本發明提供一種用于分布式環境的簽名驗證方法、裝置、設備和存儲介質，令牌客戶端接收到頂級域名的訪問請求；向令牌服務端發送第一令牌和第二令牌，第一令牌和第二令牌均存儲在令牌客戶端的頂級域名的小型文本文件中，令牌服務端集成了軟件開發工具包，令牌服務端通過軟件開發工具包自動續期第二令牌；令牌服務端根據第一令牌和第二令牌進行簽名驗證，因此當我們訪問頂級域名的時候兩個令牌都會被發送到令牌服務端，所以實現了單點登錄，令牌服務端集成了軟件開發工具包即每一個令牌服務端端集成了軟件開發工具包，軟件開發工具包會在令牌服務端經過一系列邏輯后,自動續期第二令牌且前端無感，令牌服務端根據第一令牌和第二令牌進行簽名驗證。

技術領域

本發明實施例涉及安全技術領域，具體涉及一種用于分布式環境的簽名驗證方法、裝置、設備和存儲介質。

背景技術

現有技術中，單體服務端應用服務,會使用JSESSIONID做為超文本傳輸協議應用的令牌,在應用的內存當中保存會話的上下文信息，以此來保存用戶已經獲得認證的信息，每一個請求都會帶著這個令牌來訪問服務器。在分布式的環境中，需要將令牌對應的上下文信息中心化存儲或者將令牌發送到正確的服務器才根據令牌獲得用戶的認證上下文信息，而后者因為服務器有承受不了壓力、出現故障的可能性，為了保障服務的可用性，一般不會在分布式環境當中使用；前者又需要將令牌傳遞給中心化存儲服務器以獲得上下文信息，因而會多一次輸入輸出請求流程。隨著分布式系統的擴展，多后臺服務器，多域名成為常態。目前市面上最為成熟的應對多域名的單點登錄認證方案其中之一遍是耶魯大學開源的CAS項目。

發明人在實現本發明的過程中發現：CAS項目的流程一共有6個步驟，有重定向、有指定服務,臨時ticket傳遞、有后臺有狀態ticket的驗證，整個流程步驟比較多。倘若我們的應用是單頁的前后端分離應用，前端和后端僅通過請求跨域進行訪問，在重定向這一步會卡住，無法做到在前端無感知的情況下跨域名的單點登錄認證。

發明內容

為了解決現有技術存在的至少一個問題，本發明實施例提供了一種用于分布式環境的簽名驗證方法、裝置、電子設備和存儲介質。

第一方面，本發明實施例提供了一種用于分布式環境的簽名驗證方法，包括：

令牌客戶端接收到頂級域名的訪問請求；

令牌客戶端向令牌服務端發送第一令牌和第二令牌，第一令牌和第二令牌均存儲在令牌客戶端的頂級域名的小型文本文件中，令牌服務端集成了軟件開發工具包，令牌服務端通過軟件開發工具包自動續期第二令牌；

令牌服務端根據第一令牌和第二令牌進行簽名驗證。

在一些實施例中，上述方法還包括：

第一令牌使用簽名和驗證簽名的非對稱加密算法；

令牌服務端接收到第一令牌和第二令牌后，驗證簽名是否合法，若簽名合法，信任第一令牌所包含的信息；

令牌客戶端向中心服務器發送第一令牌和第二令牌后，中心服務器的第二令牌用于換取第一令牌、撤銷第二令牌或更新第二令牌，換取第一令牌、撤銷第二令牌或更新第二令牌后，將換取后的第一令牌和更新后的第二令牌存儲在令牌客戶端的頂級域名的小型文本文件中。

在一些實施例中，上述方法還包括：存儲換取后的第一令牌和更新后的第二令牌在小型文本文件中后，小型文本文件中的最大時齡屬性設置為負值。

在一些實施例中，上述方法還包括：中間人攻擊時，小型文本文件采用超文本傳輸安全協議加密，新的小型文本文件生成后，設置安全屬性為真；

跨站腳本攻擊時，新的小型文本文件生成后，設置僅超文本傳輸協議屬性為真；

跨站點請求偽造，訪問安全系數高的接口時，雙重提交小型文本文件。

在一些實施例中，上述方法中令牌服務端根據第一令牌和第二令牌進行簽名驗證時，