[发明专利]用于协议级身份映射的方法和系统

权利要求书

1.一种用于身份映射的方法，包括：

由身份映射系统拦截从客户端设备通过应用程序提交至提供多个服务的分布式计算系统的用户请求，所述用户请求与用户凭证相关联，其中所述身份映射系统在所述应用程序外的协议级别对所述用户请求进行解释；

由所述身份映射系统确定所述客户端设备提交所述用户请求的用户协议；

基于所述用户凭证认证所述用户请求；

在成功地认证所述用户请求之后，由所述身份映射系统确定所述服务中所述用户请求被授权访问的服务；

确定与所述服务相关联的服务凭证；

由所述身份映射系统生成服务请求，包括至少部分地通过将所述服务凭证与所述服务请求相关联来将所述用户请求的所述用户协议转换为与所述服务相关联的服务协议；以及

由所述身份映射系统向所述分布式计算系统提交所述服务请求，其中所述身份映射系统包括一个或多个计算机处理器。

2.根据权利要求1所述的方法，其中所述分布式计算系统包括Hadoop集群，并且所述服务包括分布式计算服务、分布式文件存储服务、分布式数据仓库服务或分布式消息传递服务中的至少一项。

3.根据权利要求1所述的方法，其中认证所述用户请求包括：由所述身份映射系统向用户认证服务提交所述用户凭证的表示，以及接收指示所述用户请求被所述用户认证服务认证的响应。

4.根据权利要求1所述的方法，其中认证所述用户请求包括：执行可定制的多级认证，所述多级认证独立于由所述分布式计算系统提供的认证。

5.根据权利要求1所述的方法，其中转换所述用户协议包括：将所述用户请求的用户标识符替换为服务标识符。

6.根据权利要求1所述的方法，包括在拦截所述用户请求之前：

从所述客户端设备接收第一字节流；

确定所述第一字节流包括认证请求；

向所述分布式计算系统提交所述第一字节流；

从所述分布式计算系统接收第二字节流，所述第二字节流包括标签，所述标签指示所述认证请求将在信任模式中被处理，在所述信任模式中不需要所述用户凭证以用于认证；

修改所述第二字节流，包括改变所述标签以指示需要所述用户凭证；以及

向所述客户端设备提交经修改的所述字节流，其中所述用户凭证是由所述客户端设备响应于经修改的所述字节流而提供的。

7.根据权利要求1所述的方法，其中所述方法是独立于由所述客户端设备执行的本地认证和由所述分布式计算系统执行的本地认证而在协议级别被执行的。

8.一种非暂态计算机可读存储介质，存储由身份映射系统可执行的指令，所述指令在这样执行时使得所述身份映射系统执行操作，所述操作包括：

拦截通过应用程序从客户端设备被提交至提供多个服务的分布式计算系统的用户请求，所述用户请求与用户凭证相关联，其中所诉用户请求在所述应用程序外的协议级别被解释；

确定所述客户端设备提交所述用户请求的用户协议；

基于所述用户凭证认证所述用户请求；

在成功地认证所述用户请求之后，确定所述服务中所述用户请求被授权访问的服务；

确定与所述服务相关联的服务凭证；

生成服务请求，包括至少部分地通过将所述服务凭证与所述服务请求相关联来将所述用户请求的所述用户协议转换为与所述服务相关联的服务协议；以及

向所述分布式计算系统提交所述服务请求，其中所述身份映射系统包括一个或多个计算机处理器。

9.根据权利要求8所述的非暂态计算机可读存储介质，其中所述分布式计算系统包括Hadoop集群，并且所述服务包括分布式计算服务、分布式文件存储服务、分布式数据仓库服务或分布式消息传递服务中的至少一项。

10.根据权利要求8所述的非暂态计算机可读存储介质，其中认证所述用户请求包括：由所述身份映射系统向用户认证服务提交所述用户凭证的表示，以及接收指示所述用户请求被所述用户认证服务认证的响应。