[发明专利]一种基于临时令牌的鉴权方法、客户端、和服务器

说明书

本发明公开了一种基于临时令牌的鉴权方法、客户端、和服务器，方法包括：将认证信息发送到服务器，并从服务器接收针对认证信息的认证令牌；针对每个请求生成唯一标识和请求参数的摘要，将唯一标识、摘要、和请求者信息使用认证令牌加密生成临时令牌，并将临时令牌和请求一起发送到服务器；从服务器接收请求所指向的数据或服务、或接收无法执行请求的错误信息。本发明能够抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露。

技术领域

本发明涉及神经网络领域，更具体地，特别是指一种基于临时令牌的鉴权方法、客户端、和服务器。

背景技术

微服务架构中，各个服务通常是无状态，它并不知道是谁访问了我们的应用，我们必须保证我们的服务被正确合法的访问。所以在微服务API(应用程序接口)的设计中，通常需要引入鉴权机制来防止非法攻击以及保护用户隐私免被泄露。在现有的技术方案中通常是使用Token机制来实现这种保护，Token的意思是“令牌”，是服务端生成的一串字符串，作为客户端进行请求的一个标识，其流程如下：

1、客户端将认证信息——通常是用户名和密码——发送到服务端，进行登录；

2、服务端验证认证信息，验证无误后使用随机算法生成Token，创建Session(会话)，并将Token保存于Session中。然后将Token返回给客户端；

3、客户端接收到服务端返回的Token，并进行保存；

4、客户端之后每次向服务端请求数据时都需要带上Token；

5、服务端验证Token是否与用户匹配，若匹配则返回正确的数据，否则向客户端报错；

6、当客户端注销登录时，同时在服务端和客户端销毁Token，该Token的生命周期结束。

从以上Token鉴权机制中，我们不能看出，用于鉴权的Token是单一的，且复杂性一般不高，给不怀好意者留下攻击的可能，其具体表现在以下几个方面：

1、若生成Token的算法复杂度不高，攻击者可以猜测系统中其他存在的Token，实现撞库攻击；

2、由于所有数据请求使用的是同一个Token，攻击者可以通过拦截请求的方式拿到Token，从而实现模拟请求攻击或中间人攻击；

3、Token单纯的用来鉴权，服务端只验证Token是否存在，所以Token本身不能反应出该次请求所携带的数据是否被攻击者修改。

以上三种情形，任何一种都可以给系统造成数据泄露、数据被非法篡改等无法挽回的损失。

针对现有技术中Token鉴权机制容易受到撞库攻击、请求攻击、中间人攻击、无法自证可信的问题，目前尚无有效的解决方案。

发明内容

有鉴于此，本发明实施例的目的在于提出一种基于临时令牌的鉴权方法、客户端、和服务器，能够抵御各种攻击、避免暴力破解、降低服务器压力、防止数据泄露。

基于上述目的，本发明实施例的第一方面提供了一种基于临时令牌的鉴权方法，包括执行以下步骤：

将认证信息发送到服务器，并从服务器接收针对认证信息的认证令牌；

针对每个请求生成唯一标识和请求参数的摘要，将唯一标识、摘要、和请求者信息使用认证令牌加密生成临时令牌，并将临时令牌和请求一起发送到服务器；

从服务器接收请求所指向的数据或服务、或接收无法执行请求的错误信息。

在一些实施方式中，认证信息包括请求者的用户名和密码；从服务器接收针对认证信息的认证令牌包括：建立与服务器的会话，并通过会话获取认证令牌。