CN113949566B - 资源访问方法、装置、电子设备和介质 - Google Patents
资源访问方法、装置、电子设备和介质 Download PDFInfo
- Publication number
- CN113949566B CN113949566B CN202111206702.1A CN202111206702A CN113949566B CN 113949566 B CN113949566 B CN 113949566B CN 202111206702 A CN202111206702 A CN 202111206702A CN 113949566 B CN113949566 B CN 113949566B
- Authority
- CN
- China
- Prior art keywords
- server
- information
- gateway
- resource access
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 95
- 238000012795 verification Methods 0.000 claims abstract description 130
- 238000004590 computer program Methods 0.000 claims description 21
- 238000004364 calculation method Methods 0.000 claims description 19
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 18
- 238000013475 authorization Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 15
- 230000008569 process Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 10
- 230000015654 memory Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 230000003993 interaction Effects 0.000 description 7
- 238000004422 calculation algorithm Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000009466 transformation Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000009472 formulation Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 238000009877 rendering Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种资源访问方法、装置、电子设备和介质。本公开提供的资源访问方法和装置可用于金融领域或信息安全技术领域,例如可用于资源访问中的安全认证。该方法包括:第一服务器接收来自于客户端的请求报文;第一服务器对所述请求报文进行第一签名,生成第一签名校验信息,所述第一签名校验信息和所述请求报文共同构成了第一请求信息;第一服务器对所述第一请求信息进行加密,生成密文;网关对所述第一请求信息进行解密,获取请求报文和第一签名校验信息;网关对第一签名校验信息进行校验;若校验通过,网关对请求报文进行第二签名,生成第二签名校验信息;第二服务器对第二签名校验信息校验;若校验通过,基于第二服务器获取资源访问地址。
Description
技术领域
本公开涉及信息安全技术领域,更具体地,涉及一种资源访问方法、装置、电子设备和介质。
背景技术
目前,对于请求资源服务器获取静态资源的访问方式,例如资源调用方***访问资源提供方资源服务器上受保护资源的场景,需要一种安全认证流程。对于资源提供方提供的页面服务(例如:H5)亦是如此。当下,业内没有一套完整的安全认证流程,传统做法是由资源调用方登录资源提供方***来解决,另一种方案是基于OAuth 2.0(AuthorizationFramework RFC 6749)开放授权令牌来让资源调用方访问资源提供方的信息。
在实现本公开构思的过程中,发明人发现现有技术中至少存在如下问题:
无论是基于登录进行,还是基于令牌时限安全认证,均需每一个资源提供方开发认证服务,上述认证机制不具备通用性。
发明内容
有鉴于此,本公开的实施例提供了一种资源访问方法、装置、电子设备和介质。
本公开的一个方面提供了一种资源访问方法,其特征在于,包括:第一服务器接收来自于客户端的请求报文;所述第一服务器基于第一私钥对所述请求报文进行第一签名,生成第一签名校验信息,所述第一签名校验信息和所述请求报文共同构成第一请求信息;所述第一服务器基于第一公钥对第一请求信息进行加密,生成密文;网关基于第二私钥对第一请求信息进行解密,获取所述请求报文和所述第一签名校验信息;所述网关基于第二公钥对第一签名校验信息进行第一校验;若所述第一校验通过,所述网关基于第三私钥对所述请求报文进行第二签名,生成第二签名校验信息;第二服务器基于第三公钥对所述第二签名校验信息进行第二校验;以及若所述第二校验通过,基于所述第二服务器获取资源访问地址,其中,所述第一私钥与所述第二公钥相匹配;所述第一公钥与所述第二私钥相匹配;所述第三私钥与所述第三公钥相匹配。
在某些实施例中,基于自动提交表单技术进行所述解密和第一校验;基于页面重定向技术进行所述第二校验。
在某些实施例中,基于自动提交表单技术进行所述解密和第一校验包括:在生成密文后,所述第一服务器基于所述密文生成第一自动提交表单信息,其中,所述第一自动提交表单信息包含请求URL,所述请求URL为网关服务地址;所述第一服务器将所述第一自动提交表单信息返回至所述客户端;所述客户端加载渲染第一自动提交表单,请求所述网关服务,其中,所述网关服务包括解密和第一校验。
在某些实施例中,基于页面重定向技术进行所述第二校验还包括:在生成第二签名校验信息后,所述网关修改所述第一自动提交表单信息中的请求URL为第二服务器服务地址,生成第二自动提交表单信息,其中,所述第二自动提交表单信息包含状态控制码,所述状态控制码用于控制页面重定向;所述网关将所述第二自动提交表单信息返回至所述客户端;所述客户端加载渲染第二自动提交表单,根据重定向地址进行页面跳转,请求第二服务器服务,其中,所述第二服务器服务包括第二校验。
在某些实施例中,所述基于所述第二服务器获取资源访问地址后,所述方法还包括:所述第二服务器向所述客户端返回所述资源访问地址;以及所述客户端访问所述资源访问地址,获取资源。
在某些实施例中,所述第一服务器包括API调用方后端服务器;所述网关包括API网关;所述第二服务器包括API提供方后端服务器。
在某些实施例中,所述第一服务器持有所述第一私钥和所述第二公钥,所述网关持有所述第二私钥、所述第一公钥以及所述第三私钥,所述第二服务器持有所述第三公钥。
本公开的另一个方面提供了一种资源访问***,其特征在于,包括:第一服务器,网关,第二服务器,其中,所述第一服务器被配置为接收来自于客户端的请求报文;基于第一私钥对所述请求报文进行第一签名,生成第一签名校验信息;基于第一公钥对第一请求信息进行加密,生成密文,其中,所述第一签名校验信息和所述请求报文共同构成第一请求信息;所述网关被配置为基于第二私钥对第一请求信息进行解密,获取所述请求报文和所述第一签名校验信息;基于第二公钥对第一签名校验信息进行第一校验;若所述第一校验通过,基于第三私钥对所述请求报文进行第二签名,生成第二签名校验信息;以及所述第二服务器被配置为基于第三公钥对所述第二签名校验信息进行第二校验,若所述第二校验通过,基于所述第二服务器获取资源防问地址,其中,所述第一私钥与所述第二公钥相匹配;所述第一公钥与所述第二私钥相匹配;所述第三私钥与所述第三公钥相匹配。
在某些实施例中,所述第一服务器包括:第一获取模块,配置为接收来自于客户端的请求报文;第一计算模块,配置为基于第一私钥对所述请求报文进行第一签名,生成第一签名校验信息;第二计算模块,配置为基于第一公钥对第一请求信息进行加密,生成密文。
在某些实施例中,所述网关包括:解密模块,配置为基于第二私钥对第一请求信息进行解密,获取所述请求报文和所述第一签名校验信息;第一验证模块,配置为基于第二公钥对第一签名校验信息进行第一校验;以及第三计算模块,配置为基于第三私钥对所述请求报文进行第二签名,生成第二签名校验信息。
在某些实施例中,所述第二服务器包括:第二验证模块,配置为对所述第二签名校验信息进行第二校验;以及第二获取模块,配置为若所述第二校验通过,获取资源访问地址。
在某些实施例中,所述第一服务器还包括:第一生成模块,配置为基于所述密文生成第一自动提交表单信息;以及第一返回模块,将所述第一自动提交表单信息返回至客户端。
在某些实施例中,所述网关还包括:第三获取模块,配置为获取来自于所述客户端的第一自动提交表单;变换模块,配置为修改所述第一自动提交表单信息中的请求URL为第二服务器服务地址,生成第二自动提交表单信息,其中,所述第二自动提交表单信息包含状态控制码,所述状态控制码用于控制页面重定向;第二返回模块,配置为将所述第二自动提交表单信息返回至所述客户端。
在某些实施例中,所述第二服务器还包括:第四获取模块,配置为获取来自于所述客户端的第二自动提交表单。
本公开的另一方面提供了一种电子设备,包括一个或多个处理器以及存储装置,其中,所述存储装置用于存储可执行指令,所述可执行指令在被所述处理器执行时,实现如上所述的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序产品,包括计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开实施例提供的资源访问方法,克服了现有技术中资源调用方***访问资源提供方资源时在安全认证技术方面的不足,基于网关架构提供了一种通用、安全、易用的资源服务认证调用机制。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了OAuth 2.0开放授权解决方案的认证过程。
图2示意性示出了根据本公开实施例的可以应用方法、装置的示例性***架构。
图3示意性示出了根据本公开实施例的资源访问方法的流程图。
图4示意性示出了根据本公开另一实施例的基于自动提交表单技术进行所述解密和第一校验的方法的流程图。
图5示意性示出了根据本公开另一实施例的基于页面重定向技术进行所述第二校验的方法的流程图。
图6示意性示出了根据本公开的实施例的基于第二服务器进行资源访问的方法的流程图。
图7示意性示出了根据本公开的实施例的资源访问***的架构。
图8示意性示出了根据本公开的实施例的第一服务器的结构框图。
图9示意性示出了根据本公开的实施例的网关的结构框图。
图10示意性示出了根据本公开的实施例的第二服务器的结构框图。
图11示意性示出了根据本公开另一实施例的第一服务器的结构框图。
图12示意性示出了根据本公开另一实施例的网关的结构框图。
图13示意性示出了根据本公开另一实施例的第二服务器的结构框图。
图14示意性示出了根据本公开实施例的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的***”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的***等)。术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个所述特征。
现下,PC端、移动端(IOS、安卓)访问静态资源的实现方式,是将资源信息配置到动/静态资源服务器中,并将资源路径信息告知前端,通过请求路径获取所需的资源信息。对于请求资源服务器获取静态资源的访问方式,业界没有一套标准的安全调用机制,有的页面服务甚至直接通过用户浏览器和服务方进行交互,完全没有安全性可言。
根据目前的现有技术,一种实现方案是通过资源服务提供方的账号体系来实现身份认证,不过这种调用机制具有很强的侵入性。另一种解决方案是OAuth 2.0(Authorization Framework RFC 6749)开放授权,提供了一种安全认证流程,允许用户提供一个令牌,而不是用户名和密码来让资源调用方访问资源提供者的信息。在该认证流程中,每个资源提供方均需要开发认证服务,资源调用方需要首先获取授权码以及Accesstoken(访问令牌),携带访问令牌来请求资源提供方提供的服务资源。显而易见,上述流程存在多次交互、通用性差等缺点。
本公开的实施例提供了一种资源访问方法、装置、电子设备和介质。其中,资源访问方法包括:第一服务器接收来自于客户端的请求报文;所述第一服务器基于第一私钥对所述请求报文进行第一签名,生成第一签名校验信息,所述第一签名校验信息和所述请求报文共同构成第一请求信息;所述第一服务器基于第一公钥对第一请求信息进行加密,生成密文;网关基于第二私钥对第一请求信息进行解密,获取所述请求报文和所述第一签名校验信息;所述网关基于第二公钥对第一签名校验信息进行第一校验;若所述第一校验通过,所述网关基于第三私钥对所述请求报文进行第二签名,生成第二签名校验信息;第二服务器基于第三公钥对所述第二签名校验信息进行第二校验;以及若所述第二校验通过,基于所述第二服务器获取资源访问地址。其中,所述第一私钥与所述第二公钥相匹配;所述第一公钥与所述第二私钥相匹配;所述第三私钥与所述第三公钥相匹配。在一些优选的实施例中,为了进一步减少用户交互,提高用户体验,可以基于自动提交表单技术进行所述解密和第一校验;可以基于页面重定向技术进行所述第二校验。
本公开实施例提供的资源访问方法,在技术上基于非对称加密算法对请求信息进行签名和加密,实现了访问请求的双向验证,基于网关隐藏了资源提供方资源服务的真实地址;在业务上实现了网关认证第三方调用方和资源提供方认证网关的双重认证机制,进一步提升了调用机制的安全性。在本公开实施例的方法中,基于网关实现了对调用方身份的统一安全认证,并对提供方零侵入式,减少了其开发认证服务的工作量。进一步,在引入自动提交表单、页面重定向等技术后,结合网关架构,能够实现用户无感知的一次业务请求即可访问资源提供方资源服务的调用机制。
需要说明的是,本公开实施例提供的资源防问的方法、装置、***和电子设备可用于信息安全技术在资源访问安全认证相关方面,也可用于除信息安全技术之外的多种领域,如金融领域等。本公开实施例提供的资源访问的方法、装置、***和电子设备的应用领域不做限定。
以下将结合附图及其说明文字围绕实现本公开的至少一个目的的上述操作进行阐述。
在一个种典型的场景中,资源调用方,例如第三方API调用方***访问资源提供方,例如API提供方资源服务器上受保护资源的场景,需要一种安全认证流程,对于API提供方提供的页面服务(例如:H5)亦是如此。业内没有一套完整的安全认证流程,根据目前现有技术,传统做法是由API调用方登录API提供方***来解决,不过这种认证机制不具有通用性。在一种解决方案(OAuth 2.0(Authorization Framework RFC 6749)开放授权)中,允许用户提供一个令牌,而不是用户名和密码来让第三方API调用方访问API服务提供者的信息。
图1示意性示出了OAuth 2.0开放授权解决方案的认证过程。
如图1所示,在该认证流程中,用户首先访问客户端,后者将前者导向认证服务器。用户选择是否给予客户端授权。假设用户给予授权,认证服务器将用户导向客户端事先指定的″重定向URI″(redirection URI),同时附上一个授权码。客户端收到授权码,附上早先的″重定向URI″,向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。
由上述流程可见,每个API提供方均需要开发认证服务,API调用方需要首先获取授权码以及Access token(访问令牌),然后携带访问令牌来请求API提供方提供的服务资源。显而易见,上述流程存在多次交互、通用性差等缺点。
由此,亟需开发一种新的安全认证方法,以克服现有技术中存在的每一个资源提供方均需进行开发认证服的不具备通用性的问题。更进一步,新的安全认证方法被希望能够解决多次交互所带来的数据传输开销大,流程繁冗,用户体验较差的问题。
图2示意性示出了根据本公开实施例的资源访问可以应用方法、装置的示例性***架构。需要注意的是,图2所示仅为可以应用本公开实施例的***架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、***、环境或场景。
如图2所示,根据该实施例的***架构200可以包括终端设备201、202、203,网络204,资源访问***205。网络204用以在终端设备201、202、203,资源访问***205之间提供通信链路的介质。网络204可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备201、202、203通过网络204与资源服务***205交互,以接收或发送信息等。终端设备201、202、203可以具有访问请求功能和指令发送功能,如请求访问第一服务器提供服务。终端设备201、202、203还可以具有与资源服务***205进行通讯及传输数据以最终获取资源的功能。此外,终端设备201、202、203上还可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等应用(仅为示例)。
终端设备201、202、203包括但不限于智能手机、平板电脑、膝上型便携计算机等等。
资源服务***205可以解析用户信息数据集合以得到用户的服务请求,此外,还可以对所述用户的服务请求进行安全认证及提供资源访问服务。资源服务***205可以包括数据库服务器、后台管理服务器、服务器集群等。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并基于处理结果将数据反馈给终端设备。资源服务***还可以包括网关,以实现***的安全认证,提供统一的资源访问入口,管理所述资源服务***内各服务端口间服务调用。
应该理解,终端设备、网络、资源访问***的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络、资源访问***的数目。
图3示意性示出了根据本公开实施例的资源访问方法的流程图。
如图3所示,该方法可以包括操作S301~操作S310。
在操作S301,第一服务器接收来自于客户端的请求报文。
根据本公开的实施例,客户端可以为浏览器或移动终端应用程序,例如手机APP。请求报文可以用于请求第一服务器提供访问资源服务。
在操作S302,所述第一服务器基于第一私钥对所述请求报文进行第一签名,生成第一签名校验信息,所述第一签名校验信息和所述请求报文共同构成第一请求信息。
在操作S303,所述第一服务器基于第一公钥对第一请求信息进行加密,生成密文。
根据本公开的实施例,第一服务器可以为资源调用方的后端服务器,例如可以为API调用方后端服务器,其可以将不同的服务整合到自己的***中,甚至衍生出新的服务。
在本公开的实施例中,利用了非对称加密算法对第一请求信息进行了签名和加密。在非对称加密技术中,有两种秘钥,分为私钥和公钥,私钥是秘钥对所有者持有,不可公布。公钥是秘钥对持有者公布给他人的。私钥用来给数据签名,用私钥签名的数据只能用公钥验签。签名为消息发送者使用密钥对中的私钥对需要传输文本进行加密,得到的密文即被称为该次请求过程的签名信息(校验信息),签名能够让消息接收者确认发送者的身份。验签为消息接收者拿到传输文本,需要验证消息发送者身份。因此拿密钥对中的公钥对签名进行解密,校验签名信息,则验证通过则可以认证消息发送者的身份。另一方面,公钥用来给数据加密,用公钥加密的数据只能使用私钥解密。其中,加密为通过加密算法和公钥对数据(明文)进行加密,解密为通过解密算法和私钥对数据(密文)进行解密,得到明文。同时应用签名和加密技术,可以保证消息的安全性,防止其被篡改或泄露。根据本公开的实施例,第一服务器可以预先生成一对公私钥,例如第三方API调用方后端服务器可在API网关上注册时生成一对公私钥秘钥对,其中第一私钥可以为第一服务器持有,利用第一私钥对请求报文进行签名,由于第一私钥仅为第一服务器所持有,第一签名校验信息无法被伪造,防止了请求报文被篡改。
在操作S304,网关基于第二私钥对第一请求信息进行解密,获取所述请求报文和所述第一签名校验信息。
根据本公开的实施例,第一公钥与第二私钥相匹配。网关可以为API网关,其是资源服务***的唯一入口,第三方API调用方的所有请求都需要经过API网关转发路由到API提供方。API网关封装和保护了API提供方内部结构,为各个API提供方提供统一服务,许多功能都可以从API提供方抽离出来,在网关上实现。第一公钥和第二私钥可以是网关预先生成的一对公私钥,网关持有第二私钥,将第一公钥传递给第一服务器。由于第二私钥仅为网关所持有,只有网关的私钥才能对第一请求信息进行解密,防止了第一请求信息内容的泄露。
在操作S305,所述网关基于第二公钥对第一签名校验信息进行第一校验。
根据本公开的实施例,第一私钥与第二公钥相匹配。第一服务器将第二公钥传递给网关。网关首先对第一请求信息进行解密,解密后获得明文,即请求报文和第一签名校验信息。网关利用第二公钥对第一签名校验信息进行校验,如验证不通过,则说明是非法访问。若验证通过,则可以确认请求报文的发送方未被篡改。
在操作S306,判断所述第一校验是否通过。
在操作S307,若所述第一校验通过,所述网关基于第三私钥对所述请求报文进行第二签名,生成第二签名校验信息。
在操作S308,第二服务器基于第三公钥对所述第二签名校验信息进行第二校验。
在本公开的实施例中,第二服务器可以为资源拥有者的后端服务器,例如可以为API提供方后端服务器,其可以将平台或***等内部的服务(含页面服务)通过Restful API的方式提供给第三方API调用方使用。网关可以预先生成第三私钥-第三公钥对,其中第三私钥由且仅由网关持有,第三公钥可以由网关传递给第二服务器持有。网关利用第三私钥对请求报文进行二次签名得到第二签名校验信息。由于第三私钥仅为网关所持有,第二签名校验信息无法被伪造,防止了请求报文被篡改。第二服务器利用第三公钥对第二签名校验信息进行校验,如验证不通过,则说明是非法访问。验证通过后可以确认请求报文的发送方未被篡改。
在操作S309,判断所述第二校验是否通过。
在操作S310,若所述第二校验通过,基于所述第二服务器获取资源访问地址。
根据本公开的实施例,两次校验均通过后,完成双重安全认证,第二服务器可基于请求报文返回资源访问地址,为客户端提供资源的真实访问地址。其中,所述资源的真实访问地址可以由资源提供方,例如API提供方Web服务器提供。由于安全认证已通过,网关不再参与后续交互,用户通过客户端与API提供方的页面服务进行交互。
根据本公开的实施例提供的方法,基于非对称加密算法对请求信息进行签名和加密,实现了访问请求的双向验证,基于网关隐藏了资源提供方资源服务的真实地址。基于网关实现统一入口安全认证的***设计,该架构设计可以基于Spring Cloud Gateway进行,具有权限控制、负载均衡、隐藏服务端IP、安全认证等特有功能,对资源提供方零侵入式,减少了其开发认证服务的工作量。在业务上实现了网关认证资源调用方和资源提供方认证网关的双重认证过程,从而能够进一步提升调用机制的安全性。
在另一些实施例中,可以基于自动提交表单技术进行所述解密和第一校验;可以基于页面重定向技术进行所述第二校验。
根据本公开的实施例,自动提交表单技术即一段HTML代码,当客户端,例如可以使浏览器或手机App初始化加载渲染网页时会触发自动提交,携带请求参数请求表单中指定地址。重定向(Redirect)技术就是通过各种方法将各种网络请求重新定个方向转到其它位置。浏览器或手机App接收一个响应请求的HTTP数据流,该数据流包含状态码,状态码的值由HTTP协议所决定,浏览器或手机App会根据HTTP数据流中的内容作出决定。这里所说的“HTTP数据流”信息也叫“头信息(Header)”。头信息中包括了日期,服务器类型,通常还会有一条“200OK”信息。如果一切良好,那么网络服务器就会将“200 OK”信息以及请求页面发送出去。如果网站在这时候已经建立了重定向,那么服务器就会在头信息中包含一个“302Moved Temporarily”或“301 Moved Permanent”之类的响应信息。
根据本公开的实施例,通过在网关架构中引入自动提交表单、页面重定向等技术,可以在用户无感知情况下,基于一次业务请求访问资源提供方资源服务调用机制,减少用户与***的交互,提升用户体验。
图4示意性示出了根据本公开另一实施例的基于自动提交表单技术进行所述解密和第一校验的方法的流程图。
如图4所示,该方法可以包括操作S401~操作S403。
在操作S401,在生成密文后,所述第一服务器基于所述密文生成第一自动提交表单信息,其中,所述第一自动提交表单信息包含请求URL,所述请求URL为网关服务地址。
在操作S402,所述第一服务器将所述第一自动提交表单信息返回至所述客户端。
在操作S403,所述客户端加载渲染第一自动提交表单,请求所述网关服务,其中,所述网关服务包括解密和第一校验。
根据本公开的另一实施例,生成的第一自动提交表单信息为含签名的HTML表单信息,将所述第一自动提交表单信息返回至客户端后,可以触发客户端自动加载渲染含签名的第一自动提交表单,以请求网关服务。此过程无需用户手动再次提交服务请求。
图5示意性示出了根据本公开另一实施例的基于页面重定向技术进行所述第二校验的方法的流程图。
如图5所示,该方法可以包括操作S501~操作S503。
在操作S501,在生成第二签名校验信息后,所述网关修改所述第一自动提交表单信息中的请求URL为第二服务器服务地址,生成第二自动提交表单信息,其中,所述第二自动提交表单信息包含状态控制码,所述状态控制码用于控制页面重定向。
在操作S502,所述网关将所述第二自动提交表单信息返回至所述客户端。
在操作S503,所述客户端加载渲染第二自动提交表单,根据重定向地址进行页面跳转,请求第二服务器服务,其中,所述第二服务器服务包括第二校验。
根据本公开的另一实施例,可以由API网关修改自动提交的HTML表单信息中的请求URL为API提供方后端服务的页面服务地址,通过返回302或307HTTP状态码控制页面重定向。客户端加载渲染自动提交的HTML表单后根据重定向地址进行页面跳转,即请求API提供方后端服务。在此过程中,无需用户手动再次提交服务请求,从而在用户无感知的情况下完成安全认证过程,获取资源提供方的资源服务,并在后续过程中,用户可以由客户端直接与资源提供方进行交互,减少用户与***的交互流程,提升数据获取的效率,增强用户体验。
图6示意性示出了根据本公开的实施例的基于第二服务器进行资源访问的方法的流程图。
如图6所示,该方法可以包括操作S601~操作S602。
在操作S601,所述第二服务器向所述客户端返回所述资源访问地址。
在操作S602,所述客户端访问所述资源访问地址,获取资源。
本公开另一方面提供了一种资源访问***。
图7示意性示出了根据本公开的实施例的资源访问***700的架构。
如图7所示,本公开的实施例的资源访问***700包括第一服务器701,网关702,第二服务器703。
其中,第一服务器701可以为资源调用方的后端服务器,例如可以为API调用方后端服务器,其可以将不同的服务整合到自己的***中,甚至衍生出新的服务。第一服务器701被配置为接收来自于客户端的请求报文;基于第一私钥对所述请求报文进行第一签名,生成第一签名校验信息;基于第一公钥对第一请求信息进行加密,生成密文,其中,所述第一签名校验信息和所述请求报文共同构成第一请求信息。
网关702可以为API网关,其是资源服务***的唯一入口,第三方API调用方的所有请求都需要经过API网关转发路由到API提供方。API网关封装和保护了API提供方内部结构,为各个API提供方提供统一服务,许多功能都可以从API提供方抽离出来,在网关上实现。网关702被配置为基于第二私钥对第一请求信息进行解密,获取所述请求报文和所述第一签名校验信息;基于第二公钥对第一签名校验信息进行第一校验;若所述第一校验通过,基于第三私钥对所述请求报文进行第二签名,生成第二签名校验信息。
第二服务器703可以为资源拥有者的后端服务器,例如可以为API提供方后端服务器,其可以将平台或***等内部的服务(含页面服务)通过Restful API的方式提供给第三方API调用方使用。第二服务器703被配置为基于第三公钥对所述第二签名校验信息进行第二校验,若所述第二校验通过,基于所述第二服务器获取资源访问地址。
根据本公开的实施例,所述第一私钥与所述第二公钥相匹配;所述第一公钥与所述第二私钥相匹配;所述第三私钥与所述第三公钥相匹配。第一服务器可以预先生成一对公私钥,例如第三方API调用方后端服务器可在API网关上注册时生成一对公私钥秘钥对,其中第一私钥可以为第一服务器持有,利用第一私钥对请求报文进行签名,由于第一私钥仅为第一服务器所持有,第一签名校验信息无法被伪造,防止了请求报文被篡改。第一公钥和第二私钥可以是网关预先生成的一对公私钥,网关持有第二私钥,将第一公钥传递给第一服务器。由于第二私钥仅为网关所持有,只有网关的私钥才能对第一请求信息进行解密,防止了第一请求信息内容的泄露。网关可以预先生成第三私钥-第三公钥对,其中第三私钥由且仅由网关持有,第三公钥可以由网关传递给第二服务器。网关利用第三私钥对请求报文进行二次签名得到第二签名校验信息。由于第三私钥仅为网关所持有,第二签名校验信息无法被伪造,防止了请求报文被篡改。
用户基于由第一服务器701,网关702,第二服务器703构成的资源访问***进行资源访问。用户可以通过客户端与所述资源访问***进行交互,在保证资源提供方安全性的情况下获取所需资源。
图8示意性示出了根据本公开的实施例的第一服务器的结构框图。
如图8所示,第一服务器701可以包括第一获取模块7011,第一计算模块7012,第二计算模块7013。
其中,第一获取模块7011被配置为接收来自于客户端的请求报文。
第一计算模块7012被配置为基于第一私钥对所述请求报文进行第一签名,生成第一签名校验信息。
第二计算模块7013被配置为基于第一公钥对第一请求信息进行加密,生成密文。
图9示意性示出了根据本公开的实施例的网关的结构框图。
如图9所示,网关702可以包括解密模块7021,第一验证模块7022,第三计算模块7023。
其中,解密模块7021被配置为基于第二私钥对第一请求信息进行解密,获取所述请求报文和所述第一签名校验信息。
第一验证模块7022被配置为基于第二公钥对第一签名校验信息进行第一校验。
第三计算模块7023被配置为基于第三私钥对所述请求报文进行第二签名,生成第二签名校验信息。
图10示意性示出了根据本公开的实施例的第二服务器的结构框图。
如图10所示,第二服务器703可以包括第二验证模块7031,第二获取模块7032。
其中,第二验证模块7031被配置为对所述第二签名校验信息进行第二校验。
第二获取模块7032被配置为若所述第二校验通过,获取资源访问地址。
图11示意性示出了根据本公开另一实施例的第一服务器的结构框图。
如图11所示,第一服务器701除可以包括第一获取模块7011,第一计算模块7012,第二计算模块7013外,还可以包括第一生成模块7014,第一返回模块7015。
其中,第一生成模块7014被配置为基于所述密文生成第一自动提交表单信息。
第一返回模块7015被配置为将所述第一自动提交表单信息返回至客户端。
图12示意性示出了根据本公开另一实施例的网关的结构框图。
如图12所示,网关702除可以包括解密模块7021,第一验证模块7022,第三计算模块7023外,还可以包括第三获取模块7024,变换模块7025,第二返回模块7026。
其中,第三获取模块7024被配置为获取来自于所述客户端的第一自动提交表单。
变换模块7025被配置为修改所述第一自动提交表单信息中的请求URL为第二服务器服务地址,生成第二自动提交表单信息,其中,所述第二自动提交表单信息包含状态控制码,所述状态控制码用于控制页面重定向。
第二返回模块7026被配置为将所述第二自动提交表单信息返回至所述客户端。
图13示意性示出了根据本公开另一实施例的第二服务器的结构框图。
如图13所示,第二服务器703除可以包括第二验证模块7031,第二获取模块7032外,还可以包括第四获取模块7033。
其中,第四获取模块7033被配置为获取来自于所述客户端的第二自动提交表单。
需要说明的是,装置部分实施例中各模块/单元/子单元等的实施方式、解决的技术问题、实现的功能、以及达到的技术效果分别与方法部分实施例中各对应的步骤的实施方式、解决的技术问题、实现的功能、以及达到的技术效果相同或类似。
根据本公开的实施例的模块、单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上***、基板上的***、封装上的***、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一获取模块7011,第一计算模块7012,第二计算模块7013,第一生成模块7014,第一返回模块7015,解密模块7021,第一验证模块7022,第三计算模块7023,第三获取模块7024,变换模块7025,第二返回模块7026,第二验证模块7031,第二获取模块7032,第四获取模块7033中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一获取模块7011,第一计算模块7012,第二计算模块7013,第一生成模块7014,第一返回模块7015,解密模块7021,第一验证模块7022,第三计算模块7023,第三获取模块7024,变换模块7025,第二返回模块7026,第二验证模块7031,第二获取模块7032,第四获取模块7033中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上***、基板上的***、封装上的***、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一获取模块7011,第一计算模块7012,第二计算模块7013,第一生成模块7014,第一返回模块7015,解密模块7021,第一验证模块7022,第三计算模块7023,第三获取模块7024,变换模块7025,第二返回模块7026,第二验证模块7031,第二获取模块7032,第四获取模块7033中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图14示意性示出了根据本公开实施例的电子设备的方框图。图14示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图14所示,根据本公开实施例的电子设备1400包括处理器1401,其可以根据存储在只读存储器(ROM)1402中的程序或者从存储部分1408加载到随机访问存储器(RAM)1403中的程序而执行各种适当的动作和处理。处理器1401例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器1401还可以包括用于缓存用途的板载存储器。处理器1401可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 1403中,存储有电子设备1400操作所需的各种程序和数据。处理器1401、ROM 1402以及RAM 1403通过总线1404彼此相连。处理器1401通过执行ROM 1402和/或RAM1403中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 1402和RAM 1403以外的一个或多个存储器中。处理器1401也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备1400还可以包括输入/输出(I/O)接口1405,输入/输出(I/O)接口1405也连接至总线1404。电子设备1400还可以包括连接至I/O接口1405的以下部件中的一项或多项:包括键盘、鼠标等的输入部分1406;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1407;包括硬盘等的存储部分1408;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1409。通信部分1409经由诸如因特网的网络执行通信处理。驱动器1410也根据需要连接至I/O接口1405。可拆卸介质1411,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1410上,以便于从其上读出的计算机程序根据需要被安装入存储部分1408。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1409从网络上被下载和安装,和/或从可拆卸介质1411被安装。在该计算机程序被处理器1401执行时,执行本公开实施例的***中限定的上述功能。根据本公开的实施例,上文描述的***、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/***中所包含的;也可以是单独存在,而未装配入该设备/装置/***中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 1402和/或RAM 1403和/或ROM 1402和RAM 1403以外的一个或多个存储器。
附图中的流程图和框图,图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
本公开还提供了一种计算机程序产品,包括计算机程序,该计算机程序包括一个或者多个程序。上述方法可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1409从网络上被下载和安装,和/或从可拆卸介质1411被安装。在该计算机程序被处理器1401执行时,执行本公开实施例的***中限定的上述功能。根据本公开的实施例,上文描述的***、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (16)
1.一种资源访问方法,其特征在于,包括:
第一服务器接收来自于客户端的请求报文;
所述第一服务器基于第一私钥对所述请求报文进行第一签名,生成第一签名校验信息,所述第一签名校验信息和所述请求报文共同构成第一请求信息;
所述第一服务器基于第一公钥对第一请求信息进行加密,生成密文;
网关基于第二私钥对第一请求信息进行解密,获取所述请求报文和所述第一签名校验信息;
所述网关基于第二公钥对第一签名校验信息进行第一校验;
若所述第一校验通过,所述网关基于第三私钥对所述请求报文进行第二签名,生成第二签名校验信息;
第二服务器基于第三公钥对所述第二签名校验信息进行第二校验;以及
若所述第二校验通过,基于所述第二服务器获取资源访问地址,
其中,所述第一私钥与所述第二公钥相匹配;所述第一公钥与所述第二私钥相匹配;所述第三私钥与所述第三公钥相匹配,所述第一私钥和所述第二公钥基于所述第一服务器生成;所述第二私钥和所述第一公钥,以及所述第三私钥和所述第三公钥基于所述网关生成。
2.根据权利要求1所述的资源访问方法,其中,基于自动提交表单技术进行所述解密和第一校验;基于页面重定向技术进行所述第二校验。
3.根据权利要求2所述的资源访问方法,其中,基于自动提交表单技术进行所述解密和第一校验包括:
在生成密文后,所述第一服务器基于所述密文生成第一自动提交表单信息,其中,所述第一自动提交表单信息包含请求URL,所述请求URL为网关服务地址;
所述第一服务器将所述第一自动提交表单信息返回至所述客户端;
所述客户端加载渲染第一自动提交表单,请求所述网关服务,其中,所述网关服务包括解密和第一校验。
4.根据权利要求2所述的资源访问方法,其中,基于页面重定向技术进行所述第二校验还包括:
在生成第二签名校验信息后,所述网关修改第一自动提交表单信息中的请求URL为第二服务器服务地址,生成第二自动提交表单信息,其中,所述第二自动提交表单信息包含状态控制码,所述状态控制码用于控制页面重定向;
所述网关将所述第二自动提交表单信息返回至所述客户端;
所述客户端加载渲染第二自动提交表单,根据重定向地址进行页面跳转,请求第二服务器服务,其中,所述第二服务器服务包括第二校验。
5.根据权利要求1所述的资源访问方法,其中,所述基于所述第二服务器获取资源访问地址后,所述方法还包括:
所述第二服务器向所述客户端返回所述资源访问地址;以及
所述客户端访问所述资源访问地址,获取资源。
6.根据权利要求1至5任一项所述的资源访问方法,其中,所述第一服务器包括API调用方后端服务器;所述网关包括API网关;所述第二服务器包括API提供方后端服务器。
7.一种资源访问***,其特征在于,包括:第一服务器,网关,第二服务器,
其中,所述第一服务器被配置为接收来自于客户端的请求报文;基于第一私钥对所述请求报文进行第一签名,生成第一签名校验信息;基于第一公钥对第一请求信息进行加密,生成密文,其中,所述第一签名校验信息和所述请求报文共同构成第一请求信息;
所述网关被配置为基于第二私钥对第一请求信息进行解密,获取所述请求报文和所述第一签名校验信息;基于第二公钥对第一签名校验信息进行第一校验;若所述第一校验通过,基于第三私钥对所述请求报文进行第二签名,生成第二签名校验信息;以及
所述第二服务器被配置为基于第三公钥对所述第二签名校验信息进行第二校验,若所述第二校验通过,基于所述第二服务器获取资源访问地址,其中,所述第一私钥与所述第二公钥相匹配;所述第一公钥与所述第二私钥相匹配;所述第三私钥与所述第三公钥相匹配,其中,所述第一私钥和所述第二公钥基于所述第一服务器生成;所述第二私钥和所述第一公钥,以及所述第三私钥和所述第三公钥基于所述网关生成。
8.根据权利要求7所述的资源访问***,其中,所述第一服务器包括:
第一获取模块,配置为接收来自于客户端的请求报文;
第一计算模块,配置为基于第一私钥对所述请求报文进行第一签名,生成第一签名校验信息;
第二计算模块,配置为基于第一公钥对第一请求信息进行加密,生成密文。
9.根据权利要求7所述的资源访问***,其中,所述网关包括:
解密模块,配置为基于第二私钥对第一请求信息进行解密,获取所述请求报文和所述第一签名校验信息;
第一验证模块,配置为基于第二公钥对第一签名校验信息进行第一校验;以及
第三计算模块,配置为基于第三私钥对所述请求报文进行第二签名,生成第二签名校验信息。
10.根据权利要求7所述的资源访问***,其中,所述第二服务器包括:
第二验证模块,配置为对所述第二签名校验信息进行第二校验;以及
第二获取模块,配置为若所述第二校验通过,获取资源访问地址。
11.根据权利要求8所述的资源访问***,其中,所述第一服务器还包括:
第一生成模块,配置为基于所述密文生成第一自动提交表单信息;以及
第一返回模块,将所述第一自动提交表单信息返回至客户端。
12.根据权利要求9所述的资源访问***,其中,所述网关还包括:
第三获取模块,配置为获取来自于所述客户端的第一自动提交表单;
变换模块,配置为修改第一自动提交表单信息中的请求URL为第二服务器服务地址,生成第二自动提交表单信息,其中,所述第二自动提交表单信息包含状态控制码,所述状态控制码用于控制页面重定向;
第二返回模块,配置为将所述第二自动提交表单信息返回至所述客户端。
13.根据权利要求10所述的资源访问***,其中,所述第二服务器还包括:
第四获取模块,配置为获取来自于所述客户端的第二自动提交表单。
14.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储可执行指令,所述可执行指令在被所述处理器执行时,实现根据权利要求1至6中任一项所述的资源访问方法。
15.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时,实现根据权利要求1至6中任一项所述的资源访问方法。
16.一种计算机程序,该计算机程序包括一个或者多个可执行指令,该指令被处理器执行时实现根据权利要求1至6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111206702.1A CN113949566B (zh) | 2021-10-15 | 2021-10-15 | 资源访问方法、装置、电子设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111206702.1A CN113949566B (zh) | 2021-10-15 | 2021-10-15 | 资源访问方法、装置、电子设备和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113949566A CN113949566A (zh) | 2022-01-18 |
| CN113949566B true CN113949566B (zh) | 2024-06-11 |
Family
ID=79331018
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111206702.1A Active CN113949566B (zh) | 2021-10-15 | 2021-10-15 | 资源访问方法、装置、电子设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113949566B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114500054B (zh) * | 2022-01-27 | 2024-03-01 | 百度在线网络技术(北京)有限公司 | 服务访问方法、服务访问装置、电子设备以及存储介质 |
| CN114614996B (zh) * | 2022-05-12 | 2023-03-28 | 深圳市华曦达科技股份有限公司 | 一种终端请求处理方法、装置及*** |
| CN115242486B (zh) * | 2022-07-19 | 2024-04-19 | 阿里巴巴(中国)有限公司 | 数据处理方法、装置及计算机可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011145949A1 (en) * | 2010-05-18 | 2011-11-24 | Sibcom As | Method, system and devices for the establishment of a secure communication session |
| CN106850699A (zh) * | 2017-04-10 | 2017-06-13 | 中国工商银行股份有限公司 | 一种移动终端登录认证方法及*** |
| CN109981665A (zh) * | 2019-04-01 | 2019-07-05 | 北京纬百科技有限公司 | 资源提供方法及装置、资源访问方法及装置和*** |
| CN109981666A (zh) * | 2019-04-01 | 2019-07-05 | 北京纬百科技有限公司 | 一种接入方法、接入***和接入服务器 |
| CN110460674A (zh) * | 2019-08-21 | 2019-11-15 | 中国工商银行股份有限公司 | 一种信息推送方法、装置及*** |
| CN110661817A (zh) * | 2019-10-25 | 2020-01-07 | 新华三大数据技术有限公司 | 资源访问方法、装置及服务网关 |
| CN112564916A (zh) * | 2020-12-01 | 2021-03-26 | 上海艾融软件股份有限公司 | 应用于微服务架构的访问客户端认证*** |
| CN112822675A (zh) * | 2021-01-11 | 2021-05-18 | 北京交通大学 | 面向MEC环境的基于OAuth2.0的单点登录机制 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10164963B2 (en) * | 2015-10-23 | 2018-12-25 | Oracle International Corporation | Enforcing server authentication based on a hardware token |
| US10454917B2 (en) * | 2015-11-05 | 2019-10-22 | Red Hat, Inc. | Enabling single sign-on authentication for accessing protected network services |
| FR3044499B1 (fr) * | 2015-11-26 | 2017-12-15 | Commissariat Energie Atomique | Methode d'etablissement d'une communication securisee de bout en bout entre le terminal d'un utilisateur et un objet connecte |
| US10834096B2 (en) * | 2018-06-05 | 2020-11-10 | The Toronto-Dominion Bank | Methods and systems for controlling access to a protected resource |
| US11108762B2 (en) * | 2018-06-05 | 2021-08-31 | The Toronto-Dominion Bank | Methods and systems for controlling access to a protected resource |
| US10992658B2 (en) * | 2019-01-21 | 2021-04-27 | Microsoft Technology Licensing, Llc | Client-side native application and browser identification for session control in proxy solutions |
| US11146398B2 (en) * | 2019-08-30 | 2021-10-12 | Comcast Cable Communications, Llc | Method and apparatus for secure token generation |
| US11463258B2 (en) * | 2020-03-13 | 2022-10-04 | Ebay Inc. | Secure token refresh |
-
2021
- 2021-10-15 CN CN202111206702.1A patent/CN113949566B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011145949A1 (en) * | 2010-05-18 | 2011-11-24 | Sibcom As | Method, system and devices for the establishment of a secure communication session |
| CN106850699A (zh) * | 2017-04-10 | 2017-06-13 | 中国工商银行股份有限公司 | 一种移动终端登录认证方法及*** |
| CN109981665A (zh) * | 2019-04-01 | 2019-07-05 | 北京纬百科技有限公司 | 资源提供方法及装置、资源访问方法及装置和*** |
| CN109981666A (zh) * | 2019-04-01 | 2019-07-05 | 北京纬百科技有限公司 | 一种接入方法、接入***和接入服务器 |
| CN110460674A (zh) * | 2019-08-21 | 2019-11-15 | 中国工商银行股份有限公司 | 一种信息推送方法、装置及*** |
| CN110661817A (zh) * | 2019-10-25 | 2020-01-07 | 新华三大数据技术有限公司 | 资源访问方法、装置及服务网关 |
| CN112564916A (zh) * | 2020-12-01 | 2021-03-26 | 上海艾融软件股份有限公司 | 应用于微服务架构的访问客户端认证*** |
| CN112822675A (zh) * | 2021-01-11 | 2021-05-18 | 北京交通大学 | 面向MEC环境的基于OAuth2.0的单点登录机制 |
Non-Patent Citations (2)
| Title |
|---|
| Secure and Lightweight Mutual Multi-Factor Authentication for IoT Communication Systems;H. N. Noura, R. Melki and A. Chehab;2019 IEEE 90th Vehicular Technology Conference (VTC2019-Fall);20191107;第1-7页 * |
| 一种基于Token的安全跨域登录方法及实现;胡小舟;网络安全和信息化;20210805(第08期);第131-133页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113949566A (zh) | 2022-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10110579B2 (en) | Stateless and secure authentication | |
| US9485228B2 (en) | Selectively performing man in the middle decryption | |
| US10313112B2 (en) | Browser security module | |
| US20210056541A1 (en) | Method and system for mobile cryptocurrency wallet connectivity | |
| CN113949566B (zh) | 资源访问方法、装置、电子设备和介质 | |
| US20220255931A1 (en) | Domain unrestricted mobile initiated login | |
| US9825917B2 (en) | System and method of dynamic issuance of privacy preserving credentials | |
| US11102191B2 (en) | Enabling single sign-on authentication for accessing protected network services | |
| US20150188779A1 (en) | Split-application infrastructure | |
| CN108322416B (zh) | 一种安全认证实现方法、装置及*** | |
| US20160241536A1 (en) | System and methods for user authentication across multiple domains | |
| US10257171B2 (en) | Server public key pinning by URL | |
| CN110933078B (zh) | 一种h5未登录用户会话跟踪方法 | |
| US9053297B1 (en) | Filtering communications | |
| US11595215B1 (en) | Transparently using macaroons with caveats to delegate authorization for access | |
| US11595389B1 (en) | Secure deployment confirmation of IOT devices via bearer tokens with caveats | |
| CN114491489A (zh) | 请求响应方法、装置、电子设备及存储介质 | |
| CN114826616B (zh) | 数据处理方法、装置、电子设备和介质 | |
| CN114553570B (zh) | 生成令牌的方法、装置、电子设备及存储介质 | |
| US11606210B1 (en) | Secure activation, service mode access and usage control of IOT devices using bearer tokens | |
| CN114386073A (zh) | 创建安全证书方法、装置、电子设备及存储介质 | |
| CN106961411B (zh) | 一种数据传输方法及*** | |
| CN118264422A (zh) | 一种用于邮件***的多因子身份认证方法、装置及*** | |
| CN118233167A (zh) | 用户登录方法、装置、设备、介质和产品 | |
| CN118316615A (zh) | 数据传输方法、装置、介质、设备以及计算机程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |