[发明专利]跨微服务的认证和授权

权利要求书

1.一种计算机实现的方法，包括：

从请求实体接收对微服务做出的、请求访问所述微服务的访问请求以及访问令牌；

从所述访问令牌中获得所述请求实体的身份；

识别由所述请求实体用于获得所述访问令牌并且请求访问所述微服务的访问模式；

基于所述请求实体的所述身份和识别出的访问模式，来识别访问策略中与所述微服务相对应的权限；以及

生成指示关于所述访问请求的授权确定的授权输出。

2.根据权利要求1所述的计算机实现的方法，并且还包括：

在识别权限之前，验证所述访问令牌。

3.根据权利要求2所述的计算机实现的方法，其中，验证所述访问令牌包括：

识别与所述访问令牌相对应的访问权限；以及

验证所请求的访问被包含在所述访问权限中。

4.根据权利要求1所述的计算机实现的方法，其中，生成所述授权确定包括：

如果从所述访问策略中识别出的所述权限包括所请求的访问，则生成授权所述访问请求的所述授权输出。

5.根据权利要求4所述的计算机实现的方法，其中，生成所述授权确定包括：

如果从所述访问策略中识别出的所述权限不包括所请求的访问，则生成拒绝所述访问请求的所述授权输出。

6.根据权利要求1所述的计算机实现的方法，并且还包括：

向认证服务器注册针对所述请求实体以及针对所述微服务的认证元数据；

在所述认证服务器处接收来自所述请求实体的、请求所述访问令牌的访问令牌请求；以及

基于所述认证元数据从所述认证服务器向所述请求实体发布所述访问令牌。

7.根据权利要求1所述的计算机实现的方法，其中，识别所述访问模式包括：

识别向其发布所述访问令牌的所述请求实体是直接将所述访问令牌发送到所述微服务的应用；以及

将所述访问模式识别为直接访问模式，并且其中，识别所述访问策略中与所述应用相对应的权限包括基于所述应用的身份和所述访问模式是直接访问模式来识别所述访问策略中的所述权限。

8.根据权利要求1所述的计算机实现的方法，其中，识别所述访问模式包括：

识别向其发布所述访问令牌的所述请求实体是将所述访问令牌发送到中间微服务的应用，所述中间微服务将所述访问令牌转发到所述微服务；以及

将所述访问模式识别为受保护的转发访问模式，并且其中，识别所述访问策略中与所述应用相对应的权限包括基于所述应用的身份和所述访问模式是受保护的转发访问模式来识别所述访问策略中的所述权限。

9.根据权利要求1所述的计算机实现的方法，其中，识别所述访问模式包括：

识别向其发布所述访问令牌的所述请求实体是获得所述访问令牌而不提供针对权限的特定集合的认证的服务或微服务；以及

将所述访问模式识别为高特权访问模式，并且其中，识别所述访问策略中与所述应用相对应的权限包括基于包括所述请求实体的所述服务或微服务的身份以及所述访问模式是高特权访问模式来识别所述访问策略中的所述权限。

10.根据权利要求1所述的计算机实现的方法，并且还包括：

在交互处理系统中记录交互信息，所述交互信息包括所述访问请求、所述微服务的身份、所述请求实体的所述身份、所述访问模式的指示符、所述权限、访问策略标识符、以及指示所述授权确定的所述授权输出。

11.根据权利要求10所述的计算机实现的方法，并且还包括：

基于所记录的交互信息来生成风险评估模型，所述风险评估模型被配置为基于在运行时操作期间被提供给所述风险评估模型的交互信息来识别风险评估级别。