[发明专利]一种跨站请求伪造CSRF防御认证方法和装置

说明书

本发明公开了一种跨站请求伪造CSRF防御认证方法和装置，所述方法，包括：获取本次数据交互所需的安全口令，所述安全口令是通过向服务器发送的登录请求获得的，所述登录请求包含本次登录所需的用户名和密码；向服务器发送数据交互请求，所述数据交互请求中携带有本次数据交互所需的验证信息，所述验证信息用于指示服务器对所述数据交互请求的合法性进行认证，其中，所述验证信息是根据所述安全口令确定出的。采用本发明提供的方法，不仅能够有效地实现对CSRF攻击的防护，还具备防篡改的效果，在一定程度上能够防护重放攻击，通用性较强。

技术领域

本发明涉及Web安全技术领域，尤其涉及一种跨站请求伪造CSRF防御认证方法和装置。

背景技术

早期的Web系统是将浏览器(前端)和服务器端(后端)集成到一个项目中，导致在实际开发过程中Web前后端耦合程度较高，很难做到专业分工，严重影响开发质量。为了降低Web前端对后端的依赖程度，引入了Web前后端分离架构。在Web前后端分离架构下，前端开发不影响后端的数据处理操作，前后端数据交互时只需调用相应的接口即可，如采用RESTful API接口完成前后端数据交互。然而，在Web前后端分离模式下，需要保证前端每次调用后端提供的API接口的合法性和安全性，尤其是对CSRF(Cross-Site RequestForgery，跨站请求伪造)攻击的防护。

现有技术中在对CSRF攻击进行防护时，常用的方法大致为：一种是通过输入验证码来限制用户操作，此方法不仅会增加开发成本，还会严重降低用户体验；另一种是在HTTPReferer中限制请求来源，该方法虽然开发成本较低，但是依然存在安全性较大的风险；此外，还通过SESSION(会话)验证机制来校验请求的合法性，该方法要求服务端绑定路由，渲染模板引擎等，而在Web前后端分离模式下，不再依赖服务端语言绑定路由和渲染模板引擎，导致前端不再具备完善的SESSION和数据存储功能，从而导致前端(浏览器)无法利用SESSION直接实现会话数据的保存，也就无法利用SESSION验证机制来校验请求的合法性。

综上所述，如何既能实现对CSRF攻击的防护，又能保证前后端交换时后端提供合法可靠的API(Application Program Interference，应用程序接口)接口是亟待解决的技术问题之一。

发明内容

本发明提供一种跨站请求伪造CSRF防御认证方法和装置，用以实现对CSRF攻击的防护，有效地实现对重放攻击的防护。

本发明实施例提供一种跨站请求伪造CSRF防御认证方法，包括：

获取本次数据交互所需的安全口令，所述安全口令是通过向服务器发送的登录请求获得的，所述登录请求包含本次登录所需的用户名和密码；

向服务器发送数据交互请求，所述数据交互请求中携带有本次数据交互所需的验证信息，所述验证信息用于指示服务器对所述数据交互请求的合法性进行认证，其中，所述验证信息是根据所述安全口令确定出的。

本发明实施例提供另一种跨站请求伪造CSRF防御认证方法，包括：

接收客户端发送的登录请求，所述登录请求包含本次登录所需的用户名和密码；

在根据所述用户名和密码对所述登录请求验证通过之后，向客户端反馈安全口令；以及

接收客户端发送的数据交互请求，所述数据交互请求中携带有本次数据交互所需的验证信息；

根据所述验证信息，对所述数据交互请求的合法性进行认证。

本发明实施例提供一种跨站请求伪造CSRF防御认证装置，包括：

获取单元，用于获取本次数据交互所需的安全口令，所述安全口令是通过向服务器发送的登录请求获得的，所述登录请求包含本次登录所需的用户名和密码；