[发明专利]一种基于TOTP的Web应用的身份认证方法及系统

说明书

本发明涉及Web认证技术领域，提供了一种基于TOTP的Web应用的身份认证方法及系统，包括：Web应用从主应用后台管理中获取应用编号和密钥信息，基于密钥信息通过TOTP生成第一随机码，并将应用编号和第一随机码发送给主应用；主应用基于应用编号从主应用后台管理中获取密钥信息，将密钥信息通过TOTP生成第二随机码，将第二随机码和第一随机码进行比对，如果比对结果一致，则给Web应用发送令牌；Web应用拿到令牌后，与Web应用服务器进行网络通讯，以使Web应用服务器响应于Web应用的请求。不仅秘钥信息没有报漏在互联网的请求中，解决了中间人截取网络信息的安全问题，而且通过TOTP生成动态验证码做成请求的验证因子进行认证，防止了请求的伪造和暴力攻击问题。

技术领域

本发明属于Web认证技术领域，尤其涉及一种基于TOTP的Web应用的身份认证方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

如今Web开发因为开发效率高、能够热部署等特点，已经集成到各种原生应用中，在集成到原生应用的时候就会涉及登录认证信息同步的问题。在传统的集成方式中存在很多问题，如中间人截取认证信息，认证信息暴力破解等问题，认证请求伪造等问题。如何能够更安全的进行Web认证成为一个值得研究的话题。

在传统Web认证过程中，一般通过认证信息进行二次自动登录，这种方式在认证过程中容易将认证信息在网络中报漏，造成各种安全问题，所以在Web认证中验证信息的安全性成为Web认证过程中的重要课题。

发明内容

为了解决上述背景技术中存在的技术问题，本发明提供一种基于TOTP的Web应用的身份认证方法及系统，不仅秘钥信息没有报漏在互联网的请求中，解决了中间人截取网络信息的安全问题，而且通过TOTP生成动态验证码做成请求的验证因子进行认证，防止了请求的伪造和暴力攻击问题。

为了实现上述目的，本发明采用如下技术方案：

本发明的第一个方面提供一种基于TOTP的Web应用的身份认证方法，其包括：

Web应用从主应用后台管理中获取应用编号和密钥信息，基于密钥信息通过TOTP生成第一随机码，并将应用编号和第一随机码发送给主应用；

主应用基于应用编号从主应用后台管理中获取密钥信息，将密钥信息通过TOTP生成第二随机码，将第二随机码和第一随机码进行比对，如果比对结果一致，则给Web应用发送令牌；

Web应用拿到令牌后，与Web应用服务器进行网络通讯，以使Web应用服务器响应于Web应用的请求。

进一步地，所述主应用后台管理在接收到Web应用的注册请求后，生成应用编号和密钥信息。

进一步地，如果第二随机码和第一随机码的对比结果不一致，主应用返回错误信息。

进一步地，Web应用拿到令牌后，使用应用编号、第一随机码和令牌与Web应用服务器进行网络通讯。

进一步地，所述Web应用服务器根据密钥信息通过TOTP生成第三随机码，将第三随机码和第一随机码进行验证，验证通过后响应Web应用的请求。

本发明的第二个方面提供一种基于TOTP的Web应用的身份认证系统，其包括Web应用和主应用；

所述Web应用，用于从主应用后台管理中获取应用编号和密钥信息，基于密钥信息通过TOTP生成第一随机码，并将应用编号和第一随机码发送给主应用；

所述主应用，用于基于应用编号从主应用后台管理中获取密钥信息，将密钥信息通过TOTP生成第二随机码，将第二随机码和第一随机码进行比对，如果比对结果一致，则给Web应用发送令牌；