[发明专利]具有原生云特征的客户端隔离

权利要求书

1.一种方法，所述方法包括：

接收主请求，所述主请求包括主身份并且是针对由服务提供方提供的服务，其中所述服务在由云提供方托管的服务容器组内；

从所述主请求生成影子请求，其中所述影子请求包括链接到来自所述主请求的所述主身份的影子身份；

通过验证所述影子身份能访问所述服务来对所述影子请求进行授权；

响应于对所述影子请求进行授权而为所述影子身份生成租户令牌；

使用所述云提供方的原生授权交换所述租户令牌来获得访问令牌，其中所述访问令牌为所述影子身份提供对由所述云提供方托管的一组租户容器组中的租户容器组的租户数据储存库的访问；

使用所述访问令牌从所述租户数据储存库访问租户数据；

获得影子响应，所述影子响应是为所述影子身份生成的并且包括通过用所述服务处理来自所述租户数据储存库的所述租户数据而生成的已处理租户数据；以及

发送主响应，所述主响应是针对所述主身份并且是从所述影子响应生成的。

2.如权利要求1所述的方法，其中所述服务提供方的云提供方账户包括一组容器组，所述一组容器组包括所述服务容器组和所述一组租户容器组。

3.如权利要求1所述的方法，其中所述访问令牌是数据存储区访问令牌，并且所述方法还包括：

将具有所述数据存储区访问令牌的数据访问请求发送到数据访问服务，所述数据访问服务验证对访问所述租户数据储存库的租户数据存储区的授权。

4.如权利要求3所述的方法，所述方法还包括：

响应于所述数据访问请求，接收作为所述租户数据的一部分的数据存储区数据并接收从所述数据存储区访问令牌生成的签名的数据存储区访问令牌。

5.如权利要求4所述的方法，所述方法还包括：

使用所述云提供方的所述原生授权交换所述租户令牌来获得存储访问令牌，其中所述存储访问令牌提供对由所述云提供方托管的所述一组租户容器组中的所述租户容器组的所述租户数据储存库的租户存储的访问。

6.如权利要求5所述的方法，所述方法还包括：

将具有所述存储访问令牌的文件访问请求发送到所述数据访问服务，所述数据访问服务验证所述影子身份在提供对存储所述文件访问请求中标识的文件的租户存储的访问的访问策略中指定的用户组中；以及

响应于所述存储访问请求而接收所述文件，所述文件是所述租户数据的一部分。

7.如权利要求6所述的方法，所述方法还包括：

接收对所述服务的后续请求，所述后续请求包括所述主身份；

检查所述影子身份以识别所述签名的数据存储区访问令牌；

将具有所述签名的数据存储区访问令牌的后续数据访问请求发送到所述数据访问服务，所述数据访问服务使用所述签名的数据存储区访问令牌来提供验证；

从所述租户数据存储区接收后续租户数据；以及

获得后续影子响应，所述后续影子响应是为所述影子身份生成的并且包括通过用所述服务处理来自所述租户数据储存库的所述后续租户数据而生成的后续已处理租户数据；以及

发送从后续影子响应生成的后续响应。