本发明涉及安全访问控制,具体为一种服务中介的级联授权系统。
背景技术:
1、服务中介是为服务提供者(service provider)和服务使用者(servicerequester)提供接入代理、路由和服务的透明访问等支撑功能的实体。服务中介还需要提供通用功能,如认证,限流,流控,日志审计等功能。常见的服务中介有服务总线,api网关等。
2、服务提供者在服务中心注册后,服务中心的服务中介提供统一入口对外提供服务。当服务调用者想要使用服务提供者的服务前,必须先在服务中心申请并获得调用服务提供者的授权,在调用过程中服务中介对请求需要进行认证。
3、目前服务中介存在的问题是当服务调用者如果要调用注册在多个服务中介的服务时,需要在多个服务中介上登记,并且分别实现每个服务中介的认证要求,服务中介也可能要为新增的服务调用者修改类似ip白名单等安全配置。这样为服务调用者带来附加的工作和问题点。
技术实现思路
1、(一)解决的技术问题
2、针对现有技术的不足,本发明提供了一种服务中介的级联授权系统,解决了当服务调用者如果要调用注册在多个服务中介的服务时,需要在多个服务中介上登记,并且分别实现每个服务中介的认证要求,服务中介也可能要为新增的服务调用者修改类似ip白名单等安全配置的问题。
3、(二)技术方案
4、为实现以上目的,本发明通过以下技术方案予以实现:一种服务中介的级联授权系统,包括应用系统管理模块、服务目录模块和授权管理模块;
5、所述应用系统管理模块用于登记服务使用者信息;
6、所述服务目录模块用于登记服务提供者的信息;
7、所述授权管理模块用于管理服务使用者访问登记在服务目录里服务的授权。
8、优选的,所述服务使用者信息包括服务使用者的标识和系统类型。
9、优选的,所述服务提供者的信息包括服务提供和标识、服务地址和访问的认证模式。
10、优选的,所述服务目录里服务的授权包括服务使用者标识、服务提供者标识和授权有效期。
11、优选的,所述授权流程分为单服务中介授权和多服务中介授权。
12、优选的,所述单服务中介授权的配置流程包括以下步骤:
13、步骤一:服务提供者在服务中心的服务目录上注册自身的服务信息,服务信息包括请求路径,请求参数,鉴权方法;
14、步骤二:服务使用者在服务中心的应用系统管理模块登记自身信息,登记成功后,系统返回一个唯一标识符和身份凭证;
15、步骤三:服务使用者在服务中心的授权管理模块中选择服务提供者在服务目录注册的服务并申请授权访问,服务中心审批通过后,服务使用者拥有访问服务提供者权限。
16、优选的,所述单服务中介授权的调用流程包括以下步骤:
17、步骤一:服务使用者按照服务目录的要求,发送请求到服务中介;
18、步骤二:服务中介通过身份凭证鉴定请求的发送方;
19、步骤三:服务中介查询服务目录,若服务提供者不存在则报错,否则继续;
20、步骤四:服务中介查询授权管理系统鉴定发送方是否已经授权,授权是否过期,若没有则报错,否则继续;
21、步骤五:服务中介对发送方请求封装处理后发送给服务提供者;
22、步骤六:服务提供者响应请求并返回服务中介;
23、步骤七:服务中介封装处理响应并返回给发送方。
24、优选的,所述多服务中介授权的配置流程包括以下步骤:
25、步骤一:服务提供者在服务中心b的服务目录b上注册自身的服务信息;
26、步骤二:服务中介a在服务中心b的应用系统管理模块b登记自身信息。登记成功后,系统返回一个唯一标识符和身份凭证;
27、步骤三:服务中介a在服务中心b的授权管理模块b中选择在服务目录b注册的服务并申请授权访问;服务中心b审批通过后,服务中介a拥有访问服务提供者权限;
28、步骤四:服务中介a以服务提供者代理身份在服务中心a的服务目录a上在注册服务,服务信息包括请求路径,请求参数和鉴权方法,其中请求路径为服务中介b对外暴露的服务路径,鉴权方法来自步骤三获得的身份凭证;后面以服务提供者指代;
29、步骤五:服务使用者在服务中心a的应用系统管理模块a登记自身信息,登记成功后,系统返回一个唯一标识符和身份凭证;
30、步骤六:服务使用者在服务中心a的授权管理模块a中选择服务提供者在服务目录a注册的服务并申请授权访问;服务中心a审批通过后,服务使用者拥有访问服务提供者权限。
31、优选的,所述多服务中介授权的调用流程包括以下步骤:
32、步骤一:服务使用者按照服务目录a的要求,发送请求到服务中介a;
33、步骤二:服务中介a通过身份凭证鉴定请求的发送方;
34、步骤三:服务中介a查询服务目录a,若服务提供者不存在则报错,否则继续;
35、步骤四:服务中介a查询授权管理系统鉴定发送方是否已经授权,若没有则报错,否则继续;
36、步骤五:服务中介a从步骤三中获得提供服务的系统类型是服务中介,对发送方请求进行换签并封装处理后请求服务中介b;
37、步骤六:服务中介b通过身份凭证鉴定请求的发送方;
38、步骤七:服务中介b查询授权管理系统鉴定发送方是否已经授权,授权是否过期,若没有则报错,否则继续,服务中介b对发送方请求封装处理后发送给服务提供者;
39、步骤八:服务提供者响应请求并返回服务中介b;
40、步骤九:服务中介a封装处理响应并返回给服务中介a。
41、优选的,所述服务中介a封装处理响应并返回给发送方。
42、本发明公开了一种服务中介的级联授权系统,其具备的有益效果如下:
43、1、该服务中介的级联授权系统,围绕服务中心管理服务使用者和服务提供者,根据不同服务提供方式(原生接口,服务中介),让服务中介以服务代理者身份加入其他服务中介的服务目录,服务授权给代理者后,代理者再授权给实际服务使用者。利用级联授权方式,减少服务使用者需要对接多个服务中介的问题。服务中介间也可以单独优化网络传输。尤其适合服务使用者不能直接访问注册在跨级服务中介的服务提供者的场景。
1.一种服务中介的级联授权系统,其特征在于,包括应用系统管理模块、服务目录模块和授权管理模块;
2.根据权利要求1所述的一种服务中介的级联授权系统,其特征在于,所述服务使用者信息包括服务使用者的标识和系统类型。
3.根据权利要求1所述的一种服务中介的级联授权系统,其特征在于,所述服务提供者的信息包括服务提供和标识、服务地址和访问的认证模式。
4.根据权利要求1所述的一种服务中介的级联授权系统,其特征在于,所述服务目录里服务的授权包括服务使用者标识、服务提供者标识和授权有效期。
5.根据权利要求1所述的一种服务中介的级联授权系统,其特征在于,所述授权流程分为单服务中介授权和多服务中介授权。
6.根据权利要求5所述的一种服务中介的级联授权系统,其特征在于,所述单服务中介授权的配置流程包括以下步骤:
7.根据权利要求5所述的一种服务中介的级联授权系统,其特征在于,所述单服务中介授权的调用流程包括以下步骤:
8.根据权利要求5所述的一种服务中介的级联授权系统,其特征在于,所述多服务中介授权的配置流程包括以下步骤:
9.根据权利要求5所述的一种服务中介的级联授权系统,其特征在于,所述多服务中介授权的调用流程包括以下步骤:
10.根据权利要求9所述的一种服务中介的级联授权系统,其特征在于,所述服务中介a封装处理响应并返回给发送方。