[发明专利]基于RESTful的交互方法、服务器、客户端和装置

说明书

本公开提出一种基于RESTful的交互方法、服务器、客户端和装置，涉及计算机通信技术领域。本公开的一种基于RESTful的交互方法包括：服务器接收来自客户端的加密摘要信息，加密摘要信息为将时间戳信息与会话标识信息中的至少一种，以及用户登录信息加密后生成；将加密摘要信息作为JWT的签名，将JWT发送给客户端，以便客户端在对JWT令牌的签名验证通过的情况下，根据JWT令牌的签名与服务器交互。通过这样的方法，服务器能以具有实际意义的加密摘要信息作为JWT的签名，从而提高签名破译的难度，提高RESTful架构的安全性。

技术领域

本公开涉及计算机通信技术领域，特别是一种基于RESTful的交互方法、服务器、客户端和装置。

背景技术

随着传统的Web(World Wide Web，全球广域网)开发架构逐渐向Restful架构转变，传统的认证信息的方式也从传统的主流Session(会话)交互认证信息方式变为Restful架构的JWT(JSON Web Token，JavaScript对象简谱网页令牌)认证。

Restful架构不仅应用在现代Web开发方向，还应用在APP(Application，应用程序)开发方向，Restful前后端分离架构逐渐成为主流开发模式，JWT用来提高架构的安全性。

发明内容

发明人发现，采用JWT来提高架构安全性依然存在攻击成本低的安全性问题。

本公开的一个目的在于提高RESTful架构的安全性。

根据本公开的一个方面，提出一种基于RESTful的交互方法，包括：服务器接收来自客户端的加密摘要信息，加密摘要信息为将时间戳信息与会话标识信息中的至少一种，以及用户登录信息加密后生成；将加密摘要信息作为JWT的签名，将JWT发送给客户端，以便客户端在对JWT令牌的签名验证通过的情况下，根据JWT令牌的签名与服务器交互。

在一些实施例中，基于RESTful的交互方法还包括：服务器以预定频率接收来自客户端的加密摘要信息，其中，客户端以预定周期修改时间戳信息与会话标识信息中的至少一种，更新加密摘要信息。

在一些实施例中，基于RESTful的交互方法还包括：服务器在收到更新后的加密摘要信息后，更新JWT的签名。

在一些实施例中，基于RESTful的交互方法还包括：服务器验证加密摘要信息，确定客户端的用户权限；根据用户权限生成相匹配的JWT。

通过这样的方法，服务器能以具有实际意义的加密摘要信息作为JWT的签名，提高签名破译的难度，提高RESTful架构的安全性。

根据本公开的另一个方面，提出一种基于RESTful的交互方法，包括：客户端将时间戳信息与会话标识信息中的至少一种，以及用户登录信息加密后生成加密摘要信息，并发送给服务器；接收来自服务器的JWT，根据加密摘要信息验证JWT的签名；在验证通过的情况下，根据JWT令牌的签名与服务器交互。

在一些实施例中，基于RESTful的交互方法还包括：客户端以预定周期修改时间戳信息与会话标识信息中的至少一种，更新加密摘要信息，并发送给服务器，以便服务器更新JWT的签名。

在一些实施例中，基于RESTful的交互方法还包括：客户端在生成加密摘要信息后，使原加密摘要信息过期，采用更新后的加密摘要信息验证签名。

通过这样的方法，客户端能够向服务器提供具有实际意义的加密摘要信息，服务器与客户端能以该加密摘要信息作为JWT的签名，从而提高签名破译的难度，提高RESTful架构的安全性。