一种微服务身份认证和接口鉴权的方法及其系统技术方案

本发明专利技术提供一种微服务身份认证和接口鉴权的方法及其系统，把身份验证和接口鉴权拆分成两个独立的token，Usertoken里只配置用户的身份信息，Apptoken里只配置接口权限。每个前端应用配置一个单独的nginx服务器，Apptoken由nginx服务器自动在head中增加，即请求通过nginx后，会同时包含Usertoken和Apptoken,然后传给网关，由网关进行身份认证和接口鉴权。本发明专利技术有效地降低了开发复杂性，提升了安全性，并支持非登录用户直接进行接口鉴权访问。

A method and system of microservice identity authentication and interface authentication

【技术实现步骤摘要】
一种微服务身份认证和接口鉴权的方法及其系统
本专利技术属于微服务架构
，具体涉及一种微服务身份认证和接口鉴权的方法及其系统。
技术介绍
微服务架构(MicroServiceArchitecture，简称MSA)目前越来越成为了主流架构，是软件系统的一种新的架构风格。在微服务系统中，所有的模块功能不再像单体系统部署在一个包内，而是由多个微服务组成，每个微服务都能独立设计、开发、部署，在灵活性方面具有很大优势。由于服务众多，基于微服务的安全访问越来越重要，现有技术的微服务架构的身份认证和接口鉴权的基本方案如图1所示。现有的微服务架构的身份认证和接口鉴权中，基于令牌(Token)的认证是其中的一大类。Token一般会包含用户的相关信息，通过验证Token就可以完成身份校验。Token是在认证服务端(也就是网关)产生的。如果前端使用用户名/密码向认证服务端请求认证，认证服务端认证成功，那么在认证服务端会返回用户令牌Usertoken给前端。前端可以在每次业务请求的时候带上Usertoken证明自己的合法地位。其时序如图2所示。前端本文档来自技高网...

【技术保护点】
1.一种微服务身份认证和接口鉴权的方法，其特征在于：将身份验证和接口权鉴拆分成两个独立的令牌，并由网关先进行身份验证，再进行接口权鉴。/n

【技术特征摘要】
1.一种微服务身份认证和接口鉴权的方法，其特征在于：将身份验证和接口权鉴拆分成两个独立的令牌，并由网关先进行身份验证，再进行接口权鉴。


2.根据权利要求1所述的微服务身份认证和接口鉴权的方法，其特征在于：还包括对未登陆的用户进行接口权鉴的步骤。


3.根据权利要求1或2所述的微服务身份认证和接口鉴权的方法，其特征在于：具体包括以下步骤：
步骤1、前端发送业务请求和用户令牌Usertoken给单独为其配置的nginx服务器；所述用户令牌Usertoken中配置所述前端的身份信息；
步骤2、所述nginx服务器自动在http请求头增加应用令牌Apptoken；所述的应用令牌Apptoken中配置所述前端的接口权限；
步骤3、所述nginx服务器将业务请求、所述用户令牌Usertoken和所述应用令牌Apptoken发送给网关；
步骤4、网关对用户令牌Usertoken进行身份验证；如果身份验证不通过，则拒绝访问；如果身份验证通过，则到步骤5；
步骤5、网关对应用令牌Apptoken进行接口鉴权；如果接口鉴权不通过，则拒绝访问；如果接口鉴权通过，则到步骤6；
步骤6、网关将所述业务请求和用户令牌Usertoken发送给对应的服务接口，由服务接口完成前端的业务请求。


4.根据权利要求2所述的微服务身份认证和接口鉴权的方法，其特征在于：所述的对未登陆的用户进行接口权鉴的步骤包括：
步骤a、第三方系统申请并得到应用令牌Apptoken；
步骤b、第三方系统将应用令牌Apptoken和业务请求一起发给网关；
步骤c、网关对应用令牌Apptoken进行接口权鉴，如果接口鉴权不通过，则拒绝访问...

【专利技术属性】
技术研发人员：鲍宁，张春玮，张创伟，
申请(专利权)人：北京华宇信息技术有限公司，
类型：发明
国别省市：北京;11