CN112188493B - 一种鉴权认证方法、***及相关设备 - Google Patents
一种鉴权认证方法、***及相关设备 Download PDFInfo
- Publication number
- CN112188493B CN112188493B CN202011137879.6A CN202011137879A CN112188493B CN 112188493 B CN112188493 B CN 112188493B CN 202011137879 A CN202011137879 A CN 202011137879A CN 112188493 B CN112188493 B CN 112188493B
- Authority
- CN
- China
- Prior art keywords
- authentication
- service
- resource group
- service request
- access token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例提供了一种鉴权认证方法、***及相关设备,用于提高鉴权认证的效率,节约网络资源。本发明实施例方法包括:接收访问者身份标识及请求访问的目标资源组的密钥,其中,每个资源组中记录有至少两种业务接口;对所述访问者身份标识及所述密钥的有效性进行校验;当所述访问者身份标识及所述密钥的有效性校验通过时,向客户端返回所述目标资源组对应的访问令牌。
Description
技术领域
本发明涉及鉴权认证技术领域,尤其涉及一种鉴权认证方法、***及相关设备。
背景技术
现有的应用程序开发的一种趋势是依赖于开放平台实现业务场景,例如依赖于云之家开放平台实现签到、审批、报表秀秀、生态圈等业务。
开发者基于开放平台开发轻应用(Light APP)之后,需调用开放平台的业务API进行业务时,每种业务的基础服务接口验权认证模式往往不同,当需要调用同一开放平台实现至少两种业务时,需要单独对每种业务进行鉴权,费时费力,效率低下。
发明内容
本发明实施例提供了一种鉴权认证方法、***及相关设备,用于提高鉴权认证的效率,节约网络资源。
本发明实施例第一方面提供了一种鉴权认证方法,应用于OAuth2协议下的授权认证,可包括:
接收访问者身份标识及请求访问的目标资源组的密钥,其中,每个资源组中记录有至少两种业务接口;
对所述访问者身份标识及所述密钥的有效性进行校验;
当所述访问者身份标识及所述密钥的有效性校验通过时,向客户端返回所述目标资源组对应的访问令牌。
可选的,作为一种可能的实施方式,本发明实施例中的鉴权认证方法,还可以包括:
接收网关设备发送的业务请求信息,所述业务请求信息包含访问令牌及业务请求参数;
当所述访问令牌有效性校验通过时,根据所述业务请求参数进行业务权限验证,若业务权限校验通过,则控制所述网关设备将所述业务请求转发给对应的业务服务器。
可选的,作为一种可能的实施方式,本发明实施例中,所述根据所述业务请求参数进行业务权限验证,可包括:
配置至少两种类型的鉴权方案;
根据访问者身份标识选定目标鉴权方案,并根据所述目标鉴权方案进行业务权限验证。
可选的,作为一种可能的实施方式,本发明实施例中,所述根据所述业务请求参数进行业务权限验证可包括:
配置至少两种类型的鉴权方案;
根据配置顺序进行业务权限验证,任一鉴权方案鉴权通过则验证通过。
本发明实施例第二方面提供了一种鉴权认证***,可包括:
第一接收模块,用于接收访问者身份标识及请求访问的目标资源组的密钥,其中,每个资源组中记录有至少两种业务接口;
校验模块,用于对所述访问者身份标识及所述密钥的有效性进行校验;
发送模块,当所述访问者身份标识及所述密钥的有效性校验通过时,向客户端返回所述目标资源组对应的访问令牌。
可选的,作为一种可能的实施方式,本发明实施例中的鉴权认证***,还可以包括:
第二接收模块,用于接收网关设备发送的业务请求信息,所述业务请求信息包含访问令牌及业务请求参数;
鉴权模块,当所述访问令牌有效性校验通过时,根据所述业务请求参数进行业务权限验证,若业务权限校验通过,则控制所述网关设备将所述业务请求转发给对应的业务服务器。
可选的,作为一种可能的实施方式,本发明实施例中的鉴权模块可包括:
第一配置单元,用于配置至少两种类型的鉴权方案;
第一鉴权单元,根据访问者身份标识选定目标鉴权方案,并根据所述目标鉴权方案进行业务权限验证。
可选的,作为一种可能的实施方式,本发明实施例中的鉴权模块可包括:
第二配置单元,配置至少两种类型的鉴权方案;
第二鉴权单元,根据配置顺序进行业务权限验证,任一鉴权方案鉴权通过则验证通过。
本发明实施例第三方面提供了一种计算机装置,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如第一方面及第一方面中任意一种可能的实施方式中的步骤。
本发明实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面及第一方面中任意一种可能的实施方式中的步骤。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,鉴权服务器可以接收访问者身份标识及请求访问的目标资源组的密钥,其中,每个资源组中记录有至少两种业务接口,当访问者身份标识及目标资源组的密钥的有效性校验通过时,向客户端返回目标资源组对应的访问令牌,以使得客户端根据访问令牌访问目标资源组中的业务接口。相对于现有技术,本发明实施例中预先将至少两种业务接口的认证过程进行关联绑定,形成多个资源组,对每个资源组的访问令牌进行统一发放,一次认证通过即可获得目标资源组中的多个业务接口的访问令牌,无需多次认证交互,提高了鉴权认证的效率,节约了网络资源。
附图说明
图1为本发明实施例中一种鉴权认证方法的一个实施例示意图;
图2为本发明实施例中一种鉴权认证方法的另一个实施例示意图;
图3为本发明实施例中一种鉴权认证方法的一个具体应用实施例示意图;
图4为本发明实施例中一种鉴权认证方法的另一个具体应用实施例示意图;
图5为本发明实施例中一种鉴权认证***的一个实施例示意图;
图6为本发明实施例中一种计算机装置的一个实施例示意图。
具体实施方式
本发明实施例提供了一种鉴权认证方法、***及相关设备,用于提高鉴权认证的效率,节约网络资源。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例适用于OAuth2协议下的授权认证,其中OAuth2协议是一种让第三方应用在用户(资源持有者)授权AccssToken的情况下,通过认证服务器的认证从而安全的在资源服务器上获得对应的资源的协议标准,是OAuth1.0的延续,OAuth1.0核心是对签名串的验证,而OAuth2.0重交互,资源分配更加灵活。
为了便于理解,下面对本发明实施例中的具体流程进行描述,请参阅图1,本发明实施例中一种鉴权认证方法的一个实施例可包括:
101、接收访问者身份标识及请求访问的目标资源组的密钥,其中,每个资源组中记录有至少两种业务接口;
现有的OAuth1或OAuth2协议下的授权认证过程中,当需要调用同一开放平台实现至少两种业务时,需要单独对每种业务进行鉴权。例如,开发者基于云之家开放平台开发轻应用(Light APP)需调用API发送待办公共号消息、对接签到、审批、报表秀秀、生态圈等业务时,需要对每种业务分别进行授权认证,每次授权认证均需要与授权服务器进行交互,以获得对应的访问令牌,浪费网络资源,鉴权效率低下。
可以理解的是,访问者身份标识可以是基于用户分组(同一个公司或同一个项目组)设置的具有唯一性的身份标识,也可以是基于开放平台开发的轻应用APP对应的唯一身份标识(APP ID),具体此处不做限定。
为了节约网络资源,提高鉴权效率,本发明实施例中,鉴权服务器可以预先将至少两种业务接口的认证进行关联绑定,形成多个资源组,对每个资源组的访问令牌进行统一发放。
当用户需要对多个业务进行访问时,鉴权服务器可以预先将需要访问的业务关联形成目标资源组,然后基于访问者的身份标识及目标资源组的密钥向鉴权服务器发送请求消息。实际应用中还可以在管理中心根据需求对目标资源组中的至少两种业务接口的认证进行添加或删除,具体此处不做限定。
可以理解的是,目标资源组的密钥可以是用户自己设置,也可以是开放平台设置,具体此处不做限定。
102、对访问者身份标识及密钥的有效性进行校验;
在获取到访问者身份标识及请求访问的目标资源组的密钥之后,鉴权服务器可以进行有效性校验,若校验通过,则可以执行步骤103,否则可以不响应该访问请求。
103、当访问者身份标识及目标资源组的密钥的有效性校验通过时,向客户端返回目标资源组对应的访问令牌。
当接收到访问者身份标识及目标资源组的密钥之后,鉴权服务器可以对接收到的信息的有效性进行验证,当访问者身份标识及目标资源组的密钥的有效性校验通过时,向客户端返回目标资源组对应的访问令牌,以使得客户端可以根据访问令牌访问目标资源组中的业务接口。
本发明实施例中,鉴权服务器可以接收访问者身份标识及请求访问的目标资源组的密钥,其中,每个资源组中记录有至少两种业务接口,当访问者身份标识及目标资源组的密钥的有效性校验通过时,向客户端返回目标资源组对应的访问令牌,以使得客户端根据访问令牌访问目标资源组中的业务接口。相对于现有技术,本发明实施例中预先将至少两种业务接口的认证过程进行关联绑定,形成多个资源组,对每个资源组的访问令牌进行统一发放,一次认证通过即可获得目标资源组中的多个业务接口的访问令牌,无需多次认证交互,提高了鉴权认证的效率,节约了网络资源。
实际应用中,不同业务的操作权限认证不仅包含上述基于访问令牌的身份认证,还包含了业务的逻辑认证,例如各个等级权限认证、操作时间认证等,有必要对上述实施例进行进一步改进。在上述图1所示的实施例的基础上,请参阅图2,本发明实施例中的一种鉴权认证方法的另一个实施例可包括:
201、接收访问者身份标识及请求访问的目标资源组的密钥,其中,每个资源组中记录有至少两种业务接口;
202、对访问者身份标识及密钥的有效性进行校验;
203、当访问者身份标识及目标资源组的密钥的有效性校验通过时,向客户端返回目标资源组对应的访问令牌;
本实施例中的步骤201至203中描述的内容以上述图1所示的实施例中的步骤101至103中描述的内容类似,具体此处不做赘述。
204、接收网关设备发送的业务请求信息,业务请求信息包含访问令牌及业务请求参数;
在客户端获取到访问令牌之后,鉴权服务器可以根据访问令牌及业务请求参数生成业务请求信息,将业务请求信息通过网关设备透传给鉴权服务器进行鉴权认证。
205、当访问令牌有效性校验通过时,根据业务请求参数进行业务权限验证,若业务权限校验通过,则控制网关设备将业务请求转发给对应的业务服务器。
鉴权服务器对访问令牌有效性校验通过时,还可以根据业务请求参数进行业务权限验证,具体的业务权限验证方案可以根据实际的业务逻辑进行合理的设置,具体的此处不做限定。若业务权限校验通过,则控制网关设备将业务请求转发给对应的业务服务器。
可选的,为了提高鉴权认证的兼容性,本发明实施例中,根据业务请求参数进行业务权限验证可以包括:配置至少两种类型的鉴权方案;根据访问者身份标识选定目标鉴权方案,并根据目标鉴权方案进行业务权限验证。
实际运用中,每种业务对应的鉴权认证方案不同,为了提高兼容性,可以在开放平台对应的鉴权认证接口(API)配置至少两种类型的鉴权方案,单API可兼容多端已有不同类型鉴权方式,使API复用性得到提高。
可选的,为了提高鉴权认证的兼容性,本发明实施例中,根据业务请求参数进行业务权限验证包括:配置至少两种类型的鉴权方案;根据配置顺序进行业务权限验证,任一鉴权方案鉴权通过则验证通过。
示例性的,如图3所示,可以设置A、B、C三种类型的鉴权方案,依次按照顺序进行鉴权认证,如果A方案鉴权失败,则依次采用B方案鉴权,B方案鉴权,则依次采用C方案鉴权,任一鉴权方案鉴权通过则验证通过。
为了便于理解,请参阅图4,下面将结合具体的应用实施例对本发明实施例中的鉴权认证方法进行描述,具体可以包括如下步骤:
1、客户端根据当前工作圈Eid及授权拿到的ResGroup Secret进行API访问令牌Access Token的获取;
其中,这里统指云之家(移动协同办公云平台)对团体或企业的一种唯一标识,简称工作圈ID。对一类开放API的资源分组(Resource Group),每个API分组对应有一个可以重复生成的ResGroup Secret。
2、客户端根据Access Token、接口API URL、参数通过统一网关进行认证访问;
3、统一网关通过RPC访问Authserver验权服务器进行合法校验及换取认证身份;
其中,Authserver验权服务器可以配置至少两种类型的鉴权方案,根据访问者身份标识选定目标鉴权方案,并根据目标鉴权方案进行业务权限验证;或者根据配置顺序进行业务权限验证,任一鉴权方案鉴权通过则验证通过。
4、验权服务认证通过后将参数与身份信息透传指下游业务API;
5、验权服务认证失败则直接返回认证失败ErrorCode。
针对云之家(移动办公云平台)产品本身工作圈特征进行可配置分组管理,不同工作圈可自由根分组化API资源管理进行细粒度授权开发者获取API的适用权,企业开放资源可按需回收与分配;开放API支持至少两种验权模式,单API可兼容多端已有不同类型鉴权方式,使API复用性得到提高,可降级验权方法的实施可提升API认证通过的概率,增强调用者正确适用开放API的信心。
请参阅图5,本发明实施例还提供了一种鉴权认证***,可包括:
第一接收模块501,用于接收访问者身份标识及请求访问的目标资源组的密钥,其中,每个资源组中记录有至少两种业务接口;
校验模块502,对访问者身份标识及密钥的有效性进行校验;
发送模块503,当访问者身份标识及密钥的有效性校验通过时,向客户端返回目标资源组对应的访问令牌。
可选的,作为一种可能的实施方式,本发明实施例中的鉴权认证***,还可以包括:
第二接收模块,用于接收网关设备发送的业务请求信息,业务请求信息包含访问令牌及业务请求参数;
鉴权模块,当访问令牌有效性校验通过时,根据业务请求参数进行业务权限验证,若业务权限校验通过,则控制网关设备将业务请求转发给对应的业务服务器。
可选的,作为一种可能的实施方式,本发明实施例中的鉴权模块可包括:
第一配置单元,用于配置至少两种类型的鉴权方案;
第一鉴权单元,根据访问者身份标识选定目标鉴权方案,并根据目标鉴权方案进行业务权限验证。
可选的,作为一种可能的实施方式,本发明实施例中的鉴权模块可包括:
第二配置单元,配置至少两种类型的鉴权方案;
第二鉴权单元,根据配置顺序进行业务权限验证,任一鉴权方案鉴权通过则验证通过。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
上面从模块化功能实体的角度对本发明实施例中的网图表编辑器进行了描述,请参阅图6,下面从硬件处理的角度对本发明实施例中的计算机装置进行描述:
该计算机装置1可以包括存储器11、处理器12和输入输出总线13。处理器11执行计算机程序时实现上述图1所示的鉴权认证方法实施例中的步骤,例如图1所示的步骤101至102。或者,处理器执行计算机程序时实现上述各装置实施例中各模块或单元的功能。
本发明的一些实施例中,处理器具体用于实现如下步骤:
接收访问者身份标识及请求访问的目标资源组的密钥,其中,每个资源组中记录有至少两种业务接口;
对访问者身份标识及密钥的有效性进行校验;
当访问者身份标识及密钥的有效性校验通过时,向客户端返回目标资源组对应的访问令牌,以使得客户端根据访问令牌访问目标资源组中的业务接口。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
接收网关设备发送的业务请求信息,业务请求信息包含访问令牌及业务请求参数;
当访问令牌有效性校验通过时,根据业务请求参数进行业务权限验证,若业务权限校验通过,则控制网关设备将业务请求转发给对应的业务服务器。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
配置至少两种类型的鉴权方案;
根据访问者身份标识选定目标鉴权方案,并根据目标鉴权方案进行业务权限验证。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
配置至少两种类型的鉴权方案;
根据配置顺序进行业务权限验证,任一鉴权方案鉴权通过则验证通过。
其中,存储器11至少包括一种类型的可读存储介质,可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器11在一些实施例中可以是计算机装置1的内部存储单元,例如该计算机装置1的硬盘。存储器11在另一些实施例中也可以是计算机装置1的外部存储设备,例如计算机装置1上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器11还可以既包括计算机装置1的内部存储单元也包括外部存储设备。存储器11不仅可以用于存储安装于计算机装置1的应用软件及各类数据,例如计算机程序01的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器12在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器11中存储的程序代码或处理数据,例如执行计算机程序01等。
该输入输出总线13可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。
进一步地,计算机装置还可以包括有线或无线网络接口14,网络接口14可选的可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该计算机装置1与其他电子设备之间建立通信连接。
可选地,该计算机装置1还可以包括用户接口,用户接口可以包括显示器(Display)、输入单元比如键盘(Keyboard),可选的,用户接口还可以包括标准的有线接口、无线接口。可选的,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在计算机装置1中处理的信息以及用于显示可视化的用户界面。
图6仅示出了具有组件11-14以及计算机程序01的计算机装置1,本领域技术人员可以理解的是,图6示出的结构并不构成对计算机装置1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,可以实现如下步骤:
接收访问者身份标识及请求访问的目标资源组的密钥,其中,每个资源组中记录有至少两种业务接口;
对访问者身份标识及密钥的有效性进行校验;
当访问者身份标识及密钥的有效性校验通过时,向客户端返回目标资源组对应的访问令牌,以使得客户端根据访问令牌访问目标资源组中的业务接口。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
接收网关设备发送的业务请求信息,业务请求信息包含访问令牌及业务请求参数;
当访问令牌有效性校验通过时,根据业务请求参数进行业务权限验证,若业务权限校验通过,则控制网关设备将业务请求转发给对应的业务服务器。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
配置至少两种类型的鉴权方案;
根据访问者身份标识选定目标鉴权方案,并根据目标鉴权方案进行业务权限验证。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
配置至少两种类型的鉴权方案;
根据配置顺序进行业务权限验证,任一鉴权方案鉴权通过则验证通过。
在本申请所提供的几个实施例中,应该理解到,所揭露的***,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (4)
1.一种鉴权认证方法,其特征在于,应用于OAuth2协议下的授权认证,所述方法包括:
接收访问者身份标识及请求访问的目标资源组的密钥,其中,每个资源组中记录有至少两种业务接口;
对所述访问者身份标识及所述密钥的有效性进行校验;
当所述访问者身份标识及所述密钥的有效性校验通过时,向客户端返回所述目标资源组对应的访问令牌;
接收网关设备发送的业务请求信息,所述业务请求信息包含访问令牌及业务请求参数;
当所述访问令牌有效性校验通过时,根据所述业务请求参数进行业务权限验证,若业务权限校验通过,则控制所述网关设备将所述业务请求转发给对应的业务服务器;
所述根据所述业务请求参数进行业务权限验证包括:
配置至少两种类型的鉴权方案;根据访问者身份标识选定目标鉴权方案,并根据所述目标鉴权方案进行业务权限验证;
或,配置至少两种类型的鉴权方案;根据配置顺序进行业务权限验证,任一鉴权方案鉴权通过则验证通过。
2.一种鉴权认证***,其特征在于,包括:
第一接收模块,用于接收访问者身份标识及请求访问的目标资源组的密钥,其中,每个资源组中记录有至少两种业务接口;
校验模块,用于对所述访问者身份标识及所述密钥的有效性进行校验;
发送模块,当所述访问者身份标识及所述密钥的有效性校验通过时,向客户端返回所述目标资源组对应的访问令牌;
第二接收模块,用于接收网关设备发送的业务请求信息,所述业务请求信息包含访问令牌及业务请求参数;
鉴权模块,当所述访问令牌有效性校验通过时,根据所述业务请求参数进行业务权限验证,若业务权限校验通过,则控制所述网关设备将所述业务请求转发给对应的业务服务器;
所述鉴权模块包括:
第一配置单元,用于配置至少两种类型的鉴权方案;第一鉴权单元,根据访问者身份标识选定目标鉴权方案,并根据所述目标鉴权方案进行业务权限验证;
或,第二配置单元,配置至少两种类型的鉴权方案;第二鉴权单元,根据配置顺序进行业务权限验证,任一鉴权方案鉴权通过则验证通过。
3.一种计算机装置,其特征在于,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1所述方法的步骤。
4.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011137879.6A CN112188493B (zh) | 2020-10-22 | 2020-10-22 | 一种鉴权认证方法、***及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011137879.6A CN112188493B (zh) | 2020-10-22 | 2020-10-22 | 一种鉴权认证方法、***及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112188493A CN112188493A (zh) | 2021-01-05 |
| CN112188493B true CN112188493B (zh) | 2023-08-15 |
Family
ID=73922564
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011137879.6A Active CN112188493B (zh) | 2020-10-22 | 2020-10-22 | 一种鉴权认证方法、***及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112188493B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112804224B (zh) * | 2021-01-07 | 2023-07-14 | 沈阳麟龙科技股份有限公司 | 一种基于微服务的认证鉴权方法、装置、介质及电子设备 |
| CN112995164B (zh) * | 2021-02-10 | 2023-04-14 | 北京金山云网络技术有限公司 | 资源访问的鉴权方法及装置、存储介质、电子设备 |
| CN112995165B (zh) * | 2021-02-10 | 2023-04-14 | 北京金山云网络技术有限公司 | 资源访问的鉴权方法及装置、存储介质、电子设备 |
| CN113342667A (zh) * | 2021-06-18 | 2021-09-03 | 杭州网易再顾科技有限公司 | 数据处理方法、装置、电子设备以及计算机可读存储介质 |
| CN113411349B (zh) * | 2021-07-22 | 2022-09-02 | 用友汽车信息科技(上海)股份有限公司 | 鉴权认证方法、鉴权认证***、计算机设备和存储介质 |
| CN114598540B (zh) * | 2022-03-18 | 2024-03-15 | 北京启明星辰信息安全技术有限公司 | 访问控制***、方法、装置及存储介质 |
| CN114614993B (zh) * | 2022-03-22 | 2024-02-06 | 平安证券股份有限公司 | ***交互方法、装置、电子设备及存储介质 |
| CN116319096B (zh) * | 2023-05-19 | 2023-09-05 | 浪潮通信信息***有限公司 | 算力网络操作***的访问***、方法、装置、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107493280A (zh) * | 2017-08-15 | 2017-12-19 | 中国联合网络通信集团有限公司 | 用户认证的方法、智能网关及认证服务器 |
| CN108512784A (zh) * | 2018-06-21 | 2018-09-07 | 珠海宏桥高科技有限公司 | 基于网关路由转发的鉴权认证方法 |
| CN109327477A (zh) * | 2018-12-06 | 2019-02-12 | 泰康保险集团股份有限公司 | 认证鉴权方法、装置及存储介质 |
| CN109617907A (zh) * | 2019-01-04 | 2019-04-12 | 平安科技(深圳)有限公司 | 认证方法、电子装置及计算机可读存储介质 |
| CN111405036A (zh) * | 2020-03-13 | 2020-07-10 | 北京奇艺世纪科技有限公司 | 服务访问方法、装置、相关设备及计算机可读存储介质 |
-
2020
- 2020-10-22 CN CN202011137879.6A patent/CN112188493B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107493280A (zh) * | 2017-08-15 | 2017-12-19 | 中国联合网络通信集团有限公司 | 用户认证的方法、智能网关及认证服务器 |
| CN108512784A (zh) * | 2018-06-21 | 2018-09-07 | 珠海宏桥高科技有限公司 | 基于网关路由转发的鉴权认证方法 |
| CN109327477A (zh) * | 2018-12-06 | 2019-02-12 | 泰康保险集团股份有限公司 | 认证鉴权方法、装置及存储介质 |
| CN109617907A (zh) * | 2019-01-04 | 2019-04-12 | 平安科技(深圳)有限公司 | 认证方法、电子装置及计算机可读存储介质 |
| CN111405036A (zh) * | 2020-03-13 | 2020-07-10 | 北京奇艺世纪科技有限公司 | 服务访问方法、装置、相关设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112188493A (zh) | 2021-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112188493B (zh) | 一种鉴权认证方法、***及相关设备 | |
| CN108200050B (zh) | 单点登录服务器、方法及计算机可读存储介质 | |
| US11076295B2 (en) | Remote management method, and device | |
| CN102231746B (zh) | 验证标识信息的方法及终端 | |
| US7784089B2 (en) | System and method for providing a multi-credential authentication protocol | |
| CN108540433B (zh) | 用户身份校验方法及装置 | |
| CN102710640A (zh) | 请求授权的方法、装置和*** | |
| CN104199654A (zh) | 开放平台的调用方法及装置 | |
| CN111526111B (zh) | 登录轻应用的控制方法、装置和设备及计算机存储介质 | |
| CN110944319B (zh) | 5g通信身份验证方法、设备及存储介质 | |
| CN110958119A (zh) | 身份验证方法和装置 | |
| CN112073289B (zh) | 一种即时通信控制方法及装置 | |
| CN105634743A (zh) | 用于开放接口调用的认证方法 | |
| CN110677453A (zh) | 基于ZooKeeper的分布式锁服务实现方法、装置、设备及存储介质 | |
| CN110545272B (zh) | 一种身份认证、权限认证方法、装置、用户管理***及存储介质 | |
| CN106713315B (zh) | 插件应用程序的登录方法和装置 | |
| CN106453263A (zh) | 一种手机号码绑定app的方法及*** | |
| CN114500082A (zh) | 接入认证方法及装置、设备、服务器、存储介质和*** | |
| AU2014256198A1 (en) | Terminal, network side device, terminal application control method, and system | |
| CN113221154A (zh) | 服务密码获取方法、装置、电子设备及存储介质 | |
| CN103559430B (zh) | 基于安卓***的应用账号管理方法和装置 | |
| CN105141586B (zh) | 一种对用户进行验证的方法和*** | |
| CN116017403A (zh) | eSIM设备的LPA自动编译方法、***及介质 | |
| CN115134117B (zh) | 用于验证互联网注册用户身份的方法及装置、服务器、存储介质 | |
| US11977620B2 (en) | Attestation of application identity for inter-app communications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |