[发明专利]一种实现租户鉴权机制的方法

说明书

技术领域

本发明涉及云计算技术领域，具体地说是一种实用性强、实现租户鉴权机制的方法。

背景技术

随着云时代的到来，云服务环境下的针对多租户的大数据处理需求越来越普遍，同时对于租户数据的隐密和共享必须进行有效管理，实现租户间有效的数据隔离。消息中间件MQ在大数据处理中承担着业务解耦和大数据传输的任务，但目前消息队列组件通常不具备租户鉴权能力，主要体现在：生产和消费的客户端可以自由连接MQ服务器，生产端可以自由生成Topic信息；消费端可以自由消费已知的Topic。因此必须改造消息队列中间件，在消息发布和订阅过程中引入租户鉴权机制，实现数据的安全传输和安全隔离。基于此，现提供一种实现租户鉴权机制的方法。

发明内容

本发明的技术任务是针对以上不足之处，提供一种实用性强、实现租户鉴权机制的方法。

一种实现租户鉴权机制的方法，其具体实现过程为：

采用消息路由作为租户鉴权平台；

在消息路由中增加租户鉴权机制，实现数据传输的安全隔离；

使用Web Service服务接口实现消息队列服务与租户中心的对接。

所述租户鉴权平台的建立过程为：采用客户端、服务器架构进行消息队列中间件数据传输，该客户端包括消息发布客户端、消息消费客户端，服务器端则包括消息队列中间件服务端；通过消息路由管理客户端与服务器端。

所述消息路由器中增加租户鉴权机制即为消息队列中间件客户端连接服务器时进行有效的租户登录校验，该租户鉴权机制由租户鉴权系统完成，租户鉴权系统与消息路由器进行对接，实现登录租户帐号信息的核对认证。

所述租户登录校验步骤是在消息发布和消息消费的客户端在启动客户端实例后，连接消息路由器、查找消息队列的服务器列表之前，该校验是指进行登录租户的权限认证，认证信息包括：租户帐号和密码信息；

将登录认证功能进行集中处理，使客户端与服务器在进行租户认证过程中始终保持松耦合结构。

所述租户登录校验基于Topic完成，消息队列组件通过该Topic进行消息的发布和订阅；在租户登录校验前，首先建立租户与Topic的发布、订阅关系数据模型，通过该租户与Topic的发布、订阅关系数据模型，建立租户发布和订阅Topic关系；

消息发布客户端、消息消费客户端分别进行消息的发布和订阅时，依据租户帐号信息和Topic信息，结合租户与Topic关系模型，实现租户的登录验证、Topic权限验证以及数据传输的有效隔离。

所述租户与Topic的发布、订阅关系数据模型包括租户帐号信息、发布组信息、消费组信息及对应的Topic信息，并根据数据模型建立租户发布Topic关系表和租户消费Topic关系表。

所述租户鉴权包括消息发布客户端鉴权与消息消费客户端鉴权，其中

消息发布端的鉴权过程为：

消息发布客户端连接消息路由器，发布消息前，首先依据客户端发送的租户帐号信息进行租户登录验证：

租户验证失败：返回验证未通过标志，阻止租户客户端进行消息的发送操作；

租户验证通过：依据Topic和发布组信息，验证该租户发布Topic关系中是否存在相应的发布组和该Topic信息；如果存在，则通过验证，通知客户端进行该Topic的消息发送；如果不存在，返回验证未通过标志，阻止租户客户端进行消息的发送操作；

消息消费端的鉴权过程为：

消息消费的客户端连接消息路由器，订阅消息前，首先依据客户端发送的租户帐号信息进行租户登录验证：

租户验证失败：返回验证未通过标志，阻止租户客户端进行消息的订阅消费操作；

租户验证通过：依据Topic和订阅组信息，验证该租户订阅Topic关系中是否存在相应的订阅组和该Topic信息；如果存在，则通过验证，通知客户端进行该Topic的消息订阅消费操作；如果不存在，返回验证未通过标志，阻止租户客户端进行消息的订阅操作。

所述web Service服务接口通过服务注册总线，实现与第三方租户管理系统的对接，该第三方租户是指独立的组件或服务，使消息队列与租户鉴权系统进行有效解耦，动态扩展租户鉴权需求。

本发明的一种实现租户鉴权机制的方法，具有以下优点：