[发明专利]一种微服务架构下实现级联授权的系统及方法

说明书

本发明特别涉及一种微服务架构下实现级联授权的系统及方法。该微服务架构下实现级联授权的系统，包括微服务应用，元数据管理中心和授权鉴权中心，各微服务应用均内置适配器Adapter。所述微服务应用通过内置的适配器Adapter连接到元数据管理中心和授权鉴权中心。该微服务架构下实现级联授权的系统及方法，解决了微服务架构下一次请求需要跨多个微服务应用时的权限问题，授权时不再需要用户知晓操作的依赖关系，也不需要对各操作进行逐个授权，极大的提升了用户体验，降低了用户使用和操作难度。

技术领域

本发明涉及身份认证和访问控制技术领域，特别涉及一种微服务架构下实现级联授权的系统及方法。

背景技术

随着微服务的兴起和广泛使用，越来越多的应用都开始采用微服务架构，然而，微服务架构下的权限控制，较传统单体应用，有着很大的不同。

在传统单体应用中，各功能模块之间的调用，属于进程内调用，不需要考虑安全性，因此，只需要在对外接口的入口处做好权限检查就可以了。

然而，微服务架构下，用户的一次请求，可能会涉及到跨多个微服务应用之间的调用。如：用户A拥有创建云主机的权限，而创建云主机还涉及到创建网络，挂载云硬盘等操作，而云主机、网络、云硬盘，分别隶属于三个不同的微服务应用；用户请求到达云主机应用，云主机应用进一步拿着用户身份凭证去调用网络和云硬盘的接口；此时，如果用户A没有创建网络和挂载云硬盘的权限的话，则创建云主机操作将无法完成。

如果用户A想要把云主机创建出来，还需要再进一步授予其创建网络和挂载云硬盘的权限。然而，这样的操作，在用户使用习惯和便捷度上，很不友好。

基于以上的问题，提出一种新的授权方式，以能够实现类似单体应用下的授权，成为技术人员亟待解决的难题。

基于上述情况，本发明提出了一种微服务架构下实现级联授权的系统及方法。只要授予用户A创建云主机的权限，那么就应该能够成功的创建出云主机，而不需要关注创建云主机内部的逻辑。

发明内容

本发明为了弥补现有技术的缺陷，提供了一种简单高效的微服务架构下实现级联授权的系统及方法。

本发明是通过如下技术方案实现的：

一种微服务架构下实现级联授权的系统，其特征在于：包括微服务应用，元数据管理中心和授权鉴权中心，各微服务应用均内置适配器Adapter；所述微服务应用通过内置的适配器Adapter连接到元数据管理中心和授权鉴权中心。

所述微服务应用中内置的适配器Adapter负责请求拦截，并与授权鉴权中心交互，验证请求者是否拥有所请求资源的权限。

所述元数据管理中心负责管理维护整个系统下，所有微服务应用的权限元数据信息，包括服务定义、资源类型定义、操作定义以及操作之间的依赖关系。

所述元数据管理中心保存有整个系统所有操作之间的依赖关系，当用户有某个操作的操作权限时，则认为该用户同时具有该操作依赖的其他操作的操作权限。

创建云主机依赖于创建网络，创建云主机还依赖于挂载云硬盘；当用户有创建云主机的操作权限时，授权鉴权中心同时认为该用户具有创建网络和挂载云硬盘的操作权限。

所述授权鉴权中心负责为用户分配权限，以及验证用户是否拥有指定资源的操作权限。

基于该微服务架构下实现级联授权的系统的实现方法，当微服务应用内置的适配器Adapter拦截到用户操作请求时，将请求者信息、请求的操作信息发送给授权鉴权中心进行权限验证；如果用户没有权限，则进一步去元数据管理中心查询依赖于当前操作的其他操作，然后进一步将请求者信息和依赖当前操作的其他操作信息发送给授权鉴权中心进行权限验证；如果有权限，则认为有权限，如果仍然没有权限，则进一步根据操作依赖关系进行权限验证，直至依赖关系结束。