CN115695001A - 微服务间的安全认证方法及其相关设备 - Google Patents
微服务间的安全认证方法及其相关设备 Download PDFInfo
- Publication number
- CN115695001A CN115695001A CN202211351906.9A CN202211351906A CN115695001A CN 115695001 A CN115695001 A CN 115695001A CN 202211351906 A CN202211351906 A CN 202211351906A CN 115695001 A CN115695001 A CN 115695001A
- Authority
- CN
- China
- Prior art keywords
- security
- service
- application
- interception module
- loading
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000007689 inspection Methods 0.000 claims abstract description 5
- 238000012423 maintenance Methods 0.000 abstract description 10
- 239000003795 chemical substances by application Substances 0.000 description 16
- 238000010586 diagram Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000036316 preload Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例属于信息安全和金融保险领域,涉及一种微服务间的安全认证方法,包括在应用中配置不同的微服务,微服务包括各种服务配置参数,不同微服务之间通过各种服务配置参数进行关联调用,当应用启动,加载安全拦截模块,安全拦截模块根据应用配置的相关参数,查询并加载服务配置参数,当请求调用应用提供的微服务,安全拦截模块拦截调用请求并进行安全检查。本申请还提供一种微服务间的安全认证方法相关的设备,包括微服务间的安全认证装置、计算机设备及计算机可读存储介质。本申请根据各种服务配置参数的不同,应用启动就加载安全拦截模块,服务调用请求发生就拦截调用请求并进行安全检查,统一解决微服务之间安全需求,方便统一维护。
Description
技术领域
本申请涉及信息安全与金融保险技术领域,尤其涉及一种微服务间的安全认证方法及其相关设备。
背景技术
在金融保险领域中,经常需要通过微服务系统技术进行微服务之间的调用,然而现有微服务系统技术存在诸多技术问题需要解决。例如,微服务系统依赖架构设计、链路监控、网络防火墙控制策略,无法及时更新,导致无法准确的了解各个服务之间的调用关系,带来维护的问题。又如,各个服务的鉴权、授权机制方式多样化,无法统一管理,给整体维护来麻烦。又如,各个服务都自己独立做鉴权、授权功能,功能重复开发,带来资源浪费。又如,部分服务的API不存在鉴权机制或者授权过于简单非常容易破解,存在安全隐患。又如,现有鉴权方式都是服务端验证客户端请求的模式,存在计费、限流等实际场景时,客户端也判断是否能够有具备调用服务器端,目前无通用解决方案。再如,服务器端的鉴权信息被配置各个应用端,存在泄漏风险以及鉴权信息修改难的问题。
综上所述,现有金融保险领域中,微服务系统存在维护不便,安全性不高以及鉴权信息修改难等技术问题。
发明内容
本申请实施例的目的在于提出一种微服务间的安全认证方法及其相关设备,以解决现有技术中微服务系统维护不便,安全性不高以及鉴权信息修改难的技术问题,其主要的目的是提出统一的方案来解决微服务之间安全的需求,对业务代码无任何入侵。
为了解决上述技术问题,本申请实施例提供了一种微服务间的安全认证方法,采用了如下所述的技术方案:
一种微服务间的安全认证方法,包括下述步骤:
在应用中配置不同的微服务,所述微服务包括各种服务配置参数;所述不同的微服务之间通过所述各种服务配置参数进行关联调用;
当应用启动,加载安全拦截模块,以使所述安全拦截模块根据应用配置的相关参数,查询并加载所述各种服务配置参数;
当请求调用所述应用提供的所述微服务,所述安全拦截模块拦截调用请求并进行安全检查。
进一步的,所述的当应用启动,加载安全拦截模块,所述安全拦截模块根据应用配置的相关参数,查询并加载所述各种服务配置参数,包括:
识别应用启动的主体特征;
当识别到所述主体特征为服务使用端时,加载安全拦截模块,以使所述安全拦截模块根据所述服务使用端的应用配置的相关参数,查询并加载所述各种服务配置参数;
当识别到所述主体特征为服务提供端时,加载所述安全拦截模块,以使所述安全拦截模块根据所述服务提供端的应用配置的相关参数,查询并加载所述各种服务配置参数。
进一步的,所述加载所述安全拦截模块,包括:
配置-javaagent参数;
根据-javaagent参数加载安全代理包以实现安全拦截模块的加载。
进一步的,所述安全拦截模块拦截调用请求并进行安全检查,包括:
所述安全拦截模块拦截调用请求,对所述各种服务配置参数中需要进行关联调用的关联方的服务名、私有token信息,以及需要访问的服务、地址信息以及采用的安全方式进行核查;
当所述各种服务配置参数中需要进行关联调用的关联方的服务名、私有token信息,以及需要访问的服务、地址信息以及采用的安全方式存在任意一种服务配置参数核查不通过,拒绝调用请求。
进一步的,所述在应用中配置不同的微服务之后,还包括下述步骤:
根据所述各种服务配置参数生成各个微服务之间的服务调用拓扑;
在接收到管理员的拓扑使用请求时,向所述管理员提供所述服务调用拓扑。
进一步的,所述加载安全拦截模块之后,还包括下述步骤:
根据当前注册所述安全拦截模块的数量,生成每个微服务的实例个数;
在接收到管理员的查看使用请求时,向所述管理员展示每个微服务的实例个数。
为了解决上述技术问题,本申请实施例还提供一种微服务间的安全认证装置,采用了如下所述的技术方案:
一种微服务间的安全认证装置,所述微服务间的安全认证装置对应运行上述任一种微服务间的安全认证方法的步骤,所述微服务间的安全认证装置包括:
微服务配置模块,用于在应用中配置不同的微服务,所述微服务包括各种服务配置参数;所述不同的微服务之间通过所述各种服务配置参数进行关联调用;
查询加载模块,用于当服务使用端的应用启动,加载安全拦截模块,以使所述安全拦截模块根据所述服务使用端的应用配置的相关参数,查询并加载所述各种服务配置参数;
安全检查模块,用于当所述服务使用端请求调用所述应用提供的所述微服务,所述安全拦截模块拦截调用请求并进行安全检查。
进一步的,所述查询加载模块包括以下子模块:
主体特征识别子模块,用于识别应用启动的主体特征;
服务使用端加载子模块,用于当识别到所述主体特征为服务使用端时,加载安全拦截模块,以使所述安全拦截模块根据所述服务使用端的应用配置的相关参数,查询并加载所述各种服务配置参数;
服务提供端加载子模块,用于当识别到所述主体特征为服务提供端时,加载所述安全拦截模块,以使所述安全拦截模块根据所述服务提供端的应用配置的相关参数,查询并加载所述各种服务配置参数。
为了解决上述技术问题,本申请实施例还提供一种计算机设备,采用了如下所述的技术方案:
一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述处理器执行所述计算机可读指令时实现上述任一种微服务间的安全认证方法的步骤。
为了解决上述技术问题,本申请实施例还提供一种计算机可读存储介质,采用了如下所述的技术方案:
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现上述任一种微服务间的安全认证方法的步骤。
与现有技术相比,本申请实施例主要有以下有益效果:
本申请实施例通过在应用中配置不同的微服务,微服务包括各种服务配置参数,不同的微服务之间通过各种服务配置参数进行关联调用,当应用启动,加载安全拦截模块,以使安全拦截模块根据应用配置的相关参数,查询并加载各种服务配置参数,当请求调用应用提供的微服务,安全拦截模块拦截调用请求并进行安全检查,从而根据各种服务配置参数的不同,应用启动就加载安全拦截模块,服务调用请求发生就拦截调用请求并进行安全检查,满足不同服务的安全访问,统一解决微服务之间安全需求,方便统一维护。
附图说明
为了更清楚地说明本申请中的方案,下面将对本申请实施例描述中所需要使用的附图作一个简单介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请可以应用于其中的示例性系统架构图;
图2根据本申请的微服务间的安全认证方法的一个实施例的流程图;
图3是根据本申请的微服务间的安全认证装置的一个实施例的结构示意图;
图4是根据本申请的计算机设备的一个实施例的结构示意图。
具体实施方式
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
为了使本技术领域的人员更好地理解本申请方案,下面将结合附图,对本申请实施例中的技术方案进行清楚、完整地描述。
如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving PictureExpertsGroup Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(MovingPictureExperts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上显示的页面提供支持的后台服务器。
需要说明的是,本申请实施例所提供的微服务间的安全认证方法一般由服务器/终端设备执行,相应地,微服务间的安全认证装置一般设置于服务器/终端设备中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
继续参考图2,示出了根据本申请的微服务间的安全认证的方法的一个实施例的流程图。所述的微服务间的安全认证方法,包括以下步骤:
步骤S201,在应用中配置不同的微服务,微服务包括各种服务配置参数;不同的微服务之间通过各种服务配置参数进行关联调用。
在本实施例中,微服务间的安全认证方法可以运行在电子设备上,例如可以运行在单个服务器上,也可以运行在多个服务器组成的服务器集群上。其中,微服务间的安全认证方法涉及多个应用程序,每个应用程序均可以提供微服务,不同的微服务之间可以相互调用。当应用程序运行在服务器集群上时,不同的服务器之间可以通过有线连接方式或者无线连接方式连接通信。需要指出的是,上述无线连接方式可以包括但不限于3G/4G/5G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultra wideband)连接、以及其他现在已知或将来开发的无线连接方式。
在本实施例中,各种服务配置参数包括但不限于需要进行关联调用的关联方的服务名、私有token信息,以及需要访问的服务、地址信息以及采用的安全方式等。其中,采用的安全方式包括但不限于basic、token、用户名/密码、证书等。
具体的,通过签报的方式,让各个关联方自行申请自己的服务名、私有token信息,以及需要访问的服务、地址信息以及采用的安全方式。
步骤S202,当应用启动,加载安全拦截模块,以使安全拦截模块根据应用配置的相关参数,查询并加载各种服务配置参数。
在本实施例中,当应用启动,加载安全拦截模块。其中,由于不同应用之间可以进行微服务的调用,因此应用启动包括但不限于服务使用端的应用启动和服务提供端的应用启动。服务使用端由于是接收服务一端,因此也可以称其为客户端。
在一个具体实施例中,当应用启动,加载安全拦截模块,安全拦截模块根据应用配置的相关参数,查询并加载各种服务配置参数,可以包括如下步骤:
当服务使用端的应用启动,加载安全拦截模块,安全拦截模块根据服务使用端的应用配置的相关参数,查询并加载各种服务配置参数。
在一个具体实施例中,当应用启动,加载安全拦截模块,安全拦截模块根据应用配置的相关参数,查询并加载各种服务配置参数,可以包括如下步骤:
当服务提供端的应用启动,加载安全拦截模块,安全拦截模块根据服务提供端的应用配置的相关参数,查询并加载各种服务配置参数。
需要指出的是,加载安全拦截模块可以通过加载具有各种安全拦截功能的程序或者程序包实现。
在一个具体实施例中,加载安全拦截模块,可以包括如下步骤:
配置-javaagent参数;
根据-javaagent参数加载安全代理包以实现安全拦截模块的加载。
在本实施例中,-javaagent参数是java命令的一个参数,可以用于指定一个jar包,java命令满足jar包的MANIFEST.MF文件指定Premain-Class项。使用-javaagent参数加载安全代理包,能让修改字节码的动作化于无形,对业务透明,减少侵入性。另外,安全代理包,也可称为security-agent包。
进一步的,安全拦截模块根据应用配置的相关参数,查询并加载各种服务配置参数,可以包括:
安全代理包根据服务使用端的应用配置的相关参数,查询并加载各种服务配置参数。
进一步的,安全拦截模块根据应用配置的相关参数,查询并加载各种服务配置参数,可以包括:
security-agent包根据服务提供端的应用配置的相关参数,查询并加载各种服务配置参数。
步骤S203,当请求调用应用提供的微服务,安全拦截模块拦截调用请求并进行安全检查。
在本实施例中,不同微服务之间进行服务调用时,存在服务请求发起和服务请求接收,安全拦截模块拦截调用请求并进行安全检查包括但不限于服务请求发起和服务请求接收进行安全拦截。
在一些可选的实施方式中,安全拦截模块拦截调用请求并进行安全检查,可以包括下述步骤:
安全拦截模块拦截调用请求,对各种服务配置参数中需要进行关联调用的关联方的服务名、私有token信息,以及需要访问的服务、地址信息以及采用的安全方式进行核查;
当各种服务配置参数中需要进行关联调用的关联方的服务名、私有token信息,以及需要访问的服务、地址信息以及采用的安全方式存在任意一种服务配置参数核查不通过,拒绝调用请求。
本实施例中,安全拦截模块可以预先加载各种服务配置参数,在拦截调用请求,对各种服务配置参数核查时,可以将预先加载的各种服务配置参数与调用请求对应的主体的各种服务配置参数进行对比,对比结果如果完全一致,则核查通过,允许调用请求,反之对比结果如果存在任意一项不一致,则审核不通过,拒绝调用请求。
在一个具体示例中,当服务使用端请求调用应用提供的微服务,安全拦截模块拦截调用请求,对各种服务配置参数中需要进行关联调用的关联方的服务名、私有token信息,以及需要访问的服务、地址信息以及采用的安全方式进行核查。
当服务提供端接收到服务使用端的调用请求,安全拦截模块拦截调用请求,对各种服务配置参数中需要进行关联调用的关联方的服务名、私有token信息,以及需要访问的服务、地址信息以及采用的安全方式进行核查。
本申请通过在应用中配置不同的微服务,微服务包括各种服务配置参数,不同的微服务之间通过各种服务配置参数进行关联调用,当应用启动,加载安全拦截模块,以使安全拦截模块根据应用配置的相关参数,查询并加载各种服务配置参数,当请求调用应用提供的微服务,安全拦截模块拦截调用请求并进行安全检查,从而根据各种服务配置参数的不同,应用启动就加载安全拦截模块,服务调用请求发生就拦截调用请求并进行安全检查,满足不同服务的安全访问,统一解决微服务之间安全需求,方便统一维护。
在本实施例的一些可选的实现方式中,在步骤S201之后,上述电子设备还可以执行以下步骤:
根据各种服务配置参数生成各个微服务之间的服务调用拓扑;
在接收到管理员的拓扑使用请求时,向所述管理员提供所述服务调用拓扑。
在本实施例中,服务调用拓扑可以是一种服务调用关系图,用于直观指示各微服务之间的调用。
本申请通过根据各种服务配置参数生成各个微服务之间的服务调用拓扑,从而直观展示各微服务之间的调用关系,方便管理人员使用。
在本实施例的一些可选的实现方式中,在步骤S202之后,上述电子设备还可以执行以下步骤:
根据当前注册安全拦截模块的数量,生成每个微服务的实例个数;
在接收到管理员的查看使用请求时,向所述管理员展示每个微服务的实例个数。
本实施例中,各个应用服务都统一注册到安全拦截模块上面,可以清晰的了解每个服务的使用数量,可以得到精准的服务调用关系。具体的,各个应用服务都统一注册到security-server上面。
本申请通过根据当前注册安全拦截模块的数量,展示每个微服务的实例个数,从而可以清晰的了解每个服务的使用数量,得到精准的服务调用关系,方便管理员使用。
在本实施例的一些可选的实现方式中,步骤S203还可以包括如下步骤:
当服务使用端请求调用应用提供的微服务,验证服务使用端服务的配置状态;
根据服务使用端服务的配置状态的验证结果,决定是否允许服务使用端请求。
本实施例中,通过验证,如果服务处于正常配置状态,则允许服务使用端请求,例如允许启动https(通道增加证书)、增加basic认证header、token等。如果服务没有处于正常配置状态,则拒绝服务使用端的请求。例如,向服务使用端显示非法访问。
本申请通过当服务使用端请求调用应用提供的微服务,验证服务使用端服务的配置状态,根据服务使用端服务的配置状态的验证结果,决定是否允许服务使用端请求,从而实现服务使用端与服务提供端之间的验证。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机可读指令来指令相关的硬件来完成,该计算机可读指令可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等非易失性存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
进一步参考图3,作为对上述图2所示方法的实现,本申请提供了一种微服务间的安全认证装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图3所示,本实施例所述的微服务间的安全认证装置400包括:微服务配置模块401、查询加载模块402以及安全检查模块403。其中:
微服务配置模块401,用于在应用中配置不同的微服务,微服务包括各种服务配置参数;不同的微服务之间通过各种服务配置参数进行关联调用;
查询加载模块402,用于当应用启动,加载安全拦截模块,以使安全拦截模块根据应用配置的相关参数,查询并加载各种服务配置参数;
安全检查模块403,用于当请求调用应用提供的微服务,安全拦截模块拦截调用请求并进行安全检查。
在本实施例中,微服务间的安全认证方法可以运行在电子设备上,例如可以运行在单个服务器上,也可以运行在多个服务器组成的服务器集群上。其中,微服务间的安全认证方法涉及多个应用程序,每个应用程序均可以提供微服务,不同的微服务之间可以相互调用。当应用程序运行在服务器集群上时,不同的服务器之间可以通过有线连接方式或者无线连接方式连接通信。需要指出的是,上述无线连接方式可以包括但不限于3G/4G/5G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultra wideband)连接、以及其他现在已知或将来开发的无线连接方式。
在本实施例中,各种服务配置参数包括但不限于需要进行关联调用的关联方的服务名、私有token信息,以及需要访问的服务、地址信息以及采用的安全方式等。其中,采用的安全方式包括但不限于basic、token、用户名/密码、证书等。
具体的,通过签报的方式,让各个关联方自行申请自己的服务名、私有token信息,以及需要访问的服务、地址信息以及采用的安全方式。
在本实施例中,当应用启动,加载安全拦截模块。其中,由于不同应用之间可以进行微服务的调用,因此应用启动包括但不限于服务使用端的应用启动和服务提供端的应用启动。服务使用端由于是接收服务一端,因此也可以称其为客户端。
在一些可选实施方式中,查询加载模块402可以包括以下子模块:
主体特征识别子模块,用于识别应用启动的主体特征;
服务使用端加载子模块,用于当识别到主体特征为服务使用端时,加载安全拦截模块,以使安全拦截模块根据服务使用端的应用配置的相关参数,查询并加载各种服务配置参数;
服务提供端加载子模块,用于当识别到主体特征为服务提供端时,加载安全拦截模块,以使安全拦截模块根据服务提供端的应用配置的相关参数,查询并加载各种服务配置参数。
需要指出的是,加载安全拦截模块可以通过加载具有各种安全拦截功能的程序或者程序包实现。优选的,加载安全拦截模块,可以包括:配置-javaagent参数,根据-javaagent参数加载security-agent包以实现安全拦截模块的加载。
进一步的,安全拦截模块根据应用配置的相关参数,查询并加载各种服务配置参数,可以利用security-agent包实现。其中,security-agent包根据服务使用端的应用配置的相关参数,查询并加载各种服务配置参数。security-agent包根据服务提供端的应用配置的相关参数,查询并加载各种服务配置参数。
当请求调用应用提供的微服务,安全拦截模块拦截调用请求并进行安全检查。
在本实施例中,不同微服务之间进行服务调用时,存在服务请求发起和服务请求接收,安全拦截模块拦截调用请求并进行安全检查包括但不限于服务请求发起和服务请求接收进行安全拦截。
具体的,当服务使用端请求调用应用提供的微服务,安全拦截模块拦截调用请求并进行安全检查。当服务提供端接收到服务使用端的调用请求,安全拦截模块拦截调用请求并进行安全检查。
本申请通过在应用中配置不同的微服务,微服务包括各种服务配置参数,不同的微服务之间通过各种服务配置参数进行关联调用,当应用启动,加载安全拦截模块,安全拦截模块根据应用配置的相关参数,查询并加载各种服务配置参数,当请求调用应用提供的微服务,安全拦截模块拦截调用请求并进行安全检查,从而根据各种服务配置参数的不同,应用启动就加载安全拦截模块,服务调用请求发生就拦截调用请求并进行安全检查,满足不同服务的安全访问,统一解决微服务之间安全需求,方便统一维护。
为解决上述技术问题,本申请实施例还提供计算机设备。具体请参阅图4,图4为本实施例计算机设备基本结构框图。
计算机设备6包括通过系统总线相互通信连接存储器61、处理器62、网络接口63。需要指出的是,图中仅示出了具有组件61-63的计算机设备6,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、可编程门阵列(Field-Programmable Gate Array,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
存储器61至少包括一种类型的可读存储介质,可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器61可以是计算机设备6的内部存储单元,例如该计算机设备6的硬盘或内存。在另一些实施例中,存储器61也可以是计算机设备6的外部存储设备,例如该计算机设备6上配备的插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器61还可以既包括计算机设备6的内部存储单元也包括其外部存储设备。本实施例中,存储器61通常用于存储安装于计算机设备6的操作系统和各类应用软件,例如微服务间的安全认证方法的计算机可读指令等。此外,存储器61还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器62在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器62通常用于控制计算机设备6的总体操作。本实施例中,处理器62用于运行存储器61中存储的计算机可读指令或者处理数据,例如运行微服务间的安全认证的计算机可读指令。
网络接口63可包括无线网络接口或有线网络接口,该网络接口63通常用于在计算机设备6与其他电子设备之间建立通信连接。
本申请通过在应用中配置不同的微服务,微服务包括各种服务配置参数,不同的微服务之间通过各种服务配置参数进行关联调用,当应用启动,加载安全拦截模块,安全拦截模块根据应用配置的相关参数,查询并加载各种服务配置参数,当请求调用应用提供的微服务,安全拦截模块拦截调用请求并进行安全检查,从而根据各种服务配置参数的不同,应用启动就加载安全拦截模块,服务调用请求发生就拦截调用请求并进行安全检查,满足不同服务的安全访问,统一解决微服务之间安全需求,方便统一维护。
本申请还提供了另一种实施方式,即提供一种计算机可读存储介质,计算机可读存储介质存储有计算机可读指令,计算机可读指令可被至少一个处理器执行,以使至少一个处理器执行如上述的微服务间的安全认证方法的步骤。
本申请通过在应用中配置不同的微服务,微服务包括各种服务配置参数,不同的微服务之间通过各种服务配置参数进行关联调用,当应用启动,加载安全拦截模块,安全拦截模块根据应用配置的相关参数,查询并加载各种服务配置参数,当请求调用应用提供的微服务,安全拦截模块拦截调用请求并进行安全检查,从而根据各种服务配置参数的不同,应用启动就加载安全拦截模块,服务调用请求发生就拦截调用请求并进行安全检查,满足不同服务的安全访问,统一解决微服务之间安全需求,方便统一维护。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
显然,以上所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例,附图中给出了本申请的较佳实施例,但并不限制本申请的专利范围。本申请可以以许多不同的形式来实现,相反地,提供这些实施例的目的是使对本申请的公开内容的理解更加透彻全面。尽管参照前述实施例对本申请进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本申请说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本申请专利保护范围之内。
Claims (10)
1.一种微服务间的安全认证方法,其特征在于,包括下述步骤:
在应用中配置不同的微服务,所述微服务包括各种服务配置参数;所述不同的微服务之间通过所述各种服务配置参数进行关联调用;
当应用启动,加载安全拦截模块,以使所述安全拦截模块根据应用配置的相关参数,查询并加载所述各种服务配置参数;
当请求调用所述应用提供的所述微服务,所述安全拦截模块拦截调用请求并进行安全检查。
2.根据权利要求1所述的微服务间的安全认证方法,其特征在于,所述的当应用启动,加载安全拦截模块,所述安全拦截模块根据应用配置的相关参数,查询并加载所述各种服务配置参数,包括:
识别应用启动的主体特征;
当识别到所述主体特征为服务使用端时,加载安全拦截模块,以使所述安全拦截模块根据所述服务使用端的应用配置的相关参数,查询并加载所述各种服务配置参数;
当识别到所述主体特征为服务提供端时,加载所述安全拦截模块,以使所述安全拦截模块根据所述服务提供端的应用配置的相关参数,查询并加载所述各种服务配置参数。
3.根据权利要求2所述的微服务间的安全认证方法,其特征在于,所述加载所述安全拦截模块,包括:
配置-javaagent参数;
根据-javaagent参数加载安全代理包以实现安全拦截模块的加载。
4.根据权利要求1所述的微服务间的安全认证方法,其特征在于,所述安全拦截模块拦截调用请求并进行安全检查,包括:
所述安全拦截模块拦截调用请求,对所述各种服务配置参数中需要进行关联调用的关联方的服务名、私有token信息,以及需要访问的服务、地址信息以及采用的安全方式进行核查;
当所述各种服务配置参数中需要进行关联调用的关联方的服务名、私有token信息,以及需要访问的服务、地址信息以及采用的安全方式存在任意一种服务配置参数核查不通过,拒绝调用请求。
5.根据权利要求1所述的微服务间的安全认证方法,其特征在于,所述在应用中配置不同的微服务之后,还包括下述步骤:
根据所述各种服务配置参数生成各个微服务之间的服务调用拓扑;
在接收到管理员的拓扑使用请求时,向所述管理员提供所述服务调用拓扑。
6.根据权利要求1-5任一项所述的微服务间的安全认证方法,其特征在于,所述加载安全拦截模块之后,还包括下述步骤:
根据当前注册所述安全拦截模块的数量,生成每个微服务的实例个数;
在接收到管理员的查看使用请求时,向所述管理员展示每个微服务的实例个数。
7.一种微服务间的安全认证装置,其特征在于,所述微服务间的安全认证装置对应运行如权利要求1-6任一项所述的微服务间的安全认证方法的步骤,所述微服务间的安全认证装置包括:
微服务配置模块,用于在应用中配置不同的微服务,所述微服务包括各种服务配置参数;所述不同的微服务之间通过所述各种服务配置参数进行关联调用;
查询加载模块,用于当应用启动,加载安全拦截模块,以使所述安全拦截模块根据应用配置的相关参数,查询并加载所述各种服务配置参数;
安全检查模块,用于当请求调用所述应用提供的所述微服务,所述安全拦截模块拦截调用请求并进行安全检查。
8.根据权利要求7所述的微服务间的安全认证装置,其特征在于,所述查询加载模块包括以下子模块:
主体特征识别子模块,用于识别应用启动的主体特征;
服务使用端加载子模块,用于当识别到所述主体特征为服务使用端时,加载安全拦截模块,以使所述安全拦截模块根据所述服务使用端的应用配置的相关参数,查询并加载所述各种服务配置参数;
服务提供端加载子模块,用于当识别到所述主体特征为服务提供端时,加载所述安全拦截模块,以使所述安全拦截模块根据所述服务提供端的应用配置的相关参数,查询并加载所述各种服务配置参数。
9.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,其特征在于,所述处理器执行所述计算机可读指令时实现如权利要求1至6中任一项所述的微服务间的安全认证方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如权利要求1至6中任一项所述的微服务间的安全认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211351906.9A CN115695001B (zh) | 2022-10-31 | 2022-10-31 | 微服务间的安全认证方法及其相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211351906.9A CN115695001B (zh) | 2022-10-31 | 2022-10-31 | 微服务间的安全认证方法及其相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115695001A true CN115695001A (zh) | 2023-02-03 |
| CN115695001B CN115695001B (zh) | 2024-06-28 |
Family
ID=85048379
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211351906.9A Active CN115695001B (zh) | 2022-10-31 | 2022-10-31 | 微服务间的安全认证方法及其相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115695001B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110474863A (zh) * | 2018-05-10 | 2019-11-19 | 中国移动通信集团浙江有限公司 | 微服务安全认证方法及装置 |
| CN110930537A (zh) * | 2019-10-16 | 2020-03-27 | 中国平安财产保险股份有限公司 | 基于大数据的车辆数据获取方法、装置、设备及存储介质 |
| US20210306321A1 (en) * | 2020-03-27 | 2021-09-30 | Bull Sas | Method and system for discovering and logging new microservices for a platform for unified governance of a plurality of intensive computing solutions |
| CN113923020A (zh) * | 2021-10-09 | 2022-01-11 | 天翼物联科技有限公司 | SaaS多租户架构的微服务鉴权方法、装置、及设备 |
| US20220156387A1 (en) * | 2020-11-18 | 2022-05-19 | Citrix Systems, Inc. | Snap-in secret server support |
| CN115085950A (zh) * | 2021-03-10 | 2022-09-20 | 腾讯科技(深圳)有限公司 | 微服务安全控制方法、装置、设备及计算机可读存储介质 |
-
2022
- 2022-10-31 CN CN202211351906.9A patent/CN115695001B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110474863A (zh) * | 2018-05-10 | 2019-11-19 | 中国移动通信集团浙江有限公司 | 微服务安全认证方法及装置 |
| CN110930537A (zh) * | 2019-10-16 | 2020-03-27 | 中国平安财产保险股份有限公司 | 基于大数据的车辆数据获取方法、装置、设备及存储介质 |
| US20210306321A1 (en) * | 2020-03-27 | 2021-09-30 | Bull Sas | Method and system for discovering and logging new microservices for a platform for unified governance of a plurality of intensive computing solutions |
| US20220156387A1 (en) * | 2020-11-18 | 2022-05-19 | Citrix Systems, Inc. | Snap-in secret server support |
| CN115085950A (zh) * | 2021-03-10 | 2022-09-20 | 腾讯科技(深圳)有限公司 | 微服务安全控制方法、装置、设备及计算机可读存储介质 |
| CN113923020A (zh) * | 2021-10-09 | 2022-01-11 | 天翼物联科技有限公司 | SaaS多租户架构的微服务鉴权方法、装置、及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115695001B (zh) | 2024-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109040316B (zh) | Http服务处理方法和装置 | |
| CN109617907B (zh) | 认证方法、电子装置及计算机可读存储介质 | |
| WO2018120722A1 (zh) | 异步接口测试方法、终端、设备、系统及存储介质 | |
| CN104572263A (zh) | 一种页面数据交互方法、相关装置及系统 | |
| CN108234509A (zh) | 基于tee和pki证书的fido认证器、认证系统及方法 | |
| CN109769010B (zh) | 基于SDK访问CloudStack服务器的方法、装置、设备及存储介质 | |
| CN113259429A (zh) | 会话保持管控方法、装置、计算机设备及介质 | |
| CN113434882A (zh) | 应用程序的通讯保护方法、装置、计算机设备及存储介质 | |
| CN115935321A (zh) | 算法库的访问方法、装置及存储介质 | |
| CN113434254B (zh) | 客户端部署方法、装置、计算机设备及存储介质 | |
| CN113572763B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN114567600A (zh) | 流量管理方法及相关设备 | |
| CN113190812A (zh) | 一种登录方法、系统、电子设备及存储介质 | |
| CN110650014B (zh) | 一种基于hessian协议的签名认证方法、系统、设备及存储介质 | |
| CN113360172B (zh) | 应用部署方法、装置、计算机设备及存储介质 | |
| CN115695001B (zh) | 微服务间的安全认证方法及其相关设备 | |
| CN115733685A (zh) | Web会话认证管理方法、装置、计算机设备及存储介质 | |
| CN116185760A (zh) | 一种服务运行的动态监控方法、装置、设备及存储介质 | |
| CN108270741B (zh) | 移动终端认证方法及系统 | |
| CN111885006B (zh) | 页面访问、授权访问方法和装置 | |
| CN115170355A (zh) | 取证数据可信验证方法、装置、计算机设备及存储介质 | |
| CN113765876A (zh) | 报表处理软件的访问方法和装置 | |
| CN113452771B (zh) | 一种接口调用方法、装置和系统 | |
| CN112083949B (zh) | 自适应跨平台方法、装置、计算机设备及存储介质 | |
| CN114785691B (zh) | 网络安全管控方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |