本申請涉及一種客戶端登錄認證方法、系統和計算機設備，包括接收用戶發送的登錄請求，并對登錄請求中的用戶賬號信息進行驗證，以得到用戶賬號信息是否驗證通過的第一驗證結果；若第一驗證結果為通過，則請求本地服務器對登錄請求進行二次驗證得到本地服務器生成的響應，并對響應進行驗證，得到第二驗證結果；本地服務器部署在用戶機所屬的局域網內；根據第二驗證結果，確定是否允許用戶登錄。上述登錄認證方法由于避免了將用戶賬號與登錄設備或其他硬件設備綁定，也不需要將賬號與IP地址綁定，只需要部署只在限制范圍內能夠訪問的本地服務即可，從而不存在上述方案的限制，實施技術難度較小，且對操作人員和工廠無其他額外要求。

技術領域

本申請涉及數據安全技術領域，特別是涉及一種客戶端登錄認證方法、系統和計算機設備。

背景技術

隨著信息技術的發展，基本每一項新應用都會對應一個網頁版系統，系統會要求用戶進行相應的登錄操作才能夠使用，以確保數據的安全性。而對于有些應用系統，為了對賬戶進行特殊保護，需要限制系統僅可以在限制區域內登錄。例如涂鴉的工廠生產需要使用PMS系統，為了方便賬號登錄，通常在工廠內使用賬號可以是無限制的，不一定需要與人綁定。但是如果工廠的員工跳槽到別的工廠，就有可能把賬號帶走，從而存在安全隱患。所以，限制賬號在一定區域內登錄就很必要。

傳統地，限制賬號在一定區域內登錄的方式有：賬號與登錄設備綁定、賬號與硬件綁定以及賬號與IP地址綁定等。但是上述每種方式都有適用的場景，比如賬號與登錄設備綁定，由于瀏覽器安全限制的原因，Js無法獲取到設備的硬件信息，所以要做到登錄賬號與設備綁定的難度相當大。其次，對于賬號與硬件綁定方式，一般要求Js能與硬件直接或間接通信，現在有FIDO系列標準可以用，但是存在一個問題，需要操作人員與硬件有交互才能把流程走下去，而且每臺電腦都需要接一個USB的設備，成本比較高。而對于IP地址綁定方式，限制更大，需要工廠有固定IP地址。

發明內容

本申請提供一種基于客戶端登錄認證方法、系統和計算機設備，以至少解決相關技術中的限制賬號登錄區域方式存在較多限制以及實施難度較大的問題。

第一方面，本申請實施例提供了一種客戶端登錄認證方法，所述方法包括：

接收用戶發送的登錄請求，并對所述登錄請求中的用戶賬號信息進行驗證，以得到所述用戶賬號信息是否驗證通過的第一驗證結果；

若所述第一驗證結果為通過，則請求本地服務器對所述登錄請求進行二次驗證得到所述本地服務器生成的響應，并對所述響應進行驗證，得到第二驗證結果；所述本地服務器部署在用戶機所屬的局域網內；

根據所述第二驗證結果，確定是否允許所述用戶登錄。

在其中一些實施例中，所述若所述第一驗證結果為通過，則請求本地服務器對所述登錄請求進行二次驗證得到所述本地服務器生成的響應，并對所述響應進行驗證，得到第二驗證結果包括：

若所述第一驗證結果為通過，則與所述客戶端對應的服務端生成挑戰，并將所述挑戰發送至所述客戶端；

所述客戶端在接收到所述挑戰后，將所述挑戰發送至所述本地服務器，以請求所述本地服務器對所述登錄請求進行二次驗證；

所述本地服務器根據第一預置密鑰和預設加密算法對所述挑戰進行加密處理，生成所述挑戰對應的響應并發送至所述客戶端；所述第一預置密鑰與所述本地服務器所屬的局域網對應；

所述服務端根據第二預置密鑰和與所述預設加密算法對應的解密算法對所述響應進行二次驗證，得到所述第二驗證結果；所述第二預置密鑰與所述客戶端所屬的局域網對應。

在其中一些實施例中，所述客戶端接收到所述挑戰后，將所述挑戰發送至所述本地服務器包括：

所述客戶端通過Ajax或websocket方式請求本地服務器，將所述挑戰發送給所述本地服務器；或，