本發(fā)明涉及通信，具體說(shuō)是一種基于白名單的鑒權(quán)管理系統(tǒng)。

背景技術(shù)：

1、網(wǎng)關(guān)技術(shù)作為網(wǎng)絡(luò)通信的核心組件，扮演著流量分發(fā)、安全控制和協(xié)議轉(zhuǎn)換的角色。在現(xiàn)代網(wǎng)絡(luò)架構(gòu)中，網(wǎng)關(guān)通常負(fù)責(zé)處理來(lái)自不同客戶端的請(qǐng)求，并根據(jù)預(yù)設(shè)的安全策略進(jìn)行鑒權(quán)，以確保只有合法的請(qǐng)求能夠訪問(wèn)后端服務(wù)。鑒權(quán)機(jī)制是網(wǎng)絡(luò)安全的關(guān)鍵部分，它通過(guò)驗(yàn)證用戶的身份來(lái)防止未授權(quán)訪問(wèn)。白名單是一種常見(jiàn)的安全措施，它定義了一組被信任的實(shí)體，如ip地址或域名，這些實(shí)體被允許繞過(guò)常規(guī)的安全檢查。

2、隨著業(yè)務(wù)的擴(kuò)展和應(yīng)用服務(wù)的增多，網(wǎng)關(guān)需要管理的白名單地址數(shù)量急劇增加，這導(dǎo)致了配置管理的復(fù)雜性。在面對(duì)成百上千個(gè)服務(wù)的白名單配置時(shí)，傳統(tǒng)的管理方法不僅效率低下，而且容易出錯(cuò)，增加了維護(hù)成本和風(fēng)險(xiǎn)。此外，內(nèi)網(wǎng)訪問(wèn)控制的需要也提出了新的挑戰(zhàn)，因?yàn)閮?nèi)網(wǎng)訪問(wèn)通常需要更快速和更直接的處理方式，以避免影響內(nèi)部通信的效率。

3、現(xiàn)有網(wǎng)關(guān)采用的白名單技術(shù)及配置管理方式，存在以下不足之處：

4、一是白名單管理復(fù)雜性過(guò)高，特別是對(duì)于擁有大量應(yīng)用服務(wù)的系統(tǒng)，如何高效地管理成百上千個(gè)服務(wù)的白名單地址，減少管理成本并降低錯(cuò)誤風(fēng)險(xiǎn)，成為了一個(gè)嚴(yán)峻的挑戰(zhàn)。

5、二是內(nèi)網(wǎng)訪問(wèn)鑒權(quán)處理機(jī)制不完善，內(nèi)網(wǎng)訪問(wèn)通常被認(rèn)為是安全的，但在某些場(chǎng)景下仍需要對(duì)內(nèi)網(wǎng)訪問(wèn)進(jìn)行精細(xì)控制，以防止?jié)撛诘陌踩{。

6、三是配置動(dòng)態(tài)性不足，傳統(tǒng)的配置管理方式在配置變更時(shí)往往需要重啟服務(wù)，這不僅增加了操作復(fù)雜性，還可能導(dǎo)致服務(wù)中斷，影響用戶體驗(yàn)和業(yè)務(wù)連續(xù)性。

7、四是配置效率和靈活性亟待提升，隨著業(yè)務(wù)需求的不斷變化，白名單配置也需要頻繁調(diào)整，如何實(shí)現(xiàn)配置的快速更新和靈活調(diào)整，以更好地適應(yīng)業(yè)務(wù)需求的變化，是當(dāng)前亟待解決的技術(shù)問(wèn)題。

8、公開(kāi)于該背景技術(shù)部分的信息僅僅旨在加深對(duì)本發(fā)明的總體背景技術(shù)的理解，而不應(yīng)當(dāng)被視為承認(rèn)或以任何形式暗示該信息構(gòu)成已為本領(lǐng)域技術(shù)人員所公知的現(xiàn)有技術(shù)。

技術(shù)實(shí)現(xiàn)思路

1、針對(duì)現(xiàn)有技術(shù)中存在的缺陷，本發(fā)明的目的在于提供一種基于白名單的鑒權(quán)管理系統(tǒng)，通過(guò)優(yōu)化白名單配置管理方式及流程，不僅提升了維護(hù)效率，還減少了因配置錯(cuò)誤或服務(wù)重啟導(dǎo)致的潛在風(fēng)險(xiǎn)，從而增強(qiáng)了整個(gè)系統(tǒng)的穩(wěn)定性和可靠性。

2、為達(dá)到以上目的，本發(fā)明采取的技術(shù)方案是：

3、一種基于白名單的鑒權(quán)管理系統(tǒng)，其特征在于，包括：

4、鑒權(quán)請(qǐng)求解析模塊，用于接收鑒權(quán)請(qǐng)求，并根據(jù)預(yù)設(shè)分類規(guī)則從鑒權(quán)請(qǐng)求中獲取第一關(guān)鍵字及第二關(guān)鍵字；

5、白名單配置管理模塊，用于白名單配置管理，包括白名單分組、白名單配置信息的存儲(chǔ)及讀取；

6、基于第一關(guān)鍵字，白名單配置管理模塊對(duì)發(fā)起鑒權(quán)請(qǐng)求的應(yīng)用服務(wù)進(jìn)行節(jié)點(diǎn)分類，為各應(yīng)用服務(wù)創(chuàng)建對(duì)應(yīng)的專屬白名單配置管理節(jié)點(diǎn)，為所述白名單配置管理節(jié)點(diǎn)分配至少一條白名單配置信息；

7、在初始化或動(dòng)態(tài)更新時(shí)，白名單配置管理模塊獲取白名單配置信息后將信息加載到緩存中；

8、鑒權(quán)與轉(zhuǎn)發(fā)模塊，讀取緩存中的白名單配置信息并基于第二關(guān)鍵字對(duì)鑒權(quán)請(qǐng)求進(jìn)行鑒權(quán)，確定鑒權(quán)請(qǐng)求的轉(zhuǎn)發(fā)路由信息。

9、在上述技術(shù)方案的基礎(chǔ)上，預(yù)設(shè)分類規(guī)則為以下任意之一，或按優(yōu)先級(jí)為以下至少兩條預(yù)設(shè)分類規(guī)則的組合形成的混合粒度分組規(guī)則：

10、根據(jù)請(qǐng)求路徑的首路徑將白名單分組；

11、根據(jù)應(yīng)用服務(wù)的類型將白名單分組；

12、根據(jù)客戶端ip地址的范圍將白名單分組；

13、根據(jù)用戶賬號(hào)將白名單分組；

14、根據(jù)用戶賬號(hào)的訪問(wèn)權(quán)限將白名單分組；

15、根據(jù)業(yè)務(wù)場(chǎng)景將白名單分組；

16、根據(jù)指定的http頭信息將白名單分組；

17、根據(jù)請(qǐng)求參數(shù)將白名單分組。

18、在上述技術(shù)方案的基礎(chǔ)上，白名單配置信息存儲(chǔ)在nacos配置管理和服務(wù)管理平臺(tái)；

19、nacos配置管理和服務(wù)管理平臺(tái)提供配置管理列表維護(hù)已發(fā)布的各條白名單配置信息；

20、nacos配置管理和服務(wù)管理平臺(tái)提供訂閱白名單配置信息的訂閱接口，通過(guò)訂閱接口動(dòng)態(tài)的獲取最新的白名單配置信息。

21、在上述技術(shù)方案的基礎(chǔ)上，還包括：

22、轉(zhuǎn)發(fā)控制器，若第二關(guān)鍵字與白名單配置信息匹配，則透?jìng)骰蛑苯愚D(zhuǎn)發(fā)該鑒權(quán)請(qǐng)求；若第二關(guān)鍵字與白名單配置信息不匹配，則拒絕請(qǐng)求或進(jìn)行其他鑒權(quán)流程。

23、在上述技術(shù)方案的基礎(chǔ)上，還包括：

24、內(nèi)網(wǎng)訪問(wèn)控制模塊，根據(jù)客戶端ip地址的范圍專門處理內(nèi)網(wǎng)訪問(wèn)請(qǐng)求，根據(jù)白名單配置信息中的內(nèi)網(wǎng)適配標(biāo)識(shí)獲取適用于內(nèi)網(wǎng)應(yīng)用場(chǎng)景的白名單配置信息，對(duì)鑒權(quán)請(qǐng)求進(jìn)行鑒權(quán)，確定鑒權(quán)請(qǐng)求的轉(zhuǎn)發(fā)路由信息。

25、在上述技術(shù)方案的基礎(chǔ)上，還包括：

26、動(dòng)態(tài)配置刷新模塊，負(fù)責(zé)監(jiān)聽(tīng)白名單配置信息的變更，存在變更時(shí)則向白名單配置管理模塊發(fā)起動(dòng)態(tài)更新請(qǐng)求，并將最新的白名單配置信息發(fā)給白名單配置管理模塊。

27、在上述技術(shù)方案的基礎(chǔ)上，動(dòng)態(tài)配置刷新模塊通過(guò)訂閱變更通知實(shí)時(shí)監(jiān)聽(tīng)白名單配置信息的變更。

28、在上述技術(shù)方案的基礎(chǔ)上，還包括：

29、配置更新同步器，用于維護(hù)一個(gè)配置緩存路由列表，當(dāng)白名單配置管理模塊將白名單配置信息加載到緩存中后，根據(jù)緩存成功反饋，向配置緩存路由列表中保存一個(gè)配置節(jié)點(diǎn)路由，并從配置更新同步器獲取唯一標(biāo)識(shí)id；

30、向白名單配置管理模塊發(fā)起動(dòng)態(tài)更新請(qǐng)求時(shí)，配置更新同步器將動(dòng)態(tài)更新請(qǐng)求同步給各個(gè)配置節(jié)點(diǎn)路由，直至全部配置節(jié)點(diǎn)路由均反饋更新完成。

31、本發(fā)明所述的一種基于白名單的鑒權(quán)管理系統(tǒng)，具有以下有益效果：

32、1、對(duì)白名單進(jìn)行了分組規(guī)范管理，在維護(hù)白名單時(shí)可以在海量配置中最快找到自己所需要的維護(hù)的配置，大大降低了白名單維護(hù)的成本，降低了維護(hù)帶來(lái)的風(fēng)險(xiǎn)；

33、2、通過(guò)在線刷新功能，可以在不用重啟服務(wù)的情況下隨時(shí)維護(hù)白名單，提高了配置效率，避免了服務(wù)重啟帶來(lái)的服務(wù)中斷的情況。

34、本發(fā)明所述的一種基于白名單的鑒權(quán)管理系統(tǒng)，通過(guò)實(shí)施分組規(guī)范管理和在線刷新功能，顯著提升了白名單配置的維護(hù)效率和系統(tǒng)的安全性，使得在面對(duì)大量配置時(shí)能夠快速定位并維護(hù)所需配置，有效降低了維護(hù)成本和因配置錯(cuò)誤帶來(lái)的風(fēng)險(xiǎn)；同時(shí)，白名單的實(shí)時(shí)更新能力確保了服務(wù)的連續(xù)性和響應(yīng)速度，避免了因服務(wù)重啟導(dǎo)致的中斷，從而提高了整體系統(tǒng)的穩(wěn)定性和可靠性。

技術(shù)特征：

1.一種基于白名單的鑒權(quán)管理系統(tǒng)，其特征在于，包括：

2.如權(quán)利要求1所述的一種基于白名單的鑒權(quán)管理系統(tǒng)，其特征在于，預(yù)設(shè)分類規(guī)則為以下任意之一，或按優(yōu)先級(jí)為以下至少兩條預(yù)設(shè)分類規(guī)則的組合形成的混合粒度分組規(guī)則：

3.如權(quán)利要求1所述的一種基于白名單的鑒權(quán)管理系統(tǒng)，其特征在于，白名單配置信息存儲(chǔ)在nacos配置管理和服務(wù)管理平臺(tái)；

4.如權(quán)利要求1所述的一種基于白名單的鑒權(quán)管理系統(tǒng)，其特征在于，還包括：

5.如權(quán)利要求1所述的一種基于白名單的鑒權(quán)管理系統(tǒng)，其特征在于，還包括：

6.如權(quán)利要求1所述的一種基于白名單的鑒權(quán)管理系統(tǒng)，其特征在于，還包括：

7.如權(quán)利要求6所述的一種基于白名單的鑒權(quán)管理系統(tǒng)，其特征在于，動(dòng)態(tài)配置刷新模塊通過(guò)訂閱變更通知實(shí)時(shí)監(jiān)聽(tīng)白名單配置信息的變更。

8.如權(quán)利要求1所述的一種基于白名單的鑒權(quán)管理系統(tǒng)，其特征在于，還包括：

技術(shù)總結(jié)
本發(fā)明涉及一種基于白名單的鑒權(quán)管理系統(tǒng)，包括：鑒權(quán)請(qǐng)求解析模塊，用于從鑒權(quán)請(qǐng)求中獲取第一關(guān)鍵字及第二關(guān)鍵字；白名單配置管理模塊，用于白名單分組；基于第一關(guān)鍵字對(duì)發(fā)起鑒權(quán)請(qǐng)求的應(yīng)用服務(wù)進(jìn)行節(jié)點(diǎn)分類，為各應(yīng)用服務(wù)創(chuàng)建對(duì)應(yīng)的專屬白名單配置管理節(jié)點(diǎn)，并分配至少一條白名單配置信息；在初始化或動(dòng)態(tài)更新時(shí)，白名單配置管理模塊獲取白名單配置信息后加載到緩存中；鑒權(quán)與轉(zhuǎn)發(fā)模塊，讀取緩存中的白名單配置信息并基于第二關(guān)鍵字對(duì)鑒權(quán)請(qǐng)求進(jìn)行鑒權(quán)，確定鑒權(quán)請(qǐng)求的轉(zhuǎn)發(fā)路由信息。本發(fā)明，通過(guò)優(yōu)化白名單配置管理方式及流程，不僅提升了維護(hù)效率，還減少了因配置錯(cuò)誤或服務(wù)重啟導(dǎo)致的潛在風(fēng)險(xiǎn)，從而增強(qiáng)了整個(gè)系統(tǒng)的穩(wěn)定性和可靠性。

技術(shù)研發(fā)人員：楊琦,蓋天宇,崔冬賢,劉山國(guó),劉輝,尹志剛,盧述奇,何畏
受保護(hù)的技術(shù)使用者：同福集團(tuán)股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/23