【技术实现步骤摘要】
本专利技术涉及数据安全领域,并且更具体地,涉及一种基于网关进行鉴权控制处理的方法和系统。
技术介绍
1、现有的业务平台中,很多是支持各业务系统个性化配置的统一管理平台。系统中的配置,支持按用户发布权限配置需求。当给用户配置生效后,用户在后续对业务系统指定接口进行请求访问时,会根据已配置的权限信息进行鉴权控制处理,符合权限配置的请求进行放行,不符合权限配置的则拦截返回。
2、目前,随着业务的扩展及用户数量的提升,各业务系统需进行鉴权控制管理的对外接口数量逐渐增多,针对用户权限信息的配置的操作也逐渐复杂,需要进行更多的配置操作,很容易造成运营人员配置错误,进而对用户的访问请求造成影响,更严重则造成数据泄露引发安全问题。
3、传统进行请求权限控制的配置及鉴权方法有很多,比如使用数据库或使用缓存技术维护黑白名单信息表,对请求进行身份令牌校验,但对上述应用场景存在多用户配置信息重叠造成资源浪费,配置操作繁琐,权限控制粒度粗放问题。具体来说,针对不同用户的请求无法充分进行权限的配置与鉴定;由于需要满足按特定用户发布的个性化权限控制需求,只能根据各业务系统进行用户权益创建,黑白名单维护,而同一用户存在多业务系统的请求访问需求,导致配置及鉴权操作重复且繁琐,资源利用率低。
技术实现思路
1、为了解决现有技术中当同一用户存在多业务系统的请求访问需求时,针对每个业务系统进行权益配置,易导致配置及鉴权操作重复且繁琐,资源利用率低的技术问题,本专利技术提供一种基于网关进行鉴权控制处
2、根据本专利技术的一方面,本专利技术提供一种基于网关进行鉴权控制处理的方法,所述方法包括:
3、网关获取用户发送的访问请求,其中,所述访问请求包括用户签名,身份令牌信息,拟访问业务系统,以及与所述拟访问业务系统对应的,经过加密的业务数据包;
4、网关解析所述访问请求,获取用户签名,身份令牌信息,拟访问业务系统,以及与所述拟访问业务系统对应的,经过加密的业务数据包;
5、网关查询请求路由,当所述拟访问的业务系统存在时,根据所述用户签名和身份令牌信息对所述用户进行认证,生成认证结果,其中,所述认证结果包括认证通过和认证不通过;
6、当所述认证结果为认证通过时,获取与所述身份令牌信息绑定的用户信息和权益配置信息;
7、将所述权益配置信息与数据库和缓存中的预配置信息进行比对,生成比对结果,其中,所述比对结果包括比对一致和比对不一致;
8、当所述比对结果为比对一致时,网关接收拟访问业务系统基于所述业务数据包返回的响应信息,并将根据所述响应信息生成的访问结果返回至用户。
9、根据本专利技术的另一方面,本专利技术提供一种基于网关进行鉴权控制处理的系统,所述系统包括:
10、客户端,用于生成用户的访问请求,并发送至网关,其中,所述访问请求包括用户签名,身份令牌信息,拟访问业务系统,以及与所述拟访问业务系统对应的,经过加密的业务数据包;
11、网关,用于接收并解析所述访问请求,获取用户签名,身份令牌信息,拟访问业务系统,以及与所述拟访问业务系统对应的,经过加密的业务数据包;查询请求路由,当所述拟访问的业务系统存在时,根据所述用户签名和身份令牌信息对所述用户进行认证,生成认证结果;当所述认证结果为认证通过时,获取与所述身份令牌信息绑定的用户信息和权益配置信息,将所述权益配置信息与数据库和缓存中的预配置信息进行比对,生成比对结果;当所述比对结果为比对一致时,接收拟访问业务系统基于所述业务数据包返回的响应信息,并将根据所述响应信息生成的访问结果返回至客户端,其中,所述认证结果包括认证通过和认证不通过,所述比对结果包括比对一致和比对不一致;
12、多个业务系统,用于根据网关发送的业务数据包生成响应信息,并将所述响应信息返回至网关。
13、根据本专利技术的又一个方面,本专利技术提供一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序用于执行本专利技术上述任一方面所述的方法。
14、根据本专利技术的又一个方面,提供了一种电子设备,所述电子设备包括:处理器;用于存储所述处理器可执行指令的存储器;所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现本专利技术上述任一方面所述的方法。
15、本专利技术所述的基于网关进行鉴权控制处理的方法和系统,其中,所述方法包括:网关获取用户发送的访问请求;网关解析所述访问请求,获取用户签名,身份令牌信息,拟访问业务系统,以及与所述拟访问业务系统对应的,经过加密的业务数据包;网关查询请求路由,当所述拟访问的业务系统存在时,根据所述用户签名和身份令牌信息对所述用户进行认证,生成认证结果;当所述认证结果为认证通过时,获取与所述身份令牌信息绑定的用户信息和权益配置信息;将所述权益配置信息与数据库和缓存中的预配置信息进行比对,生成比对结果;当所述比对结果为比对一致时,网关接收拟访问业务系统基于所述业务数据包返回的响应信息,并将根据所述响应信息生成的访问结果返回至用户。所述方法和系统采用身份令牌信息绑定用户信息和权益配置信息,解决权限控制个性化需求的控制问题,降低了系统资源的占用,通过网关作为各业务系统访问的统一入口,提供标准统一的对外通道,提高了业务处理的效率,通过对访问请求和响应信息的加签加密操作,解决了通信中数据安全问题。
本文档来自技高网...【技术保护点】
1.一种基于网关进行鉴权控制处理的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,网关获取用户发送的访问请求之前还包括:
3.根据权利要求1所述的方法,其特征在于,所述根据所述用户签名和身份令牌信息对所述用户进行认证,生成认证结果,包括:
4.根据权利要求1所述的方法,其特征在于,当所述比对结果为比对一致时,网关接收拟访问业务系统基于所述业务数据包返回的响应信息,并将根据所述响应信息生成的访问结果返回至用户,包括:
5.一种基于网关进行鉴权控制处理的系统,其特征在于,所述系统包括:
6.根据权利要求5所述的系统,其特征在于,所述业务系统还用于:
7.根据权利要求5所述的系统,其特征在于,所述网关根据所述用户签名和身份令牌信息对所述用户进行认证,生成认证结果,包括:
8.根据权利要求5所述的系统,其特征在于,所述网关在所述比对结果为比对一致时,接收拟访问业务系统基于所述业务数据包返回的响应信息,并将根据所述响应信息生成的访问结果返回至客户端,包括:
9.一种计
10.一种电子设备,其特征在于,所述电子设备包括:
...【技术特征摘要】
1.一种基于网关进行鉴权控制处理的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,网关获取用户发送的访问请求之前还包括:
3.根据权利要求1所述的方法,其特征在于,所述根据所述用户签名和身份令牌信息对所述用户进行认证,生成认证结果,包括:
4.根据权利要求1所述的方法,其特征在于,当所述比对结果为比对一致时,网关接收拟访问业务系统基于所述业务数据包返回的响应信息,并将根据所述响应信息生成的访问结果返回至用户,包括:
5.一种基于网关进行鉴权控制处理的系统,其特征在于,所述系统包括:
6.根据权利...
【专利技术属性】
技术研发人员:赵冬阳,程霈,吴磊,
申请(专利权)人:航天信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。