[发明专利]基于TOKEN令牌的身份校验方法及相关设备

说明书

本申请涉及信息安全领域，本申请公开了一种基于TOKEN令牌的身份校验方法及相关设备，所述方法包括：在客户端对用户的登录状态进行检测，获取所述用户的身份信息；在客户端生成一个随机数，并获取客户端的时戳，根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌，并根据所述当前的TOKEN令牌向服务端发送HTTP任务请求；当服务端收到所述HTTP任务请求后，对所述HTTP任务请求对应的用户身份进行校验，并根据校验结果向客户端发送反馈信息。本申请通过在客户端生成TOKEN令牌，发送给服务端，并在服务器端进行TOKEN的校验，可有效提高身份校验的安全性。

技术领域

本申请涉及信息安全领域，特别涉及一种基于TOKEN令牌的身份校验方法及相关设备。

背景技术

目前，大多数远程访问系统都是前后端分离，前后端分离的项目有个最难解决的问题就是怎么去做调用鉴权，即怎么才能知道这一次请求是合法的。现在一般的做法就是用户在前端登录成功之后，后端会给前端分配一个TOKEN令牌，所述TOKEN令牌用于对请求者的身份进行校验，其中TOKEN令牌一般会规定多长时间过期，过期之后所述TOKEN就会失效，但是在所述TOKEN失效之前容易被攻击者截获，然后伪造成用户去后端请求，由此造成伪造请求攻击，导致系统潜在的风险。

发明内容

本申请的目的在于针对现有技术的不足，提供一种基于TOKEN令牌的身份校验方法及相关设备，通过在客户端生成TOKEN令牌，发送给服务端，并在服务器端进行TOKEN的校验，可有效提高身份校验的安全性。

为达到上述目的，本申请的技术方案提供一种基于TOKEN令牌的身份校验方法及相关设备。

本申请公开了一种基于TOKEN令牌的身份校验方法，包括以下步骤：

在客户端对用户的登录状态进行检测，当检测到用户在客户端成功登录时，获取所述用户的身份信息；

当所述用户准备发起HTTP任务请求时，在客户端生成一个随机数，并获取客户端的时戳，根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌，并根据所述当前的TOKEN令牌向服务端发送HTTP任务请求；

当服务端收到所述HTTP任务请求后，对所述HTTP任务请求对应的用户身份进行校验，并根据校验结果向客户端发送反馈信息；

当客户端收到服务端的反馈信息后，根据所述反馈信息对本次HTTP任务请求对应的数据进行更新。

较佳地，所述当所述用户准备发起HTTP任务请求时，在客户端生成一个随机数，包括：

当所述用户准备发起HTTP任务请求时，在客户端生成一个与所述用户的身份信息相同位数的随机数；

则所述根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌，包括：

将所述用户的身份信息、随机数以及时戳拼接以任意顺序生成第一字符串，并在所述第一字符串的头部添加时戳位置标识，生成第二字符串；

将所述第二字符串通过HASH算法在客户端生成一个TOKEN令牌。

较佳地，所述当所述用户准备发起HTTP任务请求时，在客户端生成一个随机数，包括：

当所述用户准备发起HTTP任务请求时，在客户端生成一个任意位数的随机数；

则所述根据所述用户的身份信息、随机数以及时戳在客户端生成当前的TOKEN令牌，包括：

将所述用户的身份信息、随机数以及时戳拼接生成一个字符串，并将所述时戳放在所述字符串的头部或尾部；

将所述字符串通过HASH算法在客户端生成一个TOKEN令牌。