本發明公開了一種基于網關路由轉發的鑒權認證方法，包括如下步驟：API網關獲取來自客戶端的登錄系統請求；API網關向單點登錄服務器發送驗證請求；單點服務器對必要信息進行驗證，當驗證結果為合法時，單點服務器生成令牌并將該令牌緩存在Redis存儲系統，同時通過API網關將所述令牌下發給客戶端；API網關獲取來自客戶端的訪問資源請求，所述訪問資源請求攜帶令牌；API網關對所述令牌進行認證，當認證結果為通過時，授權客戶端訪問內部資源；本發明通過對客戶端下發令牌，由API網關對客戶端請求進行身份認證，達到鑒權目的；由于對令牌的認證在API網關本身，該令牌很難被破解或截取，提高了系統的安全性。

技術領域

本發明屬于API網關技術領域，具體涉及一種基于網關路由轉發的鑒權認證方法。

背景技術

API網關作為對外提供服務的入口，就像企業服務的大門。一方面，要有足夠的能力，應對大量的對外訪問，另一方面，還要給對內的服務提供一定的安全保障。現有的API網關不能自動識別外部的有效訪問，容易發生以下情況：一是當并發量較大時很有可能超出網關承受能力，輕則導致服務拋棄一部分請求，重則導致服務器資源耗盡，不可用；二是惡意請求容易入侵服務器，對內部服務造成安全隱患。

發明內容

為了解決現有技術存在的上述問題，本發明目的在于提供一種可提高網關安全性和可用性的基于網關路由轉發的新型鑒權認證方法。

本發明所采用的技術方案為：

基于網關路由轉發的鑒權認證方法，包括如下步驟：

API網關獲取來自客戶端的登錄系統請求，所述登錄系統請求攜帶客戶端必要信息。

API網關向單點登錄服務器發送驗證請求，所述驗證請求攜帶客戶端必要信息。

單點登錄服務器根據驗證請求對客戶端攜帶的必要信息進行驗證，當驗證結果為合法時，單點登錄服務器生成令牌并將該令牌緩存在Redis存儲系統，同時通過API網關將所述令牌下發給客戶端。

API網關獲取來自客戶端的訪問資源請求，所述訪問資源請求攜帶令牌。

API網關對所述令牌進行認證，當認證結果為通過時，授權客戶端訪問內部資源。

進一步，所述API網關在向單點登錄服務器發送驗證請求之前，還包括對客戶端的登錄系統請求進行校驗的步驟，所述檢驗步驟為：

A、API網關根據客戶端IP信息，校驗該IP是否在白名單列表中，當該IP 在白名單列表中時，返回客戶端；否則，執行進一步校驗。

B、API網關根據客戶端請求頭信息，校驗該請求頭是否攜帶該客戶端必要信息，當該請求頭攜帶該客戶端必要信息時，將該登錄系統請求轉發給單點登錄服務器，請求單點登錄服務器對客戶端身份予以驗證；否則，向客戶端返回錯誤信息及原因。

更進一步，所述必要信息包括客戶端ID、客戶端Key、用戶名和密碼。

更進一步，所述令牌包括頭部、載荷和簽證三個部分。

更進一步，所述頭部承載了兩部分信息，分別為數據類型和加密算法；所述載荷存放經過加密的有效信息；所述簽證由頭部和載荷加密后的信息以及一段密鑰信息組成。

更進一步，所述有效信息為客戶端ID、客戶端Key、用戶名或密碼中的一種或幾種。

更進一步，所述有效信息采用base64加密算法進行加密。

更進一步，所述API網關對所述令牌進行認證，該認證包括判斷該令牌是否為空、判斷該令牌內容是否與服務器端令牌內容一致、判斷該令牌是否有效。

本發明的有益效果為：