(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111421569.1 (22)申请日 2021.11.26 (65)同一申请的已公布的文献号 申请公布号 CN 113839966 A (43)申请公布日 2021.12.24 (73)专利权人 北京慧点科技有限公司 地址 100192 北京市海淀区西小口6 6号东 升科技园.北 领地C1-10 5 (72)发明人 张晓芳　陈科　欧睿　潘文凯　 杨斌　龙芳　 (74)专利代理 机构 北京智桥联合知识产权代理 事务所(普通 合伙) 11560 代理人 赵景平 (51)Int.Cl. H04L 9/40(2022.01)H04L 9/32(2006.01) (56)对比文件 CN 109981561 A,2019.07.0 5 CN 112235285 A,2021.01.15 CN 109981561 A,2019.07.0 5 CN 106453396 A,2017.02.2 2 CN 102638454 A,2012.08.15 CN 111865920 A,2020.10.3 0 US 2020272 912 A1,2020.08.27 审查员 张嘉凯 (54)发明名称 一种基于微服务的安全管理系统 (57)摘要 本发明涉及安全控制访问领域， 公开了一种 基于微服务的安全管理系统， 所述系统包括多个 客户端和一个安全服务器， 客户端通过API接口 向安全服务器发送访 问登录请求， 并执行Token 校正， 通过对于登录和校验分步骤做区分验证， 借助于对Token信息的区分识别， 保障用户在登 录访问时的延续性； 同时通过服务访问令牌消息 执行签名消息和时间戳信息的发送， 保障登录访 问服务时被访问服 务信息的安全。 权利要求书1页 说明书6页 附图1页 CN 113839966 B 2022.02.22 CN 113839966 B 1.一种基于微服务的安全管理系统， 其特征在于： 所述系统包括多个客户端和一个安 全服务器； 客户端通过API接口向安全服务器发送访问登录请求； 所述登录请求中包含用户的身 份信息和密码， 所述安全服务器调用登录接口时， 当校验用户身份信息和密码通过后； 安全 服务器根据预定规则生成一个  Token信息， 并将  Token 信息与用户名以键值对的形式保 存到安全服 务器的数据库中， 同时将该生成的To ken信息发送到客户端； 客户端接收包含Token信息， 并向安全服务器执行发送包含Token信息的服务访问令牌 消息， 所述安全服务器获取该服务访问令牌消息， 解析消息体中的Token信息， 并进行验证， 当验证成功时， 客户端执 行应用服 务的调用； 否则拒绝； 其中， 安全服务器进一步用于区分Token信息超时还是过期失效， 当判断  Token信息失 效时， 客户端需要用户重新登录得到最新的Token信息； 当判断Token信息超时， 服务器为客 户端的用户生成新的Token信息并继续使用调用微服务， 客户端的用户无需调用登录接口， 仅验证Token信息是否为正在使用的登录账户的超时Token信息时效； 服务访问令牌消息由 三部分组成:头信息header， 消息体payload和签名signature； 头信息指定了该令牌token 使用的签名算法； 服务访问令牌消息设置有效时间段字段Time  valid， 初始化后， 记录时间 Time lisit， 在使用Token验证时， 判断当前时间Time  current是否属于有 效时间段， 若超 出有效时间段， 则重新初始化， 然后更新安全服务器数据库中的Token； 安全服务器根据设 置的Time valid时间阈值， 在阈值范围内的为先 前相同账户延续 服务； 其中， 安全服务器在对合法的Token通过校验后， 提取出保存在数据库中的用户信息， 通过用户信息中的角色属 性信息， 获取用户的访问权限信息， 获取此用户所能访问的接口 的地址， 然后校验服务访问令牌消息中的接口地址是否在用户所能访问的地址列表中， 若 不存在， 则否决该请求， 提示 “无权限访问 ”并返回； 如果是校验为是使用不合法 的Token请 求， 则被访问接口拦截并直接将 请求否决。 2.如权利 要求1所述的系统， 其特征在于： 将生成的Token信息发送到客户端时， 对应的 用户之前登录的To ken信息作废。 3.如权利要求2所述的系统， 其特征在于： 所述用户的身份信 息包括用户名、 邮箱、 手机 号和权限属性信息 。 4.如权利要求3所述的系统， 其特征在于： 所述安全服务器将用户的身份信 息中以条目 信息的形式， 按照树形 结构存储在数据库中。 5.如权利要求4所述的系统， 其特征在于： 所述条目具有区别名DN和属性， 所述区别名 DN用来引用条目， 区别名等同于 关系数据库中的主键； 所述属性由类型和值组成； 所述权限 属性信息用于对用户权限进行配置， 客户端根据不同的权限配置， 控制和验证登录会话。 6.如权利要求5所述的系统， 其特征在于： 安全服务器判断， 是否存在相同登录时， 如存 在相同登录， 将存在的XMP P 可扩展通讯和标识 协议连接切断， 强制先登录的设备 下线。 7.如权利 要求6所述的系统， 其特征在于： 安全服务器在合法的Token信息通过校验后， 提取出保存在数据库中的用户信息， 通过用户信息中的角色信息， 获取用户的访问权限信 息， 获取此用户所能访问的接口地址， 所述接口地址映射可调用的微 服务器。权　利　要　求　书 1/1 页 2 CN 113839966 B 2一种基于微服务的安全 管理系统 技术领域 [0001]本发明涉及互联网领域， 尤其涉及一种基于微 服务的安全管理系统。 背景技术 [0002]微服务结构中， 采用移动终端等登录消息办公服务系统是一种常见的方式。 现有 技术中为了便于保障登录的安全， 通常都会适应登录令牌执行用户安全的校验等。 比如现 有技术中CN109089264  A中公开了一种移动终端免密登录的方法及系统， 对于令牌的有效 期进行验证和判断。 文 献CN112491778  A提供一种应用于认证服务端的认证方法， 通过包括 令牌来执行登录请求的验证。 [0003]但是上述方案中是对于令牌的简单验证， 并没有将令牌的验证与微服务框架的调 用微服务相结合， 且上述方案中是通常意义上对于令牌登录服务器的有效性执行验证， 没 有考虑到令牌验证中先前访问者在登录过程中的延续使用。 同时对于在办公时， 对于特定 的文件系统或文档存在并发访问的 限制， 因此在访问过程中对于登录的用户会需要执行权 限的设置和区分； 再者现有简单的设置有效期的判断方式， 会向超过了有效期的用户， 频繁 发送令牌信息， 造成用户频繁登录， 使得用户在登录和使用校验过程中的系统， 存在中断， 用户体验不佳； 进而造成不同的移动操作系统， 执行重复多次的发送， 造成安全服务系统的 系统验证的冗余。 发明内容 [0004]为此本申请提供了一种基于微服务的安全管理系统， 所述系统包括多个客户端和 一个安全服 务器； [0005]客户端通过API接口向安全服务器发送访问登录请求； 所述登录请求中包含用户 的身份信息和密码， 所述安全服务器调用登录接口时， 当校验用户身份信息和密码通过后； 安全服务器根据预定规则生 成一个Token令牌信息， 并将Token信息与用户名以键值对的形 式保存到安全服 务器的 数据库中， 同时将该生成的To ken信息发送到客户端； [0006]客户端接收包含Token信息， 并 向安全服务器执行发送包含Token信息的令牌服务 请求消息， 所述安全服务器获取该令牌服务请求消 息， 解析消息体中的Token信息， 并进行 验证， 当验证成功时， 客户端执 行应用服 务的调用； 否则拒绝。 [0007]进一步， 将生成的Token信息发送到客户端时， 对应的用户之前登录的Token信息 作废。 [0008]进一步， 所述用户的身份信息包括用户名、 邮箱、 手机号和权限属性信息 。 [0009]进一步， 所述安全服务器对用户的身份信息中以条目信息 的形式， 按照树形结构 存储在数据库中。 [0010]进一步， 所述条目具有区别名DN和属性， 所述区别名DN是用来引用条目， 区别名等 同于关系 数据库中的主键； 所述属 性由类型和 值组成； 所述权限属 性信息对用户权限进行 配置， 客户端根据不同的权限配置控制和验证登录会话。说　明　书 1/6 页 3 CN 113839966 B 3