CN108650262A - 一种基于微服务架构的云平台扩展方法及*** - Google Patents

Abstract

本发明提供一种基于微服务架构的云平台扩展方法及***。方法包括：构建服务适配器组件；构建认证缓存服务组件，对用户登录后的状态信息进行缓存；采用前后端分离的微服务模式架构构筑产品化独立的子***服务；前端用户登录与服务器交互认证；将相关联的子***服务构筑成完整的***网络，所述***还包括对每一个开放式接口的请求进行身份认证的加密模块、节点不稳定时自动化选择最优节点的负载均衡模块和节点响应超时时请求熔断并自动切换线路重试的熔断模块，本发明通过服务适配器组件的应用，将原本独立的子***容纳到一个网络***中，子***服务扩展更加灵活，本地化的服务注册表机制，更加高效且安全的使用网络连接数据。

Description

一种基于微服务架构的云平台扩展方法及***

技术领域

本发明涉及互联网应用领域，尤其涉及一种基于微服务架构的云平台扩展方法及***。

背景技术

在传统互联应用产品模式下，通常软件由一组开放***相连，然后借由单点登录或负载均衡等策略，对***进行串联与性能扩展。

现有的***软件架构多是围绕着单体***架构，借助单点登录与负载均衡等手段。从需求角度描述，将产品的功能划分为多个子***，每个模块都是一个完整且独立的***；从技术角度描述，每个子***间或是由单点登录进行统一认证进行快速跳转，或是由其它通讯协议促成两个***间互相通讯；从性能优化的角度描述，子***大多是整体项目的水平拆分，而每个子***的性能扩展，都是通过软件或硬件负载均衡的策略实现。

随着行业多角度发展，一个行业的***平台需要越来越多的业务相结合。对于两个独立的业务***，当彼此间沟通越发紧密时，传统的解决方案就变得灵活不足。尤其是，当业务***变得模糊时，拆分与合并就变得很难取舍。

从子***交互的角度出发，现有的常规方案，子***过于独立，当出现必要的通讯或请求关联时，或是忽略通讯安全直接访问，增大了通讯难度和降低了安全性；又或是采用单点登录等共享认证的策略，这就将两个子***的关系变得过于紧密，与子***的独立性相背离。

传统方式下两个子***间的数据通信，需要客户端明确知道被请求的服务器网络地址，需要明确声明一组通讯的地址与请求接口，既增加了开发成本，也容易出现配置错误影响访问。而且对于一般互联网产品应用来说，客户端与服务端交互不同于服务端与服务端的交互，传统的负载均衡手段，解决不同类型的两种负载均衡需求，这显然是不合理的。

发明内容

根据上述提出的技术问题，本发明提供一种基于微服务架构的云平台扩展方法及***。本发明采用的技术手段如下：

一种基于微服务架构的云平台扩展方法，包括：

S101、基于服务发现技术构建服务适配器组件，其它的服务组件与工程组件通过所述服务适配器组件进行平台注册，形成一个服务的注册表，所述服务适配器组件根据其他组件的服务状态反馈实时更新注册表；

S102、构建认证缓存服务组件，用于对用户登录后的状态信息进行缓存，所述服务适配器组件定时循环注册表，并对其他组件定时发送健康检查，所述服务适配器组件根据其他组件的健康结果反馈实时更新注册表；

S103、采用前后端分离的微服务模式架构构筑产品化独立的子***服务，将产品需求拆解成若干个独立的服务组件，所述服务组件散列的分布在云平台之上，达到松耦合度；不同客户端请求属于自己的服务，每个服务拥有自己的数据库；

S2、前端用户登录与服务端交互认证，后端服务接口发送登录请求，登录接口执行登录验证；

S3、接口服务创建接口声明组件包，进而将开放接口被其他服务发现，进而将相关联的子***服务构筑成完整的***网络。

进一步地，所述步骤S101中，注册表更新方法如下：若适配器组件超时失效或者重新上线，适配器组件会对注册表进行一次更新调整；其它组件向适配器组件获取注册表，进而对线上的其它组件进行主动发现；若注册表中的服务状态发生变化，适配器组件向注册表中的其它服务进行广播，各服务触发注册表更新。

进一步地，所述步骤S102中，所述构建认证缓存服务组件为单点登录服务，服务核心是对用户登录后的状态信息进行缓存，采用内存数据库作为临时缓存的介质，即便服务网络或***短时间掉线，重新上线或发布其它重载节点后，可以立刻恢复状态缓存与查询，认证服务并不主动提供统一登录的功能，而是根据***需求，由节点***自行提供，所述用户状态缓存是指使用用户登录时随机产生的临时凭证字符串作为唯一标识，数据结构采用JSON格式字符串存储状态数据，包括{user:用户基本信息，roles:用户角色信息，permissions:用户权限信息}。

进一步地，所述步骤S2通过以下步骤认证用户信息：

S201：UI表现层用户执行登录动作，后端服务接口发送登录请求；

S202：登录接口执行登录验证，若验证失败，则返回失败记录，客户端提示登陆失败；若验证成功，则执行步骤S203；

S203：依次进行以下操作：生成用户本次登录的动态随机临时凭证；获取用户基本信息；获取用户资源权限数据；合并整理用户状态信息；

S204：将状态信息发送至认证缓存服务组件进行单点缓存，若发送失败，则将状态信息缓存到本地，执行S205；若发送成功，直接执行S205；

S205：返回用户状态信息结果；客户端缓存用户状态；登录认证完成。

本发明还公开了一种基于微服务架构的云平台扩展***，包括：

服务适配器交互单元，用于形成服务注册表；

认证服务缓存单元，用于缓存用户登录后的状态信息；

子***构筑单元，采用前后端分离的微服务模式构架，用于将产品化独立；

交互认证单元，用于前端用户登录与服务端交互认证；

***网络构筑单元，用于整合相关子***服务；

所述交互认证单元包括验证用户信息的交互认证模块、对每一个开放式接口的请求进行身份认证的加密模块、节点不稳定时自动化选择最优节点的负载均衡模块和节点响应超时时请求熔断并自动切换线路重试的熔断模块，所述***网络构筑单元包括微服务之间联络的接口服务模块和整合子***服务共享数据的信息优化模块。

进一步地，所述加密模块是指微服务组件提供定义RESTFUL通讯接口，服务间通讯以及UI层与服务端通讯均使用《跨平台通信加密认证算法》作为安全通讯协议。

进一步地，所述负载均衡模块与熔断模块指的是基于Ribbon与Hystrix技术，配合服务的注册与发现机制获取最新注册表信息，由Hystrix管理每个负载节点的阙值。服务间通信采用Ribbon负载算法，不再由适配器服务转发，直接使用本地注册表进行服务通信请求。

进一步地，所述接口服务模块指的是每个接口通过定义对外开发的接口声明类，将所有的接口声明类封装成一个接口组件包，由其它微服务工程依赖，进而将开放接口被其他服务发现。服务获取实例化接口对象，便可以在不需要明确获知被请求服务地址的前提下，由本地服务发现机制进行自动化请求封装。

进一步地，所述跨平台通信加密认证算法主要分为授信服务认证标签所对应的过滤认证算法和非授信服务认证标签所对应的过滤认证算法，

所述授信服务认证标签所对应的过滤认证算法包括如下步骤：

(11)、获取请求参数中的认证秘钥并判断所述请求参数是否为空，是则抛出异常认证失败，否则进行下一步；

(12)、自所设定的接口参数字典中获取对应的服务编码并删除所述认证秘钥的属性信息；

(13)、基于授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的客户端的服务编码；

(14)、判断所述服务编码是否为空，是则抛出异常认证失败，否则进行下一步；

(15)、判断所述服务编码是否存在于所设定的本地授信服务注册表中，否则抛出异常认证失败；

(16)、确定请求接口所对应的注解认证标签的属性，即允许通过的服务编码数组；

(17)、若服务编码数组的数组长度为0，则确定为任何授信服务都可以认证通过；

(18)、循环步骤(16)中的服务编码数组，并判断是否存在与步骤(13)的客户端的服务编码相同的值，是则确认认证通过，否则抛出异常认证失败；

所述非授信服务认证标签所对应的过滤认证算法包括：游客认证标签所对应的过滤认证算法、已登入认证标签所对应的过滤认证算法、角色认证标签所对应的过滤认证算法以及权限认证标签所对应的过滤认证算法；

其中，所述游客认证标签所对应的过滤认证算法包括如下步骤：

(21)、获取请求参数中的服务秘钥；

(22)、自所设定的接口参数字典中获取对应的服务编码实例并删除所述服务秘钥的属性信息；

(23)、判断所述服务秘钥是否为空，不空则执行授信服务端令牌解密算法，获得解密后的客户端的服务编码；

(24)、判断所述服务编码是否为空，不空则判断所述服务编码是否存在于所设定的本地授信服务注册表中，若存在，则认证通过并终止；

(25)、所述服务编码为空，则获取请求参数中的认证秘钥；

(26)、基于非授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的认证信息；

(27)、判断所述认证信息是否为空或不包含动态凭证属性，则通过认证并终止；否则，抛出异常认证失败；

所述已登入认证标签所对应的过滤认证算法包括如下步骤：

(31)、获取请求参数中的服务秘钥；

(32)、自所设定的接口参数字典中获取对应的服务编码实例并删除所述认证秘钥的属性信息；

(33)、判断所述服务秘钥是否为空，不空则执行授信服务端令牌解密算法，获得解密后的客户端的服务编码；

(34)、判断所述服务编码是否为空，不空则判断所述服务编码是否存在于所设定的本地授信服务注册表中，若存在，则认证通过并终止；

(35)、所述服务编码为空，则获取请求参数中的认证秘钥；

(36)、基于非授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的认证信息；

(37)、判断认证信息是否为空，不空且认证信息包含动态凭证属性，则通过认证并终止；否则，抛出异常认证失败；

所述角色认证标签所对应的过滤认证算法包括如下步骤：

(401)、获取请求参数中的服务秘钥；

(402)、自所设定的接口参数字典中获取对应的服务编码实例并删除所述认证秘钥的属性信息；

(403)、判断所述服务秘钥是否为空，不空则执行授信服务端令牌解密算法，获得解密后的客户端的服务编码；

(404)、判断所述服务编码是否为空，不空则判断所述服务编码是否存在于所设定的本地授信服务注册表中，若存在，则认证通过并终止；

(405)、所述服务编码为空，则获取请求参数中的认证秘钥；

(406)、基于非授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的认证信息；

(407)、判断认证信息是否为空，是则抛出异常认证失败；

(408)、获取认证信息所对应的对象的角色数组的属性；

(409)、确定请求接口所对应的注解认证标签的属性，即允许通过的角色编码数组；

(410)、获取请求接口所对应的注解认证标签的逻辑条件属性，

(411)、若所述逻辑条件属性值为“并且”，则循环步骤(408)的标签角色数组与步骤(409)的用户角色数组，同时若任意一个标签角色均不存在于用户角色数组中，则抛出异常认证失败；

(412)、若所述逻辑条件属性值为“或者”，则循环步骤(408)的标签角色数组与步骤(409)的用户角色数组，同时若没有一个标签角色与用户角色数组中的值一致，则抛出异常认证失败；否则，认证通过；

所述权限认证标签所对应的过滤认证算法包括如下步骤：

(501)、获取请求参数中的服务秘钥；

(502)、自所设定的接口参数字典中获取对应的服务编码实例并删除所述认证秘钥的属性信息；

(503)、判断所述服务秘钥是否为空，不空则执行授信服务端令牌解密算法，获得解密后的客户端的服务编码；

(504)、判断所述客户端服务编码是否为空，不空则判断所述服务编码是否存在于所设定的本地授信服务注册表中，若存在，则认证通过并终止；

(505)、所述服务编码为空，则获取请求参数中的认证秘钥；

(506)、基于非授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的认证信息；

(507)、判断认证信息是否为空，是则抛出异常认证失败；

(508)、获取认证信息所对应的对象的权限数组属性；

(509)、确定请求接口所对应的注解认证标签的属性，即允许通过的权限编码数组；

(510)、获取请求接口所对应的注解认证标签的逻辑条件属性，

(511)、若所述逻辑条件属性值为“并且”，则循环步骤(508)的标签角色数组与步骤(509)的用户角色数组，同时若任意一个标签权限与用户权限匹配，则抛出异常认证失败；

(512)、若所述逻辑条件属性值为“或者”，则循环步骤(508)的标签角色数组与步骤(509)的用户角色数组，同时若没有一个标签权限与用户权限匹配，则抛出异常认证失败；否则，认证通过。

本发明具有以下优点：

1、服务适配器组件的应用，将原本独立的子***容纳到一个网络***中，***服务可以主动的发现其它服务***，并与其建立非直接的联系。

2、本地化的服务注册表机制，可以更加高效且安全的使用网络连接数据，降低对于网络稳定性的依赖。

3、子***服务扩展更加灵活，可以动态的发布新服务***。对于关联业务***的扩展性更强，不将两个***做任何硬性的连接，所有的链接地址均有注册表统一管理，在服务上线时注册，从而网络中可以允许存在多组完整的业务***。

4、结合本地化的服务注册表机制，负载均衡与熔断策略的加入，服务端负载摒弃了传统负载机制，采用了注册表机制的管理方式，更加简单和高效，也响应的节约了成本。同时，接口声明式的开发模式，以及摒弃了复杂的地址配置，也很大程度的降低了开发的复杂性。

基于上述理由本发明可在互联网应用等领域广泛推广。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做以简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明基于微服务架构的云平台扩展方法流程图。

图2为本发明基于微服务架构的云平台***模块图。

图3为本发明服务适配器交互示意图。

图4为本发明服务离线与适配器交互图。

图5为本发明用户登录认证流程图。

图6为本发明负载均衡机制示意图。

图7为应用本发明的实施例***网络图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本申请基于微服务的云平台，采用前后端服务独立的模式，将原有后端各领域相关服务***分散抽象成独立的服务节点，并在平台之上提供了服务发现、热点负载等解决方案；同时，平台依托于微服务理念，拥有强大的拓展性和兼容性；对于安全性等要求，平台也提供了一组私有化加密逻辑，针对前后端接口通讯，提供了有效的动态加密手动，同时保证了安全性与高效性的双重标准。

所谓云服务平台，是依托于互联网而构建的服务集群；服务可以随时随地，在平台之中注册或卸载；同时云平台上的其它服务可以彼此相互发现、相互依赖，形成一张复杂又巨大的关系网络；甚至于可以选择性的将部分功能提供给平台以外的服务进行使用。

所谓微服务，是将原有单体式软件***设计差分成若干个微小服务单元，每个服务单元相互独立。若干个功能单元，通过特定的流程进行通信获取所需数据，组成了一套甚至多套***软件。一个服务单元，可以是一个完整的软件***，可以是***中的一个功能单元，也可以是一些散列的工具接口。微服务设计模式，对于特定行业或跨行业间交互，有非常好的解耦性特征，可以灵活的进行业务扩展或者拆分。

服务的负载均衡与熔断机制，所有云平台上的有效服务组件，均需要进行合法性注册，包括负载端。在高并发访问下，每个节点的稳定性与否对***的影响非常大,但是造成节点不稳定的因素有很多：如网络连接缓慢，资源繁忙，暂时不可用，服务脱机等。运用负载均衡技术，云平台上的服务与服务之间不需要明确请求的具体端点，由服务均衡技术进行自动化最优节点选择。同时，根据每个节点响应延迟与状态特征，发生超时请求熔断机制会自动切换线路进行重试，并且为损坏的节点形成阙值，协助负载均衡选择最优可能。

分布式云部署，借由互联网云平台本身可以进行跨地域分布式部署，同时每个服务组件可以根据地域性特点选择部署位置与版本特征。

通讯与加密，是云平台之中和重要安全保障，利用特殊信息组装加密算法，对每一个非开放式接口的请求进行身份认证。云平台服务间通讯包含两种主要类别，一是两组平台上的服务彼此之间进行通信，二是平台之外的***与平台上的服务进行通信；对于两种类型的通信模式，使用了不同的动态加密与验证的机制，保障通信的安全性和有效性。

如图1所示，一种基于微服务架构的云平台扩展方法，包括：

S101、基于Eureka、Zookeeper、etcd、Consul等服务发现技术构建服务适配器组件，即云平台中所有模块的注册与发现的核心组件，也是云平台上的必要组成元素。如图2、图3、图4所示，所有其它的服务组件(主业务服务，认证缓存服务，日志服务等等，这里指的是实际应用场景中所有其他应用在云平台上的工程服务)与工程组件，都需要通过当前组件进行平台注册，形成一个服务的注册表；组件若超时失效或者重新上线，适配器组件会对注册表进行一次更新调整；其它组件向适配器组件获取注册表，进而对线上的其它组件进行主动发现；若注册表中的服务状态发生变化，适配器组件向注册表中的其它服务进行广播，各服务触发注册表更新。

S102、构建认证缓存服务组件，即单点登录服务。服务核心是对用户登录后的状态信息进行缓存，采用内存数据库作为临时缓存的介质，即便服务网络或***短时间掉线，重新上线或发布其它重载节点后，可以立刻恢复状态缓存与查询。认证服务并不主动提供统一登录的功能，而是根据***需求，由节点***自行提供。用户状态缓存，使用用户登录时随机产生的临时凭证字符串作为唯一标识，数据结构采用JSON格式字符串存储状态数据，包括{user:用户基本信息，roles:用户角色信息，permissions:用户权限信息}。

S103、采用前后端分离的微服务模式架构构筑产品化独立的子***服务，基于微服务的设计模式更像是SOA模式的优化，将产品需求拆解成若干个独立的服务组件。所述组件散列的分布在云平台之上，达到松耦合度；不同客户端请求属于自己的服务，所有服务都是采用异步的，轻量级的，基于消息的通讯；每个服务都可以拥有自己的数据库，分布式数据的设计思路等。

S2、前端用户登录与服务器交互认证；首先UI表现层用户执行登录动作,后端服务接口发送登录请求；登录接口执行登录验证；若验证失败，则返回失败记录，客户端提示登陆失败；若验证成功，生成用户本次登录的动态随机临时凭证；获取用户基本信息；获取用户资源权限数据；合并整理用户状态信息；将状态信息发送至认证缓存服务组件进行单点缓存；若发送失败，则将状态信息缓存到本地；返回用户状态信息结果；客户端缓存用户状态；登录认证完成。

S3、将相关联的子***服务构筑成完整的***网络。网络中的各个子***即是相互独立，同时彼此之间也可以共享数据，而不必采用共享用户信息的方式。***的多样性与统一认证缓存的使用范围，可以由产品需求而动态变化。

如图5所示，所述S2通过以下步骤认证用户信息：

S201：UI表现层用户执行登录动作，后端服务接口发送登录请求；

S202：登录接口执行登录验证，若验证失败，则返回失败记录，客户端提示登陆失败；若验证成功，则执行步骤S203；

S203：依次进行以下操作：生成用户本次登录的动态随机临时凭证；获取用户基本信息；获取用户资源权限数据；合并整理用户状态信息；

S204：将状态信息发送至认证缓存服务组件进行单点缓存，若发送失败，则将状态信息缓存到本地，执行S205；若发送成功，直接执行S205；

S205：返回用户状态信息结果；客户端缓存用户状态；登录认证完成。

如图2所示，一种基于微服务架构的云平台扩展***，包括：

服务适配器交互单元，用于形成服务注册表；

认证服务缓存单元，用于缓存用户登录后的状态信息；

子***构筑单元，采用前后端分离的微服务模式构架，用于将产品化独立；

交互认证单元，用于前端用户登录与服务端交互认证；

***网络构筑单元，用于整合相关子***服务；

所述交互认证单元包括验证用户信息的交互认证模块、对每一个开放式接口的请求进行身份认证的加密模块、节点不稳定时自动化选择最优节点的负载均衡模块和节点响应超时时请求熔断并自动切换线路重试的熔断模块，所述***网络构筑单元包括微服务之间联络的接口服务模块和整合子***服务共享数据的信息优化模块。

进一步地，所述加密模块是指微服务组件提供定义RESTFUL通讯接口，服务间通讯以及UI层与服务端通讯均使用《跨平台通信加密认证算法》作为安全通讯协议。

进一步地，所述负载均衡模块与熔断模块指的是基于Ribbon与Hystrix技术，配合服务的注册与发现机制获取最新注册表信息，由Hystrix管理每个负载节点的阙值。服务间通信采用Ribbon负载算法，不再由适配器服务转发，直接使用本地注册表进行服务通信请求。此处的负载均衡与熔断主要针对平台上的服务间交互。

如图6所示，进一步地，所述接口服务模块指的是接口服务创建接口声明组件包，每个接口通过定义对外开发的接口声明类，将所有的接口声明类封装成一个接口组件包，由其它微服务工程依赖，进而将开放接口被其他服务发现。服务获取实例化接口对象，便可以在不需要明确获知被请求服务地址的前提下，由本地服务发现机制进行自动化请求封装。所述接口服务模块，指的是主业务接口。负载均衡与熔断主要服务此部分接口服务。服务模块的开放接口，也需要使用加密模块对通讯请求进行加密认证。通过封装接口声明类，平台上的不同服务间，可以通过依赖接口封装包，发现可用的开发服务接口。并由自动化请求封装，实现接口调用。

进一步地，所述跨平台通信加密认证算法主要分为授信服务认证标签所对应的过滤认证算法和非授信服务认证标签所对应的过滤认证算法，

所述授信服务认证标签所对应的过滤认证算法包括如下步骤：

(11)、获取请求参数中的认证秘钥并判断所述请求参数是否为空，是则抛出异常认证失败，否则进行下一步；

(12)、自所设定的接口参数字典中获取对应的服务编码并删除所述认证秘钥的属性信息；

(13)、基于授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的客户端的服务编码；

(14)、判断所述服务编码是否为空，是则抛出异常认证失败，否则进行下一步；

(15)、判断所述服务编码是否存在于所设定的本地授信服务注册表中，否则抛出异常认证失败；

(16)、确定请求接口所对应的注解认证标签的属性，即允许通过的服务编码数组；

(17)、若服务编码数组的数组长度为0，则确定为任何授信服务都可以认证通过；

(18)、循环步骤(16)中的服务编码数组，并判断是否存在与步骤(13)的客户端的服务编码相同的值，是则确认认证通过，否则抛出异常认证失败；

所述非授信服务认证标签所对应的过滤认证算法包括：游客认证标签所对应的过滤认证算法、已登入认证标签所对应的过滤认证算法、角色认证标签所对应的过滤认证算法以及权限认证标签所对应的过滤认证算法；

其中，所述游客认证标签所对应的过滤认证算法包括如下步骤：

(21)、获取请求参数中的服务秘钥；

(22)、自所设定的接口参数字典中获取对应的服务编码实例并删除所述服务秘钥的属性信息；

(23)、判断所述服务秘钥是否为空，不空则执行授信服务端令牌解密算法，获得解密后的客户端的服务编码；

(24)、判断所述服务编码是否为空，不空则判断所述服务编码是否存在于所设定的本地授信服务注册表中，若存在，则认证通过并终止；

(25)、所述服务编码为空，则获取请求参数中的认证秘钥；

(26)、基于非授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的认证信息；

(27)、判断所述认证信息是否为空或不包含动态凭证属性，则通过认证并终止；否则，抛出异常认证失败；

所述已登入认证标签所对应的过滤认证算法包括如下步骤：

(31)、获取请求参数中的服务秘钥；

(32)、自所设定的接口参数字典中获取对应的服务编码实例并删除所述认证秘钥的属性信息；

(33)、判断所述服务秘钥是否为空，不空则执行授信服务端令牌解密算法，获得解密后的客户端的服务编码；

(34)、判断所述服务编码是否为空，不空则判断所述服务编码是否存在于所设定的本地授信服务注册表中，若存在，则认证通过并终止；

(35)、所述服务编码为空，则获取请求参数中的认证秘钥；

(36)、基于非授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的认证信息；

(37)、判断认证信息是否为空，不空且认证信息包含动态凭证属性，则通过认证并终止；否则，抛出异常认证失败；

所述角色认证标签所对应的过滤认证算法包括如下步骤：

(401)、获取请求参数中的服务秘钥；

(402)、自所设定的接口参数字典中获取对应的服务编码实例并删除所述认证秘钥的属性信息；

(403)、判断所述服务秘钥是否为空，不空则执行授信服务端令牌解密算法，获得解密后的客户端的服务编码；

(404)、判断所述服务编码是否为空，不空则判断所述服务编码是否存在于所设定的本地授信服务注册表中，若存在，则认证通过并终止；

(405)、所述服务编码为空，则获取请求参数中的认证秘钥；

(406)、基于非授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的认证信息；

(407)、判断认证信息是否为空，是则抛出异常认证失败；

(408)、获取认证信息所对应的对象的角色数组的属性；

(409)、确定请求接口所对应的注解认证标签的属性，即允许通过的角色编码数组；

(410)、获取请求接口所对应的注解认证标签的逻辑条件属性，

(411)、若所述逻辑条件属性值为“并且”，则循环步骤(408)的标签角色数组与步骤(409)的用户角色数组，同时若任意一个标签角色均不存在于用户角色数组中，则抛出异常认证失败；

(412)、若所述逻辑条件属性值为“或者”，则循环步骤(408)的标签角色数组与步骤(409)的用户角色数组，同时若没有一个标签角色与用户角色数组中的值一致，则抛出异常认证失败；否则，认证通过；

所述权限认证标签所对应的过滤认证算法包括如下步骤：

(501)、获取请求参数中的服务秘钥；

(502)、自所设定的接口参数字典中获取对应的服务编码实例并删除所述认证秘钥的属性信息；

(503)、判断所述服务秘钥是否为空，不空则执行授信服务端令牌解密算法，获得解密后的客户端的服务编码；

(504)、判断所述客户端服务编码是否为空，不空则判断所述服务编码是否存在于所设定的本地授信服务注册表中，若存在，则认证通过并终止；

(505)、所述服务编码为空，则获取请求参数中的认证秘钥；

(506)、基于非授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的认证信息；

(507)、判断认证信息是否为空，是则抛出异常认证失败；

(508)、获取认证信息所对应的对象的权限数组属性；

(509)、确定请求接口所对应的注解认证标签的属性，即允许通过的权限编码数组；

(510)、获取请求接口所对应的注解认证标签的逻辑条件属性，

(511)、若所述逻辑条件属性值为“并且”，则循环步骤(508)的标签角色数组与步骤(509)的用户角色数组，同时若任意一个标签权限与用户权限匹配，则抛出异常认证失败；

(512)、若所述逻辑条件属性值为“或者”，则循环步骤(508)的标签角色数组与步骤(509)的用户角色数组，同时若没有一个标签权限与用户权限匹配，则抛出异常认证失败；否则，认证通过。

实施例

如图7所示，一种应用本发明的硬币调剂***平台，***主要服务与银行等金融机构，构建于互联网平台下。核心***与硬币兑换机关联，互相通讯同步实时数据，为互联网用户提供硬币兑换机查询以及硬币兑换需求调剂等业务。平台的本质是一组功能服务***的集合，其中包括多种客户端表现形式，包括：浏览器端调剂业务开放***、浏览器端调剂管理***、浏览器端硬件设备监控***、浏览器端地图展示***、微信端管理***、微信端调剂业务开放***、微信端地图展示***。

由于产品结构的多样性和复杂性，使得产品在实际生产环境下的部署相对复杂。而且，产品本身定位为全国性平台***，是面向开放网络用户的，且目标适用范围涉及全国多个省市，涉及多个数据部署中心，对于***的高并发需求必须有很好的应对性。

因此，***采用微服务架构作为***的基础架构，采用了前后端分离的开发模式，将多个***构建到一个云网络平台之中。

业务***负载节点，可以动态添加，使用统一的服务名称，注册到适配器服务注册表中。由***的注册表机制，执行本地化的负载均衡策略。

服务间的通讯，在满足《跨平台加密算法》机制的前提下，合法的注册服务间通讯请求，不再需要同一用户的状态信息，更加灵活的联通了两个业务***，达到接口数据共享的目的。

调剂业务开放***、调剂业务管理***、硬件设备监控***、微信管理***使用的用户角色权限结构均不相同，采用统一的认证缓存服务进行用户状态信息缓存，用户后端业务处理的权限认证。同时，浏览器与微信等客户端也将独立缓存用户状态信息，用于前端业务的权限认证等。

用户登录流程，以浏览器客户端应用登录为例。首先用户在登陆画面数据登录口令，点击登录按钮,发送登录请求；服务端接受登录请求，并进行登录验证；若验证失败，则返回失败消息，浏览器提示登陆失败及原因；若验证成功，生成用户本次登录的动态随机临时凭证；获取用户基本信息；获取用户资源权限数据；合并整理用户状态信息；将状态信息发送至认证缓存服务组件进行单点缓存；若发送失败，则将状态信息缓存到本地；返回用户状态信息结果；浏览器缓存用户状态数据；登录认证完成，跳转到默认首页。

项目发展周期，动态追加微信客户端需求，因此，构建了“微信管理***”，依赖于“调剂业务开放***”、“硬件设备监控***”、“地图***”。新业务***上线，并注册到云网络平台下，提供微信端开放接口，转发数据请求，从其它业务***中获取相应的业务数据，但并不需要采用统一的认证体系。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (9)

1.一种基于微服务架构的云平台扩展方法，其特征在于，包括：

S101、基于服务发现技术构建服务适配器组件，其它的服务组件与工程组件通过所述服务适配器组件进行平台注册，形成一个服务的注册表，所述服务适配器组件根据其他组件的服务状态反馈实时更新注册表；

S102、构建认证缓存服务组件，用于对用户登录后的状态信息进行缓存，所述服务适配器组件定时循环注册表，并对其他组件定时发送健康检查，所述服务适配器组件根据其他组件的健康结果反馈实时更新注册表；

S103、采用前后端分离的微服务模式架构构筑产品化独立的子***服务，将产品需求拆解成若干个独立的服务组件，所述服务组件散列的分布在云平台之上，达到松耦合度；不同客户端请求属于自己的服务，每个服务拥有自己的数据库；

S2、前端用户登录与服务端交互认证，后端服务接口发送登录请求，登录接口执行登录验证；

S3、接口服务创建接口声明组件包，进而将开放接口被其他服务发现，进而将相关联的子***服务构筑成完整的***网络。

2.根据权利要求1所述的基于微服务架构的云平台扩展方法，其特征在于，所述步骤S101中，注册表更新方法如下：若适配器组件超时失效或者重新上线，适配器组件会对注册表进行一次更新调整；其它组件向适配器组件获取注册表，进而对线上的其它组件进行主动发现；若注册表中的服务状态发生变化，适配器组件向注册表中的其它服务进行广播，各服务触发注册表更新。

3.根据权利要求1所述的基于微服务架构的云平台扩展方法，其特征在于，所述步骤S102中，所述构建认证缓存服务组件为单点登录服务，服务核心是对用户登录后的状态信息进行缓存，采用内存数据库作为临时缓存的介质，即便服务网络或***短时间掉线，重新上线或发布其它重载节点后，可以立刻恢复状态缓存与查询，认证服务并不主动提供统一登录的功能，而是根据***需求，由节点***自行提供，所述用户状态缓存是指使用用户登录时随机产生的临时凭证字符串作为唯一标识，数据结构采用JSON格式字符串存储状态数据，包括{user:用户基本信息，roles:用户角色信息，permissions:用户权限信息}。

4.根据权利要求1所述的基于微服务架构的云平台扩展方法，其特征在于，所述步骤S2通过以下步骤认证用户信息：

S201：UI表现层用户执行登录动作，后端服务接口发送登录请求；

S202：登录接口执行登录验证，若验证失败，则返回失败记录，客户端提示登陆失败；若验证成功，则执行步骤S203；

S203：依次进行以下操作：生成用户本次登录的动态随机临时凭证；获取用户基本信息；获取用户资源权限数据；合并整理用户状态信息；

S204：将状态信息发送至认证缓存服务组件进行单点缓存，若发送失败，则将状态信息缓存到本地，执行S205；若发送成功，直接执行S205；

S205：返回用户状态信息结果；客户端缓存用户状态；登录认证完成。

5.一种基于微服务架构的云平台扩展***，其特征在于，包括：

服务适配器交互单元，用于形成服务注册表；

认证服务缓存单元，用于缓存用户登录后的状态信息；

子***构筑单元，采用前后端分离的微服务模式构架，用于将产品化独立；

交互认证单元，用于前端用户登录与服务端交互认证；

***网络构筑单元，用于整合相关子***服务；

所述交互认证单元包括验证用户信息的交互认证模块、对每一个开放式接口的请求进行身份认证的加密模块、节点不稳定时自动化选择最优节点的负载均衡模块和节点响应超时时请求熔断并自动切换线路重试的熔断模块，所述***网络构筑单元包括微服务之间联络的接口服务模块和整合子***服务共享数据的信息优化模块。

6.根据权利要求5所述的基于微服务架构的云平台扩展***，其特征在于，所述加密模块是指微服务组件提供定义RESTFUL通讯接口，服务间通讯以及UI层与服务端通讯均使用跨平台通信加密认证算法作为安全通讯协议。

7.根据权利要求5所述的基于微服务架构的云平台扩展***，其特征在于，所述负载均衡模块与熔断模块指的是基于Ribbon与Hystrix技术，配合服务的注册与发现机制获取最新注册表信息，由Hystrix管理每个负载节点的阙值；服务间通信采用Ribbon负载算法，不再由适配器服务转发，直接使用本地注册表进行服务通信请求。

8.根据权利要求5所述的基于微服务架构的云平台扩展***，其特征在于，所述接口服务模块指的是每个接口通过定义对外开发的接口声明类，将所有的接口声明类封装成一个接口组件包，由其它微服务工程依赖，进而将开放接口被其他服务发现，服务获取实例化接口对象，便可以在不需要明确获知被请求服务地址的前提下，由本地服务发现机制进行自动化请求封装。

9.根据权利要求6所述的基于微服务架构的云平台扩展***，所述跨平台通信加密认证算法主要分为授信服务认证标签所对应的过滤认证算法和非授信服务认证标签所对应的过滤认证算法，

所述授信服务认证标签所对应的过滤认证算法包括如下步骤：

(11)、获取请求参数中的认证秘钥并判断所述请求参数是否为空，是则抛出异常认证失败，否则进行下一步；

(12)、自所设定的接口参数字典中获取对应的服务编码并删除所述认证秘钥的属性信息；

(13)、基于授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的客户端的服务编码；

(14)、判断所述服务编码是否为空，是则抛出异常认证失败，否则进行下一步；

(15)、判断所述服务编码是否存在于所设定的本地授信服务注册表中，否则抛出异常认证失败；

(16)、确定请求接口所对应的注解认证标签的属性，即允许通过的服务编码数组；

(17)、若服务编码数组的数组长度为0，则确定为任何授信服务都可以认证通过；

(18)、循环步骤(16)中的服务编码数组，并判断是否存在与步骤(13)的客户端的服务编码相同的值，是则确认认证通过，否则抛出异常认证失败；

所述非授信服务认证标签所对应的过滤认证算法包括：游客认证标签所对应的过滤认证算法、已登入认证标签所对应的过滤认证算法、角色认证标签所对应的过滤认证算法以及权限认证标签所对应的过滤认证算法；

其中，所述游客认证标签所对应的过滤认证算法包括如下步骤：

(21)、获取请求参数中的服务秘钥；

(22)、自所设定的接口参数字典中获取对应的服务编码实例并删除所述服务秘钥的属性信息；

(23)、判断所述服务秘钥是否为空，不空则执行授信服务端令牌解密算法，获得解密后的客户端的服务编码；

(24)、判断所述服务编码是否为空，不空则判断所述服务编码是否存在于所设定的本地授信服务注册表中，若存在，则认证通过并终止；

(25)、所述服务编码为空，则获取请求参数中的认证秘钥；

(26)、基于非授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的认证信息；

(27)、判断所述认证信息是否为空或不包含动态凭证属性，则通过认证并终止；否则，抛出异常认证失败；

所述已登入认证标签所对应的过滤认证算法包括如下步骤：

(31)、获取请求参数中的服务秘钥；

(32)、自所设定的接口参数字典中获取对应的服务编码实例并删除所述认证秘钥的属性信息；

(33)、判断所述服务秘钥是否为空，不空则执行授信服务端令牌解密算法，获得解密后的客户端的服务编码；

(34)、判断所述服务编码是否为空，不空则判断所述服务编码是否存在于所设定的本地授信服务注册表中，若存在，则认证通过并终止；

(35)、所述服务编码为空，则获取请求参数中的认证秘钥；

(36)、基于非授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的认证信息；

(37)、判断认证信息是否为空，不空且认证信息包含动态凭证属性，则通过认证并终止；否则，抛出异常认证失败；

所述角色认证标签所对应的过滤认证算法包括如下步骤：

(401)、获取请求参数中的服务秘钥；

(402)、自所设定的接口参数字典中获取对应的服务编码实例并删除所述认证秘钥的属性信息；

(403)、判断所述服务秘钥是否为空，不空则执行授信服务端令牌解密算法，获得解密后的客户端的服务编码；

(404)、判断所述服务编码是否为空，不空则判断所述服务编码是否存在于所设定的本地授信服务注册表中，若存在，则认证通过并终止；

(405)、所述服务编码为空，则获取请求参数中的认证秘钥；

(406)、基于非授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的认证信息；

(407)、判断认证信息是否为空，是则抛出异常认证失败；

(408)、获取认证信息所对应的对象的角色数组的属性；

(409)、确定请求接口所对应的注解认证标签的属性，即允许通过的角色编码数组；

(410)、获取请求接口所对应的注解认证标签的逻辑条件属性，

(411)、若所述逻辑条件属性值为“并且”，则循环步骤(408)的标签角色数组与步骤(409)的用户角色数组，同时若任意一个标签角色均不存在于用户角色数组中，则抛出异常认证失败；

(412)、若所述逻辑条件属性值为“或者”，则循环步骤(408)的标签角色数组与步骤(409)的用户角色数组，同时若没有一个标签角色与用户角色数组中的值一致，则抛出异常认证失败；否则，认证通过；

所述权限认证标签所对应的过滤认证算法包括如下步骤：

(501)、获取请求参数中的服务秘钥；

(502)、自所设定的接口参数字典中获取对应的服务编码实例并删除所述认证秘钥的属性信息；

(503)、判断所述服务秘钥是否为空，不空则执行授信服务端令牌解密算法，获得解密后的客户端的服务编码；

(504)、判断所述客户端服务编码是否为空，不空则判断所述服务编码是否存在于所设定的本地授信服务注册表中，若存在，则认证通过并终止；

(505)、所述服务编码为空，则获取请求参数中的认证秘钥；

(506)、基于非授信服务端令牌解密算法，对所述认证秘钥进行解密以获得解密后的认证信息；

(507)、判断认证信息是否为空，是则抛出异常认证失败；

(508)、获取认证信息所对应的对象的权限数组属性；

(509)、确定请求接口所对应的注解认证标签的属性，即允许通过的权限编码数组；

(510)、获取请求接口所对应的注解认证标签的逻辑条件属性，

(511)、若所述逻辑条件属性值为“并且”，则循环步骤(508)的标签角色数组与步骤(509)的用户角色数组，同时若任意一个标签权限与用户权限匹配，则抛出异常认证失败；

(512)、若所述逻辑条件属性值为“或者”，则循环步骤(508)的标签角色数组与步骤(509)的用户角色数组，同时若没有一个标签权限与用户权限匹配，则抛出异常认证失败；否则，认证通过。