一种微服务架构的用户鉴权方法及系统与流程

本发明涉及用户鉴权，尤其是涉及一种微服务架构的用户鉴权方法及系统。

背景技术：

1、用户鉴权，一种用于在通信网络中对试图访问来自服务提供商的服务的用户进行鉴权的方法。用于用户登陆到dsmp或使用数据业务时，业务网关或portal发送此消息到dsmp，对该用户使用数据业务的合法性和有效性(状态是否为激活)进行检查。

2、目前,在多大区网络服务场景中,用户端与服务端进行通信都需要涉及到用户认证流程。在进行用户认证时,通过登录统一的认证中心进行用户认证,完成用户认证后获取访问目标服务的标识信息(token)。使用该标识信息即可通过相应网关的鉴权验证,进而访问目标服务。

3、但是现有的鉴权方式存在单点故障、数据安全性低、用户体验差的问题，而微服务架构中的每个服务都是独立部署和运行的，具有较强的独立性、灵活性、松耦合。因此亟需一种微服务架构的用户鉴权方法来改善现有鉴权方式存在的问题。

技术实现思路

1、为解决上述问题，本技术提供了一种微服务架构的用户鉴权方法，旨在能够提高用户鉴权过程中的灵活性和独立性从而改善用户体验和故障发生次数。

2、在本技术的一些实施例中，提供了一种微服务架构的用户鉴权方法，包括：获取用户终端发送的登录请求，对所述登录请求进行分析并根据分析结果生成权限令牌，向所述用户终端回传所述权限令牌；

3、接收用户终端发送的权限令牌以及用户业务请求；

4、对权限令牌进行外部鉴权，并根据鉴权过程进行安全评级得到外部安全值；

5、根据外部安全值将权限令牌划分为合法权限令牌和不合法权限令牌，对不合法权限令牌进行合法化处理；

6、对权限令牌以及用户业务请求进行内部鉴权，在权限令牌中提取用户代码，根据内部业务对权限令牌对应的用户业务请求进行执行权限判断；

7、对执行权限判断合格的用户业务请求进行执行操作。

8、在本技术的一些实施例中，对所述登录请求进行分析并根据分析结果生成权限令牌的方法包括：

9、对所述登录请求进行分析得到用户进入方式和用户信息，对用户进入方式进行识别划分；

10、定义用户的msisdn号码登录方式为第一用户进入方式，用户的伪码登录方式为第二用户进入方式，用户的msisdn号码和密码登录方式为第二用户进入方式，用户的伪码和密码登录方式为第三用户进入方式；

11、根据进入方式确定用户不同鉴权方式，通过不同鉴权方式对用户权限进行确定；

12、根据所述用户信息权限生成对应的权限令牌。

13、在本技术的一些实施例中，通过不同鉴权方式对用户权限进行确定的方法还包括：

14、根据不同鉴权方式对不同用户信息进行确认；

15、确定所述用户信息对应用户权限，所述用户权限包括用户权限所属领域和用户权限所属等级；

16、根据用户权限所属领域和用户权限所属等级生成对应的权限令牌；

17、建立用户信息和权限令牌的对应关系，并用户信息和权限令牌的对应关系进行储存。

18、在本技术的一些实施例中，对权限令牌进行外部鉴权，并根据鉴权过程进行安全评级得到外部安全值的方法包括：

19、确定权限令牌是否有效，若权限令牌过期或被撤销，则定义权限令牌无效；

20、对有效的权限令牌进行鉴权检查，确定权限令牌所属外网网域以及权限令牌对应用户的进入方式以及进入环境；

21、预设有不同外网网域的危险系数价值表，根据危险系数价值表对权限令牌所属外网网域进行评价得到第一外部安全值；

22、根据进入环境的信号波动情况、ip地址稳定情况对进入环境进行评级，得到第二外部安全值；

23、根据用户进入方式定义安全系数，为第二外部安全值配置对应安全系数得到第三外部安全值；

24、根据第一外部安全值和第三外部安全值得权重分别配置权重系数并计算其总和得到外部安全值。

25、在本技术的一些实施例中，根据外部安全值将权限令牌划分为合法权限令牌和不合法权限令牌，对不合法权限令牌进行合法化处理得方法包括：

26、预设有不同运行时间段得外部安全值得阈值，若外部安全值不超出阈值则定义当下权限令牌为合法权限令牌；

27、若外部安全值超出阈值则定义当下权限令牌为不合法权限令牌；

28、对不合法权限令牌进行合法化处理；

29、所述合法化处理的方式包括，对外部安全值超出阈值部分进行程度判定，若判定结果超出第一预设值，则重新生成权限令牌；

30、若判定结果不超出第一预设值，则对权限令牌进行属性及权限修改。

31、在本技术的一些实施例中，对权限令牌以及用户业务请求进行内部鉴权，在权限令牌中提取用户代码，根据内部业务类型对权限令牌对应的用户业务请求进行执行权限判断的方法包括：

32、获取合法权限令牌，对合法权限令牌进行解析得到用户代码；

33、对用户代码进行分解得到第一身份代码组、第一业务代码组和第一权限代码组；

34、对内部业务进行汇总分析得到业务代码，所述业务代码包括，第二身份代码组、第二业务代码组和第二权限代码组；

35、将第一身份代码组、第一业务代码组和第一权限代码组分别与第二身份代码组、第二业务代码组和第二权限代码组进行差异值计算，若差异值为零则直接允许执行权限；

36、若差异值不为零则确定差异值范围，若差异值不超出预设范围则允许执行权限；

37、若差异值超出预设范围则废除对应权限令牌并报错。

38、在本技术的一些实施例中，对内部业务进行汇总分析得到业务代码的方法包括：

39、获取内部业务信息，并对内部业务信息进行分析得到内部业务对应客户、内部业务类型和内部业务级别；

40、根据内部业务对应客户、内部业务类型和内部业务级别以及过往用户信息生成对应第二身份代码组、第二业务代码组和第二权限代码组。

41、在本技术的一些实施例中，将第一身份代码组、第一业务代码组和第一权限代码组分别与第二身份代码组、第二业务代码组和第二权限代码组进行差异值计算的表达式为：

42、；

43、其中，为第一身份代码组、为第一业务代码组、为第一权限代码组、为第二身份代码组、为第二业务代码组、为第二权限代码组。

44、在本技术的一些实施例中，公开了一种微服务架构的用户鉴权系统，包括：信息解析模块：获取用户终端发送的登录请求，对所述登录请求进行分析并根据分析结果生成权限令牌，向所述用户终端回传所述权限令牌，接收用户终端发送的权限令牌以及用户业务请求；

45、外部鉴权模块：对权限令牌进行外部鉴权，并根据鉴权过程进行安全评级得到外部安全值，根据外部安全值将权限令牌划分为合法权限令牌和不合法权限令牌，对不合法权限令牌进行合法化处理；

46、内部鉴权模块：对权限令牌以及用户业务请求进行内部鉴权，在权限令牌中提取用户代码，根据内部业务类型对权限令牌对应的用户业务请求进行执行权限判断；

47、业务执行模块：对执行权限判断合格的用户业务请求进行执行操作。

48、本技术公开了一种微服务架构的用户鉴权方法及系统，相对在用户鉴权的工作上，具有如下优点：

49、1.本技术对登录请求进行分析并根据分析结果生成权限令牌，向所述用户终端回传所述权限令牌，提高了鉴权过程中登录请求的灵活性进而提升了用户体验。

50、2.本技术根据外部安全值将权限令牌划分为合法权限令牌和不合法权限令牌，对不合法权限令牌进行合法化处理，提高了鉴权系统的安全性。

51、3.本技术根据内部业务对权限令牌对应的用户业务请求进行执行权限判断，对内部业务进行汇总分析得到业务代码，提高了内部业务的灵活性。

52、下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。