一种实现租户鉴权机制的方法
【技术领域】
[0001]本发明涉及云计算技术领域,具体地说是一种实用性强、实现租户鉴权机制的方法。
【背景技术】
[0002]随着云时代的到来,云服务环境下的针对多租户的大数据处理需求越来越普遍,同时对于租户数据的隐密和共享必须进行有效管理,实现租户间有效的数据隔离。消息中间件MQ在大数据处理中承担着业务解耦和大数据传输的任务,但目前消息队列组件通常不具备租户鉴权能力,主要体现在:生产和消费的客户端可以自由连接MQ服务器,生产端可以自由生成Topic信息;消费端可以自由消费已知的Topic。因此必须改造消息队列中间件,在消息发布和订阅过程中引入租户鉴权机制,实现数据的安全传输和安全隔离。基于此,现提供一种实现租户鉴权机制的方法。
【发明内容】
[0003]本发明的技术任务是针对以上不足之处,提供一种实用性强、实现租户鉴权机制的方法。
[0004]一种实现租户鉴权机制的方法,其具体实现过程为:
采用消息路由作为租户鉴权平台;
在消息路由中增加租户鉴权机制,实现数据传输的安全隔离;
使用Web Service服务接口实现消息队列服务与租户中心的对接。
[0005]所述租户鉴权平台的建立过程为:采用客户端、服务器架构进行消息队列中间件数据传输,该客户端包括消息发布客户端、消息消费客户端,服务器端则包括消息队列中间件服务端;通过消息路由管理客户端与服务器端。
[0006]所述消息路由器中增加租户鉴权机制即为消息队列中间件客户端连接服务器时进行有效的租户登录校验,该租户鉴权机制由租户鉴权系统完成,租户鉴权系统与消息路由器进行对接,实现登录租户帐号信息的核对认证。
[0007]所述租户登录校验步骤是在消息发布和消息消费的客户端在启动客户端实例后,连接消息路由器、查找消息队列的服务器列表之前,该校验是指进行登录租户的权限认证,认证信息包括:租户帐号和密码信息;
将登录认证功能进行集中处理,使客户端与服务器在进行租户认证过程中始终保持松耦合结构。
[0008]所述租户登录校验基于Topic完成,消息队列组件通过该Topic进行消息的发布和订阅;在租户登录校验前,首先建立租户与Topic的发布、订阅关系数据模型,通过该租户与Topic的发布、订阅关系数据模型,建立租户发布和订阅Topic关系;
消息发布客户端、消息消费客户端分别进行消息的发布和订阅时,依据租户帐号信息和Topic信息,结合租户与Topic关系模型,实现租户的登录验证、Topic权限验证以及数据传输的有效隔离。
[0009]所述租户与Topic的发布、订阅关系数据模型包括租户帐号信息、发布组信息、消费组信息及对应的Topic信息,并根据数据模型建立租户发布Topic关系表和租户消费Topic关系表。
[0010]所述租户鉴权包括消息发布客户端鉴权与消息消费客户端鉴权,其中消息发布端的鉴权过程为:
消息发布客户端连接消息路由器,发布消息前,首先依据客户端发送的租户帐号信息进行租户登录验证:
租户验证失败:返回验证未通过标志,阻止租户客户端进行消息的发送操作;
租户验证通过:依据Topic和发布组信息,验证该租户发布Topic关系中是否存在相应的发布组和该Topic信息;如果存在,则通过验证,通知客户端进行该Topic的消息发送;如果不存在,返回验证未通过标志,阻止租户客户端进行消息的发送操作;
消息消费端的鉴权过程为:
消息消费的客户端连接消息路由器,订阅消息前,首先依据客户端发送的租户帐号信息进行租户登录验证:
租户验证失败:返回验证未通过标志,阻止租户客户端进行消息的订阅消费操作;租户验证通过:依据Topic和订阅组信息,验证该租户订阅Topic关系中是否存在相应的订阅组和该Topic信息;如果存在,则通过验证,通知客户端进行该Topic的消息订阅消费操作;如果不存在,返回验证未通过标志,阻止租户客户端进行消息的订阅操作。
[0011]所述web Service服务接口通过服务注册总线,实现与第三方租户管理系统的对接,该第三方租户是指独立的组件或服务,使消息队列与租户鉴权系统进行有效解耦,动态扩展租户鉴权需求。
[0012]本发明的一种实现租户鉴权机制的方法,具有以下优点:
该发明的一种实现租户鉴权机制的方法符合云服务环境下多租户利用消息中间件MQ进行消息传输时进行租户认证和数据隔离的业务要求,通过对消息队列数据传输增加租户鉴权处理机制,有效防止消息在多租户间发布、订阅的无序交叉,提高数据传输的安全性;消息队列客户端与服务器端在租户鉴权上的系统解耦,可以灵活扩展与第三方租户鉴权系统的对接,进一步扩展了消息队列中间件产品在云服务环境下进行数据传输的应用领域;实用性强,适用范围广泛,易于推广。
【附图说明】
[0013]附图1为本发明的实现架构示意图。
[0014]附图2为本发明的租户鉴权机制实现图。
【具体实施方式】
[0015]下面结合附图和具体实施例对本发明作进一步说明。
[0016]本发明提供一种实现租户鉴权机制的方法,通过对消息队列数据传输增加租户鉴权处理机制,实现了消息队列客户端与服务器端在租户鉴权上的系统解耦,可以灵活扩展与第三方租户鉴权系统的对接,防止消息在多租户间发布、订阅的无序交叉,提高数据传输的安全性。
[0017]基于此设计思路,如附图1、图2所示,该方法的具体实现过程为:
采用消息路由作为租户鉴权平台,实现租户登录认证功能的集中处理,使消息队列中间件的客户端与服务器端在进行租户认证过程中始终保持松耦合结构;
在消息路由中增加租户鉴权机制,实现数据传输的安全隔离;
使用Web Service服务接口实现消息队列服务与租户中心的对接。
[0018]所述租户鉴权平台的建立过程为:消息队列中间件进行数据传输时一般采用CS(客户端、服务器)架构。通过消息路由来有效管理客户端与服务器端。为实现消息传输时能进行租户鉴权处理,必须保证消息中间件的客户端连接服务器时进行有效的租户登录校验,在增加租户鉴权功能时,要力求减少对于消息中间件客户端和服务器端的现有结构的改动影响,以便保证消息中间件的稳定性,因此可以选择在消息路由器中增加租户鉴权机制。消息发送和消息消费的客户端,在启动客户端实例后,在连接消息路由器查找消息队列服务器列表时,进行登录租户的权限认证,认证信息包括:租户帐号和密码信息。消息路由器可与租户鉴权系统进行对接,实现登录租户帐号信息的核对认证。通过上述处理机制,可将登录认证功能进行集中处理,使客户端与服务器在进行租户认证过程中始终保持松耦合结构。
[0019]所述租户登录校验基于Topic完成,消息队列组件是基于Topic进行消息的发布和订阅。为实现数据隔离,必须要实现对于租户Topic的权限管理。因此必须建立起租户与Topic的发布、订阅关系数据模型。数据模型包括租户帐号信息,发布组信息,消费组信息及对应的Topic信息。依据数据模型可以建