一种基于RESTful的安全登陆认证方法

摘要

本发明涉及一种基于RESTful的安全登陆认证方法，该方法基于RESTful架构，将非对称加密算法和加密算法结合运用在整个通信过程中，对客户端和服务器之间的通信数据进行加密，并在安全连接建立后通过唯一的token进行之后的认证。与现有技术相比，本发明对客户端和服务器之间的通信数据进行加密，保证用户数据不被拦截而被非法用户截获，直接获取token进行认证伪造；保证用户在进行登陆认证时，数据内容全是加密不可见的；维护数据完整性，确保数据在传送过程中不被改变。

主权项

一种基于RESTful的安全登陆认证方法，其特征在于，包括以下步骤(1)客户端向服务器传送客户端SSL协议的版本号，以及可支持的加密算法的种类；(2)服务器核对客户端的SSL协议的版本号后选出服务器和客户端均支持的加密算法，并且将选出的加密算法、服务器证书和服务器公钥一起发送给客户端；(3)客户端利用服务器传来的服务器证书验证服务器的合法性，如非法则断开连接；如合法则进行步骤(4)；(4)客户端随机产生一个用于后续通信的“通信密钥”，然后用服务器的公钥对“通信密钥”进行加密并将加密的“通信密钥”传给服务器；(5)服务器接到加密的“通信密钥”并用自己的密钥将其解密并获得“通信密钥”；(6)客户端用“通信密钥”加密一条握手完成消息表明客户端并发送给服务器；(7)服务器用“通信密钥”解开步骤(6)中的所述的握手完成消息并用“通信密钥”加密一条握手完成消息回复给客户端；(8)客户端向服务器发送由“通信密钥”加密的用户名和密码；(9)服务器收到后检查客户端的URL唯一性，并根据传送过来的用户名和密码，生成唯一的token并返回给客户端。