[发明专利]跨微服务的认证和授权

说明书

授权策略定义了由微服务公开的权限。当对微服务做出调用时，其包含访问令牌。从所述令牌中提取独有地标识调用应用的应用标识符。识别由所述调用应用用于获得所述访问令牌并且对所述微服务做出所述调用的访问模式。可以基于所述应用标识符以及识别出的访问模式，在所述授权策略中识别被授予给所述调用应用的权限。基于所授予的权限，做出关于是否授权所述调用的授权决定。

背景技术

计算系统被广泛地使用。一些计算系统托管可以由一个或多个不同的组织或租户访问的服务。一些服务被编写为处理服务的多个不同方面的相对大的应用。例如，可以将服务编写为处理组织的电子邮件、待办事项列表以及日历功能的单个应用。

然而，最近，这样的服务常常被分解成微服务。在整个服务或计算系统的上下文内，微服务与其他微服务松散地耦合。因此，例如，一个微服务可以执行电子邮件功能，而单独的微服务执行与待办事项列表相关的功能，而又一微服务执行日历系统中的调度任务。

微服务公开应用程序接口(API)并不少见。其他微服务(或者其他请求实体)能够调用API以便执行各种任务。

以上讨论仅仅提供了一般背景信息，而并不旨在用于辅助确定所要求保护的主题的范围。

发明内容

授权策略定义了由微服务公开的权限。当对微服务做出调用时，其包括访问令牌。从所述访问令牌中提取独有地标识调用应用的应用标识符。识别由调用应用用于获得访问令牌并且对微服务做出调用的访问模式。可以基于应用标识符并且基于识别出的访问模式，在授权策略中识别被授予给调用应用的权限。基于所授予的权限，做出关于是否授权调用的授权决定。

提供本发明内容是为了以简化形式介绍概念的选择，这些概念将在下文的详细描述中进一步描述。本发明内容并非旨在识别所要求保护的主题的关键特征或基本特征，也并不旨在用于辅助确定所要求保护的主题的范围。所要求保护的主题并不限于解决在背景中所提到的任何或所有缺点的实现方式。

附图说明

图1是计算系统架构的一个示例的框图。

图2是更详细示出授权决策生成器的一个示例的框图。

图3A和图3B示出了图示说明在图1中所示的计算系统架构的、对微服务之间的请求执行认证和授权的操作的一个示例的流程图。

图4是示出被部署在云计算架构中的、在图1中所示的计算系统架构的框图。

图5是示出了能够在先前图中示出的架构中所使用的计算环境的一个示例的框图。

具体实施方式

当使用多个不同的微服务来实现服务时，微服务通常需要相互通信以便为整体服务提供可接受的性能。然而，所有微服务都不需要完全访问由所有其他微服务控制的数据。

考虑上文所提到的示例，假设服务包括待办事项列表(或者任务管理)微服务、日历微服务、电子邮件微服务等。移动设备应用上的用户可能希望访问他的或她的待办事项列表并且执行管理操作(诸如添加或删除列表项目)。在这种情况下，用户可以与和待办事项微服务交互的移动设备应用进行交互。然而，任务列表数据可能由日历微服务所有。因此，用户可以请求待办事项微服务对任务列表数据执行操作。在这种情况下，待办事项微服务必须向拥有任务列表数据的日历微服务做出交互请求。

在这样的场景中，待办事项微服务不需要具有对所有日历数据的完全访问。例如，待办事项微服务无需访问在用户日历上安排的会议。因此，由日历微服务授予的权限应当限制被授予给待办事项微服务的权限，以仅访问日历微服务上的任务列表数据。此外，在向日历微服务授予任何权限之前，所述待办事项微服务应当将其自身向日历微服务进行认证。

这种类型的授权和认证管理在微服务之间会非常难以控制。此外，当添加新的微服务或者当修改现有的微服务时，会难以控制对与那些微服务相对应的认证和授权过程的改变。