本申請實施例公開了一種基于令牌的鑒權方法及裝置，其中方法包括：服務器接收第一客戶端發送的業務請求，該業務請求中包括該第一客戶端的第一標識和第一令牌，該第一令牌中包括第一令牌標識和第一版本數據，當檢測到令牌存儲空間中存在與該第一令牌標識相同的第二令牌標識時，獲取該第二令牌標識所標識的第二令牌中包括的第二版本數據和第二客戶端的第二標識，該令牌存儲空間用于存儲該服務器授權使用的令牌，當該第一版本數據與該第二版本數據相同且該第一標識與該第二標識相同時，向該第一客戶端返回該業務請求所請求的業務數據。采用本申請實施例，可以令牌(如JWT)鑒權的安全性。

技術領域

本申請涉及計算機技術領域，尤其涉及一種基于令牌的鑒權方法及裝置。

背景技術

隨著計算機技術的發展，萬維網(web)應用中基于令牌(token)的身份驗證越來越多。JSON Web Token(簡稱JWT)是目前最常用的跨域身份驗證解決方案。跨域是指一個統一資源定位符(Uniform Resource Locator，URL)請求的協議、域名、端口三者之間任意一個與當前頁面的URL不同，即JWT同時支持超文本標記語言(Hyper Text Markup Language，HTML)和原生語言所寫的web應用的身份驗證。JWT是一個開放的標準(RFC 7519)，由于JWT的信息是被數字簽名過的，所以JWT可以在服務器和客戶端之間安全地傳送消息。

然而，在服務器端，JWT簽發后，在JWT的有效期內，JWT會一直有效。又因為JWT存儲在客戶端上，一旦客戶端上的JWT被不法分子盜用，不法分子就可以輕易獲取到用戶的信息或財產，引發嚴重的安全問題。

發明內容

本申請實施例提供一種基于令牌的鑒權方法及裝置，可以提高令牌(如JWT)鑒權的安全性。

第一方面，本申請實施例提供了一種基于令牌的鑒權方法，該方法包括：

服務器接收第一客戶端發送的業務請求，該業務請求中包括該第一客戶端的第一標識和第一令牌，該第一令牌中包括第一令牌標識和第一版本數據；若檢測到令牌存儲空間中存在與該第一令牌標識相同的第二令牌標識，則服務器獲取該第二令牌標識所標識的第二令牌中包括的第二版本數據和第二客戶端的第二標識，該令牌存儲空間用于存儲服務器授權使用的令牌；若該第一版本數據與該第二版本數據相同且該第一標識與該第二標識相同，則服務器向該第一客戶端返回該業務請求所請求的業務數據。

結合第一方面，在一種可能的實施方式中，服務器接收第一客戶端發送的業務請求之前，該方法還包括：

服務器根據第二客戶端發送的登錄請求生成第二令牌，并將該第二令牌存儲在令牌存儲空間中，該第二令牌中包括第二令牌標識、該第二客戶端的第二標識以及第二版本數據；服務器向該第二客戶端發放該第二令牌，以使該第二客戶端基于該第二令牌在該服務器上進行鑒權。

結合第一方面，在一種可能的實施方式中，上述第二令牌中還包括令牌有效期。服務器向該第二客戶端發放該第二令牌之后，該方法還包括：若基于該令牌有效期檢測到該第二令牌失效，則服務器從該令牌存儲空間中刪除該第二令牌；服務器向該第一客戶端返回該業務請求所請求的業務數據之后，該方法還包括：服務器對該第二令牌中包括的令牌有效期進行延長。

結合第一方面，在一種可能的實施方式中，該方法還包括：服務器分別計算該第一版本數據的哈希值和該第二版本數據的哈希值，并比較該第一版本數據的哈希值與該第二版本數據的哈希值是否相等；當該第一版本數據的哈希值與該第二版本數據的哈希值相等時，服務器確定該第一版本數據與該第二版本數據相同；當該第一版本數據的哈希值與該第二版本數據的哈希值不相等時，服務器確定該第一版本數據與該第二版本數據不相同。

結合第一方面，在一種可能的實施方式中，該方法還包括：若檢測到該令牌存儲空間中不存在與該第一令牌標識相同的第二令牌標識，則服務器針對該業務請求返回請求失敗響應，該請求失敗響應用于拒絕該業務請求。