[发明专利]基于Envoy架构的微服务接口认证系统、方法及装置

说明书

本申请实施例公开了基于Evnoy架构的微服务接口认证系统、方法及装置，本申请实施例提供的技术方案通过在权限验证中心适配LDS接口，对LDS接口配置监听器和Lua过滤器，并与Envoy网关关联，以根据权限验证中心的各Api接口的权限配置对Envoy网关中对自身本地存储的访问权限验证规则动态更新，实现了将Api接口权限配置映射为Envoy网关中自身的过滤验证配置；在支持Api接口权限配置动态更新管理的同时，规避了每一次Api接口调用时需要进行一次鉴权请求的额外开销。

技术领域

本申请实施例涉及接口通信技术领域，尤其涉及一种基于Envoy架构的微服务接口认证系统、基于Envoy架构的微服务接口认证方法、基于Envoy架构的微服务接口认证装置、基于Envoy架构的微服务接口认证设备及存储介质。

背景技术

近年来随着云计算基础设置和微服务架构的不断发展，微服务开发更加聚焦在业务本身，而将服务发现、服务调用、服务权限管理、统一登录认证中心一些框架功能统一到基础软件设施建设中。

目前服务权限认证逐步从Cookie(储存在用户本地终端上的数据)/Session(会话控制，Session对象存储特定用户会话所需的属性及配置信息)机制转变为倾向无状态的Token认证方式。Token认证方式的大致流程为：客户端使用用户名跟密码请求登录，服务端收到请求，验证用户名及密码，当验证成功后，服务端会签发一个令牌，把令牌发送给客户端，客户端收到令牌后把令牌存储起来，比如放到Cookie中或者本地储存器，客户端每次向服务器请求资源时都需要带着服务端签发的令牌，服务端收到请求时验证客户端带着的令牌，如果验证成功，才返回客户端请求的数据。例如JWT(json web tokens)技术，充分利用微服务的无状态设计理论。当前大部分Api网关，如Kong、Nginx、Envoy均能对JWT进行解析和验证，以实现初步的服务Api接口的访问认证。

但是当细化到接口层面的权限管理的应用场景下，随着不断的新接口上线，旧接口的权限调整等日常微服务业务逐步开发，需要一个服务API接口权限管理中心的介入，以便运营人员统一管理接口的权限变更和支持接口访问权限的验证。同时大部分Api网关均支持接入外部权限验证中心，以便实现每一次服务Api接口访问权限时，通过外部权限验证中心对Api接口访问权限进行验证，为此带来的代价就是每一次Api接口的调用在进行权限验证时，都会带来一次额外的鉴权请求。

发明内容

本申请实施例提供基于Evnoy架构的微服务接口认证系统、方法、装置、设备及存储介质，以实现无需每次调用第三方权限检验接口进行访问权限验证，降低Api接口对服务本身调用时间的开销。

在第一方面，本申请实施例提供了基于Evnoy架构的微服务接口认证系统，包括客户端、Envoy网关和权限验证中心，所述Envoy网关和权限验证中心均与客户端连接；

所述权限验证中心用于配置各个Api接口的访问权限，并适配有与所述Envoy网关关联的LDS接口；所述LDS接口上配置有监听器和Lua过滤器，以收集所述访问权限，生成访问权限验证规则输送至Envoy网关，使Envoy网关根据所述访问权限验证规则动态更新本地存储的访问权限验证规则；所述Envoy网关用于根据本地存储的访问权限验证规则对来自客户端的访问请求中的访问令牌进行合法性验证。

在第二方面，本申请实施例提供了一种基于Evnoy架构的微服务接口认证方法，包括：

通过LDS接口接收来自权限验证中心的访问权限验证规则，所述访问权限验证由权限验证中心通过配置并收集各个Api接口的访问权限获得；

根据所述访问权限验证规则动态更新本地存储访问权限验证规则；

接收客户端的访问请求，所述访问请求中包含访问令牌和有效载荷，所述访问令牌包括访问时效、签发机构、安全协议、校验码、随机字符串、权限标识、用户ID中的任意一种或多种；