CN113505382A - 微服务鉴权方法、电子装置和存储介质 - Google Patents
微服务鉴权方法、电子装置和存储介质 Download PDFInfo
- Publication number
- CN113505382A CN113505382A CN202110680864.2A CN202110680864A CN113505382A CN 113505382 A CN113505382 A CN 113505382A CN 202110680864 A CN202110680864 A CN 202110680864A CN 113505382 A CN113505382 A CN 113505382A
- Authority
- CN
- China
- Prior art keywords
- micro
- service
- micro service
- access key
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 81
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 55
- 238000004590 computer program Methods 0.000 claims description 16
- 238000013475 authorization Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- ZLIBICFPKPWGIZ-UHFFFAOYSA-N pyrimethanil Chemical compound CC1=CC(C)=NC(NC=2C=CC=CC=2)=N1 ZLIBICFPKPWGIZ-UHFFFAOYSA-N 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种微服务鉴权方法、电子装置和存储介质,其中,该微服务鉴权方法包括:通过微服务接收网关发送的鉴权请求,其中,鉴权请求包括第一签名数据;微服务获取鉴权请求的请求方参数和预设访问密钥标识,并将请求方参数和预设访问密钥标识组合成字符串,其中,预设访问密钥标识基于微服务的标识信息确定;微服务根据预设签名算法,计算字符串的签名,得到第二签名数据,其中,预设签名算法基于微服务的标识信息确定;微服务根据第一签名数据和第二签名数据对鉴权请求进行鉴权,通过本申请,解决了网关后面的微服务安全性低的问题,实现了微服务安全性的提高。
Description
技术领域
本申请涉及安全技术领域,特别是涉及微服务鉴权方法、电子装置和存储介质。
背景技术
微服务是一种用于构建应用的架构方案,也是当前比较热门的架构设计方案,和传统的单体式架构相比,微服务是根据业务去拆分系统,将一个系统拆分成几个或者十几个服务,并且每个应用都是单独构建和部署,每个服务在工作或者发生故障时可以互不影响,各个服务间通过RPC方式进行通信。微服务是一种高度解耦的架构,随着微服务越来越多,微服务的鉴权认证就显得很重要。
目前的现有技术中主要是通过网关进行鉴权认证,对于网关转发到指定服务层面没有做服务间的请求鉴权或者所有服务使用了统一密钥进行鉴权,当服务网关被攻击者攻破,会导致网关后面的微服务安全性低。
目前针对相关技术中网关后面的微服务安全性低的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种微服务鉴权方法、电子装置和存储介质,以至少解决相关技术中网关后面的微服务安全性低的问题。
第一方面,本申请实施例提供了一种微服务鉴权方法,包括:
微服务接收网关发送的鉴权请求,其中,所述鉴权请求包括第一签名数据;
所述微服务获取所述鉴权请求的请求方参数和预设访问密钥标识,并将所述请求方参数和预设访问密钥标识组合成字符串,其中,所述预设访问密钥标识基于所述微服务的标识信息确定;
所述微服务根据预设签名算法,计算所述字符串的签名,得到第二签名数据,其中,所述预设签名算法基于所述微服务的标识信息确定;
所述微服务根据所述第一签名数据和所述第二签名数据对所述鉴权请求进行鉴权。
在其中一些实施例中,将所述请求方参数和预设访问密钥标识组合成字符串包括:
获取配置中心地址,根据所述配置中心地址从配置中心拉取与所述微服务的标识信息关联的预设访问密钥标识;
在所述鉴权请求的前端加入第一散列值、请求的随机字符串和请求的时间,得到所述请求方参数;
将所述请求方参数和所述预设访问密钥标识组合成字符串。
在其中一些实施例中,所述微服务根据预设签名算法,计算所述字符串的签名,得到第二签名数据包括:
根据配置中心地址从配置中心拉取与所述微服务的标识信息关联的预设访问密钥,使用所述预设访问密钥对所述字符串进行加密,得到第二签名数据。
在其中一些实施例中,所述微服务根据所述第一签名数据和所述第二签名数据对所述鉴权请求进行鉴权包括:
判断所述第一签名数据与所述第二签名数据是否相同;
若是,鉴权请求通过。
在其中一些实施例中,所述微服务包括第一微服务和第二微服务,所述微服务鉴权方法还包括:
所述第一微服务能够根据所述第二微服务标识信息调用所述第二微服务。
在其中一些实施例中,所述第一微服务能够根据所述第二微服务标识信息调用所述第二微服务包括:
所述第二微服务接收第一微服务发送的调用请求,其中,所述鉴权请求包括第三签名数据
所述第二微服务获取所述调用请求的调用方参数和第二访问密钥标识,并将所述调用方参数和第二访问密钥标识组合成字符串,其中,所述第二访问密钥标识基于所述第二微服务的标识信息确定;
所述第二微服务根据预设签名算法,计算所述字符串的签名,得到第四签名数据,其中,所述预设签名算法基于所述第二微服务的标识信息确定;
所述第二微服务根据所述第三签名数据和所述第四签名数据对所述调用请求进行鉴权。
在其中一些实施例中,所述微服务鉴权方法还包括:
在配置中心中的访问密钥标识和访问密钥存在更新的情况下,根据所述微服务的标识信息接收从配置中心发布的更新后的访问密钥标识和更新后的访问密钥,保存更新后的访问密钥标识、更新后的访问密钥以及更新前的访问密钥标识和访问密钥。
在其中一些实施例中,微服务接收网关发送的鉴权请求之前包括:
网关根据用户名和密码进行鉴权或者通过第三方授权进行鉴权。
在其中一些实施例中,网关根据用户名和密码进行鉴权或者通过第三方授权进行鉴权之后包括:
网关获取客户端发送的鉴权请求,解析所述鉴权请求,确定微服务的标识信息和微服务的地址;
网关根据所述微服务的标识信息和所述微服务的地址将所述鉴权请求转发至对应的微服务。
在其中一些实施例中,解析所述鉴权请求,确定微服务的标识信息和微服务的地址包括:
网关截取鉴权请求URL,获取鉴权请求的标签信息;
网关从数据库中获取路由列表;
网关判断所述标签信息与所述路由列表是否匹配;
若是,网关从所述路由列表中获取所述标签信息对应的微服务的标识信息和微服务的地址。
第二方面,本申请实施例提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的微服务鉴权方法。
第三方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的微服务鉴权方法。
相比于相关技术,本申请实施例提供的微服务鉴权方法、电子装置和存储介质,通过微服务接收网关发送的鉴权请求,其中,鉴权请求包括第一签名数据;微服务获取鉴权请求的请求方参数和预设访问密钥标识,并将请求方参数和预设访问密钥标识组合成字符串,其中,预设访问密钥标识基于所述微服务的标识信息确定;微服务根据预设签名算法,计算字符串的签名,得到第二签名数据,其中,预设签名算法基于微服务的标识信息确定;微服务根据第一签名数据和第二签名数据对鉴权请求进行鉴权,解决了网关后面的微服务安全性低的问题,实现了微服务安全性的提高。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的微服务鉴权方法的应用终端的硬件结构框图;
图2是根据本申请实施例的微服务鉴权方法的流程图;
图3是根据本申请优选实施例的网关处理微服务鉴权请求的流程图;
图4是根据本申请优选实施例的微服务鉴权方法的示意图;
图5是根据本申请优选实施例的网关根据业务转发到对应服务的示意图;
图6是根据本申请优选实施例的微服务鉴权方法的流程图一;
图7是根据本申请优选实施例的攻击者篡改网关向对应微服务发送的鉴权请求的示意图;
图8是根据本申请优选实施例的启动微服务鉴权功能的流程图;
图9是根据本申请优选实施例的网关转发微服务鉴权请求的流程图;
图10是根据本申请优选实施例的网关解析客户端鉴权请求的时序图;
图11是根据本申请优选实施例的网关以及微服务从配置中心拉取配置的时序图;
图12是根据本申请优选实施例的微服务鉴权方法的流程图二。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。以运行在终端上为例,图1是根据本申请实施例的微服务鉴权方法的应用终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限定。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的微服务鉴权方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
本实施例提供了一种微服务鉴权方法,图2是根据本申请实施例的微服务鉴权方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,微服务接收网关发送的鉴权请求,其中,鉴权请求包括第一签名数据。
步骤S202,微服务获取鉴权请求的请求方参数和预设访问密钥标识,并将请求方参数和预设访问密钥标识组合成字符串,其中,预设访问密钥标识基于微服务的标识信息确定。
在本实施例中,微服务的标识信息可以用微服务的名称表示,假设微服务有第一微服务、第二微服务和第三微服务,第一微服务、第二微服务和第三微服务的名称分别是A、B与C,第一微服务、第二微服务和第三微服务的预设访问密钥标识分别是第一访问密钥ID、第二访问密钥ID与第三访问密钥ID,请求第一微服务的请求方参数与第一访问密钥ID组合成对应的字符串,请求第二微服务的请求方参数与第二访问密钥ID组合成对应的字符串,请求第三微服务的请求方参数与第三访问密钥ID组合成对应的字符串。
步骤S203,微服务根据预设签名算法,计算字符串的签名,得到第二签名数据,其中,预设签名算法基于微服务的标识信息确定。
在本实施例中,假设请求第一微服务的请求方参数与第一访问密钥ID组合成对应的第一字符串,预设的签名算法包括加密算法SHA256以及第一加密密钥,第一加密密钥由第一微服务的名称A决定,第一加密密钥与第一访问密钥ID关联,基于SHA256算法,使用第一加密密钥对第一字符串加密,得到与第一字符串对应的签名值。
需要说明的是,SHA256是散列函数,是一种从任何一种数据中创建小的数字“指纹”的方法。散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来,该函数将数据打乱混合,重新创建一个叫做散列值(或哈希值)的指纹,散列值通常用一个短的随机字母和数字组成的字符串来代表。
步骤S204,微服务根据第一签名数据和第二签名数据对鉴权请求进行鉴权。
在本实施例中,假设请求方要请求第一微服务的业务,请求方发送请求签名值,在第一微服务处计算出与第一字符串对应的签名值,比较请求签名值与第一字符串对应的签名值是否一致,若是,第一微服务鉴权通过,请求方可以获取第一微服务对应的业务。
通过上述步骤,微服务通过接收网关发送的鉴权请求,其中,鉴权请求包括第一签名数据;微服务获取鉴权请求的请求方参数和预设访问密钥标识,并将请求方参数和预设访问密钥标识组合成字符串,其中,预设访问密钥标识基于微服务的标识信息确定;微服务根据预设签名算法,计算字符串的签名,得到第二签名数据,其中,预设签名算法基于微服务的标识信息确定;微服务根据第一签名数据和第二签名数据对鉴权请求进行鉴权,解决了网关后面的微服务安全性低的问题,实现了微服务安全性的提高。
在其中一些实施例中,S202,将请求方参数和预设访问密钥标识组合成字符串,包括如下步骤:
步骤S2020,获取配置中心地址,根据配置中心地址从配置中心拉取与微服务的标识信息关联的预设访问密钥标识。
步骤S2021,在鉴权请求的前端加入第一散列值、请求的随机字符串和请求的时间,得到请求方参数。
步骤S2022,将请求方参数和预设访问密钥标识组合成字符串。
通过上述步骤,根据配置中心地址从配置中心拉取与微服务的标识信息关联的预设访问密钥标识,在微服务鉴权请求报文的前端加入第一散列值、请求的随机字符串和请求的时间,得到请求方参数,将请求方参数和预设访问密钥标识组合成字符串,实现了与请求方参数以及预设访问密钥标识关联的字符串的获取,为后续根据预设签名算法计算字符串的签名做准备。
在其中一些实施例中,S203,微服务根据预设签名算法,计算字符串的签名,得到第二签名数据包括:根据配置中心地址从配置中心拉取与微服务的标识信息关联的预设访问密钥,使用预设访问密钥对字符串进行加密,得到第二签名数据。
通过上述方式,从配置中心拉取与微服务标识信息关联的预设访问密钥,并根据预设访问密钥对字符串进行加密,得到第二签名数据,实现了与微服务标识信息关联的第二签名数据的获取,为后续根据第二签名数据与第一签名数据进行鉴权做准备。
在其中一些实施例中,S203,预设签名算法包括:RSA签名算法、DSA签名算法和ECDSA签名算法。
在本实施例中,RSA数字签名算法主要包括MD和SHA两种算法,例如我们熟知的MD5和SHA-256即是这两种算法中的一类。
需要说明的是,签名算法是指数字签名的算法。数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
RSA签名算法:是目前计算机密码学中最经典算法,也是目前为止使用最广泛的数字签名算法,RSA数字签名算法的密钥实现与RSA的加密算法是一样的,算法的名称都叫RSA。
DSA签名算法:(全称为Digital Signature Algorithm,数字签名算法),和RSA不同之处在于它不能用作加密和解密,也不能进行密钥交换,只用于签名,所以它比RSA要快很多,其安全性与RSA相比差不多。
ECDSA签名算法:(全称为Elliptic Curve Digital Signature Algorithm,椭圆曲线数字签名算法),是ECC与DSA的结合,整个签名过程与DSA类似,所不一样的是签名中采取的算法为ECC,最后签名出来的值也是分为r,s。而ECC(全称为Elliptic CurvesCryptography,椭圆曲线加密)是一种椭圆曲线密码编码学。
在其中一些实施例中,S204,微服务根据第一签名数据和第二签名数据对鉴权请求进行鉴权,包括如下步骤:
步骤S210,判断第一签名数据与第二签名数据是否相同,若是,则执行步骤S211;
步骤S211,鉴权请求通过。
通过上述步骤,通过判断第一签名数据与第二签名数据是否相同来判断鉴权请求是否通过,实现了微服务的鉴权,提高了微服务的安全性。
在其中一些实施例中,S204,微服务根据第一签名数据和第二签名数据对鉴权请求进行鉴权,还包括如下步骤:
步骤S220,判断第一签名数据与第二签名数据是否相同,若否,则执行步骤S221;
步骤S221,鉴权请求不通过。
通过上述步骤,通过判断第一签名数据与第二签名数据是否相同来判断鉴权请求是否通过,在有攻击者篡改请求方参数的情况下,会导致第一签名数据与第二签名数据不相同,微服务鉴权会不通过,实现了微服务的鉴权,提高了微服务的安全性。
在其中一些实施例中,微服务包括第一微服务和第二微服务,微服务鉴权方法还包括:第一微服务能够根据第二微服务标识信息调用第二微服务。
通过上述方式,在第一微服务需要调用第二微服务的情况下,需要根据第二微服务标识信息进行鉴权,在第二微服务鉴权通过的情况下,实现了第一微服务对第二微服务的调用。
在其中一些实施例中,第一微服务能够根据第二微服务标识信息调用第二微服务,包括如下步骤:
步骤S230,第二微服务接收第一微服务发送的调用请求,其中,鉴权请求包括第三签名数据
步骤S231,第二微服务获取调用请求的调用方参数和第二访问密钥标识,并将调用方参数和第二访问密钥标识组合成字符串,其中,第二访问密钥标识基于第二微服务的标识信息确定;
步骤S232,第二微服务根据预设签名算法,计算字符串的签名,得到第四签名数据,其中,预设签名算法基于第二微服务的标识信息确定;
步骤S233,第二微服务根据第三签名数据和第四签名数据对调用请求进行鉴权。
通过上述步骤,第二微服务根据调用请求的调用参数和与第二微服务的标识关联的第二访问密钥组成字符串,并依据与第二微服务的标识信息关联的预设签名算法计算字符串的签名,得到第四签名数据,通过比较第四签名数据与第一微服务发送的第三签名数据对调用请求进行鉴权,在第一微服务向第二微服务发送调用请求时,实现了第二微服务对调用请求的鉴权,提高了第二微服务对应业务的安全性。
在其中一些实施例中,微服务鉴权方法还包括:在配置中心中的访问密钥标识和访问密钥存在更新的情况下,根据微服务的标识信息接收从配置中心发布的更新后的访问密钥标识和更新后的访问密钥,保存更新后的访问密钥标识、更新后的访问密钥以及更新前的访问密钥标识和访问密钥。
通过上述方式,在配置中心中的访问密钥标识和访问密钥存在更新的情况下,配置中心根据微服务的标识信息发布的更新后的访问密钥标识和更新后的访问密钥,实现了微服务能够接受到更新后的访问密钥标识和更新后的访问密钥,同时,微服务保存更新后的访问密钥标识、更新后的访问密钥以及更新前的访问密钥标识和访问密钥,可以使用更新后的访问密钥标识和访问密钥以及更新前的访问密钥标识和访问密钥进行微服务鉴权,防止微服务没有成功更新访问密钥标识和访问密钥而导致微服务间调用异常。
在其中一些实施例中,微服务接收网关发送的鉴权请求之前包括:网关根据用户名和密码进行鉴权或者通过第三方授权进行鉴权。
通过上述方式,在客户端发送鉴权请求时,实现了网关对鉴权请求的第一次鉴权,是后续进入微服务处进行第二次鉴权的前提条件。
在其中一些实施例中,网关根据用户名和密码进行鉴权或者通过第三方授权进行鉴权之后包括如下步骤:
步骤S240,网关获取客户端发送的鉴权请求,解析鉴权请求,确定微服务的标识信息和微服务的地址;
步骤S241,网关根据微服务的标识信息和微服务的地址将鉴权请求转发至对应的微服务。
通过上述步骤,在鉴权请求通过网关的第一次鉴权之后,网关解析鉴权请求,确定微服务的标识信息和微服务的地址,根据微服务的标识信息和微服务的地址将鉴权请求转发至对应的微服务,实现了网关对微服务的标识信息和微服务的地址的获取,以及实现了网关对鉴权请求的转发,是后续微服务鉴权的前提条件。
在其中一些实施例中,解析鉴权请求,确定微服务的标识信息和微服务的地址,包括如下步骤:
步骤S2400,网关截取鉴权请求URL,获取鉴权请求的标签信息;
步骤S2401,网关从数据库中获取路由列表;
步骤S2402,网关判断标签信息与路由列表是否匹配,若是,则进入步骤S2403;
步骤S2403,网关从路由列表中获取标签信息对应的微服务的标识信息和微服务的地址。
通过上述步骤,通过网关截取鉴权请求URL,获取鉴权请求的标签信息,从数据库中获取路由列表,通过判断路由列表中是否存在与标签信息匹配的微服务的标识信息和微服务的地址,确定鉴权请求中的微服务的标识信息和微服务的地址,实现了微服务的标识信息和微服务的地址的获取,为后续网关根据微服务的标识信息和微服务的地址转发鉴权请求到对应的微服务做准备。
下面通过优选实施例对本申请实施例进行描述和说明。
图3是根据本申请优选实施例的网关处理微服务鉴权请求的流程图。如图3所示,该流程包括如下步骤:
步骤S301,网关接收客户端发送的微服务鉴权请求,根据接入类型不同,进行不同的鉴权。
网关是用于接收外部请求的统一入口,根据接入类型不同,进行不同的鉴权,网关鉴权是服务入口的第一道认证关卡,接入类型包括通过终端接入和第三方提供开放接口接入,当前对外提供服务一般使用统一入口,该入口有可能是针对客户端APP、PC等终端接入,有用户状态的概念,此时需要通过用户请求根据用户账号和密码进行登录授权。当然也可能针对第三方提供开放接口,此时没有用户概念,需要通过授权给第三方AK/SK的方式进行鉴权。
需要说明的是,AK/SK通过使用Access Key ID/Secret Access Key加密的方法来验证某个请求的发送者身份,其中,Access Key ID(简写为AK,访问密钥ID)用于标示用户,Secret Access Key(简写为SK,访问密钥)是用户用于加密认证字符串的密钥,SK必须保密,AK/SK原理使用对称加解密。
步骤S302,网关对微服务鉴权请求进行解析,确定微服务名称以及微服务的路由地址。
网关对微服务鉴权请求的URL进行解析,微服务名称以及微服务的路由地址。
步骤S303,网关根据配置中心地址从配置中心中订阅与微服务名称对应的AK/SK。
网关根据配置中心地址从配置中心中订阅与微服务名称对应的AK/SK,图4是根据本申请优选实施例的微服务鉴权方法的示意图,如图4所示,配置中心用于配置各个服务的AK/SK和其他属性配置,其他属性包括项目数据库和项目名称,网关可以根据微服务名称从配置中心中拉取对应的AK/SK,另外,可以设置周期从配置中心拉取对应的AK/SK,同时用户可以操作web界面来配置或修改服务名称、AK/SK和其他属性,其他属性包括项目数据库和项目名称,当AK/SK配置完成或者修改之后,点击对应的发布,即可通知网关进行更新。
步骤S304,网关根据AK/SK和签名算法处理微服务鉴权请求,得到第一签名值。
一般AK/SK不会单独使用,会结合随机字符串以及MD5一起计算加密签名值,使其防篡改和重放攻击。
比如客户端请求服务端时,头部会新增以下信息:
x-heared-contentMD5值:对请求的报文进行MD5,计算出对应的MD5值;
x-heared-nonce:请求的随机字符串,防重放攻击;
x-heared-time:请求的时间戳以及设置客户端请求时间与网关处的时间间隔不能超过5分钟;
x-heared–ak:请求使用的访问密钥ID。
将以上信息组合成字符串为Str,使用加密密钥SK计算出第一签名值Base64(SHA256(Str,SK))。
需要说明的是,MD5(全称为Message-Digest Algorithm,信息摘要算法),是一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。
Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。
重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
步骤S305,网关根据微服务名称和微服务的路由地址将第一签名值和微服务鉴权请求转发至对应的微服务中。
网关根据微服务名称和微服务的路由地址将第一签名值和微服务鉴权请求转发至对应的微服务中,图5是根据本申请优选实施例的网关根据业务转发到对应服务的示意图,如图5所示,通过网关的鉴权之后,网关根据微服务鉴权请求确定对应的业务,根据业务将微服务鉴权请求和第一签名值转发到对应的服务。
通过上述步骤,网关根据解析得到的微服务名称找到对应的AK/SK,不同的微服务对应不同的AK/SK,网关根据微服务名称对应的AK/SK对微服务鉴权请求进行处理,得到第一签名值,并根据微服务名称将第一签名值发送至对应的微服务,为后续微服务根据第一签名值进行鉴权做准备,提高了微服务鉴权的安全性。
图6是根据本申请优选实施例的微服务鉴权方法的流程图一。如图6所示,该流程包括如下步骤:
步骤S601,接收网关发来的第一签名值和微服务鉴权请求。
与微服务名称对应的微服务会接收网关发来的第一签名值和微服务鉴权请求。
步骤S602,根据微服务名称从配置中心中拉取对应的AK/SK,使用AK/SK对微服务鉴权请求进行处理,得到第二签名值。
网关可以根据微服务名称从配置中心中拉取对应的AK/SK,另外,可以设置周期从配置中心拉取对应的AK/SK,同时用户可以操作web界面来配置或修改服务名称、AK/SK和其他属性,其他属性包括项目数据库和项目名称,当AK/SK配置完成或者修改之后,点击对应的发布,即可通知对应的微服务进行热更新。
本申请通过热更新从配置中心订阅更新后的AK/SK,攻击者不知道更新后的加密密钥SK,进一步保证微服务鉴权的安全性。
需要说明的是,服务端的热更新是指不需要重新部署后端服务,即可达到bug修复,升级更新的效果。
比如微服务接收网关发送的客户端请求时,会获取与客户端对应的x-heared-contentMD5、x-heared–nonce、x-heared–time和x-heared–ak。
将x-heared-contentMD5值、x-heared–nonce、x-heared–time和x-heared–ak组合成字符串为Str,使用加密密钥SK计算出第二签名值Base64(SHA256(Str,SK))。
步骤S603,根据第一签名值以及第二签名值进行鉴权。
比较算出来的第二签名值和网关传来的第一签名值是否一致,若是,则微服务鉴权请求则验证通过。
假如攻击者篡改网关向微服务发送的请求信息,图7是根据本申请优选实施例的攻击者篡改网关向对应微服务发送的鉴权请求的示意图,如图7所示,在网关根据微服务名称向对应的微服务发送鉴权请求时,攻击者拦截鉴权请求并对鉴权请求进行了修改。
比如,原始网关向对应微服务发送的鉴权请求信息如下:
x-heared-nonce:abc
x-heared-time:2020-10-27 00:00:00
x-heared–ak:qwert
x-heared-contentMD5:MD5(params)
x-content-sign:asaw12adw==
参数:params
{
a:123,
b:246
}
被攻击者拦截后,被攻击者修改后的鉴权请求如下所示:
x-heared-nonce:abc
x-heared-time:2020-10-27 00:00:00
x-heared–ak:qwert
x-heared-contentMD5:MD5(params)
x-content-sign:asaw12adw==
参数:params
{
a:123,
b:999
}
其中,通过以上,可以发现攻击者修改了请求报文里的参数,则进行MD5算法处理后的请求报文信息与原始请求报文不一致,另外,因为攻击者不知道SK,所以攻击者不能计算修改请求报文后的第一签名值,在微服务处接收经攻击者修改后的请求报文信息,并根据修改后的请求报文信息计算出第二签名值,因为微服务处接收的请求报文信息与网关处接收的请求报文信息不一致,会造成计算出来的第二签名值与第一签名值不一致,微服务处鉴权不通过,x-content-sign表示签名值。
通过上述步骤,根据与微服务名称对应的AK/SK,分别在网关和微服务处计算出第一签名值和第二签名值,通过比较第一签名值与第二签名值是否一致来进行微服务鉴权,提高了微服务鉴权的安全性,另外,微服务通过热更新从配置中心拉取更新后的AK/SK,进一步提高了微服务鉴权的安全性。
在其中一个实施例中,在微服务进行鉴权前需要先启动微服务鉴权功能,图8是根据本申请优选实施例的启动微服务鉴权功能的流程图。如图8所示,该流程包括如下步骤:
步骤S801,微服务启动。
启动微服务,包括第一微服务和第二微服务。
步骤S802,微服务鉴权功能初始化。
步骤S803,网关和微服务从配置中心拉取配置。
根据微服务名称和配置中心地址从配置中心拉取与微服务名称关联的AK/SK以及其他属性,其他属性包括项目数据库和项目名称。
步骤S804,判断配置是否拉取成功。
判断是否已从配置中心获取到与微服务名称关联的AK/SK以及其他属性,若是进入步骤S806,若否,进入步骤S805。
步骤S805,微服务启动失败。
若拉取与微服务名称关联的AK/SK失败,则说明微服务启动失败。
步骤S806,微服务启动成功。
若成功拉取与微服务名称关联的AK/SK,则说明微服务启动成功。
通过上述步骤,完成了微服务鉴权功能的启动。
在其中一个实施例中,网关对微服务鉴权请求进行解析,确定微服务名称以及微服务的路由地址,图9是根据本申请优选实施例的网关转发微服务鉴权请求的流程图。如图9所示,该流程包括如下步骤:
步骤S901,网关接收客户端微服务鉴权请求URL。
步骤S902,网关解析微服务鉴权请求URL,获取微服务的请求标识。
网关对微服务鉴权请求URL进行解析,获取微服务的请求标识,图10是根据本申请优选实施例的网关解析客户端鉴权请求的时序图,如图10所示,网关接收微服务鉴权请求,并对微服务鉴权请求进行截取,获取微服务请求标识base。
步骤S903,判断请求标识与路由列表是否匹配。
网关启动时从数据库中获取对应的路由列表,如图10所示,网关根据请求标识base与路由列表进行正则匹配,判断路由列表中是否存在与请求标识base对应的路由微服务路由地址和微服务名称,若是,进入步骤S904,若否,进入步骤S909。
步骤S904,根据请求标识获取微服务的路由地址和微服务名称。
步骤S905,判断微服务名称在配置中心是否存在对应的AK/SK。
若是,进入步骤S906,若否,进入步骤S909。
步骤S906,根据微服务名称从配置中心获取与微服务名称对应的AK/SK。
请求标识base与路由列表匹配成功后获取到对应的服务名称,然后获取与服务名称关联的AK/SK。
步骤S907,根据AK/SK和签名算法对微服务鉴权请求进行处理,得到第一签名值。
根据AK/SK和签名算法对微服务鉴权请求进行处理,处理在步骤S304中进行了阐述,得到第一签名值
步骤S908,根据微服务的路由地址和微服务名称将第一签名值和微服务鉴权请求转发到对应的微服务。
步骤S909,返回401错误。
返回401错误,401错误代表用户没有访问权限,需要进行身份认证。与这个错误一同返回的还有认证使用的方式(Basic或者Digest)和认证时使用的字段(realm)名称。
通过上述步骤,通过网关对微服务鉴权请求的解析,得到了与微服务名称关联的AK/SK,并根据与微服务名称关联的AK/SK和签名算法对微服务鉴权请求进行处理得到第一签名值,为后续微服务处根据第一签名值进行鉴权做了准备,实现了与微服务名称对应的AK/SK与第一签名值的关联。
在其中一个实施例中,网关和微服务可以通过热更新从配置中心订阅最新的AK/SK,另外,可以定期从配置中心拉取最新的AK/SK,图11是根据本申请优选实施例的网关以及微服务从配置中心拉取配置的时序图。如图11所示,用户可以通过配置中心的web页面新增新的AK/SK或修改AK/SK,配置中心将新的AK/SK更新到数据库,数据库更新完成后将新的AK/SK通过Kafka发布到网关和微服务的鉴权模块中,鉴权模块会订阅相关配置信息,相关配置信息包括新的AK/SK,鉴权模块收到Kafka发布的消息之后进行热更新,旧的AK/SK会加入延迟队列,另外,服务定期去配置中心拉取最新的AK/SK,用于和当前的AK/SK进行校验,确保拉取最新的AK/SK,拉取之后可以将旧的延迟队列的AK/SK进行清空。
需要说明的是,Kafka是由Apache软件基金会开发的一个开源流处理平台,由Scala和Java编写。Kafka是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者在网站中的所有动作流数据。
通过上述方式,配置中心可以将最新的AK/SK发布到网关和微服务,实现了网关和微服务获取到与微服务名称关联的最新AK/SK。
在其中一个实施方式中,当有微服务鉴权请求发来时,保存新的AK/SK和旧的AK/SK。
通过上述方式,可以使用新的AK/SK和旧的AK/SK进行微服务鉴权,防止微服务没有成功更新AK/SK而导致微服务间调用异常。
在其中一个实施例中,当第一微服务调用第二微服务时,第二微服务从配置中心拉取与其服务业务对应的AK2/SK2,使用AK2/SK2对第一微服务发送的第三签名值和调用请求进行处理,得到第四签名值,第二微服务比较第三签名值与第四签名值进行鉴权,图12是根据本申请优选实施例的微服务鉴权方法的流程图二,如图12所示,第一微服务根据第二微服务对应的AK/SK来调用第二微服务主要包括如下步骤:
步骤S1201,第一微服务向第二微服务发送调用请求。
当第一微服务需要调用第二微服务时,第一微服务向第二微服务发送调用请求,如图4所示。
步骤S1202,第一微服务从配置中心中拉取与第二微服务名称关联的AK2/SK2。
在本实施例中,第一微服务与第一微服务对应不同的AK/SK,第一微服务对应AK1/SK1,与第二微服务对应的是AK2/SK2。
步骤S1203,第一微服务依据与第二微服务名称关联的AK2/SK2处理调用请求,得到第三签名值,并将第三签名值转发至第二微服务。
在本实施例中,在调用请求头部增加x-heared-contentMD5、x-heared-nonce、x-heared-time和x-heared–ak,增加了头部信息的调用请求记为字符串Str2,使用步骤S304计算方法处理Str2,得到第三签名值。
步骤S1204,第二微服务根据AK2/SK2、调用请求和第三签名值进行鉴权。
在本实施例中,第二微服务接收到第一微服务处发送的增加了头部信息的调用请求,使用步骤S304计算方法处理增加了头部信息的调用请求,得到第四签名值,比较第三签名值与第四签名值是否相同,若是,鉴权通过,第一微服务可以成功调用第二微服务。
通过上述步骤,使用与第二微服务关联的AK2/SK2处理调用请求,在第一微服务与第二微服务处分别得到第三签名值和第四签名值,通过比较第三签名值与第四签名值是否相同来进行鉴权,提高了第一微服务调用第二微服务的安全性,在第一微服务被攻击者攻破的情况下,实现了攻击者不能攻破第二微服务。
本实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,微服务接收网关发送的鉴权请求,其中,鉴权请求包括第一签名数据。
S2,微服务获取鉴权请求的请求方参数和预设访问密钥标识,并将请求方参数和预设访问密钥标识组合成字符串,其中,预设访问密钥标识基于微服务的标识信息确定。
S3,微服务根据预设签名算法,计算字符串的签名,得到第二签名数据,其中,预设签名算法基于微服务的标识信息确定。
S4,微服务根据第一签名数据和第二签名数据对鉴权请求进行鉴权。
需要说明的是,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
另外,结合上述实施例中的微服务鉴权方法,本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种微服务鉴权方法。
本领域的技术人员应该明白,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (12)
1.一种微服务鉴权方法,其特征在于,包括:
微服务接收网关发送的鉴权请求,其中,所述鉴权请求包括第一签名数据;
所述微服务获取所述鉴权请求的请求方参数和预设访问密钥标识,并将所述请求方参数和预设访问密钥标识组合成字符串,其中,所述预设访问密钥标识基于所述微服务的标识信息确定;
所述微服务根据预设签名算法,计算所述字符串的签名,得到第二签名数据,其中,所述预设签名算法基于所述微服务的标识信息确定;
所述微服务根据所述第一签名数据和所述第二签名数据对所述鉴权请求进行鉴权。
2.根据权利要求1所述的微服务鉴权方法,其特征在于,将所述请求方参数和预设访问密钥标识组合成字符串包括:
获取配置中心地址,根据所述配置中心地址从配置中心拉取与所述微服务的标识信息关联的预设访问密钥标识;
在所述鉴权请求的前端加入第一散列值、请求的随机字符串和请求的时间,得到所述请求方参数;
将所述请求方参数和所述预设访问密钥标识组合成字符串。
3.根据权利要求1所述的微服务鉴权方法,其特征在于,所述微服务根据预设签名算法,计算所述字符串的签名,得到第二签名数据包括:
根据配置中心地址从配置中心拉取与所述微服务的标识信息关联的预设访问密钥,使用所述预设访问密钥对所述字符串进行加密,得到第二签名数据。
4.根据权利要求1所述的微服务鉴权方法,其特征在于,所述微服务根据所述第一签名数据和所述第二签名数据对所述鉴权请求进行鉴权包括:
判断所述第一签名数据与所述第二签名数据是否相同;
若是,鉴权请求通过。
5.根据权利要求1所述的微服务鉴权方法,其特征在于,所述微服务包括第一微服务和第二微服务,所述方法还包括:
所述第一微服务能够根据所述第二微服务标识信息调用所述第二微服务。
6.根据权利要求5所述的微服务鉴权方法,其特征在于,所述第一微服务能够根据所述第二微服务标识信息调用所述第二微服务包括:
所述第二微服务接收第一微服务发送的调用请求,其中,所述鉴权请求包括第三签名数据
所述第二微服务获取所述调用请求的调用方参数和第二访问密钥标识,并将所述调用方参数和第二访问密钥标识组合成字符串,其中,所述第二访问密钥标识基于所述第二微服务的标识信息确定;
所述第二微服务根据预设签名算法,计算所述字符串的签名,得到第四签名数据,其中,所述预设签名算法基于所述第二微服务的标识信息确定;
所述第二微服务根据所述第三签名数据和所述第四签名数据对所述调用请求进行鉴权。
7.根据权利要求1所述的微服务鉴权方法,其特征在于,所述方法还包括:
在配置中心中的访问密钥标识和访问密钥存在更新的情况下,根据所述微服务的标识信息接收从配置中心发布的更新后的访问密钥标识和更新后的访问密钥,保存更新后的访问密钥标识、更新后的访问密钥以及更新前的访问密钥标识和访问密钥。
8.根据权利要求1所述的微服务鉴权方法,其特征在于,微服务接收网关发送的鉴权请求之前包括:
网关根据用户名和密码进行鉴权或者通过第三方授权进行鉴权。
9.根据权利要求1所述的微服务鉴权方法,其特征在于,网关根据用户名和密码进行鉴权或者通过第三方授权进行鉴权之后包括:
网关获取客户端发送的鉴权请求,解析所述鉴权请求,确定微服务的标识信息和微服务的地址;
网关根据所述微服务的标识信息和所述微服务的地址将所述鉴权请求转发至对应的微服务。
10.根据权利要求1所述的微服务鉴权方法,其特征在于,解析所述鉴权请求,确定微服务的标识信息和微服务的地址包括:
网关截取鉴权请求URL,获取鉴权请求的标签信息;
网关从数据库中获取路由列表;
网关判断所述标签信息与所述路由列表是否匹配;
若是,网关从所述路由列表中获取所述标签信息对应的微服务的标识信息和微服务的地址。
11.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至10中任一项所述的微服务鉴权方法。
12.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至10中任一项所述的微服务鉴权方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110680864.2A CN113505382A (zh) | 2021-06-18 | 2021-06-18 | 微服务鉴权方法、电子装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110680864.2A CN113505382A (zh) | 2021-06-18 | 2021-06-18 | 微服务鉴权方法、电子装置和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113505382A true CN113505382A (zh) | 2021-10-15 |
Family
ID=78010280
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110680864.2A Pending CN113505382A (zh) | 2021-06-18 | 2021-06-18 | 微服务鉴权方法、电子装置和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113505382A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113922970A (zh) * | 2021-10-29 | 2022-01-11 | 许昌许继软件技术有限公司 | 一种用于微服务的特征认证标识系统和方法 |
| CN114785578A (zh) * | 2022-04-13 | 2022-07-22 | 福建天晴数码有限公司 | 一种rpc服务权限管理的方法及系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108199852A (zh) * | 2018-04-02 | 2018-06-22 | 上海企越信息技术有限公司 | 一种鉴权方法、鉴权系统和计算机可读存储介质 |
| CN108810029A (zh) * | 2018-07-23 | 2018-11-13 | 珠海宏桥高科技有限公司 | 一种微服务架构服务间鉴权系统及优化方法 |
| US20190306138A1 (en) * | 2018-03-27 | 2019-10-03 | Oracle International Corporation | Cross-Region Trust for a Multi-Tenant Identity Cloud Service |
| CN110839029A (zh) * | 2019-11-14 | 2020-02-25 | 腾讯科技(深圳)有限公司 | 一种微服务注册方法和装置 |
| CN111600899A (zh) * | 2020-05-25 | 2020-08-28 | 华人运通(上海)云计算科技有限公司 | 微服务访问控制方法、装置、电子设备及存储介质 |
| CN112187724A (zh) * | 2020-09-03 | 2021-01-05 | 北京金山云网络技术有限公司 | 访问控制方法、装置、网关、客户端和安全令牌服务 |
| CN112511295A (zh) * | 2020-11-12 | 2021-03-16 | 银联商务股份有限公司 | 接口调用的认证方法、装置、微服务应用和密钥管理中心 |
| CN112788036A (zh) * | 2021-01-13 | 2021-05-11 | 中国人民财产保险股份有限公司 | 身份验证方法及装置 |
-
2021
- 2021-06-18 CN CN202110680864.2A patent/CN113505382A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190306138A1 (en) * | 2018-03-27 | 2019-10-03 | Oracle International Corporation | Cross-Region Trust for a Multi-Tenant Identity Cloud Service |
| CN108199852A (zh) * | 2018-04-02 | 2018-06-22 | 上海企越信息技术有限公司 | 一种鉴权方法、鉴权系统和计算机可读存储介质 |
| CN108810029A (zh) * | 2018-07-23 | 2018-11-13 | 珠海宏桥高科技有限公司 | 一种微服务架构服务间鉴权系统及优化方法 |
| CN110839029A (zh) * | 2019-11-14 | 2020-02-25 | 腾讯科技(深圳)有限公司 | 一种微服务注册方法和装置 |
| CN111600899A (zh) * | 2020-05-25 | 2020-08-28 | 华人运通(上海)云计算科技有限公司 | 微服务访问控制方法、装置、电子设备及存储介质 |
| CN112187724A (zh) * | 2020-09-03 | 2021-01-05 | 北京金山云网络技术有限公司 | 访问控制方法、装置、网关、客户端和安全令牌服务 |
| CN112511295A (zh) * | 2020-11-12 | 2021-03-16 | 银联商务股份有限公司 | 接口调用的认证方法、装置、微服务应用和密钥管理中心 |
| CN112788036A (zh) * | 2021-01-13 | 2021-05-11 | 中国人民财产保险股份有限公司 | 身份验证方法及装置 |
Non-Patent Citations (4)
| Title |
|---|
| AIJUN YAN等: "Module Research of Blockchain-based Power Equipment Inspection and Data Asset Sharing", 《2021 INTERNATIONAL CONFERENCE ON POWER SYSTEM TECHNOLOGY (POWERCON)》, 9 December 2021 (2021-12-09), pages 2087 - 2092, XP034080422, DOI: 10.1109/POWERCON53785.2021.9697647 * |
| 笪程: "基于微服务架构的电商平台安全机制的设计与实现", 《中国优秀硕士学位论文全文数据库》, no. 01, 31 January 2022 (2022-01-31), pages 138 - 593 * |
| 郭永江: "基于微服务架构的智慧城市应用设计", 《电脑编程技巧与维护》, no. 04, 30 April 2021 (2021-04-30), pages 58 - 60 * |
| 陈博伟等: "电润湿双液体透镜的建模仿真", 《电脑知识与技术》, vol. 14, no. 15, 31 May 2018 (2018-05-31), pages 192 - 195 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113922970A (zh) * | 2021-10-29 | 2022-01-11 | 许昌许继软件技术有限公司 | 一种用于微服务的特征认证标识系统和方法 |
| CN114785578A (zh) * | 2022-04-13 | 2022-07-22 | 福建天晴数码有限公司 | 一种rpc服务权限管理的方法及系统 |
| CN114785578B (zh) * | 2022-04-13 | 2023-09-29 | 福建天晴数码有限公司 | 一种rpc服务权限管理的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109660343B (zh) | 令牌更新方法、装置、计算机设备及存储介质 | |
| CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
| US20210176075A1 (en) | Cryptographic communication system and cryptographic communication method based on blockchain | |
| JP4709815B2 (ja) | 認証方法および装置 | |
| US8285989B2 (en) | Establishing a secured communication session | |
| KR101508497B1 (ko) | 차량용 데이터의 인증 및 획득 방법 | |
| CN107483383B (zh) | 一种数据处理方法、终端、后台服务器及存储介质 | |
| US8595501B2 (en) | Network helper for authentication between a token and verifiers | |
| US11296892B2 (en) | Secure inter-service communications in a cloud computing system | |
| CN113067828A (zh) | 报文处理方法、装置、服务器、计算机设备及存储介质 | |
| US20110145579A1 (en) | Password authentication method | |
| CN110781140B (zh) | 区块链中数据签名的方法、装置、计算机设备及存储介质 | |
| CN112989426B (zh) | 授权认证方法及装置、资源访问令牌的获取方法 | |
| CN112565205B (zh) | 可信认证和度量方法、服务器、终端及可读存储介质 | |
| CN107517194B (zh) | 一种内容分发网络的回源认证方法和装置 | |
| CN113505382A (zh) | 微服务鉴权方法、电子装置和存储介质 | |
| US20230283479A1 (en) | Data Transmission Method and Apparatus, Device, System, and Storage Medium | |
| CN111786777B (zh) | 一种流式数据加解密方法、装置、系统及存储介质 | |
| CN114614994A (zh) | Api接口数据的通信方法、装置、客户端及存储介质 | |
| Kumar et al. | A conditional privacy-preserving and desynchronization-resistant authentication protocol for vehicular ad hoc network | |
| CN111385258B (zh) | 一种数据通信的方法、装置、客户端、服务器和存储介质 | |
| KR101256114B1 (ko) | 다수의 mac검증서버에 의한 메시지인증코드 검증 방법 및 시스템 | |
| He et al. | On one-time cookies protocol based on one-time password | |
| Kumar et al. | Secure and efficient cache-based authentication scheme for vehicular ad-hoc networks | |
| CN114079573B (zh) | 一种路由器访问方法以及路由器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |