CN111405036A - 服务访问方法、装置、相关设备及计算机可读存储介质 - Google Patents
服务访问方法、装置、相关设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111405036A CN111405036A CN202010175041.XA CN202010175041A CN111405036A CN 111405036 A CN111405036 A CN 111405036A CN 202010175041 A CN202010175041 A CN 202010175041A CN 111405036 A CN111405036 A CN 111405036A
- Authority
- CN
- China
- Prior art keywords
- service
- user
- authentication
- access request
- identity information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种服务访问方法、装置、相关设备及计算机可读存储介质,该方法包括:获取用户的第一访问请求;其中,所述第一访问请求包括所述用户的身份信息,所述第一访问请求用于请求访问至少一个业务服务;基于所述身份信息调用鉴权服务对所述用户进行鉴权;在接收到所述鉴权服务发送的鉴权通过结果的情况下,生成所述用户的鉴权令牌;其中,所述鉴权令牌中包括所述身份信息;向每一所述业务服务对应的业务服务器发送所述用户的第二访问请求,所述第二访问请求携带有所述鉴权令牌。本发明实施例能够提高用户的服务访问请求的执行效率,减少服务访问请求的响应时间。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种服务访问方法、装置、相关设备及计算机可读存储介质。
背景技术
在服务访问过程中,为保证服务访问的安全性,需要进行用户鉴权。用户鉴权是指判断服务访问请求中用户身份的工作,对于小型对象,用户鉴权在万维网web容器就可以内置支持,其用户身份通常存储在用户会话控制session里。对于比较庞大的对象,比如存在多个应用系统,相关技术中,通常由专门的用户鉴权服务统一管理和认证用户身份,各个应用系统与session解耦,只需与用户鉴权服务进行交互来判定用户身份即可。
同时,对于比较庞大的对象,若每个应用系统还包含若干独立的业务服务,在这种情况下,参见图1,图1是现有的服务访问示意图,如图1所示,用户的服务访问请求可能涉及众多的业务服务调用,每个业务服务都可能需要调用用户鉴权服务对用户身份进行鉴权,这些重复的用户鉴权导致用户鉴权的执行效率比较低,使该服务访问请求的响应时间比较长。
发明内容
本发明实施例提供一种服务访问方法、装置、相关设备及计算机可读存储介质,以解决现有技术中用户鉴权的执行效率比较低,使该服务访问请求的响应时间比较长的问题。
第一方面,本发明实施例提供了一种服务访问方法,所述方法应用于服务网关,所述方法包括:
获取用户的第一访问请求;其中,所述第一访问请求包括所述用户的身份信息,所述第一访问请求用于请求访问至少一个业务服务;
基于所述身份信息调用鉴权服务对所述用户进行鉴权;
在接收到所述鉴权服务发送的鉴权通过结果的情况下,生成所述用户的鉴权令牌;其中,所述鉴权令牌中包括所述身份信息;
向每一所述业务服务对应的业务服务器发送所述用户的第二访问请求,所述第二访问请求携带有所述鉴权令牌。
第二方面,本发明实施例提供了一种服务访问方法,所述方法应用于业务服务器,所述方法包括:
在服务网关接收到用户的第一访问请求的情况下,接收所述服务网关发送的第二访问请求,所述第一访问请求包括所述用户的身份信息,所述第二访问请求包括基于所述身份信息对所述用户鉴权通过的情况下生成的鉴权令牌;
从所述鉴权令牌中获取所述用户的身份信息;
对所述身份信息对应的用户进行业务服务。
第三方面,本发明实施例还提供一种服务访问装置,所述装置应用于服务网关,所述装置包括:
第一获取模块,用于获取用户的第一访问请求;其中,所述第一访问请求包括所述用户的身份信息,所述第一访问请求用于请求访问至少一个业务服务;
调用模块,用于基于所述身份信息调用鉴权服务对所述用户进行鉴权;
生成模块,用于在接收到所述鉴权服务发送的鉴权通过结果的情况下,生成所述用户的鉴权令牌;其中,所述鉴权令牌中包括所述身份信息;
发送模块,用于向每一所述业务服务对应的业务服务器发送所述用户的第二访问请求,所述第二访问请求携带有所述鉴权令牌。
第四方面,本发明实施例还提供一种服务访问装置,所述装置应用于业务服务器,所述装置包括:
接收模块,用于在服务网关接收到用户的第一访问请求的情况下,接收所述服务网关发送的第二访问请求,所述第一访问请求包括所述用户的身份信息,所述第二访问请求包括基于所述身份信息对所述用户鉴权通过的情况下生成的鉴权令牌;
第二获取模块,用于从所述鉴权令牌中获取所述用户的身份信息;
业务服务模块,用于对所述身份信息对应的用户进行业务服务。
第五方面,本发明实施例还提供一种服务网关,包括第一处理器、第一存储器及存储在所述第一存储器上并可在所述第一处理器上运行的计算机程序,所述计算机程序被所述第一处理器执行时实现上述服务网关侧服务访问方法的步骤。
第六方面,本发明实施例还提供一种业务服务器,包括第二处理器、第二存储器及存储在所述第二存储器上并可在所述第二处理器上运行的计算机程序,所述计算机程序被所述第二处理器执行时实现上述业务服务器侧服务访问方法的步骤。
第七方面,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被第一处理器执行时实现上述服务网关侧服务访问方法的步骤,或者被第二处理器执行时实现上述业务服务器侧服务访问方法的步骤。
本发明实施例中,首先,通过服务网关面向用户提供至少一个业务服务,获取用户的第一访问请求;由服务网关基于所述第一访问请求中所述用户的身份信息调用鉴权服务对所述用户进行鉴权;在鉴权通过的情况下,生成所述用户的鉴权令牌,所述鉴权令牌中包括所述用户的身份信息;并向每一所述业务服务对应的业务服务器发送携带有所述鉴权令牌的第二访问请求。然后,业务服务器接收所述服务网关发送的第二访问请求;从所述鉴权令牌中获取所述用户的身份信息;对所述身份信息对应的用户进行业务服务。
如此,本发明实施例中,通过服务网关调用鉴权服务来对用户进行统一鉴权,将用户的身份信息转换为鉴权令牌传递给每个业务服务,相应的,各业务服务即可以从鉴权令牌中直接获取到用户的身份信息。这样,可以使各业务服务无需调用鉴权服务对该用户进行鉴权,消除了多个业务服务之间的重复鉴权请求,从而提高了用户的服务访问请求的执行效率,进而减少了服务访问请求的响应时间。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是现有的服务访问示意图;
图2是本发明实施例提供的服务访问方法的流程图之一;
图3是本发明实施例提供的服务访问方法的流程图之二;
图4是本发明实施例提供的服务访问示意图;
图5是本发明实施例提供的服务访问装置的结构图之一;
图6是本发明实施例提供的服务访问装置的结构图之二;
图7是本发明实施例提供的服务访问装置的结构图之三;
图8是本发明实施例提供的服务访问装置的结构图之四;
图9是本发明实施提供的服务网关的结构图;
图10是本发明实施提供的业务服务器的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面对本发明实施例提供的服务访问方法进行说明。
需要说明的是,本发明实施例提供的服务访问方法可以应用于服务访问系统。该服务访问系统包括用户终端、服务网关和业务服务器,用户可以基于用户终端发送第一访问请求,以在一应用系统中访问至少一个业务服务。服务网关获取第一访问请求,调用鉴权服务对所述用户进行鉴权,在鉴权通过之后,向每一所述业务服务对应的业务服务器发送包括有鉴权令牌的第二访问请求。业务服务器接收包括有鉴权令牌的第二访问请求,从鉴权令牌中获取用户的身份信息,并对所述身份信息对应的用户进行业务服务。
其中,用户终端可以包括手机、平板电脑(Tablet Personal Computer)、膝上型电脑(Laptop Computer)、个人数字助理(personal digital assistant,简称PDA)等、移动上网装置(Mobile Internet Device,MID)或可穿戴式设备(Wearable Device)等。
参见图2,图2是本发明实施例提供的服务访问方法的流程图之一,所述方法应用于服务网关,如图2所示,包括以下步骤:
步骤201,获取用户的第一访问请求;其中,所述第一访问请求包括所述用户的身份信息,所述第一访问请求用于请求访问至少一个业务服务;
步骤202,基于所述身份信息调用鉴权服务对所述用户进行鉴权;
步骤203,在接收到所述鉴权服务发送的鉴权通过结果的情况下,生成所述用户的鉴权令牌;其中,所述鉴权令牌中包括所述身份信息;
步骤204,向每一所述业务服务对应的业务服务器发送所述用户的第二访问请求,所述第二访问请求携带有所述鉴权令牌。
在步骤201中,所述用户可以基于用户终端对业务服务进行访问,且所述用户可以在一应用系统中通过一个服务访问请求访问至少一个业务服务。比如,针对应用系统A,用户可以在主界面中登录该应用系统A,以请求访问该应用系统A中的业务服务。
相应的,所述用户终端生成第一访问请求,所述第一访问请求中可以包括所述用户的身份信息,比如,所述用户的登录账户、登录密码、身份证号等。
同时,所述第一访问请求中还可以包括服务标识,该服务标识可以为应用系统A对应的总服务标识,基于该总服务标识,该第一访问请求可以请求访问应用系统A中可访问的所有业务服务。
当然,所述服务标识也可以为应用系统A上可访问的业务服务的标识,基于该服务标识,该第一访问请求仅可以访问服务标识对应的业务服务,在该种情况下,所述第一访问请求中可以包括至少一个业务服务的标识。
用户终端生成第一访问请求之后,将所述第一访问请求发送给服务网关。相应的,所述服务网关面向用户提供业务服务,接收该用户终端发送的第一访问请求。
在步骤202中,所述服务访问系统还可以包括鉴权服务器,所述服务网关调用鉴权服务可以理解为,所述服务网关调用认证接口请求访问所述鉴权服务器的鉴权服务。
具体的,可以从所述身份信息中获取所述用户的身份证明信息,比如,所述身份证明信息可以包括登录密码、身份证号等;基于所述身份证明信息生成鉴权请求。其中,所述鉴权请求中可以包括所述用户的身份证明信息,用于请求访问所述鉴权服务器的鉴权服务对所述用户进行鉴权。
所述鉴权服务器接收所述服务网关发送的鉴权请求,启动鉴权服务对所述用户的身份证明信息进行验证,比如,将所述用户的身份证明信息与预设身份证明信息进行比对,若比对成功,则发送鉴权通过结果给所述服务网关。
在步骤203中,在接收到所述鉴权服务发送的鉴权通过结果的情况下,基于所述用户的身份信息生成所述用户的鉴权令牌,所述鉴权令牌中包括所述用户的身份信息,表明所述用户已经鉴权成功,允许访问第一访问请求中请求访问的业务服务。
在步骤204中,第二访问请求用于请求访问每一业务服务。其中,向每一所述业务服务对应的业务服务器发送的第二访问请求可以相同,也可以不同。若所述第二访问请求中的服务标识为应用系统对应的总服务标识,则向每一所述业务服务对应的业务服务器发送的第二访问请求可以相同。若所述第二访问请求中的服务标识为业务服务的标识,则向业务服务对应的业务服务器发送的第二访问请求根据请求访问的业务服务不同而不同,也就是说,需要针对每一业务服务的标识,生成请求访问每一所述业务服务的第二访问请求,并发送给每一所述业务服务对应的业务服务器。
所述服务网关可以通过现有的或者新的路由方式将第二访问请求路由至每一所述业务服务对应的业务服务器。
相应的,每一所述业务服务对应的业务服务器接收服务网关发送的第二访问请求,可以从鉴权令牌中直接获取所述用户的身份信息,并对所述身份信息对应的用户进行业务服务,具体的,业务服务器可以与所述身份信息对应的用户的用户终端进行会话,以对所述用户进行业务服务。
本实施例中,首先,通过服务网关面向用户提供至少一个业务服务,获取用户的第一访问请求;由服务网关基于所述第一访问请求中所述用户的身份信息调用鉴权服务对所述用户进行鉴权;在鉴权通过的情况下,生成所述用户的鉴权令牌,所述鉴权令牌中包括所述用户的身份信息;并向每一所述业务服务对应的业务服务器发送携带有所述鉴权令牌的第二访问请求。然后,业务服务器接收所述服务网关发送的第二访问请求;从所述鉴权令牌中获取所述用户的身份信息;对所述身份信息对应的用户进行业务服务。
如此,本发明实施例中,通过服务网关调用鉴权服务来对用户进行统一鉴权,将用户的身份信息转换为鉴权令牌传递给每个业务服务,相应的,各业务服务即可以从鉴权令牌中直接获取到用户的身份信息。这样,可以使各业务服务无需调用鉴权服务对该用户进行鉴权,消除了多个业务服务之间的重复鉴权请求,从而提高了用户的服务访问请求的执行效率,进而减少了服务访问请求的响应时间。
并且,通过在服务网关对用户进行统一鉴权,只需要调用一次鉴权服务,即可以完成针对与所述用户相关的多个业务服务的用户鉴权。相对于现有技术需要每个业务服务都去调用鉴权服务完成对该用户的鉴权,一方面,可以减少鉴权服务与各业务服务的对接工作,对所述用户相关的业务服务可以起到提高与所述用户交互效率的作用;另一方面,还可以减小鉴权服务的请求压力,从而节省资源。
可选的,在所述鉴权通过结果携带目标信息的情况下,所述鉴权令牌中还包括所述目标信息,所述目标信息包括以下至少一项:
鉴权上下文信息;
所述鉴权服务对所述身份信息的电子签名;
其中,所述鉴权上下文信息用于指示各所述业务服务对应的业务服务器确定所述鉴权令牌的安全性;所述电子签名用于指示各所述业务服务对应的业务服务器确定所述鉴权令牌的有效性。
所述鉴权上下文信息可以包括所述鉴权服务对所述用户鉴权的鉴权时间和所述用户的用户类型等。其中,所述用户类型可以根据用户登录方式和/或用户等级的不同而不同。
比如,若所述用户通过网页登录,所述用户类型可以为类型A1,若所述用户通过终端应用程序登录,所述用户类型可以为类型A2,若所述用户通过扫描二维码登录,所述用户类型可以为类型A3。
又比如,若所述用户的用户等级为贵宾(Very Important Person,VIP)用户,所述用户类型可以为类型A4,若所述用户的用户等级为普通用户,所述用户类型可以为类型A5。
又比如,若所述用户通过网页登录,且所述用户为VIP用户,所述用户类型可以为类型A6。若所述用户通过终端应用程序登录,且所述用户为VIP用户,所述用户类型可以为类型A7等等。
当然上述用户类型只是举例说明,其表征形式将不做具体限定。
若所述鉴权令牌中还包括鉴权上下文信息,所述电子签名具体可以为鉴权服务对所述用户的身份信息和所述鉴权上下文信息的电子签名。所述电子签名可以为鉴权服务器基于所述鉴权服务的签名私钥针对所述身份信息和所述鉴权上下文信息进行签名而获得的。
相应的,业务服务器接收到第二访问请求之后,可以从所述第二访问请求的鉴权令牌中获得鉴权上下文信息和鉴权服务对所述身份信息和所述鉴权上下文信息的电子签名。
所述业务服务器具体可以基于所述鉴权上下文信息确定所述鉴权令牌的安全性,并可以基于所述电子签名确定所述鉴权令牌的有效性。其具体确定过程将在后续进行详细说明。
本实施例中,可以通过在鉴权令牌中携带鉴权上下文信息和电子签名,从而使业务服务器可以基于鉴权上下文信息和电子签名执行鉴权令牌的有效性和安全性判定,进而可以提高服务访问的安全性。
参见图3,图3是本发明实施例提供的服务访问方法的流程图之二,所述方法应用于业务服务器,如图3所示,包括以下步骤:
步骤301,在服务网关接收到用户的第一访问请求的情况下,接收所述服务网关发送的第二访问请求,所述第一访问请求包括所述用户的身份信息,所述第二访问请求包括基于所述身份信息对所述用户鉴权通过的情况下生成的鉴权令牌;
步骤302,从所述鉴权令牌中获取所述用户的身份信息;
步骤303,对所述身份信息对应的用户进行业务服务。
具体的,业务服务器接收所述服务网关发送的第二访问请求,从所述鉴权令牌中可以直接获取所述用户的身份信息,并对所述身份信息对应的用户进行业务服务,具体的,业务服务器可以获取所述身份信息对应的用户的用户终端的互联网协议(InternetProtocol,IP)地址,基于该IP地址,与所述身份信息对应的用户的用户终端进行会话,以对所述用户进行业务服务。
本实施例中,业务服务器在服务网关接收到用户的第一访问请求的情况下,通过接收服务网关发送的第二访问请求,所述第二访问请求包括基于所述身份信息对所述用户鉴权通过的情况下生成的鉴权令牌,并直接从所述鉴权令牌中获取所述用户的身份信息;对所述身份信息对应的用户进行业务服务。这样,各业务服务可以从鉴权令牌直接获取用户的身份信息,从而无需再重复调用鉴权服务对所述用户进行鉴权,进而可以提高用户的服务访问请求的执行效率,减少服务访问请求的响应时间。
并且,还可以减少鉴权服务与各业务服务的对接工作,对所述用户相关的业务服务可以起到提高与所述用户交互效率的作用;还可以减小鉴权服务的请求压力,节省资源。
可选的,所述鉴权令牌中包括所述鉴权服务对所述身份信息的电子签名;基于图3所示的实施例,所述步骤302之前,所述方法还包括:
基于预先获取的签名公钥对所述电子签名进行解签;
若解签成功,则触发执行步骤302。
具体的,可以首先获取鉴权服务的签名公钥,可以有多种获取方式。
比如,在鉴权通过的情况下,鉴权服务器可以将鉴权服务的签名公钥发送给服务网关,所述服务网关可以在向每一所述业务服务对应的业务服务器发送所述用户的第二访问请求的同时或之前,将鉴权服务的签名公钥转发给业务服务器。相应的,该业务服务器接收服务网关发送的鉴权服务的签名公钥。
又比如,所述业务服务器也可以预先存储一些比较可信的鉴权服务的签名公钥,相应的,该业务服务器直接获取本地存储的鉴权服务的签名公钥。
然后,业务服务器可以基于服务网关发送的签名公钥对所述电子签名进行解签,若解签成功,则表明该鉴权令牌是由可信的鉴权服务签发,该鉴权令牌有效,触发执行步骤302。
业务服务器也可以基于本地存储的可信的签名公钥对所述电子签名进行解签,若解签成功,则表明该鉴权令牌是由可信的鉴权服务签发,该鉴权令牌有效,触发执行步骤302。
本实施例中,可以通过验证鉴权服务的电子签名,来确保鉴权令牌是由可信的鉴权服务签发,保证鉴权令牌的有效性。
可选的,所述鉴权令牌中包括鉴权上下文信息;基于图3所示的实施例,所述步骤302之前,所述方法还包括:
从所述鉴权上下文信息中获取所述鉴权服务对所述用户鉴权的鉴权时间和所述用户的用户类型;
在所述鉴权时间与当前时间的间隔小于或等于预设时间阈值的情况下,和/或在所述用户类型为预设用户类型的情况下,则触发执行步骤302。
具体的,业务服务器可以在所述鉴权时间与当前时间的间隔小于或等于预设时间阈值的情况下,触发执行步骤302,也就是说,在所述鉴权时间与当前时间的间隔大于预设时间阈值的情况下,不触发执行步骤302。比如,过期的鉴权令牌视为无效,不触发执行步骤302。
其中,所述预设时间阈值可以根据实际情况进行设置,比如,对于安全性要求级别较高的业务服务,服务访问要求及时性,则该预设时间阈值可以设置的相应比较小,对于安全性要求级别较低的业务服务,则该预设时间阈值可以设置的相应比较大。
业务服务器也可以在所述用户类型为预设用户类型的情况下,则触发执行步骤302,也就是说,业务服务器在所述用户类型不为预设用户类型的情况下,则不触发执行步骤302。
所述预设用户类型可以根据实际情况进行设置,比如,对于安全性要求级别较高的业务服务,只允许终端应用程序登录的用户类型进行访问,或者只允许VIP用户的用户类型进行访问,网页登录的和扫描二维码登录的用户类型对应的鉴权令牌无效,或者普通用户的用户类型对应的鉴权令牌无效。
业务服务器还可以在所述鉴权时间与当前时间的间隔小于或等于预设时间阈值的情况下,和在所述用户类型为预设用户类型的情况下,触发执行步骤302,也就是说,业务服务器在所述鉴权时间与当前时间的间隔大于预设时间阈值的情况下,或者在所述用户类型不为预设用户类型的情况下,则不触发执行步骤302。
本实施例中,可以通过鉴权上下文信息中的鉴权时间、用户类型等,来执行灵活的安全策略,满足业务服务不同等级的安全要求。
需要说明的是,本发明实施例中介绍的多种可选的实施方式,彼此可以相互结合实现,也可以单独实现,对此本发明实施例不作限定。
下面举个例子对本发明实施例提供的服务访问方法进行详细说明。
参见图4,图4是本发明实施例提供的服务访问示意图,参见图4所示,通过服务网关面向用户提供业务服务,针对这些业务服务,统一由服务网关调用鉴权服务来对所述用户进行鉴权。
具体的,首先,用户通过用户终端发送第一访问请求。
其中,所述第一访问请求中包括所述用户的身份信息。
然后,服务网关接收用户终端发送的第一访问请求。
接着,服务网关基于所述身份信息调用鉴权服务对所述用户进行鉴权。
接着,在接收到所述鉴权服务发送的鉴权通过结果的情况下,生成所述用户的鉴权令牌;其中,所述鉴权令牌中包括所述身份信息。
接着,向每一所述业务服务对应的业务服务器发送所述用户的第二访问请求,所述第二访问请求携带有所述鉴权令牌。
接着,业务服务器接收所述服务网关发送的第二访问请求。
接着,若所述鉴权令牌包括鉴权上下文信息和/或所述鉴权服务对所述身份信息的电子签名,所述鉴权上下文信息包括所述用户鉴权的鉴权时间和所述用户的用户类型,则在基于预先获取的签名公钥对所述电子签名进行解签成功的情况下,和/或在所述鉴权时间与当前时间的间隔小于或等于预设时间阈值的情况下,和/或在所述用户类型为预设用户类型的情况下,从所述鉴权令牌中获取所述用户的身份信息。
最后,对所述身份信息对应的用户进行业务服务。
下面对本发明实施例提供的服务访问装置进行说明。
参见图5,图5是本发明实施例提供的服务访问装置的结构图之一,所述装置应用于服务网关,能实现上述实施例中服务网关侧服务访问方法的细节,并达到相同的效果。如图5所示,服务访问装置500包括:
第一获取模块501,用于获取用户的第一访问请求;其中,所述第一访问请求包括所述用户的身份信息,所述第一访问请求用于请求访问至少一个业务服务;
调用模块502,用于基于所述身份信息调用鉴权服务对所述用户进行鉴权;
生成模块503,用于在接收到所述鉴权服务发送的鉴权通过结果的情况下,生成所述用户的鉴权令牌;其中,所述鉴权令牌中包括所述身份信息;
发送模块504,用于向每一所述业务服务对应的业务服务器发送所述用户的第二访问请求,所述第二访问请求携带有所述鉴权令牌。
可选的,在所述鉴权通过结果携带目标信息的情况下,所述鉴权令牌中还包括所述目标信息,所述目标信息包括以下至少一项:
鉴权上下文信息;
所述鉴权服务对所述身份信息的电子签名;
其中,所述鉴权上下文信息用于指示各所述业务服务对应的业务服务器确定所述鉴权令牌的安全性;所述电子签名用于指示各所述业务服务对应的业务服务器确定所述鉴权令牌的有效性。
上述服务访问装置500能实现上述服务网关侧服务访问方法实施例中服务网关实现的各个过程,并能达到相同的技术效果,为避免重复,这里不再赘述。
参见图6,图6是本发明实施例提供的服务访问装置的结构图之二,所述装置应用于业务服务器,能实现上述实施例中业务服务器侧服务访问方法的细节,并达到相同的效果。如图6所示,服务访问装置600包括:
接收模块601,用于在服务网关接收到用户的第一访问请求的情况下,接收所述服务网关发送的第二访问请求,所述第一访问请求包括所述用户的身份信息,所述第二访问请求包括基于所述身份信息对所述用户鉴权通过的情况下生成的鉴权令牌;
第二获取模块602,用于从所述鉴权令牌中获取所述用户的身份信息;
业务服务模块603,用于对所述身份信息对应的用户进行业务服务。
可选的,参见图7,图7是本发明实施例提供的服务访问装置的结构图之三,如图7所示,基于图6所示的装置实施例,服务访问装置600还包括:
解签模块604,用于基于预先获取的签名公钥对所述电子签名进行解签;
第一触发模块605,用于若解签成功,则触发所述第二获取模块602。
可选的,参见图8,图8是本发明实施例提供的服务访问装置的结构图之四,如图8所示,基于图6所示的装置实施例,服务访问装置600还包括:
第三获取模块606,用于从所述鉴权上下文信息中获取所述鉴权服务对所述用户鉴权的鉴权时间和所述用户的用户类型;
第二触发模块607,在所述鉴权时间与当前时间的间隔小于或等于预设时间阈值的情况下,和/或在所述用户类型为预设用户类型的情况下,触发执行所述第二获取模块602。
上述服务访问装置600能实现上述业务服务器侧服务访问方法实施例中业务服务器实现的各个过程,并能达到相同的技术效果,为避免重复,这里不再赘述。
参见图9,图9是本发明实施提供的服务网关的结构图,如图9所示的服务网关包括:第一处理器901、第一存储器902及存储在所述第一存储器902上并可在所述第一处理器901上运行的计算机程序,服务网关中的各个组件通过第一总线接口903耦合在一起,所述计算机程序被所述第一处理器901执行时实现如下步骤:
获取用户的第一访问请求;其中,所述第一访问请求包括所述用户的身份信息,所述第一访问请求用于请求访问至少一个业务服务;
基于所述身份信息调用鉴权服务对所述用户进行鉴权;
在接收到所述鉴权服务发送的鉴权通过结果的情况下,生成所述用户的鉴权令牌;其中,所述鉴权令牌中包括所述身份信息;
向每一所述业务服务对应的业务服务器发送所述用户的第二访问请求,所述第二访问请求携带有所述鉴权令牌。
可选的,在所述鉴权通过结果携带目标信息的情况下,所述鉴权令牌中还包括所述目标信息,所述目标信息包括以下至少一项:
鉴权上下文信息;
所述鉴权服务对所述身份信息的电子签名;
其中,所述鉴权上下文信息用于指示各所述业务服务对应的业务服务器确定所述鉴权令牌的安全性;所述电子签名用于指示各所述业务服务对应的业务服务器确定所述鉴权令牌的有效性。
优选的,本发明实施例还提供一种服务网关,包括第一处理器、第一存储器及存储在所述第一存储器上并可在所述第一处理器上运行的计算机程序,所述计算机程序被所述第一处理器执行时实现上述服务网关侧任一方法实施例的服务访问方法的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
参见图10,图10是本发明实施提供的业务服务器的结构图,如图10所示的业务服务器包括:第二处理器1001、第二存储器1002及存储在所述第二存储器1002上并可在所述第二处理器1001上运行的计算机程序,业务服务器中的各个组件通过第二总线接口1003耦合在一起,所述计算机程序被所述第二处理器1001执行时实现如下步骤:
在服务网关接收到用户的第一访问请求的情况下,接收所述服务网关发送的第二访问请求,所述第一访问请求包括所述用户的身份信息,所述第二访问请求包括基于所述身份信息对所述用户鉴权通过的情况下生成的鉴权令牌;
从所述鉴权令牌中获取所述用户的身份信息;
对所述身份信息对应的用户进行业务服务。
可选的,所述鉴权令牌中包括所述鉴权服务对所述身份信息的电子签名;所述第二处理器1001,还用于:
基于预先获取的签名公钥对所述电子签名进行解签;
若解签成功,则执行所述从所述鉴权令牌中获取所述用户的身份信息的步骤。
可选的,所述鉴权令牌中包括鉴权上下文信息;所述第二处理器1001,还用于:
从所述鉴权上下文信息中获取所述鉴权服务对所述用户鉴权的鉴权时间和所述用户的用户类型;
在所述鉴权时间与当前时间的间隔小于或等于预设时间阈值的情况下,和/或在所述用户类型为预设用户类型的情况下,则执行所述从所述鉴权令牌中获取所述用户的身份信息的步骤。
优选的,本发明实施例还提供一种业务服务器,包括第二处理器、第二存储器及存储在所述第二存储器上并可在所述第二处理器上运行的计算机程序,所述计算机程序被所述第二处理器执行时实现上述业务服务器侧任一方法实施例的服务访问方法的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被第一处理器执行时实现上述服务网关侧服务访问方法的各个过程,或者被第二处理器执行时实现上述业务服务器侧服务访问方法的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种服务访问方法,其特征在于,所述方法应用于服务网关,包括:
获取用户的第一访问请求;其中,所述第一访问请求包括所述用户的身份信息,所述第一访问请求用于请求访问至少一个业务服务;
基于所述身份信息调用鉴权服务对所述用户进行鉴权;
在接收到所述鉴权服务发送的鉴权通过结果的情况下,生成所述用户的鉴权令牌;其中,所述鉴权令牌中包括所述身份信息;
向每一所述业务服务对应的业务服务器发送所述用户的第二访问请求,所述第二访问请求携带有所述鉴权令牌。
2.根据权利要求1所述的方法,其特征在于,在所述鉴权通过结果携带目标信息的情况下,所述鉴权令牌中还包括所述目标信息,所述目标信息包括以下至少一项:
鉴权上下文信息;
所述鉴权服务对所述身份信息的电子签名;
其中,所述鉴权上下文信息用于指示各所述业务服务对应的业务服务器确定所述鉴权令牌的安全性;所述电子签名用于指示各所述业务服务对应的业务服务器确定所述鉴权令牌的有效性。
3.一种服务访问方法,其特征在于,所述方法应用于业务服务器,包括:
在服务网关接收到用户的第一访问请求的情况下,接收所述服务网关发送的第二访问请求,所述第一访问请求包括所述用户的身份信息,所述第二访问请求包括基于所述身份信息对所述用户鉴权通过的情况下生成的鉴权令牌;
从所述鉴权令牌中获取所述用户的身份信息;
对所述身份信息对应的用户进行业务服务。
4.根据权利要求3所述的方法,其特征在于,所述鉴权令牌中包括所述鉴权服务对所述身份信息的电子签名;所述从所述鉴权令牌中获取所述用户的身份信息之前,所述方法还包括:
基于预先获取的签名公钥对所述电子签名进行解签;
若解签成功,则执行所述从所述鉴权令牌中获取所述用户的身份信息的步骤。
5.根据权利要求3所述的方法,其特征在于,所述鉴权令牌中包括鉴权上下文信息;所述从所述鉴权令牌中获取所述用户的身份信息之前,所述方法还包括:
从所述鉴权上下文信息中获取所述鉴权服务对所述用户鉴权的鉴权时间和所述用户的用户类型;
在所述鉴权时间与当前时间的间隔小于或等于预设时间阈值的情况下,和/或在所述用户类型为预设用户类型的情况下,则执行所述从所述鉴权令牌中获取所述用户的身份信息的步骤。
6.一种服务访问装置,其特征在于,所述装置执行于服务网关,包括:
第一获取模块,用于获取用户的第一访问请求;其中,所述第一访问请求包括所述用户的身份信息,所述第一访问请求用于请求访问至少一个业务服务;
调用模块,用于基于所述身份信息调用鉴权服务对所述用户进行鉴权;
生成模块,用于在接收到所述鉴权服务发送的鉴权通过结果的情况下,生成所述用户的鉴权令牌;其中,所述鉴权令牌中包括所述身份信息;
发送模块,用于向每一所述业务服务对应的业务服务器发送所述用户的第二访问请求,所述第二访问请求携带有所述鉴权令牌。
7.一种服务访问装置,其特征在于,所述装置执行于业务服务器,包括:
接收模块,用于在服务网关接收到用户的第一访问请求的情况下,接收所述服务网关发送的第二访问请求,所述第一访问请求包括所述用户的身份信息,所述第二访问请求包括基于所述身份信息对所述用户鉴权通过的情况下生成的鉴权令牌;
第二获取模块,用于从所述鉴权令牌中获取所述用户的身份信息;
业务服务模块,用于对所述身份信息对应的用户进行业务服务。
8.一种服务网关,其特征在于,包括第一处理器、第一存储器及存储在所述第一存储器上并可在所述第一处理器上运行的计算机程序,所述计算机程序被所述第一处理器执行时实现如权利要求1至2中任一项所述的服务访问方法的步骤。
9.一种业务服务器,其特征在于,包括第二处理器、第二存储器及存储在所述第二存储器上并可在所述第二处理器上运行的计算机程序,所述计算机程序被所述第二处理器执行时实现如权利要求3至5中任一项所述的服务访问方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被第一处理器执行时实现如权利要求1至2中任一项所述的服务访问方法的步骤;或者被第二处理器执行时实现如权利要求3至5中任一项所述的服务访问方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010175041.XA CN111405036A (zh) | 2020-03-13 | 2020-03-13 | 服务访问方法、装置、相关设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010175041.XA CN111405036A (zh) | 2020-03-13 | 2020-03-13 | 服务访问方法、装置、相关设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111405036A true CN111405036A (zh) | 2020-07-10 |
Family
ID=71428783
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010175041.XA Pending CN111405036A (zh) | 2020-03-13 | 2020-03-13 | 服务访问方法、装置、相关设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111405036A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112069490A (zh) * | 2020-08-27 | 2020-12-11 | 北京百度网讯科技有限公司 | 一种提供小程序能力的方法、装置、电子设备及存储介质 |
| CN112153055A (zh) * | 2020-09-25 | 2020-12-29 | 北京百度网讯科技有限公司 | 鉴权方法及装置、计算设备和介质 |
| CN112188493A (zh) * | 2020-10-22 | 2021-01-05 | 深圳云之家网络有限公司 | 一种鉴权认证方法、系统及相关设备 |
| CN112311901A (zh) * | 2020-11-23 | 2021-02-02 | 北京世纪高通科技有限公司 | 访问量统计方法和系统 |
| CN113656787A (zh) * | 2021-08-12 | 2021-11-16 | 青岛海信智慧生活科技股份有限公司 | 服务提供设备、终端、鉴权设备、资源访问方法及系统 |
| CN114238893A (zh) * | 2021-12-21 | 2022-03-25 | 中国建设银行股份有限公司 | 访问控制方法、装置及设备 |
| CN116647342A (zh) * | 2022-08-23 | 2023-08-25 | 天翼数字生活科技有限公司 | 基于宽带与流量网关的认证方法和系统 |
| CN117575613A (zh) * | 2024-01-15 | 2024-02-20 | 山东鼎信数字科技有限公司 | 一种动态访问环境的鉴权支付方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9455972B1 (en) * | 2013-09-30 | 2016-09-27 | Emc Corporation | Provisioning a mobile device with a security application on the fly |
| CN109327477A (zh) * | 2018-12-06 | 2019-02-12 | 泰康保险集团股份有限公司 | 认证鉴权方法、装置及存储介质 |
| CN109446769A (zh) * | 2018-10-18 | 2019-03-08 | 北京计算机技术及应用研究所 | 统计身份认证及日志处理微服务系统及其实现方法 |
| CN109743163A (zh) * | 2019-01-03 | 2019-05-10 | 优信拍(北京)信息科技有限公司 | 微服务架构中的权限认证方法、装置及系统 |
| CN110198301A (zh) * | 2019-03-26 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 一种服务数据获取方法、装置及设备 |
| CN110324328A (zh) * | 2019-06-26 | 2019-10-11 | 阿里巴巴集团控股有限公司 | 一种安全认证方法、系统及设备 |
-
2020
- 2020-03-13 CN CN202010175041.XA patent/CN111405036A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9455972B1 (en) * | 2013-09-30 | 2016-09-27 | Emc Corporation | Provisioning a mobile device with a security application on the fly |
| CN109446769A (zh) * | 2018-10-18 | 2019-03-08 | 北京计算机技术及应用研究所 | 统计身份认证及日志处理微服务系统及其实现方法 |
| CN109327477A (zh) * | 2018-12-06 | 2019-02-12 | 泰康保险集团股份有限公司 | 认证鉴权方法、装置及存储介质 |
| CN109743163A (zh) * | 2019-01-03 | 2019-05-10 | 优信拍(北京)信息科技有限公司 | 微服务架构中的权限认证方法、装置及系统 |
| CN110198301A (zh) * | 2019-03-26 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 一种服务数据获取方法、装置及设备 |
| CN110324328A (zh) * | 2019-06-26 | 2019-10-11 | 阿里巴巴集团控股有限公司 | 一种安全认证方法、系统及设备 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112069490A (zh) * | 2020-08-27 | 2020-12-11 | 北京百度网讯科技有限公司 | 一种提供小程序能力的方法、装置、电子设备及存储介质 |
| CN112069490B (zh) * | 2020-08-27 | 2023-08-15 | 北京百度网讯科技有限公司 | 一种提供小程序能力的方法、装置、电子设备及存储介质 |
| CN112153055A (zh) * | 2020-09-25 | 2020-12-29 | 北京百度网讯科技有限公司 | 鉴权方法及装置、计算设备和介质 |
| CN112188493A (zh) * | 2020-10-22 | 2021-01-05 | 深圳云之家网络有限公司 | 一种鉴权认证方法、系统及相关设备 |
| CN112188493B (zh) * | 2020-10-22 | 2023-08-15 | 深圳云之家网络有限公司 | 一种鉴权认证方法、系统及相关设备 |
| CN112311901A (zh) * | 2020-11-23 | 2021-02-02 | 北京世纪高通科技有限公司 | 访问量统计方法和系统 |
| CN113656787A (zh) * | 2021-08-12 | 2021-11-16 | 青岛海信智慧生活科技股份有限公司 | 服务提供设备、终端、鉴权设备、资源访问方法及系统 |
| CN113656787B (zh) * | 2021-08-12 | 2023-10-27 | 青岛海信智慧生活科技股份有限公司 | 服务提供设备、终端、鉴权设备、资源访问方法及系统 |
| CN114238893A (zh) * | 2021-12-21 | 2022-03-25 | 中国建设银行股份有限公司 | 访问控制方法、装置及设备 |
| CN116647342A (zh) * | 2022-08-23 | 2023-08-25 | 天翼数字生活科技有限公司 | 基于宽带与流量网关的认证方法和系统 |
| CN117575613A (zh) * | 2024-01-15 | 2024-02-20 | 山东鼎信数字科技有限公司 | 一种动态访问环境的鉴权支付方法及系统 |
| CN117575613B (zh) * | 2024-01-15 | 2024-08-13 | 山东鼎信数字科技有限公司 | 一种动态访问环境的鉴权支付方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111405036A (zh) | 服务访问方法、装置、相关设备及计算机可读存储介质 | |
| CN114788226B (zh) | 用于建立分散式计算机应用的非托管工具 | |
| CN107948204B (zh) | 一键登录方法及系统、相关设备以及计算机可读存储介质 | |
| US10594695B2 (en) | Authentication arrangement | |
| CN104917727B (zh) | 一种帐户鉴权的方法、系统及装置 | |
| CN108880822B (zh) | 一种身份认证方法、装置、系统及一种智能无线设备 | |
| CN101729514B (zh) | 一种业务调用的实现方法及装置和系统 | |
| CN104202162B (zh) | 一种基于手机登录的系统及登录方法 | |
| CN103023919A (zh) | 基于二维码的登录控制方法和系统 | |
| CN104168329A (zh) | 云计算及互联网中的用户二次认证方法、装置和系统 | |
| CN103036902A (zh) | 基于二维码的登录控制方法和系统 | |
| CN111355726A (zh) | 一种身份授权登录方法、装置及电子设备和存储介质 | |
| WO2017076216A1 (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| CN110753029B (zh) | 一种身份验证方法及生物识别平台 | |
| CN107733838A (zh) | 一种移动终端客户端身份认证方法、装置和系统 | |
| CN106161475B (zh) | 用户鉴权的实现方法和装置 | |
| CN110365483A (zh) | 云平台认证方法、客户端、中间件及系统 | |
| CN105429943B (zh) | 一种信息处理方法及其终端 | |
| CN105577619B (zh) | 一种客户端登录方法、客户端以及系统 | |
| US8875244B1 (en) | Method and apparatus for authenticating a user using dynamic client-side storage values | |
| CN101360107A (zh) | 一种提高单次登录系统安全的方法、系统及装置 | |
| CN107645474B (zh) | 登录开放平台的方法及登录开放平台的装置 | |
| CN108965335B (zh) | 防止恶意访问登录接口的方法、电子设备及计算机介质 | |
| CN105577606B (zh) | 一种实现认证器注册的方法和装置 | |
| TW201328280A (zh) | 即時通訊身分認證系統與方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200710 |