[发明专利]一种用于浏览器客户端和服务器的授权访问方法

权利要求书

1.一种用于浏览器客户端和服务器的授权访问方法，其特征在于，该方法包括如下步骤：

(1)浏览器客户端发出登录验证请求，服务器接收登录验证请求并进行登录验证，同时将验证结果发送至浏览器客户端，浏览器客户端根据登录验证结果判断是否登录成功，若登录验证成功，则服务器生成动态口令密钥、服务器时间和动态口令密钥过期时间，同时将所述的动态口令密钥、服务器时间和动态口令密钥过期时间存储至浏览器客户端缓存中，执行步骤(2)，否则登录失败，结束；

(2)判断是否到达浏览器客户端缓存中的动态口令密钥过期时间，若是执行步骤(3)，否则执行步骤(4)；

(3)浏览器客户端发出动态口令密钥切换请求，服务器接收动态口令密钥切换请求并进行动态口令密钥切换，同时将动态口令密钥切换结果发送至浏览器客户端，浏览器客户端根据动态口令密钥切换结果判断动态口令是否切换成功，若动态口令密钥切换成功，服务器获取新的动态口令密钥、服务器时间和动态口令密钥过期时间，并对浏览器客户端缓存中的相应信息进行更新，执行步骤(4)，否则动态口令密钥切换失败，结束；

(4)浏览器客户端采用浏览器客户端缓存中的动态口令密钥和服务器时间产生动态口令，采用动态口令对服务器进行授权访问，返回步骤(2)。

2.根据权利要求1所述的一种用于浏览器客户端和服务器的授权访问方法，其特征在于，所述的浏览器客户端发出登录验证请求具体为：

(1a)浏览器客户端获取人工输入的用户名User1和登录密码Pwd2后，生成唯一识别标识UUID1和浏览器客户端IP地址，同时随机生成第一对称加密密码DataPwd1和第一非对称密钥对，其中第一非对称密钥对包括第一私钥PrivateKey1和第一公钥PublicKey1，浏览器客户端还获取浏览器客户端与服务器通讯的第二非对称密钥对中的第二公钥PublicKey2，执行步骤(1b)；

(1b)采用第二公钥PublicKey2对唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一公钥PublicKey1、用户名User1和登录密码Pwd2进行加密，所有加密数据组成登录验证请求加密数据，执行步骤(1c)；

(1c)将步骤(1b)中登录验证请求加密数据发送至服务器登录验证接口进行登录验证请求。

3.根据权利要求2所述的一种用于浏览器客户端和服务器的授权访问方法，其特征在于，所述的服务器接收登录验证请求并进行登录验证具体为：

(2a)服务器获取第二非对称密钥对中的第二私钥PrivateKey2，执行步骤(2b)；

(2b)将步骤(1c)中的登录验证请求加密数据采用第二私钥PrivateKey2进行解密，获取唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一公钥PublicKey1、用户名User1和登录密码Pwd2，执行步骤(2c)；

(2c)将用户名User1和登录密码Pwd2与服务器数据库中存储的用户名和登录密码分别进行对比并判断是否一致，若是则执行步骤(2d)，否则执行步骤(2f)；

(2d)服务器生成登录成功代码、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1和第一动态口令密钥过期时间ExpireTimestamp1，并将唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1和第一动态口令密钥过期时间ExpireTimestamp1保存至服务器数据库中，执行步骤(2e)；

(2e)采用第一公钥PublicKey1对登录成功代码、第一动态口令密钥PwdKey1、第一服务器时间ServerTimestamp1和第一动态口令密钥过期时间ExpireTimestamp1进行加密并保存为登录验证结果，结束登录验证；

(2f)服务器生成登录失败代码并采用第一公钥PublicKey1对登录失败代码进行加密，同时将加密后的登录失败代码保存为登录验证结果。