CN114513349A - 确定微服务请求方来源的方法及装置 - Google Patents
确定微服务请求方来源的方法及装置 Download PDFInfo
- Publication number
- CN114513349A CN114513349A CN202210111804.3A CN202210111804A CN114513349A CN 114513349 A CN114513349 A CN 114513349A CN 202210111804 A CN202210111804 A CN 202210111804A CN 114513349 A CN114513349 A CN 114513349A
- Authority
- CN
- China
- Prior art keywords
- source
- target
- token
- requester
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000012545 processing Methods 0.000 claims description 16
- 230000006870 function Effects 0.000 description 18
- 230000007704 transition Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 238000004519 manufacturing process Methods 0.000 description 6
- 230000001360 synchronised effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Abstract
本申请公开了一种确定微服务请求方来源的方法及装置,属于微服务技术领域。所述方法包括:通过微服务网关接收来自请求方的目标请求报文;对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息,其中所述目标令牌解析结果包括令牌缺失、令牌格式错误、无权限、有权限中的至少一者,所述请求标识信息包括源地址、源端口、目的地址和目的端口;根据所述目标令牌解析结果和所述请求标识信息,确定所述目标请求方的来源。
Description
技术领域
本申请属于微服务技术领域,具体涉及一种确定微服务请求方来源的方法及装置。
背景技术
为了加强微服务网关调用管控,通常通过验证调用方系统身份令牌的方式对其进行身份认证。生产环境中,调用方身份认证功能如果不是先于其他业务系统上线,那么在身份令牌认证功能上线前,部分存量微服务调用有可能并未全部携带身份令牌。为了不影响原来正常生产系统运行,同时追溯不合规调用来源是违规调用还是未完成身份令牌整改配置的合规调用,需要获取未携带身份令牌调用方的信息,以便逐一核对审计,例如获取调用方的互联网协议(Internet Protocol,IP)地址。
但是在云环境的容器集群中,微服务和微服务网关通常部署在容器中,容器之间调用通常要通过桥梁实现,微服务网关程序获取调用方的IP是网桥的IP,这时微服务网关无法获取到调用方所在服务器的真实IP地址,就不能定位到未携带令牌的调用方来自哪里,就不能区分未携带令牌的调用方是违规调用还是未完成身份令牌整改配置的合规调用,也就不能对未完成身份令牌整改配置的合规调用及时通知整改,无法实现微服务网关认证功能在生产环境中平稳过渡,升级。
发明内容
本申请实施例提供一种确定微服务请求方来源的方法、装置、电子设备及存储介质,能够在微服务网关身份认证功能从上线到完整使用的过渡期追溯请求方的来源信息。
第一方面,本申请实施例提供了一种确定微服务请求方来源的方法,该方法包括:通过微服务网关接收来自请求方的目标请求报文;对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息,其中所述目标令牌解析结果包括令牌缺失、令牌格式错误、无权限、有权限中的至少一者,所述请求标识信息包括源地址、源端口、目的地址和目的端口;根据所述目标令牌解析结果和所述请求标识信息,确定所述目标请求方的来源。
第二方面,本申请实施例提供了一种确定微服务请求方来源的装置,该装置包括:接收模块,用于通过微服务网关接收来自请求方的目标请求报文;处理模块,用于对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息,其中所述目标令牌解析结果包括令牌缺失、令牌格式错误、无权限、有权限中的一者,所述请求标识信息包括源地址、源端口、目的地址和目的端口;确定模块,用于根据所述目标令牌解析结果和所述请求标识信息,确定所述目标请求方的来源。
第三方面,本申请实施例提供了一种电子设备,该电子设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第一方面所述的方法的步骤。
第四方面,本申请实施例提供了一种可读存储介质,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如第一方面所述的方法的步
在本申请实施例中,通过微服务网关接收来自请求方的目标请求报文;对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息,其中所述目标令牌解析结果包括令牌缺失、令牌格式错误、无权限、有权限中的至少一者,所述请求标识信息包括源地址、源端口、目的地址和目的端口;根据所述目标令牌解析结果和所述请求标识信息,确定所述目标请求方的来源,能够在微服务网关身份认证功能从上线到完整使用的过渡期追溯请求方的来源信息。
附图说明
图1是本申请实施例提供的一种确定微服务请求方来源的方法的流程示意图;
图2是本申请实施例提供的另一种确定微服务请求方来源的方法的流程示意图;
图3是本申请实施例提供的另一种确定微服务请求方来源的方法的流程示意图;
图4是本申请实施例提供的一种确定微服务请求方来源的方法的示例图;
图5是根据本申请实施例提供的一种确定微服务请求方来源的装置的结构示意图;
图6是根据本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”等所区分的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。此外,说明书以及权利要求中“和/或”表示所连接对象的至少其中之一,字符“/”,一般表示前后关联对象是一种“或”的关系。
下面结合附图,通过具体的实施例及其应用场景对本申请实施例提供的一种确定微服务请求方来源的方法进行详细地说明。
图1示出本发明的一个实施例提供的一种确定微服务请求方来源的方法,该方法可以由电子设备执行,该电子设备可以包括:服务器和/或终端设备。换言之,该方法可以由安装在该电子设备的软件或硬件来执行,该方法包括如下步骤:
S101:通过微服务网关接收来自请求方的目标请求报文。
在一种实现方式中,在云环境的容器集群中,微服务和微服务网关通常部署在docker容器集群环境中,微服务网关在接收到请求方的超文本传输协议(Hyper TextTransfer Protocol,HTTP)请求后,就与请求方建立了一个HTTP的连接,并一直保持该连接。微服务网关将请求方的请求转发给微服务,等微服务网关收到微服务回复的报文后,它通过之前与请求方建立的HTTP连接将回复的报文返回给请求方。至此,一次HTTP请求结束,该HTTP连接才会被释放。
S102:对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息。
其中,所述目标令牌解析结果包括令牌缺失、令牌格式错误、无权限、有权限中的至少一者,所述请求标识信息包括源地址、源端口、目的地址和目的端口。收到请求方发送给微服务网关的请求后,微服网关拆包检查该请求HTTP报文头部中的令牌。微服务网关并根据请求方令牌的解析结果,对返回给请求方的报文做不同的处理。每次请求方请求和对应的微服务网关回复在一个HTTP连接中交互,该HTTP连接底层是由有一次传输控制协议(Transmission Control Protocol,TCP)连接组成,每个TCP连接都包含源IP地址、目的IP地址、源端口、目的端口这一四元组信息。由这个四元组就可以唯一的定位到一个连接。
S103:根据所述目标令牌解析结果和所述请求标识信息,确定所述目标请求方的来源。
在一种实现方式中,所述目标令牌解析结果、所述请求标识信息和所述目标请求方的来源存在对应关系。在另一种实现方式中,结合图4,所述电子设备可以通过向一个HTTP报文统计分析服务发送请求消息,该消息中携带所述目标令牌解析结果和所述请求标识信息,获得所述目标请求方的来源信息。该HTTP报文统计分析服务可以将采集到的HTTP报文原文、报文发送方IP与端口、报文接收方IP与端口、HTTP回复报文头部的令牌解析结果这4个字段都存储至MongoDB数据库的一张表中。
微服务网关身份认证功能从上线到完整使用这段时间,为了不影响当前生产环境中未配置认证的系统正常运行,不影响当前业务,需要有很长一段过渡期,在过渡期期间,通过追溯请求方的来源信息,以方便对其进行监控和审计,从而可以对未完成认证改造的服务,能及时通知整改,达到微服务网关认证功能在生产环境中快速平稳过渡,升级的要求。
本发明实施例提供的一种确定微服务请求方来源的方法,通过微服务网关接收来自请求方的目标请求报文;对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息,其中所述目标令牌解析结果包括令牌缺失、令牌格式错误、无权限、有权限中的至少一者,所述请求标识信息包括源地址、源端口、目的地址和目的端口;根据所述目标令牌解析结果和所述请求标识信息,确定所述目标请求方的来源,能够在微服务网关身份认证功能从上线到完整使用的过渡期追溯请求方的来源信息,以方便对其进行监控和审计。
图2示出本发明的一个实施例提供的一种确定微服务请求方来源的方法,该方法可以由电子设备执行,该电子设备可以包括:服务器和/或终端设备。换言之,该方法可以由安装在该电子设备的软件或硬件来执行,该方法包括如下步骤:
S201:建立所述目标解析结果、所述请求标识信息与所述目标请求方的来源之间的对应关系。
在一种实现方式中,通过采集器抓取所述电子设备接收到的请求报文,其中所述请求报文中包含第一源地址、第一源端口、第一目的地址和第一目的端口,所述采集器部署于所述电子设备上;通过所述采集器抓取所述电子设备发送给请求方的回复报文,其中所述回复报文包含令牌属性值、第二源地址、第二源端口、第二目的地址和第二目的端口;在满足预定匹配条件的情况下,保存所述令牌属性值、所述第一源地址、所述第一源端口、所述第一目的地址和所述第一目的端口;其中,所述预定匹配条件包括以下至少一者:
所述第一源地址与所述第二源地址相同;
所述第一源端口与所述第二源地址相同;
所述第一目的地址与所述第二目的地址相同;
所述第一目的端口与所述第二目的端口相同;
根据所述第一源地址,确定所述请求方的来源。
在另一种实现方式中,结合图4,在微服务网关运行的虚拟机上部署一个HTTP报文采集器,采集器抓取虚拟机上每次请求方请求和微服务网关回复HTTP连接的详细信息。这些信息包括请求与回复报文、源IP地址、目的IP地址、源端口、目的端口、请求报文接收时间、回复报文发送时间。源IP地址、目的IP地址、源端口、目的端口都相同的请求报文和回复报文是一次HTTP交互发生的。根据时间先后顺序,根据源IP地址、目的IP地址、源端口、目的端口这四元组信息把每个请求报文对应的回复报文关联到一起。由于采集器部署在虚拟机上或虚拟机所在的电子设备上,而不是在容器内部,所以采集器可以获取到请求方所在虚拟机或电子设备的真实IP地址,这就是部署采集器的意义。
本申请实施例中通过采集器采用旁路抓包在交换机上面配置端口,不会影响现有的网络结构,旁路模式分析的是镜像端口拷贝过来的数据,对原始传递的数据包不会造成延时,不会对网速造成任何影响。抓包采集器是对旁路抓包得到http连接的详细信息数据进一步分析,目的是得到源IP地址、目的IP地址、源端口、目的端口这四元组信息,并将请求和返回报文进行关联。
在另一种实现方式中,因为报文采集器挤占容器服务计算资源,需要限制采集器占用中央处理器(Central Processing Unit,CPU)不超过10%、内存的运行占用量少于4G。
S202:通过微服务网关接收来自请求方的目标请求报文。
S203:对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息。
S204:根据所述目标令牌解析结果和所述请求标识信息,确定所述目标请求方的来源。
本步骤可以采用图1实施例步骤S101-S103的描述,对于重复部分在此不再赘述。
本发明实施例提供的一种确定微服务请求方来源的方法,通过微服务网关接收来自请求方的目标请求报文;对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息,其中所述目标令牌解析结果包括令牌缺失、令牌格式错误、无权限、有权限中的至少一者,所述请求标识信息包括源地址、源端口、目的地址和目的端口;根据所述目标令牌解析结果和所述请求标识信息,确定所述目标请求方的来源,能够在微服务网关身份认证功能从上线到完整使用的过渡期追溯请求方的来源信息,以方便对其进行监控和审计。
本发明实施例提供的一种确定微服务请求方来源的方法,通过采集器抓取所述电子设备接收到的请求报文,其中所述请求报文中包含第一源地址、第一源端口、第一目的地址和第一目的端口,所述采集器部署于所述电子设备上;通过所述采集器抓取所述电子设备发送给请求方的回复报文,其中所述回复报文包含令牌属性值、第二源地址、第二源端口、第二目的地址和第二目的端口;在满足预定匹配条件的情况下,保存所述令牌属性值、所述第一源地址、所述第一源端口、所述第一目的地址和所述第一目的端口;其中,所述预定匹配条件包括以下至少一者:述第一源地址与所述第二源地址相同;所述第一源端口与所述第二源地址相同;所述第一目的地址与所述第二目的地址相同;所述第一目的端口与所述第二目的端口相同;根据所述第一源地址,确定所述请求方的来源,由于所述采集器部署在虚拟机上或电子设备上,而不是在容器内部,所以采集器可以获取到请求方所在虚拟机或电子设备的真实IP地址,能够在微服务网关身份认证功能从上线到完整使用的过渡期追溯请求方的来源信息,以方便对其进行监控和审计。
图3示出本发明的一个实施例提供的一种确定微服务请求方来源的方法,该方法可以由电子设备执行,该电子设备可以包括:服务器和或终端设备。换言之,该方法可以由安装在该电子设备的软件或硬件来执行,该方法包括如下步骤:
S301:通过微服务网关接收来自请求方的目标请求报文。
S302:对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息。
S303:根据所述目标令牌解析结果和所述请求标识信息,确定所述目标请求方的来源。
本步骤可以采用图1实施例步骤S101-S103的描述,对于重复部分在此不再赘述。
S304:向所述请求方发送目标回复报文,其中所述目标回复报文包含令牌属性字段,所述令牌属性字段的属性值对应于所述目标令牌解析结果。
在一种实现方式中,本步骤在收到请求方发送给微服务网关的请求后,微服网关拆包检查该请求HTTP报文头部中的令牌。微服务网关并根据请求方令牌的解析结果,对返回给请求方的报文做不同的处理:
(1)如果令牌缺失,微服务网关会放行该请求,同时在该请求的返回HTTP报文的头部添加一条记录。该记录属性名为gw-audit-info,属性值的该请求错误原因。属性值可能出现的值包括:token is empty,代表令牌缺失。
(2)如果令牌解析失败,即该令牌格式有误。微服务网关会放行该请求,同时在该请求的返回HTTP报文的头部添加gw-audit-info属性,属性值为wrong token,代表令牌格式错误。
(3)如果令牌解析成功,微服务网关会在令牌中解析出该令牌的请求方系统代码,并检查该请求方是否有访问当前应用程序接口(Application Programming Interface,API)的权限。如果检查请求方没有访问当前API的权限,微服务网关会放行该请求,在该请求的返回HTTP报文的头部添加gw-audit-info属性,属性值为no privilege,代表当前请求方越权访问。
(4)如果令牌正确,该令牌也具备访问当前访问API的权限,就直接放行,不添加gw-audit-info属性。如果解析出报文头gw-audit-info不存在,该字段设置为空。
在一种实现方式中,在步骤S301之后,还包括:将所述目标请求报文转发给对应的微服务应用。此步骤用于微服务网关身份认证功能上线初期,为了不影响当前生产环境中未配置认证的系统正常运行,不影响当前业务,需要将未携带身份令牌或令牌不正确的微服务请求都转发给对应的微服务应用。
需要说明的是,本申请实施例提供的确定微服务请求方来源的方法,执行主体可以为确定微服务请求方来源的装置,或者该确定微服务请求方来源的装置中的用于执行确定微服务请求方来源的方法的控制模块。本申请实施例中以确定微服务请求方来源的装置执行确定微服务请求方来源的方法为例,说明本申请实施例提供的确定微服务请求方来源的装置。
图5是根据本发明实施例的确定微服务请求方来源的装置的结构示意图。如图5所示,确定微服务请求方来源的装置500包括:接收模块501、处理模块502和确定模块503。
接收模块501,用于通过微服务网关接收来自请求方的目标请求报文;处理模块502,用于对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息,其中所述目标令牌解析结果包括令牌缺失、令牌格式错误、无权限、有权限中的一者,所述请求标识信息包括源地址、源端口、目的地址和目的端口;确定模块503,用于根据所述目标令牌解析结果和所述请求标识信息,确定所述目标请求方的来源。
在一种实现方式中,所述处理模块502还用于:建立所述目标解析结果、所述请求标识信息与所述目标请求方的来源之间的对应关系。
在一种实现方式中,所述处理模块502还用于:通过采集器抓取所述装置接收到的请求报文,其中所述请求报文中包含第一源地址、第一源端口、第一目的地址和第一目的端口,所述采集器部署于所述装置上;通过所述采集器抓取所述装置发送给请求方的回复报文,其中所述回复报文包含令牌属性值、第二源地址、第二源端口、第二目的地址和第二目的端口;在满足预定匹配条件的情况下,保存所述令牌属性值、所述第一源地址、所述第一源端口、所述第一目的地址和所述第一目的端口;其中,所述预定匹配条件包括以下至少一者:所述第一源地址与所述第二源地址相同;所述第一源端口与所述第二源地址相同;所述第一目的地址与所述第二目的地址相同;所述第一目的端口与所述第二目的端口相同;根据所述第一源地址,确定所述请求方的来源。
在一种实现方式中,所述处理模块502还用于:向所述请求方发送目标回复报文,其中所述目标回复报文包含令牌属性字段,所述令牌属性字段的属性值对应于所述目标令牌解析结果。
在一种实现方式中,所述处理模块502还用于:将所述目标请求报文转发给对应的微服务应用。
需要说明的是,本说明书中关于确定微服务请求方来源的装置的实施例与本说明书中关于确定微服务请求方来源的方法的实施例基于同一发明构思,因此关于确定微服务请求方来源的装置实施例的具体实施可以参见前述对应的关于确定微服务请求方来源的方法实施例的实施,重复之处不再赘述。
本申请实施例中的确定微服务请求方来源的装置可以是装置电子设备,也可以是终端电子设备中的部件,例如集成电路、或芯片。该电子设备可以是终端,也可以为除终端之外的其他设备。装置可以是移动电子设备,也可以为非移动电子设备。示例性的,移动电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、移动上网装置(Mobile Internet Device,MID)、增强现实(Augmented Reality,AR)/虚拟现实(VirtualReality,VR)设备、机器人、可穿戴设备、超级移动个人计算机(Ultra-mobile PersonalComputer,UMPC)、上网本或者个人数字助理(Personal Digital Assistant,PDA)等,非移动电子设备还可以为服务器、网络附属存储器(Network Attached Storage,NAS)、个人计算机(Personal Computer,PC)、电视机(Television,TV)、柜员机或者自助机等,本申请实施例不作具体限定。
本申请实施例中的确定微服务请求方来源的装置可以为具有操作系统的装置。该操作系统可以为安卓(Android)操作系统,可以为ios操作系统,还可以为其他可能的操作系统,本申请实施例不作具体限定。
本申请实施例提供的确定微服务请求方来源的装置能够实现图1至3的方法实施例中实现的各个过程,为避免重复,这里不再赘述。
可选的,如图6所示,本申请实施例还提供一种电子设备600,包括处理器601,存储器602,存储在存储器602上并可在所述处理器601上运行的程序或指令,该程序或指令被处理器601执行时实现:通过微服务网关接收来自请求方的目标请求报文;对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息,其中所述目标令牌解析结果包括令牌缺失、令牌格式错误、无权限、有权限中的至少一者,所述请求标识信息包括源地址、源端口、目的地址和目的端口;根据所述目标令牌解析结果和所述请求标识信息,确定所述目标请求方的来源。
在一种实现方式中,在所述根据所述目标令牌解析结果,确定所述目标请求方的来源之前,所述处理器601还执行:建立所述目标解析结果、所述请求标识信息与所述目标请求方的来源之间的对应关系。
在一种实现方式中,在所述建立所述目标解析结果、所述请求标识信息与所述目标请求方的来源之间的对应关系之前,所述处理器601还执行:通过采集器抓取所述电子设备接收到的请求报文,其中所述请求报文中包含第一源地址、第一源端口、第一目的地址和第一目的端口,所述采集器部署于所述电子设备上;通过所述采集器抓取所述电子设备发送给请求方的回复报文,其中所述回复报文包含令牌属性值、第二源地址、第二源端口、第二目的地址和第二目的端口;在满足预定匹配条件的情况下,保存所述令牌属性值、所述第一源地址、所述第一源端口、所述第一目的地址和所述第一目的端口;其中,所述预定匹配条件包括以下至少一者:所述第一源地址与所述第二源地址相同;所述第一源端口与所述第二源地址相同;所述第一目的地址与所述第二目的地址相同;所述第一目的端口与所述第二目的端口相同;根据所述第一源地址,确定所述请求方的来源。
在一种实现方式中,在所述对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息之后,所述处理器601还执行:向所述请求方发送目标回复报文,其中所述目标回复报文包含令牌属性字段,所述令牌属性字段的属性值对应于所述目标令牌解析结果。
具体执行步骤可以参见上述确定微服务请求方来源的方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
需要说明的是,本申请实施例中的电子设备包括上述所述的移动电子设备和非移动电子设备。
以上电子设备结构并不构成对电子设备的限定,电子设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置,例如,输入单元,可以包括图形处理器(Graphics Processing Unit,GPU)和麦克风,显示单元可以采用液晶显示器、有机发光二极管等形式来配置显示面板。用户输入单元包括触控面板以及其他输入设备中的至少一种。触控面板也称为触摸屏。其他输入设备可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆,在此不再赘述。
存储器可用于存储软件程序以及各种数据。存储器可主要包括存储程序或指令的第一存储区和存储数据的第二存储区,其中,第一存储区可存储操作系统、至少一个功能所需的应用程序或指令(比如声音播放功能、图像播放功能等)等。此外,存储器可以包括易失性存储器或非易失性存储器,或者,存储器可以包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DRRAM)。
处理器可包括一个或多个处理单元;可选的,处理器集成应用处理器和调制解调处理器,其中,应用处理器主要处理涉及操作系统、用户界面和应用程序等的操作,调制解调处理器主要处理无线通信信号,如基带处理器。可以理解的是,上述调制解调处理器也可以不集成到处理器中。
本申请实施例还提供一种可读存储介质,所述可读存储介质上存储有程序或指令,该程序或指令被处理器执行时实现上述确定微服务请求方来源的方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
其中,所述处理器为上述实施例中所述的电子设备中的处理器。所述可读存储介质,包括计算机可读存储介质,如计算机只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等。
本申请实施例另提供了一种芯片,所述芯片包括处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行程序或指令,实现上述确定微服务请求方来源的方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
应理解,本申请实施例提到的芯片还可以称为系统级芯片、系统芯片、芯片系统或片上系统芯片等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外,需要指出的是,本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能,还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能,例如,可以按不同于所描述的次序来执行所描述的方法,并且还可以添加、省去、或组合各种步骤。另外,参照某些示例所描述的特征可在其他示例中被组合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。
Claims (10)
1.确定微服务请求方来源的方法,其特征在于,应用于微服务网关所在电子设备,所述方法包括:
通过微服务网关接收来自请求方的目标请求报文;
对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息,其中所述目标令牌解析结果包括令牌缺失、令牌格式错误、无权限、有权限中的至少一者,所述请求标识信息包括源地址、源端口、目的地址和目的端口;
根据所述目标令牌解析结果和所述请求标识信息,确定所述目标请求方的来源。
2.根据权利要求1所述的方法,其特征在于,在所述根据所述目标令牌解析结果,确定所述目标请求方的来源之前,所述方法还包括:
建立所述目标解析结果、所述请求标识信息与所述目标请求方的来源之间的对应关系。
3.根据权利要求2所述的方法,其特征在于,在所述建立所述目标解析结果、所述请求标识信息与所述目标请求方的来源之间的对应关系之前,所述方法还包括:
通过采集器抓取所述电子设备接收到的请求报文,其中所述请求报文中包含第一源地址、第一源端口、第一目的地址和第一目的端口,所述采集器部署于所述电子设备上;
通过所述采集器抓取所述电子设备发送给请求方的回复报文,其中所述回复报文包含令牌属性值、第二源地址、第二源端口、第二目的地址和第二目的端口;
在满足预定匹配条件的情况下,保存所述令牌属性值、所述第一源地址、所述第一源端口、所述第一目的地址和所述第一目的端口;其中,所述预定匹配条件包括以下至少一者:
所述第一源地址与所述第二源地址相同;
所述第一源端口与所述第二源地址相同;
所述第一目的地址与所述第二目的地址相同;
所述第一目的端口与所述第二目的端口相同;
根据所述第一源地址,确定所述请求方的来源。
4.根据权利要求1所述的方法,其特征在于,在所述对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息之后,还包括:
向所述请求方发送目标回复报文,其中所述目标回复报文包含令牌属性字段,所述令牌属性字段的属性值对应于所述目标令牌解析结果。
5.确定微服务请求方来源的装置,其特征在于,所述装置包括:
接收模块,用于通过微服务网关接收来自请求方的目标请求报文;
处理模块,用于对所述目标请求报文进行解析,获得目标令牌解析结果和请求标识信息,其中所述目标令牌解析结果包括令牌缺失、令牌格式错误、无权限、有权限中的一者,所述请求标识信息包括源地址、源端口、目的地址和目的端口。
确定模块,用于根据所述目标令牌解析结果和所述请求标识信息,确定所述目标请求方的来源。
6.根据权利要求5所述的装置,其特征在于,所述处理模块,还用于:
建立所述目标解析结果、所述请求标识信息与所述目标请求方的来源之间的对应关系。
7.根据权利要求5所述的装置,其特征在于,所述处理模块,还用于:
通过采集器抓取所述装置接收到的请求报文,其中所述请求报文中包含第一源地址、第一源端口、第一目的地址和第一目的端口,所述采集器部署于所述装置上;
通过所述采集器抓取所述装置发送给请求方的回复报文,其中所述回复报文包含令牌属性值、第二源地址、第二源端口、第二目的地址和第二目的端口;
在满足预定匹配条件的情况下,保存所述令牌属性值、所述第一源地址、所述第一源端口、所述第一目的地址和所述第一目的端口;其中,所述预定匹配条件包括以下至少一者:
所述第一源地址与所述第二源地址相同;
所述第一源端口与所述第二源地址相同;
所述第一目的地址与所述第二目的地址相同;
所述第一目的端口与所述第二目的端口相同;
根据所述第一源地址,确定所述请求方的来源。
8.根据权利要求5所述的装置,其特征在于,所述处理模块,还用于:
向所述请求方发送目标回复报文,其中所述目标回复报文包含令牌属性字段,所述令牌属性字段的属性值对应于所述目标令牌解析结果。
9.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1-4所述的确定微服务请求方来源的方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如权利要求1-4所述的确定微服务请求方来源的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210111804.3A CN114513349A (zh) | 2022-01-29 | 2022-01-29 | 确定微服务请求方来源的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210111804.3A CN114513349A (zh) | 2022-01-29 | 2022-01-29 | 确定微服务请求方来源的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114513349A true CN114513349A (zh) | 2022-05-17 |
Family
ID=81550869
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210111804.3A Pending CN114513349A (zh) | 2022-01-29 | 2022-01-29 | 确定微服务请求方来源的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114513349A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110225641A1 (en) * | 2010-03-12 | 2011-09-15 | Microsoft Corporation | Token Request Troubleshooting |
| US20180077122A1 (en) * | 2016-09-15 | 2018-03-15 | Accenture Global Solutions Limited | Method and system for secure communication of a token and aggregation of the same |
| CN109743163A (zh) * | 2019-01-03 | 2019-05-10 | 优信拍(北京)信息科技有限公司 | 微服务架构中的权限认证方法、装置及系统 |
| US20190273746A1 (en) * | 2018-03-02 | 2019-09-05 | Syntegrity Networks Inc. | Microservice architecture for identity and access management |
| CN111371881A (zh) * | 2020-02-28 | 2020-07-03 | 北京字节跳动网络技术有限公司 | 服务调用方法及设备 |
| CN112615849A (zh) * | 2020-12-15 | 2021-04-06 | 平安科技(深圳)有限公司 | 微服务访问方法、装置、设备及存储介质 |
| CN112788036A (zh) * | 2021-01-13 | 2021-05-11 | 中国人民财产保险股份有限公司 | 身份验证方法及装置 |
| WO2021218018A1 (zh) * | 2020-04-28 | 2021-11-04 | 平安科技(深圳)有限公司 | 网页端实现跨域请求的数据处理方法、装置及相关设备 |
-
2022
- 2022-01-29 CN CN202210111804.3A patent/CN114513349A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110225641A1 (en) * | 2010-03-12 | 2011-09-15 | Microsoft Corporation | Token Request Troubleshooting |
| US20180077122A1 (en) * | 2016-09-15 | 2018-03-15 | Accenture Global Solutions Limited | Method and system for secure communication of a token and aggregation of the same |
| US20190273746A1 (en) * | 2018-03-02 | 2019-09-05 | Syntegrity Networks Inc. | Microservice architecture for identity and access management |
| CN109743163A (zh) * | 2019-01-03 | 2019-05-10 | 优信拍(北京)信息科技有限公司 | 微服务架构中的权限认证方法、装置及系统 |
| CN111371881A (zh) * | 2020-02-28 | 2020-07-03 | 北京字节跳动网络技术有限公司 | 服务调用方法及设备 |
| WO2021218018A1 (zh) * | 2020-04-28 | 2021-11-04 | 平安科技(深圳)有限公司 | 网页端实现跨域请求的数据处理方法、装置及相关设备 |
| CN112615849A (zh) * | 2020-12-15 | 2021-04-06 | 平安科技(深圳)有限公司 | 微服务访问方法、装置、设备及存储介质 |
| CN112788036A (zh) * | 2021-01-13 | 2021-05-11 | 中国人民财产保险股份有限公司 | 身份验证方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 綦宝声等: "《Python程序设计教程》", 哈尔滨工程大学出版社, pages: 333 - 338 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108923908B (zh) | 授权处理方法、装置、设备及存储介质 | |
| US10567841B2 (en) | Information interception processing method, terminal, and computer storage medium | |
| CN109068179B (zh) | 一种多平台直播方法、计算机装置及计算机可读存储介质 | |
| CN111414407A (zh) | 数据库的数据查询方法、装置、计算机设备及存储介质 | |
| CN109688186B (zh) | 数据交互方法、装置、设备及可读存储介质 | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| CN108429739B (zh) | 一种识别蜜罐的方法、系统及终端设备 | |
| CN113067859B (zh) | 一种基于云手机的通讯方法和装置 | |
| CN112671605B (zh) | 一种测试方法、装置及电子设备 | |
| CN115022047A (zh) | 基于多云网关的账户登录方法、装置、计算机设备及介质 | |
| CN111371811B (zh) | 一种资源调用方法、资源调用装置、客户端及业务服务器 | |
| CN111327680B (zh) | 认证数据同步方法、装置、系统、计算机设备和存储介质 | |
| CN113923008A (zh) | 一种恶意网站拦截方法、装置、设备及存储介质 | |
| CN110049106B (zh) | 业务请求处理系统及方法 | |
| CN114513349A (zh) | 确定微服务请求方来源的方法及装置 | |
| CN113590352A (zh) | 一种数据调用方法、装置、设备及可读存储介质 | |
| CN110868410B (zh) | 获取网页木马连接密码的方法、装置、电子设备、及存储介质 | |
| CN114296880A (zh) | 基于大规模集群的服务请求处理方法、装置、设备及介质 | |
| CN109857488B (zh) | 应用程序的调用控制方法、装置、终端及可读存储介质 | |
| CN114070624A (zh) | 一种报文监测的方法、装置、电子设备及介质 | |
| CN112351030A (zh) | 一种数据处理方法和计算机设备 | |
| CN110784551A (zh) | 基于多租户的数据处理方法、装置、设备和介质 | |
| CN111212153A (zh) | Ip地址核查方法、装置、终端设备及存储介质 | |
| CN112929321B (zh) | 一种鉴权方法、装置及终端设备 | |
| CN115348462B (zh) | 特效数据的配置方法、装置、设备、存储介质及通信系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |