[发明专利]一种用于浏览器客户端和服务器的授权访问方法

说明书

本发明涉及一种用于浏览器客户端和服务器的授权访问方法，该方法包括如下步骤：(1)登录验证，若成功则服务器生成动态口令密钥、服务器时间和动态口令密钥过期时间并存储至客户端缓存中，执行步骤(2)，否则结束；(2)判断是否到达客户端缓存中的动态口令密钥过期时间，若是执行步骤(3)，否则执行步骤(4)；(3)动态口令密钥切换，若成功，获取新的动态口令密钥、服务器时间和动态口令密钥过期时间并对客户端缓存进行相应更新，执行步骤(4)，否则结束；(4)采用浏览器客户端缓存中的动态口令密钥和服务器时间产生动态口令并对服务器进行授权访问，返回步骤(2)。与现有技术相比，本发明授权访问过程安全可靠、不易被破解。

技术领域

本发明涉及一种授权访问方法，尤其是涉及一种用于浏览器客户端和服务器的授权访问方法。

背景技术

随着信息技术的不断发展，账号信息安全越来越受到重视。用户在浏览器客户端访问服务器时，为了获取更多的个性化服务，通常需要注册对应服务器的账号，为了保证账号的安全，则需要用户编辑一个与账号对应的密码。在浏览器客户端访问服务器期间，需要不断进行权限验证，一般是通过存储登录验证通过后的令牌，每次要求权限验证的时候把保存的令牌上传到服务器，达到验证用户身份的目的。这样的方式，如果令牌被截获的话，别人可以伪装成用户，造成信息的泄漏，无法区分哪一个是真正登录的用户。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种用于浏览器客户端和服务器的授权访问方法。

本发明的目的可以通过以下技术方案来实现：

一种用于浏览器客户端和服务器的授权访问方法，该方法包括如下步骤：

(1)浏览器客户端发出登录验证请求，服务器接收登录验证请求并进行登录验证，同时将验证结果发送至浏览器客户端，浏览器客户端根据登录验证结果判断是否登录成功，若登录验证成功，则服务器生成动态口令密钥、服务器时间和动态口令密钥过期时间，同时将所述的动态口令密钥、服务器时间和动态口令密钥过期时间存储至浏览器客户端缓存中，执行步骤(2)，否则登录失败，结束；

(2)判断是否到达浏览器客户端缓存中的动态口令密钥过期时间，若是执行步骤(3)，否则执行步骤(4)；

(3)浏览器客户端发出动态口令密钥切换请求，服务器接收动态口令密钥切换请求并进行动态口令密钥切换，同时将动态口令密钥切换结果发送至浏览器客户端，浏览器客户端根据动态口令密钥切换结果判断动态口令是否切换成功，若动态口令密钥切换成功，服务器获取新的动态口令密钥、服务器时间和动态口令密钥过期时间，并对浏览器客户端缓存中的相应信息进行更新，执行步骤(4)，否则动态口令密钥切换失败，结束；

(4)浏览器客户端采用浏览器客户端缓存中的动态口令密钥和服务器时间产生动态口令，采用动态口令对服务器进行授权访问，返回步骤(2)。

所述的浏览器客户端发出登录验证请求具体为：

(1a)浏览器客户端获取人工输入的用户名User1和登录密码Pwd2后，生成唯一识别标识UUID1和浏览器客户端IP地址，同时随机生成第一对称加密密码DataPwd1和第一非对称密钥对，其中第一非对称密钥对包括第一私钥PrivateKey1和第一公钥PublicKey1，浏览器客户端还获取浏览器客户端与服务器通讯的第二非对称密钥对中的第二公钥PublicKey2，执行步骤(1b)；

(1b)采用第二公钥PublicKey2对唯一识别标识UUID1、浏览器客户端IP地址、第一对称加密密码DataPwd1、第一公钥PublicKey1、用户名User1和登录密码Pwd2进行加密，所有加密数据组成登录验证请求加密数据，执行步骤(1c)；

(1c)将步骤(1b)中登录验证请求加密数据发送至服务器登录验证接口进行登录验证请求。