操作授权方法、装置、终端以及服务器与流程
本发明涉及网络技术领域,特别涉及一种操作授权方法、装置、终端以及服务器。
背景技术:
随着网络技术的发展,很多应用场景下都涉及到操作授权过程,例如,以登录场景为例,如果用户想在某一个终端上登录即时通信应用的客户端,则可以在该终端上触发扫码登录功能,使得该终端上能够显示用于登录的二维码,再打开自己的手机上相应的客户端的扫描功能对该二维码进行扫描,从而将用户账号等授权给终端进行登录,从而完成整个登录流程。对于其他涉及到操作授权的流程,也可以与上述过程同理。
然而,现有操作授权方案的安全性,是基于用户在登录设备附近亲自确认授权,即“通过手机扫描二维码”则假定“用户就在登录设备附近”。而目前一种常见的盗号手段是盗号者通过复制、截屏等手段,获取自己的登录设备上的登录二维码,然后通过即时通讯软件,发送给受害者,然后诱骗受害者扫描该二维码进行授权。一旦用户确认授权后,盗号者便在自己的设备上登录上受害者的帐号,因此,实际上现有操作授权的方法,账号安全性较差。
技术实现要素:
为了解决现有技术的问题,本发明实施例提供了一种操作授权方法、装置、终端以及服务器。所述技术方案如下:
第一方面,提供了一种操作授权方法,应用于第一终端,所述方法包括:
通过第一近距离通讯方式获取第二终端提供的授权请求,将所述第一终端的终端信息发送至服务器;
基于从所述服务器获取的二次验证请求,通过第二近距离通讯方式获取所述第二终端提供的附加验证信息,将所述附加验证信息发送至所述服务器;
显示从所述服务器获取的授权确认页面,并基于所述授权确认页面对所述第二终端进行授权;
其中,所述第一近距离通讯方式和所述第二近距离通讯方式为相同方式或不同方式。
第一方面,提供了一种操作授权方法,应用于第二终端,所述方法包括:
当接收到指定操作指令时,通过第一近距离通讯方式提供授权请求;
基于从服务器获取到的附加验证信息,通过第二近距离通讯方式提供所述附加验证信息;
当从所述服务器获取到授权凭证时,基于所述授权凭证进行指定操作。
第一方面,提供了一种操作授权方法,应用于服务器,所述方法包括:
基于第二终端的请求,向所述第二终端发送授权请求,所述授权请求被提供为第一近距离通讯方式;
在接收到第一终端的终端信息时,获取附加验证信息;
向所述第二终端发送所述附加验证信息;
当接收到所述第一终端发送的待验证信息时,且所述待验证信息与所述附加验证信息匹配时,将授权确认页面发送至所述第一终端;
当接收到第一终端的确认信息时,向所述第二终端发送授权凭证。
一方面,提供了一种操作授权装置,应用于第一终端,所述装置包括:
获取模块,用于通过第一近距离通讯方式获取第二终端提供的授权请求;
发送模块,用于将所述第一终端的终端信息发送至服务器;
所述获取模块还用于基于从所述服务器获取的二次验证请求,通过第二近距离通讯方式获取所述第二终端提供的附加验证信息;
所述发送模块,还用于将所述附加验证信息发送至所述服务器;
显示模块,用于显示从所述服务器获取的授权确认页面;
授权模块,用于基于所述授权确认页面对所述第二终端进行授权;
其中,所述第一近距离通讯方式和所述第二近距离通讯方式为相同方式或不同方式。
一方面,提供了一种操作授权装置,应用于第二终端,所述装置包括:
提供模块,用于当接收到指定操作指令时,通过第一近距离通讯方式提供授权请求;
所述提供模块还用于基于从服务器获取到的附加验证信息,通过第二近距离通讯方式提供所述附加验证信息;
操作模块,用于当从所述服务器获取到授权凭证时,基于所述授权凭证进行指定操作。
一方面,提供了一种操作授权装置,该装置应用于服务器,该装置包括:
发送模块,用于基于第二终端的请求,向所述第二终端发送授权请求,所述授权请求被提供为第一近距离通讯方式;
接收模块,用于接收第一终端的终端信息;
获取模块,用于在接收到第一终端的终端信息时,获取附加验证信息;
该发送模块,还用于向所述第二终端发送所述附加验证信息;
该接收模块还用于接收第一终端发送的待验证信息;
该发送模块还用于当接收到所述第一终端发送的待验证信息时,且所述待验证信息与所述附加验证信息匹配时,将授权确认页面发送至所述第一终端;
该发送模块还用于当接收到第一终端的确认信息时,向所述第二终端发送授权凭证。
一方面,提供了一种终端,包括处理器和存储器,其中,所述存储器,用于存放计算机程序;所述处理器,用于执行存储器上所存放的程序,实现第一方面和第二方面任一所述的方法步骤。
一方面,提供了一种服务器,包括处理器和存储器,其中,所述存储器,用于存放计算机程序;所述处理器,用于执行存储器上所存放的程序,实现第三方面方法步骤。
上述任一方面中,指定操作均可以为登录操作,也即是,当第二终端想要登录某一个应用时,可以通过附加验证过程,来实现更加具有安全保证的登录。
本发明实施例提供的方法,在第二终端请求第一终端对其指定操作进行授权时,会在正式授权之前获取第二终端上所提供的附加验证信息,由于附加验证信息的获取是基于近距离通讯方式进行,受到终端之间距离的限制,因此能够验证两个终端在物理空间是处于很近的距离,且由于附加验证信息是服务器临时提供的,无法提前伪造,因此,可以通过这种附加验证的方式来保证登录的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种操作授权方法的实施环境示意图;
图2是本发明实施例提供的一种操作授权方法的流程图;
图3是第一终端和第二终端在操作授权过程中所显示界面的示意图;
图4是本发明实施例提供的一种附加验证信息的示意图;
图5是本发明实施例提供的一种操作授权装置的结构示意图;
图6是本发明实施例提供的一种操作授权装置的结构示意图;
图7是本发明实施例提供的一种操作授权装置的结构示意图;
图8是根据一示例性实施例示出的一种终端800的框图;
图9是根据一示例性实施例示出的一种服务器900的框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
图1是本发明实施例提供的一种操作授权方法的实施环境示意图。在该实施环境中包括第一终端101、第二终端102和服务器103。
其中,第一终端101可以安装有应用的第一客户端,第二终端102可以也安装有该应用的第二客户端,该第一客户端和第二客户端可以为相同版本的客户端,也可以为不同版本的客户端,例如,第一客户端可以为手机版客户端,而第二客户端可以为pc版客户端,当用户想要基于第一客户端已经登录的用户信息来在第二终端102上进行登录时,可以通过在第一客户端上打开扫描功能,对第二客户端上所显示的登录用的图形码来实现。另外,第二终端也可以采用浏览器客户端打开服务器的门户网站,从而进行登录,其具体操作方式与上述基于两个客户端的登录同理,在此不做赘述。当然,上述终端还可以具有声波收发以及nfc功能等功能。其中,声波收发可以是指声音信号的收发或者电磁波信号的收发。其中,声音信号可以是终端可以采集的任一频率的声音信号,例如超声波等。对于声音信号的播放可以通过终端的扬声器进行,而对其采集可以通过终端的麦克风进行,而对于电磁波信号的采集和发射可以通过终端的天线进行。
该服务器103可以是为第一客户端和第二客户端提供服务的服务器,并且该服务器103还可以具有对应的门户网站,以供终端进行网页访问。
在发明实施例中,当服务器为第二终端提供授权请求(例如登录请求)时,会基于第一近距离通讯方式提供,此时,第一终端可以采用所述第一近距离通讯方式来对第二终端所提供的授权请求进行获取。而当服务器为第二终端提供了附加验证信息时,可以基于第二近距离通讯方式提供,此时,第一终端可以采用第二近距离通讯方式对第二终端所提供的附加验证信息进行获取,该第一近距离通讯方式和第二近距离通讯方式可以是相同方式,也可以是不同方式。具体地,该第一近距离通讯方式和所述第二近距离通讯方式均为图形码扫描、声波或近场通讯nfc中的一种或多种的组合。
对于本发明实施例提供的操作授权是指对指定操作的授权,例如登录操作的授权、支付操作的授权、转账操作的授权等任一种需要基于一定信息来进行的操作授权。以登录操作的授权为例,其授权信息为用户账号以及密码,或基于用户账号以及密码生成的加密信息或特征值等信息,以支付操作和转账的授权为例,其授权信息可以为卡号或账户标识以及密码,或基于账户标识以及密码生成的加密信息或特征值等信息等等,本发明实施例对此不做具体限定。
图2是本发明实施例提供的一种操作授权方法的流程图。在本发明实施例中,仅以指定操作为登录操作、第一近距离通讯方式和第二近距离通讯方式均为图形码扫描为例进行说明,该方法的实施可以基于图1中的实施环境进行,参见图2,该方法包括:
201、第二终端向服务器发送登录请求,该登录请求用于请求在第二终端上登录服务器。
对于第二终端来说,当第二终端用户想要登录服务器时,可以向服务器发送登录请求,该登录请求携带第二终端的终端信息。例如,该终端信息可以为终端标识,以告知服务器是哪个终端想要进行登录,当然,该终端信息还可以包括终端的网络地址(即ip(internetprotocol,网络协议)、地理位置信息(如经纬度信息)以及所连接的无线网络信息(如无线网络的ssid(servicesetidentifier,服务集标识))中任一项或多项。
在实际场景中,服务器可以提供多种登录方式,例如基于用户信息的登录方式(如账号密码登录)、基于短信验证码的登录方式(如短信验证登录)或者基于其他终端的登录用户信息的登录方式(如扫描二维码登录)。如果第二终端用户选择基于其他终端的登录方式来进行登录,则还可以在登录请求中携带该第二终端所选择的登录方式的标识信息,使得服务器能够基于该标识信息进行处理。
需要说明的是,该第二终端可以是通过服务器对应的客户端进行上述操作,还可以是通过服务器的门户网站进行上述操作,本发明实施例对此不做限定。
202、服务器接收该登录请求,生成该登录请求的图形码,该图形码至少可以用于请求该第一终端的终端信息。
该图形码可以是条形码,例如一维码、二维码等能够承载信息的条形码。服务器在生成该图形码时,可以基于指定代码信息生成,该指定代码信息可以是一段用于请求该第一终端的终端信息的代码信息。在一种可能实现方式中,该指定代码信息还可以用于指示第一终端上传其账号信息(例如,账号以及密码)。
203、该服务器将该图形码发送至该第二终端。
204、当第二终端接收到该图形码时,显示该图形码。
第二终端在接收到该图形码时,会在第二终端的指定区域内显示该图形码,在显示该图形码的同时,还可以显示操作提示信息,该操作提示信息可以是用于提示用户如何进行操作的信息。例如,可以在图形码的下方显示该操作提示信息“请打开手机客户端进行扫描”等。
参见图3中的(a)图,其所显示的即是第二终端想要进行扫描二维码登录时由服务器所提供的二维码。
205、该第一终端对第二终端所提供的图形码进行扫描,至少将该第一终端的终端信息发送至服务器。
当第一终端对第二终端上所显示的图形码进行扫描时,可以得到该图形码所携带的指定代码信息,通过执行该指定代码信息调取第一终端的终端信息。进一步地,第一终端在扫描后,还可以获取第一终端的授权信息,该授权信息可以是指指定操作所需信息,如用户的账号和密码;或,用户的账户名和支付密码等。
参见图3中的(c)图,其所显示的即是第一终端开启二维码扫描功能时屏幕上所显示的扫描区域。
当然,上述步骤202至205中,服务器在为第二终端提供授权请求时,是基于图形码提供的,而在实际场景中,该服务器还可以基于声波或nfc来提供该授权请求,基于声波形式来提供时,上述步骤202至205可以被替换为:服务器生成声波形式的授权请求,该服务器将该声波形式的授权请求发送至该第二终端。当第二终端接收到该声波形式的授权请求时,播放该授权请求。该第一终端对第二终端所播放的授权请求进行采集,从而获取到该授权请求,并基于该授权请求向服务器发送第一终端的终端信息。而基于nfc形式来提供时,上述步骤202至205可以被替换为:服务器生成授权请求,该服务器将授权请求发送至该第二终端。当第二终端接收到该授权请求时,通过nfc芯片提供该授权请求。该第一终端通过配置于第一终端的nfc芯片和配置于第二终端的nfc芯片之间的交互,获取到该授权请求,并基于该授权请求向服务器发送第一终端的终端信息。另外,上述基于图形码扫描、声波方式以及nfc等进行的提供还可以结合至少两种近距离通讯方式进行,与后续基于第二近距离通讯方式提供附加验证信息同理,在此不做赘述。
当然,如果需要在发送终端信息时发送授权信息,则上述替换步骤中,也可以采用同理的方式,在发送终端信息时向服务器发送第一终端的授权信息。
206、服务器接收到该第一终端的终端信息,根据该第一终端的终端信息以及第二终端的终端信息,对登录请求进行验证。
如果第一终端的终端信息和第二终端的终端信息均包含能够表示地理位置的信息,例如网络地址或地理位置信息或已连接的无线网络信息,则服务器可以通过下述验证过程(1),来根据该两个终端的终端信息,来初步判断该登录请求是否存在授权登录风险。
(1)判断第一终端和第二终端之间的地理位置关系是否满足预设要求。
如果确定两个终端的相对地理位置小于预设距离,则认为不存在授权登录风险,可以不执行附加验证流程,而如果确定两个终端的相对地理位置大于或等于预设距离,则认为存在授权登录风险,可以执行后续步骤207。
在一种可能实施中,第一终端在发送所述第一终端的终端信息时,还会将所述第一终端的授权信息发送至服务器,则服务器可以基于接收到的第一终端的授权信息、终端信息以及第二终端的终端信息,来初步判断该登录请求是否存在授权登录风险,当确定该登录请求存在授权登录风险时,执行步骤207。
具体验证过程可以包括下述(2)-(3)中至少一个验证过程:
(2)第二终端是不是这个用户的常用登录终端。
根据第一终端的授权信息,获取该用户信息的常用登录终端的终端标识,如果该第二终端的终端标识与该常用登录终端的终端标识不同,则可以确定该第二终端不是该用户的常用登录终端,存在授权登录风险,而如果相同,则可以确定该第二终端是该用户的常用登录终端。
(3)第二终端是否属于黑名单设备。
根据第二终端的终端标识和/或网络地址查询黑名单,如果该终端标识在黑名单中或该网络地址在黑名单中,则可以确定该第二终端属于黑名单设备,存在授权登录风险。
针对上述(1)至(3)验证过程,可以仅基于一个验证过程进行初步验证,还可以基于两个或两个以上的验证过程进行初步验证,在基于两个或两个以上的验证过程进行初步验证时,可以在任一个验证过程的验证结果确定存在授权登录风险时,执行后续基于附加验证信息进行验证的过程。本发明实施例对具体验证顺序不做限定。
当然,该初步验证还可以包括登录时间的验证,例如,基于第一终端的登录时间和第一终端的历史登录习惯时间,判断该登录时间是否在历史登录习惯时间的时间段内,如果不在,则确定存在授权登录风险,执行步骤207,如果在该时间段内,则可以省略该附加验证。其中,历史登录习惯时间可以是根据用户在历史时间内进行登录时,登录次数大于预设次数或是登录频率大于预设频率的时间段。
具体地,如果第一终端支持gps定位,则可以通过gps定位系统获取该第一终端的地理位置信息(例如经纬度信息),并将该地理位置信息发送至服务器,而如果第一终端可以获取到此时连接的无线网络信息,则也可以将该无线网络信息发送至服务器。需要说明的是,具体获取并发送哪种信息可以根据终端本身的能力确定,也即是,第一终端可以获取地理位置信息和终端所连接的无线网络信息中的至少一项,并将所获取到的信息发送至服务器。
需要说明的是,在发送授权信息时,可以是与终端信息在一起发送,还可以是与终端信息分别发送,本发明实施例对具体发送方式不做限定。
在一种可能实施中,当验证确定当前操作可疑时,服务器可以向第一终端发送指示信息,该指示信息用于指示第一终端保持扫描状态,以便对后续第二终端所接收到的附加验证信息进行扫描。
当然,在上述步骤206中服务器对该登录请求进行了初步验证,基于初步验证的验证结果确定是否执行步骤207,而在实际场景中,还可以不进行步骤206的初步验证,而是直接执行步骤207来增加附加验证过程,以降低授权风险。
207、当验证确定当前操作可疑,则服务器获取附加验证信息。
当服务器接收到该第一终端发送的终端信息时,则可以获知第二终端想要基于第一终端的用户信息进行登录,为了达到进一步保障登录安全的目的,可以获取用于进行进一步验证的附加验证信息。
在一种可能实施中,当第一终端发送了第一终端的终端信息和授权信息时,该服务器可以随机获取附加验证信息,也可以基于第一终端的授权信息和/或终端信息来获取附加验证信息。该获取过程具体可以包括下述任一步骤或任几个步骤的组合:
步骤1:获取与该授权信息相关的图像。该与授权信息相关的图像可以是用户头像图像、用户上传的任一张图像等。以用户头像图像为例,服务器可以根据接收到的授权信息,从用户注册信息中获取该授权信息对应的用户头像图像。
步骤2:获取与该授权信息相关的字符信息。该与授权信息相关的字符信息可以是用户昵称、用户注册信息中任一项。以用户昵称为例,服务器可以根据接收到的授权信息,从用户注册信息中获取该授权信息对应的用户昵称。
步骤3:获取随机数据信息。服务器还可以将随机生成的字符信息作为附加验证信息。该具体随机算法可以采用任一种随机算法,而字符信息可以用于指代文字、数字、字母、符号等任一类或者几类的组合。例如,随机数据信息可以是验证信息的二维码、水印纹理或验证码。
步骤4:获取指定音频片段。服务器还可以生成一段音频,该音频可以是一段文字信息,还可以是一段音乐或歌曲。
需要说明的一点是,在实际场景中,在获取附加验证信息时,可以结合上述步骤1-步骤4中任一个或任几个步骤进行,也即是,获取到的附加验证信息可以包括与该授权信息相关的图像、与该授权信息相关的字符信息、随机数据信息以及指定音频片段中的一项或多项。例如,该附加验证信息可以包括该用户头像图像,又例如,该附加验证信息可以包括用户头像图像和用户昵称,再例如,如图4中所示,该附加验证信息还可以包括用户头像图像、用户昵称和随机数据信息。
在一种可能实施中,当当第一终端仅发送了第一终端的终端信息时,该服务器可以随机获取附加验证信息,或者基于第一终端的终端信息来获取附加验证信息。例如,将第一终端的终端标识中的各个字符进行乱序处理或加入扰码,以得到附加验证信息。
208、该服务器将该附加验证信息发送至该第二终端。
209、第二终端在接收到附加验证信息时,显示该附加验证信息。
第二终端在接收到附加验证信息时,可以刷新显示界面,以显示该附加验证信息,该附加验证信息上还可以显示有操作提示信息,用以提示用户如何进行操作。当该附加验证信息中还包括指定音频片段时,第二终端还可以在显示该附加验证信息中的其他信息时,播放该指定音频片段。
参见图3中的(b)图,其所显示的即是第二终端所接收到的附加验证信息的示意图。
210、第一终端在保持原扫描状态的状况下,对该第二终端上所显示的图像进行扫描,得到该附加验证信息。其中,所述原扫描状态即步骤205中第一终端对第二终端所提供的图形码进行扫描的状态。
对于第一终端来说,可以在发送用户信息和登录信息之后保持扫描状态,还可以是在接收到发送用户信息和登录信息之后接收到服务器反馈的指示信息,基于指示信息的指示,保持扫描状态,本发明实施例对此不做具体限定。当然,该步骤210还可以关闭扫描状态并采用其他任一种近距离通讯方式来获取附加验证信息。
而如果步骤205中所采取的近距离通讯方式是图形码扫描以外的方式时,该保持原状态可以是指保持步骤205中所采取的近距离通讯方式开启的状态,当然,步骤205和210不必须采取相同的近距离通讯方式,因此,该步骤210也可以切换至原近距离通讯方式以外的近距离通讯方式来获取附加验证信息。例如,如果步骤205中采取的是声波方式,则该步骤210可以持续采集声波,也可以切换至图形码扫描。
具体地,该扫描过程可以为:通过该拍摄模组对该第一终端上所显示的该附加验证信息进行拍摄,得到拍摄图片,该拍摄图片包括该附加验证信息。此时,可以将拍摄图片直接作为附加验证信息,也可以通过第一终端对拍摄图片的解析,以得到附加验证信息。
在另一种实施方式中,该扫描过程还可以为:通过该拍摄模组对该第一终端上所显示的图像进行扫描,得到该附加验证信息。该扫描与步骤205中的扫描过程同理,可以是边采集图像边进行图像解析,以得到附加验证信息。
由于第一终端保持扫描状态并持续对第二终端的显示界面进行扫描,从而在第二终端上显示该附加验证信息时,可以通过扫描以获取该附加验证信息。
当然,在附加验证信息还包括指定音频片段时,通过该第一终端的麦克风对声音信号进行采集,得到该第一终端正在播放的指定音频片段。这种采用声音采集来进行的验证,可以丰富验证方式,且由于声音本身传播距离有限,因此,可以通过声音采集来证实第一终端和第二终端位于一定距离内,进一步证实操作用户是同一个,提高其安全性的保证。
参见图3中的(d)图,其所显示的即是第一终端在扫描完二维码后保持扫描状态时屏幕上所显示的扫描区域。
该步骤209和210是以该附加验证信息是第二终端获取到以图形码方式提供的该附加验证信息,而第一终端通过图形码扫描方式来获取该附加验证信息为例进行说明的,而在实际场景中,上述步骤209和210还可以替换为以下步骤:第二终端在接收到附加验证信息时,将附加验证信息转换为声波形式,并通过扬声器播放该附加验证信息;或,第二终端在接收到声波形式的附加验证信息时,并通过扬声器播放该附加验证信息。第一终端通过麦克风对该第二终端所发出的声波形式的附加验证信息进行采集,得到该附加验证信息。或者,上述步骤209和210还可以替换为以下步骤:第二终端在接收到附加验证信息时,将该附加验证信息通过nfc芯片提供。第一终端通过配置于第一终端的nfc芯片和配置于第二终端的nfc芯片之间的交互,获取该附加验证信息。
当然,上述基于图形码扫描、声波方式以及nfc等进行的提供还可以结合至少两种近距离通讯方式进行,例如,该第二终端在接收到附加验证信息时,通过扬声器播放以及显示屏上显示图形码的形式提供附加验证信息。第一终端通过麦克风对该第二终端所发出的声波形式的附加验证信息进行采集,以及对该第二终端上所显示的图像进行扫描,得到该附加验证信息。需要说明的是,当采用至少两种近距离通讯方式进行附加验证信息提供时,可以基于每种近距离通讯方式提供相同的附加验证信息,以便可以通过最终得到的附加验证信息互相校验,保证获取到的附加验证信息准确,或者有不准确的地方可以互相查漏补缺。当然,还可以基于每种近距离通讯方式提供附加验证信息的一部分,以便在分别得到附加验证信息的一部分时,可以将多个部分拼接,以得到完整的附加验证信息,以能够保证两个终端之间的距离足够近,近到能够满足该至少两种近距离通讯方式对距离的要求,能够进一步提高安全性。
在实际场景中,服务器为第二终端提供的授权请求时所涉及到的近距离通讯方式以及服务器为第二终端提供附加验证信息时所涉及的近距离通讯方式可以是相同通讯方式,也可以是不同通讯方式,本发明实施例对此不做限定。
211、第一终端将附加验证信息发送至该服务器。
可选地,第一终端可以将指定音频片段和附加验证信息的其他内容发送至服务器,还可以对获取到的指定音频片段进行解析,得到该指定音频片段的文字验证信息;将该文字验证信息加入至该附加验证信息中,并将该附加验证信息发送至该服务器。
212、当该服务器接收到该第一终端发送的待验证信息时,且该待验证信息与该附加验证信息匹配时,将授权确认页面发送至该第一终端,该授权确认页面用于在该第一终端上对该指定操作进行授权。
服务器在接收到第一终端发送的待验证信息时,可以判断该待验证信息与服务器之前获取到的附加验证信息是否匹配,该匹配可以是指两个信息完全相同,也可以是指信息之间的相似度大于预设相似度,而在确定匹配时,则说明此时第二终端的登录合法。由于该附加验证信息是临时生成的,因此,攻击者无法提前获取到,使得附加验证过程更加能够体现第一终端和第二终端之间的关系,达到更好的安全目的。
213、第一终端在接收到授权确认页面时,显示该授权确认页面。
该授权确认页面可以提供有授权事项以及授权确认按键,该授权事项可以是登录授权、付款授权等,由第一终端用户根据自身的使用需求来确认是否对第二终端的该授权事项进行授权。本发明实施例的第一终端在进行了至少两次扫描以及通过了至少两次验证之后,才显示授权确认页面,可以大大提高整个登录过程的安全性。参见图3中的(e)图,其所显示的即是第一终端接收到授权确认页面的显示示意图。
214、当在第一终端上检测到对授权确认页面的确认操作时,第一终端向该服务器发送授权确认指令。
该确认操作可以是对授权确认页面的授权确认按键进行的触发操作,该触发操作可以是点击操作或其他授权确认页面所指示的操作,本发明实施例对此不做具体限定。
上述步骤213至214是第一终端显示从所述服务器获取的授权确认页面,并基于所述授权确认页面对所述第二终端进行授权的过程。如果在第一终端发送终端信息时,未向服务器发送授权信息,则第一终端可以在向服务器发送授权确认指令时,将所述第一终端的授权信息发送至所述服务器,以实现后续授权流程。
215、该服务器接收到授权确认指令时,向第二终端发送登录授权凭证,该登录授权凭证用于指示该第二终端在服务器上已经基于第一终端的用户信息登录成功。
216、第二终端接收该登录授权凭证,并基于登录授权凭证与服务器进行数据交互。
对于第二终端来说,在接收到登录授权凭证后,在向服务器发送操作请求时,则可以携带该登录授权凭证以证明自己是处于登录状态,而服务器在接收到携带该登录授权凭证的操作请求时,则可以为该第二终端基于该登录授权凭证所指示的用户信息进行服务。
需要说明的是,该图2所示实施例是以登录操作为例进行说明,而在实际场景中待授权的指定操作还可以有其他类型,此时,服务器所发放的可以是其他类型的授权凭证,如对于支付操作来说,其授权凭证可以是支付授权凭证,其他类型指定操作同理,在此不做赘述。任一种指定操作均可以遵循上述步骤201至216的流程来进行,当然,允许不同指定操作的授权流程有细节上的变化,例如有新增或减少某个除附加验证流程以外的步骤,本发明实施例对此不做具体限制。
本发明实施例提供的方法,在第二终端请求第一终端对其指定操作进行授权时,会在正式授权之前获取第二终端上所提供的附加验证信息,由于附加验证信息的获取是基于近距离通讯方式进行,受到终端之间距离的限制,因此能够验证两个终端在物理空间是处于很近的距离,且由于附加验证信息是服务器临时提供的,无法提前伪造,因此,可以通过这种附加验证的方式来保证登录的安全性。进一步地,提供了多种近距离通讯方式,使得可适用的场景更加丰富,大大提高了功能上的实用性和可靠性。
图5是本发明实施例提供的一种操作授权装置的结构示意图。该装置应用于第一终端,该装置包括:
获取模块501,用于通过第一近距离通讯方式获取第二终端提供的授权请求;
发送模块502,用于将所述第一终端的终端信息发送至服务器;
所述获取模块501还用于基于从所述服务器获取的二次验证请求,通过第二近距离通讯方式获取所述第二终端提供的附加验证信息;
所述发送模块502,还用于将所述附加验证信息发送至所述服务器;
显示模块503,用于显示从所述服务器获取的授权确认页面;
授权模块504,用于基于所述授权确认页面对所述第二终端进行授权;
其中,所述第一近距离通讯方式和所述第二近距离通讯方式为相同方式或不同方式。
在一种可能实现方式中,所述第一近距离通讯方式和所述第二近距离通讯方式均为图形码扫描、声波或近场通讯nfc中的一种或多种的组合。
在一种可能实现方式中,该发送模块502还用于在发送所述第一终端的终端信息时,将所述第一终端的授权信息发送至所述服务器。
在一种可能实现方式中,该授权模块504用于当接收到对所述授权确认页面的授权确认指令时,将所述第一终端的授权信息发送至所述服务器。
在一种可能实现方式中,所述附加验证信息包括:用户头像图像、用户昵称以及随机字符中一项或多项的组合。
在一种可能实现方式中,所述指定操作为登录操作。
图6是本发明实施例提供的一种操作授权装置的结构示意图。该装置应用于第二终端,该装置包括:
提供模块601,用于当接收到指定操作指令时,通过第一近距离通讯方式提供授权请求;
所述提供模块601还用于基于从服务器获取到的附加验证信息,通过第二近距离通讯方式提供所述附加验证信息;
操作模块602,用于当从所述服务器获取到授权凭证时,基于所述授权凭证进行指定操作。
在一种可能实现方式中,该提供模块601用于当接收到指定操作指令时,将所述第二终端的终端信息发送至服务器;从所述服务器获取所述授权请求,并通过所述第一近距离通讯方式提供所述授权请求。
图7是本发明实施例提供的一种操作授权装置的结构示意图。该装置应用于服务器,该装置包括:
发送模块701,用于基于第二终端的请求,向所述第二终端发送授权请求,所述授权请求被提供为第一近距离通讯方式;
接收模块702,用于接收第一终端的终端信息;
获取模块703,用于在接收到第一终端的终端信息时,获取附加验证信息;
该发送模块701,还用于向所述第二终端发送所述附加验证信息;
该接收模块702还用于接收第一终端发送的待验证信息;
该发送模块701还用于当接收到所述第一终端发送的待验证信息时,且所述待验证信息与所述附加验证信息匹配时,将授权确认页面发送至所述第一终端;
该发送模块701还用于当接收到第一终端的确认信息时,向所述第二终端发送授权凭证。
在一种可能方式中,所述获取模块703用于当确定所述第二终端的请求存在授权风险时,获取所述附加验证信息。
需要说明的是:上述实施例提供的操作授权装置在操作授权时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的操作授权装置与操作授权方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本实施例提供了一种终端,该终端可以用于执行上述各个实施例中提供的操作授权方法。参见图8,该终端800包括:
终端800可以包括rf(radiofrequency,射频)电路110、包括有一个或一个以上计算机可读存储介质的存储器120、输入单元130、显示单元140、传感器150、音频电路160、wifi(wirelessfidelity,无线保真)模块170、包括有一个或者一个以上处理核心的处理器180、以及电源190等部件。本领域技术人员可以理解,图8中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
rf电路110可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,交由一个或者一个以上处理器180处理;另外,将涉及上行的数据发送给基站。通常,rf电路110包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(sim)卡、收发信机、耦合器、lna(lownoiseamplifier,低噪声放大器)、双工器等。此外,rf电路110还可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议,包括但不限于gsm(globalsystemofmobilecommunication,全球移动通讯系统)、gprs(generalpacketradioservice,通用分组无线服务)、cdma(codedivisionmultipleaccess,码分多址)、wcdma(widebandcodedivisionmultipleaccess,宽带码分多址)、lte(longtermevolution,长期演进)、电子邮件、sms(shortmessagingservice,短消息服务)等。
存储器120可用于存储软件程序以及模块,处理器180通过运行存储在存储器120的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器120可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端800的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器120可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器120还可以包括存储器控制器,以提供处理器180和输入单元130对存储器120的访问。
输入单元130可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地,输入单元130可包括触敏表面131以及其他输入设备132。触敏表面131,也称为触摸显示屏或者触控板,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面131上或在触敏表面131附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触敏表面131可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器180,并能接收处理器180发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触敏表面131。除了触敏表面131,输入单元130还可以包括其他输入设备132。具体地,其他输入设备132可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元140可用于显示由用户输入的信息或提供给用户的信息以及终端800的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元140可包括显示面板141,可选的,可以采用lcd(liquidcrystaldisplay,液晶显示器)、oled(organiclight-emittingdiode,有机发光二极管)等形式来配置显示面板141。进一步的,触敏表面131可覆盖显示面板141,当触敏表面131检测到在其上或附近的触摸操作后,传送给处理器180以确定触摸事件的类型,随后处理器180根据触摸事件的类型在显示面板141上提供相应的视觉输出。虽然在图8中,触敏表面131与显示面板141是作为两个独立的部件来实现输入和输入功能,但是在某些实施例中,可以将触敏表面131与显示面板141集成而实现输入和输出功能。
终端800还可包括至少一种传感器150,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板141的亮度,接近传感器可在终端800移动到耳边时,关闭显示面板141和/或背光。作为运动传感器的一种,重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于终端800还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路160、扬声器161,传声器162可提供用户与终端800之间的音频接口。音频电路160可将接收到的音频数据转换后的电信号,传输到扬声器161,由扬声器161转换为声音信号输出;另一方面,传声器162将收集的声音信号转换为电信号,由音频电路160接收后转换为音频数据,再将音频数据输出处理器180处理后,经rf电路110以发送给比如另一终端,或者将音频数据输出至存储器120以便进一步处理。音频电路160还可能包括耳塞插孔,以提供外设耳机与终端800的通信。
wifi属于短距离无线传输技术,终端800通过wifi模块170可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图8示出了wifi模块170,但是可以理解的是,其并不属于终端800的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器180是终端800的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器120内的软件程序和/或模块,以及调用存储在存储器120内的数据,执行终端800的各种功能和处理数据,从而对手机进行整体监控。可选的,处理器180可包括一个或多个处理核心;优选的,处理器180可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器180中。
终端800还包括给各个部件供电的电源190(比如电池),优选的,电源可以通过电源管理系统与处理器180逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源190还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
尽管未示出,终端800还可以包括摄像头、蓝牙模块等,在此不再赘述。具体在本实施例中,终端的显示单元是触摸屏显示器,终端还包括有存储器,该存储器用于存放计算机程序,且经配置由处理器来执行存储器上所存放的程序,以实现上述实施例中第一终端或第二终端的方法步骤。
图9是根据一示例性实施例示出的一种服务器900的框图。参照图9,服务器900包括处理器922,以及由存储器932所代表的存储器资源,用于存储可由处理部件922的执行的指令,例如计算机程序此外,处理器922被配置为执行该存储器上所存放的程序,以执行上述操作授权方法中服务器侧的方法步骤。
服务器900还可以包括一个电源组件926被配置为执行服务器900的电源管理,一个有线或无线网络接口950被配置为将服务器900连接到网络,和一个输入输出(i/o)接口958。服务器900可以操作基于存储在存储器932的操作系统,例如windowsservertm,macosxtm,unixtm,linuxtm,freebsdtm或类似。
本发明实施例还提供了一种计算机可读存储介质,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述第一终端或第二终端或服务器的操作授权方法的步骤。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!