[发明专利]基于JWT的分布式系统安全认证方法

说明书

本发明公开了一种基于JWT的分布式系统安全认证方法，包括步骤1：构建Auth认证服务，并提供令牌发放接口，该令牌发放接口由接入方调用；步骤2：Auth认证服务生成一对公钥和私钥，本地维护私钥，并向所有资源提供方提供公钥；步骤3：接入方向Auth认证服务请求获取令牌，Auth认证服务验证接入方后，使用私钥向接入方签发令牌；步骤4：接入方将该令牌维护在本地，在请求头中携带该令牌并向资源提供方请求访问资源；步骤5：资源提供方在本地通过公钥对令牌进行验签，验签通过后解析令牌，并向接入方提供资源。本发明统一了用户认证、服务认证的技术方案，节省开发及运维成本，适合分布式架构设计，可以面向更广泛的业务场景。

技术领域

本发明涉及一种通讯技术中的身份认证方法，尤其涉及一种基于JWT的分布式系统安全认证方法，JWT即JSON WEB TOKEN，意为身份安全令牌。

背景技术

在分布式应用系统中，安全认证体系是整个应用系统的基础，一般包含2部分内容：用户认证（即系统登录状态）和服务认证（即后台服务间相互调用的安全凭证）。

针对用户认证，现有技术中常用的方案是通过Cookie+Session的方式，其中，Cookie是储存在用户本地终端上的数据，Session在网络应用中称为会话控制，Session对象存储特定用户会话所需的属性及配置信息。即在服务端生成一个随机的SessionID发放给客户端，客户端每次请求时，在Cookie中携带该SessionID提交给服务端验证，从而解决HTTP协议无状态的问题。对分布式系统而言，该方案的缺点在于后端若干服务器需要依赖于Redis或数据库等中间件进行Session共享，需要额外的硬件成本，同时需要集成诸如Spring-Session等技术框架，存在额外的应用开发成本，系统复杂度提升。同时，由于是基于Cookie的技术方案，当应用程序在不支持Cookie的客户端中使用时，该技术方案需要进行额外改造，因此扩展性较差。

针对服务认证，现有技术中常用的方案是通过Oauth2.0授权框架，使应用通过公开的或私有的设置，授权第三方应用访问特定资源，主要流程是：1、用户访问第三方平台；2、第三方平台请求授权方；3、授权方询问用户是否允许访问；4、用户授权访问；5、第三方平台获得访问授权。该方案能够很好得通过第三方平台提供有效的安全保障，但缺点在于整套体系较为复杂，访问一个资源需要5次请求，虽然开源框架能够将系统复杂性封装在依赖包内，但是资源访问过程中额外的请求势必造成性能损耗。

由于分布式系统的安全认证机制需要用户认证和服务认证两个部分组成，而现有的主流方案针对两部分内容提供的是两个完全不同的解决思路，因此在安全认证机制的统一性上很难保证，往往造成应用系统开发复杂度提升，技术架构臃肿且难以维护。

另外，现有技术的JwtToken本身定义中，对于令牌有效期的设定，存在局限性。该有效期包含在Token体内，属于签名明文的一部分，因此该有效期是不允许被后续操作修改的，这就导致了JwtToken本身无法在有效期设定范围内主动退出，因此无法被用于有状态的用户认证场景。

发明内容

本发明的目的在于提供一种基于JWT的分布式系统安全认证方法，统一了用户认证、服务认证的技术方案，节省开发及运维成本，适合分布式架构设计，可以面向更广泛的业务场景。

本发明是这样实现的：

一种基于JWT的分布式系统安全认证方法，该方法基于JWT协议，包括以下步骤：

步骤1：构建Auth认证服务，并提供令牌发放接口，该令牌发放接口由接入方调用；

步骤2：Auth认证服务生成一对公钥和私钥，本地维护私钥，并向所有资源提供方提供公钥；

步骤3：接入方向Auth认证服务请求获取令牌，Auth认证服务验证接入方后，使用私钥向接入方签发令牌；