CN114338154A - 用户身份认证方法、装置、设备及计算机可读存储介质 - Google Patents
用户身份认证方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN114338154A CN114338154A CN202111626211.2A CN202111626211A CN114338154A CN 114338154 A CN114338154 A CN 114338154A CN 202111626211 A CN202111626211 A CN 202111626211A CN 114338154 A CN114338154 A CN 114338154A
- Authority
- CN
- China
- Prior art keywords
- user
- bill
- channel
- authentication
- ticket
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000003860 storage Methods 0.000 title claims abstract description 12
- 238000013475 authorization Methods 0.000 claims description 36
- 238000012795 verification Methods 0.000 claims description 10
- 238000004806 packaging method and process Methods 0.000 claims description 8
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000009826 distribution Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000005336 cracking Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本申请提供了一种用户身份认证方法、装置、设备及计算机可读存储介质。该用户身份认证方法,应用于应用程序接口API网关,方法包括:接收用户的用户登录信息;在验证用户登录信息合法的情况下,生成并向用户分配对应的认证票据;其中,认证票据具有预设使用期限;接收用户针对目标API服务的业务请求;其中,业务请求包括认证票据和渠道票据;验证认证票据和渠道票据是否均完整且有效,以确定用户的身份是否合法。根据本申请实施例,能够提高用户身份认证的安全性。
Description
技术领域
本申请涉及用户身份认证技术领域,尤其涉及一种用户身份认证方法、装置、设备及计算机可读存储介质。
背景技术
随着信息化发展,微服务作为一个高效的设计开发架构,已经被越来越广泛的应用在信息化生产环境,而由于微服务自身的升级理念,随之而来的应用程序接口(Application Programming Interface,API)服务随之增多,为了满足统一管理这些API服务,业内一般引入微服务API网关(API Gateway),通过API网关将各个API服务统一管理。
在用户发起请求目标API服务时,需要对该用户进行身份认证。目前,API网关对用户身份认证的方式是基于该用户的加密票据进行身份认证,但是该加密票据可能被非法用户通过技术手段破解(如暴力破解,http拦截等),一旦加密票据被破解,则非法用户可以通过该加密票据合法的请求API网关的相关业务服务,并可能导致信息泄露,安全性较差。
因此,如何提高用户身份认证的安全性是本领域技术人员亟需解决的技术问题。
发明内容
本申请实施例提供一种用户身份认证方法、装置、设备及计算机可读存储介质,能够提高用户身份认证的安全性。
第一方面,本申请实施例提供一种用户身份认证方法,应用于应用程序接口API网关,方法包括:
接收用户的用户登录信息;
在验证用户登录信息合法的情况下,生成并向用户分配对应的认证票据;其中,认证票据具有预设使用期限;
接收用户针对目标API服务的业务请求;其中,业务请求包括认证票据和渠道票据;
验证认证票据和渠道票据是否均完整且有效,以确定用户的身份是否合法。
可选的,验证认证票据和渠道票据是否均完整且有效,以确定用户的身份是否合法,包括:
若验证出认证票据和渠道票据中任意一个不完整,则向用户反馈票据异常提示信息。
可选的,验证认证票据和渠道票据是否均完整且有效,以确定用户的身份是否合法,包括:
若验证出认证票据和渠道票据均完整,则验证认证票据和渠道票据是否均有效;
若验证出认证票据和渠道票据中任意一个无效,则向用户反馈票据非法提示信息。
可选的,若验证出认证票据和渠道票据均有效,方法还包括:
验证渠道票据是否获得目标API服务对应的目标资源的授权;
若渠道票据未获得目标资源的授权,则向用户反馈渠道票据权限不足提示信息。
可选的,若验证出认证票据和渠道票据均有效,方法还包括:
验证用户是否获得目标API服务的授权;
若用户未获得目标API服务的授权,则向用户反馈用户权限不足提示信息。
可选的,若渠道票据获得目标资源的授权且用户获得目标API服务的授权,方法还包括:
将业务请求转发到目标资源配置的实际业务地址;
接收并验证反馈的请求结果;
若请求结果正常,则向用户发送请求结果;
若请求结果异常,则按照错误类型,将请求结果封装到返回体的错误消息字段返回。
可选的,在接收用户的用户登录信息之前,方法还包括:
在创建用户后,分配用户对应的业务权限;
在创建资源后,配置资源对应的服务信息;
基于资源,创建资源的子资源;其中,各个子资源依据统一资源标识符URI的前缀路径进行区分;
在创建渠道后,分配渠道对应的渠道票据;
通过创建渠道授权关联,将资源下的各个子资源与各个渠道票据进行关联。
第二方面,本申请实施例提供了一种用户身份认证装置,应用于应用程序接口API网关,装置包括:
登录信息接收模块,用于接收用户的用户登录信息;
生成分配模块,用于在验证用户登录信息合法的情况下,生成并向用户分配对应的认证票据;其中,认证票据具有预设使用期限;
业务请求接收模块,用于接收用户针对目标API服务的业务请求;其中,业务请求包括认证票据和渠道票据;
验证模块,用于验证认证票据和渠道票据是否均完整且有效,以确定用户的身份是否合法。
可选的,验证模块,用于若验证出认证票据和渠道票据中任意一个不完整,则向用户反馈票据异常提示信息。
可选的,验证模块,用于若验证出认证票据和渠道票据均完整,则验证认证票据和渠道票据是否均有效;若验证出认证票据和渠道票据中任意一个无效,则向用户反馈票据非法提示信息。
可选的,若验证出认证票据和渠道票据均有效,验证模块,还用于验证渠道票据是否获得目标API服务对应的目标资源的授权;若渠道票据未获得目标资源的授权,则向用户反馈渠道票据权限不足提示信息。
可选的,若验证出认证票据和渠道票据均有效,验证模块,还用于验证用户是否获得目标API服务的授权;若用户未获得目标API服务的授权,则向用户反馈用户权限不足提示信息。
可选的,若渠道票据获得目标资源的授权且用户获得目标API服务的授权,装置还包括:
业务请求发送模块,用于将业务请求转发到目标资源配置的实际业务地址;
请求结果接收验证模块,用于接收并验证反馈的请求结果;
请求结果发送模块,用于若请求结果正常,则向用户发送请求结果;
请求结果封装模块,用于若请求结果异常,则按照错误类型,将请求结果封装到返回体的错误消息字段返回。
可选的,装置还包括:
业务权限分配模块,用于在创建用户后,分配用户对应的业务权限;
服务信息配置模块,用于在创建资源后,配置资源对应的服务信息;
资源创建模块,用于基于资源,创建资源的子资源;其中,各个子资源依据统一资源标识符(Uniform Resource Identifier,URI)的前缀路径进行区分;
渠道票据分配模块,用于在创建渠道后,分配渠道对应的渠道票据;
关联模块,用于通过创建渠道授权关联,将资源下的各个子资源与各个渠道票据进行关联。
第三方面,本申请实施例提供了一种电子设备,设备包括:处理器,存储器及存储在存储器上并可在处理器上运行的程序或指令,程序或指令被处理器执行时实现如第一方面所示的用户身份认证方法的步骤。
第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质上存储程序或指令,程序或指令被处理器执行时实现如第一方面所示的用户身份认证方法的步骤。
本申请实施例的用户身份认证方法、装置、设备及计算机可读存储介质,能够提高用户身份认证的安全性。该用户身份认证方法,应用于应用程序接口API网关,在接收并验证用户登录信息合法的情况下,生成并向用户分配对应的认证票据;其中,所述认证票据具有预设使用期限;接收用户针对目标API服务的业务请求;其中,业务请求包括认证票据和渠道票据;验证认证票据和渠道票据是否均完整且有效,以确定用户的身份是否合法。该方法中的认证票据是动态生成并分配的,且具有预设使用期限,相比于现有技术中的静态的加密票据,该动态生成并分配的认证票据可以有效地避免被非法用户通过技术手段破解(如暴力破解,http拦截等),进而可以有效避免信息泄露,能够提高用户身份认证的安全性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一个实施例提供的用户身份认证方法的流程示意图;
图2是本申请另一个实施例提供的用户身份认证方法的流程示意图;
图3是本申请一个实施例提供的用户身份认证装置的结构示意图;
图4是本申请一个实施例提供的电子设备的结构示意图。
具体实施方式
下面将详细描述本申请的各个方面的特征和示例性实施例,为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本申请进行进一步详细描述。应理解,此处所描述的具体实施例仅意在解释本申请,而不是限定本申请。对于本领域技术人员来说,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在用户发起请求目标API服务时,需要对该用户进行身份认证。目前,API网关对用户身份认证的方式是基于该用户的加密票据进行身份认证,但是该加密票据可能被非法用户通过技术手段破解(如暴力破解,http拦截等),一旦加密票据被破解,则非法用户可以通过该加密票据合法的请求API网关的相关业务服务,并可能导致信息泄露,安全性较差。
为了解决现有技术问题,本申请实施例提供了一种用户身份认证方法、装置、设备及计算机可读存储介质。下面首先对本申请实施例所提供的用户身份认证方法进行介绍。
图1示出了本申请一个实施例提供的用户身份认证方法的流程示意图。该用户身份认证方法应用于应用程序接口API网关,如图1所示,该方法包括:
S101、接收用户的用户登录信息。
其中,用户登录信息可以包括用户的用户名和登录密码。在一个实施例中,在接收用户的用户登录信息之前,该方法还可以包括:
在创建用户后,分配用户对应的业务权限;
在创建资源后,配置资源对应的服务信息;
基于资源,创建资源的子资源;其中,各个子资源依据统一资源标识符URI的前缀路径进行区分;
在创建渠道后,分配渠道对应的渠道票据;
通过创建渠道授权关联,将资源下的各个子资源与各个渠道票据进行关联。
S102、在验证用户登录信息合法的情况下,生成并向用户分配对应的认证票据;其中,认证票据具有预设使用期限。
其中,认证票据的预设使用期限可以是5分钟,也可以是30分钟等等,在此对其不作具体限定,可由本领域技术人员根据实际情况作出相应设定。
认证票据是动态生成并分配的,且具有预设使用期限,当用户超过该预设使用期限不使用该认证票据时,认证票据将自动销毁,相比于现有技术中的静态的加密票据,该动态生成并分配的认证票据可以有效地避免被非法用户通过技术手段破解(如暴力破解,http拦截等),进而可以有效避免信息泄露,能够提高用户身份认证的安全性。
S103、接收用户针对目标API服务的业务请求;其中,业务请求包括认证票据和渠道票据。
S104、验证认证票据和渠道票据是否均完整且有效,以确定用户的身份是否合法。
在一个实施例中,验证认证票据和渠道票据是否均完整且有效,以确定用户的身份是否合法,包括:
若验证出认证票据和渠道票据中任意一个不完整,则向用户反馈票据异常提示信息。
在一个实施例中,验证认证票据和渠道票据是否均完整且有效,以确定用户的身份是否合法,包括:
若验证出认证票据和渠道票据均完整,则验证认证票据和渠道票据是否均有效;
若验证出认证票据和渠道票据中任意一个无效,则向用户反馈票据非法提示信息。
在一个实施例中,若验证出认证票据和渠道票据均有效,该方法还包括:
验证渠道票据是否获得目标API服务对应的目标资源的授权;
若渠道票据未获得目标资源的授权,则向用户反馈渠道票据权限不足提示信息。
在一个实施例中,若验证出认证票据和渠道票据均有效,该方法还包括:
验证用户是否获得目标API服务的授权;
若用户未获得目标API服务的授权,则向用户反馈用户权限不足提示信息。
在一个实施例中,若渠道票据获得目标资源的授权且用户获得目标API服务的授权,方法还包括:
将业务请求转发到目标资源配置的实际业务地址;
接收并验证反馈的请求结果;
若请求结果正常,则向用户发送请求结果;
若请求结果异常,则按照错误类型,将请求结果封装到返回体的错误消息字段返回。
本申请提供的用户身份认证方法,应用于应用程序接口API网关,在接收并验证用户登录信息合法的情况下,生成并向用户分配对应的认证票据;其中,所述认证票据具有预设使用期限;接收用户针对目标API服务的业务请求;其中,业务请求包括认证票据和渠道票据;验证认证票据和渠道票据是否均完整且有效,以确定用户的身份是否合法。该方法中的认证票据是动态生成并分配的,且具有预设使用期限,相比于现有技术中的静态的加密票据,该动态生成并分配的认证票据可以有效地避免被非法用户通过技术手段破解(如暴力破解,http拦截等),进而可以有效避免信息泄露,能够提高用户身份认证的安全性。
为了对本申请提供的用户身份认证方法进行具体说明,下面结合图2所示的实施例进行说明。
首先,对图2中的字母含义进行统一说明,U表示用户;Rs、Rx均表示资源,Rs1、Rs2和Rsn分别表示Rs的子资源;Ch表示渠道,ChT表示渠道票据;Tx表示认证票据;Rt表示渠道授权关联。
下面对图2中的步骤进行说明:
(1)创建用户U,分配用户对应的业务权限。
(2)创建资源Rs,配置资源对应的服务信息。
(3)根据资源Rs,创建资源Rs的子资源Rs1,Rs2,…,Rsn,并通过URI的前缀路径进行区分。
(4)创建渠道Ch,分配渠道Ch对应的渠道票据ChT。
(5)创建渠道授权关联Rt,将资源Rs下的各个子资源与各个渠道票据ChT进行关联。
(6)接收用户U的用户名和密码进行登录,生成并分配用户U对应的认证票据Tx。
(7)接收用户针对目标API服务的业务请求,验证请求头内用户认证票据Tx和渠道票据ChT是否均完整且有效。
(7-1)若Tx和ChT的票据任一有缺失,也即任一不完整,则返回票据异常提示。
(7-2)若Tx和ChT的票据均完整,则判断Tx和ChT是否均有效,若任一票据无效,则提示票据非法。
(7-3)若Tx和ChT的票据均完整,且Tx和ChT均有效,则继续下一步。
(8)对请求统一资源定位符(Uniform Resource Locator,URL)的前缀对应的资源Rx进行权限判断。
(8-1)若该前缀对应的资源Rx未授权给ChT,则提示渠道票据权限不足。
(8-2)若该前缀对应的资源Rx对应的服务未授权给用户U,则提示用户权限不足。
(8-3)若该前缀对应的资源的权限属于当前用户和当前渠道,则继续下一步。
(9)根据业务请求的前缀对应的Rx,将请求转发到资源Rx配置的实际业务的地址。
(9-1)若返回结果正常,则将请求结果直接返回给请求端。
(9-2)若返回结果异常,则按照错误类型,将请求结果封装到返回体的错误消息字段返回。
该实施例,通过认证票据和请求前缀等信息判定当前用户的合法性和目标API服务,进行用户鉴权和访问鉴权的验证进入服务端请求,并将请求结果返回给用户。用户认证票据动态生成,动态分配,当用户长时间不使用票据,将自动销毁,可以有效的规避攻击者使用暴力破解和http拦截等攻击方式。基于对认证票据的动态性管理,实现更高的安全性。
本申请还提供一种用户身份认证装置,应用于应用程序接口API网关,如图3所示,该用户身份认证装置包括:
登录信息接收模块301,用于接收用户的用户登录信息;
生成分配模块302,用于在验证用户登录信息合法的情况下,生成并向用户分配对应的认证票据;其中,认证票据具有预设使用期限;
业务请求接收模块303,用于接收用户针对目标API服务的业务请求;其中,业务请求包括认证票据和渠道票据;
验证模块304,用于验证认证票据和渠道票据是否均完整且有效,以确定用户的身份是否合法。
在一个实施例中,验证模块304,用于若验证出认证票据和渠道票据中任意一个不完整,则向用户反馈票据异常提示信息。
在一个实施例中,验证模块304,用于若验证出认证票据和渠道票据均完整,则验证认证票据和渠道票据是否均有效;若验证出认证票据和渠道票据中任意一个无效,则向用户反馈票据非法提示信息。
在一个实施例中,若验证出认证票据和渠道票据均有效,验证模块304,还用于验证渠道票据是否获得目标API服务对应的目标资源的授权;若渠道票据未获得目标资源的授权,则向用户反馈渠道票据权限不足提示信息。
在一个实施例中,若验证出认证票据和渠道票据均有效,验证模块304,还用于验证用户是否获得目标API服务的授权;若用户未获得目标API服务的授权,则向用户反馈用户权限不足提示信息。
在一个实施例中,若渠道票据获得目标资源的授权且用户获得目标API服务的授权,装置还包括:
业务请求发送模块,用于将业务请求转发到目标资源配置的实际业务地址;
请求结果接收验证模块,用于接收并验证反馈的请求结果;
请求结果发送模块,用于若请求结果正常,则向用户发送请求结果;
请求结果封装模块,用于若请求结果异常,则按照错误类型,将请求结果封装到返回体的错误消息字段返回。
在一个实施例中,装置还包括:
业务权限分配模块,用于在创建用户后,分配用户对应的业务权限;
服务信息配置模块,用于在创建资源后,配置资源对应的服务信息;
资源创建模块,用于基于资源,创建资源的子资源;其中,各个子资源依据统一资源标识符(Uniform Resource Identifier,URI)的前缀路径进行区分;
渠道票据分配模块,用于在创建渠道后,分配渠道对应的渠道票据;
关联模块,用于通过创建渠道授权关联,将资源下的各个子资源与各个渠道票据进行关联。
图3所示装置中的各个模块/单元具有实现图1中各个步骤的功能,并能达到其相应的技术效果,为简洁描述,在此不再赘述。
图4示出了本申请实施例提供的电子设备的结构示意图。
电子设备可以包括处理器401以及存储有计算机程序指令的存储器402。
具体地,上述处理器401可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
存储器402可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器402可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器402可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器402可在电子设备的内部或外部。在特定实施例中,存储器402可以是非易失性固态存储器。
在一个实施例中,存储器402可以是只读存储器(Read Only Memory,ROM)。在一个实施例中,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器401通过读取并执行存储器402中存储的计算机程序指令,以实现上述实施例中的任意一种用户身份认证方法。
在一个示例中,电子设备还可包括通信接口403和总线410。其中,如图4所示,处理器401、存储器402、通信接口403通过总线410连接并完成相互间的通信。
通信接口403,主要用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。
总线410包括硬件、软件或两者,将电子设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线410可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
另外,结合上述实施例中的用户身份认证方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种用户身份认证方法。
需要明确的是,本申请并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本申请的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本申请的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能模块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本申请的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本申请中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本申请不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
上面参考根据本申请的实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本申请的各方面。应当理解,流程图和/或框图中的每个方框以及流程图和/或框图中各方框的组合可以由计算机程序指令实现。这些计算机程序指令可被提供给通用计算机、专用计算机、或其它可编程数据处理装置的处理器,以产生一种机器,使得经由计算机或其它可编程数据处理装置的处理器执行的这些指令使能对流程图和/或框图的一个或多个方框中指定的功能/动作的实现。这种处理器可以是但不限于是通用处理器、专用处理器、特殊应用处理器或者现场可编程逻辑电路。还可理解,框图和/或流程图中的每个方框以及框图和/或流程图中的方框的组合,也可以由执行指定的功能或动作的专用硬件来实现,或可由专用硬件和计算机指令的组合来实现。
以上所述,仅为本申请的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。
Claims (10)
1.一种用户身份认证方法,其特征在于,应用于应用程序接口API网关,所述方法包括:
接收用户的用户登录信息;
在验证所述用户登录信息合法的情况下,生成并向所述用户分配对应的认证票据;其中,所述认证票据具有预设使用期限;
接收所述用户针对目标API服务的业务请求;其中,所述业务请求包括所述认证票据和渠道票据;
验证所述认证票据和所述渠道票据是否均完整且有效,以确定所述用户的身份是否合法。
2.根据权利要求1所述的用户身份认证方法,其特征在于,所述验证所述认证票据和所述渠道票据是否均完整且有效,以确定所述用户的身份是否合法,包括:
若验证出所述认证票据和所述渠道票据中任意一个不完整,则向所述用户反馈票据异常提示信息。
3.根据权利要求2所述的用户身份认证方法,其特征在于,所述验证所述认证票据和所述渠道票据是否均完整且有效,以确定所述用户的身份是否合法,包括:
若验证出所述认证票据和所述渠道票据均完整,则验证所述认证票据和所述渠道票据是否均有效;
若验证出所述认证票据和所述渠道票据中任意一个无效,则向所述用户反馈票据非法提示信息。
4.根据权利要求3所述的用户身份认证方法,其特征在于,若验证出所述认证票据和所述渠道票据均有效,所述方法还包括:
验证所述渠道票据是否获得所述目标API服务对应的目标资源的授权;
若所述渠道票据未获得所述目标资源的授权,则向所述用户反馈渠道票据权限不足提示信息。
5.根据权利要求4所述的用户身份认证方法,其特征在于,若验证出所述认证票据和所述渠道票据均有效,所述方法还包括:
验证所述用户是否获得所述目标API服务的授权;
若所述用户未获得所述目标API服务的授权,则向所述用户反馈用户权限不足提示信息。
6.根据权利要求5所述的用户身份认证方法,其特征在于,若所述渠道票据获得所述目标资源的授权且所述用户获得所述目标API服务的授权,所述方法还包括:
将所述业务请求转发到所述目标资源配置的实际业务地址;
接收并验证反馈的请求结果;
若所述请求结果正常,则向所述用户发送所述请求结果;
若所述请求结果异常,则按照错误类型,将所述请求结果封装到返回体的错误消息字段返回。
7.根据权利要求1至6任一项所述的用户身份认证方法,其特征在于,在所述接收用户的用户登录信息之前,所述方法还包括:
在创建用户后,分配所述用户对应的业务权限;
在创建资源后,配置所述资源对应的服务信息;
基于所述资源,创建所述资源的子资源;其中,各个所述子资源依据统一资源标识符URI的前缀路径进行区分;
在创建渠道后,分配所述渠道对应的渠道票据;
通过创建渠道授权关联,将所述资源下的各个所述子资源与各个所述渠道票据进行关联。
8.一种用户身份认证装置,其特征在于,应用于应用程序接口API网关,所述装置包括:
登录信息接收模块,用于接收用户的用户登录信息;
生成分配模块,用于在验证所述用户登录信息合法的情况下,生成并向所述用户分配对应的认证票据;其中,所述认证票据具有预设使用期限;
业务请求接收模块,用于接收所述用户针对目标API服务的业务请求;其中,所述业务请求包括所述认证票据和渠道票据;
验证模块,用于验证所述认证票据和所述渠道票据是否均完整且有效,以确定所述用户的身份是否合法。
9.一种电子设备,其特征在于,包括处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1-7任一项所述的用户身份认证方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如权利要求1-7任一项所述的用户身份认证方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111626211.2A CN114338154A (zh) | 2021-12-28 | 2021-12-28 | 用户身份认证方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111626211.2A CN114338154A (zh) | 2021-12-28 | 2021-12-28 | 用户身份认证方法、装置、设备及计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114338154A true CN114338154A (zh) | 2022-04-12 |
Family
ID=81014745
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111626211.2A Pending CN114338154A (zh) | 2021-12-28 | 2021-12-28 | 用户身份认证方法、装置、设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114338154A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6236971B1 (en) * | 1994-11-23 | 2001-05-22 | Contentguard Holdings, Inc. | System for controlling the distribution and use of digital works using digital tickets |
US20080092239A1 (en) * | 2006-10-11 | 2008-04-17 | David H. Sitrick | Method and system for secure distribution of selected content to be protected |
CN106921678A (zh) * | 2017-04-27 | 2017-07-04 | 中国舰船研究设计中心 | 一种集成异构舰载信息系统的统一安全认证平台 |
US20200236105A1 (en) * | 2019-01-22 | 2020-07-23 | Adp, Llc | Rich communication services security authentication system |
CN112613010A (zh) * | 2020-12-28 | 2021-04-06 | 北京世纪互联宽带数据中心有限公司 | 一种认证服务方法、装置、服务器及认证服务系统 |
-
2021
- 2021-12-28 CN CN202111626211.2A patent/CN114338154A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6236971B1 (en) * | 1994-11-23 | 2001-05-22 | Contentguard Holdings, Inc. | System for controlling the distribution and use of digital works using digital tickets |
US20080092239A1 (en) * | 2006-10-11 | 2008-04-17 | David H. Sitrick | Method and system for secure distribution of selected content to be protected |
CN106921678A (zh) * | 2017-04-27 | 2017-07-04 | 中国舰船研究设计中心 | 一种集成异构舰载信息系统的统一安全认证平台 |
US20200236105A1 (en) * | 2019-01-22 | 2020-07-23 | Adp, Llc | Rich communication services security authentication system |
CN112613010A (zh) * | 2020-12-28 | 2021-04-06 | 北京世纪互联宽带数据中心有限公司 | 一种认证服务方法、装置、服务器及认证服务系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA2357792C (en) | Method and device for performing secure transactions | |
CN113596046B (zh) | 一种双向认证方法、装置、计算机设备和计算机可读存储介质 | |
US10284374B2 (en) | Code signing system with machine to machine interaction | |
WO2016201352A1 (en) | Code signing system with machine to machine interaction | |
CN110324335B (zh) | 一种基于电子移动证书的汽车软件升级方法及系统 | |
EP2346207A1 (en) | A method for authenticating a trusted platform based on the tri-element peer authentication (tepa) | |
US8856525B2 (en) | Authentication of email servers and personal computers | |
CN103685139A (zh) | 认证授权处理方法及装置 | |
CN102113358B (zh) | 实现终端设备锁网的方法、系统及终端设备 | |
EP1163589A1 (en) | Authentication enforcement using decryption and authentication in a single transaction in a secure microprocessor | |
CN113672897B (zh) | 数据通信方法、装置、电子设备及存储介质 | |
CN101321056B (zh) | 转发许可的方法、设备及系统 | |
EP3337124B1 (en) | Authenticating a system based on a certificate | |
CN110611569A (zh) | 一种认证方法及相关设备 | |
CN108769029B (zh) | 一种对应用系统鉴权认证装置、方法及系统 | |
CN112019566A (zh) | 数据的传输方法、服务器、客户端及计算机存储介质 | |
CN113726774A (zh) | 客户端登录认证方法、系统和计算机设备 | |
Buschlinger et al. | Plug-and-patch: Secure value added services for electric vehicle charging | |
CN114553480B (zh) | 跨域单点登录方法、装置、电子设备及可读存储介质 | |
CN114297609A (zh) | 单点登录方法、装置、电子设备及计算机可读存储介质 | |
CN114615309B (zh) | 客户端接入控制方法、装置、系统、电子设备及存储介质 | |
US20230396417A1 (en) | Method and system for public key infrastructure for serviceable electronic components in software defined vehicles | |
CN114338154A (zh) | 用户身份认证方法、装置、设备及计算机可读存储介质 | |
CN111144893B (zh) | 一种基于区块链的粮食交易检测系统、方法及装置 | |
CN110532741B (zh) | 个人信息授权方法、认证中心及服务提供方 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |