CN114666108A - 基于自定义资源的身份认证方法、装置、设备及介质 - Google Patents
基于自定义资源的身份认证方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114666108A CN114666108A CN202210239956.1A CN202210239956A CN114666108A CN 114666108 A CN114666108 A CN 114666108A CN 202210239956 A CN202210239956 A CN 202210239956A CN 114666108 A CN114666108 A CN 114666108A
- Authority
- CN
- China
- Prior art keywords
- user
- authenticated
- password
- crd
- user name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000012795 verification Methods 0.000 claims abstract description 62
- 238000004891 communication Methods 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 12
- 238000004590 computer program Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 7
- 238000012986 modification Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000013475 authorization Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000178 monomer Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于自定义资源的身份认证方法、装置、终端及介质,所述方法包括:在所述Kubernetes开源平台中创建CRD用户资源,所述CRD用户资源中至少包括验证用户名和验证密码;接收Kubernetes登录请求,所述Kubernetes登录请求中携带有待认证用户名和待认证密码;在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。采用本发明,能解决现有技术中Kubernetes Dashboard登录中容易造成信息安全隐患的技术问题。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于自定义资源的身份认证方法、装置、设备及介质。
背景技术
随着容器领域的技术不断成熟,越来越多的传统单体应用被改造为容器进行部署,Kubernetes作为容器编排领域内的佼佼者受到越来越多的关注。其中,针对Kubernetes的认证与授权功能是非常重要的一项。
目前现有技术中,通常采用以下两种方式来实现Kubernetes Dashboard登录中的认证。第一种方式为:使用临时令牌Token来登录Kubernetes Dashboard,具体地每个服务账户(Service Account)都有一个合法的Bearer Token,可用于登录Dashboard。第二种方式为:使用证书Kubeconfig来登录Kubernetes Dashboard。
然而在实践中发现,现有技术中的上述两种方式存在很多问题,例如登录凭证不易牢记,不便携带,登录凭证容易丢失,从而造成信息的安全隐患。
发明内容
本申请实施例通过提供一种基于自定义资源的身份认证方法、装置、终端及介质,解决了现有技术中Kubernetes Dashboard登录中容易造成信息安全隐患的技术问题。
一方面,本申请通过本申请的一实施例提供一种基于自定义资源CRD的身份认证方法,应用于Kubernetes开源平台中,所述方法包括:
在所述Kubernetes开源平台中创建CRD用户资源,所述CRD用户资源中至少包括验证用户名和验证密码;
接收Kubernetes登录请求,所述Kubernetes登录请求中携带有待认证用户名和待认证密码;
在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。
可选地,所述在所述Kubernetes开源平台中创建CRD用户资源包括:
通过kubectl命令在所述Kubernetes开源平台中创建所述CRD用户资源。
可选地,所述在所述Kubernetes开源平台中创建CRD用户资源包括:
通过Restful API接口在所述Kubernetes开源平台中创建所述CRD用户资源。
可选地,所述CRD用户资源包括以下中的至少一项:用户信息资源、用户角色资源及用户角色绑定资源。
可选地,所述方法还包括:
通过所述Restful API接口对所述CRD用户资源进行更新操作。
可选地,所述在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限包括:
在预配的Kubernetes认证器中,从所述验证用户名中查找是否存在与所述待认证用户名对应的目标用户;
若存在,则根据所述目标用户对应的验证密码对所述待认证密码进行认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。
可选地,所述根据所述目标用户对应的验证密码对所述待认证密码进行认证,以确定是否授权所述待认证用户名具备对应的资源访问权限包括:
对所述待认证密码进行加密处理,得到待认证密文;
将所述待认证密文和所述目标用户对应的验证密码进行对比,以实现所述待认证用户名和所述待认证密码的验证;
若所述验证成功,则确定授权所述待认证用户名具备对应的资源访问权限。
另一方面,本申请通过本申请的一实施例提供一种基于自定义资源CRD的身份认证装置,应用于Kubernetes开源平台中,所述装置包括创建模块、接收模块和认证模块,其中:
所述创建模块,用于在所述Kubernetes开源平台中创建CRD用户资源,所述CRD用户资源中至少包括验证用户名和验证密码;
所述接收模块,用于接收Kubernetes登录请求,所述Kubernetes登录请求中携带有待认证用户名和待认证密码;
所述认证模块,用于在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。
关于本申请实施例中未介绍或未描述的内容可对应参考前述方法实施例中的相关介绍,这里不再赘述。
另一方面,本申请通过本申请的一实施例提供一种终端设备,所述终端设备包括:处理器、存储器、通信接口和总线;所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;所述存储器存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行如上所述的基于自定义资源CRD的身份认证方法。
另一方面,本申请通过本申请的一实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有程序,当所述程序运行在终端设备时执行如上所述的基于自定义资源CRD的身份认证方法。
本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:本申请在所述Kubernetes开源平台中创建CRD用户资源,所述CRD用户资源中至少包括验证用户名和验证密码;接收Kubernetes登录请求,所述Kubernetes登录请求中携带有待认证用户名和待认证密码;在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。上述方案中,本申请根据Kubernetes开源平台中创建的CRD用户资源,对Kubernetes登录请求中携带的待认证用户名和待认证密码进行用户身份认证,以确定是否授权该待认证用户具备相应的资源访问权限。这样在Kubernetes中实现了基于用户名和密码的快速登录认证,同时解决了现有技术中采用Token和Kubeconfig登录所存在的登录凭证不易记住、易丢失、导致信息安全隐患等技术问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种基于自定义资源CRD的身份认证方法的流程示意图。
图2是本申请实施例提供的一种基于自定义资源CRD的身份认证装置的结构示意图。
图3是本申请实施例提的一种终端设备的结构示意图。
具体实施方式
本申请实施例通过提供一种基于自定义资源CRD的身份认证方法,解决了现有技术中Kubernetes Dashboard登录中容易造成信息安全隐患的技术问题。
本申请实施例的技术方案为解决上述技术问题,总体思路如下:本申请提供一种基于自定义资源CRD的身份认证方法,应用于Kubernetes开源平台中,所述方法包括:
在所述Kubernetes开源平台中创建CRD用户资源,所述CRD用户资源中至少包括验证用户名和验证密码;
接收Kubernetes登录请求,所述Kubernetes登录请求中携带有待认证用户名和待认证密码;
在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。
为了更好的理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。
首先说明,本文中出现的术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
请参见图1,是本申请实施例提供的一种基于自定义资源(Custom ResourceDefine,CRD)的身份认证方法的流程示意图。如图1所示的方法应用于Kubernetes开源平台中,所述方法包括如下实施步骤:
S101、在所述Kubernetes开源平台中创建CRD用户资源,所述CRD用户资源中至少包括验证用户名和验证密码。
本申请所述CRD用户资源为系统自定义设置的用户User资源,其可包括但不限于例如用户信息(User)资源、用户角色(UserRole)资源及用户角色绑定(UserRoleBinding)资源、或其他根据系统实际需求自定义配置的资源等。所述CRD资源的数量并不做限定,其可根据系统实际需求进行自定义设置,例如其可为一个或多个等。
在一具体实施方式中,本申请可通过/采用kubectl命令在Kubernetes开源平台中创建所述CRD用户资源。
在另一具体实施方式中,本申请可通过Restful API接口在Kubernetes开源平台中创建所述CRD用户资源。其中,所述Restful API接口为预先在Kubernetes中为用户User资源添加的接口,所述Restful API接口支持对各种CRD用户资源的创建、修改、删除及获取等操作,本申请并不做限定。
举例来说,以所述CRD用户资源包括User资源、UserRole资源及UserRoleBinding资源为例。本申请引入新的CRD用户资源User。它代表用户,用于定义用户的用户名和密码等信息。如下表1示例性地描述了一个User对象,它创建了一个用户,该用户的用户名为admin,密码为Passw0rd@。
表1
需要说明的是,在将User对象存储至etcd之前,需使用例如哈希算法对密码进行加密处理,以将密码从明文变为密文,不允许在etcd中以明文形式存储密码,而必须以密文形式存储密码。
又如,引入新的CRD资源UserRole。它代表用户角色,用于定义资源的访问权限。如下表2示例性地描述了一个UserRole对象,用于授予Kubernetes集群中所有资源的读写访问权限。
表2
又如,引入新的CRD资源UserRoleBinding。它代表用户角色绑定,用于将资源的访问权限授予用户。如下表3示例性地描述了一个UserRoleBinding对象,用于将Kubernetes集群中所有资源的读写访问权限授予用户admin。
表3
在可选实施例中,本申请在Kubernetes中可通过kubectl命令或者Restful API接口创建相应的验证用户名admin和验证密码Passw0rd@等,并将Kubernetes集群中所有资源的读写访问权限均授予用户admin。
在可选实施例中,本申请可通过kubectl命令或者Restful API接口对Kubernetes中创建的所述CRD资源进行诸如删除、新增、修改及更新等操作,本申请不做限定。
S102、接收Kubernetes登录请求,所述Kubernetes登录请求中携带有待认证用户名和待认证密码。
本申请所述Kubernetes登录请求具体可为用户在Kubernetes Dashboard登录用户界面上操作产生的,也可为接收来自其他设备,例如其他终端设备或服务器等设备获得的,本申请并不做限定。其中,所述Kubernetes登录请求中至少包括当前登录Kubernetes的待认证用户名username和待认证密码password。可选地其还可包括诸如待认证用户的性别、身高或其他信息等,本申请并不做限定。
S103、在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。
本申请在Kubernetes中引入新的认证器UserAuthenticator,它代表用户认证器,实现基于用户名和密码的认证机制,用于扩展Kubernetes现有的认证机制。该Kubernetes认证器(UserAuthenticator)用于实现基于用户名和密码来登录Kubernetes。
在一具体实施方式中,本申请在预配的Kubernetes认证器中,从创建的至少一个所述验证用户名中查找是否存在与所述待认证用户名username对应的目标用户。如果不存在所述待认证用户名username对应的目标用户,则表示认证失败,不授权所述待认证用户名具备对应的资源访问权限。反之,如果存在所述待认证用户名username对应的目标用户,则将查找的目标用户标记为TargetUser。进而根据所述目标用户对应的验证密码对所述待认证密码password进行认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。具体实现中:
本申请可使用诸如哈希等加密算法对所述待认证密码password进行加密处理,得到待认证密文。进而将所述待认证密文和所述目标用户对应的验证密码进行对比,以实现所述待认证用户名和所述待认证密码的验证。其中所述验证密码以密文的形式存储于Kubernetes中。具体地当所述待认证密文与所述目标用户对应的验证密码匹配时,则可确定基于所述待认证用户名和所述待认证密码的验证成功,进而可确定授权所述待认证用户名具备对应的资源访问权限。反之,当所述待认证密文与所述目标用户对应的验证密码不匹配时,则可确定基于所述待认证用户名和所述待认证密码的验证失败,进而可确定禁止授权所述待认证用户名具备对应的资源访问权限。
通过实施本申请实施例,本申请在所述Kubernetes开源平台中创建CRD用户资源,所述CRD用户资源中至少包括验证用户名和验证密码;接收Kubernetes登录请求,所述Kubernetes登录请求中携带有待认证用户名和待认证密码;在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。上述方案中,本申请根据Kubernetes开源平台中创建的CRD用户资源,对Kubernetes登录请求中携带的待认证用户名和待认证密码进行用户身份认证,以确定是否授权该待认证用户具备相应的资源访问权限。这样在Kubernetes中实现了基于用户名和密码的快速登录认证,同时解决了现有技术中采用Token和Kubeconfig登录所存在的登录凭证不易记住、易丢失、导致信息安全隐患等技术问题。
基于同一发明构思,本申请另一实施例提供一种实施本申请实施例中所述基于自定义资源CRD的身份认证方法对应的装置和终端设备。
请参见图2,是本申请实施例提供的一种基于自定义资源CRD的身份认证装置的结构示意图。如图2所示的装置20应用于Kubernetes开源平台中,所述装置20包括创建模块201、接收模块202和认证模块203,其中:
所述创建模块201,用于在所述Kubernetes开源平台中创建CRD用户资源,所述CRD用户资源中至少包括验证用户名和验证密码;
所述接收模块202,用于接收Kubernetes登录请求,所述Kubernetes登录请求中携带有待认证用户名和待认证密码;
所述认证模块203,用于在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。
可选地,所述创建模块201具体用于:
通过kubectl命令在所述Kubernetes开源平台中创建所述CRD用户资源。
可选地,所述创建模块201具体用于:
通过Restful API接口在所述Kubernetes开源平台中创建所述CRD用户资源。
可选地,所述CRD用户资源包括以下中的至少一项:用户信息资源、用户角色资源及用户角色绑定资源。
可选地,所述装置20还包括处理模块204,其中:
所述处理模块204,用于通过所述Restful API接口对所述CRD用户资源进行更新操作。
可选地,所述认证模块203具体用于:
在预配的Kubernetes认证器中,从所述验证用户名中查找是否存在与所述待认证用户名对应的目标用户;
若存在,则根据所述目标用户对应的验证密码对所述待认证密码进行认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。
可选地,所述认证模块203具体用于:
对所述待认证密码进行加密处理,得到待认证密文;
将所述待认证密文和所述目标用户对应的验证密码进行对比,以实现所述待认证用户名和所述待认证密码的验证;
若所述验证成功,则确定授权所述待认证用户名具备对应的资源访问权限。
关于本申请实施例中未介绍或未描述的内容可对应参考前方法实施例中的相关介绍,这里不再赘述。
请一并参见3,是本申请实施例提供的一种终端设备的结构示意图。如图3所示的终端设备30包括:至少一个处理器301、通信接口302、用户接口303和存储器304,处理器301、通信接口302、用户接口303和存储器304可通过总线或者其它方式连接,本发明实施例以通过总线305连接为例。其中,
处理器301可以是通用处理器,例如中央处理器(Central Processing Unit,CPU)。
通信接口302可以为有线接口(例如以太网接口)或无线接口(例如蜂窝网络接口或使用无线局域网接口),用于与其他终端或网站进行通信。本发明实施例中,通信接口302具体用于获取Kubernetes登录请求等信息。
用户接口303具体可为触控面板,包括触摸屏和触控屏,用于检测触控面板上的操作指令,用户接口303也可以是物理按键或者鼠标。用户接口303还可以为显示屏,用于输出、显示图像或数据。
存储器304可以包括易失性存储器(Volatile Memory),例如随机存取存储器(Random Access Memory,RAM);存储器也可以包括非易失性存储器(Non-VolatileMemory),例如只读存储器(Read-Only Memory,ROM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD);存储器304还可以包括上述种类的存储器的组合。存储器304用于存储一组程序代码,处理器301用于调用存储器304中存储的程序代码,执行如下操作:
在所述Kubernetes开源平台中创建CRD用户资源,所述CRD用户资源中至少包括验证用户名和验证密码;
接收Kubernetes登录请求,所述Kubernetes登录请求中携带有待认证用户名和待认证密码;
在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。
可选地,所述在所述Kubernetes开源平台中创建CRD用户资源包括:
通过kubectl命令在所述Kubernetes开源平台中创建所述CRD用户资源。
可选地,所述在所述Kubernetes开源平台中创建CRD用户资源包括:
通过Restful API接口在所述Kubernetes开源平台中创建所述CRD用户资源。
可选地,所述CRD用户资源包括以下中的至少一项:用户信息资源、用户角色资源及用户角色绑定资源。
可选地,所述处理器301还用于:
通过所述Restful API接口对所述CRD用户资源进行更新操作。
可选地,所述在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限包括:
在预配的Kubernetes认证器中,从所述验证用户名中查找是否存在与所述待认证用户名对应的目标用户;
若存在,则根据所述目标用户对应的验证密码对所述待认证密码进行认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。
可选地,所述根据所述目标用户对应的验证密码对所述待认证密码进行认证,以确定是否授权所述待认证用户名具备对应的资源访问权限包括:
对所述待认证密码进行加密处理,得到待认证密文;
将所述待认证密文和所述目标用户对应的验证密码进行对比,以实现所述待认证用户名和所述待认证密码的验证;
若所述验证成功,则确定授权所述待认证用户名具备对应的资源访问权限。
由于本实施例所介绍的终端设备为实施本申请实施例中的方法所采用的终端设备,故而基于本申请实施例中所介绍的方法,本领域所属技术人员能够了解本实施例的终端设备的具体实施方式以及其各种变化形式,所以在此对于该终端设备如何实现本申请实施例中的方法不再详细介绍。只要本领域所属技术人员实施本申请实施例中的方法所采用的终端设备,都属于本申请所欲保护的范围。
本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:本申请在所述Kubernetes开源平台中创建CRD用户资源,所述CRD用户资源中至少包括验证用户名和验证密码;接收Kubernetes登录请求,所述Kubernetes登录请求中携带有待认证用户名和待认证密码;在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。上述方案中,本申请根据Kubernetes开源平台中创建的CRD用户资源,对Kubernetes登录请求中携带的待认证用户名和待认证密码进行用户身份认证,以确定是否授权该待认证用户具备相应的资源访问权限。这样在Kubernetes中实现了基于用户名和密码的快速登录认证,同时解决了现有技术中采用Token和Kubeconfig登录所存在的登录凭证不易记住、易丢失、导致信息安全隐患等技术问题。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种基于自定义资源CRD的身份认证方法,其特征在于,应用于Kubernetes开源平台中,所述方法包括:
在所述Kubernetes开源平台中创建CRD用户资源,所述CRD用户资源中至少包括验证用户名和验证密码;
接收Kubernetes登录请求,所述Kubernetes登录请求中携带有待认证用户名和待认证密码;
在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。
2.根据权利要求1所述的方法,其特征在于,所述在所述Kubernetes开源平台中创建CRD用户资源包括:
通过kubectl命令在所述Kubernetes开源平台中创建所述CRD用户资源。
3.根据权利要求1所述的方法,其特征在于,所述在所述Kubernetes开源平台中创建CRD用户资源包括:
通过RestfulAPI接口在所述Kubernetes开源平台中创建所述CRD用户资源。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述CRD用户资源包括以下中的至少一项:用户信息资源、用户角色资源及用户角色绑定资源。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
通过所述Restful API接口对所述CRD用户资源进行更新操作。
6.根据权利要求1所述的方法,其特征在于,所述在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限包括:
在预配的Kubernetes认证器中,从所述验证用户名中查找是否存在与所述待认证用户名对应的目标用户;
若存在,则根据所述目标用户对应的验证密码对所述待认证密码进行认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。
7.根据权利要求6所述的方法,其特征在于,所述根据所述目标用户对应的验证密码对所述待认证密码进行认证,以确定是否授权所述待认证用户名具备对应的资源访问权限包括:
对所述待认证密码进行加密处理,得到待认证密文;
将所述待认证密文和所述目标用户对应的验证密码进行对比,以实现所述待认证用户名和所述待认证密码的验证;
若所述验证成功,则确定授权所述待认证用户名具备对应的资源访问权限。
8.一种基于自定义资源CRD的身份认证装置,其特征在于,应用于Kubernetes开源平台中,所述装置包括创建模块、接收模块和认证模块,其中:
所述创建模块,用于在所述Kubernetes开源平台中创建CRD用户资源,所述CRD用户资源中至少包括验证用户名和验证密码;
所述接收模块,用于接收Kubernetes登录请求,所述Kubernetes登录请求中携带有待认证用户名和待认证密码;
所述认证模块,用于在预配的Kubernetes认证器中根据所述验证用户名和所述验证密码,对所述待认证用户名和所述待认证密码进行用户身份认证,以确定是否授权所述待认证用户名具备对应的资源访问权限。
9.一种终端设备,其特征在于,所述终端设备包括:处理器、存储器、通信接口和总线;所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;所述存储器存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行如上权利要求1-7中任一项所述的基于自定义资源CRD的身份认证方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有程序,当所述程序运行在终端设备时执行如上权利要求1-7中任一项所述的基于自定义资源CRD的身份认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210239956.1A CN114666108A (zh) | 2022-03-10 | 2022-03-10 | 基于自定义资源的身份认证方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210239956.1A CN114666108A (zh) | 2022-03-10 | 2022-03-10 | 基于自定义资源的身份认证方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114666108A true CN114666108A (zh) | 2022-06-24 |
Family
ID=82030180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210239956.1A Pending CN114666108A (zh) | 2022-03-10 | 2022-03-10 | 基于自定义资源的身份认证方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114666108A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10547521B1 (en) * | 2017-03-29 | 2020-01-28 | Juniper Networks, Inc. | Network dashboard with multifaceted utilization visualizations |
| CN111404923A (zh) * | 2020-03-12 | 2020-07-10 | 北京金山云网络技术有限公司 | 容器集群访问权限的控制方法及系统 |
| CN111930347A (zh) * | 2020-07-24 | 2020-11-13 | 联想(北京)有限公司 | 一种网络创建方法及装置、电子设备 |
-
2022
- 2022-03-10 CN CN202210239956.1A patent/CN114666108A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10547521B1 (en) * | 2017-03-29 | 2020-01-28 | Juniper Networks, Inc. | Network dashboard with multifaceted utilization visualizations |
| CN111404923A (zh) * | 2020-03-12 | 2020-07-10 | 北京金山云网络技术有限公司 | 容器集群访问权限的控制方法及系统 |
| CN111930347A (zh) * | 2020-07-24 | 2020-11-13 | 联想(北京)有限公司 | 一种网络创建方法及装置、电子设备 |
Non-Patent Citations (2)
| Title |
|---|
| IMIKE: "《手把手教你给 Kubernetes Dashboard 增加用户名密码认证功能》", 《HTTPSCLOUD.TENCENT.COMDEVELOPERARTICLE1840605》 * |
| 灰信网: "《Kubernetes Dashboard 设置用户密码登陆》", 《HTTPS://WWW.FREESION.COM/ARTICLE/10421187400/》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951489B (zh) | 一种数字身份认证方法、设备、装置、系统及存储介质 | |
| US10348715B2 (en) | Computer-implemented systems and methods of device based, internet-centric, authentication | |
| EP3123692B1 (en) | Techniques to operate a service with machine generated authentication tokens | |
| CN110892672B (zh) | 提供设备匿名性的密钥认证声明生成 | |
| CN107689869B (zh) | 用户口令管理的方法和服务器 | |
| CN109274652B (zh) | 身份信息验证系统、方法及装置及计算机存储介质 | |
| CN106716957B (zh) | 高效且可靠的认证 | |
| US20180183777A1 (en) | Methods and systems for user authentication | |
| CN106991298B (zh) | 应用程序对接口的访问方法、授权请求方法及装置 | |
| CN113711211A (zh) | 第一因素非接触式卡认证系统和方法 | |
| CN110677376B (zh) | 认证方法、相关设备和系统及计算机可读存储介质 | |
| CN109462602B (zh) | 登录信息存储方法、登录验证方法、装置、设备及介质 | |
| US20230370265A1 (en) | Method, Apparatus and Device for Constructing Token for Cloud Platform Resource Access Control | |
| CN103198249A (zh) | 对可漫游凭证存储的安全且可用保护 | |
| CN108200014B (zh) | 利用智能密钥装置访问服务器的方法、装置及系统 | |
| US11757877B1 (en) | Decentralized application authentication | |
| CN110401538A (zh) | 数据加密方法、系统以及终端 | |
| KR20120087095A (ko) | 실시간 패스워드를 생성하는 장치 및 방법 및 저장 매체 | |
| CN111200593A (zh) | 应用登录方法、装置和电子设备 | |
| US20170201528A1 (en) | Method for providing trusted service based on secure area and apparatus using the same | |
| US11347411B2 (en) | Secure storing and processing of data | |
| US10951412B2 (en) | Cryptographic device with administrative access interface utilizing event-based one-time passcodes | |
| US10230564B1 (en) | Automatic account management and device registration | |
| CN115766192A (zh) | 基于ukey的离线安全认证方法、装置、设备及介质 | |
| CN114666108A (zh) | 基于自定义资源的身份认证方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information |
Address after: Room 701, No. 88, quanyun Third Road, Hunnan District, Shenyang, Liaoning 110117 Applicant after: Mingyang Industrial Technology Research Institute (Shenyang) Co.,Ltd. Address before: Room 466, building F9, Shenyang International Software Park, No. 860-6, shangshengou village, Hunnan District, Shenyang, Liaoning 110170 Applicant before: Mingyang Industrial Technology Research Institute (Shenyang) Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220624 |
|
| RJ01 | Rejection of invention patent application after publication |