CN113259323B - 双重访问权限服务认证方法、装置、系统及存储介质 - Google Patents
双重访问权限服务认证方法、装置、系统及存储介质 Download PDFInfo
- Publication number
- CN113259323B CN113259323B CN202110423922.3A CN202110423922A CN113259323B CN 113259323 B CN113259323 B CN 113259323B CN 202110423922 A CN202110423922 A CN 202110423922A CN 113259323 B CN113259323 B CN 113259323B
- Authority
- CN
- China
- Prior art keywords
- authentication
- service
- authorization code
- resource
- target service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种双重访问权限服务认证方法、装置、系统及存储介质。用于解决平台和服务对请求进行双重认证场景中授权码维护及避免覆盖的技术问题。本公开中,服务能力提供者在能力开放平台注册服务之前,为服务注册用于自动获取和刷新资源授权码的认证模板,在服务注册时为服务绑定认证模板;资源订阅者访问订阅的服务时无需关心服务自身的资源权限认证过程,服务网关自动获取和维护资源订阅者的资源授权码并添加在服务请求中。本公开在服务网关完成能力开放平台提供的动态令牌授权码的认证后,为服务请求自动添加服务的资源授权码,解决了授权码传递过程中覆盖或冲突的技术问题。
Description
技术领域
本公开涉及通信及云计算技术领域,尤其涉及一种双重访问权限服务认证方法、装置、系统及存储介质。
背景技术
随着服务能力共享时代的到来,为了使生态内的服务能力价值达到最大化,往往需要将整个生态内的可共享服务集成到能力开放平台中进行统一管理,能力开放平台能够提供对第三方服务接口的生命周期管理和实现统一认证授权。同时,为了保证对这些集成进来的服务进行安全有序的访问,能力开放平台对这些服务进行了统一访问权限认证管理,只有经过能力开放平台和服务提供者授权的用户才可以访问对应的服务。从服务自身是否提供访问权限认证功能的角度对服务进行分类,可将服务分为两类,分别是自身未提供访问权限认证功能的服务和自身提供访问权限认证功能的服务。
对于自身未提供访问权限认证功能的服务,客户端在访问服务时,仅需要在服务请求中携带能力开放平台颁发的动态令牌token授权码,服务网关进行动态令牌授权码的验证,验证通过后直接将请求转发给服务,服务将目标资源返回给服务网关,由服务网关将目标资源返回给客户端。
对于自身提供访问权限认证功能的服务,客户端在访问服务时,需要在服务请求中携带能力开放平台颁发的动态令牌授权码和服务本身提供的资源授权码,服务网关验证平台颁发的动态令牌授权码通过后,将携带服务本身提供的资源授权码的请求转发给服务,由服务验证资源授权码通过后,将目标资源返回给服务网关,由服务网关将目标资源返回给客户端。
对于自身提供访问权限认证功能的服务来说,需要进行开放平台的动态令牌授权码和服务的资源授权码的双重权限认证,如果服务自身的资源授权码是动态的,那么用户还需要定期的手动维护资源授权码,使得订阅该服务能力的用户使用起来十分复杂繁琐,易用性较差,实时性差,服务体验下降;同时如果资源授权码的传递方式和能力开放平台颁发的token授权码传递方式完全一致,则在传递过程中可能存在资源授权码被覆盖的问题。
发明内容
有鉴于此,本公开提供一种双重访问权限服务认证方法、装置及存储介质,用于解决平台和服务对请求进行双重认证场景中授权码维护及避免覆盖的技术问题。
基于本公开实施例,图1提供了一种双重访问权限服务认证方法步骤流程图,该方法所基于的组网环境包括能力开放平台、服务网关、提供目标服务的服务设备,该方法包括:
S110.服务网关接收到资源订阅者向目标服务发送的服务请求后,对服务请求中携带的能力开放平台颁发的动态令牌授权码进行认证;
S120.当所述动态令牌授权码认证通过时,服务网关判断目标服务是否需要进行资源授权码认证;
S130.当所述目标服务需要进行资源授权码认证时,服务网关从认证模板库获取资源订阅者访问目标服务所需的资源授权码;
S140.服务网关将获取的资源授权码封装到服务请求中,将服务请求转发给目标服务,以使目标服务对所述服务请求进行认证。
进一步地,步骤S130中,所述服务网关从认证模板库获取资源订阅者访问目标服务所需的资源授权码后,所述方法还包括;
S131.判断服务网关判断资源授权码是否过期;
S132.当所述资源授权码过期时,所述服务网关从认证模板库中读取目标服务的认证模板,并根据认证模板中的配置从指定的认证接口地址获取新的资源授权码,并将新的资源授权码更新到认证模板库当中。
进一步地,在所述服务网关接收到资源订阅者向目标服务发送的服务请求之前,所述方法还包括:
S101.能力开放平台接收能力提供者提供的认证接口地址和输入参数,将认证接口和输入参数输入到认证模板解析器;所述能力提供者为提供所述目标服务的实体;
S102.认证模板解析器执行认证接口并对认证接口的返回结果进行解析,根据解析结果,生成结果树;
S103.能力开放平台接收能力提供者基于结果树所选择的认证字段,生成认证字段列表;
S104.能力开放平台将认证模板名称、认证接口地址、认证接口输入参数列表、认证字段列表、结果树、资源授权码的过期时间组合成认证模板存入认证模板库中。
进一步地,在将所述认证模板存入认证模板库之后,所述方法还包括:
S105.能力开放平台接收能力提供者发起的所述目标服务的服务注册请求;
S106.能力开放平台根据能力提供者的选择指令将所述目标服务与指定认证模板关联;
S107.能力开放平台将所述目标服务注册到服务中心,服务注册信息中包括所述目标服务与认证模板之间的关联关系。
进一步地,所述认证模板库为远程字典服务Redis、数据库、配置文件或组件。
图2为本公开一实施例提供的一种双重访问权限服务认证装置结构示意图,该装置200中的各功能模块可以采用软件、硬件或软硬件相结合的方式实现。当多个硬件设备共同实施本公开的技术方案时,由于各硬件设备之间相互协作的目的是共同实现本发明目的,一方的动作和处理结果确定了另一方的动作执行的时机及可能获得的结果,因此,可视为各执行主体之间具有相互协作关系,各执行主体之间具有相互指挥和控制关系。该装置200应用于服务网关,该装置200包括:
平台认证模块210,用于接收资源订阅者向目标服务发送的服务请求,对服务请求中携带的能力开放平台颁发的动态令牌授权码进行认证;
服务认证判断模块220,用于当所述动态令牌授权码认证通过时,判断目标服务是否需要进行资源授权码认证;
授权码获取模块230,用于当所述目标服务需要进行资源授权码认证时,从认证模板库获取资源订阅者访问目标服务所需的资源授权码;
请求转发模块240,服务网关将获取的资源授权码封装到服务请求中,将服务请求转发给目标服务,以使目标服务对所述服务请求进行认证。
进一步地,所述授权码获取模块230包括:
获取子模块231,用于从认证模板库获取资源订阅者访问目标服务所需的资源授权码;
判断子模块232,用于判断服务网关判断资源授权码是否过期;
刷新子模块233,用于当所述资源授权码过期时,从认证模板库中读取目标服务的认证模板,并根据认证模板中的配置从指定的认证接口地址获取新的资源授权码,并将新的资源授权码更新到认证模板库当中。
本公开还提供一种双重访问权限服务认证系统,该系统包括能力开放平台、服务网关、提供目标服务的服务设备,该系统中:
所述服务网关包括如前所述的双重访问权限服务认证装置;
所述能力开放平台用于接收能力提供者提供的认证接口地址和输入参数,将认证接口和输入参数输入到认证模板解析器,认证模板解析器执行认证接口并对认证接口的返回结果进行解析,根据解析结果,生成结果树;
所述能力开放平台还用于接收能力提供者基于结果树所选择的认证字段,生成认证字段列表;以及将认证模板名称、认证接口地址、认证接口输入参数列表、认证字段列表、结果树、资源授权码的过期时间组合成认证模板存入认证模板库中。
进一步地,所述能力开放平台还用于接收能力提供者发起的所述目标服务的服务注册请求;根据能力提供者的选择指令将所述目标服务与指定认证模板关联;以及将所述目标服务注册到服务中心,服务注册信息中包括所述目标服务与认证模板之间的关联关系。
本公开提供的技术方案的技术效果为:服务能力提供者在能力开放平台注册服务之前,为服务注册用于自动获取和刷新资源授权码的认证模板,在服务注册时为服务绑定认证模板;资源订阅者访问订阅的服务时无需关心服务自身的资源权限认证过程,服务网关自动获取和维护资源订阅者的资源授权码并添加在服务请求中。本公开在服务网关完成能力开放平台提供的动态令牌授权码的认证后,为服务请求自动添加服务的资源授权码,解决了授权码传递过程中覆盖或冲突的技术问题。
附图说明
为了更加清楚地说明本公开实施例或者现有技术中的技术方案,下面将对本公开实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本公开实施例的这些附图获得其他的附图。
图1为本公开提供的一种双重访问权限服务认证方法步骤流程图;
图2为本公开一实施例提供的一种双重访问权限服务认证装置结构示意图;
图3A为本公开一实施例提供的认证模板注册过程示意图;
图3B为本公开一实施例中提供的结果树的示意图;
图4为本公开一实施例中注册服务的过程示意图;
图5为本公开一实施例提供的双重访问权限服务认证方法所采用的组网结构示意图;
图6为本公开一实施例提供的双重访问权限服务认证方法步骤流程示意图;
图7为本公开一实施例提供的一种电子设备结构示意图。
具体实施方式
在本公开实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本公开实施例。本公开实施例中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。本公开中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本公开提出一种在服务接口共享场景下的双重访问权限服务认证方法,目的在于屏蔽了底层服务的差异,使得能力开放平台可以更好的管理这些服务,同时让用户可以更加专注于自身业务的沉淀。
本公开技术方案中,服务能力提供者(简称能力提供者)在能力开放平台注册服务之前,为服务注册用于自动获取和刷新资源授权码的认证模板,在服务注册时为服务绑定认证模板;资源订阅者访问订阅的服务时无需关心服务自身的资源权限认证问题,服务网关自动获取用户的资源授权码并添加在服务请求中。服务网关完成能力开放平台提供的动态令牌授权码的认证后,为服务请求自动添加服务的资源授权码,解决了授权码传递过程中覆盖或冲突的技术问题。
以下结合实施例就本公开的技术方案进行详细的说明。
图3A为本公开一实施例提供的认证模板注册过程示意图,认证模板的注册过程包括以下步骤:
S301.能力开放平台对能力提供者进行认证;
本公开中的能力提供者是指通过能力开放平台对外提供服务能力的实体。能力开放平台(Capability Open Platform)作为服务的发布订阅审批的平台,可以对能力提供者所发布的服务进行全生命周期的管理及安全认证。
能力开放平台为能力提供者提供服务注册功能,在注册服务之前,本公开实施例中,能力提供者需要在注册服务之前首先注册与服务对应的认证模板。
在注册认证模板时,能力提供者首先需要登陆能力开放平台,通过能力开放平台的管理页面进行认证模板的注册。
S302.能力开放平台接收能力提供者提供的认证接口地址和认证接口输入参数列表,将认证接口地址和认证接口输入参数列表输入到认证模板解析器;
该步骤中的认证接口是指能力提供者提供的服务的资源授权码认证接口,输入参数是指对用户的服务请求进行资源授权认证所必需的一个或多个参数,例如用户标识,资源标识等等。
S303.认证模板解析器执行认证接口并对认证接口的返回结果进行解析,根据解析结果,生成结果树;
S304.能力开放平台接收能力提供者基于结果树所选择的认证字段,生成认证字段列表。
结果树是认证接口响应结果的树形层级结构的表达形式,在某可选实施例中,结果树中的节点由JSON中的key组成,比如某一个认证接口的响应信息为{"data":{"descr":"资源授权码","token":"xxxx"},"code":200,"msg":"操作成功"},将该响应结果解析成结果树如图3B所示(Root节点的作用仅仅是标识一个树的根节点),能力开放平台可通过界面展示结果树,能力提供者可通过界面选择结果树上的所需要的认证字段生成认证字段列表。
S305.能力开放平台接收认证字段传递类型的编辑指令,修改认证字段列表中的认证字段的传递类型;
认证字段的传递类型是指认证字段所对应参数值的传递方式的种类,例如可在HTTP协议的请求头中传递参数,或者通过查询参数方式传递参数。
以查询参数方式传递类型为例,比如一个接口为http://ip:port/xxx,其中有个查询参数为token,查询参数的传递就是将参数组装到接口后面并且以“?”开头进行传递,在请求被网关拦截后认证模板执行器(用来重新组装请求)会自动将参数值和参数名token自动拼装到接口中,例如拼装后的形式为:http://ip:port/xxx?token=123456,然后再由网关进行转发。
S306.将认证模板所需的字段内容组合成与目标服务对应的认证模板存入认证模板库中。
下表1为本公开一实施例中认证模板所包含的注册信息示例。
表1认证模板信息表
认证模板实质上就是将认证接口的元数据信息(请求类型、接口地址、输入参数、输出参数等)封装成一个调用模板,使得服务网关可自动调用认证模板,从认证接口获取资源授权码,从而实现自动获取和维护访问目标服务所需要的资源授权码的功能。
图4为本公开一实施例中注册服务的过程示意图,本公开提供的服务注册过程包括如下步骤:
S401.能力开放平台接收能力提供者发起的服务注册请求,提供服务注册页面;
S402.能力开放平台查询认证模板库,获取认证模板列表,根据能力提供者的选择指令将当前注册的服务与所选择的认证模板关联;
S403.能力开放平台将服务注册到服务中心,服务注册信息中包括与认证模板的关联关系。
能力提供者在能力开放平台注册服务时,选取当前服务对应的认证模板进行配置,将服务与认证模板进行一对一绑定。
例如,在注册应用程序接口API服务的时候在能力开放平台的服务注册页面的认证模板选项选择对应的认证模板,将所注册的API服务与所选择的认证模板进行关联绑定。认证模板与服务之间的关系为1:N(一对多)关系,这种关系使得认证模板能够被重复利用,有效减少了认证模板的注册个数。
图5为本公开一实施例提供的双重访问权限服务认证方法所采用的组网结构示意图,图6为本公开一实施例提供的双重访问权限服务认证方法步骤流程示意图,该图示例了资源订阅者经过能力开放平台和服务双重访问权限的认证获取服务资源的完整流程,该流程包括:
S601.能力开放平台接收资源订阅者发送的目标服务访问请求,向资源订阅者返回目标服务地址及能力开放平台颁发的动态令牌授权码;
当资源订阅者需要使用订阅的目标服务时,首先登陆到能力开放平台中获取所订阅的目标服务的访问地址和能力开放平台为资源订阅者颁发的动态令牌token授权码。
资源订阅者在获得目标服务的访问地址和动态令牌授权码后,向目标服务发送服务请求,请求目标服务提供服务资源,服务请求中携带动态令牌授权码。
S602.资源订阅者向目标服务发送服务请求,服务请求中携带能力开放平台颁发的动态令牌授权码,服务网关认证动态令牌授权码;
服务网关作为服务请求路由分发设备,会拦截资源订阅者发送的服务请求,并基于预设的安全策略对服务请求进行认证。本公开所述的双重访问权限的认证中的第一重认证即指服务网关基于能力开放平台提供的安全策略的认证,例如该实施例中,服务网关对服务请求中携带的能力开放平台颁发的动态令牌授权码的认证。本公开所指的第二重认证是指服务网关基于目标服务的安全策略对服务请求进行的认证,例如该实施例中,服务网关针对服务请求中资源授权码的认证。
该步骤中,服务网关接收到资源订阅者的服务请求后,对服务请求中携带的能力开放平台颁发的动态令牌授权码进行认证,若认证通过则执行步骤S603,否则向资源订阅者反馈认证失败信息,终止服务请求的处理。
S603.服务网关基于目标服务的配置判断目标服务是否需要进行资源授权码认证;若需要则执行步骤S604,否则执行步骤S609;
能力提供者在注册服务时,会配置服务的基本属性,其中包括是否需要进行资源授权码认证的属性。
S604.服务网关从认证模板库获取资源订阅者访问目标服务所需的资源授权码;
S605.服务网关判断资源授权码是否过期,若判定已过期,则执行步骤S606,否则执行步骤S607;
本公开一实施例中,将资源订阅者关于目标服务的资源授权码及与目标服务对应的认证模板存储于模板库当中,所述认证模板库可以为数据库、配置文件或组件等,例如远程字典服务Redis、MySQL、Oracle、SQL Server数据库等,本公开不做限定。
本公开一实施例中,在为每个资源订阅者分配资源授权码时,基于认证模板中的资源授权码的过期时间字段的值为资源授权码设定存活时间,当资源授权码过期时,将资源授权码置空。当服务网关获取到的资源授权码为空时,说明该资源授权码已过期。
S606.服务网关从认证模板库中读取目标服务的认证模板,并根据认证模板中的配置从指定的认证接口地址获取新的资源授权码,并将新的资源授权码更新到数据库当中;
S607.服务网关将获取的资源授权码封装到服务请求中,将服务请求转发给目标服务;
S608.目标服务进行资源授权码的认证,认证通过后将服务资源返回给服务网关,服务网关将服务资源转发给资源订阅者。
S609.服务网关将服务请求直接转发给目标服务,目标服务将服务资源返回给服务网关,服务网关将服务资源转发给资源订阅者。
在不需要进行资源授权码认证的情况下,服务网卡可直接将服务请求转发给目标服务,目标服务根据服务请求所携带的目标服务信息和所请求的资源信息为资源订阅者准备服务资源,并通过服务请求的响应报文将服务资源的信息反馈给资源订阅者。
在现实应用场景中,资源服务的认证方式可能各不相同,但是通过将认证过程的调用封装成认证模板,通过认证模板自动刷新资源授权码,资源订阅者无需参与资源授权码的维护,很好的起到了屏蔽底层服务差异的目的,为能力开放平台使用服务网关来做统一授权认证管理提供了保障。
由于通过在能力开放平台注册认证模板的方式来解决服务访问权限认证问题,目标服务不需要做任何修改,降低了对开放服务的侵入性,提高了服务无关性。节省了人工维护资源授权码的成本,使用户可以更加专注于自身业务的沉淀。
当资源授权码的传递方式与能力开放平台的动态令牌token授权码完全一致时,比如token授权码和资源授权码都是放在请求的头部(header)进行传递,并且两者header中key的命名都为token,很显然在传递过程中就会出现用户的资源授权码覆盖能力开放平台颁发的token授权码的情况(“token”:”xxxx_code”),请求到达网关就会造成token授权码校验失败,从而造成服务不可用。本公开中,服务网关是在token授权码校验通过后,才对服务请求进行资源授权码的封装,所以既保证了token授权码的正常校验,同时也保证了资源授权码的正常传递,很好地解决了资源授权码与token授权码传递方式冲突所引发的服务不可用的技术问题。
图7为本公开一实施例提供的一种电子设备结构示意图,该设备700包括:诸如中央处理单元(CPU)的处理器710、通信总线720、通信接口740以及存储介质730。其中,处理器710与存储介质730可以通过通信总线720相互通信。存储介质730内存储有计算机程序,当该计算机程序被处理器710执行时即可实现如前所述能力提供平台、服务网关所执行的方法步骤。
其中,存储介质可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。另外,存储介质还可以是至少一个位于远离前述处理器的存储装置。处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable GateArray,FPGA)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
应当认识到,本公开的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术,包括配置有计算机程序的非暂时性存储介质在计算机程序中实现,其中如此配置的存储介质使得计算机以特定和预定义的方式操作。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。此外,可按任何合适的顺序来执行本公开描述的过程的操作,除非本公开另外指示或以其他方式明显地与上下文矛盾。本公开描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
本公开提供的方法可以在任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本公开的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时,本公开所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本公开所述的方法和技术编程时,本公开还包括计算机本身。
以上所述仅为本公开的实施例而已,并不用于限制本公开。对于本领域技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (9)
1.一种双重访问权限服务认证方法,其特征在于,该方法所基于的组网环境包括能力开放平台、服务网关、提供目标服务的服务设备,所述方法包括:
服务网关接收到资源订阅者向目标服务发送的服务请求后,对服务请求中携带的能力开放平台颁发的动态令牌授权码进行认证;
当所述动态令牌授权码认证通过时,所述服务网关判断目标服务是否需要进行资源授权码认证;
当所述目标服务需要进行资源授权码认证时,所述服务网关从认证模板库获取资源订阅者访问目标服务所需的资源授权码;
所述服务网关将获取的资源授权码封装到服务请求中,将服务请求转发给目标服务,以使目标服务对所述服务请求进行认证;
在所述服务网关接收到资源订阅者向目标服务发送的服务请求之前,所述方法还包括:
所述能力开放平台接收能力提供者提供的认证接口地址和输入参数,将认证接口和输入参数输入到认证模板解析器;所述能力提供者为提供所述目标服务的实体;
认证模板解析器执行认证接口并对认证接口的返回结果进行解析,根据解析结果,生成结果树;
所述能力开放平台接收能力提供者基于结果树所选择的认证字段,生成认证字段列表;
所述能力开放平台将认证模板名称、认证接口地址、认证接口输入参数列表、认证字段列表、结果树、资源授权码的过期时间组合成认证模板存入认证模板库中。
2.根据权利要求1所述的方法,其特征在于,所述服务网关从认证模板库获取资源订阅者访问目标服务所需的资源授权码后,所述方法还包括;
判断服务网关判断资源授权码是否过期;
当所述资源授权码过期时,所述服务网关从认证模板库中读取目标服务的认证模板,并根据认证模板中的配置从指定的认证接口地址获取新的资源授权码,并将新的资源授权码更新到认证模板库当中。
3.根据权利要求1所述的方法,其特征在于,在将所述认证模板存入认证模板库之后,所述方法还包括:
所述能力开放平台接收能力提供者发起的所述目标服务的服务注册请求;
所述能力开放平台根据能力提供者的选择指令将所述目标服务与指定认证模板关联;
所述能力开放平台将所述目标服务注册到服务中心,服务注册信息中包括所述目标服务与认证模板之间的关联关系。
4.根据权利要求3所述的方法,其特征在于,所述认证模板库为远程字典服务Redis、数据库、配置文件或组件。
5.一种双重访问权限服务认证装置,其特征在于,该装置包括:
平台认证模块,用于接收资源订阅者向目标服务发送的服务请求,对服务请求中携带的能力开放平台颁发的动态令牌授权码进行认证;
服务认证判断模块,用于当所述动态令牌授权码认证通过时,判断目标服务是否需要进行资源授权码认证;
授权码获取模块,用于当所述目标服务需要进行资源授权码认证时,从认证模板库获取资源订阅者访问目标服务所需的资源授权码;
请求转发模块,服务网关将获取的资源授权码封装到服务请求中,将服务请求转发给目标服务,以使目标服务对所述服务请求进行认证;
在所述服务网关接收到资源订阅者向目标服务发送的服务请求之前,所述能力开放平台接收能力提供者提供的认证接口地址和输入参数,将认证接口和输入参数输入到认证模板解析器;所述能力提供者为提供所述目标服务的实体;
认证模板解析器执行认证接口并对认证接口的返回结果进行解析,根据解析结果,生成结果树;
所述能力开放平台接收能力提供者基于结果树所选择的认证字段,生成认证字段列表;
所述能力开放平台将认证模板名称、认证接口地址、认证接口输入参数列表、认证字段列表、结果树、资源授权码的过期时间组合成认证模板存入认证模板库中。
6.根据权利要求5所述的装置,其特征在于,所述授权码获取模块包括:
获取子模块,用于从认证模板库获取资源订阅者访问目标服务所需的资源授权码;
判断子模块,用于判断服务网关判断资源授权码是否过期;
刷新子模块,用于当所述资源授权码过期时,从认证模板库中读取目标服务的认证模板,并根据认证模板中的配置从指定的认证接口地址获取新的资源授权码,并将新的资源授权码更新到认证模板库当中。
7.一种双重访问权限服务认证系统,其特征在于,该系统包括能力开放平台、服务网关、提供目标服务的服务设备;
所述服务网关包括如权利要求5或6所述的双重访问权限服务认证装置;
所述能力开放平台用于接收能力提供者提供的认证接口地址和输入参数,将认证接口和输入参数输入到认证模板解析器,认证模板解析器执行认证接口并对认证接口的返回结果进行解析,根据解析结果,生成结果树;
所述能力开放平台还用于接收能力提供者基于结果树所选择的认证字段,生成认证字段列表;以及将认证模板名称、认证接口地址、认证接口输入参数列表、认证字段列表、结果树、资源授权码的过期时间组合成认证模板存入认证模板库中。
8.根据权利要求7所述的系统,其特征在于,
所述能力开放平台还用于接收能力提供者发起的所述目标服务的服务注册请求;根据能力提供者的选择指令将所述目标服务与指定认证模板关联;以及将所述目标服务注册到服务中心,服务注册信息中包括所述目标服务与认证模板之间的关联关系。
9.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序当被处理器执行时实施如权利要求1至4中任一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110423922.3A CN113259323B (zh) | 2021-04-20 | 2021-04-20 | 双重访问权限服务认证方法、装置、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110423922.3A CN113259323B (zh) | 2021-04-20 | 2021-04-20 | 双重访问权限服务认证方法、装置、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113259323A CN113259323A (zh) | 2021-08-13 |
| CN113259323B true CN113259323B (zh) | 2022-05-27 |
Family
ID=77221630
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110423922.3A Active CN113259323B (zh) | 2021-04-20 | 2021-04-20 | 双重访问权限服务认证方法、装置、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113259323B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114329290B (zh) * | 2021-12-15 | 2023-09-15 | 北京科东电力控制系统有限责任公司 | 能力开放平台及其授权访问方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581118A (zh) * | 2012-07-24 | 2014-02-12 | 中兴通讯股份有限公司 | 一种资源汇聚网关及跨平台授权方法与系统 |
| WO2014082555A1 (zh) * | 2012-11-30 | 2014-06-05 | 腾讯科技(深圳)有限公司 | 登录方法、装置及开放平台系统 |
| CN106534175A (zh) * | 2016-12-07 | 2017-03-22 | 西安电子科技大学 | 基于OAuth协议的开放平台授权认证系统及方法 |
| CN111639327A (zh) * | 2020-05-29 | 2020-09-08 | 深圳前海微众银行股份有限公司 | 一种开放平台的认证方法及装置 |
| CN112311783A (zh) * | 2020-10-24 | 2021-02-02 | 尺度财金(北京)智能科技有限公司 | 一种认证反向代理方法及系统 |
-
2021
- 2021-04-20 CN CN202110423922.3A patent/CN113259323B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581118A (zh) * | 2012-07-24 | 2014-02-12 | 中兴通讯股份有限公司 | 一种资源汇聚网关及跨平台授权方法与系统 |
| WO2014082555A1 (zh) * | 2012-11-30 | 2014-06-05 | 腾讯科技(深圳)有限公司 | 登录方法、装置及开放平台系统 |
| CN106534175A (zh) * | 2016-12-07 | 2017-03-22 | 西安电子科技大学 | 基于OAuth协议的开放平台授权认证系统及方法 |
| CN111639327A (zh) * | 2020-05-29 | 2020-09-08 | 深圳前海微众银行股份有限公司 | 一种开放平台的认证方法及装置 |
| CN112311783A (zh) * | 2020-10-24 | 2021-02-02 | 尺度财金(北京)智能科技有限公司 | 一种认证反向代理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113259323A (zh) | 2021-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3342125B1 (en) | Service layer dynamic authorization | |
| US10594737B1 (en) | Distributed storage processing statement interception and modification | |
| CN108476216B (zh) | 用于集成事务中间件平台与集中式访问管理器用于在企业级计算环境中的单点登录的系统和方法 | |
| US11182746B2 (en) | Systems and methods for integrating third-party services with a client instance | |
| US9544294B2 (en) | Pluggable authorization policies | |
| CN104937895B (zh) | 在无线通信系统中控制访问的方法和设备 | |
| CN111488595A (zh) | 用于实现权限控制的方法及相关设备 | |
| CN112788031B (zh) | 基于Envoy架构的微服务接口认证系统、方法及装置 | |
| US10356155B2 (en) | Service onboarding | |
| CN104639650B (zh) | 一种细粒度分布式接口访问控制方法及装置 | |
| CN111062028B (zh) | 权限管理方法及装置、存储介质、电子设备 | |
| CN111279317A (zh) | Api调用的动态的基于规则的变换 | |
| US20200084216A1 (en) | Systems and method for hypertext transfer protocol requestor validation | |
| CN111970254B (zh) | 访问控制及配置方法、装置、电子设备和存储介质 | |
| US9537893B2 (en) | Abstract evaluation of access control policies for efficient evaluation of constraints | |
| CN110430180A (zh) | 一种基于热插拔的物联网平台及实现方法 | |
| CN113259323B (zh) | 双重访问权限服务认证方法、装置、系统及存储介质 | |
| CN111988284B (zh) | Pdp的配置方法、装置、电子设备和存储介质 | |
| CN109542816A (zh) | 一种基于分布式系统的服务总线构造方法 | |
| US10116665B2 (en) | Secured distributed computing across multiple firewalls | |
| CN115297066B (zh) | 一种资源动态协同方法、装置、服务器及介质 | |
| JP2004524591A (ja) | オンラインアプリケーション用統合型認証サービスを提供するシステム、方法およびコンピュータプログラム製品 | |
| CN116346479A (zh) | 数据访问方法、装置、设备和存储介质 | |
| CN111984622A (zh) | Pap的配置及运行方法、装置、电子设备和存储介质 | |
| CN117614628A (zh) | 一种基于istio的jwt认证授权方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |