CN114500097A

CN114500097A - 一种基于Web***单点登录的校验机制

Info

Publication number: CN114500097A
Application number: CN202210203330.5A
Authority: CN
Inventors: 罗贵木; 何维; 宋朝霞; 严林; 张毓玺; 游震; 朱武; 岳永姣; 郑宇飞; 银盈; 李硕; 翁邦艳; 卢露; 李达平; 杨力波; 陈雪
Original assignee: Agricultural Bank of China Sichuan Branch
Current assignee: Agricultural Bank of China Sichuan Branch
Priority date: 2022-03-03
Filing date: 2022-03-03
Publication date: 2022-05-13

Abstract

本发明公开了一种基于Web***单点登录的校验机制，包括：登录中心生成token，并在登陆中心及请求的业务***中进行token缓存，同时将token返回至客户端并完成重定向；在用户后续发送请求时，携带上一次请求返回的token，同时对传输业务信息通过token进行非对称加密；在登录中心进行校验，并返回校验结果给业务***；业务***接收到登录中心的校验结果后，若校验成功，则放行请求并将新token附带上返回参数后一并返回；若校验失败，则熔断此次访问请求。本发明对单点登录校验过程改进，每次进行校验成功后，对token更新，保证攻击者无法绕过token以劫持整个请求的后续过程，提高了***安全性。

Description

一种基于Web***单点登录的校验机制

技术领域

本发明涉及Web***的实时及权限管理技术领域，尤其涉及一种基于Web***单点登录的校验机制。

背景技术

token在计算机身份认证中是令牌（临时）的意思；一般作为邀请、登录***使用。token其实说的更通俗点可以叫暗号，在一些数据传输之前，要先进行暗号的核对，不同的暗号被授权不同的数据操作。

例如，在USB1.1协议中定义了4类数据包：token包、data包、handshake包和special包。主机和USB设备之间连续数据的交换可以分为三个阶段，第一个阶段由主机发送token包，不同的token包内容不一样（暗号不一样）可以告诉设备做不同的工作，第二个阶段发送data包，第三个阶段由设备返回一个handshake包。

目前，许多web应用程序要求用户注册一个新帐户。随着web应用程序的普及，期望用户记住每个应用程序的不同用户名和密码已经变得不切实际。Web单点登录(Web SSO)协议允许用户使用单个用户名和密码访问不同的应用程序而逐渐成为当前互联网企业对客的主流登录模式。SSO（ Single Sign-On ），中文意即单点登录，在 Wiki 上的解释更细腻点—— SSO, is a property of access control of multiple related, butindependent software systems. With this property a user logs with a single IDand password to gain access to connected system or systems without usingdifferent usernames or passwords, or in some configurations seamlessly signon at each system. （单点登录是一种控制多个相关但彼此独立的***的访问权限, 拥有这一权限的用户可以使用单一的ID和密码访问某个或多个***从而避免使用不同的用户名或密码，或者通过某种配置无缝地登录每个***）. 注：***，在本文特指WEB 应用或者WEB 服务；用户，下文也会称之为User；ID，用户标识；密码，本文也称其为口令，Password, Passcode 或者 Pin。

因此，从上面的定义中我们可以总结出与SSO交互的2个元素：1. 用户，2. ***，它的特点是：一次登录，全部访问。上面提到SSO是访问控制的一种，控制用户能否登录，即验证用户身份，而且是所有其它***的身份验证都在它这里进行，因此还可以认为SSO还是一个验证中心。那么从整个***层面来看SSO，它的核心就是以下这3个元素了：1. 用户，2.***，3. 验证中心。

基于此，我们发现，现有的单点登录存在着以下的问题：token一旦生成后需要返回给客户端，后续以token作为用户身份认证的唯一标识，下次客户端发起请求时，无论通过请求参数传输token或依托于客户端本身机制在http头部设置cookie参数，一旦被拦截，均无法逃脱关键参数被泄露的问题。这将导致整个请求后续直接被劫持，业务***登录校验模块直接形同虚设。

在现有技术中，如申请号为CN201711131291.8中公开了一种名为单点登录的校验装置、方法及计算机可读存储介质的发明专利，其装置包括存储器和处理器，存储器上存储有可在处理器上运行的单点登录的校验程序，该程序被处理器执行时实现如下步骤：判断用户终端发送的登录请求中是否包含有token信息；若是，则从登录请求中获取token信息和用户数据，并记录接收到该登录请求的时间；使用密钥对token信息解密，以获取token信息中包含的用户数据和凭证创建时间；若登录请求中包含的用户数据与token信息中包含的用户数据一致、且记录的时间与凭证创建时间之间的时间差小于预设阈值，则判定校验通过；否则，判定校验失败；以达到减少需要维护的数据量，并提高了单点登录的校验效率的效果，但是该方案仍然无法解决token被拦截导致关键参数被泄露的问题，从而导致整个请求后续直接被劫持，业务***登录校验模块直接形同虚设。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于Web***单点登录的校验机制，以避免token作为用户身份认证的唯一标识，一旦遭到拦截，将导致关键参数被泄露，从而整个请求后续直接被劫持，业务***登陆校验模块直接形同虚设的问题。

本发明的目的是通过以下技术方案来实现的：

一种基于Web***单点登录的校验机制，包括以下步骤：

步骤1：在用户初次登录时，业务***重定向登陆请求到登陆中心，由登录中心生成token，并在登陆中心及请求的业务***中进行token缓存，同时将token返回至客户端并完成重定向；

步骤2：在用户后续发送请求时，携带上一次请求返回的token，同时对传输业务信息通过token生成动态的公钥以及私钥，并使用RSA算法实现非对称加密；在业务***接收到请求后，先使用非对称解密获得正确的报文，然后获取报文中的token以及当前请求报文，传输到登录中心进行校验；

步骤3：登录中心对获取到的token进行校验，并将校验结果返回给业务***；

步骤4：业务***接收到登录中心的校验结果后，若校验成功，则放行请求并将新token附带上返回参数后一并返回；若校验失败，则熔断此次访问请求。

进一步的，所述步骤1包括以下子步骤：

步骤101：在用户初次登录时，业务***对用户的登录状态进行判断，并将登录请求转至登录中心；

步骤102：登录成功后，登录中心根据用户初次的登录报文生成摘要，在加上固定盐以及时间戳后生成初始token，并进行缓存；

步骤103：将所述token返回至业务***。

进一步的，所述token缓存采用的缓存模式为缓存链表，池中记录用户最近使用过的N次token。

进一步的，所述熔断具体为：当业务***收到的校验结果为校验失败时，直接向客户端返回错误码标识此次登陆失败。

进一步的，所述步骤2中对传输业务信息通过token进行非对称加密采用的加密算法在前端进行代码混淆。

进一步的，所述步骤3包括以下子步骤：

步骤301：登录中心判断token是否存在且处于该用户缓存token队列的末尾；

步骤302：若存在，则判断用户登录状态有效，根据此次请求生成新的token，新token由发起登陆请求业务***所在编号、用户唯一标识、当前时间戳、机器mac地址和上一有效token共同生成，并将新的token追加到缓存token队列尾部，同时返回给业务***；

步骤303：若不存在，则向业务***返回校验失败。

本发明的有益效果：本发明对单点登录校验中的token进行改进，将token进行加密，并在每次进行校验成功后，对token进行更新，保证攻击者无法绕过token从而导致整个请求的后续过程直接被劫持，提高了***安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图示出的结构获得其他的附图。

图1是本发明的方法流程图。

具体实施方式

应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本实施例中，如图1所示，一种基于Web***单点登录的校验机制，包括以下步骤：

在本实施例中，步骤1具体为：

步骤103：将所述token返回至业务***。

在本实施例中，所述token缓存采用的缓存模式为缓存链表，池中记录用户最近使用过的N次token。

其中，步骤2中对传输业务信息通过token进行非对称加密采用的加密算法在前端进行代码混淆。

在本实施例中，步骤3包括以下子步骤：

步骤303：若不存在，则向业务***返回校验失败。

其中，熔断具体包括：当业务***收到的校验结果为校验失败时，直接向客户端返回错误码标识此次登陆失败。

本发明对单点登录校验中的token进行改进，将token进行加密，并在每次进行校验成功后，对token进行更新，保证攻击者无法绕过token从而导致整个请求的后续过程直接被劫持，提高了***安全性。

需要说明的是，对于前述的各个方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某一些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和单元并不一定是本申请所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其他实施例的相关描述。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、ROM、RAM等。

以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。

Claims

1.一种基于Web***单点登录的校验机制，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于Web***单点登录的校验机制，其特征在于，所述步骤1包括以下子步骤：

步骤103：将所述token返回至业务***。

3.根据权利要求2所述的一种基于Web***单点登录的校验机制，其特征在于，所述token缓存采用的缓存模式为缓存链表，池中记录用户最近使用过的N次token。

4.根据权利要求2所述的一种基于Web***单点登录的校验机制，其特征在于，所述熔断具体为：当业务***收到的校验结果为校验失败时，直接向客户端返回错误码标识此次登陆失败。

5.根据权利要求1所述的一种基于Web***单点登录的校验机制，其特征在于，所述步骤2中对传输业务信息通过token进行非对称加密采用的加密算法在前端进行代码混淆。

6.根据权利要求1所述的一种基于Web***单点登录的校验机制，其特征在于，所述步骤3包括以下子步骤：

步骤303：若不存在，则向业务***返回校验失败。