[发明专利]身份验证方法和装置

说明书

本发明公开了一种身份验证方法和装置，涉及计算机技术领域。其中，该方法包括：在接收到用户终端的访问请求后，从所述访问请求中获取令牌和第一终端标识；对所述令牌的有效性进行校验，并且，在确认所述令牌有效以后，将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较；在所述第二终端标识与所述第一终端标识一致的情况下，确认所述用户终端通过身份验证。通过以上步骤，能够提高用户终端与服务端交互的安全性，在一定程度上避免由于Token被窃取利用所造成的用户信息泄露等安全性问题。

技术领域

本发明涉及计算机技术领域，尤其涉及一种身份验证方法和装置。

背景技术

在现有技术中，可通过Session(会话)方式保存用户登录状态。考虑到通过Session保存用户登录状态存在服务器压力大、CSRF跨站伪造请求攻击、扩展性不强，以及无法满足足分布式服务、多系统登录的状态的保持等缺陷，因此现在普遍开始采用Token(令牌)保存用户登录状态。

在现有基于Token的交互技术中，在对用户登录所用的账号、密码信息验证成功后由服务端生成一个Token，并将该Token发送至用户终端进行保存，用户终端与服务端在后续进行交互时以该Token为凭据。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：现有基于Token的交互技术在一定程度上保障了用户终端与服务端交互的安全性。但是由于Token容易被窃取利用，因此会造成用户信息泄露等安全性问题。比如，黑客通过截取数据流获取Token,并利用该Token与后端进行交互获取所需数据。

发明内容

有鉴于此，本发明提供一种身份验证方法和装置，能够提高用户终端与服务端交互的安全性，在一定程度上避免由于Token被窃取利用所造成的用户信息泄露等安全性问题。

为实现上述目的，根据本发明的一个方面，提供了一种身份验证方法。

本发明的身份验证方法包括：在接收到用户终端的访问请求后，从所述访问请求中获取令牌和第一终端标识；对所述令牌的有效性进行校验，并且，在确认所述令牌有效以后，将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较；在所述第二终端标识与所述第一终端标识一致的情况下，确认所述用户终端通过身份验证。

可选地，所述第一终端标识包括：终端的MAC地址。

可选地，所述对所述令牌的有效性进行校验的步骤包括：对预先存储的令牌签名与所述访问请求携带的令牌的签名是否一致进行校验；以及，对所述访问请求携带的令牌是否过期进行校验；在所述预先存储的令牌签名与所述访问请求携带的令牌的签名一致、且所述访问请求携带的令牌未过期的情况下，确认所述令牌有效。

可选地，所述方法还包括：在所述预先存储的令牌签名与所述访问请求携带的令牌的签名不一致，或者所述访问请求携带的令牌过期，或者所述第一终端标识与第二终端标识不一致的情况下，向所述用户终端返回用于指示所述用户终端跳转至登录页面的响应信息。

可选地，所述方法还包括：在接收到用户终端的登录请求后，判断所述登录请求携带的用户信息是否正确；在所述用户信息正确的情况下，生成令牌，然后，将所述令牌发送至所述用户终端，并对所述令牌的签名进行存储。

可选地，所述方法还包括：在确认所述用户终端通过身份验证以后，将所述访问请求所需的数据返回至所述用户终端。

为实现上述目的，根据本发明的另一方面，提供了一种身份验证装置。

本发明的身份验证装置包括：获取模块，用于在接收到用户终端的访问请求后，从所述访问请求中获取令牌和第一终端标识；验证模块，用于对所述令牌的有效性进行校验，并且，在确认所述令牌有效以后，将从所述令牌中解析出的第二终端标识与所述第一终端标识进行比较；所述验证模块，还用于在所述第二终端标识与所述第一终端标识一致的情况下，确认所述用户终端通过身份验证。