一种交互式web验证优化方法和系统与流程

1.本发明属于网络技术领域，尤其涉及一种交互式web验证优化方法和系统。


背景技术：

2.随着互联网技术的不断发展，企业的web服务越来越多，同时面对的安全问题也越来越多。为保障web服务的安全，防止黑客的恶意攻击，多数web服务采用了安全验证技术。
3.当前web主要有以下几种验证方式有：http basic auth，即用户名密码认证方式，也是最简单且安全性最低的方式，最容易把用户名密码暴露给第三方客户端；oauth（开放授权），即开放授权方式；cookie auth方式，即通过session 和cookie来认证；token auth方式，即通过token 的身份认证来进行验证。以上验证方式中，token认证方式可以解决大多数网络安全问题，但本身也存在一些防盗、验证和效率之类的缺陷。


技术实现要素：

4.为了解决或者改善上述问题，本发明提供了一种交互式web验证优化方法和系统，具体技术方案如下：本发明提供一种交互式web验证优化方法，包括：建立验证双方的链接以获取验证优化许可；根据所述验证优化许可，建立token盗用优化机制、验证效率优化机制和安全优化机制。
5.优选的，所述token盗用优化机制，包括：在token中添加客户id和ip地址；在客户端提交的表单中添加加密后的客户id和ip地址；在服务器端收到请求后，通过比对客户端id与token里的客户id，比对ip地址，如果出现不一致的情况，则对该请求进行拦截操作。
6.优选的，所述验证效率优化机制，包括：通过继承tokenauthentication类，并重载authenticate_credentials方法进行认证优化。
7.优选的，所述安全优化机制，包括：采用https，通过ssl加密传输，以确保通道的安全性；基于预设的代码库，移除导致浏览器做非预期执行的代码；设置http-only cookies以来防止通过javascript 来访问cookie。
8.优选的，所述预设的代码库，包括js-xss、xss htmlfilter和twig。
9.本发明提供一种交互式web验证优化系统，包括：第一单元，用于建立验证双方的链接以获取验证优化许可；第二单元，用于根据所述验证优化许可，建立token盗用优化机制、验证效率优化机制和安全优化机制。
10.优选的，所述token盗用优化机制，包括：在token中添加客户id和ip地址；在客户端提交的表单中添加加密后的客户id和ip地址；在服务器端收到请求后，通过比对客户端id与token里的客户id，比对ip地址，如果出现不一致的情况，则对该请求进行拦截操作。
11.优选的，所述验证效率优化机制，包括：通过继承tokenauthentication类，并重载authenticate_credentials方法进行认证优化。
12.优选的，所述安全优化机制，包括：采用https，通过ssl加密传输，以确保通道的安
全性；基于预设的代码库，移除导致浏览器做非预期执行的代码；设置http-only cookies以来防止通过javascript 来访问cookie。
13.优选的，所述预设的代码库，包括js-xss、xss htmlfilter和twig。
14.本发明的有益效果为：通过建立验证双方的链接以获取验证优化许可，可以满足验证双方的确认需求，提高隐私保护程度和安全性；根据所述验证优化许可，建立token盗用优化机制、验证效率优化机制和安全优化机制，能够满足不同缺陷的优化需求。
附图说明
15.图1是根据本发明的交互式web验证优化方法的示意图；图2是根据本发明的交互式web验证优化系统的示意图。
16.附图标记包括：1-第一单元，2-第二单元。
具体实施方式
17.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
18.应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
19.还应当理解，在本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。
20.还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。
21.为了解决或者改善背景提到的问题，提出如图1所示的一种交互式web验证优化方法，包括：s1、建立验证双方的链接以获取验证优化许可；s2、根据所述验证优化许可，建立token盗用优化机制、验证效率优化机制和安全优化机制。
22.验证双方包括客户端和服务器，因为更换或者优化验证的流程，需要获得双方的认可，因此，需要先通过建立验证双方的链接以获取验证优化许可。该验证优化许可的内容包括建立token盗用优化机制、建立验证效率优化机制和建立安全优化机制，目的实现token盗用流程的优化，验证效率的优化以及安全措施的优化。
23.正常情况下，token验证的流程：
⑴
当客户端第一次请求时，发送用户信息至服务器(用户名、密码)，服务器对用户信息使用hs256算法及密钥进行签名，再将这个签名和数据一起作为token一起返回给客户端；
⑵
服务器不保存token，客户端保存token(比如放在cookie里或者local storage里)；
⑶
当客户端再次发送请求时，在请求信息中将token一起发给服务器；
⑷
服务器用同样的hs256算法和同样的密钥，对数据再进行一次签名，和客户端返回的token的签名进行比较，如果验证成功，就向客户端返回请求的数据。
24.token验证的不足包括：1）无法作废已经颁布的令牌所有的认证信息都在token中，由于在服务端没有状态，即使知道了某个token被盗取了，也没有办法将其作废。在token过期之前，们没有办法对其作废。
25.2）性能问题为保障web的安全性，token使用加密签名，由于这个特性，接收方得以验证token是否有效且被信任。但是大多数web身份认证应用中，token都会被存储到cookie中，这就是说有了两个层面的签名。为此，需要花费两倍的cpu开销来验证签名。对于有着严格性能要求的web应用，这并不理想，尤其对于单线程环境。
26.3）不能完全避免csrf和xss攻击。
27.为了解决上述的token验证的不足，提出token盗用优化机制、验证效率优化机制和安全优化机制。
28.token盗用优化机制，用于解决token被盗用问题。
29.由于token在过期前无法作废，且存在盗用风险。可采取以下方式进行解决：步骤1：在token中添加客户id和ip地址；步骤2：在客户端提交的表单中添加加密后的客户id和ip地址；步骤3：在服务器端收到请求后，通过比对客户端id与token里的客户id，比对ip地址，如果出现不一致的情况，则对该请求进行拦截操作。
30.验证效率优化机制，用于解决性能问题。
31.基于python语言的优化。为了验证真实性能，首先去掉所有的中间处理环节，所有的请求过来之后均直接返回，这样压力测试会得到该架构下的极限web性能，暂定为性能a。然后加上所有的中间处理逻辑代码，再进行压力测试，这样会得到真实情况下的web性能，暂定为性能b。经过测试，发现性能a和性能b相差并不大。
32.对于性能a，再添加django rest framework认证之后，性能a的速度明显比性能b下降了很多，从这里们可以发现性能的瓶颈在django rest framework认证。因此需要对这个认证方式进行一个优化操作。
33.代码优化：通过继承tokenauthentication类，并重载authenticate_credentials方法进行认证优化。在web请求认证的时候，指定自己重写的认证类，即可达到性能优化的效果。
34.安全优化机制，用于解决安全问题。
35.确保验证过程的安全性：如何保证用户名/密码验证过程的安全性；因为在验证过程中，需要用户输入用户名和密码，在这一过程中，用户名、密码等敏感信息需要在网络中传输。因此，在这个过程中建议采用https，通过ssl加密传输，以确保通道的安全性。
36.如何防范xss attacks：xss攻击代码过滤，移除任何会导致浏览器做非预期执行的代码，这个可以采用一
些库来实现（如：js下的js-xss，java下的xss htmlfilter，php下的twig）；如果是将用户提交的字符串存储到数据库的话（也针对sql注入攻击），需要在前端和服务端分别做过滤。
37.采用http-only cookies：通过设置cookie的参数：httponly；secure来防止通过javascript来访问cookie。
38.所述token盗用优化机制，包括：在token中添加客户id和ip地址；在客户端提交的表单中添加加密后的客户id和ip地址；在服务器端收到请求后，通过比对客户端id与token里的客户id，比对ip地址，如果出现不一致的情况，则对该请求进行拦截操作。
39.所述验证效率优化机制，包括：通过继承tokenauthentication类，并重载authenticate_credentials方法进行认证优化。
40.所述安全优化机制，包括：采用https，通过ssl加密传输，以确保通道的安全性；基于预设的代码库，移除导致浏览器做非预期执行的代码；设置http-only cookies以来防止通过javascript 来访问cookie。
41.所述预设的代码库，包括js-xss、xss htmlfilter和twig。
42.本发明提供一种交互式web验证优化系统，包括：第一单元1，用于建立验证双方的链接以获取验证优化许可；第二单元2，用于根据所述验证优化许可，建立token盗用优化机制、验证效率优化机制和安全优化机制。
43.为了解决上述的token验证的不足，系统用于执行token盗用优化机制、验证效率优化机制和安全优化机制。
44.token盗用优化机制，用于解决token被盗用问题。
45.由于token在过期前无法作废，且存在盗用风险。可采取以下方式进行解决：步骤1：在token中添加客户id和ip地址；步骤2：在客户端提交的表单中添加加密后的客户id和ip地址；步骤3：在服务器端收到请求后，通过比对客户端id与token里的客户id，比对ip地址，如果出现不一致的情况，则对该请求进行拦截操作。
46.验证效率优化机制，用于解决性能问题。
47.基于python语言的优化。为了验证真实性能，首先去掉所有的中间处理环节，所有的请求过来之后均直接返回，这样压力测试会得到该架构下的极限web性能，暂定为性能a。然后加上所有的中间处理逻辑代码，再进行压力测试，这样会得到真实情况下的web性能，暂定为性能b。经过测试，发现性能a和性能b相差并不大。
48.对于性能a，再添加django rest framework认证之后，性能a的速度明显比性能b下降了很多，从这里们可以发现性能的瓶颈在django rest framework认证。因此需要对这个认证方式进行一个优化操作。
49.代码优化：通过继承tokenauthentication类，并重载authenticate_credentials方法进行认证优化。在web请求认证的时候，指定自己重写的认证类，即可达到性能优化的效果。
50.安全优化机制，用于解决安全问题。
51.确保验证过程的安全性：如何保证用户名/密码验证过程的安全性；因为在验证过程中，需要用户输入用户名和密码，在这一过程中，用户名、密码等敏感信息需要在网络中传输。因此，在这个过程中
建议采用https，通过ssl加密传输，以确保通道的安全性。
52.如何防范xss attacks：xss攻击代码过滤，移除任何会导致浏览器做非预期执行的代码，这个可以采用一些库来实现（如：js下的js-xss，java下的xss htmlfilter，php下的twig）；如果是将用户提交的字符串存储到数据库的话（也针对sql注入攻击），需要在前端和服务端分别做过滤。
53.采用http-only cookies：通过设置cookie的参数：httponly；secure来防止通过javascript来访问cookie。
54.所述token盗用优化机制，包括：在token中添加客户id和ip地址；在客户端提交的表单中添加加密后的客户id和ip地址；在服务器端收到请求后，通过比对客户端id与token里的客户id，比对ip地址，如果出现不一致的情况，则对该请求进行拦截操作。
55.所述验证效率优化机制，包括：通过继承tokenauthentication类，并重载authenticate_credentials方法进行认证优化。
56.所述安全优化机制，包括：采用https，通过ssl加密传输，以确保通道的安全性；基于预设的代码库，移除导致浏览器做非预期执行的代码；设置http-only cookies以来防止通过javascript 来访问cookie。
57.所述预设的代码库，包括js-xss、xss htmlfilter和twig。
58.在本技术所提供的实施例中，应该理解到，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元可结合为一个单元，一个单元可拆分为多个单元，或一些特征可以忽略等。
59.最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。