[发明专利]一种基于业务领域填充访问令牌信息的机制

说明书

本发明步骤：认证及授权服务获取用户的授权信息并缓存，返回JWT令牌；用户在访问其中一个业务领域时，携带JWT令牌发送请求，令牌信息填充组件识别URL中的业务领域信息，判断JWT令牌中是否包含对应业务领域信息：如果已包含，则不做处理；如果没包含，令牌信息填充组件从全量信息缓存获取对应业务领域信息，判断JWT令牌中的有效载荷是否包含其它业务领域信息：如果JWT令牌中有效载荷没其它业务领域信息，令牌信息填充组件将对应业务领域信息填充至JWT令牌中的有效载荷；如果JWT令牌中已有其它业务领域信息，令牌信息填充组件将对应业务领域信息填充至JWT令牌中的有效载荷并替换原有的其它业务领域信息，与业务领域无关的公共信息继续保留。

技术领域

本发明涉及计算机技术领域，具体涉及信息技术应用和数据切换，尤其涉及一种基于业务领域填充访问令牌信息的机制。

背景技术

随着移动互联网日渐成熟以及服务于制造业的工业互联网平台逐步兴起，系统开发由原来单体式架构的业务服务逐渐被拆分成多个由许多松散耦合且可独立部署的较小组件或服务组成的微服务应用。为保持微服务的横向扩展能力，一般情况下微服务是无状态性的。系统为记录用户的登录状态，或者为用户创建身份认证的凭证，在现有技术下，会使用以下认证机制：

一、 Session（会话控制）认证机制。由于Session对应的信息存储在服务器上，不利于分布式应用，因此现在大部分系统不再使用Session认证；

二、 JWT（Json Web Token）认证机制。JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（RFC 7519），该令牌被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该令牌也可直接被用于认证，也可被加密。基于令牌的鉴权机制类似于HTTP协议，也是无状态的，它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于令牌认证机制的应用不需要去考虑用户在哪一台服务器登录了，为应用的扩展提供了便利。同时JWT是可以进行跨语言支持的，JAVA、JavaScript、NodeJS、PHP等多种语言都可以使用，具有通用性。

JWT中包含非常多信息，尤其包含登录用户名、过期时间、用户所在组织、角色、用户所有的权限以及部分其他业务相关信息等。以RBAC（Role-Based Access Control，基于角色的访问控制）为例，如附图1所示，在一个复杂的微服务构建的平台当中，物料、BOM、物流、仓储等为接入平台的业务领域（其中，“...”代表其它未列明的业务领域），每个业务领域相对独立，并且有自己对应的角色和权限配置，每个业务领域背后会由一个或多个微服务共同组成，这些角色和权限会注册到统一的用户权限管理中心（附图1中简称用户中心），用户权限管理中心对平台用户进行相应的授权管理。如附图2所示，随着平台功能不断完善，会有越来越多的业务领域接入平台，例如财务、人事、供应链等业务领域，相应业务领域的相关角色、权限及其它信息将随着业务领域接入平台而注册至用户权限管理中心，当前的登录用户包含的组织、角色、权限及业务领域相关信息等也将越来越庞大，会导致JWT中的有效载荷（payload）也非常大，如附图3所示。

由于每次HTTP请求都会带上JWT，如果相应有效载荷太大会导致性能问题，通常权限框架层面会限制JWT的信息在一定大小范围之内，例如7k以内。而对于复杂的微服务构建的平台，JWT相应的有效载荷大小很有可能会超出框架限定的范围而无法完成认证。因此，需要一种机制将JWT当中的有效载荷控制在一定大小之内，从而解决因信息庞大而导致可能出现的性能问题，提升系统稳定性并提高系统认证效率。

发明内容

本发明是为了解决用户认证时JWT当中的有效载荷过大导致的性能问题，而提出的一种基于业务领域填充访问令牌信息的机制。

为实现上述目的，本发明提出的一种基于业务领域填充访问令牌信息的机制，其中，