基于URL指纹技术的用户权限控制方法及装置

1.一种基于URL指纹技术的用户权限控制方法，包括：
根据用户的访问请求获取用户本地cookie信息以及用户请求的页面URL；
根据所述用户本地cookie信息和所述页面URL进行指纹签名生成加密页面URL返回给所述用户；其中,在根据所述用户本地cookie信息和所述页面URL进行指纹签名生成加密页面URL的过程中，获取所述用户本地cookie信息中的指纹信息；根据所述页面URL和所述指纹信息生成密文；将所述密文内嵌到所述页面URL中生成加密页面URL；
根据用户对所述加密页面URL的访问请求，校验所述加密页面URL中的所述密文与所述用户本地cookie信息是否匹配，以确定所述用户的访问权限。
2.如权利要求1所述的基于URL指纹技术的用户权限控制方法，其中，在确定所述用户的访问权限的过程中，
如果所述指纹校验通过，允许所述用户访问所述加密页面URL；
如果所述指纹校验不通过，则给出相应的权限提示。
3.如权利要求2所述的基于URL指纹技术的用户权限控制方法，其中，在对所述加密页面URL进行指纹校验的过程中，
如果所述用户本地cookie信息异常导致所述指纹校验不通过，所述加密页面URL跳转至帐号登录状态，在用户成功登录后继续对所述加密页面URL进行指纹校验。
4.一种基于URL指纹技术的用户权限控制装置，包括：
用户信息获取模块，用于根据用户的访问请求获取用户本地cookie信息以及用户请求的页面URL；
指纹签名模块，用于根据所述用户本地cookie信息和所述页面URL进行指纹签名生成加密页面URL返回给所述用户；其中，所述指纹签名模块包括：
指纹信息获取单元，用于获取所述用户本地cookie信息中的指纹信息；
密文生成单元，用于根据所述页面URL和所述指纹信息生成密文；
密文嵌入单元，用于将所述密文内嵌到所述页面URL中生成加密页面URL；
指纹校验模块，用于根据用户对所述加密页面URL的访问请求，校验所述加密页面URL中的所述密文与所述用户本地cookie信息是否匹配，以确定所述用户的访问权限；
权限处理模块，用于在确定所述用户的访问权限的过程中，如果所述指纹校验通过，允许所述用户访问所述加密页面URL；如果所述指纹校验不通过，则给出相应的权限提示。
5.如权利要求4所述的基于URL指纹技术的用户权限控制装置，其中，权限处理模块包括：
跳转单元，用于在所述用户本地cookie信息异常导致所述指纹校验不通过时，将所述加密页面URL跳转至帐号登录状态；
所述指纹校验模块在所述用户成功登录后继续对所述加密页面URL进行指纹校验。

基于URL指纹技术的用户权限控制方法及装置\n技术领域\n[0001] 本发明涉及互联网用户权限控制技术领域，更为具体地，涉及一种基于URL指纹技术的用户权限控制方法及装置。\n背景技术\n[0002] 随着社会的进步和技术的发展，互联网已经普及到人们的生活中，并成为人们生活的一部分。\n[0003] 当前，网络身份验证方式主要以“ID+密码”方式为主，尽管这种方式建立起来简单方便，但越来越多的网络安全事件已证明“ID+密码”的验证方式，很难确保身份验证的准确性及安全性。申请号为200710163458.9的中国专利申请披露了一种互联网络身份验证的方法，以指纹验证作为身份验证的主要手段，同时采取对WEB服务器与客户端进行双向身份验证、对指纹特征码限定时效、生成COOKIE以标志用户身份这些措施以实现验证的可靠性。\n[0004] 上述申请号为200710163458.9的专利文献中所采用的用户权限控制都是在系统的业务逻辑里进行用户权限的判断，用户权限控制与业务逻辑耦合，这也是目前互联网大多数网站实现用户权限控制所采用的手段，但是，这样的用户权限控制方式会出现以下问题：\n[0005] 1）系统的业务逻辑容易遗漏添加权限验证,造成子系统的代码冗余；\n[0006] 2）用户可以随意篡改页面URL，从而导致SQL注入安全漏洞，对页面进行恶意攻击；\n[0007] 3）用户权限控制实现方案会造成对数据库的无谓查询。\n发明内容\n[0008] 鉴于上述问题，本发明的目的是提供一种基于URL指纹技术的用户权限控制方法及装置，以实现将用户权限控制与业务逻辑完全剥离，并提升整个系统的安全级别，保护用户的重要信息。\n[0009] 根据本发明的一个方面，提供了一种基于URL指纹技术的用户权限控制方法，包括：\n[0010] 根据用户的访问请求获取用户本地cookie信息以及用户请求的页面URL；\n[0011] 根据用户本地cookie信息和页面URL进行指纹签名生成加密页面URL返回给用户；\n[0012] 根据用户对加密页面URL的访问请求对加密页面URL进行指纹校验，以确定用户的访问权限。\n[0013] 其中，在确定用户的访问权限的过程中，如果指纹校验通过，允许用户访问加密页面URL；如果指纹校验不通过，则给出相应的权限提示。\n[0014] 其中，在根据用户本地cookie信息和页面URL进行指纹签名生成加密页面URL的过程中，获取用户本地cookie信息中的指纹信息；根据页面URL和指纹信息生成密文；将密文内嵌到页面URL中生成加密页面URL。\n[0015] 其中，在对加密页面URL进行指纹校验的过程中，如果用户本地cookie信息异常导致指纹校验不通过，加密页面URL跳转至帐号登录状态，在用户成功登录后继续对加密页面URL进行指纹校验。\n[0016] 根据本发明的另一方面，提供了一种基于URL指纹技术的用户权限控制装置，包括：\n[0017] 用户信息获取模块，用于根据用户的访问请求获取用户本地cookie信息，以及用户请求的页面URL；\n[0018] 指纹签名模块，用于根据用户本地cookie信息和页面URL进行指纹签名生成加密页面URL返回给用户；\n[0019] 指纹校验模块，用于根据用户对加密页面URL的访问请求对加密页面URL进行指纹校验，以确定用户的访问权限；\n[0020] 权限处理模块，用于在确定用户的访问权限的过程中，如果指纹校验通过，允许用户访问加密页面URL；如果指纹校验不通过，则给出相应的权限提示。\n[0021] 其中，指纹签名模块包括：\n[0022] 指纹信息获取单元，用于获取用户本地cookie信息中的指纹信息；\n[0023] 密文生成单元，用于根据页面URL和指纹信息生成密文；\n[0024] 密文嵌入单元，用于将密文内嵌到页面URL中生成加密页面URL。\n[0025] 其中，权限处理模块包括：\n[0026] 跳转单元，用于在所述用户本地cookie信息异常导致所述指纹校验不通过时，将所述加密页面URL跳转至帐号登录状态；所述指纹校验模块在所述用户成功登录后继续对所述加密页面URL进行指纹校验。\n[0027] 利用上述根据本发明的基于URL指纹技术的用户权限控制方法及装置，通过URL指纹技术实现用户权限控制，降低用户权限控制与业务逻辑的耦合，并提升整个系统的安全级别，保护用户的重要信息。\n[0028] 为了实现上述以及相关目的，本发明的一个或多个方面包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明了本发明的某些示例性方面。\n然而，这些方面指示的仅仅是可使用本发明的原理的各种方式中的一些方式。此外，本发明旨在包括所有这些方面以及它们的等同物。\n附图说明\n[0029] 通过参考以下结合附图的说明及权利要求书的内容，并且随着对本发明的更全面理解，本发明的其它目的及结果将更加明白及易于理解。在附图中：\n[0030] 图1为根据本发明实施例的基于URL指纹技术的用户权限控制方法的流程示意图；\n[0031] 图2为根据本发明实施例的基于URL指纹技术的用户权限控制装置框图。\n[0032] 在所有附图中相同的标号指示相似或相应的特征或功能。\n具体实施方式\n[0033] 以下将结合附图对本发明的具体实施例进行详细描述。\n[0034] 为了将用户权限控制与业务模块完全剥离，并提升整个系统的安全级别，保护用户的重要信息，本发明通过将用户访问的页面URL与其本地cookie信息（其中存储了用户指纹信息）进行指纹签名生成加密页面URL，加密页面URL具有唯一性，后续用户再访问加密页面URL，网站服务器只需要校验加密页面URL与本地cookie信息是否匹配便能判断出用户是否具备访问加密页面URL的权限，因此，本发明能降低用户权限控制与业务逻辑的耦合，并提升整个系统的安全级别，保护用户的重要信息。\n[0035] 为了详细说明本发明提供的基于URL指纹技术的用户权限控制方法，图1示出了根据本发明实施例的基于URL指纹技术的用户权限控制方法的流程示意图。\n[0036] 如图1所示，本发明提供的基于URL指纹技术的用户权限控制方法包括：\n[0037] S100：根据用户的访问请求获取用户本地cookie信息以及用户请求的页面URL。\n[0038] 需要说明的是，获取用户本地cookie信息的目的在于获取用户本地cookie信息中的指纹信息。用户的指纹信息是指能够标识用户唯一身份的信息，一般存储在用户本地cookie信息当中。\n[0039] S101：根据用户本地cookie信息和页面URL进行指纹签名生成加密页面URL返回给用户。\n[0040] 其中，在根据用户本地cookie信息和页面URL进行指纹签名生成加密页面URL的过程中，获取用户本地cookie信息中的指纹信息；根据页面URL和指纹信息生成密文；将密文内嵌到页面URL中生成加密页面URL。\n[0041] S102：根据用户对加密页面URL的访问请求对加密页面URL进行指纹校验，以确定用户的访问权限。\n[0042] 其中，在确定用户的访问权限的过程中，如果指纹校验通过，允许用户访问加密页面URL；如果指纹校验不通过，则给出相应的权限提示。\n[0043] 在本发明的一个示例中，如果用户本地cookie信息异常导致指纹校验不通过，加密页面URL将跳转至帐号登录状态，在用户成功登录后继续对加密页面URL进行指纹校验。\n[0044] 由于指纹具有唯一性，所以经过指纹签名后生成的加密页面URL同样具有唯一性，对加密页面URL进行指纹校验，也就是校验加密页面URL中的密文与用户本地cookie信息是否匹配，便能判断出用户是否具备访问该页面的权限，因此，能防止加密页面URL被其他用户恶意篡改，从而对页面进行攻击。\n[0045] 由于只校验加密页面URL与用户本地cookie信息是否匹配就能辨别用户拥有权限访问，而不需要网站服务器查询数据库该页面资源的所有权是否属于该用户，因此解决了SQL注入安全漏洞的问题，同时降低网站服务器压力，提升网站服务器工作效率。\n[0046] 而当用户在查看自己页面的信息时，系统的业务逻辑不需要额外的判断该信息是否属于这个用户，实现统一的用户权限方案，因此，本发明能降低用户权限控制与业务逻辑的耦合。\n[0047] 与上述方法相对应，本发明提供一种基于URL指纹技术的用户权限控制系统。图2示出了根据本发明实施例的基于URL指纹技术的用户权限控制装置框图。\n[0048] 如图2所示，本发明提供的基于URL指纹技术的用户权限控制装置200包括：\n[0049] 用户信息获取模块201，用于根据用户的访问请求获取用户本地cookie信息，并访问用户请求的页面URL；\n[0050] 指纹签名模块202，用于根据用户本地cookie信息和页面URL进行指纹签名生成加密页面URL返回给用户；\n[0051] 指纹校验模块203，用于根据用户对加密页面URL的访问请求对加密页面URL进行指纹校验，以确定用户的访问权限；\n[0052] 权限处理模块204，用于在确定用户的访问权限的过程中，如果指纹校验通过，允许用户访问加密页面URL；如果指纹校验不通过，则给出相应的权限提示。\n[0053] 其中，指纹签名模块202包括：\n[0054] 指纹信息获取单元（图未示出），用于获取用户本地cookie信息中的指纹信息；\n[0055] 密文生成单元（图未示出），用于根据页面URL和指纹信息生成密文；\n[0056] 密文嵌入单元（图未示出），用于将密文内嵌到页面URL中生成加密页面URL。\n[0057] 其中，权限处理模块204包括：\n[0058] 跳转单元（图未示出），用于在用户本地cookie信息异常导致指纹校验不通过时，将加密页面URL跳转至帐号登录状态。在用户成功登录后，指纹校验模块继续对加密页面URL进行指纹校验。\n[0059] 需要说明的是，本发明提供的基于URL指纹技术的用户权限控制装置完全是在网站服务器端实现的，只需要将该装置嵌入网站服务器端即可进行用户权限的控制，不会对客户端的操作和数据处理方面造成任何额外的负担。\n[0060] 在本发明提供的基于URL指纹技术的用户权限控制方法及装置中，网站服务器通过将用户要访问的页面URL与其本地cookie信息进行指纹签名生成加密页面URL，加密页面URL具有唯一性，后续用户再访问加密页面URL，网站服务器只需要校验加密页面URL与本地cookie信息是否匹配便能判断出用户是否具备访问加密页面URL的权限，而不需要网站服务器查询数据库该页面资源的所有权是否属于该用户，因此，本发明能降低用户权限控制与业务逻辑的耦合，还能够解决SQL注入安全漏洞的问题，黑客无法通过篡改页面URL对网站进行恶意攻击，同时降低网站服务器压力，提升网站服务器工作效率，并且，提升整个系统的安全级别，保护用户的重要信息。\n[0061] 为了更详细的说明本发明提供的基于URL指纹技术的用户权限控制方法的流程，本发明将以一个具体的实施例作为示例进行说明。\n[0062] 本发明提供的基于URL指纹技术的用户权限控制方法的流程，包括：\n[0063] （1）用户A通过浏览器访问网站，用户信息获取模块201通过获取用户A的本地cookie信息，以及页面URL“https://gcmall.uc.cn/goodslist/?goodsId=123”；\n[0064] （2）指纹信息获取单元获取本地cookie信息的指纹信息；\n[0065] （3）指纹签名模块202将页面URL“https://gcmall.uc.cn/goodslist/?goodsId=\n12 3”和指 纹信 息 进行 指纹 签 名 ，通 过 密文 生成 单 元 加密 生成 密 文“40837a8d5df24b799ba4997d1c84d6db”，并通过密文嵌入单元将密文内嵌到新的页面URL里生成加密页面URL，即，“https://gcmall .uc .cn/goodslist/\n40837a8d5df24b799ba4997d1c84d6db/?goodsId=123”；\n[0066] （4）指纹签名模块202将加密页面URL返回给用户；\n[0067] （5）用户打开加密页面URL；\n[0068] （6）指纹校验模块203校验加密页面URL与用户的指纹信息是否匹配；\n[0069] （7）如果指纹校验匹配成功，权限处理模块204执行用户A访问页面操作，权限处理模块204将所述用户跳转至所述加密页面URL；用户A通过新的页面URL访问该页面；\n[0070] （8）如果指纹校验匹配失败，权限处理模块204则给出错误提示。\n[0071] 当用户A正常访问页面的时，页面URL为：\n[0072] “https://gcmall.uc.cn/goodslist/40837a8d5df24b799ba4997d1c84d6db/?goods Id=123”，\n[0073] 当用户A把页面URL恶意篡改为：\n[0074] “https://gcmall.uc.cn/goodslist/40837a8d5df24b799ba4997d1c84d6db/?goods Id=321”时，用户A也是无法访问goodsId=321的网络资源，因此，用户信息得到强有力的保障。\n[0075] 通过上述实施例的描述可以看出，本发明将用户要访问的页面网址与其本地cookie（其中存储了用户指纹信息）相结合，生成唯一的利用用户指纹信息进行加密了的地址，后续用户再访问该地址，网站服务器只需要校验该地址与本地cookie是否匹配便能判断出用户是否具备访问该页面的权限。通过这种加密方式，用户只凭URL携带的指纹就能辨别用户拥有权限访问，不再需要网站服务器需查询数据库该资源的所有权是否是该用户，从而有效降低网站服务器的压力，提升网站服务器的工作效率。\n[0076] 如上参照附图以示例的方式描述了根据本发明的基于URL指纹技术的用户权限控制方法及装置。但是，本领域技术人员应当理解，对于上述本发明所提出的基于URL指纹技术的用户权限控制方法及装置，还可以在不脱离本发明内容的基础上做出各种改进。因此，本发明的保护范围应当由所附的权利要求书的内容确定。