[发明专利]一种基于JWT协议的信息传递安全方法

权利要求书

1.一种基于JWT协议的信息传递安全方法，其特征在于，所述基于JWT协议的信息传递安全方法中在JWT令牌的Payload部分增加state字段，state字段的属性值为服务端生成的随机唯一的数，用以存储令牌标识，并在redis中以所述属性值为key，申请方ID为value进行保存；客户端携带JWT令牌以及客户端动态一次性口令，以校验客户端身份；

所述基于JWT协议的信息传递安全方法步骤为:

S1首先由令牌申请方发起认证请求，请求时应包含申请方ID；

S2服务端接受到请求后，判断用户是否已登录，未登录则需完成登录校验，最后服务端生成所述JWT令牌；

S3令牌申请方获取到令牌后进行缓存，在需要请求服务端某些资源时，在原令牌基础上加上客户端动态一次性口令，所述客户端动态一次性口令的内容以竹云OTP算法用申请方独有客户端动态令牌生成；

所述客户端动态一次性口令的内容格式如下：

base64(header).base64(payload).ServerSignature.ClientOtp；

其中，base64(header)表示根据base64算法加密所述JWT令牌的Header部分得到的加密结果字符串，base64(payload)表示根据base64算法加密所述JWT令牌的Payload部分得到的加密结果字符串，ServerSignature表示所述服务端对所述JWT令牌的Signature部分的哈希签名，ClientOtp表示所述竹云OTP算法生成的客户端动态令牌；

S4服务端收到请求后，首先检查令牌内容及签名信息是否正确，签名信息校验无误后取出Payload中的state属性值，从redis中取出对应申请方ID，如未取到说明该令牌已被强制销毁；如存在则根据申请方ID及所述申请方ID对应的客户端动态令牌校验服务端接收的令牌内容中客户端动态令牌是否正确,全部无误后返回对应资源。