CN111917732B - 一种大数据组件的访问方法、装置、***及电子设备 - Google Patents

一种大数据组件的访问方法、装置、***及电子设备 Download PDF

Info

Publication number
CN111917732B
CN111917732B CN202010664930.2A CN202010664930A CN111917732B CN 111917732 B CN111917732 B CN 111917732B CN 202010664930 A CN202010664930 A CN 202010664930A CN 111917732 B CN111917732 B CN 111917732B
Authority
CN
China
Prior art keywords
big data
bill
client
data component
authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010664930.2A
Other languages
English (en)
Other versions
CN111917732A (zh
Inventor
何永健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Hikvision Digital Technology Co Ltd
Original Assignee
Hangzhou Hikvision Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Hikvision Digital Technology Co Ltd filed Critical Hangzhou Hikvision Digital Technology Co Ltd
Priority to CN202010664930.2A priority Critical patent/CN111917732B/zh
Publication of CN111917732A publication Critical patent/CN111917732A/zh
Application granted granted Critical
Publication of CN111917732B publication Critical patent/CN111917732B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供一种大数据组件的访问方法、装置、***及电子设备,包括:客户端在首次访问一个大数据组件时,需要通过安全认证服务器的安全认证来获取授权票据。然后客户端基于该授权票据可以从票据授权服务器获取该待访问的大数据组件的服务票据,并基于服务票据访问该大数据组件。在客户端访问另一个大数据组件时,由于该客户端已经拥有授权票据,所以不再需要进行安全认证,可以直接基于授权票据获取另一个大数据组件的服务票据,基于另一个大数据组件的服务票据来访问另一个大数据组件。由此实现了只需一次安全认证,就可以实现多个大数据组件的访问,所以提高了在访问多个大数据组件时的安全认证效率。

Description

一种大数据组件的访问方法、装置、***及电子设备
技术领域
本申请涉及计算机通信领域,尤其涉及一种大数据组件的访问方法、装置、***及电子设备。
背景技术
大数据组件是指与大数据技术相关的组件,比如大数据组件可包括:Hadoop(分布式文件***)组件、Hbase(分布式数据存储)组件、Kafka(高吞吐量的分布式发布订阅消息***)组件、Zookeeper(分布式应用程序协调服务)组件、ElasticSearch(高度可伸缩的开源搜索和分析引擎)组件等。
为了防止非法节点访问大数据组件,需要对访问大数据组件的访问请求进行安全认证。现有的安全认证方式是,为大数据平台上的每个大数据组件开发一套安全认证方式。客户端每访问一个大数据安全组件就需要进行一次安全认证,从而大大降低了安全认证效率。
发明内容
有鉴于此,本申请提供一种大数据组件的访问方法、装置、***及电子设备,用以提高用户在访问多个大数据组件时的安全认证的效率。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种大数据组件的访问方法,所述方法应用于设置在客户端和至少一个大数据组件之间的鉴权服务器,包括:
接收来自所述客户端发送的访问请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识;
若所述大数据组件标识为指定组件标识,则,
当所述访问请求中携带与该大数据组件标识对应的服务票据时,若对所述访问请求的鉴权通过,则将所述访问请求发送给所述大数据组件,以由所述大数据组件响应所述访问请求;
当所述访问请求中未携带与该大数据组件标识对应的服务票据时,则将所述访问请求发送至票据授权服务器;所述票据授权服务器用于触发所述客户端发送票据请求,并在确定接收到的票据请求携带了为该用户信息分配的授权票据时,向所述客户端返回所述服务票据,否则,将所述用户信息转发至安全认证服务器以触发所述安全认证服务器在所述用户信息通过验证后分配所述授权票据给客户端;所述服务票据为所述大数据组件注册至票据授权服务器时由所述票据授权服务器生成的;所述安全认证服务器、所述票据授权服务器设置在所述客户端和至少一个大数据组件之间。
可选的,所述方法还包括:
若所述大数据组件标识不是指定组件标识,则在对所述访问请求的鉴权通过时,将该访问请求发送给所述大数据组件,以由所述大数据组件基于本地配置的门卫插件对该访问请求携带的用户信息进行安全认证,在安全认证通过后响应该访问请求。
可选的,所述对所述访问请求进行鉴权,包括:
在已记录的用户信息与租户组的对应关系,确定是否存在所述访问请求携带的用户信息对应的租户组;
若存在,则在预设的租户组与可访问组件标识的对应关系中,查找该确定出的租户组对应的可访问组件标识;
若查找到的可访问组件标识包括所述大数据组件标识,则确定所述访问请求的鉴权处理通过;
若查找到的可访问组件标识不包括所述大数据组件标识,则确定所述访问请求的鉴权处理不通过。
可选的,所述方法还包括:
若不存在所述访问请求携带的用户信息对应的租户组,则触发所述客户端发送所述用户信息对应的租户组,并在所述用户信息与租户组的对应关系中,添加所述访问请求携带的用户信息及其对应的租户组。
根据本申请的第二方面,提供一种大数据组件的访问方法,所述方法应用于设置在客户端和至少一个大数据组件之间的安全认证服务器,包括:
接收票据授权服务器发送的用户信息;所述用户信息是所述票据授权服务器在确定来自于所述客户端的票据请求未携带与该用户信息对应的授权票据时发送的;所述票据请求是所述授权服务器在接收到鉴权服务器转发的来自于所述客户端的访问请求后,触发所述客户端发送的;所述访问请求是所述鉴权服务器在确定来自于客户端的访问请求未携带与该访问请求中的大数据组件标识对应的服务票据时发送的;
对所述用户信息进行安全认证;
在所述安全认证通过时,为该用户信息分配授权票据,并将该授权票据返回给客户端;所述授权票据用于触发所述客户端基于所述授权票据从所述票据授权服务器获取所述大数据组件标识对应的服务票据;所述服务票据用于触发所述客户端基于该服务票据访问所述大数据组件标识对应的大数据组件;
所述鉴权服务器、所述票据授权服务器设置在所述客户端和至少一个大数据组件之间。
可选的,所述方法还包括:
在安全认证不通过的情况下,向所述客户端返回安全认证不通过的指示信息。
根据本申请的第三方面,提供一种大数据组件的访问方法,所述方法应用于设置在客户端和至少一个大数据组件之间的票据授权服务器,包括:
在接收鉴权服务器转发的来自于所述客户端的访问请求时,触发所述客户端发送票据请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识;所述访问请求是所述鉴权服务器在确定所述访问请求未携带与所述大数据组件标识对应的服务票据时发送的;
接收来自于所述客户端的票据请求;
若该票据请求携带了为该用户信息分配的授权票据,则将所述大数据组件标识对应的服务票据返回给所述客户端;所述服务票据为所述大数据组件注册至所述票据授权服务器时由所述票据授权服务器生成的;所述服务票据用于触发客户端基于所述服务票据访问所述大数据组件;
若该票据请求未携带为该用户信息分配的授权票据,则将所述用户信息转发至安全认证服务器以触发安全认证服务器在所述用户信息通过验证后分配所述授权票据给客户端;所述授权票据用于触发所述客户端基于所述授权票据从所述票据授权服务器获取所述服务票据。
根据本申请的第四方面,提供一种大数据组件的访问***,所述访问***包括:客户端、至少一个大数据组件、以及在所述客户端和所述至少一个大数据组件之间设置的鉴权服务器、安全认证服务器以及票据授权服务器;
所述鉴权服务器,用于接收来自所述客户端发送的访问请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识;若所述大数据组件标识为指定组件标识,则当所述访问请求中携带与该大数据组件标识对应的服务票据时,若对所述访问请求的鉴权通过,则将所述访问请求发送给所述大数据组件,以由所述大数据组件响应所述访问请求;当所述访问请求中未携带与该大数据组件标识对应的服务票据时,则将所述访问请求发送至票据授权服务器;
所述票据授权服务器,用于在接收到所述访问请求时,触发所述客户端发送票据请求,并接收客户端发送的票据请求,若该接收到的票据请求携带了为该用户信息分配的授权票据,则将所述大数据组件标识对应的服务票据返回给所述客户端,以由所述客户端基于所述服务票据访问所述大数据组件;若该票据请求未携带为该用户信息分配的授权票据,则将所述用户信息转发至安全认证服务器;
所述安全认证服务器,用于在接收到所述用户信息时,对所述用户信息进行安全认证,在所述安全认证通过时,为该用户信息分配用于获取服务票据的授权票据,并将该授权票据返回给客户端,以使所述客户端基于所述授权票据从所述票据授权服务器获取所述大数据组件标识对应的服务票据,基于获取的服务票据访问所述大数据组件标识对应的大数据组件。
根据本申请的第五方面,提供一种大数据组件的访问装置,所述装置应用于设置在客户端和至少一个大数据组件之间的鉴权服务器,包括:
接收单元,用于接收来自所述客户端发送的访问请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识;
第一转发单元,用于若所述大数据组件标识为指定组件标识,则当所述访问请求中携带与该大数据组件标识对应的服务票据时,若对所述访问请求的鉴权通过,则将所述访问请求发送给所述大数据组件,以由所述大数据组件响应所述访问请求;
第二转发单元,用于若所述大数据组件标识为指定组件标识,则当所述访问请求中未携带与该大数据组件标识对应的服务票据时,则将所述访问请求发送至票据授权服务器;所述票据授权服务器用于触发所述客户端发送票据请求,并在确定接收到的票据请求携带了为该用户信息分配的授权票据时,向所述客户端返回所述服务票据,否则,将所述用户信息转发至安全认证服务器以触发所述安全认证服务器在所述用户信息通过验证后分配所述授权票据给客户端;所述服务票据为所述大数据组件注册至票据授权服务器时由所述票据授权服务器生成的;所述安全认证服务器、所述票据授权服务器设置在所述客户端和至少一个大数据组件之间。
根据本申请的第六方面,提供一种大数据组件的访问装置,所述装置应用于设置在客户端和至少一个大数据组件之间的安全认证服务器,包括:
接收单元,用于接收票据授权服务器发送的用户信息;所述用户信息是所述票据授权服务器在确定来自于所述客户端的票据请求未携带与该用户信息对应的授权票据时发送的;所述票据请求是所述授权服务器在接收到鉴权服务器转发的来自于所述客户端的访问请求后,触发所述客户端发送的;所述访问请求是所述鉴权服务器在确定来自于客户端的访问请求未携带与该访问请求中的大数据组件标识对应的服务票据时发送的;
认证单元,用于对所述用户信息进行安全认证;
分配单元,用于在所述安全认证通过时,为该用户信息分配授权票据,并将该授权票据返回给客户端;所述授权票据用于触发所述客户端基于所述授权票据从所述票据授权服务器获取所述大数据组件标识对应的服务票据;所述服务票据用于触发所述客户端基于该服务票据访问所述大数据组件标识对应的大数据组件;
所述鉴权服务器、所述票据授权服务器设置在所述客户端和至少一个大数据组件之间。
根据本申请的第七方面,提供一种大数据组件的访问装置,所述装置应用于设置在客户端和至少一个大数据组件之间的票据授权服务器,包括:
触发单元,用于在接收鉴权服务器转发的来自于所述客户端的访问请求时,触发所述客户端发送票据请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识;所述访问请求是所述鉴权服务器在确定所述访问请求未携带与所述大数据组件标识对应的服务票据时发送的;
接收单元,用于接收来自于所述客户端的票据请求;
返回单元,用于若该票据请求携带了为该用户信息分配的授权票据,则将所述大数据组件标识对应的服务票据返回给所述客户端;所述服务票据为所述大数据组件注册至所述票据授权服务器时由所述票据授权服务器生成的;所述服务票据用于触发客户端基于所述服务票据访问所述大数据组件;
转发单元,用于若该票据请求未携带为该用户信息分配的授权票据,则将所述用户信息转发至安全认证服务器以触发安全认证服务器在所述用户信息通过验证后分配所述授权票据给客户端;所述授权票据用于触发所述客户端基于所述授权票据从所述票据授权服务器获取所述服务票据。
根据本申请的第八方面,提供一种鉴权服务器,所述鉴权服务器包括可读存储介质和处理器;
其中,所述可读存储介质,用于存储机器可执行指令;
所述处理器,用于读取所述可读存储介质上的所述机器可执行指令,并执行所述指令以实现第一方面所述方法的步骤。
根据本申请的第九方面,提供一种安全认证服务器,所述安全认证服务器包括可读存储介质和处理器;
其中,所述可读存储介质,用于存储机器可执行指令;
所述处理器,用于读取所述可读存储介质上的所述机器可执行指令,并执行所述指令以实现第二方面所述方法的步骤。
根据本申请的第十方面,提供一种票据授权服务器,所述票据授权服务器包括可读存储介质和处理器;
其中,所述可读存储介质,用于存储机器可执行指令;
所述处理器,用于读取所述可读存储介质上的所述机器可执行指令,并执行所述指令以实现第三方面所述方法的步骤。
由上述描述可知,客户端在首次访问一个大数据组件时,由于客户端上不存在授权票据,所以客户端需要通过安全认证服务器的安全认证来获取授权票据。然后客户端基于该授权票据可以从票据授权服务器获取该待访问的大数据组件的服务票据,并基于服务票据访问该大数据组件。在客户端访问另一个大数据组件时,由于该客户端已经拥有授权票据,所以不再需要进行安全认证,可以直接基于授权票据获取另一个大数据组件的服务票据,基于另一个大数据组件的服务票据来访问另一个大数据组件。由此实现了只需一次安全认证,就可以实现多个大数据组件的访问,所以提高了在访问多个大数据组件时的安全认证效率。
附图说明
图1是本申请一示例性实施例示出的一种大数据组件访问***的组网架构图;
图2是本申请一示例性实施例示出的一种大数据组件的访问方法的流程图;
图3是本申请一示例性实施例示出的一种大数据组件的访问方法的流程图;
图4是本申请一示例性实施例示出的一种大数据组件的访问方法的流程图;
图5是本申请一示例性实施例示出的一种鉴权服务器的硬件结构图;
图6是本申请一示例性实施例示出的与图5对应的一种大数据组件的访问装置的框图;
图7是本申请一示例性实施例示出的一种安全认证服务器的硬件结构图;
图8是本申请一示例性实施例示出的与图7对应的一种大数据组件的访问装置的框图;
图9是本申请一示例性实施例示出的一种票据授权服务器的硬件结构图;
图10是本申请一示例性实施例示出的与图9对应的一种大数据组件的访问装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请旨在提出一种大数据组件的访问方法,用于提高客户端访问多个大数据组件时的安全认证效率。
具体地,在本申请中,在客户端与至少一个大数据组件之间设置了鉴权服务器、安全认证服务器和票据授权服务器。
鉴权服务器在接收到客户端发送的、携带有待访问的大数据组件标识和用户信息的访问请求时,若确定该大数据组件标识为指定标识、且待访问请求未携带该大数据组件标识对应的服务票据时,将该访问请求发送给票据授权服务器,以由票据授权服务器在确定所述客户端不存在该用户信息对应的授权票据时,将用户信息发送给安全认证服务器,以由安全认证服务器在对该用户信息认证通过后,为该用户信息分配授权票据并发送给客户端,以由客户端从票据授权服务器获取该大数据组件标识对应的服务票据。若票据授权服务器在接收到访问请求时,确定该客户端存在该用户信息对应的授权票据,则将该大数据组件标识对应的服务票据返回给客户端,以由所述客户端基于该服务票据访问该大数据组件。
由上述描述可以看出,客户端在首次访问一个大数据组件时,由于客户端上不存在授权票据,所以客户端需要通过安全认证服务器的安全认证来获取授权票据。然后客户端基于该授权票据可以从票据授权服务器获取该待访问的大数据组件的服务票据,并基于服务票据访问该大数据组件。在客户端访问另一个大数据组件时,由于该客户端已经拥有授权票据,所以不再需要进行安全认证,可以直接基于授权票据获取另一个大数据组件的服务票据,基于另一个大数据组件的服务票据来访问另一个大数据组件。由此实现了只需一次安全认证,就可以实现多个大数据组件的访问,所以提高了在访问多个大数据组件时的安全认证效率。
此外,在本申请中,客户端在首次访问一个大数据组件时,需要通过安全认证服务器的安全认证,获取到授权票据。然后客户端基于该授权票据可以从票据授权服务器获取该大数据组件的服务票据,并基于服务票据访问该大数据组件。当该客户端再次访问该大数据组件时,由于该客户端已经拥有该大数据组件的服务票据,所以无需安全认证和鉴权,可以直接访问该大数据组件,从而提高了大数据组件的访问效率。
参见图1,图1是本申请一示例性实施例示出的一种大数据组件访问***的组网架构图。
该访问***包括:客户端、至少一个大数据组件、以及设置在客户端和至少一个大数据组件之间的安全认证服务器、票据授权服务器、鉴权服务器。当然,在实际应用中,该访问***还可包括其他设备,这里只是对该访问***进行示例性地说明,不对其进行具体地限定。
其中,上述大数据组件,为客户端提供客户端所访问的服务资源。比如,该大数据组件可以是具有各种大数据服务的服务器,服务器集群等。比如该大数据组件包括:Hadoop组件、Hbase组件、Kafka组件、Zookeeper组件、ElasticSearch组件等,这里只是示例性地说明,不对其进行具体地限定。
上述安全认证服务器和票据授权服务器可以集成在Kerberos(一种基于对称密钥技术的身份认证协议)服务中,依据Kerberos协议执行各自的操作。比如,上述安全认证服务器是Kerberos服务中的AS(authentication service,认证服务)服务器,上述票据授权服务器是上述Kerberos服务中的TGS(ticket granting service,票据授权服务)服务器。
在本申请中,安全认证服务器和票据授权服务器的实体形态与Kerberos服务的实体形态相关。比如,若Kerberos服务是由Kerberos服务器搭建,安全认证服务器和票据授权服务器可以是Kerberos服务器中的虚机。再比如,Kerberos服务是由多个服务器搭建的服务器集群,则安全认证服务器和票据授权服务器是该服务器集群中的服务器。当然,在实际应用中,该安全认证服务器和票据授权服务器也可以是不依托于Kerberos协议而独立开发的安全认证服务器和票据授权服务器,这里不进行具体地限定。
可选的,为了保证安全认证服务和票据授权服务地稳定,在设置安全认证服务器时,可设置至少一个安全认证服务器,其中一个安全认证服务器为主安全认证服务器,其他安全认证服务器为备安全认证服务器。在主安全认证服务器正常时,由主安全认证服务器进行安全认证等操作。在主安全认证服务器异常时,由备安全认证服务器代替主安全认证服务器进行安全认证操作。
同样地,在设置票据授权服务器时,可设置至少一个票据授权服务器。其中一个票据授权服务器为主票据授权服务器,其他票据授权服务器为备票据授权服务器。在主票据授权服务器正常时,由主票据授权服务器进行服务票据分发操作。在主票据授权服务器异常时,由备票据授权服务器代替主票据授权服务器进行服务票据分发操作。
上述鉴权服务器,用于为用户分配权限,以及对用户的访问请求进行鉴权操作。该鉴权服务器可以是LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)服务器,也可以是其他鉴权服务器,这里只是示例性地说明,不对其进行具体地限定。
下面对本申请提供的大数据组件的访问方法进行详细地说明。
参见图2,图2是本申请一示例性实施例示出的一种大数据组件的访问方法的流程图,该方法可应用在鉴权服务器,可包括如下所示步骤:
步骤201:鉴权服务器接收来自所述客户端发送的访问请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识。
在用户需要访问大数据组件时,用户可通过客户端向鉴权服务器发送访问请求。该访问请求中携带了用户信息、以及待访问的大数据组件的大数据组件标识。当然,该访问请求里还可携带其他信息,这里只是对访问请求进行示例性地说明,不对其进行具体地限定。
其中,用户信息是指与使用该客户端的用户相关的信息,可包括:用户名、密码等。这里只是对用户信息进行示例性地说明,不对其进行具体地限定。
步骤202:鉴权服务器若确定大数据组件标识为指定组件标识,则在当所述访问请求中携带与该大数据组件标识对应的服务票据时,若对所述访问请求的鉴权通过,则将所述访问请求发送给所述大数据组件,以由所述大数据组件响应所述访问请求;在当所述访问请求中未携带与该大数据组件标识对应的服务票据时,则将所述访问请求发送至票据授权服务器;所述票据授权服务器用于触发所述客户端发送票据请求,并在接收到的票据请求携带了为该用户信息分配的授权票据时,向所述客户端返回所述服务票据,否则,将所述用户信息转发至安全认证服务器以触发安全认证服务器在所述用户信息通过验证后分配所述授权票据给客户端;所述服务票据为所述大数据组件注册至票据授权服务器时由所述票据授权服务器生成的;所述安全认证服务器、所述票据授权服务器设置在所述客户端和至少一个大数据组件之间。
在本申请中,由于安全认证服务器可能并不支持所有大数据组件的安全认证,或者有些大数据组件在安全认证服务器上认证的效果不好,所以鉴权服务器上设置了指定组件列表。该指定组件列表里包括可以在安全认证服务器上进行安全认证的大数据组件标识。这里将指组件列表里记录的大数据组件标识称为指定组件标识。
在本申请实施例中,若访问请求携带的大数据组件标识为指定标识,则在首次访问大数据组件时,由安全认证服务器完成对该访问请求携带的用户信息的安全认证。若该访问请求携带的大数据组件标识不是指定标识,则由该大数据组件对该访问请求携带的用户信息进行安全认证。
下面具体介绍下安全认证的方式。
在实现时,鉴权服务器在接收到访问请求后,可检测该访问请求携带的大数据组件标识是否为指定组件标识。
1)若该访问请求携带的大数据标识不是指定组件标识。
在若该访问请求携带的大数据标识不是指定组件标识情况下,鉴权服务器若对所述访问请求的鉴权通过,则将该访问请求发送给该待访问的大数据组件。大数据组件可采用本地配置的门卫插件(Search-guard)对该访问请求携带的用户信息进行安全认证。在安全认证通过后,大数据组件可响应该访问请求,向客户端返回该客户端所访问的资源。在安全认证失败后,大数据组件可向客户端返回安全认证不通过的提示信息。
例如,Elasticsearch组件不支持基于Kerberos协议的安全认证,所以该Elasticsearch组件不是指定组件。
当鉴权服务器接收到客户端发送的访问请求中携带Elasticsearch组件标识,若鉴权服务器对该访问请求鉴权通过,则将该访问请求发送给Elasticsearch组件,以由Elasticsearch组件的门卫插件(Search-guard)对用户信息进行安全认证。在安全认证通过后,Elasticsearch组件可响应该访问请求,向客户端返回该客户端所访问的资源。在安全认证失败后,Elasticsearch组件可向客户端返回安全认证不通过的提示信息。
此外,在本申请实施例中,若该鉴权处理不通过,鉴权服务器可向客户端返回无访问权限的提示信息。
在确定访问请求的鉴权是否通过时,鉴权服务器上记录了已经通过鉴权的访问请求的特征信息(比如访问请求的五元组信息)。鉴权服务器可检测该访问请求是否与本地记录的特征信息匹配,若匹配,则确定该访问请求鉴权通过,若不匹配,则对该访问请求进行鉴权处理。
2)若该访问请求携带的大数据标识是指定组件标识
在该访问请求携带的大数据标识是指定组件标识的情况下,鉴权服务器可检测该访问请求中是否携带与该待访问的大数据组件标识对应的服务票据。
下面分两种情况对2)进行介绍。
情况一:访问请求中携带了与该待访问的大数据组件标识对应的服务票据。该情况表明客户端已经具有了该待访问的大数据组件的服务票据。
若访问请求中携带了与该待访问的大数据组件标识对应的服务票据,鉴权服务器若对所述访问请求的鉴权通过,则将该访问请求发送给该大数据组件,以由该大数据组件响应该访问请求。在鉴权处理不通过后,则向客户端返回无访问权限的提示信息。
其中,确定访问请求的鉴权是否通过与1)描述相同,这里不再赘述。
情况二:访问请求中未携带与该待访问的大数据组件标识对应的服务票据。该种情况下表明该客户端是首次访问该待访问的大数据组件,或者是客户端之前访问过该大数据组件,但是该大数据组件的服务票据被老化掉了。
若访问请求未携带该大数据组件标识对应的服务票据,鉴权服务器则将该访问请求转发给票据授权服务器。
票据授权服务器在接收到该访问请求后,可触发客户端发送票据请求。
需要说明的是,当客户端之前访问过任一指定大数据组件,则客户端上具有该授权票据。当客户端之前未访问过任何指定大数据组件,则客户端上不会具有该授权票据。当客户端具有已获得到的与该用户信息对应的授权票据(也被称为票据授权票据TGT,TicketGranting Ticket)时,客户端可向鉴权服务器发送的票据请求中携带授权票据。当该客户端未获得与该用户信息对应的授权票据时,客户端可向鉴权服务器发送的票据请求中未携带授权票据。
在本申请实施例中,上述指定大数据组件可在票据授权服务器上进行注册。在大数据组件在票据授权服务器上注册成功后时,票据授权服务器会生成与注册成功的大数据组件对应的服务票据。由此,票据服务器上会记录各大数据组件与服务票据的对应关系。
下面介绍下票据授权服务器在接收到票据请求后所要执行的操作:
在本申请实施例中,票据授权服务器在接收到客户端发送的票据请求后,可检测该票据请求是否携带了与该用户信息对应的授权票据。
若该票据请求携带了与该用户信息对应的授权票据,则在本地记录的大数据组件和服务票据的对应关系中,查找该访问请求携带的大数据组件标识对应的服务票据,并将查找到的服务票据返回给客户端。客户端基于返回的服务票据,重新生成访问请求。该重新生成的访问请求携带用户信息、待访问的大数据组件的大数据组件标识、以及与该大数据组件标识对应的服务票据。然后,客户端可将重新生成的访问请求发送给鉴权服务器。鉴权服务器在接收到该访问请求后,由于该大数据组件标识是指定组件标识,且该访问请求携带了该大数据组件标识对应的服务票据。所以,鉴权服务器在对该访问请求鉴权通过后,将该访问请求发送给该待访问的数据组件,以由该待访问的大数据组件响应该访问请求。
若该票据请求未携带与该用户信息对应的授权票据,则将该访问请求携带的用户信息发送给安全认证服务器。安全认证服务器可对该用户信息进行安全认证。在安全认证不通过时,安全认证服务器可向客户端返回安全认证不通过的提示消息。在安全认证通过时,安全认证服务器可为该用户信息分配授权票据,并将授权票据发送给客户端。客户端可以基于授权票据,构造携带有授权票据的票据请求,并将票据请求发送给票据授权服务器。
票据授权服务器在接收到该票据请求后,可执行上述“票据授权服务器在接收到票据请求后所要执行的操作”。即,票据授权服务器在接收到该票据请求后,由于该票据请求中携带来的该用户信息对应的授权票据,票据授权服务器可在本地记录的大数据组件和服务票据的对应关系中,查找该访问请求携带的大数据组件标识对应的服务票据,并将查找到的服务票据返回给客户端。客户端基于返回的服务票据,重新生成访问请求。该重新生成的访问请求携带用户信息、待访问的大数据组件的大数据组件标识、以及与该大数据组件标识对应的服务票据。然后,客户端可将重新生成的访问请求发送给鉴权服务器。鉴权服务器在接收到该访问请求后,由于该大数据组件标识是指定组件标识,且该访问请求携带了该大数据组件标识对应的服务票据。所以,鉴权服务器在对该访问请求鉴权通过后,将该访问请求发送给该待访问的数据组件,以由该待访问的大数据组件响应该访问请求。
此外,为了实现用户访问权限的隔离以及为了简化对于各用户访问权限的配置。鉴权服务器记录了租户组和访问权限的对应关系。在用户加入某一租户组后,即具有该租户组的访问权限。
在本申请实施例中,租户组可以在鉴权服务器上进行注册,然后在鉴权服务器上设置该租户组对应的可访问组件标识。鉴权服务器可以基于每个用户首次访问大数据组件的信息,建立用户信息与租户组之间的对应关系。当然,鉴权服务器还可以提前预配置各租户组与用户信息的对应关系。
其中,租户组包括至少一个用户。租户组可以是某一公司,某一部门等,用户可以是该公司中的员工等。这里只是对租户组和用户进行示例性地说明,不对其进行具体地限定。
下面介绍下“鉴权服务器对访问请求进行鉴权”的实现方式进行介绍。
在对访问请求进行鉴权时,鉴权服务器在已记录的用户信息与租户组的对应关系,确定是否存在所述访问请求携带的用户信息对应的租户组。
若已记录的用户信息与租户组的对应关系中,存在所述访问请求携带的用户信息对应的租户组,则表明该次访问为非首次访问。此时,鉴权服务器在预设的租户组与可访问组件标识的对应关系中,查找该确定出的租户组对应的可访问组件标识。若查找到的可访问组件标识包括所述大数据组件标识,鉴权服务器则确定所述访问请求的鉴权处理通过;若查找到的可访问组件标识不包括所述大数据组件标识,鉴权服务器则确定所述访问请求的鉴权处理不通过。
若已记录的用户信息与租户组的对应关系中,不存在所述访问请求携带的用户信息对应的租户组,则鉴权服务器触发所述客户端发送所述用户信息对应的租户组,并在所述用户信息与租户组的对应关系中,添加所述访问请求携带的用户信息及其对应的租户组。
例如,若已记录的用户信息与租户组的对应关系中,不存在所述访问请求携带的用户信息对应的租户组。此时,鉴权服务器向客户端返回提示消息,以提示用户输入该用户所属的租户组,并通过客户端将该用户所属的租户组发送给鉴权服务器,鉴权服务器可在所述用户信息与租户组的对应关系中,添加所述访问请求携带的用户信息及其对应的租户组。
此外,鉴权服务器还可在在预设的租户组与可访问组件标识的对应关系中,查找该确定出的租户组对应的可访问组件标识;若查找到的可访问组件标识包括所述大数据组件标识,鉴权服务器则确定所述访问请求的鉴权处理通过;若查找到的可访问组件标识不包括所述大数据组件标识,鉴权服务器则确定所述访问请求的鉴权处理不通过。
由上述描述可以看出,一方面,客户端在首次访问一个大数据组件时,由于客户端上不存在授权票据,所以客户端需要通过安全认证服务器的安全认证来获取授权票据。然后客户端基于该授权票据可以从票据授权服务器获取该待访问的大数据组件的服务票据,并基于服务票据访问该大数据组件。在客户端访问另一个大数据组件时,由于该客户端已经拥有授权票据,所以不再需要进行安全认证,可以直接基于授权票据获取另一个大数据组件的服务票据,基于另一个大数据组件的服务票据来访问另一个大数据组件。由此实现了只需一次安全认证,就可以实现多个大数据组件的访问,所以提高了在访问多个大数据组件时的安全认证效率。
另一方面,客户端在首次访问一个大数据组件时,需要通过安全认证服务器的安全认证,获取到授权票据。然后客户端基于该授权票据可以从票据授权服务器获取该大数据组件的服务票据,并基于服务票据访问该大数据组件。当该客户端再次访问该大数据组件时,由于该客户端已经拥有该大数据组件的服务票据,所以无需安全认证和鉴权,可以直接访问该大数据组件,从而提高了大数据组件的访问效率。
第三方面,鉴权服务器上预配置了租户组与访问权限的对应关系,在接收到用户首次访问请求时,将用户加入到该用户对应的租户组中,使得用户具有该租户组对应的访问权限,实现用户访问权限的隔离。
参见图3,图3是本申请一示例性实施例示出的一种大数据组件的访问方法的流程图,该方法可应用在安全认证服务器上,可包括如下所示步骤。
步骤301:安全认证服务器接收到票据授权服务器发送的用户信息;所述用户信息是所述票据授权服务器在确定来自于所述客户端的票据请求未携带与该用户信息对应的授权票据时发送的;所述票据请求是所述授权服务器在接收到鉴权服务器转发的来自于所述客户端的访问请求后,触发所述客户端发送的;所述访问请求是所述鉴权服务器在确定来自于客户端的访问请求未携带与该访问请求中的大数据组件标识对应的服务票据时发送的;
步骤302:安全认证服务器对所述用户信息进行安全认证;
步骤303:安全认证服务器在所述安全认证通过时,为该用户信息分配用于获取服务票据的授权票据,并将该授权票据返回给客户端,以使所述客户端基于所述授权票据从所述票据授权服务器获取所述大数据组件标识对应的服务票据,基于获取的服务票据访问所述大数据组件标识对应的大数据组件。
具体可参见上文步骤201至步骤202中的描述,这里不再赘述。
参见图4,图4是本申请一示例性实施例示出的一种大数据组件的访问方法的流程图,该方法可应用在票据授权服务器上,可包括如下所示步骤。
步骤401:票据授权服务器在接收鉴权服务器转发的来自于所述客户端的访问请求时,触发所述客户端发送票据请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识;所述访问请求是所述鉴权服务器在确定来自于所述客户端的访问请求未携带与所述大数据组件标识对应的服务票据时发送的;
步骤402:票据授权服务器接收来自于所述客户端的票据请求;
步骤403:若该票据请求携带了为该用户信息分配的授权票据,票据授权服务器则将所述大数据组件标识对应的服务票据返回给所述客户端;所述服务票据为所述大数据组件注册至所述票据授权服务器时由所述票据授权服务器生成的;所述服务票据用于触发客户端基于所述服务票据访问所述大数据组件;
步骤404:若该票据请求未携带为该用户信息分配的授权票据,票据授权服务器则将所述用户信息转发至安全认证服务器以触发安全认证服务器在所述用户信息通过验证后分配所述授权票据给客户端;所述授权票据用于触发所述客户端基于所述授权票据从所述票据授权服务器获取所述服务票据。
具体可参见上文步骤201至步骤202中的描述,这里不再赘述。
参见图5,图5是本申请一示例性实施例示出的一种鉴权服务器的硬件结构图。
该鉴权服务器包括:通信接口501、处理器502、机器可读存储介质503和总线504;其中,通信接口501、处理器502和机器可读存储介质503通过总线504完成相互间的通信。处理器502通过读取并执行机器可读存储介质503中与大数据组件的访问控制逻辑对应的机器可执行指令,可执行上文描述的大数据组件的访问方法。
本文中提到的机器可读存储介质503可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质503可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
参见图6,图6是本申请一示例性实施例示出的与图5对应的一种大数据组件的访问装置的框图,该装置包括:
接收单元601,用于接收来自所述客户端发送的访问请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识;
第一转发单元602,用于若所述大数据组件标识为指定组件标识,则当所述访问请求中携带与该大数据组件标识对应的服务票据时,若对所述访问请求的鉴权通过,则将所述访问请求发送给所述大数据组件,以由所述大数据组件响应所述访问请求;
第二转发单元603,用于若所述大数据组件标识为指定组件标识,则当所述访问请求中未携带与该大数据组件标识对应的服务票据时,则将所述访问请求发送至票据授权服务器;所述票据授权服务器用于触发所述客户端发送票据请求,并在确定接收到的票据请求携带了为该用户信息分配的授权票据时,向所述客户端返回所述服务票据,否则,将所述用户信息转发至安全认证服务器以触发所述安全认证服务器在所述用户信息通过验证后分配所述授权票据给客户端;所述服务票据为所述大数据组件注册至票据授权服务器时由所述票据授权服务器生成的;所述安全认证服务器、所述票据授权服务器设置在所述客户端和至少一个大数据组件之间。
可选的,所述第二转发单元602,还用于若所述大数据组件标识不是指定组件标识,则在对所述访问请求的鉴权通过时,将该访问请求发送给所述大数据组件,以由所述大数据组件基于本地配置的门卫插件对该访问请求携带的用户信息进行安全认证,在安全认证通过后响应该访问请求。
可选的,所述第二转发单元602,在对所述访问请求进行鉴权时,用于在已记录的用户信息与租户组的对应关系,确定是否存在所述访问请求携带的用户信息对应的租户组;
若存在,则在预设的租户组与可访问组件标识的对应关系中,查找该确定出的租户组对应的可访问组件标识;
若查找到的可访问组件标识包括所述大数据组件标识,则确定所述访问请求的鉴权处理通过;
若查找到的可访问组件标识不包括所述大数据组件标识,则确定所述访问请求的鉴权处理不通过。
可选的,所述第二转发单元602,在对所述访问请求进行鉴权时,还用于若不存在所述访问请求携带的用户信息对应的租户组,则触发所述客户端发送所述用户信息对应的租户组,并在所述用户信息与租户组的对应关系中,添加所述访问请求携带的用户信息及其对应的租户组。
参见图7,图7是本申请一示例性实施例示出的一种安全认证服务器的硬件结构图。
该安全认证服务器包括:通信接口701、处理器702、机器可读存储介质703和总线704;其中,通信接口701、处理器702和机器可读存储介质703通过总线704完成相互间的通信。处理器702通过读取并执行机器可读存储介质703中与大数据组件的访问控制逻辑对应的机器可执行指令,可执行上文描述的大数据组件的访问方法。
本文中提到的机器可读存储介质703可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质703可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
参见图8,图8是本申请一示例性实施例示出的与图7对应的一种大数据组件的访问装置的框图。该装置可应用在设置在客户端和至少一个大数据组件之间的安全认证服务器,包括:
接收单元801,用于接收票据授权服务器发送的用户信息;所述用户信息是所述票据授权服务器在确定来自于所述客户端的票据请求未携带与该用户信息对应的授权票据时发送的;所述票据请求是所述授权服务器在接收到鉴权服务器转发的来自于所述客户端的访问请求后,触发所述客户端发送的;所述访问请求是所述鉴权服务器在确定来自于客户端的访问请求未携带与该访问请求中的大数据组件标识对应的服务票据时发送的;
认证单元802,用于对所述用户信息进行安全认证;
分配单元803,用于在所述安全认证通过时,为该用户信息分配授权票据,并将该授权票据返回给客户端;所述授权票据用于触发所述客户端基于所述授权票据从所述票据授权服务器获取所述大数据组件标识对应的服务票据;所述服务票据用于触发所述客户端基于该服务票据访问所述大数据组件标识对应的大数据组件;
所述鉴权服务器、所述票据授权服务器设置在所述客户端和至少一个大数据组件之间。
可选的,所述装置还包括:
返回单元804,用于在安全认证不通过的情况下,向所述客户端返回安全认证不通过的指示信息。
参见图9,图9是本申请一示例性实施例示出的一种票据授权服务器的硬件结构图。
该票据授权服务器包括:通信接口901、处理器902、机器可读存储介质903和总线904;其中,通信接口901、处理器902和机器可读存储介质903通过总线904完成相互间的通信。处理器902通过读取并执行机器可读存储介质903中与大数据组件的访问控制逻辑对应的机器可执行指令,可执行上文描述的大数据组件的访问方法。
本文中提到的机器可读存储介质903可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质903可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
参见图10,图10是本申请一示例性实施例示出的与图9对应的一种大数据组件的访问装置的框图。所述装置应用于设置在客户端和至少一个大数据组件之间的票据授权服务器,包括:
触发单元1001,用于在接收鉴权服务器转发的来自于所述客户端的访问请求时,触发所述客户端发送票据请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识;所述访问请求是所述鉴权服务器在确定所述访问请求未携带与所述大数据组件标识对应的服务票据时发送的;
接收单元1002,用于接收来自于所述客户端的票据请求;
返回单元1003,用于若该票据请求携带了为该用户信息分配的授权票据,则将所述大数据组件标识对应的服务票据返回给所述客户端;所述服务票据为所述大数据组件注册至所述票据授权服务器时由所述票据授权服务器生成的;所述服务票据用于触发客户端基于所述服务票据访问所述大数据组件;
转发单元1004,用于若该票据请求未携带为该用户信息分配的授权票据,则将所述用户信息转发至安全认证服务器以触发安全认证服务器在所述用户信息通过验证后分配所述授权票据给客户端;所述授权票据用于触发所述客户端基于所述授权票据从所述票据授权服务器获取所述服务票据。
此外,本申请还提供一种大数据组件访问***,该访问***包括:客户端、至少一个大数据组件、以及在所述客户端和所述至少一个大数据组件之间设置的鉴权服务器、安全认证服务器以及票据授权服务器。
其中,所述鉴权服务器,用于接收来自所述客户端发送的访问请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识;若所述大数据组件标识为指定组件标识,则当所述访问请求中携带与该大数据组件标识对应的服务票据时,对所述访问请求进行鉴权,并在鉴权通过时,将所述访问请求发送给所述大数据组件,以由所述大数据组件响应所述访问请求;当所述访问请求中未携带与该大数据组件标识对应的服务票据时,则将所述访问请求发送至票据授权服务器;
所述票据授权服务器,用于在接收到所述访问请求时,触发所述客户端发送票据请求,并接收客户端发送的票据请求,若该接收到的票据请求携带了为该用户信息分配的授权票据,则将所述大数据组件标识对应的服务票据返回给所述客户端,以由所述客户端基于所述服务票据访问所述大数据组件;若该票据请求未携带为该用户信息分配的授权票据,则将所述用户信息转发至安全认证服务器;
所述安全认证服务器,用于在接收到所述用户信息时,对所述用户信息进行安全认证,在所述安全认证通过时,为该用户信息分配用于获取服务票据的授权票据,并将该授权票据返回给客户端,以使所述客户端基于所述授权票据从所述票据授权服务器获取所述大数据组件标识对应的服务票据,基于获取的服务票据访问所述大数据组件标识对应的大数据组件。
可选的,所述鉴权服务器,还用于若所述大数据组件标识不是指定组件标识,则对所述访问请求进行鉴权,并在鉴权通过时,将该访问请求发送给所述大数据组件,以由所述大数据组件基于本地配置的门卫插件对该访问请求携带的用户信息进行安全认证,在安全认证通过后响应该访问请求。
可选的,所述鉴权服务器,在对所述访问请求进行鉴权时,用于在已记录的用户信息与租户组的对应关系,确定是否存在所述访问请求携带的用户信息对应的租户组;若存在,则在预设的租户组与可访问组件标识的对应关系中,查找该确定出的租户组对应的可访问组件标识;若查找到的可访问组件标识包括所述大数据组件标识,则确定所述访问请求的鉴权处理通过;若查找到的可访问组件标识不包括所述大数据组件标识,则确定所述访问请求的鉴权处理不通过。
可选的,所述鉴权服务器,在对所述访问请求进行鉴权时,还用于若不存在所述访问请求携带的用户信息对应的租户组,则触发所述客户端发送所述用户信息对应的租户组,并在所述用户信息与租户组的对应关系中,添加所述访问请求携带的用户信息及其对应的租户组。
可选的,所述安全认证服务器,还用于在安全认证不通过的情况下,向所述客户端返回安全认证不通过的指示信息。
可选的,所述鉴权服务器,还用于在鉴权不同过时,向所述客户端返回无权限访问的提示信息。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (14)

1.一种大数据组件的访问方法,其特征在于,所述方法应用于设置在客户端和至少一个大数据组件之间的鉴权服务器,包括:
接收来自所述客户端发送的访问请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识;
若所述大数据组件标识为指定组件标识,则,
当所述访问请求中携带与该大数据组件标识对应的服务票据时,若对所述访问请求的鉴权通过,则将所述访问请求发送给所述大数据组件,以由所述大数据组件响应所述访问请求;
当所述访问请求中未携带与该大数据组件标识对应的服务票据时,则将所述访问请求发送至票据授权服务器;所述票据授权服务器用于触发所述客户端发送票据请求,并在确定接收到的票据请求携带了为该用户信息分配的授权票据时,向所述客户端返回所述服务票据,否则,将所述用户信息转发至安全认证服务器以触发所述安全认证服务器在所述用户信息通过验证后分配所述授权票据给客户端;所述服务票据为所述大数据组件注册至票据授权服务器时由所述票据授权服务器生成的;所述安全认证服务器、所述票据授权服务器设置在所述客户端和至少一个大数据组件之间。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述大数据组件标识不是指定组件标识,则在对所述访问请求的鉴权通过时,将该访问请求发送给所述大数据组件,以由所述大数据组件基于本地配置的门卫插件对该访问请求携带的用户信息进行安全认证,在安全认证通过后响应该访问请求。
3.根据权利要求1或2所述的方法,其特征在于,对所述访问请求的鉴权通过如下方式实现:
在已记录的用户信息与租户组的对应关系,确定是否存在所述访问请求携带的用户信息对应的租户组;
若存在,则在预设的租户组与可访问组件标识的对应关系中,查找该确定出的租户组对应的可访问组件标识;
若查找到的可访问组件标识包括所述大数据组件标识,则确定所述访问请求的鉴权处理通过;
若查找到的可访问组件标识不包括所述大数据组件标识,则确定所述访问请求的鉴权处理不通过。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
若不存在所述访问请求携带的用户信息对应的租户组,则触发所述客户端发送所述用户信息对应的租户组,并在所述用户信息与租户组的对应关系中,添加所述访问请求携带的用户信息及其对应的租户组。
5.一种大数据组件的访问方法,其特征在于,所述方法应用于设置在客户端和至少一个大数据组件之间的安全认证服务器,包括:
接收票据授权服务器发送的用户信息;所述用户信息是所述票据授权服务器在确定来自于所述客户端的票据请求未携带与该用户信息对应的授权票据时发送的;所述票据请求是所述授权服务器在接收到鉴权服务器转发的来自于所述客户端的访问请求后,触发所述客户端发送的;所述访问请求是所述鉴权服务器在确定来自于客户端的访问请求未携带与该访问请求中的大数据组件标识对应的服务票据时发送的;
对所述用户信息进行安全认证;
在所述安全认证通过时,为该用户信息分配授权票据,并将该授权票据返回给客户端;所述授权票据用于触发所述客户端基于所述授权票据从所述票据授权服务器获取所述大数据组件标识对应的服务票据;所述服务票据用于触发所述客户端基于该服务票据访问所述大数据组件标识对应的大数据组件;
所述鉴权服务器、所述票据授权服务器设置在所述客户端和至少一个大数据组件之间。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在安全认证不通过的情况下,向所述客户端返回安全认证不通过的指示信息。
7.一种大数据组件的访问方法,其特征在于,所述方法应用于设置在客户端和至少一个大数据组件之间的票据授权服务器,包括:
在接收鉴权服务器转发的来自于所述客户端的访问请求时,触发所述客户端发送票据请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识;所述访问请求是所述鉴权服务器在确定所述访问请求未携带与所述大数据组件标识对应的服务票据时发送的;
接收来自于所述客户端的票据请求;
若该票据请求携带了为该用户信息分配的授权票据,则将所述大数据组件标识对应的服务票据返回给所述客户端;所述服务票据为所述大数据组件注册至所述票据授权服务器时由所述票据授权服务器生成的;所述服务票据用于触发客户端基于所述服务票据访问所述大数据组件;
若该票据请求未携带为该用户信息分配的授权票据,则将所述用户信息转发至安全认证服务器以触发安全认证服务器在所述用户信息通过验证后分配所述授权票据给客户端;所述授权票据用于触发所述客户端基于所述授权票据从所述票据授权服务器获取所述服务票据。
8.一种大数据组件的访问***,其特征在于,所述访问***包括:客户端、至少一个大数据组件、以及在所述客户端和所述至少一个大数据组件之间设置的鉴权服务器、安全认证服务器以及票据授权服务器;
所述鉴权服务器,用于接收来自所述客户端发送的访问请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识;若所述大数据组件标识为指定组件标识,则当所述访问请求中携带与该大数据组件标识对应的服务票据时,若对所述访问请求的鉴权通过,则将所述访问请求发送给所述大数据组件,以由所述大数据组件响应所述访问请求;当所述访问请求中未携带与该大数据组件标识对应的服务票据时,则将所述访问请求发送至票据授权服务器;
所述票据授权服务器,用于在接收到所述访问请求时,触发所述客户端发送票据请求,并接收客户端发送的票据请求,若该接收到的票据请求携带了为该用户信息分配的授权票据,则将所述大数据组件标识对应的服务票据返回给所述客户端,以由所述客户端基于所述服务票据访问所述大数据组件;若该票据请求未携带为该用户信息分配的授权票据,则将所述用户信息转发至安全认证服务器;
所述安全认证服务器,用于在接收到所述用户信息时,对所述用户信息进行安全认证,在所述安全认证通过时,为该用户信息分配用于获取服务票据的授权票据,并将该授权票据返回给客户端,以使所述客户端基于所述授权票据从所述票据授权服务器获取所述大数据组件标识对应的服务票据,基于获取的服务票据访问所述大数据组件标识对应的大数据组件。
9.一种大数据组件的访问装置,其特征在于,所述装置应用于设置在客户端和至少一个大数据组件之间的鉴权服务器,包括:
接收单元,用于接收来自所述客户端发送的访问请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识;
第一转发单元,用于若所述大数据组件标识为指定组件标识,则当所述访问请求中携带与该大数据组件标识对应的服务票据时,若对所述访问请求的鉴权通过,则将所述访问请求发送给所述大数据组件,以由所述大数据组件响应所述访问请求;
第二转发单元,用于若所述大数据组件标识为指定组件标识,则当所述访问请求中未携带与该大数据组件标识对应的服务票据时,则将所述访问请求发送至票据授权服务器;所述票据授权服务器用于触发所述客户端发送票据请求,并在确定接收到的票据请求携带了为该用户信息分配的授权票据时,向所述客户端返回所述服务票据,否则,将所述用户信息转发至安全认证服务器以触发所述安全认证服务器在所述用户信息通过验证后分配所述授权票据给客户端;所述服务票据为所述大数据组件注册至票据授权服务器时由所述票据授权服务器生成的;所述安全认证服务器、所述票据授权服务器设置在所述客户端和至少一个大数据组件之间。
10.一种大数据组件的访问装置,其特征在于,所述装置应用于设置在客户端和至少一个大数据组件之间的安全认证服务器,包括:
接收单元,用于接收票据授权服务器发送的用户信息;所述用户信息是所述票据授权服务器在确定来自于所述客户端的票据请求未携带与该用户信息对应的授权票据时发送的;所述票据请求是所述授权服务器在接收到鉴权服务器转发的来自于所述客户端的访问请求后,触发所述客户端发送的;所述访问请求是所述鉴权服务器在确定来自于客户端的访问请求未携带与该访问请求中的大数据组件标识对应的服务票据时发送的;
认证单元,用于对所述用户信息进行安全认证;
分配单元,用于在所述安全认证通过时,为该用户信息分配授权票据,并将该授权票据返回给客户端;所述授权票据用于触发所述客户端基于所述授权票据从所述票据授权服务器获取所述大数据组件标识对应的服务票据;所述服务票据用于触发所述客户端基于该服务票据访问所述大数据组件标识对应的大数据组件;
所述鉴权服务器、所述票据授权服务器设置在所述客户端和至少一个大数据组件之间。
11.一种大数据组件的访问装置,其特征在于,所述装置应用于设置在客户端和至少一个大数据组件之间的票据授权服务器,包括:
触发单元,用于在接收鉴权服务器转发的来自于所述客户端的访问请求时,触发所述客户端发送票据请求;所述访问请求携带用户信息、以及所述客户端待访问的大数据组件的大数据组件标识;所述访问请求是所述鉴权服务器在确定所述访问请求未携带与所述大数据组件标识对应的服务票据时发送的;
接收单元,用于接收来自于所述客户端的票据请求;
返回单元,用于若该票据请求携带了为该用户信息分配的授权票据,则将所述大数据组件标识对应的服务票据返回给所述客户端;所述服务票据为所述大数据组件注册至所述票据授权服务器时由所述票据授权服务器生成的;所述服务票据用于触发客户端基于所述服务票据访问所述大数据组件;
转发单元,用于若该票据请求未携带为该用户信息分配的授权票据,则将所述用户信息转发至安全认证服务器以触发安全认证服务器在所述用户信息通过验证后分配所述授权票据给客户端;所述授权票据用于触发所述客户端基于所述授权票据从所述票据授权服务器获取所述服务票据。
12.一种鉴权服务器,其特征在于,所述鉴权服务器包括可读存储介质和处理器;
其中,所述可读存储介质,用于存储机器可执行指令;
所述处理器,用于读取所述可读存储介质上的所述机器可执行指令,并执行所述指令以实现权利要求1-4任一所述方法的步骤。
13.一种安全认证服务器,其特征在于,所述安全认证服务器包括可读存储介质和处理器;
其中,所述可读存储介质,用于存储机器可执行指令;
所述处理器,用于读取所述可读存储介质上的所述机器可执行指令,并执行所述指令以实现权利要求5-6任一所述方法的步骤。
14.一种票据授权服务器,其特征在于,所述票据授权服务器包括可读存储介质和处理器;
其中,所述可读存储介质,用于存储机器可执行指令;
所述处理器,用于读取所述可读存储介质上的所述机器可执行指令,并执行所述指令以实现权利要求7所述方法的步骤。
CN202010664930.2A 2020-07-10 2020-07-10 一种大数据组件的访问方法、装置、***及电子设备 Active CN111917732B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010664930.2A CN111917732B (zh) 2020-07-10 2020-07-10 一种大数据组件的访问方法、装置、***及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010664930.2A CN111917732B (zh) 2020-07-10 2020-07-10 一种大数据组件的访问方法、装置、***及电子设备

Publications (2)

Publication Number Publication Date
CN111917732A CN111917732A (zh) 2020-11-10
CN111917732B true CN111917732B (zh) 2022-04-26

Family

ID=73226393

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010664930.2A Active CN111917732B (zh) 2020-07-10 2020-07-10 一种大数据组件的访问方法、装置、***及电子设备

Country Status (1)

Country Link
CN (1) CN111917732B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001072009A2 (en) * 2000-03-17 2001-09-27 At & T Corp. Web-based single-sign-on authentication mechanism
CN101296245A (zh) * 2008-06-26 2008-10-29 腾讯科技(深圳)有限公司 一种业务服务器的登录方法及登录***
CN105577665A (zh) * 2015-12-24 2016-05-11 西安电子科技大学 一种云环境下的身份和访问控制管理***及方法
CN106161462A (zh) * 2016-08-29 2016-11-23 无锡华云数据技术服务有限公司 一种网络安全认证方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001072009A2 (en) * 2000-03-17 2001-09-27 At & T Corp. Web-based single-sign-on authentication mechanism
CN101296245A (zh) * 2008-06-26 2008-10-29 腾讯科技(深圳)有限公司 一种业务服务器的登录方法及登录***
CN105577665A (zh) * 2015-12-24 2016-05-11 西安电子科技大学 一种云环境下的身份和访问控制管理***及方法
CN106161462A (zh) * 2016-08-29 2016-11-23 无锡华云数据技术服务有限公司 一种网络安全认证方法

Also Published As

Publication number Publication date
CN111917732A (zh) 2020-11-10

Similar Documents

Publication Publication Date Title
US8635671B2 (en) Systems and methods for a security delegate module to select appropriate security services for web applications
CN106452772B (zh) 终端认证方法和装置
EP4161012A1 (en) Authentication method and apparatus, electronic device, server, program, and storage medium
CN110519240B (zh) 一种单点登录方法、装置及***
CN111291043A (zh) 标识值查询方法、标识解析服务器和存储介质
CN111031074B (zh) 一种认证方法、服务器和客户端
KR20040049272A (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템
US11121876B2 (en) Distributed access control
US20120240212A1 (en) Systems and methods for generating modular security delegates for applications
CN111431838A (zh) 一种集群中单点登录和注销的方法、装置及api网关
Lopez et al. A blockchain framework for smart mobility
US8719948B2 (en) Method and system for the storage of authentication credentials
CN108632241B (zh) 一种多应用***统一登录方法和装置
CN114385995B (zh) 一种基于Handle的标识解析微服务接入工业互联网的方法及标识服务***
CN110290150A (zh) 一种虚拟专用网络vpn的登录验证方法及登录验证装置
US20210144138A1 (en) Authority transfer system, server and method of controlling the server, and storage medium
CN110163658A (zh) 虚拟资源数据处理方法、装置、计算机设备和存储介质
CN106529216B (zh) 一种基于公共存储平台的软件授权***及软件授权方法
Kim et al. Can we create a cross-domain federated identity for the industrial Internet of Things without Google?
CN111917732B (zh) 一种大数据组件的访问方法、装置、***及电子设备
CN101325493A (zh) 用于认证用户的方法和***
CN117118640A (zh) 一种数据处理方法、装置、计算机设备以及可读存储介质
CN115086042A (zh) 用户身份认证方法、用户身份认证***及计算机存储介质
CN110071920B (zh) 成员服务提供者实现方法及装置
Habiba et al. Assessment criteria for cloud identity management systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant