户身份信息用于所述当前服务区域校验所述用户身份信息并进行加密签名生成加密后的所述令牌身份信息和信息签名；
[0036]接收所述当前服务区域发送的所述加密后的令牌身份信息和信息签名；
[0037]发送所述加密后的令牌身份信息和信息签名至目标服务区域，用于所述目标服务区域进行验签解密，并生成访问白名单，所述目标服务区域将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中；
[0038]接收所述允许跨域访问的跨域资源共享响应头，加载来自所述目标服务区域的内容至页面。
[0039]优选地，在本专利技术所述的令牌跨区域交换与鉴权方法中，所述令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。
[0040]优选地，在本专利技术所述的令牌跨区域交换与鉴权方法中，接收所述允许跨域访问的跨域资源共享响应头，之后还包括：
[0041]用于切换区域成功后，访问目标服务区域的功能，用于所述目标服务区域根据所述访问白名单校验所述用户的合法性，并响应功能信息，将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中；
[004本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种令牌跨区域交换与鉴权方法，其特征在于，应用于目标服务区域，所述方法包括：接收前端发送的加密后的令牌身份信息和信息签名，所述加密后的令牌身份信息和信息签名为用户访问所述前端时通过所述前端发送切换区域请求至当前服务区域后，再由所述当前服务区域进行用户身份校验和加密签名后发送至所述前端的；对所述加密后的令牌身份信息和信息签名进行验签解密处理，并生成访问白名单；将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并发送至所述前端，用于所述前端加载来自所述目标服务区域的内容至页面。2.根据权利要求1所述的令牌跨区域交换与鉴权方法，其特征在于，所述令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。3.根据权利要求2所述的令牌跨区域交换与鉴权方法，其特征在于，将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并发送至所述前端，之后还包括：在切换区域成功，并在用户通过所述前端进行功能访问时，根据所述访问白名单校验用户的合法性；响应功能信息，将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中；将所述允许跨域访问的跨域资源共享响应头发送至所述前端，用于所述前端加载来自所述目标服务区域的功能信息至页面。4.根据权利要求3所述的令牌跨区域交换与鉴权方法，其特征在于，根据所述访问白名单校验用户的合法性，包括：校验白名单内所述用户令牌的值和所述用户互联网地址的合法性。5.根据权利要求1所述的令牌跨区域交换与鉴权方法，其特征在于，由所述当前服务区域进行用户身份校验和加密签名，包括：在所述当前服务区域内使用所述目标服务区域的公钥对所述令牌身份信息进行组合加密生成加密字符串；在所述当前服务区域内使用所述当前服务区域的私钥将所述加密字符串加密生成所述信息签名。6.根据权利要求1所述的令牌跨区域交换与鉴权方法，其特征在于，对所述加密后的令牌身份信息和信息签名进行验签解密处理，包括：使用所述当前服务区域的公钥对所述信息签名进行验签后，再对加密后的所述令牌身份信息使用所述目标服务区域的私钥进行解密。7.根据权利要求2所述的令牌跨区域交换与鉴权方法，其特征在于，生成访问白名单，之前还包括：校验所述令牌身份信息中所述时间戳的有效期，若所述校验时间戳在有效期内，则将所述用户令牌和所述用户互联网地址生成所述访问白名单。8.一种令牌跨区域交换与鉴权方法，其特征在于，应用于当前服务区域，所述方法包括：接收用户访问前端时通过所述前端发送的切换区域请求；校验所述切换区域请求的用户身份信息；加密令牌身份信息并生成信息签名；发送加密后的所述令牌身份信息和所述信息签名至所述前端，所述加密后的令牌身份
信息和信息签名用于所述前端发送至目标服务区域内进行验签解密，并生成访问白名单，所述目标服务区域将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并将所述允许跨域访问的跨域资源共享响应头发送至所述前端，用于所述前端加载来自所述目标服务区域的内容至页面。9.根据权利要求8所述的令牌跨区域交换与鉴权方法，其特征在于，所述令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。10.根据权利要求8所述的令牌跨区域交换与鉴权方法，其特征在于，加密所述令牌身份信息并生成信息签名，包括：通过所述令牌身份信息进行组合，使用所述目标服务区域的公钥加密生成加密字符串；并使用所述当前服务区域的私钥将所述加密字符串加密生成所述信息签名。11.根据权利要求8所述的令牌跨区域交换与鉴权方法，其特征在于，所述加密后的令牌身份信息和信息签名用于所述前端发送至所述目标服务区域内进行验签解密，包括：在所述目标服务区域内使用所述当前服务区域的公钥对所述信息签名进行验签后再对加密后的所述令牌身份信息使用所述目标服务区域的私钥进行解密。12.根据权利要求9所述的令牌跨区域交换与鉴权方法，其特征在于，生成访问白名单，之前还包括：在所述目标服务区域内通过所述解密使得所述目标服务区域获得所述令牌身份信息，校验所述令牌身份信息中所述时间戳的有效期，所述校验时间戳的有效期用于触发当所述校验时间戳在有效期内，则将所述用户令牌和所述用户互联网地址加入所述访问白名单内。13.一种令牌跨区域交换与鉴权方法，其特征在于，应用于前端，所述方法包括：发送用户访问时触发的切换区域请求至当前服务区域，所述切换请求中的用户身份信息用于所述当前服务区域校验所述用户身份信息并进行加密签名生成加密后的所述令牌身份信息和信息签名；接收所述当前服务区域发送的所述加密后的令牌身份信息和信息签名；发送所述加密后的令牌身份信息和信息签名至目标服务区域，用于所述目标服务区域进行验签解密，并生成访问白名单，所述目标服务区域将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中；接收所述允许跨域访问的跨域资源共享响应头，加载来自所述目标服务区域的内容至页面。14.根据权利要求13所述的令牌跨区域交换与鉴权方法，其特征在于，所述令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。15.根据权利要求14所述的令牌跨区域交换与鉴权方法，其特征在于，接收所述允许跨域访问的跨域资源共享响应头，之后还包括：用于切换区域成功后，访问目标服务区域的功能，用于所述目标服务区域根据所述访问白名单校验所述用户的合法性，并响应功能信息，将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中；接收所述目标服务区域发送的所述允许跨域访问的跨域资源共享响应头，用于加载来自所述目标服务区域的功能信息至页面。
16.根据权利要求15所述的令牌跨区域交换与鉴权方法，其特征在于，根据所述访问白名单校验所述用户的合法性，包括：校验白名单内所述用户令牌的值和所述用户互联网地址的合法性。17.根据权利要求13所述的令牌跨区域交换与鉴权方法，其特征在于，所述当前服务区域校验所述用户身份信息并进行加密签名生成加密后的所述令牌身份信息和信息签名，包括：在所述当前服务区域内对所述令牌身份信息进行组合，使用所述目标服务区域的公钥加密生成加密字符串；在所述当前服务区域内使用所述当前服务区域的私钥将所述加密字符串加密生成所述信息签名。18.根据权利要求13所述的令牌跨区域交换与鉴权方法，其特征在于，发送所述加密后的令牌身份信息和信息签名至目标服务区域，用于所述目标服务区域进行验签解密，包括：在所述目标服务区域内使用所述当前服务区域的公钥对所述信息签名进行验签后，再对加密后的所述令牌身份信息使用所述目标服务区域的私钥进行解密。19.根据权利要求14所述的令牌跨区域交换与鉴权方法，其特征在于，生成访问白名单，之前还包括：在所述目标服务区域内通过所述解密使得所述目标服务区域获得所述令牌身份信息，所述令牌身份信息用于校...

【专利技术属性】
技术研发人员：陆豪，付伟，
申请(专利权)人：深圳市拓邦软件技术有限公司，
类型：发明
国别省市：