CN111294354B - 用于分布式环境的签名验证方法、装置、设备和存储介质 - Google Patents

用于分布式环境的签名验证方法、装置、设备和存储介质 Download PDF

Info

Publication number
CN111294354B
CN111294354B CN202010080026.7A CN202010080026A CN111294354B CN 111294354 B CN111294354 B CN 111294354B CN 202010080026 A CN202010080026 A CN 202010080026A CN 111294354 B CN111294354 B CN 111294354B
Authority
CN
China
Prior art keywords
token
server
signature verification
text file
small text
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010080026.7A
Other languages
English (en)
Other versions
CN111294354A (zh
Inventor
钱晟龙
许増伟
王万飞
杨松霖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Hexuewang Educational Technology Co ltd
Original Assignee
Beijing Hexuewang Educational Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Hexuewang Educational Technology Co ltd filed Critical Beijing Hexuewang Educational Technology Co ltd
Priority to CN202010080026.7A priority Critical patent/CN111294354B/zh
Publication of CN111294354A publication Critical patent/CN111294354A/zh
Application granted granted Critical
Publication of CN111294354B publication Critical patent/CN111294354B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种用于分布式环境的签名验证方法、装置、设备和存储介质,令牌客户端接收到顶级域名的访问请求;向令牌服务端发送第一令牌和第二令牌,第一令牌和第二令牌均存储在令牌客户端的顶级域名的小型文本文件中,令牌服务端集成了软件开发工具包,令牌服务端通过软件开发工具包自动续期第二令牌;令牌服务端根据第一令牌和第二令牌进行签名验证,因此当我们访问顶级域名的时候两个令牌都会被发送到令牌服务端,所以实现了单点登录,令牌服务端集成了软件开发工具包即每一个令牌服务端端集成了软件开发工具包,软件开发工具包会在令牌服务端经过一系列逻辑后,自动续期第二令牌且前端无感,令牌服务端根据第一令牌和第二令牌进行签名验证。

Description

用于分布式环境的签名验证方法、装置、设备和存储介质
技术领域
本发明实施例涉及安全技术领域,具体涉及一种用于分布式环境的签名验证方法、装置、设备和存储介质。
背景技术
现有技术中,单体服务端应用服务,会使用JSESSIONID做为超文本传输协议应用的令牌,在应用的内存当中保存会话的上下文信息,以此来保存用户已经获得认证的信息,每一个请求都会带着这个令牌来访问服务器。在分布式的环境中,需要将令牌对应的上下文信息中心化存储或者将令牌发送到正确的服务器才根据令牌获得用户的认证上下文信息,而后者因为服务器有承受不了压力、出现故障的可能性,为了保障服务的可用性,一般不会在分布式环境当中使用;前者又需要将令牌传递给中心化存储服务器以获得上下文信息,因而会多一次输入输出请求流程。随着分布式***的扩展,多后台服务器,多域名成为常态。目前市面上最为成熟的应对多域名的单点登录认证方案其中之一遍是耶鲁大学开源的CAS项目。
发明人在实现本发明的过程中发现:CAS项目的流程一共有6个步骤,有重定向、有指定服务,临时ticket传递、有后台有状态ticket的验证,整个流程步骤比较多。倘若我们的应用是单页的前后端分离应用,前端和后端仅通过请求跨域进行访问,在重定向这一步会卡住,无法做到在前端无感知的情况下跨域名的单点登录认证。
发明内容
为了解决现有技术存在的至少一个问题,本发明实施例提供了一种用于分布式环境的签名验证方法、装置、电子设备和存储介质。
第一方面,本发明实施例提供了一种用于分布式环境的签名验证方法,包括:
令牌客户端接收到顶级域名的访问请求;
令牌客户端向令牌服务端发送第一令牌和第二令牌,第一令牌和第二令牌均存储在令牌客户端的顶级域名的小型文本文件中,令牌服务端集成了软件开发工具包,令牌服务端通过软件开发工具包自动续期第二令牌;
令牌服务端根据第一令牌和第二令牌进行签名验证。
在一些实施例中,上述方法还包括:
第一令牌使用签名和验证签名的非对称加密算法;
令牌服务端接收到第一令牌和第二令牌后,验证签名是否合法,若签名合法,信任第一令牌所包含的信息;
令牌客户端向中心服务器发送第一令牌和第二令牌后,中心服务器的第二令牌用于换取第一令牌、撤销第二令牌或更新第二令牌,换取第一令牌、撤销第二令牌或更新第二令牌后,将换取后的第一令牌和更新后的第二令牌存储在令牌客户端的顶级域名的小型文本文件中。
在一些实施例中,上述方法还包括:存储换取后的第一令牌和更新后的第二令牌在小型文本文件中后,小型文本文件中的最大时龄属性设置为负值。
在一些实施例中,上述方法还包括:中间人攻击时,小型文本文件采用超文本传输安全协议加密,新的小型文本文件生成后,设置安全属性为真;
跨站脚本攻击时,新的小型文本文件生成后,设置仅超文本传输协议属性为真;
跨站点请求伪造,访问安全系数高的接口时,双重提交小型文本文件。
在一些实施例中,上述方法中令牌服务端根据第一令牌和第二令牌进行签名验证时,
第一令牌和第二令牌以安全属性为真的形式被存储在小型文本文件中。
在一些实施例中,上述方法中令牌客户端和令牌服务端均是服务器时,令牌服务端根据第一令牌和第二令牌进行签名验证时,软件开发工具包将第一令牌和第二令牌均存储到线程本地。
在一些实施例中,上述方法中的第一令牌是访问令牌,第二令牌是刷新令牌。
第二方面,本发明实施例提供了一种用于分布式环境的签名验证装置,包括:
接收模块:用于令牌客户端接收到顶级域名的访问请求;
发送模块:用于令牌客户端向令牌服务端发送第一令牌和第二令牌,第一令牌和第二令牌均存储在令牌客户端的顶级域名的小型文本文件中,令牌服务端集成了软件开发工具包,令牌服务端通过软件开发工具包自动续期第二令牌;
签名验证模块:用于令牌服务端根据第一令牌和第二令牌进行签名验证。
第三方面,本发明实施例提供了一种电子设备,包括:处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如上述用于分布式环境的签名验证方法的步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行上述用于分布式环境的签名验证方法的步骤。
本发明实施例的优点在于:令牌客户端接收到顶级域名的访问请求;令牌客户端向令牌服务端发送第一令牌和第二令牌,第一令牌和第二令牌均存储在令牌客户端的顶级域名的小型文本文件中,令牌服务端集成了软件开发工具包,令牌服务端通过软件开发工具包自动续期第二令牌;令牌服务端根据第一令牌和第二令牌进行签名验证,因此当我们访问顶级域名的时候两个令牌都会被发送到令牌服务端,所以实现了单点登录,令牌服务端集成了软件开发工具包即每一个令牌服务端端集成了软件开发工具包,软件开发工具包会在令牌服务端经过一系列逻辑后,自动续期第二令牌且前端无感,令牌服务端根据第一令牌和第二令牌进行签名验证。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例提出的一种用于分布式环境的签名验证方法的流程示意图;
图2为本发明实施例提出的一种用于分布式环境的签名验证装置的结构示意图;
图3为本发明实施例提供的电子设备的硬件结构示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。基于所描述的本发明的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
图1为本发明实施例提出的一种用于分布式环境的签名验证方法的流程示意图。
第一方面,结合图1,本发明实施例提供了一种用于分布式环境的签名验证方法,包括如下三个步骤:
S101:令牌客户端接收到顶级域名的访问请求。
S102:令牌客户端向令牌服务端发送第一令牌和第二令牌,第一令牌和第二令牌均存储在令牌客户端的顶级域名的小型文本文件中,令牌服务端集成了软件开发工具包,令牌服务端通过软件开发工具包自动续期第二令牌。
S103:令牌服务端根据第一令牌和第二令牌进行签名验证。
具体的,本申请实施例中的两个令牌均存储在顶级域名中,令牌是token,以顶级域名.haixue.com为例,小型文本文件是cookie,因为两个token都放到了.haixue.com的cookie当中,因此当我们访问api.haixue.com,pc-api.haixue.com,passport.haixue.com,xxx.haixue.com etc的时候两个token都会被发送到令牌服务端,所以实现了单点登录,令牌服务端集成了软件开发工具包即每一个令牌服务端端集成了sdk,sdk会在服务端经过一系列逻辑后,自动续期第二令牌即refresh_token且前端无感。
在一些实施例中,上述方法还包括:
第一令牌使用签名和验证签名的非对称加密算法。
令牌服务端接收到第一令牌和第二令牌后,验证签名是否合法,若签名合法,信任第一令牌所包含的信息。
具体的,本申请实施例中的第一令牌是访问令牌即Access token,Access token拥有比较短的生存时间,可以被认作为一个无状态的可信任的字符串,它通过非对称加密算法即RSA算法进行签名,令牌服务端接收到token只需要验证签名是否合法,如果合法则直接信任access token所包含的内容,它可以省下一次IO消耗。
令牌客户端向中心服务器发送第一令牌和第二令牌后,中心服务器的第二令牌用于换取第一令牌、撤销第二令牌或更新第二令牌,换取第一令牌、撤销第二令牌或更新第二令牌后,将换取后的第一令牌和更新后的第二令牌存储在令牌客户端的顶级域名的小型文本文件中。
具体的,本申请实施例中的第二令牌是刷新令牌即Refresh token,Refreshtoken拥有比较长的生存时间,是用来换取访问令牌access token的,refresh token可以被撤销(Database+cache),也可以被renew,renew后会和access token一起存储在小型文本文件cookie当中,在每次使用的时候,都令牌客户端和中心服务器进行交流,以达到统一登出等状态的维护。
在一些实施例中,上述方法还包括:存储换取后的第一令牌和更新后的第二令牌在小型文本文件中后,小型文本文件中的最大时龄属性设置为负值。
具体的,本申请实施例中为了尽可能的限制安全问题发生的范围,存储换取后的第一令牌和更新后的第二令牌在小型文本文件cookie中,并且设置cookie.setMaxAge(-1),从而能够永久存储在令牌客户端。
在一些实施例中,上述方法还包括:中间人攻击时,小型文本文件采用超文本传输安全协议加密,新的小型文本文件生成后,设置安全属性为真;
具体的,本申请实施例中Man-in-the-Middle使用https加密,避免中途有人监听窃取cookie,以java代码为例,新的小型文本文件cookie new生成之后需要setSecure=true,只在https的情况下设置cookie。
跨站脚本攻击时,新的小型文本文件生成后,设置仅超文本传输协议属性为真。
具体的,本申请实施例中跨站脚本攻击Cross-Site Scripting(XSS),新的小型文本文件cookie new生成之后需要setHttpOnly=true,这样js代码就无法操作cookie,自然XSS无处遁寻。针对服务器端和非WEB客户端,则需要分别保证自己依赖的library不包含可执行代码,客户端保证服务器返回的任何内容都有执行类似escapeHtml的操作。
跨站点请求伪造,访问安全系数高的接口时,双重提交小型文本文件。
具体的,本申请实施例中跨站点请求伪造Cross-Site Request Forgery(CSRF),在访问访问安全系数高,比如转账,使用双重提交小型文本文件Double-Submit Cookie方案解决,并且不滥用CORS(cross origin resource share),否则会导致CSRF方式的漏洞,完全暴露给恶意攻击者。
在一些实施例中,上述方法中令牌服务端根据第一令牌和第二令牌进行签名验证时,
第一令牌和第二令牌以安全属性为真的形式被存储在小型文本文件中。
将第一令牌和第二令牌token以secure=true的形式存储到cookie当中,javascript无法进行访问,只会随着顶级域名而传递给服务器,所以前端***就没有任何感知,只知道认证中心告诉它用户认证成功了,即可访问所有在该顶级域名下的所有服务器的服务且这些服务知道是什么在访问。
在一些实施例中,上述方法中令牌客户端和令牌服务端均是服务器时,令牌服务端根据第一令牌和第二令牌进行签名验证时,软件开发工具包将第一令牌和第二令牌均存储到线程本地。
具体的,本申请实施例中对于服务器与服务器之间的认证,sdk会将文中所提到的两个token访问令牌和刷新令牌都存储到比如线程本地ThreadLocal中。在向另一个分布式服务器发起请求时,会将它们带给另一个分布式服务,这样另一个分布式服务也会知道这是谁发起的请求,这些功能实现在软件开发工具包SDK当中。
在一些实施例中,上述方法中的第一令牌是访问令牌,第二令牌是刷新令牌。
图2为本发明实施例提出的一种用于分布式环境的签名验证装置的结构示意图。
第二方面,结合图2,本发明实施例提供了一种用于分布式环境的签名验证装置,包括:
接收模块201:用于令牌客户端接收到顶级域名的访问请求;
发送模块202:用于令牌客户端向令牌服务端发送第一令牌和第二令牌,第一令牌和第二令牌均存储在令牌客户端的顶级域名的小型文本文件中,令牌服务端集成了软件开发工具包,令牌服务端通过软件开发工具包自动续期第二令牌;
签名验证模块203:用于令牌服务端根据第一令牌和第二令牌进行签名验证。
具体的,本申请实施例中的两个令牌均存储在顶级域名中,令牌是token,以顶级域名.haixue.com为例,小型文本文件是cookie,因为两个token都放到了.haixue.com的cookie当中,因此当我们访问api.haixue.com,pc-api.haixue.com,passport.haixue.com,xxx.haixue.com etc的时候两个token都会被发送到令牌服务端,所以实现了单点登录,令牌服务端集成了软件开发工具包即每一个令牌服务端端集成了sdk,sdk会在服务端经过一系列逻辑后,自动续期第二令牌即refresh_token且前端无感。
第三方面,本发明实施例提供了一种电子设备,包括:处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如上述用于分布式环境的签名验证方法的步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行上述用于分布式环境的签名验证方法的步骤。
图3为本发明实施例提供的电子设备的硬件结构示意图,如图3所示,该电子设备可以包括手机、PAD的智能终端,该电子设备包括:
一个或多个处理器301,图3中以一个处理器301为例;存储器302;电子设备还可以包括:输入装置303和输出装置304。
电子设备中的处理器301、存储器302、输入装置303和输出装置304可以通过总线或者其他方式连接,图2中以通过总线连接为例。
存储器302作为一种非暂态计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的应用程序的界面显示方法对应的程序指令/模块(例如,附图2所示的接收模块201、发送模块202和签名验证模块203)。处理器301通过运行存储在存储器302中的软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的用于分布式环境的签名验证方法。
存储器302可以包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需要的应用程序;存储数据区可存储根据电子设备的使用所创建的数据等。此外,存储器302可以包括高速随机存取存储器,还可以包括非暂态性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态性固态存储器件。在一些实施例中,存储器302可选包括相对于处理器301远程设置的存储器,这些远程存储器可以通过网络连接至终端设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置303可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置304可包括显示屏等显示设备。
本发明实施例还提供一种包含计算机可读存储介质,该计算机可读存储介质存储程序或指令,该程序或指令使计算机执行行时用于执行一种用于分布式环境的签名验证方法,该方法包括:
可选的,该计算机可执行指令在由计算机处理器执行时还可以用于执行本发明任意实施例所提供的识别伪装音乐播放的技术方案。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。
虽然结合附图描述了本发明的实施方式,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (8)

1.用于分布式环境的签名验证方法,其特征在于,包括:
令牌客户端接收到顶级域名的访问请求;
所述令牌客户端向令牌服务端发送第一令牌和第二令牌,所述第一令牌和所述第二令牌均存储在所述令牌客户端的顶级域名的小型文本文件中,所述令牌服务端集成了软件开发工具包,所述令牌服务端通过软件开发工具包自动续期所述第二令牌;其中,所述第一令牌是访问令牌,所述第二令牌是刷新令牌;所述小型文本文件是cookie;
所述令牌服务端根据所述第一令牌和所述第二令牌进行签名验证;
还包括:中间人攻击时,所述小型文本文件采用超文本传输安全协议加密,新的小型文本文件生成后,设置安全属性为真;
跨站脚本攻击时,新的小型文本文件生成后,设置仅超文本传输协议属性为真;
跨站点请求伪造,访问安全系数高的接口时,双重提交小型文本文件。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一令牌使用签名和验证签名的非对称加密算法;
所述令牌服务端接收到所述第一令牌和第二令牌后,验证签名是否合法,若所述签名合法,信任第一令牌所包含的信息;
所述令牌客户端向中心服务器发送第一令牌和第二令牌后,中心服务器的第二令牌用于换取第一令牌、撤销第二令牌或更新第二令牌,换取第一令牌、撤销第二令牌或更新第二令牌后,将换取后的第一令牌和更新后的第二令牌存储在所述令牌客户端的顶级域名的小型文本文件中。
3.根据权利要求2所述的方法,其特征在于,存储换取后的第一令牌和更新后的第二令牌在小型文本文件中后,小型文本文件中的最大时龄属性设置为负值。
4.根据权利要求1所述的方法,其特征在于,所述令牌服务端根据所述第一令牌和所述第二令牌进行签名验证时,
所述第一令牌和所述第二令牌以安全属性为真的形式被存储在所述小型文本文件中。
5.根据权利要求1所述的方法,其特征在于,令牌客户端和令牌服务端均是服务器时,所述令牌服务端根据所述第一令牌和所述第二令牌进行签名验证时,软件开发工具包将所述第一令牌和所述第二令牌均存储到线程本地。
6.用于分布式环境的签名验证装置,其特征在于,包括:
接收模块:用于令牌客户端接收到顶级域名的访问请求;
发送模块:用于所述令牌客户端向令牌服务端发送第一令牌和第二令牌,所述第一令牌和所述第二令牌均存储在所述令牌客户端的顶级域名的小型文本文件中,所述令牌服务端集成了软件开发工具包,所述令牌服务端通过软件开发工具包自动续期所述第二令牌;其中,所述第一令牌是访问令牌,所述第二令牌是刷新令牌;所述小型文本文件是cookie;
签名验证模块:用于所述令牌服务端根据所述第一令牌和所述第二令牌进行签名验证;
还包括:中间人攻击时,所述小型文本文件采用超文本传输安全协议加密,新的小型文本文件生成后,设置安全属性为真;
跨站脚本攻击时,新的小型文本文件生成后,设置仅超文本传输协议属性为真;
跨站点请求伪造,访问安全系数高的接口时,双重提交小型文本文件。
7.一种电子设备,其特征在于,包括:处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如权利要求1至5任一项所述方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如权利要求1至5任一项所述方法的步骤。
CN202010080026.7A 2020-02-04 2020-02-04 用于分布式环境的签名验证方法、装置、设备和存储介质 Active CN111294354B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010080026.7A CN111294354B (zh) 2020-02-04 2020-02-04 用于分布式环境的签名验证方法、装置、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010080026.7A CN111294354B (zh) 2020-02-04 2020-02-04 用于分布式环境的签名验证方法、装置、设备和存储介质

Publications (2)

Publication Number Publication Date
CN111294354A CN111294354A (zh) 2020-06-16
CN111294354B true CN111294354B (zh) 2021-03-30

Family

ID=71024403

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010080026.7A Active CN111294354B (zh) 2020-02-04 2020-02-04 用于分布式环境的签名验证方法、装置、设备和存储介质

Country Status (1)

Country Link
CN (1) CN111294354B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111698264A (zh) * 2020-06-28 2020-09-22 京东数字科技控股有限公司 用于保持用户认证会话的方法和装置
CN112511491B (zh) * 2020-10-30 2022-12-06 福建福诺移动通信技术有限公司 一种在前后端分离模式下结合消息队列的单点登入方法
CN114978735A (zh) * 2022-05-31 2022-08-30 拉扎斯网络科技(上海)有限公司 Pos设备登录鉴权方法、设备、存储介质及电子装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102368257A (zh) * 2010-10-06 2012-03-07 微软公司 动态内容中的跨站点脚本阻止
CN110138718A (zh) * 2018-02-09 2019-08-16 佳能株式会社 信息处理***及其控制方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104980925B (zh) * 2015-06-01 2019-05-28 走遍世界(北京)信息技术有限公司 用户请求的认证方法和装置
CN105959267B (zh) * 2016-04-25 2019-03-01 北京九州云腾科技有限公司 单点登录技术中的主令牌获取方法、单点登录方法及***
US10375053B2 (en) * 2016-09-09 2019-08-06 Microsoft Technology Licensing, Llc Cross-platform single sign-on accessibility of a productivity application within a software as a service platform
CN110087236B (zh) * 2018-01-25 2022-10-18 苹果公司 用于通过无线网络与匿名主机建立安全通信会话的协议
CN110086818B (zh) * 2019-05-05 2020-05-19 绍兴文理学院 一种云文件安全存储***及访问控制方法
CN110263574A (zh) * 2019-06-06 2019-09-20 深圳前海微众银行股份有限公司 数据管理方法、装置、***及可读存储介质
CN110351304B (zh) * 2019-07-31 2021-12-07 深圳市钱海网络技术有限公司 一种不同***间的一键切换登录实现方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102368257A (zh) * 2010-10-06 2012-03-07 微软公司 动态内容中的跨站点脚本阻止
CN110138718A (zh) * 2018-02-09 2019-08-16 佳能株式会社 信息处理***及其控制方法

Also Published As

Publication number Publication date
CN111294354A (zh) 2020-06-16

Similar Documents

Publication Publication Date Title
CN107483509B (zh) 一种身份验证方法、服务器及可读存储介质
US10715514B1 (en) Token-based credential renewal service
US9722991B2 (en) Confidence-based authentication discovery for an outbound proxy
CN111680324B (zh) 用于区块链的凭证验证方法、管理方法以及签发方法
CN112422532B (zh) 业务通信方法、***、装置及电子设备
US10541991B2 (en) Method for OAuth service through blockchain network, and terminal and server using the same
CN111294354B (zh) 用于分布式环境的签名验证方法、装置、设备和存储介质
US9172541B2 (en) System and method for pool-based identity generation and use for service access
CN111416822B (zh) 访问控制的方法、电子设备和存储介质
US9401911B2 (en) One-time password certificate renewal
US10805083B1 (en) Systems and methods for authenticated communication sessions
US20160241536A1 (en) System and methods for user authentication across multiple domains
Ferry et al. Security evaluation of the OAuth 2.0 framework
US9635024B2 (en) Methods for facilitating improved user authentication using persistent data and devices thereof
CN110958119A (zh) 身份验证方法和装置
US10791119B1 (en) Methods for temporal password injection and devices thereof
JP2023096089A (ja) グループ署名による匿名イベント証明
US8875244B1 (en) Method and apparatus for authenticating a user using dynamic client-side storage values
CN112953720A (zh) 一种网络请求处理方法、装置、设备及存储介质
JP7389235B2 (ja) 匿名イベント認証
CN115459929A (zh) 安全验证方法、装置、电子设备、***、介质和产品
US11146379B1 (en) Credential chaining for shared compute environments
US10313349B2 (en) Service request modification
CN108737331B (zh) 跨域通信方法及跨域通信***
US20130007861A1 (en) Methods for authenticating a user without personal information and devices thereof

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant