[发明专利]网关层鉴权方法、系统、电子设备及存储介质

权利要求书

1.一种网关层鉴权方法，应用于大平台系统的电子装置，所述方法包括：

在所述大平台系统的第一服务端和第二服务端之间建立服务连接，其中，所述服务连接的基础参数包括请求对象、服务名称和接口名称，在所述服务名称中配置有与调用请求相关的配置参数，所述配置参数包括地址、签名方式、应用编号、秘钥和公钥；

通过设置在所述大平台系统的网关的鉴权处理器对所述服务连接进行鉴权处理；其中，所述鉴权处理器根据所述服务名称确定所述服务连接的配置参数，并对所述配置参数进行签名验证后转发所述服务连接至所述第二服务端的接口；

所述第二服务端根据所述服务连接将对应的服务响应经由所述网关反馈至所述第一服务端。

2.如权利要求1所述的网关层鉴权方法，其特征在于，

所述第一服务端为微服务端，所述第二服务端为三方服务端；

所述在第一服务端和第二服务端之间建立服务连接包括从所述微服务端发送调用所述三方服务端的三方服务的调用请求，以及，从所述微服务端提供接口给所述三方服务端。

3.如权利要求2所述的网关层鉴权方法，其特征在于，所述从所述微服务端发送调用所述三方服务端的三方服务的调用请求的方法包括：

从所述微服务端发送调用请求至网关；其中，所述基础参数包括当前调用请求的三方服务接口、三方服务的名称以及具体接口。

4.如权利要求3中所述的网关层鉴权方法，其特征在于，所述通过设置在网关的鉴权处理器对所述服务连接进行鉴权处理的方法包括：

根据所述微服务端的调用请求，确定所述调用请求需要调用的三方服务接口、三方服务的名称以及具体接口名称；

根据所述三方服务的名称确定签名方式、应用编号、秘钥；

根据所确定的签名方式、应用编号、秘钥对所述调用请求的配置参数进行签名验证；

根据所述网关配置的服务名称中的地址、签名方式、应用编号、秘钥和公钥信息，将通过验证调用请求转发给对应地址的具体接口。

5.如权利要求2所述的网关层鉴权方法，其特征在于，所述从所述微服务端提供接口给所述三方服务端的方法包括：

在所述三方服务端根据所述网关的约定进行基础参数的加密、验签处理；

从所述三方服务端向所述微服务端发送调用具体服务的调用请求，其中，所述调用请求中携带经加密、验签处理的基础参数；

其中，所述基础参数的加密、验签的方法包括：

使用所述网关提供的公钥加密所述三方服务端所请求的微服务端接口的所有参数，形成加密参数放入请求体，并生成一个时间戳放入HTTP头X-Timesstamp中；

将所述加密参数和所述时间戳通过预设签名算法处理获得第一签名，放入请求头的X-Nonce中；其中，所述签名算法和所述签名算法的密钥由所述网关分配；

将所述网关分配给所述三方服务端的应用编号，放入请求头的X-AppCode中。

6.如权利要求5所述的网关层鉴权方法，其特征在于，所述通过设置在网关的鉴权处理器对所述服务连接进行鉴权处理的方法包括：

从所述请求头的X-AppCode中获取当前应用的应用编号，然后基于所述网关自带的配置文件查询获得当前服务的其他参数：私钥、签名算法、签名密钥；

参照当前系统时间校验从HTTP头的X-Timesstamp获取的时间戳，若相差大于预设请求有效时间，则认为请求过期，将当前请求直接返回；

若请求没有过期，则从所述请求头X-Nonce中获得所述第一签名，在缓存中判断所述第一签名是否存在，若存在，代表请求重放，拒绝该请求；若缓存中不存在，视为新发请求，获取请求体的加密参数，与所述时间戳通过加密算法处理获得第二签名，比较所述第二签名与所述第一签名，若不一致，则拒绝当前请求；若一致，则通过解密获得所述基础参数放入请求体，然后将所述请求体转发给所述微服务端。