本發明公開了一種基于臨時令牌的鑒權方法、客戶端、和服務器，方法包括：將認證信息發送到服務器，并從服務器接收針對認證信息的認證令牌；針對每個請求生成唯一標識和請求參數的摘要，將唯一標識、摘要、和請求者信息使用認證令牌加密生成臨時令牌，并將臨時令牌和請求一起發送到服務器；從服務器接收請求所指向的數據或服務、或接收無法執行請求的錯誤信息。本發明能夠抵御各種攻擊、避免暴力破解、降低服務器壓力、防止數據泄露。

技術領域

本發明涉及神經網絡領域，更具體地，特別是指一種基于臨時令牌的鑒權方法、客戶端、和服務器。

背景技術

微服務架構中，各個服務通常是無狀態，它并不知道是誰訪問了我們的應用，我們必須保證我們的服務被正確合法的訪問。所以在微服務API(應用程序接口)的設計中，通常需要引入鑒權機制來防止非法攻擊以及保護用戶隱私免被泄露。在現有的技術方案中通常是使用Token機制來實現這種保護，Token的意思是“令牌”，是服務端生成的一串字符串，作為客戶端進行請求的一個標識，其流程如下：

1、客戶端將認證信息——通常是用戶名和密碼——發送到服務端，進行登錄；

2、服務端驗證認證信息，驗證無誤后使用隨機算法生成Token，創建Session(會話)，并將Token保存于Session中。然后將Token返回給客戶端；

3、客戶端接收到服務端返回的Token，并進行保存；

4、客戶端之后每次向服務端請求數據時都需要帶上Token；

5、服務端驗證Token是否與用戶匹配，若匹配則返回正確的數據，否則向客戶端報錯；

6、當客戶端注銷登錄時，同時在服務端和客戶端銷毀Token，該Token的生命周期結束。

從以上Token鑒權機制中，我們不能看出，用于鑒權的Token是單一的，且復雜性一般不高，給不懷好意者留下攻擊的可能，其具體表現在以下幾個方面：

1、若生成Token的算法復雜度不高，攻擊者可以猜測系統中其他存在的Token，實現撞庫攻擊；

2、由于所有數據請求使用的是同一個Token，攻擊者可以通過攔截請求的方式拿到Token，從而實現模擬請求攻擊或中間人攻擊；

3、Token單純的用來鑒權，服務端只驗證Token是否存在，所以Token本身不能反應出該次請求所攜帶的數據是否被攻擊者修改。

以上三種情形，任何一種都可以給系統造成數據泄露、數據被非法篡改等無法挽回的損失。

針對現有技術中Token鑒權機制容易受到撞庫攻擊、請求攻擊、中間人攻擊、無法自證可信的問題，目前尚無有效的解決方案。

發明內容

有鑒于此，本發明實施例的目的在于提出一種基于臨時令牌的鑒權方法、客戶端、和服務器，能夠抵御各種攻擊、避免暴力破解、降低服務器壓力、防止數據泄露。

基于上述目的，本發明實施例的第一方面提供了一種基于臨時令牌的鑒權方法，包括執行以下步驟：

將認證信息發送到服務器，并從服務器接收針對認證信息的認證令牌；

針對每個請求生成唯一標識和請求參數的摘要，將唯一標識、摘要、和請求者信息使用認證令牌加密生成臨時令牌，并將臨時令牌和請求一起發送到服務器；

從服務器接收請求所指向的數據或服務、或接收無法執行請求的錯誤信息。

在一些實施方式中，認證信息包括請求者的用戶名和密碼；從服務器接收針對認證信息的認證令牌包括：建立與服務器的會話，并通過會話獲取認證令牌。