[发明专利]一种适用于在线身份认证的流控机制

权利要求书

1.一种适用于在线身份认证的流控机制，其特征在于，包括如下步骤:

S101.业务服务器在客户端浏览器打开业务首页时，生成锁定该客户端浏览器的主SessionID，并创建与所述主SessionID对应的主Session对象，然后一方面将所述主SessionID反馈至该客户端浏览器，另一方面将所述主SessionID及对应的所述主Session对象传送至流控寄存服务器，由流控寄存服务器按照如下第一方式进行托管：存储所述主Session对象，然后将所述主SessionID和所述主Session对象的第一存储地址添加到读写白名单表中，然后在成功验证该客户端浏览器的身份凭证后且在所述主Session对象销毁前，许可该客户端浏览器通过业务服务器间接地对所述读写白名单表进行查表，并在使用所述主SessionID获取对应的所述第一存储地址后，根据所述第一存储地址对所述主Session对象进行数据读取和/或数据写入；

S102.认证服务器在该客户端浏览器打开登录页面时，生成锁定该客户端浏览器的认证SessionID，并创建与所述认证SessionID对应的认证Session对象，然后一方面将所述认证SessionID反馈至该客户端浏览器，另一方面将所述认证SessionID及对应的所述认证Session对象传送至流控寄存服务器，由流控寄存服务器按照如下第二方式进行托管：存储所述认证Session对象，然后将所述认证SessionID和所述认证Session对象的第二存储地址添加到所述读写白名单表中，并在表中关联所述主SessionID和所述认证SessionID，然后在成功验证该客户端浏览器的身份凭证后且在所述认证Session对象销毁前，许可该客户端浏览器通过认证服务器间接地对所述读写白名单表进行查表，并在使用所述认证SessionID获取对应的所述第二存储地址后，根据所述第二存储地址对所述认证Session对象进行数据读取；

S103.业务服务器在首次成功验证该客户端浏览器的身份凭证后，生成锁定该客户端浏览器的Cookies内容，然后将所述Cookies内容传送至流控寄存服务器，由流控寄存服务器按照如下第三方式进行托管：一方面应用摘要算法获取所述Cookies内容的第一摘要，然后使用签名私钥对所述第一摘要进行数字签名，得到所述Cookies内容的摘要密文，最后在保存所述Cookie内容及验签公钥的临时对应关系后，将封装有所述Cookies内容和所述摘要密文的Cookies对象通过业务服务器反馈至该客户端浏览器，其中，所述签名私钥和所述验签公钥为一对非对称公私钥，另一方面使用所述验签公钥对来自业务服务器且由该客户端浏览器上传的Cookies对象进行验签，若验签通过，则向业务服务器反馈对该客户端浏览器的身份凭证二次认证成功信息，否则向业务服务器反馈对该客户端浏览器的身份凭证二次认证失败信息。

2.如权利要求1所述的一种适用于在线身份认证的流控机制，其特征在于，在所述第一方式托管中还包括：在客户端浏览器关闭时或在所述主Session对象的闲置时长超过预设阈值时，销毁所述主Session对象，并在所述读写白名单表中清除所述主SessionID和所述主Session对象的第一存储地址。

3.如权利要求1所述的一种适用于在线身份认证的流控机制，其特征在于，在所述第二方式托管中还包括：在首次成功验证该客户端浏览器的身份凭证后，使所述认证Session对象处于写锁定状态。

4.如权利要求1所述的一种适用于在线身份认证的流控机制，其特征在于，在所述第二方式托管中还包括：在所述主Session对象被销毁时或在该客户端浏览器退出登录时，销毁所述认证Session对象，并在所述读写白名单表中清除所述认证SessionID和所述认证Session对象的第二存储地址。

5.如权利要求1所述的一种适用于在线身份认证的流控机制，其特征在于，在所述第三方式托管中的验签步骤包括如下：一方面应用摘要算法获取所述Cookies对象中Cookies内容的第二摘要，另一方面根据所述Cookies对象中Cookies内容从所述临时对应关系中查找到对应的所述验签公钥，然后使用所述验签公钥对所述Cookies对象中摘要密文进行解密，得到解密摘要，最后对比两份摘要是否相同，若相同，则验签通过，否则验签不通过。