CN113626795A - 分布式系统架构的验证方法、装置、电子设备及存储介质 - Google Patents

Abstract

本公开提供了一种分布式系统架构的验证方法、装置、电子设备及存储介质，可以应用于互联网技术领域、金融领域或其他领域。该分布式系统架构包括认证机构和多个业务系统，该验证方法包括：在认证机构中配置多个业务系统的配置信息，配置信息包括系统名称信息、服务路由信息以及接口信息；认证机构获取来自一个业务系统的用户的验证请求，根据验证请求生成响应报文；认证机构根据配置信息和响应报文生成验证结果，将验证结果保存至多个业务系统；多个业务系统获取来自用户的操作指令，根据验证结果响应用户的操作指令。

Description

分布式系统架构的验证方法、装置、电子设备及存储介质

技术领域

本公开涉及互联网技术领域，更具体地涉及一种分布式系统架构的验证方法、装置、电子设备、可读存储介质及计算机程序产品。

背景技术

在分布式服务系统架构中，对于涉及到统一认证机构CA(CertificationAuthority)节点，要对其他多个业务系统中的操作用户进行身份、登录状态和数据权限进行认证。相关技术中，需要在多个业务系统中的每个业务系统中增加拦截器用于认证，在业务系统的用户进行相关的功能操作时直接调用或以代理形式调用统一认证机构CA，根据CA服务返回认证结果进行鉴权。随着业务系统以及功能的不断扩充，当业务系统数量增加，以及用户增加时，用户每次操作点击页面都会触发校验认证，统一认证机构CA的压力将会大大增加，为了保证服务正常，需要不断增加服务器、内存扩容等，导致硬件成本高。

发明内容

鉴于上述问题，本公开提供了一种分布式系统架构的验证方法、装置、电子设备及可读存储介质，可以有效缓解统一认证机构的服务压力。

根据本公开的第一个方面提供了一种分布式系统架构的验证方法，所述分布式系统架构包括认证机构和多个业务系统，其中，所述验证方法包括：在所述认证机构中配置所述多个业务系统的配置信息，所述配置信息包括系统名称信息、服务路由信息以及接口信息；所述认证机构获取来自一个业务系统的用户的验证请求，根据所述验证请求生成响应报文；所述认证机构根据所述配置信息和所述响应报文生成验证结果，将所述验证结果保存至所述多个业务系统；所述多个业务系统获取来自所述用户的操作指令，根据所述验证结果响应所述用户的操作指令。

根据本公开的实施例，所述认证机构根据所述配置信息和所述响应报文生成验证结果包括：获取存储在所述认证机构中的所述多个业务系统的配置信息；根据所述配置信息获取与所述多个业务系统相对应的关联信息；将所述关联信息与所述响应报文整合生成验证结果。

根据本公开的实施例，所述根据所述配置信息获取与所述多个业务系统相对应的关联信息包括：遍历所述多个业务系统；根据每个业务系统的类型获取与该业务系统相关联的关联信息，所述关联信息包括验证结果服务路由接口。

根据本公开的实施例，所述将所述验证结果保存至所述多个业务系统包括：将所述验证结果以缓存和/或持久化存储的形式保存至所述多个业务系统，生成验证数据。

根据本公开的实施例，在将所述验证结果保存至所述多个业务系统之后，还包括确定所述验证数据的失效时间。

根据本公开的实施例，在所述根据所述验证请求生成响应报文之后，还包括根据所述验证请求生成用户会话失效时间。

根据本公开的实施例，所述确定所述验证数据的失效时间包括：所述业务系统根据所述用户会话失效时间确定所述验证数据的失效时间。

根据本公开的实施例，所述确定所述验证数据的失效时间包括：所述业务系统根据所述用户登出状态确定所述验证数据的失效时间。

根据本公开的实施例，所述的验证方法还包括根据所述多个业务系统的更新状态实时更新所述认证机构中的所述配置信息。

根据本公开的实施例，所述验证结果包括验证通过和验证失败，所述根据所述验证结果响应所述用户的操作指令包括：若所述验证结果为验证通过，则所述多个业务系统执行所述用户的操作指令；若所述验证结果为验证失败，则所述多个业务系统不执行所述用户的操作指令，或提示所述用户进行验证操作。

本公开的第二方面提供了一种分布式系统架构的验证装置，所述分布式系统架构包括认证机构和多个业务系统，其中，所述验证装置包括：配置模块，配置为在所述认证机构中配置所述多个业务系统的配置信息，所述配置信息包括系统名称信息、服务路由信息以及接口信息；第一生成模块，配置为通过所述认证机构获取来自一个业务系统的用户的验证请求，根据所述验证请求生成响应报文；第二生成模块，配置为通过所述认证机构根据所述配置信息和所述响应报文生成验证结果，将所述验证结果保存至所述多个业务系统；响应模块，配置为通过所述多个业务系统获取来自所述用户的操作指令，根据所述验证结果响应所述用户的操作指令。

根据本公开的实施例，所述第二生成模块包括第二生成子模块，所述第二生成子模块配置为获取存储在所述认证机构中的所述多个业务系统的配置信息；根据所述配置信息获取与所述多个业务系统相对应的关联信息；将所述关联信息与所述响应报文整合生成验证结果。

根据本公开的实施例，第二生成子模块包括获取子模块，所述获取子模块配置为遍历所述多个业务系统；根据每个业务系统的类型获取与该业务系统相关联的关联信息，所述关联信息包括验证结果服务路由接口。

根据本公开的实施例，所述第二生成模块还包括保存子模块，所述保存子模块配置为将所述验证结果以缓存和/或持久化存储的形式保存至所述多个业务系统，生成验证数据。

根据本公开的实施例，所述验证装置还包括确定模块，所述确定模块配置为在所述根据所述验证请求生成响应报文之后，根据所述验证请求生成用户会话失效时间；使所述业务系统根据所述用户会话失效时间确定所述验证数据的失效时间。或者，所述确定模块配置为使所述业务系统根据所述用户登出状态确定所述验证数据的失效时间。

根据本公开的实施例，所述响应模块包括响应子模块，所述响应子模块配置为若所述验证结果为验证通过，则使所述多个业务系统执行所述用户的操作指令；若所述验证结果为验证失败，则使所述多个业务系统不执行所述用户的操作指令，或提示所述用户进行验证操作。

本公开的第三方面提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储可执行指令，所述可执行指令在被所述处理器执行时，实现根据上文所述的验证方法。

本公开的第四方面提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时，实现根据上文所述的验证方法。

本公开的第五方面提供了一种计算机程序产品，其中，所述产品存储有计算机程序，所述计算机程序在被执行时能够实现根据上文所述的验证方法。

根据本公开的实施例，通过基于用户的验证请求生成的响应报文和多个业务系统的配置信息以生成验证结果，并将验证结果保存至多个业务系统，在业务系统的用户进行操作时，根据业务系统存储的验证结果响应用户的操作指令。使用户在验证完成后，实现在业务系统内存储用户的验证结果，用户在进行操作时，无需再通过认证机构验证，可以实现认证机构在接入业务系统较多或者用户过多时，有效降低认证机构的处理压力，至少能够部分实现节省硬件，降低成本。

附图说明

通过以下参照附图对本公开实施例的描述，本公开的上述内容以及其他目的、特征和优点将更为清楚，在附图中：

图1示意性示出了可以应用本公开实施例的验证方法的系统架构的示意图；

图2A示意性示出了根据本公开实施例的验证方法的流程图；

图2B示意性示出了根据本公开实施例的验证方法的执行过程的示意图；

图3示意性示出了根据本公开实施例的验证方法的生成验证结果的流程图；

图4示意性示出了根据本公开实施例的验证方法的获取关联信息的流程图；

图5示意性示出了根据本公开实施例的验证方法的在业务系统和认证机构中的执行流程图；

图6示意性示出了根据本公开实施例的验证装置的结构框图；

图7示意性示出了根据本公开实施例的适于实现本公开的验证方法的电子设备的方框图。

具体实施方式

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

在使用类似于“A、B和C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。

本公开的实施例提供了一种分布式系统架构的验证方法及装置，分布式系统架构包括认证机构和多个业务系统，其中，该验证方法包括：在认证机构中配置多个业务系统的配置信息，配置信息包括系统名称信息、服务路由信息以及接口信息；认证机构获取来自一个业务系统的用户的验证请求，根据验证请求生成响应报文；认证机构根据配置信息和响应报文生成验证结果，将验证结果保存至多个业务系统；多个业务系统获取来自用户的操作指令，根据验证结果响应用户的操作指令。

根据本公开的实施例，通过基于用户的验证请求生成的响应报文和多个业务系统的配置信息以生成验证结果，并将验证结果保存至多个业务系统，在业务系统的用户进行操作时，根据业务系统存储的验证结果响应用户的操作指令。使用户在验证完成后，实现在业务系统内存储用户的验证结果，用户在进行操作时，无需再通过认证机构验证，可以实现认证机构在接入业务系统较多或者用户过多时，有效降低认证机构的处理压力，至少能够部分实现节省硬件，降低成本。

图1示意性示出了可以应用本公开实施例的验证方法的系统架构的示意图。需要注意的是，图1所示仅为可以应用本公开实施例的系统架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。需要说明的是，本公开实施例提供验证方法和装置可用于互联网技术领域、金融领域的相关方面，也可用于除金融领域之外的任意领域，本公开实施例提供的验证方法和装置对应用领域不做限定。

如图1所示，可以应用验证方法的示例性系统架构100可以包括多个业务系统101、102、103、104，网络105和认证机构106。网络105用以在多个业务系统101、102、103、104和认证机构106之间提供通信链路的介质。网络105可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用多个业务系统101、102、103、104通过网络105与认证机构106交互，具体地，例如，通过认证机构验证业务系统的用户的身份信息。多个业务系统101、102、103、104上可以安装有各种数据处理客户端或者通讯客户端应用，业务系统设置有信息输入装置，可以通过业务系统输入各种用户信息。例如业务系统类的应用可以是银行网银类应用、数据分析类应用、购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)，通过这些客户端应用输入相应的用户身份信息等等。

业务系统101、102、103、104可以是具有信息输入、信息收集和数据处理功能的各种电子设备，包括但不限于智能手机、智能电视、平板电脑、膝上型便携计算机和台式计算机等等。

认证机构106可以是包含安全服务器、CA服务器、登记中心RA、LDAP服务器以及数据库服务器的系统，其中，安全服务器用于提供证书申请、浏览、证书撤销列表以及证书下载等安全服务。CA服务器是整个认证机构的核心，负责证书的签发。登记中心RA面向登记中心操作员。LDAP服务器提供目录浏览服务，其他用户通过访问LDAP服务器就能够得到其他用户的数字证书。数据库服务器用于认证机构数据(如秘钥和用户信息等)、日志和统计信息的存储和管理。认证机构106主要对来自业务系统的用户的身份等信息进行验证。

需要说明的是，本公开实施例所提供的验证方法通过多个业务系统和认证机构的之间的相互关系进行实现。具体地，业务系统101、102、103、104中的用户输入验证请求，并通过业务系统发送至认证机构106。认证机构在接收到验证请求后，对该用户的身份进行认定，并生成验证结果，最终将验证结果发送至所有的业务系统101、102、103、104，业务系统保存该用户的验证结果，在用户未关闭当前会话的状态下，在进行与该用户相关的业务系统进行相关业务操作时，则不需要再次通过认证机构106的认证。由此，可以实现认证机构106在接入业务系统101、102、103、104较多或者用户过多时，降低认证机构的处理压力，至少能够部分实现节省硬件，降低成本。

应该理解，图1中的业务系统、网络和认证机构的数目仅仅是示意性的。根据实现需要，可以具有任意数目的业务系统、网络和认证机构。

以下将通过图2A至图5对公开实施例的验证方法进行详细描述。

图2A示意性示出了根据本公开实施例的验证方法的流程图。图2B示意性示出了根据本公开实施例的验证方法的执行过程的示意图。

如图2A所示，本公开实施例的分布式系统架构的验证方法的流程200包括操作S201至操作S204。其中，分布式系统架构包括认证机构(CA，Certification Authority)和多个业务系统。

在操作S201中，在认证机构中配置多个业务系统的配置信息，配置信息包括系统名称信息、服务路由信息以及接口信息。

在本公开的实施例中，在认证机构中配置多个业务系统的配置信息，例如配置信息可以是业务系统名称信息(每一个业务系统所对应的名称)、服务器路由信息，以及接口信息例如持久化CA认证结果接口url等信息。认证机构进行配置后，将这些配置信息保存在认证机构中，便于后续的调用。

配置信息支持实时在线同步更新。例如，在业务系统的名称发生变更，根据该业务系统的变更状态对与该业务系统相对应的配置信息进行更新。业务系统增加或者减少时，则根据业务系统增加或减少实时的增加或删除相应的业务系统的配置信息，以保证配置信息的准确和与业务系统同步变化。

在操作S202中，认证机构获取来自一个业务系统的用户的验证请求，根据验证请求生成响应报文。

在本公开的实施例中，分布式系统架构包括有多个业务系统，每个业务系统中存在有多个用户。其中用户要对业务系统内的业务进行操作时，首先用户需要通过输入验证信息(例如身份信息)完成登录等操作，以获取相应的权限，进一步的对业务系统内的业务进行相应的操作。

例如，用户在其中一个业务系统进行登录/登出操作，根据用户登录/登出操作，业务系统生成该用户的验证请求，并将该验证请求发送至认证机构。认证机构在获取该验证请求后，对验证请求中的与该用户相关的信息进行验证，生成响应报文。响应报文中包含验证通过或验证失败的信息。

在操作S203中，认证机构根据配置信息和响应报文生成验证结果，将验证结果保存至多个业务系统。

在本公开的实施例中，生成的响应报文都是相同的，对于不同的业务系统，其配置信息不一样。因此，需要结合响应报文和配置信息以生成针对不同业务系统的验证结果，便于将验证结果有效的发送保存至多个业务系统，同时与方便业务系统对验证结果的调用。

例如，如图2B所示，本实施例的分布式系统架构210包括有多个业务系统，例如业务系统A 211、业务系统B 212、业务系统C 213，至业务系统N 214，以及认证机构216。业务系统与认证机构216之间可以进行通信。每个业务系统具有不同的业务，针对不同的业务系统，其在认证机构216中配置的配置信息也不同。根据在认证机构216中配置的配置信息，可以实现认真机构针对不同的业务系统进行通信。

在一种实施例中，例如业务系统N 214中的某一个用户需要该对业务系统的业务进行操作，其通过业务系统N 214向认证机构216发送与该用户相关的用户验证请求215，认证机构216在接收到用户的验证请求后，生成验证结果217，该验证结果217是与该用户相关联的。认证机构216将生成的该验证结果217发送至该分布式系统架构210的所有的业务系统。所有的业务系统接收该验证结果217后并保存，此时，在该验证结果217的状态未发生改变时，其他业务系统(例如业务系统A 211，或者业务系统C 213等)的用户(与业务系统N214中的用户身份信息相同)在进行相关的业务操作时，根据储存在业务系统的用户的验证结果来执行指令。

在可选的实施例中，认证机构也可以同时接受来自多个业务系统的同一用户的验证请求。在验证结果为验证通过时，且验证结果的状态未发生改变时，认证机构216不接收相同用户的验证请求。当验证结果为验证不通过，或者验证结果的状态发生改变时，则认证机构216可以接收用户的验证请求。验证结果的状态发生改变例如可以是指该验证结果失效，或者与该验证结果相关的用户通过认证机构进行登出等操作。

在可选的实施例中，认证机构在生成验证结果后，可以设置为将验证结果发送至与该登陆的用户相关联的业务系统，而与该登陆的用户不相关联的业务系统，则不向该业务系统发送验证结果。

在操作S204中，多个业务系统获取来自用户的操作指令，根据验证结果响应所述用户的操作指令。

在将验证结果保存至多个业务系统后，业务系统获取用户的操作指令，根据保存的验证结果来相应用户的操作指令。例如，验证结果保存至所有的业务系统，其中任意一个业务系统在接收到用户的操作指令后，判断该用户是否与该验证结果相关联，若相关联，则继续判断该验证结果为验证通过还是验证失败，根据不同的验证结果响应不同的操作。若不相关联，则可以在业务系统显示登录界面或验证界面，以提示用户向认证机构进行发送验证请求。

根据本公开的实施例，认证机构根据用户的验证请求生成验证结果，将验证结果保存至分布式系统架构的多个业务系统，从而使多个业务系统中的用户在进行登录时，直接根据保存在业务系统中的验证结果响应用户的操作，无需再通过认证机构进行认证，有效降低认证机构的处理压力。

图3示意性示出了根据本公开实施例的验证方法的生成验证结果的流程图。

在本公开的实施例中，认证机构根据配置信息和响应报文生成验证结果的流程图300包括操作S301至操作S303。

在操作S301中，获取存储在认证机构中的多个业务系统的配置信息。

认证系统中存储的配置信息包括分布式系统架构的所有业务系统的配置信息。例如，包括所有的业务系统的名称信息，所有的业务系统的服务路由信息，以及所有的业务系统的接口信息，根据这些信息可以连接至不同的业务系统。

在操作S302中，根据配置信息获取与多个业务系统相对应的关联信息。

根据配置信息可以使认证机构与业务系统之间建立连接关系，便于向业务系统传输数据等信息。

图4示意性示出了根据本公开实施例的验证方法的获取关联信息的流程图。

在本公开的实施例中，根据配置信息获取与多个业务系统相对应的关联信息的流程400包括操作S401至操作S402。

在操作S401中，遍历多个业务系统。遍历分布式系统架构中的所有业务系统，从而保证最终的验证结果可以传输至每个业务系统，可有效防止数据遗漏。

在操作S402中，根据每个业务系统的类型获取与该业务系统相关联的关联信息，关联信息包括验证结果服务路由接口。

例如，业务系统的类型不同，则其验证结果服务路由接口也不相同。业务系统的类型可以根据多个关联信息来确定。在一种实施方式中，关联信息可以是验证结果服务路由接口，在获取该验证结果服务路由接口后，即确定了其所要接入的业务系统。

在可选的实施例中，关联信息也可以是其他可以确定业务系统类型的信息，例如业务系统的用户。

在操作S302完成后，接下来执行操作S303。在操作S303中，将关联信息与响应报文整合生成验证结果。

在本公开的实施例中，根据关联信息可以确定分布式系统架构中的多个业务系统的具体业务系统。响应报文中具有验证通过和验证失败的相关信息。通过将关联信息与响应报文整合生成的验证结果是与不同的业务系统相对应的。由此，认证机构可以根据生成的验证结果的不同将该验证结果发送至对应的业务系统，便于业务系统进行调用。在本实施例中，关联信息可以是与所有的业务系统相关联，根据该关联信息生成的验证结果可以发送至所有业务系统。

在可选的实施例中，验证结果例如可以是根据业务系统的用户类型、数量和名称中的至少一个与响应报文整合生成的。在将验证结果保存至多个业务系统时，可以是根据业务系统中的用户类型、数量和名称等进行保存。例如，可以将根据某一用户(例如用户A)的用户名与响应报文整合生成的验证结果发送至具有该某一用户(例如用户A)的业务系统中，其他的没有该某一用户(例如用户A)的业务系统则不发送该验证结果。可选的，也可以将该验证结果发送至分布式系统架构的所有的业务系统，便于统一的数据传输和数据管理。

在本公开的实施例中，将验证结果保存至多个业务系统包括：将验证结果以缓存和/或持久化存储的形式保存至多个业务系统，生成验证数据。

例如，将验证结果以高性能nosql缓存数据库Redis(REmote Dictionary Server)进行存储，生成验证数据。验证数据可以在业务系统的用户进行操作时被调用，来确定该用户是否具有操作权限。使用Redis做缓存，方便多个业务系统的业务进程之间共享数据，当Redis的验证数据都存放在内存中，若不配置持久化，Redis重启后，数据就全部丢失。为了提高Redis的验证数据的安全性，防止验证数据丢失，开启Redis的持久化功能，将验证数据保存到磁盘上，当Redis重启后，可以从磁盘中恢复数据。

在本公开的实施例中，持久化策略可以采用RDB(Redis DataBase)持久化或AOF(Append Only File)持久化。其中RDB持久化是指在指定的时间间隔内将内存中的数据集快照写入磁盘，实际操作过程是fork一个子进程，先将数据集写入临时文件，写入成功后，再替换之前的文件，用二进制压缩存储。AOF持久化是以日志的形式记录服务器所处理的每一个写、删除操作，查询操作不会记录，以文本的方式记录，可以打开文件看到详细的操作。在实际的选择过程中，根据用户的需求选择不同的持久化策略。例如，为了获得更高的缓存一致性，可以选择AOF持久化策略，在写操作频繁的时候，不启用备份来换取更高的性能，可以选择RDB持久化策略。

在本公开的实施例中，在将验证结果保存至多个业务系统之后，确定验证数据的失效时间。为了保证用户信息的安全性，需要设置验证数据的失效时间。例如，当用户登录一段时间后未执行任何操作，或者由于网络等其他原因，导致用户登出的操作无法及时反应至不同的业务系统。通过设置验证数据的失效时间，使用户在业务系统中没有任何操作后，或者网络失去连接一段时间后，使验证数据失效。用户在业务系统进行相关的操作时，需要重新调用认证机构进行认证，保证用户数据的安全性。

在本公开的实施例中，在根据验证请求生成响应报文之后，还包括根据验证请求生成用户会话失效时间。用户在业务系统进行身份验证之后，可能会存在一直不进行相关操作，也不登出的情况。或者业务系统之间的网络连接导致用户在关闭会话窗口或登出操作后，其他的业务系统无法及时更新相关信息，导致用户在已经登出或关闭会话窗口的情况下，其他的业务系统上一直显示该用户处于验证通过的状态。通过设置会话失效时间，可以使其他业务系统在未及时更新用户登录状态或会话操作的情况下，也可以实现对后述的验证数据进行控制，提高数据安全性。

在本公开的实施例中，确定验证数据的失效时间包括业务系统根据用户会话失效时间确定验证数据的失效时间。

由上文所述，在确定用户会话失效时间后，将该数据信息与上文所述的关联信息以及响应报文整合在一起，发送至对应的业务系统。业务系统在接收到该信息后，根据用户会话失效时间来确定验证数据的失效时间。例如，用户会话失效时间是30分钟，当用户未在业务系统内进行操作，则在30分钟后，验证数据失效。若在30分钟后，业务系统的用户要进行操作，则需要调用认证机构对该用户的身份信息进行验证，并如前文所述，进一步将验证结果发送至部分业务系统或所有业务系统保存。

在本公开的实施例中，确定验证数据的失效时间包括业务系统根据用户登出状态确定验证数据的失效时间。例如，在接收到业务系统的用户登出的操作时，则根据与验证数据相关联的用户的登出操作，确定所有的业务系统的验证数据失效时间。即某一业务系统的用户执行了登出操作，则其他具有与该用户相关的验证数据的业务系统的验证数据失效。该用户若需要进行相关权限的操作，需要调用认证机构对该用户的身份信息进行验证。

在本公开的实施例中，验证结果包括验证通过和验证失败，根据验证结果响应用户的操作指令包括：若验证结果为验证通过，则多个业务系统执行用户的操作指令；若验证结果为验证失败，则多个业务系统不执行用户的操作指令，或提示用户进行验证操作。

例如，在认证机构完成认证后，生成的响应报文中包含有验证通过和验证失败的相关信息。最终基于响应报文生成的验证结果中同样包含验证通过和验证失败的相关信息。每一个业务系统在接收到验证结果后，可以根据验证结果中包含的信息响应用户的操作指令。例如，若在业务系统的用户是与该验证结果的用户相同，并且验证结果包含有验证通过的信息，则业务系统认定该用户具有相应的权限，并对该用户权限内的操作指令进行响应。若在业务系统的用户是与该验证结果的用户不同或验证结果中包含有验证失败的信息，则业务系统认定该用户不具有相应的权限，不执行该用户的操作指令。进一步的，可以提示该用户进行验证操作。

图5示意性示出了根据本公开实施例的验证方法的在业务系统和认证机构中的执行流程图。

如图5所示，本公开的验证方法在业务系统510和认证机构520的执行流程图包括操作S501至操作S511。该流程包括三个阶段：信息配置阶段X、用户状态保存阶段Y以及统一认证阶段Z。

具体地，信息配置阶段X包括操作S501至操作S502。

在操作S501中，将业务系统接入认证机构，业务系统可以是多个，业务系统也可以根据需求增加或减少。

在操作S502中，在认证机构中配置接入的多个业务系统的配置信息。配置信息包括系统名称信息、服务路由信息以及接口信息。

用户状态保存阶段Y包括操作S503至操作S509。

在操作S503中，在业务系统中的一个或多个用户开始验证。

在操作S504中，根据用户的操作，在业务系统中生成验证请求，该验证请求被发送至认证机构。

在操作S505中，认证机构根据验证请求完成对用户的验证，并生成响应报文，该响应报文中包含有认证通过或认证失败的信息。

在生成响应报文之后，还根据验证请求生成业务系统的用户会话失效时间。

在操作S506中，认证机构获取配置的多个业务系统的所有配置信息。

在操作S507中，遍历多个业务系统。

在操作S508中，根据每个业务系统的类型获取与该业务系统相关联的关联信息，关联信息包括验证结果服务路由接口。然后将关联信息与响应报文整合生成验证结果。

在操作S509中，将验证结果保存至多个业务系统，例如可以是保存至所有的业务系统，或者保存至与验证结果用户相关的业务系统。在将验证结果保存至业务系统后，确定由验证生成的验证数据的失效时间。

统一认证阶段Z包括操作S510至操作S511。

在操作S510中，业务系统接收来自用户的操作指令。

在操作S511中，根据保存的验证结果查询进行操作的用户是否验证通过，并根据查询结果响应用户的操作指令。

在本公开的实施例中，对于相同的用户，多个业务系统中的用户要进行操作，只需要其中一个用户通过业务系统与认证机构连接，通过认证机构验证用户身份，实现用户登录。并在用户登录完成验证后，将该用户的用户状态(验证结果)保存至所有的业务系统或者部分与该用户相关的业务系统，在该同一用户进行相应的权限操作时，根据验证结果来响应用户的操作。无需再通过认证机构验证，可以实现认证机构在接入业务系统较多或者用户过多时，有效降低认证机构的处理压力，至少能够部分实现节省硬件，降低成本。

图6示意性示出了根据本公开实施例的验证装置的结构框图。

如图6所示，本公开实施例的验证装置600包括配置模块610、第一生成模块620、第二生成模块630以及响应模块640。

其中，配置模块610，配置为在认证机构中配置多个业务系统的配置信息，配置信息包括系统名称信息、服务路由信息以及接口信息。配置模块610可以用于执行本公开实施例的操作S201，在此不再赘述。

第一生成模块620，配置为通过认证机构获取来自一个业务系统的用户的验证请求，根据验证请求生成响应报文。第一生成模块620可以用于执行本公开实施例的操作S202，在此不再赘述。

第二生成模630，配置为通过认证机构根据配置信息和响应报文生成验证结果，将验证结果保存至多个业务系统。第二生成模块630可以用于执行本公开实施例的操作S203，在此不再赘述。

响应模块640，配置为通过多个业务系统获取来自用户的操作指令，根据验证结果响应用户的操作指令。响应模块640可以用于执行本公开实施例的操作S204，在此不再赘述。

在本公开的实施例中，第二生成模块630包括第二生成子模块631，第二生成子模块631配置为获取存储在认证机构中的多个业务系统的配置信息，根据配置信息获取与多个业务系统相对应的关联信息，将关联信息与响应报文整合生成验证结果。

在本公开的实施例中，第二生成子模块631包括获取子模块，获取子模块配置为遍历多个业务系统，根据每个业务系统的类型获取与该业务系统相关联的关联信息，关联信息包括验证结果服务路由接口。

在本公开的实施例中，第二生成模块630还包括保存子模块632，保存子模块632配置为将验证结果以缓存和/或持久化存储的形式保存至多个业务系统，生成验证数据。

在本公开的实施例中，验证装置还包括确定模块650，确定模块650配置为在根据验证请求生成响应报文之后，根据验证请求生成用户会话失效时间；使业务系统根据用户会话失效时间确定验证数据的失效时间。或者，确定模块650配置为使业务系统根据用户登出状态确定验证数据的失效时间。

在本公开的实施例中，响应模块640包括响应子模块，响应子模块配置为若验证结果为验证通过，则使多个业务系统执行用户的操作指令。若验证结果为验证失败，则述多个业务系统不执行用户的操作指令，或提示用户进行验证操作。

根据本公开的实施例，配置模块610、第一生成模块620、第二生成模块630、响应模块640、确定模块650、第二生成子模块631、保存子模块632、获取子模块、响应子模块中的任意多个模块可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，配置模块610、第一生成模块620、第二生成模块630、响应模块640、确定模块650、第二生成子模块631、保存子模块632、获取子模块、响应子模块中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，配置模块610、第一生成模块620、第二生成模块630、响应模块640、确定模块650、第二生成子模块631、保存子模块632、获取子模块、响应子模块中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

图7示意性示出了根据本公开实施例的适于实现本公开的验证方法的电子设备的方框图。图7示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图7所示，根据本公开实施例的电子设备700包括处理器701，其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。处理器701例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(ASIC))等等。处理器701还可以包括用于缓存用途的板载存储器。处理器701可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

在RAM 703中，存储有电子设备700操作所需的各种程序和数据。处理器701、ROM702以及RAM 703通过总线704彼此相连。处理器701通过执行ROM 702和/或RAM 703中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除ROM 702和RAM 703以外的一个或多个存储器中。处理器701也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。

根据本公开的实施例，电子设备700还可以包括输入/输出(I/O)接口705，输入/输出(I/O)接口705也连接至总线704。电子设备700还可以包括连接至I/O接口705的以下部件中的一项或多项：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。

本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的验证方法。

根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的ROM 702和/或RAM 703和/或ROM 702和RAM 703以外的一个或多个存储器。

本公开的实施例还包括一种计算机程序产品，其包括计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时，该程序代码用于使计算机系统实现本公开实施例所提供的验证方法。

在该计算机程序被处理器701执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例，上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。

在一种实施例中，该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中，该计算机程序也可以在网络介质上以信号的形式进行传输、分发，并通过通信部分709被下载和安装，和/或从可拆卸介质711被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被处理器701执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。

根据本公开的实施例，可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码，具体地，可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java，C++，python，“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。

以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。

Claims (14)

1.一种分布式系统架构的验证方法，所述分布式系统架构包括认证机构和多个业务系统，其中，所述验证方法包括：

在所述认证机构中配置所述多个业务系统的配置信息，所述配置信息包括系统名称信息、服务路由信息以及接口信息；

所述认证机构获取来自一个业务系统的用户的验证请求，根据所述验证请求生成响应报文；

所述认证机构根据所述配置信息和所述响应报文生成验证结果，将所述验证结果保存至所述多个业务系统；

所述多个业务系统获取来自所述用户的操作指令，根据所述验证结果响应所述用户的操作指令。

2.根据权利要求1所述的验证方法，其中，所述认证机构根据所述配置信息和所述响应报文生成验证结果包括：

获取存储在所述认证机构中的所述多个业务系统的配置信息；

根据所述配置信息获取与所述多个业务系统相对应的关联信息；

将所述关联信息与所述响应报文整合生成验证结果。

3.根据权利要求2所述的验证方法，其中，所述根据所述配置信息获取与所述多个业务系统相对应的关联信息包括：

遍历所述多个业务系统；

根据每个业务系统的类型获取与该业务系统相关联的关联信息，所述关联信息包括验证结果服务路由接口。

4.根据权利要求1所述的验证方法，其中，所述将所述验证结果保存至所述多个业务系统包括：

将所述验证结果以缓存和/或持久化存储的形式保存至所述多个业务系统，生成验证数据。

5.根据权利要求4所述的验证方法，其中，在将所述验证结果保存至所述多个业务系统之后，还包括确定所述验证数据的失效时间。

6.根据权利要求5所述的验证方法，在所述根据所述验证请求生成响应报文之后，还包括根据所述验证请求生成用户会话失效时间。

7.根据权利要求6所述的验证方法，其中，所述确定所述验证数据的失效时间包括：

所述业务系统根据所述用户会话失效时间确定所述验证数据的失效时间。

8.根据权利要求5所述的验证方法，其中，所述确定所述验证数据的失效时间包括：

所述业务系统根据所述用户登出状态确定所述验证数据的失效时间。

9.根据权利要求1至8中任一项所述的验证方法，其中，还包括根据所述多个业务系统的更新状态实时更新所述认证机构中的所述配置信息。

10.根据权利要求1至8中任一项所述的验证方法，其中，所述验证结果包括验证通过和验证失败，

所述根据所述验证结果响应所述用户的操作指令包括：

若所述验证结果为验证通过，则所述多个业务系统执行所述用户的操作指令；

若所述验证结果为验证失败，则所述多个业务系统不执行所述用户的操作指令，或提示所述用户进行验证操作。

11.一种分布式系统架构的验证装置，所述分布式系统架构包括认证机构和多个业务系统，其中，所述验证装置包括：

配置模块，配置为在所述认证机构中配置所述多个业务系统的配置信息，所述配置信息包括系统名称信息、服务路由信息以及接口信息；

第一生成模块，配置为通过所述认证机构获取来自一个业务系统的用户的验证请求，根据所述验证请求生成响应报文；

第二生成模块，配置为通过所述认证机构根据所述配置信息和所述响应报文生成验证结果，将所述验证结果保存至所述多个业务系统；

响应模块，配置为通过所述多个业务系统获取来自所述用户的操作指令，根据所述验证结果响应所述用户的操作指令。

12.一种电子设备，包括：

一个或多个处理器；

存储装置，用于存储可执行指令，所述可执行指令在被所述处理器执行时，实现根据权利要求1至10中任一项所述的验证方法。

13.一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时，实现根据权利要求1至10中任一项所述的验证方法。

14.一种计算机程序产品，其中，所述产品存储有计算机程序，所述计算机程序在被执行时能够实现根据权利要求1至10中任一项所述的验证方法。

Images