本发明涉及数据安全领域,尤其涉及一种客户端调用后端接口鉴权授权安全方法。
背景技术:
1、随着互联网技术的飞速发展,数据安全成为了人们关注的焦点问题,同时也带来了严重的安全隐患,往往出现很多网站、app软件、系统等海量数据的泄露事件。现有的很多软件都是没有做数据安全机制处理的,sql注入攻击、跨站点请求伪造、跨站点脚本攻击数据很容易造成数据信息被窃取、数据篡改、数据删添等状况,有必要对其进行改进。
技术实现思路
1、本发明目的是针对上述问题,提供一种操作简单、提高安全性的客户端调用后端接口鉴权授权安全方法。
2、为了实现上述目的,本发明的技术方案是:
3、一种客户端调用后端接口鉴权授权安全方法,包括以下步骤:
4、s1、客户端输入用户名和密码请求登录服务端;
5、s2、服务端收到客户端的请求后,将用户名和密码传输到数据库查询是否存在此用户;如果不存在此用户,则提示客户端非法访问,此用户不存在;如果存在此用户,会通过jwt鉴权授权认证方式,将登录凭证做数字签名,同时生成token信息和refresh_token信息;
6、s3、服务端会把生成的token信息缓存到redis缓存数据库中,并反馈token信息和refresh_token信息给客户端,客户端保存token信息和refresh_token信息到本地数据库中;
7、s4、客户端携带token信息后请求访问服务端的资源数据;
8、s5、服务端收到客户端请求后,通过后端程序查询redis缓存数据库中是否存在客户端携带的token信息;如果不存在,则提示客户端token信息不存在;如果存在,则进行下一步;
9、s6、服务端判断token信息是否过期;如果token信息没有过期,则解析token信息获取认证,认证通过后,客户端获得访问服务端资源数据的权限,将服务端的资源数据反馈给客户端;如果token信息已过期,反馈给客户端token过期提示;并且客户端用refresh_token信息继续进行请求;
10、s7、服务端判断refresh_token信息是否过期;如果refresh_token信息已过期,则返回给客户端refresh_token信息过期,需要重新登录的提示;如果refresh_token信息没有过期,则服务端生成新的token信息和refresh_token信息并反馈给客户端,客户端的本地数据库丢弃旧的token信息、refresh_token信息,保存新的token信息、refresh_token信息;
11、s8、客户端使用新的token信息重复进行步骤s4~s6,令客户端获得访问服务端资源数据的权限。
12、进一步的,所述客户端包括浏览器、app。
13、进一步的,所述jwt鉴权授权认证方式采用base64url算法。
14、进一步的,所述jwt鉴权授权认证方式采用加密的https协议进行传输。
15、与现有技术相比,本发明具有的优点和积极效果是:
16、本发明提出了一种客户端调用后端接口鉴权授权安全方法,其将所有的接口请求使用jwt鉴权授权身份验证技术,通过非对称加密及数字签名技术,用以解决客户端调用后端接口随意被别人或别的系统调用的问题,同时其实现了对客户端访问后端资源接口的权限控制,降低了系统数据泄露、被篡改的风险,有效提高了系统的安全性,给计算机的数据安全方面作出了一定的贡献。
1.一种客户端调用后端接口鉴权授权安全方法,其特征在于:包括以下步骤:
2.如权利要求1所述的客户端调用后端接口鉴权授权安全方法,其特征在于:所述客户端包括浏览器、app。
3.如权利要求2所述的客户端调用后端接口鉴权授权安全方法,其特征在于:所述jwt鉴权授权认证方式采用base64url算法。
4.如权利要求3所述的客户端调用后端接口鉴权授权安全方法,其特征在于:所述jwt鉴权授权认证方式采用加密的https协议进行传输。