[发明专利]一种WEB盗链防护方法及其网关系统

权利要求书

1.一种WEB盗链防护方法，其步骤包括：

1）在客户端与WEB服务器间建立一前置网关，所述前置网关为其代理的WEB服务器配置盗链防护的文件类型，配置生效后启动盗链防护功能；

2）所述前置网关根据所述客户端的请求类型判断资源请求是否在所述盗链防护文件类型中；

2-1）若请求资源的类型包含在已配置的文件类型中，则所述前置网关根据设定规则拒绝或接受请求；

2-2）若请求资源的类型未包含在已配置的文件类型中，则所述前置网关根据设定规则要求所述客户端重新资源请求同时加入所述前置网关分发的盗链防护标识；

3）对所述盗链防护标识进行提取验证，将满足设定条件的资源请求从所述前置网关转发到该WEB服务器。

2.如权利要求1所述的WEB盗链防护方法，其特征在于，所述步骤2-1）所述前置网关根据如下设定规则拒绝或接受请求：

2-1-1）所述前置网关对该资源请求头进行检查，如果该请求头包含网关所分发的盗链防护标识则将请求转发到真实Web网站进行响应；

2-1-2）如果该请求头未包含盗链防护标识则代替服务器端向客户端自动响应，认为该访问为异常访问并拒绝。

3.如权利要求1所述的WEB盗链防护方法，其特征在于，所述步骤2-2）所述前置网关根据如下规则要求所述客户端重新资源请求同时加入所述前置网关分发的盗链防护标识：

2-2-1）如果未包含在已配置的文件类型中，并且该请求头包含网关所分发的盗链防护标识则将请求转发到真实Web网站进行响应；

2-2-2）如果该请求头未包含盗链防护标识则前置网关代替WEB服务器向客户端自动响应重定向响应码；要求客户端重新请求该资源，并在请求的同时加入网关分发的盗链防护标识；

2-2-3）当客户端重新请求该资源时，在请求头中添加盗链防护标识；

2-2-4）若客户端访问的资源在加载时包含可被盗链资源，则将进入所述步骤2-1）中进行处理。

4.如权利要求2或3所述的WEB盗链防护方法，其特征在于，所述前置网关获取客户端的请求头信息，通过解析HTTP得到cookie域，如果该cookie域值中未包含网关生成并分发的字段，则需要为该请求生成并分发盗链防护标识。

5.如权利要求1所述的WEB盗链防护方法，其特征在于，盗链防护标识通过Hash算法或者加密方式生成。

6.如权利要求1所述的WEB盗链防护方法，其特征在于，所述盗链防护标识进行提取验证如下：

a）解析查询盗链防护信息列表，判断网关中是否存在与字段值域相同的盗链防护标识值，如果不存在相同的盗链防护标识值，则该客户端对该资源的请求被拒绝；

b）如果存在相同的盗链防护标识值，将提取的客户端源地址与前置网关中保存的访问源地址进行比较，如果不相同，则该客户端对该资源的请求被拒绝，

c）对相同的客户端源地址取当前时间与前置网关中保存的时间进行比较，设置时间跨度变量，

如果当前时间与前置网关中保存的时间跨度差值大于时间跨度变量，则判断该请求超出预定访问时限，该客户端对该资源的请求将被拒绝，

如果当前时间与前置网关中保存的时间跨度差值小于时间跨度变量，则判断该请求符合盗链防护标识验证过程的所有条件，并将该请求转发给网关代理的Web网站。

7.如权利要求6所述的WEB盗链防护方法，其特征在于，所述步骤c）中同时删除网关中与之对应的三元组记录盗链防护标识值、前置网关中保存的时间、访问源地址。

8.如权利要求1所述的WEB盗链防护方法，其特征在于，当客户端请求非盗链防护对象资源时，网关将生成的盗链防护标识、客户端地址以及客户端请求时间以三元组的方式写入网关的盗链防护信息列表中进行保存。

9.如权利要求1所述的WEB盗链防护方法，其特征在于，当客户端请求非盗链防护对象资源时，网关将生成盗链防护标识，通过向客户端回复特殊的响应头，使得客户端将再一次请求该资源，同时将盗链防护标识加入到客户端请求头中。

10.一种前置网关的盗链防护系统，包括：设于基于前置网中的网关配置模块、盗链防护标识生成分发模块和盗链防护标识提取验证模块。

所述配置模块，用于进行Web网站盗链防护对象的配置，所述前置网关根据所述客户端的请求类型判断资源请求是否在所述盗链防护文件类型中；

所述盗链防护标识生成分发模块，用于对非盗链防护对象生成并且分发盗链防护标识，同时在网关中保存盗链防护标识、客户端地址和客户端请求时间三部分信息；

所述盗链防护标识提取验证模块，用于从客户端请求中提取盗链防护标识和客户端地址，同时进行盗链防护标识验证、客户端地址验证和请求时间过期验证，确认该请求是否转发给Web网站。