一种认证方法、装置、终端及计算机可读存储介质制造方法及图纸

本发明专利技术提供的一种认证方法、装置、终端及计算机可读存储介质，该方法通过获取用户的HTTP请求；若HTTP请求所对应的本地会话不存在，则对用户进行身份认证，颁发认证令牌，颁发授权令牌，根据授权令牌所对应的业务权限，响应HTTP请求。本发明专利技术还提供了一种认证装置、终端及计算机可读存储介质，解决了现有相关技术中不能同时支持认证授权，系统集成复杂，用户体验度低的问题，达到了支持同时认证授权、支持负责业务的细粒度授权，解决系统集成的复杂性的问题，提升用户体验。

【技术实现步骤摘要】
一种认证方法、装置、终端及计算机可读存储介质
本专利技术实施例涉及但不限于电子设备
，具体而言，涉及但不限于一种认证方法、装置、终端及计算机可读存储介质。
技术介绍
5G云化网络，会包含EMS(ElementManagementSystem，网元管理系统)，VNFM(VirtualizationNetworkFunctionsManager，虚拟化网络功能管理)，NFVO(NetworkFunctionsVirtualizationOrchestrator，网络功能虚拟化编排)，VIM(VirtualizedInfrastructureManager，虚拟化基础设施管理)等多种系统，在5G网络中各种系统一般都会以服务/微服务化方式为用户提供服务，图1为3GPP核心网5G系统服务架构。为了适应微服务架构方式，身份认证和授权方案也在不断的变革。目前的认证授权主要思路为在网关处校验用户身份，一旦经过网关的身份认证，就认为该用户合法，并为其分配身份令牌，用户持有该身份令牌就可以进入各应用。在网关中可以粗粒度确定用户是否有访问某个应用的权限，但无法确定用户的业务权限。如果要做到配置应用权限，都是预置好的。目前的认证授权方案中只处理认证问题，不处理授权；如CAS(CentralAuthenticationService，集中认证服务)，SSO(SingleSignOn，单点登录)单点登录的实现框架。目前的认证授权方案授权简单，无法满足复杂业务需要；5G网络框架面对的大都是复杂业务，其权限模型一般都比较复杂。目前的实现技术存在1)授权信息简单，如oAuth2.0(OpenAuthority2.0，开放授权2.0)，只对用户的基本信息做授权，不处理用户关联业务；2)授权粒度粗，只对应用粒度授权或者只对应用中的服务；3)权限分配方式不灵活且使用不便，用户对于精细的权限配置需要经常需要修改配置文件，还需要重启服务。目前的认证授权方案不同服务基于的架构不一样，业务之间的授权复杂，系统间耦合紧，集成不便，没有对应的服务实现，各服务需要自己实现集成。
技术实现思路
本专利技术实施例提供的一种认证方法、装置、终端及计算机可读存储介质，主要解决的技术问题是目前的认证授权方案不能同时支持认证授权，系统集成复杂，用户体验度低。为解决上述技术问题，本专利技术实施例提供一种认证方法，应用于5G云化网络，包括：获取用户的HTTP请求；若所述HTTP请求所对应的本地会话不存在，则对所述用户进行身份认证；若身份认证成功，则为所述用户颁发认证令牌，所述认证令牌包含所述用户的身份信息和所述微服务的身份凭证；若所述认证令牌有效，则为所述用户颁发授权令牌，所述授权令牌包括所述用户的身份信息；根据所述授权令牌所对应的业务权限，响应所述HTTP请求。本专利技术实施例还提供了一种认证装置，应用于5G云化网络，所述认证装置包括：微服务模块，认证服务模块，授权服务模块，所述微服务模块包括安全边车代理模块和业务处理模块，其中：所述安全边车代理模块，用于获取用户的HTTP请求；所述认证服务模块，用于若所述HTTP请求所对应的本地会话不存在，则对所述用户进行身份认证；若身份认证成功，则为所述用户颁发认证令牌，所述认证令牌包含所述用户的身份信息和所述微服务的身份凭证；所述授权服务模块，用于若所述认证令牌有效，则为所述用户颁发授权令牌，所述授权令牌包括所述用户的身份信息；所述业务处理模块，用于根据所述授权令牌所对应的业务权限，响应所述HTTP请求。本专利技术实施例还提供一种终端，包括处理器、存储器及通信总线；所述通信总线用于实现处理器和存储器之间的连接通信；所述处理器用于执行存储器中存储的一个或者多个计算机程序，以实现上述任一项所述的认证方法的步骤。本专利技术实施例还提供一种计算机可读存储介质，所述可读存储介质存储有一个或者多个计算机程序，所述一个或者多个计算机程序可被一个或者多个处理器执行，以实现上述任一项所述的认证方法的步骤。本专利技术的有益效果是：本专利技术提供的一种认证方法、装置、终端及计算机可读存储介质，该方法通过获取用户的HTTP请求；若HTTP请求所对应的本地会话不存在，则对用户进行身份认证，颁发认证令牌，颁发授权令牌，根据授权令牌所对应的业务权限，响应HTTP请求。解决了现有相关技术中不能同时支持认证授权，系统集成复杂，用户体验度低的问题，达到了支持同时认证授权、支持负责业务的细粒度授权，解决系统集成的复杂性的问题，提升用户体验。本专利技术其他特征和相应的有益效果在说明书的后面部分进行阐述说明，且应当理解，至少部分有益效果从本专利技术说明书中的记载变的显而易见。附图说明图1为本专利技术
技术介绍
中现有3GPP核心网5G系统服务架构；图2为本专利技术实施例一的一种认证方法的流程示意图；图3为本专利技术实施例一的一种认证方法的具体实施例的流程示意图；图4为本专利技术实施例二的一种认证装置的结构示意图；图5为本专利技术实施例二的另一种认证装置的结构示意图；图6为本专利技术实施例二的另一种认证装置的结构示意图；图7为本专利技术实施例二的另一种认证装置的结构示意图；图8-1为本专利技术实施例三的一种认证方法中业务权限分配的流程示意图；图8-2为本专利技术实施例三的一种认证方法中认证过程的流程示意图；图9为本专利技术实施例四提供的终端的结构示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白，下面通过具体实施方式结合附图对本专利技术实施例作进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。实施例一：请参见图2，本实施例提供的一种认证方法包括：S201：获取用户的HTTP请求；S202：若HTTP请求所对应的本地会话不存在，则对用户进行身份认证；S203：若身份认证成功，则为用户颁发认证令牌；S204：若认证令牌有效，则为用户颁发授权令牌；S205：根据授权令牌所对应的业务权限，响应HTTP请求。在一些实施例中，本专利技术实施例的认证方法应用于5G云化网络，该方法结合ServiceMesh((服务网格))思想，采用边车模式，通过提出一种5G微服务开发框架下，可以为各服务/微服务提供的统一认证，同时支持不同业务不同系统的细粒度的安全授权方案，使用边车代理来实现认证授权控制面功能，把安全边车代理集成到微服务开发框架方式，让不同服务的开发者只通过简单的资源模型配置就可以实现其复杂的权限管理，聚焦于自身业务的开发，简化服务化平台安全开发方式，为5G网络提供统一的服务化认证授权方案。边车模式。分布式架构下云设计模式的一种，因为类似于生活中的边三轮摩托车而得名。该设计模式通过给应用程序加上一个边车的方式来拓展应用程序现有功能，比如监控，流量控制、服务发现、服务限流、服务熔断等在业务服务中不需要实现的控制面功能，本文档来自技高网...

【技术保护点】
1.一种认证方法，应用于5G云化网络，其特征在于，包括：/n获取用户的HTTP请求；/n若所述HTTP请求所对应的本地会话不存在，则对所述用户进行身份认证；/n若身份认证成功，则为所述用户颁发认证令牌，所述认证令牌包含所述用户的身份信息和所述微服务的身份凭证；/n若所述认证令牌有效，则为所述用户颁发授权令牌，所述授权令牌包括所述用户的身份信息；/n根据所述授权令牌所对应的业务权限，响应所述HTTP请求。/n

【技术特征摘要】
1.一种认证方法，应用于5G云化网络，其特征在于，包括：
获取用户的HTTP请求；
若所述HTTP请求所对应的本地会话不存在，则对所述用户进行身份认证；
若身份认证成功，则为所述用户颁发认证令牌，所述认证令牌包含所述用户的身份信息和所述微服务的身份凭证；
若所述认证令牌有效，则为所述用户颁发授权令牌，所述授权令牌包括所述用户的身份信息；
根据所述授权令牌所对应的业务权限，响应所述HTTP请求。


2.如权利要求1所述的认证方法，其特征在于，所述若所述HTTP请求所对应的本地会话不存在，则对所述用户进行身份认证包括：
获取所述用户的全局身份令牌，所述全局身份令牌是所述用户在微服务框架中的全局身份令牌；
若所述全局身份令牌有效，则颁发所述认证令牌。


3.如权利要求1所述的认证方法，其特征在于，所述若所述HTTP请求所对应的本地会话不存在，则对所述用户进行身份认证包括：
获取所述用户的全局身份令牌，所述全局身份令牌是所述用户在微服务框架中的全局身份令牌；
若所述全局身份令牌无效或获取不到所述全局身份令牌，则获取所述用户的身份凭证信息，根据所述身份凭证信息进行身份凭证校验；
若校验通过，则颁发所述全局身份令牌和所述认证令牌。


4.如权利要求1所述的认证方法，其特征在于，所述若身份认证成功，则获取所述用户的认证令牌，所述认证令牌包含所述用户的身份信息和所述微服务的身份凭证之后还包括：
若所述认证令牌无效，则所述用户的身份不合法。


5.如权利要求1所述的认证方法，其特征在于，所述根据所述授权令牌所对应的业务权限，响应所述HTTP请求包括：
获取所述HTTP请求所对应的请求权限；
若所述授权令牌有效，则获取所述授权令牌所对应的授权权限；
若所述授权权限包括全部所述请求权限，则响应所述HTTP请求。


6.如权利要求1所述的认证方法，其特征在于，所述根据所述授权令牌所对应的业务权限，响应所述HTTP请求包括：
获取所述HTTP请求所对应的请求权限；
若所述授权令牌有效，则获取所述授权令牌所对应的授权权限；
若所述授权权限包括部分所述请求权限，则响应所述请求权限与所述授权权限一致的部分内容。


7.如权利要求1所述的认证方法，其特征在于，所述若所述认证令牌有效，则为所述用户颁发授权令牌，所述授权令牌包括所述用户的身份信息之后，还包括：
若所述授权令牌无效，则重新进行身份认证。


8.如权利要求1-7任一项所述的认证方法，其特征在于，所述对所述用户进行身份认证包括：
本地服务器对所述用户进行身份认证；
或，
第三方认证服务器对所述用户进行身份认证。


9.如权利要求1-7任一项所述的认证方法，其特征在于，所述获取用户的HTTP请求之前还包括：
在环境中部署授权服务；
在微服务中部署权限模型，所述权限模型文件为业务微服务根据权限模型格式定义，所述权限模型格式由所述授权服务定义；
微服务启动时，安全边车代理解析并加载所述权限模型并向所述授权服务发送所述权限模型的注册请求，所述安全边车代理作为独立的进程部署于所述微服务内；
所述授权服务将所述注册请求转换为可识别的权限定义，并将所述权项定义发送给安全管理员；
所述安全管理员配置并为所述用户分配权限。


10.如权利要求1-7所述的认证方法，其特征在于，所述所述授权服务将所述注册请求转换为可识别的权限定义包括：
所述授权服务将所述注册请求通过树状结构组织起来，转换为安全管理员可识别的权限定义。


11.如权利要求1-7所述的认证方法，其特征在于，若所述HTTP请求所对应的本地会话存在，则响应所述HTTP请求。


12.一种认证装置，应用于5G云化网络，其特征在于，所述认证装置包括：微服务模块，认证服务模块，授...

【专利技术属性】
技术研发人员：孙向东，全锐，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东;44