CN111193733A - 一种基于内网微服务架构的网关*** - Google Patents

一种基于内网微服务架构的网关*** Download PDF

Info

Publication number
CN111193733A
CN111193733A CN201911375087.XA CN201911375087A CN111193733A CN 111193733 A CN111193733 A CN 111193733A CN 201911375087 A CN201911375087 A CN 201911375087A CN 111193733 A CN111193733 A CN 111193733A
Authority
CN
China
Prior art keywords
request
verification
gateway system
service
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911375087.XA
Other languages
English (en)
Inventor
王立明
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201911375087.XA priority Critical patent/CN111193733A/zh
Publication of CN111193733A publication Critical patent/CN111193733A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于内网微服务架构的网关***,以日志记录模块记录请求,以验证模块对记录的请求进行XSS全局过滤器验证,以配置模块对验证后的请求全局跨域配置,以token验证模块对配置后的请求进行token验证,以服务转发模块利用内网微服务架构、将请求调用到对应的微服务实现对应功能。本发明中XSS校验过程主要通过关键字匹配方式,对于***中发起的正常请求,只需在请求取名、传参时避免使用XSS校验中的关键字即可成功获取数据,不会影响***的正常运行;同时将日志的记录异步请求发送到日志记录微服务处理,降低请求耗时。本发明记录请求的来源信息,增加XSS校验、token验证、服务转发,保证***高效安全的运行。

Description

一种基于内网微服务架构的网关***
技术领域
本发明涉及数字信息的传输,例如电报通信的技术领域,特别涉及一种基于内网微服务架构的网关***。
背景技术
微服务架构(Microservice Architecture)是一种架构概念,旨在通过将功能分解到各个离散的服务中、实现对解决方案的解耦;由于微服务架构围绕业务领域组件创建应用,故这些应用可独立地进行开发、管理和迭代,在分散的组件中使用云架构和平台式部署、管理和服务功能,使产品交付变得更加简单。
随着微服务网关架构的不断发展,网关***根据业务划分为单个微服务,主要解决用户的权限认证、请求的有效性验证等。
现有技术中,在内网环境下,用户发送数据请求,后端的网关***在内网环境中使用,需要进行请求的校验、服务的转发,并且需要进行多项验证,相应增加请求的耗时时间,存在如何保证***安全高效运行的问题。
发明内容
本发明解决了现有技术中存在的问题,提供了一种优化的基于内网微服务架构的网关***。
本发明所采用的技术方案是,一种基于内网微服务架构的网关***,所述网关***包括:
一日志记录模块,用于对请求进行记录;
一验证模块,用于对日志记录模块记录的请求进行XSS全局过滤器验证;
一配置模块,用于对验证后的请求进行全局跨域配置;
一token验证模块,用于对配置模块配置后的请求进行token验证;
一服务转发模块,利用内网微服务架构、将请求调用到对应的微服务实现对应功能。
优选地,所述日志记录模块记录请求的来源信息、请求的时间信息和浏览器信息。
优选地,所述日志记录模块将记录的信息发送到日志记录微服务并记录至日志。
优选地,所述验证模块中,XSS全局过滤器验证包括以下步骤:
步骤a.1:通过配置文件读入配置的字符串数据,将字符串数据切割为数组;
步骤a.2:对数组进行关键词匹配,若匹配成功,则为疑似XSS攻击,返回访问结果,否则继续执行全局跨域验证。
优选地,所述步骤a.2中,关键词对应的验证标签包括sql注入类别标签、Html注入类别标签及js注入类别标签。
优选地,所述配置模块中,全局跨域配置为将日志服务与用户信息微服务不在同一个网段的请求添加支持跨域的请求头。
优选地,所述token验证模块包括以下验证步骤:
步骤b.1:获取用户请求信息中的请求头信息;
步骤b.2:取出第一个名为Authorization的参数信息,替换头部额外添加的字符串Bearer;
步骤b.3:从redis缓存中获取token,如命中,则将当前请求对应的用户转换为具体的用户对象,进行下一步,否则,不进行后续验证,返回提示信息;
步骤b.4:取出用户对象中的token信息与传入的token进行匹配,若匹配成功,则进入下一步,否则,验证失败,结束本次请求,返回验证信息。
优选地,所述内网微服务架构中,网关***对应注册中心设置。
优选地,所述注册中心对应的微服务包括日志微服务和用户服务微服务。
优选地,配置模块配置后,注册中心与日志微服务对接,进行信息交互;token验证模块验证请求成功后,注册中心与用户服务微服务对接,进行信息交互。
本发明涉及一种优化的基于内网微服务架构的网关***,以日志记录模块对请求进行记录,以验证模块对日志记录模块记录的请求进行XSS全局过滤器验证,以配置模块对验证后的请求进行全局跨域配置,以token验证模块对配置模块配置后的请求进行token验证,以服务转发模块利用内网微服务架构、将请求调用到对应的微服务实现对应功能。
本发明中的XSS校验过程主要通过关键字匹配方式,只要请求中有对应的关键字,则本次请求将会被拒绝,这表示对于***中发起的正常请求,只要在请求取名、传参时避免使用XSS检验中的关键字即可成功获取到数据,不会影响***的正常运行;同时将日志的记录异步请求发送到日志记录微服务处理,减少请求耗时。本发明记录请求的来源信息,增加XSS校验、token验证、服务转发,保证***高效安全的运行。
附图说明
图1为本发明的结构示意图,其中,箭头表示信息传输的方向;
图2为本发明的整体流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种基于内网微服务架构的网关***,作为的多个微服务的入口,通过获取注册中心的微服务信息转发到对应的微服务,实现具体的数据请求。
所述内网微服务架构中,网关***对应注册中心设置。
所述注册中心对应的微服务包括日志微服务和用户服务微服务。
本发明中,具体来说,微服务架构将***按功能分类,分为日志微服务、用户服务微服务、网关***以及注册中心,不同的微服务职责分明,网关***与注册中心信息交互,注册中心与日志微服务和用户服务微服务信息交互。
所述网关***包括:
一日志记录模块,用于对请求进行记录;
一验证模块,用于对日志记录模块记录的请求进行XSS全局过滤器验证;
一配置模块,用于对验证后的请求进行全局跨域配置;
一token验证模块,用于对配置模块配置后的请求进行token验证;
一服务转发模块,利用内网微服务架构、将请求调用到对应的微服务实现对应功能。
所述日志记录模块记录请求的来源信息、请求的时间信息和浏览器信息。
所述日志记录模块将记录的信息发送到日志记录微服务并记录至日志。
本发明中,请求的来源信息、请求的时间信息和浏览器信息中具体包括记录请求URL地址、请求方法类型、请求参数、操作用户、真实姓名、组织机构ID、访问接口所属菜单名称、请求的IP地址、模块ID、请求开始时间、请求结束时间、请求耗时、代理信息、操作***、操作浏览器、日志类型等。
本发明中,无论请求是否成功,日志记录模块都将记录的信息发送到日志记录微服务并记录至日志。
所述验证模块中,XSS全局过滤器验证包括以下步骤:
步骤a.1:通过配置文件读入配置的字符串数据,将字符串数据切割为数组;
步骤a.2:对数组进行关键词匹配,若匹配成功,则为疑似XSS攻击,返回访问结果,否则继续执行全局跨域验证。
所述步骤a.2中,关键词对应的验证标签包括sql注入类别标签、Html注入类别标签及js注入类别标签。
本发明中,当前XSS请求只针对get请求进行处理。
本发明中,为了尽可能降低***匹配耗时,故通过配置文件读入配置的字符串数据后切割成数组,对数组进行关键词匹配;由于XSS会配置在程序的配置文件中,此处读取的就是XSS文本,里面是由敏感词组成的文本,通过逗号分隔。
本发明中,只要是正常的***的前后端访问,都不在此类定义的标签内,故不会影响***前后端的正常请求。
本发明中,sql注入类别标签为“delete”、Html注入类别标签为“<script>”及“</script>”、js注入类别标签为“alert”及“eval”。
所述配置模块中,全局跨域配置为将日志服务与用户信息微服务不在同一个网段的请求添加支持跨域的请求头。
本发明中,若不进行全局跨域配置则可能接受不到日志记录的请求,导致日志无法正常记录,一般来说,添加请求头allowedOrigins:‘*’,即是支持所有跨域的请求。
所述token验证模块包括以下验证步骤:
步骤b.1:获取用户请求信息中的请求头信息;
步骤b.2:取出第一个名为Authorization的参数信息,替换头部额外添加的字符串Bearer;
步骤b.3:从redis缓存中获取token,如命中,则将当前请求对应的用户转换为具体的用户对象,进行下一步,否则,不进行后续验证,返回提示信息;
步骤b.4:取出用户对象中的token信息与传入的token进行匹配,若匹配成功,则进入下一步,否则,验证失败,结束本次请求,返回验证信息。
本发明中,token验证在网关***中必不可少,只有经过认证的用户才会获得token信息,非认证通过的用户将被拒绝访问***。
本发明中,步骤b.4是指,为了防止token伪造,用户中的token信息在登录时会存储在缓存中,请求会携带用户的token到网关,网关进一步匹配token,保证当前登录的用户一定是通过登录之后的用户。
配置模块配置后,注册中心与日志微服务对接,进行信息交互;token验证模块验证请求成功后,注册中心与用户服务微服务对接,进行信息交互。
本发明中,日志微服务不需要进行token验证则会直接转发,不需要进行后续验证过程,获取用户信息需要经过以上步骤才会实现具体转发。
本发明的工作流程为:
步骤1:初始化;日志记录模块收到请求的日志记录;
步骤2:以验证模块判断日志记录是否为XSS攻击,若是,则结束本次请求,返回400报错信息,否则,进行下一步;
步骤3:对验证后的请求信息进行全局跨域配置,通过注册中心与日志微服务对接,进行信息交互,同时进行下一步;
步骤4:对全局跨域配置后的请求进行token验证,若验证失败,则结束本次请求,返回401报错信息,否则进行下一步;
步骤5:通过注册中心与用户服务微服务对接,进行信息交互。
其中,步骤3的信息交互为日志信息的存取,步骤5的信息交互包括用户数据的存取,如用户名、真实姓名等。
本发明以日志记录模块对请求进行记录,以验证模块对日志记录模块记录的请求进行XSS全局过滤器验证,以配置模块对验证后的请求进行全局跨域配置,以token验证模块对配置模块配置后的请求进行token验证,以服务转发模块利用内网微服务架构、将请求调用到对应的微服务实现对应功能。
本发明中的XSS校验过程主要通过关键字匹配方式,只要请求中有对应的关键字,则本次请求将会被拒绝,这表示对于***中发起的正常请求,只要在请求取名、传参时避免使用XSS检验中的关键字即可成功获取到数据,不会影响***的正常运行;同时将日志的记录异步请求发送到日志记录微服务处理,减少请求耗时。本发明记录请求的来源信息,增加XSS校验、token验证、服务转发,保证***高效安全的运行。

Claims (10)

1.一种基于内网微服务架构的网关***,其特征在于:所述网关***包括:
一日志记录模块,用于对请求进行记录;
一验证模块,用于对日志记录模块记录的请求进行XSS全局过滤器验证;
一配置模块,用于对验证后的请求进行全局跨域配置;
一token验证模块,用于对配置模块配置后的请求进行token验证;
一服务转发模块,利用内网微服务架构、将请求调用到对应的微服务实现对应功能。
2.根据权利要求1所述的一种基于内网微服务架构的网关***,其特征在于:所述日志记录模块记录请求的来源信息、请求的时间信息和浏览器信息。
3.根据权利要求1所述的一种基于内网微服务架构的网关***,其特征在于:所述日志记录模块将记录的信息发送到日志记录微服务并记录至日志。
4.根据权利要求1所述的一种基于内网微服务架构的网关***,其特征在于:所述验证模块中,XSS全局过滤器验证包括以下步骤:
步骤a.1:通过配置文件读入配置的字符串数据,将字符串数据切割为数组;
步骤a.2:对数组进行关键词匹配,若匹配成功,则为疑似XSS攻击,返回访问结果,否则继续执行全局跨域验证。
5.根据权利要求4所述的一种基于内网微服务架构的网关***,其特征在于:所述步骤a.2中,关键词对应的验证标签包括sql注入类别标签、Html注入类别标签及js注入类别标签。
6.根据权利要求1所述的一种基于内网微服务架构的网关***,其特征在于:所述配置模块中,全局跨域配置为将日志服务与用户信息微服务不在同一个网段的请求添加支持跨域的请求头。
7.根据权利要求1所述的一种基于内网微服务架构的网关***,其特征在于:所述token验证模块包括以下验证步骤:
步骤b.1:获取用户请求信息中的请求头信息;
步骤b.2:取出第一个名为Authorization的参数信息,替换头部额外添加的字符串Bearer;
步骤b.3:从redis缓存中获取token,如命中,则将当前请求对应的用户转换为具体的用户对象,进行下一步,否则,不进行后续验证,返回提示信息;
步骤b.4:取出用户对象中的token信息与传入的token进行匹配,若匹配成功,则进入下一步,否则,验证失败,结束本次请求,返回验证信息。
8.根据权利要求1所述的一种基于内网微服务架构的网关***,其特征在于:所述内网微服务架构中,网关***对应注册中心设置。
9.根据权利要求8所述的一种基于内网微服务架构的网关***,其特征在于:所述注册中心对应的微服务包括日志微服务和用户服务微服务。
10.根据权利要求9所述的一种基于内网微服务架构的网关***,其特征在于:配置模块配置后,注册中心与日志微服务对接,进行信息交互;token验证模块验证请求成功后,注册中心与用户服务微服务对接,进行信息交互。
CN201911375087.XA 2019-12-27 2019-12-27 一种基于内网微服务架构的网关*** Pending CN111193733A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911375087.XA CN111193733A (zh) 2019-12-27 2019-12-27 一种基于内网微服务架构的网关***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911375087.XA CN111193733A (zh) 2019-12-27 2019-12-27 一种基于内网微服务架构的网关***

Publications (1)

Publication Number Publication Date
CN111193733A true CN111193733A (zh) 2020-05-22

Family

ID=70710078

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911375087.XA Pending CN111193733A (zh) 2019-12-27 2019-12-27 一种基于内网微服务架构的网关***

Country Status (1)

Country Link
CN (1) CN111193733A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112104715A (zh) * 2020-08-31 2020-12-18 银盛支付服务股份有限公司 一种基于微服务日志链路跟踪方法及***
CN113037875A (zh) * 2021-05-24 2021-06-25 武汉众邦银行股份有限公司 一种分布式实时业务***中的异步网关的实现方法
CN113472808A (zh) * 2021-07-16 2021-10-01 浙江大华技术股份有限公司 日志的处理方法、装置、存储介质及电子装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105282096A (zh) * 2014-06-18 2016-01-27 腾讯科技(深圳)有限公司 Xss 漏洞检测方法和装置
CN108847989A (zh) * 2018-06-29 2018-11-20 杭州安恒信息技术股份有限公司 基于微服务架构的日志处理方法、业务服务***以及电子设备
CN109565505A (zh) * 2016-08-05 2019-04-02 甲骨文国际公司 用于多租户身份和数据安全管理云服务的租户自助服务故障排除
CN109787844A (zh) * 2019-03-22 2019-05-21 国网上海市电力公司 一种配网主站通信故障快速定位***
CN110535904A (zh) * 2019-07-19 2019-12-03 浪潮电子信息产业股份有限公司 一种异步推送方法、***及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105282096A (zh) * 2014-06-18 2016-01-27 腾讯科技(深圳)有限公司 Xss 漏洞检测方法和装置
CN109565505A (zh) * 2016-08-05 2019-04-02 甲骨文国际公司 用于多租户身份和数据安全管理云服务的租户自助服务故障排除
CN108847989A (zh) * 2018-06-29 2018-11-20 杭州安恒信息技术股份有限公司 基于微服务架构的日志处理方法、业务服务***以及电子设备
CN109787844A (zh) * 2019-03-22 2019-05-21 国网上海市电力公司 一种配网主站通信故障快速定位***
CN110535904A (zh) * 2019-07-19 2019-12-03 浪潮电子信息产业股份有限公司 一种异步推送方法、***及装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112104715A (zh) * 2020-08-31 2020-12-18 银盛支付服务股份有限公司 一种基于微服务日志链路跟踪方法及***
CN113037875A (zh) * 2021-05-24 2021-06-25 武汉众邦银行股份有限公司 一种分布式实时业务***中的异步网关的实现方法
CN113037875B (zh) * 2021-05-24 2021-07-27 武汉众邦银行股份有限公司 一种分布式实时业务***中的异步网关的实现方法
CN113472808A (zh) * 2021-07-16 2021-10-01 浙江大华技术股份有限公司 日志的处理方法、装置、存储介质及电子装置

Similar Documents

Publication Publication Date Title
CN111866769B (zh) 一种消息发送方法、装置、服务器及介质
CN104506510B (zh) 用于设备认证的方法、装置及认证服务***
KR100884714B1 (ko) 어플리케이션 보호 방법, 어플리케이션이 허가된 동작 범위를 벗어나 실행되는 것을 방지하는 방법, 어플리케이션 보안층 구현 시스템, 및 컴퓨터 판독가능 기록 매체
CN111193733A (zh) 一种基于内网微服务架构的网关***
CN103023918B (zh) 为多个网络服务统一提供登录的方法、***和装置
CN112468481B (zh) 一种基于CAS的单页和多页web应用身份集成认证方法
CN112235265B (zh) 一种外网访问项目进度***与方法
US11470042B2 (en) Discovering email account compromise through assessments of digital activities
CN102752300B (zh) 动态防盗链***和动态防盗链方法
CN101529399B (zh) 代理服务器和代理方法
EP0923756A1 (en) Web-based, biometric authentication system and method
WO2007058732A2 (en) B2c authentication system and methods
CN102065147A (zh) 一种基于企业应用***获取用户登录信息的方法及装置
CN101656609A (zh) 一种单点登录方法、***及装置
CN106453414A (zh) 第三方登录认证方法、代理服务器、客户端及***
CN109889514A (zh) 一种认证扫描方法及web应用扫描***
CN101345758B (zh) 报表归一化处理方法、装置和***
CN103220307B (zh) 订阅方法、订阅授权方法及Feeds生成服务器
US20220342966A1 (en) Multichannel threat detection for protecting against account compromise
CN110636038A (zh) 账号解析方法、装置、安全网关及***
CN111245791A (zh) 一种通过反向代理实现管理和it服务的单点登录方法
CN112787974B (zh) 一种网关、数据传输方法及电子设备
CN101534197B (zh) 单点登录***中用户重登录的处理方法、装置及***
Mokhov et al. Automating MAC spoofer evidence gathering and encoding for investigations
CN106470237A (zh) 一种异步下载方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200522