本申請提供一種實現認證/授權的方法、裝置、云計算系統及計算機系統，應用于多租戶域的云計算系統中，為不同服務之間的調用實現認證/授權，能夠提高服務調用的效率。其中，該方法包括接收服務調用請求；根據該服務調用請求中包含的第二服務的信息從第一令牌集合中獲取所述第二服務的令牌，所述第一令牌集合包括所述第二服務的信息和所述第二服務的令牌之間的對應關系；使用獲取到的所述第二服務的令牌更新所述服務調用請求；根據所述第二服務的信息向所述第二服務發送所述更新后的服務調用請求。

技術領域

本發明實施例涉及云計算領域，尤其涉及一種基于PaaS平臺的服務之間的認證/授權方法。

背景技術

云計算(Cloud Computing)是一種通過網絡以服務的方式提供動態可伸縮的虛擬化資源的計算模式。PaaS(Platform as a Service)是云計算的主要模式之一，主要用于將軟件研發平臺作為服務提供給租戶。PaaS平臺上注冊不同的租戶，這些租戶會使用PaaS平臺提供的軟件研發平臺開發和提供各種各樣的軟件服務(包括微服務)，下文簡稱為服務。不同的租戶之間會發生服務調用服務的情況，例如，租戶1的服務A訂閱租戶2的服務B，這意味著服務A在被使用的時候會周期性或事件觸發性地調用服務B。

同一個PaaS平臺上，由于不同的租戶可采用不同的程序模型開發服務，導致不同的服務的認證/授權機制可能不同。PaaS上常用的認證/授權機制為基于令牌(token)的認證/授權機制，例如SWT(Simple Web Token),JWT(Json Web Token),CMS(CryptographicMessage Syntax),SAML(Security Assertion Markup Language),X.509Certificate,OAuth2授權token,RSA token等。擁有不同的認證/授權機制的服務之間如果發生調用，就會存在認證/授權困難的問題，從而無法達到安全的無縫集成。

為解決這一問題，現有技術主要提出兩種方案：一種是采用統一的認證授權中心來處理所有的服務調用請求，但這種方式會導致性能瓶頸，可能帶來單點失敗(singlepoint failure)的問題；另一種是服務請求者在其客戶端實現不同格式的token的生成代碼，從而在該服務請求者調用不同的服務時能相應生成不同格式的token，但這種方式會給服務開發者增加額外的開發負擔。

發明內容

本發明實施例提供一種實現認證/授權的方法、裝置、云計算系統及計算機系統，應用于多租戶域的云計算系統中，為不同服務之間的調用實現認證/授權，能夠提高服務調用的效率。

第一方面，本發明實施例提供一種實現認證/授權的方法，該方法可以應用于包括云計算系統或其他類型計算機系統中。該方法包括：接收運行在第一租戶域上的第一服務發送的服務調用請求，其中，所述服務調用請求包括第二服務的信息；根據所述第二服務的信息從第一令牌集合中獲取所述第二服務的令牌，其中，所述第一令牌集合包括所述第二服務的信息和所述第二服務的令牌之間的對應關系；使用獲取到的所述第二服務的令牌更新所述服務調用請求；根據所述第二服務的信息向所述第二服務發送所述更新后的服務調用請求。

當以上方法應用于云計算系統時，第一租戶域為該云計算系統中屬于第一租戶的租戶域。云計算系統提供的服務，例如開發環境/開發平臺，可以同時提供給多個用戶，每個用戶都像“租賃”一樣使用該服務，所以云計算系統的用戶一般稱之為“租戶”。

第二服務的信息可以為用于標識服務的信息，例如服務的訪問端點(endpoint)。

令牌集合中包括一個或多個令牌以及令牌與服務的對應關系，例如，令牌A與服務A對應則表明該令牌A可以在其他服務調用服務A的時候使用。當令牌集合包含多個令牌時，令牌集合在本發明的一些實施例中也被稱為令牌棧。關于令牌集合的具體形式，本發明實施例不做限定。注意，令牌集合可以僅包括一個令牌及該令牌與服務的對應關系。