本發明公開了一種分布式身份認證云節點及認證方法，該節點包括：認證系統交互的用戶對象；對象控制器，所有的交互都通過對象控制器進行控制，其管理所有用戶對象且負責進行用戶認證、授權、會話和緩存的管理；認證器，負責登陸的認證，檢驗用戶身份的合法性；授權器，對所有關于用戶操作的權限進行驗證，接收用戶請求傳入的Permission實例與后臺調用Ldap Realm獲取的用戶相應的角色/權限進行對比；會話管理器，對會話進行管理操作；緩存管理器，用于封裝RedisDao,執行針對緩存服務器Redis的基類操作。通過本方案，提高了身份認證的效率和穩定，節約了本地處理資源。

技術領域

本發明涉及大數據安全領域，具體涉及一種分布式身份認證方法及系統。

背景技術

現有的互聯網體系正在從傳統的集中模式向去中心化轉變，傳統互聯體系中的集中控制點可能面臨越來越多的網絡攻擊和信息盜取，去中心化、分布式結構越來越多的出現在人們眼前。

在這種變革下，傳統的集中身份認證方式面臨巨大挑戰，如何在去中心化的互聯體系下構建新的身份認證方式迫在眉睫。

發明內容

為解決上述技術問題，本發明提供了一種分布式身份認證云節點，包括：

認證系統交互的用戶對象；

對象控制器，所有的交互都通過對象控制器進行控制，其管理所有用戶對象且負責進行用戶認證、授權、會話和緩存的管理；

認證器，負責登陸的認證，檢驗用戶身份的合法性；

授權器，對所有關于用戶操作的權限進行驗證，接收用戶請求傳入的Permission實例與后臺調用Ldap Realm獲取的用戶相應的角色/權限進行對比；

會話管理器，對會話進行管理操作；

緩存管理器，用于封裝RedisDao，執行針對緩存服務器Redis的基類操作。

根據本發明的節點，優選的，所述對象控制器負責真正的身份驗證邏輯；它委托給認證器進行身份驗證。

根據本發明的節點，優選的，所述認證器進行身份驗證，其為核心的身份認證入口點。

根據本發明的節點，優選的，所述認證器委托給相應的認證策略選擇對應的Realm進行身份驗證，其包括兩種Realm進行獲取數據的數據源操作：

基于JDBC關系型數據庫的數據源獲取方式；或

提供ldap輕型目錄訪問協議的數據倉儲基礎操作；

Reaml獲取的安全數據包含用戶常用的用戶相關基礎信息內容。

根據本發明的節點，優選的，認證器把相應的令牌傳入Realm，從Realm獲取身份驗證信息，如果沒有返回/拋出異常表示身份驗證失敗；否則返回相關數據，標識信息認證成功。

為解決上述技術問題，本發明提供了一種采用上述之一的分布式身份認證云節點的分布式身份認證方法，包括以下步驟：

1)客戶端向認證服務器發送認證請求；

2)認證服務器的認證接入點接收所述認證請求；

3)所述認證接入點實時監控各個認證云節點的工作狀態和工作負荷；

4)根據所述工作狀態和工作負荷將認證請求分發給相應的認證云節點；

5)所述認證云節點實現對用戶的認證授權，并生成授權策略，提供用戶訪問權限，將認證結果返回給所述客戶端。

根據本發明的方法，優選的，所述認證服務器由認證云實現，所述認證云CCQ(Cloud based Client Queue)由多個認證云節點分布式構成。