CN117201163A - 多维度接口鉴权方法、装置、计算机设备和存储介质 - Google Patents
多维度接口鉴权方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN117201163A CN117201163A CN202311272542.XA CN202311272542A CN117201163A CN 117201163 A CN117201163 A CN 117201163A CN 202311272542 A CN202311272542 A CN 202311272542A CN 117201163 A CN117201163 A CN 117201163A
- Authority
- CN
- China
- Prior art keywords
- authentication
- request
- access
- type
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000004590 computer program Methods 0.000 claims abstract description 32
- 238000012545 processing Methods 0.000 claims abstract description 29
- 238000012795 verification Methods 0.000 claims description 36
- 210000004899 c-terminal region Anatomy 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000013500 data storage Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000004883 computer application Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 210000004027 cell Anatomy 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种多维度接口鉴权方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。所述方法包括:获取来自服务请求端的访问请求,其中,所述访问请求携带请求报文,所述请求报文中包括渠道类型信息和渠道标识信息;根据所述渠道类型信息判断所述服务请求端的类型;根据所述服务请求端的类型调取鉴权配置规则集;根据所述渠道标识信息,在所述鉴权配置规则集中选取与所述请求报文相匹配的鉴权配置规则;根据所述渠道标识信息和所述鉴权配置规则对所述访问请求进行鉴权处理。采用本方法能够增大鉴权方法的适用范围、使之适应于更复杂的应用场景。
Description
技术领域
本申请涉及计算机应用技术领域,特别是涉及一种多维度接口鉴权方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
目前,随着计算机应用技术的发展,金融信息系统开始采用客户端与服务端分离的方式,服务端的功能通常需要进行模块化、服务化的架构设计。在使用过程中,通常会不可避免的出现客户端反复多次地调用服务端的不同接口,以及服务端系统多个不同模块共同向客户端提供服务的情况。
通常,在进行接口鉴权时,在不同的客户端作为服务请求方的情况下,由于不同类型的请求方存在安全等级、业务逻辑等方面的差别,目前的接口鉴权方法功能单一,致使其使用范围较窄,不能满足当前交互系统多样性的需求,不能适应复杂的应用场景。
发明内容
基于此,有必要针对上述技术问题,提供一种能够增大适用范围、适应更复杂的应用场景的多维度接口鉴权方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种多维度接口鉴权方法,所述方法应用于服务执行端的网关层,所述方法包括:
获取来自服务请求端的访问请求,其中,所述访问请求携带请求报文,所述请求报文中包括渠道类型信息和渠道标识信息;
根据所述渠道类型信息判断所述服务请求端的类型;
根据所述服务请求端的类型调取鉴权配置规则集;
根据所述渠道标识信息,在所述鉴权配置规则集中选取与所述请求报文相匹配的鉴权配置规则;
根据所述渠道标识信息和所述鉴权配置规则对所述访问请求进行鉴权处理。
在其中一个实施例中,所述根据所述服务请求端的类型调取鉴权配置规则集包括:
在所述服务请求端为第一类型系统的情况下,调取第一类型的鉴权配置规则集,其中,第一类型的所述鉴权配置规则集中包括身份校验规则和时间校验规则;
在所述服务请求端为第二类型系统的情况下,调取第二类型的鉴权配置规则集,其中,第二类型的所述鉴权配置规则集中包括身份校验规则、时间校验规则、令牌校验规则和实名校验规则;
所述根据所述渠道标识信息和所述鉴权配置规则对所述访问请求进行鉴权处理包括:
根据所述身份校验规则、时间校验规则、令牌校验规则和实名校验规则中的一个或多个所述鉴权配置规则,对所述访问请求进行鉴权校验。
在其中一个实施例中,所述鉴权配置规则集还包括限流规则,所述渠道标识信息中包括接口标识;所述根据所述渠道标识信息和所述鉴权配置规则对所述访问请求进行鉴权处理,还包括:
在所述鉴权校验通过的情况下,根据所述接口标识确定当前访问接口;
检测所述当前访问接口在单位时间内的访问量;
根据所述限流规则确定所述当前访问接口的流量速率阈值;
根据所述流量速率阈值和单位时间内的所述访问量对所述访问请求进行鉴权处理。
在其中一个实施例中,所述根据所述流量速率阈值和单位时间内的所述访问量对所述访问请求进行鉴权处理包括:
根据所述流量速率阈值计算单位时间内的访问量阈值;
在单位时间内的所述访问量未超出所述访问量阈值的情况下,响应所述访问请求。
在其中一个实施例中,所述鉴权配置规则集还包括熔断规则;所述在单位时间内的所述访问量未超出所述访问量阈值的情况下,响应所述访问请求之后,还包括:
检测所述访问请求调用所述当前访问接口的总时长;
根据所述熔断规则确定所述当前访问接口的调用时长阈值;
在所述总时长超出所述调用时长阈值的情况下,控制所述访问请求停止调用所述当前访问接口。
在其中一个实施例中,所述服务请求端类型包括业务端类型和消费端类型。
第二方面,本申请还提供了一种多维度接口鉴权装置,所述装置应用于服务执行端的网关层,所述装置包括:
请求获取模块,用于获取来自服务请求端的访问请求,其中,所述访问请求携带请求报文,所述请求报文中包括渠道类型信息和渠道标识信息;
类型判断模块,用于根据所述渠道类型信息判断所述服务请求端的类型;
规则调取模块,用于根据所述服务请求端的类型调取鉴权配置规则集;
鉴权配置模块,用于根据所述渠道标识信息在所述鉴权配置规则集中选取与所述请求报文相匹配的鉴权配置规则;
鉴权处理模块,用于根据所述渠道标识信息和所述鉴权配置规则对所述访问请求进行鉴权处理。
第三方面,本申请还提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取来自服务请求端的访问请求,其中,所述访问请求携带请求报文,所述请求报文中包括渠道类型信息和渠道标识信息;
根据所述渠道类型信息判断所述服务请求端的类型;
根据所述服务请求端的类型调取鉴权配置规则集;
根据所述渠道标识信息,在所述鉴权配置规则集中选取与所述请求报文相匹配的鉴权配置规则;
根据所述渠道标识信息和所述鉴权配置规则对所述访问请求进行鉴权处理。
第四方面,本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取来自服务请求端的访问请求,其中,所述访问请求携带请求报文,所述请求报文中包括渠道类型信息和渠道标识信息;
根据所述渠道类型信息判断所述服务请求端的类型;
根据所述服务请求端的类型调取鉴权配置规则集;
根据所述渠道标识信息,在所述鉴权配置规则集中选取与所述请求报文相匹配的鉴权配置规则;
根据所述渠道标识信息和所述鉴权配置规则对所述访问请求进行鉴权处理。
第五方面,本申请还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
获取来自服务请求端的访问请求,其中,所述访问请求携带请求报文,所述请求报文中包括渠道类型信息和渠道标识信息;
根据所述渠道类型信息判断所述服务请求端的类型;
根据所述服务请求端的类型调取鉴权配置规则集;
根据所述渠道标识信息,在所述鉴权配置规则集中选取与所述请求报文相匹配的鉴权配置规则;
根据所述渠道标识信息和所述鉴权配置规则对所述访问请求进行鉴权处理。
上述多维度接口鉴权方法、装置、计算机设备、存储介质和计算机程序产品,通过对来自服务请求端的请求报文进行解析,判断出服务请求端的类型,再根据服务请求端的具体类型调取鉴权配置规则集,针对不同类型的服务请求端,其能够匹配到的鉴权配置规则集不同,因此,采用上述方案能够兼顾不同类型服务请求端的鉴权需求,匹配合适的鉴权配置规则集。进一步地,采用渠道标识信息区分同一个类型中不同的服务器请求端,根据渠道标识信息在鉴权配置规则集中选取与请求报文相匹配的鉴权配置规则,使得每个服务请求端都能精准地匹配到鉴权配置规则,再根据鉴权配置规则对渠道标识信息对应的访问请求进行鉴权处理,能够增大鉴权方法的适用范围,使之适应更复杂的应用场景。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一个实施例中多维度接口鉴权方法的应用环境图;
图2为一个实施例中多维度接口鉴权方法的流程示意图;
图3为一个实施例中多维度接口鉴权中步骤S210的流程示意图;
图4为另一个实施例中多维度接口鉴权中步骤S210的部分流程示意图;
图5为一个实施例中多维度接口鉴权装置的结构框图;
图6为一个实施例中计算机设备的内部结构图;
图7为另一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的多维度接口鉴权方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。数据存储系统用于存储鉴权配置规则集,以及鉴权配置规则与渠道标识信息之间的映射关系等数据。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个示例性的实施例中,如图2所示,提供了一种多维度接口鉴权方法,以该方法应用于图1中的服务器104为例进行说明,包括以下步骤S202至步骤S206。其中:
步骤S202,获取来自服务请求端的访问请求,其中,访问请求携带请求报文,请求报文中包括渠道类型信息和渠道标识信息。
其中,服务请求端是指发起请求的一方或实体,示例性地,服务请求端可以是客户端102或应用程序,它想要获取某种服务或资源。服务请求端可以是一个用户使用的设备(如电脑、手机、平板电脑),也可以是一个不同的服务器或系统。访问请求是指服务请求端向特定服务、资源或系统发出的请求,以获取特定的信息、执行操作或访问某些功能,其包含了所需的参数和信息,用于描述请求的性质和目的。请求报文是包含在访问请求中的数据块或信息集合,用于传递关于请求的具体细节。示例性地,请求报文中携带渠道类型信息和渠道标识信息,还可以包括请求的方法、请求的目标资源或服务的标识、请求的参数、请求的身份验证信息等。
进一步地,渠道类型信息用于描述服务请求端的渠道类型,示例性地,服务请求端类型包括业务端类型和消费端类型,其中,业务端(Business,B端)是指企业或机构向其他企业、机构或个人提供产品、服务或解决方案的一方。B端通常涉及商业交易、合作和服务提供,其主要客户是其他企业或机构。B端市场通常更专业化,交易规模较大,涉及复杂的业务需求和合作关系。消费端(Consumer,C端)是指个人或家庭,直接购买和使用产品或服务的一方。C端市场通常更广泛,包括了广大的个人消费者,其购买决策通常基于个人需求和偏好。
进一步地,渠道标识信息用于标志同一类型服务请求端中的不同请求主体。示例性地,渠道标识信息可以用于区分同为业务端类型的服务请求端的两家不同服务机构。
步骤S204,根据渠道类型信息判断服务请求端的类型。
其中,对业务端类型(以下简称B端)和消费端类型(以下简称C端)的服务请求端进行鉴权存在诸多不同之处。示例性地,对B端和C端的鉴权存在用户身份、访问控制、安全级别等方面的不同。
首先,在B端情境中,用户是企业或机构,通常具有明确定义的角色和权限。鉴权可能涉及验证员工或合作伙伴的身份,以确保他们只能访问其业务需要的资源。而在C端情境中,用户是个人消费者,通常没有像企业员工那样的明确角色和权限。鉴权更多地集中在验证个人的身份以授予访问权限。其次,B端通常需要更复杂的访问控制策略,以确保只有具有特定业务需求的用户能够访问敏感数据或功能。这可能涉及到角色和权限管理,以确保只有授权的员工能够执行特定的操作。而C端的访问控制通常较为简单,因为消费者通常只需访问一些个人信息或购买商品和服务。鉴权通常用于验证用户是否有权访问其个人帐户或执行一些基本操作。最后,由于B端可能涉及更敏感的业务数据和合作伙伴关系,因此安全性要求较高。B端通常会采用多因素身份验证和更严格的安全措施来保护访问,而C端的安全性要求通常较低,尤其是在一些社交媒体或娱乐应用中。虽然仍然需要鉴权来保护用户帐户,但通常不需要像B端那样严格的安全措施。
因此,根据渠道类型信息判断服务请求端的类型能够更精准地区分出后续步骤中鉴权策略。示例性地,服务器104可以通过调用数据存储系统中存储的渠道类型信息与服务请求端类型信息的映射关系,从而获取与当前的渠道类型信息相匹配的数据标识。
步骤S206,根据服务请求端的类型调取鉴权配置规则集。
其中,鉴权配置规则集是指包括多个不同的鉴权配置规则的集合。
示例性地,鉴权配置规则集中可以包括以下类型的鉴权配置规则:身份验证规则,用户必须提供有效的身份验证信息(如用户名和密码、令牌、生物特征等)以证明身份。角色和权限规则,鉴权可以基于用户的角色或权限级别来确定他们是否有权执行特定操作。例如,管理员可以访问更多功能或数据,而普通用户只能执行基本操作。访问控制列表,指定了哪些用户或实体有权访问特定资源。多因素身份验证,要求用户提供多个身份验证因素,通常包括密码和另一种因素(如手机验证码、指纹、智能卡等)。会话管理,控制用户会话的生命周期,例如确定何时会话超时或何时需要重新登录。地理位置限制,限制用户只能从特定地理位置访问资源,以增加安全性。
步骤S208,根据渠道标识信息,在鉴权配置规则集中选取与请求报文相匹配的鉴权配置规则。
其中,鉴权配置规则可以分为模糊配置规则和精准配置规则两类。其中,模糊配置规则对应的渠道标识信息是标识表,其中包括多个不同的渠道标识信息,并且可以对应同一类的服务请求端,也可以对应不同类型的服务请求端。
示例性地,服务器104可以采用渠道标识信息中的识别标志筛选鉴权配置规则集中的鉴权配置规则,其中,部分鉴权配置规则是针对多种渠道通用的,而另一部分鉴权配置规则是针对某一类或一个渠道专用的,在筛选的过程中,服务器104可以先行确定鉴权配置规则的种类,再行确定具体的鉴权配置规则。
步骤S210,根据渠道标识信息和鉴权配置规则对访问请求进行鉴权处理。
示例性地,服务器104根据渠道标识信息从鉴权配置规则中筛选出来鉴权过程所需的鉴权配置规则后,可以根据具体的鉴权配置规则对访问请求进行身份鉴权、权限鉴权等鉴权处理,其中,有部分鉴权配置规则要求根据渠道标识信息得到如访问流量、访问时间等数据,再行根据鉴权配置规则中的对照值,对当前的访问请求进行鉴权处理。
上述多维度接口鉴权方法中,通过对来自服务请求端的请求报文进行解析,判断出服务请求端的类型,再根据服务请求端的具体类型调取鉴权配置规则集,针对不同类型的服务请求端,其能够匹配到的鉴权配置规则集不同,因此,采用上述方案能够兼顾不同类型服务请求端的鉴权需求,匹配合适的鉴权配置规则集。进一步地,采用渠道标识信息区分同一个类型中不同的服务器请求端,根据渠道标识信息在鉴权配置规则集中选取与请求报文相匹配的鉴权配置规则,使得每个服务请求端都能精准地匹配到鉴权配置规则,再根据鉴权配置规则对渠道标识信息对应的访问请求进行鉴权处理,能够增大鉴权方法的适用范围,使之适应更复杂的应用场景。
在一个示例性的实施例中,步骤S206,包括:在服务请求端为第一类型系统的情况下,调取第一类型的鉴权配置规则集。在服务请求端为第二类型系统的情况下,调取第二类型的鉴权配置规则集。
其中,第一类型的鉴权配置规则集中包括身份校验规则和时间校验规则,第二类型的鉴权配置规则集中包括身份校验规则、时间校验规则、令牌校验规则和实名校验规则。并且,步骤S210包括:根据身份校验规则、时间校验规则、令牌校验规则和实名校验规则中的一个或多个鉴权配置规则,对访问请求进行鉴权校验。
其中,身份校验规则是指校验服务请求端主体身份的规则。示例性地,身份校验规则中包括准入字段和禁入字段,示例性地,服务器104可以采用互联网协议(InternetProtocol,ip)校验器,依据身份校验规则中的ip校验字段中的值对访问请求的源ip进行校验,若访问请求源ip命中身份校验规则中的ip校验字段的准入ip则放行,如命中禁入ip则不放行。
其中,时间校验规则是校验访问请求的请求时间段或响应时间段是否符合要求的规则。示例性地,服务器104可以采用时间校验器,依据时间校验规则中的放行时间段,对访问请求的请求时间进行校验,若请求时间在放行时间段内,则放行;若请求时间不在放行时间段内,则报错。示例性地,服务器104还可以采用时间校验器,依据时间校验规则中的放行时间段,对访问请求的响应时间进行校验,若请求时间在放行时间段内,则立即放行,从而响应访问请求;若请求时间不在放行时间段内,则暂停放行,待到当前时间在放行时间段内时,响应访问请求。
其中,令牌校验规则用于校验访问请求是否携带了合规的访问令牌,该鉴权配置规则仅适用于C端,也就是消费端类型的服务请求方。示例性地,服务器104可以通过令牌校验器依据C端客户访问请求中的请求报文头信息中传递的令牌进行校验。
其中,实名校验规则用于校验访问请求对应的服务请求端是否经过了实名验证,也即是否包含实名状态信息,该鉴权配置规则仅适用于C端,也就是消费端类型的服务请求方。示例性地,服务器104可以采用实名校验器依据C端客户访问请求中的请求报文头信息中传递的令牌查找到对应的客户实名状态信息,在确定已实名时才会放行,从而响应访问请求。
在一个示例性的实施例中,如图3所示,鉴权配置规则集还包括限流规则,渠道标识信息中包括接口标识;步骤S210包括步骤S302至步骤S308。其中:
步骤S302,在鉴权校验通过的情况下,根据接口标识确定当前访问接口。
其中,接口标识是渠道标识信息中用于标志发出当前访问请求的服务请求方中的唯一接口。在上述的鉴权校验通过的情况下,当前服务请求端的身份及权限已经符合鉴权要求,服务器104可以进一步对当前访问接口的其他方面进行访问控制。
步骤S304,检测当前访问接口在单位时间内的访问量。
示例性地,服务器104可以通过以下步骤检测当前访问接口在单位时间内的访问量:
首先,服务器104可以在当前访问接口上部署一个监测或日志系统,以便捕获所有访问请求的相关信息,例如请求的时间戳、客户端IP地址、请求类型信息、请求的资源路径等。接下来,服务器104可以将收集到的数据存储在一个可查询的数据存储系统中,如数据库、日志文件或分布式存储系统。其中,数据存储的方式能够支持高吞吐量和快速查询,并对存储的数据进行预处理,以提取有用的信息并进行聚合。主要任务包括计算每个时间单位(例如每秒、每分钟、每小时)内的请求数量。随后,服务器104可以选择合适的时间窗口,例如,单位时间可以是一秒、一分钟或一小时,具体的单位时间选取取决于所需的时间粒度,决定了访问量计数的时间跨度。最后,服务器104对每个时间窗口内的请求进行计数,以确定在该时间段内的访问量,服务器104可以使用数据存储中的请求时间戳来识别每个时间窗口。
步骤S306,根据限流规则确定当前访问接口的流量速率阈值。
示例性地,服务器104可以根据限流规则中记录的阈值数值来直接确定该步骤中的流量速率阈值,也可以根据上述步骤中的单位时间和限流规则中记录的阈值数值来换算出流量速率阈值。
步骤S308,根据流量速率阈值和单位时间内的访问量对访问请求进行鉴权处理。
示例性地,服务器104可以根据流量速率阈值计算单位时间内的访问量阈值,并在单位时间内的访问量未超出访问量阈值的情况下,响应访问请求;在单位时间内的访问量超出了访问量阈值的情况下,停止响应访问请求。进一步地,在停止响应访问请求后,服务器104可以截停当前的访问请求,等待流量速率符合限流规则时再放行该访问请求,也可以直接报错,终止当前的访问请求。
在一个示例性的实施例中,如图4所示,鉴权配置规则集还包括熔断规则,渠道标识信息中包括接口标识;步骤S308,之后还包括步骤S402至步骤S406。
其中:
步骤S402,检测访问请求调用当前访问接口的总时长。
示例性地,服务器104可以在当前访问接口的代码中嵌入计时器或性能监测代码,从而在每次请求处理过程中记录开始和结束时间戳。服务器104可以通过代码中的函数或方法包装在请求处理的开始和结束时分别记录时间戳,以确保每个请求都被捕获。在每个请求处理完毕后,计算开始时间和结束时间之间的时间差,以得到该请求的总时长。
步骤S404,根据熔断规则确定当前访问接口的调用时长阈值。
示例性地,服务器104可以根据限流规则中记录的熔断数值来直接确定该步骤中的调用时长阈值。
步骤S406,在总时长超出调用时长阈值的情况下,控制访问请求停止调用当前访问接口。
示例性地,服务器104可以在总时长超出调用时长阈值的情况下,直接终止对应当前访问请求的所有动作,也可以只释放当前的访问接口。
在另一个实施例中,首先由客户端102向服务器104发送访问请求,其中,客户端102可能是C端主体,也可能是B端主体。服务器104接收来自客户端102的访问请求,并从访问请求中解析出渠道类型信息和渠道标识信息,通过渠道类型信息判断出客户端102的渠道类型,具体是B端主体还是C端主体。
接下来,服务器104根据渠道类型信息调用对应的鉴权配置规则集,在根据解析出来的渠道标识信息筛选出具体的鉴权配置规则。在客户端为C端主体的情况下,鉴权配置规则集中包括身份校验规则、时间校验规则、令牌校验规则和实名校验规则。服务器104采用ip校验器,依据身份校验规则中的ip校验字段中的值对访问请求的源ip进行校验,访问请求源ip命中身份校验规则中的ip校验字段的准入ip则放行。服务器104采用时间校验器,依据时间校验规则中的放行时间段,对访问请求的响应时间进行校验,请求时间在放行时间段内,则立即放行。服务器104通过令牌校验器依据C端客户访问请求中的请求报文头信息中传递的令牌进行校验,再采用实名校验器依据C端客户访问请求中的请求报文头信息中传递的令牌查找到对应的客户实名状态信息,在确定已实名时放行,从而响应访问请求。
在鉴权校验通过后,服务器104根据渠道标识信息中的接口标识确定当前访问接口,并检测当前访问接口在单位时间内的访问量,根据流量速率阈值计算单位时间内的访问量阈值,并在单位时间内的访问量未超出访问量阈值的情况下,响应访问请求。最后,服务器104检测访问请求调用当前访问接口的总时长,在当前访问接口调用总时长超出调用时长阈值的情况下,释放当前的访问接口。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的多维度接口鉴权方法的多维度接口鉴权装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个多维度接口鉴权装置实施例中的具体限定可以参见上文中对于多维度接口鉴权方法的限定,在此不再赘述。
在一个示例性的实施例中,如图5所示,提供了一种多维度接口鉴权装置,装置应用于服务执行端的网关层,包括:请求获取模块502、类型判断模块504、规则调取模块506、鉴权配置模块508和鉴权处理模块510,其中:
请求获取模块502,用于获取来自服务请求端的访问请求,其中,访问请求携带请求报文,请求报文中包括渠道类型信息和渠道标识信息;
类型判断模块504,用于根据渠道类型信息判断服务请求端的类型;
规则调取模块506,用于根据服务请求端的类型调取鉴权配置规则集;
鉴权配置模块508,用于根据渠道标识信息在鉴权配置规则集中选取与请求报文相匹配的鉴权配置规则;
鉴权处理模块510,用于根据渠道标识信息和鉴权配置规则对访问请求进行鉴权处理。
在其中一个实施例中,规则调取模块506包括:
第一调取子模块,用于在服务请求端为第一类型系统的情况下,调取第一类型的鉴权配置规则集,其中,第一类型的鉴权配置规则集中包括身份校验规则和时间校验规则;
第二调取子模块,用于在服务请求端为第二类型系统的情况下,调取第二类型的鉴权配置规则集,其中,第二类型的鉴权配置规则集中包括身份校验规则、时间校验规则、令牌校验规则和实名校验规则
鉴权处理模块510包括:
鉴权校验子模块,用于根据身份校验规则、时间校验规则、令牌校验规则和实名校验规则中的一个或多个鉴权配置规则,对访问请求进行鉴权校验。
在其中一个实施例中,鉴权配置规则集还包括限流规则,渠道标识信息中包括接口标识;鉴权处理模块510还包括:
接口获取子模块,用于在鉴权校验通过的情况下,根据接口标识确定当前访问接口;
访问量检测子模块,用于检测当前访问接口在单位时间内的访问量;
阈值获取子模块,用于根据限流规则确定当前访问接口的流量速率阈值;
访问量控制子模块,用于根据流量速率阈值和单位时间内的访问量对访问请求进行鉴权处理。
在其中一个实施例中,访问量控制子模块包括:
速率计算单元,用于根据流量速率阈值计算单位时间内的访问量阈值;
第一访问控制单元,用于在单位时间内的访问量未超出访问量阈值的情况下,响应访问请求。
在其中一个实施例中,鉴权配置规则集还包括熔断规则;访问量控制子模块还包括:
时长检测单元,用于检测访问请求调用当前访问接口的总时长;
时长阈值确定单元,用于根据熔断规则确定当前访问接口的调用时长阈值;
第二访问控制单元,用于在总时长超出调用时长阈值的情况下,控制访问请求停止调用当前访问接口。
在其中一个实施例中,服务请求端类型包括业务端类型和消费端类型。
上述多维度接口鉴权装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个示例性的实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)和通信接口。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储鉴权配置规则集,以及鉴权配置规则与渠道标识信息之间的映射关系等数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种多维度接口鉴权方法。
在一个示例性的实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图7所示。该计算机设备包括处理器、存储器、输入/输出接口、通信接口、显示单元和输入装置。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口、显示单元和输入装置通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种多维度接口鉴权方法。该计算机设备的显示单元用于形成视觉可见的画面,可以是显示屏、投影装置或虚拟现实成像装置。显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个示例性的实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:获取来自服务请求端的访问请求,其中,访问请求携带请求报文,请求报文中包括渠道类型信息和渠道标识信息;根据渠道类型信息判断服务请求端的类型;根据服务请求端的类型调取鉴权配置规则集;根据渠道标识信息,在鉴权配置规则集中选取与请求报文相匹配的鉴权配置规则;根据渠道标识信息和鉴权配置规则对访问请求进行鉴权处理。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:在服务请求端为第一类型系统的情况下,调取第一类型的鉴权配置规则集,其中,第一类型的鉴权配置规则集中包括身份校验规则和时间校验规则;在服务请求端为第二类型系统的情况下,调取第二类型的鉴权配置规则集,其中,第二类型的鉴权配置规则集中包括身份校验规则、时间校验规则、令牌校验规则和实名校验规则;并且根据身份校验规则、时间校验规则、令牌校验规则和实名校验规则中的一个或多个鉴权配置规则,对访问请求进行鉴权校验。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:在鉴权校验通过的情况下,根据接口标识确定当前访问接口;检测当前访问接口在单位时间内的访问量;根据限流规则确定当前访问接口的流量速率阈值;根据流量速率阈值和单位时间内的访问量对访问请求进行鉴权处理。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:根据流量速率阈值计算单位时间内的访问量阈值;在单位时间内的访问量未超出访问量阈值的情况下,响应访问请求。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:检测访问请求调用当前访问接口的总时长;根据熔断规则确定当前访问接口的调用时长阈值;在总时长超出调用时长阈值的情况下,控制访问请求停止调用当前访问接口。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要符合相关规定。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种多维度接口鉴权方法,其特征在于,所述方法应用于服务执行端的网关层,所述方法包括:
获取来自服务请求端的访问请求,其中,所述访问请求携带请求报文,所述请求报文中包括渠道类型信息和渠道标识信息;
根据所述渠道类型信息判断所述服务请求端的类型;
根据所述服务请求端的类型调取鉴权配置规则集;
根据所述渠道标识信息,在所述鉴权配置规则集中选取与所述请求报文相匹配的鉴权配置规则;
根据所述渠道标识信息和所述鉴权配置规则对所述访问请求进行鉴权处理。
2.根据权利要求1所述的方法,其特征在于,所述根据所述服务请求端的类型调取鉴权配置规则集包括:
在所述服务请求端为第一类型系统的情况下,调取第一类型的鉴权配置规则集,其中,第一类型的所述鉴权配置规则集中包括身份校验规则和时间校验规则;
在所述服务请求端为第二类型系统的情况下,调取第二类型的鉴权配置规则集,其中,第二类型的所述鉴权配置规则集中包括身份校验规则、时间校验规则、令牌校验规则和实名校验规则;
所述根据所述渠道标识信息和所述鉴权配置规则对所述访问请求进行鉴权处理包括:
根据所述身份校验规则、时间校验规则、令牌校验规则和实名校验规则中的一个或多个所述鉴权配置规则,对所述访问请求进行鉴权校验。
3.根据权利要求2所述的方法,其特征在于,所述鉴权配置规则集还包括限流规则,所述渠道标识信息中包括接口标识;所述根据所述渠道标识信息和所述鉴权配置规则对所述访问请求进行鉴权处理,还包括:
在所述鉴权校验通过的情况下,根据所述接口标识确定当前访问接口;
检测所述当前访问接口在单位时间内的访问量;
根据所述限流规则确定所述当前访问接口的流量速率阈值;
根据所述流量速率阈值和单位时间内的所述访问量对所述访问请求进行鉴权处理。
4.根据权利要求3所述的方法,其特征在于,所述根据所述流量速率阈值和单位时间内的所述访问量对所述访问请求进行鉴权处理包括:
根据所述流量速率阈值计算单位时间内的访问量阈值;
在单位时间内的所述访问量未超出所述访问量阈值的情况下,响应所述访问请求。
5.根据权利要求4所述的方法,其特征在于,所述鉴权配置规则集还包括熔断规则;所述在单位时间内的所述访问量未超出所述访问量阈值的情况下,响应所述访问请求之后,还包括:
检测所述访问请求调用所述当前访问接口的总时长;
根据所述熔断规则确定所述当前访问接口的调用时长阈值;
在所述总时长超出所述调用时长阈值的情况下,控制所述访问请求停止调用所述当前访问接口。
6.根据权利要求1至5中任意一项所述的方法,其特征在于,所述服务请求端类型包括业务端类型和消费端类型。
7.一种多维度接口鉴权装置,其特征在于,所述装置应用于服务执行端的网关层,所述装置包括:
请求获取模块,用于获取来自服务请求端的访问请求,其中,所述访问请求携带请求报文,所述请求报文中包括渠道类型信息和渠道标识信息;
类型判断模块,用于根据所述渠道类型信息判断所述服务请求端的类型;
规则调取模块,用于根据所述服务请求端的类型调取鉴权配置规则集;
鉴权配置模块,用于根据所述渠道标识信息在所述鉴权配置规则集中选取与所述请求报文相匹配的鉴权配置规则;
鉴权处理模块,用于根据所述渠道标识信息和所述鉴权配置规则对所述访问请求进行鉴权处理。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311272542.XA CN117201163A (zh) | 2023-09-28 | 2023-09-28 | 多维度接口鉴权方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311272542.XA CN117201163A (zh) | 2023-09-28 | 2023-09-28 | 多维度接口鉴权方法、装置、计算机设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117201163A true CN117201163A (zh) | 2023-12-08 |
Family
ID=88992391
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311272542.XA Pending CN117201163A (zh) | 2023-09-28 | 2023-09-28 | 多维度接口鉴权方法、装置、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117201163A (zh) |
-
2023
- 2023-09-28 CN CN202311272542.XA patent/CN117201163A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11138300B2 (en) | Multi-factor profile and security fingerprint analysis | |
EP2748781B1 (en) | Multi-factor identity fingerprinting with user behavior | |
US11190527B2 (en) | Identity verification and login methods, apparatuses, and computer devices | |
CN107038579B (zh) | 一种电子支付业务处理、电子支付方法及装置 | |
AU2008323784B2 (en) | Network rating | |
US9264449B1 (en) | Automatic privilege determination | |
US11924247B1 (en) | Access control policy simulation and testing | |
US20170230366A1 (en) | Method and device for verifying a trusted terminal | |
CN107979525A (zh) | 一种红包发放方法、设备以及介质 | |
CN105100029B (zh) | 对用户进行身份验证的方法和装置 | |
US20100223668A1 (en) | Apparatus and method for managing terminal users | |
CN112714093A (zh) | 一种账号异常检测方法、装置、系统及存储介质 | |
US11824850B2 (en) | Systems and methods for securing login access | |
CN110032846B (zh) | 身份数据的防误用方法及装置、电子设备 | |
WO2014043360A1 (en) | Multi-factor profile and security fingerprint analysis | |
CN114240060A (zh) | 风险控制方法、风险处理系统、装置、服务器及存储介质 | |
CN112837147A (zh) | 业务申请办理实现方法、装置及计算机设备 | |
CN116957548A (zh) | 一种云端支付安全管理平台及支付方法 | |
CN117201163A (zh) | 多维度接口鉴权方法、装置、计算机设备和存储介质 | |
CN114048453A (zh) | 用户特征的生成方法、装置、计算机设备和存储介质 | |
US20240129309A1 (en) | Distributed device trust determination | |
CN116796299A (zh) | 基于登录认证的涉诈应用检测方法、系统和存储介质 | |
CN113742664B (zh) | 监控、审计方法、设备及系统 | |
US20240080210A1 (en) | Systems and methods for a digital register of models monitoring changes in accuracy of artificial intelligence models | |
CN117436888A (zh) | 支付服务处理方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |