[发明专利]一种防止非法访问服务器的方法及系统

说明书

本发明公开了一种防止非法访问服务器的方法及系统，其中防止方法包括：A1.服务器生成提示码、会话标识；A2.将提示码、会话标识加密后得到加密信息；A3.将提示码和加密信息发送至客户端；A4.客户端接收信息；A5.客户端选取一个加密密钥对加密信息进行解密；A6.判断解密信息中的提示码是否和直接接收的提示码一致，若是则获取相应会话标识并跳转至A；若否则重复A5～A6；A.客户端生成原始资源URL；B.将会话标识、原始资源URL合为新URL；C.基于新URL发送访问请求；D.判断新URL中是否带有会话标识，若否则拒绝访问；若是则执行E.判断新URL中的会话标识与预先生成的会话标识是否一致，若否则拒绝访问。本发明能够识别访问请求是否合法，防止非法访问服务器的行为发生。

技术领域

本发明属于通讯领域，特别涉及一种防止非法访问服务器的方法及系统。

背景技术

目前，客户端和服务器的交互接口大部分是通过http的方式实现，其中，服务器提供对外的访问接口，这些接口提供的是标准的http服务。

在现有技术中，客户端与服务器交互的过程如下：

首先，客户端生成待请求的资源URL(Uniform Resource Locator,统一资源定位符)，向服务器发送http请求。

然后，服务器接收到请求，向客户端返回访问结果。

最后，客户端解析服务器返回的访问结果，并处理对应的业务逻辑。

在上述交互过程中，若存在恶意客户端修改URL或其中的参数，发起恶意请求，或者恶意客户端模拟正常用户发起请求，则存在信息泄漏的风险。此外，若恶意客户端不断发起请求，则服务器由于资源不够而会拒绝正常的客户端请求，导致客户端无法获得需要的数据，从而服务器无法服务正常用户。

为解决上述问题，现有的做法一般是对发起请求的客户端的IP、UserAgent进行限制处理，比如限制单个IP在固定时间段能发起的请求数，或者通过分析IP的行为，对可疑IP放入黑名单，不允许黑名单中的IP发出请求。但是，这种方法无法防止IP分散、请求不固定的刷后端接口访问服务器的行为发生。

发明内容

本发明的目的在于，针对上述现有技术的不足，提供一种防止非法访问服务器的方法及系统，能够识别访问请求是否合法，防止非法访问服务器的行为发生，从而避免信息泄漏和服务器无法服务正常用户；该方法适用范围广，对于IP分散、请求不固定的刷后端接口行为尤为适用。

为解决上述技术问题，本发明所采用的技术方案是：

一种防止非法访问服务器的方法，包括步骤A.客户端生成待请求的原始资源URL；其特点是，

在步骤A之前还包括：

步骤A1.服务器生成提示码、会话标识和加密密钥集合；

步骤A2.服务器将提示码、会话标识组合形成的信息经过加密密钥加密后得到加密信息，其中加密密钥为加密密钥集合中的任意一个数；

步骤A3.服务器将加密密钥集合、提示码和加密信息发送至客户端；

步骤A4.客户端接收加密密钥集合、提示码和加密信息；

步骤A5.客户端在加密密钥集合中选取一个加密密钥对加密信息进行解密，得到解密信息；

步骤A6.判断解密信息中包含的提示码是否和客户端直接从服务器接收的提示码一致，若是，则客户端获取相应解密信息中的会话标识并跳转至步骤A；若否，则重复步骤A5～A6；

在步骤A之后还包括：

步骤B.客户端将步骤A6中获取的会话标识、步骤A中生成的原始资源URL合并为新URL；