本發明公開了一種服務網格中用戶狀態驗證的方法，可在提升網絡服務的安全性的同時，通過實施大小令牌的機制降低了服務網格中的負載壓力，且兼顧了性能、安全和吞吐量，該方法適用于采用了集群及分布式設計的服務網格系統。

技術領域

本發明涉及計算機軟件的分布式系統技術領域，特別涉及一種服務網格中用戶狀態驗證的方法。

背景技術

隨著移動互聯網的不斷深入，越來越多的公司和企業逐漸開始面向互聯網，并且把面向客戶的服務和業務也遷移到線上。在開發這些線上業務時，隨著客戶數量的不斷增多，業務平臺的架構也在不斷地變化演進。從早期的單體應用架構逐漸轉變為微服務架構，集群和分布式也成為了標配的技術。

服務網格技術是目前最具生產力的前沿技術之一，在構建微服務架構的基礎平臺的過程中，采用服務網格技術可以進一步提升系統的整體性能，降低研發和運營成本。服務網格是一個用于處理服務到服務相互通信的專用基礎設施層，它負責通過包含現代云原生應用的復雜服務拓撲來安全可靠地傳遞請求。服務網格是一種網絡模型，是位于TCP/IP之上的抽象層。它假定底層L3/L4網絡存在并且能夠從一個點到另一個點傳輸字節。服務網格還假設該網絡與環境的其他方面一樣不可靠，因此服務網絡也必須能夠處理網絡故障。在服務網格面向海量用戶的背景下，直接維護用戶的狀態信息就變成了比較棘手的難題，業界的常規解決方法是使用一個令牌Token來表示用戶的登錄狀態，通過對令牌Token的驗證來判斷用戶身份的合法性。而服務網格端如果整體都實施了HTTPS化，那么令牌Token的設計可以非常簡單化。但企業業務通常是復雜多樣的，部分HTTPS服務、部分HTTP服務是一種常態，這種情況下要達到驗證令牌簡便，且還要保證高吞吐量、高安全性就成為一個難題。

發明內容

本發明的目的是克服上述背景技術中不足，提供一種服務網格中用戶狀態驗證的方法，以解決背景技術中所述的技術問題，可在提升網絡服務的安全性的同時，通過實施大小令牌的機制降低了服務網格中的負載壓力，且兼顧了性能、安全和吞吐量，該方法適用于采用了集群和/或分布式設計的服務網格系統。

為了達到上述的技術效果，本發明采取以下技術方案：

一種服務網格中用戶狀態驗證的方法，包括以下步驟：

A.終端通過HTTPS完成用戶登錄，并請求混淆碼微服務；

B.混淆碼微服務產生一個隨機混淆碼，并返回給終端，再將用戶ID和混淆碼以鍵值對形式存入高速緩存；其中，服務網格中的混淆碼微服務是根據目前公開的算法，產生一個隨機混淆碼，再將混淆碼返回給終端，最后將混淆碼和用戶ID(即UID)以鍵值對的形式存入高速緩存；

C.終端使用混淆碼進行加密計算，產生大令牌、小令牌；即終端獲得步驟B產生的混淆碼后，使用終端和服務網格雙方約定的、業界公開的對稱加密算法進行加密計算，生成兩個令牌：即小令牌LToken和大令牌BToken；

D.終端攜帶大令牌、小令牌訪問服務網格中的微服務；在具體實施中，實際的訪問情況比較復雜，有可能小令牌不存在，有可能大令牌不存在，有可能大小令牌都不存在；

E.服務網格端驗證大令牌、小令牌，若大令牌、小令牌均不存在則直接進入步驟J，則終端需要重新進行注冊或登錄操作，否則進入步驟F；

F.服務網格判斷小令牌是否存在；若存在，則進入步驟G，否則進入步驟J；

G.服務網格解析小令牌，若成功解析小令牌則進入步驟H，否則進入步驟I；

H.服務網格通過解析小令牌獲取用戶信息并進入步驟L；

I.服務網格解析大令牌，若成功解析大令牌則進入步驟K，否則進入步驟J；

J.服務網格拒絕服務；即終端不是合法用戶，或者是合法性已過期。此時需要終端重新進行登錄操作；