本申請公開了一種鑒權方法、鑒權系統和計算機可讀存儲介質。所述鑒權方法包括調用終端向服務器發送請求信息和第一請求簽名，服務器根據所述請求信息和第一請求簽名獲取所述調用終端的地址并在檢查到服務器內存儲有調用終端調用目標終端的權限記錄時，生成授權信息和第一授權簽名，然后將所述授權信息和所述第一授權簽名發送給調用終端；調用終端向目標終端發送調用請求，目標終端根據所述授權信息生成第二授權簽名；若所述第一授權簽名與所述第二授權簽名相同，則所述目標終端執行處理請求正文。本申請通過密鑰對生成簽名以實現微服務之間的鑒權和授權，從而提高整體架構的安全性。

技術領域

本申請涉及信息安全技術領域，具體涉及一種鑒權方法、鑒權系統和計算機可讀存儲介質。

背景技術

在微服務架構下，一個應用會被拆分成若干個微服務，系統中的各個微服務均可被獨立部署，各個微服務之間是松耦合的。每個微服務都需要對訪問進行鑒權以明確當前訪問用戶以及訪問權限。同時，在微服務架構下，需要考慮外部應用接入的場景、用戶和微服務之間的鑒權、微服務和微服務之間的鑒權等多種鑒權場景。

目前，用戶(包括瀏覽器和APP)和微服務之間的鑒權方案已經非常成熟，在分布式多系統的環境下，以OAUTH 2.0為代表的安全協議也已經成為目前的行業標準。但對于大規模分布式系統所采用的微服務架構來說，由于軟件系統結構的變化，一旦有惡意程序加入到整個微服務架構中，則可能利用微服務架構內部的調用接口完成非法或者越權操作，對微服務架構的內部安全產生威脅。

發明內容

有鑒于此，本申請提供一種鑒權方法、鑒權系統和計算機可讀存儲介質，可以在微服務之間實現鑒權和授權，從而提高微服務架構的安全性，防止惡意程序入侵。

本申請第一方面，提供一種鑒權方法，包括：

調用終端向服務器發送請求信息和第一請求簽名，所述第一請求簽名通過調用終端私鑰生成；

服務器接收所述請求信息和第一請求簽名；

服務器根據所述請求信息和第一請求簽名獲取所述調用終端的地址；

服務器在檢查到服務器內存儲有調用終端調用目標終端的權限記錄時，生成授權信息和第一授權簽名，所述第一授權簽名通過目標終端公鑰生成；

服務器將所述授權信息和所述第一授權簽名發送給調用終端；

調用終端接收所述服務器發送的授權信息和第一授權簽名；

調用終端向目標終端發送調用請求，所述調用請求包括授權請求頭、授權信息、第一授權簽名和請求正文；

目標終端接收所述調用請求并根據所述授權信息生成第二授權簽名；

若所述第一授權簽名與所述第二授權簽名相同，則所述目標終端執行處理所述請求正文。

優選地，所述服務器根據所述請求信息和第一請求簽名獲取所述調用終端的地址包括：

服務器根據所述請求信息獲取調用終端公鑰，并根據所述調用終端公鑰生成第二請求簽名；

若所述第一請求簽名與所述第二請求簽名相同，根據超文本傳輸協議獲取所述調用終端的地址。

優選地，所述根據所述授權信息生成第二授權簽名包括：

目標終端根據所述授權信息獲取目標終端私鑰，并根據所述目標終端私鑰生成第二授權簽名。

優選地，所述請求信息包括調用終端的標識、目標終端的標識和時間戳；

其中，所述時間戳為所述調用終端生成請求信息時的時間。

優選地，所述服務器根據所述請求信息獲取調用終端公鑰包括：