专利名称:资源访问授权验证方法及系统的制作方法
技术领域:
本发明涉及网络资源安全领域,更具体地说,涉及一种可用于至少两系统之间的资源访问授权验证方法及系统。
背景技术:
当今网络发展越来越快,信息的传播速度日益增加。对于网络上的资源进行保护,也慢慢受广大IT企业关注。这里的资源包括,但不限于发票票据、工资单、报销凭证的电子扫描件、加密文件传输、收费视频、音频、各种文档等等。如果资源不保护,很有可能发生盗链、文件泄密等事件。一般浏览有一个重要的现象就是一个完整的页面并不是一次全部传送到客户端的。如果请求的是一个带有许多图片和其它信息的页面,那么最先的一个Http请求被传送 回来的是这个页面的文本,然后通过客户端的浏览器对这段文本的解释执行,发现其中还有图片,那么客户端的浏览器会再发送一条Http请求,当这个请求被处理后那么这个图片文件会被传送到客户端,然后浏览器会将图片安放到页面的正确位置,就这样一个完整的页面也许要经过发送多条Http请求才能够被完整的显示。基于这样的机制,就会产生一个问题,那就是盗链问题就是一个网站中如果没有起页面中所说的信息,例如图片信息,那么它完全可以将这个图片的连接到别的网站。这样没有任何资源的网站利用了别的网站的资源来展示给浏览者,提高了自己的访问量,而大部分浏览者又不会很容易地发现,这样显然,对于那个被利用了资源的网站是不公平的。一些不良网站为了不增加成本而扩充自己站点内容,经常盗用其他网站的链接。一方面损害了原网站的合法利益,另一方面又加重了服务器的负担。如果盗链者能够轻易的浏览服务器的影像资源,那么影像中包含的重要数据就存在泄密的可能,盗链者只需要知道图片的URL链接,即可对图片进行下载、存本地、转发到其他站点。
发明内容
本发明要解决的技术问题在于,提供一种可有效保证资源安全的资源访问授权验证方法及系统。本发明解决其技术问题所采用的技术方案是提供一种资源访问授权验证方法,用于客户端请求系统与资源提供系统之间的资源访问,包括以下步骤
51:客户端请求系统发出资源请求指令,所述资源请求指令中包含有验证密钥、以及用户参数信息;
52:资源提供系统接收所述资源请求指令,并对所述验证密钥进行验证,验证通过则进入步骤S3 ;
53:资源提供系统根据用户参数信息进行请求权限验证,在请求权限验证通过后,返回与所述资源请求指令对应的资源。
在本发明的资源访问授权验证方法中,所述客户端请求系统与资源提供系统为Web应用系统。在本发明的资源访问授权验证方法中,所述方法还包括步骤S4 :所述客户端请求系统和资源提供系统共同协商私有共用的密钥,所述资源提供系统中设置有密钥验证数据库;
在所述步骤S2中,对所述资源请求指令中的验证密钥在所述密钥验证数据库中进行验证,验证通过则进入步骤S3,否则返回无权访问信息。在本发明的资源访问授权验证方法中,所述步骤S3包括
S3-1 :所述资源提供系统将所述用户参数信息与所述资源提供系统的内存中的匹配数据进行请求权限验证,在请求权限验证通过后,执行步骤S3-2,在请求权限验证无法通过时,执行步骤S3-3 ; S3-2 :所述资源提供系统根据所述资源请求指令加载资源输出页面,并在加载资源输出页面对应的资源时,再次从发出所述资源请求指令的客户端请求系统中获得用户参数信息,并与所述资源提供系统的内存中的匹配数据进行请求权限验证,在请求权限验证通过后,返回对应的资源;
S3-3:所述资源提供系统将所述用户参数信息与所述资源提供系统中存储的用户库进行匹配,当匹配通过后,将所述用户参数信息写入到所述资源提供系统的内存中的匹配数据中,再执行步骤S3-1和S3-2 ;当匹配无法通过时,返回无权访问信息。 在本发明的资源访问授权验证方法的所述步骤S3-1中,所述用户参数信息包括用户名、以及与用户名对应的用户权限;所述匹配数据包括授权用户名、以及与授权用户名对应的授权用户权限;在进行请求权限验证时,所述用户名和用户权限能与所述授权用户名和授权用户权限匹配时,通过请求权限验证,否则无法通过。在本发明的资源访问授权验证方法的所述步骤S3-2中,在加载资源输出页面对应的资源时,解析资源对应标签的输出地址,把每地址转发给一个Handle处理;该Handle接收到地址的请求后,获取到地址中的参数值,并再次取客户端请求系统中获得用户参数信息,在请求权限验证通过后,根据地址中的参数值返回对应的资源。在本发明的资源访问授权验证方法的所述步骤S3-3中,所述客户端请求系统通过Web Service调用所述资源提供系统的授权接口模块,通过授权接口模块接收所述用户参数信息,并与所述资源提供系统中存储的用户库进行匹配,当匹配通过后,将所述用户参数信息写入到所述资源提供系统的内存中的匹配数据中。本发明还提供一种资源访问授权验证系统,包括连接通讯的客户端请求系统和资源提供系统,所述客户端请求系统包括请求模块,用于发出资源请求指令,所述资源请求指令中包含有验证密钥、以及用户参数信息;
所述资源提供系统包括
接入验证模块,用于验证来自所述客户端请求系统的验证密钥;
权限验证模块,用于对来自所述客户端请求系统的用户参数信息进行请求权限验证;处理模块,用于根据所述接入验证模块和权限验证模块的验证结果,对来自所述客户端请求系统的资源请求指令进行处理;以及存储模块,存储有密钥验证数据库和用户库。
在本发明的资源访问授权验证系统中,所述资源提供系统还包括
内存,用于存储匹配数据;以及
授权接口模块,与所述内存连接,用于将来自所述客户端请求系统的用户参数信息与所述用户库进行匹配,并将匹配的所述用户参数信息处理为所述匹配数据,并存储于所述内存中。在本发明的资源访问授权验证系统中,所述权限验证模块与所述内存连接,将来自所述客户端请求系统的用户参数信息与所述内存中的匹配数据进行请求权限验证。实施本发明具有以下有益效果通过验证密钥、请求权限验证等多重验证,确保了资源的安全性;而且,所有验证都在资源提供系统完成,可有效避免客户端请求系统的非法篡改,提高了资源的安全性。
另外,由于请求权限验证仅需要与内存中的匹配表进行,匹配表作为轻量的关系数据,避免了占用过多的资源提供系统资源,并且无需频繁的与存储模块的数据库、客户端请求系统进行频繁的交互,有效提高了运行性能。另外,即使在资源链接发生泄漏,也会保障该资源的安全,因为当有非法用户请求资源时,始终都会到资源提供系统进行访问资源,而访问资源时,必定会验证授权,这样非法用户始终无法读取资源,从而确保了资源的安全性。
下面将结合附图及实施例对本发明作进一步说明,附图中
图I是本发明资源访问授权验证系统一个实施例的示意框 图2是本发明资源访问授权验证方法的一个实施例的授权步骤的示意流程 图3是本发明资源访问授权验证方法的一个实施例的资源请求的示意流程图。
具体实施例方式如图I所示,是本发明的资源访问授权验证系统的一个实施例,包括可通讯连接的客户端请求系统10和资源提供系统20。在本实施例中,该客户端请求系统10和资源提供系统20为Web应用系统。其中,Web应用系统应用到Web Service技术,Web Service是一个应用组件,其逻辑性是为其他应用程序提供数据与服务。各应用程序通过网络协议和规定的一些标准数据格式(Http,XML, Soap)来访问Web Service,通过Web Service内部执行得到所需结果。Web Service可以执行从简单的请求到复杂商务处理的任何功能。一旦部署以后,其他Web Service应用程序可以发现并调用它部署的服务。其中,客户端请求系统10用于向资源提供系统20请求资源,包括请求模块11,用于发出资源请求指令。该资源请求指令中包含有验证密钥、以及用户参数信息等,当然,还包括请求资源的具体信息等。该资源提供系统20作为服务器,为客户端请求系统10提供资源,包括接入验证模块21、权限验证模块22、处理模块22、存储模块24、内存25等。该接入验证模块21用于对来自客户端请求系统10的验证密钥进行验证,通过将验证密钥与密钥验证数据库进行对比验证,以确定客户端请求系统10是否为合法用户。该权限验证模块22用于对来自客户端请求系统10的用户参数信息进行请求权限验证,通过将用户参数信息与内存25中的匹配数据进行对比,以确定该客户端请求系统10是否有对应资源的权限。该处理模块22用于根据接入验证模块21和权限验证模块22的验证结果,对来自客户端请求系统10的资源请求指令进行处理,对通过验证并具有权限的请求返回请求的资源。该存储模块24用于存储密钥验证数据库和用户库等,并供验证、授权使用。进一步的,该资源提供系统20还设有授权接口模块26,与内存25连接,用于将来自客户端请求系统10的用户参数信息与存储模块24的用户库进行匹配,并将匹配的用户参数信息处理为匹配数据,并存储于内存25中,以供权限验证模块22使用,即将来自客户端请求系统10的用户参数信息与内存25中的匹配数据进行请求权限验证。如图2、3所示,是本发明的资源访问授权验证方法的一个实施例。在本实施例中,该方法包括验证配置步骤、授权步骤、以及验证授权步骤等。 在配置步骤中(图未示),客户端请求系统10和资源提供系统20共同协商私有共用的密钥(如Passport密钥),资源提供系统20中设置有密钥验证数据库,由此来标识客户端请求系统10是否有权访问资源提供系统20。在访问资源提供系统20之前会读取一次密钥验证数据库,验证客户端请求系统10持有的密钥。如果符合资源提供系统20准许调用的密钥,才可访问资源提供系统20。如果密钥不符合,将判定为恶意授权或者授权被非法篡改,返回无权访问。该密钥可以采用Passport密钥,由资源提供系统20指定一个私有密钥存入密钥验证数据库的配置表字段中。客户端请求系统10会携带密钥到资源提供系统20,进行密钥验证。如果密钥与配置表字段相符,则认为该客户端请求系统10有权访问;否则输出无权访问信息,例如,返回无权访问通知、出错通知等。如图2所示,在客户端请求系统10向资源提供系统20发出资源请求指令请求资源时(S201),须进行请求权限验证(S202),资源提供系统20将用户参数信息与内存25中的匹配数据进行请求权限验证,在请求权限验证通过后,返回与资源请求指令对应的资源(S203);在请求权限验证无法通过时,需对客户端请求系统10进行授权。客户端请求系统10通过Web Service调用资源提供系统20的授权接口模块26,通过授权接口模块26接收用户参数信息(S204),并与资源提供系统20的存储模块24中存储的用户库进行匹配(S205),当匹配通过后,将用户参数信息写入到资源提供系统20的内存25的匹配数据中(S206);当匹配无法通过时,返回无权访问信息(S207)。可以理解的,该内存25中可保存全局的匹配数据,该表中保存有所有的授权用户名、以及与该授权用户名对应的授权用户权限。并且,资源提供系统20会记录该授权用户名的授权记录,生成日志,存入数据库。正是因为在内存25中保存轻量的关系数据,从而达到即不会过多的占用资源提供系统20的资源,也不会频繁的与数据库、客户端请求系统10交互,有效提高运行性能。如图3所示,是客户端请求系统10发出一个资源请求的流程图,首先,用户向客户端请求系统10请求资源。客户端请求系统10验证该用户是否有权发出请求,如果有权,则客户端请求系统10发出资源请求指令,资源请求指令中包含有验证密钥、以及用户参数信息;如果无权,则输出无权查看提示。
客户端请求系统10加载用户的资源请求指令,将资源请求指令发出至资源提供系统20,例如通过Web Server输出至资源提供系统20。资源提供系统20接收到资源请求指令,并对资源请求指令的验证密钥进行验证,验证无法通过时,输出无权查看提示;验证通过时,在该用户参数信息还没有写入资源提供系统20的内存25时,执行前面所述的对客户端请求系统10进行授权的步骤。
在用户参数信息已经存入内存25时,客户端请求系统10引用资源提供系统20的资源输出页面;并且,资源提供系统20验证该用户是否有权请求页面。资源提供系统20将用户参数信息与内存25中的匹配数据进行请求权限验证。用户参数信息包括用户名、以及与用户名对应的用户权限;匹配数据包括授权用户名、以及与授权用户名对应的授权用户权限。在进行请求权限验证时,用户名和用户权限能与授权用户名和授权用户权限匹配时,通过请求权限验证,否则无法通过。当验证客户端请求系统10无权访问资源输出页面时,输出无权查看指示。当验证客户端请求系统10有权访问资源输出页面时,继续验证是否有权请求该页面的对应资源,验证通过后,正常输出。否则,输出无权查看指示。在加载资源输出页面对应的资源时,解析资源对应标签的输出地址,把每地址转发给一个Handle处理;该Handle接收到地址的请求后,获取到地址中的参数值,并再次取客户端请求系统10中获得用户参数信息,在请求权限验证通过后,根据地址中的参数值返回对应的资源;从而,就算资源页面的链接泄漏或流转出去,访问者在进行页面资源访问时,也需要再次验证用户参数信息,非法用户无法通过验证,就无权浏览实际请求的资源,也无法进行用户授权,进一步的提高了系统的安全性。另外,即使客户端请求系统10的资源输出页面被泄露或流转出去,非法使用者还是需要经过上述授权、验证,同样可以起到防止资源盗用的风险,进一步的提高了系统的安全性。上述各技术特征之间可以根据需要进行组合出各种实施例,再次不做赘述。可以理解的,以上实施例仅表达了本发明的优选实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制;应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,可以对上述技术特点进行自由组合,还可以做出若干变形和改进,这些都属于本发明的保护范围;因此,凡跟本发明权利要求范围所做的等同变换与修饰,均应属于本发明权利要求的涵盖范围。
权利要求
1.一种资源访问授权验证方法,用于客户端请求系统与资源提供系统之间的资源访问,其特征在于,包括以下步骤 Si:客户端请求系统发出资源请求指令,所述资源请求指令中包含有验证密钥、以及用户参数信息; S2:资源提供系统接收所述资源请求指令,并对所述验证密钥进行验证,验证通过则进入步骤S3 ; S3 :资源提供系统根据用户参数信息进行请求权限验证,在请求权限验证通过后,返回与所述资源请求指令对应的资源。
2.根据权利要求I所述的资源访问授权验证方法,其特征在于,所述客户端请求系统与资源提供系统为Web应用系统。
3.根据权利要求I所述的资源访问授权验证方法,其特征在于,所述方法还包括步骤S4:所述客户端请求系统和资源提供系统共同协商私有共用的密钥,所述资源提供系统中设置有密钥验证数据库; 在所述步骤S2中,对所述资源请求指令中的验证密钥在所述密钥验证数据库中进行验证,验证通过则进入步骤S3,否则返回无权访问信息。
4.根据权利要求3所述的资源访问授权验证方法,其特征在于,所述步骤S3包括 S3-1 :所述资源提供系统将所述用户参数信息与所述资源提供系统的内存中的匹配数据进行请求权限验证,在请求权限验证通过后,执行步骤S3-2,在请求权限验证无法通过时,执行步骤S3-3 ; S3-2 :所述资源提供系统根据所述资源请求指令加载资源输出页面,并在加载资源输出页面对应的资源时,再次从发出所述资源请求指令的客户端请求系统中获得用户参数信息,并与所述资源提供系统的内存中的匹配数据进行请求权限验证,在请求权限验证通过后,返回对应的资源; S3-3:所述资源提供系统将所述用户参数信息与所述资源提供系统中存储的用户库进行匹配,当匹配通过后,将所述用户参数信息写入到所述资源提供系统的内存中的匹配数据中,再执行步骤S3-1和S3-2 ;当匹配无法通过时,返回无权访问信息。
5.根据权利要求4所述的资源访问授权验证方法,其特征在于,在所述步骤S3-1中,所述用户参数信息包括用户名、以及与用户名对应的用户权限;所述匹配数据包括授权用户名、以及与授权用户名对应的授权用户权限;在进行请求权限验证时,所述用户名和用户权限能与所述授权用户名和授权用户权限匹配时,通过请求权限验证,否则无法通过。
6.根据权利要求4所述的资源访问授权验证方法,其特征在于,在所述步骤S3-2中,在加载资源输出页面对应的资源时,解析资源对应标签的输出地址,把每地址转发给一个Handle处理;该Handle接收到地址的请求后,获取到地址中的参数值,并再次取客户端请求系统中获得用户参数信息,在请求权限验证通过后,根据地址中的参数值返回对应的资源。
7.根据权利要求4所述的资源访问授权验证方法,其特征在于,在所述步骤S3-3中,所述客户端请求系统通过Web Service调用所述资源提供系统的授权接口模块,通过授权接口模块接收所述用户参数信息,并与所述资源提供系统中存储的用户库进行匹配,当匹配通过后,将所述用户参数信息写入到所述资源提供系统的内存中的匹配数据中。
8.一种资源访问授权验证系统,包括连接通讯的客户端请求系统和资源提供系统,其特征在于,所述客户端请求系统包括请求模块,用于发出资源请求指令,所述资源请求指令中包含有验证密钥、以及用户参数信息; 所述资源提供系统包括 接入验证模块,用于验证来自所述客户端请求系统的验证密钥; 权限验证模块,用于对来自所述客户端请求系统的用户参数信息进行请求权限验证; 处理模块,用于根据所述接入验证模块和权限验证模块的验证结果,对来自所述客户端请求系统的资源请求指令进行处理;以及 存储模块,存储有密钥验证数据库和用户库。
9.根据权利要求8所述的资源访问授权验证系统,其特征在于,所述资源提供系统还包括 内存,用于存储匹配数据;以及 授权接口模块,与所述内存连接,用于将来自所述客户端请求系统的用户参数信息与所述用户库进行匹配,并将匹配的所述用户参数信息处理为所述匹配数据,并存储于所述内存中。
10.根据权利要求9所述的资源访问授权验证系统,其特征在于,所述权限验证模块与所述内存连接,将来自所述客户端请求系统的用户参数信息与所述内存中的匹配数据进行请求权限验证。
全文摘要
本发明涉及一种资源访问授权验证方法及系统。该方法用于客户端请求系统与资源提供系统之间的资源访问,包括以下步骤S1客户端请求系统发出资源请求指令,所述资源请求指令中包含有验证密钥、以及用户参数信息;S2资源提供系统接收所述资源请求指令,并对所述验证密钥进行验证,验证通过则进入步骤S3;S3资源提供系统根据用户参数信息进行请求权限验证,在请求权限验证通过后,返回与所述资源请求指令对应的资源。通过验证密钥、请求权限验证等多重验证,确保了资源的安全性;而且,所有验证都在资源提供系统完成,可有效避免客户端请求系统的非法篡改,提高了资源的安全性。
文档编号H04L9/32GK102868533SQ20121033853
公开日2013年1月9日 申请日期2012年9月13日 优先权日2012年9月13日
发明者肖翔, 黄平显, 胡劼 申请人:中科华核电技术研究院有限公司, 中国广东核电集团有限公司