[发明专利]一种提升会话机制安全性的方法、终端设备和存储介质

说明书

本申请公开了一种提升会话机制安全性的方法、终端设备和存储介质，其中，该方法包括：为登录客户端的用户生成token，并将token返回给客户端；基于token中的用户信息生成会话信息存储在数据库中；为存储在数据库中的会话信息加载第一时限并计时；响应于对会话信息的第一期限计时超时的事件，删除数据库中存储的该会话信息；响应于来自客户端的包含有token的业务请求，对数据库中与token中的用户信息相匹配的会话信息的第一时限执行计时刷新。本申请实施例通过将会话信息的到期时限存储在数据库中，并对到期时限进行更新，使用户可以及时获取目标资源，提升了用户体验。

技术领域

本申请涉及移动通信领域，尤其涉及一种提升会话机制安全性的方法、终端设备和存储介质。

背景技术

JSON Web Tokens(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519)，该token因为其紧凑且安全的特点，特别适用于分布式站点的单点登陆(Single Sign On,SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，可以直接用于认证，也可被加密。

JWT通常被用于鉴权，当用户登录后，每个后续请求都将包含JWT，以允许用户访问该令牌允许的路由，服务和资源。因为JWT的开销很小，并且能够轻松地跨不同域使用，使JWT可以广泛应用于这种单点登录中。另外，JWT是在各方之间进行安全传输信息的优选方式之一，因此JWT也被广泛应用于信息交换。

在现有的JWT会话机制中，用户在进行正常登录后，如果token的过期时间到了，用户必须重新登录，影响了用户的使用体验。

发明内容

本申请实施例提供了一种提升会话机制安全性的方法、终端设备和存储介质，该方法通过将会话信息的到期时限存储在数据库中，使服务器端可以自动刷新到期时限，提升了用户的使用体验。该方法包括：

为登录客户端的用户生成token，并将token返回给客户端；

基于token中的用户信息生成会话信息存储在数据库中；

为存储在数据库中的会话信息加载第一时限并计时；

响应于对会话信息的第一期限计时超时的事件，删除数据库中存储的该会话信息；

响应于来自客户端的包含有token的业务请求，对数据库中与token中的用户信息相匹配的会话信息的第一时限执行计时刷新。

可选地，在接收到用户发送的包含有所述token的业务请求之后，对所述token进行验证。

可选地，当对所述token进行验证的验证结果为未通过时，向所述客户端返回表示拒绝访问的提示信息。

可选地，当对所述token进行验证的验证结果为通过时，将所述token中的所述用户信息与所述数据库中对应的所述会话信息进行匹配，其中，所述用户信息包括用户名、登录时间和用户ID，所述会话信息包括用户名、登录时间、客户端IP地址和用户ID；

当所述token中的所述用户信息与对应的所述会话信息全部匹配成功，以及用户发送的客户端IP地址与所述会话信息中的客户端IP地址一致时，向所述客户端返回与所述业务请求对应的目标资源。

可选地，当所述token中的所述用户信息与所述数据库中对应的所述会话信息匹配失败时，向所述客户端返回表示拒绝访问的提示信息。

可选地，当用户在客户端退出登录时，删除数据库中与对应的用户信息相匹配的所述会话信息。

在本发明的另一个实施例中，提供了一种终端设备，包括处理器，所述处理器用于：