本申請?zhí)峁┮环N基于反向代理的認證保護方法及系統(tǒng)，其中，所述方法包括：接收用戶發(fā)來的頁面訪問請求，所述頁面訪問請求中攜帶所述用戶的認證令牌；當所述認證令牌合法時，將所述頁面訪問請求轉發(fā)至所述頁面訪問請求指向的后臺服務器；其中，所述后臺服務器針對所述頁面訪問請求，獲取與所述頁面訪問請求對應的頁面資源；將所述頁面資源轉發(fā)給所述用戶。本申請?zhí)峁┑幕诜聪虼淼恼J證保護方法及系統(tǒng)，能夠避免對目標系統(tǒng)進行修改和二次開發(fā)，從而提高認證保護的強度。

技術領域

本申請涉及互聯(lián)網(wǎng)技術領域，特別涉及一種基于反向代理的認證保護方法及系統(tǒng)。

背景技術

在防止系統(tǒng)被非授權登錄過程中，通常在賬號密碼之外要求用戶額外輸入一個驗證碼以進行保護。

目前，現(xiàn)有技術中對驗證碼輸入或驗證過程會在用戶賬號、密碼校驗同時或之后進行，即需要對保護目標系統(tǒng)進行修改或二次開發(fā)。

現(xiàn)有技術雖然使用了多因子認證，但其需要對目標系統(tǒng)的修改或二次開發(fā)會造成認證系統(tǒng)的部署、使用成本增高；一方面，部分無法進行修改或二次開發(fā)的系統(tǒng)，將不能進行自主的保護，只能任其暴露，很容易造成安全風險；另一方面，攻擊者可以在沒有通過認證時，仍然擁有有限的權限接觸目標系統(tǒng)，執(zhí)行包括登錄或找回密碼在內的一些系統(tǒng)指令，若此時系統(tǒng)存在安全漏洞，則將導致攻擊者可以完成入侵行為。

應該注意，上面對技術背景的介紹只是為了方便對本申請的技術方案進行清楚、完整的說明，并方便本領域技術人員的理解而闡述的。不能僅僅因為這些方案在本申請的背景技術部分進行了闡述而認為上述技術方案為本領域技術人員所公知。

發(fā)明內容

本申請實施方式的目的在于提供一種基于反向代理的認證保護方法及系統(tǒng)，能夠避免對目標系統(tǒng)進行修改和二次開發(fā)，從而提高認證保護的強度。

為實現(xiàn)上述目的，本申請一方面提供一種基于反向代理的認證保護方法，所述方法包括：接收用戶發(fā)來的頁面訪問請求，所述頁面訪問請求中攜帶所述用戶的認證令牌；當所述認證令牌合法時，將所述頁面訪問請求轉發(fā)至所述頁面訪問請求指向的后臺服務器；其中，所述后臺服務器針對所述頁面訪問請求，獲取與所述頁面訪問請求對應的頁面資源；將所述頁面資源轉發(fā)給所述用戶。

進一步地，所述方法還包括：當所述認證令牌不合法時，拒絕所述用戶發(fā)來的頁面訪問請求。

進一步地，所述認證令牌不合法包括以下至少一種：認證令牌處于有效期外；認證令牌不允許訪問所述后臺服務器；認證令牌出現(xiàn)登陸地區(qū)跳躍；認證令牌出現(xiàn)登陸設備跳躍。

進一步地，所述認證令牌按照下述方式生成：接收用戶提交的針對預設頁面的認證請求，并驗證所述認證請求是否合法；當所述認證請求合法時，向所述用戶頒發(fā)用于訪問所述預設頁面的認證令牌。

進一步地，所述方法還包括：響應于所述認證請求，向用戶發(fā)送身份驗證請求；接收用戶發(fā)來的針對所述身份驗證請求的驗證信息，并判斷所述驗證信息是否正確；若正確，驗證所述認證請求是否合法。

進一步地，在向所述用戶頒發(fā)用于訪問所述預設頁面的認證令牌之后，所述方法還包括：將所述用戶的用戶信息以及頒發(fā)給所述用戶的認證令牌寫入數(shù)據(jù)庫單元中。

進一步地，驗證所述認證請求是否合法的步驟包括：驗證所述認證請求中攜帶的臨時口令或者一次性口令是否正確；驗證所述認證請求中攜帶的臨時口令或者一次性口令是否處于有效期內；驗證所述認證請求中攜帶的臨時口令或者一次性口令是否與當前用戶相對應；若上述驗證結果均為是，判定所述認證請求合法。

進一步地，所述方法還包括：無論所述認證令牌合法或者不合法，均將所述用戶發(fā)來的頁面訪問請求記錄至系統(tǒng)日志中。