本申請提供一種安全認證方法、裝置及存儲介質，該方法包括：在接收到來自客戶端的接口訪問請求后，獲取接口訪問請求中攜帶的用戶機構信息以及用戶標識；基于用戶機構信息，從數據庫中查詢用戶所在機構所具有的第一權限；根據用戶標識，確定用戶的第二權限；根據第一權限和第二權限，確定用戶的目標權限；向客戶端發送接口訪問響應給客戶端，接口訪問響應攜帶目標權限范圍內的功能列表。本申請通過結合用戶所在的機構信息以及用戶自身的信息確定用戶所具有的權限范圍，增加了機構一致性的校驗，提高了系統安全性。

技術領域

本申請涉及互聯網技術領域，尤其涉及一種安全認證方法、裝置及存儲介質。

背景技術

隨著互聯網技術的不斷革新，信息技術已與各行各業深度融合，互聯網已成為推動各行各業向智能化發展的重要支撐。與此同時，國內外系統都遭遇過不同程度的漏洞攻擊和信息泄露事件，因此迫切需要一套安全可靠的認證機制保障系統的正常運行與用戶的安全使用。

現有技術中，服務器在接收到接口訪問請求時，認證機制是基于用戶角色進行了接口訪問的權限控制，導致存在安全隱患。

發明內容

為了解決現有技術中的上述問題，即為了消除現有技術潛在的安全隱患，本申請提供了一種安全認證方法、裝置及存儲介質。

第一方面，本申請提供了一種安全認證方法，應用于服務器，包括：

在接收到來自客戶端的接口訪問請求后，獲取所述接口訪問請求中攜帶的用戶機構信息以及用戶標識；

基于用戶機構信息，從數據庫中查詢用戶所在機構所具有的第一權限；

根據用戶標識，確定用戶的第二權限；

根據第一權限和第二權限，確定用戶的目標權限；

向客戶端發送接口訪問響應給客戶端，接口訪問響應攜帶目標權限范圍內的功能列表。

一種可能實施的方式中，接口訪問請求為登錄請求，在向客戶端發送接口訪問響應之前，安全認證方法還可以包括：確定登錄請求中攜帶用戶的用戶信息和密碼；根據用戶信息和密碼，進行用戶身份驗證；若身份驗證通過，則發送第一指示信息給客戶端，第一指示信息用于指示客戶端實時采集并向服務器發送用戶的面部圖像；接收面部圖像，并校驗面部圖像的真實性；若面部圖像是真實的，則根據用戶信息和密碼生成令牌，令牌用于客戶端與服務器的交互使用。此時，接口訪問響應還包括令牌。

一種可能的實施方式中，上述校驗面部圖像的真實性，包括：在用戶對應的面部圖像檔案中匹配面部圖像；若匹配成功，則確定面部圖像是真實的；和/或，與相關機構聯網核查面部圖像的真實性。

一種可能的實施方式中，安全認證方法還包括：若面部圖像是真實的，則發送第二指示信息給客戶端，第二指示信息用于指示客戶端提示用戶開啟客戶端側進行的面部識別和/或指紋識別。

一種可能的實施方式中，接口訪問請求為登錄請求，在向客戶端發送接口訪問響應之前，安全認證方法還包括：確定登錄請求中攜帶令牌；檢測令牌與服務器緩存中保存的令牌是否一致；若一致，則確定令牌對應的用戶是否在用戶白名單，以及令牌對應的設備是否在設備黑名單；確定用戶在用戶白名單，且設備不在設備黑名單。

一種可能的實施方式中，安全認證方法還包括：確定接收到的接口訪問請求中是否攜帶目標攻擊字符，目標攻擊字符包括SQL注入敏感字符、XSS漏洞字符以及CSRF攻擊字符中的至少一種；若是，則拒絕訪問；若否，則獲取接口訪問請求中攜帶的用戶機構信息以及用戶標識。

第二方面，本申請提供一種安全認證裝置，包括：

獲取模塊，用于在接收到來自客戶端的接口訪問請求后，獲取接口訪問請求中攜帶的用戶機構信息以及用戶標識；