[发明专利]一种鉴权方法及系统

说明书

本发明提出一种鉴权方法及系统，所述方法在客户终端HTTP请求Header头信息中添加鉴权信息，最后进行鉴权操作。本发明具有如下有益效果：1、将鉴权信息加入HTTP请求Header头信息中，不会导致HTTP请求Header头信息中Url不一致；2、特殊的鉴权加密字符串生成算法能够有效的防止第三方的恶意模仿。

技术领域

本发明涉及通信技术领域，更具体地，涉及一种鉴权方法及系统。

背景技术

目前，互联网软件产品从产品受众主要划分为两大类，包括面向终端消费者的大众类互联网产品，例如新浪微博Web端、知乎Web端等。这类产品的特点在于使用该类产品的对象是人类，大部分提供的媒体内容为无结构化的文本(例如小说、博客)、图片、音视频等。另一类产品面向的受众是计算机，即服务主要形式为提供编程接口的API(ApplicationProgramming Interface，应用程序接口)，方便程序员利用该API进行二次开发。这类产品的特点在于服务的对象为计算机，提供的媒体内容大部分为结构化的文本，例如XML、JSON等。

鉴权(authentication)是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是，每个获得密码的用户都已经被授权。在建立用户时，就为此用户分配一个密码，用户的密码可以由管理员指定，也可以由用户自行申请。这种方式的弱点十分明显：一旦密码被偷或用户遗失密码，情况就会十分麻烦，需要管理员对用户密码进行重新修改，而修改密码之前还要人工验证用户的合法身份。为了克服这种鉴权方式的缺点，需要一个更加可靠的鉴权方式。目前的主流鉴权方式是利用认证授权来验证数字签名的正确与否。

针对API型产品，目前对于接入其的对应用户终端鉴权常见的做法是利用相应的鉴权加密算法，生成与用户终端请求信息相对应的鉴权加密字符串与用户终端发送的请求信息一同发送给需要访问的服务器，服务器利用PHP(ertext Preprocessor，“超文本预处理器”)是一种通用开源脚本语言，进行鉴权操作。

然而，不同的大型科技公司由于自身安全考虑，都会设计各自的鉴权加密算法；同时，利用PHP进行鉴权操作不能满足很多情形下对于鉴权效率的更高要求。

发明内容

本发明为克服上述问题或者至少部分地解决上述问题，提供一种鉴权方法及系统。

根据本发明的一个方面，提供一种鉴权方法，包括：

步骤1，在所述客户终端HTTP请求Header头信息中添加HTTP请求中API接口公钥、当前客户终端时刻和鉴权加密字符串；

步骤2，接收所述客户终端HTTP请求，确认所述Header头信息中API接口公钥正确，确认所述客户终端时刻与当前服务器时刻差值小于预设阈值；

步骤3，确认所述鉴权加密字符串正确。

根据本发明的另一个方面，提供一种鉴权系统，包括加密模块、第一确认模块和第二确认模块：

所述加密模块与所述第一确认模块相连，用于生成鉴权加密字符串；在所述客户终端HTTP请求Header头信息中添加API接口公钥、当前客户终端时刻和鉴权加密字符串；

所述第一确认模块分别与所述加密模块和第二确认模块相连，用于接收所述客户终端HTTP请求，确认所述API接口公钥正确；确认所述客户终端时刻与当前服务器时刻差值小于预设阈值；

所述第二确认模块与所述第一确认模块相连，用于确认所述鉴权加密字符串正确。

本申请提出一种鉴权方法及系统，所述方法在客户终端HTTP请求Header头信息中添加鉴权信息，Nginx。本发明具有如下有益效果：1、将鉴权信息加入HTTP请求Header头信息中，不会导致HTTP请求Header头信息中Url不一致；2、特殊的鉴权加密字符串生成算法能够有效的防止第三方的恶意模仿。