一种基于微服务架构的身份认证方法、设备及介质与流程

本说明书涉及计算机，尤其涉及一种基于微服务架构的身份认证方法、设备及介质。

背景技术：

1、当前普遍采用jwt协议或者oidc协议实现系统登录信息的记录。用户在登陆后，会由认证服务器生成一个令牌，该令牌注明了其有效时间，当用户在访问系统时，会校验该令牌的有效性。应用间可以共用一个认证服务器，实现不同应用间的免密单点登录，且共享同一套用户体系。

2、但对于企业建设员工用户中心来讲，采用jwt协议或者oidc协议具有较大的局限性，首先jwt或oidc协议均属于较新的协议，无法兼容企业内的老旧系统。如果要将这些老旧系统接入用户中心实现单点登录，需要切换新协议，将会付出较高的成本，而且，由于企业的早期应用大多由软件开发商提供，缺少源代码。其次，对于身份的管理，中心式的身份管理可以解决用户信息一站式管理的诉求，但是并没有解决用户在不同系统间的身份关联、权限管理的问题。因此，现有的身份认证方式无法满足多系统和多权限的认证需求。

技术实现思路

1、本说明书一个或多个实施例提供了一种基于微服务架构的身份认证方法、设备及介质，用于解决如下技术问题：现有的身份认证方式无法满足多系统和多权限的认证需求。

2、本说明书一个或多个实施例采用下述技术方案：

3、本说明书一个或多个实施例提供一种基于微服务架构的身份认证方法，所述方法包括：确定用户待访问的业务应用，以获取所述用户在所述业务应用中的用户认证信息，其中，所述用户认证信息包括用户标识和用户凭证；基于所述用户认证信息，对所述用户的所述用户凭证进行认证，生成认证结果，其中，所述认证结果包括认证通过；当所述认证结果为认证通过时，通过身份认证中心生成所述用户的授权码；根据所述用户的授权码，获取所述用户的用户授信信息，其中，所述用户授信信息包括用户个人信息和用户权限信息；根据所述用户的用户授信信息，通过所述业务应用提供与所述授权信息对应的服务，实现所述用户的身份认证。

4、进一步地，基于所述用户认证信息，对所述用户的所述用户凭证进行认证，生成认证结果，具体包括：获取预先设置的至少一种认证方式，其中，所述认证方式包括本地认证和第三方认证；根据所述用户认证信息和所述至少一种认证方式，对所述用户的用户凭证进行认证，以生成认证结果。

5、进一步地，根据所述用户的授权码，获取所述用户的用户授信信息，具体包括：将所述用户的授权码发送至所述业务应用，以便所述业务应用对所述授权码进行解析，得到所述授权码对应的授权信息，其中，所述授权信息包括用户的应用账号信息；基于所述用户的应用账号信息，生成令牌请求信息，并将所述令牌请求信息发送至所述身份认证中心；通过所述身份认证中心和所述令牌请求信息，获取所述用户在所述业务应用中的用户授信信息；通所述身份认证中心，根据所述用户授信信息和所述令牌请求信息，生成加密令牌，以将所述加密令牌发送至所述业务应用。

6、进一步地，根据所述用户的用户授信信息，通过所述业务应用提供与所述授权信息对应的服务，实现所述用户的身份认证，具体包括：通过所述业务应用对所述加密令牌进行合法性验证；验证通过后，对所述加密令牌进行解析，得到所述加密令牌对应的所述用户在所述业务应用中的用户授信信息；根据所述用户授信信息中的用户信息和所述用户在所述业务应用中的权限信息，确定所述用户在所述业务应用中的用户信息和功能权限信息；通过所述业务应用，根据所述用户信息和所述功能权限信息，提供对应的服务。

7、进一步地，通过所述身份认证中心和所述令牌请求信息，获取所述用户在所述业务应用中的用户授信信息，具体包括：根据所述令牌请求信息中的应用账号信息，在预先设置的用户中心获取所述应用账号信息对应的用户个人信息；根据所述令牌请求信息中的应用账号信息，在预先设置的权限校验中心获取所述应用账号信息对应的用户权限信息；基于所述用户个人信息和所述用户权限信息，确定所述用户在所述业务应用中的用户授信信息。

8、进一步地，确定用户待访问的业务应用之前，所述方法还包括：预先通过所述用户中心，添加多个用户的用户信息，并将所述用户信息同步至用户同步中心。

9、进一步地，将所述用户信息同步至用户同步中心之后，所述方法还包括：通过所述用户中心，对用户的用户个人信息进行维护，得到维护后的用户当前个人信息；通过权限校验中心，对用户的用户权限信息进行维护，得到维护后的用户当前权限信息；将所述用户当前个人信息和用户当前权限信息，通过用户同步中心，同步至对应的业务应用中。

10、进一步地，将所述用户当前个人信息和用户当前权限信息，通过用户同步中心，同步至对应的业务应用中，具体包括：获取维护前的用户个人信息，建立所述当前个人信息和所述用户个人信息之间的映射关系；将所述当前个人信息、映射关系以及当前权限信息同步至对应的业务应用中。

11、本说明书一个或多个实施例提供一种基于微服务架构的身份认证设备，包括：

12、至少一个处理器；以及，

13、与所述至少一个处理器通信连接的存储器；其中，

14、所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

15、确定用户待访问的业务应用，以获取所述用户在所述业务应用中的用户认证信息，其中，所述用户认证信息包括用户标识和用户凭证；基于所述用户认证信息，对所述用户的所述用户凭证进行认证，生成认证结果，其中，所述认证结果包括认证通过；当所述认证结果为认证通过时，通过身份认证中心生成所述用户的授权码；根据所述用户的授权码，获取所述用户的用户授信信息，其中，所述用户授信信息包括用户个人信息和用户权限信息；根据所述用户的用户授信信息，通过所述业务应用提供与所述授权信息对应的服务，实现所述用户的身份认证。

16、本说明书一个或多个实施例提供的一种非易失性计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为：

17、确定用户待访问的业务应用，以获取所述用户在所述业务应用中的用户认证信息，其中，所述用户认证信息包括用户标识和用户凭证；基于所述用户认证信息，对所述用户的所述用户凭证进行认证，生成认证结果，其中，所述认证结果包括认证通过；当所述认证结果为认证通过时，通过身份认证中心生成所述用户的授权码；根据所述用户的授权码，获取所述用户的用户授信信息，其中，所述用户授信信息包括用户个人信息和用户权限信息；根据所述用户的用户授信信息，通过所述业务应用提供与所述授权信息对应的服务，实现所述用户的身份认证。

18、本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果：通过上述技术方案，提供多种身份认证方式，满足不同认证协议之间的兼容，实现了多种身份认证服务；通过用户授信信息中的用户权限信息，实现集中的权限管控，解决权限分散带来的管理痛点，降低越权访问带来的安全风险，可以满足多系统和多权限的认证需求。

技术特征：

1.一种基于微服务架构的身份认证方法，其特征在于，所述方法包括：

2.根据权利要求1所述的一种基于微服务架构的身份认证方法，其特征在于，基于所述用户认证信息，对所述用户的所述用户凭证进行认证，生成认证结果，具体包括：

3.根据权利要求1所述的一种基于微服务架构的身份认证方法，其特征在于，根据所述用户的授权码，获取所述用户的用户授信信息，具体包括：

4.根据权利要求3所述的一种基于微服务架构的身份认证方法，其特征在于，根据所述用户的用户授信信息，通过所述业务应用提供与所述授权信息对应的服务，实现所述用户的身份认证，具体包括：

5.根据权利要求3所述的一种基于微服务架构的身份认证方法，其特征在于，通过所述身份认证中心和所述令牌请求信息，获取所述用户在所述业务应用中的用户授信信息，具体包括：

6.根据权利要求1所述的一种基于微服务架构的身份认证方法，其特征在于，确定用户待访问的业务应用之前，所述方法还包括：

7.根据权利要求6所述的一种基于微服务架构的身份认证方法，其特征在于，将所述用户信息同步至用户同步中心之后，所述方法还包括：

8.根据权利要求7所述的一种基于微服务架构的身份认证方法，其特征在于，将所述用户当前个人信息和用户当前权限信息，通过用户同步中心，同步至对应的业务应用中，具体包括：

9.一种基于微服务架构的身份认证设备，其特征在于，所述设备包括：

10.一种非易失性计算机存储介质，存储有计算机可执行指令，其特征在于，所述计算机可执行指令设置为：

技术总结
本说明书实施例公开了一种基于微服务架构的身份认证方法、设备及介质，涉及计算机技术领域，方法包括：确定用户待访问的业务应用，以获取用户在业务应用中的用户认证信息，其中，用户认证信息包括用户标识和用户凭证；基于用户认证信息，对用户的用户凭证进行认证，生成认证结果，其中，认证结果包括认证通过；当认证结果为认证通过时，通过身份认证中心生成用户的授权码；根据用户的授权码，获取用户的用户授信信息，其中，用户授信信息包括用户个人信息和用户权限信息；根据用户的用户授信信息，通过业务应用提供与授权信息对应的服务，实现用户的身份认证，可以满足多系统和多权限的认证需求。

技术研发人员：张文强,肖雪,胡立军,商广勇
受保护的技术使用者：浪潮云洲（山东）工业互联网有限公司
技术研发日：
技术公布日：2024/1/12