[发明专利]一种用户验证方法、装置、电子设备及存储介质

说明书

本申请公开了一种用户验证方法、装置、电子设备及存储介质，客户端根据用户ID和密码向服务器请求公钥后，利用公钥对密码进行加密，将得到的一次加密信息发送至服务器。服务器根据公钥对一次加密密码进行二次加密，得到二次加密信息，使用一次加密信息和二次加密信息完成与用户ID对应的用户注册或用户验证。本发明提供的方法，由客户端对密码进行一次加密，可以避免密码信息被截获后重复被利用，且由服务器对一次加密信息进行二次加密，可以防止黑客攻击服务器时，利用泄露的密码信息模拟客户端进行登录。可见，该方法进行不可逆的密码加密处理，使得密码在传输过程中即使被截获，也不会造成密码泄露，难以被利用，安全性好。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种用户验证方法、装置、电子设备及存储介质。

背景技术

用户在客户端上首次使用某个应用时需要注册账号并设置密码，且在下一次使用该应用时，需要使用该账号和密码进行登录。用户通过客户端注册时的账号密码会存储在服务器内，以便于用户下一次使用时，通过用户输入的账号和密码与服务器端存储的账号和密码进行匹配，在匹配一致时，允许客户端侧登录该应用。

客户端在将注册时的账号和密码或者登陆时的账号和密码传输至服务器端时，通常利用HTTP协议(HyperText Transfer Protocol，超文本传输协议)直接进行传输；而服务器端在进行存储或校验时，通常采用将接收到的账号和密码转为MD5码(Message DigestAlgorithm MD5，消息摘要算法第五版)后再进行存储或校验。

但是，在采用HTTP协议传输账号和密码时，如果客户端与服务器传输过程所处的网络被劫持时，或者因当服务器被攻击时而造成数据库信息泄露，都会造成密码信息泄漏。

发明内容

本申请提供了一种用户验证方法、装置、电子设备及存储介质，以解决现有技术中的密码在传输时极易出现泄漏的现象，安全性较低的问题。

第一方面，本申请提供了一种用户验证方法，应用于服务器，包括以下步骤：

接收客户端发送的公钥获取指令，所述公钥获取指令中包含用户ID和密码；

获取与所述用户ID对应的公钥；

将所述公钥发送至所述客户端；

接收所述客户端发送的一次加密信息，所述一次加密信息包括所述公钥和使用所述公钥对所述密码进行一次加密后生成的一次加密密码；

生成二次加密信息，所述二次加密信息包括所述公钥和使用所述公钥对所述一次加密密码进行二次加密后生成的二次加密密码；

使用所述一次加密信息和二次加密信息完成与用户ID对应的用户注册或用户验证。

进一步地，所述获取与所述用户ID对应的公钥，包括：

查找所述公钥获取指令对应的用户ID是否存在；

如果所述用户ID不存在，则生成与所述用户ID对应的非对称加密密钥对，所述非对称加密密钥对包括公钥和私钥，所述公钥用于客户端进行密码加密，所述私钥丢弃。

进一步地，所述一次加密信息还包括令牌；以及，所述生成二次加密信息，包括：

验证所述令牌是否通过；

如果所述令牌验证通过，根据所述一次加密信息和公钥，生成二次加密信息。

进一步地，所述一次加密信息还包括在所述一次加密密码中提取的第一身份标识符；以及，所述使用所述一次加密信息和二次加密信息完成与用户ID对应的用户注册或用户验证，包括：

提取所述二次加密密码中的第二身份标识符；

判断所述第一身份标识符与第二身份标识符是否一致；