[发明专利]基于访问的授权校验方法、信息的生成方法及装置、服务器

说明书

本文是关于鉴权操作技术，特别涉及一种基于访问的授权校验方法、信息的生成方法及装置、服务器。本文公开的一种基于访问的授权校验方法，包括：接收访问请求，从访问请求中提取用于授权校验的字符串；按照预设方式对字符串进行划分，得到多组字段，至少包括随机字段、创建时间、唯一标识和校验码，按照预设方式对得到的多组字段分别进行解析操作，得到各组字段对应的原始数据；根据所述原始数据校验所述访问请求的权限和合法性。本文中生成的字符串是不可读的，也就不存在暴露原始数据的规律，可以有效避免恶意用户暴力尝试和破解行为。

技术领域

本文涉及客户端鉴权操作技术，尤其涉及一种基于访问的授权校验方案及授权校验信息的生成方案。

背景技术

相关技术中，对于客户端鉴权的方式普通采用如下三种方式：

一、采用前端校验比较的方式确认当前操作是否是合法的或当前用户是否具备权限进行此操作。即，前端对操作用户权限、访问操作动作一一请求，获取数据，然后前端通过计算比较进行核对权限范围和合法性，进而确认当前操作是否可以进行。这种利用前端对请求数据进行比较核对的方式，存在恶意用户通过浏览器直接临时修改前端逻辑的问题，进而使前端所进行的权限核对及合法性判定变的没有任何意义，也就是说，可以使所有的请求通过临时修改逻辑以符合用户的操作权限范围并且是合法的行为。

二、采用双向加密解密方式，即是前端调用当前用户的权限信息时，采用后端进行加密后返回数据，前端获取到数据后，进行解密，然后仍然同上一中方式一样进行核对权限范围和合法性的比较确认。这种方式中，用户通过前端分析前端解密代码的业务逻辑，可以比较容易的反向推断出后端加密的方式，进而可以模拟伪造出对应加密信息，通过权限合法性的校验。

三、采用进行请求时，把当前操作用户的代表标志通过cookie方式传输到后端，然后由后端对下层存储设备或缓存设备进行计算和请求，然后由后端进行核对当前用户是否拥有此请求的权限和合法性，如果合法则请求成功并返回对应请求的结果信息。如果请求非法或者不在操作用户的范围之内，则返回错误提示，前端进行二次提示。可见，这种方式下的鉴权过程需要多次调用存储设备或第三方接口，如果调用频率高，则会对服务端的CPU和IO造成一定的压力。并且，采用请求携带cookie的方式可能存在一个严重的安全漏洞。即如果请求接口存在可以遍历的编号，比如获取指定用户的信息接口/api/user/123，那么恶意用户就可以脚本遍历所有的用户，比如通过脚本调用/api/user/124，/api/user/125，……进而暴力获取其他用户信息。

发明内容

为克服相关技术中存在的问题，本文提供一种基于访问的授权校验方法、信息的生成方法及装置、服务器。

根据本文的第一方面，提供一种基于访问的授权校验方法，包括：

接收访问请求，从所述访问请求中提取用于授权校验的字符串；

按照预设方式对所述字符串进行划分，得到多组字段，按照预设方式对得到的多组字段分别进行解析操作，得到各组字段对应的原始数据；

根据所述原始数据校验所述访问请求的权限和合法性；

其中，对所述字符串进行划分得到的多组字段至少包括：随机字段、创建时间、唯一标识和校验码。

可选地，上述方法中，所述按照预设方式对所述字符串进行划分，包括：

在所述字符串中查找预设的固定字符，将查找到的每个固定字符做为划分标识，将所述字符串划分为多组字段，其中，划分得到的每组字段中不包含所述固定字符。

可选地，上述方法中，从所述访问请求中提取字符串，包括：

从所述访问请求的设定位置中提取所述字符串，所述设定位置包括如下任一种或几种：