WO2019127973A1 - 镜像仓库的权限认证方法、***、设备及存储介质 - Google Patents

Abstract

本申请公开了一种镜像仓库的权限认证方法和***，其权限认证方法先通过代理服务器访问Docker镜像仓库被拒绝时，接收镜像仓库返回的未授权错误信息；之后，解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证，；之后，接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求；接收镜像仓库返回的镜像，即完成了私有Docker镜像仓库的访问操作。

Description

镜像仓库的权限认证方法、***、设备及存储介质

本申请要求于2017年12月29日提交中国专利局、申请号为201711476882.9、发明名称为“Docker镜像仓库的权限认证方法和***”的中国专利申请的优先权，其全部内容通过引用结合在申请中。

技术领域

本申请涉及Docker技术领域，具体涉及镜像仓库的权限认证方法、***、设备及存储介质。

背景技术

Docker（Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化）提供的容器技术允许在同一台主机或虚拟机上运行若干个容器(container)，每个容器就是一个独立的虚拟环境或应用。

容器来源于Docker 镜像(image)，而镜像可以由用户自制(build)或由运行中的容器提交(commit)来生成，镜像生成后，可以推送(push)到镜像仓库(registry)中进行保存，也可以从镜像仓库拉取(pull)到本地以运行容器。

Docker 提供了官方镜像仓库(Docker hub)，同时允许用户自行搭建私有镜像仓库(private registry)。对于大多数机构和组织，使用私有镜像仓库是很有必要的，用以保护仓库的镜像内容及使用。

当用户访问Docker镜像时，针对不同镜像仓库内的镜像，需要细化访问权限控制。例如，对于公共镜像（即访问官方镜像仓库），任何用户都能够拉取(Pull)镜像，而只有***管理员可以推送(Push)镜像；对于用户自己命名空间(Name space)下的镜像（即私有Docker 镜像仓库），只有通过了权限验证的该用户才能够拉取/推送镜像，即在访问时需要根据用户终端的身份判断有哪些仓库中的镜像可以拉取，或者可以往哪些仓库中推送镜像，能够提高镜像的安全性。

目前，Docker镜像服务器的权限设置比较简单，一般采用两种方式，第一种方式是只检查用户认证信息在请求时是否一并提供，并不验证其真假；第二种方式是配置静态的用户名与密码对，且需要预先生成密码文件，通过简单的用户登录就可以操作镜像服务。

可见上述两种方式的权限控制方式都不够安全，都不能满足镜像安全的要求。

因此，现有技术还有待于改进和发展。

申请内容

针对现有技术的上述缺陷，本申请提供一种镜像仓库的权限认证方法、***、设备及存储介质，主要解决现有Docker镜像访问不安全的问题。

本申请解决技术问题所采用的技术方案如下：

一种镜像仓库的权限认证方法，包括如下步骤：

通过代理服务器访问Docker镜像仓库被拒绝时，接收镜像仓库返回的未授权错误信息，其中，所述镜像仓库部署在云管区中，所述未授权错误信息的响应头中包含认证方法提示信息；

解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证，其中所述代理服务器部署在可用区内，令牌服务器部署在云管区中；

接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求；

接收镜像仓库返回的镜像。

可选地，所述解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证的步骤包括：

解析所述未授权错误信息，获取未授权错误信息的响应头中包含认证方法提示信息；

根据认证方法提示信息的提示，利用用户认证信息、请求镜像内容范围生成权限认证请求信息；

将所述权限认证请求信息发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证。

可选地，所述根据认证方法提示信息的提示，利用用户认证信息、请求镜像内容范围生成权限认证请求信息的步骤包括：

根据认证方法提示信息将用户认证信息加密，放在https请求的请求头部，将请求的镜像内容范围置于https请求的请求参数中，基于该https请求的请求头部及请求参数生成权限认证请求信息。

可选地，在将所述权限认证请求信息发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证的步骤之后、接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求的步骤之前，所述权限认证方法还包括：

代理服务器根据客户端输入的域名进行安全传输层协议认证，并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器；

云管区的令牌服务器解析所述权限认证请求信息，并验证用户认证信息；

在用户认证通过时，根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容；

当客户端能访问其请求的镜像内容时，根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端。

可选地，在接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求的步骤之后、接收镜像仓库返回的镜像的步骤之前，还包括：

镜像仓库接收所述令牌，解析并验证所述令牌，在验证通过时，向客户端返回镜像。

一种镜像仓库的权限认证***，其包括若干个可用区，每个所述可用区均设置有权限认证设备和代理服务器，

所述权限认证设备设置为访问镜像仓库，并在访问镜像仓库被拒绝时，接收镜像仓库返回的未授权错误信息，所述未授权错误信息的响应头中包含认证方法提示信息； 以及用于解析所述未授权错误信息，并根据认证方法提示信息生成权限认证请求并将其发送至代理服务器；以及接收令牌服务器返回的令牌；以及携带所述令牌向镜像仓库发送访问请求；以及接收镜像仓库返回的镜像；

所述代理服务器设置为将权限认证请求发送给云管区的令牌服务器。

可选地，所述的镜像仓库的权限认证***，还包括设置在云管区的令牌服务器，所述令牌服务器设置为解析所述权限认证请求信息，并验证用户认证信息；以及在用户认证通过时，根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容；以及当客户端能访问其请求的镜像内容时，根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端。

可选地，所述代理服务器还设置为根据客户端输入的域名进行安全传输层协议认证，并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器。

可选地，所述令牌服务器的数量为1个。

可选地，所述镜像仓库的权限认证***还包括设置在云管区的镜像仓库，所述镜像仓库设置为接收所述令牌，解析并验证所述令牌，在验证通过时，向客户端返回镜像。

一种镜像仓库的权限认证设备，所述权限认证设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的权限认证程序，所述权限认证程序被所述处理器执行时，实现以下步骤：

通过代理服务器访问Docker镜像仓库被拒绝时，接收镜像仓库返回的未授权错误信息，其中，所述镜像仓库部署在云管区中，所述未授权错误信息的响应头中包含认证方法提示信息；

解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证，其中所述代理服务器部署在可用区内，令牌服务器部署在云管区中；

接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求；

接收镜像仓库返回的镜像。

一种存储介质，所述存储介质存储有权限认证程序，所述权限认证程序被处理器执行时，实现以下步骤：

通过代理服务器访问Docker镜像仓库被拒绝时，接收镜像仓库返回的未授权错误信息，其中，所述镜像仓库部署在云管区中，所述未授权错误信息的响应头中包含认证方法提示信息；

解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证，其中所述代理服务器部署在可用区内，令牌服务器部署在云管区中；

接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求；

接收镜像仓库返回的镜像。

本申请公开的镜像仓库的权限认证方法、***、设备和存储介质中，其权限认证方法先通过代理服务器访问镜像仓库被拒绝时，接收镜像仓库返回的未授权错误信息，其中，所述镜像仓库部署在云管区中，所述未授权错误信息的响应头中包含认证方法提示信息；之后，解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证，其中所述代理服务器部署在可用区内，令牌服务器部署在云管区中；之后，接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求；接收镜像仓库返回的镜像，即完成了私有Docker 镜像仓库的访问操作。本申请通过将权限认证交由第三方进行验证，根据请求令牌发放权限，提高了镜像的安全性，而且通过在云管区设置令牌服务器，无需再在各个可用区设置鉴权组件，避免每次在进行权限认证时均需要调用云管区的API来认证用户的域账号，避免了资源的浪费，通过使用代理服务器后，由于代理服务器的维护难度远小于自研的鉴权组件，因此只需要维护一份云管区的令牌服务器即可。

附图说明

图1为本申请提供的镜像仓库的权限认证方法的较佳实施例的流程图；

图2为本申请提供的镜像仓库的权限认证方法中步骤S20的较佳实施例的流程图；

图3为本申请提供的镜像仓库的权限认证***较佳实施例的功能模块图；

图4为本申请提供的镜像仓库的权限认证***中，所述权限认证设备的较佳实施例的功能模块图；

图5为本申请提供的镜像仓库的权限认证***中，权限认证设备的解析模块的功能模块图；

图6为本申请提供的镜像仓库的权限认证***中令牌服务器的令牌处理模块的功能模块图。

具体实施方式

本申请针对目前镜像权限管理的需求，将认证程序部署在云管区的镜像仓库中，利用镜像仓库指定云管区的令牌服务器为用户对私有Docker镜像仓库及其镜像的访问提供认证服务。每当镜像仓库接收到某一可用区的用户对镜像的访问请求时，指示此可用区客户端将用户信息、访问的镜像信息、访问动作通过该可用区的代理服务器发送至云管区的令牌服务器，令牌服务器根据用户信息决定是否授予用户所请求的访问权限。

为使本申请的目的、技术方案及优点更加清楚、明确，以下参照附图并举实施例对本申请进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

请参阅图1，其为本申请提供的镜像仓库的权限认证方法的较佳实施例的流程图。如图1所示，本申请较佳实施例所述的镜像仓库的权限认证方法以下步骤：

S10、通过代理服务器访问Docker镜像仓库被拒绝时，接收镜像仓库返回的未授权错误信息，其中，所述镜像仓库部署在云管区中，所述未授权错误信息的响应头中包含认证方法提示信息。

本实施例中，所述镜像仓库为云管区设置的唯一镜像仓库，而非某一可用区的镜像仓库，所有的私有Docker镜像均存储在云管区的镜像仓库中，各个可用区均可对镜像仓库发起访问请求，在访问时，通过客户端使用登录Docker镜像仓库、推送docker镜像、拉取docker镜像等命令时，由docker客户端进程通过代理服务器对镜像仓库发出请求。

在镜像仓库识别客户端为第一次访问时，向客户端返回未授权错误信息，并在授权错误信息的文件头中提示客户端认证的方法，提示客户端需要去云管区的令牌服务器中获取令牌。

本申请只在云管区设置有只有一套镜像库，因此镜像的鉴权对所有可用区的客户端都是相同的，所以保持了***的一致性。

S20、解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证，其中所述代理服务器部署在可用区内，令牌服务器部署在云管区中。

客户端收到未授权错误信息，首先对未授权错误信息解析获取认证方法提示信息，再根据认证方法的提示向令牌服务器请求令牌。请参阅图2，其为本申请提供的镜像仓库的权限认证方法中步骤S20的较佳实施例的流程图。

如图2所示，所述步骤S20包括：

S21、解析所述未授权错误信息，获取未授权错误信息的响应头中包含认证方法提示信息；

S22、根据认证方法提示信息的提示，利用用户认证信息、请求镜像内容范围生成权限认证请求信息；

S23、将所述权限认证请求信息发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证。

在步骤S22中，在生成权限认证请求信息时，由docker客户端进程根据认证方法提示信息将用户认证信息加密，放在https请求的请求头部，将请求的镜像内容范围置于https请求的请求参数中，基于该https请求的请求头部及请求参数生成权限认证请求信息。

本实施例中，所述认证信息包括用户名和密码，具体实施时，先由docker客户端进程根据镜像仓库返回的提示，将用户的认证信息加密后放在https（Hypertext Transfer Protocol over Secure Socket Layer，是以安全为目标的HTTP通道，简单讲是HTTP的安全版）请求的AUTHORIZATIONHeader（授权头），同时将用户请求的镜像内容范围置于https请求的请求参数中，通过域名发送至代理服务器，由代理服务器将权限认证工作交由令牌服务器处理。

每一个可用区均部署有一套代理服务器，所述代理服务器为Nginx代理服务器，各个可用区的客户端均通过设置在该区的代理服务器来将权限认证请求发送给云管区的令牌服务器，各个可用区的代理服务器的域名、证书和密钥均相同，所以保证了***的一致性。

本申请中所有可用区的所有客户端对镜像服务及镜像鉴权服务的是相同的，只有集中管理区有一套镜像库及鉴权服务器；只有云管区需要部署镜像仓库及令牌服务器，各区域只需要部署代理服务器，节省了部署成本；镜像仓库只需要一份配置，将第一次请求返回401响应的响应头中的鉴权服务地址指定为各区域DNS解析的鉴权服务域名，便可以使各区域均能使用，使得扩展、配置和维护较为简单；而且，令牌服务器可以外接其他***，扩展对接其他用户信息***，为集成其他***的用户鉴权提供了可能。

较佳地，客户端通过代理服务器将权限认证请求发送给令牌服务器的方法具体为：客户端通过域名访问代理服务器，代理服务器根据客户端输入的域名进行安全传输层协议认证，并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器，由于各个可用区的代理服务器的域名。证书和密钥均相同，所以保证了***的一致性。

S30、接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求。

具体实施时，docker客户端进程拿到token(令牌)后，带令牌再次向镜像仓库请求相同的镜像内容。在镜像仓库收到令牌后对令牌进行解析，从而决定对用户的请求进行放行或阻挡。

优选的实施例中，所述步骤S23之后、所述步骤S30之前还包括：

代理服务器根据客户端输入的域名进行安全传输层协议认证，并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器；

云管区的令牌服务器解析所述权限认证请求信息，并验证用户认证信息；

在用户认证通过时，根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容；

当客户端能访问其请求的镜像内容时，根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端。

本实施例中，在客户端将权限认证请求信息上传到代理服务器后，代理服务器执行如下步骤：根据客户端输入的域名进行安全传输层协议认证，并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器。代理服务器验证发现域名输入有误时反馈域名错误信息至客户端，提示客户端重新输入域名。

较佳地，在云管区令牌服务器收到权限认证请求信息之后，云管区的令牌服务器将执行如下动作：

由令牌服务器解析所述权限认证请求信息，并验证用户认证信息；

在用户认证通过时，根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容。在用户认证不能通过时返回错误令牌，告之客户端没有权限访问镜像仓库。

当客户端能访问其请求的镜像内容时，根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端。在用户认证信息通过验证，但客户端不能访问指定的镜像内容时，生成错误信息，返回给docker客户端进程，告之客户端没有权限访问其请求的内容。

S40、接收镜像仓库返回的镜像。

在步骤S40之前，本申请的拉取镜像和推送镜像还包括：镜像仓库接收所述令牌，解析并验证所述令牌，在验证通过时，向客户端返回镜像。

为了便于更好的理解镜像仓库的权限认证方法，以下例举一应用实施例对本申请的镜像仓库的权限认证方法进行详细说明：

本应用实施例提供的镜像仓库的权限认证方法包括：

第一步、可用区的客户端使用docker login、docker push、docker pull 等命令时，均由该可用区的客户端的docker客户端进程对云管区的镜像仓库发出请求；

第二步、云管区的镜像仓库接到请求后，向发出请求的可用区的客户端返回未授权错误信息，所述未授权错误信息的响应头中包含提示客户端认证的方法；

第三步、该可用区的docker客户端进程根据提示将用户的认证信息加密后放在https 请求的AUTHORIZATION 头部，同时将用户请求的内容范围置于请求参数中，发送给该可用区的代理服务器；

第四步、该可用区的代理服务器根据客户端输入的域名进行安全传输层协议认证，并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器；

第五步、云管区的令牌服务器解析并验证用户认证令牌及请求镜像内容范围，在验证通过将相应的令牌发送给该可用区的客户端；

第六步、该可用区的docker客户端进程拿到令牌后，带着令牌再次向云管区的镜像仓库请求相同的内容；

第七步、云管区的镜像仓库拿到令牌后，对令牌进行解析和验证，在验证通过时docker客户端进程返回相应的镜像。

基于上述镜像仓库的权限认证方法，本申请还提供了一种镜像仓库的权限认证***，如图3所示，所述权限认证***包括若干个可用区，每个所述可用区均包括权限认证设备1和代理服务器2，所述权限认证设备1可认为是一种Docker客户端，其用于访问镜像仓库，并在访问镜像仓库被拒绝时，接收镜像仓库返回的未授权错误信息，所述未授权错误信息的响应头中包含认证方法提示信息；以及用于解析所述未授权错误信息，并根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，；以及接收令牌服务器返回的令牌；以及携带所述令牌向镜像仓库发送访问请求；以及接收镜像仓库返回的镜像。本申请所称权限认证设备可被分割为一个或多个模块，所述模块是指能够完成特定功能的一系列计算机程序指令段，比程序更适合于描述所述镜像仓库的权限认证程序在所述Docker客户端中的执行过程。以下描述将权限认证设备分为多个模块来介绍其功能。

如图3与图4所示，权限认证设备1包括访问模块11，用于访问镜像仓库；

接收模块12，用于访问镜像仓库被拒绝时，接收镜像仓库返回的未授权错误信息，所述未授权错误信息的响应头中包含认证方法提示信息；

解析模块13，用于解析所述未授权错误信息，并根据认证方法提示信息生成权限认证请求并将其发送至代理服务器；

所述接收模块12，也用于接收令牌服务器返回的令牌；

权限认证请求模块14，用于携带所述令牌向镜像仓库发送访问请求；

所述接收模块12，还用于接收镜像仓库返回的镜像。

所述代理服务器2用于将权限认证请求发送给云管区的令牌服务器，具体实施时，所述代理服务器具体用于根据客户端输入的域名进行安全传输层协议认证，并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器。

请一并参阅图3和图5，在具体实施时，所述解析模块13包括：

解析单元131，用于解析所述未授权错误信息，获取未授权错误信息的响应头中包含认证方法提示信息；

请求信息生成单元132，用于根据认证方法提示信息的提示，利用用户认证信息、请求镜像内容范围生成权限认证请求信息；

发送单元133，用于所述权限认证请求信息发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证。

其中，所述请求信息生成单元132，具体用于根据认证方法提示信息将用户认证信息加密，放在https请求的请求头部，将请求的镜像内容范围置于https请求的请求参数中，基于该https请求的请求头部及请求参数生成权限认证请求信息。

请继续参阅图3，本申请的镜像仓库的权限认证***中还包括设置在云管区的令牌服务器3，所述令牌服务器用于解析所述权限认证请求信息，并验证用户认证信息；以及在用户认证通过时，根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容；以及当客户端能访问其请求的镜像内容时，根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端。本申请所称令牌服务器也可被分割为一个或多个模块，所述模块是指能够完成特定功能的一系列计算机程序指令段，比程序更适合于描述所述执行过程。以下描述将令牌服务器分为多个模块来介绍其功能。

请一并参阅图3和图6，在具体实施时，所述令牌服务器3包括：

验证模块31，用于解析所述权限认证请求信息，并验证用户认证信息；

判断模块32，用于在用户认证通过时，根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容；

令牌处理模块33，用于当客户端能访问其请求的镜像内容时，根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端。

其中，所述令牌服务器的数量为1个，无需再在各个可用区设置令牌服务器，避免每次在进行权限认证时均需要调用云管区的API来认证用户的域账号，避免了资源的浪费，通过使用代理服务器后，由于Nginx代理服务器的维护难度远小于令牌服务器的维护难度，因此降低了***的维护成本，只需要维护一份云管区的令牌服务器即可。

请继续参阅图3，本申请的镜像仓库的权限认证***还包括镜像仓库4，用于接收所述令牌，解析并验证所述令牌，在验证通过时，向客户端返回镜像。

所述镜像仓库的数量也只有一个，因此镜像的鉴权对所有客户端都是相同的，保持了***的一致性。

综上所述，本申请通过将权限认证交由第三方进行验证，根据请求令牌发放权限，提高了镜像的安全性，而且通过在云管区设置令牌服务器，无需再在各个可用区设置鉴权组件，避免每次在进行权限认证时均需要调用云管区的API来认证用户的域账号，避免了资源的浪费，通过使用代理服务器后，由于代理服务器的维护难度远小于自研的鉴权组件，因此只需要维护一份云管区的令牌服务器即可。

本申请还提供了一种镜像仓库的权限认证设备，所述权限认证设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的权限认证程序，所述权限认证程序被所述处理器执行时，实现如上述的权限认证方法的步骤。

其中，权限认证程序被执行时所实现的方法可参照本申请权限认证方法的各个实施例，此处不再赘述。

本申请还提供了一种存储介质，所述存储介质存储有权限认证程序，所述权限认证程序被处理器执行时，实现如上述的权限认证方法的步骤。

其中，权限认证程序被执行时所实现的方法可参照本申请权限认证方法的各个实施例，此处不再赘述。

当然，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关硬件（如处理器，控制器等）来完成，所述的程序可存储于一计算机可读取的存储介质中，该程序在执行时可包括如上述各方法实施例的流程。其中所述的存储介质可为存储器、磁碟、光盘等。

应当理解的是，本申请的应用不限于上述的举例，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，所有这些改进和变换都应属于本申请所附权利要求的保护范围。

Claims (16)

1. 一种镜像仓库的权限认证方法，其中，所述权限认证方法包括如下步骤：

   通过代理服务器访问Docker镜像仓库被拒绝时，接收镜像仓库返回的未授权错误信息，其中，所述镜像仓库部署在云管区中，所述未授权错误信息的响应头中包含认证方法提示信息；

   解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证，其中所述代理服务器部署在可用区内，令牌服务器部署在云管区中；

   接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求；

   接收镜像仓库返回的镜像。
2. 根据权利要求1所述的镜像仓库的权限认证方法，其中，所述解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证的步骤包括：

   解析所述未授权错误信息，获取未授权错误信息的响应头中包含认证方法提示信息；

   根据认证方法提示信息的提示，利用用户认证信息、请求镜像内容范围生成权限认证请求信息；

   将所述权限认证请求信息发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证。
3. 根据权利要求2所述的镜像仓库的权限认证方法，其中，所述根据认证方法提示信息的提示，利用用户认证信息、请求镜像内容范围生成权限认证请求信息的步骤包括：

   根据认证方法提示信息将用户认证信息加密，放在https请求的请求头部，将请求的镜像内容范围置于https请求的请求参数中，基于该https请求的请求头部及请求参数生成权限认证请求信息。
4. 根据权利要求2所述的镜像仓库的权限认证方法，其中，在将所述权限认证请求信息发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证的步骤之后、接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求的步骤之前，所述权限认证方法还包括：

   代理服务器根据客户端输入的域名进行安全传输层协议认证，并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器；

   云管区的令牌服务器解析所述权限认证请求信息，并验证用户认证信息；

   在用户认证通过时，根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容；

   当客户端能访问其请求的镜像内容时，根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端。
5. 根据权利要求1所述的镜像仓库的权限认证方法，其中，在接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求的步骤之后、接收镜像仓库返回的镜像的步骤之前，还包括：

   镜像仓库接收所述令牌，解析并验证所述令牌，在验证通过时，向客户端返回镜像。
6. 一种镜像仓库的权限认证***，其中，包括若干个可用区，每个所述可用区均设置有权限认证设备和代理服务器，

   所述权限认证设备设置为访问Docker镜像仓库，并在访问镜像仓库被拒绝时，接收镜像仓库返回的未授权错误信息，所述未授权错误信息的响应头中包含认证方法提示信息； 以及用于解析所述未授权错误信息，并根据认证方法提示信息生成权限认证请求并将其发送至代理服务器；以及接收令牌服务器返回的令牌；以及携带所述令牌向镜像仓库发送访问请求；以及接收镜像仓库返回的镜像；

   所述代理服务器设置为将权限认证请求发送给云管区的令牌服务器。
7. 根据权利要求6所述的镜像仓库的权限认证***，其中，还包括设置在云管区的令牌服务器，所述令牌服务器设置为解析所述权限认证请求信息，并验证用户认证信息；以及在用户认证通过时，根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容；以及当客户端能访问其请求的镜像内容时，根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端。
8. 根据权利要求7所述的镜像仓库的权限认证***，其中，所述代理服务器还设置为根据客户端输入的域名进行安全传输层协议认证，并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器。
9. 根据权利要求7所述的镜像仓库的权限认证***，其中，所述令牌服务器的数量为1个。
10. 根据权利要求6所述的镜像仓库的权限认证***，其中，还包括设置在云管区的镜像仓库，所述镜像仓库设置为接收所述令牌，解析并验证所述令牌，在验证通过时，向客户端返回镜像。
11. 一种镜像仓库的权限认证设备，其中，所述权限认证设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的权限认证程序，所述权限认证程序被所述处理器执行时，实现以下步骤：

    通过代理服务器访问Docker镜像仓库被拒绝时，接收镜像仓库返回的未授权错误信息，其中，所述镜像仓库部署在云管区中，所述未授权错误信息的响应头中包含认证方法提示信息；

    解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证，其中所述代理服务器部署在可用区内，令牌服务器部署在云管区中；

    接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求；

    接收镜像仓库返回的镜像。
12. 根据权利要求11所述的镜像仓库的权限认证设备，其中，所述解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证的步骤包括：

    解析所述未授权错误信息，获取未授权错误信息的响应头中包含认证方法提示信息；

    根据认证方法提示信息的提示，利用用户认证信息、请求镜像内容范围生成权限认证请求信息；

    将所述权限认证请求信息发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证。
13. 根据权利要求12所述的镜像仓库的权限认证设备，其中，所述根据认证方法提示信息的提示，利用用户认证信息、请求镜像内容范围生成权限认证请求信息的步骤包括：

    根据认证方法提示信息将用户认证信息加密，放在https请求的请求头部，将请求的镜像内容范围置于https请求的请求参数中，基于该https请求的请求头部及请求参数生成权限认证请求信息。
14. 一种存储介质，其中，所述存储介质存储有权限认证程序，所述权限认证程序被处理器执行时，实现以下步骤：

    通过代理服务器访问Docker镜像仓库被拒绝时，接收镜像仓库返回的未授权错误信息，其中，所述镜像仓库部署在云管区中，所述未授权错误信息的响应头中包含认证方法提示信息；

    解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证，其中所述代理服务器部署在可用区内，令牌服务器部署在云管区中；

    接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求；

    接收镜像仓库返回的镜像。
15. 根据权利要求14所述的存储介质，其中，所述解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证的步骤包括：

    解析所述未授权错误信息，获取未授权错误信息的响应头中包含认证方法提示信息；

    根据认证方法提示信息的提示，利用用户认证信息、请求镜像内容范围生成权限认证请求信息；

    将所述权限认证请求信息发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证。
16. 根据权利要求15所述的存储介质，其中，所述根据认证方法提示信息的提示，利用用户认证信息、请求镜像内容范围生成权限认证请求信息的步骤包括：

    根据认证方法提示信息将用户认证信息加密，放在https请求的请求头部，将请求的镜像内容范围置于https请求的请求参数中，基于该https请求的请求头部及请求参数生成权限认证请求信息。