本發明特別涉及一種微服務架構下實現級聯授權的系統及方法。該微服務架構下實現級聯授權的系統，包括微服務應用，元數據管理中心和授權鑒權中心，各微服務應用均內置適配器Adapter。所述微服務應用通過內置的適配器Adapter連接到元數據管理中心和授權鑒權中心。該微服務架構下實現級聯授權的系統及方法，解決了微服務架構下一次請求需要跨多個微服務應用時的權限問題，授權時不再需要用戶知曉操作的依賴關系，也不需要對各操作進行逐個授權，極大的提升了用戶體驗，降低了用戶使用和操作難度。

技術領域

本發明涉及身份認證和訪問控制技術領域，特別涉及一種微服務架構下實現級聯授權的系統及方法。

背景技術

隨著微服務的興起和廣泛使用，越來越多的應用都開始采用微服務架構，然而，微服務架構下的權限控制，較傳統單體應用，有著很大的不同。

在傳統單體應用中，各功能模塊之間的調用，屬于進程內調用，不需要考慮安全性，因此，只需要在對外接口的入口處做好權限檢查就可以了。

然而，微服務架構下，用戶的一次請求，可能會涉及到跨多個微服務應用之間的調用。如：用戶A擁有創建云主機的權限，而創建云主機還涉及到創建網絡，掛載云硬盤等操作，而云主機、網絡、云硬盤，分別隸屬于三個不同的微服務應用；用戶請求到達云主機應用，云主機應用進一步拿著用戶身份憑證去調用網絡和云硬盤的接口；此時，如果用戶A沒有創建網絡和掛載云硬盤的權限的話，則創建云主機操作將無法完成。

如果用戶A想要把云主機創建出來，還需要再進一步授予其創建網絡和掛載云硬盤的權限。然而，這樣的操作，在用戶使用習慣和便捷度上，很不友好。

基于以上的問題，提出一種新的授權方式，以能夠實現類似單體應用下的授權，成為技術人員亟待解決的難題。

基于上述情況，本發明提出了一種微服務架構下實現級聯授權的系統及方法。只要授予用戶A創建云主機的權限，那么就應該能夠成功的創建出云主機，而不需要關注創建云主機內部的邏輯。

發明內容

本發明為了彌補現有技術的缺陷，提供了一種簡單高效的微服務架構下實現級聯授權的系統及方法。

本發明是通過如下技術方案實現的：

一種微服務架構下實現級聯授權的系統，其特征在于：包括微服務應用，元數據管理中心和授權鑒權中心，各微服務應用均內置適配器Adapter；所述微服務應用通過內置的適配器Adapter連接到元數據管理中心和授權鑒權中心。

所述微服務應用中內置的適配器Adapter負責請求攔截，并與授權鑒權中心交互，驗證請求者是否擁有所請求資源的權限。

所述元數據管理中心負責管理維護整個系統下，所有微服務應用的權限元數據信息，包括服務定義、資源類型定義、操作定義以及操作之間的依賴關系。

所述元數據管理中心保存有整個系統所有操作之間的依賴關系，當用戶有某個操作的操作權限時，則認為該用戶同時具有該操作依賴的其他操作的操作權限。

創建云主機依賴于創建網絡，創建云主機還依賴于掛載云硬盤；當用戶有創建云主機的操作權限時，授權鑒權中心同時認為該用戶具有創建網絡和掛載云硬盤的操作權限。

所述授權鑒權中心負責為用戶分配權限，以及驗證用戶是否擁有指定資源的操作權限。

基于該微服務架構下實現級聯授權的系統的實現方法，當微服務應用內置的適配器Adapter攔截到用戶操作請求時，將請求者信息、請求的操作信息發送給授權鑒權中心進行權限驗證；如果用戶沒有權限，則進一步去元數據管理中心查詢依賴于當前操作的其他操作，然后進一步將請求者信息和依賴當前操作的其他操作信息發送給授權鑒權中心進行權限驗證；如果有權限，則認為有權限，如果仍然沒有權限，則進一步根據操作依賴關系進行權限驗證，直至依賴關系結束。