WO2018077169A1

WO2018077169A1 - 镜像仓库授权、访问、管理方法、服务器和客户端

Info

Publication number: WO2018077169A1
Application number: PCT/CN2017/107525
Authority: WO
Inventors: 谭珊珊
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-10-31
Filing date: 2017-10-24
Publication date: 2018-05-03
Also published as: CN108011862A

Abstract

一种镜像仓库授权、访问、管理方法及服务器、镜像仓库客户端，镜像仓库客户端向镜像仓库授权服务器发送认证请求，镜像仓库授权服务器根据认证请求中的身份信息和预设的身份信息与用户角色对应关系表对用户进行授权认证，其中不同用户角色对应不同的访问权限；并在所述用户授权认证成功后，反馈的授权令牌；镜像仓库客户端基于该授权令牌向镜像仓库服务器发送镜像资源访问请求，镜像仓库服务器判定该镜像资源访问请求为已授权请求时，根据镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。

Description

镜像仓库授权、访问、管理方法、服务器和客户端

技术领域

本公开涉及通信领域，例如涉及一种镜像仓库授权、访问、管理方法、服务器和客户端。

背景技术

Docker是一个开源的引擎，可以轻松的为多种应用创建一个轻量级的、可移植的、自给自足的容器。Docker提供了一个公有仓库，称为Docker Hub，用于存储Docker镜像，上传到公用仓库的镜像资源都是用于公开免费使用。因此公有仓库不适用于企业项目等不完全对外开放的多种应用场景。因此私有镜像仓库的创建和管理使用就显得尤为重要。当前有很多私有镜像仓库的实现方式，比如Docker Registry。但是即使是私有镜像仓库，仍会涉及到不同用户角色的用户对该私有镜像仓库中存储的镜像资源进行访问，例如管理员或者研发人员或者是基础支持人员等等。而目前不管是私有镜像仓库还是公有镜像仓库，都缺少根据不同用户角色对不同用户的访问权限进行有效的管理方式，导致镜像仓库的管理缺少合理性，又存在一定的安全隐患。

发明内容

本公开提供的一种镜像仓库授权、访问、管理方法、服务器和客户端，可以解决相关技术中镜像仓库没有根据不同用户角色对不同用户的访问权限进行有效控制的问题。

一种镜像仓库授权方法，应用于镜像仓库授权服务器，包括：

接收镜像仓库客户端发送的用于访问镜像仓库的认证请求，所述认证请求至少包含用户的身份信息；

根据所述身份信息和预设的对应关系表，对所述用户进行授权认证，所述对应关系表的内容为身份信息与用户角色的对应关系，不同用户角色对应不同的访问权限；以及

授权认证成功时，向所述镜像仓库客户端反馈授权令牌。

一种镜像仓库访问方法，应用于镜像仓库客户端，包括：

向镜像仓库授权服务器发送认证请求，所述认证请求中至少包含用户的身份信息；

接收所述镜像仓库授权服务器根据所述身份信息和预设的对应关系表对所述用户授权认证成功后，反馈的授权令牌，所述对应关系表的内容为身份信息与用户角色的对应关系；以及

基于所述授权令牌向镜像仓库服务器发送镜像资源访问请求。

一种镜像仓库管理方法，应用于镜像仓库服务器，包括：

接收镜像仓库客户端发送的镜像资源访问请求；

判定该镜像资源访问请求为未授权请求时，向所述镜像仓库客户端发送授权认证指示通知，所述授权认证指示通知包含镜像仓库授权服务器地址信息；以及

判定该镜像资源访问请求为已授权请求时，根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。

一种镜像仓库授权服务器，包括：

认证接收模块，设置为接收镜像仓库客户端发送的用于访问镜像仓库的认证请求，所述认证请求至少包含用户的身份信息；

授权认证模块，设置为根据所述身份信息和预设的对应关系表，对所述用户进行授权认证，所述对应关系表的内容为身份信息与用户角色的对应关系，不同用户角色对应不同的访问权限；以及

认证反馈模块，设置为在授权认证成功时，向所述镜像仓库客户端反馈授权令牌。

一种镜像仓库客户端，包括：

认证处理模块，设置为向镜像仓库授权服务器发送认证请求，所述认证请求至少包含用户的身份信息，以及接收所述镜像仓库授权服务器根据所述身份信息和预设的对应关系表对所述用户授权认证成功后，反馈的授权令牌，所述对应关系表的内容为身份信息与用户角色的对应关系；以及

资源访问模块，设置为基于所述授权令牌向镜像仓库服务器发送镜像资源访问请求。

一种镜像仓库服务器，包括：

访问接收模块，设置为接收镜像仓库客户端发送的镜像资源访问请求；以及

控制模块，设置为判定该镜像资源访问请求为未授权请求时，向所述镜像仓库客户端发送授权认证指示通知，所述授权认证指示通知包含镜像仓库授权服务器地址信息；以及设置为判定该镜像资源访问请求为已授权请求时，根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。

一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行前述的镜像仓库授权、访问、管理方法。

一种镜像仓库授权服务器，该镜像仓库授权服务器包括一个或多个处理器、存储器以及一个或多个程序，所述一个或多个程序存储在存储器中，当被一个或多个处理器执行时，执行上述任意一种镜像仓库授权方法。

一种镜像仓库客户端，该镜像仓库客户端包括一个或多个处理器、存储器以及一个或多个程序，所述一个或多个程序存储在存储器中，当被一个或多个处理器执行时，执行上述任意一种镜像仓库访问方法。

一种镜像仓库服务器，该镜像仓库服务器包括一个或多个处理器、存储器以及一个或多个程序，所述一个或多个程序存储在存储器中，当被一个或多个处理器执行时，执行上述任意一种镜像仓库管理方法。

一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述任意一种方法。

本公开提供的镜像仓库授权、访问、管理方法、服务器、客户端及计算机存储介质，实现了根据不同用户角色对访问镜像仓库的不同用户的访问权限进行有效控制，能够给镜像仓库提供细粒度的访问控制，提升了镜像仓库的实用性、安全性以及管理的合理性。

附图说明

图1为实施例一中的镜像仓库访问方法流程示意图；

图2为实施例一中的授权认证指示流程示意图；

图3为实施例一中的镜像仓库授权方法流程示意图；

图4为实施例一中的镜像仓库管理方法流程示意图；

图5为实施例二中的镜像仓库客户端结构示意图；

图6为实施例二中的镜像仓库授权服务器结构示意图；

图7为实施例二中的镜像仓库服务器结构示意图；

图8-1为实施例三中的身份认证方法示意图；

图8-2为实施例三中的授权认证方法示意图；

图9为实施例三中的授权认证流程示意图；

图10为实施例三中的配置信息示意图；

图11为实施例四中的镜像仓库授权服务器的硬件结构示意图；

图12为实施例四中的镜像仓库客户端的硬件结构示意图；

图13为实施例四中的镜像仓库服务器的硬件结构示意图。

具体实施方式

下面将结合本公开中的附图，对本公开的技术方案进行描述。

实施例一

本实施例中的镜像仓库客户端向镜像仓库授权服务器发送认证请求，镜像仓库授权服务器根据认证请求中的身份信息和预设身份信息与用户角色对应关系表对用户进行授权认证，其中不同用户角色对应不同的访问权限，并在用户授权认证成功后，向镜像仓库客户端反馈的授权令牌；镜像仓库客户端基于该授权令牌向镜像仓库服务器发送镜像资源访问请求，镜像仓库服务器判定该镜像资源访问请求为已授权请求时，对根据镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。

本实施例提供的镜像仓库访问方法，实现了根据不同用户角色对访问镜像仓库的不同用户的访问权限进行有效控制，能够给镜像仓库提供细粒度的访问控制，提升了镜像仓库的实用性、安全性以及管理的合理性。为了更好的理解本公开的技术方案，本实施例对镜像仓库客户端、镜像仓库服务器以及镜像仓库授权服务器三端分别进行示意说明。

对于镜像仓库客户端，其可以根据用户发送的命令请求向镜像仓库服务器发送镜像资源访问请求，并根据镜像仓库服务器反馈的镜像仓库服务向镜像仓库授权服务器发送认证请求；也可以在得知镜像仓库授权服务器的地址时，直接根据用户发送的命令请求向镜像仓库授权服务器发送认证请求。实现方式可以根据应用场景灵活选择使用。本实施例提供的一种镜像仓库访问方法参见图1所示，包括以下步骤。

在步骤110中，镜像仓库客户端向镜像仓库授权服务器发送认证请求，该认证请求中至少包含用户的身份信息。

如上所述，本实施例中的认证请求可以是镜像仓库客户端根据镜像仓库服务器的指示发送的，也可以是镜像仓库客户端直接根据用户的指示发送的。

在步骤120中，镜像仓库客户端接收镜像仓库授权服务器根据认证请求中的身份信息和预设身份信息与用户角色对应关系表对用户授权认证成功后，反馈的授权令牌。

本实施例中身份信息和用户角色对应关系表可以是预先配置在镜像仓库授权服务器本地的，也可以是配置在其他镜像仓库授权服务器能够访问获取的数据库中。且本实施例中不同用户角色对应不同的访问权限，本实施例中用户角色以及对应的访问权限的设定可以根据实际应用场景灵活设定。

在步骤130中，镜像仓库客户端基于授权令牌向镜像仓库服务器发送镜像资源访问请求。

本实施例中的镜像仓库客户端发送认证请求、镜像资源访问请求的方式以及所采用的协议都可以根据实际需求灵活设定。本实施例中的镜像仓库可以包括Docker镜像仓库。

如上述分析，在本实施例中，镜像仓库客户端向镜像仓库服务器发送的认证之前，还可以包括图2所示的以下步骤。

在步骤210中，镜像仓库客户端向镜像仓库服务器发送镜像资源访问请求。

镜像仓库服务器接收到该镜像资源访问请求后，会先判断该镜像资源访问请求是否经授权认证过，如是，才执行后续访问步骤，如否，则提示镜像仓库客户端进行授权认证。

在步骤220中，镜像仓库客户端接收到镜像仓库服务器返回的授权认证指示通知时，根据授权认证指示通知中的镜像仓库授权服务器地址信息，向镜像仓库授权服务器发送所述认证请求。

本实施例中的镜像仓库授权服务器地址信息可以预先在镜像仓库服务器上配置。

本实施例中，镜像仓库客户端向镜像仓库授权服务器发送的认证请求可以包含不同的信息，下面以两种示例情况进行说明。

示例一：镜像仓库客户端发送的认证请求中可以仅包含用户的身份信息，以完成授权认证，此时的授权认证可以仅仅根据该身份信息是否合法进行认证，下发的授权令牌中可以包含该用户对应用户角色的所有访问权限(访问权限中包含用户角色允许访问的镜像资源范围以及允许的操作类型范围)；为了提升安全性，该认证请求中还可以包含用户密码，镜像仓库授权服务器根据认证请求对用户进行授权认证之前，还可先根据身份信息、用户密码和预设身份信息与用户密码对应关系配置文件，对该用户进行身份认证。

示例二：镜像仓库客户端发送的认证请求中可以包含用户的身份信息，当前访问的镜像资源信息(可以是当前访问的镜像资源地址，也可以是当前访问的镜像资源的类型及名称)以及当前访问请求的操作类型；此时的授权认证可以根据该身份信息是否合法，当前访问的镜像资源信息是否在该用户的用户角色允许访问的镜像资源范围内(可以是镜像资源地址范围，也可以是镜像资源的类型范围及名称)，以及当前访问请求的操作类型是否在该用户的用户角色允许的操作类型范围内来进行授权认证。为了提升安全性，该认证请求中也可以包含用户密码，镜像仓库授权服务器根据认证请求对用户进行授权认证之前，还可先根据身份信息、用户密码和预设身份信息与用户密码对应关系配置文件，对该用户进行身份认证。

本实施例中，在对认证请求中的用户授权认证成功后，下发的授权令牌包含允许用户访问的镜像资源(可以是上述示例一中的该用户的用户角色对应的所有允许访问的镜像资源，也可以是上述示例二中的该用户的用户角色当前允许访问的镜像资源)、操作类型(可以是上述示例一中的该用户的用户角色对应的所有允许的操作类型，也可以是上述示例二中的该用户的用户角色当前允许的操作类型)，还可包括令牌有效时间，该令牌有效时间的设置可以根据实际需求灵活设定，例如设置为10分钟、30分钟等。

镜像仓库客户端基于授权令牌向镜像仓库服务器发送镜像资源访问请求可以采用以下方式中的任意一种方式。

方式一：先将获取到的授权令牌单独发送给镜像仓库服务器，再向镜像仓库服务器发送对应的镜像资源访问请求。

方式二：将包含允许用户访问的镜像资源、操作类型、以及令牌有效时间的授权令牌加入镜像资源访问请求中后，发给镜像仓库服务器。

本实施例中，镜像仓库授权服务器侧执行的镜像仓库授权方法过程参见图3所示，包括以下步骤。

在步骤310中，接收镜像仓库客户端发送的用于访问镜像仓库的认证请求，该认证请求中至少包含用户的身份信息(包括用户名)。

在步骤320中，根据认证请求中的身份信息和预设身份信息与用户角色对应关系表，对用户进行授权认证，不同用户角色对应不同的访问权限。

在步骤330中，授权认证成功时，向镜像仓库客户端反馈授权令牌，以供镜像仓库客户端基于所述授权令牌对所述镜像仓库进行访问。

授权认证失败时，则可以向镜像仓库客户端反馈失败提示，或者不做反馈。

如上述分析，为了提升安全性，本实施例中镜像仓库客户端发送的认证请求中还可以包含用户密码；镜像仓库授权服务器在对认证请求中的用户进行授权认证之前，还可以先根据身份信息以及用户密码，结合预先设置的身份信息与用户密码对应关系配置文件，对用户进行身份认证，在身份认证通过后，执行后续的授权认证过程，如果身份认证不通过，则不执行后续的授权认证过程，并向镜像仓库客户端反馈认证失败。

如上分析，本实施例中的授权认证方式可包括以下两种示例方式。

示例一：镜像仓库客户端发送的认证请求中可以仅包含用户的身份信息。此时镜像仓库服务器授权认证可以仅仅根据该身份信息，结合预设身份信息与用户角色对应关系表对该用户进行授权认证，例如查看该身份信息在身份信息与用户角色对应关系表中是否存在，如是则授权认证成功，在授权认证成功后，向镜像仓库客户端下发的授权令牌中可以包含该用户对应用户角色的所有访问权限(访问权限中包含用户角色允许访问的镜像资源范围以及允许的操作类型)。

示例二：镜像仓库客户端发送的认证请求中可以包含用户的身份信息，当前访问的镜像资源信息(可以是当前访问的镜像资源地址，也可以是当前访问的镜像资源的类型及名称)以及当前访问请求的操作类型；此时镜像仓库服务器授权认证可以根据该身份信息是否合法，当前访问的镜像资源信息是否在该用户的用户角色允许访问的镜像资源范围内(可以是镜像资源地址范围，也可以是镜像资源的类型范围及名称)，以及当前访问请求的操作类型是否在该用户的用户角色允许的操作类型范围内来进行授权认证。

本实施例中的访问权限中包括用户角色允许访问的镜像资源范围以及允许的操作类型范围，操作类型可以包括上传、下载、删除、查询，例如对于管理员来说，还可具有设置用户角色以及对应的访问权限的权限。下面对用户角色对应的操作类型范围进行示例说明。参见下表1所示。

表1

对于镜像资源范围，可以针对不同用户角色分别设定，该镜像资源范围在一种示例中可以通过限定镜像资源地址范围(例如哪个镜像仓库中的哪些地址)进行限定，也可以通过镜像资源的类型及名称进行限定，或者结合二者进行限定。

基于上述表1，假设以上述示例二的认证方式进行认证，此时的镜像仓库认证服务器进行授权认证的过程包括：根据认证请求中的身份信息在预设身份信息与用户角色对应关系表中查找到所述用户对应的用户角色，判断当前访问的镜像资源信息是否在该用户角色允许访问的镜像资源范围内，且当前访问请求的操作类型是否在允许的操作类型范围内，如是，授权认证成功；如否，授权认证失败。

例如，假设认证请求中的身份信息为用户名4，当前的操作类型的为下载，当前访问的镜像资源信息为资源类型为repository名称为test/my-app的镜像文件。此时镜像仓库认证服务器进行授权认证的过程包括：在表1中找到用户名4对应的角色第二用户角色，判定当前操作类型下载在允许的操作类型范围内，且当前访问的镜像资源在允许访问的范围内，授权认证成功。

又例如，假设认证请求中的身份信息为用户名7，当前的操作类型的为删除，当前访问的镜像资源信息为资源类型为repository名称为test/my-app的镜像文件。此时镜像仓库认证服务器进行授权认证的过程包括：在表1中找到用户名7对应的角色第四用户角色，判定当前操作类型删除不在允许的操作类型范围内，授权认证失败。

又例如，假设认证请求中的身份信息为用户名10，当前的操作类型的为查询，当前访问的镜像资源信息为资源类型为repository名称为test/my-app的镜像文件。此时镜像仓库认证服务器进行授权认证的过程包括：在表1中未找到用户名10，授权认证失败。

本实施例中，镜像仓库服务器侧执行的镜像仓库管理方法过程参见图4所示，包括以下步骤。

在步骤410中，接收镜像仓库客户端发送的镜像资源访问请求。

在步骤420中，判定该镜像资源访问请求是否为授权请求，如该镜像资源访问请求不是授权请求，转至步骤430进行授权认证；如该镜像资源访问请求是授权请求，转至步骤440进行访问处理。

本实施例中，镜像仓库服务器在接收到一个包含授权令牌的镜像资源访问请求(即该镜像资源访问请求为授权请求)时，处理完该镜像资源访问请求后，还可以将该授权令牌进行存储，这样在接收到后续的不包含授权令牌的镜像资源访问请求时，可以根据本地之前存储的授权令牌来判定该镜像资源访问请求是否为授权请求。

在步骤430中，向镜像仓库客户端发送授权认证指示通知，授权认证指示通知包含镜像仓库授权服务器地址信息，采用上述示例二进行授权认证时，还可包括当前访问的镜像资源信息以及操作类型，以供镜像仓库客户端生成认证请求时添加这些信息。

在步骤440中，根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理，例如进行对应的下载、上传、删除及查询等。

对应上述两种示例认证方式，本实施例中根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理的方式也包括以下步骤。

根据镜像资源访问请求对应的令牌有效时间判断该授权令牌当前是否有效，如无效，则向镜像仓库客户端发送重新授权认证指示通知；如有效，则判断镜像资源访问请求当前访问的镜像资源信息是否在允许访问的镜像资源范围内，且当前访问请求的操作类型是否在允许的操作类型范围内，如是，则执行访问；如否，则拒绝访问或向镜像仓库客户端发送重新授权认证指示通知。本实施例中镜像仓库客户端、镜像仓库服务器以及镜像仓库授权服务器之间多种消息的交互方式可以灵活设定。本实施例实现了根据不同用户角色对访问镜像仓库的不同用户的访问权限进行有效控制，能够给镜像仓库提供细粒度的访问控制，提升了镜像仓库的实用性、安全性以及管理的合理性。

实施例二

本实施例提供了一种镜像仓库客户端，参见图5所示，包括以下模块。

认证处理模块51，设置为向镜像仓库授权服务器发送认证请求，认证请求中至少包含用户的身份信息；以及接收镜像仓库授权服务器根据所述身份信息和预设身份信息与用户角色对应关系表对所述用户授权认证成功后，反馈的授权令牌。

认证处理模块51可以根据用户发送的命令请求向镜像仓库服务器发送镜像资源访问请求，并根据镜像仓库服务器反馈的镜像仓库服务向镜像仓库授权服务器发送认证请求；也可以在得知镜像仓库授权服务器的地址时，直接根据用户发送的命令请求向镜像仓库授权服务器发送认证请求。

资源访问模块52，设置为基于授权令牌向镜像仓库服务器发送镜像资源访问请求。

认证处理模块51向镜像仓库授权服务器发送的认证请求可以包含不同的信息，下面以两种示例情况进行说明。

示例一：认证处理模块51发送的认证请求中可以仅包含用户的身份信息，以完成授权认证，此时的授权认证可以仅仅根据该身份信息是否合法进行认证，下发的授权令牌中可以包含该用户对应用户角色的所有访问权限(访问权限中包含用户角色允许访问的镜像资源范围以及允许的操作类型范围)。

示例二：认证处理模块51发送的认证请求中可以包含用户的身份信息，当前访问的镜像资源信息(可以是当前访问的镜像资源地址，也可以是当前访问的镜像资源的类型及名称)以及当前访问请求的操作类型；此时的授权认证可以根据该身份信息是否合法，当前访问的镜像资源信息是否在该用户的用户角色允许访问的镜像资源范围内(可以是镜像资源地址范围，也可以是镜像资源的类型范围及名称)，以及当前访问请求的操作类型是否在该用户的用户角色允许的操作类型范围内来进行授权认证。

为了提升安全性，该认证请求中还可以包含用户密码，镜像仓库授权服务器根据认证请求对用户进行授权认证之前，还可先根据身份信息、用户密码和预设身份信息与用户密码对应关系配置文件，对该用户进行身份认证。

本实施例中，在对认证请求中的用户授权认证成功后，下发的授权令牌包含允许用户访问的镜像资源(可以是上述示例一中的该用户的用户角色对应的所有允许访问的镜像资源，也可以是上述示例二中的该用户的用户角色当前允许访问的镜像资源)、操作类型(可以是上述示例一中的该用户的用户角色对应的所有允许的操作类型，也可以是上述示例二中的该用户的用户角色当前允许的操作类型)，还可包括令牌有效时间，该令牌有效时间的设置可以根据实际需求灵活设定，例如设置为20分钟、30分钟等。

资源访问模块52基于授权令牌向镜像仓库服务器发送镜像资源访问请求可以采用以下方式中的任意一种方式。

方式一：资源访问模块52先将获取到的授权令牌单独发送给镜像仓库服务器，再向镜像仓库服务器发送对应的镜像资源访问请求。

方式二：资源访问模块52将包含允许用户访问的镜像资源、操作类型、以及令牌有效时间的授权令牌加入镜像资源访问请求中后，发给镜像仓库服务器。

本实施例还提供了一种镜像仓库授权服务器，参见图6所示，包括以下模块。

认证接收模块61，设置为接收镜像仓库客户端发送的用于访问镜像仓库的认证请求，所述认证请求中至少包含用户的身份信息(包括用户名)。

授权认证模块62，设置为根据身份信息和预设身份信息与用户角色对应关系表，对所述用户进行授权认证，不同用户角色对应不同的访问权限。

认证反馈模块63，设置为在授权认证成功时，向镜像仓库客户端反馈授权令牌，以供镜像仓库客户端基于授权令牌对所述镜像仓库进行访问。

为了提升安全性，本实施例中镜像仓库客户端发送的认证请求中还可以包含用户密码；参见图6所示，镜像仓库授权服务器还包括身份认证模块64，设置为在对认证请求中的用户进行授权认证之前，还可以先根据身份信息以及用户密码，结合预先设置的身份信息与用户密码对应关系配置文件，对用户进行身份认证，在身份认证通过后，授权认证模块执行后续的授权认证过程，如果身份认证不通过，则不执行后续的授权认证过程，并向镜像仓库客户端反馈认证失败。

示例一：镜像仓库客户端发送的认证请求中可以仅包含用户的身份信息。此时授权认证模块62授权认证可以仅仅根据该身份信息，结合预设身份信息与用户角色对应关系表对该用户进行授权认证，例如查看该身份信息在身份信息与用户角色对应关系表中是否存在，如是则授权认证成功，在授权认证成功后，向镜像仓库客户端下发的授权令牌中可以包含该用户对应用户角色的所有访问权限(访问权限中包含用户角色允许访问的镜像资源范围以及允许的操作类型范围)。

示例二：镜像仓库客户端发送的认证请求中可以包含用户的身份信息，当前访问的镜像资源信息(可以是当前访问的镜像资源地址，也可以是当前访问的镜像资源的类型及名称)以及当前访问请求的操作类型；此时授权认证模块62授权认证可以根据该身份信息是否合法，当前访问的镜像资源信息是否在该用户的用户角色允许访问的镜像资源范围内(可以是镜像资源地址范围，也可以是镜像资源的类型范围及名称)，以及当前访问请求的操作类型是否在该用户的用户角色允许的操作类型范围内来进行授权认证。

本实施例中的访问权限中包括用户角色允许访问的镜像资源范围以及允许的操作类型范围，操作类型包括但不限于上传、下载、删除、查询，例如对于管理员来说，还可具有设置用户角色以及对应的访问权限的权限。

本实施例还提供了一种镜像仓库服务器，参见图7所示，包括以下模块。

访问接收模块71，设置为接收镜像仓库客户端发送的镜像资源访问请求。

控制模块72，设置为判定该镜像资源访问请求为未授权请求时，向镜像仓库客户端发送授权认证指示通知，授权认证指示通知包含镜像仓库授权服务器地址信息，采用上述示例二进行授权认证时，还可包括当前访问的镜像资源信息以及操作类型，以供镜像仓库客户端生成认证请求时添加这些信息；控制模块72还设置为判定该镜像资源访问请求为已授权请求时，根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。

本实施例中，控制模块72在接收到一个包含授权令牌的镜像资源访问请求时，处理完该镜像资源访问请求后，还可以将该授权令牌进行存储，这样在接收到后续的不包含授权令牌的镜像资源访问请求时，可以根据本地之前存储的授权令牌来判定该镜像资源访问请求是否为授权请求。

控制模块72是设置为根据所述授权令牌有效时间判断所述授权令牌当前是否有效，如无效，向所述镜像仓库客户端发送重新授权认证指示通知；如有效，判断所述镜像资源访问请求当前访问的镜像资源信息是否在允许访问的镜像资源范围内，且所述当前访问请求的操作类型是否在允许的操作类型范围内，如是，执行访问；如否，拒绝访问或向所述镜像仓库客户端发送重新授权认证指示通知。

本实施例中的上述多个模块的功能可以由微控制器内的电路或代码实现。也即本实施例的模块或步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在计算机存储介质(ROM/RAM、磁碟、光盘)中由计算装置来执行，并且在一些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成多个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。

实施例三

本实施例镜像仓库为Docker镜像仓库为示例，结合上述示例二的方式对本公开的技术方案进行说明。

本实施例中身份认证模块的功能是接收Docker的认证请求，通过指定的认证方法进行身份认证。本实施例中的认证请求可以使用安全套接字层超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS)，用于安全的超文本传输协议(Hyper Text Transfer Protocol，HTTP)数据传输。

如图8-1所示，身份认证模块可以支持多种认证方法，例如可以包括以下步骤。

在步骤811中，将用户名和加密的密码放在配置文件中。

静态文件配置方式即为把用户名和加密的密码放在配置的文件中，授权装置运行时载入该配置文件，配置文件配置了当前用户名及密码，其中密码采用了一个跨平台的文件加密工具(Blowfish File Encryption，B-crypt)加密，该方式实施简单。

在步骤812中，以树状的层次结构来存储数据，启动一个运行LDAP服务器的容器，并通过配置文件方式，配置LDAP服务器的地址及其他信息。

轻量目录访问协议(Lightweight Directory Access Protocol，LDAP)，即以树状的层次结构来存储数据，需要启动一个运行LDAP服务器的容器，然后，授权装置通过配置文件方式，配置上述的LDAP服务器的地址及其他信息。

在步骤813中，载入配置数据库的地址端口等信息的配置文件，通过读取数据库存储的用户数据来进行认证。

多种数据库，在授权装置启动时，载入了配置数据库的地址端口等信息的配置文件，镜像仓库的每一次操作，通过读取数据库存储的用户数据来进行认证。

本实施例中的授权认证模块的功能是当身份认证通过，根据认证请求中的用户信息和所请求的授权范围(包括访问的资源类型、名称以及具体操作类型)下发授权令牌token，该token通过JWT(JSON Web Token)认证方案生成，该token包含了token类型(即JWT)，token使用的签名算法，token的发行方，token的有效期等。如图8-2所示，授权认证方法包括以下步骤。

在步骤821中，将用户名和该用户名具有的权限范围放在配置文件中。

访问控制列表(Access Control List，ACL)授权方法可同上面的静态文件配置配合使用，配置文件中，描述用户名和该用户名具有的权限范围。

在步骤822中，通过配置文件方式，配置LDAP服务器的地址及其他信息。

LDAP的授权可配合LDAP认证使用。

在步骤823中，载入配置数据库的地址端口等信息的配置文件，通过读取数据库存储的用户数据来进行授权。

数据库的授权方法，可配同上面的数据库认证是一起使用的，通过数据库存储数据进行授权具有更丰富使用场景，使用者可以根据需要自行选择数据库类型。

图9展示了授权认证的完成过程，包括以下步骤。

在步骤910中，镜像仓库客户端向镜像仓库服务器发起资源访问请求。

在步骤920中，镜像仓库服务器返回授权地址和根据请求的地址生成的授权范围。

在步骤930中，镜像仓库客户端携带用户名和密码向镜像仓库授权服务器发送认证请求。

在步骤940中，镜像仓库授权服务器首先对用户信息及请求范围进行认证，认证通过后，发送授权令牌token给镜像仓库客户端。

在步骤950中，镜像仓库客户端携带该token再次向镜像仓库服务器发起资源访问请求。

在步骤960中，镜像仓库服务器收到资源访问请求后对请求资源进行响应。

下面以镜像下载为例，介绍通用的Docker镜像仓库授权服务器对Docker镜像仓库服务器进行认证授权过程如下。

首先保证Docker镜像仓库服务器已经正常启动，其中启动载入了配置的镜像仓库授权服务器信息，包括镜像仓库授权服务器地址，镜像仓库的名称也可以称为服务名称，镜像仓库授权服务器名称即token的发行方，以及公钥的绝对路径(配合HTTPS使用)。镜像仓库授权服务器也要启动，载入包含token的配置信息，其中授权装置的名称同上面Docker镜像仓库服务器配置的必须一致，还要配置token的有效期。

Docker镜像仓库客户端接收到用户发出的命令请求。比如以Docker Registry镜像仓库为例，镜像仓库客户端使用用户名和密码登录Docker Registry，比如当前有用户test，使用命令docker login 10.11.21.22：5000，10.11.21.22：5000即 Docker Registry的地址，

登录成功后，执行了docker pull 10.11.21.22：5000：test/my-app命令把镜像从镜像仓库服务器下载到本地Docker。

Docker镜像仓库服务器因为该资源访问请求未经过授权服务器授权，返回一个状态码为401的HTTP响应，在响应头部包含了授权装置的地址，服务名称，对于Docker Registry，服务端名称可以设置为DIS-Registry，同时，还包含了操作的范围，在响应消息头里，WWW-Authenticate头域的值可以是如下格式：Bearer realm＝″https：//ip：port/auth″，service＝″Docker-Registry″，scope＝″repository：test/my-app：pull″。其中，realm即授权服务器的地址，service即服务名称，scope描述了请求的资源类型，资源名称和操作范围，当前资源类型为repository，开发者可以根据需要扩展资源类型，请求的资源名称。本实施例中要下载的镜像名称为test/my-app，需要执行操作动作是下载，即pull。操作可以包含三种类型：*(表示具有镜像操作的全部权限)，push，pull(表示具有镜像上传下载权限)，pull(表示具有镜像下载权限)。scope可以有多个，即能够同时对多个资源进行授权。

镜像仓库客户端根据上述的授权信息，发送认证请求到镜像仓库授权服务器，请求地址可以是：https：//ip：port/auth？service＝Docker-Registry&scope＝repository：test/my-app：pull，同时使用HTTP基本认证输入用户名和密码，发送HTTPS请求到镜像仓库授权服务器，该镜像仓库授权服务器首先根据配置的认证方法对请求的用户名和密码进行认证，比如，认证方法使用PostgreSQL数据库，装置把请求的用户名和密码同数据库存储的用户名密码做对比，同时，对于scope里描述的资源类型，名称以及操作进行数据库内容的查询对比，一致就继续进行授权，如果不一致，即为认证不通过，返回状态码为401的响应信息，以及认证不通过的原因。

镜像仓库授权服务器根据上述所需的scope返回token，表示得到访问权限。通过HTTP返回响应消息体，包含生成的token。

镜像仓库客户端重新发送资源访问请求发送到Docker镜像仓库服务器，在发送的消息头里增加Authorization头域，即在token值的前面加上Bearer及一个空格。

Docker镜像仓库服务器收到含token的资源访问请求，执行镜像仓库客户端请求资源的所需操作，即下载镜像到本地Docker。

对于镜像仓库客户端相同的请求，在token有效期内，可以直接执行，无需重新认证在保证安全性的同时提高了操作的效率。

镜像仓库授权服务器可以快速方便的与Docker镜像仓库整合，Docker镜像仓库通过上述一系列的认证授权步骤达到了细粒度的访问控制。

综上所述，通用的Docker授权方法及装置实现了对Docker镜像仓库操作的访问控制，通过镜像方式方便的部署到Docker中，提高了Docker镜像仓库开发的效率。

实施例四

本实施例提供一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述方法。

如图11所示，是本实施例提供的一种镜像仓库授权服务器的硬件结构示意图，如图11所示，该镜像仓库授权服务器包括：处理器(processor)111和存储器(memory)112；还可以包括通信接口(Communications Interface)113和总线114。

其中，处理器111、存储器112和通信接口113可以通过总线114完成相互间的通信。通信接口113可以用于信息传输。处理器111可以调用存储器112 中的逻辑指令，以执行上述实施例的任意一种镜像仓库授权方法。

如图12所示，是本实施例提供的一种镜像仓库客户端的硬件结构示意图，如图12所示，该镜像仓库客户端包括：处理器121和存储器122；还可以包括通信接口123和总线124。

其中，处理器121、存储器122和通信接口123可以通过总线124完成相互间的通信。通信接口123可以用于信息传输。处理器121可以调用存储器122中的逻辑指令，以执行上述实施例的任意一种镜像仓库访问方法。

如图13所示，是本实施例提供的一种镜像仓库服务器的硬件结构示意图，如图13所示，该镜像仓库服务器包括：处理器131和存储器132；还可以包括通信接口133和总线134。

其中，处理器131、存储器132和通信接口133可以通过总线132完成相互间的通信。通信接口133可以用于信息传输。处理器131可以调用存储器132中的逻辑指令，以执行上述实施例的任意一种镜像仓库管理方法。

上述存储器可以包括存储程序区和存储数据区，存储程序区可以存储操作系统和至少一个功能所需的应用程序。存储数据区可以存储根据电子设备的使用所创建的数据等。此外，存储器可以包括，例如，随机存取存储器的易失性存储器，还可以包括非易失性存储器。例如至少一个磁盘存储器件、闪存器件或者其他非暂态固态存储器件。

此外，在上述存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，该逻辑指令可以存储在一个计算机可读取存储介质中。本公开的技术方案可以以计算机软件产品的形式体现出来，该计算机软件产品可以存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本实施例所述方法的全部或部分步骤。

存储介质可以是非暂态存储介质，也可以是暂态存储介质。非暂态存储介质可以包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等多种可以存储程序代码的介质。

实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指示相关的硬件完成的，该程序可存储于一个非暂态计算机可读存储介质中，该程序被执行时，可包括如上述方法的实施例的流程。

工业实用性

本公开提供的镜像仓库授权、访问、管理方法、服务器及客户端，可以根据不同用户角色对访问镜像仓库的不同用户的访问权限进行有效控制，能够给镜像仓库提供细粒度的访问控制，提升了镜像仓库的实用性、安全性以及管理的合理性。

Claims

一种镜像仓库授权方法，应用于镜像仓库授权服务器，包括：

接收镜像仓库客户端发送的用于访问镜像仓库的认证请求，所述认证请求至少包含用户的身份信息；

根据所述身份信息和预设的对应关系表，对所述用户进行授权认证，所述对应关系表的内容为身份信息与用户角色的对应关系，不同用户角色对应不同的访问权限；

授权认证成功时，向所述镜像仓库客户端反馈授权令牌。
如权利要求1所述的镜像仓库授权方法，其中，所述认证请求还包含用户密码；

所述根据所述身份信息和预设的对应关系表对所述用户进行授权认证之前，所述方法还包括根据所述用户密码和预设的配置文件，对所述用户进行身份认证，所述配置文件的内容为身份信息与用户密码的对应关系。
如权利要求1或2所述的镜像仓库授权方法，其中，所述认证请求还包括用户访问的镜像资源信息以及用户访问请求的操作类型；所述访问权限中包含用户角色允许访问的镜像资源范围以及允许的操作类型；所述操作类型包含上传、下载、删除和查询；

所述根据所述身份信息和预设的对应关系表，对所述用户进行授权认证包括：

根据所述身份信息在所述对应关系表中查找到所述用户对应的用户角色；

判断所述用户访问的镜像资源信息是否在所述用户角色允许访问的镜像资源范围内，且所述用户访问请求的操作类型是否为所述用户角色允许执行的操作类型内，如是，则授权认证成功；如否，则授权认证失败。
一种镜像仓库访问方法，应用于镜像仓库客户端，包括：

向镜像仓库授权服务器发送认证请求，所述认证请求至少包含用户的身份信息；

接收所述镜像仓库授权服务器根据所述身份信息和预设的对应关系表对所述用户授权认证成功后，反馈的授权令牌，所述对应关系表的内容为身份信息与用户角色的对应关系；

基于所述授权令牌向镜像仓库服务器发送镜像资源访问请求。
如权利要求4所述的镜像仓库访问方法，其中，向镜像仓库授权服务器发送认证请求之前，所述方法还包括：

向镜像仓库服务器发送镜像资源访问请求；

接收到所述镜像仓库服务器返回的授权认证指示通知时，根据所述授权认证指示通知中的镜像仓库授权服务器地址信息，向所述镜像仓库授权服务器发送所述认证请求。
如权利要求4或5所述的镜像仓库访问方法，其中，所述授权令牌包含允许所述用户访问的镜像资源、操作类型、以及令牌有效时间；所述基于所述授权令牌向镜像仓库服务器发送镜像资源访问请求包括：

将所述包含允许所述用户访问的镜像资源、操作类型、以及令牌有效时间的授权令牌加入镜像资源访问请求中后，发给所述镜像仓库服务器。
一种镜像仓库管理方法，应用于镜像仓库服务器，包括：

接收镜像仓库客户端发送的镜像资源访问请求；

判定该镜像资源访问请求为未授权请求时，向所述镜像仓库客户端发送授权认证指示通知，所述授权认证指示通知包含镜像仓库授权服务器地址信息；

判定该镜像资源访问请求为已授权请求时，根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。
如权利要求7所述的镜像仓库管理方法，其中，所述授权令牌包含允许用户访问的镜像资源、操作类型、以及令牌有效时间；

所述根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理包括：

根据所述令牌有效时间判断所述授权令牌是否有效，如无效，则向所述镜像仓库客户端发送重新授权认证指示通知；

如有效，则判断所述镜像资源访问请求访问的镜像资源信息是否在允许访问的镜像资源范围内，且所述访问请求的操作类型是否为允许执行的操作类型，如是，则执行访问；如否，则拒绝访问或向所述镜像仓库客户端发送重新授权认证指示通知。
一种镜像仓库授权服务器，包括：

认证接收模块，设置为接收镜像仓库客户端发送的用于访问镜像仓库的认证请求，所述认证请求至少包含用户的身份信息；

授权认证模块，设置为根据所述身份信息和预设的对应关系表，对所述用户进行授权认证，所述对应关系表的内容为身份信息与用户角色的对应关系，不同用户角色对应不同的访问权限；

认证反馈模块，设置为在授权认证成功时，向所述镜像仓库客户端反馈授权令牌。
如权利要求9所述的镜像仓库授权服务器，其中，所述认证请求中还包括用户访问的镜像资源信息以及用户访问请求的操作类型；所述访问权限中包含用户角色允许访问的镜像资源范围以及允许的操作类型；所述操作类型包含上传、下载、删除和查询；

所述授权认证模块是设置为根据所述身份信息在所述预设的对应关系表中查找到所述用户对应的用户角色，判断所述用户访问的镜像资源信息是否在该用户角色允许访问的镜像资源范围内，且所述用户访问请求的操作类型是否为该用户角色允许执行的操作类型，如是，则授权认证成功；如否，则授权认证失败。
一种镜像仓库客户端，包括：

认证处理模块，设置为向镜像仓库授权服务器发送认证请求，所述认证请求至少包含用户的身份信息，以及接收所述镜像仓库授权服务器根据所述身份信息和预设的对应关系表对所述用户授权认证成功后，反馈的授权令牌，所述对应关系表的内容为身份信息与用户角色的对应关系；

资源访问模块，设置为基于所述授权令牌向镜像仓库服务器发送镜像资源访问请求。
一种镜像仓库服务器，包括：

访问接收模块，设置为接收镜像仓库客户端发送的镜像资源访问请求；

控制模块，设置为判定该镜像资源访问请求为未授权请求时，向所述镜像仓库客户端发送授权认证指示通知，所述授权认证指示通知包含镜像仓库授权服务器地址信息；以及判定该镜像资源访问请求为已授权请求时，根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。
如权利要求12所述的镜像仓库服务器，其中，所述授权令牌包含允许用户访问的镜像资源、操作类型、以及令牌有效时间；

所述控制模块是设置为根据所述令牌有效时间判断所述授权令牌是否有效，如无效，则向所述镜像仓库客户端发送重新授权认证指示通知；如有效，则判断所述镜像资源访问请求访问的镜像资源信息是否在允许访问的镜像资源范围内，且所述访问请求的操作类型是否为允许执行的操作类型范围内，如是，则执行访问；如否，则拒绝访问或向所述镜像仓库客户端发送重新授权认证指示通知。
一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求1-8任一项的方法。