(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211199863.7 (22)申请日 2022.09.29 (71)申请人 山东亿云信息技 术有限公司 地址 250014 山东省济南市高新区新 泺大 街2008号银荷大厦B座 4层 (72)发明人 刘帅　宫传华　陈通　杨义　张蒙　 (74)专利代理 机构 济南圣达知识产权代理有限 公司 372 21 专利代理师 赵妍 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 67/02(2022.01) (54)发明名称 一种基于TOTP的Web应用的身份认 证方法及 系统 (57)摘要 本发明涉及Web认证技术领域， 提供了一种 基于TOTP的Web应用的身份认证方法及系 统， 包 括： Web应用从主应用后台管理中获取应用编号 和密钥信息， 基于密钥信息通过TOTP生成第一随 机码， 并将应用编号和第一随机码发送给主应 用； 主应用基于应用编号 从主应用后台管理中获 取密钥信息， 将密钥信息通过TOTP生成第二随机 码， 将第二随机码和第一随机码进行比对， 如果 比对结果一致， 则给Web应用发送令牌； Web应用 拿到令牌后， 与Web应用服务器进行网络通讯， 以 使Web应用服务器响应于Web应用的请求。 不仅秘 钥信息没有报漏在互联网的请求中， 解决了中间 人截取网络信息的安全问题， 而且通过TOTP生成 动态验证码做成请求的验证因子进行认证， 防止 了请求的伪造和暴力攻击问题。 权利要求书1页 说明书5页 附图1页 CN 115460015 A 2022.12.09 CN 115460015 A 1.一种基于TOTP的Web应用的身份认证方法， 其特 征在于， 包括： Web应用从主应用后 台管理中获取应用编号和密钥信息， 基于密钥信息通过TOTP生成 第一随机码， 并将应用编号和第一随机码发送给主应用； 主应用基于应用编号从主应用后台管理中获取密钥信 息， 将密钥信息通过TOTP生成第 二随机码， 将第二随机码和第一随机码进行比对， 如果比对结果一致， 则给Web应用发送令 牌； Web应用拿到令牌后， 与Web应用服务器进行网络通讯， 以使Web应用服务器响应于Web 应用的请求。 2.如权利要求1所述的一种基于TOTP的Web应用的身份认证方法， 其特征在于， 所述主 应用后台管理在接收到Web应用的注 册请求后， 生成应用编号和密钥 信息。 3.如权利要求1所述的一种基于TOTP的Web应用的身份认证方法， 其特征在于， 如果第 二随机码和第一随机码的对比结果 不一致， 主应用返回错 误信息。 4.如权利 要求1所述的一种基于TOTP的Web应用的身份认证方法， 其特征在于， Web应用 拿到令牌后， 使用应用编号、 第一随机码和令牌与Web应用服 务器进行网络通讯。 5.如权利 要求1所述的一种基于TOTP的Web应用的身份认证方法， 其特征在于， 所述Web 应用服务器根据密钥信息通过TOTP生成第三随机码， 将第三随机码和第一随机码进行验 证， 验证通过后响应Web应用的请求。 6.一种基于TOTP的Web应用的身份认证系统， 其特 征在于， 包括 Web应用和主应用； 所述Web应用， 用于从主应用后台管理中获取应用编号和密钥信息， 基于密钥信息通过 TOTP生成第一随机码， 并将应用编号和第一随机码发送给主应用； 所述主应用， 用于基于应用编号从主应用后台管理中获取密钥信息， 将密钥信息通过 TOTP生成第二随机码， 将第二随机码和第一随机码进行比对， 如果比对结果一致， 则给Web 应用发送令牌； 所述Web应用， 还用于拿到令牌后， 与Web应用服务器进行网络通讯， 以使Web应用服务 器响应于Web应用的请求。 7.如权利要求1所述的一种基于TOTP的Web应用的身份认证系 统， 其特征在于， 所述主 应用后台管理在接收到Web应用的注 册请求后， 生成应用编号和密钥 信息。 8.如权利要求1所述的一种基于TOTP的Web应用的身份认证系 统， 其特征在于， 所述主 应用， 还用于在第二随机码和第一随机码的对比结果 不一致时， 返回错 误信息。 9.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被处理器执 行时实现如权利要求1 ‑5中任一项所述的一种基于TOTP的Web应用的身份认证方法中的步 骤。 10.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求 1‑5中任一项 所述的一 种基于TOTP的Web应用的身份认证方法中的步骤。权　利　要　求　书 1/1 页 2 CN 115460015 A 2一种基于 TOTP的Web应用的身份认证方 法及系统 技术领域 [0001]本发明属于Web认证技术领域， 尤其涉及一种基于T OTP的Web应用的身份认证方法 及系统。 背景技术 [0002]本部分的陈述仅仅是提供了与本发明相关的背景技术信息， 不必然构成在先技 术。 [0003]如今Web开发因为开发效率高、 能够热部署等特点， 已经集成到各种原生应用中， 在集成到原 生应用的时候就会涉及登录认证信息同步的问题。 在传统的集成方式中存在很 多问题， 如中间人截取认证信息， 认证信息暴力破解等问题， 认证请求伪造等问题。 如何能 够更安全的进行Web认证成为 一个值得研究的话题。 [0004]在传统Web认证过程中， 一般通过认证信息进行二次自动登录， 这种方式在认证过 程中容易将认证信息在网络中报漏， 造成各种安全问题， 所以在Web认证中验证信息的安全 性成为Web认证过程中的重要课题。 发明内容 [0005]为了解决上述背景技术中存在的技术问题， 本发明提供一种基于TOTP的Web应用 的身份认证方法及系统， 不仅秘钥信息没有报漏在互联网的请求中， 解决了中间人截取网 络信息的安全问题， 而且通过TOTP生成动态验证码做成请求的验证因子进行认证， 防止了 请求的伪造和暴力攻击问题。 [0006]为了实现上述目的， 本发明采用如下技 术方案： [0007]本发明的第一个方面 提供一种基于TOTP的Web应用的身份认证方法， 其包括： [0008]Web应用从主应用后台管理中获取应用编号和密钥信息， 基于密钥信息通过TOTP 生成第一随机码， 并将应用编号和第一随机码发送给主应用； [0009]主应用基于应用编号从主应用后台管理中获取密钥信息， 将密钥信息通过T OTP生 成第二随机码， 将第二随机码和第一随机码进行比对， 如果比对结果一致， 则给Web应用发 送令牌； [0010]Web应用拿到令牌后， 与Web应用服务器进行 网络通讯， 以使Web应用服务器响应于 Web应用的请求。 [0011]进一步地， 所述主应用后台管理在接收到Web应用的注册请求后， 生成应用编号和 密钥信息。 [0012]进一步地， 如果第二随机码和第一随机码的对比结果不一致， 主应用返回错误信 息。 [0013]进一步地， Web应用拿到令牌后， 使用应用编号、 第一随机码和令牌与Web应用服务 器进行网络通讯。 [0014]进一步地， 所述Web应用服务器根据密钥信息通过T OTP生成第三随机码， 将第三随说　明　书 1/5 页 3 CN 115460015 A 3