[发明专利]面向微服务架构的统一身份认证策略的实现方法及系统

说明书

本发明公开了一种面向微服务架构的统一身份认证策略的实现方法及系统，该统一身份认证策略的实现方法包括如下步骤：由公共网关接收由客户端或用户发送的身份认证或登录请求，并将身份认证或登录请求转发给认证服务；响应于接收到身份认证或登录请求，由认证服务识别用户身份；响应于用户身份认证通过，由认证服务生成访问令牌；由认证服务将访问令牌发送给公共缓存，并且向公共网关发送返回的访问令牌，其中，公共缓存存储访问令牌；以及由公共网关接收返回的访问令牌并将返回的访问令牌发送给用户。本发明提供了一种更轻便简单方法来实现微服务架构中对客户端访问的统一身份认证，保障了对其内部各微服务访问的合法性和安全性。

技术领域

本发明是关于分布式系统架构中的统一身份认证策略，特别是关于一种面向微服务架构的统一身份认证策略的实现方法及系统。

背景技术

微服务架构是一种架构概念，旨在通过将功能分解到各个离散的服务中以实现对解决方案的解耦。相对于传统应用，微服务架构模式将一个大型的单个应用程序和服务拆分为数个甚至数十个的支持微服务，可扩展单个组件而不是整个的应用程序堆栈，从而满足服务等级协议。

目前微服务架构在互联网领域被广泛应用，互联网大型平台都采用了微服务架构来处理亿万级高并发下的用户请求，从而保证了业务的正常运行。微服务架构的应用主要是对复杂业务的横向拆分上，在服务的调用保障，服务治理，分布式部署运营上更结合云平云台虚拟化技术实现大批量部署和运营保障，对于大规模随机分散的分布式服务节点，提供统一的用户身份认证尤其重要。目前，绝大部分微服务架构中是通过公共网关服务基于会话共享和请求的转发来做登陆用户身份验证和会话保持的，请求分类两类，一类是来自web网页类访问，如某些网站的前端静态页面发送给微服务集群中的某个业务微服务的数据请求，此类请求基于浏览器发送，一类是来自对API数据接口的访问，如APP或第三方平台访问微服务架构中的数据接口服务，此类请求基于APP客户端如手机或第三方平台客户端。

然而，当前微服务架构中，由公共网关服务作为访问的统一入口，在业务调用过程中就需要对请求做转发处理，因此基于网关转发请求并基于会话共享同步的方式实现对访问请求的认证方式比较普遍，对于来自web页面的请求和访问API接口的请求，提供了不同的基于请求session会话的身份认证策略，但此策略具有以下缺点：

1、在微服务架构层面，公共网关无论是单节点还是集群部署都需要做会话的一致性同步处理，而对于大规模并发请求，在创建会话和会话一致性处理上对网关服务器压力都比较大，通过增大网关服务节点的集群部署可以提高负载能力，但同时也增大了业务微服务节点和网关之间关联配置的复杂度。

2、目前此身份认证策略的登录保持仅仅靠服务端生成的会话id，客户端的请求中带上会话id，如果服务端的中存在这个id，就认为请求来自相应的登录客户端，原理简单，但是如果会话id被截获，请求就可以被伪造，因此存在严重安全隐患。

3、上述方案中对于来自web页面请求和API接口请求的两种处理方式，都是基于会话机制，用户的登陆验证、登陆保持、登出都需要服务通过创建会话，维持会话状态来保持，在分布式架构中大量的会话存储和同步，增加了服务器的计算资源消耗，随着并发量的不断增加也增加了公共网关服务的压力，如果不及时扩容，存在宕机风险。

4、基于访问会话并通过回写cookie的会话保持方式，由于cookie对于域名具有依赖性，因而对于第三方系统的访问不适用。

公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。

发明内容

本发明的目的在于提供一种面向微服务架构的统一身份认证策略的实现方法及系统，其能够克服现有技术的缺点。