[发明专利]面向微服务架构的统一身份认证策略的实现方法及系统

权利要求书

1.一种面向微服务架构的统一身份认证策略的实现方法，其特征在于，所述面向微服务架构的统一身份认证策略的实现方法包括如下步骤：

由公共网关接收由客户端或用户发送的身份认证或登录请求，并将所述身份认证或登录请求转发给认证服务；

响应于接收到所述身份认证或登录请求，由所述认证服务识别用户身份；

响应于用户身份认证通过，由所述认证服务生成访问令牌；

由所述认证服务将所述访问令牌发送给公共缓存，并且向所述公共网关发送返回的访问令牌，其中，所述公共缓存存储所述访问令牌；以及

由所述公共网关接收所述返回的访问令牌并将所述返回的访问令牌发送给所述用户；

其中，所述面向微服务架构的统一身份认证策略的实现方法还包括如下步骤：

由所述公共网关接收用户发送的业务数据访问请求；

由所述公共网关判断所述业务数据访问请求的报头中是否包含所述访问令牌，如果所述业务数据请求的报头中不包含所述访问令牌，则直接返回错误提示；及

如果所述业务数据请求的报头中包含所述访问令牌，则由所述公共网关对所述访问令牌进行验证；

其中，由所述公共网关对所述访问令牌进行验证包括如下步骤：

通过所述访问令牌生成算法的逆向运算从访问令牌中取出所述用户或客户端唯一标识UID；

验证公共缓存中是否存在所述UID；

如果不存在所述UID，则判断为非法模拟攻击请求，并记录本次请求客户端IP地址和该IP地址请求失败次数到所述公共缓存中；

如果存在所述UID，则判断为合法请求，并验证所述访问令牌是否存在于服务端缓存中；

如果所述访问令牌存在于所述服务端缓存中，则所述访问令牌有效；及

如果所述访问令牌不存在于所述服务端缓存中，则提示所述用户重新获取访问令牌再进行访问。

2.如权利要求1所述的面向微服务架构的统一身份认证策略的实现方法，其特征在于，所述面向微服务架构的统一身份认证策略的实现方法还包括如下步骤：

其中，访问验证失败次数达到3次以上的IP地址被记录到公共缓存中的访问IP地址黑名单列表中；

并且其中，当IP访问微服务架构的分布式系统时，从所述访问IP地址黑名单列表中比对访问IP是否为黑名单IP，黑名单IP的访问将不会做任何分发处理，直接向所述黑名单IP返回特定请求状态码。

3.如权利要求1所述的面向微服务架构的统一身份认证策略的实现方法，其特征在于，所述响应于接收到所述身份认证或登录请求，由所述认证服务识别用户身份包括如下步骤：

基于所述身份认证或登录请求，得到用户名和密码；

对所述用户名和密码进行认证；

如果认证通过，则取得用户唯一标识UID；以及

将所述UID作为返回给用户的访问令牌的生成参数。

4.如权利要求1所述的面向微服务架构的统一身份认证策略的实现方法，其特征在于，所述响应于接收到所述身份认证或登录请求，由所述认证服务识别用户身份还包括如下步骤：

接收所述身份认证或登录请求；

将授权码参数做BASE64解码处理以得到解码的授权码；

根据所述UID从公共缓存中取得存储的授权码；以及

比对所述解码的授权码和所述存储的授权码，如果所述解码的授权码和所述存储的授权码内容一致，则证明是合法的客户端请求，并按照访问令牌生成算法生成访问令牌返回请求用户。

5.如权利要求3或4所述的面向微服务架构的统一身份认证策略的实现方法，其特征在于，所述生成访问令牌包括如下步骤：

在所述UID字符串中随机位置插入4位随机字符串组成新字符串；

在所述新字符串末尾追加随机字符串插入位置前一位的十六进制数；以及

将整个字符串做Base64位转码。