[发明专利]一种基于JWT协议的信息传递安全方法

说明书

本发明涉及一种基于JWT协议的信息传递安全方法，所述基于JWT协议的信息传递安全方法中在Payload部分增加state字段，state属性由服务端生成随机唯一的数，并在redis中以state其值为key，申请方ID为value进行保存；客户端携带JWT令牌由协议中的原样发出，优化为增加客户端动态一次性口令，以校验客户端身份。本发明校验客户端凭证，使得JWT令牌被盗取后也不可冒用，增强安全防护；本发明可以解决原JWT协议中令牌只能自动过期无法主动销毁的问题，加大企业内部安全内控能力。

技术领域

本发明涉及一种信息传递安全方法，更具体地说，涉及一种基于JWT协议的信息传递安全方法。

背景技术

身份认证场景下，一旦用户完成了登陆，在接下来的每个请求中需要包含可信TOKEN，可以用来验证用户身份以及对路由，服务和资源的访问权限进行验证。JWT由于它的开销非常小，可以轻松的在不同域名的系统中传递，所有目前在单点登录(SSO)中比较广泛的使用了该技术。信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式，由于它的信息是经过签名的，可以确保发送者发送的信息是没有经过伪造的风险。JSON WEB Token(JWT)，是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成:头信息(header),消息体(payload)和签名(signature)。在LocalStorage中保存敏感信息并不安全，容易受到跨站脚本攻击，跨站脚本(Cross sitescript，简称xss)是一种“HTML注入”，由于攻击的脚本多数时候是跨域的，所以称之为“跨域脚本”，这些脚本代码可以盗取cookie或是Local Storage中的数据。所有的认证信息都在JWT中，由于在服务端没有状态，即使你知道了某个JWT被盗取了，也没有办法将其作废。在JWT过期之前，对此无能为力。

发明内容

本发明要解决的技术问题在于，针对现有技术中的缺陷，提供一种基于JWT协议的信息传递安全方法,解决在使用JWT过程中，暴露出的token被盗取滥用导致用户隐私泄露及系统安全受损等问题。

本发明解决其技术问题所采用的技术方案是：构造一种基于JWT协议的信息传递安全方法，即Payload内容扩展，存储令牌标识，以实现令牌注销的功能；客户端携带JWT令牌由协议中的原样发出，优化为增加客户端动态一次性口令，以校验客户端身份。

在本发明所述的基于JWT协议的信息传递安全方法中，所述基于JWT协议的信息传递安全方法中在Payload部分增加state字段，state属性由服务端生成随机唯一的数，并在redis中以state其值为key，申请方ID为value进行保存；客户端携带JWT令牌由协议中的原样发出，优化为增加客户端动态一次性口令，以校验客户端身份。

在本发明所述的基于JWT协议的信息传递安全方法中，所述基于JWT协议的信息传递安全方法步骤为:

S1首先由令牌申请方发起认证请求，请求时应包含申请方ID等信息；

S2服务端接受到请求后，判断用户是否已登录，未登录则需完成登录校验，最后服务端生成传统JWT的三段式票据信息,其中在Payload部分需增加state字段，state属性由服务端生成随机唯一的数，并在redis中以state其值为key，申请方ID为value进行保存；

S3令牌申请方获取到令牌后进行缓存，在需要请求服务端某些资源时，需要在原令牌基础上加上第四段信息，第四段信息内容应当以竹云OTP(一次性动态密码)算法用申请方独有seed生成。格式如下

base64(header).baes64(payroad).ServerSignature.ClientOtp；