本申請提供了一種防御CSRF攻擊的登錄請求校驗方法及裝置，該方法應用于服務端，通過在接收到登錄請求之后，獲取登錄請求攜帶的登錄加密cookie；判斷登錄加密cookie是否是種植在自身根域下的預登錄加密cookie；其中，預登錄加密cookie是在接收到預登錄請求時，利用預設加密算法對預登錄請求的請求時間進行加密，將加密得到的請求時間加密值和請求時間進行拼接得到的；若否，則判定登錄請求為偽造請求，也即本申請提供的防御CSRF攻擊的登錄請求校驗方法能夠通過驗證登錄請求是否是種植在服務端根域下的預登錄加密cookie的方式，識別出偽造請求，避免了用戶賬戶密碼被爆破、短信平臺被惡意消耗的問題。

技術領域

本發明涉及通信技術領域，具體涉及一種防御CSRF攻擊的登錄請求校驗方法及裝置。

背景技術

CSRF是指跨站點請求偽造(Cross-Site Request Forgery)，危害性巨大。攻擊者為了謀取利益，會使用CSRF對服務端進行惡意訪問，以對用戶身份信息進行盜用。

現有的登錄方式中，用戶登錄客戶端需要向服務端發送登錄請求，經過服務端的認證之后才能實現登錄。但是，攻擊者會利用CSRF，繞過客戶端向服務端發送的偽造請求，對用戶信息進行盜用，以謀取利益。而服務端無法對偽造請求進行識別，會將偽造請求默認為合法請求，導致用戶賬戶密碼被爆破、平臺短信被惡意消耗等情況的發生。

發明內容

對此，本申請提供一種防御CSRF攻擊的登錄請求校驗方法及裝置，以解決現有服務端無法對偽造請求進行識別，易導致用戶賬戶密碼被爆破、短信平臺被惡意消耗的問題。

為實現上述目的，本發明實施例提供如下技術方案：

本發明第一方面公開了一種防御CSRF攻擊的登錄請求校驗方法，應用于服務端，所述方法包括：

在接收到登錄請求之后，獲取所述登錄請求攜帶的登錄加密cookie；

判斷所述登錄加密cookie是否是種植在自身根域下的預登錄加密cookie；其中，所述預登錄加密cookie是在接收到預登錄請求時，利用預設加密算法對所述預登錄請求的請求時間進行加密，將加密得到的請求時間加密值和請求時間進行拼接得到的；

若判斷出所述登錄加密cookie不是種植在所述服務端根域下的預登錄加密cookie，則判定所述登錄請求為偽造請求。

可選地，在上述的防御CSRF攻擊的登錄請求校驗方法中，在判斷所述登錄加密cookie是否是種植在自身根域下的預登錄加密cookie之后，若判斷出所述登錄加密cookie是種植在自身根域下的預登錄加密cookie，還包括：

判定所述登錄請求為合法請求。

可選地，在上述的防御CSRF攻擊的登錄請求校驗方法中，判斷所述登錄加密cookie是否是種植在所述服務端根域下的預登錄加密cookie，包括：

對所述登錄加密cookie進行解析，得到所述登錄加密cookie的時間戳和時間戳加密值；

利用所述預設加密算法對所述時間戳進行加密，得到時間戳校驗加密值；

判斷所述時間戳加密值與所述時間戳校驗加密值是否一致；

若判斷出所述時間戳加密值與所述時間戳校驗加密值不一致，則判定所述登錄加密cookie不是種植在自身根域下的預登錄加密cookie；

若判斷出所述時間戳加密值與所述時間戳校驗加密值一致，則判定所述登錄加密cookie是種植在自身根域下的預登錄加密cookie。