[发明专利]一种验证网关的自动化处理方法

摘要

本发明公开了一种验证网关的自动化处理方法，被保护应用通过将待验证用户的个性化信息、验证服务提供者、验证类型、验证等级、验证有效期等作为验证需求提交到验证网关，用户与验证网关进行交互式验证，验证通过后由验证网关通知被保护应用，由该应用为验证用户颁发具有一定时效期的访问令牌，以提供自动化的验证处理及授权访问能力，能够有效改善传统Web资源验证防护机制与业务流程紧耦合，缺乏安全性和多样性的不足，以提升Web应用安全。本发明适用于Web安全防护领域，可大量应用于反爬虫、反撞库、反占座、反垃圾信息等业务场景。

主权项

1.一种验证网关的自动化处理方法，其特征在于，由Web应用向来访用户提出验证需求，用户与验证网关进行交互式验证，验证结果由验证网关通知Web应用，Web应用根据验证结果向来访用户颁发访问令牌，以实现授权访问；具体处理步骤为：(1)用户请求访问Web应用中受保护资源；(2)提出验证需求：Web应用通过返回验证服务URI向来访用户提出验证需求，所述验证服务URI包含Web应用标识App ID、待验证的用户标识Authentication ID、验证服务提供商标识Service ID、验证类型、验证等级Rank、验证时效性Expire Time、受保护资源的URI地址；所述验证类型包括图灵测试、身份认证、短信认证或语音认证；(3)请求验证内容：用户通过验证服务URI向验证网关请求验证内容；(4)返回验证内容：验证网关检查待验证的用户标识Authentication ID核实请求来源，通过验证时效性Expire Time检查验证请求是否过期，根据验证类型、验证等级返回对应的验证内容；(5)验证成功通知：验证网关在与来访用户交互式认证成功后，颁发验证成功通知，生成通行码Passcode，包含通过验证的用户标识Authentication ID、Web应用标识App ID、验证等级Rank、验证服务提供商标识Service ID、通行码时效性Expire Time，并返回给用户；(6)请求受保护资源：用户携带通行码Passcode向Web应用请求受保护资源；(7)返回受保护资源：Web应用校验通行码，检查用户标识Authentication ID、验证等级Rank、验证码服务提供商标识Service ID是否与步骤(2)中的验证需求一致，同时判断通行码时效性Expire Time；校验通过后，Web应用为该访问用户颁发访问令牌Access code，包括访问用户标识、访问令牌有效期、会话标识；用户后续可携带访问令牌进行授权访问。