服务发现组件的权限控制方法及装置与流程
本发明涉及计算机领域,尤其是涉及一种服务发现组件的权限控制方法及装置。
背景技术:
对于大型系统中对外暴露的服务发现组件而言,需要管理每个用户的权限,让用户只能操作自己所属的资源。
一般地控制用户权限方法,是将每个用户帐号对应的权限存储在系统后端的数据库内。用户每次访问时,需发送用户帐号的秘钥,并通过数据库查询进行校验鉴权,完成授信。但上述方法对于访问量巨大的服务发现组件而言,每个用户的每次访问都需要查询数据库,这导致了数据库的压力过高,成为系统的瓶颈,使系统无法承载更大的访问量。
技术实现要素:
本发明的目的在于提供一种服务发现组件的权限控制方法及装置,该方法和装置通过证书的方式携带信息,避免了存储权限的数据库压力过高。
为实现上述发明目的之一,本发明一实施方式提供了一种服务发现组件的权限控制方法,所述方法包括:
接收客户端证书;
通过服务发现组件内的数字证书认证中心对所述客户端证书进行认定;
若信任所述客户端证书,则根据所述客户端证书中的内容授予发送所述客户端证书的终端对应的权限。
作为本发明一实施方式的进一步改进,所述客户端证书的内容包括角色信息和访问目的信息。
作为本发明一实施方式的进一步改进,“根据所述客户端证书中的内容授予发送所述客户端证书的终端对应的权限”具体包括:
授予发送不同类型的客户端证书的终端不同的权限。
作为本发明一实施方式的进一步改进,“授予发送不同类型的客户端证书的终端不同的权限”步骤包括:
判断所述客户端证书的类型;
若所述客户端证书是个人证书,则根据所述个人证书中的访问目的信息,映射至所述服务发现组件中相应路径;
若所述客户端证书是管理证书,则授予发送所述客户端证书的终端管理所述服务发现组件的管控权限。
作为本发明一实施方式的进一步改进,所述方法还包括:
构建数字证书认证中心,所述数字证书认证中心包括可签发个人证书的第一签发机构和可签发管理证书的第二签发机构。
为实现上述发明目的之一,本发明一实施方式提供了一种服务发现组件的权限控制模块,所述模块包括:
网络模块,用于接收客户端证书;
处理模块,用于通过服务发现组件内的数字证书认证中心对所述客户端证书进行认定;以及
若信任所述客户端证书,则根据所述客户端证书中的内容授予发送所述客户端证书的终端对应的权限。
作为本发明一实施方式的进一步改进,所述客户端证书的内容包括角色信息和访问目的信息。
作为本发明一实施方式的进一步改进,所述处理模块还用于:
授予发送不同类型的客户端证书的终端不同的权限。
作为本发明一实施方式的进一步改进,所述处理模块具体用于:
判断所述客户端证书的类型;
若所述客户端证书是个人证书,则根据所述个人证书中的访问目的信息, 映射至所述服务发现组件中相应路径;
若所述客户端证书是管理证书,则授予发送所述客户端证书的终端管理所述服务发现组件的管控权限。
作为本发明一实施方式的进一步改进,所述装置还包括认证模块,所述认证模块用于:
构建数字证书认证中心,所述数字证书认证中心包括可签发个人证书的第一签发机构和可签发管理证书的第二签发机构。
相对于现有技术,本发明的服务发现组件的权限控制方法及装置,采用数字证书认定的方式进行权限控制,减少了服务器端数据库的存储压力。
附图说明
图1是本发明一实施方式中服务发现组件的权限控制方法的流程图。
图2是本发明一实施方式中服务发现组件的权限控制装置的模块图。
具体实施方式
以下将结合附图所示的具体实施方式对本发明进行详细描述。但这些实施方式并不限制本发明,本领域的普通技术人员根据这些实施方式所做出的结构、方法、或功能上的变换均包含在本发明的保护范围内。
一般地,服务发现组件记录了大型系统中所有服务的信息,用户或者其它服务可以据此找到大型系统中的服务。
这样的场景下,由于对服务的访问量较大,若通过传统的用户权限控制方法,非常容易导致系统后端的数据库压力过高,成为系统的瓶颈,另外,对于访问频繁的服务发现组件,每个用户帐号的每次请求都需要进行鉴权,非常消耗存储、网络带宽和机器的性能。
在本发明中,基于服务发现组件的应用场景,在对用户权限的控制时,不再基于查询系统后端的数据库,而通过数字证书认定的方式,在服务发现组件内完成权限控制,如此,可大大缓解数据库的压力,使得系统性能更优, 且通过数字证书认定的方式,避免了对每次请求进行鉴权,减少了存储、网络带宽和机器性能的消耗。
如图1所示,在本发明一实施方式中,所述服务发现组件的权限控制方法包括:
s1、接收客户端证书;
s2、通过服务发现组件内的数字证书认证中心对所述客户端证书进行认定;
s3、若信任所述客户端证书,则根据所述客户端证书中的内容授予发送所述客户端证书的终端对应的权限。
具体地,所述客户端证书是由对应的终端向服务发现组件中任意的服务发现节点传递的,在本实施方式中,所述客户端证书是由所述服务发现组件颁发,所述客户端证书的内容包括角色信息和访问目的信息。
在服务发现节点接收到客户端证书后,可通过服务发现组件中的数字证书认证中心对该客户端证书进行认定,若所述数字证书认证中心信任接收到的客户端证书(例如判断出该客户端证书是由该服务发现组件颁发的),则通过认定;若所述数字认证中心不信任接收到的客户端证书(例如判断出该客户端证书不是由该服务发现组件颁发的),则不通过认定。
当通过认定后,所述服务发现组件可根据接收到的客户端证书中的内容授予发送所述客户端证书的终端对应的权限。
一般地,为了能更好的管控所述服务发现组件,在服务发现组件内,会设置至少一个管理账号,当通过管理帐号登录后,可管控服务发现组件。在通过传统的秘钥和数据库查询鉴权时,因数据库中存储有对应用户帐号的权限,故可通过数据库的查询,获知用户帐号对应的权限是否为管控权限。然而,在本发明中,不再基于查询系统后端的数据库,为了方便管控服务发现组件,在本实施方式中,将客户端证书分为不同类型,以便授予发送不同类型的客户端证书的终端不同的权限。
具体地,在本实施方式中,所述客户端证书包括两种类型的证书,一种是个人证书,一种是管理证书。当然,在其他实施方式中,该客户端证书还 可根据需要包括其他类型的证书。以下将以客户端证书为个人证书或管理证书为例进行说明。
为了授予发送不同类型的客户端证书的终端不同的权限,在本实施方式中,所述服务发现组件的权限控制方法还包括:
判断所述客户端证书的类型;
若所述客户端证书是个人证书,则根据所述个人证书中的访问目的信息,映射至所述服务发现组件中相应路径;
若所述客户端证书是管理证书,则授予发送所述客户端证书的终端管理所述服务发现组件的管控权限。
具体地,可通过客户端证书中的角色信息判断所述客户端证书的类型。对于个人证书而言,服务发现组件对发送个人证书的终端仅开通对应其个人的权限,使通过个人证书认定的终端仅能操作其自己所属的资源;对于管理证书而言,服务发现组件可对发送管理证书的终端开放预设的所有权限,使通过管理证书认定的终端可对服务发现组件进行管理。
进一步地,客户端证书均由所述服务发现组件颁发。为了能实现针对不同类型的客户端,颁发不同类型的客户端证书,在本实施方式中,需首先在服务发现组件中构建数字证书认证中心,以通过数字证书认证中心向客户端颁发证书。
进一步地,所述数字证书认证中心包括可签发个人证书的第一签发机构和可签发管理证书的第二签发机构,即通过一个数字证书认证中心即可颁发个人证书,也可颁发管理证书。签发的客户端证书可发送给对应终端存储。当然,该数字证书认证中心可对个人证书进行认定,也可对管理证书进行认定。
如图2所示,在本发明一实施方式中,所述服务发现组件的权限控制装置,包括:
网络模块100,用于接收客户端证书;
处理模块200,用于通过服务发现组件内的数字证书认证中心对所述客户端证书进行认定;以及
若信任所述客户端证书,则根据所述客户端证书中的内容授予发送所述客户端证书的终端对应的权限。
具体地,所述客户端证书是由对应的终端向服务发现组件中任意的服务发现节点传递的,在本实施方式中,所述客户端证书是由所述服务发现组件颁发,所述客户端证书的内容包括角色信息和访问目的信息。
在服务发现节点接收到客户端证书后,可通过服务发现组件中的数字证书认证中心对该客户端证书进行认定,若所述数字证书认证中心信任接收到的客户端证书(例如判断出该客户端证书是由该服务发现组件颁发的),则通过认定;若所述数字认证中心不信任接收到的客户端证书(例如判断出该客户端证书不是由该服务发现组件颁发的),则不通过认定。
当通过认定后,所述服务发现组件可根据接收到的客户端证书中的内容授予发送所述客户端证书的终端对应的权限。
一般地,为了能更好的管控所述服务发现组件,在服务发现组件内,会设置至少一个管理账号,当通过管理帐号登录后,可管控服务发现组件。在通过传统的秘钥和数据库查询鉴权时,因数据库中存储有对应用户帐号的权限,故可通过数据库的查询,获知用户帐号对应的权限是否为管控权限。然而,在本发明中,不再基于查询系统后端的数据库,为了方便管控服务发现组件,在本实施方式中,将客户端证书分为不同类型,以便授予发送不同类型的客户端证书的终端不同的权限。
具体地,在本实施方式中,所述客户端证书包括两种类型的证书,一种是个人证书,一种是管理证书。当然,在其他实施方式中,该客户端证书还可根据需要包括其他类型的证书。以下将以客户端证书为个人证书或管理证书为例进行说明。
为了授予发送不同类型的客户端证书的终端不同的权限,在本实施方式中,所述处理模块200还用于:
判断所述客户端证书的类型;
若所述客户端证书是个人证书,则根据所述个人证书中的访问目的信息, 映射至所述服务发现组件中相应路径;
若所述客户端证书是管理证书,则授予发送所述客户端证书的终端管理所述服务发现组件的管控权限。
具体地,可通过客户端证书中的角色信息判断所述客户端证书的类型。对于个人证书而言,服务发现组件对发送个人证书的终端仅开通对应其个人的权限,使通过个人证书认定的终端仅能操作其自己所属的资源;对于管理证书而言,服务发现组件可对发送管理证书的终端开放预设的所有权限,使通过管理证书认定的终端可对服务发现组件进行管理。
进一步地,客户端证书均由所述服务发现组件颁发。为了能实现针对不同类型的客户端,颁发不同类型的客户端证书,在本实施方式中,所述装置还包括认证模块300,所述认证模块300用于在服务发现组件中构建数字证书认证中心,以通过数字证书认证中心向客户端颁发证书。
进一步地,所述数字证书认证中心包括可签发个人证书的第一签发机构和可签发管理证书的第二签发机构,即通过一个数字证书认证中心即可颁发个人证书,也可颁发管理证书。签发的客户端证书可通过网络模块100发送给对应终端存储。当然,该数字证书认证中心可对个人证书进行认定,也可对管理证书进行认定。
综上所述,本发明的服务发现组件的权限控制方法及装置,采用数字证书认定的方式进行权限控制,减少了服务器端数据库的存储压力。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置,装置和模块的具体工作过程,可以参考前述方法实施方式中的对应过程,在此不再赘述。
在本发明所提供的几个实施方式中,应该理解到,所揭露的装置,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施方式仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所展示或讨论的相互 之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块展示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施方式方案的目的。
另外,在本发明各个实施方式中的各功能模块可以集成在一个决策模块中,也可以是各个模块单独物理存在,也可以2个或2个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
上述以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)或处理器(processor)执行本发明各个实施方式所述方法的部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施方式仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施方式对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施方式技术方案的精神和范围。
- 还没有人留言评论。精彩留言会获得点赞!