[发明专利]双重身份认证方法、装置及系统

说明书

本发明提供了一种双重身份认证方法、装置及系统，该方法包括：接收客户端的非登录请求；非登录请求中携带有jsessionid及Token信息；jsessionid存储于客户端的Cookie中，Token信息为用于身份认证的信息，存储于客户端的localStorage中；查找jsessionid对应的session；判断session的内容是否为空；如果session的内容为空，则判断Token信息是否有效；如果Token信息有效，则响应非登录请求。通过Cookie和localStorage的联合应用，可以实现两次身份认证，以避免由于误删Cookie而导致的会话丢失，无法对用户身份进行验证。

技术领域

本发明涉及会话跟踪技术领域，尤其是涉及一种双重身份认证方法、装置及系统。

背景技术

Cookie是网站为了辨别用户身份、进行会话(session)跟踪而储存在用户本地终端上的数据。目前的会话跟踪基本上都是直接使用Cookie+session的方式进行，具体为通过Cookie存储的jessionid找到服务端关联的session对象，达到会话跟踪的目的。这种方式使用Cookie对用户身份进行存储，在用户由于误操作而删除Cookie的情况下，用户身份会丢失，因此，如果用户想要再次访问同一网站时，需要重新进行登录验证，给用户带来不便。

发明内容

本发明的目的在于提供双重身份认证方法、装置及系统，通过Cookie和localStorage的联合应用，可以实现两次身份认证，以避免由于误删Cookie而导致的会话丢失，无法对用户身份进行验证的问题。

本发明提供一种双重身份认证方法，该方法应用于服务器，该方法包括：

接收客户端的非登录请求；所述非登录请求中携带有jsessionid及Token信息；其中，所述jsessionid存储于客户端的Cookie中，所述Token信息为用于身份认证的信息，存储于客户端的localStorage中；

查找所述jsessionid对应的session；

判断所述session的内容是否为空；

如果所述session的内容为空，则判断所述Token信息是否有效；

如果所述Token信息有效，则响应所述非登录请求。

进一步的，在接收客户端的非登录请求的步骤之前，还包括：

接收客户端的首次登录请求；所述首次登录请求中携带有用户名及密码；

根据所述用户名及密码进行登录验证；

当所述登录验证成功后，分配jsessionid至所述客户端，以使所述客户端将所述jsessionid存储于Cookie中；并基于用户信息，生成Token信息，并将所述Token信息发送至所述客户端，以使所述客户端将所述Token信息存储于localStorage中。

进一步的，当所述非登录请求为需要权限的网页访问请求时，判断所述session的内容是否为空的步骤后，还包括：

如果所述session的内容不为空，则根据所述session的内容获取用户权限信息；

基于所述用户权限信息，判断用户是否有权访问此网页；

如果是，获取相应数据进行响应；

如果否，返回无权限页面。

进一步的，当所述非登录请求为需要权限的网页访问请求时，响应所述非登录请求的步骤，包括：

解析所述Token信息，得到用户信息；

基于所述用户信息中的用户权限信息，判断用户是否有权限访问此网页；