CN107528853A - 微服务权限控制的实现方法 - Google Patents

微服务权限控制的实现方法 Download PDF

Info

Publication number
CN107528853A
CN107528853A CN201710815405.4A CN201710815405A CN107528853A CN 107528853 A CN107528853 A CN 107528853A CN 201710815405 A CN201710815405 A CN 201710815405A CN 107528853 A CN107528853 A CN 107528853A
Authority
CN
China
Prior art keywords
micro services
business
server
authority
jwt
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710815405.4A
Other languages
English (en)
Inventor
吴定
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Financial Software Ltd By Share Ltd
Original Assignee
Shanghai Financial Software Ltd By Share Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Financial Software Ltd By Share Ltd filed Critical Shanghai Financial Software Ltd By Share Ltd
Priority to CN201710815405.4A priority Critical patent/CN107528853A/zh
Publication of CN107528853A publication Critical patent/CN107528853A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种微服务权限控制的实现方法,包括:客户端登录服务器;判断所述客户端是否能进行业务操作;若所述客户端能够进行所述业务操作,则判断所述业务操作为了得到操作结果需调用的微服务模组;根据所述操作结果进行处理以获得最终的处理结果,并将所述处理结果返回给所述客户端,本发明基于JWT技术对处于企业内网环境中的微服务提供访问控制,保证微服务间的认证性能最优,在互联网和企业内网间使用微服务API网关技术,以搭建Oauth2和JWT技术之间的桥梁,即可通过授权微服务获取用户所具有的权限控制授权集,并进行初步的权限控制,同时辅助其它安全技术,起到安全网关的作用。

Description

微服务权限控制的实现方法
技术领域
本发明属于网络安全领域,具体涉及的是一种微服务权限控制的实现方法。
背景技术
微服务是一种特定的软件应用程序设计方式——将大型软件拆分为多个可独立部署的服务,各项服务都拥有自己的进程并可利用轻量化机制(通常为HTTP或RCP API)实现通信,可组合使用形成套件的架构方案。
权限控制一般指根据系统设置的安全规则或者安全策略,对用户可以访问而且只能访问的被授权的资源进行控制,不多也不少。
随着金融电商互联网应用的业务的不断发展、技术的不断改进、应用的推广,这些应用的访问量成倍的增长,如何保证系统或关联系统的可用性,业界目前普遍采用微服务架构来应对,在微服务架构中,如何进行安全控制,特别是进行权限控制来避免由于业务功能复杂、调用关系复杂、交易量大、参与人数过多等导致遗漏权限控制、权限控制成为系统性能瓶颈点、权限控制设置及使用极其复杂的类似问题的发生,由于微服务天然的分布式、微服务间的相对独立性等众多特殊的特性,会与传统应用的权限控制有很多不同的考虑点和设计方法,需要特别针对微服务架构进行设计。
发明内容
本发明的目的在于克服现有技术存在的以上问题,提供一种微服务权限控制的实现方法。
为实现上述技术目的,达到上述技术效果,本发明通过以下技术方案实现:
一种微服务权限控制的实现方法,包括:
客户端登录服务器;
判断所述客户端是否能进行业务操作;
若所述客户端能够进行所述业务操作,则判断所述业务操作为了得到操作结果需调用的微服务模组;
根据所述操作结果进行处理以获得最终的处理结果,并将所述处理结果返回给所述客户端。
较佳的,所述客户端登录,具体包括:
所述客户端将登录信息发送给所述服务器;
所述服务器将所述登录信息转发给授权微服务,该授权微服务收到所述登录信息后进行登录验证;
登录验证成功后,所述授权微服务向所述服务器反馈JWT信息;
所述服务器获取到所述JWT信息后产生随机不重复的令牌;
所述服务器将所述令牌返回给所述客户端,则登录成功。
较佳的,所述服务器为API网关。
较佳的,所述授权微服务向所述服务器反馈JWT信息,具体包括:
用JWT技术生成JWT信息;
将包括用户信息、有效期以及用户少量公用基础权限信息放置在所述JWT信息中;
向所述服务器返回所述JWT信息。
较佳的,所述服务器获取到所述JWT信息后产生随机不重复的令牌,具体包括:
所述服务器获取到所述JWT信息;
通过OAuth2技术产生随机不重复的令牌;
将所述令牌及对应的所述JWT信息存储到分布式缓存服务中。
较佳的,所述判断所述客户端是否能进行业务操作,具体包括:
所述客户端要进行登录后业务操作时,将携带了令牌的业务操作信息通过调用业务链接发送给所述服务器;
所述服务器使用所述令牌作为标示或者关键字或者索引键,从分布式缓存中试图读取对应的JWT信息;
所述服务器读取并验证所述JWT,通过后则表明允许进行登录后的业务操作。
较佳的,所述服务器读取并验证所述JWT,通过后则表明允许进行登录后的业务操作,具体包括:
所述服务器若成功读取到且对所述JWT信息成功通过有效期校验,则表明登录成功且未超期;
进行包括公用权限及安全校验、处理,全部通过后则表明允许进行登录后的业务操作。
较佳的,所述客户端能够进行所述业务操作,则判断所述业务操作为了得到操作结果需调用的微服务模组,具体包括:
所述服务器读取配置,如果发现所述业务操作需同时调用的微服务模组包括第一业务微服务和第二业务微服务进行并发操作才能得到操作结果,则先将JWT信息分别传入所述第一业务微服务和第二业务微服务;
等待所述第一业务微服务和第二业务微服务均返回结果;
对所述第一业务微服务进行权限控制操作;
对所述第二业务微服务进行同样的所述权限控制操作。
较佳的,所述权限控制操作具体包括:
对传入的所述JWT信息进行验证,验证所述JWT信息的合法性;
提取所述JWT信息中的用户身份信息;
辨别该用户是否允许操作。
较佳的,所述客户端能够进行所述业务操作,则判断所述业务操作为了得到操作结果需调用的微服务模组,还包括:
若所述第一业务微服务发现所述业务操作,还需继续调用第三业务微服务进行处理,则将所述JWT信息传递给所述第三业务微服务;
所述第三业务微服务使用和所述第一业务微服务进行同样的所述权限控制操作。
较佳的,所述根据所述操作结果进行处理以获得最终的处理结果,并将所述处理结果返回给所述客户端,具体包括:
所述服务器直到所述第一业务微服务和第二业务微服务的处理结果都已返回,则唤醒所述业务操作,获得最终的处理结果并返回给所述客户端。
较佳的,所述服务器直到所述第一业务微服务和第二业务微服务的处理结果都已返回,则唤醒所述业务操作,获得最终的处理结果并返回给所述客户端前包括:
所述第三业务微服务处理完成后,将处理结果返回给所述第一业务微服务;
所述第一业务微服务获得所述第三业务微服务的处理结果后,将所述处理结果返回给所述服务器;
所述第二业务微服务将处理结果返回给所述服务器。
本发明的有益效果是:
本发明通过微服务技术和互联网安全技术,并参考传统应用的权限控制模型,融合为微服务架构下的分布式权限控制体系,对有大并发、高实时性要求的金融电商互联网应用的不同的业务场景进行权限控制,实现了微服务架构中对内部服务的有效的权限控制,对外部客户也能提供有效的安全保障;即基于Oauth2技术对处于互联网环境中的客户端进行认证,可以在复杂且不可控的环境中提供安全认证基础;基于JWT技术对处于企业内网环境中的微服务提供访问控制,保证微服务间的认证性能最优,即可以在相对安全的内网环境中提供风险可控的性能更优的认证和授权信息传输方式。
在互联网和企业内网间使用微服务API网关技术,以搭建Oauth2和JWT技术之间的桥梁,即可通过授权微服务获取用户所具有的权限控制授权集,并进行初步的权限控制,同时辅助其它安全技术,起到安全网关的作用;在企业内网中部署授权微服务,将具体的基于RBAC模型的权限授权管理等功能封闭在该服务中,以达到即可独立演进、与时俱进,又可总体把控,避免出现缺失权限控制的真空地带的情况发生。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明微服务权限控制的实现方法的流程示意图;
图2为本发明微服务权限控制的实现方法的逻辑结构示意图。
具体实施方式
在以下的叙述中,为了使读者更好地理解本申请而提出了许多技术细节。但是,本领域的普通技术人员可以理解,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。
下面将参考附图并结合实施例,来详细说明本发明。
参照图1和图2所示,其分别为本发明微服务权限控制的实现方法的流程示意图和本发明微服务权限控制的实现方法的逻辑结构示意图,一种微服务权限控制的实现方法,包括:
S1:客户端登录服务器;
S2:判断所述客户端是否能进行业务操作;
S3:若所述客户端能够进行所述业务操作,则判断所述业务操作为了得到操作结果需调用的微服务模组;
S4:根据所述操作结果进行处理以获得最终的处理结果,并将所述处理结果返回给所述客户端。
于本实施例中,涉及以下名词的解释:
RBAC(Role-Based Access Control):RBAC即基于角色的权限访问控制,作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限,这就极大地简化了权限的管理。RBAC权限控制模型已成为很多更复杂的权限控制模型的基础模型。
OAuth2(Open Authorization 2.0):OAuth2是一个访问委托协议,需要获得权限的客户端,向授权服务申请一个访问令牌,令牌不含有任何用户/客户端的身份信息,仅是一个给系统使用的用户引用,客户端登录授权层时,由系统依据令牌的权限范围和有效期,向客户端开放所需服务和资源。
JWT(Json Web Token):JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519);JWT被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景;JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,JWT也可直接被用于认证,也可被加密。
于本实施例中,所述S1具体包括:
所述客户端将登录信息发送给所述服务器,其中,所述服务器为API网关;
所述服务器将所述登录信息转发给授权微服务,该授权微服务收到所述登录信息后进行登录验证;
登录验证成功后,用JWT技术生成JWT信息;
将包括用户信息、有效期以及用户少量公用基础权限信息放置在所述JWT信息中;
向所述服务器返回所述JWT信息;
所述服务器获取到所述JWT信息;
通过OAuth2技术产生随机不重复的令牌;
将所述令牌及对应的所述JWT信息存储到分布式缓存服务中;
所述服务器将所述令牌返回给所述客户端,则登录成功。
较佳的,所述S2具体包括:
所述客户端要进行登录后业务操作时,将携带了令牌的业务操作信息通过调用业务链接发送给所述服务器;
所述服务器使用所述令牌作为KEY(标示或者关键字或者索引键),从分布式缓存中试图读取对应的JWT信息;
所述服务器若成功读取到且对所述JWT信息成功通过有效期校验,则表明登录成功且未超期;
进行包括公用权限及安全校验、处理,全部通过后则表明允许进行登录后的业务操作。
于本实施例中,所述S3具体包括:
所述服务器读取配置,如果发现所述业务操作需同时调用的微服务模组包括第一业务微服务和第二业务微服务进行并发操作才能得到操作结果,则先将JWT信息分别传入所述第一业务微服务和第二业务微服务;
等待所述第一业务微服务和第二业务微服务均返回结果;
对传入的所述JWT信息进行验证,验证所述JWT信息的合法性;
提取所述JWT信息中的用户身份信息;
从第一业务微服务自身缓存好的本业务对应权限集合中,其中,该集合是从授权微服务获取的,并可自动更新为最新设置,使用框架提供的统一的权限判断工具及方法,辨别该用户是否允许操作;
对传入的所述JWT信息进行验证,验证所述JWT信息的合法性;
提取所述JWT信息中的用户身份信息;
从第二业务微服务自身缓存好的本业务对应权限集合中,其中,该集合是从授权微服务获取的,并可自动更新为最新设置,使用框架提供的统一的权限判断工具及方法,辨别该用户是否允许操作。
于本实施例中,所述S3还包括:
若所述第一业务微服务发现所述业务操作,还需继续调用第三业务微服务进行处理,则将所述JWT信息传递给所述第三业务微服务;
对传入的所述JWT信息进行验证,验证所述JWT信息的合法性;
提取所述JWT信息中的用户身份信息;
从第三业务微服务自身缓存好的本业务对应权限集合中,其中,该集合是从授权微服务获取的,并可自动更新为最新设置,使用框架提供的统一的权限判断工具及方法,辨别该用户是否允许操作。
于本实施例中,所述S4具体包括:
所述第三业务微服务处理完成后,将处理结果返回给所述第一业务微服务;
所述第一业务微服务获得所述第三业务微服务的处理结果后,将所述处理结果返回给所述服务器;
所述第二业务微服务将处理结果返回给所述服务器;
所述服务器直到所述第一业务微服务和第二业务微服务的处理结果都已返回,则唤醒所述业务操作,获得最终的处理结果并返回给所述客户端。
于本实施例中,请参阅图2,具体实施方法为:
1.浏览器、移动APP等客户端将登录信息发送给API网关,进行登录操作;
2.API网关接收请求指令,将登录信息转发给授权微服务,授权微服务收到登录信息后,对其进行登录验证;
3.登录验证成功后,授权微服务用JWT技术生成JWT(凭证)信息,将用户信息、有效期、用户少量公用基础权限等信息放置在JWT信息中,而后向API网关返回JWT信息;
4.API网关获取到JWT信息后,使用OAuth2技术,产生随机不重复的token,并将token及对应的JWT信息存储到分布式缓存服务中;
5.API网关将token返回给客户端,表明登录成功;
6.客户端要进行登录后业务操作时,将携带了token的业务操作信息,通过调用业务链接发送给API网关;
7.API网关使用token作为key(标示或者关键字或者索引键),从分布式缓存中试图读取对应的JWT信息;
8.API网关若成功读取到且对JWT信息成功通过有效期校验,表明登录成功且未超期,再进行一些公用权限及安全校验、处理,都通过后则表明允许进行登录后的业务操作;
9.API网关读取配置,假设发现该业务操作需同时调用两个业务微服务,分别为业务微服务A和业务微服务C进行并发操作才能得到操作结果,则先将JWT信息分别传入业务微服务A和业务微服务C,而后就挂起本次操作以等待两个微服务均返回结果后再继续处理;对于业务微服务A,对传入的JWT信息进行验证,验证JWT的合法性后,再提取JWT信息中的用户身份信息,再从业务微服务A自身缓存好的本业务对应权限集合中,该集合是从授权微服务获取的,并可自动更新为最新设置,使用框架提供的统一的权限判断工具及方法,辨别该用户是否允许操作,对于业务微服务C,同业务微服务A一样,并发的进行类似的权限控制操作;
10.若业务微服务A发现该业务操作,还需继续调用业务微服务B进行处理后,才能形成操作结果,则继续将JWT信息传递给业务微服务B,业务微服务B使用和步骤9中的业务微服务A类似步骤进行权限控制操作;
11.业务微服务B处理完成后,将处理结果返回给业务微服务A;
12.业务微服务A获得业务微服务B的处理结果,再经过自己的后续处理,将处理结果返回给API网关;同样,业务微服务C也同业务微服务A类似,将处理结果返回给API网关;
13.API直到业务微服务A和业务微服务C的处理结果都已返回的时候,唤醒该业务操作,继续进行处理,获得最终的处理结果并返回给客户端。
后续客户端若要进行业务操作,将从步骤6开始再次进行相应的操作;若token或JWT信息被验证非法或超期等,API网关将反馈需客户端重新登录;若对JWT信息中含有的用户信息,进行业务对应的权限校验不通过,API网关将反馈给客户端无权操作等信息,避免用户越权操作。
使用OAuth2技术,确保了在不安全的互联网上只传输具有严格有效期限制的,无任何业务或用户信息的随机token信息,能避免敏感信息的泄漏,为避免黑客截获token信息,建议使用https协议进行相关的操作;在相对安全的内网中,将token信息转换为JWT信息进行传输,因JWT信息中可以含有用户和其它相对敏感的信息,因此可以给微服务间调用带来便利和性能提升,但为了防止黑客等从内网发起攻击,JWT信息也是经过了安全签名等技术的保护的,因此具有相对较高的安全性。
使用含有用户身份信息的JWT信息,各微服务就可对该用户是否允许进行本微服务涵盖业务进行操作进行权限控制了,使用框架集成的统一的权限控制方法,使业务微服务即可进行权限控制,但又不需要关心具体是如何进行的权限控制,方便业务微服务的实现;由于集成的权限控制方法和业务微服务是处于同一个应用中的,同时也可提供高性能的操作,避免将权限控制操作统一放置在远程授权微服务上,可规避频繁的远程操作的性能瓶颈问题。
本发明通过微服务技术和互联网安全技术,并参考传统应用的权限控制模型,融合为微服务架构下的分布式权限控制体系,对有大并发、高实时性要求的金融电商互联网应用的不同的业务场景进行权限控制,实现了微服务架构中对内部服务的有效的权限控制,对外部客户也能提供有效的安全保障;即基于Oauth2技术对处于互联网环境中的客户端进行认证,可以在复杂且不可控的环境中提供安全认证基础;基于JWT技术对处于企业内网环境中的微服务提供访问控制,保证微服务间的认证性能最优,即可以在相对安全的内网环境中提供风险可控的性能更优的认证和授权信息传输方式。
在互联网和企业内网间使用微服务API网关技术,以搭建Oauth2和JWT技术之间的桥梁,即可通过授权微服务获取用户所具有的权限控制授权集,并进行初步的权限控制,同时辅助其它安全技术,起到安全网关的作用;在企业内网中部署授权微服务,将具体的基于RBAC模型的权限授权管理等功能封闭在该服务中,以达到即可独立演进、与时俱进,又可总体把控,避免出现缺失权限控制的真空地带的情况发生。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
需要说明的是,本发明中提出的各种新的改进,既可以独立实现,也可以进行相互结合实现,还可以结合为一种新的飞行器结构,各个技术特征之间也可以彼此组合使用,在此不做赘述。
需要说明的是,在本发明提及的所有文献都在本申请中引用作为参考,就如同每一篇文献被单独引用作为参考那样。此外应理解,在阅读了本发明的上述讲授内容之后,本领域技术人员可以对本发明作各种改动或修改,这些等价形式同样落于本申请所附权利要求书所限定的范围。
并且,在本专利的权利要求书和说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本专利的权利要求书和说明书中,如果提到根据某要素执行某行为,则是指至少根据该要素执行该行为的意思,其中包括了两种情况:仅根据该要素执行该行为、和根据该要素和其它要素执行该行为。
虽然通过参照本发明的某些优选实施例,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。

Claims (12)

1.一种微服务权限控制的实现方法,其特征在于,包括:
客户端登录服务器;
判断所述客户端是否能进行业务操作;
若所述客户端能够进行所述业务操作,则判断所述业务操作为了得到操作结果需调用的微服务模组;
根据所述操作结果进行处理以获得最终的处理结果,并将所述处理结果返回给所述客户端。
2.根据权利要求1所述的微服务权限控制的实现方法,其特征在于,所述客户端登录,具体包括:
所述客户端将登录信息发送给所述服务器;
所述服务器将所述登录信息转发给授权微服务,该授权微服务收到所述登录信息后进行登录验证;
登录验证成功后,所述授权微服务向所述服务器反馈JWT信息;
所述服务器获取到所述JWT信息后产生随机不重复的令牌;
所述服务器将所述令牌返回给所述客户端,则登录成功。
3.根据权利要求1或2所述的微服务权限控制的实现方法,其特征在于,所述服务器为API网关。
4.根据权利要求2所述的微服务权限控制的实现方法,其特征在于,所述授权微服务向所述服务器反馈JWT信息,具体包括:
用JWT技术生成JWT信息;
将包括用户信息、有效期以及用户少量公用基础权限信息放置在所述JWT信息中;
向所述服务器返回所述JWT信息。
5.根据权利要求2所述的微服务权限控制的实现方法,其特征在于,所述服务器获取到所述JWT信息后产生随机不重复的令牌,具体包括:
所述服务器获取到所述JWT信息;
通过OAuth2技术产生随机不重复的令牌;
将所述令牌及对应的所述JWT信息存储到分布式缓存服务中。
6.根据权利要求1所述的微服务权限控制的实现方法,其特征在于,所述判断所述客户端是否能进行业务操作,具体包括:
所述客户端要进行登录后业务操作时,将携带了令牌的业务操作信息通过调用业务链接发送给所述服务器;
所述服务器使用所述令牌作为标示或者关键字或者索引键,从分布式缓存中试图读取对应的JWT信息;
所述服务器读取并验证所述JWT,通过后则表明允许进行登录后的业务操作。
7.根据权利要求6所述的微服务权限控制的实现方法,其特征在于,所述服务器读取并验证所述JWT,通过后则表明允许进行登录后的业务操作,具体包括:
所述服务器若成功读取到且对所述JWT信息成功通过有效期校验,则表明登录成功且未超期;
进行包括公用权限及安全校验、处理,全部通过后则表明允许进行登录后的业务操作。
8.根据权利要求1所述的微服务权限控制的实现方法,其特征在于,所述客户端能够进行所述业务操作,则判断所述业务操作为了得到操作结果需调用的微服务模组,具体包括:
所述服务器读取配置,如果发现所述业务操作需同时调用的微服务模组包括第一业务微服务和第二业务微服务进行并发操作才能得到操作结果,则先将JWT信息分别传入所述第一业务微服务和第二业务微服务;
等待所述第一业务微服务和第二业务微服务均返回结果;
对所述第一业务微服务进行权限控制操作;
对所述第二业务微服务进行同样的所述权限控制操作。
9.根据权利要求8所述的微服务权限控制的实现方法,其特征在于,所述权限控制操作具体包括:
对传入的所述JWT信息进行验证,验证所述JWT信息的合法性;
提取所述JWT信息中的用户身份信息;
辨别该用户是否允许操作。
10.根据权利要求8所述的微服务权限控制的实现方法,其特征在于,所述客户端能够进行所述业务操作,则判断所述业务操作为了得到操作结果需调用的微服务模组,还包括:
若所述第一业务微服务发现所述业务操作,还需继续调用第三业务微服务进行处理,则将所述JWT信息传递给所述第三业务微服务;
所述第三业务微服务使用和所述第一业务微服务进行同样的所述权限控制操作。
11.根据权利要求10所述的微服务权限控制的实现方法,其特征在于,所述根据所述操作结果进行处理以获得最终的处理结果,并将所述处理结果返回给所述客户端,具体包括:
所述服务器直到所述第一业务微服务和第二业务微服务的处理结果都已返回,则唤醒所述业务操作,获得最终的处理结果并返回给所述客户端。
12.根据权利要求11所述的微服务权限控制的实现方法,其特征在于,所述服务器直到所述第一业务微服务和第二业务微服务的处理结果都已返回,则唤醒所述业务操作,获得最终的处理结果并返回给所述客户端前包括:
所述第三业务微服务处理完成后,将处理结果返回给所述第一业务微服务;
所述第一业务微服务获得所述第三业务微服务的处理结果后,将所述处理结果返回给所述服务器;
所述第二业务微服务将处理结果返回给所述服务器。
CN201710815405.4A 2017-09-12 2017-09-12 微服务权限控制的实现方法 Pending CN107528853A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710815405.4A CN107528853A (zh) 2017-09-12 2017-09-12 微服务权限控制的实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710815405.4A CN107528853A (zh) 2017-09-12 2017-09-12 微服务权限控制的实现方法

Publications (1)

Publication Number Publication Date
CN107528853A true CN107528853A (zh) 2017-12-29

Family

ID=60735766

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710815405.4A Pending CN107528853A (zh) 2017-09-12 2017-09-12 微服务权限控制的实现方法

Country Status (1)

Country Link
CN (1) CN107528853A (zh)

Cited By (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108234653A (zh) * 2018-01-03 2018-06-29 马上消费金融股份有限公司 一种处理业务请求的方法及装置
CN108429812A (zh) * 2018-03-21 2018-08-21 上海艾融软件股份有限公司 一种传统金融系统微服务实施的ip固化方法
CN108512784A (zh) * 2018-06-21 2018-09-07 珠海宏桥高科技有限公司 基于网关路由转发的鉴权认证方法
CN108809956A (zh) * 2018-05-23 2018-11-13 广州虎牙信息科技有限公司 基于微服务的鉴权方法、访问请求转发方法和装置、系统
CN109039880A (zh) * 2018-09-05 2018-12-18 四川长虹电器股份有限公司 一种利用api网关实现简单认证授权的方法
CN109033805A (zh) * 2018-09-30 2018-12-18 山东电工电气集团新能科技有限公司 带微服务授权认证功能的智能配电终端及授权认证方法
CN109146416A (zh) * 2018-08-16 2019-01-04 安徽云才信息技术有限公司 一种信息化办公系统的权限判断方法
CN109271291A (zh) * 2018-09-04 2019-01-25 山东浪潮通软信息科技有限公司 一种服务监控及管理的方法
CN109309666A (zh) * 2018-08-22 2019-02-05 中国平安财产保险股份有限公司 一种网络安全中的接口安全控制方法及终端设备
CN109327477A (zh) * 2018-12-06 2019-02-12 泰康保险集团股份有限公司 认证鉴权方法、装置及存储介质
CN109347888A (zh) * 2018-12-21 2019-02-15 北京博明信德科技有限公司 基于RESTful的鉴权方法、网关及鉴权设备
CN109359449A (zh) * 2018-10-17 2019-02-19 郑州云海信息技术有限公司 一种基于微服务的鉴权方法、装置、服务器及存储介质
CN109413093A (zh) * 2018-11-23 2019-03-01 北京金山云网络技术有限公司 一种操作处理方法、装置、电子设备、存储介质及系统
CN109561095A (zh) * 2018-06-20 2019-04-02 安徽省泰岳祥升软件有限公司 微服务授权管理方法及装置
CN109802835A (zh) * 2019-01-25 2019-05-24 北京中电普华信息技术有限公司 一种安全认证方法、系统及api网关
CN109802935A (zh) * 2018-11-22 2019-05-24 成都飞机工业(集团)有限责任公司 一种混合模式的企业内网单点登录方法
CN109815683A (zh) * 2018-12-29 2019-05-28 深圳云天励飞技术有限公司 权限验证方法及相关装置
CN109902150A (zh) * 2019-02-25 2019-06-18 南京庚商网络信息技术有限公司 非结构化数字资源全文检索方法及系统
CN109948356A (zh) * 2019-03-25 2019-06-28 江苏电力信息技术有限公司 一种基于微服务架构下服务调用权限控制方法
CN109981561A (zh) * 2019-01-17 2019-07-05 华南理工大学 单体架构系统迁移到微服务架构的用户认证方法
CN110022279A (zh) * 2018-01-08 2019-07-16 普天信息技术有限公司 一种微服务系统中认证鉴权的方法和系统
CN110099031A (zh) * 2018-01-30 2019-08-06 普天信息技术有限公司 一种服务调用方法、装置及微服务平台
CN110365700A (zh) * 2019-07-30 2019-10-22 上海派拉软件股份有限公司 一种基于服务的访问控制方法
CN110445636A (zh) * 2019-07-03 2019-11-12 平安科技(深圳)有限公司 基于管理平台的微服务预警方法、装置和计算机设备
CN110597491A (zh) * 2019-07-22 2019-12-20 石化盈科信息技术有限责任公司 一种快速组建不同业务系统的方法
CN110912901A (zh) * 2019-11-27 2020-03-24 中国银行股份有限公司 应用登录验证方法、装置及系统
CN110912930A (zh) * 2019-12-13 2020-03-24 杭州城市大数据运营有限公司 一种数据接口管理方法
CN110943995A (zh) * 2019-12-03 2020-03-31 浪潮软件股份有限公司 一种微服务架构中会话转发的实现方法
CN111093197A (zh) * 2019-12-31 2020-05-01 北大方正集团有限公司 权限认证方法、权限认证系统和计算机可读存储介质
CN111147525A (zh) * 2020-02-27 2020-05-12 深圳市伊欧乐科技有限公司 基于api网关的认证方法、系统、服务器和存储介质
CN111355713A (zh) * 2020-02-20 2020-06-30 深信服科技股份有限公司 一种代理访问方法、装置、代理网关及可读存储介质
CN111431838A (zh) * 2019-01-09 2020-07-17 北京神州泰岳软件股份有限公司 一种集群中单点登录和注销的方法、装置及api网关
CN111526143A (zh) * 2020-04-21 2020-08-11 北京思特奇信息技术股份有限公司 一种crm系统防越权的实现方法及其装置和存储介质
CN111539622A (zh) * 2020-04-22 2020-08-14 国网信通亿力科技有限责任公司 基于云平台、微服务架构的集体企业项目管理平台
CN111556023A (zh) * 2020-03-31 2020-08-18 紫光云技术有限公司 一种基于权限的内容可配置方法
CN111698196A (zh) * 2019-03-15 2020-09-22 大唐移动通信设备有限公司 一种鉴权方法及微服务系统
CN112039909A (zh) * 2020-09-03 2020-12-04 平安科技(深圳)有限公司 基于统一网关的认证鉴权方法、装置、设备及存储介质
CN112153012A (zh) * 2020-09-01 2020-12-29 珠海市卓轩科技有限公司 多端触点接入方法、装置及存储介质
CN112333272A (zh) * 2020-11-06 2021-02-05 杭州安恒信息技术股份有限公司 一种微服务数据访问方法、装置、设备及可读存储介质
CN112532413A (zh) * 2019-09-18 2021-03-19 亦非云互联网技术(上海)有限公司 基于微服务架构的业务支撑Saas系统、方法、介质及设备
CN112866217A (zh) * 2021-01-05 2021-05-28 交通银行股份有限公司 一种基于令牌认证的微应用访问权限控制方法、装置
CN113111390A (zh) * 2021-03-25 2021-07-13 南京飞灵智能科技有限公司 基于微服务架构的鉴权方法及装置
CN113472716A (zh) * 2020-03-30 2021-10-01 中移互联网有限公司 系统访问方法、网关设备、服务器、电子设备及存储介质
CN113940045A (zh) * 2019-05-17 2022-01-14 思杰系统有限公司 将策略应用于服务图的api
CN113938411A (zh) * 2021-10-13 2022-01-14 上海中通吉网络技术有限公司 基于Java的API网关登录鉴权的测试方法
CN114826749A (zh) * 2022-04-30 2022-07-29 济南浪潮数据技术有限公司 一种接口访问控制方法、装置、介质
CN114900366A (zh) * 2022-05-23 2022-08-12 海南政法职业学院 一种云主机数据访问安全处理方法
CN115277234A (zh) * 2022-08-01 2022-11-01 重庆标能瑞源储能技术研究院有限公司 一种基于物联网平台微服务的安全认证方法及系统
CN115665448A (zh) * 2022-12-22 2023-01-31 广东省信息工程有限公司 一种基于微服务的权限控制方法、设备、存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103237235A (zh) * 2013-03-18 2013-08-07 中国科学院信息工程研究所 一种面向云电视终端身份认证实现方法及系统
CN106330971A (zh) * 2016-11-02 2017-01-11 山东中创软件工程股份有限公司 一种基于无状态服务的认证方法、服务器及系统
CN106790001A (zh) * 2016-12-12 2017-05-31 中电科华云信息技术有限公司 基于统一界面的多系统角色权限管理方法及系统
CN107203376A (zh) * 2017-04-11 2017-09-26 国网天津市电力公司信息通信公司 一种企业级信息化系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103237235A (zh) * 2013-03-18 2013-08-07 中国科学院信息工程研究所 一种面向云电视终端身份认证实现方法及系统
CN106330971A (zh) * 2016-11-02 2017-01-11 山东中创软件工程股份有限公司 一种基于无状态服务的认证方法、服务器及系统
CN106790001A (zh) * 2016-12-12 2017-05-31 中电科华云信息技术有限公司 基于统一界面的多系统角色权限管理方法及系统
CN107203376A (zh) * 2017-04-11 2017-09-26 国网天津市电力公司信息通信公司 一种企业级信息化系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
FREEWOLF: "使用 OAuth 2 和 JWT 为微服务提供安全保障", 《CSDN》 *
搜狐/科技: "微服务架构下的安全认证与鉴权", 《搜狐》 *
简书: "使用zuul及oauth2构建api网关实践之路", 《简书》 *

Cited By (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108234653A (zh) * 2018-01-03 2018-06-29 马上消费金融股份有限公司 一种处理业务请求的方法及装置
CN110022279A (zh) * 2018-01-08 2019-07-16 普天信息技术有限公司 一种微服务系统中认证鉴权的方法和系统
CN110099031A (zh) * 2018-01-30 2019-08-06 普天信息技术有限公司 一种服务调用方法、装置及微服务平台
CN108429812A (zh) * 2018-03-21 2018-08-21 上海艾融软件股份有限公司 一种传统金融系统微服务实施的ip固化方法
CN108809956A (zh) * 2018-05-23 2018-11-13 广州虎牙信息科技有限公司 基于微服务的鉴权方法、访问请求转发方法和装置、系统
CN109561095A (zh) * 2018-06-20 2019-04-02 安徽省泰岳祥升软件有限公司 微服务授权管理方法及装置
CN108512784A (zh) * 2018-06-21 2018-09-07 珠海宏桥高科技有限公司 基于网关路由转发的鉴权认证方法
CN109146416B (zh) * 2018-08-16 2022-04-22 安徽网才信息技术股份有限公司 一种信息化办公系统的权限判断方法
CN109146416A (zh) * 2018-08-16 2019-01-04 安徽云才信息技术有限公司 一种信息化办公系统的权限判断方法
CN109309666A (zh) * 2018-08-22 2019-02-05 中国平安财产保险股份有限公司 一种网络安全中的接口安全控制方法及终端设备
CN109271291A (zh) * 2018-09-04 2019-01-25 山东浪潮通软信息科技有限公司 一种服务监控及管理的方法
CN109039880A (zh) * 2018-09-05 2018-12-18 四川长虹电器股份有限公司 一种利用api网关实现简单认证授权的方法
CN109033805A (zh) * 2018-09-30 2018-12-18 山东电工电气集团新能科技有限公司 带微服务授权认证功能的智能配电终端及授权认证方法
CN109033805B (zh) * 2018-09-30 2023-05-19 山东电工电气集团新能科技有限公司 带微服务授权认证功能的智能配电终端及授权认证方法
CN109359449A (zh) * 2018-10-17 2019-02-19 郑州云海信息技术有限公司 一种基于微服务的鉴权方法、装置、服务器及存储介质
CN109802935A (zh) * 2018-11-22 2019-05-24 成都飞机工业(集团)有限责任公司 一种混合模式的企业内网单点登录方法
CN109802935B (zh) * 2018-11-22 2021-11-30 成都飞机工业(集团)有限责任公司 一种混合模式的企业内网单点登录方法
CN109413093A (zh) * 2018-11-23 2019-03-01 北京金山云网络技术有限公司 一种操作处理方法、装置、电子设备、存储介质及系统
CN109327477A (zh) * 2018-12-06 2019-02-12 泰康保险集团股份有限公司 认证鉴权方法、装置及存储介质
CN109347888A (zh) * 2018-12-21 2019-02-15 北京博明信德科技有限公司 基于RESTful的鉴权方法、网关及鉴权设备
CN109815683A (zh) * 2018-12-29 2019-05-28 深圳云天励飞技术有限公司 权限验证方法及相关装置
CN111431838A (zh) * 2019-01-09 2020-07-17 北京神州泰岳软件股份有限公司 一种集群中单点登录和注销的方法、装置及api网关
CN109981561A (zh) * 2019-01-17 2019-07-05 华南理工大学 单体架构系统迁移到微服务架构的用户认证方法
CN109981561B (zh) * 2019-01-17 2020-05-22 华南理工大学 单体架构系统迁移到微服务架构的用户认证方法
CN109802835A (zh) * 2019-01-25 2019-05-24 北京中电普华信息技术有限公司 一种安全认证方法、系统及api网关
CN109902150A (zh) * 2019-02-25 2019-06-18 南京庚商网络信息技术有限公司 非结构化数字资源全文检索方法及系统
CN111698196A (zh) * 2019-03-15 2020-09-22 大唐移动通信设备有限公司 一种鉴权方法及微服务系统
CN109948356A (zh) * 2019-03-25 2019-06-28 江苏电力信息技术有限公司 一种基于微服务架构下服务调用权限控制方法
CN113940045A (zh) * 2019-05-17 2022-01-14 思杰系统有限公司 将策略应用于服务图的api
CN110445636A (zh) * 2019-07-03 2019-11-12 平安科技(深圳)有限公司 基于管理平台的微服务预警方法、装置和计算机设备
CN110445636B (zh) * 2019-07-03 2022-03-18 平安科技(深圳)有限公司 基于管理平台的微服务预警方法、装置和计算机设备
CN110597491A (zh) * 2019-07-22 2019-12-20 石化盈科信息技术有限责任公司 一种快速组建不同业务系统的方法
CN110365700A (zh) * 2019-07-30 2019-10-22 上海派拉软件股份有限公司 一种基于服务的访问控制方法
CN112532413A (zh) * 2019-09-18 2021-03-19 亦非云互联网技术(上海)有限公司 基于微服务架构的业务支撑Saas系统、方法、介质及设备
CN110912901A (zh) * 2019-11-27 2020-03-24 中国银行股份有限公司 应用登录验证方法、装置及系统
CN110943995A (zh) * 2019-12-03 2020-03-31 浪潮软件股份有限公司 一种微服务架构中会话转发的实现方法
CN110912930A (zh) * 2019-12-13 2020-03-24 杭州城市大数据运营有限公司 一种数据接口管理方法
CN110912930B (zh) * 2019-12-13 2021-12-28 杭州城市大数据运营有限公司 一种数据接口管理方法
CN111093197A (zh) * 2019-12-31 2020-05-01 北大方正集团有限公司 权限认证方法、权限认证系统和计算机可读存储介质
CN111355713B (zh) * 2020-02-20 2022-09-30 深信服科技股份有限公司 一种代理访问方法、装置、代理网关及可读存储介质
CN111355713A (zh) * 2020-02-20 2020-06-30 深信服科技股份有限公司 一种代理访问方法、装置、代理网关及可读存储介质
CN111147525A (zh) * 2020-02-27 2020-05-12 深圳市伊欧乐科技有限公司 基于api网关的认证方法、系统、服务器和存储介质
CN113472716B (zh) * 2020-03-30 2023-09-19 中移互联网有限公司 系统访问方法、网关设备、服务器、电子设备及存储介质
CN113472716A (zh) * 2020-03-30 2021-10-01 中移互联网有限公司 系统访问方法、网关设备、服务器、电子设备及存储介质
CN111556023A (zh) * 2020-03-31 2020-08-18 紫光云技术有限公司 一种基于权限的内容可配置方法
CN111526143A (zh) * 2020-04-21 2020-08-11 北京思特奇信息技术股份有限公司 一种crm系统防越权的实现方法及其装置和存储介质
CN111539622A (zh) * 2020-04-22 2020-08-14 国网信通亿力科技有限责任公司 基于云平台、微服务架构的集体企业项目管理平台
CN112153012A (zh) * 2020-09-01 2020-12-29 珠海市卓轩科技有限公司 多端触点接入方法、装置及存储介质
CN112039909B (zh) * 2020-09-03 2022-07-12 平安科技(深圳)有限公司 基于统一网关的认证鉴权方法、装置、设备及存储介质
CN112039909A (zh) * 2020-09-03 2020-12-04 平安科技(深圳)有限公司 基于统一网关的认证鉴权方法、装置、设备及存储介质
CN112333272A (zh) * 2020-11-06 2021-02-05 杭州安恒信息技术股份有限公司 一种微服务数据访问方法、装置、设备及可读存储介质
CN112866217B (zh) * 2021-01-05 2022-12-09 交通银行股份有限公司 一种基于令牌认证的微应用访问权限控制方法、装置
CN112866217A (zh) * 2021-01-05 2021-05-28 交通银行股份有限公司 一种基于令牌认证的微应用访问权限控制方法、装置
CN113111390A (zh) * 2021-03-25 2021-07-13 南京飞灵智能科技有限公司 基于微服务架构的鉴权方法及装置
CN113938411A (zh) * 2021-10-13 2022-01-14 上海中通吉网络技术有限公司 基于Java的API网关登录鉴权的测试方法
CN113938411B (zh) * 2021-10-13 2024-08-09 上海中通吉网络技术有限公司 基于Java的API网关登录鉴权的测试方法
CN114826749A (zh) * 2022-04-30 2022-07-29 济南浪潮数据技术有限公司 一种接口访问控制方法、装置、介质
CN114900366A (zh) * 2022-05-23 2022-08-12 海南政法职业学院 一种云主机数据访问安全处理方法
CN115277234A (zh) * 2022-08-01 2022-11-01 重庆标能瑞源储能技术研究院有限公司 一种基于物联网平台微服务的安全认证方法及系统
CN115277234B (zh) * 2022-08-01 2024-01-09 重庆标能瑞源储能技术研究院有限公司 一种基于物联网平台微服务的安全认证方法及系统
CN115665448A (zh) * 2022-12-22 2023-01-31 广东省信息工程有限公司 一种基于微服务的权限控制方法、设备、存储介质

Similar Documents

Publication Publication Date Title
CN107528853A (zh) 微服务权限控制的实现方法
JP6207697B2 (ja) 安全移動体フレームワーク
CN106471783B (zh) 经由网关的企业系统认证和授权
US7644434B2 (en) Computer security system
KR101534890B1 (ko) 신뢰된 장치별 인증
US8156549B2 (en) Device independent authentication system and method
CN104767731B (zh) 一种Restful移动交易系统身份认证防护方法
Matetic et al. {DelegaTEE}: Brokered delegation using trusted execution environments
CN107172054A (zh) 一种基于cas的权限认证方法、装置及系统
CN110138568A (zh) 内网访问方法和系统
CN108011862A (zh) 镜像仓库授权、访问、管理方法及服务器和客户端
CN107733861A (zh) 一种基于企业级内外网环境的无密码登录实现方法
CN1480852A (zh) 提供身份相关的信息和防止中间人的攻击的方法和系统
CN102469075A (zh) 一种基于web单点登录的集成认证方法
CN107426174A (zh) 一种可信执行环境的访问控制系统及方法
CN109446833A (zh) 一种基于教育系统的权限校验方法及电子设备
CN108092988A (zh) 基于动态创建临时密码的无感知认证授权网络系统和方法
Faynberg et al. On dynamic access control in Web 2.0 and beyond: Trends and technologies
CN108200039A (zh) 基于动态创建临时账号密码的无感知认证授权系统和方法
CN105379176A (zh) 用于验证scep证书注册请求的系统和方法
EP4109306A1 (en) Secure way to authenticate from file protocol while handling third party cookies and browser inconsistencies
CN104506518A (zh) Mips平台网络系统访问控制的身份认证方法
CN113051611B (zh) 在线文件的权限控制方法和相关产品
CN103856942A (zh) 用于智能手机操作系统的单点登录方法和装置
Kuyoro et al. Security issues in web services

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20171229

WD01 Invention patent application deemed withdrawn after publication