身份认证与鉴权的方法、装置、系统、设备及存储介质与流程

1.本发明实施例涉及计算机技术领域，尤其涉及一种身份认证与鉴权的方法、装置、系统、设备及存储介质。


背景技术：

2.现有的应用中间件部署在应用服务器上，为应用服务器提供身份认证或鉴权功能。但在实际应用中，往往某一系统提供多种应用服务，并部署多台应用服务器，由此需要在每台应用服务器上都配置相应的中间件，用于实现身份认证及鉴权，但在该应用系统中，中间件运行压力较大，导致异常频发，且不容易监管，给应用服务器也造成了一定的压力，因此急需改进现有应用系统中中间件运行所存在的问题。


技术实现要素：

3.本发明实施例提供一种身份认证与鉴权方法、装置、系统、设备及存储介质，由中间件辅助模块获取用于身份认证与鉴权的缓存文件，可以缓解中间件的压力。
4.第一方面，本发明实施例提供了一种身份认证与鉴权的方法，包括：
5.部署中间件辅助模块，中间件辅助模块获取用于身份认证与鉴权的缓存文件；
6.根据用户输入的登录请求调用中间件；其中，所述登录请求携带有数字证书；
7.所述中间件从所述中间件辅助模块获取缓存文件；
8.所述中间件根据所述缓存文件检验所述数字证书的有效性及访问权限。
9.进一步地，所述中间件辅助模块部署在应用服务器中，为独立的程序进程；所述中间件辅助模块占用至少一个端口资源，其中，端口资源包括本地端口和监听端口，所述本地端口用于与所述中间件建立数据连接，所述监听端口用于与监控管理模块建立数据连接。
10.进一步地，所述中间件辅助模块周期性的连接公钥基础设施pki服务器及授权管理基础设施pmi服务器，从pki服务器获取二级根证及证书吊销列表，从pmi服务器获取用户权限信息，根据所述二级根证及证书吊销列表生成证书认证缓存文件，根据所述用户权限信息生成访问鉴权缓存文件，并将所述证书认证缓存文件和所述访问鉴权缓存文件进行保存。
11.进一步地，在根据用户提交的登录请求调用中间件之后，还包括：
12.所述中间件将所述数字证书发送至所述中间件辅助模块；
13.所述中间件辅助模块根据所述缓存文件检验所述数字证书的有效性及访问权限。
14.进一步地，所述中间件辅助模块还用于存储第三方功能包，以供所述中间件调用。
15.进一步地，所述中间件周期性的向所述中间件辅助模块发送监控数据；所述中间件辅助模块将所述监控数据通过所述监听端口提交至监控管理模块，使得监控管理模块监控中间件工作状态。
16.进一步地，所述中间件辅助模块还用于定期从所述监控管理模块获取监控策略，并将所述监控策略发送至所述中间件，使得中间件根据所述监控策略获取监控数据。
17.第二方面，本发明实施例还提供了一种身份认证与鉴权的装置，包括：
18.中间件辅助模块部署单元，用于部署中间件辅助模块，中间件辅助模块获取用于身份认证与鉴权的缓存文件；
19.中间件调用单元，用于根据用户输入的登录请求调用中间件；其中，所述登录请求携带有数字证书；
20.缓存文件获取单元，用于所述中间件从所述中间件辅助模块获取缓存文件；
21.数字证书检验单元，用于所述中间件根据所述缓存文件检验所述数字证书的有效性及访问权限。
22.第三方面，本发明实施例还提供了一种身份认证与鉴权系统，包括：中间件辅助模块和中间件；
23.所述中间件辅助模块周期性的连接公钥基础设施pki服务器及授权管理基础设施pmi服务器，从所述pki服务器获取二级根证及证书吊销列表，从所述pmi服务器获取用户权限信息，根据所述二级根证及证书吊销列表生成证书认证缓存文件，根据所述用户权限信息生成访问鉴权缓存文件，并将所述证书认证缓存文件和所述访问鉴权缓存文件进行保存；
24.应用系统根据用户输入的登录请求调用中间件时，所述中间件用于从所述中间件辅助模块获取缓存文件，并根据所述缓存文件检验数字证书的有效性及访问权限。
25.进一步地，所述中间件还用于将所述数字证书发送至所述中间件辅助模块；使得所述中间件辅助模块根据所述缓存文件检验数字证书的有效性及访问权限。
26.进一步地，所述系统还包括：监控管理模块；所述中间件周期性的向所述中间件辅助模块发送监控数据；所述中间件辅助模块将所述监控数据通过所述监听端口提交至所述监控管理模块；所述监控管理模块还用于提供监控策略。
27.第四方面，本发明实施例还提供了一种计算机设备，所述设备包括：包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如本发明实施例所述的身份认证与鉴权的方法。
28.第五方面，本发明实施例还提供了一种计算机设备，所述设备包括：包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如本发明实施例所述的身份认证与鉴权的方法。
29.本发明实施例公开了一种身份认证与鉴权方法身份认证与鉴权的方法、装置、系统、设备及存储介质。部署中间件辅助模块，中间件辅助模块获取用于身份认证与鉴权的缓存文件；根据用户输入的登录请求调用中间件；其中，登录请求携带有数字证书；中间件从中间件辅助模块获取缓存文件；中间件根据缓存文件检验数字证书的有效性及访问权限。本发明实施例提供的身份认证与鉴权方法，通过在应用系统中部署中间件辅助模块，由中间件辅助模块获取用于身份认证与鉴权的缓存文件，可以缓解中间件的压力，同时缓解应用服务器端的压力，减轻了中间件对应用系统端的依赖。
附图说明
30.图1是本发明实施例一中的一种身份认证与鉴权的方法的流程图；
31.图2是本发明实施例一中的另一种身份认证与鉴权的方法的流程图；
32.图3是本发明实施例一中的一种身份认证与鉴权的装置的结构示意图；
33.图4是本发明实施例三中的一种身份认证与鉴权系统的结构原理图；
34.图5是本发明实施例三中的又一种身份认证与鉴权系统的结构原理图
35.图6是本发明实施例四中的一种计算机设备的结构示意图。
具体实施方式
36.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。
37.现有的中间件，不但存在监管问题，还存在以下问题：
38.1、当应用重启后，首个访问应用的请求会触发中间件下载crl、更新缓存，此时会出现用户证书认证失败的情况，需要重新开一个ie页面，再次访问应用才可认证成功，导致认证结果不准确，影响用户的正常使用。
39.2、pki系统长时间运行后crl会逐渐增大，且在解析crl过程会占用大量内存，造成某些应用的内存资源紧张，特别是32位jre的应用。
40.3、应用改造时中间件自己的jar包与应用的jar包冲突，给应用改造造成困扰问题，特别是中间件是相对比较旧的产品，其自带第三方jar包和应用使用的第三方jar冲突的几率愈发增大。
41.为了解决上述问题，本发明实施例公开了一种身份认证与鉴权的方法及系统，具体原理参照下述实施例。
42.实施例一
43.图1为本发明实施例一提供的一种身份认证与鉴权的方法的流程图，本实施例可适用于对用户进行身份认证及鉴权的情况，如图1所示，该方法具体包括如下步骤：
44.步骤110，部署中间件辅助模块，中间件辅助模块获取用于身份认证与鉴权的缓存文件。
45.其中，中间件辅助模块部署在应用服务器中，为独立的程序进程(如java进程或者c语言进程等)，中间件辅助模块与应用系统的功能模块在不同的目录下，不参与应用服务的启动，以避免两者可能的功能包(jar)冲突。中间件辅助模块占用至少一个端口资源，其中，端口资源包括本地端口和监听端口，所述本地端口用于与所述中间件建立数据连接；所述监听端口用于与监控管理模块建立数据连接，中间件辅助模块占用设定量的本地网络通信带宽。本实施例中，中间件辅助模块需要长时间在线，故其具备自保护功能，当中间件辅助模块异常退出后，可以有自保护功能重新启动。
46.中间件辅助模块在启动时，需要判断是否具备许可文件，许可文件是否合法。许可文件的检查方式可以是：检验许可文件的签名，如果许可文件内容被篡改，则会验证不通过；许可文件中的mac地址是否和本机一致(多网卡多ip的情况下，符合其中之一即可通过)。
47.缓存文件包括：证书认证缓存文件和访问鉴权缓存文件。
48.具体的，中间件辅助模块获取用于身份认证与鉴权的缓存文件的方式可以是：中间件辅助模块通过网络连接周期性的连接公钥基础设施(public key infrastructure，
pki)服务器及授权管理基础设施(privilege management infrastructure，pmi)服务器，从pki服务器获取二级根证及证书吊销列表(certificate revocation list，crl)，从pmi服务器获取用户权限信息，根据二级根证及证书吊销列表生成证书认证缓存文件，根据用户权限信息生成访问鉴权缓存文件，并将证书认证缓存文件和访问鉴权缓存文件进行保存。
49.现有技术中，由中间件从pki服务器获取二级根证及crl以及从pmi服务器获取用户权限信息，中间件根据二级根证及证书吊销列表生成证书认证缓存文件，根据用户权限信息生成访问鉴权缓存文件，并将证书认证缓存文件和访问鉴权缓存文件在应用系统进行保存，随着应用系统长时间运行后crl会逐渐增大，使得crl占用大量应用系统的内存，从而造成应用系统内存资源紧张。本实施例中，由中间件辅助模块下载二级根证及crl、用户权限信息，并存储缓存文件，不仅分担了中间件一部分功能，且缓解了由此造成的内存资源紧张的问题。
50.可选的，中间件辅助模块还用于存储第三方功能包(jar包)，以供中间件调用。
51.其中，第三方jar包可以理解为一些开源组织提供的组件功能包，比如dom4j，可以提供一些接口及开源程序，使得调用者方便的操作xml文件。还可以提供log4j，记录日志及bc库等。这样做的好处是可以防止应用升级改造时与中间件的第三方jar包发生冲突，从而降低中间件对应用系统的依赖，降低了两者的粘合度。
52.步骤120，根据用户输入的登录请求调用中间件。
53.其中，用户的登录请求携带有数字证书。本发明中中间件可以理解为身份认证与访问控制系统的工具包(如：toolkits或者sdk)。本实施例中，用户使用数字证书登录应用系统，应用系统从登录请求中提取数字证书，然后根据数字证书调用中间件，由中间件利用数字证书相关信息对访问该应用的用户执行身份认证和访问鉴权。
54.步骤130，中间件从中间件辅助模块获取缓存文件。
55.具体的，中间件通过本地端口从中间件辅助模块获取证书认证缓存文件和访问鉴权缓存文件，以对用户输入的数字证书的有效性和访问权限进行验证。中间件与中间件辅助模块间的数据通信会占用设定量的本地网络通信带宽。
56.现有技术中，用户使用数字证书登录应用系统后，应用系统从登录请求中提取数字证书，并调用中间件，如果中间件首次被调用，此时中间件需分别连接pki服务器及pmi服务器，从pki服务器获取二级根证及crl以及从pmi服务器获取用户权限信息，中间件根据二级根证及证书吊销列表生成证书认证缓存文件，根据用户权限信息生成访问鉴权缓存文件，并将证书认证缓存文件和访问鉴权缓存文件在应用系统内存中进行保存，同时利用首次获取的缓存文件进行身份认证及访问鉴权，且中间件会定期连接pki及pmi服务器进行文件更新。此后，当中间件再次被调用时，中间件直接获取应用内存中保存的缓存文件以对登录请求中的数字证书进行有效性及访问权限的检验。
57.而本技术中，无需中间件从pki服务器获取二级根证及crl以及从pmi服务器获取用户权限信息，也无需占用应用系统内存对缓存文件进行保存，即缓存文件的获取和保存均由中间件辅助模块完成，缓解了现有中间件的压力，减少了中间件运行异常情况的发生。
58.同时，由于本技术中中间件所有对外连接都需通过中间件辅助模块完成，包括连接pki服务器目录下载二级根证和crl、连接pmi服务器获取权限、发送审计，即原来的对外
连接默认改成对本机端口的连接，从而可实现对中间件行为的监控。
59.本实施例中，中间件辅助模块还可周期性的将缓存文件更新至设定内存中。以备中间件辅助模块工作的异常处理。
60.其中，设定内存可以是从应用系统的本地磁盘中分配出来用于存储最新缓存文件的内存空间。当中间件辅助模块工作正常时，中间件可以从中间件辅助模块获取到缓存文件。当中间件辅助模块异常时，中间件无法与中间件辅助模块通信，此时，中间件从该设定内存中获取最新缓存文件，若最新缓存文件的存在时间未超过设定时长且系统重启次数未超过设定阈值，则根据最新缓存文件检验所述数字证书的有效性及访问权限。
61.其中，设定时长可以设置为24小时，设定阈值可以设置为3次。其中，系统重启次数未超过设定阈值可以理解为在中间件辅助模块异常的情况下，设定内存中的缓存文件被使用的次数未超过设定阈值。
62.具体的，当中间件辅助模块异常时，中间件辅助模块也无法实时的将最新的缓存文件更新至该设定内存中，若设定内存中的缓存文件的存在时间超过设定时长(如24小时)或者系统重启次数超过设定阈值(如3次)，则中间件也无法使用设定内存中的缓存文件对检验所述数字证书的有效性及访问权限。此时需要手动将最新的缓存文件上传至中间件。若最新缓存文件的存在时间未超过设定时长且系统重启次数未超过设定阈值，则中间件可以使用设定内存中的缓存文件检验所述数字证书的有效性及访问权限。
63.可选的，若中间件辅助模块未正常下载到二级根证及证书吊销列表或者下载的证书吊销列表有误(如更新时间有误)，为了保证业务的正常进行，中间件从中间件辅助模块获取上次生成的的缓存文件。
64.步骤140，中间件根据缓存文件检验数字证书的有效性及访问权限。
65.具体的，中间件首先根据证书认证缓存文件中的二级根证及证书吊销列表验证数字证书的有效性，若有效，则根据访问鉴权缓存文件的权限信息进行鉴权。
66.其中，验证数字证书有效性的过程可以是：提取数字证书中各项内容的值，根据数字证书认证缓存文件中的二级根证比对签名者信息，如比对通过，则验证数字证书的证书链，最后根据证书吊销列表crl信息验证数字证书是否有效以及证书的有效期等。
67.在另一个实施例中，图2是本发明实施例提供的另一种身份认证与鉴权的方法的流程图，如图2所示，该方法包括如下步骤：
68.步骤210，部署中间件辅助模块，中间件辅助模块获取用于身份认证与鉴权的缓存文件。
69.步骤220，根据用户输入的登录请求调用中间件。
70.其中，登录请求携带有数字证书。
71.步骤230：中间件将待认证的数字证书发送至中间件辅助模块。
72.步骤240，中间件辅助模块根据缓存文件检验数字证书的有效性及访问权限。
73.为了进一步的减轻中间件的工作压力，本实施例中由中间件辅助模块来完成检验数字证书的有效性及访问权限的操作。其中，中间件辅助模块根据缓存文件检验数字证书的有效性及访问权限的过程和中间件检验数字证书的有效性及访问权限类似，此处不再赘述。此时，中间件辅助模块的认证服务端口，需要配置成只接受本地ip的请求。由中间件辅助模块对数字证书进行认证及鉴权，可以减轻中间件的工作压力，无需占用应用系统的资
源对数字证书进行检验，可间接的提高应用系统的性能。
74.可选的，当中间件辅助模块异常无法进行认证和鉴权时，由中间件按照现有技术的逻辑完成认证和鉴权(参见上述实施例，此处不再赘述)，直到中间件辅助模块恢复正常，再转由中间件辅助模块完成认证和鉴权，并触发中间件回收缓存内存的功能。
75.本实施例中，中间件周期性的向中间件辅助模块发送监控数据；中间件辅助模块将监控数据通过端口提交至监控管理模块。
76.其中，监控管理模块可以部署在与应用系统相互独立的监控系统中，通过监听端口与中间件辅助模块建立数据连接。监控数据可以包括：中间件的运行策略数据、缓存内容特征、中间件业务功能情况以及业务数量情况、中间件审计情况及中间件日志情况。
77.其中，中间件的运行策略数据包括：认证过程是否校验证书链、认证过程是否校验crl、认证过程是否发送审计、二级根证及crl缓存更新周期、本地缓存文件脱机使用截止时间、获取权限源参数(pmi目录ip：端口)。缓存内容特征包括：缓存文件更新时间，包含的二级根证，各crl中序列号的数目、生效时间、下次更新时间。中间件业务功能情况以及业务数量情况包括：最近的业务是否成功，完成各种业务调用的次数、验证证书链次数、验证crl次数、认证通过次数及失败次数等，以及中间件发送审计的情况、日志情况等。
78.可选的，当中间件辅助模块异常时，可以向监控管理模块发送告警信息，并手动从监控管理模块获取最新下载的缓存文件，并将最新下载的缓存文件上传至中间件辅助模块，以保证业务的正常进行。
79.本实施例中，中间件辅助模块还用于定期从监控管理模块获取监控策略，并将监控策略发送至中间件，使得中间件根据监控策略获取监控数据。
80.其中，中间件还具备如下功能：周期性检查缓存内容、缓存文件，为监控功能提供数据；周期性获取运行策略参数，并根据最新获取参数修改配置、运行策略(业务逻辑)；周期性汇总业务接口调用次数，发送相关审计给中间件辅助模块。中间件还具备心跳线程，在不影响业务的同时，可以给中间件辅助模块发送消息，发送的消息包括中间件版本、中间件配置项、缓存文件内容上次更新时间等；同时心跳线程具备从中间件辅助模块获取最新配置、策略的功能。
81.其中，监控管理模块与部署在应用系统上的中间件辅助模块通过监听端口交互，由中间件辅助模块向监控管理模块传输采集的监控数据。监控管理模块可提供可视化界面。
82.本实施例中，监控管理模块还具备如下功能：
83.1、对中间件的管理：版本管理、运行参数设置、修改各应用中的中间件中间件辅助模块的监听端口设置，下载中间件的日志文件。
84.2、对应用管理：如注册应用、激活应用、应用查询等。
85.本实施例的技术方案，部署中间件辅助模块，中间件辅助模块获取用于身份认证与鉴权的缓存文件；根据用户输入的登录请求调用中间件；其中，登录请求携带有数字证书；中间件从中间件辅助模块获取缓存文件；中间件根据缓存文件检验数字证书的有效性及访问权限。本发明实施例提供的身份认证与鉴权方法，通过在应用系统部署中间件辅助模块，由中间件辅助模块获取用于身份认证与鉴权的缓存文件，可以缓解中间件的压力。且所有对外连接都经过中间件辅助模块，包括连接pki目录下载二级根证和crl，连接pmi获取
权限，发送审计，即原来中间件的对外连接默认改成对本机端口的连接，以便实现对中间件行为的监控。
86.实施例二
87.图3是本发明实施例二提供的一种身份认证与鉴权的装置的结构示意图。如图3所示，该装置包括：
88.中间件辅助模块部署单元410，用于部署中间件辅助模块，中间件辅助模块获取用于身份认证与鉴权的缓存文件；
89.中间件调用单元420，用于根据用户输入的登录请求调用中间件；其中，登录请求携带有数字证书；
90.缓存文件获取单元430，用于中间件从中间件辅助模块获取缓存文件；
91.数字证书检验单元440，用于中间件根据缓存文件检验数字证书的有效性及访问权限.
92.可选的，中间件辅助模块部署在应用服务器中，为独立的程序进程；中间件辅助模块占用至少一个端口资源，其中，端口资源包括本地端口和监听端口，本地端口用于与中间件建立数据连接；监听端口用于与监控管理模块建立数据连接，中间件辅助模块占用设定量的本地网络通信带宽。
93.可选的，中间件辅助模块周期性的连接公钥基础设施pki服务器及授权管理基础设施pmi服务器，从pki服务器获取二级根证及证书吊销列表，从pmi服务器获取用户权限信息，根据二级根证及证书吊销列表生成证书认证缓存文件，根据用户权限信息生成访问鉴权缓存文件，并将证书认证缓存文件和访问鉴权缓存文件进行保存。
94.可选的，还包括：中间件辅助模块检验单元，用于：
95.中间件将数字证书发送至中间件辅助模块；
96.中间件辅助模块根据缓存文件检验数字证书的有效性及访问权限。
97.可选的，中间件辅助模块还用于存储第三方功能包，以供中间件调用。
98.可选的，中间件周期性的向中间件辅助模块发送监控数据；中间件辅助模块将监控数据通过监听端口提交至监控管理模块，使得监控管理模块监控中间件工作状态。
99.可选的，中间件辅助模块还用于定期从监控管理模块获取监控策略，并将监控策略发送至中间件，使得中间件根据监控策略获取监控数据。
100.实施例三
101.图4是本发明实施提供的一种身份认证与鉴权系统的结构原理图。如图4所示，该系统包括：中间件辅助模块和中间件。
102.其中，中间件辅助模块周期性的连接公钥基础设施pki及授权管理基础设施pmi服务器，从pki下载二级根证及证书吊销列表，从pmi服务器下载用户权限信息，根据二级根证及证书吊销列表生成证书认证缓存文件，根据用户权限信息生成访问鉴权缓存文件，并将证书认证缓存文件和访问鉴权缓存文件进行保存。
103.应用系统根据用户输入的登录请求调用中间件执行身份认证及鉴权时，中间件用于从中间件辅助模块获取缓存文件，并根据缓存文件检验数字证书的有效性及访问权限。
104.本实施例中，中间件辅助模块还定期的将缓存文件更新至设定内存中，当中间件辅助模块异常时，中间件无法与中间件辅助模块通信，此时，中间件从设定内存中获取最新
缓存文件，若最新缓存文件的存在时间未超过设定时长且系统重启次数未超过设定阈值，则根据最新缓存文件检验所述数字证书的有效性及访问权限。
105.本实施例中，中间件还用于将数字证书发送至中间件辅助模块；使得中间件辅助模块根据缓存文件检验数字证书的有效性及访问权限。
106.根据缓存文件对数字证书的有效性及访问权限的检验过程可以参照上述实施例，此处不再赘述。
107.可选的，如图5所示，该系统还包括：监控管理模块；中间件周期性的向中间件辅助模块发送监控数据；中间件辅助模块将监控数据通过监听端口提交至监控管理模块；监控管理模块还用于提供监控策略。
108.监控管理模块的详细功能同样可参照上述实施例。
109.本实施例提供的身份认证与鉴权系统，其特征在于，包括：中间件辅助模块和中间件；中间件辅助模块通过端口周期性的连接公钥基础设施pki及授权管理基础设施pmi服务器，从pki下载二级根证及证书吊销列表，从pmi服务器下载用户权限信息，根据二级根证及证书吊销列表生成证书认证缓存文件，根据用户权限信息生成访问鉴权缓存文件，并将证书认证缓存文件和访问鉴权缓存文件进行保存；应用系统根据用户输入的登录请求调用中间件时，中间件用于从中间件辅助模块获取缓存文件，并根据缓存文件检验数字证书的有效性及访问权限。由中间件辅助模块获取用于身份认证与鉴权的缓存文件，可以缓解中间件的压力。
110.实施例四
111.图6为本发明实施例四提供的一种计算机设备的结构示意图。图6示出了适于用来实现本发明实施方式的计算机设备312的框图。图6显示的计算机设备312仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。设备312是典型的身份认证与鉴权功能的计算设备。
112.如图6所示，计算机设备312以通用计算设备的形式表现。计算机设备312的组件可以包括但不限于：一个或者多个处理器316，存储装置328，连接不同系统组件(包括存储装置328和处理器316)的总线318。
113.总线318表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(industry standard architecture，isa)总线，微通道体系结构(micro channel architecture，mca)总线，增强型isa总线、视频电子标准协会(video electronics standards association，vesa)局域总线以及外围组件互连(peripheral component interconnect，pci)总线。
114.计算机设备312典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备312访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。
115.存储装置328可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(random access memory，ram)330和/或高速缓存存储器332。计算机设备312可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统334可以用于读写不可移动的、非易失性磁介质(图6未显示，通常称为“硬盘驱动
器”)。尽管图6中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如只读光盘(compact disc
‑
read only memory，cd
‑
rom)、数字视盘(digital video disc
‑
read only memory，dvd
‑
rom)或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线318相连。存储装置328可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。
116.具有一组(至少一个)程序模块326的程序336，可以存储在例如存储装置328中，这样的程序模块326包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块326通常执行本发明所描述的实施例中的功能和/或方法。
117.计算机设备312也可以与一个或多个外部设备314(例如键盘、指向设备、摄像头、显示器324等)通信，还可与一个或者多个使得用户能与该计算机设备312交互的设备通信，和/或与使得该计算机设备312能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口322进行。并且，计算机设备312还可以通过网络适配器320与一个或者多个网络(例如局域网(local area network，lan)，广域网wide area network，wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器320通过总线318与计算机设备312的其它模块通信。应当明白，尽管图中未示出，可以结合计算机设备312使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、磁盘阵列(redundant arrays of independent disks，raid)系统、磁带驱动器以及数据备份存储系统等。
118.处理器316通过运行存储在存储装置328中的程序，从而执行各种功能应用以及数据处理，例如实现本发明上述实施例所提供的身份认证与鉴权方法。
119.实施例四
120.本发明实施例提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该程序被处理装置执行时实现如本发明实施例中的身份认证与鉴权方法。本发明上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd
‑
rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、rf(射频)等等，或者上述的任意合适的组合。
121.在一些实施方式中，客户端、服务器可以利用诸如http(hypertext transfer protocol，超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信，并且可以与任意形式或介质的数字数据通信(例如，通信网络)互连。通信网络的示例包括局域网(“lan”)，广域网(“wan”)，网际网(例如，互联网)以及端对端网络(例如，ad hoc端对端网络)，以及任何当前已知或未来研发的网络。
122.上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。
123.上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：部署中间件辅助模块，中间件辅助模块获取用于身份认证与鉴权的缓存文件；根据用户输入的登录请求调用中间件；其中，所述登录请求携带有数字证书；所述中间件从所述中间件辅助模块获取缓存文件；所述中间件根据所述缓存文件检验所述数字证书的有效性及访问权限。
124.可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括但不限于面向对象的程序设计语言—诸如java、smalltalk、c ，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
125.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
126.描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定。
127.本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、片上系统(soc)、复杂可编程逻辑设备(cpld)等等。
128.在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合
适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd
‑
rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
129.注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。