[发明专利]应用于电信运营商电子渠道的http请求参数校验方法

说明书

本发明具体涉及一种应用于电信运营商电子渠道的http请求参数校验方法，包括：一：校验数据生成时将敏感内容计算校验字段；所述敏感内容为商品编号和/或价格折扣数据的数据参与生成校验数据S，并且服务端将生成的校验数据S，放入cookie字段，通过报文返回给用户前端浏览器；二对用户浏览器操作校验过程用户在浏览器端进行操作，选择相应的商品和价格折扣，并提交给服务端；服务端对用户的请求参数进行校验；读取用户选择的商品和价格折扣，根据用户选择的内容输出与内容对应的业务编码Code1；对Code1计算请求参数S1，服务端对校验数据S和请求参数S1进行比较，如果不一样，说明请求参数是浏览器侧非法修改或伪造内容，处理失败。

技术领域

本发明属于电信运营商电子渠道与互联网软件系统领域，具体涉及一种应用于电信运营商电子渠道的http请求参数校验方法。

背景技术

“掌上营业厅”是移动运营商在电子渠道方面比较重要的一 项移动互联网产品，因其活跃用户众多、承载大部分移动公司的业务、业界知名度高、经常开展优惠的互联网活动等特点，尤其是涉及到一些折扣与免费的业务成为非法用户的重点攻击对象。因此业内在办理上述敏感业务时通常通过发送验证数据进行验证。常见的http请求交互过程中，请求参数通过url或者request body等形式传输。但是由于http请求的开放性，使得请求参数很容易被拦截篡改。部分非法用户使用工具或编程方式，修改了htpp请求参数内容，导致服务端处理异常。

现有的解决问题的方法是：在后端做权限验证，验证内容放在运营商的服务端的http session 数据里。举例说明：先计算签名参数sign；假设用户浏览器端传输来的数据是：http://www.xxx.com/interface.aspxsign=sign_value&p2=v2&p1=v1&method=cancel&p3=&pn=vn；其中sign参数对应的sign_value就是签名的值。

第一步，拼接字符串，首先去除sign参数本身，然后去除值是空的参数p3，剩下p2=v2&p1=v1&method=cancel&pn=vn，然后按参数名字符升序排序，method=cancel&p1=v1&p2=v2&pn=vn.

第二步，然后做参数名和值的拼接，最后得到methodcancelp1v1p2v2pnvn

第三步，在上面拼接得到的字符串前加上验证密钥key，我们假设是abc，得到新的字符串abcmethodcancelp1v1p2v2pnvn

第四步，然后将这个字符串进行md5计算，假设得到的是abcdef，然后转为大写，得到ABCDEF这个值即为sign签名值。

第五步：根据前面描述的签名参数sign生成的方法规则，计算得到参数的签名值，和参数中[Z1] 过来的sign对应的参数值进行对比，如果是一致的，那么就校验通过，如果不一致，说明参数被修改过。

上述现有的方法存在以下问题： 在分布式集群系统中，应用服务可能是无状态的，并且多次请求有可能不在同一台服务端的服务器上处理，导致session数据获取不到。

发明内容

1、所要解决的技术问题：

为了解决上述问题，本发明提供的方法一种应用于电信运营商电子渠道的http请求参数校验方法是基于cookie的http请求参数校验方法，本方法可以避免非法用户修改请求参数，防止一些折扣或免费业务被非法办理。

2、技术方案：

一种应用于电信运营商电子渠道的http请求参数校验方法，包括以下步骤：