CN112836199A - 一种实现统一鉴权的工具及方法 - Google Patents
一种实现统一鉴权的工具及方法 Download PDFInfo
- Publication number
- CN112836199A CN112836199A CN202110180771.3A CN202110180771A CN112836199A CN 112836199 A CN112836199 A CN 112836199A CN 202110180771 A CN202110180771 A CN 202110180771A CN 112836199 A CN112836199 A CN 112836199A
- Authority
- CN
- China
- Prior art keywords
- request
- gateway
- service
- user side
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 230000006870 function Effects 0.000 claims abstract description 50
- 238000007726 management method Methods 0.000 claims abstract description 49
- 238000012550 audit Methods 0.000 claims abstract description 27
- 238000012795 verification Methods 0.000 claims abstract description 14
- 238000012545 processing Methods 0.000 claims description 13
- 230000002688 persistence Effects 0.000 claims description 6
- 238000011161 development Methods 0.000 description 3
- 230000010354 integration Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种实现统一鉴权的工具及方法,涉及权限验证技术领域,其实现基于用户端、业务系统、网关、网关管理、认证中心。其中,用户端负责向业务系统发送请求;业务系统的业务逻辑模块实际处理用户端请求的具体业务,并向用户端返回结果;网关具有session管理、鉴权、审计、服务路由、限流熔断、CSRF的功能,用于接收用户端请求,并进行统一鉴权和安全校验,还用于根据请求资源URI将请求转发至业务逻辑模块;网关管理负责配置网关功能的参数,并配置业务逻辑模块和请求URI匹配规则;认证中心负责校验用户合法性,并在校验成功后生成合法会话,随后与网关共享合法会话,来标识登录用户信息。本发明可以提高业务系统稳定性、高并发、可扩展性。
Description
技术领域
本发明涉及权限验证技术领域,具体的说是一种实现统一鉴权的工具及方法。
背景技术
信息时代业务系统越来越复杂,一个大型系统往往由多个子系统构成,为便于用户使用,多业务系统采用统一的用户,传统的做法是建设一个统一认证中心,由认证中心进行认证,各业务系统和门户做单点登录。这一过程中,Session管理、鉴权、审计、限流熔断由各业务系统各自完成相应功能开发。其中:
Session各自管理造成了内存重复浪费,减少了系统承载能力,但是,各自管理鉴权造成了功能重发开发,权限管理分散,容易配置错误造成系统不安全;
审计功能作为非常重要的系统安全措施,对于后期问题排查起到至关重要的作用,但是,业务各自记录时,可能造成信息不规范且不全面;
很多业务系统不具备熔断限流的功能,在突发大流量时,业务系统很容易崩溃宕机,造成不好的影响。
发明内容
本发明针对各业务系统和门户做单点登录过程中,Session管理、鉴权、审计、限流熔断由各业务系统各自完成相应功能开发时存在的缺陷,提供一种实现统一鉴权的工具及方法。
首先,本发明提供一种实现统一鉴权的工具,解决上述技术问题采用的技术方案如下:
一种实现统一鉴权的工具,其实现框架包括:
用户端,用于对用户进行展示,还用于向业务系统发送请求;
业务逻辑模块,从属于业务系统,用于实际处理用户端请求的具体业务,并在处理完成后向用户端返回结果;
网关,部署于用户端和业务系统之间,具有session管理、鉴权、审计、服务路由、限流熔断、CSRF的功能,用于接收用户端的请求,并进行统一鉴权和安全校验,还用于根据请求资源URI将用户端请求转发至业务系统的业务逻辑模块;
网关管理,用于对网关的功能进行参数配置,还用于配置业务逻辑模块和请求URI匹配规则;
认证中心,负责进行用户合法性校验,并在校验成功后生成合法会话,随后与网关共享所述合法会话,来标识登录用户信息。
具体的,所涉及网关的Session管理功能负责统一管理会话,并提供登录校验;且Session管理过程中,对于没有登录的请求,导向到认证中心去认证并获取登录信息;
网关的鉴权功能是指鉴别当前请求用户是否有权限使用某个功能,并使用URI来作为功能标识符,权限配置则由网关管理来管理;
网关的限流熔断功能是指对于服务达到或超过设定请求数阈值时,限制新请求并给与错误提示,请求阈值根据应用和URI由网关管理进行设置;
网关的CSRF功能即跨站请求,是指非本站的用户端发起的请求,网关对于这类请求给与拦截,并根据请求信息中携带算法生成的唯一标识进行校验;
网关的审计功能用于组织审计日志内容,并通过消息队列将日志发送到业务系统的审计分析模块进行持久化和分析。
其次,本发明提供一种实现统一鉴权的方法,解决上述技术问题采用的技术方案如下:
一种实现统一鉴权的方法,在用户端和业务系统之间增设一层网关,用户端的请求经过网关,网关统一处理session管理、鉴权、审计、服务路由、限流熔断、CSRF,且服务路由根据请求资源URI将用户端请求转发至业务系统的业务逻辑模块,由业务逻辑模块完成实际业务操作后向用户端返回结果。
实现统一鉴权的具体架构包括:
用户端,可以是浏览器或APP,用于对用户进行展示,还用于向业务系统发送请求;
业务逻辑模块,从属于业务系统,用于实际处理用户端请求的具体业务,并在处理完成后向用户端返回结果;
网关,部署于用户端和业务系统之间,具有session管理、鉴权、审计、服务路由、限流熔断、CSRF的功能,用于接收用户端的请求,并进行统一鉴权和安全校验,还用于根据请求资源URI将用户端请求转发至业务系统的业务逻辑模块;
网关管理,用于对网关的功能进行参数配置,还用于配置业务逻辑模块和请求URI匹配规则;
认证中心,负责进行用户合法性校验,并在校验成功后生成合法会话,随后与网关共享所述合法会话,来标识登录用户信息。
可选的,所涉及Session管理负责统一管理会话,并提供登录校验;
Session管理过程中,对于没有登录的请求,导向到认证中心去认证并获取登录信息。
可选的,所涉及鉴权是指鉴别当前请求用户是否有权限使用某个功能,并使用URI来作为功能标识符,权限配置则由网关管理来管理。
可选的,所涉及限流熔断是指对于服务达到或超过设定请求数阈值时,限制新请求并给与错误提示,请求阈值根据应用和URI由网关管理进行设置。
可选的,所涉及CSRF即跨站请求,是指非本站的用户端发起的请求,网关对于这类请求给与拦截,并根据请求信息中携带算法生成的唯一标识进行校验。
可选的,所涉及网关的审计功能用于组织审计日志内容,并通过消息队列将日志发送到业务系统的审计分析模块进行持久化和分析。
本发明的一种实现统一鉴权的工具及方法,与现有技术相比具有的有益效果是:
(1)本发明在用户端和业务系统之间部署了网关,通过网关的session管理、鉴权、审计、服务路由、限流熔断、CSRF的功能,完成用户请求的接收、统一鉴权和安全校验,并根据请求资源URI将用户端请求转发至业务系统,再由业务系统的业务逻辑模块实际处理用户端请求的具体业务,并在处理完成后向用户端返回结果,以提高业务系统稳定性、高并发、可扩展性;
(2)本发明可以解决应用集成和大型应用微服务化统一鉴权的问题,简化业务应用开发。
附图说明
附图1是本发明的实现架构图。
具体实施方式
为使本发明的技术方案、解决的技术问题和技术效果更加清楚明白,以下结合具体实施例,对本发明的技术方案进行清楚、完整的描述。
实施例一:
结合附图1,本实施例提出一种实现统一鉴权的工具,其实现框架包括:
用户端,用于对用户进行展示,还用于向业务系统发送请求;
业务逻辑模块,从属于业务系统,用于实际处理用户端请求的具体业务,并在处理完成后向用户端返回结果;
网关,部署于用户端和业务系统之间,具有session管理、鉴权、审计、服务路由、限流熔断、CSRF的功能,用于接收用户端的请求,并进行统一鉴权和安全校验,还用于根据请求资源URI将用户端请求转发至业务系统的业务逻辑模块;
网关管理,用于对网关的功能进行参数配置,还用于配置业务逻辑模块和请求URI匹配规则;
认证中心,负责进行用户合法性校验,并在校验成功后生成合法会话,随后与网关共享所述合法会话,来标识登录用户信息。
本实施例中,网关的Session管理功能负责统一管理会话,并提供登录校验;且Session管理过程中,对于没有登录的请求,导向到认证中心去认证并获取登录信息。
本实施例中,网关的鉴权功能是指鉴别当前请求用户是否有权限使用某个功能,并使用URI来作为功能标识符,权限配置则由网关管理来管理。
本实施例中,网关的限流熔断功能是指对于服务达到或超过设定请求数阈值时,限制新请求并给与错误提示,请求阈值根据应用和URI由网关管理进行设置。
本实施例中,网关的CSRF功能即跨站请求,是指非本站的用户端发起的请求,网关对于这类请求给与拦截,并根据请求信息中携带算法生成的唯一标识进行校验;
本实施例中,网关的审计功能用于组织审计日志内容,并通过消息队列将日志发送到业务系统的审计分析模块进行持久化和分析。
实施例二:
结合附图1,本实施例提出一种实现统一鉴权的方法,在用户端和业务系统之间增设一层网关,用户端的请求经过网关,网关统一处理session管理、鉴权、审计、服务路由、限流熔断、CSRF,且服务路由根据请求资源URI将用户端请求转发至业务系统的业务逻辑模块,由业务逻辑模块完成实际业务操作后向用户端返回结果。
基于本实施例的具体实现过程,其架构基于用户端、业务逻辑模块、网关、网关管理、认证中心。
用户端可以是浏览器或APP,用于对用户进行展示,还用于向业务系统发送请求。
业务逻辑模块从属于业务系统,用于实际处理用户端请求的具体业务,并在处理完成后向用户端返回结果。
网关部署于用户端和业务系统之间,具有session管理、鉴权、审计、服务路由、限流熔断、CSRF的功能,用于接收用户端的请求,并进行统一鉴权和安全校验,还用于根据请求资源URI将用户端请求转发至业务系统的业务逻辑模块。其中,Session管理负责统一管理会话,并提供登录校验,Session管理过程中,对于没有登录的请求,导向到认证中心去认证并获取登录信息;鉴权是指鉴别当前请求用户是否有权限使用某个功能,并使用URI来作为功能标识符,权限配置则由网关管理来管理;限流熔断是指对于服务达到或超过设定请求数阈值时,限制新请求并给与错误提示,请求阈值根据应用和URI由网关管理进行设置;CSRF即跨站请求,是指非本站的用户端发起的请求,网关对于这类请求给与拦截,并根据请求信息中携带算法生成的唯一标识进行校验;网关的审计功能用于组织审计日志内容,并通过消息队列将日志发送到业务系统的审计分析模块进行持久化和分析。
网关管理对网关的功能进行参数配置,还用于配置业务逻辑模块和请求URI匹配规则。
认证中心负责进行用户合法性校验,并在校验成功后生成合法会话,随后与网关共享所述合法会话,来标识登录用户信息。
综上可知,采用本发明的一种实现统一鉴权的工具及方法,可以提高业务系统稳定性、高并发、可扩展性,解决解决应用集成和大型应用微服务化统一鉴权的问题。
以上应用具体个例对本发明的原理及实施方式进行了详细阐述,这些实施例只是用于帮助理解本发明的核心技术内容。基于本发明的上述具体实施例,本技术领域的技术人员在不脱离本发明原理的前提下,对本发明所作出的任何改进和修饰,皆应落入本发明的专利保护范围。
Claims (9)
1.一种实现统一鉴权的工具,其特征在于,其实现框架包括:
用户端,用于对用户进行展示,还用于向业务系统发送请求;
业务逻辑模块,从属于业务系统,用于实际处理用户端请求的具体业务,并在处理完成后向用户端返回结果;
网关,部署于用户端和业务系统之间,具有session管理、鉴权、审计、服务路由、限流熔断、CSRF的功能,用于接收用户端的请求,并进行统一鉴权和安全校验,还用于根据请求资源URI将用户端请求转发至业务系统的业务逻辑模块;
网关管理,用于对网关的功能进行参数配置,还用于配置业务逻辑模块和请求URI匹配规则;
认证中心,负责进行用户合法性校验,并在校验成功后生成合法会话,随后与网关共享所述合法会话,来标识登录用户信息。
2.根据权利要求1所述的一种实现统一鉴权的工具,其特征在于,网关的Session管理功能负责统一管理会话,并提供登录校验;且Session管理过程中,对于没有登录的请求,导向到认证中心去认证并获取登录信息;
网关的鉴权功能是指鉴别当前请求用户是否有权限使用某个功能,并使用URI来作为功能标识符,权限配置则由网关管理来管理;
网关的限流熔断功能是指对于服务达到或超过设定请求数阈值时,限制新请求并给与错误提示,请求阈值根据应用和URI由网关管理进行设置;
网关的CSRF功能即跨站请求,是指非本站的用户端发起的请求,网关对于这类请求给与拦截,并根据请求信息中携带算法生成的唯一标识进行校验;
网关的审计功能用于组织审计日志内容,并通过消息队列将日志发送到业务系统的审计分析模块进行持久化和分析。
3.一种实现统一鉴权的方法,其特征在于,在用户端和业务系统之间增设一层网关,用户端的请求经过网关,网关统一处理session管理、鉴权、审计、服务路由、限流熔断、CSRF,且服务路由根据请求资源URI将用户端请求转发至业务系统的业务逻辑模块,由业务逻辑模块完成实际业务操作后向用户端返回结果。
4.根据权利要求3所述的一种实现统一鉴权的方法,其特征在于,所述方法的具体实现架构包括:
用户端,可以是浏览器或APP,用于对用户进行展示,还用于向业务系统发送请求;
业务逻辑模块,从属于业务系统,用于实际处理用户端请求的具体业务,并在处理完成后向用户端返回结果;
网关,部署于用户端和业务系统之间,具有session管理、鉴权、审计、服务路由、限流熔断、CSRF的功能,用于接收用户端的请求,并进行统一鉴权和安全校验,还用于根据请求资源URI将用户端请求转发至业务系统的业务逻辑模块;
网关管理,用于对网关的功能进行参数配置,还用于配置业务逻辑模块和请求URI匹配规则;
认证中心,负责进行用户合法性校验,并在校验成功后生成合法会话,随后与网关共享所述合法会话,来标识登录用户信息。
5.根据权利要求4所述的一种实现统一鉴权的方法,其特征在于,Session管理负责统一管理会话,并提供登录校验;
Session管理过程中,对于没有登录的请求,导向到认证中心去认证并获取登录信息。
6.根据权利要求4所述的一种实现统一鉴权的方法,其特征在于,鉴权是指鉴别当前请求用户是否有权限使用某个功能,并使用URI来作为功能标识符,权限配置则由网关管理来管理。
7.根据权利要求4所述的一种实现统一鉴权的方法,其特征在于,限流熔断是指对于服务达到或超过设定请求数阈值时,限制新请求并给与错误提示,请求阈值根据应用和URI由网关管理进行设置。
8.根据权利要求4所述的一种实现统一鉴权的方法,其特征在于,CSRF即跨站请求,是指非本站的用户端发起的请求,网关对于这类请求给与拦截,并根据请求信息中携带算法生成的唯一标识进行校验。
9.根据权利要求4所述的一种实现统一鉴权的方法,其特征在于,网关的审计功能用于组织审计日志内容,并通过消息队列将日志发送到业务系统的审计分析模块进行持久化和分析。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110180771.3A CN112836199A (zh) | 2021-02-08 | 2021-02-08 | 一种实现统一鉴权的工具及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110180771.3A CN112836199A (zh) | 2021-02-08 | 2021-02-08 | 一种实现统一鉴权的工具及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112836199A true CN112836199A (zh) | 2021-05-25 |
Family
ID=75933285
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110180771.3A Pending CN112836199A (zh) | 2021-02-08 | 2021-02-08 | 一种实现统一鉴权的工具及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112836199A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114205191A (zh) * | 2021-12-13 | 2022-03-18 | 四川启睿克科技有限公司 | 一种api网关系统及运行方法 |
CN114374544A (zh) * | 2021-12-21 | 2022-04-19 | 南方电网数字电网研究院有限公司 | 一种基于注册中心的业务身份应用管理系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020006985A (ko) * | 2000-07-14 | 2002-01-26 | 정재윤 | 인증 게이트웨이를 이용한 이 기종 인증시스템의 인증서비스 방법 |
CN109309666A (zh) * | 2018-08-22 | 2019-02-05 | 中国平安财产保险股份有限公司 | 一种网络安全中的接口安全控制方法及终端设备 |
CN111787073A (zh) * | 2020-06-18 | 2020-10-16 | 多加网络科技(北京)有限公司 | 一种统一服务的限流熔断平台及其方法 |
CN111865920A (zh) * | 2020-06-18 | 2020-10-30 | 多加网络科技(北京)有限公司 | 一种网关认证和身份鉴权的平台及其方法 |
-
2021
- 2021-02-08 CN CN202110180771.3A patent/CN112836199A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020006985A (ko) * | 2000-07-14 | 2002-01-26 | 정재윤 | 인증 게이트웨이를 이용한 이 기종 인증시스템의 인증서비스 방법 |
CN109309666A (zh) * | 2018-08-22 | 2019-02-05 | 中国平安财产保险股份有限公司 | 一种网络安全中的接口安全控制方法及终端设备 |
CN111787073A (zh) * | 2020-06-18 | 2020-10-16 | 多加网络科技(北京)有限公司 | 一种统一服务的限流熔断平台及其方法 |
CN111865920A (zh) * | 2020-06-18 | 2020-10-30 | 多加网络科技(北京)有限公司 | 一种网关认证和身份鉴权的平台及其方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114205191A (zh) * | 2021-12-13 | 2022-03-18 | 四川启睿克科技有限公司 | 一种api网关系统及运行方法 |
CN114205191B (zh) * | 2021-12-13 | 2023-09-15 | 四川启睿克科技有限公司 | 一种api网关系统及运行方法 |
CN114374544A (zh) * | 2021-12-21 | 2022-04-19 | 南方电网数字电网研究院有限公司 | 一种基于注册中心的业务身份应用管理系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111541656B (zh) | 基于融合媒体云平台的身份认证方法及系统 | |
CN111010376B (zh) | 基于主从链的物联网认证系统及方法 | |
US10200368B2 (en) | System and method for proxying federated authentication protocols | |
US10348721B2 (en) | User authentication | |
CN104320423B (zh) | 基于Cookie的单点登录轻量级实现方法 | |
US8356179B2 (en) | Entity bi-directional identificator method and system based on trustable third party | |
CN104954330B (zh) | 一种对数据资源进行访问的方法、装置和系统 | |
US20100262832A1 (en) | Entity bidirectional authentication method and system | |
CN103560888B (zh) | 一种基于数字证书实现集成多个应用系统统一认证登录的方法 | |
CN107835176A (zh) | 一种基于eID的网络身份认证方法及平台 | |
CN102143177B (zh) | 一种Portal认证方法、装置、设备及系统 | |
CN103475666A (zh) | 一种物联网资源的数字签名认证方法 | |
CN112836199A (zh) | 一种实现统一鉴权的工具及方法 | |
CN110365483A (zh) | 云平台认证方法、客户端、中间件及系统 | |
CN111835514A (zh) | 一种前后端分离数据安全交互的实现方法及系统 | |
CN109150800A (zh) | 一种登录访问方法、系统和存储介质 | |
CN104796408A (zh) | 单点直播登录方法及单点直播登录装置 | |
WO2010017737A1 (zh) | 报表归一化处理方法、装置和系统 | |
CN106789987B (zh) | 移动终端单点登录多业务互联app的方法及系统 | |
WO2008025277A1 (en) | Method, system and password management server for managing user password of network device | |
CN109905402B (zh) | 基于ssl vpn的sso登录方法和装置 | |
CN101296245B (zh) | 一种业务服务器的登录方法及登录系统 | |
CN113660632B (zh) | 一种基于区块链的v2x身份管理方法及管理系统 | |
CN106878378B (zh) | 网络通信管理中的散点处理方法 | |
CN115378645A (zh) | 一种基于电力营销管理系统统一认证的验证方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210525 |
|
RJ01 | Rejection of invention patent application after publication |