【技术实现步骤摘要】
本申请涉及互联网,具体而言,涉及业务请求的鉴权方法、电子设备和存储介质。
技术介绍
1、随着科技的不断发展,人们越来越多地通过互联网来处理工作生活中的各种日常事务。比如,用户能够通过互联网购买商品、查询旅游信息、获取天气资讯等。
2、在通过互联网来处理日常事务的过程中,用户通常需要先进行客户端的账号登录。此时服务器能够接收到客户端所发送的登录请求,然后进一步校验登录请求中的登录账号和密码,并且在该登录账号和密码校验通过的情况下,会生成访问令牌(token),并将该访问令牌反馈给客户端。相应的,客户端会接收到并保存该访问令牌,并在后续的业务处理过程中,向服务器所发送的业务请求均会携带该访问令牌,从而便于服务器利用该访问令牌对该客户端进行鉴权。
3、然而,目前的这种业务请求的鉴权方式存在较高的安全风险,比如不法分子可能会窃取客户端所保存的访问令牌,进而利用该访问令牌向服务器发起非法的业务请求,而由于该非法的业务请求携带有该访问令牌,导致服务器难以识别出该业务请求为非法的业务请求,进而带来安全风险。
技术实现思路
1、本申请实施例的目的在于提供业务请求的鉴权方法、电子设备和存储介质,用于解决现有鉴权方式存在较高的安全风险的问题。
2、本申请实施例第一方面提供了一种业务请求的鉴权方法,所述方法应用于客户端,所述方法包括:
3、获取附加鉴权信息和所存储的访问令牌,其中,所述附加鉴权信息关联随机因子;
4、利用所述访问令牌和所述附加鉴
5、向服务器发送所述业务请求,以使得服务器根据所述业务请求中所携带的所述访问令牌和所述附加鉴权信息对所述客户端进行鉴权。
6、优选的,通过如下方式获取所述附加鉴权信息:
7、获取随机因子;
8、利用密钥对中的公钥对所述随机因子进行加密,以生成所述附加鉴权信息。
9、优选的,通过如下方式获取所述附加鉴权信息:
10、获取随机因子和所述客户端的属性特征;
11、利用密钥对中的公钥对所述随机因子和所述属性特征进行加密,以生成所述附加鉴权信息。
12、优选的,所述方法还包括:
13、通过window.addeventlistener('storage',callback(event))来监听storage事件,以确定所述客户端所存储的所述访问令牌是否被篡改;
14、在所述访问令牌被篡改的情况下,通过回调函数callback获取事件对象event,所述事件对象event的参数包括oldvalue和storagearea,其中,oldvalue用于记录篡改前的访问令牌,storagearea用于记录访问令牌的存储地址;
15、在storagearea所记录的存储地址中,将所述存储地址所存储的访问令牌替换为oldvalue所记录的访问令牌。
16、优选的,所述方法还包括:判断访问令牌的篡改方式是否为默认篡改方式;以及,
17、在storagearea所记录的存储地址中,将该存储地址所存储的访问令牌替换为oldvalue所记录的访问令牌,具体包括:在不为默认篡改方式的情况下,在storagearea所记录的存储地址中,将该存储地址所存储的访问令牌替换为oldvalue所记录的访问令牌。
18、本申请实施例第二方面提供了一种业务请求的鉴权方法,所述方法应用于服务器,所述方法包括:
19、获取客户端所发送的业务请求,所述业务请求携带访问令牌和附加鉴权信息;其中,所述附加鉴权信息关联随机因子;
20、通过所述访问令牌和所述附加鉴权信息对所述客户端进行鉴权;
21、在鉴权通过的情况下,根据所述业务请求进行业务处理。
22、优选的,通过所述访问令牌和所述附加鉴权信息对所述客户端进行鉴权,具体包括:
23、将所述访问令牌与服务器所存储的所述客户端的访问令牌进行对比,以生成第一鉴权结果;
24、获取所述附加鉴权信息所关联的随机因子,并将所述附加鉴权信息所关联的随机因子,与服务器预先所获取到的随机因子进行对比,以生成第二鉴权结果;
25、根据所述第一鉴权结果和所述第二鉴权结果对所述客户端进行鉴权,其中,在所述第一鉴权结果和第二鉴权结果均为鉴权通过的情况下,所述客户端为鉴权通过;或,在所述第一鉴权结果和第二鉴权结果至少一个为鉴权不通过的情况下,所述客户端为鉴权不通过。
26、优选的,获取所述附加鉴权信息所关联的随机因子,具体包括:
27、利用密钥对中的私钥对所述附加鉴权信息进行解密,以获取所述随机因子。
28、本申请实施例第三方面提供了一种电子设备,包括:
29、存储器,用以存储计算机程序;
30、处理器,用以执行本申请方法实施例中任一项所述的方法。
31、本申请实施例第四方面提供了一种存储介质,包括:程序,当其在电子设备上运行时,使得电子设备可执行本申请方法实施例中任一项所述的方法。
32、采用本申请实施例所提供的该方法,包括获取附加鉴权信息和所存储的访问令牌,然后利用该访问令牌和该附加鉴权信息生成业务请求,然后向服务器发送该业务请求。由于该方法中,业务请求是利用附加鉴权信息和访问令牌所生成,并且该附加鉴权信息关联随机因子,此时即使该访问令牌被不法分子窃取,并且利用所窃取的该访问令牌向服务器发送业务请求,服务器也能够识因为该业务请求中没有携带附加鉴权信息,而识别出该业务请求为非法的业务请求,从而能够降低安全风险。
本文档来自技高网...【技术保护点】
1.一种业务请求的鉴权方法,其特征在于,所述方法应用于客户端,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,通过如下方式获取所述附加鉴权信息:
3.根据权利要求1所述的方法,其特征在于,通过如下方式获取所述附加鉴权信息:
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:判断访问令牌的篡改方式是否为默认篡改方式;以及,
6.一种业务请求的鉴权方法,其特征在于,所述方法应用于服务器,所述方法包括:
7.根据权利要求6所述的方法,其特征在于,通过所述访问令牌和所述附加鉴权信息对所述客户端进行鉴权,具体包括:
8.根据权利要求7所述的方法,其特征在于,获取所述附加鉴权信息所关联的随机因子,具体包括:
9.一种电子设备,其特征在于,包括:
10.一种存储介质,其特征在于,包括:程序,当其在电子设备上运行时,使得电子设备可执行如权利要求1至8中任一项所述的方法。
【技术特征摘要】
1.一种业务请求的鉴权方法,其特征在于,所述方法应用于客户端,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,通过如下方式获取所述附加鉴权信息:
3.根据权利要求1所述的方法,其特征在于,通过如下方式获取所述附加鉴权信息:
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:判断访问令牌的篡改方式是否为默认篡改方式;以及,
6.一种业务请...
【专利技术属性】
技术研发人员:管宏伟,夏凌莉,虞力,
申请(专利权)人:成都新致云服信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。