[发明专利]网关JWT的生成方法、系统及存储介质

权利要求书

1.一种网关JWT的生成方法，应用于电子装置，其特征在于，所述JWT的生成方法包括：

生成JWT的JWT头部和有效荷载；其中，所述JWT头部包括token的签名算法信息；所述有效荷载通过将机构编码、用户ID、JWT ID、TOKEN的颁发时间以及默认失效时间信息使用AES加密生成；

利用所述JWT头部的token的签名算法对ECDSA私钥和JWT的有效荷载进行签名，生成JWT的签名信息；

将JWT头部、JWT的有效荷载以及JWT的签名组装成JWT，将组装的JWT返回给网关机构。

2.根据权利要求1所述的网关JWT的生成方法，其特征在于，所述将JWT头部、JWT的有效荷载以及JWT的签名组装成JWT，将组装的JWT返回给网关机构之后，还包括：

网关机构对访问请求发起者的JWT进行有效性校验；其中，网关机构对所述JWT进行有效性校验的方法包括：

通过实时读取所述JWT中的机构信息，并判断所述机构信息中的机构是否失效，若是，拒绝该次请求，若否，则继续进行有效性判断；

通过第三方接口定时读取用户的ID，判断所述JWT中的用户ID是否失效，若是，拒绝该次请求，若否，则继续进行有效性判断；

将JWT的ID与无效列表中缓存的失效JWT ID进行比对，判断所述JWT的ID是否失效，若是则拒绝该次请求；若否，则继续访问。

3.根据权利要求2所述的网关JWT的生成方法，其特征在于，

所述机构信息存储在JWT的有效荷载中，并从BICS系统获取。

4.根据权利要求2所述的网关JWT的生成方法，其特征在于，

在通过第三方接口定时读取用户的ID，判断所述JWT中的用户ID是否失效的方法包括：

判断所述JWT中的用户ID的签名信息与JWT信息内的签名是否一致；

若是，则JWT中的用户ID信息校验成功；

若否，则JWT中的用户ID信息校验不成功，拒绝该次请求。

5.根据权利要求2所述的网关JWT的生成方法，其特征在于，在所述网关机构对所述JWT进行校验之前，还包括网关机构对访问请求发起者的API访问权限的校验；所述API访问权限的校验方法包括：

判断请求发起者的API是否在网关管理中心配置的API白名单中；

若否，则判断访问请求发起者不具备API访问权限；

若是，则判断访问请求发起者的API是否配置网关管理中心的用户访问的API策略；

若是，则访问请求发起者具备API访问权限；若否，则访问请求发起者不具备API访问权限。

6.一种网关JWT的管理系统，其特征在于，包括JWT生成单元、JWT有效性校验单元和API访问权限校验单元；其中，

JWT生成单元，用于生成JWT的JWT头部和有效荷载，其中，所述JWT头部包括token的签名算法信息；所述有效荷载通过将机构编码、用户ID、JWT ID、TOKEN的颁发时间以及默认失效时间信息使用AES加密生成；利用所述JWT头部的token的签名算法对ECDSA私钥和JWT的有效荷载进行签名，生成JWT的签名信息；将JWT头部、JWT的有效荷载以及JWT的签名组装成JWT，将组装的JWT返回给网关机构；

JWT有效性校验单元，用于通过读取所生成的JWT中的机构信息、用户的ID以及JWT ID，并判断机构信息、用户的ID以及JWT ID是否失效；

API访问权限校验单元，用于判断请求发起者的API是否在网关管理中心配置的API白名单中；若否，则判断访问请求发起者不具备API访问权限；若是，则判断访问请求发起者的API是否配置网关管理中心的用户访问的API策略；若是，则访问请求发起者具备API访问权限；若否，则访问请求发起者不具备API访问权限。