一种分布式图数据库中的身份认证方法和系统技术方案

本申请涉及一种分布式图数据库中的身份认证方法，该方法包括：图数据库接收客户端的登录请求，并确定登录请求中客户端指定的计算节点；图数据库，通过计算节点向元数据管理节点发送查询请求，指示元数据管理节点判断是否存在与登录请求对应的影子用户，若是，通过计算节点，基于参数信息和用户名得到客户端的识别名，根据识别名和登录请求中的客户端密码生成LDAP认证请求，并将其发送至LDAP服务器；指示LDAP服务器，根据LDAP认证请求对客户端进行身份认证，并将认证结果返回至计算节点。通过本申请，解决了相关技术对图数据库中身份认证方法存在的维护复杂且安全性较差的问题，在针对复杂度高且数据量大的用户校验进行维护管理时更加高效方便，且具备更好的安全程度。且具备更好的安全程度。且具备更好的安全程度。

【技术实现步骤摘要】
一种分布式图数据库中的身份认证方法和系统


[0001]本申请涉及分布式图数据库领域，特别是涉及一种分布式图数据库中的身份认证方法和系统。

技术介绍

[0002]随着大数据和人工智能的迅猛发展，超大规模关系网络逐步在社交推荐、风控、物联网、区块链、安防等领域被广泛使用，而作为所有这些应用的技术基石之一，分布式图数据库需要处理的数据量成几何状增长。
[0003]数据库系统安全有两个重要领域：身份认证和权限管理，前者要解决“系统里有没有这个人”的问题，后者要解决“他有没有权限执行某项操作”的问题。对于容纳千亿个顶点和万亿条边的图数据库集群而言，要实时保证数据的安全就需要在客户端和图数据库服务器建立连接之前，对客户端进行身份认证。
[0004]在相关技术中，图数据库中的身份认证，是图数据库服务器内部识别客户端身份的过程，并且由图数据库服务器，决定客户端应用是否被允许以请求的用户名来建立连接。
[0005]相关技术中在图数据库中实现客户端身份认证的方式，需要在图数据库中维护管理客户端的用户名及密码，在应对数据量较大且客户端信息分级分类复杂的情况时，配置及维护的过程步骤复杂且重复冗余，且由于图数据库作为一个综合管理平台，将用户密码置于其上安全性也较低。
[0006]目前，针对相关图数据库中身份认证方法存在的维护复杂且安全性较差的问题，尚未提出有效的解决方案。

技术实现思路

[0007]本申请实施例提供了一种分布式图数据库中的身份认证方法、系统、计算机设备和计算机可读存储介质，以至少解决相关技术中维护成本复杂且安全性较差的问题。
[0008]第一方面，本申请实施例提供了一种分布式图数据库中的身份认证方法，其特征在于，通过LDAP服务器实现客户端身份认证，且所述图数据库的配置文件中设置有用于绑定LDAP服务器的参数信息，所述方法包括：图数据库接收客户端的登录请求，并确定所述登录请求中客户端指定的计算节点；所述图数据库，通过所述计算节点向元数据管理节点发送查询请求，指示所述元数据管理节点判断是否存在与所述登录请求对应的影子用户，若是，通过所述计算节点，基于所述参数信息和所述登录请求中的用户名得到所述客户端的识别名，根据所述识别名和所述登录请求中的客户端密码生成LDAP认证请求，并将其发送至所述LDAP服务器；指示所述LDAP服务器根据所述LDAP认证请求对客户端进行身份认证，并将认证结果返回至所述计算节点。
[0009]在其中一些实施例中，所述LDAP服务器根据所述LDAP认证请求对客户端进行身份认证，包括：所述LDAP服务器，获取LDAP认证请求中包含的识别名和客户端密码；通过将所述识别名和密码在LDAP目录树中进行匹配，判断本地是否存在与所述识别名和客户端密码对应的信息；若是，返回认证成功信息至所述计算节点，若否，返回认证失败信息至所述计算节点。
[0010]在其中一些实施例中，通过LDAP简单绑定的情况下，基基于所述参数信息和所述登录请求中的用户名得到所述客户端的识别名包括：通过所述计算节点，查询所述参数信息中是否配置有前置预设字符串和后置预设字符串，若是，基于所述前置预设字符串、后置预设字符串和所述客户端用户名，生成所述客户端的识别名，其中，所述前置预设字符串用于添加在所述用户名之前，所述后置预设字符串用于附加至所述客户端用户名之后。
[0011]在其中一些实施例中，通过LDAP搜索绑定的情况下，基于所述参数信息和所述登录请求中的用户名得到所述客户端的识别名包括：通过所述计算节点，查询所述参数信息中是否配置有初始搜索用户名和初始搜索客户端密码，若是，指示所述LDAP服务器进行指定初始搜索，包括：将所述初始搜索用户名和所述初始搜索客户端密码绑定至LDAP目录，并根据所述初始搜索用户名和所述初始搜索客户端密码，在所述LDAP目录树中进行初始搜索得到所述识别名；若否，通过所述计算节点进行匿名绑定，并指示所述LDAP服务器中进行匿名绑定模式下的初始搜索，得到所述识别名。
[0012]在其中一些实施例中，通过LDAP搜索绑定的情况下，所述方法还包括：所述计算节点，在所述初始搜索时与所述LDAP服务器建立第一次交互连接；所述计算节点，在得到识别名根据识别名和客户端用户名生成LDAP认证请求之后，将LDAP认证请求发送至所述LDAP服务器之前，断开所述第一次交互连接；重新与所述LDAP服务器建立第二次交互连接，并将所述LDAP认证请求发送至所述LDAP服务器，指示所述LDAP服务器根据所述LDAP认证请求对客户端进行身份认证。
[0013]在其中一些实施例中，所述图数据库接收客户端的登录请求之前，所述方法还包括：在所述图数据库中，将具备登录资格的客户端设置为影子用户，并对其分配相应的权限；在所述LDAP服务器中，按照LDAP目录格式保存所述具备登录资格的客户端的用户名和客户端密码。
[0014]在其中一些实施例中，所述图数据库是分布式图数据库Nebula Graph。
[0015]第二方面，本申请实施例提供了一种分布式图数据库中的身份认证系统，通过LDAP服务器实现客户端身份认证，且所述图数据库的配置文件中设置有用于绑定LDAP服务
器的参数信息，所述系统包括：图数据库、客户端和LDAP服务器，其中：所述图数据库用于，接收客户端的登录请求，并确定所述登录请求中所述客户端指定的计算节点，以及，通过所述计算节点向元数据管理节点发送查询请求，指示所述元数据管理节点判断是否存在与所述登录请求对应的影子用户，若是，通过所述计算节点，基于所述参数信息和所述登录请求中的用户名得到所述客户端的识别名，根据所述识别名和所述登录请求中的客户端密码生成LDAP认证请求，并将其发送至所述LDAP服务器；所述LDAP服务器用于，指示所述LDAP服务器根据所述LDAP认证请求对客户端进行身份认证，并将认证结果返回至所述计算节点。
[0016]第三方面，本申请实施例提供了一种计算机设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第一方面所述的方法。
[0017]第四方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一方面所述的方法。
[0018]相比于相关技术，本申请实施例提供的一种分布式图数据库中的身份认证方法，通过图数据库接收客户端的登录请求，并确定登录请求中客户端指定的计算节点；通过计算节点向元数据管理节点发送查询请求，指示元数据管理节点判断是否存在与登录请求对应的影子用户，若是，通过计算节点，基于参数信息和登录请求中的用户名，得到客户端的识别名，根据识别名和登录请求中的客户端密码生成LDAP认证请求，并将其发送至LDAP服务器；指示LDAP服务器根据LDAP认证请求对客户端进行身份认证，并将认证结果返回至计算节点。解决了相关技术对图数据库中身份认证方法存在的维护复杂且安全性较差的问题，在针对复杂度高且数据量大的用户校验进行维护管本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种分布式图数据库中的身份认证方法，其特征在于，通过LDAP服务器实现客户端身份认证，且所述图数据库的配置文件中设置有用于绑定LDAP服务器的参数信息，所述方法包括：图数据库接收客户端的登录请求，并确定所述登录请求中客户端指定的计算节点；所述图数据库，通过所述计算节点向元数据管理节点发送查询请求，指示所述元数据管理节点判断是否存在与所述登录请求对应的影子用户，若是，通过所述计算节点，基于所述参数信息和所述登录请求中的用户名得到所述客户端的识别名，根据所述识别名和所述登录请求中的客户端密码生成LDAP认证请求，并将其发送至所述LDAP服务器；指示所述LDAP服务器，根据所述LDAP认证请求对客户端进行身份认证，并将认证结果返回至所述计算节点。2.根据权利要求1所述的方法，其特征在于，所述LDAP服务器根据所述LDAP认证请求对客户端进行身份认证，包括：所述LDAP服务器，获取LDAP认证请求中包含的识别名和客户端密码；通过将所述识别名和密码在LDAP目录树中进行匹配，判断本地是否存在与所述识别名和客户端密码对应的信息；若是，返回认证成功信息至所述计算节点，若否，返回认证失败信息至所述计算节点。3.根据权利要求1所述的方法，其特征在于，通过LDAP简单绑定的情况下，基于所述参数信息和所述登录请求中的用户名得到所述客户端的识别名包括：通过所述计算节点，查询所述参数信息中是否配置有前置预设字符串和后置预设字符串，若是，基于所述前置预设字符串、后置预设字符串和所述客户端用户名，生成所述客户端的识别名，其中，所述前置预设字符串用于添加在所述用户名之前，所述后置预设字符串用于附加至所述客户端用户名之后。4.根据权利要求2所述的方法，其特征在于，通过LDAP搜索绑定的情况下，基于所述参数信息和所述登录请求中的用户名得到所述客户端的识别名包括：通过所述计算节点，查询所述参数信息中是否配置有初始搜索用户名和初始搜索客户端密码，若是，指示所述LDAP服务器进行指定初始搜索，包括：将所述初始搜索用户名和所述初始搜索客户端密码绑定至LDAP目录，并根据所述初始搜索用户名和所述初始搜索客户端密码，在所述LDAP目录树中进行初始搜索得到所述识别名；若否，通过所述计算节点进行匿名绑定，并指示所述LDAP服务器中进行...

【专利技术属性】
技术研发人员：岳通，吴敏，王玉珏，叶小萌，
申请(专利权)人：杭州悦数科技有限公司，
类型：发明
国别省市：