[发明专利]一种实现Web前端安全登陆和访问的方法

说明书

技术领域

本发明涉及网络安全访问控制技术，具体涉及一种实现web前端安全登陆和访问的方法。

背景技术

随着互联网技术的发展，网络信息的安全已被广泛的关注，WEB安全的重点正从服务器端转移到WEB前端。伴随着HTML 5新技术的兴起，WEB前端的安全问题更为突出。例如HTML5中的新标签属性、webworkers、web storage、postmessage、css3等技术提高了web前端页面性能的同时也带来了安全隐患。对于防御网站攻击行为的有效措施，一是减少前端页面自身漏洞，尤其是HTML5页面新增的部分功能，减少被攻击的可能性，其二就是在这基础上，对所操作系统的用户信息进行处理，保护敏感信息。由于所有的网络攻击其目的就在于窃取用户信息，诱导用户进行危险的操作。因此，保证用户信息的安全，以及拦截危险的操作是保证系统安全的关键。

为保证系统的安全访问，需要输入用户名和密码进行登陆控制，为方便用户管理，往往通过特别控制用户权限，使不同的角色访问特定的功能页面及操作。在经过服务端对传输的用户名及密码等信息验证后，服务器将成功授权信息反馈给通过验证的用户，从而实现成功登陆安全访问。然而，传统技术中仅仅对用户名和密码进行加密传输，经过验证后实现成功登陆的方式仍然存在较大的风险：一旦用户名和密码被破译，发送所破译的用户名和密码到服务端同样可能通过认证从而登陆成功。

发明内容

本发明所要解决的技术问题是：提供一种实现web前端安全登陆和访问的方法，提高web前端登陆和访问的安全性。

本发明解决其技术问题所采用的技术方案是：

一种实现web前端安全登陆和访问的方法，包括：

a.定义$http请求服务，包括http请求规则的定义；

b.web前端获取用户输入的登陆信息以及从服务器获取的随机码一并进行封装；

c.web前端对封装后的数据采用RSA公钥进行统一加密；

d.web前端对加密后的数据运用定义的http规则发送给服务器；

e.服务器对请求规则进行验证，验证通过后利用RSA私钥解密数据获得用户登陆信息及随机码；

f.服务器对用户登陆信息进行验证匹配，对随机码进行验证匹配，均通过后对用户登陆授权；

g.web前端在登陆后的访问操作中，通过判别请求与获取响应的时间差是否在允许范围内来保证访问安全性。

作为进一步优化，步骤a中，所述请求规则的定义包括：

a1、运用angularjs内置的请求服务拦截器，重新定义四个请求函数；

a2、获取请求发送的时间以及接收请求的时间，计算时间差；

a3、验证所获得的时间差是否在预定范围之内；

a4、若在规定范围内通过请求成功函数返回成功信息，否则错误请求函数将返回超时错误。

作为进一步优化，所述四个请求函数包括：用户请求函数、用户请求错误函数、用户响应函数及用户响应错误函数。

作为进一步优化，步骤b中，所述登陆信息包括用户名和密码，在输入用户名后从服务器获取随机码信息。

本发明的有益效果是：

本发明将用户信息封装到一起，生成一个信息的集合，对此信息集统一加密，增加破解难度，另外还封装一组随机数解密后将于服务端数据匹配提供信息验证的双重保证；

此外，在服务端进行信息解密验证之前，还先对请求规则进行验证，即使单一的用户信息泄露，因无法同时得到请求规则，从而验证不会通过，以此保证系统安全。

附图说明

图1为本发明的实施例中实现web前端安全登陆和访问的方法流程图。

具体实施方式

本发明旨在提供一种实现web前端安全登陆和访问的方法，提高web前端登陆和访问的安全性。在具体实施上，为提高登陆和访问安全性，本发明中的方案包括以下处理手段：

1.用户信息加密：

为了避免用户信息在传输过程中失窃，对系统信息入口处所获取的用户名密码等信息进行加密处理，由于在一般情况下，登录系统会显示当前用户信息，包括用户名或账号，此时如果对用户信息分别加密，一旦用户信息被截获相当于得到用户名和加密后的用户密码，发送所破获的用户名和加密密码到服务端同样可能通过认证从而登陆成功，因此，本发明将用户信息封装到一起，生成一个信息的集合，对此信息集统一加密，增加破解难度，另外还封装一组随机数解密后将于服务端数据匹配提供信息验证的双重保证。

2.请求方式封装：