本发明专利技术涉及安全控制访问领域,公开了一种基于微服务的安全管理系统,所述系统包括多个客户端和一个安全服务器,客户端通过API接口向安全服务器发送访问登录请求,并执行Token校正,通过对于登录和校验分步骤做区分验证,借助于对Token信息的区分识别,保障用户在登录访问时的延续性;同时通过服务访问令牌消息执行签名消息和时间戳信息的发送,保障登录访问服务时被访问服务信息的安全。问服务时被访问服务信息的安全。问服务时被访问服务信息的安全。
【技术实现步骤摘要】
一种基于微服务的安全管理系统
[0001]本专利技术涉及互联网领域,尤其涉及一种基于微服务的安全管理系统。
技术介绍
[0002]微服务结构中,采用移动终端等登录消息办公服务系统是一种常见的方式。现有技术中为了便于保障登录的安全,通常都会适应登录令牌执行用户安全的校验等。比如现有技术中CN109089264 A中公开了一种移动终端免密登录的方法及系统,对于令牌的有效期进行验证和判断。文献CN112491778 A提供一种应用于认证服务端的认证方法,通过包括令牌来执行登录请求的验证。
[0003]但是上述方案中是对于令牌的简单验证,并没有将令牌的验证与微服务框架的调用微服务相结合,且上述方案中是通常意义上对于令牌登录服务器的有效性执行验证,没有考虑到令牌验证中先前访问者在登录过程中的延续使用。同时对于在办公时,对于特定的文件系统或文档存在并发访问的限制,因此在访问过程中对于登录的用户会需要执行权限的设置和区分;再者现有简单的设置有效期的判断方式,会向超过了有效期的用户,频繁发送令牌信息,造成用户频繁登录,使得用户在登录和使用校验过程中的系统,存在中断,用户体验不佳;进而造成不同的移动操作系统,执行重复多次的发送,造成安全服务系统的系统验证的冗余。
技术实现思路
[0004]为此本申请提供了一种基于微服务的安全管理系统,所述系统包括多个客户端和一个安全服务器;客户端通过API接口向安全服务器发送访问登录请求;所述登录请求中包含用户的身份信息和密码,所述安全服务器调用登录接口时,当校验用户身份信息和密码通过后;安全服务器根据预定规则生成一个Token令牌信息,并将Token信息与用户名以键值对的形式保存到安全服务器的 数据库中,同时将该生成的Token信息发送到客户端;客户端接收包含Token信息,并向安全服务器执行发送包含Token信息的令牌服务请求消息,所述安全服务器获取该令牌服务请求消息,解析消息体中的Token信息,并进行验证,当验证成功时,客户端执行应用服务的调用;否则拒绝。
[0005]进一步,将生成的Token信息发送到客户端时,对应的用户之前登录的Token信息作废。
[0006]进一步,所述用户的身份信息包括用户名、邮箱、手机号和权限属性信息。
[0007]进一步,所述安全服务器对用户的身份信息中以条目信息的形式,按照树形结构存储在数据库中。
[0008]进一步,所述条目具有区别名DN和属性,所述区别名DN是用来引用条目,区别名等同于关系数据库中的主键;所述属性由类型和值组成;所述权限属性信息对用户权限进行配置,客户端根据不同的权限配置控制和验证登录会话。
[0009]进一步,安全服务器接收到服务访问令牌消息时,对服务访问令牌消息进行拦截,首先需要从服务访问令牌消息的json字符串中解析出Token信息,并校验Token信息是否合法;如果是,则正常登录访问服务;如果否,则拒绝登录访问服务。
[0010]进一步,安全服务器进一步用于区分Token信息超时还是过期失效,当判断Token信息失效时,客户端需要用户重新登录得到最新的Token信息;当判断Token信息超时,服务器为客户端的用户生成新的Token信息并继续使用调用微服务,客户端的用户无需调用登录接口,仅验证Token信息是否为正在使用的登录账户的超时Token信息时效。
[0011]进一步,安全服务器判断,是否存在相同登录时,如存在相同登录,将存在的 XMPP 可扩展通讯和标识协议连接切断,强制先登录的设备下线。
[0012]进一步,服务访问令牌消息由三部分组成:头信息,消息体和签名,头信息包含该Token信息使用的签名算法。
[0013]进一步,合法的Token信息通过校验,并提取出保存在数据库中的用户信息,通过用户信息中的角色信息,获取用户的访问权限信息,获取此用户所能访问的接口地址,所述接口地址映射可调用的微服务器。
[0014]本专利技术通过对于登录和校验分步骤的进行区分验证,借助于对Token信息的区分识别检测,保障用户在登录访问时的延续性,采用条目的存储方式,利于对登录信息的管理控制;进一步,通过在服务访问令牌消息执行签名消息和时间戳信息的发送,有效地保障了登录访问服务时,访问服务信息的安全。
附图说明
[0015]通过参考附图会更加清楚的理解本专利技术的特征和优点,附图是示意性的而不应理解为对本专利技术进行任何限制。
[0016]图1本系统的示意图。
具体实施方式
[0017]参看下面的说明以及附图,本专利技术的这些或其他特征和特点、操作方法、结构的相关元素的功能、部分的结合以及制造的经济性可以被更好地理解,其中说明和附图形成了说明书的一部分。然而,可以清楚地理解,附图仅用作说明和描述的目的,并不意在限定本专利技术的保护范围。可以理解的是,附图并非按比例绘制。本专利技术中使用了多种结构图用来说明根据本专利技术的实施例的各种变形。本领域技术知晓,客户端可以对应于用户,即用户单独使用客户端时,即客户端对应于该用户。
[0018]实施例1如图1所示,本专利技术提供了一种基于微服务的安全管理系统,所述系统包括多个客户端和一个安全服务器,基于微服务的客户端需要通过API接口需要访问时,向安全服务器发送,登录调用请求,安全服务器调用登录接口,当校验用户身份信息和密码通过后,即用户信息验证登录成功后,安全服务器会向用户返回一个Token信息。安全服务器会根据制定好的规则生成一个Token令牌信息,并将Token信息与用户名以键值对的形式保存到安全验证服务器的redis数据库中。相应的用户之前登录的Token信息将被作废,将新生成的Token信息和个人身份相关信息保存到登录信息表中;并在校验与Token相关的接口访问服务中
会使用到登录信息表的数据。
[0019]客户端接收安全服务器发送的Token信息,并向安全服务器执行发送包含Token的令牌服务请求消息,所述安全服务器接收该令牌服务请求消息,解析消息体中的Token信息,并进行验证,当验证成功时,客户端执行应用服务的调用;否则拒绝。
[0020]可选的,用户可以在调用登录接口时携带用户名、邮箱或密码等用户信息作为接口访问服务的参数。
[0021]可选的,对用户的身份信息中的条目信息,按照树形结构进行组织,具体信息数据存储在条目中,条目可以看成关系数据库中的表记录,条目是具有区别名(Distinguished Name,DN)的属性(attribute)。DN是用来引用条目,DN相当于关系数据库中的主键。属性由类型(type)和值(value)组成。用户身份信息是作为登录步骤的唯一入口凭证,在完成登录步骤之后,再执行Token的验证,只有验证成功之后才能执行访问服务。
[0022]可选的,用户执行单点登录通过诸如LDAP目录服务提供用户账户/账号集中管理。示例性的,集团总部可以管理用户身份信息的目录数据库,安全服务器的权限由集团总部进行设置管理。所有与账号等相关的管理策略均在本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于微服务的安全管理系统,其特征在于:所述系统包括多个客户端和一个安全服务器;客户端通过API接口向安全服务器发送访问登录请求;所述登录请求中包含用户的身份信息和密码,所述安全服务器调用登录接口时,当校验用户身份信息和密码通过后;安全服务器根据预定规则生成一个 Token信息,并将 Token 信息与用户名以键值对的形式保存到安全服务器的 数据库中,同时将该生成的Token信息发送到客户端;客户端接收包含Token信息,并向安全服务器执行发送包含Token信息的令牌服务请求消息,所述安全服务器获取该令牌服务请求消息,解析消息体中的Token信息,并进行验证,当验证成功时,客户端执行应用服务的调用;否则拒绝。2.如权利要求1所述的系统,其特征在于:将生成的Token信息发送到客户端时,对应的用户之前登录的Token信息作废。3.如权利要求2所述的系统,其特征在于:所述用户的身份信息包括用户名、邮箱、手机号和权限属性信息。4.如权利要求3所述的系统,其特征在于:所述安全服务器将用户的身份信息中以条目信息的形式,按照树形结构存储在数据库中。5.如权利要求4所述的系统,其特征在于:所述条目具有区别名DN和属性,所述区别名DN用来引用条目,区别名等同于关系数据库中的主键;所述属性由类型和值组成;所述权限属性信息用于对用户权限进行配置,客户端根据不同的权限配置,控制和...
【专利技术属性】
技术研发人员:张晓芳,陈科,欧睿,潘文凯,杨斌,龙芳,
申请(专利权)人:北京慧点科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。