本發(fā)明提供一種認證鑒權(quán)方法、裝置、電子設(shè)備和可讀存儲介質(zhì)，方法包括：向管理平臺發(fā)送用于更新應用信息和策略數(shù)據(jù)的更新請求；接收管理平臺返回的應用信息和策略數(shù)據(jù)并存儲；應用信息包括公鑰；接收請求方發(fā)送的業(yè)務請求，業(yè)務請求中攜帶請求方的身份信息和簽名信息；根據(jù)身份信息確定請求方對應的公鑰，使用請求方對應的公鑰驗證簽名信息，簽名信息由請求方的私鑰和業(yè)務請求數(shù)據(jù)生成，請求方對應的公鑰與私鑰配對；若簽名信息驗證通過，根據(jù)策略數(shù)據(jù)，判定業(yè)務請求是否允許執(zhí)行；在業(yè)務請求被允許的情況下，進行業(yè)務處理，并將業(yè)務處理的結(jié)果返回至請求方。解決了集中式認證鑒權(quán)在高流量情況下具有性能瓶頸的問題。

技術(shù)領(lǐng)域

本發(fā)明實施例涉及計算機技術(shù)領(lǐng)域，尤其涉及一種認證鑒權(quán)方法、裝置、電子設(shè)備和可讀存儲介質(zhì)。

背景技術(shù)

現(xiàn)有技術(shù)中，大部分系統(tǒng)都是采用的集中式鑒權(quán)，即各個服務都將鑒權(quán)的請求發(fā)到一個專門的鑒權(quán)服務上，由該鑒權(quán)服務處理后返回鑒權(quán)的結(jié)果。首先，由于所有需要鑒權(quán)的服務都需要將服務請求發(fā)給鑒權(quán)服務，鑒權(quán)服務很容易成為整個系統(tǒng)的性能瓶頸。例如整個系統(tǒng)中有10個使用鑒權(quán)服務的服務，假設(shè)這些服務的平均QPS(全稱Queries-per-second，中文釋義：每秒查詢率)是1000，那么鑒權(quán)服務的QPS將會達到10000，特別是在某些系統(tǒng)訪問高峰時候，集中式的鑒權(quán)服務的性能瓶頸將會更加明顯。

其次，由于所有鑒權(quán)請求需要發(fā)給鑒權(quán)服務，原有請求處理必然會增加一定的延時，這也加重了各個服務的處理負擔，影響服務的吞吐量。

此外，由于各個服務嚴重依賴鑒權(quán)服務，需要對鑒權(quán)服務投入更多的維護成本和運營成本。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種認證鑒權(quán)方法、裝置、電子設(shè)備和可讀存儲介質(zhì)，以解決集中式認證鑒權(quán)在高流量情況下具有性能瓶頸、影響系統(tǒng)的吞吐量、運維成本和運營成本高的問題。

為了解決上述技術(shù)問題，本發(fā)明是這樣實現(xiàn)的：

第一方面，本發(fā)明實施例提供了一種認證鑒權(quán)方法，應用于本地業(yè)務處理設(shè)備，所述本地業(yè)務處理設(shè)備與管理平臺連接，所述方法包括：

向所述管理平臺發(fā)送用于更新應用信息和策略數(shù)據(jù)的更新請求；

接收所述管理平臺返回的應用信息和策略數(shù)據(jù)并存儲；所述應用信息包括公鑰；

接收請求方發(fā)送的業(yè)務請求，所述業(yè)務請求中攜帶所述請求方的身份信息和簽名信息；

根據(jù)所述身份信息確定所述請求方對應的公鑰，使用所述請求方對應的公鑰驗證所述簽名信息，所述簽名信息由所述請求方的私鑰和業(yè)務請求數(shù)據(jù)生成，所述請求方對應的公鑰與所述私鑰配對；

若所述簽名信息驗證通過，根據(jù)所述策略數(shù)據(jù)，判定所述業(yè)務請求是否允許執(zhí)行；

在所述業(yè)務請求被允許的情況下，進行業(yè)務處理，并將所述業(yè)務處理的結(jié)果返回至所述請求方。

可選的，所述本地業(yè)務處理設(shè)備包括：業(yè)務處理模塊和鑒權(quán)模塊，所述向所述管理平臺發(fā)送用于更新應用信息和策略數(shù)據(jù)的更新請求包括：

所述業(yè)務處理模塊發(fā)送應用信息和策略數(shù)據(jù)的初始化請求至所述鑒權(quán)模塊；

所述鑒權(quán)模塊向所述管理平臺發(fā)送用于更新應用信息和策略數(shù)據(jù)的更新請求。

可選的，所述接收所述管理平臺返回的應用信息和策略數(shù)據(jù)并存儲包括：

所述鑒權(quán)模塊接收所述管理平臺返回的應用信息和策略數(shù)據(jù)，并更新本地存儲的應用信息和策略數(shù)據(jù)。

可選的，所述接收所述請求方發(fā)送的業(yè)務請求包括：

所述業(yè)務處理模塊接收所述請求方發(fā)送的業(yè)務請求。