本發明實施例公開了一種鑒權方法及裝置，所述方法包括：接收用戶發送的鑒權請求；其中，所述鑒權請求中攜帶租戶標識Project_ID和鑒權標識Endpoint_ID；判斷所述Project_ID與所述Endpoint_ID是否存在關聯關系；當所述Project_ID與所述Endpoint_ID存在關聯關系時，查找所述Project_ID對應的鑒權策略；當查找到所述Project_ID對應的鑒權策略時，按照所述Project_ID對應的鑒權策略對所述鑒權請求進行鑒權。

技術領域

本發明涉及數據通信技術領域，尤其涉及一種鑒權方法及裝置。

背景技術

Keystone是OpenStack云平臺中負責管理身份驗證、服務規則和服務令牌功能的模塊。Keystone中主要涉及到如下幾個概念：用戶User、租戶Tenant、角色Role和令牌Token。其中，User是使用OpenStack服務的用戶，只要是使用了Openstack服務的對象都可以稱為用戶。Tenant是OpenStack服務的租戶，在一個租戶中可以擁有很多個用戶，這些用戶可以根據權限的劃分使用租戶中的資源。Role是用戶的角色，使得用戶獲得角色對應的操作權限。Token是一串比特值或者字符串，用來作為訪問資源的記號，Token中含有可訪問資源的范圍和有效時間。

在現有的OpenStack中，首先用戶向Keystone提供用于身份認證的信息，如：用戶名和密碼。Keystone會從數據庫中讀取數據對其身份進行認證；若認證通過，Keystone會向用戶返回一個Token，此后用戶所有的請求都會使用該Token進行身份驗證。例如，用戶向Keystone中的Nova申請虛擬機服務，Nova會將用戶提供的Token發給Keystone進行驗證，Keystone會根據Token判斷用戶是否擁有進行此項操作的權限；若驗證通過，Nova會向其提供相對應的服務。

在現有的Keystone中，用戶在通過了Keystone的身份認證后，用戶會向OpenStack中的各個項目發起鑒權請求，Keystone針對用戶發起的各個鑒權請求都會鑒權。具體地，Keystone采用“Policy.json”文件的方式進行鑒權。在Policy.json文件中，鑒權內容采用“Action：Rule”的格式進行定義；其中，“Action”表征請求操作的最小粒度；“Rule”表征權限的規則，例如，“Action：Rule”可以為“Create：Admin”。

在實現本發明的過程中，發明人發現現有技術中至少存在如下問題：

現有的鑒權方法中，Keystone采用“Policy.json”文件的方式進行鑒權，該鑒權文件對于全部用戶都是通用的，鑒權方案不夠靈活；并且該文件一旦被修改，全部用戶的鑒權方案都會發生改變，存在較大的安全隱患。

發明內容

為解決上述技術問題，本發明實施例期望提供一種鑒權方法及裝置，不僅能夠提高鑒權方案的靈活性，而且安全程度更有保障。

本發明的技術方案是這樣實現的：

本發明實施例提供了一種鑒權方法，所述方法包括：

接收用戶發送的鑒權請求；其中，所述鑒權請求中攜帶租戶標識Project_ID和鑒權標識Endpoint_ID；

判斷所述Project_ID與所述Endpoint_ID是否存在關聯關系；

當所述Project_ID與所述Endpoint_ID存在關聯關系時，查找所述Project_ID對應的鑒權策略；

當查找到所述Project_ID對應的鑒權策略時，按照所述Project_ID對應的鑒權策略對所述鑒權請求進行鑒權。

在上述實施例中，所述判斷所述Project_ID與所述Endpoint_ID是否存在關聯關系，包括：