[发明专利]身份验证方法和装置

说明书

本发明公开了一种身份验证方法和装置，属于互联网技术领域。方法包括：接收第一终端发送的第一验证请求，所述第一验证请求携带用户的用户信息和所述用户请求的目标验证方式，所述用户信息至少包括用户标识；根据所述用户信息，确定所述用户是否为恶意用户；如果所述用户为恶意用户，基于第一附加验证方式对所述用户进行附加验证，所述第一附加验证方式和所述目标验证方式不同；在基于所述第一附加验证方式对所述用户附加验证通过时，基于所述目标验证方式和所述用户标识，对所述用户进行身份验证。本发明由于增加了第一附加验证方式，因此，增加了恶意用户的验证成本，减少了对服务器的攻击。

技术领域

本发明涉及互联网技术领域，特别涉及一种身份验证方法和装置。

背景技术

随着互联网技术的发展，终端上安装的应用程序越来越多；并且，大部分应用程序都需要用户事先在服务器中注册用户账户，并设置登录密码。在用户使用应用程序时，终端基于该用户账户和登录密码登录服务器。然而用户可能会忘记登录密码，此时服务器需要对用户进行身份验证；并在验证通过时，允许终端登录服务器或者修改登录密码。

目前，用户在服务器中注册用户账户时，可以在服务器中预留手机号码。当终端申请服务器对用户进行身份验证时，服务器向该预留手机号码对应的手机发送第一验证码；如果服务器发送第一验证码之后的预设时长内接收到终端返回的第二验证码，且第一验证码和第二验证码相同，服务器确定对用户的身份验证通过；否则，服务器确定对用户的身份验证不通过。如果验证不通过，终端可以重新申请服务器基于以上步骤对用户身份进行验证，直到验证通过或者终端停止申请验证。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

如果恶意用户在注册用户账户时，随意填写电话号码；然而在服务器对用户进行身份验证时，恶意用户用自动化程序不断申请验证并重试验证码，从而对服务器造成了攻击。

发明内容

为了解决现有技术的问题，本发明提供了一种身份验证方法和装置。技术方案如下：

本发明提供了一种身份验证方法，所述方法包括：

接收第一终端发送的第一验证请求，所述第一验证请求携带用户的用户信息和所述用户请求的目标验证方式，所述用户信息至少包括用户标识；

根据所述用户信息，确定所述用户是否为恶意用户；

如果所述用户为恶意用户，基于第一附加验证方式对所述用户进行附加验证，所述第一附加验证方式和所述目标验证方式不同；

在基于所述第一附加验证方式对所述用户附加验证通过时，基于所述目标验证方式和所述用户标识，对所述用户进行身份验证。

在一个可能的实现方式中，所述根据所述用户信息，确定所述用户是否为恶意用户，包括：

根据所述用户标识，统计第一次数，所述第一次数为在当前时间之前的第一预设时长内接收到携带所述用户标识的验证请求的次数；如果所述第一次数大于第一预设次数，确定所述用户为恶意用户；和/或，

当所述用户信息还包括所述第一终端的第一终端标识，确定恶意终端标识库中是否存在所述第一终端标识；如果所述恶意终端标识库中存在所述第一终端标识，确定所述用户为恶意用户，所述恶意终端标识库中存储恶意用户使用的终端的终端标识；和/或，

当所述用户信息还包括所述第一终端的第一终端标识，根据所述第一终端标识，统计第二次数，所述第二次数为在当前时间之前的第二预设时长内接收到所述第一终端发送的验证请求的次数；如果所述第二次数大于第二预设次数，确定所述用户为恶意用户；和/或，