一種鑒權系統和方法。所述鑒權系統包括：業務接入層、鑒權邏輯層和數據存儲層，業務接入層包括多個業務接入服務器，鑒權邏輯層包括多個鑒權邏輯服務器，數據存儲層包括主數據庫和多個從數據庫；各層服務器和數據庫均跨地域部署。目標業務接入服務器用于接收業務提供方發送的鑒權請求，向目標鑒權邏輯服務器發送鑒權請求；目標鑒權邏輯服務器用于從目標從數據庫中獲取與鑒權請求相關的授權策略，根據獲取的授權策略對鑒權請求進行分析處理得到鑒權結果，向目標業務接入服務器發送鑒權結果；目標業務接入服務器還用于向業務提供方發送鑒權結果。本發明實施例提高了鑒權系統的可用性，降低了訪問延遲，從而提升整體的鑒權服務質量。

技術領域

本發明實施例涉及信息安全技術領域，特別涉及一種鑒權系統和方法。

背景技術

鑒權是指驗證用戶是否擁有某種權限。鑒權系統是指用于提供鑒權服務以實現對用戶操作進行鑒權的系統。

請參考圖1，其示出了現有技術提供的一種鑒權系統的示意圖。該鑒權系統包括：業務接入層11、鑒權邏輯層12和數據存儲層13。業務接入層11用于向業務提供方提供鑒權接口，業務提供方通過調用鑒權接口向業務接入層11發送鑒權請求。業務接入層11可以包括多個業務接入服務器11a。業務接入層11還用于將鑒權請求轉發給鑒權邏輯層12。鑒權邏輯層12包括多個鑒權邏輯服務器12a，每一個鑒權邏輯服務器12a均具備處理各個業務接入服務器11a發來的鑒權請求的功能。數據存儲層13采用分布式數據庫實現，以避免大量的數據庫訪問操作對同一數據庫帶來巨大壓力。數據存儲層13包括一個主數據庫13a和多個從數據庫13b，主數據庫13a中存儲授權策略，各個從數據庫13b從主數據庫13a中同步授權策略。鑒權邏輯服務器12a在接收到鑒權請求之后，從與其相連的從數據庫13b中讀取與上述鑒權請求相關的授權策略，而后根據讀取的授權策略對鑒權請求進行分析處理，得到鑒權結果。

在現有技術中，鑒權邏輯層12中的鑒權邏輯服務器12a的數量可按需增加，以避免大量的鑒權請求由同一服務器處理。數據存儲層13中的從數據庫13b的數量也可按需增加，以避免大量的數據庫訪問操作對同一數據庫帶來巨大壓力。

現有技術提供的鑒權系統，雖然采用分布式部署方式，但鑒權系統中包括的各個服務器和數據庫部署在同一機房內，當機房出現故障時，會導致整個鑒權系統無法提供鑒權服務。另外，當業務提供方異地訪問鑒權系統請求鑒權服務時，訪問延遲較大且通信鏈路穩定性較低，導致鑒權系統的可用性無法得到保障。

發明內容

為了解決現有技術中鑒權系統的可用性無法得到保障的問題，本發明實施例提供了一種鑒權系統和方法。所述技術方案如下：

第一方面，提供了一種鑒權系統，所述鑒權系統包括：業務接入層、鑒權邏輯層和數據存儲層，所述業務接入層包括至少兩個業務接入服務器，所述鑒權邏輯層包括至少兩個鑒權邏輯服務器，所述數據存儲層包括主數據庫和至少兩個從數據庫；其中，所述至少兩個業務接入服務器、所述至少兩個鑒權邏輯服務器和所述至少兩個從數據庫均跨地域部署；

所述業務接入層中的目標業務接入服務器，用于接收業務提供方發送的鑒權請求，其中，所述業務提供方與所述目標業務接入服務器位于同一地域，或者，所述業務提供方與所述目標業務接入服務器位于不同地域且所述業務提供方所處地域的業務接入服務器不可用；向所述鑒權邏輯層中的目標鑒權邏輯服務器發送所述鑒權請求；

所述目標鑒權邏輯服務器，用于從目標從數據庫中獲取與所述鑒權請求相關的授權策略，所述目標從數據庫用于存儲與所述業務提供方提供的業務相關的授權策略；根據與所述鑒權請求相關的授權策略對所述鑒權請求進行分析處理，得到鑒權結果；向所述目標業務接入服務器發送所述鑒權結果；

所述目標業務接入服務器，還用于向所述業務提供方發送所述鑒權結果。