(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111419405.5 (22)申请日 2021.11.26 (71)申请人 浪潮云信息技 术股份公司 地址 250100 山东省济南市高新区浪潮路 1036号浪潮科技园S01号楼 (72)发明人 栗凯　朱璐　玄德　高传集　 (74)专利代理 机构 济南信达专利事务所有限公 司 37100 代理人 陈婷婷 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 12/66(2006.01) G06F 21/44(2013.01) G06F 21/45(2013.01) (54)发明名称 一种API网关实现后端签名的方法及系统 (57)摘要 本发明公开了一种API网关实现后端签名的 方法及系统， 属于软件开发领域， 该方法包括创 建签名密钥， 签名密钥绑定API以及API的调用， 控制台页面创建签名密钥， 签名密钥绑定已发布 的API， 当调用者使用该API时， API网关会携带签 名信息请求后端服务， 后端服务通过预先配置好 的签名密钥验证API网关请求是否合法， 从而保 障后端服务的安全。 本发明能够在保障后端服务 安全调用的前提下省去每次调用API时都要 生成 并携带签名信息， 让API网关接口调用更加安全 高效。 权利要求书2页 说明书6页 附图1页 CN 114124408 A 2022.03.01 CN 114124408 A 1.一种API网关实现后端签名的方法， 其特征在于， 包括创建签名密钥， 签名密钥绑定 API以及API的调用， 控制台页面创建签名密钥， 签名密钥绑定已发布的API， 当调用者使用 该API时， API网关会携带签名信息请求后端服务， 后端服务通过预先配置好的签名密钥验 证API网关请求是否合法， 从而保障后端服 务的安全。 2.根据权利要求1所述的一种API网关实现后端签名的方法， 其特征在于该方法的实现 包括： API管理、 签名密钥和后端服 务， API管理包括API的创建、 修改、 发布、 下线及删除； 签名密钥功能主要包括签名密钥的创建和API的绑定， 所述的API管理托管了后端服务 包含签名验签逻辑的API， 如果该API没有绑定正确的签名密钥， 当用户在调用该API时则调 用失败； 后端服务对API网关绑定的签名密钥进行验签， 当用户调用API时API网关携带的签名 信息校验通过并返回正确的响应信息 。 3.根据权利要求1或2所述的一种API网关实现后端签名的方法， 其特征在于所述签名 密钥由一对Key和Secret组成， 签名密钥需要绑定到API才能生效； 当签名密钥绑定API后， API网关向后端服务发送此API的请求时， 会增加相应的签名信息， 此时需要后端服务按照 同样方式进 行签名， 通过比对后端签名结果和API网关传过来的签名是否一致来校验API请 求的合法性。 4.根据权利要求1或2所述的一种API网关实现后端签名的方法， 其特征在于， 在API网 关控制台中创建后端服务支持签名验签的API， 创建正确的签名密钥并绑定对应的API， API 发布后密钥 信息随API配置更新到API网关内存中， 完成网关API的注 册和密钥绑定 。 5.根据权利要求4所述的一种API网关实现后端签名的方法， 其特征在于， 签名密钥绑 定API时， 创建后端签名插 件配置， 并将签名密钥写入配置中供API网关签名时使用； 当用户调用API网关时， 网关读取配置中的签名密钥对， 通过签名算法按照一定规则生 成签名信息放到 header中， 网关请求后端服 务时携带签名信息， 后端完成签名验签操作； 同一个发布环境中一个API只能被一个签名密钥绑定， 一个签名密钥可以用来绑定多 个API。 6.根据权利要求5所述的一种API网关实现后端签名的方法， 其特征在于， 本方法基于 Kong、 Kubernetes和后端过滤器技术实现托管API的后端服务签名验签能力， kong从 Kubernetes  ConfigMap资源中读取签名密钥对数据， 过程如下： 1)、 绑定了签名密钥的API会创建签名密钥 插件配置， 配置中包含已绑定的签名密钥对 参数； 2)、 kong使用配置中的签名密钥对根据签名算法按照一定规则生成签名信息 。 7.根据权利要求3所述的一种API网关实现后端签名的方法， 其特征在于， Java  Web项 目通过在后端项目中添加Filter的方式拦截 所有或指定的API网关请求， 创建一个 map对象 用于缓存控制台创建好的签名密钥对； 当API网关请求后端服务时携带签名密钥key和签名 信息， 过滤器方法校验请求头中的签名密钥key、 签名时间戳和 签名三个参数信息， 根据传 入的密钥key匹配项目中保存的secret并重新生成签名结果与X ‑Signature ‑Sign签名进行 比对是否一 致来校验API请求的合法性。 8.根据权利要求7所述的一种API网关实现后端签名的方法， 其特征在于， 实现该方法权　利　要　求　书 1/2 页 2 CN 114124408 A 2的API的调用过程如下： 1)、 控制台创建签名密钥； 2)、 签名密钥绑定API； 3)、 客户端请求网关API； 4)、 API网关收到用户请求后从内存中获取当前调用API绑定的签名密钥对配置信息； 5)、 网关根据密钥对生成签名信息并携带签名信息请求后端服 务； 6)、 后端过滤器拦截网关请求， 对请求header中的签名密钥key、 签名时间戳和签名参 数校验； 7)、 Filter根据网关请求header中的密钥Key匹配项目中保存的secret并重新生成签 名结果与传入的签名进行比对是否一 致来校验API请求的合法性。 9.一种API网关实现后端签名的系统， 其特征在于， 包括： API管理控制台以及至少一个 存储器和至少一个处 理器； 所述至少一个存 储器， 用于存 储机器可读程序； 所述至少一个处理器， 用于调用所述机器可读程序， 执行权利要求1至8任一所述的方 法。 10.计算机可读介质， 其特征在于， 所述计算机可读介质上存储有计算机指令， 所述计 算机指令在被处 理器执行时， 使所述处 理器执行权利要求1至8任一所述的方法。权　利　要　求　书 2/2 页 3 CN 114124408 A 3