本發明涉及網關控制，提供一種基于統一網關的認證鑒權方法、裝置、設備及介質。本發明通過先判斷當前訪問客戶端所對應用戶是否為登錄用戶，使得可對登錄用戶與登錄用戶采取不同的認證方式；通過將認證服務與權限服務集成在統一網關中，并將不限類型的目標微服務與統一網關在同一配置中心進行配置，使得打通了不同類型的微服務與統一網關之間的信息交互壁壘；通過在當前訪問請求認證通過后生成包含訪問令牌的第二訪問請求，再基于統一網關對第二訪問請求進行鑒權，以過濾掉鑒權未通過的第二訪問請求，從而實現了基于統一網關對不同類型的微服務對應訪問請求的認證與鑒權。此外，本發明還涉及區塊鏈技術，訪問令牌可存儲于區塊鏈中。

技術領域

本發明涉及安全防護技術領域，尤其涉及一種基于統一網關的認證鑒權方法、裝置、設備及計算機可讀存儲介質。

背景技術

微服務是一種軟件開發技術，用于將應用程序構造為一組松散耦合的服務。采用微服務架構后業務應用由原來的單體結構拆分為多個細顆粒度的微服務組件，微服務組件之間訪問可以直接放行通過，但外部渠道訪問微服務不能直接放行，需要對渠道請求做認證與鑒權后再放行，在微服務網關上提供統一認證鑒權的功能，可以讓各個業務微組件專注于業務核心功能，也能讓業務系統的認證鑒權的過程實現集中管控。

例如SpringCloud微服務框架，提供Zuul-API網關，Zuul對外通過ZuulFilter攔截器實現對外部請求的返回控制，對內通過RoutingRibbon為業務微服務接口提供統一的訪問入口，Zuul可以做為微服務認證與鑒權的實現載體，但提供統一認證鑒權仍需要在Zuul的基礎功能之上做出設計優化，常規的微服務網關沒有統一的認證與鑒權機制，只能為單個系統或應用提供同類型服務，從而導致了現有的微服務網關認證鑒權的存在類型局限性的技術問題。

發明內容

本發明的主要目的在于提供一種基于統一網關的認證鑒權方法、裝置、設備及計算機可讀存儲介質，旨在解決現有的微服務網關認證鑒權的存在類型局限性的技術問題。

為實現上述目的，本發明提供一種基于統一網關的認證鑒權方法，所述基于統一網關的認證鑒權方法包括以下步驟：

在接收到客戶端對不限類型的目標微服務的第一訪問請求時，基于所述第一訪問請求得到客戶端的身份信息與當前域名；

在檢測到客戶端所對應用戶為登錄用戶時，基于集成有認證服務與權限服務的統一網關判斷所述身份信息是否滿足預設認證要求，其中，所述統一網關與所述目標微服務已在同一配置中心進行配置；

若所述身份信息滿足所述認證要求，則根據所述當前域名生成訪問令牌發送至客戶端，以供客戶端發出帶有訪問令牌的第二訪問請求；

基于所述統一網關判斷所述第二訪問請求是否具有所述目標微服務的訪問權限，并在所述第二訪問請求不具有所述目標微服務的訪問權限時，基于所述統一網關對所述第二訪問請求進行過濾。

可選地，所述基于所述統一網關判斷所述第二訪問請求是否具有所述目標微服務的訪問權限，并在所述第二訪問請求不具有所述目標微服務的訪問權限時，基于所述統一網關對所述第二訪問請求進行過濾的步驟包括：

根據預存在所述統一網關中的加密私鑰對所述訪問令牌進行校驗；

在檢測到校驗未通過時，判斷所述訪問令牌是否需要更新；

若所述訪問令牌不需要更新，則判定所述第二訪問請求不具有所述目標微服務的訪問權限，基于所述統一網關對所述第二訪問請求進行過濾。

可選地，所述判斷所述訪問令牌是否需要更新的步驟之后，還包括：

若所述訪問令牌需要更新，則生成包含有更新訪問令牌的返回消息，并在所述返回消息的頭部添加令牌更新標志；