本发明专利技术涉及信息安全领域,公开了全链路数据鉴权方法、装置、设备及存储介质。全链路数据鉴权方法包括:接收链路上报的数据;解析链路上报的数据,得到用户令牌token、代理agent唯一标识和用户IP地址;根据用户token、agent唯一标识和用户IP地址进行鉴权;若鉴权失败,则丢弃链路上报的数据;若鉴权成功,则采集链路上报的数据。本发明专利技术基于JWT协议的方式对全链路上报数据进行身份验证,防止用户信息泄露导致的垃圾数据问题,防止全链路监控服务器受到攻击,确保链路上报数据的有用性。
Full Link Data Authentication Method, Device, Equipment and Storage Media
【技术实现步骤摘要】
全链路数据鉴权方法、装置、设备及存储介质
本专利技术涉及信息安全领域,尤其涉及全链路数据鉴权方法、装置、设备及存储介质。
技术介绍
在互联网技术高速发展的今天,需要通过集群部署来支撑日益增长的庞大业务量,同时又能根据业务需要进行灵活扩展,形成了分布式系统。全链路监控组件可以监控分布式系统在不同应用、不同服务器的之间的关联动作。一次用户上报数据通常要调用多个服务节点,在系统运维中,需要对服务链路的用户上报数据进行监控,以便及时发现并处理服务链路中出现的问题。目前全链路上报数据只是根据用户名和密码进行简单鉴权,或者不进行鉴权,这样会带来各种问题,比如一些重要的用户信息,尤其敏感数据,以明文方式传输,会导致用户的数据容易遭受攻击,也会造成大量的垃圾数据上报。
技术实现思路
本专利技术的主要目的在于解决全链路上报数据不鉴权或者简单鉴权导致的用户数据遭受攻击,大量的垃圾数据上报的技术问题。为实现上述目的,本专利技术第一方面提供了一种全链路数据鉴权方法,包括:接收链路上报的数据;解析所述链路上报的数据,得到用户令牌token、代理agent唯一标识和用户IP地址;根据所述用户token、所述agent唯一标识和所述用户IP地址进行鉴权;若鉴权失败,则丢弃所述链路上报的数据;若鉴权成功,则采集所述链路上报的数据。可选的,在本专利技术第一方面的第一种实现方式中,所述根据所述用户token、所述agent唯一标识和所述用户IP地址进行鉴权包括:根据JWT协议对所述用户token进行解析,得到所述用户token的鉴权信息;判断所述用户token的鉴权信息是否存在异常;若所述用户token的鉴权信息存在异常,则确定鉴权失败;若所述用户token的鉴权信息不存在异常,则根据所述用户token的鉴权信息、所述agent唯一标识和所述用户IP地址进行鉴权。可选的,在本专利技术第一方面的第二种实现方式中,所述根据JWT协议对所述用户token进行解析,得到所述用户token的鉴权信息包括:根据所述JWT协议对所述用户token进行分割,得到所述用户token的头部、所述用户token的载荷和所述用户token的签名;对所述用户token的头部进行base64解密,得到所述头部声明的加密算法;根据所述头部声明的加密算法对所述用户token的头部和所述用户token的载荷进行组合加密,得到待验证签名;判断所述待验证签名与所述用户token的签名是否相同;若所述待验证签名与所述用户token的签名相同,则对所述用户token的载荷进行base64解密,得到所述用户token的鉴权信息。可选的,在本专利技术第一方面的第三种实现方式中,所述若所述用户token的鉴权信息不存在异常,则根据所述用户token的鉴权信息、所述agent唯一标识和所述用户IP地址进行鉴权包括:若所述用户token的鉴权信息不存在异常,则判断所述用户token的鉴权信息是否包括所述agent唯一标识;若所述用户token的鉴权信息不包括所述agent唯一标识,则确定鉴权失败;若所述用户token的鉴权信息包括所述agent唯一标识,则判断所述用户token的鉴权信息是否包括所述用户IP地址;若所述用户token的鉴权信息不包括所述用户IP地址,则确定鉴权失败;若所述用户token的鉴权信息包括所述用户IP地址,则确定鉴权成功。可选的,在本专利技术第一方面的第四种实现方式中,所述若鉴权失败,则丢弃所述链路上报的数据包括:发送鉴权失败的原因值;获取鉴权时刻;记录所述鉴权失败的原因值、所述agent唯一标识、所述用户IP地址和所述鉴权时刻;删除所述链路上报的数据。可选的,在本专利技术第一方面的第五种实现方式中,所述若鉴权成功,则采集所述链路上报的数据包括:发送鉴权成功的原因值;将所述链路上报的数据写入数据库。可选的,在本专利技术第一方面的第六种实现方式中,所述若所述用户token的鉴权信息不存在异常,则根据所述用户token的鉴权信息、所述agent唯一标识和所述用户IP地址进行鉴权还包括:读取预置值;判断所述预置值是否为目标阈值,所述目标阈值用于指示根据所述用户token的过期时刻进行鉴权;若所述预置值为所述目标阈值,则获取所述用户token的过期时刻;判断所述用户token的过期时刻是否小于当前时刻;若所述用户token的过期时刻小于所述当前时刻,则确定鉴权失败;若所述用户token的过期时刻大于或等于所述当前时刻,则确定鉴权成功。本专利技术第二方面提供了一种全链路数据鉴权装置,包括:接收单元,用于接收链路上报的数据;解析单元,用于解析所述链路上报的数据,得到所述用户令牌token、代理agent唯一标识和用户IP地址;鉴权单元,用于根据所述用户token、所述agent唯一标识和所述用户IP地址进行鉴权;第一处理单元,若鉴权失败,则用于丢弃所述链路上报的数据;第二处理单元,若鉴权成功,则用于采集所述链路上报的数据。可选的,在本专利技术第二方面的第一种实现方式中,所述鉴权单元包括:解析子单元,用于根据JWT协议对所述用户token进行解析,得到所述用户token的鉴权信息;第一判断子单元,用于判断所述用户token的鉴权信息是否存在异常;第一处理子单元,若所述用户token的鉴权信息存在异常,则用于确定鉴权失败;第一鉴权子单元,若所述用户token的鉴权信息不存在异常,则用于根据所述用户token的鉴权信息、所述agent唯一标识和所述用户IP地址进行鉴权。可选的,在本专利技术第二方面的第二种实现方式中,所述解析子单元具体用于:根据所述JWT协议对所述用户token进行分割,得到所述用户token的头部、所述用户token的载荷和所述用户token的签名;对所述用户token的头部进行base64解密,得到所述头部声明的加密算法;根据所述头部声明的加密算法对所述用户token的头部和所述用户token的载荷进行组合加密,得到待验证签名;判断所述待验证签名与所述用户token的签名是否相同;若所述待验证签名与所述用户token的签名相同,则对所述用户token的载荷进行base64解密,得到所述用户token的鉴权信息。可选的,在本专利技术第二方面的第三种实现方式中,所述第一鉴权子单元具体用于:若所述用户token的鉴权信息不存在异常,则判断所述用户token的鉴权信息是否包括所述agent唯一标识;若所述用户token的鉴权信息不包括所述agent唯一标识,则确定鉴权失败;若所述用户token的鉴权信息包括所述agent唯一标识,则判断所述用户token的鉴权信息是否包括所述用户IP地址;若所述用户token的鉴权信息不包括所述用户IP地址,则确定鉴权失败;若所述用户token的鉴权信息包括所述用户IP地址,则确定鉴权成功。可选的,在本专利技术第一方面的第四种实现方式中,所述第一处理单元具体用于:发送鉴权失败的原因值;获取鉴权时刻;记录所述鉴权失败的原因值、所述agent唯一标识、所述用户IP地址和所述鉴权时刻;删除所述链路上报的数据。可选的,在本专利技术第二方面的第五种实现方式中,所述第二处理单元具体用于:发送鉴权成功的原因值;将所述链路上报的数据写入数据库。可选的,在本专利技术第二方面的第六种实现方式中,所述鉴权单元本文档来自技高网...
【技术保护点】
1.一种全链路数据鉴权方法,其特征在于,包括:接收链路上报的数据;解析所述链路上报的数据,得到用户令牌token、代理agent唯一标识和用户IP地址;根据所述用户token、所述agent唯一标识和所述用户IP地址进行鉴权;若鉴权失败,则丢弃所述链路上报的数据;若鉴权成功,则采集所述链路上报的数据。
【技术特征摘要】
1.一种全链路数据鉴权方法,其特征在于,包括:接收链路上报的数据;解析所述链路上报的数据,得到用户令牌token、代理agent唯一标识和用户IP地址;根据所述用户token、所述agent唯一标识和所述用户IP地址进行鉴权;若鉴权失败,则丢弃所述链路上报的数据;若鉴权成功,则采集所述链路上报的数据。2.根据权利要求1所述的全链路数据鉴权方法,其特征在于,所述根据所述用户token、所述agent唯一标识和所述用户IP地址进行鉴权包括:根据JWT协议对所述用户token进行解析,得到所述用户token的鉴权信息;判断所述用户token的鉴权信息是否存在异常;若所述用户token的鉴权信息存在异常,则确定鉴权失败;若所述用户token的鉴权信息不存在异常,则根据所述用户token的鉴权信息、所述agent唯一标识和所述用户IP地址进行鉴权。3.根据权利要求2所述的全链路数据鉴权方法,其特征在于,所述根据JWT协议对所述用户token进行解析,得到所述用户token的鉴权信息包括:根据所述JWT协议对所述用户token进行分割,得到所述用户token的头部、所述用户token的载荷和所述用户token的签名;对所述用户token的头部进行base64解密,得到所述头部声明的加密算法;根据所述头部声明的加密算法对所述用户token的头部和所述用户token的载荷进行组合加密,得到待验证签名;判断所述待验证签名与所述用户token的签名是否相同;若所述待验证签名与所述用户token的签名相同,则对所述用户token的载荷进行base64解密,得到所述用户token的鉴权信息。4.根据权利要求2所述的全链路数据鉴权方法,其特征在于,所述若所述用户token的鉴权信息不存在异常,则根据所述用户token的鉴权信息、所述agent唯一标识和所述用户IP地址进行鉴权包括:若所述用户token的鉴权信息不存在异常,则判断所述用户token的鉴权信息是否包括所述agent唯一标识;若所述用户token的鉴权信息不包括所述agent唯一标识,则确定鉴权失败;若所述用户token的鉴权信息包括所述agent唯一标识,则判断所述用户token的鉴权信息是否包括所述用户IP地址;若所述用户token的鉴权信...
【专利技术属性】
技术研发人员:洪耿杰,
申请(专利权)人:平安科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。