鉴权方法、装置及系统制造方法及图纸

一种鉴权方法、装置及系统。所述方法包括：服务提供设备接收网关服务器发送的第一业务请求，第一业务请求是由第一服务请求设备发送给网关服务器且网关服务器未对第一业务请求进行鉴权而直接转发给服务提供设备的，第一业务请求用于请求获取服务提供设备所提供的第一业务，第一业务请求中携带第一鉴权信息，第一鉴权信息包括第一服务请求设备的设备标识；当授权设备名单中包括第一服务请求设备的设备标识时，服务提供设备向第一服务请求设备提供第一业务，其中，授权设备名单用于记录已通过鉴权的服务请求设备的设备标识。本申请实施例减少了网关服务器所需执行的鉴权操作的次数，避免网关服务器在大量业务请求高并发的场景下成为瓶颈。

Authentication methods, devices and systems

An authentication method, device and system. The method includes: the service providing device receives the first service request sent by the gateway server, the first service request is sent by the first service requesting device to the gateway server, and the gateway server forwards the first service request directly to the service providing device without authenticating the first service request, the first service request is used to request the first service provided by the service providing device, and the first service request is used to request the first service provided by the service providing device. The first authentication information includes the device identification of the first service requesting device. When the device identification of the first service requesting device is included in the list of authorized devices, the service providing device provides the first service to the first service requesting device, where the list of authorized devices is used to record the device identification of the service requesting device that has passed the authentication. The application embodiment reduces the number of authentication operations required by the gateway server and avoids the bottleneck of the gateway server in the case of high concurrency of a large number of business requests.

【技术实现步骤摘要】
鉴权方法、装置及系统
本申请实施例涉及互联网
，特别涉及一种鉴权方法、装置及系统。
技术介绍
在一种典型的运用应用程序编程接口(ApplicationProgrammingInterface，API)网关技术的微服务系统中，包括API网关和多台服务提供设备。服务提供设备通常为服务器，不同的服务提供设备用于部署不同的服务。API网关是系统的唯一入口，其封装了系统内部架构，为各个客户端统一提供服务。API网关的一项功能是对请求访问系统的客户端执行鉴权操作。在现有技术中，客户端将携带有鉴权令牌的业务请求发送至API网关，该业务请求用于请求获取所述服务提供设备提供的业务，API网关接收到上述业务请求之后，根据业务请求中携带的鉴权令牌对客户端执行鉴权操作。鉴权通过后，API网关将业务请求转发给相应的服务提供设备，由服务提供设备进行业务响应。由于API网关在接收到每一条业务请求之后，均需要对发起该业务请求的客户端执行一次鉴权操作，当请求数量较多时，对API网关的处理能力提出了较高的要求，若API网关执行鉴权操作不够及时，会增加业务响应的时延。
技术实现思路
本申请实施例提供了一种鉴权方法、装置及系统，可用于解决现有技术中因API网关需要在每接收到一条业务请求后执行一次鉴权操作，在大量业务请求高并发的场景下，API网关容易成为瓶颈，会增加业务响应的时延的问题。一方面，本申请实施例提供一种鉴权方法，该方法包括：服务提供设备接收网关服务器发送的第一业务请求，第一业务请求是由第一服务请求设备发送给网关服务器且网关服务器未对该第一业务请求进行鉴权而直接转发给服务提供设备的，第一业务请求用于请求获取服务提供设备所提供的第一业务，第一业务请求中携带第一鉴权信息，第一鉴权信息包括第一服务请求设备的设备标识；当授权设备名单中包括第一服务请求设备的设备标识时，服务提供设备向第一服务请求设备提供第一业务，其中，授权设备名单用于记录已通过鉴权的服务请求设备的设备标识。本申请实施例提供的方案中，通过在服务提供设备中记录授权设备名单，将已通过网关服务器鉴权的服务请求设备添加至上述授权设备名单中，由服务提供设备根据授权设备名单对服务请求设备进行鉴权，从而减少了网关服务器所需执行的鉴权操作的次数，避免网关服务器在大量业务请求高并发的场景下成为瓶颈。在一个可能的设计中，上述方法还包括：服务提供设备接收网关服务器发送的第二业务请求，第二业务请求是由第二服务请求设备发送给网关服务器且网关服务器未对该第二业务请求进行鉴权而直接转发给服务提供设备的，第二业务请求用于请求获取服务提供设备所提供的第二业务，第二业务请求中携带第二鉴权信息，第二鉴权信息包括第二服务请求设备的设备标识和第二鉴权令牌；当授权设备名单中不包括第二服务请求设备的设备标识时，服务提供设备向网关服务器发送第一鉴权请求，第一鉴权请求中包括第二服务请求设备的设备标识和第二鉴权令牌；服务提供设备接收网关服务器发送的第一鉴权响应，第一鉴权响应用于指示第二服务请求设备鉴权通过，其中，第一鉴权响应是网关服务器确定第二鉴权令牌与网关服务器预先保存的第二服务请求设备的鉴权令牌相同时向服务提供设备发送的；服务提供设备向第二服务请求设备提供第二业务，并在授权设备名单中添加第二服务请求设备的设备标识。通过上述方式，实现了在授权设备名单中不包括服务请求设备的设备标识的情况下，由网关服务器对服务请求设备执行鉴权操作。另外，服务提供设备将通过鉴权的服务请求设备的设备标识添加至授权设备名单中，以便后续再接收到该服务请求设备的业务请求时，能够基于授权设备名单对该服务请求设备进行鉴权，从而减少网关服务器所需执行的鉴权操作的次数。在一个可能的设计中，上述方法还包括：服务提供设备接收网关服务器发送的第三业务请求，第三业务请求是由第三服务请求设备发送给网关服务器且网关服务器未对该第三业务请求进行鉴权而直接转发给服务提供设备的，第三业务请求用于请求获取服务提供设备所提供的第三业务，第三业务请求中携带第三鉴权信息，第三鉴权信息是对第三服务请求设备的设备标识和第三鉴权令牌执行加密操作得到的；服务提供设备向网关服务器发送第二鉴权请求，第二鉴权请求中包括第三鉴权信息；服务提供设备接收第三鉴权响应，第三鉴权响应包括：第三鉴权结果、与第三鉴权信息对应的解密密钥、第三服务请求设备的设备标识，第三鉴权结果用于指示鉴权通过；服务提供设备向第三服务请求设备提供第三业务，并将上述接收到的解密密钥与第三服务请求设备的互联网协议(InternetProtocol，IP)地址对应存储，以及在授权设备名单中添加第三服务请求设备的设备标识，授权设备名单用于记录已通过鉴权的服务请求设备的设备标识。通过上述方式，在服务提供设备中未存储有与服务请求设备对应的解密密钥的情况下，服务提供设备直接向网关服务器发送携带有鉴权信息的鉴权请求，由网关服务器对鉴权信息进行解密并完成对服务请求设备的鉴权操作，而后将服务请求设备的设备标识、鉴权结果、解密密钥一并发送给服务提供设备，从而通过一次请求交互即可完成解密密钥的获取和设备的鉴权，简化了服务提供设备与网关服务器之间的交互流程。在一个可能的设计中，服务提供设备接收网关服务器发送的删除指示，删除指示中包括已撤销授权的服务请求设备的设备标识；服务提供设备将已撤销授权的服务请求设备的设备标识从授权设备名单中删除。在另一个可能的设计中，当授权设备名单中的任意一个已通过鉴权的服务请求设备所拥有的鉴权信息超过有效期时，服务提供设备将已通过鉴权的服务请求设备的设备标识从授权设备名单中删除。通过上述方式，实现了对授权设备名单进行定期清理，确保授权设备名单的准确性，避免向非授权设备提供业务。另一方面，本申请实施例提供一种鉴权装置(或称为“服务提供设备”)，该装置具有实现上述方法示例中服务提供设备侧行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块或者单元。在一个可能的设计中，上述装置的结构中包括处理器和通信接口，所述处理器被配置为支持服务提供设备执行上述方法中相应的功能。所述通信接口用于支持服务提供设备与其它设备之间的通信。进一步的，服务提供设备还可以包括存储器，所述存储器用于与处理器耦合，其保存服务提供设备必要的程序指令和数据。又一方面，本申请实施例提供一种鉴权系统，该系统包括：第一服务请求设备，用于向网关服务器发送携带有第一鉴权信息的第一业务请求，第一业务请求用于请求获取服务提供设备所提供的第一业务，第一鉴权信息包括第一服务请求设备的设备标识；网关服务器，用于向服务提供设备转发第一业务请求其中，第一业务请求是由第一服务请求设备发送给网关服务器且网关服务器未对第一业务请求进行鉴权而直接转发给服务提供设备的；服务提供设备，用于当授权设备名单中包括第一服务请求设备的设备标识时，向第一服务请求设备提供第一业务，其中，授权设备名单用于记录已通过鉴权的服务请求设备的设备标识。在一个可能的设计中，所述系统还包括：第二服务请求设备，用于向网关服务器发送携带有第二鉴权信息的第二业务请求，第二业务请求用于请求获取服务提供设备所提供的第二业务，第二鉴权信息包括第二服务请求设备的设备本文档来自技高网...

【技术保护点】
1.一种鉴权方法，其特征在于，所述方法包括：服务提供设备接收网关服务器发送的第一业务请求，所述第一业务请求是由第一服务请求设备发送给所述网关服务器且所述网关服务器未对所述第一业务请求进行鉴权而直接转发给所述服务提供设备的，所述第一业务请求用于请求获取所述服务提供设备所提供的第一业务，所述第一业务请求中携带第一鉴权信息，所述第一鉴权信息包括所述第一服务请求设备的设备标识；当授权设备名单中包括所述第一服务请求设备的设备标识时，所述服务提供设备向所述第一服务请求设备提供所述第一业务，其中，所述授权设备名单用于记录已通过鉴权的服务请求设备的设备标识。

【技术特征摘要】
1.一种鉴权方法，其特征在于，所述方法包括：服务提供设备接收网关服务器发送的第一业务请求，所述第一业务请求是由第一服务请求设备发送给所述网关服务器且所述网关服务器未对所述第一业务请求进行鉴权而直接转发给所述服务提供设备的，所述第一业务请求用于请求获取所述服务提供设备所提供的第一业务，所述第一业务请求中携带第一鉴权信息，所述第一鉴权信息包括所述第一服务请求设备的设备标识；当授权设备名单中包括所述第一服务请求设备的设备标识时，所述服务提供设备向所述第一服务请求设备提供所述第一业务，其中，所述授权设备名单用于记录已通过鉴权的服务请求设备的设备标识。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述服务提供设备接收所述网关服务器发送的第二业务请求，所述第二业务请求是由第二服务请求设备发送给所述网关服务器且所述网关服务器未对所述第二业务请求进行鉴权而直接转发给所述服务提供设备的，所述第二业务请求用于请求获取所述服务提供设备所提供的第二业务，所述第二业务请求中携带第二鉴权信息，所述第二鉴权信息包括所述第二服务请求设备的设备标识和第二鉴权令牌；当所述授权设备名单中不包括所述第二服务请求设备的设备标识时，所述服务提供设备向所述网关服务器发送第一鉴权请求，所述第一鉴权请求中包括所述第二服务请求设备的设备标识和所述第二鉴权令牌；所述服务提供设备接收所述网关服务器发送的第一鉴权响应，所述第一鉴权响应用于指示所述第二服务请求设备鉴权通过，其中，所述第一鉴权响应是所述网关服务器确定所述第二鉴权令牌与所述网关服务器预先保存的所述第二服务请求设备的鉴权令牌相同时向所述服务提供设备发送的；所述服务提供设备向所述第二服务请求设备提供所述第二业务，并在所述授权设备名单中添加所述第二服务请求设备的设备标识。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述服务提供设备接收所述网关服务器发送的删除指示，所述删除指示中包括所述第一服务请求设备的设备标识；所述服务提供设备将所述第一服务请求设备的设备标识从所述授权设备名单中删除。4.根据权利要求1所述的方法，其特征在于，所述授权设备名单还包括为所述第一服务请求设备提供业务的有效期，所述方法还包括：当检测到所述授权设备名单中为所述第一服务请求设备提供业务的有效期过期时，所述服务提供设备将所述第一服务请求设备的设备标识从所述授权设备名单中删除。5.一种鉴权装置，其特征在于，所述装置包括：接收模块，用于接收网关服务器发送的第一业务请求，所述第一业务请求是由第一服务请求设备发送给所述网关服务器且所述网关服务器未对所述第一业务请求进行鉴权而直接转发给服务提供设备的，所述第一业务请求用于请求获取所述服务提供设备所提供的第一业务，所述第一业务请求中携带第一鉴权信息，所述第一鉴权信息包括所述第一服务请求设备的设备标识；处理模块，用于当授权设备名单中包括所述第一服务请求设备的设备标识时，向所述第一服务请求设备提供所述第一业务，其中，所述授权设备名单用于记录已通过鉴权的服务请求设备的设备标识。6.根据权利要求5所述的装置，其特征在于，所述接收模块，还用于接收所述网关服务器发送的第二业务请求，所述第二业务请求是由第二服务请求设备发送给所述网关服务器且所述网关服务器未对所述第二业务请求进行鉴权而直接转发给所述服务提供设备的，所述第二业务请求用于请求获取所述服务提供设备所提供的第二业务，所述第二业务请求中携带第二鉴权信息，所述第二鉴权信息包括所述第二服务请求设备的设备标识和第二鉴权令牌；所述处理模块，还用于当所述授权设备名单中不包括所述第二服务请求设备的设备标识时，向所述网关服务器发送第一鉴权请求，所述第一鉴权请求中包括所述第二服务请求设备的设备标识和所述第二鉴权令牌；所述接收模块，还用于接收所述网关服务器发送的第一鉴权响应，所述第一鉴权响应用于指示所述第二服务请求设备鉴权通过，其中，所述第一鉴权响应是所述网关服务器确定所述第二鉴权令牌与所述网关服务器预先保存的所述第二服务请求设备的鉴权令牌相同时向所述服务提供设备发送的；所述处理模块，还用于向所述第二服务请求设备提供所述第二业务，并在所述授权设备名单中添加所述第二服务请求设备的设备标识。7.根据权利要求5所述的装置，其特征在于，所述接收模块，还用于接收所述网关服务器发送的删除指示，所述删除指示中包括所述第一服务请求设备的设备标识；所述装置还包括：删除模块，用于将所述第一服务请求设备的设备标识从所述授权设备名单中删除。8.根据权利要求5所述的装置，其特征在于，所述授权设备名单还包括为所述第一服务请求设备提供业务的有效期，所述装置还包括：删除模块，用于在...

【专利技术属性】
技术研发人员：闵桂龙，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44