一种token认证管理系统技术方案

本发明专利技术提供一种token认证管理系统，属于计算机技术领域，本发明专利技术包括：认证鉴权授权模块、token管理模块和token验证执行tk

【技术实现步骤摘要】
一种token认证管理系统


[0001]本专利技术涉及计算机
，尤其涉及一种token认证管理系统。

技术介绍

[0002]信息技术的高速发展将数智化技术渗透到各行各业，也引起人们对信息和数据安全问题的高度重视。认证系统作为信息化系统的第一道安全防线，对保护用户和系统自身的信息安全起着至关重要的作用。
[0003]传统基于session
‑
cookies技术的认证方式，无法适用于当前广泛使用的移动客户端和前后端分离的分布式系统。基于token的认证方式支持跨域访问和无状态服务端，得到广泛应用。但基于token的认证方式也有自身的不足：token的集中式验证使得验证服务器成为系统扩展的瓶颈，现有的分布式验证系统又存在已签发的token无法按需回收的问题，导致系统存在安全风险。

技术实现思路

[0004]为了解决以上技术问题，本专利技术提供了一种token认证管理系统。
[0005]本专利技术的技术方案是：
[0006]一种token认证管理系统，包括认证鉴权授权模块、token管理模块和token验证执行tk
‑
agent；
[0007]所述认证鉴权授权模块用于根据认证请求中的用户注册信息和相应鉴权授权策略，对资源请求者进行认证鉴权授权；
[0008]所述token管理模块用于根据系统安全要求管理公私钥对，并根据所述认证鉴权授权结果附加token管理信息，经加密签名后生成本次认证请求的认证token返回给请求方；
[0009]所述token验证执行tk
‑
agent用于管理所述公钥，并对访问请求中的token进行验证。
[0010]进一步的，
[0011]所述token管理模块定期或依据系统运行安全状态即时生成公私钥对，并将公钥下发至token验证执行tk
‑
agent；
[0012]所述token管理模块在更新公私钥对时执行公钥至少2级优先级轮转机制，并清理优先级轮转为无效的公钥。
[0013]所述token由标题密文、负载密文和签名密文组成，所述token的标题密文至少包括token类型和签名算法。
[0014]所述token管理模块使用时间最新的私钥，对附加了token管理信息的token标题密文和负载密文的拼接密文，按照预定签名算法进行签名，生成所述签名密文。token管理模块还可以通过定时或按需改变签名算法加强系统安全性。
[0015]所述token验证执行tk
‑
agent接收token管理模块下发的公钥，执行本地公钥至少
2级优先级轮转机制，依据公钥优先级验证token有效性，并清理优先级轮转为无效的公钥。所述token验证执行tk
‑
agent可定期同步token认证管理系统维护的公钥。
[0016]再进一步的，token验证具体包括：
[0017]1)token验证执行tk
‑
agent对接收到的token分解为标题密文、负载密文和签名密文；
[0018]2)使用预设解密算法解密标题密文，得到token类型和签名算法；
[0019]3)按照本地公钥优先级从高到低的顺序，依次使用有效公钥和所述签名算法对所述标题密文和负载密文的拼接密文进行验证；
[0020]4)只要验证成功认定该token有效，可选进一步验证token是否在有效期内；
[0021]5)若所有有效公钥都验证无效，认定该token无效。
[0022]token的有效期可以通过附加在token信息中的签发时间和失效期限判定，或不设定失效期限，通过token管理模块的公私钥更新时间间隔作为token有效期。
[0023]公私钥管理具体包括：
[0024]token认证管理系统定期或依据系统运行安全状态即时生成公私钥对，本地以新私钥替换旧私钥，用以生成签名密文，并将相应公钥下发至token验证执行tk
‑
agent，同时执行公钥至少2级优先级轮转机制，并清理优先级轮转为无效的公钥；
[0025]所述token验证执行tk
‑
agent接收token管理模块下发的公钥，将该公钥优先级置为最高优先级，其他历史公钥优先级按照生成时间依次降低，低于最低优先级的公钥设为无效公钥，本地至少保存2级公钥；
[0026]本专利技术的有益效果是
[0027]本专利技术通过token的分布式验证降低验证服务器的负载，以便于系统规模化扩展；通过token管理模块定时或按需更新公私钥对，以历史公钥失效的方式，实现已签发token的回收，以便动态保障系统安全性。
附图说明
[0028]图1是本专利技术的系统架构示意图；
[0029]图2是本专利技术提供的token验证流程示意图。
具体实施方式
[0030]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例，基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0031]本专利技术的系统架构如图1所示，包括认证鉴权授权模块、token管理模块和token验证执行tk
‑
agent。各模块可根据业务需求采用单实体部署或集群部署，且不限定部署载体为服务器、云主机、容器或微服务。token验证执行tk
‑
agent部署于提供具体被访问业务的实体中，实现token的分布式验证；因该模块功能与具体服务业务解耦，可多服务共用同一个token验证执行tk
‑
agent。
[0032]用户的访问请求过程为：
[0033]1、访问请求者携带用户注册凭证向认证鉴权授权模块发起认证请求；认证鉴权授权模块接收到访问请求信息，根据用户凭证完成用户认证、鉴权和授权操作，获取用户具体注册信息和授权结果，形成认证token元数据。
[0034]2、认证鉴权授权模块携带认证token元数据向token管理模块申请token。
[0035]3、token管理模块接收token元数据生成token返回给认证鉴权授权模块，最终返回给访问请求者。
[0036]4、访问请求者携带token向目标服务发起访问请求。
[0037]5、目标服务通过其所述token验证执行tk
‑
agent进行token验证，对验证通过的请求完成服务请求并返回访问结果；对验证不通过的请求返回token验证失败信息。
[0038]token管理模块根据系统安全要求管理用于token验证的公私钥对。密钥对的生成和更新可以选择日常周期性更新、应对固定事件的未来定时更新，或者动态应对系统运行威胁的即时性更新。更本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种token认证管理系统，其特征在于，包括：认证鉴权授权模块、token管理模块和token验证执行tk
‑
agent；认证鉴权授权模块，用于根据认证请求中的用户注册信息和相应鉴权授权策略，对资源请求者进行认证鉴权授权；token管理模块，用于根据系统安全要求管理公私钥对，并根据所述认证鉴权授权结果附加token管理信息，经加密签名后生成本次认证请求的认证token返回给请求方；token验证执行tk
‑
agent，用于管理公钥，并对访问请求中的token进行验证。2.根据权利要求1所述的系统，其特征在于，所述token管理模块定期或依据系统运行安全状态即时生成公私钥对，并将公钥下发至token验证执行tk
‑
agent；所述token管理模块在更新公私钥对时执行公钥至少2级优先级轮转机制，并清理优先级轮转为无效的公钥。3.根据权利要求1所述的系统，其特征在于，所述token由标题密文、负载密文和签名密文组成，所述token的标题密文包括token类型和签名算法。4.根据权利要求3所述的系统，其特征在于，所述token管理模块使用时间最新的私钥，对附加了token管理信息的token标题密文和负载密文的拼接密文，按照预定签名算法进行签名，生成所述签名密文。5.根据权利要求4所述的系统，其特征在于，token管理模块还可以通过定时或按需改变签名算法。6.根据权利要求2或4所述的系统，其特征在于，token验证执行tk
‑
agent接收token管理模块下发的公钥，执行本地公钥至少2级...

【专利技术属性】
技术研发人员：张文燕，沈林江，
申请(专利权)人：浪潮通信信息系统有限公司，
类型：发明
国别省市：