CN116455613A - 一种基于OpenResty跨语言异构微服务统一鉴权优化方法 - Google Patents
一种基于OpenResty跨语言异构微服务统一鉴权优化方法 Download PDFInfo
- Publication number
- CN116455613A CN116455613A CN202310294722.1A CN202310294722A CN116455613A CN 116455613 A CN116455613 A CN 116455613A CN 202310294722 A CN202310294722 A CN 202310294722A CN 116455613 A CN116455613 A CN 116455613A
- Authority
- CN
- China
- Prior art keywords
- micro
- user
- service
- authentication
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000005457 optimization Methods 0.000 title claims abstract description 15
- 230000003068 static effect Effects 0.000 claims abstract description 11
- 235000014510 cooky Nutrition 0.000 claims description 10
- 230000009191 jumping Effects 0.000 claims description 6
- 238000012216 screening Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 7
- 238000011161 development Methods 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于OpenResty跨语言异构微服务统一鉴权优化方法,包括用户、网关、微服务系统,网关包括OpenResty反向代理服务器和OpenResty鉴权插件,微服务系统包括安全管理微服务和普通应用微服务,用户通过网关进行微服务系统请求;OpenResty鉴权插件对请求根据用户凭证进行鉴权。本发明的优点是:通过将鉴权操作从Springcloud Gateway中或从鉴权服务中前置到了OpenResty反向代理服务器,减轻Web后端服务的压力,实现了对Web前端静态页面的鉴权控制;微服务的API接口会自动注册到安全管理微服务中,可以实现细粒度的鉴权;安全管理微服务实现了对用户、权限的管理,提供了URI权限查询接口,当用户登录时,将用户所拥有的权限写入会话中。
Description
技术领域
本发明涉及微服务技术领域,尤其涉及一种基于OpenResty跨语言异构微服务统一鉴权优化方法。
背景技术
微服务是一种将原本单独的系统拆分为多个小服务的系统架构设计方案,这些小服务互相独立,由不同团队负责的微服务采用了不同的技术栈,有Spring MVC、PlayFramework基于HTTP协议的,也有Motan、Bubbo基于TCP RPC技术栈的,微服务之间的集成往往都是跨语言异构系统的集成。
不同的微服务一般会有不同的网络地址,很多微服务都实现了自身的鉴权逻辑,但外部客户端可能需要调用多个微服务的接口才能完成一个业务需求。如此在多个微服务同时被调用的过程中,如何保证高效安全的鉴权认证是个难题,对服务的拓展和维护也带来了极大的负担。因此迫切需要进行统一的鉴权处理。
一般地,统一微服务鉴权,是通过抽离散落在微服务的鉴权逻辑,放入全局的网关。目前市面上的网关方案缺点也比较明显,如下所示:
(1)Kong,基于配置文件方式进行配置,不够灵活;需要较高的开发代价才能和目前已有的Java微服务治理体系打通;内置的Http Basic认证无法与已有用户系统打通。无法动态获取微服务的API信息,对细粒度的控制比较困难。
(2)Spring Cloud Gateway,本身并没提供任何认证功能,需要与其他认证组件进行集成,会导致项目体积越来越大,不够灵活。Spring Cloud Gateway与OAuth2整合后,业务微服务仍然会需要自己去调用鉴权服务对访问令牌accessToken进行鉴定,对业务微服务侵入太大。而且Spring Cloud Gateway基于JVM开发,如果将鉴权操作放在Spring CloudGateway上,性能不容乐观,且Spring Cloud Gateway在前后端分离的应用中,无法满足对前端页面权限的控制。
而现代化的信息化办公系统采用的是前后端分离的开发部署模式,且对权限控制比较严格,对用户的权限需要控制到页面、按钮、接口等这些比较细的层面上。上述开源的Kong网关无法简单便捷的实现对接口权限的控制,而基于Spring Cloud Gateway的网关在前后端分离场景中无法对前端页面权限进行控制。
公告号为CN108901022B,公开了一种微服务统一鉴权方法及网关,对于请求的鉴权操作需要转发到鉴权中心去鉴权,这个操作耗时,请求的压力都在鉴权中心那。虽然专利中指出会将鉴权结果进行有效期缓存,但是在上述实际的严格控制权限场景中,该鉴权结果的缓存的成效很低。
发明内容
为克服现有技术的不足,本发明的目的是提供一种基于OpenResty跨语言异构微服务统一鉴权优化方法,将鉴权操作从Spring cloud Gateway中或从鉴权服务中前置到了OpenResty反向代理服务器;从安全管理微服务中获取URI对应的权限列表,并对请求进行鉴权,根据鉴权结果判断用户的请求是否通过鉴权,是否转发请求到后端微服务。
为实现上述目的,本发明通过以下技术方案实现:
一种基于OpenResty跨语言异构微服务统一鉴权优化方法,包括用户、网关、微服务系统,用户通过网关访问微服务系统,网关包括OpenResty反向代理服务器和OpenResty鉴权插件,微服务系统包括安全管理微服务和普通应用微服务,用户通过网关进行微服务系统请求;具体包括以下内容:
1)安全管理微服务和普通应用微服务之间使用redis内存数据库进行共享会话,在HTTP请求头中使用HTTP Cookie传递用户凭证;
2)由安全管理微服务对不同语言的微服务的WebAPI解析;
3)由安全管理微服务对不同语言的微服务的WebAPI解析之后的WebAPI接口信息的收集,实现用户的认证,用户、角色、权限的管理,并提供全量的URI权限列表,用户登录认证之后将权限信息写入会话中,权限包括API权限、页面权限、菜单按钮权限;
4)在OpenResty反向代理服务器中,实现鉴权网关,将鉴权操作从Spring cloudGateway前置到OpenResty反向代理服务器中的Openresty鉴权插件;
5)OpenResty鉴权插件对微服务系统请求根据用户凭证进行鉴权。
安全管理微服务,具体包括以下内容:
a)管理用户信息,并在当用户登录时,将用户信息和权限信息存入redis中;
b)获取应用微服务系统中所有微服务发布的WebAPI接口,并保存相关信息;
c)管理员可以将API接口权限授权给用户;
d)提供一个查询权限的WebAPI接口,该接口返回是微服务系统中所有微服务发布的所有WebAPI接口对应的URI及其对应的权限列表。
OpenResty鉴权插件对用户发起WebAPI接口的HTTP请求进行鉴权,具体包括以下步骤:
S1、当OpenResty反向代理服务器接收到用户发起的HTTP请求时,鉴权插件解析HTTP请求的URI及HTTP请求头;
S2、获取全量URI及其权限列表,内容如下:
从缓存中查询全部的URI及其对应的权限列表,若缓存中不存在或过期,调用安全管理微服务的查询权限WebAPI接口查询并进行有效期限的缓存;
S3、获取URI对应的权限列表,内容如下:
从步骤S2中拿到全量URI及其权限列表中,筛选出HTTP请求的URI的权限列表;
S4、判断请求URI是否是公开,内容如下:
根据步骤S3中拿到的权限列表,判断当前HTTP请求对应的URI是否是公开,如果是公开的直接放行,如果是非公开的,执行步骤S5;
S5、判断用户是否登录,内容如下:
从S1步骤中解析的HTTP请求头中获取用户凭证即会话ID,如果获取到用户凭证,说明用户已经登录,否则未登录则结束该HTTP请求,返回HTTP状态码401;由Web前端程序跳转到登录页面;
S6、获取用户权限信息,内容如下:
根据用户凭证,从redis内存数据库中获取用户会话信息,并解析出对应的权限,并对用户权限进行有效期限的缓存;如果获取失败,则结束该HTTP请求,返回HTTP状态码401;由Web前端程序跳转到登录页面;
S7、判断用户是否有权限访问当前HTTP请求的URI,内容如下:
根据步骤S3中当前HTTP请求的URI对应的权限列表和步骤S6获取到的用户权限信息进行判断,如果用户权限列表中包含当前HTTP请求的URI的权限列表,则当前用户有权限访问当前UR,将请求转发到web后端;否则没有权限,则结束该HTTP请求,返回HTTP状态码403;由Web前端程序提示用户没有未授权。
用户凭证是指通过cookie传递会话ID,cookie是为储存在用户本地终端上的数据。
普通应用微服务是构成Web应用系统的各个业务微服务。
微服务系统是Web应用系统,OpenResty反向代理服务器转发用户发起的对所有微服务的请求,但一次请求只转发一个特定的微服务。
鉴权操作采用白名单模式,白名单模式为用户必须具有当前URI对应的权限才能访问该URI,否则拒绝访问。
Web前端是指运行于浏览器端的静态页面和静态文件;Web后端是指网站的服务器程序,可以是java或python开发的服务器端程序。
与现有技术相比,本发明的有益效果是:
1.通过将鉴权操作从Spring cloud Gateway中或从鉴权服务中前置到了OpenResty反向代理服务器,减轻Web后端服务的压力,实现了对Web前端静态页面的鉴权控制;
2.实现对不同语言的微服务的API接口的解析;
3.微服务的API接口会自动注册到安全管理微服务中,可以实现细粒度的鉴权,提升了整个系统的安全性;
4.安全管理微服务实现了对用户、权限的管理,提供了URI权限查询接口,当用户登录时,将用户所拥有的权限写入会话中;
5.OpenResty鉴权插件实现了在用户发起请求时,对该请求进行鉴权。
附图说明
图1是基于OpenResty跨语言异构微服务统一鉴权优化方法的结构示意图。
图2是鉴权插件的工作流程。
图3是实施例中启动的服务示意图。
图4是实施例中项目运行时安全管理微服务的权限管理页面示意图。
图5是实施例中安全管理微服务的中权限管理页面的子页面示意图。
图6是实施例中安全管理微服务中导入微服务提供的Web Api接口管理页面示意图。
图7是实施例中安全管理微服务中每个微服务提供的Web Api接口详情页面示意图。
图8是实施例中为安全管理微服务中角色管理页面示意图。
具体实施方式
下面结合说明书附图对本发明进行详细地描述,但是应该指出本发明的实施不限于以下的实施方式。
以下实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。下述实施例中所用方法如无特别说明均为常规方法。
【实施例1】
见图1,图2,一种基于OpenResty跨语言异构微服务统一鉴权优化方法,该方法通过用户、网关、微服务系统实现的,用户通过网关访问微服务系统,网关包括OpenResty反向代理服务器和OpenResty鉴权插件,OpenResty反向代理服务器用于接受客户端的连接请求,然后将请求转发给部署应用的服务器,并将从部署应用的服务器得到的结果返回给客户端;OpenResty是一个基于Nginx与Lua的高性能Web平台,其内部集成了大量精良的Lua库、第三方模块以及大多数的依赖项;微服务系统包括安全管理微服务和普通应用微服务,微服务系统是Web应用系统,OpenResty会转发对所有微服务的请求,但一次请求只会转发一个特定的微服务。普通应用微服务是构成Web应用系统的各个业务微服务,redis内存数据库用于微服务之间共享会话信息,会话信息中包含了当前用户所拥有的权限;用户通过网关进行微服务请求。安全管理微服务实现了对用户、权限的管理,提供了URI权限查询接口,当用户登录时,将用户所拥有的权限写入会话中;OpenResty鉴权插件在用户发起请求时,根据用户凭证进行鉴权(用户凭证是指通过HTTP cookie传递会话ID),主要是从安全管理微服务获取全量URI(全量URI是指应用系统中所有微服务提供的接口URI和前端静态页面URI)的权限列表,然后筛选出当前请求的权限,如果是非公开的Web页面或接口,则从redis内存数据库获取当前用户的信息并提取权限信息进行鉴权。鉴权操作采用白名单模式,即用户必须具有当前URI对应的权限才能访问该URI,否则拒绝访问。
采用以下方案:
1)安全管理微服务和普通应用微服务之间使用redis内存数据库进行共享会话,在HTTP请求头中使用HTTP Cookie传递用户凭证,HTTP Cookie也叫WebCookie或浏览器Cookie,是反向代理服务器发送到用户浏览器并保存在本地的一小块数据;
2)由安全管理微服务对不同语言的微服务的WebAPI解析;
3)安全管理微服务实现对微服务的Web API解析之后的Web API接口信息的收集,实现用户的认证,用户、角色、权限的管理,并提供全量的URI权限列表,用户登录认证之后将权限信息写入会话中,权限包括API权限、页面权限、菜单按钮权限;
4)在OpenResty反向代理服务器中,实现鉴权网关,将鉴权操作从Spring cloudGateway前置到OpenResty反向代理服务器中的Openresty鉴权插件;
5)OpenResty鉴权插件对微服务系统请求根据用户凭证进行鉴权。
安全管理微服务进行微服务系统中用户的管理和登录认证,注册并管理微服务系统中所有微服务发布的Web API接口、静态页面的权限、授权,提供权限URI的权限列表接口,用户访问请求经过网关,网关通过鉴权插件鉴权,通过鉴权则转发到Web后端微服务,如果鉴权失败则返回给用户;
安全管理微服务具体内容如下:
a)收集自身微服务及普通应用微服务提供的Web API接口信息,并进行存储,管理;
b)管理用户、角色、菜单、权限,并进行相应的授权;
c)用户登录认证,可以是数据库用户认证,也可以是第三方认证中心集成;
d)用户登录成功之后,将对应的权限写入会话信息中;
e)提供全量URI对应权限的查询接口。
见图2,OpenResty鉴权插件对用户发起的HTTP请求进行URI解析进行鉴权操作,具体步骤如下:
S1、当OpenResty接收到用户发起的HTTP请求时,鉴权插件解析HTTP请求的URI及HTTP请求头;
S2、获取全量URI及其权限列表,内容如下:
从缓存中查询全部的URI及其对应的权限列表,若缓存中不存在或过期,调用安全管理微服务的查询权限Web API接口接口查询并进行有效期限的缓存;
S3、获取URI(URI全称为Uniform Resource Identifier,是统一资源标识符)对应的权限列表,内容如下:
从步骤S2中拿到全量URI及其权限列表中,筛选出当前URI的权限列表;
S4、判断请求URI是否是公开,内容如下:
根据步骤S3中拿到的权限列表,判断当前HTTP请求对应的URI是否是公开,如果是公开的直接放行,如果是非公开的,执行步骤S5;
S5、判断用户是否登录,内容如下:
获取用户凭证,如果获取到用户凭证,说明用户已经登录,否则未登录则结束该HTTP请求,返回HTTP状态码401(HTTP状态码401表示用户未登录认证);由web前端程序跳转到登录页面;
S6、获取用户权限信息,内容如下:
根据用户凭证,在redis内存数据库中获取用户会话信息,并解析出对应的权限,并对用户权限进行有效期限的缓存;否则未登录则结束该HTTP请求,返回HTTP状态码401;由web前端程序跳转到登录页面;
S7、判断用户是否有权限访问当前URI,内容如下:
根据步骤S3中获取URI对应的权限列表和步骤S6获取用户权限信息,如果用户权限列表中包含URI的权限列表,则当前用户有权限访问当前URI,将请求转发到web后端;否则没有权限,则结束该HTTP请求,返回HTTP状态码403(HTTP状态码403表示用户登录认证了,但是未授权);由web前端程序提示用户没有未授权。
【实施例2】
本实施例中,一种基于OpenResty跨语言异构微服务统一鉴权优化方法与实施例1相同,在其基础上增加工作过程描述。
工作过程如下:
见图3,platform-iam-api为安全管理微服务的后端接口服务,platform-iam-web为安全管理微服务的前端web服务,而其他的itsm-backend和itsm-web为应用系统的具体业务微服务。见图4,管理员在该页面配置菜单,并分配权限。见图5,用于菜单绑定后端的Web Api接口页面。
管理员首先在图6和图7中导入已启动微服务的Web Api接口,并配置改接口是否为公开接口;然后在图4中新建菜单,并在图5中将菜单与后端接口权限绑定;最后,管理员在图8中,新建角色,并给角色绑定图3中定义的权限,将角色分配给用户。
在部署OpenResty中,首先加载开发的鉴权插件,并配置鉴权插件的参数。
当用户发起Http请求并且请求到达OpenResty时,鉴权插件进行鉴权判断,具体步骤如下:
S1、判断是否是静态文件,如js,css文件,如果是静态文件,则放行;
S2、根据当前Http请求,获取Http请求对应URI的权限,内容如下:
首先从缓存中获取,如果缓存中没有,就调用安全管理微服务的接口获取;
S3、根据步骤S2中获得的URI权限,先判断是否是公开的Web Api接口,见图7中配置,如果是公开的,则放行;
S4、根据当前Http请求,获取会话ID,如果获取失败,表示当前用户未登录,则结束当前请求;
S5、根据会话ID,获取当前用户所拥有的权限,见图8授权,如果获取权限失败,则结束当前请求,返回HTTP状态401,提示openresty鉴权失败:根据会话ID获取会话中的权限失败;
S6、根据用户权限列表和URI权限列表判断用户是否有权限,如果没有则HTTP状态403;如果有权限,则将请求转发到对应的微服务。
本发明通过将鉴权操作从Spring cloud Gateway中或从鉴权服务中前置到了OpenResty反向代理服务器,减轻Web后端服务的压力,实现了对Web前端静态页面的鉴权控制;实现对不同语言的微服务的API接口的解析;微服务的API接口会自动注册到安全管理微服务中,可以实现细粒度的鉴权,提升了整个系统的安全性;安全管理微服务实现了对用户、权限的管理,提供了URI权限查询接口,当用户登录时,将用户所拥有的权限写入会话中;OpenResty鉴权插件实现了在用户发起请求时,对该请求进行鉴权。
Claims (8)
1.一种基于OpenResty跨语言异构微服务统一鉴权优化方法,包括用户、网关、微服务系统,用户通过网关访问微服务系统,其特征在于,网关包括OpenResty反向代理服务器和OpenResty鉴权插件,微服务系统包括安全管理微服务和普通应用微服务,用户通过网关进行微服务系统请求;具体包括以下内容:
1)安全管理微服务和普通应用微服务之间使用redis内存数据库进行共享会话,在HTTP请求头中使用HTTP Cookie传递用户凭证;
2)由安全管理微服务对不同语言的微服务的WebAPI解析;
3)由安全管理微服务对不同语言的微服务的WebAPI解析之后的WebAPI接口信息的收集,实现用户的认证,用户、角色、权限的管理,并提供全量的URI权限列表,用户登录认证之后将权限信息写入会话中,权限包括API权限、页面权限、菜单按钮权限;
4)在OpenResty反向代理服务器中,实现鉴权网关,将鉴权操作从Spring cloudGateway前置到OpenResty反向代理服务器中的Openresty鉴权插件;
5)OpenResty鉴权插件对微服务系统请求根据用户凭证进行鉴权。
2.根据权利要求1所述的一种基于OpenResty跨语言异构微服务统一鉴权优化方法,其特征在于,所述的安全管理微服务,具体包括以下内容:
a)管理用户信息,并在当用户登录时,将用户信息和权限信息存入redis中;
b)获取应用微服务系统中所有微服务发布的WebAPI接口,并保存相关信息;
c)管理员可以将API接口权限授权给用户;
d)提供一个查询权限的WebAPI接口,该接口返回是微服务系统中所有微服务发布的所有WebAPI接口对应的URI及其对应的权限列表。
3.根据权利要求1所述的一种基于OpenResty跨语言异构微服务统一鉴权优化方法,其特征在于,所述的OpenResty鉴权插件对用户发起WebAPI接口的HTTP请求进行鉴权,具体包括以下步骤:
S1、当OpenResty反向代理服务器接收到用户发起的HTTP请求时,鉴权插件解析HTTP请求的URI及HTTP请求头;
S2、获取全量URI及其权限列表,内容如下:
从缓存中查询全部的URI及其对应的权限列表,若缓存中不存在或过期,调用安全管理微服务的查询权限WebAPI接口查询并进行有效期限的缓存;
S3、获取URI对应的权限列表,内容如下:
从步骤S2中拿到全量URI及其权限列表中,筛选出HTTP请求的URI的权限列表;
S4、判断请求URI是否是公开,内容如下:
根据步骤S3中拿到的权限列表,判断当前HTTP请求对应的URI是否是公开,如果是公开的直接放行,如果是非公开的,执行步骤S5;
S5、判断用户是否登录,内容如下:
从S1步骤中解析的HTTP请求头中获取用户凭证即会话ID,如果获取到用户凭证,说明用户已经登录,否则未登录则结束该HTTP请求,返回HTTP状态码401;由Web前端程序跳转到登录页面;
S6、获取用户权限信息,内容如下:
根据用户凭证,从redis内存数据库中获取用户会话信息,并解析出对应的权限,并对用户权限进行有效期限的缓存;如果获取失败,则结束该HTTP请求,返回HTTP状态码401;由Web前端程序跳转到登录页面;
S7、判断用户是否有权限访问当前HTTP请求的URI,内容如下:
根据步骤S3中当前HTTP请求的URI对应的权限列表和步骤S6获取到的用户权限信息进行判断,如果用户权限列表中包含当前HTTP请求的URI的权限列表,则当前用户有权限访问当前UR,将请求转发到web后端;否则没有权限,则结束该HTTP请求,返回HTTP状态码403;由Web前端程序提示用户没有未授权。
4.根据权利要求1或3所述的一种基于OpenResty跨语言异构微服务统一鉴权优化方法,其特征在于,所述的用户凭证是指通过cookie传递会话ID,cookie是为储存在用户本地终端上的数据。
5.根据权利要求1所述的一种基于OpenResty跨语言异构微服务统一鉴权优化方法,其特征在于,所述的普通应用微服务是构成Web应用系统的各个业务微服务。
6.根据权利要求1所述的一种基于OpenResty跨语言异构微服务统一鉴权优化方法,其特征在于,所述的微服务系统是Web应用系统,OpenResty反向代理服务器转发用户发起的对所有微服务的请求,但一次请求只转发一个特定的微服务。
7.根据权利要求1所述的一种基于OpenResty跨语言异构微服务统一鉴权优化方法,其特征在于,所述的鉴权操作采用白名单模式,白名单模式为用户必须具有当前URI对应的权限才能访问该URI,否则拒绝访问。
8.根据权利要求3所述的一种基于OpenResty跨语言异构微服务统一鉴权优化方法,其特征在于,所述的Web前端是指运行于浏览器端的静态页面和静态文件;所述的Web后端是指网站的服务器程序,可以是java或python开发的服务器端程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310294722.1A CN116455613A (zh) | 2023-03-24 | 2023-03-24 | 一种基于OpenResty跨语言异构微服务统一鉴权优化方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310294722.1A CN116455613A (zh) | 2023-03-24 | 2023-03-24 | 一种基于OpenResty跨语言异构微服务统一鉴权优化方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116455613A true CN116455613A (zh) | 2023-07-18 |
Family
ID=87129401
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310294722.1A Pending CN116455613A (zh) | 2023-03-24 | 2023-03-24 | 一种基于OpenResty跨语言异构微服务统一鉴权优化方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116455613A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117278640A (zh) * | 2023-09-05 | 2023-12-22 | 北京长河数智科技有限责任公司 | 一种基于数据归集的api接口调用方法及系统 |
-
2023
- 2023-03-24 CN CN202310294722.1A patent/CN116455613A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117278640A (zh) * | 2023-09-05 | 2023-12-22 | 北京长河数智科技有限责任公司 | 一种基于数据归集的api接口调用方法及系统 |
CN117278640B (zh) * | 2023-09-05 | 2024-05-17 | 北京长河数智科技有限责任公司 | 一种基于数据归集的api接口调用方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109314704B (zh) | 用于多租户身份和数据安全管理云服务的单点登录和单点注销功能 | |
US10182074B2 (en) | Techniques for virtual representational state transfer (REST) interfaces | |
CN108476216B (zh) | 用于集成事务中间件平台与集中式访问管理器用于在企业级计算环境中的单点登录的系统和方法 | |
US7334254B1 (en) | Business-to-business security integration | |
US9143502B2 (en) | Method and system for secure binding register name identifier profile | |
US8151317B2 (en) | Method and system for policy-based initiation of federation management | |
Thurlow | RPC: Remote procedure call protocol specification version 2 | |
EP1361723B1 (en) | Maintaining authentication states for resources accessed in a stateless environment | |
CN104767834B (zh) | 用于加速计算环境到远程用户的传送的系统和方法 | |
US7860882B2 (en) | Method and system for distributed retrieval of data objects using tagged artifacts within federated protocol operations | |
US8024786B2 (en) | System and methods for secure service oriented architectures | |
CN112468481B (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
US20090249439A1 (en) | System and method for single sign-on to resources across a network | |
US20090089866A1 (en) | Access authorization system, access control server, and business process execution system | |
US8719948B2 (en) | Method and system for the storage of authentication credentials | |
CN112788031B (zh) | 基于Envoy架构的微服务接口认证系统、方法及装置 | |
Damiani et al. | Securing SOAP e-services | |
CN116455613A (zh) | 一种基于OpenResty跨语言异构微服务统一鉴权优化方法 | |
US8291479B2 (en) | Method, hardware product, and computer program product for optimizing security in the context of credential transformation services | |
US9692761B2 (en) | System and method for controlling a DNS request | |
CN116170234B (zh) | 一种基于虚拟账号认证的单点登录方法和系统 | |
Dürbeck et al. | A semantic security architecture for web services the access-egov solution | |
US7899918B1 (en) | Service accounting in a network | |
CN112804224B (zh) | 一种基于微服务的认证鉴权方法、装置、介质及电子设备 | |
CN113973017B (zh) | 一种商业智能平台数据处理系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |