本發明實施例適用于信息技術領域，提供了一種登錄令牌的生成及驗證方法、裝置和服務器，所述登錄令牌的生成方法包括：接收用戶通過瀏覽器提交的登錄請求，對登錄請求中包含的用戶ID和密碼進行驗證；在驗證成功后，獲取瀏覽器信息以及用戶信息；按照預先定義的拼接方式和拼接順序，將用戶ID、用戶信息、瀏覽器信息拼接成密鑰明文；基于用戶ID和預設的令牌過期時間生成原始數據明文，采用預設的第一加密算法對原始數據明文進行加密，得到原始數據；采用預設的第二加密算法對預先生成的標頭、原始數據和密鑰明文進行加密，得到動態密鑰；將標頭、原始數據和動態密鑰組合成登錄令牌，提高了登錄令牌及系統的安全性。

技術領域

本發明屬于信息技術領域，特別是涉及一種登錄令牌的生成方法、一種登錄令牌的驗證方法、一種登錄令牌的生成裝置、一種登錄令牌的驗證裝置、一種服務器及一種計算機可讀存儲介質。

背景技術

登錄令牌(token)是服務端生成的一串字符串，作為客戶端進行請求的一個標識。在用戶第一次登錄時，服務端會生成一個令牌并將此令牌返回給客戶端。此后，在由客戶端發起某個請求時，只需在請求中攜帶上該令牌即可，無需再次輸入用戶名和密碼。

現有技術中，服務端通常是根據用戶登錄時使用的用戶名和密碼來生成登錄令牌。這種生成方式過于簡單，只需要驗證用戶名和密碼即可，生成的令牌極其容易被盜取。另一方面，當用戶再次發起針對服務端的請求時，由于令牌在生成后的一段時間內不會發生變化，即使在用戶再次發起請求時他的用戶信息和權限已經發生了變更，仍然可以繼續使用原令牌進行操作，安全性較低。

發明內容

有鑒于此，本發明實施例提供了一種登錄令牌的生成及驗證方法、裝置和服務器，以解決現有技術中登錄令牌的生成方式過于簡單，極其容易被盜取，安全性較低的問題。

本發明實施例的第一方面提供了一種登錄令牌的生成方法，包括：

接收用戶通過瀏覽器提交的登錄請求，對所述登錄請求中包含的用戶ID和密碼進行驗證；

在驗證所述用戶ID和密碼成功后，獲取所述瀏覽器的瀏覽器信息以及所述用戶的用戶信息；

按照預先定義的拼接方式和拼接順序，將所述用戶ID、所述用戶信息、所述瀏覽器信息拼接成密鑰明文；

基于所述用戶ID和預設的令牌過期時間生成原始數據明文，采用預設的第一加密算法對所述原始數據明文進行加密，得到原始數據；

采用預設的第二加密算法對預先生成的標頭、所述原始數據和所述密鑰明文進行加密，得到動態密鑰，所述標頭通過采用所述第一加密算法對預置的標頭明文進行加密得到；

將所述標頭、所述原始數據和所述動態密鑰組合成登錄令牌。

本發明實施例的第二方面提供了一種登錄令牌的驗證方法，包括：

接收用戶通過瀏覽器提交的操作請求，所述操作請求中包含上一次簽發的登錄令牌；

從所述登錄令牌中提取所述用戶的用戶ID；

獲取與所述用戶ID相對應的所述用戶的用戶信息以及所述瀏覽器的瀏覽器信息；

按照預先定義的拼接方式和拼接順序，將所述用戶ID、所述用戶信息、所述瀏覽器信息拼接成驗證令牌的密鑰明文；

基于所述用戶ID和預設的令牌過期時間生成驗證令牌的原始數據明文，采用預設的第一加密算法對所述驗證令牌的原始數據明文進行加密，得到驗證令牌的原始數據；

采用預設的第二加密算法對預先生成的驗證令牌的標頭、所述驗證令牌的原始數據和所述驗證令牌的密鑰明文進行加密，得到驗證令牌的動態密鑰，所述驗證令牌的標頭通過采用所述第一加密算法對預置的驗證令牌的標頭明文進行加密得到；