[发明专利]支持平台多应用的WEB服务分层鉴权方法

说明书

本发明公开了一种支持平台多应用的WEB服务分层鉴权方法，通过对WEB服务请求的鉴权处理按职能划分，形成两个层面的鉴权机制，分别在平台统一鉴权服务中心和应用服务端的业务鉴权中心对平台令牌与业务令牌进行校验，这种分层鉴权机制使得具有特定业务需求的业务鉴权与平台安全层面的鉴权分开处理，业务安全与平台安全的分离能促使安全方案的实施更具有针对性，从职能上分别过滤了业务与平台方面的非法请求，提高了WEB服务请求与平台本身的安全性。

技术领域

本发明涉及计算机技术与WEB服务安全技术领域，具体涉及一种支持平台多应用的WEB服务分层鉴权方法。

背景技术

鉴权处理作为保障WEB服务安全性与请求合法性的重要方式之一，得到越来越广泛的应用，并且这种方式在演进中继续发挥独特的作用。鉴权的目的是对请求方发起的服务请求合法性进行验证，对不符合约定条件的非法请求进行拦截过滤，确保WEB应用正常运行。鉴权的主要对象大体分为业务类鉴权和平台类鉴权，现有的鉴权方法主要用于对单一应用的服务鉴权，对业务层面或者平台层面进行单一的鉴权处理，能确保这种场景下应用对鉴权服务的需要，但并不适用于综合性平台下多应用的WEB服务鉴权，因为这种场景下的平台或服务端的复杂性决定了对单一业务层面或平台层面的鉴权均无法满足其实际需。

发明内容

本发明公开的一种支持平台多应用的WEB服务分层鉴权方法，通过分别在业务层面与平台层面对WEB服务请求进行过滤认证处理，实现对平台下多应用的WEB服务分层鉴权。

为解决上述的技术问题，本发明采用以下技术方案：

一种支持平台多应用的WEB服务分层鉴权方法，它包括以下步骤：

步骤S101，构建平台统一鉴权服务中心，用于对应用的WEB服务请求进行平台层面的鉴权处理，并约定应用的平台令牌的生成和解析规则；

步骤S102，对于接入平台的应用，构建应用服务端业务鉴权中心，用于对应用的WEB服务请求进行业务层面的鉴权处理，并约定应用的业务令牌的生成和解析规则；

步骤S103，应用客户端根据步骤S102中约定的业务令牌的生成和解析规则创建本次应用的WEB服务请求的业务令牌，应用客户端封装应用的WEB服务请求信息，将该业务令牌作为关键信息携带，并向应用服务端发起服务请求；

步骤S104，应用服务端拦截应用客户端的服务请求，解析分离出该服务请求信息中的业务令牌，根据本次应用的WEB服务请求信息组成本次应用的WEB服务请求的平台令牌，并将平台令牌分发到步骤S101中的平台统一鉴权服务中心以及将业务令牌分发到应用服务端业务鉴权中心；

步骤S105，平台统一鉴权服务中心对本次应用的WEB服务请求进行平台层面的鉴权处理；

步骤S106，根据步骤S105中平台层面的鉴权处理结果，如果平台层面的鉴权失败则直接向应用客户端返回鉴权失败的提示信息，如果平台层面的鉴权成功则触发应用端业务鉴权中心对本次应用的WEB服务请求进行业务层面的鉴权处理；

步骤S107，根据业务层面的鉴权处理结果，应用服务端处理本次服务请求的具体业务逻辑，并向应用客户端做出响应。

更进一步的技术方案是，所述平台统一鉴权服务中心对本次应用的WEB服务请求进行平台层面的鉴权处理具体包括对应用服务端进行IP白名单校验、对应用服务端发起WEB服务请求的应用身份信息进行校验、对应用的WEB服务请求的时间戳进行校验、对应用的WEB服务请求进行重放攻击校验或对应用的WEB服务请求的内容进行签名校验。