[发明专利]基于统一网关的认证鉴权方法、装置、设备及存储介质

说明书

本发明涉及网关控制，提供一种基于统一网关的认证鉴权方法、装置、设备及介质。本发明通过先判断当前访问客户端所对应用户是否为登录用户，使得可对登录用户与登录用户采取不同的认证方式；通过将认证服务与权限服务集成在统一网关中，并将不限类型的目标微服务与统一网关在同一配置中心进行配置，使得打通了不同类型的微服务与统一网关之间的信息交互壁垒；通过在当前访问请求认证通过后生成包含访问令牌的第二访问请求，再基于统一网关对第二访问请求进行鉴权，以过滤掉鉴权未通过的第二访问请求，从而实现了基于统一网关对不同类型的微服务对应访问请求的认证与鉴权。此外，本发明还涉及区块链技术，访问令牌可存储于区块链中。

技术领域

本发明涉及安全防护技术领域，尤其涉及一种基于统一网关的认证鉴权方法、装置、设备及计算机可读存储介质。

背景技术

微服务是一种软件开发技术，用于将应用程序构造为一组松散耦合的服务。采用微服务架构后业务应用由原来的单体结构拆分为多个细颗粒度的微服务组件，微服务组件之间访问可以直接放行通过，但外部渠道访问微服务不能直接放行，需要对渠道请求做认证与鉴权后再放行，在微服务网关上提供统一认证鉴权的功能，可以让各个业务微组件专注于业务核心功能，也能让业务系统的认证鉴权的过程实现集中管控。

例如SpringCloud微服务框架，提供Zuul-API网关，Zuul对外通过ZuulFilter拦截器实现对外部请求的返回控制，对内通过RoutingRibbon为业务微服务接口提供统一的访问入口，Zuul可以做为微服务认证与鉴权的实现载体，但提供统一认证鉴权仍需要在Zuul的基础功能之上做出设计优化，常规的微服务网关没有统一的认证与鉴权机制，只能为单个系统或应用提供同类型服务，从而导致了现有的微服务网关认证鉴权的存在类型局限性的技术问题。

发明内容

本发明的主要目的在于提供一种基于统一网关的认证鉴权方法、装置、设备及计算机可读存储介质，旨在解决现有的微服务网关认证鉴权的存在类型局限性的技术问题。

为实现上述目的，本发明提供一种基于统一网关的认证鉴权方法，所述基于统一网关的认证鉴权方法包括以下步骤：

在接收到客户端对不限类型的目标微服务的第一访问请求时，基于所述第一访问请求得到客户端的身份信息与当前域名；

在检测到客户端所对应用户为登录用户时，基于集成有认证服务与权限服务的统一网关判断所述身份信息是否满足预设认证要求，其中，所述统一网关与所述目标微服务已在同一配置中心进行配置；

若所述身份信息满足所述认证要求，则根据所述当前域名生成访问令牌发送至客户端，以供客户端发出带有访问令牌的第二访问请求；

基于所述统一网关判断所述第二访问请求是否具有所述目标微服务的访问权限，并在所述第二访问请求不具有所述目标微服务的访问权限时，基于所述统一网关对所述第二访问请求进行过滤。

可选地，所述基于所述统一网关判断所述第二访问请求是否具有所述目标微服务的访问权限，并在所述第二访问请求不具有所述目标微服务的访问权限时，基于所述统一网关对所述第二访问请求进行过滤的步骤包括：

根据预存在所述统一网关中的加密私钥对所述访问令牌进行校验；

在检测到校验未通过时，判断所述访问令牌是否需要更新；

若所述访问令牌不需要更新，则判定所述第二访问请求不具有所述目标微服务的访问权限，基于所述统一网关对所述第二访问请求进行过滤。

可选地，所述判断所述访问令牌是否需要更新的步骤之后，还包括：

若所述访问令牌需要更新，则生成包含有更新访问令牌的返回消息，并在所述返回消息的头部添加令牌更新标志；