[发明专利]安全提交请求的装置和方法、安全处理请求的装置和方法

权利要求书

1.一种在客户端中安全提交请求的装置，包括：

请求预提交组件，被配置成将带有唯一标识符的请求发送到服务器；以及

请求确认组件，包含不能被包括请求预提交组件在内的其它组件访问的密钥；

其中，请求预提交组件还被配置成将包含所述唯一标识符和请求描述的告警消息发送到请求确认组件；

请求确认组件被配置成响应于所述告警消息，弹出显示有所述请求描述的请求确认窗口；以及

请求确认组件还被配置成响应于确认所述请求是合法请求，至少利用所述密钥和所述唯一标识符生成与所述请求相关联的请求确认消息，并将其发送到服务器。

2.如权利要求1所述的装置，其中请求确认组件以及其中的密钥是在登录到服务器时从服务器获取的。

3.如权利要求1所述的装置，其中请求确认组件中的密钥具有预定的生存期，并且在期满失效后被重新生成。

4.如权利要求1所述的装置，其中利用所述请求确认组件所驻留的浏览器的同源策略，请求确认组件被设置成属于与所述其它组件不同的域，使得请求确认组件中的密钥不能被所述其它组件访问。

5.如权利要求1所述的装置，其中请求确认组件进一步被配置成除了所述密钥和所述唯一标识符之外还利用所述请求描述来生成所述请求确认消息。

6.一种在客户端中安全提交请求的方法，其中客户端包括请求确认组件，该请求确认组件包含不能被客户端中的其它组件访问的密钥，该方法包括：

将带有唯一标识符的请求发送到服务器；

利用请求确认组件弹出显示有所述请求的请求描述的请求确认窗口；以及

响应于确认所述请求是合法请求，利用请求确认组件至少根据所述密 钥和所述唯一标识符生成与所述请求相关联的请求确认消息，并将其发送到服务器。

7.如权利要求6所述的方法，还包括：在登录到服务器时，从服务器获取包含由服务器生成的密钥的请求确认组件。

8.如权利要求6所述的方法，其中利用所述请求确认组件所驻留的浏览器的同源策略，请求确认组件被设置成属于与所述其它组件不同的域，使得请求确认组件中的密钥不能被所述其它组件访问。

9.如权利要求6所述的方法，其中请求确认组件中的密钥具有预定的生存期，并且在期满失效后被重新生成。

10.如权利要求6所述的方法，其中所述生成进一步包括除了所述密钥和所述唯一标识符之外还利用所述请求描述来生成所述请求确认消息。

11.一种在服务器中安全处理请求的装置，包括：

请求挂起单元，被配置成挂起来自客户端的带有唯一标识符的请求；

请求验证单元，被配置成根据来自客户端的按照所述唯一标识符与所述请求相关联的请求确认消息，验证所述请求是否是合法请求；

请求执行单元，被配置成在所述请求是合法请求时，执行所述请求；以及

请求确认组件下发单元，被配置成响应于登录到服务器而生成密钥，并将包含所述密钥的请求确认组件下发到客户端，其中请求确认组件中的所述密钥在客户端中不能被其它组件访问。

12.如权利要求11所述的装置，其中请求确认组件下发单元进一步被配置成利用客户端中的浏览器的同源策略，将请求确认组件设置成属于与所述其它组件不同的域。

13.如权利要求11所述的装置，其中请求验证单元进一步被配置成通过验证请求确认消息是否是利用特定密钥生成的来验证所述请求确认消息的来源是否合法。

14.如权利要求11所述的装置，其中请求验证单元进一步被配置成通过利用包含在所述请求确认消息中的与请求的请求描述相关的信息进行请求内容验证来验证所述请求是否是合法请求。