(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211098463.7 (22)申请日 2022.09.09 (65)同一申请的已公布的文献号 申请公布号 CN 115208693 A (43)申请公布日 2022.10.18 (73)专利权人 中国电子科技 集团公司第十五研 究所 地址 100083 北京市海淀区北四环中路21 1 号 (72)发明人 张子晔　王燕　梁辰　李倩　 (74)专利代理 机构 北京惟专知识产权代理事务 所(普通合伙) 16074 专利代理师 赵星 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/51(2022.01)(56)对比文件 CN 110069941 A,2019.07.3 0 CN 114143069 A,202 2.03.04 CN 110781476 A,2020.02.1 1 CN 114826749 A,202 2.07.29 CN 109981716 A,2019.07.0 5 CN 108306877 A,2018.07.20 CN 106790001 A,2017.0 5.31 CN 109583152 A,2019.04.0 5 US 20191025 67 A1,2019.04.04 CN 114692172 A,202 2.07.01 CN 112560014 A,2021.0 3.26 CN 111600899 A,2020.08.28 沙鋆杰.基 于RBAC模型的云计算平台访问控 制系统设计 研究. 《信息与电脑》 .2017, 审查员 孙志飞 (54)发明名称 一种基于微服务的安全访问控制方法及装 置 (57)摘要 本发明公开一种基于微服务的安全访问控 制方法及装置， 还公开一种电子设备及一种非暂 态计算机可读存储介质， 涉及数据访问技术领 域， 该方法包括： 基于用户信息获取用户针对不 同微服务的访问角色， 并基于访问角色获取用户 针对不同微服务拥有的访问权限； 基于访问权限 分别响应用户针对不同微服务的访问动作;微服 务携带有效访问时间段， 在有效访问时间段内， 微服务可被执行访问动作； 否则， 微服务无法被 执行访问动作。 本发明提供的基于微服务的安全 访问控制方法及装置， 使用户摆脱了针对某一程 序上不同进程只能拥有单一访问权限的限制， 实 现了同一用户在不同进程上的独立访问与数据 获取， 提高了访问效率和访问安全度。 权利要求书1页 说明书8页 附图7页 CN 115208693 B 2022.12.20 CN 115208693 B 1.一种基于微 服务的安全访问控制方法， 应用于 外部系统， 其特 征在于， 包括： 当应用于单一 微服务时， 接收用户发来的post请求； 读取url中的服 务代码和请求体中的用户信息； 验证所述服务代码、 所述用户信息是否与预设信息匹配， 若 匹配， 则允许所述用户对所 述微服务执行访问动作； 若不匹配， 则反馈匹配失败； 所述方法还 包括： 当应用于多个微 服务时， 基于用户信 息获取用户针对微服务组 的访问权限， 所述微服务组为将多个所述微服务 按预设顺序组合而成， 当所述访问权限不存在时， 反馈所述 微服务组访问失败； 当所述访 问权限存在时， 依次访 问所述微服务组内部的多个所述微服务， 当所述微服 务访问成功时， 反馈访问数据， 当所述微服务访问失败时， 反馈所述微服务访问失败并跳转 执行所述微服务组中下一个所述 微服务的访问进程； 其中， 用户若要访问所述微服务组， 除了 需要有所述微服务组的授权外， 也需要有所述 微服务组所容纳的所有所述 微服务的授权， 否则执 行会中止 。 2.根据权利要求1所述的基于微服务的安全访问控制方法， 其特征在于， 所述请求体中 还包括数据查询时间信息， 验证所述服务代码、 所述用户信息、 所述数据查询时间信 息是否与预设信息匹配， 若 匹 配， 则允许 所述用户对所述 微服务执行访问动作； 若不匹配， 则反馈匹配失败。 3.一种基于微 服务的安全访问控制装置， 应用于 外部系统， 其特 征在于， 包括： 接收模块， 用于 接收用户发来的post请求； 读取模块， 用于读取url中的服 务代码和请求体中的用户信息； 验证模块， 用于验证所述用户信息是否与预设信息匹配， 若 匹配， 则允许所述用户对所 述微服务执行访问动作； 若不匹配， 则反馈匹配失败； 所述装置还 包括： 应用于多个微 服务的模块， 用于： 当应用于多个微 服务时， 基于用户信 息获取用户针对微服务组 的访问权限， 所述微服务组为将多个所述微服务 按预设顺序组合而成， 当所述访问权限不存在时， 反馈所述 微服务组访问失败； 当所述访 问权限存在时， 依次访 问所述微服务组内部的多个所述微服务， 当所述微服 务访问成功时， 反馈访问数据， 当所述微服务访问失败时， 反馈所述微服务访问失败并跳转 执行所述微服务组中下一个所述 微服务的访问进程； 其中， 用户若要访问所述微服务组， 除了 需要有所述微服务组的授权外， 也需要有所述 微服务组所容纳的所有所述 微服务的授权， 否则执 行会中止 。 4.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至2任一项所 述基于微 服务的安全访问控制方法的步骤。 5.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机 程序被处理器执行时实现如权利要求1至2任一项所述基于微服务的安全访问控制方法的 步骤。权　利　要　求　书 1/1 页 2 CN 115208693 B 2一种基于微服务的安全访 问控制方 法及装置 技术领域 [0001]本发明涉及数据访问技术领域， 尤其涉及 一种基于微服务的安全访问控制方法及 装置。 背景技术 [0002]随着互联网行业的迅速发展， 应用系统需要使用大量数据资源， 数据服务就是通 过数据接口为应用系统提供数据的一种方式。 当用户访问应用系统时， 需要对访问权限进 行控制， 其中如何对应用系统中的数据服 务进行安全访问控制成为 一项重要内容。 [0003]目前数据服务访问控制技术主要存在以下几种： 1)自主访问控制方法(DAC,   Discretionary  Access Control)， 2)强制访问控制方法(MAC， Mandatory  Access  Control)以及3)基于角色的访问控制方法(RB AC， Role‑Based Access Control)， 但是上述 方法都存在各自的缺 点导致对数据服 务的访问控制无法满足既高效又安全的目的。 发明内容 [0004]本发明意在 提供一种基于微服务的安全访问控制方法及装置， 以解决现有技术中 存在的不足， 本发明要解决的技 术问题通过以下技 术方案来实现。 [0005]本发明提供一种基于微 服务的安全访问控制方法， 应用于内部系统， 包括： [0006]基于用户信息获取用户针对不同微服务的访问角色， 并基于所述访问角色获取所 述用户针对不同微 服务拥有的访问权限， 其中， 所述 微服务为来自至少一个程序的进程； [0007]基于所述访问权限分别响应所述用户针对不同微 服务的访问动作； [0008]所述微服务携带有效访问时间段， 在所述有效访问时间段内， 所述微服务可被执 行访问动作； 否则， 所述 微服务无法被执 行访问动作。 [0009]根据本发明提供的一种基于微服务的安全访问控制方法， 所述程序操作权限包括 数据保存权限， 数据删除权限， 数据修改权限以及数据查找权限中的至少一种。 [0010]本发明提供一种基于微 服务的安全访问控制方法， 应用于 外部系统， 包括： [0011]当应用于单一 微服务时， 接收用户发来的post请求； [0012]读取url中的服 务代码和请求体中的用户信息； [0013]验证所述服务代码、 所述用户信息是否与预设信息匹配， 若匹配， 则允许所述用户 对所述微服务执行访问动作； 若不匹配， 则反馈匹配失败。 [0014]根据本发明提供的一种基于微服务的安全访问控制方法， 所述请求体中还包括数 据查询时间信息， 验证所述服务代码、 所述用户信息、 所述数据查询时间信息是否与预设信 息匹配， 若匹配， 则允许 所述用户对所述 微服务执行访问动作； 若不匹配， 则反馈匹配失败。 [0015]根据本发明提供的一种基于微 服务的安全访问控制方法， 所述方法还 包括： [0016]当应用于多个微服务时， 基于用户信息获取用户针对微服务组的访问权限， 所述 微服务组为将多个所述微服务按预设顺序组合而成， 当所述访问权限不存在时， 反馈所述 微服务组访问失败；说　明　书 1/8 页 3 CN 115208693 B 3