基于最優鏈路選擇的一致性鑒權方法：客戶端發送用戶名、密碼、訪問服務A，鑒權中心驗證用戶合法性，驗證合法，鑒權中心生成用戶本次鑒權的唯一令牌，提取出訪問服務A的訪問地址并響應客戶端；鑒權中心記錄用戶名對應的令牌、訪問服務A的訪問地址至緩存池；客戶端獲取到令牌和訪問服務A的訪問地址，客戶端計算秘鑰，攜帶用戶名、秘鑰訪問服務A的訪問地址；一服務接受到用戶請求，驗證請求頭是否攜帶用戶名和秘鑰，若是則該服務判斷本地緩存是否存在過該用戶的令牌信息，若沒有則該服務通過調用鑒權中心獲取請求用戶的令牌并本地緩存，若有則該服務通過客戶端傳遞的用戶名獲取本地緩存的用戶令牌，計算秘鑰對比，秘鑰一致，響應客戶端請求。

技術領域

本發明涉及一種基于最優鏈路選擇的一致性鑒權方法，可應用在移動app端或pc網頁端，用于訪問服務端時，根據客戶端的網絡環境和服務端機器負載情況，來選擇最優的鏈路地址供客戶端訪問；支持中心一次鑒權的唯一令牌應用到多應用服務端的鑒權，實現鑒權令牌多服務的一致性。

背景技術

現有技術一般采用固定秘鑰或nginx轉發各服務請求；網關驗證秘鑰后，轉發請求到服務端獲取業務數據。

服務端采用身份認證的接口鑒權，身份認證合法后向客戶端返回一個具有時效性的用戶令牌，令牌包含用戶的合法信息，客戶端在每次請求服務時候，必須攜帶用戶令牌。在針對多應用服務的情況下，一般服務端會采用nginx的反向代理做負載均衡，將用戶請求進行轉發。

當客戶端攜帶用戶令牌訪問服務時候，nginx轉發用戶的請求和用戶令牌到指定服務，當前服務通過校驗用戶令牌，來驗證合法性，并由此判斷是否響應客戶端的請求或拒絕訪問。

現有技術存在的缺陷是：1、Nginx做業務請求轉發，無法保障實時權重；2、令牌固定導致泄漏，最終導致業務數據泄漏；3、服務故障時候，需要修改nginx配置文件。

發明內容

本發明針對現有技術存在的問題和不足，提供一種基于最優鏈路選擇的一致性鑒權方法。

本發明是通過下述技術方案來解決上述技術問題的：

本發明提供一種基于最優鏈路選擇的一致性鑒權方法，其特點在于，其包括以下步驟：

S1、客戶端發送用戶名、密碼、訪問服務標識A至鑒權中心，鑒權中心驗證用戶合法性，驗證合法進入步驟S2，驗證不合法響應客戶端不合法；

S2、鑒權中心生成用戶本次鑒權的唯一令牌，提取出訪問服務A的訪問地址并響應客戶端，訪問地址包括主地址和備用地址；

S3、鑒權中心記錄用戶名對應的令牌、訪問服務A的訪問地址至緩存池，以用于其他服務驗證；

S4、客戶端獲取到令牌和訪問服務A的訪問地址，客戶端通過秘鑰算法計算秘鑰，攜帶用戶名、秘鑰訪問服務A的訪問地址；

S5、服務集群中的一服務接受到用戶請求，驗證請求頭是否攜帶用戶名和秘鑰，若是則進入步驟S6，否則不響應客戶不合法請求；

S6、該服務判斷本地緩存是否存在過該用戶的令牌信息，若沒有進入步驟S7，若有進入步驟S8；

S7、該服務通過調用鑒權中心獲取請求用戶的令牌，并本地緩存，進入步驟S8，若沒有令牌，響應用戶未鑒權，拒絕請求業務數據；

S8、該服務通過客戶端傳遞的用戶名獲取本地緩存的用戶令牌，計算秘鑰對比，秘鑰一致，響應客戶端請求，不一致響應請求不合法。

較佳地，客戶端訪問該服務的主地址，響應超時，客戶端自動切換備用地址；客戶端訪問該服務的備用地址，響應超時，該服務響應客戶端需重新鑒權。

較佳地，在進入到客戶端訪問該服務的備用地址時，鑒權中心提出了故障的主備機器，重新篩選最優服務訪問地址。