[发明专利]一种基于令牌认证的微应用访问权限控制方法、装置

说明书

本发明涉及一种基于令牌认证的微应用访问权限控制方法、装置，用于分布式系统中微应用的访问授权控制，包括，黑白名单授权模式：该模式下服务方微应用网关对请求方进行黑白名单验证；外部令牌授权模式：该模式下服务方微应用网关对请求方进行授权令牌验证；微应用间请求关系授权模式：该模式服务方微应用网关对请求方接口流程请求验证；任意一种模式下，服务方微应用网关验证通过后携带相应的微应用令牌进行系统内的微应用访问授权。与现有技术相比，本发明无需通过网络隔离进行限制，同时不会额外增加为了验证访问授权导致的交易损耗。

技术领域

本发明涉及一种微应用访问权限控制方法，尤其是涉及一种基于令牌认证的微应用访问权限控制方法、装置。

背景技术

分布式架构下拥有一组或多组接口方法集合的微服务，因微服务大小规模各异，外界对微服务概念的理解多种多样，容易产生混淆，因此将分布式架构下的微服务称为微应用。

现有分布式架构下微应用的访问权限控制包括两种方式：一是通过网络隔离进行控制，即在一个网络内部署一套分布式架构应用，此网络内可以无需授权访问，外部请求需要开通网络才能访问此应用；二是通过秘钥加密方式，针对访问请求，需由请求方根据保存的秘钥进行加密认证，然后发送到服务方进行解密并验证身份信息，通过后才能访问。其中，网路隔离的方式虽然能通过网络限制外部访问，但是在同一网络内部，是可以随意访问的，会导致与底层网络有耦合关系。秘钥加密方式要求每次交易都需要请求方发送时进行加密，然后服务方在接收时解密验证，对交易的性能会有一定损耗。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种基于令牌认证的微应用访问权限控制方法、装置。

本发明的目的可以通过以下技术方案来实现：

一种基于令牌认证的微应用访问权限控制方法，用于分布式系统中微应用的访问授权控制，该方法包括如下模式：

黑白名单授权模式：用于请求方为IP固定的前台或非微应用、服务方为微应用的场景，该模式下接收访问请求的微应用网关对请求方进行黑白名单验证；

外部令牌授权模式：用于请求方为IP不固定的前台或非微应用、服务方为微应用的场景，该模式下接收访问请求的微应用网关对请求方进行授权令牌验证；

微应用间请求关系授权模式：用于请求方和服务方为属于两个不同系统的微应用的场景，该模式接收访问请求的微应用网关对请求方接口流程请求验证；

任意一种模式下，接收访问请求的微应用网关验证通过后携带相应的微应用令牌进行系统内的微应用访问授权。

优选地，所述的黑白名单验证具体为：接收访问请求的微应用网关获取请求方访问请求中携带的请求方IP，微应用网关对请求方IP进行白名单验证，若验证通过则获得微应用网关授权。

优选地，对请求方IP进行白名单验证的方式为：微应用网关验证外部微应用治理平台中预先配置的白名单中是否存在请求方IP，若是，则验证通过。

优选地，所述的授权令牌验证具体为：接收访问请求的微应用网关获取请求方访问请求中携带的经加密的外部授权令牌，微应用网关对外部授权令牌进行解密并验证，若验证通过则获得微应用网关授权。

优选地，所述的外部授权令牌包括系统级授权令牌、微应用级授权令牌、微应用接口方法级授权令牌。

优选地，所述的外部授权令牌由请求方向外部微应用治理平台请求获取。

优选地，所述的微应用令牌由各系统中微应用网关、微应用从令牌中心读取获取。

优选地，所述的微应用令牌定时更新。