一种令牌跨区域交换与鉴权方法和系统与流程

1.本发明涉及跨域访问技术领域，尤其涉及一种令牌跨区域交换与鉴权方法和系统。


背景技术：

2.在对于拥有跨国跨区域的业务的系统，区域之间不同数据中心，需要共享数据和访问鉴权，对于数据一致性，和网络的延迟都有较高的考验。一般需要购买网络专线，加速访问。
3.不同国家地区之间物理距离导致的，网络延迟，影响系统可用性。并且因为政治或法律原因导致不同国家之间不能直接畅通的进行数据互访，造成跨域数据访问不便。
4.出于安全原因，浏览器会限制从页面脚本内发起的跨域请求，有些浏览器不会限制跨域请求的发起，但是也会将结果拦截了。意味着前端脚本只能加载同一个域下的资源。


技术实现要素：

5.本发明要解决的技术问题在于，针对现有技术存在的至少一个缺陷：跨域访问不便，提供一种令牌跨区域交换与鉴权方法和系统。
6.本发明解决其技术问题所采用的技术方案是：构造一种令牌跨区域交换与鉴权方法，应用于目标服务区域，所述方法包括：
7.接收前端发送的加密后的令牌身份信息和信息签名，所述加密后的令牌身份信息和信息签名为用户访问所述前端时通过所述前端发送切换区域请求至当前服务区域后，再由所述当前服务区域进行用户身份校验和加密签名后发送至所述前端的；
8.对所述加密后的令牌身份信息和信息签名进行验签解密处理，并生成访问白名单；
9.将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并发送至所述前端，用于所述前端加载来自所述目标服务区域的内容至页面。优选地，在本发明所述的令牌跨区域交换与鉴权方法中，所述令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。
10.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并发送至所述前端，之后还包括：
11.在切换区域成功，并在用户通过所述前端进行功能访问时，根据所述访问白名单校验用户的合法性；
12.响应功能信息，将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中；
13.将所述允许跨域访问的跨域资源共享响应头发送至所述前端，用于所述前端加载来自所述目标服务区域的功能信息至页面。
14.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，根据所述访问白名单校
验用户的合法性，包括：
15.校验白名单内所述用户令牌的值和所述用户互联网地址的合法性。
16.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，由所述当前服务区域进行用户身份校验和加密签名，包括：
17.在所述当前服务区域内使用所述目标服务区域的公钥对所述令牌身份信息进行组合加密生成加密字符串；在所述当前服务区域内使用所述当前服务区域的私钥将所述加密字符串加密生成所述信息签名。
18.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，对所述加密后的令牌身份信息和信息签名进行验签解密处理，包括：
19.使用所述当前服务区域的公钥对所述信息签名进行验签后，再对加密后的所述令牌身份信息使用所述目标服务区域的私钥进行解密。
20.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，生成访问白名单，之前还包括：
21.校验所述令牌身份信息中所述时间戳的有效期，若所述校验时间戳在有效期内，则将所述用户令牌和所述用户互联网地址生成所述访问白名单。
22.本发明还构造了一种令牌跨区域交换与鉴权方法，应用于当前服务区域，所述方法包括：
23.接收用户访问前端时通过所述前端发送的切换区域请求；
24.校验所述切换区域请求的用户身份信息；
25.加密令牌身份信息并生成信息签名；
26.发送加密后的所述令牌身份信息和所述信息签名至所述前端，所述加密后的令牌身份信息和信息签名用于所述前端发送至目标服务区域内进行验签解密，并生成访问白名单，所述目标服务区域将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并将所述允许跨域访问的跨域资源共享响应头发送至所述前端，用于所述前端加载来自所述目标服务区域的内容至页面。
27.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，所述令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。
28.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，加密所述令牌身份信息并生成信息签名，包括：
29.通过所述令牌身份信息进行组合，使用所述目标服务区域的公钥加密生成加密字符串；并使用所述当前服务区域的私钥将所述加密字符串加密生成所述信息签名。
30.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，所述加密后的令牌身份信息和信息签名用于所述前端发送至所述目标服务区域内进行验签解密，包括：
31.在所述目标服务区域内使用所述当前服务区域的公钥对所述信息签名进行验签后再对加密后的所述令牌身份信息使用所述目标服务区域的私钥进行解密。
32.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，生成访问白名单，之前还包括：
33.在所述目标服务区域内通过所述解密使得所述目标服务区域获得所述令牌身份信息，校验所述令牌身份信息中所述时间戳的有效期，所述校验时间戳的有效期用于触发
当所述校验时间戳在有效期内，则将所述用户令牌和所述用户互联网地址加入所述访问白名单内。
34.本发明还构造了一种令牌跨区域交换与鉴权方法，应用于前端，所述方法包括：
35.发送用户访问时触发的切换区域请求至当前服务区域，所述切换请求中的用户身份信息用于所述当前服务区域校验所述用户身份信息并进行加密签名生成加密后的所述令牌身份信息和信息签名；
36.接收所述当前服务区域发送的所述加密后的令牌身份信息和信息签名；
37.发送所述加密后的令牌身份信息和信息签名至目标服务区域，用于所述目标服务区域进行验签解密，并生成访问白名单，所述目标服务区域将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中；
38.接收所述允许跨域访问的跨域资源共享响应头，加载来自所述目标服务区域的内容至页面。
39.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，所述令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。
40.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，接收所述允许跨域访问的跨域资源共享响应头，之后还包括：
41.用于切换区域成功后，访问目标服务区域的功能，用于所述目标服务区域根据所述访问白名单校验所述用户的合法性，并响应功能信息，将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中；
42.接收所述目标服务区域发送的所述允许跨域访问的跨域资源共享响应头，用于加载来自所述目标服务区域的功能信息至页面。
43.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，根据所述访问白名单校验所述用户的合法性，包括：
44.校验白名单内所述用户令牌和所述用户互联网地址的合法性。
45.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，所述当前服务区域校验所述令牌身份信息并进行加密签名生成加密后的所述令牌身份信息和信息签名，包括：
46.在所述当前服务区域内对所述令牌身份信息进行组合，使用所述目标服务区域的公钥加密生成加密字符串；在所述当前服务区域内使用所述当前服务区域的私钥将所述加密字符串加密生成所述信息签名。
47.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，发送所述加密后的令牌身份信息和信息签名至目标服务区域，用于所述目标服务区域进行验签解密，包括：
48.在所述目标服务区域内使用所述当前服务区域的公钥对所述信息签名进行验签后，再对加密后的所述令牌身份信息使用所述目标服务区域的私钥进行解密。
49.优选地，在本发明所述的令牌跨区域交换与鉴权方法中，生成访问白名单，之前还包括：
50.在所述目标服务区域内通过所述解密使得所述目标服务区域获得所述令牌身份信息，所述令牌身份信息用于校验所述时间戳的有效期，校验所述令牌身份信息中所述时间戳的有效期，若所述校验时间戳在有效期内，则将所述用户令牌和所述用户互联网地址生成所述访问白名单。
51.本发明还构造了一种令牌跨区域交换与鉴权系统，应用于目标服务区域，包括：
52.第一接收模块，用于接收前端发送的加密后的令牌身份信息和信息签名，所述加密后的令牌身份信息和信息签名为用户访问所述前端时通过所述前端发送切换区域请求至当前服务区域后，再由所述当前服务区域进行用户身份校验和加密签名后发送至所述前端的；
53.验签解密模块，用于对所述加密后的令牌身份信息和信息签名进行验签解密处理，并生成访问白名单；
54.第一处理模块，用于将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并发送至所述前端，用于所述前端加载来自所述目标服务区域的内容至页面。
55.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，所述令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。
56.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，系统还包括：
57.第一校验模块，用于在切换区域成功，并在用户通过所述前端进行功能访问时，根据所述访问白名单校验用户的合法性；
58.第二处理模块，用于响应功能信息，将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中；
59.第一发送模块，用于将所述允许跨域访问的跨域资源共享响应头发送至所述前端，用于所述前端加载来自所述目标服务区域的功能信息至页面。
60.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，系统包括：
61.校验白名单内所述用户令牌的值和所述用户互联网地址的合法性。
62.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，系统包括：
63.在所述当前服务区域内使用所述目标服务区域的公钥对所述令牌身份信息进行组合加密生成加密字符串；在所述当前服务区域内使用所述当前服务区域的私钥将所述加密字符串加密生成所述信息签名。
64.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，系统包括：
65.使用所述当前服务区域的公钥对所述信息签名进行验签后，再对加密后的所述令牌身份信息使用所述目标服务区域的私钥进行解密。
66.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，系统还包括：
67.校验所述令牌身份信息中所述时间戳的有效期，若所述校验时间戳在有效期内，则将所述用户令牌和所述用户互联网地址生成所述访问白名单。
68.本发明还构造了一种令牌跨区域交换与鉴权系统，应用于当前服务区域，包括：
69.第二接收模块，用于接收用户访问前端时通过所述前端发送的切换区域请求；
70.第二校验模块，用于校验所述切换区域请求的用户身份信息；
71.加密模块，用于加密所述令牌身份信息并生成信息签名；
72.第二发送模块，用于发送加密后的所述令牌身份信息和所述信息签名至所述前端，所述加密后的令牌身份信息和信息签名用于所述前端发送至所述目标服务区域内进行验签解密，并生成访问白名单，所述目标服务区域将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并将所述允许跨域访问的跨域资源共享响应头发送至所述前端，用于所述前端加载来自所述目标服务区域的内容至页面。
73.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，所述令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。
74.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，系统包括：
75.通过所述令牌身份信息进行组合，使用所述目标服务区域的公钥加密生成加密字符串；并使用所述当前服务区域的私钥将所述加密字符串加密生成所述信息签名。
76.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，系统包括：
77.在所述目标服务区域内使用所述当前服务区域的公钥对所述信息签名进行验签后再对加密后的所述令牌身份信息使用所述目标服务区域的私钥进行解密。
78.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，系统还包括：
79.在所述目标服务区域内通过所述解密使得所述目标服务区域获得所述令牌身份信息，校验所述令牌身份信息中所述时间戳的有效期，所述校验时间戳的有效期用于触发当所述校验时间戳在有效期内，则将所述用户令牌和所述用户互联网地址加入所述访问白名单内。
80.本发明还构造了一种令牌跨区域交换与鉴权系统，应用于前端，包括：
81.第三发送模块，用于发送用户访问时触发的切换区域请求至当前服务区域，所述切换请求中的用户身份信息用于所述当前服务区域校验所述用户身份信息并进行加密签名生成加密后的所述令牌身份信息和所述信息签名；
82.第三接收模块，用于接收所述当前服务区域发送的所述加密后的令牌身份信息和信息签名；
83.第四发送模块，用于发送所述加密后的令牌身份信息和信息签名至所述目标服务区域，用于所述目标服务区域进行验签解密，并生成访问白名单，所述目标服务区域将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中；
84.第四接收模块，用于接收所述允许跨域访问的跨域资源共享响应头，加载来自所述目标服务区域的内容至页面。
85.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，所述令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。
86.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，系统还包括：
87.第三处理模块，用于切换区域成功后，访问目标服务区域的功能，用于所述目标服务区域根据所述访问白名单校验所述用户的合法性，并响应功能信息，将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中；
88.第五接收模块，用于接收所述目标服务区域发送的所述允许跨域访问的跨域资源共享响应头，用于加载来自所述目标服务区域的功能信息至页面。
89.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，系统包括：
90.校验白名单内所述用户令牌和所述用户互联网地址合法性。
91.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，系统包括：
92.在所述当前服务区域内对所述令牌身份信息进行组合，使用所述目标服务区域的公钥加密生成加密字符串；在所述当前服务区域内使用所述当前服务区域的私钥将所述加密字符串加密生成所述信息签名。
93.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，系统包括：
94.在所述目标服务区域内使用所述当前服务区域的公钥对所述信息签名进行验签后，再对加密后的所述令牌身份信息使用所述目标服务区域的私钥进行解密。
95.优选地，在本发明所述的令牌跨区域交换与鉴权系统中，系统还包括：
96.在所述目标服务区域内通过所述解密使得所述目标服务区域获得所述令牌身份信息，所述令牌身份信息用于校验所述时间戳的有效期，校验所述令牌身份信息中所述时间戳的有效期，若所述校验时间戳在有效期内，则将所述用户令牌和所述用户互联网地址生成所述访问白名单。
97.通过实施本发明，具有以下有益效果：
98.用户通过前端发送切换区域请求，在当前服务区域进行用户身份的校验，将用户的身份信息加密并生成信息签名，再发送加密后的令牌身份信息和信息签名到前端，通过前端发送到目标服务区域内进行验签解密，在目标服务区域生成访问白名单并将来源域加入允许跨域访问的跨域资源共享响应头中，再将允许跨域访问的跨域资源共享响应头发送到前端中，在前端内显示跨域切换成功，切换成功之后，用户根据前端选择目标区域的功能时，目标服务区域进行校验白名单内用户身份的合法性，从而响应功能信息，将含有来源域的域名加入允许跨域访问的跨域资源共享响应头中并传输到前端内，前端内浏览器正常解析渲染页面，显示用户访问的功能信息。通过实施本发明，跨域访问时不同区域数据中心之间不用同步令牌，减少了数据中心之间的交互频繁，且不同区域数据中心不会存储非本区域注册的用户信息。
附图说明
99.下面将结合附图及实施例对本发明作进一步说明，附图中：
100.图1是本发明令牌跨区域交换与鉴权方法的流程示意图；
101.图2是本发明令牌跨区域交换与鉴权方法应用于目标服务区域的流程示意图；
102.图3是本发明令牌跨区域交换与鉴权方法应用于当前服务区域的流程示意图；
103.图4是本发明令牌跨区域交换与鉴权方法应用于前端的流程示意图；
104.图5是本发明令牌跨区域交换与鉴权系统应用于目标服务区域的模块框图；
105.图6是本发明令牌跨区域交换与鉴权系统应用于当前服务区域的模块框图；
106.图7是本发明令牌跨区域交换与鉴权系统应用于前端的模块框图。
具体实施方式
107.为了对本发明的技术特征、目的和效果有更加清楚的理解，现对照附图详细说明本发明的具体实施方式。
108.需要说明的是，附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。
109.附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
110.在本实施例中，如图1和图2所示，本发明构造了一种令牌跨区域交换与鉴权方法，
应用于目标服务区域，包括以下步骤：
111.接收前端发送的加密后的令牌身份信息和信息签名，加密后的令牌身份信息和信息签名为用户访问前端时通过前端发送切换区域请求至当前服务区域后，再由当前服务区域进行用户身份校验和加密签名后发送至前端的；
112.对加密后的令牌身份信息和信息签名进行验签解密处理，并生成访问白名单；
113.将前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并发送至前端，用于前端加载来自目标服务区域的内容至页面。
114.用户进行切换区域访问前，需进行账号的注册和登录。
115.优选地，在生成加密后的令牌身份信息和信息签名后，在当前服务区域会将来源请求域的地址加入允许跨域访问的跨域资源共享响应头中，再将加密后的令牌身份信息和信息签名发送至前端中。
116.优选地，当用户当前浏览器地址的域名为www.cn.com，目标服务区域的域名为www.us.com，接收用户通过前端发送的域名，在允许来源请求域访问时，将来源请求域的域名www.cn.com放入到允许跨域访问的跨域资源共享响应头中，并传输到前端内，前端收到带有www.cn.com的响应头，浏览器内会正常解析渲染页面显示切换区域成功，此时浏览器的地址仍是www.cn.com，但页面内加载的内容来自域名www.us.com所返回的，且在前端内会缓存令牌的值，当进行访问时会将令牌带回目标服务区域内进行授权合法校验。
117.其中，跨域资源共享是通过新增一组http头部字段，允许服务声明该源站可有权限访问何种资源。通过将新增的一组http头部字段加在响应报文的响应头内，前端浏览器自动识别允许跨域加载数据信息。
118.在一些实施例中，令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。
119.在一些实施例中，将前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并发送至前端，之后还包括：
120.在切换区域成功，并在用户通过前端进行功能访问时，根据访问白名单校验用户的合法性；
121.响应功能信息，将前端地址的域名加入允许跨域访问的跨域资源共享响应头中；
122.将允许跨域访问的跨域资源共享响应头发送至前端，用于前端加载来自目标服务区域的功能信息至页面。
123.优选地，当用户当前浏览器地址的域名为www.cn.com，目标服务区域的域名为www.us.com，用户通过前端点击目标服务区域的功能时，将携带允许跨域访问的跨域资源共享响应头令牌的值请求头发送到目标服务区域，接收用户通过前端发送的域名，在允许来源请求域访问时，响应功能信息，将来源请求域的域名www.cn.com放入到允许跨域访问的跨域资源共享响应头中，并传输到前端内，前端收到带有www.cn.com的响应头，浏览器内会正常解析渲染页面显示用户所访问的功能信息，此时浏览器的地址仍是www.cn.com，但页面内加载的内容来自域名www.us.com所返回的。
124.在一些实施例中，根据访问白名单校验用户的合法性，包括：
125.校验白名单内用户令牌的值和用户互联网地址的合法性。当校验两者均通过校验匹配时，则响应功能信息。
126.在一些实施例中，由当前服务区域进行用户身份校验和加密签名，包括：
127.在当前服务区域内使用目标服务区域的公钥对令牌身份信息进行组合加密生成加密字符串；在当前服务区域内使用当前服务区域的私钥将加密字符串加密生成信息签名。
128.在一些实施例中，对加密后的令牌身份信息和信息签名进行验签解密处理，包括：
129.使用当前服务区域的公钥对信息签名进行验签后，再对加密后的令牌身份信息使用目标服务区域的私钥进行解密。
130.优选地，通过公钥对信息签名进行验签，得到在当前服务区域加密生成的加密字符串，通过解密字符串得到由服务器随机生成的用户令牌信息。
131.在一些实施例中，生成访问白名单，之前还包括：
132.在目标服务区域内通过解密使得目标服务区域获得令牌身份信息，令牌身份信息用于校验时间戳的有效期，校验令牌身份信息中时间戳的有效期，若校验时间戳在有效期内，则将用户令牌和用户互联网地址生成访问白名单。
133.优选地，在目标服务区域生成访问白名单的同时，将通过校验的令牌身份信息进行存储在服务端内，用于再次访问时进行信息校验，并显示响应切换成功信息和令牌的值。
134.在本实施例中，如图1和图3所示，本发明构造了一种令牌跨区域交换与鉴权方法，应用于当前服务区域，包括以下步骤：
135.接收用户访问前端时通过前端发送的切换区域请求；
136.校验切换区域请求的用户身份信息；
137.加密令牌身份信息并生成信息签名；
138.发送加密后的令牌身份信息和信息签名至前端，加密后的令牌身份信息和信息签名用于前端发送至目标服务区域内进行验签解密，并生成访问白名单，目标服务区域将前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并将允许跨域访问的跨域资源共享响应头发送至前端，用于前端加载来自目标服务区域的内容至页面。
139.用户进行切换区域访问前，需进行账号的注册和登录。
140.优选地，在生成加密后的令牌身份信息和信息签名后，在当前服务区域会将来源请求域的地址加入允许跨域访问的跨域资源共享响应头中，再将加密后的令牌身份信息和信息签名发送至前端中。
141.优选地，当用户当前浏览器地址的域名为www.cn.com，目标服务区域的域名为www.us.com，目标服务区域接收用户通过前端发送的域名，在允许来源请求域访问时，在目标服务区域将来源请求域的域名www.cn.com放入到允许跨域访问的跨域资源共享响应头中，并传输到前端内，前端收到带有www.cn.com的响应头，浏览器内会正常解析渲染页面显示切换区域成功，此时浏览器的地址仍是www.cn.com，但页面内加载的内容来自域名www.us.com所返回的，且在前端内会缓存令牌的值，当进行访问时会将令牌带回目标服务区域内进行授权合法校验。
142.其中，跨域资源共享是通过新增一组http头部字段，允许服务声明该源站可有权限访问何种资源。通过将新增的一组http头部字段加在响应报文的响应头内，前端浏览器自动识别允许跨域加载数据信息。
143.在一些实施例中，令牌身份信息包括访问令牌的值，切换访问者的互联网地址和
时间戳。
144.优选地，在切换区域成功，并在用户通过前端访问目标服务区域后，在目标服务区域根据访问白名单校验用户的合法性，并响应功能信息，将前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并将允许跨域访问的跨域资源共享响应头发送至前端，用于前端加载来自目标服务区域的功能信息至页面。
145.根据校验白名单内用户令牌的值和用户互联网地址的合法性。当校验两者均通过校验匹配时，则响应功能信息。
146.优选地，当用户当前浏览器地址的域名为www.cn.com，目标服务区域的域名为www.us.com，用户通过前端点击目标服务区域的功能时，将携带允许跨域访问的跨域资源共享响应头令牌的值请求头发送到目标服务区域，接收用户通过前端发送的域名，在允许来源请求域访问时，响应功能信息，将来源请求域的域名www.cn.com放入到允许跨域访问的跨域资源共享响应头中，并传输到前端内，前端收到带有www.cn.com的响应头，浏览器内会正常解析渲染页面显示用户所访问的功能信息，此时浏览器的地址仍是www.cn.com，但页面内加载的内容来自域名www.us.com所返回的。
147.在一些实施例中，加密令牌身份信息并生成信息签名，包括：
148.通过令牌身份信息进行组合，使用目标服务区域的公钥加密生成加密字符串；并使用当前服务区域的私钥将加密字符串加密生成信息签名。
149.在一些实施例中，加密后的令牌身份信息和信息签名用于前端发送至目标服务区域内进行验签解密，包括：
150.在目标服务区域内使用当前服务区域的公钥对信息签名进行验签后再对加密后的令牌身份信息使用目标服务区域的私钥进行解密。
151.优选地，通过公钥对信息签名进行验签，得到在当前服务区域加密生成的加密字符串，通过解密字符串得到由服务器随机生成的用户令牌信息。
152.在一些实施例中，生成访问白名单，之前还包括：
153.在目标服务区域内通过解密使得目标服务区域获得令牌身份信息，校验令牌身份信息中时间戳的有效期，校验时间戳的有效期用于触发当校验时间戳在有效期内，则将用户令牌和用户互联网地址加入访问白名单内。
154.优选地，在目标服务区域生成访问白名单的同时，将通过校验的令牌身份信息进行存储在服务端内，用于再次访问时进行信息校验，并显示响应切换成功信息和令牌的值。
155.在本实施例中，如图1和图4所示，本发明构造了一种令牌跨区域交换与鉴权方法，应用于前端，包括以下步骤：
156.发送用户访问时触发的切换区域请求至当前服务区域，切换请求中的用户身份信息用于当前服务区域校验用户身份信息并进行加密签名生成加密后的令牌身份信息和信息签名；
157.接收当前服务区域发送的加密后的令牌身份信息和信息签名；
158.发送加密后的令牌身份信息和信息签名至目标服务区域，用于目标服务区域进行验签解密，并生成访问白名单，目标服务区域将前端地址的域名加入允许跨域访问的跨域资源共享响应头中；
159.接收允许跨域访问的跨域资源共享响应头，加载来自目标服务区域的内容至页
面。
160.用户进行切换区域访问前，需进行账号的注册和登录。
161.优选地，在生成加密后的令牌身份信息和信息签名后，在当前服务区域会将来源请求域的地址加入允许跨域访问的跨域资源共享响应头中，再将加密后的令牌身份信息和信息签名发送至前端中。
162.优选地，当用户当前浏览器地址的域名为www.cn.com，目标服务区域的域名为www.us.com，目标服务区域接收用户通过前端发送的域名，在允许来源请求域访问时，在目标服务区域将来源请求域的域名www.cn.com放入到允许跨域访问的跨域资源共享响应头中，并传输到前端内，前端收到带有www.cn.com的响应头，浏览器内会正常解析渲染页面显示切换区域成功，此时浏览器的地址仍是www.cn.com，但页面内加载的内容来自域名www.us.com所返回的，且在前端内会缓存令牌的值，当进行访问时会将令牌带回目标服务区域内进行授权合法校验。
163.其中，跨域资源共享是通过新增一组http头部字段，允许服务声明该源站可有权限访问何种资源。通过将新增的一组http头部字段加在响应报文的响应头内，前端浏览器自动识别允许跨域加载数据信息。
164.在一些实施例中，令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。
165.在一些实施例中，接收允许跨域访问的跨域资源共享响应头，之后还包括：
166.用于切换区域成功后，访问目标服务区域的功能，用于目标服务区域根据访问白名单校验用户的合法性，并响应功能信息，将前端地址的域名加入允许跨域访问的跨域资源共享响应头中；
167.接收目标服务区域发送的允许跨域访问的跨域资源共享响应头，用于加载来自目标服务区域的功能信息至页面。
168.优选地，当用户当前浏览器地址的域名为www.cn.com，目标服务区域的域名为www.us.com，用户通过前端点击目标服务区域的功能时，将携带允许跨域访问的跨域资源共享响应头令牌的值请求头发送到目标服务区域，接收用户通过前端发送的域名，在允许来源请求域访问时，响应功能信息，将来源请求域的域名www.cn.com放入到允许跨域访问的跨域资源共享响应头中，并传输到前端内，前端收到带有www.cn.com的响应头，浏览器内会正常解析渲染页面显示用户所访问的功能信息，此时浏览器的地址仍是www.cn.com，但页面内加载的内容来自域名www.us.com所返回的。
169.在一些实施例中，根据访问白名单校验用户的合法性，包括：
170.校验白名单内用户令牌的值和用户互联网地址的合法性。当校验两者均通过校验匹配时，则响应功能信息。
171.在一些实施例中，当前服务区域校验令牌身份信息并进行加密签名生成加密后的令牌身份信息和信息签名，包括：
172.在当前服务区域内对令牌身份信息进行组合，使用目标服务区域的公钥加密生成加密字符串；在当前服务区域内使用当前服务区域的私钥将加密字符串加密生成信息签名。
173.在一些实施例中，发送加密后的令牌身份信息和信息签名至目标服务区域，用于
目标服务区域进行验签解密，包括：
174.在目标服务区域内使用当前服务区域的公钥对信息签名进行验签后，再对加密后的令牌身份信息使用目标服务区域的私钥进行解密。
175.优选地，通过公钥对信息签名进行验签，得到在当前服务区域加密生成的加密字符串，通过解密字符串得到由服务器随机生成的用户令牌信息。
176.在一些实施例中，生成访问白名单，之前还包括：
177.在目标服务区域内通过解密使得目标服务区域获得令牌身份信息，令牌身份信息用于校验时间戳的有效期，校验令牌身份信息中时间戳的有效期，若校验时间戳在有效期内，则将用户令牌和用户互联网地址生成访问白名单。
178.优选地，在目标服务区域生成访问白名单的同时，将通过校验的令牌身份信息进行存储在服务端内，用于再次访问时进行信息校验，并显示响应切换成功信息和令牌的值。
179.在本实施例中，如图5所示，本发明构造了一种令牌跨区域交换与鉴权系统，应用于目标服务区域，包括：
180.第一接收模块，用于接收前端发送的加密后的令牌身份信息和信息签名，加密后的令牌身份信息和信息签名为用户访问前端时通过前端发送切换区域请求至当前服务区域后，再由当前服务区域进行用户身份校验和加密签名后发送至前端的；
181.验签解密模块，用于对加密后的令牌身份信息和信息签名进行验签解密处理，并生成访问白名单；
182.第一处理模块，用于将前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并发送至前端，用于前端加载来自目标服务区域的内容至页面。
183.用户进行切换区域访问前，需进行账号的注册和登录。
184.优选地，在生成加密后的令牌身份信息和信息签名后，在当前服务区域会将来源请求域的地址加入允许跨域访问的跨域资源共享响应头中，再将加密后的令牌身份信息和信息签名发送至前端中。
185.优选地，当用户当前浏览器地址的域名为www.cn.com，目标服务区域的域名为www.us.com，接收用户通过前端发送的域名，在允许来源请求域访问时，将来源请求域的域名www.cn.com放入到允许跨域访问的跨域资源共享响应头中，并传输到前端内，前端收到带有www.cn.com的响应头，浏览器内会正常解析渲染页面显示切换区域成功，此时浏览器的地址仍是www.cn.com，但页面内加载的内容来自域名www.us.com所返回的，且在前端内会缓存令牌的值，当进行访问时会将令牌带回目标服务区域内进行授权合法校验。
186.其中，跨域资源共享是通过新增一组http头部字段，允许服务声明该源站可有权限访问何种资源。通过将新增的一组http头部字段加在响应报文的响应头内，前端浏览器自动识别允许跨域加载数据信息。
187.在一些实施例中，令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。
188.在一些实施例中，系统还包括：
189.第一校验模块，用于在切换区域成功，并在用户通过前端进行功能访问时，根据访问白名单校验用户的合法性；
190.第二处理模块，用于响应功能信息，将前端地址的域名加入允许跨域访问的跨域
资源共享响应头中；
191.第一发送模块，用于将允许跨域访问的跨域资源共享响应头发送至前端，用于前端加载来自目标服务区域的功能信息至页面。
192.优选地，当用户当前浏览器地址的域名为www.cn.com，目标服务区域的域名为www.us.com，用户通过前端点击目标服务区域的功能时，将携带允许跨域访问的跨域资源共享响应头令牌的值请求头发送到目标服务区域，接收用户通过前端发送的域名，在允许来源请求域访问时，响应功能信息，将来源请求域的域名www.cn.com放入到允许跨域访问的跨域资源共享响应头中，并传输到前端内，前端收到带有www.cn.com的响应头，浏览器内会正常解析渲染页面显示用户所访问的功能信息，此时浏览器的地址仍是www.cn.com，但页面内加载的内容来自域名www.us.com所返回的。
193.在一些实施例中，系统包括：
194.校验白名单内用户令牌的值和用户互联网地址的合法性。当校验两者均通过校验匹配时，则响应功能信息。
195.在一些实施例中，系统包括：
196.在当前服务区域内使用目标服务区域的公钥对令牌身份信息进行组合加密生成加密字符串；在当前服务区域内使用当前服务区域的私钥将加密字符串加密生成信息签名。
197.在一些实施例中，系统包括：
198.使用当前服务区域的公钥对信息签名进行验签后，再对加密后的令牌身份信息使用目标服务区域的私钥进行解密。
199.优选地，通过公钥对信息签名进行验签，得到在当前服务区域加密生成的加密字符串，通过解密字符串得到由服务器随机生成的用户令牌信息。
200.在一些实施例中，系统还包括：
201.校验令牌身份信息中时间戳的有效期，若校验时间戳在有效期内，则将用户令牌和用户互联网地址生成访问白名单。
202.优选地，在目标服务区域生成访问白名单的同时，将通过校验的令牌身份信息进行存储在服务端内，用于再次访问时进行信息校验，并显示响应切换成功信息和令牌的值。
203.在本实施例中，如图6所示，本发明构造了一种令牌跨区域交换与鉴权系统，应用于当前服务区域，包括：
204.第二接收模块，用于接收用户访问前端时通过前端发送的切换区域请求；
205.第二校验模块，用于校验切换区域请求的用户身份信息；
206.加密模块，用于加密令牌身份信息并生成信息签名；
207.第二发送模块，用于发送加密后的令牌身份信息和信息签名至前端，加密后的令牌身份信息和信息签名用于前端发送至目标服务区域内进行验签解密，并生成访问白名单，目标服务区域将前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并将允许跨域访问的跨域资源共享响应头发送至前端，用于前端加载来自目标服务区域的内容至页面。
208.用户进行切换区域访问前，需进行账号的注册和登录。
209.优选地，在生成加密后的令牌身份信息和信息签名后，在当前服务区域会将来源
请求域的地址加入允许跨域访问的跨域资源共享响应头中，再将加密后的令牌身份信息和信息签名发送至前端中。
210.优选地，当用户当前浏览器地址的域名为www.cn.com，目标服务区域的域名为www.us.com，目标服务区域接收用户通过前端发送的域名，在允许来源请求域访问时，在目标服务区域将来源请求域的域名www.cn.com放入到允许跨域访问的跨域资源共享响应头中，并传输到前端内，前端收到带有www.cn.com的响应头，浏览器内会正常解析渲染页面显示切换区域成功，此时浏览器的地址仍是www.cn.com，但页面内加载的内容来自域名www.us.com所返回的，且在前端内会缓存令牌的值，当进行访问时会将令牌带回目标服务区域内进行授权合法校验。
211.其中，跨域资源共享是通过新增一组http头部字段，允许服务声明该源站可有权限访问何种资源。通过将新增的一组http头部字段加在响应报文的响应头内，前端浏览器自动识别允许跨域加载数据信息。
212.在一些实施例中，令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。
213.优选地，在切换区域成功，并在用户通过前端访问目标服务区域后，在目标服务区域根据访问白名单校验用户的合法性，并响应功能信息，将前端地址的域名加入允许跨域访问的跨域资源共享响应头中，并将允许跨域访问的跨域资源共享响应头发送至前端，用于前端加载来自目标服务区域的功能信息至页面。
214.根据校验白名单内用户令牌的值和用户互联网地址的合法性。当校验两者均通过校验匹配时，则响应功能信息。
215.优选地，当用户当前浏览器地址的域名为www.cn.com，目标服务区域的域名为www.us.com，用户通过前端点击目标服务区域的功能时，将携带允许跨域访问的跨域资源共享响应头令牌的值请求头发送到目标服务区域，接收用户通过前端发送的域名，在允许来源请求域访问时，响应功能信息，将来源请求域的域名www.cn.com放入到允许跨域访问的跨域资源共享响应头中，并传输到前端内，前端收到带有www.cn.com的响应头，浏览器内会正常解析渲染页面显示用户所访问的功能信息，此时浏览器的地址仍是www.cn.com，但页面内加载的内容来自域名www.us.com所返回的。
216.在一些实施例中，系统包括：
217.通过令牌身份信息进行组合，使用目标服务区域的公钥加密生成加密字符串；并使用当前服务区域的私钥将加密字符串加密生成信息签名。
218.在一些实施例中，系统包括：
219.在目标服务区域内使用当前服务区域的公钥对信息签名进行验签后再对加密后的令牌身份信息使用目标服务区域的私钥进行解密。
220.优选地，通过公钥对信息签名进行验签，得到在当前服务区域加密生成的加密字符串，通过解密字符串得到由服务器随机生成的用户令牌信息。
221.在一些实施例中，系统还包括：
222.在目标服务区域内通过解密使得目标服务区域获得令牌身份信息，校验令牌身份信息中时间戳的有效期，校验时间戳的有效期用于触发当校验时间戳在有效期内，则将用户令牌和用户互联网地址加入访问白名单内。
223.优选地，在目标服务区域生成访问白名单的同时，将通过校验的令牌身份信息进行存储在服务端内，用于再次访问时进行信息校验，并显示响应切换成功信息和令牌的值。
224.在本实施例中，如图7所示，本发明构造了一种令牌跨区域交换与鉴权系统，应用于前端，包括：
225.第三发送模块，用于发送用户访问时触发的切换区域请求至当前服务区域，切换请求中的用户身份信息用于当前服务区域校验用户身份信息并进行加密签名生成加密后的令牌身份信息和信息签名；
226.第三接收模块，用于接收当前服务区域发送的加密后的令牌身份信息和信息签名；
227.第四发送模块，用于发送加密后的令牌身份信息和信息签名至目标服务区域，用于目标服务区域进行验签解密，并生成访问白名单，目标服务区域将前端地址的域名加入允许跨域访问的跨域资源共享响应头中；
228.第四接收模块，用于接收允许跨域访问的跨域资源共享响应头，加载来自目标服务区域的内容至页面。
229.用户进行切换区域访问前，需进行账号的注册和登录。
230.优选地，在生成加密后的令牌身份信息和信息签名后，在当前服务区域会将来源请求域的地址加入允许跨域访问的跨域资源共享响应头中，再将加密后的令牌身份信息和信息签名发送至前端中。
231.优选地，当用户当前浏览器地址的域名为www.cn.com，目标服务区域的域名为www.us.com，目标服务区域接收用户通过前端发送的域名，在允许来源请求域访问时，在目标服务区域将来源请求域的域名www.cn.com放入到允许跨域访问的跨域资源共享响应头中，并传输到前端内，前端收到带有www.cn.com的响应头，浏览器内会正常解析渲染页面显示切换区域成功，此时浏览器的地址仍是www.cn.com，但页面内加载的内容来自域名www.us.com所返回的，且在前端内会缓存令牌的值，当进行访问时会将令牌带回目标服务区域内进行授权合法校验。
232.其中，跨域资源共享是通过新增一组http头部字段，允许服务声明该源站可有权限访问何种资源。通过将新增的一组http头部字段加在响应报文的响应头内，前端浏览器自动识别允许跨域加载数据信息。
233.在一些实施例中，令牌身份信息包括访问令牌的值，切换访问者的互联网地址和时间戳。
234.在一些实施例中，系统还包括：
235.第三处理模块，用于切换区域成功后，访问目标服务区域的功能，用于目标服务区域根据访问白名单校验用户的合法性，并响应功能信息，将前端地址的域名加入允许跨域访问的跨域资源共享响应头中；
236.第五接收模块，用于接收目标服务区域发送的允许跨域访问的跨域资源共享响应头，用于加载来自目标服务区域的功能信息至页面。
237.优选地，当用户当前浏览器地址的域名为www.cn.com，目标服务区域的域名为www.us.com，用户通过前端点击目标服务区域的功能时，将携带允许跨域访问的跨域资源共享响应头令牌的值请求头发送到目标服务区域，接收用户通过前端发送的域名，在允许
来源请求域访问时，响应功能信息，将来源请求域的域名www.cn.com放入到允许跨域访问的跨域资源共享响应头中，并传输到前端内，前端收到带有www.cn.com的响应头，浏览器内会正常解析渲染页面显示用户所访问的功能信息，此时浏览器的地址仍是www.cn.com，但页面内加载的内容来自域名www.us.com所返回的。
238.在一些实施例中，系统包括：
239.校验白名单内用户令牌的值和用户互联网地址的合法性。当校验两者均通过校验匹配时，则响应功能信息。
240.在一些实施例中，系统包括：
241.在当前服务区域内对令牌身份信息进行组合，使用目标服务区域的公钥加密生成加密字符串；在当前服务区域内使用当前服务区域的私钥将加密字符串加密生成信息签名。
242.在一些实施例中，系统包括：
243.在目标服务区域内使用公钥对信息签名进行验签后再对加密后的令牌身份信息进行解密。
244.优选地，通过公钥对信息签名进行验签，得到在当前服务区域加密生成的加密字符串，通过解密字符串得到由服务器随机生成的用户令牌信息。
245.在一些实施例中，系统还包括：
246.在目标服务区域内通过解密使得目标服务区域获得令牌身份信息，令牌身份信息用于校验时间戳的有效期，校验令牌身份信息中时间戳的有效期，若校验时间戳在有效期内，则将用户令牌和用户互联网地址生成访问白名单。
247.优选地，在目标服务区域生成访问白名单的同时，将通过校验的令牌身份信息进行存储在服务端内，用于再次访问时进行信息校验，并显示响应切换成功信息和令牌的值。
248.通过实施本发明，具有以下有益效果：
249.用户通过前端发送切换区域请求，在当前服务区域进行用户身份的校验，将用户的身份信息加密并生成信息签名，再发送加密后的令牌身份信息和信息签名到前端，通过前端发送到目标服务区域内进行验签解密，在目标服务区域生成访问白名单并将来源域加入允许跨域访问的跨域资源共享响应头中，再将允许跨域访问的跨域资源共享响应头发送到前端中，在前端内显示跨域切换成功，切换成功之后，用户根据前端选择目标区域的功能时，目标服务区域进行校验白名单内用户身份的合法性，从而响应功能信息，将含有来源域的域名加入允许跨域访问的跨域资源共享响应头中并传输到前端内，前端内浏览器正常解析渲染页面，显示用户访问的功能信息。通过实施本发明，跨域访问时不同区域数据中心之间不用同步令牌，减少了数据中心之间的交互频繁，且不同区域数据中心不会存储非本区域注册的用户信息。
250.可以理解的，以上实施例仅表达了本发明的优选实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制；应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，可以对上述技术特点进行自由组合，还可以做出若干变形和改进，这些都属于本发明的保护范围；因此，凡跟本发明权利要求范围所做的等同变换与修饰，均应属于本发明权利要求的涵盖范围。