[发明专利]K8S鉴权方法、相关设备及存储介质

权利要求书

1.一种K8S鉴权方法，其特征在于，所述方法应用于K8S集群中的控制器，所述控制器包括RBAC鉴权组件、接口服务组件以及webhook鉴权组件，所述方法包括：

当所述接口服务组件接收到所述RBAC鉴权组件发送的第一访问请求时，将所述第一访问请求转换为回调鉴权请求，并将所述回调鉴权请求发送至所述webhook鉴权组件，所述回调鉴权请求包括目标资源标识以及目标用户标识，所述第一访问请求为所述RBAC鉴权组件对用户访问请求进行鉴权后生成的访问请求；

所述webhook鉴权组件根据预设的目标名单集合以及所述目标用户标识，修改所述回调鉴权请求中的鉴权状态字段，得到第二访问请求，所述目标名单集合为与所述目标资源标识对应的候选名单集合；

所述webhook鉴权组件向所述接口服务组件返回所述第二访问请求。

2.根据权利要求1所述的方法，其特征在于，所述目标名单集合包括目标白名单集合；所述webhook鉴权组件根据预设的目标名单集合以及所述目标用户标识，修改所述回调鉴权请求中的鉴权状态字段，得到第二访问请求，包括：

若所述webhook鉴权组件确定所述目标白名单集合中存在所述目标用户标识，则将所述鉴权状态字段修改为允许访问字段，得到所述第二访问请求；

若所述webhook鉴权组件确定所述目标白名单集合中不存在所述目标用户标识，则将所述鉴权状态字段修改为禁止访问字段，得到所述第二访问请求。

3.根据权利要求1所述的方法，其特征在于，所述目标名单集合包括目标黑名单集合；所述webhook鉴权组件根据预设的目标名单集合以及所述目标用户标识，修改所述回调鉴权请求中的鉴权状态字段，得到第二访问请求，包括：

若所述webhook鉴权组件确定所述目标黑名单集合中存在所述目标用户标识，则将所述鉴权状态字段修改为拒绝访问字段，得到所述第二访问请求；

若所述webhook鉴权组件确定所述目标黑名单集合中不存在所述目标用户标识，则将所述鉴权状态字段修改为允许访问字段，得到所述第二访问请求。

4.根据权利要求1所述的方法，其特征在于，所述目标名单集合包括目标白名单集合以及目标黑名单集合；所述webhook鉴权组件根据预设的目标名单集合以及所述目标用户标识，修改所述回调鉴权请求中的鉴权状态字段，得到第二访问请求，包括：

若所述webhook鉴权组件确定所述目标白名单集合以及所述目标黑名单集合中均存在所述目标用户标识，则将所述鉴权状态字段修改为禁止访问字段，得到所述第二访问请求；

若所述webhook鉴权组件确定所述目标白名单集合中存在所述目标用户标识且所述目标黑名单集合中不存在所述目标用户标识，则将所述鉴权状态字段修改为允许访问字段，得到所述第二访问请求；

若所述webhook鉴权组件确定所述目标白名单集合中不存在所述目标用户标识且所述目标黑名单集合中存在所述目标用户标识，则将所述鉴权状态字段修改为禁止访问字段，得到所述第二访问请求；

若所述webhook鉴权组件确定所述目标白名单集合以及所述目标黑名单集合中均不存在所述目标用户标识，则根据预设的鉴权优先级修改所述鉴权状态字段，得到所述第二访问请求。

5.根据权利要求4所述的方法，其特征在于，所述根据预设的鉴权逻辑修改所述鉴权状态字段，得到所述第二访问请求，包括：

若所述鉴权优先级为白名单优先，则将所述鉴权状态字段修改为禁止访问字段，得到所述第二访问请求；

若所述鉴权优先级为黑名单优先，则将所述鉴权状态字段修改为允许访问字段，得到所述第二访问请求。

6.根据权利要求1至5中任一项所述的方法，其特征在于，所述控制器还包括资源访问组件，所述K8S集群包括多个资源；所述webhook鉴权组件向所述接口服务组件返回所述第二访问请求之后，所述方法还包括：

若所述第二访问请求中的所述鉴权状态字段为允许访问字段，则所述接口服务组件向所述资源访问组件发送所述第二访问请求；

所述资源访问组件根据所述第二访问请求从多个所述资源中确定与所述目标资源标识对应的目标资源，并访问所述目标资源。