网关授权接入与对外开放服务的方法、装置及存储介质

摘要

本发明公开了网关授权接入与对外开放服务的方法、装置及存储介质，其中方法包括：接收服务访问请求，服务访问请求包括用户ID；根据接入的服务访问请求，使用生成的token发起restful接口的调用，以对服务访问请求进行验证；根据接入的服务访问请求，使用生成的防重放机构以对服务访问请求进行验证。通过本发明对H5授权都采用路由监控访问地址的方式，或通过一个Token的方式进行验证，结合路由以及Token进行验证，同时采用防重放子流程进行验证，可以有效防止采用虚假数据欺骗系统的目的；通过对每个请求访问进行Token的验证后，网关会根据预设的服务API服务访问请求的服务ID，找到相对应的资源，然后重导向跳转，有效防止记录有效地址进行恶意攻击。

说明书

技术领域

本发明涉及通信技术，具体是一种网关授权接入与对外开放服务的方法、装置及存储介质。

背景技术

服务开放平台是金赋科技自主研发的集资源分发、数据统筹分析能力于一体的开放性平台。它面向各资源受众，可供政府部门、服务提供商、服务开发商、自主研发团队等多方面受众，以中台的概念，打造服务能力集约式管理，开放式服务的服务能力平台。

服务开放平台通过设立接口、H5服务等各种服务交互的统一规范，基于统一的服务开放门户，提供服务提供上传、现有服务资源库的搜索、服务申请等功能，多方位集合各渠道的能力资源服务，用户按需申请并快速调用各项服务，实现服务交互共享。

平台实时对服务使用进行监控统计，及时获取资源的使用情况，并对服务或调用异常进行预警，保证服务质量。另外提供使用服务的终端情况监控统计功能，收集终端服务调用及业务使用数据，通过可视化界面进行数据分析展示，从而打造既能提供服务资源实现共享、又能监控服务及业务质量及统筹数据分析的全方位服务开放平台。

发明内容

为了克服现有技术方案的不足，本发明提供一种网关授权接入与对外开放服务的方法、装置及存储介质。

本发明解决其技术问题所采用的技术方案是：

网关授权接入与对外开放服务的方法，所述方法包括：

接收服务访问请求，所述服务访问请求包括用户ID；

根据接入的服务访问请求，使用生成的token发起restful接口的调用，以对服务访问请求进行验证；

根据接入的服务访问请求，使用生成的防重放机构以对服务访问请求进行验证。

作为本发明一种优选的技术方案,步骤中使用生成的token包括：

基于获得的用户ID，生成并存储Token，并将该Token返回给用户，所述Token至少包含用户的业务办理信息；

身份验证步骤，获取待验证用户ID的Token并且基于业务办理信息判断待验证用户ID的Token是否与预先存储的所述验证信息匹配，在两者匹配的情况下判断为用户身份验证成功。

作为本发明一种优选的技术方案,在获取待验证用户ID的Token之后，还包括：

对token进行解密，以获取头文件中传递的时间戳，并对加密串其进行AES的解密，将解密后的加密串与时间戳进行对比；

二者相同时，则验证通过，让该请求正常访问并返回业务数据，否则拒绝该请求的访问。

作为本发明一种优选的技术方案,还包括对token的有效期进行校验，以生成transactionid；

token的有效期进行校验包括在解密后的Token有效期内时，检测微服务数据库中是否存在与解密后的第一身份信息匹配的第二身份信息；

若检测到所述微服务数据库中存在与解密后的第一身份信息匹配的第二身份信息，则对所述目标微服务进行注册，并针对所述注册请求向所述目标微服务返回注册完成响应。

作为本发明一种优选的技术方案,生成transactionid之后，还包括：

发起接口权限的校验子流程，并检测是否存在redis缓存；

如果存在redis缓存，则发起业务接口的调用；如果不存在redis缓存，则从数据库中查询是否存在redis缓存，如果数据库中存在redis缓存，则发起业务接口的调用。

作为本发明一种优选的技术方案,检测是否存在redis缓存之后，还包括：

启动日志系统，以发起日志采集分析；

Logstash日志收集持久化es数据存储，并生产redis实时数据，其中kibana查询监控对es数据存储预先检索；

前端经过网关分析es数据存储的统计服务，以查询到redis实时数据。

本发明还提供了网关授权接入与对外开放服务的装置，所述装置包括：

接收模块，所述接收模块接收服务访问请求，所述服务访问请求包括用户ID；

第一验证模块，所述第一验证模块根据接入的服务访问请求，使用生成的token发起restful接口的调用，以对服务访问请求进行验证；

第二验证模块，所述第二验证模块根据接入的服务访问请求，使用生成的防重放机构以对服务访问请求进行验证。

一种计算机可读的存储介质所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述自动更新传输数据大小的优化方法。

与现有技术相比，本发明的有益效果是：

1.以往对H5授权都采用路由监控访问地址的方式，或通过一个Token的方式进行验证，该专利结合路由以及Token进行验证，同时采用防重放子流程进行验证，可以有效防止采用虚假数据欺骗系统的目的。

2.通过对每个请求访问进行Token的验证后，网关会根据预设的服务API服务访问请求的服务ID，找到相对应的资源，然后重导向跳转，有效防止记录有效地址进行恶意攻击。

附图说明

图1是本发明实施例的网关授权接入与对外开放服务的方法的流程示意图。

图2是本发明实施例的日志采集分析的流程示意图。

图3是本发明实施例的网关授权接入与对外开放服务的装置的流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供了一种网关授权接入与对外开放服务的方法、装置及存储介质，主要实现有效防止采用虚假数据欺骗系统的目的，还有记录有效地址进行恶意攻击，根据附图1-2中所示，其中方法包括：

接收服务访问请求，服务访问请求包括用户ID，而本实施例是由服务终端来接收服务访问请求。服务器可以是提供各种数据服务的服务器，服务器上可设置有管理平台(主要是后台)，可通过自助服务终端获取服务器通过网络输入的数据信息。服务器还可以为业务服务终端设备所提供的消息进行数据储存处理的后台服务器。当然，服务器可以是一个实体的服务器，还可例如为多个服务器组成，服务器中的一部分可对消息队列进行存储。

根据接入的服务访问请求，使用生成的token发起restful接口的调用，以对服务访问请求进行验证；

在步骤中使用生成的token包括：

基于获得的用户ID，生成并存储Token，并将该Token返回给用户，所述Token至少包含用户的业务办理信息；

身份验证步骤，获取待验证用户ID的Token并且基于业务办理信息判断待验证用户ID的Token是否与预先存储的所述验证信息匹配，在两者匹配的情况下判断为用户身份验证成功。

在获取待验证用户ID的Token之后，还包括：

对token进行解密，以获取头文件中传递的时间戳，并对加密串其进行AES的解密，将解密后的加密串与时间戳进行对比；

二者相同时，则验证通过，让该请求正常访问并返回业务数据，否则拒绝该请求的访问。

使用AES加密技术，配合用户Token进行请求的加密，使得每个网络请求均被加密，即使用户Token被拦截，亦无法被复用，通过该技术后，如用户Token被第三方获取，第三方使用Token进行任何系统的服务接口操作，亦无法绕过辅助加密，使得用户Token的安全性得到极大的提高。

对token的有效期进行校验，以生成transactionid；

token的有效期进行校验包括在解密后的Token有效期内时，检测微服务数据库中是否存在与解密后的第一身份信息匹配的第二身份信息；

若检测到所述微服务数据库中存在与解密后的第一身份信息匹配的第二身份信息，则对所述目标微服务进行注册，并针对所述注册请求向所述目标微服务返回注册完成响应。

本实施例中所涉及的服务器可以为微服务注册中心eureka。目标微服务在向注册服务器(如eureka)发送注册请求之前，目标微服务可以获取该目标微服务自身的第一身份信息，比如网际协议地址 (Internet Protocol Address，简称IP地址)、端口号、微服务名称或微服务标识等，并可以获取预设的用于加密的密钥文件。因为生成令牌Token的时间很短，所以可以直接在生成Token的过程中预设一个有效期作为Token有效期。目标微服务可以基于用于加密的第一密钥文件对该第一身份 信息以及预设的Token有效期进行加密(签名)，并可以根据加密后的第一身份信息以及该 Token有效期生成该目标微服务的Token。目标微服务在生成Token之后，可以向注册服务器发送注册请求，该注册请求中可以携带该目标微服务的Token，该Token中可以包括加密后 的第一身份信息和Token有效期。注册服务器接收该目标微服务发送的注册请求。其中，本 申请实施例所涉及的目标微服务可以为任一未注册的微服务。该注册请求可以用于请求将 该目标微服务注册到该注册服务器上。所有在注册服务器上注册的微服务之间可以相互通信。

服务器通过接收目标微服务发送的注册请求，该注册请求中包括该目标微服务的令牌Token，Token中包括加密后的第一身份信息和Token有效期， 再对该注册请求中的Token进行解密，获得解密后的第一身份信息以及Token有效期，当接收到该注册请求的时间在该Token有效期内时，检测微服务数据库中是否存在与解密后的第一身份信息匹配的第二身份信息，当检测到该微服务数据库中存在与解密后的第一身份 信息匹配的第二身份信息时，对该目标微服务进行注册，并针对该注册请求向该目标微服务返回注册完成响应，可以防止不合法的微服务注册到注册服务器，提高注册服务器的安全性。

生成transactionid之后，还包括：

发起接口权限的校验子流程，并检测是否存在redis缓存；

如果存在redis缓存，则发起业务接口的调用；如果不存在redis缓存，则从数据库中查询是否存在redis缓存，如果数据库中存在redis缓存，则发起业务接口的调用。

检测是否存在redis缓存之后，还包括：

启动日志系统，以发起日志采集分析；

Logstash日志收集持久化es数据存储，并生产redis实时数据，其中kibana查询监控对es数据存储预先检索；

前端经过网关分析es数据存储的统计服务，以查询到redis实时数据。

根据接入的服务访问请求，使用生成的防重放机构以对服务访问请求进行验证，防重放机构是使用timestamp和nonce来做的重放机制。timestamp用来表示请求的当前时间戳，这个时间戳当然要和服务器时间戳进行校正过的。我们预期正常请求带的timestamp参数会是不同的（预期是正常的人每秒至多只会做一个操作）。每个请求带的时间戳不能和当前时间超过一定规定的时间。比如在60s，这个请求即使被截取了，只能在60s内进行重放攻击，过期失效，因此需要使用一个nonce，nonce是由客户端根据足够随机的情况生成的，比如 md5(timestamp+rand(0, 1000))；但前提有一个要求，正常情况下，在短时间内（比如60s）连续生成两个相同nonce的情况几乎为0。

与现有技术相比，本发明可实现：

1.以往对H5授权都采用路由监控访问地址的方式，或通过一个Token的方式进行验证，该专利结合路由以及Token进行验证，同时采用防重放子流程进行验证，可以有效防止采用虚假数据欺骗系统的目的。

2.通过对每个请求访问进行Token的验证后，网关会根据预设的服务API服务访问请求的服务ID，找到相对应的资源，然后重导向跳转，有效防止记录有效地址进行恶意攻击。

与上述的网关授权接入与对外开放服务的方法相对应，本发明还提供了一种网关授权接入与对外开放服务的装置，根据附图3中所示，具体结构包括：

接收模块，接收模块接收服务访问请求，所述服务访问请求包括用户ID；

第一验证模块，第一验证模块根据接入的服务访问请求，使用生成的token发起restful接口的调用，以对服务访问请求进行验证；

第二验证模块，第二验证模块根据接入的服务访问请求，使用生成的防重放机构以对服务访问请求进行验证。

由于本公开的示例实施例的一种网关授权接入与对外开放服务的装置各个功能模块与上述的一种网关授权接入与对外开放服务的方法的示例实施例的步骤对应，因此对于本公开装置实施例中未披露的细节，请参照本发明公开上述的一种自动更新传输数据大小的优化方法的实施例。

描述于本发明实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

作为另一方面，本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现如上述实施例中所述的网关授权接入与对外开放服务的方法。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。