[发明专利]一种防止非法访问服务器的方法及系统

说明书

本发明公开了一种防止非法访问服务器的方法及系统，其中防止方法包括：客户端将用户标识和待请求的资源标识发送至服务器；服务器根据用户标识、待请求的资源标识、预设的会话密钥生成会话标识，并将会话标识发送至客户端；客户端生成待请求的原始资源URL，并将会话标识、原始资源URL合并为新URL，基于新URL向服务器发送访问请求；服务器判断新URL中是否带有会话标识，若否则拒绝此次访问；若是则判断新URL中的会话标识是否与生成的会话标识一致，若不一致则拒绝此次访问。本发明能够防止非法访问服务器的行为发生，从而避免信息泄漏和服务器无法服务正常用户；该方法适用范围广，对于IP分散、请求不固定的刷后端接口行为尤为适用。

技术领域

本发明属于通讯领域，特别涉及一种防止非法访问服务器的方法及系统。

背景技术

目前，客户端和服务器的交互接口大部分是通过http的方式实现，其中，服务器提供对外的访问接口，这些接口提供的是标准的http服务。

在现有技术中，客户端与服务器交互的过程如下：

首先，客户端生成待请求的资源URL(Uniform Resource Locator,统一资源定位符)，向服务器发送http请求。

然后，服务器接收到请求，向客户端返回访问结果。

最后，客户端解析服务器返回的访问结果，并处理对应的业务逻辑。

在上述交互过程中，若存在恶意客户端修改URL或其中的参数，发起恶意请求，或者恶意客户端模拟正常用户发起请求，则存在信息泄漏的风险。此外，若恶意客户端不断发起请求，则服务器由于资源不够而会拒绝正常的客户端请求，导致客户端无法获得需要的数据，从而服务器无法服务正常用户。

为解决上述问题，现有的做法一般是对发起请求的客户端的IP、UserAgent进行限制处理，比如限制单个IP在固定时间段能发起的请求数，或者通过分析IP的行为，对可疑IP放入黑名单，不允许黑名单中的IP发出请求。但是，这种方法无法防止IP分散、请求不固定的刷后端接口访问服务器的行为发生。

发明内容

本发明的目的在于，针对上述现有技术的不足，提供一种防止非法访问服务器的方法及系统，能够识别访问请求是否合法，防止非法访问服务器的行为发生，从而避免信息泄漏和服务器无法服务正常用户；该方法适用范围广，对于IP分散、请求不固定的刷后端接口行为尤为适用。

为解决上述技术问题，本发明所采用的技术方案是：

一种防止非法访问服务器的方法，包括步骤A.客户端生成待请求的原始资源URL；其特点是，

在步骤A之前还包括：

步骤A1.客户端将用户标识和待请求的资源标识发送至服务器；

步骤A2.服务器接收用户标识和待请求的资源标识；

步骤A3.服务器根据步骤A2中接收的用户标识、待请求的资源标识、服务器中预设的密钥生成会话标识；

步骤A4.服务器将会话标识发送至客户端；

步骤A5.客户端接收会话标识；

在步骤A之后还包括：

步骤B.客户端将步骤A5中获取的会话标识、步骤A中生成的原始资源URL合并为新URL；

步骤C.客户端基于新URL向服务器发送访问请求；

步骤D.服务器判断接收到的访问请求中的新URL中是否带有会话标识，若否，则判断此次访问请求为非法访问请求，服务器拒绝此次访问；若是，则执行步骤E；