[发明专利]Docker镜像仓库的权限认证方法和系统

权利要求书

1.一种Docker镜像仓库的权限认证方法，其特征在于，所述权限认证方法包括如下步骤：

通过代理服务器访问镜像仓库被拒绝时，接收镜像仓库返回的未授权错误信息，其中，所述镜像仓库部署在云管区中，所述未授权错误信息的响应头中包含认证方法提示信息；

解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证，其中所述代理服务器部署在可用区内，令牌服务器部署在云管区中；

接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求；

接收镜像仓库返回的镜像；

所述解析所述未授权错误信息，根据认证方法提示信息生成权限认证请求并将其发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证的步骤包括：

解析所述未授权错误信息，获取未授权错误信息的响应头中包含认证方法提示信息；

根据认证方法提示信息的提示，利用用户认证信息、请求镜像内容范围生成权限认证请求信息；

将所述权限认证请求信息发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证；

在将所述权限认证请求信息发送至代理服务器，由代理服务器将权限认证请求发送给令牌服务器进行权限认证的步骤之后、接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求的步骤之前，所述权限认证方法还包括：

代理服务器根据客户端输入的域名进行安全传输层协议认证，并在验证通过后接收客户端的数据访问请求并将其发送至云管区的令牌服务器；

云管区的令牌服务器解析所述权限认证请求信息，并验证用户认证信息；

在用户认证通过时，根据请求的镜像内容范围判断客户端是否能访问其请求的镜像内容；

当客户端能访问其请求的镜像内容时，根据用户认证信息、请求的镜像内容范围生成令牌返回给客户端；

所述镜像仓库为云管区设置的唯一镜像仓库，而非某一可用区的镜像仓库，所有的私有Docker镜像均存储在云管区的镜像仓库中，每一个可用区均部署有一套代理服务器，各个可用区的客户端均通过设置在该区的代理服务器来将权限认证请求发送给云管区的令牌服务器，各个可用区的代理服务器的域名、证书和密钥均相同，保证系统的一致性；

所有可用区的所有客户端对镜像服务及镜像鉴权服务是相同的，只有集中管理区有一套镜像库及鉴权服务器，只有云管区需要部署镜像仓库及令牌服务器，各区域只需要部署代理服务器，镜像仓库只需要一份配置，将第一次请求返回401响应的响应头中的鉴权服务地址指定为各区域DNS解析的鉴权服务域名。

2.根据权利要求1所述的Docker镜像仓库的权限认证方法，其特征在于，所述根据认证方法提示信息的提示，利用用户认证信息、请求镜像内容范围生成权限认证请求信息的步骤包括：

根据认证方法提示信息将用户认证信息加密，放在https请求的请求头部，将请求的镜像内容范围置于https请求的请求参数中，基于该https请求的请求头部及请求参数生成权限认证请求信息。

3.根据权利要求1所述的Docker镜像仓库的权限认证方法，其特征在于，在接收云管区中的令牌服务器返回的令牌，并携带所述令牌向镜像仓库发送访问请求的步骤之后、接收镜像仓库返回的镜像的步骤之前，还包括：

镜像仓库接收所述令牌，解析并验证所述令牌，在验证通过时，向客户端返回镜像。