本公开提供一种大数据服务单点登录方法、装置及存储介质,用于解决通过浏览器访问大数据服务用户权限隔离及使用不便的技术问题。本公开提供的技术方案将单点登录认证和客户/服务器模式的用户认证方式结合起来,针对从浏览器来的请求,通过过滤器过滤出来进行特殊处理,将单点登录认证服务生成的令牌传递到客户/服务器模式的用户认证插件中,客户/服务器模式的用户认证插件从令牌中提取用户身份信息后,以提取的用户身份访问指定服务。通过本公开技术方案,能够实现采用浏览器单点登录的情况下用户权限的隔离,同时也能够避免在多集群访问的场景下配置文件频繁修改切换的问题。群访问的场景下配置文件频繁修改切换的问题。群访问的场景下配置文件频繁修改切换的问题。
【技术实现步骤摘要】
一种大数据服务单点登录方法、装置及存储介质
[0001]本公开涉及通信及大数据
,尤其涉及一种大数据服务单点登录方法、装置及存储介质。
技术介绍
[0002]随着大数据技术的发展和广泛应用,大数据平台安全管控变得越来越重要。平台安全管控主要包含认证和授权两方面,生产场景通常使用Kerberos实现用户身份认证。
[0003]Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户端/服务器模式的应用程序提供强大的认证服务。Kerberos可用来在非安全网络中,对个人通信以安全的手段进行身份认证,只有通过身份认证的用户才可以访问集群环境。为了防止非法用户访问集群,往往会启用Kerberos。但是对集群访问安全起到保护作用的同时也引发了用户操作的复杂性。
[0004]Solr是一个开源的、独立的企业级搜索服务,基于HTTP和Apache Lucene实现。Solr提供了一个方便用户进行查询分析的管理用户接口Admin UI,默认情况下,用户可通过浏览器访问Admin UI管理用户接口界面。当启用Kerberos后,Admin UI的访问也受到了保护,用户必须安装配置Kerberos客户端、配置指定浏览器,才可进行访问。
[0005]然而,Kerberos客户端安装配置复杂,Kerberos客户端需与用户操作系统兼容,不同操作系统需要安装不同版本的客户端,客户端需要配置krb5.ini、hosts等配置文件,同时因为部分浏览器不支持,需要使用并配置特定浏览器。当用户需要通过指定的浏览器访问多个集群的Admin UI界面时,因为各个集群的配置文件不同,所以需要频繁修改客户端配置文件,容易出错,给用户的使用造成困难。
技术实现思路
[0006]有鉴于此,本公开提供一种大数据服务单点登录方法、装置及存储介质,用于解决通过浏览器访问大数据服务用户权限隔离及使用不便的技术问题。
[0007]图1为本公开提供的一种大数据服务单点登录方法的步骤流程图,该方法应用于用户请求访问的大数据服务所在的服务器,所述服务器安装有过滤器插件和客户端/服务器模式的用户认证插件,该方法包括:
[0008]步骤101.过滤器插件对浏览器发送的访问大数据服务的请求进行过滤,判断浏览器发送的请求中是否携带了令牌;
[0009]步骤102.当请求中未携带令牌时,过滤器插件将请求重定向到单点登录认证页面进行认证,在认证通过后请求将被再次重定向到过滤器插件,通过认证的请求中携带令牌;
[0010]步骤103.当请求中携带令牌时,过滤器插件对请求中携带的令牌进行有效性验证,若验证为有效,则将请求发送给客户/服务器模式的用户认证插件;
[0011]步骤104.客户/服务器模式的用户认证插件从过滤器插件转发的请求中携带的令牌中提取用户身份信息,将从令牌中提取的用户作为访问大数据服务认证用户。
[0012]基于本公开实施例的一方面,进一步地,所述方法还包括:
[0013]读取预设的配置信息,所述配置信息中包括过滤器类信息,所述过滤器类信息用于指示过滤器插件的程序位置及类名,所述大数据服务通过过滤器类信息实例化过滤器插件;
[0014]所述配置信息中还包括过滤器重定向地址,所述过滤器重定向地址用于在请求中未携带令牌的情况下,将请求重定向到该配置项指定的单点登录认证页面进行单点登录认证。
[0015]基于本公开实施例的一方面,进一步地,所述配置信息中还包括单点登录认证公钥,所述单点登录认证公钥用于与单点登录认证服务进行交互以及对请求中携带的令牌进行有效性验证。
[0016]基于本公开实施例的一方面,进一步地,所述对请求中携带的令牌进行有效性验证的内容包括:
[0017]使用所述单点登录认证公钥解密所述令牌;
[0018]当解密所述令牌成功后,进行以下一项或多项有效性验证:
[0019]验证所述令牌的状态是否有效;
[0020]验证所述令牌的有效期是否过期。
[0021]基于本公开实施例的一方面,进一步地,
[0022]所述单点登录认证服务为Knox网关;
[0023]所述客户/服务器模式的用户认证插件为Kerberos;
[0024]所述令牌为JSON格式的WEB令牌。
[0025]图2为本公开一实施例提供的一种大数据服务单点登录装置结构示意图,该装置200中的各功能模块可以采用软件、硬件或软硬件相结合的方式实现。当多个硬件设备共同实施本公开的技术方案时,由于各硬件设备之间相互协作的目的是共同实现本专利技术目的,一方的动作和处理结果确定了另一方的动作执行的时机及可能获得的结果,因此,可视为各执行主体之间具有相互协作关系,各执行主体之间具有相互指挥和控制关系。
[0026]该装置200应用于用户请求访问的大数据服务所在的服务器,所述服务器安装有过滤器插件210和客户端/服务器模式的用户认证插件220:
[0027]所述过滤器插件210包括:
[0028]过滤模块211,用于对浏览器发送的访问大数据服务的请求进行过滤,判断浏览器发送的请求中是否携带了令牌;
[0029]重定向模块212,用于当请求中未携带令牌时,将请求重定向到单点登录认证页面进行认证;所述请求在认证通过后被再次重定向到所述过滤器插件210,通过认证的请求中携带令牌;
[0030]有效性验证模块213,用于当请求中携带令牌时,对请求中携带的令牌进行有效性验证,若验证为有效,则将请求发送给客户/服务器模式的用户认证插件220;
[0031]客户/服务器模式的用户认证插件220用于从过滤器插件210转发的请求中携带的令牌中提取用户身份信息,将从令牌中提取的用户作为访问大数据服务认证用户。
[0032]进一步地,所述装置200还包括配置读取模块,该模块用于读取预设的配置信息,所述配置信息中包括过滤器类信息,所述过滤器类信息用于指示过滤器插件的程序位置及
类名,所述大数据服务通过过滤器类信息实例化过滤器插件;
[0033]所述配置信息中还包括过滤器重定向地址,所述过滤器重定向地址用于在请求中未携带令牌的情况下,将请求重定向到该配置项指定的单点登录认证页面进行单点登录认证;
[0034]所述配置信息中还包括单点登录认证公钥,所述单点登录认证公钥用于与单点登录认证服务进行交互以及对请求中携带的令牌进行有效性验证。
[0035]进一步地,有效性验证模块213对请求中携带的令牌进行有效性验证的内容包括:
[0036]使用所述单点登录认证公钥解密所述令牌;
[0037]当解密所述令牌成功后,进行以下一项或多项有效性验证:
[0038]验证所述令牌的状态是否有效;
[0039]验证所述令牌的有效期是否过期。
[0040]本公开提供的技术方案,将单点登录认证和客户/服务器模式的用户认证方式结合起来,针对从浏览器来的请求,通过过滤器过滤出来进行特本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种大数据服务单点登录方法,其特征在于,该方法应用于用户请求访问的大数据服务所在的服务器,所述服务器安装有过滤器插件和客户端/服务器模式的用户认证插件,该方法包括:过滤器插件对浏览器发送的访问大数据服务的请求进行过滤,判断浏览器发送的请求中是否携带了令牌;当请求中未携带令牌时,过滤器插件将请求重定向到单点登录认证页面进行认证,在认证通过后请求将被再次重定向到过滤器插件,通过认证的请求中携带令牌;当请求中携带令牌时,过滤器插件对请求中携带的令牌进行有效性验证,若验证为有效,则将请求发送给客户/服务器模式的用户认证插件;客户/服务器模式的用户认证插件从过滤器插件转发的请求中携带的令牌中提取用户身份信息,将从令牌中提取的用户作为访问大数据服务认证用户。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:读取预设的配置信息,所述配置信息中包括过滤器类信息,所述过滤器类信息用于指示过滤器插件的程序位置及类名,所述大数据服务通过过滤器类信息实例化过滤器插件;所述配置信息中还包括过滤器重定向地址,所述过滤器重定向地址用于在请求中未携带令牌的情况下,将请求重定向到该配置项指定的单点登录认证页面进行单点登录认证。3.根据权利要求2所述的方法,其特征在于,所述配置信息中还包括单点登录认证公钥,所述单点登录认证公钥用于与单点登录认证服务进行交互以及对请求中携带的令牌进行有效性验证。4.根据权利要求3所述的方法,其特征在于,所述对请求中携带的令牌进行有效性验证的内容包括:使用所述单点登录认证公钥解密所述令牌;当解密所述令牌成功后,进行以下一项或多项有效性验证:验证所述令牌的状态是否有效;验证所述令牌的有效期是否过期。5.根据权利要求4所述的方法,其特征在于,所述单点登录认证服务为Knox网关;所述客户/服务器模式的用户认证插件为Kerberos;所述令牌为JSON格式的WEB令牌。6.一种大数据服务单点登录装置,其特征在于,该装置应用于用户请求访问的大数据服务所在的服务器...
【专利技术属性】
技术研发人员:李长青,
申请(专利权)人:新华三大数据技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。