一种认证鉴权方法、装置、电子设备和可读存储介质
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种认证鉴权方法、装置、电子设备和可读存储介质。
背景技术
现有技术中,大部分系统都是采用的集中式鉴权,即各个服务都将鉴权的请求发到一个专门的鉴权服务上,由该鉴权服务处理后返回鉴权的结果。首先,由于所有需要鉴权的服务都需要将服务请求发给鉴权服务,鉴权服务很容易成为整个系统的性能瓶颈。例如整个系统中有10个使用鉴权服务的服务,假设这些服务的平均QPS(全称Queries-per-second,中文释义:每秒查询率)是1000,那么鉴权服务的QPS将会达到10000,特别是在某些系统访问高峰时候,集中式的鉴权服务的性能瓶颈将会更加明显。
其次,由于所有鉴权请求需要发给鉴权服务,原有请求处理必然会增加一定的延时,这也加重了各个服务的处理负担,影响服务的吞吐量。
此外,由于各个服务严重依赖鉴权服务,需要对鉴权服务投入更多的维护成本和运营成本。
发明内容
本发明实施例提供一种认证鉴权方法、装置、电子设备和可读存储介质,以解决集中式认证鉴权在高流量情况下具有性能瓶颈、影响系统的吞吐量、运维成本和运营成本高的问题。
为了解决上述技术问题,本发明是这样实现的:
第一方面,本发明实施例提供了一种认证鉴权方法,应用于本地业务处理设备,所述本地业务处理设备与管理平台连接,所述方法包括:
向所述管理平台发送用于更新应用信息和策略数据的更新请求;
接收所述管理平台返回的应用信息和策略数据并存储;所述应用信息包括公钥;
接收请求方发送的业务请求,所述业务请求中携带所述请求方的身份信息和签名信息;
根据所述身份信息确定所述请求方对应的公钥,使用所述请求方对应的公钥验证所述签名信息,所述签名信息由所述请求方的私钥和业务请求数据生成,所述请求方对应的公钥与所述私钥配对;
若所述签名信息验证通过,根据所述策略数据,判定所述业务请求是否允许执行;
在所述业务请求被允许的情况下,进行业务处理,并将所述业务处理的结果返回至所述请求方。
可选的,所述本地业务处理设备包括:业务处理模块和鉴权模块,所述向所述管理平台发送用于更新应用信息和策略数据的更新请求包括:
所述业务处理模块发送应用信息和策略数据的初始化请求至所述鉴权模块;
所述鉴权模块向所述管理平台发送用于更新应用信息和策略数据的更新请求。
可选的,所述接收所述管理平台返回的应用信息和策略数据并存储包括:
所述鉴权模块接收所述管理平台返回的应用信息和策略数据,并更新本地存储的应用信息和策略数据。
可选的,所述接收所述请求方发送的业务请求包括:
所述业务处理模块接收所述请求方发送的业务请求。
可选的,所述根据所述身份信息确定所述请求方对应的公钥,使用所述请求方对应的公钥验证所述签名信息包括:
所述鉴权模块根据所述身份信息确定所述请求方对应的公钥,使用所述请求方对应的公钥验证所述签名信息。
可选的,所述若所述签名信息验证通过,根据所述策略数据,判定所述业务请求是否允许执行包括:
若所述签名信息验证通过,所述鉴权模块根据所述策略数据,判定所述业务请求是否允许执行。
可选的,所述在所述业务请求被允许的情况下,进行业务处理,并将所述业务处理的结果返回至所述请求方包括:
所述鉴权模块将判定结果发送至所述业务处理模块;
若所述判定结果为允许,所述业务处理模块进行业务处理,并将业务处理结果返回至所述请求方。
第二方面,本发明实施例还提供了一种认证鉴权装置,包括:
第一输出模块,用于向管理平台发送用于更新应用信息和策略数据的更新请求;
第一接收模块,用于接收所述管理平台返回的应用信息和策略数据并存储;所述应用信息包括公钥;
第二接收模块,用于接收请求方发送的业务请求,所述业务请求中携带所述请求方的身份信息和签名信息;
验证模块,用于根据所述身份信息确定所述请求方对应的公钥,使用所述请求方对应的公钥验证所述签名信息,所述签名信息由所述请求方的私钥和业务请求数据生成,所述请求方对应的公钥与所述私钥配对;
判定模块,用于若所述签名信息验证通过,根据所述策略数据,判定所述业务请求是否允许执行;
处理模块,用于在所述业务请求被允许的情况下,进行业务处理,并将所述业务处理的结果返回至所述请求方。
第三方面,本发明实施例还提供了一种电子设备,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如第一方面所述的认证鉴权方法的步骤。
第四方面,本发明实施例还提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的认证鉴权方法的步骤。
在本发明实施例中,各个服务在本地进行其他服务请求的认证和鉴权,从而可以避免集中式鉴权在高流量情况下成为性能瓶颈的情况,且对正常请求时延影响极小,可以不影响系统的吞吐量、减少鉴权服务的运维成本和运营成本。由于认证和鉴权都是本地函数调用,该方法和系统采用了非对称加密签名算法,各个服务只保存有其他服务的公钥而不存储其私钥,从而保证了服务信息的安全性。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例一提供的一种认证鉴权方法的流程示意图;
图2为本发明实施例二提供的一种认证鉴权方法的更新请求流程示意图;
图3为本发明实施例二提供的一种认证鉴权方法的业务请求流程示意图;
图4为本发明实施例三提供的一种认证鉴权装置的结构示意图;
图5为本发明实施例四提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本发明实施例一提供的认证鉴权方法的流程示意图;
本发明提供一种认证鉴权方法,应用于本地业务处理设备,所述本地业务处理设备与管理平台连接,所述方法包括:
步骤11:向所述管理平台发送用于更新应用信息和策略数据的更新请求;
步骤12:接收所述管理平台返回的应用信息和策略数据并存储;所述应用信息包括公钥;
步骤13:接收请求方发送的业务请求,所述业务请求中携带所述请求方的身份信息和签名信息;
步骤14:根据所述身份信息确定所述请求方对应的公钥,使用所述请求方对应的公钥验证所述签名信息,所述签名信息由所述请求方的私钥和业务请求数据生成,所述请求方对应的公钥与所述私钥配对;
步骤15:若所述签名信息验证通过,根据所述策略数据,判定所述业务请求是否允许执行;
步骤16:在所述业务请求被允许的情况下,进行业务处理,并将所述业务处理的结果返回至所述请求方。
在本发明实施例中,业务处理设备在本地进行请求方的的认证和鉴权服务,可以避免集中式鉴权在高流量情况下成为性能瓶颈的情况,且对正常请求时延影响极小,可以不影响系统的吞吐量、减少鉴权服务的运维成本和运营成本,还可以实现鉴权服务的无限扩展,彻底解决集中鉴权带来的各项问题,同时不会带来更多的系统复杂性。
在本发明的一些实施例中,可选的,公钥与私钥通过非对称加密签名算法进行配对,业务处理设备只保存有请求方的公钥而不存储其私钥,从而保证了服务信息的安全性。
在本发明的一些实施例中,业务处理模块可以为存储有用户信息的用户中心,此时请求方可以为财务系统,业务请求可以为查询用户信息,所述用户信息包括但不限于用户的组织结构构成、用户的个人信息等;
业务处理模块还可以为存储有用户个人资产信息的资产管理系统,此时请求方为数据中心,业务请求为查询用户的资产信息,所述资产信息包括但不限于用户个人的资产明细;
业务处理模块还可以为需要录入用户个人考勤信息的工资系统,此时请求方为考勤系统,业务请求为向工资系统上报考勤系统中的用户个人的考勤信息。
请参见图2,图2为本发明实施例二提供的一种认证鉴权方法的更新请求流程示意图;
请参见图3,图3为本发明实施例二提供的一种认证鉴权方法的业务请求流程示意图;
在本发明的一些实施例中,可选的,所述本地业务处理设备包括:业务处理模块和鉴权模块,所述向所述管理平台发送用于更新应用信息和策略数据的更新请求包括:
所述业务处理模块发送应用信息和策略数据的初始化请求至所述鉴权模块;
所述鉴权模块向所述管理平台发送用于更新应用信息和策略数据的更新请求。
在本发明的一些实施例中,可选的,鉴权模块可以为具有鉴权功能的软件开发工具包SDK。
在本发明的一些实施例中,可选的,所述软件开发工具包SDK由所述管理平台开发提供。
在本发明实施例中,业务处理模块向鉴权模块发送应用信息和策略数据初始化请求,鉴权模块在收到初始化请求后向管理平台发送用于更新应用信息和策略数据的更新请求,各项请求互不干涉,业务处理模块与鉴权模块相互独立。
在本发明的一些实施例中,可选的,所述接收所述管理平台返回的应用信息和策略数据并存储包括:
所述鉴权模块接收所述管理平台返回的应用信息和策略数据,并更新本地存储的应用信息和策略数据。
在本发明实施例中,鉴权模块接收管理平台返回的应用信息和策略数据,并更新本地存储的应用信息和策略数据,通过调用本地函数实现请求方的应用信息和策略数据的更新,对正常请求时延影响极小,可以不影响系统的吞吐量、减少鉴权服务的运维成本和运营成本。
在本发明的一些实施例中,可选的,所述接收请求方发送的业务请求包括:
所述业务处理模块接收所述请求方发送的业务请求。
在本发明实施例中,业务处理模块接收请求方发送的业务请求。
在本发明的一些实施例中,可选的,所述根据所述身份信息确定所述请求方对应的公钥,使用所述请求方对应的公钥验证所述签名信息包括:
所述鉴权模块根据所述身份信息确定所述请求方对应的公钥,使用所述请求方对应的公钥验证所述签名信息。
在本发明实施例中,业务处理模块向鉴权模块调用鉴权方法,鉴权模块根据请求方的身份信息确定请求方对应的公钥,使用公钥验证签名信息,保证了服务信息的安全性。
在本发明的一些实施例中,可选的,所述若所述签名信息验证通过,根据所述策略数据,判定所述业务请求是否允许执行包括:
若所述签名信息验证通过,所述鉴权模块根据所述策略数据,判定所述业务请求是否允许执行。
在本发明实施例中,若签名信息验证通过,鉴权模块根据策略数据,判定业务请求是否允许执行。
在本发明的一些实施例中,可选的,所述在所述业务请求被允许的情况下,进行业务处理,并将业务处理结果返回至所述请求方包括:
所述鉴权模块将判定结果发送至所述业务处理模块;
若所述判定结果为允许,所述业务处理模块进行业务处理,并将所述业务处理的结果返回至所述请求方。
在本发明实施例中,鉴权模块将判定结果发送至业务处理模块,若判定结果为允许,业务处理模块进行业务处理,并将业务处理结果返回至请求方,各个业务处理设备在本地进行请求方的认证和鉴权,可以避免集中式鉴权在高流量情况下成为性能瓶颈的情况,也减少了鉴权服务的运维成本和运营成本。
请参考图4,图4为本发明实施例三提供的一种认证鉴权模块的结构示意图;本发明实施例还提供一种认证鉴权装置2,包括:
第一输出模块201,用于向管理平台3发送用于更新应用信息和策略数据的更新请求;
第一接收模块202,用于接收所述管理平台3返回的应用信息和策略数据并存储;所述应用信息包括公钥;
第二接收模块203,用于接收请求方4发送的业务请求,所述业务请求中携带所述请求方4的身份信息和签名信息;
验证模块204,用于根据所述身份信息确定所述请求方4对应的公钥,使用所述请求方4对应的公钥验证所述签名信息,所述签名信息由所述请求方4的私钥和业务请求数据生成,所述请求方4对应的公钥与所述私钥配对;
判定模块205,用于若所述签名信息验证通过,根据所述策略数据,判定所述业务请求是否允许执行;
处理模块206,用于在所述业务请求被允许的情况下,进行业务处理,并将所述业务处理的结果返回至所述请求方4。
在本发明实施例中,认证鉴权装置与管理平台和请求方连接,业务处理设备在本地进行请求方的认证和鉴权,避免了集中式鉴权在高流量情况下成为性能瓶颈的情况,且对正常请求时延影响极小,可以不影响系统的吞吐量、减少鉴权服务的运维成本和运营成本。在本发明的一些实施例中,可选的,认证鉴权装置包括鉴权模块和业务处理模块,其中鉴权系统与管理平台连接;
第一输出模块201执行的功能由鉴权模块执行;
第一接收模块202执行的功能由鉴权模块执行;
第二接收模块203执行的功能由业务处理模块执行;
验证模块204执行的功能由鉴权模块执行;
判定模块205执行的功能由鉴权模块执行;
处理模块206执行的功能由业务处理模块执行。
本发明还提供一种电子设备300,请参考图5,图5为本发明实施例四提供的电子设备300的结构示意图,该电子设备300包括:处理器301和存储器302和存储在所述存储器302上并可在所述处理器301上运行的计算机程序,所述计算机程序被所述处理器301执行时实现上述认证鉴权方法的实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述认证鉴权方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。
