CN115906118A - 一种多数据源认证方法、装置、电子设备及存储介质 - Google Patents
一种多数据源认证方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115906118A CN115906118A CN202211435231.6A CN202211435231A CN115906118A CN 115906118 A CN115906118 A CN 115906118A CN 202211435231 A CN202211435231 A CN 202211435231A CN 115906118 A CN115906118 A CN 115906118A
- Authority
- CN
- China
- Prior art keywords
- data source
- authenticated
- authentication information
- information
- application program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本公开提供了一种多数据源认证方法、装置、电子设备及存储介质,涉及人工智能领域,具体涉及云计算、大数据技术,可应用在智能云等场景下。具体实现方案为:确定是否缓存有待认证数据源的认证信息;在没有缓存所述待认证数据源的认证信息的情况下,与目标远程服务端创建连接;调用所述目标远程服务端连接所述待认证数据源,并从所述待认证数据源中获取所述认证信息;对所述认证信息进行缓存,并基于所述认证信息对所述待认证数据源进行认证,能够支持多数据源的认证。
Description
技术领域
本公开涉及人工智能领域,具体涉及云计算、大数据技术,可应用在智能云等场景下。
背景技术
在大数据技术的数据处理领域,数据源大多采用Kerberos(一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证)进行安全认证,开启Kerberos认证的数据源,在每次对数据源进行访问时均需要进行Kerberos认证。
发明内容
本公开提供了一种多数据源认证方法、装置、电子设备及存储介质。
根据本公开的一方面,提供了一种多数据源认证方法,包括:
确定是否缓存有待认证数据源的认证信息;
在没有缓存所述待认证数据源的认证信息的情况下,与目标远程服务端创建连接;
调用所述目标远程服务端连接所述待认证数据源,并从所述待认证数据源中获取所述认证信息;
对所述认证信息进行缓存,并基于所述认证信息对所述待认证数据源进行认证。
根据本公开的另一方面,提供了一种多数据源认证装置,包括:
信息确定模块,用于确定是否缓存有待认证数据源的认证信息;
连接创建模块,在所述信息确定模块确定没有缓存所述待认证数据源的认证信息的情况下,与目标远程服务端创建连接;
信息获取模块,用于调用所述目标远程服务端连接所述待认证数据源,并从所述待认证数据源中获取所述认证信息;
第一认证模块,用于对所述认证信息进行缓存,并基于所述认证信息对所述待认证数据源进行认证。
根据本公开的另一方面,提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本公开中任一项所述的方法。
根据本公开的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行本公开中任一项所述的方法。
根据本公开的另一方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现本公开中任一项所述的方法。
本公开实施例,能够支持多数据源的认证。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是根据本公开的多数据源认证方法的一种示意图;
图2是根据本公开的多数据源认证方法的另一种示意图;
图3是根据本公开的获取待认证数据源认证信息的一种示意图;
图4是根据本公开的获取待认证数据源认证信息的另一种示意图;
图5是根据本公开的认证信息有效更新的一种示意图;
图6是根据本公开的多数据源认证方法的再一种示意图;
图7是根据本公开的获取待认证数据源的认证信息的再一种示意图;
图8是根据本公开的多数据源认证装置的示意图;
图9是用来实现本公开实施例的多数据源认证方法的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
在大数据技术的数据处理领域,为了保障数据的安全,Hive集群(一种基于Hadoop(海杜普)的数据仓库工具)通常通过Kerberos认证来保证敏感数据不会泄露。
开启Kerberos认证后,服务与服务之间在进行交互前,均需要向KDC(KeyDistribution Center,密钥分配中心)获取认证的票据。YARN(Yet Another ResourceNegotiator,另一种资源协调者)是一个通用资源管理系统,可为上层应用提供统一的资源管理和调度。在一个YARN任务运行过程中可能会产生很多的任务container(容器),每个任务container都可能会访问HDFS(Hadoop Distributed File System,Hadoop分布式文件系统),由于访问Hadoop前需要先获取票据进行认证,这就给KDC造成很大的压力,使得KDC很容易成为性能瓶颈。
Kerberos也支持通过principle(用户安全认证信息)的认证方式授权外部应用访问集群内部数据。在实际的业务或生产环境中,根据业务的需求可能会需要同时访问多个开启了Kerberos认证的Hive集群,由于Kerberos的认证机制,不支持外部应用同时持有多个principle来进行安全认证,从而导致了需要同时访问多个开启了Kerberos认证的业务无法正常运转。
相关技术中,Java原生对Kerberos认证技术存在使用受限的问题,该使用受限是指:在单JVM(JavaVirtualMachine,Java虚拟机)进程中,同时仅能使用(支持)一种Kerberos认证,即:在单JVM进程中,同时不能使用(支持)两种以上的Kerberos认证。
为了能够支持多数据源的认证,本公开实施例提供了一种多数据源认证方法,先确定是否缓存有待认证数据源的认证信息,在没有缓存待认证数据源的认证信息的情况下,与目标远程服务端创建连接,调用目标远程服务端连接待认证数据源,并从待认证数据源中获取认证信息,进一步的,对认证信息进行缓存,并基于认证信息对待认证数据源进行认证。
本公开实施例中,在本地没有缓存待认证数据源的认证信息的情况下,与目标远程服务端创建连接,通过调用目标远程服务端连接待认证数据源,进而从待认证数据源中获取认证信息,进一步的,将所获取的认证信息缓存至本地,以便于在后续的认证过程中,直接使用缓存的认证信息对待认证数据源进行认证,能够支持多数据源的认证,提高了数据源的访问效率。
下面对本公开实施例提供的多数据源认证方法进行详细说明。
本公开实施例提供的多数据源认证方法可以应用于电子设备,如服务器设备、智能终端设备等等。示例性的,具体可以应用于电子设备中的Java应用等。本公开实施例提供的多数据源认证方法可应用在智能云等场景下。
参见图1,图1为本公开实施例提供的一种多数据源认证方法的流程示意图,包括以下步骤:
S101,确定是否缓存有待认证数据源的认证信息。
本地服务(比如Java应用等)检测本地缓存,以确定本地缓存中是否缓存有待认证数据源的认证信息。其中,待认证数据源可以是任一需要认证的数据源。
在一种可能的实施方式中,任一待认证数据源为Hive数据源,该Hive数据源是使用Kerberos认证的。
在一种可能的实施方式中,待认证数据源的认证信息可以包括:待认证数据源的标识信息、端口信息以及Delegation token(委派令牌)。
Delegation token是Hadoop里的一种轻量级认证方法,能够作为Kerberos认证的一种补充。在对开启了Kerberos认证的数据源进行认证的过程中,使用Delegation token在授权一次之后,后续的访问请求过程中还可以继续使用该Delegation token,无需再次授权的过程,进而能够提高数据源的访问效率。
一个例子中,待认证数据源的标识信息可以是待认证数据源的名称、地址等,该标识信息可以使用host表示,端口信息表示待认证数据源的端口号等,该端口信息使用port表示。
本公开实施例中,通过待认证数据源的标识信息以及端口信息,能够准确的定位待认证数据源,通过Delegation token能够对待认证数据源进行认证。
在一种可能的实施方式中,在缓存有待认证数据源的认证信息的情况下,基于认证信息对待认证数据源进行认证。
一个例子中,待认证数据源的认证信息以Map的形式缓存在本地,其中,Map是Java编程中的一种常用数据结构。
本公开实施例中,本地服务在确定本地缓存有待认证数据源的认证信息的情况下,直接根据缓存的认证信息对待认证数据源进行认证,以支持多数据源的认证,提高数据源的访问效率。
S102,在没有缓存待认证数据源的认证信息的情况下,与目标远程服务端创建连接。
一个例子中,本地服务在确定本地没有缓存待认证数据源的认证信息的情况下,创建与目标远程服务端之间的Jsch Session(会话)连接。在与目标远程服务端连接成功的情况下,本地服务能够调用目标远程服务端连接待认证数据源;在与目标远程服务端连接不成功的情况下,展示连接不成功的消息。
其中,Jsch是SSH2(Secure Shell,安全外壳协议)的一个纯Java实现,允许连接到一个sshd(secure shell)服务器,sshd服务是能够使用SSH协议远程开启其他主机shell的服务。示例性的,目标远程服务端可以是一个sshd服务器。
示例性的,本地服务在确定本地没有缓存待认证数据源的认证信息的情况下,通过创建Jsch Session,连接至sshd服务器(即目标远程服务端)。
S103,调用目标远程服务端连接待认证数据源,并从待认证数据源中获取认证信息。
一个例子中,在与目标远程服务端创建连接后,通过发送指令的方式在目标远程服务端启动新的进程,利用该进程连接待认证数据源,并从待认证数据源中获取认证信息。
示例性的,本地服务在与目标远程服务端创建连接后,向目标远程服务端发送进程创建指令,以在目标远程服务端上创建新进程,启用该新进程连接待认证数据源,进一步的,在连接待认证数据源后,将待认证数据源的认证信息通过Jsch打印至本地服务的日志文件中,进而从日志文件中获取到待认证数据源的认证信息。其中,新进程连接待认证数据源的过程,可以是向KDC获取认证的票据,或者通过预先存储的principle进行认证等等。
S104,对认证信息进行缓存,并基于认证信息对待认证数据源进行认证。
本地服务在获取待认证数据源的认证信息后,将认证信息缓存至Map中,并根据该认证信息对待认证数据源进行认证。
本公开实施例中,在本地没有缓存待认证数据源的认证信息的情况下,与目标远程服务端创建连接,通过调用目标远程服务端开启新进程连接待认证数据源,进而从待认证数据源中获取认证信息,进一步的,将所获取的认证信息缓存至本地,以便于在后续的认证过程中,直接使用缓存的认证信息对待认证数据源进行认证,能够支持多数据源的认证,提高了数据源的访问效率,降低了业务交互成本。
参见图2,图2为本公开实施例提供的另一种多数据源认证方法的流程示意图,包括以下步骤:
S201,确定是否缓存有待认证数据源的认证信息。
S202,在没有缓存待认证数据源的认证信息的情况下,与目标远程服务端创建连接。
其中,步骤S201-S202的实现过程,可以参照上述步骤S101-S102的实现过程,本公开实施例在此不再赘述。
S203,调用目标远程服务端,通过安全文件传送协议sftp通道检测目标集群中是否存在目标应用程序。
一个例子中,本地服务在与目标远程服务端创建连接后,向目标远程服务端发送进程创建指令,在目标远程服务端上创建新进程,开启sftp(ssh file transferprotocol,安全文件传送协议)通道(sftpChannel),通过sftp通道检测目标集群中是否存在目标应用程序。其中,目标应用程序用于打印Delegation token,可以表示为DelegationTokenPrinter,目标集群为待认证数据源所在的集群。示例性的,目标集群可以为待认证数据源所在的集群,还可以是待认证数据源所在的集群中任一待访问的节点或子群等。
S204,在目标集群中存在目标应用程序的情况下,执行目标应用程序,获取待认证数据源的认证信息。
在检测到目标集群中存在目标应用程序的情况下,开启任务通道(execChannel),远程执行目标应用程序以打印Delegation token,进而获取到待认证数据源的认证信息。
S205,在目标集群中不存在目标应用程序的情况下,将目标应用程序复制到目标集群中,并执行目标应用程序,获取待认证数据源的认证信息。
在检测到目标集群中不存在目标应用程序的情况下,通过sftp通道将目标应用程序复制到目标集群中,进一步开启execChannel,远程执行目标应用程序以打印Delegationtoken,进而获取到待认证数据源的认证信息。
S206,对认证信息进行缓存,并基于认证信息对待认证数据源进行认证。
本地服务在获取待认证数据源的认证信息后,将认证信息缓存至Map中,并根据该认证信息对待认证数据源进行认证。
本公开实施例中,在本地没有缓存待认证数据源的认证信息的情况下,与目标远程服务端创建连接,调用目标远程服务端,通过sftp通道检测目标集群中是否存在目标应用程序,在存在的情况下,远程执行目标应用程序,以获取待认证数据源的认证信息,在不存在的情况下,将目标应用程序复制到目标集群中,并远程执行目标应用程序,以获取待认证数据源的认证信息,进一步的,将所获取的认证信息缓存至本地,以便于在后续的认证过程中,直接使用缓存的认证信息对待认证数据源进行认证,能够支持多数据源的认证,提高了数据源的访问效率。
在一种可能的实施方式中,参见图3,上述步骤S204以及步骤S205中执行目标应用程序,获取待认证数据源的认证信息的实施过程,可以包括:
S301,在目标应用程序为Ha格式的情况下,基于目标应用程序中包含的目标集群标识以及端口信息,访问hiveserver2的注册目录。
目标集群不同,相应的,目标应用程序的格式不同。在目标应用程序为Ha格式的情况下,一个例子中,目标应用程序可以为hive jdbcUrl,在hiveserver2 Ha高可用部署时,hive jdbcUrl中指定的host:port实际为目标集群的地址和端口。其中,Ha是一种文件类型,hiveserver2是一种能使客户端等电子设备执行Hive查询的服务。
示例性的,hive jdbcUrl表示为:jdbc:hive2://master-d21f64f-2:2181,master-d21f64f-1:2181/default;serviceDiscoveryMode=zookeeper;zooKeeperNamespace=hiveserver2,hive jdbcUrl中“master-d21f64f-2:2181,master-d21f64f-1:2181/default”表示目标集群zookeeper(一种分布式应用程序协调服务)的路径,指定的host为zookeeper的标识(比如地址),指定的port为hiveserver2,进而能够使用zookeeper的host,port创建zookeeper连接,访问hiveserver2的注册目录。
S302,从hiveserver2的注册目录中获取当前处于激活状态的hiveserver2的地址信息。
访问hiveserver2的注册目录,从hiveserver2的注册目录中获取当前处于激活状态(Active)的hiveserver2的地址信息,得到Hive查询服务真实的地址信息,该地址信息中包括待认证数据源的标识信息(host)以及端口信息(port)。
S303,基于地址信息,连接待认证数据源。
通过所获取的host和port,创建Hive连接,以连接到待认证数据源。
S304,从待认证数据源中获取认证信息。
连接待认证数据源后,从待认证数据源中获取认证信息,将所获取的认证信息(host,port以及Delegation token)写入响应信息中返回本地服务。
本公开实施例中,在目标应用程序为Ha格式的情况下,基于目标应用程序中包含的目标集群标识以及端口信息,访问hiveserver2的注册目录,从hiveserver2的注册目录中获取当前处于激活状态的hiveserver2的host和port,通过所获取的host和port,创建Hive连接,以连接到待认证数据源,进而从待认证数据源中获取认证信息,实现了认证信息的远程打印。
在一种可能的实施方式中,参见图4,上述步骤S204以及步骤S205中执行目标应用程序,获取待认证数据源的认证信息的实施过程,还可以包括:
S401,在目标应用程序不为Ha格式的情况下,基于目标应用程序中包含的hdfsPricipal的位置以及keytab的位置,创建用户组信息UGI。
一个例子中,目标应用程序的可变参数中指定了hdfsPricipal(hdfs用户安全认证信息)的位置以及keytab(密钥库)的位置,在目标应用程序不为Ha格式的情况下,可以通过hdfsPricipal的位置以及keytab的位置,创建Hadoop的UGI(UserGroupInformation,用户组信息)。
所创建的UGI即为Kerberos认证的ticket(票据),通过ticket可以访问Hadoop系统。
S402,基于UGI,连接待认证数据源。
示例性的,在成功创建UGI后,可以在UGI下使用jdbc:hive2://host:port/;principal=hive/_HOST@xxx创建HiveConnection,实现待认证数据源的连接。其中,HiveConnection表示Hive的连接对象,可以用于查询Hive。
S403,从待认证数据源中获取认证信息。
示例性的,连接待认证数据源后,可以通过getDelegationToken(hdfsPricipal),从待认证数据源中获取当前代理用户hdfsPricipal的Delegation token,得到认证信息,将所获取的认证信息(host,port以及Delegation token)写入响应信息中返回本地服务。
本公开实施例中,在目标应用程序不为Ha格式的情况下,根据目标应用程序中包含的hdfsPricipal的位置以及keytab的位置,创建UGI,再通过UGI连接待认证数据源,进而从待认证数据源中获取认证信息,实现认证信息的远程打印。
通常所获取的认证信息是有一定期限的,在该期限内,认证信息是有效的,超出该期限,则认证信息无效不能再用于数据源的认证。示例性的,Hive数据源中Delegationtoken的有效期限,由hiveserver2.xml中属性hive.cluster.delegation.token.renew-interval控制,有效期默认为1天。
在一种可能的实施方式中,参见图5,在上述实施例的基础上,还可以执行以下步骤:
S501,对缓存的认证信息进行时间戳信息的标注。
在获取到认证信息后,对该认证信息进行缓存的同时,对认证信息进行时间戳信息的标注,以便于后续判定该认证信息是否在有效期限内。
S502,根据时间戳信息以及预设有效期限,判断认证信息是否过期。
示例性的,以一定的时间周期,检测已缓存的认证信息对应的时间戳,距离检测时间点的时间间隔是否超过预设有效期限,如果超过预设有效期限,则表示认证信息过期,此时认证信息不能再用于数据源的认证,从缓存中删除认证信息,如果没有超过预设有效期限,则表示认证信息还有效,能够继续用于数据源的认证。其中,时间周期和预设有效期限可以根据需求进行设置,比如,时间周期可以设置为5分钟、10分钟或15分钟等等,预设有效期限可以设置为1小时、2小时或3小时等等。
S503,在认证信息过期的情况下,删除认证信息。
本公开实施例中,对缓存的认证信息进行时间戳信息的标注,进而根据时间戳信息以及预设有效期限,判断认证信息是否过期,以便于在认证信息过期的情况下,删除认证信息,及时获取新的认证信息。
示例性的,如图6所示,图6中展示了一种多数据源认证方法的实施过程,该过程包括:
步骤一、本地服务确定本地缓存是否缓存有待认证数据源的认证信息;
步骤二、本地服务在确定本地缓存缓存有待认证数据源的认证信息的情况下,直接获取待认证数据源的认证信息,并基于该认证信息对待认证数据源进行认证;
步骤三、本地服务在确定本地缓存没有缓存待认证数据源的认证信息的情况下,则通过创建Jsch会话,与目标远程服务端创建连接;
步骤四、本地服务调用目标远程服务端,通过sftp通道检测目标集群中是否存在目标应用程序,其中,目标应用程序(DelegationTokenPrinter)用于打印Delegationtoken,目标集群为待认证数据源所在的集群;
步骤五、在检测到目标集群中不存在目标应用程序的情况下,将目标应用程序复制到目标集群中;
步骤六、开启任务通道,远程执行目标应用程序,获取待认证数据源的认证信息;
步骤七、对认证信息进行缓存,并基于认证信息对待认证数据源进行认证。
示例性的,如图7所示,图7中展示了一种获取待认证数据源的认证信息的实施过程(即远程执行目标应用程序,获取待认证数据源的认证信息的过程,该过程由本地服务调用目标远程服务端在目标集群中执行),该过程包括:
1)在目标应用程序为Ha格式的情况下,基于目标应用程序中包含的目标集群标识以及端口信息,访问hiveserver2的注册目录,其中,目标应用程序中包含的目标集群标识以及端口信息对应于目标集群中目标节点;
2)从hiveserver2的注册目录中获取当前处于激活状态的hiveserver2的地址信息,该地址信息中包括待认证数据源的标识信息(host)以及端口信息(port);
3)基于地址信息(host,port),连接待认证数据源;
4)从待认证数据源中获取认证信息。
5)在目标应用程序不为Ha格式的情况下,基于目标应用程序中包含的hdfsPricipal的位置以及keytab的位置,创建用户组信息UGI;
6)基于UGI,连接待认证数据源;
7)从待认证数据源中获取认证信息。
本公开实施例中,在本地没有缓存待认证数据源的认证信息的情况下,与目标远程服务端创建连接,通过调用目标远程服务端开启新进程连接待认证数据源,进而从待认证数据源中获取认证信息,进一步的,将所获取的认证信息缓存至本地,以便于在后续的认证过程中,直接使用缓存的认证信息对待认证数据源进行认证,能够支持多数据源的认证,提高了数据源的访问效率。
示例性的,可以通过如下代码获取待认证数据源的DelegationToken:
本公开实施例还提供了一种多数据源认证装置,参见图8,该装置包括:
信息确定模块801,用于确定是否缓存有待认证数据源的认证信息;
连接创建模块802,在信息确定模块确定没有缓存待认证数据源的认证信息的情况下,与目标远程服务端创建连接;
信息获取模块803,用于调用目标远程服务端连接待认证数据源,并从待认证数据源中获取认证信息;
第一认证模块804,用于对认证信息进行缓存,并基于认证信息对待认证数据源进行认证。
本公开实施例中,在本地没有缓存待认证数据源的认证信息的情况下,与目标远程服务端创建连接,通过调用目标远程服务端开启新进程连接待认证数据源,进而从待认证数据源中获取认证信息,进一步的,将所获取的认证信息缓存至本地,以便于在后续的认证过程中,直接使用缓存的认证信息对待认证数据源进行认证,能够支持多数据源的认证,提高了数据源的访问效率。
在一种可能的实施方式中,上述装置还包括:
第二认证模块,用于在信息确定模块确定缓存有待认证数据源的认证信息的情况下,基于认证信息对待认证数据源进行认证。
在一种可能的实施方式中,上述信息获取模块803,包括:
程序检测子模块,用于调用目标远程服务端,通过安全文件传送协议sftp通道检测目标集群中是否存在目标应用程序,目标应用程序用于打印委派令牌Delegationtoken,目标集群为待认证数据源所在的集群;
第一信息获取子模块,用于在程序检测子模块检测出目标集群中存在目标应用程序的情况下,执行目标应用程序,获取待认证数据源的认证信息;
第二信息获取子模块,用于在程序检测子模块检测出目标集群中不存在目标应用程序的情况下,将目标应用程序复制到目标集群中,并执行目标应用程序,获取待认证数据源的认证信息。
在一种可能的实施方式中,上述待认证数据源为Hive数据源,上述执行目标应用程序,获取待认证数据源的认证信息,包括:
在目标应用程序为Ha格式的情况下,基于目标应用程序中包含的目标集群标识以及端口信息,访问hiveserver2的注册目录;
从hiveserver2的注册目录中获取当前处于激活状态的hiveserver2的地址信息,地址信息中包括待认证数据源的标识信息以及端口信息;
基于地址信息,连接待认证数据源;
从待认证数据源中获取认证信息。
在一种可能的实施方式中,上述执行目标应用程序,获取待认证数据源的认证信息,还包括:
在目标应用程序不为Ha格式的情况下,基于目标应用程序中包含的hdfsPricipal的位置以及keytab的位置,创建用户组信息UGI;
基于UGI,连接待认证数据源;
从待认证数据源中获取认证信息。
在一种可能的实施方式中,上述认证信息包括:待认证数据源的标识信息、端口信息以及委派令牌Delegation token。
在一种可能的实施方式中,上述装置还包括:
时间标注模块,用于对缓存的认证信息进行时间戳信息的标注;
过期判断模块,用于根据时间戳信息以及预设有效期限,判断认证信息是否过期;
信息删除模块,用于在过期判断模块判断出认证信息过期的情况下,删除认证信息。
本公开的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供和公开等处理,均符合相关法律法规的规定,且不违背公序良俗。需要说明的是,本实施例中的人头模型并不是针对某一特定用户的人头模型,并不能反映出某一特定用户的个人信息。需要说明的是,本实施例中的二维人脸图像来自于公开数据集。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
本公开提供的一种电子设备,包括:
至少一个处理器;以及
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行本公开中任一项的方法。
本公开提供的一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行本公开中任一项的方法。
本公开提供的一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现本公开中任一项的方法。
图9示出了可以用来实施本公开的实施例的示例电子设备900的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图9所示,设备900包括计算单元901,其可以根据存储在只读存储器(ROM)902中的计算机程序或者从存储单元908加载到随机访问存储器(RAM)903中的计算机程序,来执行各种适当的动作和处理。在RAM 903中,还可存储设备900操作所需的各种程序和数据。计算单元901、ROM 902以及RAM 903通过总线904彼此相连。输入/输出(I/O)接口905也连接至总线904。
设备900中的多个部件连接至I/O接口905,包括:输入单元906,例如键盘、鼠标等;输出单元907,例如各种类型的显示器、扬声器等;存储单元908,例如磁盘、光盘等;以及通信单元909,例如网卡、调制解调器、无线通信收发机等。通信单元909允许设备900通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元901可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元901的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元901执行上文所描述的各个方法和处理,例如多数据源认证方法。例如,在一些实施例中,多数据源认证方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元908。在一些实施例中,计算机程序的部分或者全部可以经由ROM 902和/或通信单元909而被载入和/或安装到设备900上。当计算机程序加载到RAM 903并由计算单元901执行时,可以执行上文描述的多数据源认证方法的一个或多个步骤。备选地,在其他实施例中,计算单元901可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行多数据源认证方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (17)
1.一种多数据源认证方法,包括:
确定是否缓存有待认证数据源的认证信息;
在没有缓存所述待认证数据源的认证信息的情况下,与目标远程服务端创建连接;
调用所述目标远程服务端连接所述待认证数据源,并从所述待认证数据源中获取所述认证信息;
对所述认证信息进行缓存,并基于所述认证信息对所述待认证数据源进行认证。
2.根据权利要求1所述的方法,还包括:
在缓存有所述待认证数据源的认证信息的情况下,基于所述认证信息对所述待认证数据源进行认证。
3.根据权利要求1所述的方法,其中,所述调用所述目标远程服务端连接所述待认证数据源,并从所述待认证数据源中获取所述认证信息,包括:
调用所述目标远程服务端,通过安全文件传送协议sftp通道检测目标集群中是否存在目标应用程序,所述目标应用程序用于打印委派令牌Delegation token,所述目标集群为所述待认证数据源所在的集群;
在所述目标集群中存在所述目标应用程序的情况下,执行所述目标应用程序,获取所述待认证数据源的认证信息;
在所述目标集群中不存在所述目标应用程序的情况下,将所述目标应用程序复制到所述目标集群中,并执行所述目标应用程序,获取所述待认证数据源的认证信息。
4.根据权利要求3所述的方法,其中,所述待认证数据源为Hive数据源,所述执行所述目标应用程序,获取所述待认证数据源的认证信息,包括:
在所述目标应用程序为Ha格式的情况下,基于所述目标应用程序中包含的目标集群标识以及端口信息,访问hiveserver2的注册目录;
从所述hiveserver2的注册目录中获取当前处于激活状态的hiveserver2的地址信息,所述地址信息中包括所述待认证数据源的标识信息以及端口信息;
基于所述地址信息,连接所述待认证数据源;
从所述待认证数据源中获取所述认证信息。
5.根据权利要求3或4所述的方法,其中,所述执行所述目标应用程序,获取所述待认证数据源的认证信息,还包括:
在所述目标应用程序不为Ha格式的情况下,基于所述目标应用程序中包含的hdfsPricipal的位置以及keytab的位置,创建用户组信息UGI;
基于所述UGI,连接所述待认证数据源;
从所述待认证数据源中获取所述认证信息。
6.根据权利要求1所述的方法,其中,所述认证信息包括:所述待认证数据源的标识信息、端口信息以及委派令牌Delegation token。
7.根据权利要求1所述的方法,还包括:
对缓存的所述认证信息进行时间戳信息的标注;
根据所述时间戳信息以及预设有效期限,判断所述认证信息是否过期;
在所述认证信息过期的情况下,删除所述认证信息。
8.一种多数据源认证装置,包括:
信息确定模块,用于确定是否缓存有待认证数据源的认证信息;
连接创建模块,在所述信息确定模块确定没有缓存所述待认证数据源的认证信息的情况下,与目标远程服务端创建连接;
信息获取模块,用于调用所述目标远程服务端连接所述待认证数据源,并从所述待认证数据源中获取所述认证信息;
第一认证模块,用于对所述认证信息进行缓存,并基于所述认证信息对所述待认证数据源进行认证。
9.根据权利要求8所述的装置,还包括:
第二认证模块,用于在所述信息确定模块确定缓存有所述待认证数据源的认证信息的情况下,基于所述认证信息对所述待认证数据源进行认证。
10.根据权利要求8所述的装置,其中,所述信息获取模块,包括:
程序检测子模块,用于调用所述目标远程服务端,通过安全文件传送协议sftp通道检测目标集群中是否存在目标应用程序,所述目标应用程序用于打印委派令牌Delegationtoken,所述目标集群为所述待认证数据源所在的集群;
第一信息获取子模块,用于在所述程序检测子模块检测出所述目标集群中存在所述目标应用程序的情况下,执行所述目标应用程序,获取所述待认证数据源的认证信息;
第二信息获取子模块,用于在所述程序检测子模块检测出所述目标集群中不存在所述目标应用程序的情况下,将所述目标应用程序复制到所述目标集群中,并执行所述目标应用程序,获取所述待认证数据源的认证信息。
11.根据权利要求10所述的装置,其中,所述待认证数据源为Hive数据源,所述执行所述目标应用程序,获取所述待认证数据源的认证信息,包括:
在所述目标应用程序为Ha格式的情况下,基于所述目标应用程序中包含的目标集群标识以及端口信息,访问hiveserver2的注册目录;
从所述hiveserver2的注册目录中获取当前处于激活状态的hiveserver2的地址信息,所述地址信息中包括所述待认证数据源的标识信息以及端口信息;
基于所述地址信息,连接所述待认证数据源;
从所述待认证数据源中获取所述认证信息。
12.根据权利要求10或11所述的装置,其中,所述执行所述目标应用程序,获取所述待认证数据源的认证信息,还包括:
在所述目标应用程序不为Ha格式的情况下,基于所述目标应用程序中包含的hdfsPricipal的位置以及keytab的位置,创建用户组信息UGI;
基于所述UGI,连接所述待认证数据源;
从所述待认证数据源中获取所述认证信息。
13.根据权利要求8所述的装置,其中,所述认证信息包括:所述待认证数据源的标识信息、端口信息以及委派令牌Delegation token。
14.根据权利要求8所述的装置,还包括:
时间标注模块,用于对缓存的所述认证信息进行时间戳信息的标注;
过期判断模块,用于根据所述时间戳信息以及预设有效期限,判断所述认证信息是否过期;
信息删除模块,用于在所述过期判断模块判断出所述认证信息过期的情况下,删除所述认证信息。
15.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的方法。
16.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1-7中任一项所述的方法。
17.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211435231.6A CN115906118A (zh) | 2022-11-16 | 2022-11-16 | 一种多数据源认证方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211435231.6A CN115906118A (zh) | 2022-11-16 | 2022-11-16 | 一种多数据源认证方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115906118A true CN115906118A (zh) | 2023-04-04 |
Family
ID=86487300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211435231.6A Pending CN115906118A (zh) | 2022-11-16 | 2022-11-16 | 一种多数据源认证方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115906118A (zh) |
-
2022
- 2022-11-16 CN CN202211435231.6A patent/CN115906118A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108810006B (zh) | 资源访问方法、装置、设备及存储介质 | |
| US20190236300A1 (en) | Service processing method and apparatus, data sharing system, and storage medium | |
| US8347378B2 (en) | Authentication for computer system management | |
| CN110311983B (zh) | 服务请求的处理方法、装置、系统、电子设备及存储介质 | |
| EP3610623B1 (en) | Protocol-level identity mapping | |
| US20200120039A1 (en) | Systems and methods for controlling access to broker resources | |
| WO2015101320A1 (zh) | 一种账号的生成方法、终端及后台服务器 | |
| CN112788031B (zh) | 基于Envoy架构的微服务接口认证系统、方法及装置 | |
| US11099915B2 (en) | Optimizing startup time for event-driven functions | |
| US11163499B2 (en) | Method, apparatus and system for controlling mounting of file system | |
| WO2014152076A1 (en) | Retry and snapshot enabled cross-platform synchronized communication queue | |
| WO2021031905A1 (zh) | 数据管理方法、装置、设备、系统及计算机可读存储介质 | |
| CN114327803A (zh) | 区块链访问机器学习模型的方法、装置、设备和介质 | |
| CN109948332A (zh) | 一种物理机登录密码重置方法及装置 | |
| US10467143B1 (en) | Event-driven cache | |
| CN111327680B (zh) | 认证数据同步方法、装置、系统、计算机设备和存储介质 | |
| CN113709136B (zh) | 一种访问请求验证方法和装置 | |
| CN115906118A (zh) | 一种多数据源认证方法、装置、电子设备及存储介质 | |
| CN113824675B (zh) | 管理登录态的方法和装置 | |
| CN113890753A (zh) | 数字身份管理方法、装置、系统、计算机设备和存储介质 | |
| CN113746909A (zh) | 网络连接方法、装置、电子设备和计算机可读存储介质 | |
| CN113742714A (zh) | 微服务间访问管理方法、设备、装置及存储介质 | |
| US11853560B2 (en) | Conditional role decision based on source environments | |
| CN114422538B (zh) | 多云存储系统、多云数据读写方法及电子设备 | |
| US20240104223A1 (en) | Portable verification context |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |