[发明专利]一种鉴权方法、鉴权系统和计算机可读存储介质

说明书

本申请公开了一种鉴权方法、鉴权系统和计算机可读存储介质。所述鉴权方法包括调用终端向服务器发送请求信息和第一请求签名，服务器根据所述请求信息和第一请求签名获取所述调用终端的地址并在检查到服务器内存储有调用终端调用目标终端的权限记录时，生成授权信息和第一授权签名，然后将所述授权信息和所述第一授权签名发送给调用终端；调用终端向目标终端发送调用请求，目标终端根据所述授权信息生成第二授权签名；若所述第一授权签名与所述第二授权签名相同，则所述目标终端执行处理请求正文。本申请通过密钥对生成签名以实现微服务之间的鉴权和授权，从而提高整体架构的安全性。

技术领域

本申请涉及信息安全技术领域，具体涉及一种鉴权方法、鉴权系统和计算机可读存储介质。

背景技术

在微服务架构下，一个应用会被拆分成若干个微服务，系统中的各个微服务均可被独立部署，各个微服务之间是松耦合的。每个微服务都需要对访问进行鉴权以明确当前访问用户以及访问权限。同时，在微服务架构下，需要考虑外部应用接入的场景、用户和微服务之间的鉴权、微服务和微服务之间的鉴权等多种鉴权场景。

目前，用户(包括浏览器和APP)和微服务之间的鉴权方案已经非常成熟，在分布式多系统的环境下，以OAUTH 2.0为代表的安全协议也已经成为目前的行业标准。但对于大规模分布式系统所采用的微服务架构来说，由于软件系统结构的变化，一旦有恶意程序加入到整个微服务架构中，则可能利用微服务架构内部的调用接口完成非法或者越权操作，对微服务架构的内部安全产生威胁。

发明内容

有鉴于此，本申请提供一种鉴权方法、鉴权系统和计算机可读存储介质，可以在微服务之间实现鉴权和授权，从而提高微服务架构的安全性，防止恶意程序入侵。

本申请第一方面，提供一种鉴权方法，包括：

调用终端向服务器发送请求信息和第一请求签名，所述第一请求签名通过调用终端私钥生成；

服务器接收所述请求信息和第一请求签名；

服务器根据所述请求信息和第一请求签名获取所述调用终端的地址；

服务器在检查到服务器内存储有调用终端调用目标终端的权限记录时，生成授权信息和第一授权签名，所述第一授权签名通过目标终端公钥生成；

服务器将所述授权信息和所述第一授权签名发送给调用终端；

调用终端接收所述服务器发送的授权信息和第一授权签名；

调用终端向目标终端发送调用请求，所述调用请求包括授权请求头、授权信息、第一授权签名和请求正文；

目标终端接收所述调用请求并根据所述授权信息生成第二授权签名；

若所述第一授权签名与所述第二授权签名相同，则所述目标终端执行处理所述请求正文。

优选地，所述服务器根据所述请求信息和第一请求签名获取所述调用终端的地址包括：

服务器根据所述请求信息获取调用终端公钥，并根据所述调用终端公钥生成第二请求签名；

若所述第一请求签名与所述第二请求签名相同，根据超文本传输协议获取所述调用终端的地址。

优选地，所述根据所述授权信息生成第二授权签名包括：

目标终端根据所述授权信息获取目标终端私钥，并根据所述目标终端私钥生成第二授权签名。

优选地，所述请求信息包括调用终端的标识、目标终端的标识和时间戳；

其中，所述时间戳为所述调用终端生成请求信息时的时间。

优选地，所述服务器根据所述请求信息获取调用终端公钥包括：