[发明专利]一种基于HTTP协议的通信方法及系统

说明书

本发明属于通信技术领域，涉及一种基于HTTP协议的通信方法及系统。包括基于HTTP协议通信的客户端和服务端，所述服务器根据所述客户端发送的客户端提交报文执行所述客户端请求的操作方法，其特征在于：所述客户端提交报文包括临时参数信息，所述临时参数信息包括临时参数的参数名和参数值；所述服务器包括执行模块、对应关系数据库；所述对应关系数据库存储输入参数和临时参数的对应关系；所述执行模块包括解析单元，所述解析单元在所述对应关系数据库中检索所述临时参数对应的输入参数，如果检索成功，所述执行单元将所述临时参数的参数值作为对应的所述的输入参数的参数值以执行所述操作方法；如果检索失败，则服务端拒绝执行所述操作方法。

技术领域

本发明属于通信技术领域，涉及一种基于HTTP协议的通信方法及系统。

背景技术

现在貌似大多数网站用户认证主要包括两种方式：

一.基于SESSION的用户认证

用户通过服务端的身份验证后，在服务端生成用户相关的SESSION数据，而将发给客户端SESSION_ID存放到COOKIE中。当客户端需要向服务端请求服务时，在发送至服务端的用户请求中带上SESSION_ID。服务端就可以根据SESSION_ID验证服务端是否存在对应的SESSION数据，以此完成用户认证。

二.基于TOKEN的用户认证

基于TOKEN的用户认证是一种服务端无状态的认证方式，服务端不用存放TOKEN数据。用户通过服务端的身份验证后，由服务端生成一个TOKEN (Hash或Encrypt，即哈希或加密)发给客户端。客户端可以放到COOKIE或 LOCALSTORAGE中，客户端在发送给服务端的每个用户请求中附上TOKEN作为授信凭证，服务端在收到TOKEN以后进行授信凭证验证，通过验证后即可确认用户的身份。

上述两种认证方式，主要靠唯一的授信凭证发给客户端，客户端的每次用户请求都附带上SESSION或TOKEN来保持、识别授信凭证。虽然每一个客户端上的SESSION或TOKEN是唯一的，但是SESSION或TOKEN在一定时间内也是固定不变的。

虽然现有技术中可以用每次请求不一样的授信方式来加强网络安全，防止授信凭证被盗用。但是在开放网络上，SESSION或TOKEN很可能被恶意第三方截取盗用。并且基于HTTP协议的客户端和服务端之间的通信，为了简化方法的定义和路由的解析，通常采用Action参数绑定技术。Action参数绑定技术是指客户端在请求页面或者请求URL(统一资源定位符)里指定一个参数来绑定到服务端的某一个处理方法，由这个处理方法来处理该请求页面。使得客户端对服务端的请求页面也很容易被恶意第三方盗用截取。

如果第三方用截取盗用的授信凭证，同时就用客户端原来的请求页面对服务端发起请求，服务端难以识别到该客户端请求为恶意第三方的请求，从而接收并响应恶意第三方的请求，威胁网络完全。

发明内容

本发明为了解决上述技术问题，提出一种基于HTTP协议的通信方法，其特征在于，包括：

步骤S1，客户端发送客户端请求报文至服务端，请求所述服务端执行由所述客户端请求报文指定的操作方法；

步骤S2，所述服务端发送服务端响应报文至所述客户端，通知所述客户端执行所述操作方法所需的输入参数；所述服务端响应报文包括所述输入参数的参数名、与所述输入参数对应的临时参数的参数名；

步骤S3，所述客户端发送客户端提交报文至所述服务端，所述客户端提交报文包括临时参数信息，所述临时参数信息包括临时参数的参数名和参数值；