CN103475477A - 一种安全授权访问的方法 - Google Patents
一种安全授权访问的方法 Download PDFInfo
- Publication number
- CN103475477A CN103475477A CN2013103942607A CN201310394260A CN103475477A CN 103475477 A CN103475477 A CN 103475477A CN 2013103942607 A CN2013103942607 A CN 2013103942607A CN 201310394260 A CN201310394260 A CN 201310394260A CN 103475477 A CN103475477 A CN 103475477A
- Authority
- CN
- China
- Prior art keywords
- password
- client
- server
- user name
- cookie
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种安全授权访问方法,客户端通过输入用户名和密码,服务器通过接收到客户端的用户名和密码与***配置中保存的用户名和密码比较,如果匹配则访问,否则,拒绝该客户端的访问,包括在客户端的浏览器上,将用户名及密码填充到cookie字段拼接起来,然后进行加密,组成新的HTTP请求包提交给服务器的步骤。本发明充分利用HTTP请求包中的其他字段,提高服务器的安全性的验证方法。
Description
技术领域
本发明涉及到嵌入式设备安全访问领域,特别涉及在用户进行身份认证过程中进行加密解密方法来授权客户端访问的方法。
背景技术
现在的嵌入式设备中,登陆访问的是如下方法:
利用BASIC认证方式,客户端向服务器请求访问时,若客户端尚未被验证,则HTTP服务器将通过基本的认证过程对客户端的用户名及密码进行验证,以决定用户是否合法。客户端收到服务器的身份认证要求(WWW-Authenticate)后,会提示用户输入用户名及密码,然后以BASE64加密,讲密文附加在请求头信息(Authorization)中。HTTP服务器收到请求包后,根据协议中的字段来解密出用户名及密码,进行验证。如果用户名及密码正确,则根据客户端的请求,返回客户端所需要的数据;否则返回错误的信息或者要求客户端重新提供用户名及密码。
此方法虽然符合日常使用,但是在安全方面存在如下缺陷:
A:由于客户端提交的请求信息中带有加密的用户名及密码,很容易被人提取出来破译出真实的用户名及密码,造成设备使用的不安全性。
B:在服务器对客户端验证合法后,不再验证后续的请求,进行合法性验证,也会造成设备使用的不安全性。
发明内容
本发明的目的是为了解决以上问题,本发明提供一种安全授权访问方法。
本发明的技术方案是:一种安全授权访问方法,客户端通过输入用户名和密码,服务器通过接收到客户端的用户名和密码与***配置中保存的用户名和密码比较,如果匹配则访问,否则,拒绝该客户端的访问,包括以下步骤:
步骤A、客户端向服务器请求服务;
步骤B、客户端收到服务器的身份认证要求后,提示用户输入用户名和密码;
步骤C、在客户端的浏览器上,将用户名及密码填充到cookie字段拼接起来,然后进行加密,组成新的HTTP请求包提交给服务器;
步骤D、服务器后台接收到HTTP请求包,提取包头数据字段cookie,对该cookie进行解密,分解出客户端提交的用户名及密码;
步骤E、服务器将分解出的用户名及密码与***配置中的用户名和密码比较,判断客户端是否合法,若客户端合法则返回客户端请求的数据,否则返回报错信息或者向客户端提出身份认证要求,转向步骤B。
进一步的,上述的安全授权访问方法中:所述的步骤A中,客户端是首次向服务器提出请求服务。
进一步的,上述的安全授权访问方法中:所述的步骤C中,cookie字段拼接起来,然后进行加密,是采用Base64编码方式加密或者采用MD5方法加密。
进一步的,上述的安全授权访问方法中:所述的步骤C中,将将用户名及密码填充到cookie字段是采用“用户名:密码:action”,其中“action”是预先设定的标记。
进一步的,上述的安全授权访问方法中:所述的步骤E中,在转向步骤B之前,还需要清除cookie值。
本发明充分利用HTTP请求包中的其他字段,提高服务器的安全性的验证方法。
下面结合具体实施例对本发明作较为详细的描述。
附图说明
图1是使用本方法的整体流程图。
具体实施方式
实施例1,如图1所示,本实施例是一种安全授权访问方法,客户端通过输入用户名和密码,服务器通过接收到客户端的用户名和密码与***配置中保存的用户名和密码比较,如果匹配则访问,否则,拒绝该客户端的访问,包括以下步骤:
第1步:客户端首次向服务器请求访问,客户端收到服务器的身份认证要求(WWW-Authenticate)后,会提示用户输入用户名及密码。
第2步:在客户端浏览器上,将用户输入用户名及密码填充到cookie字段拼接起来,目前我们采用的和Authorization字段类似,使用用户名及密码,例如这样的格式user:password:action,其中user为客户端输入的用户名,password为客户端输入的密码,action为我们预先设定的标记。填充后,我们同样使用的Base64编码方式加密,当然也可以其他加密方式。如MD5加密方法。将密文填充到cookie字段。这样我们就可以组成新的HTTP请求包提交给服务器。
第3步:当服务器后台收到客户端发来的请求数据,先提取我们需要的包头数据字段Cookie,对Cookie字段进行Base64或者MD5解码后,分解出客户端提交的用户名及密码,标记值。
这里第2、3步中使用的MD5加密方法加密也是一种比较应用广泛的加密方法。MD5方法具有如下特点:
1. 加密是非对称的。
2.在用户端加密后,填充密文。
3.在服务器上,比较密文匹配。
第4步:将分解出的用户名及密码,与***配置中用户名及密码比较,判断客户端是否合法用户。若客户端用户合法则返回客户端请求的数据;若客户端用户不合法则返回报错信息,或者让客户端重新提供用户名及密码。
第5步:当服务器返回验证不合法,提示客户端重新提供用户名及密码时,客户端需要清掉之前的Cookie值,重新进行第1步骤。每次保证提交的cookie中的用户名及密码仅当前的生效。
第6步:服务器还可以根据约定规则,决定客户端是否需要每次访问数据时,都需要服务器来验证合法性,还是只需要验证一次即可。这个是需要预先设定的规则。为了不影响服务器端的性能,不建议开启每次都进行合法性验证。
Claims (5)
1.一种安全授权访问方法,客户端通过输入用户名和密码,服务器通过接收到客户端的用户名和密码与***配置中保存的用户名和密码比较,如果匹配则访问,否则,拒绝该客户端的访问,其特征在于:包括以下步骤:
步骤A、客户端向服务器请求服务;
步骤B、客户端收到服务器的身份认证要求后,提示用户输入用户名和密码;
步骤C、在客户端的浏览器上,将用户名及密码填充到cookie字段拼接起来,然后进行加密,组成新的HTTP请求包提交给服务器;
步骤D、服务器后台接收到HTTP请求包,提取包头数据字段cookie,对该cookie进行解密,分解出客户端提交的用户名及密码;
步骤E、服务器将分解出的用户名及密码与***配置中的用户名和密码比较,判断客户端是否合法,若客户端合法则返回客户端请求的数据,否则返回报错信息或者向客户端提出身份认证要求,转向步骤B。
2.根据权利要求1所述的安全授权访问方法,其特征在于:所述的步骤A中,客户端是首次向服务器提出请求服务。
3.根据权利要求1所述的安全授权访问方法,其特征在于:所述的步骤C中,cookie字段拼接起来,然后进行加密,是采用Base64编码方式加密或者采用MD5方法加密。
4.根据权利要求1所述的安全授权访问方法,其特征在于:所述的步骤C中,将将用户名及密码填充到cookie字段是采用“用户名:密码:action”,其中“action”是预先设定的标记。
5.根据权利要求1所述的安全授权访问方法,其特征在于:所述的步骤E中,在转向步骤B之前,还需要清除cookie值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013103942607A CN103475477A (zh) | 2013-09-03 | 2013-09-03 | 一种安全授权访问的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013103942607A CN103475477A (zh) | 2013-09-03 | 2013-09-03 | 一种安全授权访问的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103475477A true CN103475477A (zh) | 2013-12-25 |
Family
ID=49800189
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013103942607A Pending CN103475477A (zh) | 2013-09-03 | 2013-09-03 | 一种安全授权访问的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103475477A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105407102A (zh) * | 2015-12-10 | 2016-03-16 | 四川长虹电器股份有限公司 | http请求数据可靠性验证方法 |
| CN105554098A (zh) * | 2015-12-14 | 2016-05-04 | 瑞斯康达科技发展股份有限公司 | 一种设备配置方法、服务器及*** |
| CN105989254A (zh) * | 2015-02-12 | 2016-10-05 | 深圳积友聚乐科技有限公司 | 一种基于触摸屏的远程密码验证***与方法、电子设备 |
| CN106549760A (zh) * | 2015-09-16 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 基于cookie的身份验证方法和装置 |
| CN107395654A (zh) * | 2017-09-14 | 2017-11-24 | 浪潮软件股份有限公司 | 一种安全认证方法、客户端、服务端及*** |
| CN107682453A (zh) * | 2017-11-02 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于http的文件共享方法、***和设备 |
| CN108346297A (zh) * | 2018-03-30 | 2018-07-31 | 合肥城市泊车投资管理有限公司 | 一种基于智能管理***的违章停车管理控制方法 |
| CN109150865A (zh) * | 2018-08-07 | 2019-01-04 | 厦门市美亚柏科信息股份有限公司 | 一种移动终端app通讯协议的保护、装置及存储介质 |
| CN110311892A (zh) * | 2019-05-23 | 2019-10-08 | 视联动力信息技术股份有限公司 | 一种数据获取方法和服务器 |
| CN110943827A (zh) * | 2019-10-18 | 2020-03-31 | 天津幸福生命科技有限公司 | 一种基于网络协议的数据获取方法及装置 |
| CN112148920A (zh) * | 2020-08-11 | 2020-12-29 | 中标慧安信息技术股份有限公司 | 数据管理方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101977224A (zh) * | 2010-10-28 | 2011-02-16 | 神州数码网络(北京)有限公司 | 一种基于SSL VPN设备的Web资源认证信息管理方法 |
| CN102196434A (zh) * | 2010-03-10 | 2011-09-21 | ***通信集团公司 | 无线局域网终端认证方法及*** |
| CN102387354A (zh) * | 2011-11-25 | 2012-03-21 | 中山大学 | 一种基于嵌入式Web服务器的视频监控*** |
| US20130124309A1 (en) * | 2011-11-15 | 2013-05-16 | Tapad, Inc. | Managing associations between device identifiers |
-
2013
- 2013-09-03 CN CN2013103942607A patent/CN103475477A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102196434A (zh) * | 2010-03-10 | 2011-09-21 | ***通信集团公司 | 无线局域网终端认证方法及*** |
| CN101977224A (zh) * | 2010-10-28 | 2011-02-16 | 神州数码网络(北京)有限公司 | 一种基于SSL VPN设备的Web资源认证信息管理方法 |
| US20130124309A1 (en) * | 2011-11-15 | 2013-05-16 | Tapad, Inc. | Managing associations between device identifiers |
| CN102387354A (zh) * | 2011-11-25 | 2012-03-21 | 中山大学 | 一种基于嵌入式Web服务器的视频监控*** |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105989254A (zh) * | 2015-02-12 | 2016-10-05 | 深圳积友聚乐科技有限公司 | 一种基于触摸屏的远程密码验证***与方法、电子设备 |
| CN106549760A (zh) * | 2015-09-16 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 基于cookie的身份验证方法和装置 |
| CN105407102B (zh) * | 2015-12-10 | 2019-05-17 | 四川长虹电器股份有限公司 | http请求数据可靠性验证方法 |
| CN105407102A (zh) * | 2015-12-10 | 2016-03-16 | 四川长虹电器股份有限公司 | http请求数据可靠性验证方法 |
| CN105554098A (zh) * | 2015-12-14 | 2016-05-04 | 瑞斯康达科技发展股份有限公司 | 一种设备配置方法、服务器及*** |
| CN105554098B (zh) * | 2015-12-14 | 2019-01-25 | 瑞斯康达科技发展股份有限公司 | 一种设备配置方法、服务器及*** |
| CN107395654A (zh) * | 2017-09-14 | 2017-11-24 | 浪潮软件股份有限公司 | 一种安全认证方法、客户端、服务端及*** |
| CN107682453A (zh) * | 2017-11-02 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于http的文件共享方法、***和设备 |
| CN108346297A (zh) * | 2018-03-30 | 2018-07-31 | 合肥城市泊车投资管理有限公司 | 一种基于智能管理***的违章停车管理控制方法 |
| CN109150865A (zh) * | 2018-08-07 | 2019-01-04 | 厦门市美亚柏科信息股份有限公司 | 一种移动终端app通讯协议的保护、装置及存储介质 |
| CN110311892A (zh) * | 2019-05-23 | 2019-10-08 | 视联动力信息技术股份有限公司 | 一种数据获取方法和服务器 |
| CN110943827A (zh) * | 2019-10-18 | 2020-03-31 | 天津幸福生命科技有限公司 | 一种基于网络协议的数据获取方法及装置 |
| CN112148920A (zh) * | 2020-08-11 | 2020-12-29 | 中标慧安信息技术股份有限公司 | 数据管理方法 |
| CN112148920B (zh) * | 2020-08-11 | 2021-08-31 | 中标慧安信息技术股份有限公司 | 数据管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103475477A (zh) | 一种安全授权访问的方法 | |
| CN110380852B (zh) | 双向认证方法及通信*** | |
| CN104219228B (zh) | 一种用户注册、用户识别方法及*** | |
| CN101005361B (zh) | 一种服务器端软件保护方法及*** | |
| CN103095456B (zh) | 交易报文的处理方法和*** | |
| WO2018076365A1 (zh) | 密钥协商方法及装置 | |
| RU2018121828A (ru) | Системы и способы для аутентификации онлайнового пользователя с использованием сервера безопасной авторизации | |
| CN102510378B (zh) | 一种通过移动设备登陆网络游戏的方法 | |
| EP2590356A1 (en) | Method, device and system for authenticating gateway, node and server | |
| CN102595213B (zh) | 可信电视终端安全认证方法和*** | |
| US20100185860A1 (en) | Method for authenticating a communication channel between a client and a server | |
| CN101631305B (zh) | 一种加密方法及*** | |
| CN102685086A (zh) | 一种文件访问方法和*** | |
| CN105282168B (zh) | 基于chap协议的数据交互方法及装置 | |
| CN102946314A (zh) | 一种基于浏览器插件的客户端用户身份认证方法 | |
| CN105391554B (zh) | 一种采用密文实现指纹匹配的方法和*** | |
| CN101860540A (zh) | 一种识别网站服务合法性的方法及装置 | |
| CN104038486A (zh) | 一种基于标识型密码实现用户登录鉴别的***及方法 | |
| CN105207782A (zh) | 一种基于restful架构的身份验证方法 | |
| CN109150526A (zh) | 密钥协商方法、设备、终端、存储介质以及*** | |
| CN107995148B (zh) | 文件防篡改的方法、***、终端和可信云平台 | |
| CN103701787A (zh) | 一种基于公开密钥算法实现的用户名口令认证方法 | |
| CN102638468A (zh) | 保护信息传输安全的方法、发送端、接收端及*** | |
| CN105430014A (zh) | 一种单点登录方法及其*** | |
| CN105187369B (zh) | 一种数据访问方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20131225 |
|
| RJ01 | Rejection of invention patent application after publication |