鉴权系统和方法技术方案

一种鉴权系统和方法。所述鉴权系统包括：业务接入层、鉴权逻辑层和数据存储层，业务接入层包括多个业务接入服务器，鉴权逻辑层包括多个鉴权逻辑服务器，数据存储层包括主数据库和多个从数据库；各层服务器和数据库均跨地域部署。目标业务接入服务器用于接收业务提供方发送的鉴权请求，向目标鉴权逻辑服务器发送鉴权请求；目标鉴权逻辑服务器用于从目标从数据库中获取与鉴权请求相关的授权策略，根据获取的授权策略对鉴权请求进行分析处理得到鉴权结果，向目标业务接入服务器发送鉴权结果；目标业务接入服务器还用于向业务提供方发送鉴权结果。本发明专利技术实施例提高了鉴权系统的可用性，降低了访问延迟，从而提升整体的鉴权服务质量。

【技术实现步骤摘要】
鉴权系统和方法
本专利技术实施例涉及信息安全
，特别涉及一种鉴权系统和方法。
技术介绍
鉴权是指验证用户是否拥有某种权限。鉴权系统是指用于提供鉴权服务以实现对用户操作进行鉴权的系统。请参考图1，其示出了现有技术提供的一种鉴权系统的示意图。该鉴权系统包括：业务接入层11、鉴权逻辑层12和数据存储层13。业务接入层11用于向业务提供方提供鉴权接口，业务提供方通过调用鉴权接口向业务接入层11发送鉴权请求。业务接入层11可以包括多个业务接入服务器11a。业务接入层11还用于将鉴权请求转发给鉴权逻辑层12。鉴权逻辑层12包括多个鉴权逻辑服务器12a，每一个鉴权逻辑服务器12a均具备处理各个业务接入服务器11a发来的鉴权请求的功能。数据存储层13采用分布式数据库实现，以避免大量的数据库访问操作对同一数据库带来巨大压力。数据存储层13包括一个主数据库13a和多个从数据库13b，主数据库13a中存储授权策略，各个从数据库13b从主数据库13a中同步授权策略。鉴权逻辑服务器12a在接收到鉴权请求之后，从与其相连的从数据库13b中读取与上述鉴权请求相关的授权策略，而后根据读取的授权策略对鉴权请求进行分析处理，得到鉴权结果。在现有技术中，鉴权逻辑层12中的鉴权逻辑服务器12a的数量可按需增加，以避免大量的鉴权请求由同一服务器处理。数据存储层13中的从数据库13b的数量也可按需增加，以避免大量的数据库访问操作对同一数据库带来巨大压力。现有技术提供的鉴权系统，虽然采用分布式部署方式，但鉴权系统中包括的各个服务器和数据库部署在同一机房内，当机房出现故障时，会导致整个鉴权系统无法提供鉴权服务。另外，当业务提供方异地访问鉴权系统请求鉴权服务时，访问延迟较大且通信链路稳定性较低，导致鉴权系统的可用性无法得到保障。
技术实现思路
为了解决现有技术中鉴权系统的可用性无法得到保障的问题，本专利技术实施例提供了一种鉴权系统和方法。所述技术方案如下：第一方面，提供了一种鉴权系统，所述鉴权系统包括：业务接入层、鉴权逻辑层和数据存储层，所述业务接入层包括至少两个业务接入服务器，所述鉴权逻辑层包括至少两个鉴权逻辑服务器，所述数据存储层包括主数据库和至少两个从数据库；其中，所述至少两个业务接入服务器、所述至少两个鉴权逻辑服务器和所述至少两个从数据库均跨地域部署；所述业务接入层中的目标业务接入服务器，用于接收业务提供方发送的鉴权请求，其中，所述业务提供方与所述目标业务接入服务器位于同一地域，或者，所述业务提供方与所述目标业务接入服务器位于不同地域且所述业务提供方所处地域的业务接入服务器不可用；向所述鉴权逻辑层中的目标鉴权逻辑服务器发送所述鉴权请求；所述目标鉴权逻辑服务器，用于从目标从数据库中获取与所述鉴权请求相关的授权策略，所述目标从数据库用于存储与所述业务提供方提供的业务相关的授权策略；根据与所述鉴权请求相关的授权策略对所述鉴权请求进行分析处理，得到鉴权结果；向所述目标业务接入服务器发送所述鉴权结果；所述目标业务接入服务器，还用于向所述业务提供方发送所述鉴权结果。第二方面，提供了一种鉴权方法，所述鉴权方法应用于鉴权系统中，所述鉴权系统包括：业务接入层、鉴权逻辑层和数据存储层，所述业务接入层包括至少两个业务接入服务器，所述鉴权逻辑层包括多个至少两个鉴权逻辑服务器，所述数据存储层包括主数据库和至少两个从数据库；其中，所述至少两个业务接入服务器、所述至少两个鉴权逻辑服务器和所述至少两个从数据库均跨地域部署；所述鉴权方法包括：所述业务接入层中的目标业务接入服务器接收业务提供方发送的鉴权请求，其中，所述业务提供方与所述目标业务接入服务器位于同一地域，或者，所述业务提供方与所述目标业务接入服务器位于不同地域且所述业务提供方所处地域的业务接入服务器不可用；向所述鉴权逻辑层中的目标鉴权逻辑服务器发送所述鉴权请求；所述目标鉴权逻辑服务器从目标从数据库中获取与所述鉴权请求相关的授权策略，所述目标从数据库用于存储与所述业务提供方提供的业务相关的授权策略；根据与所述鉴权请求相关的授权策略对所述鉴权请求进行分析处理，得到鉴权结果；向所述目标业务接入服务器发送所述鉴权结果；所述目标业务接入服务器向所述业务提供方发送所述鉴权结果。第三方面，提供了一种鉴权方法，所述鉴权方法应用于鉴权系统中的目标业务接入服务器中，所述鉴权系统包括：业务接入层、鉴权逻辑层和数据存储层，所述业务接入层包括至少两个业务接入服务器，所述鉴权逻辑层包括至少两个鉴权逻辑服务器，所述数据存储层包括主数据库和至少两个从数据库；其中，所述至少两个业务接入服务器、所述至少两个鉴权逻辑服务器和所述至少两个从数据库均跨地域部署；所述鉴权方法包括：接收业务提供方发送的鉴权请求；其中，所述业务提供方与所述目标业务接入服务器位于同一地域，或者，所述业务提供方与所述目标业务接入服务器位于不同地域且所述业务提供方所处地域的业务接入服务器不可用；向所述鉴权逻辑层中的目标鉴权逻辑服务器发送所述鉴权请求；所述目标鉴权逻辑服务器用于从目标从数据库中获取与所述鉴权请求相关的授权策略，所述目标从数据库用于存储与所述业务提供方提供的业务相关的授权策略，根据与所述鉴权请求相关的授权策略对所述鉴权请求进行分析处理，得到鉴权结果；接收所述目标鉴权逻辑服务器发送的所述鉴权结果；向所述业务提供方发送所述鉴权结果。第四方面，提供了一种服务器，所述服务器为鉴权系统中的目标业务接入服务器，所述鉴权系统包括：业务接入层、鉴权逻辑层和数据存储层，所述业务接入层包括至少两个业务接入服务器，所述鉴权逻辑层包括至少两个鉴权逻辑服务器，所述数据存储层包括主数据库和至少两个从数据库；其中，所述至少两个业务接入服务器、所述至少两个鉴权逻辑服务器和所述至少两个从数据库均跨地域部署；所述服务器包括：请求接收模块，用于接收业务提供方发送的鉴权请求；其中，所述业务提供方与所述目标业务接入服务器位于同一地域，或者，所述业务提供方与所述目标业务接入服务器位于不同地域且所述业务提供方所处地域的业务接入服务器不可用；请求发送模块，用于向所述鉴权逻辑层中的目标鉴权逻辑服务器发送所述鉴权请求；所述目标鉴权逻辑服务器用于从目标从数据库中获取与所述鉴权请求相关的授权策略，所述目标从数据库用于存储与所述业务提供方提供的业务相关的授权策略，目标鉴权逻辑服务器还用于根据与所述鉴权请求相关的授权策略对所述鉴权请求进行分析处理，得到鉴权结果；结果接收模块，用于接收所述目标鉴权逻辑服务器发送的所述鉴权结果；结果发送模块，用于向所述业务提供方发送所述鉴权结果。本专利技术实施例提供的技术方案带来的有益效果包括：鉴权系统中各层均采用跨地域的分布式部署方式，每层都支持按需增减以及跨地域的部署和调用。这样，当某一地域的机房内的服务器或数据库出现故障时，其它地域的机房内的服务器和数据库仍然可用，有效解决因一个机房出现故障而导致整个鉴权系统无法提供鉴权服务的问题，而且跨地域部署也可有效解决异地访问所存在的问题，提高鉴权系统的可用性，降低访问延迟，从而提升整体的鉴权服务质量。附图说明图1是现有技术提供的一种鉴权系统的示意图；图2是本专利技术一个实施例提供的鉴权系统的示意图；图3是本专利技术另一实施例提供的鉴权系统的示意图；图4是本专利技术本文档来自技高网...

【技术保护点】
一种鉴权系统，其特征在于，所述鉴权系统包括：业务接入层、鉴权逻辑层和数据存储层，所述业务接入层包括至少两个业务接入服务器，所述鉴权逻辑层包括至少两个鉴权逻辑服务器，所述数据存储层包括主数据库和至少两个从数据库；其中，所述至少两个业务接入服务器、所述至少两个鉴权逻辑服务器和所述至少两个从数据库均跨地域部署；所述业务接入层中的目标业务接入服务器，用于接收业务提供方发送的鉴权请求，其中，所述业务提供方与所述目标业务接入服务器位于同一地域，或者，所述业务提供方与所述目标业务接入服务器位于不同地域且所述业务提供方所处地域的业务接入服务器不可用；向所述鉴权逻辑层中的目标鉴权逻辑服务器发送所述鉴权请求；所述目标鉴权逻辑服务器，用于从目标从数据库中获取与所述鉴权请求相关的授权策略，所述目标从数据库用于存储与所述业务提供方提供的业务相关的授权策略；根据与所述鉴权请求相关的授权策略对所述鉴权请求进行分析处理，得到鉴权结果；向所述目标业务接入服务器发送所述鉴权结果；所述目标业务接入服务器，还用于向所述业务提供方发送所述鉴权结果。

【技术特征摘要】
1.一种鉴权系统，其特征在于，所述鉴权系统包括：业务接入层、鉴权逻辑层和数据存储层，所述业务接入层包括至少两个业务接入服务器，所述鉴权逻辑层包括至少两个鉴权逻辑服务器，所述数据存储层包括主数据库和至少两个从数据库；其中，所述至少两个业务接入服务器、所述至少两个鉴权逻辑服务器和所述至少两个从数据库均跨地域部署；所述业务接入层中的目标业务接入服务器，用于接收业务提供方发送的鉴权请求，其中，所述业务提供方与所述目标业务接入服务器位于同一地域，或者，所述业务提供方与所述目标业务接入服务器位于不同地域且所述业务提供方所处地域的业务接入服务器不可用；向所述鉴权逻辑层中的目标鉴权逻辑服务器发送所述鉴权请求；所述目标鉴权逻辑服务器，用于从目标从数据库中获取与所述鉴权请求相关的授权策略，所述目标从数据库用于存储与所述业务提供方提供的业务相关的授权策略；根据与所述鉴权请求相关的授权策略对所述鉴权请求进行分析处理，得到鉴权结果；向所述目标业务接入服务器发送所述鉴权结果；所述目标业务接入服务器，还用于向所述业务提供方发送所述鉴权结果。2.根据权利要求1所述的鉴权系统，其特征在于，所述目标业务接入服务器，还用于：在接收到所述鉴权请求之后，判断所述目标业务接入服务器的缓存中是否已存储所述鉴权请求对应的鉴权结果；若已存储所述鉴权请求对应的鉴权结果，则从所述缓存中获取所述鉴权请求对应的鉴权结果，并执行所述向所述业务提供方发送所述鉴权结果的步骤；若未存储所述鉴权请求对应的鉴权结果，则执行所述向所述鉴权逻辑层中的目标鉴权逻辑服务器发送所述鉴权请求的步骤。3.根据权利要求1所述的鉴权系统，其特征在于，所述目标业务接入服务器，还用于：当各个所述鉴权逻辑服务器均不可用时，根据默认授权策略对所述鉴权请求进行分析处理，得到鉴权结果；其中，所述默认授权策略是指针对所有用户制定的通用的授权策略。4.根据权利要求1所述的鉴权系统，其特征在于，所述目标业务接入服务器，用于：根据各个所述鉴权逻辑服务器的服务质量，选择服务质量最优的鉴权逻辑服务器作为所述目标鉴权逻辑服务器；向所述目标鉴权逻辑服务器发送所述鉴权请求。5.根据权利要求1所述的鉴权系统，其特征在于，所述鉴权逻辑层中的至少一个鉴权逻辑服务器用于对与一个第一业务相关的鉴权请求进行处理，所述第一业务是指业务量大于预设阈值的业务；所述鉴权逻辑层中的至少一个鉴权逻辑服务器用于对与多个第二业务相关的鉴权请求进行处理，所述第二业务是指业务量小于预设阈值的业务。6.根据权利要求5所述的鉴权系统，其特征在于，每一个鉴权逻辑服务器对应部署一个从数据库，所述从数据库中存储与所述鉴权逻辑服务器所处理的业务相关的授权策略；所述主数据库中存储与各个所述鉴权逻辑服务器所处理的业务相关的授权策略。7.根据权利要求1所述的鉴权系统，其特征在于，所述数据存储层包括主数据库服务器和至少两个从数据库服务器；其中，所述主数据库服务器中部署所述主数据库，每一个从数据库服务器中部署至少一个从数据库；所述主数据库服务器，用于根据对所述主数据库中存储的授权策略的更新操作，在所述主数据库服务器的日志文件中添加操作日志；对于每一个从数据库服务器，将所述主数据库服务器的日志文件中未同步给所述从数据库服务器的操作日志发送给所述从数据库服务器；所述从数据库服务器，用于将接收到的操作日志添加至所述从数据库服务器的日志文件中；执行所述从数据库服务器的日志文件中未执行的操作日志，以对所述从数据库服务器的从数据库中存储的授权策略进行更新。8.一种鉴权方法，其特征在于，所述鉴权方法应用于鉴权系统中，所述鉴权系统包括：业务接入层、鉴权逻辑层和数据存储层，所述业务接入层包括至少...

【专利技术属性】
技术研发人员：袁哲，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44