CN113922981A - 一种用于微服务安全的防护方法及系统、电子设备、存储介质 - Google Patents
一种用于微服务安全的防护方法及系统、电子设备、存储介质 Download PDFInfo
- Publication number
- CN113922981A CN113922981A CN202110983326.0A CN202110983326A CN113922981A CN 113922981 A CN113922981 A CN 113922981A CN 202110983326 A CN202110983326 A CN 202110983326A CN 113922981 A CN113922981 A CN 113922981A
- Authority
- CN
- China
- Prior art keywords
- service
- micro
- authorization code
- client
- random authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000013475 authorization Methods 0.000 claims abstract description 45
- 238000004590 computer program Methods 0.000 claims description 4
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Medical Treatment And Welfare Office Work (AREA)
Abstract
本发明公开了一种用于微服务安全的防护方法及系统、电子设备、存储介质,属于微服务安全技术领域,包括微服务启动注册时,微服务提供终端将微服务的网络地址以及一随机授权码发送至注册中心进行注册;获得最新的服务列表,并获取服务列表中每个微服务的网络地址以及对应的随机授权码;将服务列表中每个微服务的网络地址以及对应的随机授权码对应发送给客户端;客户端向微服务提供终端发起调用请求;微服务提供终端对客户端发送认证请求。本发明采用服务注册时加入随机授权码写入注册中心,调用时携带授权码,非法调用,直接拼接报文的方式不能在直接调用服务。
Description
技术领域
本发明属于微服务安全技术领域,特别涉及一种用于微服务安全的防护方法及系统、电子设备、存储介质。
背景技术
通常系统中心服务通过服务总线或是服务网关对外提供服务,但是服务的启动端口和报文如果被知晓的情况下,可以随意拼写报文被调用,绕过服务网关或服务总线,存在一定的安全隐患。
发明内容
针对分布式内存数据库操作异常无法响应的问题,本发明提供一种用于微服务安全的防护方法及系统、电子设备、存储介质,其方法用于实现客户端对微服务基于HTTP的访问,包括:
微服务启动注册时,微服务提供终端将所述微服务的网络地址以及一随机授权码发送至注册中心进行注册;
从所述注册中心获得最新的用于对外提供微服务的服务列表,并获取所述服务列表中每个所述微服务的网络地址以及对应的随机授权码;
将获得的所述服务列表和所述服务列表中每个所述微服务的网络地址以及对应的随机授权码对应发送给各个客户端;
所述客户端基于HTTP向所述微服务提供终端发起调用请求;
所述微服务提供终端对所述客户端发送认证请求;若所述客户端携带的所述随机授权码与其所调用的所述微服务的随机授权码一致,则通过;若不一致,则驳回。
优选的是,所述认证请求是基于HTTP Basic Authentication方式的认证。
本发明实施例提供的一种用于微服务安全的防护的系统,包括:
微服务提供终端,用于微服务启动注册时,将所述微服务的网络地址以及一随机授权码发送至注册中心进行注册;
注册中心,用于获得最新的用于对外提供微服务的服务列表,并获取所述服务列表中每个所述微服务的网络地址以及对应的随机授权码;
管理模块,用于将获得的所述服务列表和所述服务列表中每个所述微服务的网络地址以及对应的随机授权码对应发送给各个客户端;
请求模块,用于所述客户端基于HTTP向所述微服务提供终端发起调用请求;
认证模块,用于所述微服务提供终端对所述客户端发送认证请求;若所述客户端携带的所述随机授权码与其所调用的所述微服务的随机授权码一致,则通过;若不一致,则驳回。
本发明实施例提供的一种电子设备,包括至少一个处理单元以及至少一个存储单元,其中,所述存储单元存储有程序,当所述程序被所述处理单元执行时,使得所述处理单元执行上述所述的方法。
本发明实施例提供的一种计算机可读存储介质,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行上述所述的方法。
与现有技术相比,本发明的有益效果为:
本发明采用服务注册时加入随机授权码写入注册中心,调用时携带授权码,非法调用,直接拼接报文的方式不能在直接调用服务,保障了微服务只能被规定的、合法的进行调用。
附图说明
图1是本发明实施例提供的用于微服务安全的防护方法流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本实施例中,关于名词的定义:
微服务提供终端:对外提供微服务的,能独立运行的程序,有唯一的服务网络地址URL;
注册中心:微服务提供终端把要提供的服务名、自己的URL以及随机授权码注册到服务注册中心,访问注册中心,可以根据服务名来获得服务列表;
客户端:通过URL调用服务。
参照图1,一种用于微服务安全的防护方法及系统、电子设备、存储介质,其方法用于实现客户端对微服务基于HTTP的访问,包括:
微服务启动注册时,微服务提供终端将微服务的网络地址以及一随机授权码发送至注册中心进行注册;
在本实施例中,每次微服务启动时,都会重新产生一个随机授权码,保证了微服务不会被非法调用。
从注册中心获得最新的用于对外提供微服务的服务列表,并获取服务列表中每个微服务的网络地址以及对应的随机授权码;
将获得的服务列表和服务列表中每个微服务的网络地址以及对应的随机授权码对应发送给各个客户端;
客户端基于HTTP向微服务提供终端发起调用请求;
微服务提供终端对客户端发送认证请求;若客户端携带的随机授权码与其所调用的微服务的随机授权码一致,则通过;若不一致,则驳回。
进一步地,认证请求是基于HTTP Basic Authentication方式的认证。
本发明实施例提供的一种用于微服务安全的防护的系统,包括:
微服务提供终端,用于微服务启动注册时,将微服务的网络地址以及一随机授权码发送至注册中心进行注册;
注册中心,用于获得最新的用于对外提供微服务的服务列表,并获取服务列表中每个微服务的网络地址以及对应的随机授权码;
管理模块,用于将获得的服务列表和服务列表中每个微服务的网络地址以及对应的随机授权码对应发送给各个客户端;
请求模块,用于客户端基于HTTP向微服务提供终端发起调用请求;
认证模块,用于微服务提供终端对客户端发送认证请求;若客户端携带的随机授权码与其所调用的微服务的随机授权码一致,则通过;若不一致,则驳回。
本发明实施例提供的一种电子设备,包括至少一个处理单元以及至少一个存储单元,其中,存储单元存储有程序,当程序被处理单元执行时,使得处理单元执行上述的方法。
本发明实施例提供的一种计算机可读存储介质,其存储有可由电子设备执行的计算机程序,当程序在电子设备上运行时,使得电子设备执行上述的方法。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种用于微服务安全的防护方法,用于实现客户端对微服务基于HTTP的访问,其特征在于,包括:
微服务启动注册时,微服务提供终端将所述微服务的网络地址以及一随机授权码发送至注册中心进行注册;
从所述注册中心获得最新的用于对外提供微服务的服务列表,并获取所述服务列表中每个所述微服务的网络地址以及对应的随机授权码;
将获得的所述服务列表和所述服务列表中每个所述微服务的网络地址以及对应的随机授权码对应发送给各个客户端;
所述客户端基于HTTP向所述微服务提供终端发起调用请求;
所述微服务提供终端对所述客户端发送认证请求;若所述客户端携带的所述随机授权码与其所调用的所述微服务的随机授权码一致,则通过;若不一致,则驳回。
2.如权利要求1所述的用于微服务安全的防护方法,其特征在于,所述认证请求是基于HTTP Basic Authentication方式的认证。
3.一种用于微服务安全的防护的系统,其特征在于,包括:
微服务提供终端,用于微服务启动注册时,将所述微服务的网络地址以及一随机授权码发送至注册中心进行注册;
注册中心,用于获得最新的用于对外提供微服务的服务列表,并获取所述服务列表中每个所述微服务的网络地址以及对应的随机授权码;
管理模块,用于将获得的所述服务列表和所述服务列表中每个所述微服务的网络地址以及对应的随机授权码对应发送给各个客户端;
请求模块,用于所述客户端基于HTTP向所述微服务提供终端发起调用请求;
认证模块,用于所述微服务提供终端对所述客户端发送认证请求;若所述客户端携带的所述随机授权码与其所调用的所述微服务的随机授权码一致,则通过;若不一致,则驳回。
4.一种电子设备,其特征在于,包括至少一个处理单元以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行权利要求1~2任一权利要求所述的方法。
5.一种存储介质,其特征在于,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行权利要求1~2任一权利要求所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110983326.0A CN113922981A (zh) | 2021-08-25 | 2021-08-25 | 一种用于微服务安全的防护方法及系统、电子设备、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110983326.0A CN113922981A (zh) | 2021-08-25 | 2021-08-25 | 一种用于微服务安全的防护方法及系统、电子设备、存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113922981A true CN113922981A (zh) | 2022-01-11 |
Family
ID=79233249
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110983326.0A Pending CN113922981A (zh) | 2021-08-25 | 2021-08-25 | 一种用于微服务安全的防护方法及系统、电子设备、存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113922981A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111245888A (zh) * | 2019-12-24 | 2020-06-05 | 北京中盾安全技术开发公司 | 一种视频图像服务管理方法 |
CN112291178A (zh) * | 2019-07-22 | 2021-01-29 | 京东方科技集团股份有限公司 | 一种服务提供方法、装置及电子设备 |
CN112637163A (zh) * | 2020-12-14 | 2021-04-09 | 北京中电普华信息技术有限公司 | 一种基于api网关的认证授权方法及系统 |
CN112688963A (zh) * | 2021-01-26 | 2021-04-20 | 广东金赋科技股份有限公司 | 网关授权接入与对外开放服务的方法、装置及存储介质 |
-
2021
- 2021-08-25 CN CN202110983326.0A patent/CN113922981A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112291178A (zh) * | 2019-07-22 | 2021-01-29 | 京东方科技集团股份有限公司 | 一种服务提供方法、装置及电子设备 |
CN111245888A (zh) * | 2019-12-24 | 2020-06-05 | 北京中盾安全技术开发公司 | 一种视频图像服务管理方法 |
CN112637163A (zh) * | 2020-12-14 | 2021-04-09 | 北京中电普华信息技术有限公司 | 一种基于api网关的认证授权方法及系统 |
CN112688963A (zh) * | 2021-01-26 | 2021-04-20 | 广东金赋科技股份有限公司 | 网关授权接入与对外开放服务的方法、装置及存储介质 |
Non-Patent Citations (2)
Title |
---|
周洪岩;: "基于Dubbo微服务技术的应用与实现", 信息与电脑(理论版), no. 19, pages 2 * |
范迪;朱志祥;: "一种Dubbo框架的授权认证方案", 计算机技术与发展, no. 11 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6980796B1 (en) | Method and system for verifying the authenticity of a first communication participants in a communications network | |
CN106779716B (zh) | 基于区块链账户地址的认证方法、装置及系统 | |
EP3085020B1 (en) | Security gateway for a regional/home network | |
US20120210177A1 (en) | Network communication system, server system, and terminal | |
CN111083132B (zh) | 一种具有敏感数据的web应用的安全访问方法及系统 | |
EP2770690A1 (en) | Protecting multi-factor authentication | |
CN107733853B (zh) | 页面访问方法、装置、计算机和介质 | |
CN114422139B (zh) | Api网关请求安全验证方法、装置、电子设备及计算机可读介质 | |
CN101521885A (zh) | 一种权限控制方法、系统及设备 | |
CN111935123A (zh) | 一种检测dns欺骗攻击的方法、设备、存储介质 | |
CN116015928A (zh) | 单包认证方法、装置和计算机可读存储介质 | |
CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
CN112231679B (zh) | 一种终端设备验证方法、装置及存储介质 | |
CN113259429A (zh) | 会话保持管控方法、装置、计算机设备及介质 | |
CN112261103A (zh) | 一种节点接入方法及相关设备 | |
CN112333272A (zh) | 一种微服务数据访问方法、装置、设备及可读存储介质 | |
CN113922981A (zh) | 一种用于微服务安全的防护方法及系统、电子设备、存储介质 | |
CN111258781A (zh) | 微服务的调用鉴权方法、装置、设备及存储介质 | |
CN113079506B (zh) | 网络安全认证方法、装置及设备 | |
CN107846410B (zh) | 一种入网验证的方法和装置 | |
CN113596823A (zh) | 切片网络保护方法及装置 | |
CN106162630B (zh) | 一种终端设备的加密防护方法 | |
KR101395835B1 (ko) | 단말장치 및 인증관리장치와, 그 장치의 동작 방법 | |
CN115696329B (zh) | 零信任认证方法及装置、零信任客户端设备和存储介质 | |
CN114338777B (zh) | 一种逃生控制方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |