本發(fā)明涉及信息安全技術(shù)領(lǐng)域����,具體地,涉及一種適用于在線身份認(rèn)證的流控機制�����。
背景技術(shù):
為了確保站點間訪問的安全性�����,在目前互聯(lián)網(wǎng)通信進程中的普遍做法是:先依靠攔截器攔截URL(Uniform Resoure Locator�����,統(tǒng)一資源定位器)地址,根據(jù)客戶端要訪問的文件資源權(quán)限����,轉(zhuǎn)發(fā)到用戶登錄流程,然后在用戶輸入身份憑證相關(guān)信息(例如賬戶和賬戶密碼等)后�,由認(rèn)證服務(wù)器進行認(rèn)證匹配,如果認(rèn)證成功則會在客戶端與服務(wù)端之間建立內(nèi)存化的授權(quán)資源共享對象(例如Session對象等)���,并將授權(quán)資源共享對象的一部分信息寫入到客戶端的臨時緩存文件(例如Cookies文件)中。但是由于缺乏對在線身份認(rèn)證進程(即用戶登錄流程)進行嚴(yán)格地流程管控以及對授權(quán)資源共享對象進行嚴(yán)格的讀寫管控�,使得黑客能夠利用HTTP協(xié)議(HyperText Transfer Protocol,超文本傳輸協(xié)議)無狀態(tài)即無連接的特性���,并使用從空口攔截獲取的授權(quán)資源共享對象或非法侵入讀取的臨時緩存文件來強行冒充合法用戶的身份��,達到中間人攻擊的目的���,從而使得現(xiàn)行在線身份認(rèn)證進程存在一定的安全隱患。
技術(shù)實現(xiàn)要素:
針對前述現(xiàn)有技術(shù)的問題�,本發(fā)明提供了一種適用于在線身份認(rèn)證的流控機制,其針對在線身份認(rèn)證進程提出了一種嚴(yán)格的流程管控方法��,即在鎖定標(biāo)記客戶端瀏覽器后����,對通信會話中的Session對象進行了嚴(yán)格的讀寫管控以及對Cookies內(nèi)容進行嚴(yán)格地驗證管控���,從而即使在出現(xiàn)SessionID或Coolies內(nèi)容等信息泄露的情況下,也能夠杜絕黑客利用這些資源冒充合法用戶的身份����,防止造成用戶信息的進一步泄露,進而極大地降低了信息泄露及黑客攻擊的可能性�����,保障了在線身份認(rèn)證進程的安全��。
本發(fā)明采用的技術(shù)方案,提供了一種適用于在線身份認(rèn)證的流控機制���,包括如下步驟: S101.業(yè)務(wù)服務(wù)器在客戶端瀏覽器打開業(yè)務(wù)首頁時���,生成鎖定該客戶端瀏覽器的主SessionID,并創(chuàng)建與所述主SessionID對應(yīng)的主Session對象����,然后一方面將所述主SessionID反饋至該客戶端瀏覽器,另一方面將所述主SessionID及對應(yīng)的所述主Session對象傳送至流控寄存服務(wù)器,由流控寄存服務(wù)器按照如下第一方式進行托管:存儲所述主Session對象�,然后將所述主SessionID和所述主Session對象的第一存儲地址添加到讀寫白名單表中,然后在成功驗證該客戶端瀏覽器的身份憑證后且在所述主Session對象銷毀前��,許可該客戶端瀏覽器通過業(yè)務(wù)服務(wù)器間接地對所述讀寫白名單表進行查表����,并在使用所述主SessionID獲取對應(yīng)的所述第一存儲地址后,根據(jù)所述第一存儲地址對所述主Session對象進行數(shù)據(jù)讀取和/或數(shù)據(jù)寫入�����;S102.認(rèn)證服務(wù)器在該客戶端瀏覽器打開登錄頁面時�����,生成鎖定該客戶端瀏覽器的認(rèn)證SessionID��,并創(chuàng)建與所述認(rèn)證SessionID對應(yīng)的認(rèn)證Session對象����,然后一方面將所述認(rèn)證SessionID反饋至該客戶端瀏覽器��,另一方面將所述認(rèn)證SessionID及對應(yīng)的所述認(rèn)證Session對象傳送至流控寄存服務(wù)器���,由流控寄存服務(wù)器按照如下第二方式進行托管:存儲所述認(rèn)證Session對象��,然后將所述認(rèn)證SessionID和所述認(rèn)證Session對象的第二存儲地址添加到所述讀寫白名單表中���,并在表中關(guān)聯(lián)所述主SessionID和所述認(rèn)證SessionID��,然后在成功驗證該客戶端瀏覽器的身份憑證后且在所述認(rèn)證Session對象銷毀前���,許可該客戶端瀏覽器通過認(rèn)證服務(wù)器間接地對所述讀寫白名單表進行查表,并在使用所述認(rèn)證SessionID獲取對應(yīng)的所述第二存儲地址后���,根據(jù)所述第二存儲地址對所述認(rèn)證Session對象進行數(shù)據(jù)讀?�?����;S103.業(yè)務(wù)服務(wù)器在首次成功驗證該客戶端瀏覽器的身份憑證后�,生成鎖定該客戶端瀏覽器的Cookies內(nèi)容���,然后將所述Cookies內(nèi)容傳送至流控寄存服務(wù)器���,由流控寄存服務(wù)器按照如下第三方式進行托管:一方面應(yīng)用摘要算法獲取所述Cookies內(nèi)容的第一摘要,然后使用簽名私鑰對所述第一摘要進行數(shù)字簽名,得到所述Cookies內(nèi)容的摘要密文���,最后在保存所述Cookie內(nèi)容及驗簽公鑰的臨時對應(yīng)關(guān)系后��,將封裝有所述Cookies內(nèi)容和所述摘要密文的Cookies對象通過業(yè)務(wù)服務(wù)器反饋至該客戶端瀏覽器����,其中���,所述簽名私鑰和所述驗簽公鑰為一對非對稱公私鑰�,另一方面使用所述驗簽公鑰對來自業(yè)務(wù)服務(wù)器且由該客戶端瀏覽器上傳的Cookies對象進行驗簽�����,若驗簽通過��,則向業(yè)務(wù)服務(wù)器反饋對該客戶端瀏覽器的身份憑證二次認(rèn)證成功信息��,否則向業(yè)務(wù)服務(wù)器反饋對該客戶端瀏覽器的身份憑證二次認(rèn)證失敗信息����。
優(yōu)化的��,在所述第一方式托管中還包括:在客戶端瀏覽器關(guān)閉時或在所述主Session對象的閑置時長超過預(yù)設(shè)閾值時,銷毀所述主Session對象���,并在所述讀寫白名單表中清除所述主SessionID和所述主Session對象的第一存儲地址�����。
優(yōu)化的���,在所述第二方式托管中還包括:在首次成功驗證該客戶端瀏覽器的身份憑證后,使所述認(rèn)證Session對象處于寫鎖定狀態(tài)��。
優(yōu)化的����,在所述第二方式托管中還包括:在所述主Session對象被銷毀時或在該客戶端瀏覽器退出登錄時,銷毀所述認(rèn)證Session對象���,并在所述讀寫白名單表中清除所述認(rèn)證SessionID和所述認(rèn)證Session對象的第二存儲地址���。
優(yōu)化的,在所述第三方式托管中的驗簽步驟包括如下:一方面應(yīng)用摘要算法獲取所述Cookies對象中Cookies內(nèi)容的第二摘要�,另一方面根據(jù)所述Cookies對象中Cookies內(nèi)容從所述臨時對應(yīng)關(guān)系中查找到對應(yīng)的所述驗簽公鑰,然后使用所述驗簽公鑰對所述Cookies對象中摘要密文進行解密�����,得到解密摘要,最后對比兩份摘要是否相同��,若相同�����,則驗簽通過��,否則驗簽不通過����。
優(yōu)化的,根據(jù)客戶端瀏覽器的瀏覽器信息和打開相應(yīng)頁面的時間戳生成鎖定該客戶端瀏覽器的主SessionID和/或認(rèn)證SessionID����,其中,所述瀏覽器信息包含瀏覽器類型和版本號���。
優(yōu)化的�,在所述步驟S103之后還包括步驟如下:S104.業(yè)務(wù)服務(wù)器在認(rèn)證服務(wù)器發(fā)起數(shù)據(jù)同步請求時��,生成數(shù)據(jù)同步SessionID�����,并創(chuàng)建與所述數(shù)據(jù)同步SessionID對應(yīng)的數(shù)據(jù)同步Session對象���,然后一方面將所述數(shù)據(jù)同步SessionID反饋至該認(rèn)證服務(wù)器�����,另一方面將所述數(shù)據(jù)同步SessionID及對應(yīng)的所述數(shù)據(jù)同步Session對象傳送至流控寄存服務(wù)器��,由流控寄存服務(wù)器按照如下第四方式進行托管:存儲所述數(shù)據(jù)同步Session對象���,然后將所述數(shù)據(jù)同步SessionID和所述數(shù)據(jù)同步Session對象的第四存儲地址添加到所述讀寫白名單表中,并在表中關(guān)聯(lián)所述主SessionID和所述數(shù)據(jù)同步SessionID����,然后在所述數(shù)據(jù)同步Session對象銷毀前,許可業(yè)務(wù)服務(wù)器對所述讀寫白名單表進行查表���,并在使用所述數(shù)據(jù)同步SessionID獲取對應(yīng)的所述第四存儲地址后��,根據(jù)所述第四存儲地址對所述數(shù)據(jù)同步Session對象進行一次數(shù)據(jù)讀取�。
進一步優(yōu)化的�,在所述第四方式托管中還包括:在業(yè)務(wù)服務(wù)器與該認(rèn)證服務(wù)器之間完成數(shù)據(jù)同步后��,銷毀所述數(shù)據(jù)同步Session對象����,并在所述讀寫白名單表中清除所述數(shù)據(jù)同步SessionID和所述數(shù)據(jù)同步Session對象的第四存儲地址�����。
綜上�,采用本發(fā)明所提供的一種適用于在線身份認(rèn)證的流控機制,具有如下有益效果:(1)該方法針對在線身份認(rèn)證進程提出了一種嚴(yán)格的流程管控方法�����,即在鎖定標(biāo)記客戶端瀏覽器后�����,對通信會話中的Session對象進行了嚴(yán)格的讀寫管控以及對Cookies內(nèi)容進行嚴(yán)格地驗證管控���,從而即使在出現(xiàn)SessionID或Coolies內(nèi)容等信息泄露的情況下�����,也能夠杜絕黑客利用這些資源冒充合法用戶的身份��,防止造成用戶信息的進一步泄露���,進而極大地降低了信息泄露及黑客攻擊的可能性,保障了在線身份認(rèn)證進程的安全����;(2)在流程控制過程中,規(guī)定了多種不同階段會話的Session對象讀寫規(guī)則�,極大的提高了在線身份認(rèn)證進程的安全;(3)創(chuàng)新地提出了在線身份認(rèn)證進程的流程管控技術(shù)�����,使得登錄認(rèn)證流程的細(xì)節(jié)更加規(guī)范化����,填補了當(dāng)前技術(shù)的空白。
具體實施方式
以下將通過實施例方式詳細(xì)地描述本發(fā)明提供的適用于在線身份認(rèn)證的流控機制���。在此需要說明的是���,對于這些實施例方式的說明用于幫助理解本發(fā)明,但并不構(gòu)成對本發(fā)明的限定�����。
本文中術(shù)語“和/或”,僅僅是一種描述關(guān)聯(lián)對象的關(guān)聯(lián)關(guān)系���,表示可以存在三種關(guān)系���,例如,A和/或B���,可以表示:單獨存在A���,單獨存在B,同時存在A和B三種情況���,本文中術(shù)語“/和”是描述另一種關(guān)聯(lián)對象關(guān)系��,表示可以存在兩種關(guān)系���,例如,A/和B���,可以表示:單獨存在A����,單獨存在A和B兩種情況,另外�,本文中字符“/”,一般表示前后關(guān)聯(lián)對象是一種“或”關(guān)系�����。
實施例一
本實施例提供的所述適用于在線身份認(rèn)證的流控機制�,包括如下步驟����。
S101.業(yè)務(wù)服務(wù)器在客戶端瀏覽器打開業(yè)務(wù)首頁時,生成鎖定該客戶端瀏覽器的主SessionID���,并創(chuàng)建與所述主SessionID對應(yīng)的主Session對象��,然后一方面將所述主SessionID反饋至該客戶端瀏覽器����,另一方面將所述主SessionID及對應(yīng)的所述主Session對象傳送至流控寄存服務(wù)器�,由流控寄存服務(wù)器按照如下第一方式進行托管:存儲所述主Session對象,然后將所述主SessionID和所述主Session對象的第一存儲地址添加到讀寫白名單表中,然后在成功驗證該客戶端瀏覽器的身份憑證后且在所述主Session對象銷毀前����,許可該客戶端瀏覽器通過業(yè)務(wù)服務(wù)器間接地對所述讀寫白名單表進行查表,并在使用所述主SessionID獲取對應(yīng)的所述第一存儲地址后���,根據(jù)所述第一存儲地址對所述主Session對象進行數(shù)據(jù)讀取和/或數(shù)據(jù)寫入�。
在所述步驟S101中���,所述業(yè)務(wù)服務(wù)器用于為訪問用戶提供各種業(yè)務(wù)服務(wù)�����,例如提供業(yè)務(wù)首頁����、登錄頁面��、用戶查閱頁面及操作頁面等���,例如WEB服務(wù)器�。所述客戶端瀏覽器為在客戶端設(shè)備(例如智能手機或電腦等)上運行的網(wǎng)頁瀏覽器����,例如IE瀏覽器或UC瀏覽器等����。用戶在啟動客戶端瀏覽器后可訪問業(yè)務(wù)服務(wù)器�,請求業(yè)務(wù)服務(wù)器提供業(yè)務(wù)首頁內(nèi)容以便用戶使用,業(yè)務(wù)服務(wù)器在接收本次請求消息后��,反饋對應(yīng)的響應(yīng)消息(本次請求成功消息或本次請求失敗消息)�。所述主SessionID為在客戶端瀏覽器與業(yè)務(wù)服務(wù)器之間建立本次主會話的會話標(biāo)志,其以加載在前述響應(yīng)消息的消息頭中的方式反饋至該客戶端瀏覽器�,而客戶端瀏覽器在接收到所述主SessionID后�,將所述主SessionID存儲在本地的臨時緩存文件中,以便在后續(xù)與業(yè)務(wù)服務(wù)器的會話過程中對該客戶端瀏覽器進行識別��。為了準(zhǔn)確地對客戶端瀏覽器進行識別���,優(yōu)化的��,根據(jù)客戶端瀏覽器的瀏覽器信息和打開業(yè)務(wù)首頁的時間戳生成鎖定該客戶端瀏覽器的主SessionID�,其中�����,所述瀏覽器信息可以但不限于包含瀏覽器類型(例如IE瀏覽器、火狐瀏覽器����、UC瀏覽器和360瀏覽器等)和版本號。
在所述步驟S101中���,所述主Session對象用于保存該客戶端瀏覽器與業(yè)務(wù)服務(wù)器之間主會話所需的屬性以及配置信息��,例如該客戶端瀏覽器的IP地址����、會話超時時間���、會話結(jié)束激勵事件等�。業(yè)務(wù)服務(wù)器在得到所述主SessionID和所述主Session對象后�,通過信任的局域網(wǎng)絡(luò)將它們集中傳送至流控寄存服務(wù)器進行全權(quán)托管。通過流控寄存服務(wù)器對所述主Session對象進行前述第一方式的托管�,只允許同一個且成功通過身份認(rèn)證的客戶端瀏覽器通過業(yè)務(wù)服務(wù)器對所述主Session對象中的數(shù)據(jù)進行讀取或改寫作業(yè),如此可杜絕冒充該客戶端瀏覽器的第三方瀏覽器使用相同的所述主SessionID騙取所述主Session對象中的關(guān)鍵數(shù)據(jù)����,防止用戶信息出現(xiàn)進一步的信息泄露。此外優(yōu)化的�����,在所述第一方式托管中還包括:在客戶端瀏覽器關(guān)閉時或在所述主Session對象的閑置時長超過預(yù)設(shè)閾值時,銷毀所述主Session對象����,并在所述讀寫白名單表中清除所述主SessionID和所述主Session對象的第一存儲地址。如此可以在結(jié)束主會話或者默認(rèn)主會話已結(jié)束時����,及時清除流控寄存服務(wù)器中的無效數(shù)據(jù),節(jié)省存儲資源及管理資源��。
S102.認(rèn)證服務(wù)器在該客戶端瀏覽器打開登錄頁面時�����,生成鎖定該客戶端瀏覽器的認(rèn)證SessionID����,并創(chuàng)建與所述認(rèn)證SessionID對應(yīng)的認(rèn)證Session對象���,然后一方面將所述認(rèn)證SessionID反饋至該客戶端瀏覽器�,另一方面將所述認(rèn)證SessionID及對應(yīng)的所述認(rèn)證Session對象傳送至流控寄存服務(wù)器����,由流控寄存服務(wù)器按照如下第二方式進行托管:存儲所述認(rèn)證Session對象��,然后將所述認(rèn)證SessionID和所述認(rèn)證Session對象的第二存儲地址添加到所述讀寫白名單表中��,并在表中關(guān)聯(lián)所述主SessionID和所述認(rèn)證SessionID��,然后在成功驗證該客戶端瀏覽器的身份憑證后且在所述認(rèn)證Session對象銷毀前�,許可該客戶端瀏覽器通過認(rèn)證服務(wù)器間接地對所述讀寫白名單表進行查表�����,并在使用所述認(rèn)證SessionID獲取對應(yīng)的所述第二存儲地址后��,根據(jù)所述第二存儲地址對所述認(rèn)證Session對象進行數(shù)據(jù)讀取�����。
在所述步驟S102中�,客戶端瀏覽器在成功訪問業(yè)務(wù)首頁后(即在建立主會話之后),可進一步請求業(yè)務(wù)服務(wù)器提供登錄頁面內(nèi)容���,以便用戶導(dǎo)入身份憑證信息(例如賬戶和賬戶密碼等)并在認(rèn)證服務(wù)器處完成身份認(rèn)證后�,進而使用為用戶所私有的用戶查閱頁面及操作頁面等��,認(rèn)證服務(wù)器在通過業(yè)務(wù)服務(wù)器間接地接收到本次認(rèn)證請求消息后,間接地反饋對應(yīng)的認(rèn)證響應(yīng)消息(本次認(rèn)證請求成功消息或本次認(rèn)證請求失敗消息)��。所述認(rèn)證SessionID為在客戶端瀏覽器與認(rèn)證服務(wù)器之間建立本次認(rèn)證會話的會話標(biāo)志���,其以加載在前述認(rèn)證響應(yīng)消息的消息頭中的方式反饋至該客戶端瀏覽器�,而客戶端瀏覽器在接收到所述認(rèn)證SessionID后����,將所述認(rèn)證SessionID存儲在本地的臨時緩存文件中,以便在后續(xù)與認(rèn)證服務(wù)器的認(rèn)證會話過程中對該客戶端瀏覽器進行識別����。為了準(zhǔn)確地對客戶端瀏覽器進行識別,與所述主SessionID一樣優(yōu)化的���,根據(jù)客戶端瀏覽器的瀏覽器信息和打開登錄首頁的時間戳生成鎖定該客戶端瀏覽器的認(rèn)證SessionID�����,其中,所述瀏覽器信息可以但不限于包含瀏覽器類型(例如IE瀏覽器��、火狐瀏覽器�、UC瀏覽器和360瀏覽器等)和版本號����。
在所述步驟S102中���,所述認(rèn)證Session對象用于保存該客戶端瀏覽器與業(yè)務(wù)服務(wù)器之間認(rèn)證會話所需的屬性以及配置信息��,例如該客戶端瀏覽器的IP地址�����、會話超時時間��、會話結(jié)束激勵事件等�。認(rèn)證服務(wù)器在得到所述認(rèn)證SessionID和所述認(rèn)證Session對象后�,同樣通過信任的局域網(wǎng)絡(luò)將它們集中傳送至流控寄存服務(wù)器進行全權(quán)托管。通過流控寄存服務(wù)器對所述認(rèn)證Session對象進行前述第二方式的托管���,只允許同一個客戶端瀏覽器在認(rèn)證會話過程中通過認(rèn)證服務(wù)器對所述認(rèn)證Session對象中的數(shù)據(jù)進行讀取或改寫作業(yè)�����,同時在成功完成身份認(rèn)證后�����,只允許同一個且成功通過身份認(rèn)證的客戶端瀏覽器通過認(rèn)證服務(wù)器對所述認(rèn)證Session對象中的數(shù)據(jù)進行讀取作業(yè)��,如此可杜絕冒充該客戶端瀏覽器的第三方瀏覽器使用相同的所述認(rèn)證SessionID騙取所述認(rèn)證Session對象中的關(guān)鍵數(shù)據(jù)�����,防止用戶信息出現(xiàn)進一步的信息泄露�。為了進一步防止篡改所述認(rèn)證Session對象中的數(shù)據(jù),優(yōu)化的��,在所述第二方式托管中還包括:在首次成功驗證該客戶端瀏覽器的身份憑證后�����,使所述認(rèn)證Session對象處于寫鎖定狀態(tài)�。此外優(yōu)化的,在所述第二方式托管中還包括:在所述主Session對象被銷毀時或在該客戶端瀏覽器退出登錄時��,銷毀所述認(rèn)證Session對象����,并在所述讀寫白名單表中清除所述認(rèn)證SessionID和所述認(rèn)證Session對象的第二存儲地址。如此可以在結(jié)束主會話或者退出登錄時�����,及時清除流控寄存服務(wù)器中的無效數(shù)據(jù)�����,節(jié)省存儲資源及管理資源��,并可確保所述認(rèn)證Session對象只存在主會話內(nèi)�����。
S103.業(yè)務(wù)服務(wù)器在首次成功驗證該客戶端瀏覽器的身份憑證后����,生成鎖定該客戶端瀏覽器的Cookies內(nèi)容,然后將所述Cookies內(nèi)容傳送至流控寄存服務(wù)器�����,由流控寄存服務(wù)器按照如下第三方式進行托管:一方面應(yīng)用摘要算法獲取所述Cookies內(nèi)容的第一摘要��,然后使用簽名私鑰對所述第一摘要進行數(shù)字簽名��,得到所述Cookies內(nèi)容的摘要密文��,最后在保存所述Cookie內(nèi)容及驗簽公鑰的臨時對應(yīng)關(guān)系后,將封裝有所述Cookies內(nèi)容和所述摘要密文的Cookies對象通過業(yè)務(wù)服務(wù)器反饋至該客戶端瀏覽器�����,其中�����,所述簽名私鑰和所述驗簽公鑰為一對非對稱公私鑰����,另一方面使用所述驗簽公鑰對來自業(yè)務(wù)服務(wù)器且由該客戶端瀏覽器上傳的Cookies對象進行驗簽,若驗簽通過�,則向業(yè)務(wù)服務(wù)器反饋對該客戶端瀏覽器的身份憑證二次認(rèn)證成功信息,否則向業(yè)務(wù)服務(wù)器反饋對該客戶端瀏覽器的身份憑證二次認(rèn)證失敗信息����。
在所述步驟S103中,所述Cookies內(nèi)容用于存儲標(biāo)定該客戶端瀏覽器的有效身份認(rèn)證信息�,例如該客戶端瀏覽器的瀏覽器信息、賬戶及賬戶密碼�、登錄有效期及登錄狀態(tài)等內(nèi)容。通過流控寄存服務(wù)器對所述Cookies內(nèi)容進行前述第二方式的托管�,可以通過數(shù)字簽名及驗簽方式驗證所述Cookies內(nèi)是否被非法篡改,進而快速安全地進行身份憑證二次認(rèn)證�,在身份憑證二次認(rèn)證成功后���,業(yè)務(wù)服務(wù)器可與該客戶端瀏覽器建議新的主會話,并許可為該客戶端瀏覽器提供為用戶所私有的用戶查閱頁面及操作頁面等��,否則禁止前述許可���。此外優(yōu)化的,在所述第三方式托管中的驗簽步驟包括如下:一方面應(yīng)用摘要算法獲取所述Cookies對象中Cookies內(nèi)容的第二摘要����,另一方面根據(jù)所述Cookies對象中Cookies內(nèi)容從所述臨時對應(yīng)關(guān)系中查找到對應(yīng)的所述驗簽公鑰,然后使用所述驗簽公鑰對所述Cookies對象中摘要密文進行解密��,得到解密摘要����,最后對比兩份摘要是否相同,若相同�,則驗簽通過,否則驗簽不通過��。
優(yōu)化的�,在所述步驟S103之后還包括步驟如下:S104.業(yè)務(wù)服務(wù)器在認(rèn)證服務(wù)器發(fā)起數(shù)據(jù)同步請求時,生成數(shù)據(jù)同步SessionID���,并創(chuàng)建與所述數(shù)據(jù)同步SessionID對應(yīng)的數(shù)據(jù)同步Session對象��,然后一方面將所述數(shù)據(jù)同步SessionID反饋至該認(rèn)證服務(wù)器��,另一方面將所述數(shù)據(jù)同步SessionID及對應(yīng)的所述數(shù)據(jù)同步Session對象傳送至流控寄存服務(wù)器��,由流控寄存服務(wù)器按照如下第四方式進行托管:存儲所述數(shù)據(jù)同步Session對象����,然后將所述數(shù)據(jù)同步SessionID和所述數(shù)據(jù)同步Session對象的第四存儲地址添加到所述讀寫白名單表中,并在表中關(guān)聯(lián)所述主SessionID和所述數(shù)據(jù)同步SessionID����,然后在所述數(shù)據(jù)同步Session對象銷毀前,許可業(yè)務(wù)服務(wù)器間接地對所述讀寫白名單表進行查表��,并在使用所述數(shù)據(jù)同步SessionID獲取對應(yīng)的所述第四存儲地址后�����,根據(jù)所述第四存儲地址對所述數(shù)據(jù)同步Session對象進行一次數(shù)據(jù)讀取�����。
在步驟S104中�,所述認(rèn)證服務(wù)器用于為業(yè)務(wù)服務(wù)器提供身份憑證的認(rèn)證服務(wù)��,例如3A服務(wù)器�。所述數(shù)據(jù)同步SessionID為在認(rèn)證服務(wù)器與業(yè)務(wù)服務(wù)器之間建立本次數(shù)據(jù)同步會話的會話標(biāo)志�����,以便在后續(xù)與業(yè)務(wù)服務(wù)器的認(rèn)證會話過程中對該認(rèn)證服務(wù)器進行識別�����。所述數(shù)據(jù)同步Session對象用于保存該認(rèn)證服務(wù)器與業(yè)務(wù)服務(wù)器之間認(rèn)證會話所需的屬性以及配置信息����,例如該認(rèn)證服務(wù)器的IP地址����、會話超時時間、會話結(jié)束激勵事件等���。此外�����,進一步優(yōu)化的���,在所述第四方式托管中還包括:在業(yè)務(wù)服務(wù)器與該認(rèn)證服務(wù)器之間完成數(shù)據(jù)同步后���,銷毀所述數(shù)據(jù)同步Session對象,并在所述讀寫白名單表中清除所述數(shù)據(jù)同步SessionID和所述數(shù)據(jù)同步Session對象的第四存儲地址���。如此可以在結(jié)束數(shù)據(jù)同步會話時�,及時清除流控寄存服務(wù)器中的無效數(shù)據(jù)���,節(jié)省存儲資源及管理資源��。
綜上����,本實施例所提供的適用于在線身份認(rèn)證的流控機制��,具有如下有益效果:(1)該方法針對在線身份認(rèn)證進程提出了一種嚴(yán)格的流程管控方法���,即在鎖定標(biāo)記客戶端瀏覽器后���,對通信會話中的Session對象進行了嚴(yán)格的讀寫管控以及對Cookies內(nèi)容進行嚴(yán)格地驗證管控,從而即使在出現(xiàn)SessionID或Coolies內(nèi)容等信息泄露的情況下�����,也能夠杜絕黑客利用這些資源冒充合法用戶的身份,防止造成用戶信息的進一步泄露���,進而極大地降低了信息泄露及黑客攻擊的可能性��,保障了在線身份認(rèn)證進程的安全�����;(2)在流程控制過程中,規(guī)定了多種不同階段會話的Session對象讀寫規(guī)則�,極大的提高了在線身份認(rèn)證進程的安全;(3)創(chuàng)新地提出了在線身份認(rèn)證進程的流程管控技術(shù)�����,使得登錄認(rèn)證流程的細(xì)節(jié)更加規(guī)范化�,填補了當(dāng)前技術(shù)的空白。
如上所述���,可較好地實現(xiàn)本發(fā)明��。對于本領(lǐng)域的技術(shù)人員而言���,根據(jù)本發(fā)明的教導(dǎo)�����,設(shè)計出不同形式的適用于在線身份認(rèn)證的流控機制并不需要創(chuàng)造性的勞動��。在不脫離本發(fā)明的原理和精神的情況下對這些實施例進行變化��、修改����、替換���、整合和變型仍落入本發(fā)明的保護范圍內(nèi)����。