本发明涉及网络安全技术领域，具体涉及一种基于JWT数据的防止重放攻击的方法及系统。

背景技术：

目前，网络安全领域的技术方案对重放攻击的重视程度不够，只对JWT数据的过期时间管理，过期后需要用户重新登录。

现有的技术方案仅通过控制当前JWT数据由哪个签发者颁布，时间不能晚于某个指定时间，不能早于某个指定时间以预防止重放攻击。现有的技术方案存在以下几个方面的问题：

(1)针对不同签发者，签发者之间的JWT数据不能被重放，但是同一签发者的JWT数据可以被重放；

(2)针对控制时间范围，在有效时间外，JWT数据不能被重放，但是在有效时间内，JWT数据还是可以被重放。

技术实现要素：

为解决现有技术的不足，本发明实施例提供了一种基于JWT数据的防止重放攻击的方法及系统。

第一方面，本发明实施例提供了一种基于JWT数据的防止重放攻击的方法，该方法包括：

接收客户端发送的JWT数据；

判断当前时间是否处于所述JWT数据携带的生成开始时间与生成结束时间范围内，若是，则确定所述JWT数据有效，其中，所述生成开始时间及所述生成结束时间根据当前时间动态变化；

利用Hash算法，判断所述JWT数据是否合法，若是，则判断所述JWT数据的标签Key是否为1，包括：

若是，则确定所述JWT数据为重放数据，对所述JWT数据进行拦截；

若否，则确定所述JWT数据合法并将所述JWT数据的标签Key设置为1。

进一步地，所述Hash算法为HMAC。

第二方面，本发明实施例提供了另一种基于JWT数据的防止重放攻击的系统，该系统包括：

接收模块，用于接收客户端发送的JWT数据；

判断模块，用于判断当前时间是否处于所述JWT数据携带的生成开始时间与生成结束时间范围内，若是，则确定所述JWT数据有效，其中，所述生成开始时间及所述生成结束时间根据当前时间动态变化；

所述判断模块，还用于利用Hash算法，判断所述JWT数据是否合法，若是，则判断所述JWT数据的标签Key是否存在；

拦截模块，用于对所述JWT数据进行拦截；

设置模块，用于将所述JWT数据的标签Key设置为1。

本发明实施例提供的基于JWT数据的防止重放攻击的方法及系统具有以下有益效果：

通过对有效且合法的JWT数据设置标签Key，有效地避免了重放攻击的现象发生，提高了防止重放攻击的效果。

附图说明

图1为本发明实施例提供的基于JWT数据的防止重放攻击的方法流程示意图；

图2为本发明实施例提供的基于JWT数据的防止重放攻击的系统结构示意图。

具体实施方式

以下结合附图和具体实施例对本发明作具体的介绍。

如图1所示，本发明实施例提供的基于JWT数据的防止重放攻击的方法包括以下步骤：

S101，接收客户端发送的JWT数据。

S102，判断当前时间是否处于所述JWT数据携带的生成开始时间与生成结束时间范围内，若是，则确定所述JWT数据有效，其中，所述生成开始时间及所述生成结束时间根据当前时间动态变化。

作为一个具体的实施例，JWT数据的生成结束时间Time2减去其生成开始时间Time1所得的结果即为该JWT数据的生命周期，在本实施例中，设定JWT数据的生命周期的最小值为在网络状况正常的情况下，客户端与服务器端建立连接需要的时间，最大值为65秒。

一般情况下，Time1为当前时间的前五秒的时间点，Time1为当前时间的后60秒的时间点。

S103，利用Hash算法，判断所述JWT数据是否合法，若是，则判断所述JWT数据的标签Key是否为1，包括：

若是，则确定所述JWT数据为重放数据，对所述JWT数据进行拦截；

若否，则确定所述JWT数据合法并将所述JWT数据的标签Key设置为1。

作为一个具体的实施例，为了避免服务器中存储的标签Key过多，可以设置标签Key的生命周期为JWT数据的生命周期1.5倍。

可选地，所述Hash算法为HMAC。

如图2所示，本发明实施例提供的基于JWT数据的防止重放攻击的系统包括：接收模块、判断模块、拦截模块、设置模块，其中：

接收模块，用于接收客户端发送的JWT数据；

判断模块，用于判断当前时间是否处于所述JWT数据携带的生成开始时间与生成结束时间范围内，若是，则确定所述JWT数据有效，其中，所述生成开始时间及所述生成结束时间根据当前时间动态变化；

判断模块，还用于利用Hash算法，判断所述JWT数据是否合法，若是，则判断所述JWT数据的标签Key是否为1；

拦截模块，用于对所述JWT数据进行拦截；

设置模块，用于将所述JWT数据的标签Key设置为1。

本发明实施例提供的基于JWT数据的防止重放攻击的方法，通过接收客户端发送的JWT数据，判断当前时间是否处于JWT数据携带的生成开始时间与生成结束时间范围内，若是，则确定JWT数据有效，利用Hash算法，判断JWT数据是否合法，若是，则判断JWT数据的标签Key是否为1，若是，则确定JWT数据为重放数据，对JWT数据进行拦截，若否，则确定JWT数据合法并将JWT数的标签Key设置为1，有效地避免了重放攻击的现象发生，提高了防止重放攻击的效果。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

此外，存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。