[发明专利]接口调用鉴权方法、装置、电子设备及可读存储介质

说明书

本申请提供了一种接口调用鉴权方法、装置、电子设备及可读存储介质。所述方法包括：接收微服务调用方发送的调用请求，调用请求用于请求调用所述微服务提供方的目标接口，调用请求中携带所述微服务调用方的特征；验证微服务调用方的特征是否与预设的可访问特征匹配，可访问特征与目标接口对应；在匹配时，确定微服务调用方具备调用目标接口的权限。通过该方法，当微服务调用方想要调用微服务提供方的任意一个接口时，微服务提供方均可以将微服务调用方的自有特征与该接口对应的可访问特征比较以确定微服务调用方是否具备调用目标接口的权限，从而将接口鉴权的粒度细化到了每一个接口，大幅提升了微服务应用之间进行接口调用的安全性。

技术领域

本发明涉及数据处理技术领域，特别是涉及一种接口调用鉴权方法、装置、电子设备及可读存储介质。

背景技术

微服务间通过接口互相调用时，为保证调用安全(指被调接口需要某种机制来认证调用者是否可信)，通常需要对调用者进行鉴权。相关技术中有两种鉴权方案，一种是基于token(令牌)的方法，例如Oauth(一种开放协议，为用户资源的授权提供了安全的、开放而简易的标准)或JWT(Json web token，是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准)等，这类方法将token当作钥匙，只要调用者有合法的token就允许其调用接口，如果两个接口使用同一个token，这时因为某种原因需要禁止其中一个接口的访问，该方案则无法实现，导致安全性较差。第二种方案是设置黑白名单，黑名单中的接口禁止访问，白名单中的接口允许访问。名单中的参数通常是IP地址、服务名等，从参数可以看出，这种方法通常是服务间的鉴权，假设白名单中设置了一个服务的IP地址，意味着此IP地址下所有的接口都可以访问，因此仍然存在较大的安全隐患。因此，如何更好地对调用者进行鉴权，保障微服务应用之间进行接口调用的安全性，成为亟待解决的问题。

发明内容

本申请提供了一种接口调用鉴权方法、装置、电子设备及可读存储介质，可以。

本申请第一方面提供了一种接口调用鉴权方法，应用于微服务系统内的微服务提供方，所述方法包括：

接收微服务调用方发送的调用请求，所述调用请求用于请求调用所述微服务提供方的目标接口，所述调用请求中携带所述微服务调用方的特征；

验证所述微服务调用方的特征是否与预设的可访问特征匹配，所述可访问特征与所述目标接口对应；

在匹配时，确定所述微服务调用方具备调用所述目标接口的权限。

可选地，所述可访问特征包括第一类可访问特征和第二类可访问特征；验证所述微服务调用方的特征是否与预设的可访问特征匹配，包括：

在所述微服务调用方为微服务系统内的应用时，验证所述微服务调用方的特征是否与第一类可访问特征匹配；

在所述微服务调用方为微服务系统外的应用时，验证所述微服务调用方的特征是否与第二类可访问特征匹配。

可选地，验证所述微服务调用方的特征是否与预设的可访问特征匹配，所述可访问特征与所述目标接口对应，包括：

通过所述微服务提供方内部署的特征处理程序验证所述微服务调用方的特征是否与预设的可访问特征匹配；或

将所述微服务调用方的特征发送到第三方验证系统，以使所述第三方验证系统验证所述微服务调用方的特征是否与预设的可访问特征匹配。

可选地，验证所述微服务调用方的特征是否与预设的可访问特征匹配，所述可访问特征与所述目标接口对应，包括：

获得预先存储的与所述目标接口对应的可访问特征白名单；

在所述微服务调用方的特征中的至少一个记载在所述可访问特征白名单内时，确定所述微服务调用方的特征与预设的可访问特征匹配；