[发明专利]基于Kubernetes的应用认证代理方法及系统

权利要求书

1.基于Kubernetes的应用认证代理方法，其特征在于，包括：

确定接入Kubernetes云平台的新应用，由所述新应用的基本信息确定基础权限；

基于基础权限启用认证代理，确定所述新应用的认证权限；

待认证完成，对所述新应用进行鉴权，获得所述新应用的鉴权结果；

所述认证代理的权限配置是IAM系统通过kafka集群进行下发，并将所述权限配置存储在Redis集群中；

当所述认证代理启动时，通过所述kafka集群请求权限配置；

当所述IAM系统中权限变更，基于预设维度，通过所述kafka集群将变更的权限实时下发给所述认证代理；

通过所述IAM系统配置Istio服务网格，为所述认证代理提供流量管理，采集所述认证代理的流量数据；

由Prometheus汇总所述流量数据，实现对所述认证代理的流量监控和流量计费。

2.根据权利要求1所述的基于Kubernetes的应用认证代理方法，其特征在于，所述确定接入Kubernetes云平台的新应用，由所述新应用的基本信息确定基础权限，包括：

由身份识别与访问代理IAM系统管理员获取所述新应用的所述基本信息，所述IAM系统管理员基于所述基本信息配置所述基础权限。

3.根据权利要求1所述的基于Kubernetes的应用认证代理方法，其特征在于，所述基于基础权限启用认证代理，确定所述新应用的认证权限，包括：

确定所述新应用与IAM系统的认证接口，基于预设认证方式获得所述认证权限。

4.根据权利要求3所述的基于Kubernetes的应用认证代理方法，其特征在于，所述确定所述新应用与IAM系统的认证接口，基于预设认证方式获得所述认证权限，包括：

若检测到所述新应用的请求携带令牌，则调用所述IAM系统的令牌认证接口进行令牌校验鉴权；

若检测到所述新应用的请求携带密钥，则调用所述IAM系统的密钥认证接口进行密钥校验鉴权；

若检测到所述新应用的请求携带用户名，则调用所述IAM系统的用户名接口进行用户名密码校验鉴权；

若任一认证模式认证失败，则向用户返回认证失败信息。

5.根据权利要求1所述的基于Kubernetes的应用认证代理方法，其特征在于，所述待认证完成，对所述新应用进行鉴权，获得所述新应用的鉴权结果，包括：

从所述新应用中获取请求资源信息，从Redis集群中获取所述请求资源信息中可访问的用户信息和角色配置；

解析认证过程中的令牌，获取所述用户信息和所述角色配置；

基于所述用户信息和所述角色配置，判断所述令牌是否具有访问权限，若判断具有权限，则为请求添加所述令牌，否则返回鉴权失败信息。

6.根据权利要求1所述的基于Kubernetes的应用认证代理方法，其特征在于，所述通过所述IAM系统配置Istio服务网格包括流量劫持、弹性伸缩、流量熔断和限流。

7.基于Kubernetes的应用认证代理系统，其特征在于，包括：

确定模块，用于确定接入Kubernetes云平台的新应用，由所述新应用的基本信息确定基础权限；

认证模块，用于基于基础权限启用认证代理，确定所述新应用的认证权限；

鉴权模块，用于待认证完成，对所述新应用进行鉴权，获得所述新应用的鉴权结果；

所述认证代理的权限配置是IAM系统通过kafka集群进行下发，并将所述权限配置存储在Redis集群中；

当所述认证代理启动时，通过所述kafka集群请求权限配置；

当所述IAM系统中权限变更，基于预设维度，通过所述kafka集群将变更的权限实时下发给所述认证代理；

通过所述IAM系统配置Istio服务网格，为所述认证代理提供流量管理，采集所述认证代理的流量数据；

由Prometheus汇总所述流量数据，实现对所述认证代理的流量监控和流量计费。