CN110086822B

CN110086822B - 面向微服务架构的统一身份认证策略的实现方法及系统

Info

Publication number: CN110086822B
Application number: CN201910375856.XA
Authority: CN
Inventors: 隋永鑫; 李涛; 潘雨; 王建
Original assignee: State Grid Information and Telecommunication Co Ltd; Beijing Smartchip Microelectronics Technology Co Ltd
Current assignee: State Grid Information and Telecommunication Co Ltd; Beijing Smartchip Microelectronics Technology Co Ltd
Priority date: 2019-05-07
Filing date: 2019-05-07
Publication date: 2021-07-27
Anticipated expiration: 2039-05-07
Also published as: CN110086822A

Abstract

本发明公开了一种面向微服务架构的统一身份认证策略的实现方法及系统，该统一身份认证策略的实现方法包括如下步骤：由公共网关接收由客户端或用户发送的身份认证或登录请求，并将身份认证或登录请求转发给认证服务；响应于接收到身份认证或登录请求，由认证服务识别用户身份；响应于用户身份认证通过，由认证服务生成访问令牌；由认证服务将访问令牌发送给公共缓存，并且向公共网关发送返回的访问令牌，其中，公共缓存存储访问令牌；以及由公共网关接收返回的访问令牌并将返回的访问令牌发送给用户。本发明提供了一种更轻便简单方法来实现微服务架构中对客户端访问的统一身份认证，保障了对其内部各微服务访问的合法性和安全性。

Description

面向微服务架构的统一身份认证策略的实现方法及系统

技术领域

本发明是关于分布式系统架构中的统一身份认证策略，特别是关于一种面向微服务架构的统一身份认证策略的实现方法及系统。

背景技术

微服务架构是一种架构概念，旨在通过将功能分解到各个离散的服务中以实现对解决方案的解耦。相对于传统应用，微服务架构模式将一个大型的单个应用程序和服务拆分为数个甚至数十个的支持微服务，可扩展单个组件而不是整个的应用程序堆栈，从而满足服务等级协议。

目前微服务架构在互联网领域被广泛应用，互联网大型平台都采用了微服务架构来处理亿万级高并发下的用户请求，从而保证了业务的正常运行。微服务架构的应用主要是对复杂业务的横向拆分上，在服务的调用保障，服务治理，分布式部署运营上更结合云平云台虚拟化技术实现大批量部署和运营保障，对于大规模随机分散的分布式服务节点，提供统一的用户身份认证尤其重要。目前，绝大部分微服务架构中是通过公共网关服务基于会话共享和请求的转发来做登陆用户身份验证和会话保持的，请求分类两类，一类是来自web网页类访问，如某些网站的前端静态页面发送给微服务集群中的某个业务微服务的数据请求，此类请求基于浏览器发送，一类是来自对API数据接口的访问，如APP或第三方平台访问微服务架构中的数据接口服务，此类请求基于APP客户端如手机或第三方平台客户端。

然而，当前微服务架构中，由公共网关服务作为访问的统一入口，在业务调用过程中就需要对请求做转发处理，因此基于网关转发请求并基于会话共享同步的方式实现对访问请求的认证方式比较普遍，对于来自web页面的请求和访问API接口的请求，提供了不同的基于请求session会话的身份认证策略，但此策略具有以下缺点：

1、在微服务架构层面，公共网关无论是单节点还是集群部署都需要做会话的一致性同步处理，而对于大规模并发请求，在创建会话和会话一致性处理上对网关服务器压力都比较大，通过增大网关服务节点的集群部署可以提高负载能力，但同时也增大了业务微服务节点和网关之间关联配置的复杂度。

2、目前此身份认证策略的登录保持仅仅靠服务端生成的会话id，客户端的请求中带上会话id，如果服务端的中存在这个id，就认为请求来自相应的登录客户端，原理简单，但是如果会话id被截获，请求就可以被伪造，因此存在严重安全隐患。

3、上述方案中对于来自web页面请求和API接口请求的两种处理方式，都是基于会话机制，用户的登陆验证、登陆保持、登出都需要服务通过创建会话，维持会话状态来保持，在分布式架构中大量的会话存储和同步，增加了服务器的计算资源消耗，随着并发量的不断增加也增加了公共网关服务的压力，如果不及时扩容，存在宕机风险。

4、基于访问会话并通过回写cookie的会话保持方式，由于cookie对于域名具有依赖性，因而对于第三方系统的访问不适用。

公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。

发明内容

本发明的目的在于提供一种面向微服务架构的统一身份认证策略的实现方法及系统，其能够克服现有技术的缺点。

为实现上述目的，本发明提供了一种面向微服务架构的统一身份认证策略的实现方法，该面向微服务架构的统一身份认证策略的实现方法包括如下步骤：由公共网关接收由客户端或用户发送的身份认证或登录请求，并将身份认证或登录请求转发给认证服务；响应于接收到身份认证或登录请求，由认证服务识别用户身份；响应于用户身份认证通过，由认证服务生成访问令牌；由认证服务将访问令牌发送给公共缓存，并且向公共网关发送返回的访问令牌，其中，公共缓存存储访问令牌；以及由公共网关接收返回的访问令牌并将返回的访问令牌发送给用户。

在一优选实施方式中，面向微服务架构的统一身份认证策略的实现方法还包括如下步骤：由公共网关接收用户发送的业务数据访问请求；由公共网关判断业务数据访问请求的报头中是否包含访问令牌，如果业务数据请求的报头中不包含访问令牌，则直接返回错误提示；以及如果业务数据请求的报头中包含访问令牌，则由公共网关对访问令牌进行验证。

在一优选实施方式中，其中，由公共网关对访问令牌进行验证包括如下步骤：通过访问令牌生成算法的逆向运算从访问令牌中取出用户或客户端唯一标识UID；验证公共缓存中是否存在UID；如果不存在UID，则判断为非法模拟攻击请求，并记录本次请求客户端IP地址和该IP地址请求失败次数到公共缓存中；如果存在UID，则判断为合法请求，并验证访问令牌是否存在于服务端缓存中；如果访问令牌存在于服务端缓存中，则访问令牌有效；以及如果访问令牌不存在于服务端缓存中，则提示用户重新获取访问令牌再进行访问。

在一优选实施方式中，面向微服务架构的统一身份认证策略的实现方法还包括如下步骤：其中，访问验证失败次数达到3次以上的IP地址被记录到公共缓存中的访问IP地址黑名单列表中；并且其中，当IP访问微服务架构的分布式系统时，从访问IP地址黑名单列表中比对访问IP是否为黑名单IP，黑名单IP的访问将不会做任何分发处理，直接向黑名单IP返回特定请求状态码。

在一优选实施方式中，响应于接收到身份认证或登录请求，由认证服务识别用户身份包括如下步骤：基于身份认证或登录请求，得到用户名和密码；对用户名和密码进行认证；如果认证通过，则取得用户唯一标识UID；以及将UID作为返回给用户的访问令牌的生成参数。

在一优选实施方式中，响应于接收到身份认证或登录请求，由认证服务识别用户身份还包括如下步骤：接收身份认证或登录请求；将授权码参数做BASE64解码处理以得到解码的授权码；根据UID从公共缓存中取得存储的授权码；以及比对解码的授权码和存储的授权码，如果解码的授权码和存储的授权码内容一致，则证明是合法的客户端请求，并按照访问令牌生成算法生成访问令牌返回请求用户。

在一优选实施方式中，生成访问令牌包括如下步骤：在UID字符串中随机位置插入4位随机字符串组成新字符串；在新字符串末尾追加随机字符串插入位置前一位的十六进制数；以及将整个字符串做Base64位转码。

本发明还提供了一种面向微服务架构的统一身份认证系统，该面向微服务架构的统一身份认证系统包括：公共网关、认证服务以及公共缓存，并且面向微服务架构的统一身份认证系统被配置为执行如下操作：由公共网关接收由客户端或用户发送的身份认证或登录请求，并将身份认证或登录请求转发给认证服务；响应于接收到身份认证或登录请求，由认证服务识别用户身份；响应于用户身份认证通过，由认证服务生成访问令牌；由认证服务将访问令牌发送给公共缓存，并且向公共网关发送返回的访问令牌，其中，公共缓存存储访问令牌；以及由公共网关接收返回的访问令牌并将返回的访问令牌发送给用户。

在一优选实施方式中，面向微服务架构的统一身份认证系统还被配置为执行以下操作：由公共网关接收用户发送的业务数据访问请求；由公共网关判断业务数据访问请求的报头中是否包含访问令牌，如果业务数据请求的报头中不包含访问令牌，则直接返回错误提示；以及如果业务数据请求的报头中包含访问令牌，则由公共网关对访问令牌进行验证。

在一优选实施方式中，其中，对访问令牌进行验证包括如下步骤：通过访问令牌生成算法的逆向运算从访问令牌中取出用户或客户端唯一标识UID；验证公共缓存中是否存在UID；如果不存在UID，则判断为非法模拟攻击请求，并记录本次请求客户端IP地址和该IP地址请求失败次数到公共缓存中；如果存在UID，则判断为合法请求，并验证访问令牌是否存在于服务端缓存中；如果访问令牌存在于服务端缓存中，则访问令牌有效；以及如果访问令牌不存在于服务端缓存中，则提示用户重新获取访问令牌再进行访问。

在一优选实施方式中，面向微服务架构的统一身份认证系统还被配置为执行以下操作：其中，访问验证失败次数达到3次以上的IP地址被记录到公共缓存中的访问IP地址黑名单列表中；并且其中，当IP访问微服务架构的分布式系统时，从访问IP地址黑名单列表中比对访问IP是否为黑名单IP，黑名单IP的访问将不会做任何分发处理，直接向黑名单IP返回特定请求状态码。

在一优选实施方式中，响应于接收到身份认证或登录请求，由认证服务识别用户身份包括如下步骤：接收身份认证或登录请求；将授权码参数做BASE64解码处理以得到解码的授权码；根据UID从公共缓存中取得存储的授权码；以及比对解码的授权码和存储的授权码，如果解码的授权码和存储的授权码内容一致，则证明是合法的客户端请求，并按照访问令牌生成算法生成访问令牌返回请求用户。

与现有技术相比，本发明具有如下优点：本发明提供了一种更轻便简单方法来实现微服务架构中对客户端访问的统一身份认证，保障对其内部各微服务访问的合法性，从而保障了服务安全。具体地，(1)通过使用高可用的REIDS实时库，作为整个系统的公共缓存，减小了公共网关服务端由于创建大量会话session造成的内存占用，服务器性能消耗，避免公共网关服务中由于用户会话同步带来的开发配置繁琐问题，提高了网关服务的可用性；(2)基于特定访问令牌生成算法，即便访问被拦截也很难破解令牌生成规则，令牌具有时限性进一步保障了访问令牌的不可模拟性，模拟生成的访问令牌的请求，其IP地址被记录到黑名单列表中，再次来自黑名单IP的请求将被安全过滤，进一步较小非法攻击带来的安全隐患；(3)提供了针对用户名密码和客户端标识结合授权码的身份识别方法，身份识别通过根据用户标识或客户端标识提生成访问令牌，两种方式的令牌生成算法时时一致的，统一的令牌生成算法降低了高并发下服务器由于算法计算所带来的性能压力，认证状态缓存统一控制，减小了微服务架构中由于用户会话同步带来的各服务节点的性能消耗。

附图说明

图1是根据本发明一实施方式的面向微服务架构的统一身份认证策略的实现方法流程图。

图2是根据本发明一实施方式的微服务架构的认证服务和安全控制示意图。

图3是根据本发明一实施方式的访问令牌组成的微服务架构的统一认证的实现流程。

图4是根据本发明一实施方式的访问令牌组成的示意图。

图5是根据本发明一实施方式的访问令牌生成的示意图。

图6是根据本发明一实施方式的非法模拟访问令牌请求的安全过滤流程示意图。

具体实施方式

下面结合附图，对本发明的具体实施方式进行详细描述，但应当理解本发明的保护范围并不受具体实施方式的限制。

除非另有其它明确表示，否则在整个说明书和权利要求书中，术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分，而并未排除其它元件或其它组成部分。

图1是根据本发明一实施方式的面向微服务架构的统一身份认证策略的实现方法流程图。如图所示，本发明的面向微服务架构的统一身份认证策略的实现方法包括如下步骤：步骤101：由公共网关接收由客户端或用户发送的身份认证或登录请求，并将身份认证或登录请求转发给认证服务；步骤102：响应于接收到身份认证或登录请求，由认证服务识别用户身份；步骤103：响应于用户身份认证通过，由认证服务生成访问令牌；步骤104：由认证服务将访问令牌发送给公共缓存，并且向公共网关发送返回的访问令牌，其中，公共缓存存储访问令牌，并给访问令牌设置超时时间，并且使用高可用的REIDS实时库作为公共缓存；以及步骤105：由公共网关接收返回的访问令牌并将返回的访问令牌发送给用户。

下面具体介绍本发明的一个实施例，本发明针对微服务架构，通过统一的认证微服务，并提供两种身份识别方式：

1、基于用户名和密码的身份识别

对于需要识别用户身份的请求，本策略提供基于用户名和密码身份识别方式验证请求是否来自合法用户，微服务架构中的认证服务提供了基于用户名和密码的身份识别接口。

接口描述如下：

请求参数如下：

参数	类型	长度	参数要求
				用户名	字符串	32	不能为空
加密后的用户密码	字符串	32	不能为空

返回参数：

用户调用此接口进行身份认证后，认证服务识别通过后会取得用户唯一标识UID，此UID值为16位字符串，并会作为返回给用户的访问令牌的生成参数。

2、基于授权码的身份识别

对于不需要识别具体用户身份的请求，本策略提供了基于服务端授权码的身份识别，比如来自APP访问微服务数据接口的请求和来自第三方平台的访问微服务数据接口的请求类，客户端提供唯一的标识，服务端分别派发授权码给不同的APP应用和第三方应用，授权码包含客户端标识并结合随机生成字符串组成的16位长度字符串，授权码颁发，会以哈希键值对的形式写入微服务认证服务所管理的REDIS公共缓存中，客户端标识为键，授权码为值，并设置了授权码过期时间。

客户端在访问业务微服务时，先访问微服务架构中的统一认证服务提供的客户端身份识别接口进行身份识别，认证通过后，认证服务返回访问令牌给客户端，身份识别接口定义如下：

接口描述：

请求参数：

其中，加密后的授权码是认证服务颁发给访问客户端的授权码，针对APP非登陆用户的访问和第三方应用的访问使用。

返回参数：

授权码的加密验证规则：

客户端访问认证服务的/authClient接口时需要将授权码逆序后再加上系统时间的毫秒数并做BASE64转码。认证服务接收到请求后将授权码参数做BASE64解码处理，去掉末尾13位时间戳，再将剩余字符串做逆序，并根据客户端标识参数clientId从缓存中取得授权码进行对比，内容一致则证明是合法的客户端请求，并按照令牌生成算法生成访问令牌，返回给客户端，否则返回错误提示信息。

图4是根据本发明一实施方式的访问令牌组成的示意图。图5是根据本发明一实施方式的访问令牌生成的示意图访问令牌生成算法。如图所示，上述两种身份识别接口返回的访问令牌的算法一致，组成结构为：16位(uid/clientId)+随机生成的4位字符串+末尾1位16进制字符(0～f)。长度共21位。

生成算法为：

在用户或客户端唯一标识字符串中随机位置插入4位随机字符串，组成新20位字符串，字符串末尾追加随机字符串插入位置前一位的十六进制数。

然后将整个字符串做Base64位转码，最终生成访问令牌accessToken，认证服务将用户或客户端的唯一标识和所对应生成的访问令牌accessToken，以键值对形式存入认证服务所管理的REDIS公共缓存中，并设置超时时间。在缓存到期时，提示访问令牌不存在，客户端则重新调用访问身份识别接口取得新的访问令牌。

图6为本发明一实施方式的非法模拟访问令牌请求的安全过滤流程示意图。在访问微服务架构的分布式系统时，首先要通过公共网关服务进行请求的转发和访问令牌验证，没有携带访问令牌的请求将被直接过滤，不做转发处理，并提示其进行身份识别；携带访问令牌但令牌验证未通过的请求，则提示访问令牌验证失败，并记录该请求IP地址的验证失败次数，失败3次以上的客户端IP地址将被记录到访问黑名单IP地址列表中，做安全过滤。

黑名单IP访问的过滤：

黑名单IP访问微服务架构的分布式系统时，微服务网关服务从缓存中黑名单列表中比对访问IP是否为黑名单IP，黑名单IP的访问将不会做任何分发处理，直接返回特定请求状态码，如http 500状态码。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式，并且很显然，根据上述教导，可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用，从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。

Claims

1.一种面向微服务架构的统一身份认证策略的实现方法，其特征在于，所述面向微服务架构的统一身份认证策略的实现方法包括如下步骤：

由公共网关接收由客户端或用户发送的身份认证或登录请求，并将所述身份认证或登录请求转发给认证服务；

响应于接收到所述身份认证或登录请求，由所述认证服务识别用户身份；

响应于用户身份认证通过，由所述认证服务生成访问令牌；

由所述认证服务将所述访问令牌发送给公共缓存，并且向所述公共网关发送返回的访问令牌，其中，所述公共缓存存储所述访问令牌；以及

由所述公共网关接收所述返回的访问令牌并将所述返回的访问令牌发送给所述用户；

其中，所述面向微服务架构的统一身份认证策略的实现方法还包括如下步骤：

由所述公共网关接收用户发送的业务数据访问请求；

由所述公共网关判断所述业务数据访问请求的报头中是否包含所述访问令牌，如果所述业务数据请求的报头中不包含所述访问令牌，则直接返回错误提示；及

如果所述业务数据请求的报头中包含所述访问令牌，则由所述公共网关对所述访问令牌进行验证；

其中，由所述公共网关对所述访问令牌进行验证包括如下步骤：

通过所述访问令牌生成算法的逆向运算从访问令牌中取出所述用户或客户端唯一标识UID；

验证公共缓存中是否存在所述UID；

如果不存在所述UID，则判断为非法模拟攻击请求，并记录本次请求客户端IP地址和该IP地址请求失败次数到所述公共缓存中；

如果存在所述UID，则判断为合法请求，并验证所述访问令牌是否存在于服务端缓存中；

如果所述访问令牌存在于所述服务端缓存中，则所述访问令牌有效；及

如果所述访问令牌不存在于所述服务端缓存中，则提示所述用户重新获取访问令牌再进行访问。

2.如权利要求1所述的面向微服务架构的统一身份认证策略的实现方法，其特征在于，所述面向微服务架构的统一身份认证策略的实现方法还包括如下步骤：

其中，访问验证失败次数达到3次以上的IP地址被记录到公共缓存中的访问IP地址黑名单列表中；

并且其中，当IP访问微服务架构的分布式系统时，从所述访问IP地址黑名单列表中比对访问IP是否为黑名单IP，黑名单IP的访问将不会做任何分发处理，直接向所述黑名单IP返回特定请求状态码。

3.如权利要求1所述的面向微服务架构的统一身份认证策略的实现方法，其特征在于，所述响应于接收到所述身份认证或登录请求，由所述认证服务识别用户身份包括如下步骤：

基于所述身份认证或登录请求，得到用户名和密码；

对所述用户名和密码进行认证；

如果认证通过，则取得用户唯一标识UID；以及

将所述UID作为返回给用户的访问令牌的生成参数。

4.如权利要求1所述的面向微服务架构的统一身份认证策略的实现方法，其特征在于，所述响应于接收到所述身份认证或登录请求，由所述认证服务识别用户身份还包括如下步骤：

接收所述身份认证或登录请求；

将授权码参数做BASE64解码处理以得到解码的授权码；

根据所述UID从公共缓存中取得存储的授权码；以及

比对所述解码的授权码和所述存储的授权码，如果所述解码的授权码和所述存储的授权码内容一致，则证明是合法的客户端请求，并按照访问令牌生成算法生成访问令牌返回请求用户。

5.如权利要求3或4所述的面向微服务架构的统一身份认证策略的实现方法，其特征在于，所述生成访问令牌包括如下步骤：

在所述UID字符串中随机位置插入4位随机字符串组成新字符串；

在所述新字符串末尾追加随机字符串插入位置前一位的十六进制数；以及

将整个字符串做Base64位转码。

6.一种面向微服务架构的统一身份认证系统，其特征在于，所述面向微服务架构的统一身份认证系统包括：公共网关、认证服务以及公共缓存，并且所述面向微服务架构的统一身份认证系统被配置为执行如下操作：

响应于用户身份认证通过，由所述认证服务生成访问令牌；

其中，所述面向微服务架构的统一身份认证系统还被配置为执行以下操作：

由所述公共网关接收用户发送的业务数据访问请求；

其中，对所述访问令牌进行验证包括如下步骤：

验证公共缓存中是否存在所述UID；

7.如权利要求6所述的面向微服务架构的统一身份认证系统，其特征在于，所述面向微服务架构的统一身份认证系统还被配置为执行以下操作：

8.如权利要求6所述的面向微服务架构的统一身份认证系统，其特征在于，所述响应于接收到所述身份认证或登录请求，由所述认证服务识别用户身份包括如下步骤：