CN112615879A

CN112615879A - 一种网络请求的处理方法及装置

Info

Publication number: CN112615879A
Application number: CN202011569110.1A
Authority: CN
Inventors: 李俸希; 王熹佳; 程呈
Original assignee: Agricultural Bank of China
Current assignee: Agricultural Bank of China
Priority date: 2020-12-26
Filing date: 2020-12-26
Publication date: 2021-04-06

Abstract

本申请实施例公开了一种网络请求的处理方法及装置，首先获取网络请求，并对网络请求中的请求信息进行合法性校验，该合法性校验包括前端校验和后端校验。在合法性校验通过时，对请求信息的唯一性和有效性进行判断，在请求信息具有唯一性和有效性的情况下，服务器可以响应该网络请求。也就是，本申请实施例在对网络请求进行前/后端校验的条件下，还针对请求中的敏感数据进行唯一性和时效性的双重鉴别，有效防控网络安全风险。

Description

一种网络请求的处理方法及装置

技术领域

本申请涉及安全技术领域，具体涉及一种网络请求的处理方法及装置。

背景技术

随着互联网技术的飞速发展，Web应用的安全性在诸多领域，如金融、医疗和国防等方面起着越来越重要的作用。目前常见的安全风险主要有注入漏洞、失效的身份认证和会话管理、失效的访问控制等，该类风险会使得攻击者进行一些非法操作，如获取用户数据、修改用户数据等。

针对不同的网络风险，目前常见的安全防护技术包括使用安全的应用程序接口(Application Programming Interface，API)或白名单方式避免注入漏洞；使用单一的认证和会话管理对失效的身份认证和会话管理进行防护。然而，目前的安全防护技术不能满足多样化的攻击手段。

发明内容

有鉴于此，本申请实施例提供一种网络请求的处理方法及装置，以实现更为合理有效地完成对网络请求的处理。

为解决上述问题，本申请实施例提供的技术方案如下：

在本申请实施例第一方面，提供了一种网络请求的处理方法，所述方法包括：

获取网络请求，所述网络请求包括请求信息；

根据统一校验规则对所述请求信息进行合法性校验；

在校验通过时，判断所述请求信息是否具有唯一性和时效性；

在所述请求信息具有唯一性和有效性时，响应所述网络请求。

在一种具体的实施方式中，所述在校验通过时，判断所述请求信息是否具有唯一性和时效性，包括：

判断所述请求信息是否存在静默缓冲期；

在所述请求信息未存在静默缓冲期，确定所述请求信息具有时效性；

从所述请求信息中提取待鉴别功能信息；

从本地获取所述待鉴别功能信息对应的状态信息；

在所述状态信息为有效时，确定所述请求信息具有唯一性。

在一种具体的实施方式中，所述在所述状态信息为有效时，确定所述请求信息具有唯一性之前，所述方法还包括：

判断所述待鉴别功能信息对应的功能标签与本地存储的功能标签是否一致，所述功能标签用于表示所述网络请求的目的；

在所述待鉴别功能信息对应的功能标签与本地存储的功能标签一致时，确定所述请求信息具有唯一性。

在一种具体的实施方式中，所述根据校验规则对所述请求信息进行合法性校验，包括：

根据所述统一校验规则对所述请求信息进行前端校验；

根据所述统一校验规则对所述请求信息进行后端校验。

在一种具体的实施方式中，所述校验规则至少包括必输校验、正则校验、加解密配置、中英文配置、长度配置和字符集转换。

在一种具体的实施方式中，所述方法还包括：

在所述请求信息校验未通过、不具备唯一性或不具备时效性时，增加请求次数，并保存请求方的信息以及被请求方的信息。

在一种具体的实施方式中，所述方法还包括：

确定所述请求方对应的请求次数是否大于预设阈值；

在所述请求方对应的请求次数大于预设阈值时，拒绝所述请求方在预设时间内发起所述网络请求。

在本申请实施例第二方面，提供了一种网络请求的处理装置，所述装置包括：

获取单元，用于获取网络请求，所述网络请求包括请求信息；

校验单元，用于根据同一校验规则对所述请求信息进行合法性校验；

判断单元，用于在校验通过时，判断所述请求信息是否具有唯一性和时效性；

响应单元，用于在所述请求信息具有唯一性和有效性时，响应所述网络请求。

在一种具体的实施方式中，所述判断单元，具体用于判断所述请求信息是否存在静默缓冲期；在所述请求信息未存在静默缓冲期，确定所述请求信息具有时效性；从所述请求信息中提取待鉴别功能信息；从本地获取所述待鉴别功能信息对应的状态信息；在所述状态信息为有效时，确定所述请求信息具有唯一性。

在一种具体的实施方式中，所述在所述状态信息为有效时，所述判断单元，还用于判断所述待鉴别功能信息对应的功能标签与本地存储的功能标签是否一致，所述功能标签用于表示所述网络请求的目的；在所述待鉴别功能信息对应的功能标签与本地存储的功能标签一致时，确定所述请求信息具有唯一性。

在一种具体的实施方式中，所述校验单元，具体用于根据所述统一校验规则对所述请求信息进行前端校验；根据所述统一校验规则对所述请求信息进行后端校验。

在一种具体的实施方式中，所述装置还包括：

处理单元，用于在所述请求信息校验未通过、不具备唯一性或不具备时效性时，增加请求次数，并保存请求方的信息以及被请求方的信息。

在一种具体的实施方式中，所述判断单元，还用于确定所述请求方对应的请求次数是否大于预设阈值；

处理单元，用于在所述请求方对应的请求次数大于预设阈值时，拒绝所述请求方在预设时间内发起所述网络请求。

在本申请实施例第三方面，提供了一种处理网络请求的设备，包括：处理器，存储器；

所述存储器，用于存储计算机可读指令或者计算机程序；

所述处理器，用于读取所述计算机可读指令或所述计算机程序，以使得所述设备实现如第一方面所述的网络请求的处理方法。

在本申请实施例第四方面，提供了一种计算机可读存储介质，包括指令或计算机程序，当其在计算机上运行时，使得计算机执行以上第一方面所述的网络请求的处理方法。

由此可见，本申请实施例具有如下有益效果：

本申请实施例首先获取网络请求，并对网络请求中的请求信息进行合法性校验，该合法性校验包括前端校验和后端校验。在合法性校验通过时，对请求信息的唯一性和有效性进行判断，在请求信息具有唯一性和有效性的情况下，服务器可以响应该网络请求。也就是，本申请实施例在对网络请求进行前/后端校验的条件下，还针对请求中的敏感数据进行唯一性和时效性的双重鉴别，有效防控网络安全风险。

附图说明

图1为本申请实施例提供的一种应用程序安全风险示意图；

图2为本申请实施例提供的一种网络请求的处理方法流程图；

图3a为本申请实施例提供的一种统一配置示意图；

图3b为本申请实施例提供的一种前/后端校验示意图；

图4为本申请实施例提供的一种网络请求处理框架图；

图5为本申请实施例提供的一种网络请求的处理装置结构图。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请实施例作进一步详细的说明。

为便于理解本申请实施例提供的技术方案，下面将先对本申请涉及的技术术语进行说明。

前端校验，只是做到数据验证，也就是数据的合法性校验，比如：字符串长度、邮箱格式、手机号码等等，密码强度检测，提醒用户一些错误的格式。前端校验是为了增强用户体验，也就是尽可能降低出错率，提高一次性提交的成功率。前端校验便于用户纠正(快速反馈)，并且减少服务器压力、节省流量(减少无意义的请求)，主要对用户友好。比如手机号码，邮箱号不合法，或者密码强度太弱，在前端校验可以不等后端返回，直接提醒用户不合法，让用户及时知晓并更改，避免不必要的提交，再等待服务器返回错误信息。

在正常情况下，有必要进行前端校验，如果跳过前端验证，数据安全就会有隐患。而后端验证是必不可少的，能够进一步对数据进行校验、在前端校验的东西在后端也必须校验(比如登陆用户名、密码)，有些东西在前端就可以校验，没必要提交到后端，增加服务器的压力，正常情况下，前端校验的东西，最好后端都在校验一次。

后端校验，包括唯一性验证，验证码，敏感词，出错概率高的要做异步校验。后端校验可以防止接口被私自调用导致破坏数据库结构；避免有人模拟浏览器行为直接给服务器发请求。前端页生成验证码编号，并将编号并提交到后台去请求验证码图片。后台生成图片验证码，并把验证码文字内容当作值，验证码编号当作key存储在redis中。后台把验证码图片当作响应返回给前端，前端申请发送短信验证码的时候带上第1步验证码编号和用户输入的验证码内容。后台取出验证码编号对应的验证码内容与前端传过来的验证码内容进行对比。如果一样，则向指定手机发送验证码，如果不一样，则返回验证码错误。

目前场景的应用安全风险主要包括注入漏洞、失效的身份认证和会话管理、敏感信息泄露、失效的访问控制等安全风险等。目前针对注入漏洞，采取的防护技术是使用安全的API，使用解释器或提供参数化界面的API来避免注入漏洞，或者使用“白名单”的方式进行安全防护。但使用参数化界面避免注入漏洞对于业务复杂的项目难以实现。针对失效的身份认证和会话管理，现有的是使用一套单一的认证和会话管理控制***，然而在微服务体系结构中，单一的认证和会话管理不能满足与所有的服务。对于失效的访问控制，主用使用基于用户或会话的间接对象引用、自动化验证等。该防护方式虽然能很好的甄别访问的装置是否有效，但并未对访问有效期内的安全进行控制。

注入漏洞，是因为字符过滤不严谨所造成的，可以得到管理员的账号密码等相关资料。

失效的身份认证和会话管理，是指通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌，或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。

失效的访问控制，未对通过身份验证的用户实施恰当的访问控制，攻击者可以利用这些缺陷访问未经授权的功能或数据。技术影响是攻击者可以冒充用户、管理员或拥有特权的用户，创建、访问、更新或删除任何记录。

在实际应用中，攻击者通过“攻击向量”找到应用程序中安全弱点，绕过安全控制对相应业务功能进行攻击。如图1所示，对于攻击1和攻击2，由于受安全控制的拦截未对后续技术和业务产生影响。而对于攻击3，由于绕过安全控制，使得该攻击对技术和业务均产生影响。

基于此，本申请实施例提供了一种网络请求的处理方法，对于任一网络请求，对该网络请求中的请求信息进行合法性校验，包括前端校验和后端校验。当校验通过后，确定请求信息的唯一性和有效性，以避免失效的身份认证和失效的访问，保证一个请求信息仅请求一种网络访问，提高web应用的安全性。

为便于理解本申请实施例提供的技术方案，下面将结合附图对方案的具体实现进行说明。

参见图2，该图为本申请实施例提供的一种网络请求的处理方法流程图，如图2所示，该方法包括：

S201：获取网络请求，该网络请求中包括请求信息。

本实施例中，当用户通过客户端访问某一web页面时，客户端根据用户输入的信息生成网络请求，该网络请求中包括请求信息。其中，请求信息中所包括的内容与该网络请求的类型相关，例如，当该网络请求为用户注册请求时，该请求信息可以包括用户名、密码、邮箱地址、手机号、银行卡账号等。当网络请求为登录请求时，该请求信息可以包括用户名、密码、验证码等信息。

S202：根据统一校验规则对请求信息进行合法性校验。

在客户端获取到请求信息后，根据统一校验规则对该请求信息进行合法性校验，以校验请求信息中用户所输入的信息是否满足校验规则。具体地，根据校验规则对请求信息进行前端校验和后端校验。

需要说明的是，在实际应用中，前后端校验时分离开发的，前端校验规则和后端校验规则不一致，如此一来，容易给攻击者留下漏洞，攻击者可以绕过前端校验发起攻击。基于此，本实施例在进行前端校验和后端校验时，利用同一配置文件生成统一校验规则，有效地避免注入漏洞。而且，通过配置统一校验规则，可以减少冗余代码，提高后期维护效率。例如图3a所示的统一校验规则的配置示意图。

前端校验和后端校验均可以包括必输校验、正则校验、加解密配置、中英文配置、长度配置和字符集转换等。也就是统一前/后端校验，并丰富校验指标，例如自动配置加解密、字符集转换。其中，正则校验用于校验用户所输入的用户名或密码是否符合预设规则，例如，密码格式应该包含大/小写字母和数字，且8位或以上。加解密配置，是指前端在传输用户输入的用户信息时要进行加密，后端在接收到用户信息后对其进行解密验证。中英文配置，是指在配置为中文时，用户必须输入中文，在配置为英文时，用户必须输入英文。长度配置，是指用户输入的信息需符合预设长度。字符集转换是指半角/全角转换。例如图3b所示的前/后端校验示意图，必输项校验和正则校验。

S203：在校验通过时，判断请求信息是否具有唯一性和有效性，如果是，执行S204；如果否，执行S205。

在前端校验和后端校验均通过时，判断请求信息是否具有唯一性和有效性。例如，判断请求消息中的验证码是否为该用户唯一拥有的，以及该验证码是否在有效期内。

在校验不通过时，可以将请求次数加1，从而可以统计用户在一段时间内发起该类网络请求的次数。

具体地，判断请求信息是否具有唯一性和有效性，包括：

1)判断请求消息是否存在静默缓冲期。

为避免攻击者通过非正常途径发起请求，例如postman等工具伪造请求，跳过前端控制，进行多次请求，例如，融资请求，需要对响应的融资依据、融资信息、合同等信息进行校验和存档，在该请求结束后才能进行下一次请求。在本实施例中，可以为同一类请求设置静默缓冲期，在第一次请求到达后，启动静默缓冲期。在该静默缓冲期内发送的同一类请求一致确定为无效请求。因此，在获取到请求信息后，判断该请求信息是否存在静默缓冲期，也就是，判断是否启动该请求信息对应的静默缓冲期。

2)在请求信息未存在静默缓冲期，则确定请求信息具有时效性。

如果不存在，表明该请求信息对应的网络请求为第一次请求，确定该请求信息具有时效性。如果存在，表明该请求信息对应的网络请求不是第一次请求，则确定该请求信息对应的网络请求为无效请求。

进一步地，在确定出请求信息对应的网络请求为无效请求时，可以将请求次数加1，从而可以统计用户在一段时间内发起该类网络请求的次数。

3)从请求信息中提取待鉴别功能信息。

用户在通过客户端访问页面时，客户端通过用户的输入操作，可以获取对应的用户标识以及待鉴别功能信息，并通过请求信息将该用户标识以及待鉴别功能信息发送给后端服务器。其中，用户标识用于唯一地表示访问页面的用户，例如用户名、手机号、身份证号等。待鉴别功能信息表示用户访问web页面时所需的除用户名、密码之外的其他信息，例如图片验证码、短信验证码、人脸等辅助信息。

4)从本地获取待鉴别功能信息对应的状态信息。

后端服务器在获取到用户标识后，根据该用户标识从本地查找与该用户标识对应的功能信息以及该功能信息对应的状态信息。也就是，后端服务器可以在本地存储器中存储每位用户对应的功能信息以及该功能信息对应的状态信息，以便在用户通过客户端访问页面时，可以根据所存储的功能信息以及功能信息对应的状态对用户输入的待鉴别功能信息进行鉴别。

5)在状态信息为有效时，确定请求信息具有唯一性。

当后端服务器确定出请求消息中的待鉴别功能消息对应的状态消息为有效，则表明该待鉴别功能信息尚未被使用，即不存在被他人使用的情况，则确定该请求消息具有唯一性。如果状态信息为无效，则表明该待鉴别功能信息已经被使用过，则确定该请求信息不具有唯一性。也就是，在实际鉴别时，当服务器第一次对待鉴别功能信息进行鉴别后，将该待鉴别功能信息对应的状态信息由有效更新为无效，以表示该待鉴别功能信息已被使用。

具体地，为进一步保证功能信息的唯一性，在确定出待鉴别功能信息与功能信息一致的情况下，还可以判断待鉴别功能信息的功能标签与功能信息的功能标签是否一致；在待鉴别功能信息对应的功能标签与功能信息对应的功能标签一致时，则确定请求信息具有唯一性。其中，功能标签用于表示该网络请求的请求目的。例如，网络请求为登录网页请求，则待鉴别功能信息对应的功能标签为登录；网络请求为注册网页请求，则待鉴别功能信息对应的功能标识为注册。通过功能标签的判定，避免一个待鉴别功能信息被用于多项操作。例如，避免注册时后端服务器为用户分配的验证码被用于登录时所需要输入的验证码。

进一步地，在确定出请求信息对应的状态信息为无线时，可以将请求次数加1，从而可以统计用户在一段时间内发起该类网络请求的次数。

S204：响应网络请求。

在请求消息具有唯一性和时效性，表明该请求信息对应的网络请求为合法请求，则服务器可以响应该网络请求。

S205：保存请求方的信息以及被请求方的信息。

本实施例中，在请求信息校验未通过、不具备唯一性或不具备时效性时，均可以增加请求次数，并保存请求方的信息以及被请求方的信息，进而可以统计用户发起不合法的请求次数。其中，请求方的信息包括所述请求方的IP地址、操作日志、用户身份信息中的一种或多种，所述被请求方的信息包括网站地址。

在一种具体的实施方式中，在后端服务器接收到网络请求后，可以确定同一请求方式针对该类网络请求对应请求次数，在不合法的请求次数达到预设阈值时，可以使得客户端进入请求休眠状态，以拒绝请求方在预设时间段内再次发起网络请求，使得请求方在一段时间内不同发起相同的请求，或对箱体的资源进行请求，从而实现请求的访问控制。

为便于理解，参见图4所示的网络请求处理框架图，在该示意图中对传统的处理流程和本申请实施例提供的处理流程进行了比对。通过图4可知，本申请实施例提供的网络请求处理过程将前后端校验进行了统一，在前端校验和后端校验均校验通过后，对请求信息进行双重鉴别(唯一性和时效性)。在双重鉴别通过后，响应网络请求，进行IP地址校验。在IP地址校验通过后，可以访问***资源。

本申请实施例提供的网络请求处理具有以下优势：

1)防止注入漏洞：目前的防止注入漏洞的机制，注入漏洞的防护使用参数化界面，对于业务复杂的项目来说是不现实的，而且白名单的方式会带来白名单不足的风险。本申请实施例统一配置数据校验规则，拦截不合法的请求，针对不合法的数据一律拦截请求，从而很好的解决了注入漏洞。

2)完善的身份认证：目前针对失效的身份认证和会话管理防护措施，是使用一套单一的认证和会话管理，在微服务体系结构中，一套管理可能不满足于所有的服务。本发明提出，将当前的用户id和所需要的操作作为session(会话)属性存入，在时效性保障的情况下，避免同一个验证码多请求或多人请求的情况发生，从而避免了验证码复用的情况，实现一验证码只能做一件事情的安全性要求。通过静默缓冲期，实现请求的时效性和安全性。

基于上述方法实施例，本申请实施例还提供了一种网络请求的处理装置，下面将结合附图进行说明。

参见图5，该图为本申请实施例提供的一种网络请求的处理装置结构图，该装置可以包括：

获取单元501，用于获取网络请求，所述网络请求包括请求信息；

校验单元502，用于根据统一校验规则对所述请求信息进行合法性校验；

判断单元503，用于在校验通过时，判断所述请求信息是否具有唯一性和时效性；

响应单元504，用于在所述请求信息具有唯一性和有效性时，响应所述网络请求。

在一种具体的实施方式中，所述装置还包括：

需要说明的是，本实施例中各个单元的实现可以参见上述方法实施例，本实施例在此不再赘述。

另外，本申请实施例还提供了一种设备，包括：处理器，存储器；

所述存储器，用于存储计算机可读指令或者计算机程序；

所述处理器，用于读取所述计算机可读指令或所述计算机程序，以使得所述设备实现所述的网络请求的处理方法。

本申请实施例提供了一种计算机可读存储介质，包括指令或计算机程序，当其在计算机上运行时，使得计算机执行以上所述的网络请求的处理方法。

需要说明的是，本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的***或装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

应当理解，在本申请中，“至少一个(项)”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，用于描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：只存在A，只存在B以及同时存在A和B三种情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，“a和b”，“a和c”，“b和c”，或“a和b和c”，其中a，b，c可以是单个，也可以是多个。

还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种网络请求的处理方法，其特征在于，所述方法包括：

获取网络请求，所述网络请求包括请求信息；

根据统一校验规则对所述请求信息进行合法性校验；

2.根据权利要求1所述的方法，其特征在于，所述在校验通过时，判断所述请求信息是否具有唯一性和时效性，包括：

判断所述请求信息是否存在静默缓冲期；

从所述请求信息中提取待鉴别功能信息；

从本地获取所述待鉴别功能信息对应的状态信息；

在所述状态信息为有效时，确定所述请求信息具有唯一性。

3.根据权利要求2所述的方法，其特征在于，所述在所述状态信息为有效时，确定所述请求信息具有唯一性之前，所述方法还包括：

4.根据权利要求1-3任一项所述的方法，其特征在于，所述根据校验规则对所述请求信息进行合法性校验，包括：

根据所述统一校验规则对所述请求信息进行前端校验；

根据所述统一校验规则对所述请求信息进行后端校验。

5.根据权利要求4所述的方法，其特征在于，所述校验规则至少包括必输校验、正则校验、加解密配置、中英文配置、长度配置和字符集转换。

6.根据权利要求1-5任一项所述的方法，其特征在于，所述方法还包括：

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

确定所述请求方对应的请求次数是否大于预设阈值；

8.一种网络请求的处理装置，其特征在于，所述装置包括：

9.一种设备，其特征在于，包括：处理器，存储器；

所述存储器，用于存储计算机可读指令或者计算机程序；

所述处理器，用于读取所述计算机可读指令或所述计算机程序，以使得所述设备实现如权利要求1-7中任意一项所述的网络请求的处理方法。

10.一种计算机可读存储介质，包括指令或计算机程序，当其在计算机上运行时，使得计算机执行以上权利要求1-7任意一项所述的网络请求的处理方法。