[发明专利]一种微服务认证方法和系统

说明书

本发明公开一种微服务认证方法和系统。本发明的系统包括认证中心和网关；本发明的方法包括：在认证中心接收到请求时，认证中心根据登录的用户信息生成token，并将token添加到请求后转发给网关；网关通过提取请求中的token进行解析，在解析用户信息有效后，保留请求中的token，并将请求转发到第一微服务上，由第一微服务响应请求。本发明利用证中心生成包含用户信息的token给请求，并将请求转发到网关，所有微服务的请求都会被网关截取进行用户认证分析，只有认证通过的请求才能正常转发，保证微服务能进行安全的身份认证、并减少服务端和客户端之间的交互，且具有在接入新的微服务时，后期改造工作量小、网络资源消耗低的优势。

技术领域

本发明涉及微服务技术领域，尤其涉及一种微服务认证方法和系统。

背景技术

随着微服务架构的兴起，传统的单体应用场景下的身份认证和鉴权面临的挑战越来越大。单体应用体系下，应用是一个整体，一般针对所有的请求都会进行权限校验，请求一般会通过一个权限的拦截器进行权限的校验，在登录时将用户信息缓存到session中，后续访问则从缓存中获取用户信息。而微服务架构下，一个应用会被拆分成若干个微应用，每个微应用都需要对访问进行鉴权，每个微应用都需要明确当前访问用户以及其权限。

目前，通常通过以下两种方案进行微服务的身份认证，一种是单点登录(SingleSign On，SSO)，另一种是分布式Session方案。

SSO主要创建有一个独立的认证中心，只有认证中心才能接受用户的用户名和密码等信息进行认证，其他系统不提供登录入口，只接受认证中心的间接授权，间接授权通过令牌实现，当用户提供的用户名和密码通过认证中心认证后，认证中心会创建授权令牌，在接下来的跳转过程中，授权令牌作为参数发送给各个子系统，子系统拿到令牌即得到了授权，然后创建局部会话。

该方案的缺点是：每个面向用户的服务都必须与认证服务交互，这会产生大量非常琐碎的昂贵流量和重复的工作，当接入的微应用越来越多时，弊端更加明显，不利于系统重构。

分布式Session方案主要是将关于用户认证的信息存储在共享存储中，且通常由用户会话作为key来实现的简单分布式哈希映射，当用户访问微服务时，用户数据可以从共享存储中获取。

该方案的缺点是：共享存储需要一定保护机制，因此需要通过安全链接来访问，该方案的实现具有相当高的复杂性。

发明内容

本发明提供了一种微服务认证方法和系统，以至少部分解决上述问题。

第一方面，本发明提供了一种微服务认证方法，配置认证中心和网关，包括：在认证中心接收到请求时，认证中心根据登录的用户信息生成token，并将token添加到请求后转发给网关；网关通过提取请求中的token进行解析，在解析用户信息有效后，保留请求中的token，并将请求转发到第一微服务上，由第一微服务响应请求。

在一些实施例中，由第一微服务响应所述请求，包括：在第一微服务调用第二微服务时，第一微服务提取所述请求中的token进行解析，对解析到的用户信息按照预设加密算法加密生成签名，由第一微服务将签名添加到调用第二微服务的调用请求中后进行发送。

在一些实施例中，由第一微服务将签名添加到调用第二微服务的调用请求中后进行发送，包括：网关截取所述调用请求，并从调用请求中提取签名进行解析，在解析到有效的用户信息时，根据用户信息生成token，并将token添加到调用请求后转发给第二微服务，第二微服务进行响应。

在一些实施例中，对解析到的用户信息按照预设加密算法加密生成签名，包括：第一微服务利用所述网关颁发给第一微服务的KEY、当前时间戳、加密类型、加密算法、密钥进行预设加密算法的加密，加密后生成所述签名。