CN113810367A - 一种基于动态令牌方式的混合数据验证访问控制方法 - Google Patents
一种基于动态令牌方式的混合数据验证访问控制方法 Download PDFInfo
- Publication number
- CN113810367A CN113810367A CN202110888600.6A CN202110888600A CN113810367A CN 113810367 A CN113810367 A CN 113810367A CN 202110888600 A CN202110888600 A CN 202110888600A CN 113810367 A CN113810367 A CN 113810367A
- Authority
- CN
- China
- Prior art keywords
- access
- server
- request
- token
- party client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000013524 data verification Methods 0.000 title claims abstract description 13
- 238000012795 verification Methods 0.000 claims description 7
- 230000002035 prolonged effect Effects 0.000 claims description 3
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 230000007547 defect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种基于动态令牌方式的混合数据验证访问控制方法,涉及数据权限访问控制技术领域,包括:第三方客户端在服务端注册,服务端给第三方客户端分配对应的应用代码appId、应用加密秘钥secretKey,作为身份识别标志;服务端每隔设定时间给注册的第三方客户端发送访问许可码license,访问许可码license只在设定时间内有效;第三方客户端利用获取到的访问许可码license以及应用代码appId、应用加密秘钥secretKey获取访问令牌accesstoken;第三方客户端在规定时间内使用访问令牌accesstoken访问服务端的接口,获取数据。本发明可以验证请求来源的合法性,保证请求参数不被篡改和窃取,保证请求的唯一性,提高数据安全。
Description
技术领域
本发明涉及数据权限访问控制技术领域,具体的说是一种基于动态令牌方式的混合数据验证访问控制方法。
背景技术
数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。为了能够安全可控地传输和使用数据,需要多种技术手段作为保障,目前的技术大多采用数据加密方式来解决安全性问题。这种方式在一定程度上解决了大部分安全问题,但是存在缺点,容易造成数据重放攻击,静态秘钥一旦破解整个***就会彻底失去安全防护。
发明内容
本发明针对目前技术发展的需求和不足之处,提供一种基于动态令牌方式的混合数据验证访问控制方法。
本发明的一种基于动态令牌方式的混合数据验证访问控制方法,解决上述技术问题采用的技术方案如下:
一种基于动态令牌方式的混合数据验证访问控制方法,包括如下步骤:
第三方客户端在服务端注册,服务端给第三方客户端分配对应的应用代码appId、应用加密秘钥secretKey,作为身份识别标志;
服务端每隔设定时间给注册的第三方客户端发送访问许可码license,访问许可码license只在设定时间内有效;
第三方客户端利用获取到的访问许可码license以及应用代码appId、应用加密秘钥secretKey获取访问令牌accesstoken;
第三方客户端在规定时间内使用访问令牌accesstoken访问服务端的接口,获取数据。
可选的,所涉及访问许可码license使用如下方法生成:
license=BASE64编码(MD5(当前时间+随机数))。
可选的,所涉及访问令牌accesstoken的数据格式为:
{
"jti":"JohnDoe",唯一身份标识
"exp":"1234567890",过期时间
'alg':'HS256'加密算法
}。
可选的,所涉及第三方客户端在规定时间内使用访问令牌accesstoken访问服务端接口之前,需要对请求参数进行签名验证,将参数名和参数值进行拼接得到参数字符串,随后将应用加密秘钥secretKey加在参数字符串的头部,并进行MD5加密,加密后的字符串需大写,即得到签名。
进一步可选的,对请求参数进行签名验证过程中,签名方式具体为:
按照请求参数名称将所有请求参数按照字母先后顺序排序得到:key/value/key/value...key/value字符串。
进一步可选的,请求参数中包含时间戳,时间戳作为请求参数之一,也进行MD5加密,保证每次请求只能使用一次。
进一步可选的,每次请求的时间戳都会写入到redis中,设置超时时间,如果请求的时间戳在redis中已经存在,则此请求丢弃。
可选的,第三方客户端在规定时间内使用访问令牌accesstoken访问服务端的接口,获取数据,这一过程中,
每次使用获得的访问令牌accesstoken访问服务端接口时,先检查访问令牌accesstoken是否过期,然后才能访问服务端接口;
如果访问令牌accesstoken过期,则可以刷新访问令牌accesstoken,如果刷新成功,则可以继续访问服务端接口获取数据,同时,访问令牌accesstoken的有效时间得到延长。
本发明的一种基于动态令牌方式的混合数据验证访问控制方法,与现有技术相比具有的有益效果是:
(1)本发明的第三方客户端从服务端获取数据时,首先经过注册和接收服务端发过来的访问许可码,从而实现身份验证,经过对访问参数的签名和加密,可以实现传输过程中信息不被篡改和窃取;
(2)本发明通过在参数中加入时间戳和后台redis中存储的请求进行比对,实现了请求的唯一性,防止重放攻击;
(3)本发明对访问许可码定时的更新和对访问令牌的过期处理,从而避免了令牌被窃取后造成数据重大损失。
附图说明
附图1是本发明的方法流程示意图。
具体实施方式
为使本发明的技术方案、解决的技术问题和技术效果更加清楚明白,以下结合具体实施例,对本发明的技术方案进行清楚、完整的描述。
实施例一:
结合附图1,本实施例提出一种基于动态令牌方式的混合数据验证访问控制方法,包括如下步骤:
(一)第三方客户端在服务端注册,服务端给第三方客户端分配对应的应用代码appId、应用加密秘钥secretKey,作为身份识别标志。
(二)服务端每隔20分钟给注册的第三方客户端发送访问许可码license,访问许可码license只在20分钟内有效。
访问许可码license使用如下方法生成:
license=BASE64编码(MD5(当前时间+随机数))。
(三)第三方客户端利用获取到的访问许可码license以及应用代码appId、应用加密秘钥secretKey获取访问令牌accesstoken。
访问令牌accesstoken的数据格式为:
{
"jti":"JohnDoe",唯一身份标识
"exp":"1234567890",过期时间
'alg':'HS256'加密算法
}。
(四)第三方客户端在规定时间内使用访问令牌accesstoken访问服务端的接口,获取数据。
第三方客户端在规定时间内使用访问令牌accesstoken访问服务端接口之前,需要对请求参数进行签名验证,将参数名和参数值进行拼接得到参数字符串,随后将应用加密秘钥secretKey加在参数字符串的头部,并进行MD5加密,加密后的字符串需大写,即得到签名。
对请求参数进行签名验证过程中,签名方式具体为:
按照请求参数名称将所有请求参数按照字母先后顺序排序得到:key/value/key/value...key/value字符串。
请求参数中包含时间戳,时间戳作为请求参数之一,也进行MD5加密,保证每次请求只能使用一次。每次请求的时间戳都会写入到redis中,设置超时时间,如果请求的时间戳在redis中已经存在,则此请求丢弃。
本实施例中,第三方客户端在规定时间内使用访问令牌accesstoken访问服务端的接口,获取数据,这一过程中,
每次使用获得的访问令牌accesstoken访问服务端接口时,先检查访问令牌accesstoken是否过期,然后才能访问服务端接口;
如果访问令牌accesstoken过期,则可以刷新访问令牌accesstoken,如果刷新成功,则可以继续访问服务端接口获取数据,同时,访问令牌accesstoken的有效时间得到延长。
综上可知,采用本发明的一种基于动态令牌方式的混合数据验证访问控制方法,可以验证请求来源的合法性,保证请求参数不被篡改和窃取,保证请求的唯一性,提高数据安全。
以上应用具体个例对本发明的原理及实施方式进行了详细阐述,这些实施例只是用于帮助理解本发明的核心技术内容。基于本发明的上述具体实施例,本技术领域的技术人员在不脱离本发明原理的前提下,对本发明所作出的任何改进和修饰,皆应落入本发明的专利保护范围。
Claims (8)
1.一种基于动态令牌方式的混合数据验证访问控制方法,其特征在于,包括如下步骤:
第三方客户端在服务端注册,服务端给第三方客户端分配对应的应用代码appId、应用加密秘钥secretKey,作为身份识别标志;
服务端每隔设定时间给注册的第三方客户端发送访问许可码license,访问许可码license只在设定时间内有效;
第三方客户端利用获取到的访问许可码license以及应用代码appId、应用加密秘钥secretKey获取访问令牌accesstoken;
第三方客户端在规定时间内使用访问令牌accesstoken访问服务端的接口,获取数据。
2.根据权利要求1所述的一种基于动态令牌方式的混合数据验证访问控制方法,其特征在于,访问许可码license使用如下方法生成:
license=BASE64编码(MD5(当前时间+随机数))。
3.根据权利要求1所述的一种基于动态令牌方式的混合数据验证访问控制方法,其特征在于,访问令牌accesstoken的数据格式为:
{
"jti":"JohnDoe",唯一身份标识
"exp":"1234567890",过期时间
'alg':'HS256'加密算法
}。
4.根据权利要求1所述的一种基于动态令牌方式的混合数据验证访问控制方法,其特征在于,第三方客户端在规定时间内使用访问令牌accesstoken访问服务端接口之前,需要对请求参数进行签名验证,将参数名和参数值进行拼接得到参数字符串,随后将应用加密秘钥secretKey加在参数字符串的头部,并进行MD5加密,加密后的字符串需大写,即得到签名。
5.根据权利要求4所述的一种基于动态令牌方式的混合数据验证访问控制方法,其特征在于,对请求参数进行签名验证过程中,签名方式具体为:
按照请求参数名称将所有请求参数按照字母先后顺序排序得到:key/value/key/value...key/value字符串。
6.根据权利要求4所述的一种基于动态令牌方式的混合数据验证访问控制方法,其特征在于,所述请求参数中包含时间戳,时间戳作为请求参数之一,也进行MD5加密,保证每次请求只能使用一次。
7.根据权利要求6所述的一种基于动态令牌方式的混合数据验证访问控制方法,其特征在于,每次请求的时间戳都会写入到redis中,设置超时时间,如果请求的时间戳在redis中已经存在,则此请求丢弃。
8.根据权利要求1所述的一种基于动态令牌方式的混合数据验证访问控制方法,其特征在于,第三方客户端在规定时间内使用访问令牌accesstoken访问服务端的接口,获取数据,这一过程中,
每次使用获得的访问令牌accesstoken访问服务端接口时,先检查访问令牌accesstoken是否过期,然后才能访问服务端接口;
如果访问令牌accesstoken过期,则可以刷新访问令牌accesstoken,如果刷新成功,则可以继续访问服务端接口获取数据,同时,访问令牌accesstoken的有效时间得到延长。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110888600.6A CN113810367A (zh) | 2021-08-02 | 2021-08-02 | 一种基于动态令牌方式的混合数据验证访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110888600.6A CN113810367A (zh) | 2021-08-02 | 2021-08-02 | 一种基于动态令牌方式的混合数据验证访问控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113810367A true CN113810367A (zh) | 2021-12-17 |
Family
ID=78893304
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110888600.6A Pending CN113810367A (zh) | 2021-08-02 | 2021-08-02 | 一种基于动态令牌方式的混合数据验证访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113810367A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795692A (zh) * | 2012-10-31 | 2014-05-14 | 中国电信股份有限公司 | 开放授权方法、***与认证授权服务器 |
| US20160262021A1 (en) * | 2015-03-06 | 2016-09-08 | Qualcomm Incorporated | Sponsored connectivity to cellular networks using existing credentials |
| CN106295394A (zh) * | 2016-07-22 | 2017-01-04 | 飞天诚信科技股份有限公司 | 资源授权方法及***和授权服务器及工作方法 |
| CN112039857A (zh) * | 2020-08-14 | 2020-12-04 | 苏州浪潮智能科技有限公司 | 一种公用基础模块的调用方法和装置 |
| CN112671720A (zh) * | 2020-12-10 | 2021-04-16 | 苏州浪潮智能科技有限公司 | 一种云平台资源访问控制的令牌构造方法、装置及设备 |
-
2021
- 2021-08-02 CN CN202110888600.6A patent/CN113810367A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795692A (zh) * | 2012-10-31 | 2014-05-14 | 中国电信股份有限公司 | 开放授权方法、***与认证授权服务器 |
| US20160262021A1 (en) * | 2015-03-06 | 2016-09-08 | Qualcomm Incorporated | Sponsored connectivity to cellular networks using existing credentials |
| CN106295394A (zh) * | 2016-07-22 | 2017-01-04 | 飞天诚信科技股份有限公司 | 资源授权方法及***和授权服务器及工作方法 |
| CN112039857A (zh) * | 2020-08-14 | 2020-12-04 | 苏州浪潮智能科技有限公司 | 一种公用基础模块的调用方法和装置 |
| CN112671720A (zh) * | 2020-12-10 | 2021-04-16 | 苏州浪潮智能科技有限公司 | 一种云平台资源访问控制的令牌构造方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2022121461A1 (zh) | 一种云平台资源访问控制的令牌构造方法、装置及设备 | |
| US9729538B2 (en) | System, method and process for detecting advanced and targeted attacks with the recoupling of kerberos authentication and authorization | |
| CN104216907A (zh) | 一种用于提供数据库访问控制的方法、装置与*** | |
| CN109379192A (zh) | 一种登录验证处理方法、***及装置 | |
| CN109598104B (zh) | 基于时间戳和秘密鉴权文件的软件授权保护***及其方法 | |
| CN115277168B (zh) | 一种访问服务器的方法以及装置、*** | |
| CN101739361A (zh) | 访问控制方法、访问控制装置及终端设备 | |
| CN114760065A (zh) | 一种在线学习平台教学资源共享的访问控制方法及装置 | |
| CN110995661B (zh) | 一种网证平台 | |
| CN116527341A (zh) | 一种客户端调用后端接口鉴权授权安全方法 | |
| CN116108416A (zh) | 一种应用程序接口安全防护方法及*** | |
| CN110086818B (zh) | 一种云文件安全存储***及访问控制方法 | |
| CN111427897A (zh) | 一种区块链链上数据保存管理方法 | |
| CN110807210B (zh) | 一种信息处理方法、平台、***及计算机存储介质 | |
| CN112039857B (zh) | 一种公用基础模块的调用方法和装置 | |
| CN106096336B (zh) | 软件防破解方法和*** | |
| CN113810367A (zh) | 一种基于动态令牌方式的混合数据验证访问控制方法 | |
| CN116032643A (zh) | 用于国网链服务调用的应用层隐式单向隔离装置穿透方法 | |
| CN110971609A (zh) | Drm客户端证书的防克隆方法、存储介质及电子设备 | |
| CN111382400B (zh) | 基于dci的区块链版权的实现方法及*** | |
| CN109672526B (zh) | 一种管控可执行程序的方法及*** | |
| CN107483462B (zh) | 一种外发u盘的操作权限管理***及方法 | |
| CN106209375A (zh) | 一种利用数字证书进行动态令牌种子密钥注入与更新的方法 | |
| CN113836576A (zh) | 一种用于打车软件的用户隐私数据保护方法 | |
| CN112104646A (zh) | 一种app数据接口安全性传输的方法及其*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211217 |