支持平臺多應用的WEB服務分層鑑權方法與流程
2023-04-24 08:20:16 8
本發明涉及計算機技術與web服務安全技術領域,具體涉及一種支持平臺多應用的web服務分層鑑權方法。
背景技術:
鑑權處理作為保障web服務安全性與請求合法性的重要方式之一,得到越來越廣泛的應用,並且這種方式在演進中繼續發揮獨特的作用。鑑權的目的是對請求方發起的服務請求合法性進行驗證,對不符合約定條件的非法請求進行攔截過濾,確保web應用正常運行。鑑權的主要對象大體分為業務類鑑權和平臺類鑑權,現有的鑑權方法主要用於對單一應用的服務鑑權,對業務層面或者平臺層面進行單一的鑑權處理,能確保這種場景下應用對鑑權服務的需要,但並不適用於綜合性平臺下多應用的web服務鑑權,因為這種場景下的平臺或服務端的複雜性決定了對單一業務層面或平臺層面的鑑權均無法滿足其實際需。
技術實現要素:
本發明公開的一種支持平臺多應用的web服務分層鑑權方法,通過分別在業務層面與平臺層面對web服務請求進行過濾認證處理,實現對平臺下多應用的web服務分層鑑權。
為解決上述的技術問題,本發明採用以下技術方案:
一種支持平臺多應用的web服務分層鑑權方法,它包括以下步驟:
步驟s101,構建平臺統一鑑權服務中心,用於對應用的web服務請求進行平臺層面的鑑權處理,並約定應用的平臺令牌的生成和解析規則;
步驟s102,對於接入平臺的應用,構建應用服務端業務鑑權中心,用於對應用的web服務請求進行業務層面的鑑權處理,並約定應用的業務令牌的生成和解析規則;
步驟s103,應用客戶端根據步驟s102中約定的業務令牌的生成和解析規則創建本次應用的web服務請求的業務令牌,應用客戶端封裝應用的web服務請求信息,將該業務令牌作為關鍵信息攜帶,並向應用服務端發起服務請求;
步驟s104,應用服務端攔截應用客戶端的服務請求,解析分離出該服務請求信息中的業務令牌,根據本次應用的web服務請求信息組成本次應用的web服務請求的平臺令牌,並將平臺令牌分發到步驟s101中的平臺統一鑑權服務中心以及將業務令牌分發到應用服務端業務鑑權中心;
步驟s105,平臺統一鑑權服務中心對本次應用的web服務請求進行平臺層面的鑑權處理;
步驟s106,根據步驟s105中平臺層面的鑑權處理結果,如果平臺層面的鑑權失敗則直接向應用客戶端返回鑑權失敗的提示信息,如果平臺層面的鑑權成功則觸發應用端業務鑑權中心對本次應用的web服務請求進行業務層面的鑑權處理;
步驟s107,根據業務層面的鑑權處理結果,應用服務端處理本次服務請求的具體業務邏輯,並向應用客戶端做出響應。
更進一步的技術方案是,所述平臺統一鑑權服務中心對本次應用的web服務請求進行平臺層面的鑑權處理具體包括對應用服務端進行ip白名單校驗、對應用服務端發起web服務請求的應用身份信息進行校驗、對應用的web服務請求的時間戳進行校驗、對應用的web服務請求進行重放攻擊校驗或對應用的web服務請求的內容進行籤名校驗。
更進一步的技術方案是,所述應用端業務鑑權中心對本次應用的web服務請求進行業務層面的鑑權處理具體包括對應用客戶端的用戶進行登錄鑑權、對應用客戶端的web服務請求進行以密匙為基礎的業務類鑑權、對應應用客戶端的web服務請求進行以證書文件為基礎的業務類鑑權或對應用客戶端的web服務請求進行以秘鑰字符串和證書文件相結合方式的業務類鑑權。
更進一步的技術方案是,所述對應用客戶端的用戶進行登錄鑑權包括用戶身份信息校驗或應用客戶端登錄的設備單一性校驗、令牌有效期校驗。
更進一步的技術方案是,所述對應用客戶端的web服務請求進行以密匙為基礎的業務類鑑權包括對密匙內容的合法信息校驗或密匙與應用的關聯關係校驗。
更進一步的技術方案是,所述對應應用客戶端的web服務請求進行以證書文件為基礎的業務類鑑權為將web服務請求上報的證書關鍵信息與應用端業務鑑權中心的證書信息進行匹配,以判斷鑑權是否通過。
更進一步的技術方案是,所述對應用客戶端的web服務請求進行以秘鑰字符串和證書文件相結合方式的業務類鑑權為以密匙符串和密匙證書文件作為業務鑑權的關鍵信息。
與現有技術相比,本發明的有益效果是:
本發明通過對web服務請求的鑑權處理按職能劃分,形成兩個層面的鑑權機制,分別在平臺統一鑑權服務中心和應用服務端的業務鑑權中心對平臺令牌與業務令牌進行校驗,這種分層鑑權機制使得具有特定業務需求的業務鑑權與平臺安全層面的鑑權分開處理,業務安全與平臺安全的分離能促使安全方案的實施更具有針對性,從職能上分別過濾了業務與平臺方面的非法請求,提高了web服務請求與平臺本身的安全性。
附圖說明
圖1為本發明一種實施例的支持平臺多應用的web服務分層鑑權方法的方法流程圖。
圖2為圖1中平臺鑑權的示意圖。
圖3為圖1中業務鑑權的示意圖。
圖4為本發明一種實施例的支持平臺多應用的web服務分層鑑權方法涉及的框架圖。
具體實施方式
下面結合附圖對本發明作進一步闡述。
如圖1-4所示的一種支持平臺多應用的web服務分層鑑權方法,它包括以下步驟:
s101,構建平臺統一鑑權服務中心401,用於對應用的web服務請求進行平臺層面的鑑權處理,並約定應用的平臺令牌的生成和解析規則;
步驟s102,對於接入平臺的應用,構建應用服務端業務鑑權中心402,用於對應用的web服務請求進行業務層面的鑑權處理,並約定應用的業務令牌的生成和解析規則;
步驟s103,應用客戶端404根據步驟s102中約定的業務令牌的生成和解析規則創建本次應用的web服務請求的業務令牌,應用客戶端封裝應用的web服務請求信息,將該業務令牌作為關鍵信息攜帶,並向應用服務端發起服務請求;
步驟s104,應用服務端403攔截應用客戶端404的服務請求,解析分離出該服務請求信息中的業務令牌,根據本次應用的web服務請求信息組成本次應用的web服務請求的平臺令牌,並將平臺令牌分發到步驟s101中的平臺統一鑑權服務中心401以及將業務令牌分發到應用服務端業務鑑權中心402;
步驟s105,平臺統一鑑權服務中心401對本次應用的web服務請求進行平臺層面的鑑權處理;
步驟s106,根據步驟s105中平臺層面的鑑權處理結果,如果平臺層面的鑑權失敗則直接向應用客戶端404返回鑑權失敗的提示信息,如果平臺層面的鑑權成功則觸發應用端業務鑑權中402心對本次應用的web服務請求進行業務層面的鑑權處理;
步驟s107,根據業務層面的鑑權處理結果,應用服務端403處理本次服務請求的具體業務邏輯,並向應用客戶端404做出響應。
平臺統一鑑權服務中心對本次應用的web服務請求進行平臺層面的鑑權處理具體包括對應用服務端進行ip白名單校驗201、對應用服務端發起web服務請求的應用身份信息進行校驗202、對應用的web服務請求的時間戳進行校驗203、對應用的web服務請求進行重放攻擊校驗204或對應用的web服務請求的內容進行籤名校驗205。
應用端業務鑑權中心對本次應用的web服務請求進行業務層面的鑑權處理具體包括對應用客戶端的用戶進行登錄鑑權301、對應用客戶端的web服務請求進行以密匙為基礎的業務類鑑權302、對應應用客戶端的web服務請求進行以證書文件為基礎的業務類鑑權303或對應用客戶端的web服務請求進行以秘鑰字符串和證書文件相結合方式的業務類鑑權304。
對應用客戶端的用戶進行登錄鑑權包括用戶身份信息校驗或應用客戶端登錄的設備單一性校驗、令牌有效期校驗。
對應用客戶端的web服務請求進行以密匙為基礎的業務類鑑權包括對密匙內容的合法信息校驗或密匙與應用的關聯關係校驗。
對應應用客戶端的web服務請求進行以證書文件為基礎的業務類鑑權為將web服務請求上報的證書關鍵信息與應用端業務鑑權中心的證書信息進行匹配,以判斷鑑權是否通過。
對應用客戶端的web服務請求進行以秘鑰字符串和證書文件相結合方式的業務類鑑權為以密匙符串和密匙證書文件作為業務鑑權的關鍵信息。
以上具體實施方式對本發明的實質進行詳細說明,但並不能對本發明的保護範圍進行限制,顯而易見地,在本發明的啟示下,本技術領域普通技術人員還可以進行許多改進和修飾,需要注意的是,這些改進和修飾都落在本發明的權利要求保護範圍之內。