[发明专利]将OIDC认证扩展到服务账户以实现双重授权

说明书

本发明涉及将OIDC认证扩展到服务账户以实现双重授权。一个示例方法包括：由身份和访问管理模块从第一服务接收验证用户令牌的请求，所述请求包括服务令牌。该方法还包括由所述身份和访问管理模块对所述用户令牌执行验证过程；当所述验证过程成功时，由所述身份和访问管理模块生成包括所述用户令牌和所述服务令牌的访问令牌。最后，该方法包括：由所述身份和访问管理模块向所述第一服务发送所述访问令牌，其中，在第二服务成功验证所述访问令牌后，所述访问令牌能够由所述第一服务使用以获得对所述第二服务的访问权。

技术领域

本发明的实施方式总体涉及认证过程。更具体地，本发明的至少一些实施方式涉及用于在基于微服务的架构中认证用户和一个或多个服务的系统、硬件、软件、计算机可读介质和方法。

背景技术

在基于微服务的架构中，用户可以请求访问基于web的应用程序，该应用程序包括一个或多个微服务，和/或由一个或多个微服务支持，以执行应用程序的各种功能。为了使用该应用程序，用户可能必须成功完成认证过程，该认证过程可能涉及在成功认证后创建用户令牌，该令牌可以从应用程序传递到该应用程序所涉及的微服务。微服务也可能必须获得服务令牌，该服务令牌使得微服务或调用微服务(calling microservice)能够调用一个或多个其他微服务、即被调用微服务(called microservice)，这可能是执行该应用程序的功能所需的。这种认证方法至少在某些方面被证明是有问题的。

例如，调用微服务传递给被调用微服务的服务令牌并不表示调用微服务代表用户进行调用。也就是说，被调用微服务只能验证从调用微服务接收的服务令牌，并且在成功验证后，可以由调用微服务访问。在这种情况下，用户令牌只能由调用微服务评估，而不能由被调用微服务评估。因此，即使用户由于某种原因没有被授权使用微服务，也可以访问被调用微服务。

附图说明

为了描述可以获得本发明的至少一些优点和特征的方式，将参考附图中所示的本发明的具体实施方式，对本发明的实施方式进行更具体的描述。要理解这些附图仅描绘了本发明的典型实施方式，因此不应被视为对其范围的限制，将通过使用附图以附加的特征和细节来描述和解释本发明的实施方式。

图1公开了比较示例和操作环境的方面。

图2公开了在示例操作环境中用于认证的示例方法的方面。

图3A公开了根据一些实施方式的示例认证过程。

图3B公开了根据一些实施方式的用于刷新令牌的示例过程。

图4A和图4B公开了根据一些实施方式的示例令牌的方面。

图5公开了一种示例认证方法。

图6公开了可操作以执行所要求保护的方法、过程和操作中的任一者的示例计算实体的方面。

具体实施方式

本发明的实施方式总体涉及认证过程。更具体地，本发明的至少一些实施方式涉及用于在基于微服务的架构中认证用户和一个或多个服务的系统、硬件、软件、计算机可读介质和方法。

一般而言，可提供本发明的示例实施方式以用于创建和使用单个令牌[用户+服务]，例如JSON(JavaScript Object Notation，JavaScript对象表示法)Web令牌(JWT)，其可使得被调用服务能够认证：(1)调用应用程序的用户，该应用程序使用被调用服务执行功能，以及(2)也可以由该应用程序使用的调用服务，该调用服务结合应用程序的操作来调用被调用服务。在一些实施方式中，单个令牌[用户+服务]可以在预定时间之后到期。如果发生这种情况，如果令牌包含用户配置文件，则调用服务可以再次检查用户授权，或者如果令牌仅包含服务配置文件，则调用服务仅检查被调用服务是否被授权使用。