资源访问方法、装置、可读介质、电子设备及程序产品

摘要： 一种资源访问方法、装置、可读介质、电子设备及程序产品。涉及信息安全技术领域。客户端将目标应用的资源访问请求消息发送至网关设备，该资源访问请求消息包括客户端基于业务密钥对中的私钥签发的第一访问令牌，和服务器基于客户端发送的登录请求消息生成的会话Session的会话标识，以使网关设备根据第一访问令牌和会话标识通过服务器预先建立的绑定关系对客户端进行身份认证，并响应于对该客户端进行身份认证通过，基于资源访问请求消息请求目标应用的业务资源；其中，绑定关系表征会话与目标应用的信任客户端之间的关系。基于该绑定关系可以确认发送该资源访问请求消息...

权利要求：

1.一种资源访问方法，其特征在于，应用于客户端，所述方法包括： 获取目标应用对应的资源访问请求消息，所述资源访问请求消息包括第一访问令牌和会话标识，所述第一访问令牌为所述客户端基于业务密钥对中的私钥签发的访问令牌，所述业务密钥对由所述目标应用的业务域名生成；所述会话标识为服务器基于所述客户端发送的登录请求消息生成的会话的标识，所述登录请求消息用于请求登录所述目标应用； 将所述资源访问请求消息发送至网关设备，以使所述网关设备根据所述第一访问令牌和会话标识通过所述服务器预先建立的绑定关系对所述客户端进行身份认证，并响应于对所述客户端进行身份认证通过，基于所述资源访问请求消息请求所述目标应用的业务资源；所述绑定关系表征所述会话与所述目标应用的信任客户端之间的绑定关系。 2.根据权利要求1所述的方法，其特征在于，所述获取目标应用对应的资源访问请求消息包括： 响应于获取到对所述目标应用的业务请求消息，获取所述会话标识以及所述业务密钥对； 根据所述业务密钥对和所述业务请求消息，生成所述第一访问令牌； 在所述业务请求消息中添加所述会话标识和所述第一访问令牌后，生成所述资源访问请求消息。 3.根据权利要求2所述的方法，其特征在于，所述业务密钥对包括第一公钥和第一私钥； 所述根据所述业务密钥对和所述业务请求消息，生成所述第一访问令牌包括： 根据所述业务请求消息构建第一有效载荷； 使用所述第一私钥对所述第一有效载荷进行加签，得到第一签名； 根据所述第一公钥、所述第一有效载荷以及所述第一签名，生成所述第一访问令牌。 4.根据权利要求1所述的方法，其特征在于，所述方法还包括： 响应于获取到对所述目标应用的登录请求，根据所述登录请求向所述服务器发送所述登录请求消息，所述登录请求消息包括第二访问令牌，以使所述服务器基于所述第二访问令牌建立所述绑定关系，所述第二访问令牌是所述客户端基于登录密钥对中的私钥签发的访问令牌，所述登录密钥对由所述目标应用的登录域名生成。 5.根据权利要求4所述的方法，其特征在于，所述根据所述登录请求向所述服务器发送所述登录请求消息包括： 获取所述登录密钥对，所述登录密钥对包括第二私钥和第二公钥； 根据所述第二私钥、所述第二公钥以及所述登录请求，生成所述第二访问令牌； 在所述登录请求中添加所述第二访问令牌后，得到所述登录请求消息； 向所述服务器发送所述登录请求消息。 6.根据权利要求5所述的方法，其特征在于，所述根据所述第二私钥、所述第二公钥以及所述登录请求，生成所述第二访问令牌包括： 根据所述登录请求构造第二有效载荷； 使用所述第二私钥对所述第二有效载荷进行加签生成第二签名； 根据所述第二公钥、所述第二有效载荷以及所述第二签名，生成所述第二访问令牌。 7.根据权利要求1-6任一项所述的方法，其特征在于，响应于所述目标应用为Web应用，所述资源访问请求消息还包括由所述目标应用的登录域名签发的证书；所述证书用于认证所述业务域名是否可信。 8.根据权利要求7所述的方法，其特征在于，所述客户端通过以下方式生成所述证书： 使用所述业务域名生成的所述业务密钥对中的私钥签发第三访问令牌； 携带所述第三访问令牌从所述业务域名跳转至所述登录域名； 通过所述登录域名基于所述登录域名生成的登录密钥对，签发第四访问令牌； 根据所述第三访问令牌和所述第四访问令牌，在所述登录域名下基于所述登录密钥对签发所述证书。 9.根据权利要求8所述的方法，其特征在于，所述登录密钥对包括第二私钥和第二公钥；所述根据所述第三访问令牌和所述第四访问令牌，在所述登录域名下基于所述登录密钥对签发所述证书包括： 在所述登录域名下，将所述第三访问令牌和所述第四访问令牌发送至所述服务器，以使所述服务器响应于根据所述第三访问令牌和所述第四访问令牌验证所述业务域名为所述目标应用的预设业务域名，生成证书标识； 接收所述服务器发送的所述证书标识和证书签发时间戳； 使用所述证书标识、所述证书签发时间戳、所述第二公钥、所述业务密钥对的公钥的第一公钥指纹以及所述业务域名创建Web令牌，并在所述登录域名下使用所述第二私钥对所述Web令牌进行签名后，生成所述证书。 10.根据权利要求8所述的方法，其特征在于，所述方法还包括： 在生成所述证书后，携带所述证书从所述登录域名跳转至所述业务域名； 将所述证书存储在所述业务域名对应的本地存储空间。 11.根据权利要求7所述的方法，其特征在于，所述方法还包括： 响应于所述目标应用为Web应用，从所述目标应用的业务页面跳转至业务中间页面，所述业务中间页面为与所述业务页面的域名相同、路径不同的页面； 在所述业务域名下，通过所述业务中间页面执行预设操作； 其中，所述预设操作包括以下至少一种： 生成所述业务密钥对、存储所述业务密钥对、存储所述证书、验签异常情况处理。 12.根据权利要求1所述的方法，其特征在于，所述方法还包括： 响应于所述目标应用为移动应用，设置请求消息的头部的至少一个第一预设字段的字段值为默认值，和/或，设置所述请求消息中携带的访问令牌的有效载荷中的至少一个第二预设字段的字段值为默认值； 其中，所述请求消息包括所述登录请求消息和/或所述资源访问请求消息。 13.根据权利要求12所述的方法，其特征在于，所述方法还包括： 针对所述有效载荷中第一预设指定字段的字段值相同的多条请求消息，所述多条请求消息中携带的所述访问令牌相同。 14.根据权利要求12所述的方法，其特征在于，所述方法还包括： 若所述至少一个第二预设字段中包括第二预设指定字段，设置位于预设时间段内的所述请求消息携带的所述访问令牌相同。 15.一种资源访问方法，其特征在于，应用于网关设备，所述方法包括： 接收客户端发送的资源访问请求消息，所述资源访问请求消息包括第一访问令牌和会话标识，所述第一访问令牌为所述客户端基于业务密钥对中的私钥签发的访问令牌，所述业务密钥对由目标应用的业务域名生成；所述会话标识为服务器基于所述客户端发送的登录请求消息生成的会话的标识，所述登录请求消息用于请求登录所述目标应用； 根据所述第一访问令牌和会话标识通过所述服务器预先建立的绑定关系对所述客户端进行身份认证，所述绑定关系表征所述会话与所述目标应用的信任客户端之间的绑定关系； 响应于对所述客户端进行身份认证通过，基于所述资源访问请求消息请求所述目标应用的业务资源。 16.根据权利要求15所述的方法，其特征在于，所述根据所述第一访问令牌和会话标识通过所述服务器预先建立的绑定关系对所述客户端进行身份认证包括： 将所述会话标识发送至所述服务器，以便所述服务器根据所述会话标识基于所述绑定关系确定所述会话对应的公钥信息； 接收所述服务器发送的所述公钥信息； 根据所述公钥信息和所述第一访问令牌对所述客户端进行身份认证。 17.根据权利要求16所述的方法，其特征在于，所述公钥信息包括所述会话的会话实体中存储的第二公钥指纹，所述第二公钥指纹为第二公钥的公钥指纹，所述第二公钥为登录密钥对中的公钥，所述登录密钥对由所述目标应用的登录域名生成； 所述根据所述公钥信息和所述第一访问令牌对所述客户端进行身份认证包括： 从所述第一访问令牌中获取第一公钥，所述第一公钥为所述业务密钥对中的公钥； 使用所述第一公钥对所述第一访问令牌进行验签，并在验签通过后，根据所述第二公钥指纹验证所述第一公钥与所述第二公钥是否一致； 响应于所述第一公钥与所述第二公钥一致，确定对所述客户端的身份认证通过。 18.根据权利要求15所述的方法，其特征在于，响应于所述目标应用为Web应用，所述资源访问请求消息还包括由所述目标应用的登录域名签发的证书； 所述根据所述第一访问令牌和会话标识通过所述服务器预先建立的绑定关系对所述客户端进行身份认证包括： 根据所述第一访问令牌、所述会话标识以及所述证书，通过所述服务器预先建立的绑定关系对所述客户端进行身份认证。 19.根据权利要求18所述的方法，其特征在于，所述根据所述第一访问令牌、所述会话标识以及所述证书，通过所述服务器预先建立的绑定关系对所述客户端进行身份认证包括： 将所述会话标识发送至所述服务器，以便所述服务器根据所述会话标识基于所述绑定关系确定所述会话对应的公钥信息； 接收所述服务器发送的所述公钥信息； 根据所述公钥信息、所述第一访问令牌以及所述证书，对所述客户端进行身份认证。 20.根据权利要求19所述的方法，其特征在于，所述公钥信息包括所述会话的会话实体中存储的第二公钥指纹，所述第二公钥指纹为第二公钥的公钥指纹，所述第二公钥为登录密钥对中的公钥，所述登录密钥对由所述目标应用的登录域名生成； 所述根据所述公钥信息、所述第一访问令牌以及所述证书，对所述客户端进行身份认证包括： 从所述证书中获取所述第二公钥以及业务密钥对中第一公钥的第一公钥指纹； 从所述第一访问令牌中获取所述第一公钥； 响应于所述第一公钥指纹与所述第一公钥匹配，并且所述第二公钥指纹与所述第二公钥匹配，确定对所述客户端的身份认证通过。 21.一种资源访问方法，其特征在于，应用于服务器，所述方法包括： 接收网关设备发送的会话标识，所述会话标识是包含在客户端向网关设备发送的资源访问请求消息中的标识，所述会话标识为所述服务器基于所述客户端发送的登录请求消息生成的会话的标识，所述登录请求消息用于请求登录目标应用；所述资源访问请求消息还包括第一访问令牌，所述第一访问令牌为所述客户端基于业务密钥对中的私钥签发的访问令牌，所述业务密钥对由所述目标应用的业务域名生成； 根据所述会话标识通过绑定关系确定所述会话对应的公钥信息，所述绑定关系表征所述会话与所述目标应用的信任客户端之间的绑定关系； 将所述公钥信息发送至所述网关设备，以便所述网关设备根据所述公钥信息和所述第一访问令牌对所述客户端进行身份认证。 22.根据权利要求21所述的方法，其特征在于，所述根据所述会话标识通过绑定关系确定所述会话对应的公钥信息包括： 基于所述绑定关系确定所述会话标识对应的所述会话的会话实体； 从所述会话实体中读取所述公钥信息，其中，所述公钥信息包括第二公钥指纹，所述第二公钥指纹为第二公钥的公钥指纹，所述第二公钥为登录密钥对中的公钥，所述登录密钥对由所述目标应用的登录域名生成。 23.根据权利要求21所述的方法，其特征在于，所述方法还包括： 接收客户端发送的对所述目标应用的登录请求消息，所述登录请求消息包括第二访问令牌，所述第二访问令牌是所述客户端基于登录密钥对中的私钥签发的访问令牌，所述登录密钥对由所述目标应用的登录域名生成； 基于所述第二访问令牌建立所述绑定关系。 24.根据权利要求23所述的方法，其特征在于，所述基于所述第二访问令牌建立所述绑定关系包括： 根据所述第二访问令牌确定第二公钥，所述第二公钥为所述登录密钥对中的公钥； 使用所述第二公钥对所述第二访问令牌进行验证； 在对所述第二访问令牌验证通过后，在与所述登录请求消息的会话实体中记录所述第二公钥的第二公钥指纹。 25.根据权利要求21所述的方法，其特征在于，所述方法还包括： 接收所述客户端发送的第三访问令牌和第四访问令牌，其中，所述第三访问令牌为所述客户端在所述业务域名下使用所述业务密钥对中的私钥签发的访问令牌，所述第四访问令牌为所述客户端在所述目标应用的登录域名下，基于所述登录域名生成的登录密钥对中的私钥签发的访问令牌； 响应于根据所述第三访问令牌和所述第四访问令牌验证所述业务域名为所述目标应用的预设业务域名，生成证书标识； 将所述证书标识和证书签发时间戳发送至所述客户端，以使所述客户端根据所述证书标识和所述证书签发时间戳生成证书，响应于所述目标应用为Web应用，所述证书用于认证所述业务域名是否可信。 26.一种资源访问装置，其特征在于，应用于客户端，所述装置包括： 获取模块，用于获取目标应用对应的资源访问请求消息，所述资源访问请求消息包括第一访问令牌和会话标识，所述第一访问令牌为所述客户端基于业务密钥对中的私钥签发的访问令牌，所述业务密钥对由所述目标应用的业务域名生成；所述会话标识为服务器基于所述客户端发送的登录请求消息生成的会话的标识，所述登录请求消息用于请求登录所述目标应用； 第一发送模块，用于将所述资源访问请求消息发送至网关设备，以使所述网关设备根据所述第一访问令牌和会话标识通过所述服务器预先建立的绑定关系对所述客户端进行身份认证，并响应于对所述客户端进行身份认证通过，基于所述资源访问请求消息请求所述目标应用的业务资源；所述绑定关系表征所述会话与所述目标应用的信任客户端之间的绑定关系。 27.一种资源访问装置，其特征在于，应用于网关设备，所述装置包括： 第一接收模块，用于接收客户端发送的资源访问请求消息，所述资源访问请求消息包括第一访问令牌和会话标识，所述第一访问令牌为所述客户端基于业务密钥对中的私钥签发的访问令牌，所述业务密钥对由目标应用的业务域名生成；所述会话标识为服务器基于所述客户端发送的登录请求消息生成的会话的标识，所述登录请求消息用于请求登录所述目标应用； 认证模块，用于根据所述第一访问令牌和会话标识通过所述服务器预先建立的绑定关系对所述客户端进行身份认证，所述绑定关系表征所述会话与所述目标应用的信任客户端之间的绑定关系； 资源访问模块，用于响应于对所述客户端进行身份认证通过，基于所述资源访问请求消息请求所述目标应用的业务资源。 28.一种资源访问装置，其特征在于，应用于服务器，所述装置包括： 第二接收模块，用于接收网关设备发送的会话标识，所述会话标识是包含在客户端向网关设备发送的资源访问请求消息中的标识，所述会话标识为所述服务器基于所述客户端发送的登录请求消息生成的会话的标识，所述登录请求消息用于请求登录目标应用；所述资源访问请求消息还包括第一访问令牌，所述第一访问令牌为所述客户端基于业务密钥对中的私钥签发的访问令牌，所述业务密钥对由所述目标应用的业务域名生成； 确定模块，用于根据所述会话标识通过绑定关系确定所述会话对应的公钥信息，所述绑定关系表征所述会话与所述目标应用的信任客户端之间的绑定关系； 第二发送模块，用于将所述公钥信息发送至所述网关设备，以便所述网关设备根据所述公钥信息和所述第一访问令牌对所述客户端进行身份认证。 29.一种计算机可读介质，其上存储有计算机程序，其特征在于，该计算机程序被处理装置执行时实现权利要求1-14或者15-20或者21-25中任一项所述方法的步骤。 30.一种电子设备，其特征在于，包括： 存储装置，其上存储有计算机程序； 处理装置，用于执行所述存储装置中的所述计算机程序，以实现权利要求1-14或者15-20或者21-25中任一项所述方法的步骤。 31.一种计算机程序产品，包括计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1-14或者15-20或者21-25中任一项所述的方法的步骤。

网址：资源访问方法、装置、可读介质、电子设备及程序产品 https://m.mxgxt.com/news/view/1745975

相关内容

亲密度指标的确定方法、确定装置及电子设备与流程
KOL真实粉丝识别方法、装置、设备及介质
设备全寿命周期履历追踪及故障关联分析方法及装置与流程
华为申请资源调度方法、装置和电子设备专利，能够达到资源的更优调度
深圳爱捷云取得资源调用方法、装置、电子设备和存储介质专利
参数标定的方法及装置与流程
腾讯科技取得一种程序处理方法、装置以及相关设备专利
用户画像更新方法、装置、计算机设备及存储介质.pdf
一种明星人像优化方法、装置以及存储装置与流程
赋乐科技申请一种舆情风险监控方法、装置、存储介质及电子设备专利，提升对于舆情风险的监控效率

随便看看