[发明专利]一种基于JWT的可手动撤销的授权方法

说明书

本发明涉及网络授权技术的运用，具体为一种基于JWT的可手动撤销的授权方法，是一种基于访问令牌的高效、可回收、可即时更新的授权机制；包括用于提供登录凭证验证程序和服务器对访问令牌校验流程；其中用于提供登录凭证验证程序包括如下步骤：1a：根据登录凭证查询用户信息；2a：判断是否能够取得用户信息，若能够取得用户信息则生成令牌ID组装令牌数据；3a：对上述2a中的令牌数据进行数字签名；4a：将令牌信息保存到持久化数据库，并创建访问令牌记录；5a：将令牌设置到X‑Access‑Token响应头并认证结束；6a：对上述2a中判断是否能够取得用户信息，若不能够取得用户信息则直接认证结束。

技术领域

本发明涉及网络授权技术的运用，具体为一种基于JWT的可手动撤销的授权方法。

背景技术

客户端用户权限的授予与鉴定是一个互联网应用所必不可少的功能。主流的认证方式有基于Cookie和Session的认证方式以及基于访问令牌的认证方式。

传统的Web应用在服务器端使用Session存储用户授权信息。这种方式易于实现，客户端几乎不需要做额外的处理，仅需要由服务器在响应头中设置需要在客户端的Cookie中保存的Session ID即可，并且只需在服务器端销毁Session即可实现权限的回收。但是基于Cookie的认证方式存在Web安全问题，容易通过客户端重定向的方式盗用客户端的权限。另外，使用Session存储用户授权信息会消耗服务器的内存空间，难以应对高并发请求。随着移动互联网的高速发展，这一弊端逐渐显现。

因此，如今大多数Web应用实用基于访问令牌的认证方式(具体为JWT，即JSON WebToken)。访问令牌是一个加密的数据，包含了用户的基本信息及令牌的有效截止时间。由于访问令牌本身包含了认证信息(即访问令牌是自解释的)，因此不需要占用服务器的内存空间。但是使用访问令牌时有以下问题需要解决：

(1)如何在访问令牌生成后、过期前撤销授权(2)如果在访问令牌生成后，用户的信息发生了变化，那么要如何更新客户端的访问令牌。

发明内容

本发明的目的是为了解决上述技术不足，提供了一种基于JWT的可手动撤销的授权方法，是一种基于访问令牌的高效、可回收、可即时更新的授权机制。

为解决上述技术问题，本发明所采用的技术方案为：一种基于JWT的可手动撤销的授权方法，包括用于提供登录凭证验证程序和服务器对访问令牌校验流程；

其中用于提供登录凭证验证程序包括如下步骤：

1a：根据登录凭证查询用户信息；

2a：判断是否能够取得用户信息，若能够取得用户信息则生成令牌ID组装令牌数据；

3a：对上述2a中的令牌数据进行数字签名；

4a：将令牌信息保存到持久化数据库，并创建访问令牌记录；

5a：将令牌设置到X-Access-Token响应头并认证结束；

6a：对上述2a中判断是否能够取得用户信息，若不能够取得用户信息则直接认证结束；

其中服务器对访问令牌校验流程包括如下步骤：

1b：从Authorization请求头取得令牌，并校验令牌是否有效；

2b：若令牌有效则根据令牌ID取得缓存中的令牌记录，并判断缓存这种是否存在令牌记录；

3b：若缓存中存在令牌记录，则延长缓存记录的生命期；再判断用户信息是否已被更新；

4b：若用户信息已被更新，则查询用户信息重新则查询用户信息重新进行数字签名；

5b：判断是否有权执行此操作，若有权执行此操作则执行操作；