[发明专利]一种服务准入的管理方法及装置

说明书

一种服务准入的管理方法，所述方法包含：服务发布方向注册中心发送申请服务实例的服务准入token请求；所述注册中心审批所述申请服务准入token请求；若审批通过，制作服务准入token，并将所述服务准入token返回给所述服务发布方；所述服务发布方将所述服务准入token设置在服务实例的注册配置信息里，然后向所述注册中心发送服务实例的服务注册请求；所述注册中心对所述服务注册请求中携带的注册配置信息中的服务准入token进行确认鉴权；若鉴权成功，所述注册中心对所述服务实例进行服务注册。本发明还公开一种服务准入的管理装置。本发明的主要用途是在服务注册时增加一个安全性限制，仅允许审批通过的服务实例在注册中心注册，提高服务的安全性。

技术领域

本发明涉及互联网技术领域，具体涉及一种服务准入的管理方法及装置。

背景技术

微服务是一种架构风格，一个大型复杂软件由一个或多个微服务组成。系统中的各个微服务可被独立部署，各个微服务之间是松耦合的。每个微服务仅关注于完成一件任务并很好地完成该任务。在所有情况下，每个任务代表着一个小的业务能力。

随着微架构的流行，尤其是容器的大规模应用以后，由多种微服务共同协助，构成一个相对功能强大的应用的案例越来越多。在微服务架构中服务实例的服务注册是必不可少的功能。注册中心会根据配置自动地将收到的服务实例信息(主要包含服务实例名称、服务实例部署网络地址、运行状态)进行注册。另一方面，微服务架构允许重名的服务实例注册，利用相同名称的服务实例会被视为同一业务能力服务的分身。当微服务架构的API管理系统收到服务消费者的同一种业务请求后会通过负载均衡的能力将业务请求分配给多个具备相同业务能力的服务实例。

这样就导致了在现有的微服务架构中，服务注册功能都存在一个相同的问题，即只要服务实例符合注册中心的注册配置，即可进行注册，注册成功后即可对外提供服务。这问题可能导致两个安全风险：一、擅自注册服务提供给网关外侧的服务消费者使用，成为绕过网关安全防护进入网关内部的通道。二、注册冒充的服务实例，获取服务消费者来访问服务实例时提交的数据信息，导致信息泄露。

因此一种满足安全需求的服务准入管理方法及装置亟待出现。

发明内容

本发明公开一种服务准入的管理方法，所述方法包含：

服务发布方向注册中心发送申请服务实例的服务准入token请求；

所述注册中心审批所述申请服务实例的服务准入token请求；

如果审批通过，所述注册中心根据所述申请服务实例的服务准入token请求中携带的内容，制作服务实例的服务准入token，生成、存储所述申请服务实例的服务准入token的审批记录，并将所述服务实例的服务准入token返回给所述服务发布方；如果审批不通过，向所述服务发布方返回所述申请服务实例的服务准入token请求的驳回通知；

所述服务发布方接收所述服务实例的服务准入token后，将所述服务准入token设置在所述服务实例的注册配置信息里，然后向所述注册中心发送所述服务实例的服务注册请求；

所述注册中心对所述服务实例的服务注册请求中携带的注册配置信息中的服务准入token进行确认鉴权；如果鉴权成功，所述注册中心根据所述服务实例的服务注册请求中携带的注册配置信息对所述服务实例进行服务注册；否则，向服务发布方发送所述服务实例的服务注册请求的驳回通知。

优选的，所述注册中心根据所述服务实例的服务注册请求中携带的注册配置信息对所述服务实例进行服务注册后，所述方法还包含：

服务审计方向所述注册中心发送服务实例的服务审计请求，所述服务实例的服务审计请求中携带包含服务实例名称和服务实例部署网络地址的内容；