本發明公開了一種身份驗證方法和裝置，屬于互聯網技術領域。方法包括：接收第一終端發送的第一驗證請求，所述第一驗證請求攜帶用戶的用戶信息和所述用戶請求的目標驗證方式，所述用戶信息至少包括用戶標識；根據所述用戶信息，確定所述用戶是否為惡意用戶；如果所述用戶為惡意用戶，基于第一附加驗證方式對所述用戶進行附加驗證，所述第一附加驗證方式和所述目標驗證方式不同；在基于所述第一附加驗證方式對所述用戶附加驗證通過時，基于所述目標驗證方式和所述用戶標識，對所述用戶進行身份驗證。本發明由于增加了第一附加驗證方式，因此，增加了惡意用戶的驗證成本，減少了對服務器的攻擊。

技術領域

本發明涉及互聯網技術領域，特別涉及一種身份驗證方法和裝置。

背景技術

隨著互聯網技術的發展，終端上安裝的應用程序越來越多；并且，大部分應用程序都需要用戶事先在服務器中注冊用戶賬戶，并設置登錄密碼。在用戶使用應用程序時，終端基于該用戶賬戶和登錄密碼登錄服務器。然而用戶可能會忘記登錄密碼，此時服務器需要對用戶進行身份驗證；并在驗證通過時，允許終端登錄服務器或者修改登錄密碼。

目前，用戶在服務器中注冊用戶賬戶時，可以在服務器中預留手機號碼。當終端申請服務器對用戶進行身份驗證時，服務器向該預留手機號碼對應的手機發送第一驗證碼；如果服務器發送第一驗證碼之后的預設時長內接收到終端返回的第二驗證碼，且第一驗證碼和第二驗證碼相同，服務器確定對用戶的身份驗證通過；否則，服務器確定對用戶的身份驗證不通過。如果驗證不通過，終端可以重新申請服務器基于以上步驟對用戶身份進行驗證，直到驗證通過或者終端停止申請驗證。

在實現本發明的過程中，發明人發現現有技術至少存在以下問題：

如果惡意用戶在注冊用戶賬戶時，隨意填寫電話號碼；然而在服務器對用戶進行身份驗證時，惡意用戶用自動化程序不斷申請驗證并重試驗證碼，從而對服務器造成了攻擊。

發明內容

為了解決現有技術的問題，本發明提供了一種身份驗證方法和裝置。技術方案如下：

本發明提供了一種身份驗證方法，所述方法包括：

接收第一終端發送的第一驗證請求，所述第一驗證請求攜帶用戶的用戶信息和所述用戶請求的目標驗證方式，所述用戶信息至少包括用戶標識；

根據所述用戶信息，確定所述用戶是否為惡意用戶；

如果所述用戶為惡意用戶，基于第一附加驗證方式對所述用戶進行附加驗證，所述第一附加驗證方式和所述目標驗證方式不同；

在基于所述第一附加驗證方式對所述用戶附加驗證通過時，基于所述目標驗證方式和所述用戶標識，對所述用戶進行身份驗證。

在一個可能的實現方式中，所述根據所述用戶信息，確定所述用戶是否為惡意用戶，包括：

根據所述用戶標識，統計第一次數，所述第一次數為在當前時間之前的第一預設時長內接收到攜帶所述用戶標識的驗證請求的次數；如果所述第一次數大于第一預設次數，確定所述用戶為惡意用戶；和/或，

當所述用戶信息還包括所述第一終端的第一終端標識，確定惡意終端標識庫中是否存在所述第一終端標識；如果所述惡意終端標識庫中存在所述第一終端標識，確定所述用戶為惡意用戶，所述惡意終端標識庫中存儲惡意用戶使用的終端的終端標識；和/或，

當所述用戶信息還包括所述第一終端的第一終端標識，根據所述第一終端標識，統計第二次數，所述第二次數為在當前時間之前的第二預設時長內接收到所述第一終端發送的驗證請求的次數；如果所述第二次數大于第二預設次數，確定所述用戶為惡意用戶；和/或，