(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221091485 0.7 (22)申请日 2022.08.01 (71)申请人 重庆标能瑞 源储能技术研究院有限 公司 地址 402260 重庆市江津区双福街道福云 大道2号附6号 （重庆能源职业学院1# 实验楼幢） (72)发明人 马兹林　邱昭　钟政　刘洋　陈填　 (74)专利代理 机构 深圳市兴科达知识产权代理 有限公司 4 4260 专利代理师 李满园 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 67/51(2022.01)H04L 67/12(2022.01) H04L 12/66(2006.01) (54)发明名称 一种基于物联网平台微服务的安全认证方 法及系统 (57)摘要 本发明涉及物联网技术领域， 尤其是一种基 于物联网平台微服务的安全认证系统， 包括网 关、 权限控制服务以及多个业务微服务， 且权 限 控制服务以及多个业务微服务均连接在网关上， 并通过网关向所有的客户端开放访问接口。 本发 明改进了传统的权限认证需要在各个微服务中 进行处理， 解耦了权 限验证和业务逻辑的处理。 随着物联网平台业务需求的丰富， 只需部署业务 微服务后， 在权限控制服务中对角色的权限控制 树、 用户和角色、 端和角色、 用户和端进行配置， 并将微服务的相关信息 配置到网关中即可。 权利要求书2页 说明书6页 附图3页 CN 115277234 A 2022.11.01 CN 115277234 A 1.一种基于物联网平台微服务的安全认证系统， 其特征在于， 包括网关、 权限控制服务 以及多个业务微服务， 且权限控制服务以及多个业务微服务均连接在 网关上， 并通过网关 向所有的客户端开 放访问接口。 2.根据权利要求1所述的基于物联网平台微服务的安全认证系统， 其特征在于， 所述网 关通过配置信息判断请求是否需要进 行鉴权， 需要进 行鉴权的请求讲转 发到权限控制服务 进行鉴权操作， 鉴权通过后再转发给微 服务； 不需要 进行鉴权则直接转发给微 服务。 3.一种根据权利要求2所述的基于物联网平台微服务的安全认证方法， 其特征在于， 具 体步骤如下： 步骤S1、 进行 账号密码安全认证； 步骤S2、 进行业 务请求及鉴权认证。 4.权利要求3所述的基于物联网平台微服务的安全认证方法， 其特征在于， 账号密码安 全认证， 步骤如下： 1、 网关服 务开启认证接口A1； 2、 客户端发送 认证请求到网关认证接口A1； 3、 网关认证接口A1效验接收到的数据准确性； 4、 验证账号、 密码、 端代码是否为空， 为空， 则返回客户端认证失败提 示； 5、 网关转发所有客户端请求信息 到权限控制服 务； 6、 使用账号、 密码通过数据库查询用户信 息， 用户信息包括用户唯一标识， 未从数据库 获得用户信息则返回客户端认证失败的提 示； 7、 使用用户信 息的唯一标识和端代码通过数据库验证端代码是否有效， 无效则返回客 户端认证失败的提 示； 8、 端代码判断有效后， 使用用户信 息的唯一标识到数据库查询该用户的角色的权限并 生成控制树； 9、 使用端代码到数据库查询该端的角色的权限并生成控制树； 10、 通过使用雪花 算法生成全局唯一的鉴权 令牌； 11、 以鉴权 令牌为KEY， 鉴权令牌、 用户和端为V ALUE进行关联保存至 散列表1内存中； 12、 判断端属性中是否配置单一访问控制， 若配置， 则通过用户唯一标识删除散列表2 内存中的相关数据； 13、 以用户唯一标识为KEY， 鉴权令牌、 用户和端为VALUE进行关联保存至散列表2内存 中； 14、 返回客户端认证成功、 鉴权 令牌、 权限信息 。 5.根据权利要求4所述的基于物联网平台微服务的安全认证方法， 其特征在于， 在步骤 4中， 再验证时， 消息 头信息无 须验证。 6.根据权利要求3所述的基于物联网平台微服务的安全认证方法， 其特征在于， 业务请 求及鉴权认证， 步骤如下： 1、 通过数据库加载允许匿名访问接口地址数据， 并保存在数组1内存中； 2、 网关服 务启动业 务接口A2； 3、 客户端发送请求到网关业 务接口A2； 4、 网关判断接口地址A 2是否在配置中， 若不在网关配置中， 则应答 客户端鉴权失败；权　利　要　求　书 1/2 页 2 CN 115277234 A 25、 网关判断数组1是否包含接口地址A2， 若不在数组1中， 则需要将鉴权令牌、 界面地址 和接口地址A 2发送到权限控制服 务进行鉴权； 6、 权限控制服 务接收到鉴权 令牌、 界面 地址和接口地址A 2； 7、 通过鉴权令牌在散列表1中查找用户和端信 息， 未查找到用户和端信息， 则应答客户 端鉴权失败； 8、 通过用户唯一标识查询数据库获取 该用户的角色信息列表； 9、 判断界面地址是否在该用户角色信息的权限控制树中， 若验证未通过， 则应答客户 端鉴权失败； 10、 判断接口地址A2是否在该用户角色信息中的权限控制树中， 若验证未通过， 则应答 客户端鉴权失败； 11、 通过端代码唯一标识查询数据库获取到关联的角色列表； 12、 判断界面地址是否在端关联的角色列表的权限控制树中， 若验证未通过， 则应答客 户端鉴权失败； 13、 判断接口地址A2是否在端关联的角色列表的权限控制树中， 若验证未通过， 则应答 客户端鉴权失败； 14、 验证通过后， 返回网关鉴权成功， 网关通过接口地址A2 获取在网关配置文件中的业 务微服务名称“ServiceName ”； 15、 网关使用业务微服务的 “ServiceN ame”， 向注册与发现服务请求该业务微服务的实 际地址； 16、 若未在注册与发现服务中找到该业务微服务的实际地址， 则返回客户端接口无法 找到， 网关将客户端请求信息转发给业 务微服务的实际地址； 17、 业务微服务处理客户端请求， 返回客户端成功提 示和处理结果。权　利　要　求　书 2/2 页 3 CN 115277234 A 3