[发明专利]越权行为检测方法、装置、计算机设备和存储介质

说明书

本申请涉及一种安全防护技术领域的越权行为检测方法、装置、计算机设备和存储介质。所述方法包括：检测到待验证用户进行应用中预先设置的敏感类型请求时，向待验证用户对应的用户终端发送验证请求，接收用户终端根据验证请求发送的验证令牌，验证令牌中包含了用户终端的设备信息和时间信息，将验证令牌和预先存储的用户终端的注册验证令牌进行匹配，当匹配不一致时，则确定待验证用户的所述敏感类型请求是越权行为。采用本方法能够防止应用被劫持冒用。

技术领域

本申请涉及计算机技术领域，特别是涉及一种越权行为检测方法、装置、计算机设备和存储介质。

背景技术

随着计算机技术的发展，应用程序也得到了极大地发展。应用程序是一种基于移动设备的程序，如今，应用程序已经极大的参与人们的日常生活，例如：支付、购物、娱乐等，但是应用程序也存在用户身份被冒用的风险。以移动支付程序为例，一旦用户身份被冒用，可能存在用户财产盗用、盗刷等行为，极大的影响用户的财产安全。传统技术中，用户在移动支付程序中进行支付操作行为时，移动支付程序的服务器向用户发送短信验证码，通过短信验证码验证是否为用户本人操作，然而，移动支付程序的服务器发送的短信验证码，容易被拦截，导致应用程序在使用过程中存在冒用的风险。

发明内容

基于此，有必要针对上述技术问题，提供一种能够解决应用程序容易被拦截冒用问题的越权行为检测方法、装置、计算机设备和存储介质。

一种越权行为检测方法，所述方法包括：

接收用户通过应用程序发送的请求，并在确定所述请求为敏感类型请求时，向用户终端发送验证请求；

接收所述用户终端根据所述验证请求发送的验证令牌；所述验证令牌中包含了所述用户终端的设备信息和时间信息；

将所述验证令牌和预先存储的所述用户终端的注册验证令牌进行匹配；

当匹配不一致时，则确定所述待验证用户的所述敏感类型请求是越权行为。

在其中一个实施例中，还包括：检测到所述用户终端注册所述应用的账号时，向所述用户终端发送信息获取请求；接收所述用户终端根据所述信息获取请求发送的设备信息；获取预先设置的时间标签，根据所述时间标签、所述设备信息以及预先设置的令牌生成算法，生成所述用户终端的所述注册验证令牌。

在其中一个实施例中，还包括：将所述时间标签和所述设备信息进行组合，得到组合序列；将所述组合序列编码为二进制序列，根据预先设置的哈希算法，将所述二进制序列进行加密生成所述注册验证令牌。

在其中一个实施例中，还包括：获取所述用户终端对应的通讯号码；将所述通讯号码与所述注册验证令牌对应保存。

在其中一个实施例中，还包括：通过所述通讯号码向所述用户终端发送随机验证码；接收所述用户终端在所述应用中上传的待验证随机验证码；当所述待验证随机验证码与所述随机验证码匹配时，根据所述通讯号码查询到所述通讯号码对应的所述注册验证令牌。

在其中一个实施例中，还包括：生成信息验证页面；将所述信息验证页面发送至所述用户终端，以使所述用户终端在显示界面显示所述信息验证页面；接收所述用户终端在所述信息验证页面输入的应用账户信息；将所述账户信息与预先存储的注册账户信息进行匹配，当匹配不一致时，确定所述待验证用户的所述敏感类型请求是越权行为。

在其中一个实施例中，所述时间标签是当前时间；所述设备信息是国际移动设备识别码；还包括：将所述当前时间与所述国际移动设备识别码进行拼接，得到所述得到组合序列；将所述组合序列编码为二进制序列，根据预先设置的SHA256算法，将所述二进制序列进行加密生成所述注册验证令牌。

一种越权行为检测装置，所述装置包括：

检测模块，用于接收用户通过应用程序发送的请求，并在确定所述请求为敏感类型请求时，向用户终端发送验证请求；