[发明专利]一种基于鉴权网关的权限管理方法及系统

权利要求书

1.一种基于微服务网关鉴权的权限管理方法，其特征在于，包括：

接收客户端发送的认证请求；

基于微服务网关的鉴权单元进行所述认证请求的检测；

响应于所述认证请求的检测通过，由所述鉴权单元将所述客户端的登录状态同步至关联的多个微服务应用；

接收所述客户端发送的业务接口请求，所述业务接口请求用于请求对第一微服务应用执行对应操作；

基于所述鉴权单元判断所述业务接口请求的访问权限，响应于所述访问权限通过，允许对所述第一微服务应用的访问；

记录访问请求行为，基于所述鉴权单元对所述访问请求行为进行合法性判断，对非法行为进行警报并终止；

所述记录访问请求行为，基于所述鉴权单元对所述访问请求行为进行合法性判断，对非法行为进行警报并终止包括：

记录所述访问请求行为数据，所述访问请求行为数据包括预设敏感数据的请求访问数据和操作执行数据；

将所述访问请求行为数据以透传模式传输至所述鉴权单元；

基于操作风险模型判定所述访问请求行为是否符合预设的操作行为规范，若不符合，则将所述访问请求行为判定为非法行为；

当所述访问请求行为判定为非法行为时，终止所述非法行为并对客户端启动认证模式，发送预警信息至控制终端；

所述基于操作风险模型判定所述访问请求行为是否符合预设的操作行为规范包括：

根据访问请求行为数据确定访问请求风险系数；

判断是否超过预设的第一风险系数阈值；

若超过所述第一风险系数阈值，则判断新的访问请求行为是否安全；

当新的访问请求行为存在风险，对新的访问请求行为进行风险警告；

判断所述访问请求风险系数是否超过预设的第二风险系数阈值，其中，所述第二风险系数阈值大于所述第一风险系数阈值；

若超过所述第二风险系数阈值，则判定所述访问请求行为不符合预设的操作行为规范；

其中，所述访问请求风险系数的计算公式为:

E_P＝(A×K_A+B×K_B+C×K_C)×w

E_P表示访问请求风险系数，A表示敏感数据的访问时长，K_A表示数据的敏感系数，B表示敏感数据的访问次数，K_B表示访问次数对应的敏感系数，C表示对敏感数据的操作次数，K_C表示对敏感数据进行操作的敏感系数，w表示访问者的级别系数；

所述基于所述鉴权单元判断所述业务接口请求的访问权限包括：

基于所述鉴权单元识别所述业务接口请求的访问目标；

将用户权限数据库中的权限控制表传输至所述鉴权单元；

基于权限控制表检验所述业务接口请求是否具有对应的业务权限；

当所述业务接口请求具有对应业务权限时，基于所述业务接口请求数据判断所述客户端的IP地址是否为所述客户端的记录登录地址；

当所述IP地址为记录登录地址时，判断所述业务接口请求的类型；

当所述业务接口请求为前端请求时，基于所述微服务网关将所述业务接口请求发送至权限表接口；

当所述业务接口请求为后端请求时，基于所述微服务网关将所述业务接口请求反向代理至目标微服务应用的后端接口；

当所述IP地址为非记录登录地址时，则退回所述业务接口请求并进行风险登录验证；

所述基于权限控制表检验所述业务接口请求是否具有对应的业务权限包括：

通过第三方平台接口获取企业数据信息，所述企业数据信息包括企业员工信息、企业架构信息和权限信息；

根据所述企业数据信息生成权限控制表；

根据所述权限控制表判断所述业务接口请求是否具有对应的业务权限；

当所述业务接口请求是否具有对应的业务权限不具备对应业务接口请求时，执行所述权限控制表更新操作并再次进行所述业务接口请求的权限判定。