信息安全管理方法、装置、计算机设备及可读存储介质与流程

1.本发明涉及信息安全的安全防护技术领域，尤其涉及一种信息安全管理方法、装置、计算机设备及可读存储介质。


背景技术：

2.当前，用户端在购买或预约客户端的产品时，通常是采用直接访问客户端中的页面，并将相应的用户信息录入到该客户端中，以进行产品的购买或预约。
3.但是，发明人意识到，在用户端与客户端之间进行信息交互的过程中，其交互的用户信息，很容易被非法客户端通过替代合法的客户端的方式所获得，给用户信息的安全性带来了极大的风险。


技术实现要素：

4.本发明的目的是提供一种信息安全管理方法、装置、计算机设备及可读存储介质，用于解决现有技术存在的在用户端与客户端之间交互的用户信息，很容易被非法客户端通过替代合法的客户端的方式所获得的问题。本申请可应用于智慧医疗场景中，从而推动智慧城市的建设。
5.为实现上述目的，本发明提供一种信息安全管理方法，包括：
6.接收用户端发送的访问信息、用户信息和授权信息，记录所述用户信息并根据所述访问信息生成跳转链接，及根据授权信息生成授权码；将所述授权码和跳转链接发送至所述用户端；所述授权码和跳转链接用于使所述用户端访问客户端；
7.接收客户端根据所述授权码和跳转链接发送的令牌请求；
8.根据所述令牌请求生成令牌信息，并将所述令牌信息发送至所述客户端；
9.接收客户端根据所述令牌信息发送的信息请求，及判断所述信息请求中的令牌信息，与所述根据令牌请求生成的令牌信息是否一致；若一致，则判定所述信息请求为合法请求并销毁所述令牌信息；
10.根据所述合法请求查询用户信息，将所述用户信息发送至所述客户端。
11.上述方案中，所述接收用户端发送的访问信息、用户信息和授权信息之前，所述方法还包括：
12.接收用户端发送的登录信息，对所述登录信息进行身份校验并判断所述登录信息是否有权登录；若有权登录，则向所述用户端发送登录成功信息，使所述用户端根据所述登录成功信息生成访问信息和用户信息；若无权登录，则向所述用户端发送登录失败信息并结束。
13.上述方案中，所述根据所述访问信息生成跳转链接的步骤，包括：
14.拦截所述访问信息并生成访问id；
15.对所述访问id和渠道信息进行拼接得到链接字符串；
16.对所述链接字符串进行加密得到跳转链接；
17.所述对所述链接字符串进行加密得到跳转链接之后，所述方法还包括：
18.将所述跳转链接上传至区块链中。
19.上述方案中，所述根据所述令牌请求生成令牌信息之前，所述方法还包括：
20.提取所述令牌请求中的授权码，并验证所述授权码是否有效；
21.若所述授权码无效，则向所述客户端发送拒绝访问信息并结束。
22.上述方案中，所述验证所述授权码是否有效的步骤，包括：
23.将所述根据授权信息生成的授权码设为第一授权码，将所述令牌请求中的授权码设为第二授权码；
24.将对比所述第一授权码和第二授权码是否一致；
25.若所述第一授权码与第二授权码一致，则判断所述第一授权码是否具有使用标签，所述使用标签是用于反映所述第一授权码已被使用的标识；
26.若不具有使用标签，则判定所述第二授权码有效，并在所述第一授权码中插入使用标签，以标识所述第一授权码已被使用；
27.若具有使用标签，则判定所述第二授权码无效；
28.若所述第一授权码与第二授权码不一致，则判定所述第二授权码无效。
29.上述方案中，所述根据所述合法请求查询用户信息之前，所述方法还包括：
30.提取所述合法请求中的令牌信息，并验证所述令牌信息是否有效；
31.若所述令牌信息无效，则对所述令牌信息进行更新形成重置令牌信息，将所述重置令牌信息发送至所述客户端，使所述客户端根据所述重置令牌信息生成信息请求。
32.上述方案中，所述验证所述令牌信息是否有效的步骤，包括：
33.计算提取所述合法请求中令牌信息的时间，与所述令牌信息的生成时间之间的时间差；
34.提取所述令牌信息中的过期时间；
35.判断所述时间差是否大于所述过期时间；
36.若是，则判定所述令牌信息无效；
37.若否，则判定所述令牌信息有效。
38.为实现上述目的，本发明还提供一种信息安全管理装置，包括：
39.授权链接模块，用于接收用户端发送的访问信息、用户信息和授权信息，记录所述用户信息并根据所述访问信息生成跳转链接，及根据授权信息生成授权码；将所述授权码和跳转链接发送至所述用户端；所述授权码和跳转链接用于使所述用户端访问客户端；
40.请求输入模块，用于接收客户端根据所述授权码和跳转链接发送的令牌请求；
41.令牌生成模块，用于根据所述令牌请求生成令牌信息，并将所述令牌信息发送至所述客户端；
42.请求判断模块，用于接收客户端根据所述令牌信息发送的信息请求，及判断所述信息请求中的令牌信息，与所述根据令牌请求生成的令牌信息是否一致；若一致，则判定所述信息请求为合法请求并销毁所述令牌信息；
43.信息输出模块，用于根据所述合法请求查询用户信息，将所述用户信息发送至所述客户端。
44.为实现上述目的，本发明还提供一种计算机设备，其包括存储器、处理器以及存储
在存储器上并可在处理器上运行的计算机程序，所述计算机设备的处理器执行所述计算机程序时实现上述信息安全管理方法的步骤。
45.为实现上述目的，本发明还提供一种计算机可读存储介质，所述可读存储介质上存储有计算机程序，所述可读存储介质存储的所述计算机程序被处理器执行时实现上述信息安全管理方法的步骤。
46.本发明提供的信息安全管理方法、装置、计算机设备及可读存储介质，通过访问信息制成跳转链接以便于用户端访问客户端中的页面，同时，通过授权信息获取用户的授权并生成授权码，使得客户端需要根据所述授权码方可获得所述页面需要加载的用户信息，不仅无需用户端进行复杂的许可操作方可访问所述页面，保证了用户端访问客户端中的页面的通畅性，还通过授权码使得有权获取用户信息的客户端能够准确全面的获得相应用户信息并加载其页面，避免了因客户端直接从用户端获取用户信息，导致用户信息被非法的或不具信任度的客户端获得，造成用户信息的安全性受到极大的损坏的情况发生，保证了用户信息的安全性。
47.通过对所述信息请求中的令牌信息，与根据令牌请求生成的令牌信息进行对比，避免了非法客户端通过跨站点请求伪造的方式伪造令牌信息以获取用户信息的情况发生，进一步的确保获取用户信息的客户端是有权客户端，提高了用户信息的安全性。
附图说明
48.图1为本发明信息安全管理方法实施例一的流程图；
49.图2为本发明信息安全管理方法实施例二中信息安全管理方法的环境应用示意图；
50.图3是本发明信息安全管理方法实施例二中信息安全管理方法的具体方法流程图；
51.图4为本发明信息安全管理装置实施例三的程序模块示意图；
52.图5为本发明计算机设备实施例四中计算机设备的硬件结构示意图。
具体实施方式
53.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
54.本发明提供的信息安全管理方法、装置、计算机设备及可读存储介质，适用于信息安全的安全防护技术领域，为提供一种基于授权链接模块、请求输入模块、令牌生成模块、请求判断模块、信息输出模块的信息安全管理方法。本发明通过记录所述用户信息并根据所述访问信息生成跳转链接，及根据授权信息生成授权码；将所述授权码和跳转链接发送至所述用户端；根据所述令牌请求生成令牌信息，并将所述令牌信息发送至所述客户端；接收客户端根据所述令牌信息发送的信息请求，及判断所述信息请求中的令牌信息，与所述根据令牌请求生成的令牌信息是否一致；若一致，则判定所述信息请求为合法请求并销毁所述令牌信息；根据所述合法请求查询用户信息，将所述用户信息发送至所述客户端。
55.实施例一：
56.请参阅图1，本实施例的一种信息安全管理方法，包括：
57.s101：接收用户端发送的访问信息、用户信息和授权信息，记录所述用户信息并根据所述访问信息生成跳转链接，及根据授权信息生成授权码；将所述授权码和跳转链接发送至所述用户端；所述授权码和跳转链接用于使所述用户端访问客户端。
58.s102：接收客户端根据所述授权码和跳转链接发送的令牌请求。
59.s104：根据所述令牌请求生成令牌信息，并将所述令牌信息发送至所述客户端。
60.s106：接收客户端根据所述令牌信息发送的信息请求，及判断所述信息请求中的令牌信息，与所述根据令牌请求生成的令牌信息是否一致；若一致，则判定所述信息请求为合法请求并销毁所述令牌信息。
61.s108：根据所述合法请求查询用户信息，将所述用户信息发送至所述客户端。
62.于本实施例中，通过访问信息制成跳转链接以便于用户端访问客户端中的页面，同时，通过授权信息获取用户的授权并生成授权码，使得客户端需要根据所述授权码方可获得所述页面需要加载的用户信息，不仅无需用户端进行复杂的许可操作方可访问所述页面，保证了用户端访问客户端中的页面的通畅性，还通过授权码使得有权获取用户信息的客户端能够准确全面的获得相应用户信息并加载其页面，避免了客户端直接从用户端获取用户信息，导致用户信息被非法的或不具信任度的客户端获得，导致用户信息的安全性受到极大的损坏的情况发生，保证了用户信息的安全性。
63.通过对所述信息请求中的令牌信息(即：access_token的值)，与根据令牌请求生成的令牌信息(即：access_token的值)进行对比，若一致，则判定该信息请求为合法请求；若不一致，则判定该信息请求为非法请求，避免了非法客户端通过跨站点请求伪造(如，anti csrf攻击)的方式伪造令牌信息以获取用户信息的情况发生，进一步的确保获取用户信息的客户端是有权客户端，提高了用户信息的安全性。通过销毁所述令牌信息保证客户端只能获取一次用户信息，避免了客户端重复发送信息请求，导致运行有信息安全管理方法的服务器运行负担过重的情况发生。
64.需要说明的是，所述客户端根据跳转链接获取与访问信息中页面信息对应的页面，提取所述页面中所需的信息制定信息请求。例如：如果页面信息是产品购买信息，其对应的页面则为产品购买页面，基于上述举例，所述产品购买页面所需的用户信息是用户唯一标识，结合所述令牌信息和用户唯一标识形成信息请求。
65.本申请可应用于智慧医疗场景中，从而推动智慧城市的建设。
66.实施例二：
67.本实施例为上述实施例一的一种具体应用场景，通过本实施例，能够更加清楚、具体地阐述本发明所提供的方法。
68.下面，以在运行有信息安全管理方法的服务器中，并生成跳转链接及授权码，对客户端发送的令牌请求生成令牌信息，及根据合法请求查询用户信息，将所述用户信息发送至所述客户端为例，来对本实施例提供的方法进行具体说明。需要说明的是，本实施例只是示例性的，并不限制本发明实施例所保护的范围。
69.图2示意性示出了根据本申请实施例二的信息安全管理方法的环境应用示意图。
70.在示例性的实施例中，信息安全管理方法所在的服务器2通过网络分别连接用户
端3和客户端4；所述服务器2可以通过一个或多个网络提供服务，网络可以包括各种网络设备，例如路由器，交换机，多路复用器，集线器，调制解调器，网桥，中继器，防火墙，代理设备和/或等等。网络可以包括物理链路，例如同轴电缆链路，双绞线电缆链路，光纤链路，它们的组合和/或类似物。网络可以包括无线链路，例如蜂窝链路，卫星链路，wi
‑
fi链路和/或类似物；所述用户端3可为智能手机、平板电脑、笔记本电脑、台式电脑等计算机设备，所述客户端4可为运行有用于服务用户端的页面的计算机服务器。
71.图3是本发明一个实施例提供的一种信息安全管理方法的具体方法流程图，该方法具体包括步骤s200至s210。
72.s200：接收用户端发送的登录信息，对所述登录信息进行身份校验并判断所述登录信息是否有权登录；若有权登录，则向所述用户端发送登录成功信息，使所述用户端根据所述登录成功信息生成访问信息和用户信息；若无权登录，则向所述用户端发送登录失败信息并结束。
73.为避免无权用户端登录运行有信息安全管理方法的服务器，使其获取客户端的信息，导致客户端的信息出现风险的情况发生，
74.本步骤通过对用户端发送的登录信息进行身份校验，以判断该用户端是否有权登录服务器，避免了无权用户端通过登录所述服务器窃取客户端信息的情况发生。
75.于本实施例中，采用登录数据库保存用户端预先注册的登录信息，所述登录信息包括用户唯一标识(如，账号信息)和用户加密信息(如，登录密码)，所述用户唯一标识和用户加密信息以key
‑
value键值对的形式保存在登录数据库中，其中，所述用户唯一标识为所述键值对的主键，所述用户加密信息为所述键值对的键值。
76.所述对所述登录信息进行身份校验并判断所述登录信息是否通过的步骤，包括：
77.s01：识别所述登录数据库中与所述待测信息的用户唯一标识一致的主键，
78.s02：提取与所述主键对应的键值，并将所述键值设为标准加密信息，
79.s03：判断所述登录信息中的用户加密信息与所述标准加密信息是否一致；
80.s04：若是，则判定所述登录信息有权登录；
81.s05：若否，则判定所述登录信息无权登录。
82.s201：接收用户端发送的访问信息、用户信息和授权信息，记录所述用户信息并根据所述访问信息生成跳转链接，及根据授权信息生成授权码；将所述授权码和跳转链接发送至所述用户端；所述授权码和跳转链接用于使所述用户端访问客户端。
83.为避免客户端直接从用户端获取用户信息，导致用户信息被非法的或不具信任度的客户端获得，导致用户信息的安全性受到极大的损坏；本步骤通过访问信息制成跳转链接以便于用户端访问客户端中的页面，同时，通过授权信息获取用户的授权并生成授权码，使得客户端需要根据所述授权码方可获得所述页面需要加载的用户信息，不仅无需用户端进行复杂的许可操作方可访问所述页面，保证了用户端访问客户端中的页面的通畅性，还通过授权码使得有权获取用户信息的客户端能够准确全面的获得相应用户信息并加载其页面，保证了用户信息的安全性。
84.于本实施例中，所述访问信息包括渠道信息和请求信息；所述渠道信息反映了访问信息所要访问的客户端所在的渠道，如，supplier channel：channel 001；其表达了客户端a所在的渠道为001；所述页面信息反映了访问信息所要访问的页面，如，scene：01，其代
表了产品购买页面。
85.示例性地，所述页面信息包括：
86.产品购买信息，其反映了用户端需要访问产品购买页面的数据请求；
87.订单详情信息，其反映了用户端需要访问订单详情页面的数据请求；
88.预约信息，其反映了用户端需要访问预约页面的数据请求；
89.预约详情信息，其反映了用户端需要访问预约详情页面的数据请求。
90.所述页面包括：
91.产品购买页面，对应所述产品购买信息，用于传递用户唯一标识(例如：登录账号信息)、供应商产品代码、是否家属购买标记；
92.订单详情页面，对应所述订单详情信息，用于传递用户唯一标识、供应商产品代码、体检卡卡号等信息；
93.预约页面，对应所述预约详情信息，用于传递用户唯一标识，体检卡卡号信息，用户姓名、出生日期、证件号、证件类型、性别等信息；
94.预约详情页面，对应所述预约详情信息，用于传递用户唯一标识、供应商产品代码，体检卡卡号、订单号等信息。
95.在一个优选的实施例中，根据所述访问信息生成跳转链接的步骤，包括：
96.s11：拦截所述访问信息并生成访问id；
97.本步骤中，使用过滤器或切面在每个http访问信息(即所述访问信息)进到controller前生成一个唯一标识请求的requestid(即所述访问id)，可以使用uuid，放在threadlocal里，方便上下文调用。
98.s12：对所述访问id和渠道信息进行拼接得到链接字符串。
99.本步骤中，通过将所述访问id和渠道信息按照预置的拼接规则，链接在预置的初始化文本(如：http//)之后，形成链接字符串。其中，所述拼接规则是开发人员预先制定的，用于生成链接字符串的计算机程序，其中，所述链接字符串为用于访问客户端中页面的url标识。
100.s13：对所述链接字符串进行加密得到跳转链接。
101.本步骤中，采用3des加密技术对链接字符串进行加密，以保证发送到用户端的跳转链接在传输过程中的安全性。
102.需要说明的是，3des(或称为triple des)是三重数据加密算法(tdea，triple data encryption algorithm)块密码的通称。它相当于是对每个数据块应用三次des加密算法。其通过三次加密的方式避免了信息很容易被暴力破解的情况发生，提高了信息的安全性。
103.于本实施例中，所述用户信息是用户个人信息，因其具有私密性，故保存所述用户信息并拒绝无权访问的客户端获取该用户信息。
104.示例性地，所述用户信息包括用户唯一标识、体检卡卡号、用户姓名、出生日期、证件号、证件类型、性别、订单号等。
105.于本实施例中，通过授权码生成器对所述授权信息进行运算得到授权码，所述授权码与所述用户信息和跳转链接相互关联，并设置所述授权码的使用次数，例如：一次，其中，在代码中code表示所述授权码，。因此，通过采用授权信息及其授权码，保证了能够被运
行有信息安全管理方法的服务器信任的客户端方可访问相应的用户信息，保证了用户信息的安全性；同时，设置所述授权码的有效期，可选的，该有效期设置在较短期限内，例如：设为10分钟。
106.通过设置有效期，使得客户端使用过期的授权码无法获得对应的用户信息，进一步的保证了用户信息的安全性。
107.需要说明的是，本申请采用python授权码生成器对所述授权信息进行运算得到授权码。
108.示例性地，所述授权信息包括授权类型，用户端id和授权范围，
109.例如：response_type：表示授权类型，必选项，此处的值固定为"code"
110.client_id：表示用户端的id，其被设置为必选项。
111.scope：表示申请的权限范围。
112.可选的，还包括用户端当前状态state：其表示客户端的当前状态，可以指定任意值，认证服务器会原封不动地返回这个值。
113.通过所述授权码生成其对所述授权信息进行运算得到授权码，例如：code＝splxlobezqqybys6wxsbia
114.于本实施例中，用户端可通过跳转链接访问与所述访问信息中渠道信息对应的客户端，并获取该客户端中与所述访问信息中页面信息对应的页面。所述用户端通过将所述授权码发送至所述客户端，使所述客户端可通过所述授权码从运行有信息安全管理方法的服务器中，获取所需的用户信息。
115.可选的，所述对所述链接字符串进行加密得到跳转链接之后，所述方法还包括：
116.将所述跳转链接上传至区块链中。
117.需要说明的是：基于跳转链接得到对应的摘要信息，具体来说，摘要信息由跳转链接进行散列处理得到，比如利用sha256s算法处理得到。将摘要信息上传至区块链可保证其安全性和对用户的公正透明性。用户设备可以从区块链中下载得该摘要信息，以便查证跳转链接是否被篡改。本示例所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
118.s202：接收客户端根据所述授权码和跳转链接发送的令牌请求。
119.于本实施例中，所述令牌请求为http请求，其包含以下参数：
120.grant_type：表示使用的授权模式。
121.code：表示所述授权码。
122.redirect_uri：表示所述跳转链接。
123.client_id：表示客户端id。
124.示例性地：所述令牌请求的代码如下所示：
125.post/token http/1.1
126.host:server.example.com
127.authorization:basic czzcagrsa3f0mzpnwdfmqmf0m2jw
128.content
‑
type:application/x
‑
www
‑
form
‑
urlencoded
129.grant_type＝authorization_code&code＝splxlobezqqybys6wxsbia
130.&redirect_uri＝https％3a％2f％2fclient％2eexample％2ecom％2fcb
131.s203：提取所述令牌请求中的授权码，并验证所述授权码是否有效。
132.为避免不具权限的客户端获取令牌信息，本步骤通过对所述令牌请求中的授权码进行验证，并判断其是否有效，来判别该客户端是否具有令牌信息的获取权限，保证了用户信息的安全性。
133.在一个优选的实施例中，所述验证所述授权码是否有效的步骤，包括：
134.s31：将所述根据授权信息生成的授权码设为第一授权码，将所述令牌请求中的授权码设为第二授权码。
135.s32：将对比所述第一授权码和第二授权码是否一致。
136.s33：若所述第一授权码与第二授权码一致，则判断所述第一授权码是否具有使用标签，所述使用标签是用于反映所述第一授权码已被使用的标识。
137.s34：若不具有使用标签，则判定所述第二授权码有效，并在所述第一授权码中插入使用标签，以标识所述第一授权码已被使用。
138.s35：若具有使用标签，则判定所述第二授权码无效。
139.s36：若所述第一授权码与第二授权码不一致，则判定所述第二授权码无效。
140.由于无权获取用户信息的非法客户端，可能会通过下载有权获取用户信息的合法客户端发送的令牌请求，并根据该令牌请求获取用户信息，通常的，合法客户端会通过第二授权码合法的获得用户信息，而非法客户端通常是在合法客户端使用完第一授权码之后，再访问所述服务器以获取用户信息，因此，本步骤通过将第一授权码和第二授权码进行比对，并识别第一授权码是否被使用的方法，有效的阻止了非法客户端继合法客户端之后获取用户信息的情况出现，极大的提高了用户信息的安全性。
141.s204：若所述授权码有效，则根据所述令牌请求生成令牌信息，并将所述令牌信息发送至所述客户端，再执行步骤s206。
142.本步骤中，所述令牌信息包含以下参数：
143.access_token：表示访问令牌。
144.token_type：表示令牌类型，其为bearer类型或mac类型。
145.expires_in：表示过期时间，于本实施例中，所述过期时间的单位为秒。
146.scope：表示权限范围，其中，所述权限范围与所述授权信息中的授权范围一致，以保证通过令牌信息获得的用户信息，与用户授权的真实意图范围是一致的，保证了用户信息的安全性。
147.示例性地，所述令牌信息的代码如下所示：
[0148][0149]
于本实施例中，采用采用nginx
‑
token作为所述令牌模块，以根据所述令牌请求生成令牌信息。
[0150]
s205：若所述授权码无效，则向所述客户端发送拒绝访问信息并结束。
[0151]
为保证无权获取令牌信息的客户端，无法获取令牌信息集用户信息，本步骤通过向客户端发送拒绝访问信息并结束的方式，拒绝该客户端再次发送同一令牌请求，在保证用户信息安全性的同时，降低所述服务器的运行负担。
[0152]
s206：接收客户端根据所述令牌信息发送的信息请求，及判断所述信息请求中的令牌信息，与所述根据令牌请求生成的令牌信息是否一致；
[0153]
若一致，则判定所述信息请求为合法请求并销毁所述令牌信息，执行步骤s207；
[0154]
若不一致，则判定所述信息请求为非法请求并结束。
[0155]
为进一步的确保获取用户信息的客户端是有权客户端，并且避免客户端重复发送信息请求，导致运行有信息安全管理方法的服务器运行负担过重的情况发生，本步骤中，对所述信息请求中的令牌信息(即：access_token的值)，与根据令牌请求生成的令牌信息(即：access_token的值)进行对比，若一致，则判定该信息请求为合法请求；若不一致，则判定该信息请求为非法请求，避免了非法客户端通过跨站点请求伪造(如，anti csrf攻击)的方式伪造令牌信息以获取用户信息的情况发生，进一步的提高了用户信息的安全性。通过销毁所述令牌信息保证客户端只能获取一次用户信息，避免了客户端重复发送信息请求，导致运行有信息安全管理方法的服务器运行负担过重的情况发生。
[0156]
于本实施例中，所述客户端根据跳转链接获取与访问信息中页面信息对应的页面，提取所述页面中所需的信息制定信息请求。例如：如果页面信息是产品购买信息，其对应的页面则为产品购买页面，基于上述举例，所述产品购买页面所需的用户信息是用户唯一标识，结合所述令牌信息和用户唯一标识形成信息请求。
[0157]
于所述图3中，步骤s206以以下标注展示：
[0158]
s61：接收客户端根据所述令牌信息发送的信息请求，及判断所述信息请求中的令牌信息，与所述根据令牌请求生成的令牌信息是否一致；
[0159]
s62：若一致，则判定所述信息请求为合法请求并销毁所述令牌信息，执行步骤s207；
[0160]
s63：若不一致，则判定所述信息请求为非法请求并结束。
[0161]
s207：提取所述合法请求中的令牌信息，并验证所述令牌信息是否有效。
[0162]
为避免令牌信息被非法的客户端截获，并通过该令牌信息获取相应的用户信息的情况发生，本步骤通过验证所述合法请求中的令牌信息是否有效的方式，来保证发送合法请求的客户端是有权获取用户信息的，保证了用户信息的安全性。
[0163]
在一个优选的实施例中，所述验证所述令牌信息是否有效的步骤，包括：
[0164]
s71：计算提取所述合法请求中令牌信息的时间，与所述令牌信息的生成时间之间的时间差。
[0165]
s72：提取所述令牌信息中的过期时间。
[0166]
s73：判断所述时间差是否大于所述过期时间。
[0167]
s74：若是，则判定所述令牌信息无效。
[0168]
s75：若否，则判定所述令牌信息有效。
[0169]
s208：若所述令牌信息有效，则根据所述合法请求查询用户信息，将所述用户信息发送至所述客户端，执行步骤s210。
[0170]
示例性地，基于上述举例，由于合法请求所要查询的用户信息是用户唯一标识，因此，将所述用户信息中的用户唯一标识发送至所述客户端。
[0171]
于本实施例中，所述将所述用户信息发送至所述客户端的步骤，包括：
[0172]
对所述用户信息进行加密形成加密用户信息，
[0173]
将所述加密用户信息发送至所述客户端。
[0174]
本步骤中，采用3des加密技术对所述用户信息进行加密，因此，保证了用户信息在传输过程中的安全性。
[0175]
s209：若所述令牌信息无效，则对所述令牌信息进行更新形成重置令牌信息，将所述重置令牌信息发送至所述客户端，使所述客户端根据所述重置令牌信息生成信息请求，并执行所述s207。
[0176]
为避免具有用户信息获取权限的客户端因网络故障等原因，导致其发送的信息请求中的令牌信息无效，进而无法获得相应用户信息的情况发生，本步骤在所述信息请求中令牌信息的时间，与所述令牌信息的生成时间之间的时间差，超过过期时间expires_in时，通过调用refresh_token代码以更新所述令牌信息形成重置令牌信息，以保证客户端能够正常获取用户信息，保证了信息获取的稳定性。
[0177]
在一个优选的实施例中，所述对所述令牌信息进行更新形成重置令牌信息的步骤，包括：
[0178]
s91：向预置的令牌模块发送重置请求；
[0179]
本步骤中，采用nginx
‑
token作为所述令牌模块，其为一种基于memcached的nginx令牌模块。
[0180]
所述重置请求，包含以下参数：
[0181]
granttype：表示使用的授权模式，此处的值固定为"refreshtoken"，必选项。
[0182]
refresh_token：表示早前收到的更新令牌，必选项。
[0183]
scope：表示申请的授权范围，不可以超出上一次申请的范围，如果省略该参数，则表示与上一次一致。
[0184]
示例性地：
[0185]
post/token http/1.1
[0186]
host:server.example.com
[0187]
authorization:basic czzcagrsa3f0mzpnwdfmqmf0m2jw
[0188]
content
‑
type:application/x
‑
www
‑
form
‑
urlencoded
[0189]
s92：控制所述令牌模块根据所述重置请求生成重置令牌信息。
[0190]
本步骤中，调用所述令牌模块根据所述refresh_token代码，并根据scope代码生成新的令牌信息以作为所述重置令牌信息。
[0191]
s210：控制所述客户端根据所述跳转链接调取访问页面，并将所述用户信息载入所述访问页面形成反馈页面，将所述反馈页面发送至所述用户端。
[0192]
示例性地，基于上述举例，如果访问信息为产品购买信息，那么所述跳转链接则为产品购买页面的uri标识，因此，控制客户端调取产品购买页面，将获得的用户唯一标识，载入所述产品购买页面中得到反馈页面，并将该反馈页面发送至用户端，以便于用户端在该反馈页面上操作。
[0193]
实施例三：
[0194]
请参阅图4，本实施例的一种信息安全管理装置1，包括：
[0195]
授权链接模块11，用于接收用户端发送的访问信息、用户信息和授权信息，记录所述用户信息并根据所述访问信息生成跳转链接，及根据授权信息生成授权码；将所述授权码和跳转链接发送至所述用户端；所述授权码和跳转链接用于使所述用户端访问客户端；
[0196]
请求输入模块12，用于接收客户端根据所述授权码和跳转链接发送的令牌请求；
[0197]
令牌生成模块14，用于根据所述令牌请求生成令牌信息，并将所述令牌信息发送至所述客户端；
[0198]
请求判断模块16，用于接收客户端根据所述令牌信息发送的信息请求，及判断所述信息请求中的令牌信息，与所述根据令牌请求生成的令牌信息是否一致；若一致，则判定所述信息请求为合法请求并销毁所述令牌信息；
[0199]
信息输出模块18，用于根据所述合法请求查询用户信息，将所述用户信息发送至所述客户端。
[0200]
可选的，所述信息安全管理装置1还包括：
[0201]
登录授权模块10，用于接收用户端发送的登录信息，对所述登录信息进行身份校验并判断所述登录信息是否有权登录；若有权登录，则向所述用户端发送登录成功信息，使所述用户端根据所述登录成功信息生成访问信息和用户信息；若无权登录，则向所述用户端发送登录失败信息并结束。
[0202]
可选的，所述信息安全管理装置1还包括：
[0203]
授权码验证模块13，用于提取所述令牌请求中的授权码，并验证所述授权码是否
有效。
[0204]
可选的，所述信息安全管理装置1还包括：
[0205]
授权无效模块15，用于在所述授权码无效时，向所述客户端发送拒绝访问信息并结束。
[0206]
可选的，所述信息安全管理装置1还包括：
[0207]
令牌验证模块17，用于提取所述合法请求中的令牌信息，并验证所述令牌信息是否有效。
[0208]
可选的，所述信息安全管理装置1还包括：
[0209]
令牌无效模块19，用于在所述令牌信息无效时，对所述令牌信息进行更新形成重置令牌信息，将所述重置令牌信息发送至所述客户端，使所述客户端根据所述重置令牌信息生成信息请求，并调用令牌验证模块17。
[0210]
可选的，所述信息安全管理装置1还包括：
[0211]
页面控制模块20，用于控制所述客户端根据所述跳转链接调取访问页面，并将所述用户信息载入所述访问页面形成反馈页面，将所述反馈页面发送至所述用户端。
[0212]
本技术方案涉及信息安全的安全防护技术领域，通过制定记录所述用户信息并根据所述访问信息生成跳转链接，及根据授权信息生成授权码；根据令牌请求生成令牌信息；判断所述信息请求中的令牌信息，与所述根据令牌请求生成的令牌信息是否一致；若一致，则判定所述信息请求为合法请求并销毁所述令牌信息的访问规则，实现客户端的访问控制的技术效果。
[0213]
实施例四：
[0214]
为实现上述目的，本发明还提供一种计算机设备5，实施例三的信息安全管理装置1的组成部分可分散于不同的计算机设备中，计算机设备5可以是执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器，或者多个应用服务器所组成的服务器集群)等。本实施例的计算机设备至少包括但不限于：可通过系统总线相互通信连接的存储器51、处理器52，如图5所示。需要指出的是，图5仅示出了具有组件
‑
的计算机设备，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。
[0215]
本实施例中，存储器51(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如，sd或dx存储器等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘等。在一些实施例中，存储器51可以是计算机设备的内部存储单元，例如该计算机设备的硬盘或内存。在另一些实施例中，存储器51也可以是计算机设备的外部存储设备，例如该计算机设备上配备的插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)等。当然，存储器51还可以既包括计算机设备的内部存储单元也包括其外部存储设备。本实施例中，存储器51通常用于存储安装于计算机设备的操作系统和各类应用软件，例如实施例三的信息安全管理装置的程序代码等。此外，存储器51还可以用于暂时地存储已经输出或者将要输出的各类数据。
[0216]
处理器52在一些实施例中可以是中央处理器(central processing unit，cpu)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器52通常用于控制计算机设备
的总体操作。本实施例中，处理器52用于运行存储器51中存储的程序代码或者处理数据，例如运行信息安全管理装置，以实现实施例一和实施例二的信息安全管理方法。
[0217]
实施例五：
[0218]
为实现上述目的，本发明还提供一种计算机可读存储介质，如闪存、硬盘、多媒体卡、卡型存储器(例如，sd或dx存储器等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘、服务器、app应用商城等等，其上存储有计算机程序，程序被处理器52执行时实现相应功能。本实施例的计算机可读存储介质用于存储信息安全管理装置，被处理器52执行时实现实施例一和实施例二的信息安全管理方法。
[0219]
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
[0220]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。
[0221]
以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。