本發(fā)明涉及電子信息技術(shù)領(lǐng)域,尤其涉及一種微服務(wù)的權(quán)限控制方法及裝置。
背景技術(shù):
隨著互聯(lián)網(wǎng)公司的技術(shù)架構(gòu)逐步轉(zhuǎn)向微服務(wù)化,大型公司的微服務(wù)化應(yīng)用數(shù)量大量增加,服務(wù)之間的權(quán)限控制越來越重要,而密鑰是權(quán)限管理中認(rèn)證的重要手段。目前的實(shí)現(xiàn)技術(shù)主要有兩種:
一種是手工管理密鑰和權(quán)限文件并分發(fā),并在微服務(wù)中使用。這種方式初期管理比較簡單,但隨著微服務(wù)的運(yùn)行,將產(chǎn)生較多的密鑰更新需求和權(quán)限變更需求。這時(shí),手工管理的方式,出現(xiàn)了密鑰、權(quán)限文件管理復(fù)雜、升級(jí)困難等問題。
第二種是集中管理密鑰和權(quán)限文件,每次請(qǐng)求的時(shí)候,經(jīng)過集中式的權(quán)限管理平臺(tái)驗(yàn)證調(diào)用是否被授權(quán)。這種方式可以保證較強(qiáng)的一致性,實(shí)現(xiàn)較為簡單。但隨著應(yīng)用的訪問量逐步增大,集中式的管理方式逐步會(huì)帶來性能問題,并且,由于授權(quán)自身也是一個(gè)服務(wù),并且處于業(yè)務(wù)路徑里,所以高可用方面也需要特殊考慮,在架構(gòu)上引入了較大的復(fù)雜性。
綜上,現(xiàn)有的權(quán)限管理技術(shù)或存在變更困難,或存在架構(gòu)復(fù)雜度提升的問題。
上述內(nèi)容僅用于輔助理解本發(fā)明的技術(shù)方案,并不代表承認(rèn)上述內(nèi)容是現(xiàn)有技術(shù)。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的主要目的在于提供一種微服務(wù)的權(quán)限控制方法及裝置,旨在解決現(xiàn)有的權(quán)限管理技術(shù)或存在變更困難,或存在架構(gòu)復(fù)雜度提升的問題。
為實(shí)現(xiàn)上述目的,本發(fā)明提供的一種微服務(wù)的權(quán)限控制方法,包括以下步驟:
接收權(quán)限請(qǐng)求指令;
在接收到權(quán)限請(qǐng)求指令后,對(duì)所述請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證;
在身份信息驗(yàn)證通過后,下發(fā)所述身份信息對(duì)應(yīng)的密鑰信息以使用與所述請(qǐng)求指令對(duì)應(yīng)的微服務(wù)。
優(yōu)選地,所述對(duì)所述請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證的步驟包括:
提取所述請(qǐng)求指令攜帶的IP信息;
對(duì)所述IP信息進(jìn)行驗(yàn)證,在所述IP信息驗(yàn)證通過后,判斷所述身份信息通過驗(yàn)證。
優(yōu)選地,所述下發(fā)所述身份信息對(duì)應(yīng)的密鑰以使用與所述請(qǐng)求指令對(duì)應(yīng)的微服務(wù)的步驟包括:
獲取所述身份信息對(duì)應(yīng)的密鑰信息以及權(quán)限文件,將所述密鑰和所述權(quán)限文件發(fā)送至請(qǐng)求指令發(fā)送端,以供所述發(fā)送端直接根據(jù)所述密鑰和權(quán)限文件使用與所述請(qǐng)求指令對(duì)應(yīng)的微服務(wù)。
優(yōu)選地,所述方法還包括:
通過微服務(wù)拉取權(quán)限變更的方式;
獲取最新的密鑰和權(quán)限文件,并將獲取的密鑰和權(quán)限文件與對(duì)應(yīng)的身份信息關(guān)聯(lián)保存。
優(yōu)選地,將獲取的密鑰和權(quán)限文件與對(duì)應(yīng)的身份信息關(guān)聯(lián)保存的步驟之后,還包括:
通過ZK中間件向微服務(wù)的客戶端下發(fā)變更通知信息。
此外,為實(shí)現(xiàn)上述目的,本發(fā)明還提供一種微服務(wù)的權(quán)限控制裝置,包括:
接收模塊,用于接收權(quán)限請(qǐng)求指令;
驗(yàn)證模塊,用于在接收到權(quán)限請(qǐng)求指令后,對(duì)所述請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證;
下發(fā)模塊,用于在身份信息驗(yàn)證通過后,下發(fā)所述身份信息對(duì)應(yīng)的密鑰信息以使用與所述請(qǐng)求指令對(duì)應(yīng)的微服務(wù)。
優(yōu)選地,所述驗(yàn)證模塊包括:
提取單元,用于提取所述請(qǐng)求指令攜帶的IP信息;
判斷單元,用于對(duì)所述IP信息進(jìn)行驗(yàn)證,在所述IP信息驗(yàn)證通過后,判斷所述身份信息通過驗(yàn)證。
優(yōu)選地,所述下發(fā)模塊,還用于獲取所述身份信息對(duì)應(yīng)的密鑰信息以及權(quán)限文件,將所述密鑰和所述權(quán)限文件發(fā)送至請(qǐng)求指令發(fā)送端,以供所述發(fā)送端直接根據(jù)所述密鑰和權(quán)限文件使用與所述請(qǐng)求指令對(duì)應(yīng)的微服務(wù)。
優(yōu)選地,所述微服務(wù)的權(quán)限控制裝置還包括:
拉取模塊,用于通過微服務(wù)拉取權(quán)限變更的方式;
獲取模塊,用于獲取最新的密鑰和權(quán)限文件,并將獲取的密鑰和權(quán)限文件與對(duì)應(yīng)的身份信息關(guān)聯(lián)保存。
優(yōu)選地,所述下發(fā)模塊,還用于通過ZK中間件向微服務(wù)的客戶端下發(fā)變更通知信息。
本發(fā)明通過接收權(quán)限請(qǐng)求指令;在接收到權(quán)限請(qǐng)求指令后,對(duì)所述請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證;在身份信息驗(yàn)證通過后,下發(fā)所述IP信息對(duì)應(yīng)的密鑰信息以使用與所述請(qǐng)求指令對(duì)應(yīng)的微服務(wù)。在接收到請(qǐng)求指令時(shí),自動(dòng)對(duì)發(fā)送請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證,在驗(yàn)證通過后,自動(dòng)下發(fā)密鑰信息,具有管理方便、高效的目的。
附圖說明
圖1為本發(fā)明微服務(wù)的權(quán)限控制方法的第一實(shí)施例的流程示意圖;
圖2為圖1中步驟S20一實(shí)施例的細(xì)化流程示意圖;
圖3為本發(fā)明微服務(wù)的權(quán)限控制方法的第二實(shí)施例的流程示意圖;
圖4為本發(fā)明微服務(wù)的權(quán)限控制方法的第三實(shí)施例的流程示意圖;
圖5為本發(fā)明微服務(wù)的權(quán)限控制裝置的第一實(shí)施例的功能模塊示意圖;
圖6為圖5中驗(yàn)證模塊一實(shí)施例的細(xì)化功能模塊示意圖;
圖7為本發(fā)明微服務(wù)的權(quán)限控制裝置的第二實(shí)施例的功能模塊示意圖。
本發(fā)明目的的實(shí)現(xiàn)、功能特點(diǎn)及優(yōu)點(diǎn)將結(jié)合實(shí)施例,參照附圖做進(jìn)一步說明。
具體實(shí)施方式
應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
本發(fā)明實(shí)施例的主要解決方案是:接收權(quán)限請(qǐng)求指令;在接收到權(quán)限請(qǐng)求指令后,對(duì)所述請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證;在身份信息驗(yàn)證通過后,下發(fā)所述IP信息對(duì)應(yīng)的密鑰信息以使用與所述請(qǐng)求指令對(duì)應(yīng)的微服務(wù)。在接收到請(qǐng)求指令時(shí),自動(dòng)對(duì)發(fā)送請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證,在驗(yàn)證通過后,自動(dòng)下發(fā)密鑰信息,具有管理方便、高效的目的。
由于現(xiàn)有的權(quán)限管理技術(shù)或存在變更困難,或存在架構(gòu)復(fù)雜度提升。
基于上述問題,本發(fā)明提供一種微服務(wù)的權(quán)限控制方法。
參照?qǐng)D1,圖1為本發(fā)明微服務(wù)的權(quán)限控制方法的第一實(shí)施例的流程示意圖。
在一實(shí)施例中,所述微服務(wù)的權(quán)限控制方法包括:
步驟S10,接收權(quán)限請(qǐng)求指令;
步驟S20,在接收到權(quán)限請(qǐng)求指令后,對(duì)所述請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證;
微服務(wù)架構(gòu)風(fēng)格是一類將單一應(yīng)用程序作為由眾多小型服務(wù)構(gòu)成之套件加以開發(fā)的方式,其中各項(xiàng)服務(wù)都擁有自己的進(jìn)程并利用輕量化機(jī)制(通常為HTTP源API)實(shí)現(xiàn)通信。這些服務(wù)圍繞業(yè)務(wù)功能建立而成,且憑借自動(dòng)化部署機(jī)制實(shí)現(xiàn)獨(dú)立部署。這些服務(wù)匹配一套最低限度的中央式管理機(jī)制,且各服務(wù)可通過不同編程語言編寫而成并使用不同的數(shù)據(jù)存儲(chǔ)技術(shù)。隨著社會(huì)對(duì)安全存儲(chǔ)和傳輸數(shù)據(jù)需求的迅猛增長,密碼技術(shù)應(yīng)用也在快速的發(fā)展。越來越多的敏感數(shù)據(jù)需要在開放網(wǎng)絡(luò)上傳輸,密碼技術(shù)提供了一種安全的滿足各種應(yīng)用需求的途徑。通過數(shù)據(jù)加密技術(shù)、防篡改的數(shù)字簽名、數(shù)字身份認(rèn)證等來保護(hù)需要存儲(chǔ)和傳輸?shù)拿舾袛?shù)據(jù)。權(quán)限請(qǐng)求指令是用于請(qǐng)求獲得權(quán)限要求的指令,在接收到權(quán)限請(qǐng)求指令后,對(duì)所述請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證,以確定發(fā)送權(quán)限請(qǐng)求指令的終端是否具備訪問權(quán)限及具備的權(quán)限類型等,例如,認(rèn)證服務(wù)號(hào)具有獲取用戶地理位置的權(quán)限,而未認(rèn)證服務(wù)號(hào)不具備獲取用戶地理位置的權(quán)限。終端用戶希望獲取相應(yīng)權(quán)限,通過終端的窗口界面發(fā)送相應(yīng)的權(quán)限請(qǐng)求指令,服務(wù)器接收該權(quán)限請(qǐng)求指令,并對(duì)所述請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證。
參照?qǐng)D2,圖2為圖1中步驟S20一實(shí)施例的細(xì)化流程示意圖。
步驟S21,提取所述請(qǐng)求指令攜帶的IP信息;
步驟S22,對(duì)所述IP信息進(jìn)行驗(yàn)證,在所述IP信息驗(yàn)證通過后,判斷所述身份信息通過驗(yàn)證。
指令發(fā)送端(通常表示終端)的IP信息是固定的,可以通過IP信息確定對(duì)應(yīng)的終端,本發(fā)明一實(shí)施例通過提取請(qǐng)求指令攜帶的IP信息,對(duì)所述IP信息進(jìn)行驗(yàn)證,所述IP信息驗(yàn)證通過,判斷所述身份信息通過驗(yàn)證,即表示對(duì)應(yīng)的終端具有相應(yīng)的操作權(quán)限;此外,終端也可能通過其他方式進(jìn)行身份驗(yàn)證,例如,MAC地址認(rèn)證、通過認(rèn)證的路由設(shè)備認(rèn)證及終端標(biāo)識(shí)碼等方式。
步驟S30,在身份信息驗(yàn)證通過后,下發(fā)所述身份信息對(duì)應(yīng)的密鑰信息以使用與所述請(qǐng)求指令對(duì)應(yīng)的微服務(wù)。
通過對(duì)敏感數(shù)據(jù)進(jìn)行加密等方式,使具有相應(yīng)權(quán)限的終端才能訪問,保障數(shù)據(jù)的安全性;在終端通過身份信息驗(yàn)證后,下發(fā)所述IP信息對(duì)應(yīng)的密鑰信息,終端通過該密鑰信息使用與所述請(qǐng)求指令對(duì)應(yīng)的微服務(wù),例如,發(fā)送登錄請(qǐng)求指令的終端,通過驗(yàn)證該終端的IP信息確定該終端曾登錄過該賬號(hào),則判斷該終端的身份信息通過驗(yàn)證,可以登錄該賬號(hào);當(dāng)驗(yàn)證該終端的IP信息確定該終端為初次登錄該賬號(hào),則判斷該終端的身份信息未通過驗(yàn)證,當(dāng)然,還可以通過發(fā)送提示信息,使終端提供更多可進(jìn)行驗(yàn)證的信息以通過身份驗(yàn)證,例如,提供短信驗(yàn)證碼或回答密保問題等方式。
本發(fā)明一實(shí)施例中,下發(fā)所述身份信息對(duì)應(yīng)的密鑰以使用與所述請(qǐng)求指令對(duì)應(yīng)的微服務(wù)的步驟包括:
獲取所述身份信息對(duì)應(yīng)的密鑰信息以及權(quán)限文件,將所述密鑰和所述權(quán)限文件發(fā)送至請(qǐng)求指令發(fā)送端,以供所述發(fā)送端直接根據(jù)所述密鑰和權(quán)限文件使用與所述請(qǐng)求指令對(duì)應(yīng)的微服務(wù)。
在認(rèn)證通過后直接向終端發(fā)送權(quán)限文件,無需客戶端的用戶手動(dòng)配置,即可直接通過密鑰和權(quán)限文件來使用相應(yīng)的微服務(wù),管理簡單、方便。
本實(shí)施例通過在接收到請(qǐng)求指令時(shí),自動(dòng)對(duì)發(fā)送請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證,在驗(yàn)證通過后,自動(dòng)下發(fā)密鑰信息,具有管理方便、高效的目的。
參照?qǐng)D3,圖3為本發(fā)明微服務(wù)的權(quán)限控制方法的第二實(shí)施例的流程示意圖?;谏鲜鑫⒎?wù)的權(quán)限控制方法的第一實(shí)施例,所述方法還包括:
步驟S40,通過微服務(wù)拉取權(quán)限變更的方式;
步驟S50,獲取最新的密鑰和權(quán)限文件,并將獲取的密鑰和權(quán)限文件與對(duì)應(yīng)的身份信息關(guān)聯(lián)保存。
終端的權(quán)即有可能發(fā)生改變,為了保證終端訪問權(quán)限的可靠性,通過微服務(wù)拉取權(quán)限變更的方式,本發(fā)明一實(shí)施例通過微服務(wù)輪詢拉取變更信息的方式主動(dòng)獲取終端的權(quán)限變化等;獲取最新的密鑰和權(quán)限文件,并將獲取的密鑰和權(quán)限文件與對(duì)應(yīng)的身份信息關(guān)聯(lián)保存,通常采用緩存在內(nèi)存中的方式,當(dāng)接收到權(quán)限請(qǐng)求指令時(shí),在內(nèi)存中進(jìn)行權(quán)限校驗(yàn)操作。
本實(shí)施例通過在微服務(wù)拉取權(quán)限變更的方式,實(shí)時(shí)掌握終端權(quán)限動(dòng)態(tài),并將密鑰和權(quán)限文件保存在內(nèi)存中,管理方便,驗(yàn)證速度快。
參照?qǐng)D4,圖4為本發(fā)明微服務(wù)的權(quán)限控制方法的第三實(shí)施例的流程示意圖?;谏鲜鑫⒎?wù)的權(quán)限控制方法的第二實(shí)施例,所述方法還包括:
步驟S60,通過ZK中間件向微服務(wù)的客戶端下發(fā)變更通知信息。
ZK中間件(即ZooKeeper中間件),ZooKeeper是一個(gè)分布式的、開放源碼的分布式應(yīng)用程序協(xié)調(diào)服務(wù),是Google的Chubby一個(gè)開源的實(shí)現(xiàn),是Hadoop和Hbase的重要組件。ZooKeeper是一個(gè)為分布式應(yīng)用提供一致性服務(wù)的軟件,提供的功能包括:配置維護(hù)、域名服務(wù)、分布式同步、組服務(wù)等。ZooKeeper的目標(biāo)就是封裝好復(fù)雜易出錯(cuò)的關(guān)鍵服務(wù),將簡單易用的接口和性能高效、功能穩(wěn)定的系統(tǒng)提供給用戶。利用ZK中間件的上述優(yōu)點(diǎn),本發(fā)明一實(shí)施例通過ZK中間件向微服務(wù)的客戶端下發(fā)變更通知信息,具有信息發(fā)送及時(shí)等優(yōu)點(diǎn)。
本實(shí)施例通過ZK中間件向微服務(wù)的客戶端下發(fā)變更通知信息,具有信息發(fā)送及時(shí)等優(yōu)點(diǎn)。
本發(fā)明進(jìn)一步提供一種微服務(wù)的權(quán)限控制裝置。
參照?qǐng)D5,圖5為本發(fā)明微服務(wù)的權(quán)限控制裝置的第一實(shí)施例的功能模塊示意圖。
在一實(shí)施例中,所述微服務(wù)的權(quán)限控制裝置包括:接收模塊10、驗(yàn)證模塊20及下發(fā)模塊30。
所述接收模塊10,用于接收權(quán)限請(qǐng)求指令;
所述驗(yàn)證模塊20,用于在接收到權(quán)限請(qǐng)求指令后,對(duì)所述請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證;
微服務(wù)架構(gòu)風(fēng)格是一類將單一應(yīng)用程序作為由眾多小型服務(wù)構(gòu)成之套件加以開發(fā)的方式,其中各項(xiàng)服務(wù)都擁有自己的進(jìn)程并利用輕量化機(jī)制(通常為HTTP源API)實(shí)現(xiàn)通信。這些服務(wù)圍繞業(yè)務(wù)功能建立而成,且憑借自動(dòng)化部署機(jī)制實(shí)現(xiàn)獨(dú)立部署。這些服務(wù)匹配一套最低限度的中央式管理機(jī)制,且各服務(wù)可通過不同編程語言編寫而成并使用不同的數(shù)據(jù)存儲(chǔ)技術(shù)。隨著社會(huì)對(duì)安全存儲(chǔ)和傳輸數(shù)據(jù)需求的迅猛增長,密碼技術(shù)應(yīng)用也在快速的發(fā)展。越來越多的敏感數(shù)據(jù)需要在開放網(wǎng)絡(luò)上傳輸,密碼技術(shù)提供了一種安全的滿足各種應(yīng)用需求的途徑。通過數(shù)據(jù)加密技術(shù)、防篡改的數(shù)字簽名、數(shù)字身份認(rèn)證等來保護(hù)需要存儲(chǔ)和傳輸?shù)拿舾袛?shù)據(jù)。權(quán)限請(qǐng)求指令是用于請(qǐng)求獲得權(quán)限要求的指令,在接收到權(quán)限請(qǐng)求指令后,對(duì)所述請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證,以確定發(fā)送權(quán)限請(qǐng)求指令的終端是否具備訪問權(quán)限及具備的權(quán)限類型等,例如,認(rèn)證服務(wù)號(hào)具有獲取用戶地理位置的權(quán)限,而未認(rèn)證服務(wù)號(hào)不具備獲取用戶地理位置的權(quán)限。終端用戶希望獲取相應(yīng)權(quán)限,通過終端的窗口界面發(fā)送相應(yīng)的權(quán)限請(qǐng)求指令,服務(wù)器接收該權(quán)限請(qǐng)求指令,并對(duì)所述請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證。
參照?qǐng)D6,圖6為圖5中驗(yàn)證模塊20一實(shí)施例的細(xì)化功能模塊示意圖。所述驗(yàn)證模塊20包括:
提取單元21,用于提取所述請(qǐng)求指令攜帶的IP信息;
判斷單元22,用于對(duì)所述IP信息進(jìn)行驗(yàn)證,在所述IP信息驗(yàn)證通過后,判斷所述身份信息通過驗(yàn)證。
指令發(fā)送端(通常表示終端)的IP信息是固定的,可以通過IP信息確定對(duì)應(yīng)的終端,本發(fā)明一實(shí)施例通過提取請(qǐng)求指令攜帶的IP信息,對(duì)所述IP信息進(jìn)行驗(yàn)證,所述IP信息驗(yàn)證通過,判斷所述身份信息通過驗(yàn)證,即表示對(duì)應(yīng)的終端具有相應(yīng)的操作權(quán)限;此外,終端也可能通過其他方式進(jìn)行身份驗(yàn)證,例如,MAC地址認(rèn)證、通過認(rèn)證的路由設(shè)備認(rèn)證及終端標(biāo)識(shí)碼等方式。
所述下發(fā)模塊30,用于在身份信息驗(yàn)證通過后,下發(fā)所述身份信息對(duì)應(yīng)的密鑰信息以使用與所述請(qǐng)求指令對(duì)應(yīng)的微服務(wù)。
通過對(duì)敏感數(shù)據(jù)進(jìn)行加密等方式,使具有相應(yīng)權(quán)限的終端才能訪問,保障數(shù)據(jù)的安全性;在終端通過身份信息驗(yàn)證后,下發(fā)所述IP信息對(duì)應(yīng)的密鑰信息,終端通過該密鑰信息使用與所述請(qǐng)求指令對(duì)應(yīng)的微服務(wù),例如,發(fā)送登錄請(qǐng)求指令的終端,通過驗(yàn)證該終端的IP信息確定該終端曾登錄過該賬號(hào),則判斷該終端的身份信息通過驗(yàn)證,可以登錄該賬號(hào);當(dāng)驗(yàn)證該終端的IP信息確定該終端為初次登錄該賬號(hào),則判斷該終端的身份信息未通過驗(yàn)證,當(dāng)然,還可以通過發(fā)送提示信息,使終端提供更多可進(jìn)行驗(yàn)證的信息以通過身份驗(yàn)證,例如,提供短信驗(yàn)證碼或回答密保問題等方式。
所述下發(fā)模塊30,還用于獲取所述身份信息對(duì)應(yīng)的密鑰信息以及權(quán)限文件,將所述密鑰和所述權(quán)限文件發(fā)送至請(qǐng)求指令發(fā)送端,以供所述發(fā)送端直接根據(jù)所述密鑰和權(quán)限文件使用與所述請(qǐng)求指令對(duì)應(yīng)的微服務(wù)。
在認(rèn)證通過后直接向終端發(fā)送權(quán)限文件,無需客戶端的用戶手動(dòng)配置,即可直接通過密鑰和權(quán)限文件來使用相應(yīng)的微服務(wù),管理簡單、方便。
本實(shí)施例通過在接收到請(qǐng)求指令時(shí),自動(dòng)對(duì)發(fā)送請(qǐng)求指令對(duì)應(yīng)的身份信息進(jìn)行驗(yàn)證,在驗(yàn)證通過后,自動(dòng)下發(fā)密鑰信息,具有管理方便、高效的目的。
參照?qǐng)D7,圖7為本發(fā)明微服務(wù)的權(quán)限控制裝置的第二實(shí)施例的功能模塊示意圖。所述微服務(wù)的權(quán)限控制裝置還包括拉取模塊40及獲取模塊50。
所述拉取模塊40,用于通過微服務(wù)拉取權(quán)限變更的方式;
所述獲取模塊50,用于獲取最新的密鑰和權(quán)限文件,并將獲取的密鑰和權(quán)限文件與對(duì)應(yīng)的身份信息關(guān)聯(lián)保存。
終端的權(quán)即有可能發(fā)生改變,為了保證終端訪問權(quán)限的可靠性,通過微服務(wù)拉取權(quán)限變更的方式,本發(fā)明一實(shí)施例通過微服務(wù)輪詢拉取變更信息的方式主動(dòng)獲取終端的權(quán)限變化等;獲取最新的密鑰和權(quán)限文件,并將獲取的密鑰和權(quán)限文件與對(duì)應(yīng)的身份信息關(guān)聯(lián)保存,通常采用緩存在內(nèi)存中的方式,當(dāng)接收到權(quán)限請(qǐng)求指令時(shí),在內(nèi)存中進(jìn)行權(quán)限校驗(yàn)操作。
本實(shí)施例通過在微服務(wù)拉取權(quán)限變更的方式,實(shí)時(shí)掌握終端權(quán)限動(dòng)態(tài),并將密鑰和權(quán)限文件保存在內(nèi)存中,管理方便,驗(yàn)證速度快。
進(jìn)一步地,所述下發(fā)模塊30,還用于通過ZK中間件向微服務(wù)的客戶端下發(fā)變更通知信息。
ZK中間件(即ZooKeeper中間件),ZooKeeper是一個(gè)分布式的、開放源碼的分布式應(yīng)用程序協(xié)調(diào)服務(wù),是Google的Chubby一個(gè)開源的實(shí)現(xiàn),是Hadoop和Hbase的重要組件。ZooKeeper是一個(gè)為分布式應(yīng)用提供一致性服務(wù)的軟件,提供的功能包括:配置維護(hù)、域名服務(wù)、分布式同步、組服務(wù)等。ZooKeeper的目標(biāo)就是封裝好復(fù)雜易出錯(cuò)的關(guān)鍵服務(wù),將簡單易用的接口和性能高效、功能穩(wěn)定的系統(tǒng)提供給用戶。利用ZK中間件的上述優(yōu)點(diǎn),本發(fā)明一實(shí)施例通過ZK中間件向微服務(wù)的客戶端下發(fā)變更通知信息,具有信息發(fā)送及時(shí)等優(yōu)點(diǎn)。
本實(shí)施例通過ZK中間件向微服務(wù)的客戶端下發(fā)變更通知信息,具有信息發(fā)送及時(shí)等優(yōu)點(diǎn)。
以上僅為本發(fā)明的優(yōu)選實(shí)施例,并非因此限制本發(fā)明的專利范圍,凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換,或直接或間接運(yùn)用在其他相關(guān)的技術(shù)領(lǐng)域,均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)。