一种安全授权访问的方法
【专利摘要】本发明提供了一种安全授权访问方法,客户端通过输入用户名和密码,服务器通过接收到客户端的用户名和密码与系统配置中保存的用户名和密码比较,如果匹配则访问,否则,拒绝该客户端的访问,包括在客户端的浏览器上,将用户名及密码填充到cookie字段拼接起来,然后进行加密,组成新的HTTP请求包提交给服务器的步骤。本发明充分利用HTTP请求包中的其他字段,提高服务器的安全性的验证方法。
【专利说明】一种安全授权访问的方法
【技术领域】
[0001]本发明涉及到嵌入式设备安全访问领域,特别涉及在用户进行身份认证过程中进行加密解密方法来授权客户端访问的方法。
【背景技术】
[0002]现在的嵌入式设备中,登陆访问的是如下方法:
利用BASIC认证方式,客户端向服务器请求访问时,若客户端尚未被验证,则HTTP服务器将通过基本的认证过程对客户端的用户名及密码进行验证,以决定用户是否合法。客户端收到服务器的身份认证要求(Wffff-Authenticate)后,会提示用户输入用户名及密码,然后以BASE64加密,讲密文附加在请求头信息(Authorization)中。HTTP服务器收到请求包后,根据协议中的字段来解密出用户名及密码,进行验证。如果用户名及密码正确,则根据客户端的请求,返回客户端所需要的数据;否则返回错误的信息或者要求客户端重新提供用户名及密码。
[0003]此方法虽然符合日常使用,但是在安全方面存在如下缺陷:
A:由于客户端提交的请求信息中带有加密的用户名及密码,很容易被人提取出来破译出真实的用户名及密码,造成设备使用的不安全性。
[0004]B:在服务器对客户端验证合法后,不再验证后续的请求,进行合法性验证,也会造成设备使用的不安全性。
【发明内容】
[0005]本发明的目的是为了解决以上问题,本发明提供一种安全授权访问方法。
[0006]本发明的技术方案是:一种安全授权访问方法,客户端通过输入用户名和密码,月艮务器通过接收到客户端的用户名和密码与系统配置中保存的用户名和密码比较,如果匹配则访问,否则,拒绝该客户端的访问,包括以下步骤:
步骤A、客户端向服务器请求服务;
步骤B、客户端收到服务器的身份认证要求后,提示用户输入用户名和密码;
步骤C、在客户端的浏览器上,将用户名及密码填充到cookie字段拼接起来,然后进行加密,组成新的HTTP请求包提交给服务器;
步骤D、服务器后台接收到HTTP请求包,提取包头数据字段cookie,对该cookie进行解密,分解出客户端提交的用户名及密码;
步骤E、服务器将分解出的用户名及密码与系统配置中的用户名和密码比较,判断客户端是否合法,若客户端合法则返回客户端请求的数据,否则返回报错信息或者向客户端提出身份认证要求,转向步骤B。
[0007]进一步的,上述的安全授权访问方法中:所述的步骤A中,客户端是首次向服务器提出请求服务。
[0008]进一步的,上述的安全授权访问方法中:所述的步骤C中,cookie字段拼接起来,然后进行加密,是采用Base64编码方式加密或者采用MD5方法加密。
[0009]进一步的,上述的安全授权访问方法中:所述的步骤C中,将将用户名及密码填充到cookie字段是采用“用户名:密码:action”,其中“action”是预先设定的标记。
[0010]进一步的,上述的安全授权访问方法中:所述的步骤E中,在转向步骤B之前,还需要清除cookie值。
[0011]本发明充分利用HTTP请求包中的其他字段,提高服务器的安全性的验证方法。
[0012]下面结合具体实施例对本发明作较为详细的描述。
【专利附图】
【附图说明】
[0013]图1是使用本方法的整体流程图。
【具体实施方式】
[0014]实施例1,如图1所示,本实施例是一种安全授权访问方法,客户端通过输入用户名和密码,服务器通过接收到客户端的用户名和密码与系统配置中保存的用户名和密码比较,如果匹配则访问,否则,拒绝该客户端的访问,包括以下步骤:
第I步:客户端首次向服务器请求访问,客户端收到服务器的身份认证要求(Wffff-Authenticate)后,会提示用户输入用户名及密码。
[0015]第2步:在客户端浏览器上,将用户输入用户名及密码填充到cookie字段拼接起来,目前我们采用的和Authorization字段类似,使用用户名及密码,例如这样的格式user:password:action,其中user为客户端输入的用户名,password为客户端输入的密码,action为我们预先设定的标记。填充后,我们同样使用的Base64编码方式加密,当然也可以其他加密方式。如MD5加密方法。将密文填充到cookie字段。这样我们就可以组成新的HTTP请求包提交给服务器。
[0016]第3步:当服务器后台收到客户端发来的请求数据,先提取我们需要的包头数据字段Cookie,对Cookie字段进行Base64或者MD5解码后,分解出客户端提交的用户名及密码,标记值。
[0017]这里第2、3步中使用的MD5加密方法加密也是一种比较应用广泛的加密方法。MD5方法具有如下特点:
1.加密是非对称的。
[0018]2.在用户端加密后,填充密文。
[0019]3.在服务器上,比较密文匹配。
[0020]第4步:将分解出的用户名及密码,与系统配置中用户名及密码比较,判断客户端是否合法用户。若客户端用户合法则返回客户端请求的数据;若客户端用户不合法则返回报错信息,或者让客户端重新提供用户名及密码。
[0021]第5步:当服务器返回验证不合法,提示客户端重新提供用户名及密码时,客户端需要清掉之前的Cookie值,重新进行第I步骤。每次保证提交的cookie中的用户名及密码仅当前的生效。
[0022]第6步:服务器还可以根据约定规则,决定客户端是否需要每次访问数据时,都需要服务器来验证合法性,还是只需要验证一次即可。这个是需要预先设定的规则。为了不 影响服务器端的性能,不建议开启每次都进行合法性验证。
【权利要求】
1.一种安全授权访问方法,客户端通过输入用户名和密码,服务器通过接收到客户端的用户名和密码与系统配置中保存的用户名和密码比较,如果匹配则访问,否则,拒绝该客户端的访问,其特征在于:包括以下步骤: 步骤A、客户端向服务器请求服务; 步骤B、客户端收到服务器的身份认证要求后,提示用户输入用户名和密码; 步骤C、在客户端的浏览器上,将用户名及密码填充到cookie字段拼接起来,然后进行加密,组成新的HTTP请求包提交给服务器; 步骤D、服务器后台接收到HTTP请求包,提取包头数据字段cookie,对该cookie进行解密,分解出客户端提交的用户名及密码; 步骤E、服务器将分解出的用户名及密码与系统配置中的用户名和密码比较,判断客户端是否合法,若客户端合法则返回客户端请求的数据,否则返回报错信息或者向客户端提出身份认证要求,转向步骤B。
2.根据权利要求1所述的安全授权访问方法,其特征在于:所述的步骤A中,客户端是首次向服务器提出请求服务。
3.根据权利要求1所述的安全授权访问方法,其特征在于:所述的步骤C中,cookie字段拼接起来,然后进行加密,是采用Base64编码方式加密或者采用MD5方法加密。
4.根据权利要求1所述的安全授权访问方法,其特征在于:所述的步骤C中,将将用户名及密码填充到cookie字段是采用“用户名:密码:action”,其中“action”是预先设定的标记。
5.根据权利要求1所述的安全授权访问方法,其特征在于:所述的步骤E中,在转向步骤B之前,还需要清除cookie值。
【文档编号】H04L9/32GK103475477SQ201310394260
【公开日】2013年12月25日 申请日期:2013年9月3日 优先权日:2013年9月3日
【发明者】佘喜 申请人:深圳市共进电子股份有限公司