[发明专利]一种微服务架构下实现级联授权的系统及方法

权利要求书

1.一种微服务架构下实现级联授权的系统，其特征在于：系统包括微服务应用，元数据管理中心和授权鉴权中心，各微服务应用均内置适配器Adapter；所述微服务应用通过内置的适配器Adapter连接到元数据管理中心和授权鉴权中心；

所述微服务应用中内置的适配器Adapter负责请求拦截，并与授权鉴权中心交互，验证请求者是否拥有所请求资源的权限；

所述元数据管理中心负责管理维护整个系统下所有微服务应用的权限元数据信息，包括服务定义、资源类型定义、操作定义以及操作之间的依赖关系；

所述元数据管理中心保存有整个系统所有操作之间的依赖关系，当用户有某个操作的操作权限时，则认为该用户同时具有该操作依赖的其他操作的操作权限；

所述授权鉴权中心负责为用户分配权限，以及验证用户是否拥有指定资源的操作权限；

当微服务应用内置的适配器Adapter拦截到用户操作请求时，将请求者信息、请求的操作信息发送给授权鉴权中心进行权限验证；如果用户没有权限，则进一步去元数据管理中心查询依赖于当前操作的其他操作，然后进一步将请求者信息和依赖当前操作的其他操作信息发送给授权鉴权中心进行权限验证；如果有权限，则认为有权限，如果仍然没有权限，则进一步根据操作依赖关系进行权限验证，直至依赖关系结束。

2.根据权利要求1所述的微服务架构下实现级联授权的系统，其特征在于：创建云主机依赖于创建网络，创建云主机还依赖于挂载云硬盘；当用户有创建云主机的操作权限时，授权鉴权中心同时认为该用户具有创建网络和挂载云硬盘的操作权限。

3.根据权利要求1或2所述的微服务架构下实现级联授权的系统的实现方法，其特征在于：包括以下步骤：

第一步，用户向微服务应用发出用户操作请求，所述用户操作请求携带用户凭证；

第二步，适配器Adapter拦截并解析用户操作请求，获取用户凭证信息和请求的操作信息；

第三步，适配器Adapter将解析获取的用户凭证信息和请求的操作信息发送到授权鉴权中心，检查用户是否有所请求的操作的操作权限；

第四步，若用户有操作权限，授权鉴权中心则返回反馈信息，适配器Adapter收到反馈信息后将用户操作请求发送到微服务应用，微服务应用执行该用户请求的相应操作即可；

第五步，若用户没有操作权限，则去元数据管理中心查询依赖于当前请求的操作的其他操作，然后进一步将用户凭证信息和依赖当前操作的其他操作信息发送给授权鉴权中心进行权限验证；如果用户对依赖当前操作的其他操作有操作权限，则认为用户有当前请求的操作的操作权限，回到第四步；

如果仍然没有权限，则进一步根据操作依赖关系查找其他操作进行权限验证，直至遍历所有依赖关系；如果用户对具有依赖关系的其他操作有操作权限，则认为用户有当前请求的操作的操作权限，回到第四步；

若遍历所有依赖关系都没有操作权限，则认为用户没有当前请求的操作的操作权限，授权鉴权中心返回反馈信息，适配器Adapter收到反馈信息后将用户操作请求拦截，微服务应用不执行该用户请求的相应操作。