(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211079027.5 (22)申请日 2022.09.05 (71)申请人 深圳拓邦股份有限公司 地址 518000 广东省深圳市南 山区粤海街 道高新技术产业园清华大学研究院B 区413房 申请人 深圳市拓 邦软件技 术有限公司 (72)发明人 陆豪　付伟　 (74)专利代理 机构 深圳市瑞方达知识产权事务 所(普通合伙) 44314 专利代理师 邹凌威 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种令牌 跨区域交换与鉴权方法和系统 (57)摘要 本发明公开了一种令牌跨区域交换与鉴权 方法和系统， 应用于目标服务区域， 方法包括： 接 收前端发送的加密后的令牌身份信息和信息签 名， 加密后的令牌身份信息和信息签名为用户访 问前端时通过前端发送切换区域请求至当前服 务区域后， 再由当前服务区域进行用户身份校验 和加密签名后发送至前端的； 对加密后的令牌身 份信息和信息签名进行验签解密处理， 并生成访 问白名单； 将前端地址的域名加入允许跨域访问 的跨域资源共享响应头中， 并发送至前端， 用于 前端加载来自目标服务区域的内容至页面。 通过 实施本发明， 跨域访问时不同区域数据中心之间 不用同步令牌， 减少了数据中心之间的交互频 繁， 且不同区域数据中心不会存储非本区域注册 的用户信息 。 权利要求书5页 说明书15页 附图5页 CN 115499180 A 2022.12.20 CN 115499180 A 1.一种令牌跨区域交换与鉴权方法， 其特征在于， 应用于目标服务区域， 所述方法包 括： 接收前端发送的加密后的令牌身份信 息和信息签名， 所述加密后的令牌身份信 息和信 息签名为用户访问所述前端时通过所述前端发送切换区域请求至当前服务区域后， 再由所 述当前服 务区域进行用户身份校验和 加密签名后发送至所述前端的； 对所述加密后的令牌身份信息和信息签名进行验签解密处 理， 并生成访问白名单； 将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头 中， 并发送至所述前 端， 用于所述前端加载来自所述目标服 务区域的内容至页面。 2.根据权利要求1所述的令牌跨 区域交换与鉴权方法， 其特征在于， 所述令牌身份信 息 包括访问令牌的值， 切换访问者的互联网地址和时间戳。 3.根据权利要求2所述的令牌跨 区域交换与鉴权方法， 其特征在于， 将所述前端地址的 域名加入允许跨 域访问的跨 域资源共享响应头中， 并发送至所述前端， 之后还 包括： 在切换区域成功， 并在用户通过所述前端进行功能访 问时， 根据所述访 问白名单校验 用户的合法性； 响应功能信息， 将所述前端地址的域名加入允许跨 域访问的跨 域资源共享响应头中； 将所述允许跨域访问的跨域资源共享响应头发送至所述前端， 用于所述前端加载来自 所述目标服 务区域的功能信息 至页面。 4.根据权利要求3所述的令牌跨 区域交换与鉴权方法， 其特征在于， 根据 所述访问白名 单校验用户的合法性， 包括： 校验白名单内所述用户令牌的值和所述用户互联网地址的合法性。 5.根据权利要求1所述的令牌跨 区域交换与鉴权方法， 其特征在于， 由所述当前服务 区 域进行用户身份校验和 加密签名， 包括： 在所述当前服务区域内使用所述目标服务区域的公钥对所述令牌身份信息进行组合 加密生成加密字符串； 在所述当前服务区域内使用所述当前服务区域的私钥将所述加密字 符串加密生成所述信息签名。 6.根据权利要求1所述的令牌跨 区域交换与鉴权方法， 其特征在于， 对所述加密后的令 牌身份信息和信息签名进行验签解密处 理， 包括： 使用所述当前服务区域的公钥对所述信 息签名进行验签后， 再对加密后的所述令牌身 份信息使用所述目标服 务区域的私钥进行解密。 7.根据权利要求2所述的令牌跨区域交换与鉴权方法， 其特征在于， 生成访 问白名单， 之前还包括： 校验所述令牌身份信息中所述时间戳的有效期， 若所述校验时间戳在有效期内， 则将 所述用户令牌和所述用户互联网地址生成所述访问白名单。 8.一种令牌跨区域交换与鉴权方法， 其特征在于， 应用于当前服务区域， 所述方法包 括： 接收用户访问前端时通过 所述前端发送的切换区域请求； 校验所述切换区域请求的用户身份信息； 加密令牌身份信息并生成信息签名； 发送加密后的所述令牌身份信 息和所述信 息签名至所述前端， 所述加密后的令牌身份权　利　要　求　书 1/5 页 2 CN 115499180 A 2信息和信息签名用于所述前端发送至目标服务区域内进行验签解密， 并生成访问白名单， 所述目标服务区域将所述前端地址的域名加入允许跨域访问的跨域资源共享响应头中， 并 将所述允许跨域访问的跨域资源共享响应头发送至所述前端， 用于所述前端加载来自所述 目标服务区域的内容至页面。 9.根据权利要求8所述的令牌跨 区域交换与鉴权方法， 其特征在于， 所述令牌身份信 息 包括访问令牌的值， 切换访问者的互联网地址和时间戳。 10.根据权利要求8所述的令牌跨区域交换与鉴权方法， 其特征在于， 加密所述令牌身 份信息并生成信息签名， 包括： 通过所述令牌身份信息进行组合， 使用所述目标服务区域的公钥加密生成加密字符 串； 并使用所述当前服 务区域的私钥将所述加密字符串加密生成所述信息签名。 11.根据权利要求8所述的令牌跨区域交换与鉴权方法， 其特征在于， 所述加密后的令 牌身份信息和信息签名用于所述前端发送至所述目标服 务区域内进行验签解密， 包括： 在所述目标服务区域内使用所述当前服务区域的公钥对所述信息签名进行验签后再 对加密后的所述令牌身份信息使用所述目标服 务区域的私钥进行解密。 12.根据权利要求9所述的令牌跨 区域交换与鉴权方法， 其特征在于， 生成访问白名单， 之前还包括： 在所述目标服务 区域内通过所述解密使得所述目标服务 区域获得所述令牌身份信 息， 校验所述令牌身份信息中所述时间戳的有效期， 所述校验时间戳的有效期用于触发当所述 校验时间戳在有效期内， 则将所述用户令牌和所述用户互联网地址加入所述访问白名单 内。 13.一种令牌 跨区域交换与鉴权方法， 其特 征在于， 应用于前端， 所述方法包括： 发送用户访问时触发的切换区域请求至当前服务 区域， 所述切换请求中的用户身份信 息用于所述当前服务区域校验所述用户身份信息并进行加密签名生成加密后的所述令牌 身份信息和信息签名； 接收所述当前服 务区域发送的所述加密后的令牌身份信息和信息签名； 发送所述加密后的令牌身份信 息和信息签名至目标服务 区域， 用于所述目标服务区域 进行验签解密， 并生成访问白名单， 所述 目标服务区域将所述前端地址的域名 加入允许跨 域访问的跨 域资源共享响应头中； 接收所述允许跨域访问的跨域资源共享响应头， 加载来自所述目标服务 区域的内容至 页面。 14.根据权利要求13所述的令牌跨区域交换与鉴权方法， 其特征在于， 所述令牌身份信 息包括访问令牌的值， 切换访问者的互联网地址和时间戳。 15.根据权利要求14所述的令牌跨区域交换与鉴权方法， 其特征在于， 接收所述允许跨 域访问的跨 域资源共享响应头， 之后还 包括： 用于切换区域成功后， 访 问目标服务区域的功能， 用于所述目标服务区域根据所述访 问白名单校验所述用户的合法性， 并响应功 能信息， 将所述前端地址的域名 加入允许跨域 访问的跨 域资源共享响应头中； 接收所述目标服务区域发送的所述允许跨域访问的跨域资源共享响应头， 用于加载来 自所述目标服 务区域的功能信息 至页面。权　利　要　求　书 2/5 页 3 CN 115499180 A 3