CN108319827A - 一种基于osgi框架的api权限管理插件及方法 - Google Patents

Abstract

本发明公开了一种基于OSGI框架的API权限管理方法，涉及OSGI权限管理技术领域，包括消息处理模块，用于按约束格式解析和封装请求响应消息，并负责提出上述请求相应消息的服务访问插件和所述权限管理插件间的消息通信；权限过滤模块，所述权限过滤模块用于对请求消息进行身份验证和授权验证；服务管理模块，其用于向服务提供插件提供注册服务，以及向所述权限过滤模块提供服务访问能力；权限配置模块，其用于执行服务请求者的身份信息管理和服务访问权限分配管理。本发明基于OSGI框架的API权限管理方法能够实现OSGI框架API级的权限控制，使更精细的权限控制业务成为可能。

Description

一种基于OSGI框架的API权限管理插件及方法

技术领域

本发明涉及OSGI权限管理技术领域，具体涉及一种基于OSGI框架的API权限管理方法。

背景技术

OSGI(Open Service Gateway Initiative，开放服务网关协议)是基于JVM(JavaVirtual Machine，Java虚拟机)的动态模块化框架，通过OSGI框架可以实现应用插件的安装、更新、启动、停止、卸载。不同插件之间可以进行数据交流，能够对外提供服务并能够访问其他插件的服务，如何保障不同插件之前的数据和服务访问安全，进行权限管理的安全机制是至关重要的环节。当前OSGI框架主要提供了如下几种权限管理方法：

1)Bundle(插件/应用程序)级的权限控制：提供插件级的权限控制，能够控制其他插件(应用程序)能否访问该插件，这是粒度最大的权限控制；

2)Package(数据包)级的权限控制：提供Package级的权限控制，能够控制其他插件能否访问该插件下某个Package的访问权限，这是中等粒度的权限控制；

3)Service(服务接口)级的权限控制：提供Service级的权限控制，能够控制其他插件能否访问该插件下某个Service的访问权限，这是小型粒度的权限控制。

以上三种权限管理方法的不足在于：

第一，权限管理粒度较大，无法支持对API(Application ProgrammingInterface，应用程序编程接口)接口级的权限管理；

第二，通过插件管理配置文件进行权限配置，更新权限需要上传并更新插件，使用不方便灵活；

第三，无法对插件请求者的身份进行认证。

因此，以上OSGI框架原有权限控制功能技术均存在一定局限性，且使用不灵活，不能完全满足OSGI插件的安全管理需求，目前迫切需要提供一种能够支持更小粒度权限控制并能够进行灵活权限配置的实现方法。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种基于OSGI框架的API权限管理方法，解决现有OSGI规范提供的权限控制粒度较大，无法实现API级的权限灵活控制的问题。

为达到以上目的，本发明采取的技术方案是：

本发明提供一种基于OSGI框架的API权限管理插件，包括：

消息处理模块，用于按预设格式解析和封装服务请求者提出的请求响应消息，并将封装后的请求响应消息传递至权限过滤模块，以及执行所述服务请求者和所述权限管理插件间的消息通信；

权限过滤模块，用于从所述消息处理模块接收封装后的请求响应消息，并对接收的请求响应消息进行身份验证和授权验证；

服务管理模块，用于向服务提供插件提供注册服务，以及向所述权限过滤模块提供针对注册后服务提供插件的服务访问许可；

权限配置模块，用于执行服务请求者的身份信息管理，以及许可服务请求者访问服务接口和服务接口下的API接口的权限，以执行服务访问权限的分配管理。

在上述技术方案的基础上，所述权限配置模块通过许可服务请求者的身份标识、分配身份秘钥执行身份信息管理。

在上述技术方案的基础上，所述权限配置模块通过热加载的XML文件或者可视化配置操作界面，执行服务访问权限的分配管理，所述可视化配置操作界面通过ajax和js实现。

在上述技术方案的基础上，所述权限过滤模块包括身份认证模块和身份授权模块，所述身份认证模块用于根据所述权限配置模块提供的信息对请求者进行身份认证；所述身份授权模块用于根据所述权限配置模块提供的信息对请求者的服务授权信息进行验证。

本发明还提供一种使用如前所述的基于OSGI框架的API权限管理插件的API权限管理方法，包括以下步骤：使用所述API权限管理插件执行服务请求者的身份信息管理，以及许可服务请求者访问服务接口以及服务接口下的API接口的权限，以执行服务访问权限的分配管理。

在上述技术方案的基础上，还包括以下步骤：

S1：服务提供插件向权限管理插件注册服务，所述权限管理插件的服务管理模块记录被注册的服务信息；

S2：权限管理员通过前端页面控制权限配置模块对已注册的服务权限进行配置；

S3：服务访问所述权限管理插件，通过预设的消息通信方式将请求消息发给所述权限管理插件的消息处理模块；

S4：消息处理模块将请求消息发给权限过滤模块，所述权限过滤模块根据步骤S2的权限配置信息对该请求进行认证和授权校验；

S5：请求消息通过权限过滤模块校验后，所述权限过滤模块将请求消息转发给服务管理模块，所述服务管理模块调用相应服务提供插件处理请求消息并得到处理结果；

S6：权限管理插件通过消息处理模块将请求处理结果返回给服务访问插件。

在上述技术方案的基础上，步骤S4中，所述权限过滤模块根据步骤S2的权限配置信息对该请求进行认证和授权校验的步骤具体包括以下内容：

所述权限过滤模块内的身份认证模块校验服务访问插件是否为合法插件，如是则通过身份认证，如否则拒绝身份认证；

所述权限过滤模块内的授权校验模块校验服务访问插件是否具有其请求服务的服务访问权限，如是则转入步骤S5，如否则拒绝授权。

在上述技术方案的基础上，所述权限过滤模块内的身份认证模块校验服务访问插件是否为合法插件的步骤具体包括：

服务访问插件携带插件标识和通过加密秘钥加密的时间戳作为身份标识，所述权限过滤模块通过私钥解密秘钥，判断时间戳合法性。

在上述技术方案的基础上，所述步骤S2中权限管理员通过前端页面对注册的服务权限进行配置的范围包括数据包package级、服务接口service级和API接口级。

在上述技术方案的基础上，所述步骤S1具体包括：

权限管理插件通过OSGI开发框架的BundleContext中的注册服务命令，将所请求服务注册的服务接口暴露给插件上下文；

服务提供插件通过OSGI开发框架的BundleContext中的获取服务命令，获取所请求服务注册的服务接口，并通过所请求服务注册的服务接口将所请求服务委托给服务管理插件。

与现有技术相比，本发明的优点在于：

(1)本发明的基于OSGI框架的API权限管理插件包括用于执行服务请求者的身份信息管理，以及用于许可服务请求者访问服务接口以及服务接口下的API接口的权限的权限配置模块，以执行服务访问权限的分配管理，能够实现OSGI框架API级的权限控制，使更精细的权限控制业务成为可能。

(2)本发明的基于OSGI框架的API权限管理方法可实现权限管理员通过热加载XML配置文件或可视化前端界面进行集中式的权限配置，使得权限配置操作更加灵活便捷，且可即刻生效。

(3)本发明的基于OSGI框架的API权限管理方法通过提供权限管理插件以及服务提供插件，通过OSGI开发框架自身的BundleContext，能够实现对服务访问插件的身份进行管理和认证，实现了本发明权限管理插件与OSGI框架功能的良好兼容适配。

附图说明

图1为本发明实施例中基于OSGI框架的API权限管理插件的结构图；

图2为本发明实施例中基于OSGI框架的API权限管理方法的实施步骤图；

具体实施方式

以下结合附图及实施例对本发明作进一步详细说明。

本发明中涉及的相关词汇解释如下：

Bundle，插件/应用程序，本领域技术人员熟知，OSGI框架中的Bundle是一个包含了代码、资源和元数据，以Jar的形式存在的一种模块化单元，Jar文件的边界同时作为运行时逻辑模块性的封装边界。

Configuration Admin，为OSGI开发框架的内置服务模块名，允许检索和改变配置，是配置管理服务实现提供的接口。

BundleContext，OSGI开发框架的一个类，作用为维护插件的上下文。

XML，可扩展标记语言，为标准通用标记语言的子集，是一种用于标记电子文件使其具有结构性的标记语言，也作为相应的文件扩展名使用。

ajax，Asynchronous Javascript And XML，异步JavaScript和XML，是一种创建交互式网页应用的网页开发技术，可在无需重新加载整个网页的情况下，更新部分网页内容。

js，JavaScript，是一种属于网络的脚本语言，主要用来向HTML页面添加交互行为，为用户提供更流畅美观的浏览效果。

实施例1

参见图1所示，本发明实施例提供一种基于OSGI框架的API权限管理插件(SecurityManagerBundle)，包括：

消息处理模块，消息处理模块用于按预设格式解析和封装服务请求者提出的请求响应消息，并将封装后的请求响应消息传递至权限过滤模块，以及执行所述服务请求者和所述权限管理插件间的消息通信；消息通信可采取UDP/TCP通信协议或者基于OSGI的Configuration Admin服务进行。

权限过滤模块(SecurityFilter)，权限过滤模块用于从所述消息处理模块接收请求响应消息，并对接收的请求相应消息进行身份验证和授权验证；

服务管理模块(ServiceManager)，所述服务管理模块用于向服务提供插件提供注册服务，以及向所述权限过滤模块提供注册后服务提供插件的服务访问许可；

权限配置模块，所述权限配置模块用于执行服务请求者的身份信息管理，以及用于许可服务请求者访问服务接口以及服务接口下的API接口的权限，以执行服务访问权限的分配管理。

实施例2

本发明实施例提供一种基于OSGI框架的API权限管理插件，其主要模块结构与实施例1基本相同，在实施例1的基础上，其权限配置模块具体用于通过许可服务请求者的身份标识、分配身份秘钥执行身份信息管理，并用于通过热加载的XML文件或者可视化配置操作界面执行服务访问权限的分配管理，相关可视化配置操作界面具体通过ajax和js实现。

实施例3

本发明实施例提供一种基于OSGI框架的API权限管理插件，其主要模块结构与实施例1基本相同，在实施例1的基础上，其权限过滤模块具体包括身份认证模块(Authenticator)和身份授权模块(Authorizer)，身份认证模块用于根据权限配置模块提供的信息对请求者进行身份认证；身份授权模块用于根据权限配置模块提供的信息对请求者的服务授权信息进行验证。

实施例4

如图2所示，本实施例提供一种使用实施例1中的基于OSGI框架的API权限管理插件实施权限管理的方法，使用API权限管理插件执行服务请求者的身份信息管理，以及许可服务请求者访问服务接口以及服务接口下的API接口的权限，以执行服务访问权限的分配管理。具体包括以下步骤：

步骤1：服务提供插件向权限管理插件注册服务，所述权限管理插件的服务管理模块记录被注册的服务信息；

步骤2：权限管理员通过前端页面控制权限配置模块对已注册的服务权限进行配置，即通过权限配置模块配置该服务可被哪些范围的插件进行访问；此过程中，通过将服务可访问插件的范围配置为支持package级、service级和API接口级，实现OSGI框架API级的权限控制；

步骤3：服务访问所述权限管理插件，通过预设的消息通信方式将请求消息发给所述权限管理插件的消息处理模块；

步骤4：消息处理模块将请求消息发给权限过滤模块，所述权限过滤模块根据步骤2的权限配置信息对该请求进行认证和授权校验；

步骤5：请求消息通过权限过滤模块校验后，所述权限过滤模块将请求消息转发给服务管理模块，所述服务管理模块调用相应服务提供插件处理请求消息并得到处理结果；

步骤6：权限管理插件通过消息处理模块将请求处理结果返回给服务访问插件。

经过以上步骤之后，实现了各bundle的Service和API接口级细粒度权限管理，同时可以对请求者的身份合法性进行认证。

实施例5

本发明实施例使用实施例1中的基于OSGI框架的API权限管理插件实施权限管理的方法的主要步骤与实施例4的相同，如图2所示。

在进行步骤4中权限过滤模块根据步骤2的权限配置信息对该请求进行认证和授权校验的过程时，本实施例方法首先在权限过滤模块设置身份认证模块和身份授权模块，身份认证模块用于根据权限配置模块提供的信息对请求者进行身份认证；身份授权模块用于根据权限配置模块提供的信息对请求者的服务授权信息进行验证；

随后，权限过滤模块内的身份认证模块校验服务访问插件是否为合法插件，如是则通过身份认证，如否则拒绝身份认证；权限过滤模块内的授权校验模块校验服务访问插件是否具有其请求服务的服务访问权限，如是则转入步骤S5，如否则拒绝授权。

实施例6

本发明实施例使用的基于OSGI框架的API权限管理插件，以及实施该插件进行权限管理的方法的步骤与实施例5基本相同，在实施例5的基础上，在权限过滤模块内的身份认证模块校验服务访问插件是否为合法插件的过程中，服务访问插件携带插件标识和通过加密秘钥加密的时间戳作为身份标识，权限过滤模块通过私钥解密秘钥，判断时间戳合法性。

具体的，身份信息管理包括许可访问插件的SymbolicName(插件标识)、分配的身份秘钥；服务访问权限分配管理包括许可插件可访问Service以及其下的API接口级权限配置。

请求者身份信息管理如下：

配置字段	字段类型	字段描述
			reqSymbolicName	String	服务访问插件bundle标识
key	String	加密私钥
			state	String	认证信息是否激活

服务访问插件携带SymbolicName和通过加密秘钥加密的时间戳作为身份标识，权限过滤模块通过私钥解密密文判断时间戳合法性，来校验请求者的身份合法性。

实施例7

本发明实施例使用的基于OSGI框架的API权限管理插件，以及实施该插件进行权限管理的方法的步骤与实施例4基本相同，如图2所示。

在实施例4的基础上，其步骤1中服务提供插件向权限管理插件注册服务实现方案具体如下：权限管理插件通过BundleContext的registerService()注册服务命令将所请求服务注册的服务接口暴露给插件上下文，服务提供插件通过OSGI开发框架的BundleContext的getService()获取服务命令，获取到所请求服务注册的服务接口，并通过所请求服务注册的服务接口将所请求服务委托给服务管理插件。具体的，可将服务注册接口定义如下：delegateService(String symbolicName,Class serviceClass,Objectservice)。

本发明不局限于上述实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。

Claims (10)

1.一种基于OSGI框架的API权限管理插件，其特征在于，包括：

消息处理模块，用于按预设格式解析和封装服务请求者提出的请求响应消息，并将封装后的请求响应消息传递至权限过滤模块，以及执行所述服务请求者和所述权限管理插件间的消息通信；

权限过滤模块，用于从所述消息处理模块接收封装后的请求响应消息，并对接收的请求响应消息进行身份验证和授权验证；

服务管理模块，用于向服务提供插件提供注册服务，以及向所述权限过滤模块提供针对注册后服务提供插件的服务访问许可；

权限配置模块，用于执行服务请求者的身份信息管理，以及许可服务请求者访问服务接口和服务接口下的API接口的权限，以执行服务访问权限的分配管理。

2.如权利要求1所述的基于OSGI框架的API权限管理插件，其特征在于：所述权限配置模块通过许可服务请求者的身份标识、分配身份秘钥执行身份信息管理。

3.如权利要求1所述的基于OSGI框架的API权限管理插件，其特征在于：所述权限配置模块通过热加载的XML文件或者可视化配置操作界面，执行服务访问权限的分配管理，所述可视化配置操作界面通过ajax和js实现。

4.如权利要求1所述的基于OSGI框架的API权限管理插件，其特征在于：所述权限过滤模块包括身份认证模块和身份授权模块，所述身份认证模块用于根据所述权限配置模块提供的信息对请求者进行身份认证；所述身份授权模块用于根据所述权限配置模块提供的信息对请求者的服务授权信息进行验证。

5.一种使用权利要求1所述的基于OSGI框架的API权限管理插件的API权限管理方法，其特征在于，包括以下步骤：使用所述API权限管理插件执行服务请求者的身份信息管理，以及许可服务请求者访问服务接口以及服务接口下的API接口的权限，以执行服务访问权限的分配管理。

6.如权利要求5所述的API权限管理方法，其特征在于：包括以下步骤：

S1：服务提供插件向权限管理插件注册服务，所述权限管理插件的服务管理模块记录被注册的服务信息；

S2：权限管理员通过前端页面控制权限配置模块对已注册的服务权限进行配置；

S3：服务访问所述权限管理插件，通过预设的消息通信方式将请求消息发给所述权限管理插件的消息处理模块；

S4：消息处理模块将请求消息发给权限过滤模块，所述权限过滤模块根据步骤S2的权限配置信息对该请求进行认证和授权校验；

S5：请求消息通过权限过滤模块校验后，所述权限过滤模块将请求消息转发给服务管理模块，所述服务管理模块调用相应服务提供插件处理请求消息并得到处理结果；

S6：权限管理插件通过消息处理模块将请求处理结果返回给服务访问插件。

7.如权利要求6所述的API权限管理方法，其特征在于：步骤S4中，所述权限过滤模块根据步骤S2的权限配置信息对该请求进行认证和授权校验的步骤具体包括以下内容：

所述权限过滤模块内的身份认证模块校验服务访问插件是否为合法插件，如是则通过身份认证，如否则拒绝身份认证；

所述权限过滤模块内的授权校验模块校验服务访问插件是否具有其请求服务的服务访问权限，如是则转入步骤S5，如否则拒绝授权。

8.如权利要求7所述的API权限管理方法，其特征在于：所述权限过滤模块内的身份认证模块校验服务访问插件是否为合法插件的步骤具体包括：

服务访问插件携带插件标识和通过加密秘钥加密的时间戳作为身份标识，所述权限过滤模块通过私钥解密秘钥，判断时间戳合法性。

9.如权利要求6所述的API权限管理方法，其特征在于：所述步骤S2中权限管理员通过前端页面对注册的服务权限进行配置的范围包括数据包package级、服务接口service级和API接口级。

10.如权利要求6所述的API权限管理方法，其特征在于：所述步骤S1具体包括：

权限管理插件通过OSGI开发框架的BundleContext中的注册服务命令，将所请求服务注册的服务接口暴露给插件上下文；

服务提供插件通过OSGI开发框架的BundleContext中的获取服务命令，获取所请求服务注册的服务接口，并通过所请求服务注册的服务接口将所请求服务委托给服务管理插件。