[发明专利]安全认证方法、装置及存储介质

说明书

本申请提供一种安全认证方法、装置及存储介质，该方法包括：在接收到来自客户端的接口访问请求后，获取接口访问请求中携带的用户机构信息以及用户标识；基于用户机构信息，从数据库中查询用户所在机构所具有的第一权限；根据用户标识，确定用户的第二权限；根据第一权限和第二权限，确定用户的目标权限；向客户端发送接口访问响应给客户端，接口访问响应携带目标权限范围内的功能列表。本申请通过结合用户所在的机构信息以及用户自身的信息确定用户所具有的权限范围，增加了机构一致性的校验，提高了系统安全性。

技术领域

本申请涉及互联网技术领域，尤其涉及一种安全认证方法、装置及存储介质。

背景技术

随着互联网技术的不断革新，信息技术已与各行各业深度融合，互联网已成为推动各行各业向智能化发展的重要支撑。与此同时，国内外系统都遭遇过不同程度的漏洞攻击和信息泄露事件，因此迫切需要一套安全可靠的认证机制保障系统的正常运行与用户的安全使用。

现有技术中，服务器在接收到接口访问请求时，认证机制是基于用户角色进行了接口访问的权限控制，导致存在安全隐患。

发明内容

为了解决现有技术中的上述问题，即为了消除现有技术潜在的安全隐患，本申请提供了一种安全认证方法、装置及存储介质。

第一方面，本申请提供了一种安全认证方法，应用于服务器，包括：

在接收到来自客户端的接口访问请求后，获取所述接口访问请求中携带的用户机构信息以及用户标识；

基于用户机构信息，从数据库中查询用户所在机构所具有的第一权限；

根据用户标识，确定用户的第二权限；

根据第一权限和第二权限，确定用户的目标权限；

向客户端发送接口访问响应给客户端，接口访问响应携带目标权限范围内的功能列表。

一种可能实施的方式中，接口访问请求为登录请求，在向客户端发送接口访问响应之前，安全认证方法还可以包括：确定登录请求中携带用户的用户信息和密码；根据用户信息和密码，进行用户身份验证；若身份验证通过，则发送第一指示信息给客户端，第一指示信息用于指示客户端实时采集并向服务器发送用户的面部图像；接收面部图像，并校验面部图像的真实性；若面部图像是真实的，则根据用户信息和密码生成令牌，令牌用于客户端与服务器的交互使用。此时，接口访问响应还包括令牌。

一种可能的实施方式中，上述校验面部图像的真实性，包括：在用户对应的面部图像档案中匹配面部图像；若匹配成功，则确定面部图像是真实的；和/或，与相关机构联网核查面部图像的真实性。

一种可能的实施方式中，安全认证方法还包括：若面部图像是真实的，则发送第二指示信息给客户端，第二指示信息用于指示客户端提示用户开启客户端侧进行的面部识别和/或指纹识别。

一种可能的实施方式中，接口访问请求为登录请求，在向客户端发送接口访问响应之前，安全认证方法还包括：确定登录请求中携带令牌；检测令牌与服务器缓存中保存的令牌是否一致；若一致，则确定令牌对应的用户是否在用户白名单，以及令牌对应的设备是否在设备黑名单；确定用户在用户白名单，且设备不在设备黑名单。

一种可能的实施方式中，安全认证方法还包括：确定接收到的接口访问请求中是否携带目标攻击字符，目标攻击字符包括SQL注入敏感字符、XSS漏洞字符以及CSRF攻击字符中的至少一种；若是，则拒绝访问；若否，则获取接口访问请求中携带的用户机构信息以及用户标识。

第二方面，本申请提供一种安全认证装置，包括：

获取模块，用于在接收到来自客户端的接口访问请求后，获取接口访问请求中携带的用户机构信息以及用户标识；