[发明专利]一种服务网格中用户状态验证的方法

说明书

本发明公开了一种服务网格中用户状态验证的方法，可在提升网络服务的安全性的同时，通过实施大小令牌的机制降低了服务网格中的负载压力，且兼顾了性能、安全和吞吐量，该方法适用于采用了集群及分布式设计的服务网格系统。

技术领域

本发明涉及计算机软件的分布式系统技术领域，特别涉及一种服务网格中用户状态验证的方法。

背景技术

随着移动互联网的不断深入，越来越多的公司和企业逐渐开始面向互联网，并且把面向客户的服务和业务也迁移到线上。在开发这些线上业务时，随着客户数量的不断增多，业务平台的架构也在不断地变化演进。从早期的单体应用架构逐渐转变为微服务架构，集群和分布式也成为了标配的技术。

服务网格技术是目前最具生产力的前沿技术之一，在构建微服务架构的基础平台的过程中，采用服务网格技术可以进一步提升系统的整体性能，降低研发和运营成本。服务网格是一个用于处理服务到服务相互通信的专用基础设施层，它负责通过包含现代云原生应用的复杂服务拓扑来安全可靠地传递请求。服务网格是一种网络模型，是位于TCP/IP之上的抽象层。它假定底层L3/L4网络存在并且能够从一个点到另一个点传输字节。服务网格还假设该网络与环境的其他方面一样不可靠，因此服务网络也必须能够处理网络故障。在服务网格面向海量用户的背景下，直接维护用户的状态信息就变成了比较棘手的难题，业界的常规解决方法是使用一个令牌Token来表示用户的登录状态，通过对令牌Token的验证来判断用户身份的合法性。而服务网格端如果整体都实施了HTTPS化，那么令牌Token的设计可以非常简单化。但企业业务通常是复杂多样的，部分HTTPS服务、部分HTTP服务是一种常态，这种情况下要达到验证令牌简便，且还要保证高吞吐量、高安全性就成为一个难题。

发明内容

本发明的目的是克服上述背景技术中不足，提供一种服务网格中用户状态验证的方法，以解决背景技术中所述的技术问题，可在提升网络服务的安全性的同时，通过实施大小令牌的机制降低了服务网格中的负载压力，且兼顾了性能、安全和吞吐量，该方法适用于采用了集群和/或分布式设计的服务网格系统。

为了达到上述的技术效果，本发明采取以下技术方案：

一种服务网格中用户状态验证的方法，包括以下步骤：

A.终端通过HTTPS完成用户登录，并请求混淆码微服务；

B.混淆码微服务产生一个随机混淆码，并返回给终端，再将用户ID和混淆码以键值对形式存入高速缓存；其中，服务网格中的混淆码微服务是根据目前公开的算法，产生一个随机混淆码，再将混淆码返回给终端，最后将混淆码和用户ID(即UID)以键值对的形式存入高速缓存；

C.终端使用混淆码进行加密计算，产生大令牌、小令牌；即终端获得步骤B产生的混淆码后，使用终端和服务网格双方约定的、业界公开的对称加密算法进行加密计算，生成两个令牌：即小令牌LToken和大令牌BToken；

D.终端携带大令牌、小令牌访问服务网格中的微服务；在具体实施中，实际的访问情况比较复杂，有可能小令牌不存在，有可能大令牌不存在，有可能大小令牌都不存在；

E.服务网格端验证大令牌、小令牌，若大令牌、小令牌均不存在则直接进入步骤J，则终端需要重新进行注册或登录操作，否则进入步骤F；

F.服务网格判断小令牌是否存在；若存在，则进入步骤G，否则进入步骤J；

G.服务网格解析小令牌，若成功解析小令牌则进入步骤H，否则进入步骤I；

H.服务网格通过解析小令牌获取用户信息并进入步骤L；

I.服务网格解析大令牌，若成功解析大令牌则进入步骤K，否则进入步骤J；

J.服务网格拒绝服务；即终端不是合法用户，或者是合法性已过期。此时需要终端重新进行登录操作；