本發明涉及數據安全技術領域，提出一種網關JWT的生成方法、系統及存儲介質，通過利用ECDSA生產JWT，并使用AES加密，杜絕用戶隱私泄露的隱患；通過按照機構失效、按照用戶ID失效以及按照JWT ID失效等多種失效方式，解決JWT在有效期內不能失效的問題。本發明通過網關JWT的生成方法實現了網關管理安全性的提升。

技術領域

本發明涉及數據安全技術領域，尤其涉及一種網關JWT的生成方法、系統及存儲介質。

背景技術

JSON Web Token(JWT)是一個開放標準(RFC 7519)，它定義了一種緊湊的、自包含的方式，用于作為JSON對象在各方之間安全地傳輸信息，因為該信息是數字簽名，因此可以被驗證和信任。

目前JWT被廣泛的用于手機端APP個后端服務器的會話保持、信息交換等功能。JwtBearer認證是一種標準的，安全的，通用的，無狀態的，可擴展的用戶認證方式與語言無關的認證方式。

JWT存儲在客戶端，而服務端僅通過判斷JWT是否還在有效期來校驗JWT的有效性；現有的JWT存在的弊端如下：

1、因為base64編碼是可逆的，當base64編碼被截取后，可以通過解析該JWT并提取所在Token中的用戶信息；因此，JWT中用戶信息僅適用base64編碼，存在用戶信息泄露點的風險；

2、當存儲在當客戶端的JWT被刪除后，因為刪除的JWT仍在有效期內，帶來安全隱患；也就是說，當機構失效，用戶失效時，用戶的提前注銷無法對已頒發給該機構用戶的JWT做實時失效處理。

所以，亟需一種安全，有效地針對有效期內的JWT的失效方法。

發明內容

本發明提供一種網關JWT的生成方法、系統及計算機可讀存儲介質，其主要通過利用ECDSA(Elliptic Curve Digital Signature Algorithm)生產JWT，并使用AES加密，杜絕用戶隱私泄露的隱患；通過按照機構失效、按照用戶ID失效以及按照JWT ID失效等多種失效方式，解決JWT在有效期內不能失效的問題。

為實現上述目的，本發明還提供一種網關JWT的生成方法，應用于電子裝置，所述JWT的生成方法包括：

生成JWT的JWT頭部和有效荷載；

其中，所述JWT頭部包括token的簽名算法信息；

所述有效荷載通過將機構編碼、用戶ID、JWT ID、TOKEN的頒發時間以及默認失效時間信息使用AES加密生成；

利用所述JWT頭部的token的簽名算法對ECDSA私鑰和JWT的有效荷載進行簽名，生成JWT的簽名信息；

將JWT頭部、JWT的有效荷載以及JWT的簽名組裝成JWT，將組裝的JWT返回給網關機構。

進一步，優選的，所述將JWT頭部、JWT的有效荷載以及JWT的簽名組裝成JWT，將組裝的JWT返回給網關機構之后，還包括網關機構對訪問請求發起者的JWT進行有效性校驗；其中，網關機構對所述JWT進行有效性校驗的方法包括：

通過實時讀取所述JWT中的機構信息，并判斷所述機構信息中的機構是否失效，若是，拒絕該次請求，若否，則繼續進行有效性判斷；

通過第三方接口定時讀取用戶的ID，判斷所述JWT中的用戶ID是否失效，若是，拒絕該次請求，若否，則繼續進行有效性判斷；

將JWT的ID與無效列表中緩存的失效JWT ID進行比對，判斷所述JWT的ID是否失效，若是則拒絕該次請求；若否，則繼續訪問。

進一步，優選的，所述機構信息存儲在JWT的有效荷載中，并從BICS系統獲取。