[发明专利]一种柔性微服务安全访问控制方法及系统

权利要求书

1.一种柔性微服务安全访问控制方法，其特征在于，所述方法包括如下步骤：

接收访问者发出的微服务请求信息，并根据安全访问控制策略进行认证；

认证通过后在微服务请求信息上添加生成的访问令牌发送给访问者；

保存生成的访问令牌；

对访问者再次发出的带有访问令牌的微服务请求信息进行校验；

校验通过后返回请求结果给访问者。

2.根据权利要求1所述的一种柔性微服务安全访问控制方法，其特征在于：所述访问令牌的生成方法包括如下步骤：

获取动态生成的安全访问控制策略；

根据安全访问控制策略生成访问令牌。

3.根据权利要求2所述的一种柔性微服务安全访问控制方法，其特征在于：所述安全访问控制策略根据安全访问控制策略模板动态生成。

4.根据权利要求1所述的一种柔性微服务安全访问控制方法，其特征在于：对访问者再次发出的带有访问令牌的微服务请求信息进行校验包括如下步骤：

根据加密私钥对访问令牌进行校验；

校验通过后则确认访问令牌有效并正常处理微服务请求信息返回响应；

否则返回禁止访问的响应信息，同时检查保存的访问令牌是否需要更新。

5.根据权利要求4所述的一种柔性微服务安全访问控制方法，其特征在于：访问令牌的更新方法包括如下步骤：

检查保存的访问令牌的有效期是否到期；

如果到期则重新生成访问令牌，将其添加到微服务请求信息的头部返回，并加上访问令牌更新标志；

根据更新标志更新保存的访问令牌。

6.一种柔性微服务安全访问控制系统，其特征在于：所述系统包括：

安全策略服务模块，用于从微服务消息总线处订阅安全策略配置；

安全策略模板模块，用于描述安全策略和定义扩展，与所述安全策略服务模块通过消息总线连接；

微服务配置中心模块，提供安全访问控制策略模板的安全策略定义方式，与所述微服务消息总线连接；

微服务API网关模块，与所述安全策略服务模块通过消息总线连接，用于统一配置、拦截和路由微服务的请求信息，是所有微服务请求信息的入口；

微服务统一权限模块，分别与所述安全策略服务模块和所述微服务API网关模块连接，用于提供基于安全策略的认证和鉴权服务；

服务访问令牌，由所述微服务统一权限模块生成，用于微服务请求的认证鉴权，实现微服务之间相互调用时无状态会话机制；

Redis集群模块，与所述安全策略服务模块连接，用于微服务请求信息的集中会话存储和访问令牌的存储；

容器化安全访问控制策略模块，用于强化微服务宿主环境的安全访问控制。

7.根据权利要求6所述的一种柔性微服务安全访问控制系统，其特征在于：所述安全策略包括用户认证策略、密码强度策略、资源认证授权策略以及黑白名单策略中的一种或多种；

所述定义扩展包括Java Bean和安全策略表达式的扩展。

8.根据权利要求6所述的一种柔性微服务安全访问控制系统，其特征在于：所述服务访问令牌包括访问令牌和刷新令牌。