CN109829271B - 鉴权方法及相关产品 - Google Patents
鉴权方法及相关产品 Download PDFInfo
- Publication number
- CN109829271B CN109829271B CN201811615602.2A CN201811615602A CN109829271B CN 109829271 B CN109829271 B CN 109829271B CN 201811615602 A CN201811615602 A CN 201811615602A CN 109829271 B CN109829271 B CN 109829271B
- Authority
- CN
- China
- Prior art keywords
- service
- target
- application service
- authority
- target user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本申请实施例提供一种鉴权方法及相关产品,其中,所述方法包括:接收目标用户发送的目标应用服务的应用服务请求,所述应用服务请求携所述目标用户的记录标识;根据所述记录标识生成查询请求,以及将所述查询请求发送至缓存服务器;接收所述缓存服务器发送的查询结果;若所述查询结果中包括所述目标用户的身份信息,则根据所述身份信息,确定出所述目标用户在所述目标应用服务中的服务权限;将所述服务权限发送至所述目标应用服务;接收所述目标应用服务发送的目标响应结果,所述目标响应结果与所述服务权限相对应,因此,能够提升鉴权的效率。
Description
技术领域
本申请涉及数据安全技术领域,具体涉及一种鉴权方法及相关产品。
背景技术
随着互联网的不断发展,基于互联网的应用服务***也随之得到了快速的发展。各类应用***的服务体系日益庞大,服务体系中应用服务的数目也急剧增加,当前为了应对网络攻击的方法通常为,对每个应用服务设置一个单独的权限机制,单独设置权限机制时,在每个应用服务中均需要设置,因此,在遇到鉴权问题时,需要重新对所有的应用服务设置权限机制,导致***在鉴权方面的效率较低。
发明内容
本申请实施例提供一种鉴权方法及相关产品,能够提升鉴权的效率。
本申请实施例的第一方面提供了一种鉴权方法,所述方法包括:
接收目标用户发送的目标应用服务的应用服务请求,所述应用服务请求携所述目标用户的记录标识;
根据所述记录标识生成查询请求,以及将所述查询请求发送至缓存服务器;
接收所述缓存服务器发送的查询结果;
若所述查询结果中包括所述目标用户的身份信息,则根据所述身份信息,确定出所述目标用户在所述目标应用服务中的服务权限;
将所述服务权限发送至所述目标应用服务;
接收所述目标应用服务发送的目标响应结果,所述目标响应结果与所述服务权限相对应。
结合本申请实施例的第一方面,在第一方面的第一种可能的实现方式中,所述根据所述身份信息,确定出所述目标用户的在所述目标应用服务中的服务权限,包括:
根据所述身份信息,采用预设的权限模板获取公式的生成方法,确定出所述目标用户的权限模板获取公式;
根据所述权限模板获取公式,生成权限获取模板;
获取所述目标应用的应用标识,以及获取所述目标应用的多个服务权限;
根据所述应用标识和所述权限获取模板,从所述多个服务权限中确定出所述目标用户在所述目标应用中的服务权限。
结合本申请实施例的第一方面和第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述方法还包括:
获取由所述目标应用服务通过参考应用服务得到的第一响应结果,所述参考应用服务为所述目标应用服务的关联应用服务;
通过所述第一响应结果和第二响应结果,确定出所述目标响应结果,所述第二响应结果为所述目标应用服务生成的响应结果。
本申请实施例的第二方面提供了一种鉴权装置,所述装置包括第一接收单元、生成单元、第二接收单元、确定单元、发送单元和第三接收单元,其中,
所述第一接收单元,用于接收目标用户发送的目标应用服务的应用服务请求,所述应用服务请求携所述目标用户的记录标识;
所述生成单元,用于根据所述记录标识生成查询请求,以及将所述查询请求发送至缓存服务器;
所述第二接收单元,用于接收所述缓存服务器发送的查询结果;
所述确定单元,用于若所述查询结果中包括所述目标用户的身份信息,则根据所述身份信息,确定出所述目标用户在所述目标应用服务中的服务权限;
所述发送单元,用于将所述服务权限发送至所述目标应用服务;
所述第三接收单元,用于接收所述目标应用服务发送的目标响应结果,所述目标响应结果与所述服务权限相对应。
结合本申请实施例的第二方面,在第二方面的第一种可能的实现方式中,在所述根据所述身份信息,确定出所述目标用户的在所述目标应用服务中的服务权限方面,所述确定单元用于:
根据所述身份信息,采用预设的权限模板获取公式的生成方法,确定出所述目标用户的权限模板获取公式;
根据所述权限模板获取公式,生成权限获取模板;
获取所述目标应用的应用标识,以及获取所述目标应用的多个服务权限;
根据所述应用标识和所述权限获取模板,从所述多个服务权限中确定出所述目标用户在所述目标应用中的服务权限。
结合本申请实施例的第二方面和第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述装置还用于:
获取由所述目标应用服务通过参考应用服务得到的第一响应结果,所述参考应用服务为所述目标应用服务的关联应用服务;
通过所述第一响应结果和第二响应结果,确定出所述目标响应结果,所述第二响应结果为所述目标应用服务生成的响应结果。
本申请实施例的第三方面提供一种终端,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如本申请实施例第一方面中的步骤指令。
本申请实施例的第四方面提供了一种计算机可读存储介质,其中,上述计算机可读存储介质存储用于电子数据交换的计算机程序,其中,上述计算机程序使得计算机执行如本申请实施例第一方面中所描述的部分或全部步骤。
本申请实施例的第五方面提供了一种计算机程序产品,其中,上述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,上述计算机程序可操作来使计算机执行如本申请实施例第一方面中所描述的部分或全部步骤。该计算机程序产品可以为一个软件安装包。
实施本申请实施例,至少具有如下有益效果:
通过本申请实施例,接收目标用户发送的目标应用服务的应用服务请求,所述应用服务请求携所述目标用户的记录标识,根据所述记录标识生成查询请求,以及将所述查询请求发送至缓存服务器,接收所述缓存服务器发送的查询结果,若所述查询结果中包括所述目标用户的身份信息,则根据所述身份信息,确定出所述目标用户在所述目标应用服务中的服务权限,将所述服务权限发送至所述目标应用服务,接收所述目标应用服务发送的目标响应结果,所述目标响应结果与所述服务权限相对应,因此,相对于现有方案中,为每个应用服务均设置权限机制,本方案中,可以接收目标用户发送的目标应用服务的应用服务请求,首先对目标用户进行验证,在验证成功后,在获取目标用户的服务权限,在依据该服务权限进行响应,由于目标应用服务为任意的应用服务,则本方案可以对多个应用服务进行鉴权,从而能够一定程度上提升鉴权的效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供了一种统一鉴权***的示意图;
图2A为本申请实施例提供了一种鉴权方法的流程示意图;
图2B为本申请实施例提供了另一种鉴权方法的示意图;
图3为本申请实施例提供了另一种鉴权方法的流程示意图;
图4为本申请实施例提供了另一种鉴权方法的流程示意图;
图5为本申请实施例提供的一种终端的结构示意图;
图6为本申请实施例提供了鉴权装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本申请所描述的实施例可以与其它实施例相结合。
本申请实施例所涉及到的电子装置可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其他处理设备,以及各种形式的用户设备(user equipment,UE),移动台(mobile station,MS),终端设备(terminaldevice)等等。为方便描述,上面提到的设备统称为电子装置。
为了更好的理解本申请实施例,下面首先对本申请实施例提供的一种应用鉴权方法的统一鉴权***进行简要介绍。如图1所示,统一鉴权***101接收目标用户发送的目标应用服务的应用服务请求,所述应用服务请求携所述目标用户的记录标识,统一鉴权***101从应用服务请求中获取目标用户的记录标识,记录标识可以理解为在目标用户注册后,***为其分配的一个标识号,统一鉴权***101根据记录标识生成查询请求,以及将查询请求发送至缓存服务器102,缓存服务器102根据查询请求中的记录标识进行查询,得到查询结果,查询结果可以为身份信息或空值,并将查询结果发送给统一鉴权***101,统一鉴权***101若确定出查询结果中包括身份信息,则根据该身份信息确定出目标用户在目标应用服务中的服务权限,统一鉴权***101将服务权限发送至目标应用服务,目标应用服务可以为应用服务A、应用服务B、应用服务C或应用服务D中的任意一个或多个,目标应用服务根据服务权限确定出目标响应结果,并将该目标响应结果发送至统一鉴权***101,统一鉴权***101接收目标应用服务发送的目标响应结果,该目标响应结果与服务权限相对应,此处的应用服务仅为举例说明,不仅仅包括应用服务A、应用服务B、应用服务C和应用服务D,还可以具有其它的应用服务。因此,相对于现有方案中,为每个应用服务均设置权限机制,本方案中,可以接收目标用户发送的目标应用服务的应用服务请求,首先对目标用户进行验证,在验证成功后,在获取目标用户的服务权限,在依据该服务权限进行响应,由于目标应用服务为任意的应用服务,则本方案可以对多个应用服务进行鉴权,从而能够一定程度上提升鉴权的效率。
可选的,统一鉴权***应用于网关。
请参阅图2A,图2A为本申请实施例提供了一种鉴权方法的流程示意图。如图2A所示,鉴权方法包括步骤201-206,具体如下:
201、接收目标用户发送的目标应用服务的应用服务请求,所述应用服务请求携所述目标用户的记录标识。
可选的,目标用户可以为需要进行服务申请的任何用户,目标用户可以通过电子装置将应用服务请求发送到统一鉴权***。为了提升目标用户与统一鉴权中心之间的通信安全,在目标用户通过电子装置将应用服务发送到统一鉴权***之前可以包括建立安全通信通道,一种可能的建立安全通信通道的方法涉及统一鉴权中心、电子设备和代理设备,代理设备为可信的第三方设备,具体包括如下步骤:
S1、初始化:初始化阶段主要完成统一鉴权中心、电子设备在代理设备的注册,主题的订阅以及***参数的生成。统一鉴权中心、电子设备向代理设备进行注册,只有通过注册的统一鉴权中心和电子设备才能参与主题的发布与订阅,电子设备向代理设备订阅相关主题。代理设备生成***公开参数(PK)及主密钥(MSK),将PK发送给已注册的统一鉴权中心和电子设备。
S2、加密、发布:加密、发布阶段主要是统一鉴权中心对要发布的主题对应的载荷进行加密,并发送给代理设备。首先统一鉴权中心采用对称加密算法加密载荷,生成密文(CT),然后制定访问结构
根据统一鉴权中心生成的PK和
加密对称密钥,最后将加密后的密钥和加密的载荷发送给代理设备。代理设备在接收到统一鉴权中心发送的加密后的密钥与CT后,过滤并转发给该电子设备。
可选的,访问结构
是一种访问树结构。访问树的每一个非叶子节点是一个门限,用Kx表示,0<=Kx<=num(x),num(x)表示其子节点数。当Kx=num(x)时,非叶子节点代表与门;当Kx=1时,非叶子节点代表或门;访问树的每一个叶子节点代表一种属性。属性集合满足一个访问树结构可以定义为:设T是以r为根节点的访问树,Tx是以x为根节点的T的子树。如果Tx(S)=1,则说明属性集合S满足访问结构Tx。如果节点x是叶子节点,当且仅当叶子节点x关联的属性att(x)是属性集合S的元素时,Tx(S)=1。若节点x是非叶子节点时,至少Kx个子节点z满足Tz(S)=1时,Tx(S)=1。
S3、私钥生成:私钥生成阶段主要是代理设备为电子设备生成相应的密钥,用于解密其后收到的CT。电子设备向代理设备提供属性集合Ai(属性可以是订阅端的特征,角色等信息),代理设备根据PK、属性集合Ai以及主密钥MSK生成私钥SK,然后将生成的私钥发送到该电子设备。
可选的,属性集合Ai为全局集合U={A1,A2,…,An}的一个子集。属性集合Ai表示电子设备i(第i个电子设备)的属性信息,可以是电子设备的特征、角色等,为电子设备的默认属性,全局集合U表示所有电子设备属性信息的集合。
S4、解密:解密阶段主要是电子设备对加密载荷进行解密提取文明的过程。电子设备在接收到代理设备发送的加密后的密钥和CT后,根据PK以及SK解密加密后的密钥得到对称密钥。若其属性集合Ai满足密文的访问结构
则能成功解密密文,以此保障了通信过程的安全性。
通过构建安全通信通道,能够一定程度上保证电子设备与统一鉴权中心之间通信的安全性,减少非法电子设备对合法电子设备与统一鉴权中心之间传输的数据进行窃取的可能性,同时也减少了非法电子设备通过入侵***、篡改***,使得***中的重要数据遭到窃取的情况的发生。
可选的,目标用户的记录标识存放与应用服务请求的载荷字段。
可选的,一种可能获取记录标识的方法包括步骤A1-A2,具体如下:
A1、从所述应用服务请求中获取会话信息;
其中,会话信息可以理解为记录电子装置与统一鉴权中心本次会话时的必要信息,例如,身份标识等。
A2、从所述会话信息中提取所述目标用户的记录标识。
其中,从会话信息中存储记录标识的字段中提取记录标识。
可选的,另一种获取记录标识的方法可以为从应用服务请求中的载荷字段提取记录标识。其中,在进行记录标识提取时,可以采用从首字段进行提取的方式,也可以采用从末字段进行提取的方式,从首字段进行提取的方式可以理解为,从存储记录标识的第一个字段对应的地址开始,对记录标识进行提取,末字段进行提取的方式可以理解为,从存储记录标识的最后一个字段对应的地址开始,对记录标识进行提取。
202、根据所述记录标识生成查询请求,以及将所述查询请求发送至缓存服务器。
其中,缓存服务器中存储有记录标识与用户的身份信息之间的映射关系,该映射关系为,用户进行注册时或者在创建用户时(***用户)存储的映射关系。例如,目标用户在注册成功时,为目标用户分配与该用户唯一对应的记录标识,并将该记录标识与用户的身份信息进行关联存储,得到该映射关系。
可选的,记录标识也可以具有更新方法,一种可能的记录标识的更新方法为:在每一次用户登录后,对用户的记录标识进行更新,并将更新后的记录标识与用户的身份信息进行关联存储,用更新后的记录标识覆盖原有的记录标识,通过上述方式对记录标识进行更新,能够动态的更改用户的记录标识,能够应对,用户的记录标识被盗取的情况,从而可以提升***的安全性。
可选的,缓存服务器接收到查询请求后,通过记录标识在数据库中进行查询,查询结果可以为身份信息或空值,当查询结果为身份信息时,则可以判别本次请求为合法请求,当查询结果为空值时,则可判别本次请求为非法请求,缓存服务器可直接拒绝本次请求。
203、接收所述缓存服务器发送的查询结果。
可选的,接收缓存服务器发送的查询结果时,可以通过统一鉴权中心与缓存服务器之间的安全通信通道进行接收,安全通信通道的建立方法可以按照步骤201中安全通信通道的建立方式进行建立。
204、若所述查询结果中包括所述目标用户的身份信息,则根据所述身份信息,确定出所述目标用户在所述目标应用服务中的服务权限。
可选的,一种可能的根据身份信息,确定出服务权限的方法可包括步骤B1-B4,具体如下:
B1、根据所述身份信息,采用预设的权限模板获取公式的生成方法,确定出所述目标用户的权限模板获取公式;
可选的,预设的权限模板获取公式的生成方法可以为在数据库中根据身份信息进行查询,得到与该身份信息对应的多个生成方法;在根据目标应用服务的服务地址,确定出目标用户的权限模板获取公式的生成方法;根据该生成方法,确定出目标用户的权限模板获取公式。
其中,目标用户可以对多个应用服务进行访问,对不同的应用具有不同的生成方法,则可在数据库中进行查询,先得到多个生成方法,在根据目标用于服务的服务地址,与其对应的权限目标获取公式的生成方法。可选的,一种可能的根据生成方法可以为通过神经网络模型生成,也可以通过***管理人员配置的生成方法。神经网络模型可以通过训练得到,对神经网络模型进行训练时可以包括正向训练和反向训练,神经网络模型可以包括N层神经网络,在训练时,可以将样本数据输入到该N层神经网络的第一层,通过第一层进行正向运算后得到第一运算结果,让后将第一运算结果输入到第二层进行正向运算,得到第二结果,以此,直至第N-1结果输入到第N层进行正向运算,得到第N运算结果,在对第N运算结果执行反向训练,以此重复执行正向训练和反向训练,直至神经网络模型训练完成,N为正整数,样本数据为:服务地址和生成方法。通过***管理员配置的生成方法中,***管理员配置时,采用预设的配置模板进行配置,该模板预先存储与***。
B2、根据所述权限模板获取公式,生成权限获取模板;
可选的,一种可能的权限模板获取公式可以为:f=a.b(“d”),其中,f为服务权限,a为权限模板获取公式标识,b为运行平台,d为应用标识。运行平台可以理解为应用服务的运行平台。
可选的,将所述模板获取公式进行标准化,得到权限获取模板。其中,标准化可以理解为,将公式转化为与该用户向对应的权限获取模板,固定其中的每个参数的数值,获取每个参数的范围。以应用标识为例,应用标识的范围为目标用户已注册的所有应用服务的应用标识。
B3、获取所述目标应用服务的应用标识,以及获取所述目标应用的多个服务权限;
其中,数据库中存储有目标应用的所有服务权限,可直接从数据库中获取目标应用的多个服务权限,即获目标应用所具有的所有权限。
B4、根据所述应用标识和所述权限获取模板,从所述多个服务权限中确定出所述目标用户在所述目标应用中的服务权限。
其中,将该应用标识输入到所述权限获取模板,执行权限获取模板对应的执行代码,从而确定出目标用户在目标应用服务中的服务权限。
可选的,另一种确定服务权限的方法可以为:根据预设的身份信息与权限等级之间的映射关系,确定出目标用户的身份等级所对应的权限等级,根据权限等级对应的服务权限,得到目标用户的服务权限。其中,预设的身份信息和权限等级之间的映射关系可以通过神经网络模型进行训练得到,一种可能的训练过程可以参照前述神经网络模型的训练方法进行训练得到。
其中,权限等级越高,用户能得到权限越多。权限等级例如可以是第一权限等级、第二权限等级、第三权限等级和第四权限等级,权限等级从第一权限等级至第四权限等级依次升高,第一权限等级可包括A个服务权限,第二权限等级包括B个服务权限,第三权限等级包括C个服务权限,第四权限等级包括D个服务权限,A、B、C、D为正整数,D大于C,C大于B,B大于A。
205、将所述服务权限发送至所述目标应用服务。
可选的,可以采用预设的负载均衡方法,将服务权限发送至目标应用服务。
其中,负载均衡策略是所有调度算法的总称,可以自定义实现。默认提供客户端负载均衡的调度算法实现,算法核心:采用加权轮循的机制。权重也可称之为指定轮询几率,权重和访问比率成正比,用于后端服务器性能不相同的情况。
首先依据服务器性能的高低来标记权重,性能越好,权重值越高,性能越低,权重值越低。如权重用weight标识,weight=10。
其次,每次网关需要路由实例时,不断的轮询所有服务器列表,选择出当前所有处于空闲状态的服务器。
最后从所有处于空闲状态的服务器上选择权重最高的服务器作为调用的对象,路由请求到该服务器上的目标应用服务,及将服务权限发送至所述目标应用服务。
可选的,服务权限具有指示应用服务执行与该服务权限相对应的服务操作。例如,目标应用服务为获取联系人信息的服务,服务权限可以包括获取第一等级的联系人信息、第二等级的联系人信息、第三等级的联系人信息、第四等级的联系人信息等,第一等级至第四等级的重要等级依次增加,重要等级可以理解为重要等级越高,则用户等级越高;用户等级越低,则重要等级越低。用户可以划分为普通用户、特权用户、会员用户、黄金会员用户等,其用户等级依次增加,每种用户类型对应一种用户等级。当服务权限为获取第一等级的联系人信息,则目标应用服务查询所有第一等级的联系人信息,并存储查询结果。
可选的,在目标应用服务接收到服务权限后,在执行与服务权限对应的服务操作时,可能会调用其它的应用服务,则一种可能的方法包括步骤C1-C2,具体如下:
C1、获取由所述目标应用服务通过参考应用服务得到的第一响应结果,所述参考应用服务为所述目标应用服务的关联应用服务;
其中,目标应用服务需要调用参考应用服务时,则向参考应用服务发送调用请求,调用请求中携带与本次调用相关的调用信息,调用信息可以为及服务权限。关联应用服务可以理解为两个应用服务之间可以相互调用的应用服务。参考应用服务通过接收到的服务权限,执行与该服务权限对应的服务操作,得到第一响应结果。
C2、通过所述第一响应结果和第二响应结果,确定出所述目标响应结果,所述第二响应结果为所述目标应用服务生成的响应结果。
可选的,第二响应结果为目标应用服务执行与服务权限相对应的服务操作后,得到的响应结果。第二响应结果中可包括多个响应参数,第一响应结果可以作为目标应用服务的输入数据,并执行相应的数据处理后,得到第二响应结果中的部分响应参数,因此,将第二响应结果作为目标响应结果。第一响应结果也可以为单独的响应结果,不与目标应用服务产生数据处理关系,则确定目标响应结果时,可以将第一响应结果与第二响应结果作为目标响应结果。
本示例中,不同的应用服务之间可以直接进行调用,而无需进行相互之间的鉴权操作,从而能够一定程度上提升服务之间进行调用时的效率,以及相互调用时的***开销。
206、接收所述目标应用服务发送的目标响应结果,所述目标响应结果与所述服务权限相对应。
请参阅图2B,图2B为本申请实施例提供了另一种鉴权方法的示意图。如图2B所示,用户首先发起请求,统一鉴权***根据请求中的路由信息,对该请求进行拦截,拦截成功后,从该请求中取出会话信息,在缓存服务器中对校验话信息是否有效,若无效,则拒绝该请求,若有效,则返回身份信息,并根据该身份信息确定出服务权限,通过统一鉴权***中的负载均衡策略,将服务权限发送到相应的服务实例,服务实例根据会话信息,得到响应结果,将该响应结果通过统一鉴权***反馈给目标用户,其中,服务实例包括A服务实例、B服务实例、C服务实例和D服务实例,服务实例在进行内部调用时无需相互之间进行鉴权等认证过程。即,统一鉴权***在在用户和服务应用之间形成一个安全屏障,从而可以提升服务应用的安全性。
可选的,一次操作行为需要1-N个服务的支撑,但是无需在1-N个服务上都进行鉴权处理,本发明的鉴权机制,它的核心是隔绝所有操作行为与提供服务的应用之间的联系,形成一个保护层,在用户请求还未达到第一个服务实例之前就进行鉴权处理,鉴权通过之后才会陆续连接第1、第2、第N个服务实例。
可选的,统一鉴权***中还包括:
(1)服务的隐藏:设置所有服务实例和其提供的接口服务对外隐藏,唯一的暴露是路由映射信息。
(2)所有外部请求需要请求服务都必须经过网关***,不提供直接请求服务的能力,这一步骤使得因外部直接请求内部服务需要进行的繁杂鉴权处理得以去掉,直接增强内部服务安全能力。
(3)有了网关***的统一鉴权机制提供的统一鉴权能力,所有内部服务之间的相互调用便无需进行鉴权。
本示例中,统一鉴权***根据请求中的路由信息,对该请求进行拦截,拦截成功后,从该请求中取出会话信息,在缓存服务器中对校验话信息是否有效,若无效,则拒绝该请求,若有效,则返回身份信息,并根据该身份信息确定出服务权限,通过统一鉴权***中的负载均衡策略,将服务权限发送到相应的服务实例,服务实例根据会话信息,得到响应结果,将该响应结果通过统一鉴权***反馈给目标用户,本方案中,可以接收目标用户发送的目标应用服务的应用服务请求,首先对目标用户进行验证,在验证成功后,在获取目标用户的服务权限,在依据该服务权限进行响应,由于目标应用服务为任意的应用服务,则本方案可以对多个应用服务进行鉴权,从而能够一定程度上提升鉴权的效率。
请参阅图3,图3为本申请实施例提供了另一种鉴权方法的流程示意图。如图3所示,鉴权方法可包括步骤301-310,具体如下:
301、接收目标用户发送的目标应用服务的应用服务请求,所述应用服务请求携所述目标用户的记录标识;
302、从所述应用服务请求中获取所述目标用户的记录标识;
303、根据所述记录标识生成查询请求,以及将所述查询请求发送至缓存服务器;
304、接收所述缓存服务器发送的查询结果;
305、若所述查询结果中包括所述目标用户的身份信息,则根据所述身份信息,采用预设的权限模板获取公式的生成方法,确定出所述目标用户的权限模板获取公式;
306、根据所述权限模板获取公式,生成权限获取模板;
307、获取所述目标应用服务的应用标识,以及获取所述目标应用的多个服务权限;
308、根据所述应用标识和所述权限获取模板,从所述多个服务权限中确定出所述目标用户在所述目标应用服务中的服务权限;
309、将所述服务权限发送至所述目标应用服务;
310、接收所述目标应用服务发送的目标响应结果,所述目标响应结果与所述服务权限相对应。
本示例中,通过目标用户的身份信息,确定出目标用户的权限模板获取公式,在根据该公式确定出权限获取模板,通过权限获取模板来获取目标用户的权限,在目标应用服务的服务权限较多时,通过权限模板来确定出服务权限,能够一定程度上提升服务权限获取时的效率。
请参阅图4,图4为本申请实施例提供了另一种鉴权方法的流程示意图。如图4所示,鉴权方法可包括步骤401-408,具体如下:
401、接收目标用户发送的目标应用服务的应用服务请求,所述应用服务请求携所述目标用户的记录标识;
402、从所述应用服务请求中获取会话信息;
403、从所述会话信息中提取所述目标用户的记录标识;
404、根据所述记录标识生成查询请求,以及将所述查询请求发送至缓存服务器;
405、接收所述缓存服务器发送的查询结果;
406、若所述查询结果中包括所述目标用户的身份信息,则根据所述身份信息,确定出所述目标用户在所述目标应用服务中的服务权限;
407、将所述服务权限发送至所述目标应用服务;
408、接收所述目标应用服务发送的目标响应结果,所述目标响应结果与所述服务权限相对应。
本示例中,对目标服务应用进行鉴权,并在会话信息中提取记录标识,并通过记录标识进行鉴权,目标应用服务泛指任意一个应用服务,则本方案可以对多个应用服务进行统一鉴权,相对于现有方案中,在对不同的应用服务进行服务请求时,每个应用服务均需要单独进行鉴权,导致鉴权不统一,降低了安全性,本方案能够统一的进行鉴权,进而能够一定程度上提***的安全性。
与上述实施例一致的,请参阅图5,图5为本申请实施例提供的一种终端的结构示意图,如图所示,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,上述程序包括用于执行以下步骤的指令:
接收目标用户发送的目标应用服务的应用服务请求,所述应用服务请求携所述目标用户的记录标识;
根据所述记录标识生成查询请求,以及将所述查询请求发送至缓存服务器;
接收所述缓存服务器发送的查询结果;
若所述查询结果中包括所述目标用户的身份信息,则根据所述身份信息,确定出所述目标用户在所述目标应用服务中的服务权限;
将所述服务权限发送至所述目标应用服务;
接收所述目标应用服务发送的目标响应结果,所述目标响应结果与所述服务权限相对应。
本示例中,接收目标用户发送的目标应用服务的应用服务请求,所述应用服务请求携所述目标用户的记录标识,根据所述记录标识生成查询请求,以及将所述查询请求发送至缓存服务器,接收所述缓存服务器发送的查询结果,若所述查询结果中包括所述目标用户的身份信息,则根据所述身份信息,确定出所述目标用户在所述目标应用服务中的服务权限,将所述服务权限发送至所述目标应用服务,接收所述目标应用服务发送的目标响应结果,所述目标响应结果与所述服务权限相对应,因此,相对于现有方案中,为每个应用服务均设置权限机制,本方案中,可以接收目标用户发送的目标应用服务的应用服务请求,首先对目标用户进行验证,在验证成功后,在获取目标用户的服务权限,在依据该服务权限进行响应,由于目标应用服务为任意的应用服务,则本方案可以对多个应用服务进行鉴权,从而能够一定程度上提升鉴权的效率。
上述主要从方法侧执行过程的角度对本申请实施例的方案进行了介绍。可以理解的是,终端为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所提供的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对终端进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
与上述一致的,请参阅图6,图6为本申请实施例提供了鉴权装置的结构示意图。鉴权装置包括第一接收单元601、生成单元602、第二接收单元603、确定单元604、发送单元605和第三接收单元606,其中,
所述第一接收单元601,用于接收目标用户发送的目标应用服务的应用服务请求,所述应用服务请求携所述目标用户的记录标识;
所述生成单元602,用于根据所述记录标识生成查询请求,以及将所述查询请求发送至缓存服务器;
所述第二接收单元603,用于接收所述缓存服务器发送的查询结果;
所述确定单元604,用于若所述查询结果中包括所述目标用户的身份信息,则根据所述身份信息,确定出所述目标用户在所述目标应用服务中的服务权限;
所述发送单元605,用于将所述服务权限发送至所述目标应用服务;
所述第三接收单元606,用于接收所述目标应用服务发送的目标响应结果,所述目标响应结果与所述服务权限相对应。
本示例中,接收目标用户发送的目标应用服务的应用服务请求,所述应用服务请求携所述目标用户的记录标识,根据所述记录标识生成查询请求,以及将所述查询请求发送至缓存服务器,接收所述缓存服务器发送的查询结果,若所述查询结果中包括所述目标用户的身份信息,则根据所述身份信息,确定出所述目标用户在所述目标应用服务中的服务权限,将所述服务权限发送至所述目标应用服务,接收所述目标应用服务发送的目标响应结果,所述目标响应结果与所述服务权限相对应,因此,相对于现有方案中,为每个应用服务均设置权限机制,本方案中,可以接收目标用户发送的目标应用服务的应用服务请求,首先对目标用户进行验证,在验证成功后,在获取目标用户的服务权限,在依据该服务权限进行响应,由于目标应用服务为任意的应用服务,则本方案可以对多个应用服务进行鉴权,从而能够一定程度上提升鉴权的效率。
可选的,在所述根据所述身份信息,确定出所述目标用户的在所述目标应用服务中的服务权限方面,所述确定单元604用于:
根据所述身份信息,采用预设的权限模板获取公式的生成方法,确定出所述目标用户的权限模板获取公式;
根据所述权限模板获取公式,生成权限获取模板;
获取所述目标应用服务的应用标识,以及获取所述目标应用的多个服务权限;
根据所述应用标识和所述权限获取模板,从所述多个服务权限中确定出所述目标用户在所述目标应用服务中的服务权限。
可选的,所述装置还用于:
从所述应用服务请求中获取会话信息;
从所述会话信息中提取所述目标用户的记录标识。
可选的,所述鉴权装置还用于:
获取由所述目标应用服务通过参考应用服务得到的第一响应结果,所述参考应用服务为所述目标应用服务的关联应用服务;
通过所述第一响应结果和第二响应结果,确定出所述目标响应结果,所述第二响应结果为所述目标应用服务生成的响应结果。
可选的,在所述将所述服务权限发送至所述目标应用服务方面,所述发送单元605:
采用预设的负载均衡方法,将所述服务权限发送至所述目标应用服务。
本申请实施例还提供一种计算机存储介质,其中,该计算机存储介质存储用于电子数据交换的计算机程序,该计算机程序使得计算机执行如上述方法实施例中记载的任何一种鉴权方法的部分或全部步骤。
本申请实施例还提供一种计算机程序产品,所述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,该计算机程序使得计算机执行如上述方法实施例中记载的任何一种鉴权方法的部分或全部步骤。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在申请明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件程序模块的形式实现。
所述集成的单元如果以软件程序模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储器中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储器中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储器包括:U盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储器中,存储器可以包括:闪存盘、只读存储器、随机存取器、磁盘或光盘等。
以上对本申请实施例进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (8)
1.一种鉴权方法,其特征在于,所述方法包括:
接收目标用户发送的目标应用服务的应用服务请求,所述应用服务请求携所述目标用户的记录标识;
根据所述记录标识生成查询请求,以及将所述查询请求发送至缓存服务器;
接收所述缓存服务器发送的查询结果;
若所述查询结果中包括所述目标用户的身份信息,则根据所述身份信息,确定出所述目标用户在所述目标应用服务中的服务权限;
将所述服务权限发送至所述目标应用服务;
接收所述目标应用服务发送的目标响应结果,所述目标响应结果与所述服务权限相对应;
所述根据所述身份信息,确定出所述目标用户的在所述目标应用服务中的服务权限,包括:
根据所述身份信息,采用预设的权限模板获取公式的生成方法,确定出所述目标用户的权限模板获取公式;
根据所述权限模板获取公式,生成权限获取模板;
获取所述目标应用服务的应用标识,以及获取所述目标应用的多个服务权限;
根据所述应用标识和所述权限获取模板,从所述多个服务权限中确定出所述目标用户在所述目标应用服务中的服务权限;
所述根据所述身份信息,采用预设的权限模板获取公式的生成方法,确定出所述目标用户的权限模板获取公式,包括:
在数据库中根据身份信息进行查询,得到与该身份信息对应的多个生成方法;
在根据目标应用服务的服务地址,确定出目标用户的权限模板获取公式的生成方法;
根据该生成方法,确定出目标用户的权限模板获取公式。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从所述应用服务请求中获取会话信息;
从所述会话信息中提取所述目标用户的记录标识。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
获取由所述目标应用服务通过参考应用服务得到的第一响应结果,所述参考应用服务为所述目标应用服务的关联应用服务;
通过所述第一响应结果和第二响应结果,确定出所述目标响应结果,所述第二响应结果为所述目标应用服务生成的响应结果。
4.根据权利要求1或2所述的方法,其特征在于,所述将所述服务权限发送至所述目标应用服务,包括:
采用预设的负载均衡方法,将所述服务权限发送至所述目标应用服务。
5.一种鉴权装置,其特征在于,所述装置包括第一接收单元、生成单元、第二接收单元、确定单元、发送单元和第三接收单元,其中,
所述第一接收单元,用于接收目标用户发送的目标应用服务的应用服务请求,所述应用服务请求携所述目标用户的记录标识;
所述生成单元,用于根据所述记录标识生成查询请求,以及将所述查询请求发送至缓存服务器;
所述第二接收单元,用于接收所述缓存服务器发送的查询结果;
所述确定单元,用于若所述查询结果中包括所述目标用户的身份信息,则根据所述身份信息,确定出所述目标用户在所述目标应用服务中的服务权限;
所述发送单元,用于将所述服务权限发送至所述目标应用服务;
所述第三接收单元,用于接收所述目标应用服务发送的目标响应结果,所述目标响应结果与所述服务权限相对应;
在所述根据所述身份信息,确定出所述目标用户的在所述目标应用服务中的服务权限方面,所述确定单元用于:
根据所述身份信息,采用预设的权限模板获取公式的生成方法,确定出所述目标用户的权限模板获取公式;
根据所述权限模板获取公式,生成权限获取模板;
获取所述目标应用服务的应用标识,以及获取所述目标应用的多个服务权限;
根据所述应用标识和所述权限获取模板,从所述多个服务权限中确定出所述目标用户在所述目标应用服务中的服务权限;
在所述根据所述身份信息,采用预设的权限模板获取公式的生成方法,确定出所述目标用户的权限模板获取公式方面,所述确定单元用于:
在数据库中根据身份信息进行查询,得到与该身份信息对应的多个生成方法;
在根据目标应用服务的服务地址,确定出目标用户的权限模板获取公式的生成方法;
根据该生成方法,确定出目标用户的权限模板获取公式。
6.根据权利要求5所述的装置,其特征在于,所述鉴权装置用于:
从所述应用服务请求中获取会话信息;
从所述会话信息中提取所述目标用户的记录标识。
7.一种终端,其特征在于,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-4任一项所述的方法。
8.一种计算机可读存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-4任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811615602.2A CN109829271B (zh) | 2018-12-27 | 2018-12-27 | 鉴权方法及相关产品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811615602.2A CN109829271B (zh) | 2018-12-27 | 2018-12-27 | 鉴权方法及相关产品 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109829271A CN109829271A (zh) | 2019-05-31 |
| CN109829271B true CN109829271B (zh) | 2021-07-20 |
Family
ID=66860581
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811615602.2A Active CN109829271B (zh) | 2018-12-27 | 2018-12-27 | 鉴权方法及相关产品 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109829271B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111260375B (zh) * | 2019-11-26 | 2023-09-26 | 泰康保险集团股份有限公司 | 一种服务处理方法和装置 |
| CN111428099B (zh) * | 2020-03-23 | 2023-12-26 | 中国建设银行股份有限公司 | 基于物联网的金融服务能力查询方法及网点管理中心*** |
| CN112287308A (zh) * | 2020-10-23 | 2021-01-29 | 深圳云之家网络有限公司 | 业务角色鉴权方法以及相关装置 |
| CN115664838B (zh) * | 2022-11-09 | 2023-03-21 | 阿里巴巴(中国)有限公司 | 确权方法、***以及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101047832A (zh) * | 2007-04-30 | 2007-10-03 | 中兴通讯股份有限公司 | 一种因特网网络电视业务鉴权及其触发的实现方法 |
| CN101453328A (zh) * | 2007-12-06 | 2009-06-10 | ***通信集团公司 | 身份管理***及身份认证*** |
| CN101616126A (zh) * | 2008-06-23 | 2009-12-30 | 华为技术有限公司 | 实现数据访问权限控制的方法、装置及*** |
| CN103051631A (zh) * | 2012-12-21 | 2013-04-17 | 国云科技股份有限公司 | PaaS平台与SaaS应用***的统一安全认证方法 |
| CN103490886A (zh) * | 2012-06-12 | 2014-01-01 | 阿里巴巴集团控股有限公司 | 权限数据的验证方法、装置及*** |
| CN107045603A (zh) * | 2017-04-11 | 2017-08-15 | 北京深思数盾科技股份有限公司 | 一种应用的调用控制方法和装置 |
-
2018
- 2018-12-27 CN CN201811615602.2A patent/CN109829271B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101047832A (zh) * | 2007-04-30 | 2007-10-03 | 中兴通讯股份有限公司 | 一种因特网网络电视业务鉴权及其触发的实现方法 |
| CN101453328A (zh) * | 2007-12-06 | 2009-06-10 | ***通信集团公司 | 身份管理***及身份认证*** |
| CN101616126A (zh) * | 2008-06-23 | 2009-12-30 | 华为技术有限公司 | 实现数据访问权限控制的方法、装置及*** |
| CN103490886A (zh) * | 2012-06-12 | 2014-01-01 | 阿里巴巴集团控股有限公司 | 权限数据的验证方法、装置及*** |
| CN103051631A (zh) * | 2012-12-21 | 2013-04-17 | 国云科技股份有限公司 | PaaS平台与SaaS应用***的统一安全认证方法 |
| CN107045603A (zh) * | 2017-04-11 | 2017-08-15 | 北京深思数盾科技股份有限公司 | 一种应用的调用控制方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109829271A (zh) | 2019-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111212095B (zh) | 一种身份信息的认证方法、服务器、客户端及*** | |
| CN109829271B (zh) | 鉴权方法及相关产品 | |
| EP3251324B1 (en) | Secure access to cloud-based services | |
| JP6716745B2 (ja) | ブロックチェーン基盤の権限認証方法、端末及びこれを利用したサーバ | |
| KR101560440B1 (ko) | 안전한 동적 권한 위임을 위한 방법 및 장치 | |
| US8893244B2 (en) | Application-based credential management for multifactor authentication | |
| US9219722B2 (en) | Unclonable ID based chip-to-chip communication | |
| US8037515B2 (en) | Methods and apparatus for providing application credentials | |
| US9003191B2 (en) | Token-based authentication using middle tier | |
| CN110322940B (zh) | 一种医疗数据共享的访问授权方法及*** | |
| US8977857B1 (en) | System and method for granting access to protected information on a remote server | |
| US20090034725A1 (en) | Method of and system for encryption and authentication | |
| US20120240211A1 (en) | Policy-based authentication | |
| JP7421771B2 (ja) | Iotサービスを実施するための方法、アプリケーションサーバ、iot装置および媒体 | |
| CN110569658A (zh) | 基于区块链网络的用户信息处理方法、装置、电子设备及存储介质 | |
| Dey et al. | MDA: message digest-based authentication for mobile cloud computing | |
| CN111460400A (zh) | 一种数据处理方法、装置及计算机可读存储介质 | |
| Hosen et al. | SPTM-EC: A security and privacy-preserving task management in edge computing for IIoT | |
| CN113569210A (zh) | 分布式身份认证方法、设备访问方法及装置 | |
| Chae et al. | A study on secure user authentication and authorization in OAuth protocol | |
| Guo et al. | Using blockchain to control access to cloud data | |
| CN110138558A (zh) | 会话密钥的传输方法、设备及计算机可读存储介质 | |
| CN115459905A (zh) | 一种物联网设备安全认证与高可用消息通信的***及方法 | |
| US11977620B2 (en) | Attestation of application identity for inter-app communications | |
| CN111737725A (zh) | 用户标记方法、装置、服务器和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |