A service access management method includes: service publishing sends service access token requests for application service instances to the registry; the registry approves the said application service access token requests; if the approval is passed, the service access token is made and returned to the service publisher; and the service publisher accepts the said service. The entry token is set in the registration configuration information of the service instance, and then the service registration request of the service instance is sent to the registry; the registry confirms the authentication of the service access token in the registration configuration information carried in the service registration request; and if the authentication is successful, the registry registers the service instance. The invention also discloses a management device for service access. The main purpose of the present invention is to add a security restriction when registering a service, to allow only the approved service instance to register in the registry, and to improve the security of the service.
【技术实现步骤摘要】
一种服务准入的管理方法及装置
本专利技术涉及互联网
,具体涉及一种服务准入的管理方法及装置。
技术介绍
微服务是一种架构风格,一个大型复杂软件由一个或多个微服务组成。系统中的各个微服务可被独立部署,各个微服务之间是松耦合的。每个微服务仅关注于完成一件任务并很好地完成该任务。在所有情况下,每个任务代表着一个小的业务能力。随着微架构的流行,尤其是容器的大规模应用以后,由多种微服务共同协助,构成一个相对功能强大的应用的案例越来越多。在微服务架构中服务实例的服务注册是必不可少的功能。注册中心会根据配置自动地将收到的服务实例信息(主要包含服务实例名称、服务实例部署网络地址、运行状态)进行注册。另一方面,微服务架构允许重名的服务实例注册,利用相同名称的服务实例会被视为同一业务能力服务的分身。当微服务架构的API管理系统收到服务消费者的同一种业务请求后会通过负载均衡的能力将业务请求分配给多个具备相同业务能力的服务实例。这样就导致了在现有的微服务架构中,服务注册功能都存在一个相同的问题,即只要服务实例符合注册中心的注册配置,即可进行注册,注册成功后即可对外提供服务。这问题可能导致两个安全风险:一、擅自注册服务提供给网关外侧的服务消费者使用,成为绕过网关安全防护进入网关内部的通道。二、注册冒充的服务实例,获取服务消费者来访问服务实例时提交的数据信息,导致信息泄露。因此一种满足安全需求的服务准入管理方法及装置亟待出现。
技术实现思路
本专利技术公开一种服务准入的管理方法,所述方法包含:服务发布方向注册中心发送申请服务实例的服务准入token请求;所述注册中心审批所述申请服务...
【技术保护点】
1.一种服务准入的管理方法,其特征在于,所述方法包含:服务发布方向注册中心发送申请服务实例的服务准入token请求;所述注册中心审批所述申请服务实例的服务准入token请求;如果审批通过,所述注册中心根据所述申请服务实例的服务准入token请求中携带的内容,制作服务实例的服务准入token,生成、存储所述申请服务实例的服务准入token的审批记录,并将所述服务实例的服务准入token返回给所述服务发布方;如果审批不通过,向所述服务发布方返回所述申请服务实例的服务准入token请求的驳回通知;所述服务发布方接收所述服务实例的服务准入token后,将所述服务准入token设置在所述服务实例的注册配置信息里,然后向所述注册中心发送所述服务实例的服务注册请求;所述注册中心对所述服务实例的服务注册请求中携带的注册配置信息中的服务准入token进行确认鉴权;如果鉴权成功,所述注册中心根据所述服务实例的服务注册请求中携带的注册配置信息对所述服务实例进行服务注册;否则,向服务发布方发送所述服务实例的服务注册请求的驳回通知。
【技术特征摘要】
1.一种服务准入的管理方法,其特征在于,所述方法包含:服务发布方向注册中心发送申请服务实例的服务准入token请求;所述注册中心审批所述申请服务实例的服务准入token请求;如果审批通过,所述注册中心根据所述申请服务实例的服务准入token请求中携带的内容,制作服务实例的服务准入token,生成、存储所述申请服务实例的服务准入token的审批记录,并将所述服务实例的服务准入token返回给所述服务发布方;如果审批不通过,向所述服务发布方返回所述申请服务实例的服务准入token请求的驳回通知;所述服务发布方接收所述服务实例的服务准入token后,将所述服务准入token设置在所述服务实例的注册配置信息里,然后向所述注册中心发送所述服务实例的服务注册请求;所述注册中心对所述服务实例的服务注册请求中携带的注册配置信息中的服务准入token进行确认鉴权;如果鉴权成功,所述注册中心根据所述服务实例的服务注册请求中携带的注册配置信息对所述服务实例进行服务注册;否则,向服务发布方发送所述服务实例的服务注册请求的驳回通知。2.根据权利要求1所述的方法,其特征在于,所述注册中心根据所述服务实例的服务注册请求中携带的注册配置信息对所述服务实例进行服务注册后,所述方法还包含:服务审计方向所述注册中心发送服务实例的服务审计请求,所述服务实例的服务审计请求中携带包含服务实例名称和服务实例部署网络地址的内容;所述注册中心用接收到的所述服务审计请求中携带的服务实例名称和服务实例部署网络地址去匹配所述审批记录中的相对应内容;如果匹配成功,所述注册中心向所述服务审计方返回所述申请服务实例的服务准入token的审批记录,供服务审计方追溯所述服务实例的服务发布方;否则,向所述服务审计方返回所述服务实例的服务审计请求的驳回通知。3.根据权利要求1或2所述的方法,其特征在于,所述服务发布方向注册中心发送申请服务实例的服务准入token请求中携带包含服务发布方账号、服务实例名称和服务实例部署网络地址的内容。4.根据权利要求1或2所述的方法,其特征在于,所述注册中心审批所述申请服务实例的服务准入token请求的方法包含:所述注册中心用所述申请服务实例的服务准入token请求中包含的服务实例名称和服务实例部署网络地址去匹配当前的服务准入token审批记录集合中的服务实例名称和服务实例部署网络地址,若匹配不成功,则审批通过;否则,审批不通过。5.根据权利要求1或2所述的方法,其特征在于,所述注册中心根据所述申请服务实例的服务准入token请求中携带的内容,制作服务实例的服务准入token,生成、存储所述申请服务实例的服务准入token的审批记录的方法包含:所述注册中心生成所述申请服务实例的服务准入token的审批记录并存储,所述审批记录包含:服务实例的服务准入token,服务发布方账号,服务实例名称,服务实例部署网络地址。6.根据权利要求1或2所述的方法,其特征在于,所述注册中心对所述服务实例的服务注册请求中携带的注册配置信息中的服务准入token进行确认鉴权的方法包含:步骤一,所述注册中心用所述服务实例的服务注册请求中携带的服务准入token去匹配当前的服务准入token的审批记录集合中相对应内容;如果匹配成功,则执行步骤二;否则,鉴权失败,所述注册中心向服务发布方返回所述服务实例的服务注册请求的驳回通知;步骤二,如果步骤一匹配成功,所述注册中心按照所述服务准入token审批记录中的服务实例名称和服务实例部署网络地址,发起http访问请求,若http协议请求返回状态为访问成功,则鉴权成功;否则,鉴权失败,所述注册中心向服务发布方返回所述服务实例的服务注册请求的驳回通知。7.一种服务准入的管理装置,其特征在于,包括服务发布单元和注册中心,其中:服务发布单元,用于向注册中心发送申请服务实例的服务准入token请求;并接收所述注册中心返回的所述服务实例的服务准入token,然...
【专利技术属性】
技术研发人员:贾斯亮,周春楠,赵贵阳,
申请(专利权)人:亿阳安全技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。