[发明专利]一种服务接口的安全接入方法和装置

说明书

本发明公开了一种服务接口的安全接入方法和装置，涉及计算机技术领域。该方法一具体实施方式包括：服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌，并将所述令牌下发到所述请求令牌的客户端，以及保存所述令牌与所述请求令牌的客户端之间的对应关系；当所述服务器端收到一待接入客户端发来的接入请求时，根据保存的所述对应关系验证所述待接入客户端是否为所述请求令牌的客户端，若所述验证通过，则允许所述待接入客户端接入所述服务接口，否则，拒绝所述待接入客户端接入所述服务接口。该实施方式在成本允许情况下增强后台服务器端的身份验证能力、数据完整性和防刷能力。

技术领域

本发明涉及计算机技术领域，尤其涉及一种服务接口的安全接入方法和装置。

背景技术

随着互联网时代的到来，越来越多的服务从线下转到线上，应用体量不断增长。由于一些特殊场景的需要，传统的网络请求技术(短连接)已经很难满足，于是更符合这些特定场景的长连接技术慢慢发展起来。由于长连接技术的特定属性，在设计此类服务的时候就必须要谨慎设计策略方案来保证后台服务资源可以最大化地用在有效的服务上，否则一些简单地恶意攻击就会极大的影响服务的可用性和健壮性。

现在业内最常用的对于长连接的攻击模式包括伪造身份以及刷接口，其中，伪造身份如果不防范会造成一些非法恶意请求来攻击服务，达成个人非法目的等；刷接口如果不防范对于长连接会很容易造成连接数达到上限，合法用户无法建立新连接从而导致服务不可用。

现有的对于身份验证主要的方案是通过在客户端(主要在客户端Cookie(为存储在浏览器目录中的文本文件))存放服务端下发的信息，服务端在下发信息的同时也在服务端记录此信息，一般服务端信息有一定的时效性，在一段时间内以此信息来表明用户身份，服务端在收到请求的同时验证此Cookie中的信息是否在服务端有过记录，有记录则通过请求，反之请求不合法。以上方案存在诸多缺陷：第一，Cookie中信息非常容易被第三方获取，一旦第三方获取该信息则完全有能力通过修改Cookie来伪造身份，从而通过身份验证；第二，第三方可以对Cookie进行篡改，在一些情况下也容易对服务端造成有目的的破坏；第三，Cookie中的信息在失效之前可以被反复使用，第三方在获取信息后可以对服务端进行请求攻击，从而压垮服务器造成服务不可用。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

现有的方案无法有效地验证请求者身份，无法防止Cookie中的信息被盗用或篡改，无法满足服务端的防刷要求，从而无法有效抵御对服务器的非法攻击。

发明内容

有鉴于此，本发明实施例提供一种服务接口的安全接入方法和装置，使得服务器端下发给某客户端的令牌(token)只有该客户端才能使用，防止恶意攻击者盗用令牌来通过身份验证，保证令牌无法被篡改，保证数据完整性，防止了恶意攻击者用合法令牌来多次刷后台服务接口，在成本允许的情况下增强了后台服务器端的身份验证能力、数据完整性和防刷能力。

为实现上述目的，根据本发明实施例的一个方面，提供了一种服务接口的安全接入方法。

一种服务接口的安全接入方法，包括：服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌，并将所述令牌下发到所述请求令牌的客户端，以及保存所述令牌与所述请求令牌的客户端之间的对应关系；当所述服务器端收到一待接入客户端发来的接入请求时，根据保存的所述对应关系验证所述待接入客户端是否为所述请求令牌的客户端，若所述验证通过，则允许所述待接入客户端接入所述服务接口，否则，拒绝所述待接入客户端接入所述服务接口。

可选地，所述服务器端包括第一服务端和所述服务接口所在的第二服务端，服务器端根据请求令牌的客户端发来的令牌获取请求生成令牌的步骤之前，还包括：服务器端根据预设的校验规则校验请求令牌的客户端发来的令牌获取请求，并确定所述令牌获取请求校验通过。