CN110839004A

CN110839004A - 访问认证的方法和装置

Info

Publication number: CN110839004A
Application number: CN201810935614.7A
Authority: CN
Inventors: 王婷; 魏斌
Original assignee: Beijing Jingdong Century Trading Co Ltd; Beijing Jingdong Shangke Information Technology Co Ltd
Current assignee: Beijing Jingdong Century Trading Co Ltd; Beijing Jingdong Shangke Information Technology Co Ltd
Priority date: 2018-08-16
Filing date: 2018-08-16
Publication date: 2020-02-25

Abstract

本发明公开了一种访问认证的方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：接收访问请求；判断所述访问请求中的时间戳、第一签名、访问者IP是否均符合第二认证规则；若是，则通过认证；所述第二认证规则包括：所述时间戳在第一预设时间范围内，所述第一签名在第二预设时间范围内未使用过，所述访问者IP在允许访问的IP列表中。该实施方式因为采用签名的时效性验证、签名不能重复使用、允许访问IP的限制等技术手段，避免了签名重复使用的情况，优化了资源访问流程，提高了资源访问效率及减轻了业务系统的恶意请求的压力。

Description

访问认证的方法和装置

技术领域

本发明涉及计算机技术领域，尤其涉及一种访问认证的方法和装置。

背景技术

现有技术通过笛卡尔网关封装暴露统一资源定位符URL(Uniform ResourceLocator)供给资源访问者调用。认证规则由资源访问者指定的签名生成规则来进行认证。服务端(资源提供者)提供的http接口需要传token认证，token在计算机身份认证中是令牌(临时)的意思。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

1.现有的签名认证规则是客户提供的，如果验证规则和需要验证的参数泄露后很容易遭到恶意攻击。

2.token存在重复使用的情况，若token重复使用，当遇到恶意攻击时，因为这个签名用过了，会拦截到恶意攻击的访问请求。

发明内容

有鉴于此，本发明实施例提供一种访问认证的方法和装置，能够解决签名token重复使用和参数泄露后容易遭受外网的恶意攻击的问题。

为实现上述目的，根据本发明实施例的一个方面，提供了一种访问认证的方法，包括：接收访问请求；判断所述访问请求中的时间戳、第一签名、访问者IP是否均符合第二认证规则；若是，则通过认证；所述第二认证规则包括：所述时间戳在第一预设时间范围内，所述第一签名在第二预设时间范围内未使用过，所述访问者IP在允许访问的IP列表中。

可选地，判断所述访问请求中的时间戳、第一签名、访问者IP是否均符合第二认证规则之前，所述方法还包括：确定所述访问请求的版本号、必填参数符合第一认证规则；所述第一认证规则包括：所述访问请求的版本号与预设版本号一致，所述必填参数未缺失。

可选地，判断所述访问请求中的时间戳、第一签名、访问者IP是否均符合第二认证规则；若是，则通过认证，包括：判断所述访问请求中的时间戳、第一签名、访问者IP是否均符合第二认证规则；若是，则根据所述访问请求中的签名参数，生成第二签名，并验证所述第二签名与所述第一签名是否一致；若所述第二签名与所述第一签名一致，则通过认证。

可选地，根据所述访问请求中的签名参数，生成第二签名，包括：获取访问请求中的签名参数，所述签名参数包括访问令牌、时间戳、通用唯一识别码、部分统一资源标识符；按照所述签名参数的键值，以字典序升序对所述签名参数进行排序并拼接，得到字符串；在所述字符串的末尾添加密钥，对添加密钥的字符串进行编码处理；采用消息摘要算法计算编码处理结果的摘要值，从而得到第二签名。

为实现上述目的，根据本发明实施例的再一个方面，提供了一种访问认证的装置，包括：接收模块，用于：接收访问请求；认证模块，用于：判断所述访问请求中的时间戳、第一签名、访问者IP是否均符合第二认证规则；若是，则通过认证；所述第二认证规则包括：所述时间戳在第一预设时间范围内，所述第一签名在第二预设时间范围内未使用过，所述访问者IP在允许访问的IP列表中。

可选地，所述认证模块，还用于：确定所述访问请求的版本号、必填参数符合第一认证规则；所述第一认证规则包括：所述访问请求的版本号与预设版本号一致，所述必填参数未缺失。

可选地，所述认证模块，还用于：判断所述访问请求中的时间戳、第一签名、访问者IP是否均符合第二认证规则；若是，则根据所述访问请求中的签名参数，生成第二签名，并验证所述第二签名与所述第一签名是否一致；若所述第二签名与所述第一签名一致，则通过认证。

可选地，所述认证模块，还用于：获取访问请求中的签名参数，所述签名参数包括访问令牌、时间戳、通用唯一识别码、部分统一资源标识符；按照所述签名参数的键值，以字典序升序对所述签名参数进行排序并拼接，得到字符串；在所述字符串的末尾添加密钥，对添加密钥的字符串进行编码处理；采用消息摘要算法计算编码处理结果的摘要值，从而得到第二签名。

为实现上述目的，根据本发明实施例的再一个方面，提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如本发明实施例提供的访问认证的方法。

为实现上述目的，根据本发明实施例的再一个方面，提供了一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现如本发明实施例提供的访问认证的方法。

上述发明中的一个实施例具有如下优点或有益效果：因为采用签名的时效性验证、签名不能重复使用、允许访问IP的限制等技术手段，避免了签名重复使用的情况，优化了资源访问流程，提高了资源访问效率及减轻了业务系统的恶意请求的压力。

上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

附图说明

附图用于更好地理解本发明，不构成对本发明的不当限定。其中：

图1是根据本发明实施例的访问认证的方法的基本流程的示意图；

图2是根据本发明实施例的访问认证的方法的优选流程的示意图；

图3是根据本发明实施例的访问认证的装置的基本模块的示意图；

图4是本发明实施例可以应用于其中的示例性系统架构图；

图5是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。

具体实施方式

以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

图1是根据本发明实施例的访问认证的方法的基本流程的示意图。如图1所示，本发明实施例提供了一种访问认证的方法，包括：

步骤S101.接收访问请求；

步骤S102.判断所述访问请求中的时间戳、第一签名、访问者IP是否均符合第二认证规则；若是，则通过认证；

步骤S103.所述第二认证规则包括：所述时间戳在第一预设时间范围内，所述第一签名在第二预设时间范围内未使用过，所述访问者IP在预设的允许访问IP列表中。

本发明实施例采用签名的时效性验证、签名不能重复使用、允许访问IP的限制等技术手段，避免了签名重复使用的情况，优化了资源访问流程，提高了资源访问效率及减轻了业务系统的恶意请求的压力。

本发明实施例中，判断所述访问请求中的时间戳、第一签名、访问者IP是否均符合第二认证规则之前，所述方法还包括：确定所述访问请求中的版本号、必填参数符合第一认证规则；所述第一认证规则包括：所述访问请求的版本号与预设版本号一致，所述必填参数未缺失。必填参数是指资源访问者与资源提供者约定的必须存在于访问请求中的参数。预设版本号是由资源提供者的提供的，用于验证访问请求的版本号是否符合要求。本发明实施例避免了签名重复使用的情况，优化了资源访问流程，提高了资源访问效率及减轻了业务系统的恶意请求的压力。

本发明实施例中，判断所述访问请求中的时间戳、第一签名、访问者IP是否均符合第二认证规则；若是，则通过认证，包括：判断所述访问请求中的时间戳、第一签名、访问者IP是否均符合第二认证规则；若是，则根据所述访问请求中的签名参数，生成第二签名，并验证所述第二签名与所述第一签名是否一致；若所述第二签名与所述第一签名一致，则通过认证。本发明实施例避免了签名重复使用的情况，优化了资源访问流程，提高了资源访问效率及减轻了业务系统的恶意请求的压力。

本发明实施例中，根据所述访问请求中的签名参数，生成第二签名，包括：获取访问请求中的签名参数，所述签名参数包括访问令牌(api_key)、时间戳、通用唯一识别码(即UUID随机数)、部分统一资源标识符(即部分URI)；所述部分URI(Uniform ResourceIdentifier)是指访问请求的URI中版本号之后的部分。按照所述签名参数的键值，以字典序升序对所述签名参数进行排序并拼接，得到字符串；在所述字符串的末尾添加密钥(secret_key)，对添加密钥的字符串进行编码处理；采用消息摘要算法计算编码处理结果的摘要值，从而得到第二签名(也可以为：编码处理结果的MD5值即为第二签名)。UUID随机数是指UUID生成的随机数，UUID(Universally Unique Identifier)通用唯一识别码，是一种软件建构的标准，也指在一台机器上生成的数字，它保证对在同一时空中的所有机器都是唯一的。MD5消息摘要算法(MD5Message-Digest Algorithm)，一种被广泛使用的密码散列函数，可以产生出一个128位(16字节)的散列值(hash value)，用于确保信息传输完整一致。字典序是基于字母顺序排列的单词按字母顺序排列的方法。本发明实施例避免了签名重复使用的情况，优化了资源访问流程，提高了资源访问效率及减轻了业务系统的恶意请求的压力。

本发明实施例从以下几个维度进行认证：a.版本号的验证；b.时间戳时效性的验证；c.签名是否使用过的验证；d.签名的验证；e.远程访问IP的合法性验证。图2是根据本发明实施例的访问认证的方法的优选流程的示意图。如图所示，资源访问者将数字签名(第一签名)、api_key、本次访问生成的通用唯一识别码(UUID随机数)和时间戳发送给资源提供者；资源提供者在接收到来自资源访问者的访问请求后，验证版本号是否匹配、必填参数是否缺失、时间戳的时效、第一签名在时效期内是否使用过、访问IP是否在允许访问的范围内，资源访问者的版本号后的URI、api_key、生成的UUID随机数、请求时的时间戳和密钥(secret_key)进行MD5运算生成第二签名，将接收的第一签名与由访问请求中的参数根据签名算法生成的第二签名信息进行比对，如果结果一致，则通过认证。本发明实施例优化了资源访问流程，提高了资源访问效率及减轻了业务系统的恶意请求的压力。

资源提供者的认证管理表如表1所示，资源提供者利用表1对资源访问者进行认证管理。

表1

枚举类型在C#或C++、java、VB等一些计算机编程语言中是一种基本数据类型而不是构造数据类型。新合作的项目和\或公司，有认证需求时，可以在此表1中添加新记录，然后资源提供者发给资源访问者生成签名需要的api_key和secret_key，还有允许访问的IP列表。

资源提供者与资源访问者对接时可以将api_key、secret_key、允许访问的IP列表(allow_IP)和版本号配置到配置文件中。资源提供者与资源访问者的交互格式为JSON，并且要对访问请求中的参数进行UTF-8编码。访问请求中的请求头(HTTP Header)参数说明如表2所示：

表2

认证接口api使用签名算法生成第二签名的过程如下：

1.获取访问请求的HTTP Header中的访问令牌api_key、时间戳timestamp、nonce。

2.获取访问请求的URI，URI(Uniform Resource Identifier)为统一资源标识符，可以标识、定位任何资源的字符串；例如：

https://IP:port/xxxx/api/v1/order/list，获取版本号“v1/”后面的部分“order/list”，即部分URI为“order/list”。

3.将所有签名参数(包括HTTP Header中的api_key、timestamp、nonce参数，和部分URI)键值以字典序升序排列。例如：api_key＝value1&nonce＝value2&timestamp＝value3&uri＝order/list。

4.在拼接好的字符串末尾加上secret_key的值value4。例如：api_key＝value1&nonce＝value2&timestamp＝value3&uri＝

order/list&value4，并进行urlencode编码处理，形成基础字符串base_string，base_string的MD5值即为第二签名的值。urlencode是一个函数，可将字符串以URL编码，用于编码处理。即第二签名Signature＝MD5(urlencode(api_key＝value1&nonce＝value2&timestamp＝va lue3&uri＝order/list&value4))。

本发明实施例提供了一种访问认证的装置300，包括：接收模块301，用于：接收访问请求；认证模块302，用于：判断所述访问请求中的时间戳、第一签名、访问者IP是否均符合第二认证规则；若是，则通过认证；所述第二认证规则包括：所述时间戳在第一预设时间范围内，所述第一签名在第二预设时间范围内未使用过，所述访问者IP在允许访问的IP列表中。本发明实施例采用验证签名的时效性、签名不能重复使用、允许访问IP的限制等技术手段，避免了签名重复使用的情况，优化了资源访问流程，提高了资源访问效率及减轻了业务系统的恶意请求的压力。

本发明实施例中，所述认证模块302，还用于：还用于：确定所述访问请求的版本号、必填参数符合第一认证规则；所述第一认证规则包括：所述访问请求的版本号与预设版本号一致，所述必填参数未缺失。本发明实施例避免了签名重复使用的情况，优化了资源访问流程，提高了资源访问效率及减轻了业务系统的恶意请求的压力。

本发明实施例中，所述认证模块302，还用于：判断所述访问请求中的时间戳、第一签名、访问者IP是否均符合第二认证规则；若是，则根据所述访问请求中的签名参数，生成第二签名，并验证所述第二签名与所述第一签名是否一致；若所述第二签名与所述第一签名一致，则通过认证。本发明实施例避免了签名重复使用的情况，优化了资源访问流程，提高了资源访问效率及减轻了业务系统的恶意请求的压力。

本发明实施例中，所述认证模块302，还用于：获取访问请求中的签名参数，所述签名参数包括访问令牌、时间戳、通用唯一识别码、部分统一资源标识符；按照所述签名参数的键值，以字典序升序对所述签名参数进行排序并拼接，得到字符串；在所述字符串的末尾添加密钥，对添加密钥的字符串进行编码处理；采用消息摘要算法计算编码处理结果的摘要值，从而得到第二签名。本发明实施例避免了签名重复使用的情况，优化了资源访问流程，提高了资源访问效率及减轻了业务系统的恶意请求的压力。

密钥(api_key/secret_key)，以secret_key为参数，配合适当的签名算法，可以得到原始信息的数字签名，防止内容在传递过程中被伪造或篡改。密钥通常为成对创建和使用，包含一个api_key和一个secret_key。其中api_key会在传输中包含，而资源提供者必须保管好secret_key不在网络上传输以防止被窃取。

图4示出了可以应用本发明实施例的访问认证的方法或访问认证的装置的示例性系统架构400。

如图4所示，系统架构400可以包括终端设备401、402、403，网络404和服务器405。网络404用以在终端设备401、402、403和服务器405之间提供通信链路的介质。网络404可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备401、402、403通过网络404与服务器405交互，以接收或发送消息等。终端设备401、402、403上可以安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。

终端设备401、402、403可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

服务器405可以是提供各种服务的服务器，例如对用户利用终端设备401、402、403所浏览的购物类网站提供支持的后台管理服务器。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理，并将处理结果反馈给终端设备。

需要说明的是，本发明实施例所提供的访问认证的方法一般由服务器405执行，相应地，访问认证的装置一般设置于服务器405中。

应该理解，图4中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

根据本发明的实施例，本发明实施例还提供了一种电子设备和一种计算机可读介质。

本发明实施例的电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如本发明实施例提供的访问认证的方法。

本发明实施例的计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现如本发明实施例提供的访问认证的方法。

下面参考图5，其示出了适于用来实现本发明实施例的终端设备的计算机系统500的结构示意图。图5示出的终端设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图5所示，计算机系统500包括中央处理单元(CPU)501，其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM503中，还存储有系统500操作所需的各种程序和数据。CPU501、ROM502以及RAM503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。

以下部件连接至I/O接口505：包括键盘、鼠标等的输入部分506；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507；包括硬盘等的存储部分508；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器510上，以便于从其上读出的计算机程序根据需要被安装入存储部分508。

特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分509从网络上被下载和安装，和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(CPU)501执行时，执行本发明的系统中限定的上述功能。

需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器，包括：接收模块、认证模块、规则模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，接收模块还可以被描述为“用于接收访问请求的模块”。

作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：步骤S101.接收访问请求；步骤S102.判断所述访问请求中的时间戳、第一签名、访问者IP是否均符合第二认证规则；若是，则通过认证；步骤S103.所述第二认证规则包括：所述时间戳在第一预设时间范围内，所述第一签名在第二预设时间范围内未使用过，所述访问者IP在预设的允许访问IP列表中。

根据本发明实施例的访问认证的方法可以看出，因为采用签名的时效性验证、签名不能重复使用、允许访问IP的限制等技术手段，避免了签名重复使用的情况，优化了资源访问流程，提高了资源访问效率及减轻了业务系统的恶意请求的压力。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。