[发明专利]token泄露校验方法、装置及存储介质

说明书

本发明公开了一种token泄露校验方法、装置及存储介质。由于客户端与服务端通讯时，数据只有发送出去以后才会被接收，因此服务端接收到的通讯数据的次数必然小于或等于客户端发送通讯数据的次数，本申请通过记录与客户端的接收通讯数据的接收次数，并将其与客户端发送通讯数据的发送次数进行比较，当接收次数大于发送次数时，必然存在额外的发送设备，由于token仅下发给了客户端，则判断存在token泄露的情况，实现对token泄露的校验，解决了现有技术中使用token验证用户信息时存在token泄露导致数据安全收到影响的问题，达到了保障数据安全的效果。

技术领域

本发明实施例涉及数据安全技术领域，尤其涉及一种token泄露校验方法、装置及存储介质。

背景技术

Http协议(超文本传输协议，Hyper Text Transfer Protocol)是一种用于分布式、协作式和超媒体信息系统的应用层协议；是万维网的数据通信的基础。当我们打开浏览器浏览网页或使用手机软件时，大量的数据都是通过Http协议在客户端和服务端之间传输的。

Token即令牌。由于Http协议是无状态的，所以服务端无法知道某次请求是由哪个用户发起的。而token是表明某一次http请求由谁发起的证明。通常客户端程序在登录成功后会收到服务端程序返回的token，其中包含了登录用户的唯一的身份标识，有效期等信息并由服务端进行了加密。后续客户端向后端发送的所有http请求都必须带上token。服务端收到请求后将对token解密，并根据解密结果来确定该请求的有效性。

由于http协议本身是不加密的，第三方客户端仅需截获代表token的字符串即可仿造用户身份，此时用户的数据安全无法得到保障，因此服务端通常会记录用户登录后的操作，记录在日志中，当用户查阅日志发现存在异常操作以后，才能发现token泄露，然而大部分用户缺乏查询日志的习惯，通常发现泄露后距离泄露时的间隔时间较长，此时数据已经泄露，且日志存在被篡改的可能性，数据安全依然得不到保障。

发明内容

本发明实施例提供一种token泄露校验方法，以预设时间间隔对token的泄露情况进行校验，及时发现token的泄露情况，解决了现有技术中发现泄露后距离泄露时的间隔时间较长，此时数据已经泄露的技术问题，达到了保障数据安全的技术效果。

本发明提供了一种token泄露校验方法，包括：

响应于目标客户端发起的登录请求，校验目标客户端的登录信息，当校验通过时向目标客户端发送公钥及token；

响应于目标客户端返回的包含token的通讯数据及校验信息，使用私钥解密目标客户端的校验信息，并根据包含token的通讯数据及解密后的校验信息，记录与目标客户端通讯的接收次数；

根据解密后的校验信息得到目标客户端发送通讯数据的发起次数，当接收次数大于发起次数时，判断目标客户端的token已经泄露。

优选地，还包括：

拒绝目标客户端的所有请求，向目标客户端发送登录页面；

校验目标客户端返回的登录信息，当校验通过时，向目标客户端发送新的公钥及新的token。

优选地，响应于目标客户端发起的登录请求，校验目标客户端的登录信息，当校验通过时向目标客户端发送公钥及token的步骤具体包括：

响应于目标客户端发起的登录请求，获取目标客户端发送的登录信息，并根据RSA算法生成密钥对；

根据登录信息获取目标客户端发送的用户名、密码及目标客户端的设备号；

将目标客户端发送的用户名及密码与数据库中存储的用户名及密码进行比对，当用户名及密码正确时，根据客户端的设备号生成token；

向目标客户端发送生成的token及公钥。