[发明专利]基于在线交互式WEB动态防御的随机令牌生成方法

权利要求书

1.基于在线交互式WEB动态防御的随机令牌生成方法，其特征在于，包括以下步骤：

步骤S1、客户端向动态安全防护系统发送接入请求；

步骤S2、动态安全防护系统验证接入请求中携带的随机令牌，如果随机令牌合法，则将接入请求转发给web服务器，转至步骤S3；如果随机令牌不合法，对接入请求进行拦截，并返回状态码给客户端；当接入请求中未携带随机令牌时，为客户端发放随机令牌；

步骤S3、服务器返回请求响应结果给动态安全防护系统；

步骤S4、动态安全防护系统更新随机令牌，并将携带更新后的随机令牌的请求响应结果发送给客户端；更新后的随机令牌单次有效，或者在设定的时间段内有效；

步骤S5、客户端根据请求响应结果中携带的更新后的随机令牌接入WEB。

2.根据权利要求1所述的基于在线交互式WEB动态防御的随机令牌生成方法，其特征在于，所述的接入请求包括Ajax请求、非Ajax的get请求或非Ajax的post请求。

3.根据权利要求1所述的基于在线交互式WEB动态防御的随机令牌生成方法，其特征在于，所述的随机令牌包括URL令牌或Cookie令牌。

4.根据权利要求1所述的基于在线交互式WEB动态防御的随机令牌生成方法，其特征在于，所述当接入请求中未携带随机令牌时，为客户端发放随机令牌的过程为：

步骤S201、客户端第一次访问web服务器时，动态安全防护系统先确定客户端的接入请求的类型；

步骤S202、动态安全防护系统确定接入请求中是否携带随机令牌，如果未携带随机令牌，转至步骤S203，否则对随机令牌的合法性进行验证；

步骤S203、动态安全防护系统根据接入请求的类型为客户端生成不同的随机令牌。

5.根据权利要求4所述的基于在线交互式WEB动态防御的随机令牌生成方法，其特征在于，所述步骤S203包括：

如果接入请求为Ajax请求，且请求访问的网站入口在白名单中，则将Ajax请求转发给Web服务器；Web服务器返回成功状态响应码；动态安全防护系统对网页进行动态封装、生成URL令牌，并将封装后的网页及URL令牌下发到客户端浏览器；

如果接入请求为非Ajax的get请求，且请求访问的网站入口在白名单中，则将非Ajax的get请求转发给web服务器；web服务器返回成功状态响应码；动态安全防护系统生成Cookie令牌，通过Set-Cookie的方式将Cookie令牌下发到客户端浏览器；

如果接入请求为非Ajax的post请求，且请求访问的网站入口在白名单中，动态安全防护系统生成Cookie令牌并下发到客户端。

6.根据权利要求1所述的基于在线交互式WEB动态防御的随机令牌生成方法，其特征在于，所述如果随机令牌不合法，对接入请求进行拦截，并返回状态码给客户端包括：

对接入请求进行Reload，返回412状态码或202状态码，并在Reload的代码中引用CoreJS，在Respose的代码中设置CookieS，客户端采用CookieS生成CookieT，CookieT来采集客户端的浏览器指纹、攻击检测数据、时间戳；

客户端重新发送给web服务器的请求中，将携带有CookieS和CookieT内容的令牌，动态安全防护系统通过对该令牌的数据解密，验证客户端数据采集是否存在异常，只有验证令牌合法的请求才允许转发给WEB服务器。

7.根据权利要求1所述的基于在线交互式WEB动态防御的随机令牌生成方法，其特征在于，所述更新后的随机令牌单次有效，或者在设定的时间段内有效包括：

针对客户端访问web服务器的Ajax请求生成的URL令牌，为一次性随机令牌，该令牌30分钟内有效，不允许重复使用；

针对客户端访问web服务器的非Ajax的get请求和非Ajax的post请求生成的Cookie令牌，非Ajax的get请求的Cookie令牌2分钟内可以重复使用；非Ajax的post请求的Cookie令牌不允许重复使用。