一种鉴权方法、装置、服务器及存储介质与流程

1.本发明涉及大数据存储技术领域，尤其涉及一种鉴权方法、装置、服务器及存储介质。


背景技术：

2.分布式文件系统（hadoop distributed file system，hdfs）的容错性较高，可以部署在廉价的机器上。能提供高吞吐量的大数据访问，在大规模数据集上的应用广泛。hdfs架构包括名称节点（namenode，nn）和数据节点（datanode，dn），通过对所有的namenode安装鉴权插件，从而可以基于策略提供更细粒度的权限管控。此外，由于单个namenode所能存储的对象存在限制，当集群文件数达到一定规模，namenode内存达到单节点瓶颈，hdfs便无法提供扩容能力。因此，提出了hdfs联邦（federation）机制，以及基于路由器的联盟（router based federation，rbf）的解决方案。
3.经过hdfs federation和rbf的两次演进，实现了hdfs的超大存储功能，形成了由多个hdfs子集群构成超大rbf集群的存储架构。然而，每个hdfs子集群都拥有独立的安全策略，现有技术中rbf集群存在鉴权效率较差的问题。


技术实现要素：

4.本发明实施例提供了一种鉴权方法、装置、服务器及存储介质，以解决现有技术中rbf集群鉴权效率较差的问题。
5.为解决上述技术问题，本发明是这样实现的：第一方面，本发明实施例提供了一种鉴权方法，用于包括分布式文件系统hdfs的服务器，所述方法包括：所述hdfs的路由层接收客户端发送的请求信息；基于所述路由层的第一鉴权插件，对所述请求信息进行鉴权认证处理；在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
6.可选地，所述请求信息包括请求路径信息和客户端的身份信息；所述基于所述路由层的第一鉴权插件，对所述请求信息进行鉴权认证处理，包括：在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若调用所述路由层的第一鉴权插件，则所述第一鉴权插件对所述客户端的身份信息进行鉴权认证处理；所述在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息，包括：在所述客户端的身份信息通过所述第一鉴权插件的鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
7.可选地，所述基于所述hdfs的目标子集群响应所述请求信息，包括：
在所述路由层的挂载表中确定与所述请求路径信息对应的挂载目录；在所述hdfs的多个子集群中确定与所述挂载目录对应的目标子集群；基于所述目标子集群响应所述请求信息。
8.可选地，所述方法还包括：在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若未调用所述路由层的第一鉴权插件，则基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理。
9.可选地，在所述基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理之后，所述在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息，包括：在所述客户端的身份信息通过所述第二鉴权插件的鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
10.可选地，所述在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若未调用所述路由层的第一鉴权插件，则基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理，包括：在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若未调用所述路由层的第一鉴权插件，则验证所述请求信息的默认权限，所述默认权限包括可读权限、可写权限、可执行权限；在所述请求信息的所述默认权限验证通过的情况下，基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理。
11.第二方面，本发明实施例还提供了一种鉴权装置，部署于分布式文件系统hdfs的服务器，所述装置包括：接收模块，用于所述hdfs的路由层接收客户端发送的请求信息；第一处理模块，用于基于所述路由层的第一鉴权插件，对所述请求信息进行鉴权认证处理；响应模块，用于在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
12.可选地，所述请求信息包括请求路径信息和客户端的身份信息；所述第一处理模块包括：第一处理子模块，用于在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若调用所述路由层的第一鉴权插件，则所述第一鉴权插件对所述客户端的身份信息进行鉴权认证处理；所述响应模块包括：第一响应子模块，用于在所述客户端的身份信息通过所述第一鉴权插件的鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
13.可选地，所述第一响应子模块包括：第一确定单元，用于在所述路由层的挂载表中确定与所述请求路径信息对应的挂载目录；第二确定单元，用于在所述hdfs的多个子集群中确定与所述挂载目录对应的目标
子集群；第一响应单元，用于基于所述目标子集群响应所述请求信息。
14.可选地，所述装置还包括：第二处理模块，用于在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若未调用所述路由层的第一鉴权插件，则基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理。
15.可选地，所述响应模块包括：第二响应子模块，用于在所述客户端的身份信息通过所述第二鉴权插件的鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
16.可选地，所述第二处理模块包括：验证子模块，用于在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若未调用所述路由层的第一鉴权插件，则验证所述请求信息的默认权限，所述默认权限包括可读权限、可写权限、可执行权限；第二处理子模块，用于在所述请求信息的所述默认权限验证通过的情况下，基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理。
17.第三方面，本发明实施例还提供了一种服务器，包括收发机和处理器，所述收发机，用于分布式文件系统hdfs的路由层接收客户端发送的请求信息；所述处理器，用于基于所述路由层的第一鉴权插件，对所述请求信息进行鉴权认证处理；所述处理器，还用于在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
18.可选地，所述请求信息包括请求路径信息和客户端的身份信息；所述基于所述路由层的第一鉴权插件，对所述请求信息进行鉴权认证处理，包括：在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若调用所述路由层的第一鉴权插件，则所述第一鉴权插件对所述客户端的身份信息进行鉴权认证处理；所述在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息，包括：在所述客户端的身份信息通过所述第一鉴权插件的鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
19.可选地，所述基于所述hdfs的目标子集群响应所述请求信息，包括：在所述路由层的挂载表中确定与所述请求路径信息对应的挂载目录；在所述hdfs的多个子集群中确定与所述挂载目录对应的目标子集群；基于所述目标子集群响应所述请求信息。
20.可选地，所述处理器，还用于在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若未调用所述路由层的第一鉴权插件，则基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理。
21.可选地，在所述基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理之后，所述在所述请求信息通过鉴权认证的情况下，基于所述
hdfs的目标子集群响应所述请求信息，包括：在所述客户端的身份信息通过所述第二鉴权插件的鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
22.可选地，所述在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若未调用所述路由层的第一鉴权插件，则基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理，包括：在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若未调用所述路由层的第一鉴权插件，则验证所述请求信息的默认权限，所述默认权限包括可读权限、可写权限、可执行权限；在所述请求信息的所述默认权限验证通过的情况下，基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理。
23.第四方面，本发明实施例还提供了一种服务器，包括：处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序，所述程序被所述处理器执行时实现上述的鉴权方法的步骤。
24.第五方面，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述的鉴权方法的步骤。
25.本发明实施例中，基于hdfs框架，在路由层设置了第一鉴权插件，为hdfs子集群提供了统一的安全鉴权入口，便于鉴权策略的集中管理；通过第一鉴权插件对客户端发送的请求信息进行鉴权认证处理，在路由层拦截了不具备权限的请求信息，降低了服务器的请求负载，并将通过鉴权认证的请求信息转发至hdfs的目标子集群，基于hdfs的目标子集群响应请求信息，从而提升集群鉴权效率。
附图说明
26.为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
27.图1是本发明实施例提供的一种鉴权方法的流程图之一；图2是本发明实施例提供的一种鉴权方法的流程图之二；图3是本发明实施例提供的一种鉴权方法的流程图之三；图4是本发明实施例提供的一种鉴权方法的流程图之四；图5是本发明实施例提供的一种鉴权装置的结构示意图；图6是本发明实施例提供的一种服务器的结构示意图。
具体实施方式
28.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施
例，都属于本发明保护的范围。
29.参见图1，图1是本发明实施例提供的一种鉴权方法的流程图之一，用于包括分布式文件系统hdfs的服务器，如图1所示，所述方法包括以下步骤：步骤101、所述hdfs的路由层接收客户端发送的请求信息；基于hdfs federation机制，通过引入多个nn以形成多个名称空间（namespace，ns），各nn相互独立，同时dn作为所有nn的公共存储，解决nn内存达到单节点瓶颈后，hdfs便无法提供扩容能力的问题。但是，在hdfs federation架构中nn的隔离特性，不同ns相互隔离。引入的新的nn实际上只相当于一个存储扩展，客户端访问不同的nn需要单独维护映射关系（数据所保存的ns），进一步提出了rbf的解决方案。可以对客户端屏蔽底层federation的架构，对外暴露为一个超大的存储集群，提升hdfs的大数据存储性能。路由层的路由器（router，r）接收客户端发送的请求信息后，通过步骤102进行鉴权认证处理。
30.步骤102、基于所述路由层的第一鉴权插件，对所述请求信息进行鉴权认证处理；通过在hdfs路由层为router组件开发第一鉴权插件（ranger plugin），可以为超大存储集群提供统一的安全鉴权入口。路由层router在转发请求信息之前，通过第一鉴权插件对请求信息进行鉴权认证处理，避免转发无权限的请求信息。其中，请求信息可以是远程过程调用（remote procedure call，rpc）请求。
31.步骤103、在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
32.通过路由层router内嵌的第一鉴权插件对请求信息进行鉴权认证处理，在路由层拦截了所有不具备权限的请求信息，有效降低了rpc负载；而在请求信息通过鉴权认证的情况下，基于路由层router统一管理的挂载表，将通过鉴权认证的请求信息转发至正确hdfs子集群，即hdfs的目标子集群，使得hdfs的目标子集群响应请求信息。
33.其中，每个hdfs的子集群中可以包括两个nn和多个dn，两个nn可以是主从架构，用于管理文件系统的元数据；多个dn则用于存储实际的数据。
34.本发明实施例中，基于hdfs框架，在路由层设置了第一鉴权插件，为hdfs子集群提供了统一的安全鉴权入口，便于鉴权策略的集中管理；通过第一鉴权插件对客户端发送的请求信息进行鉴权认证处理，在路由层拦截了不具备权限的请求信息，降低了服务器的请求负载，并将通过鉴权认证的请求信息转发至hdfs的目标子集群，基于hdfs的目标子集群响应请求信息，从而提升集群鉴权效率。
35.其中，hdfs路由层提供鉴权策略的集中管理功能，可以是通过第一鉴权插件定期分发ranger策略的方式，这样，无需手动登录各hdfs子集群配置策略，有效降低运维人员工作量，且避免了错配、漏配产生的安全问题等。
36.可选地，所述请求信息包括请求路径信息和客户端的身份信息；所述基于所述路由层的第一鉴权插件，对所述请求信息进行鉴权认证处理，包括：在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若调用所述路由层的第一鉴权插件，则所述第一鉴权插件对所述客户端的身份信息进行鉴权认证处理；所述在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息，包括：
在所述客户端的身份信息通过所述第一鉴权插件的鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
37.在一实施例中，如图2所示，客户端发送rpc请求信息至hdfs的路由层router组件；在路由层的挂载表包括与rpc路径信息对应的挂载目录的情况下，路由层router查看rpc请求路径信息对应的挂载目录是否开启ranger安全策略，若开启ranger安全策略，即调用路由层的第一鉴权插件对rpc请求信息中客户端的身份信息进行鉴权认证处理，则激活路由层的第一鉴权插件，以查看客户是否具备权限；若在客户端的身份信息通过第一鉴权插件的鉴权认证的情况下，即具备权限，则将rpc请求信息转发至hdfs的目标子集群，基于hdfs的目标子集群响应请求信息；若无权限，则向客户端返回预设信息，以拒绝rpc请求。
38.其中，所述基于hdfs的目标子集群响应请求信息，包括：在所述路由层的挂载表中确定与所述请求路径信息对应的挂载目录；在所述hdfs的多个子集群中确定与所述挂载目录对应的目标子集群；基于所述目标子集群响应所述请求信息。
39.这样，在请求信息通过鉴权认证的情况下，基于路由层router统一管理的挂载表，将通过鉴权认证的请求信息转发至正确hdfs子集群，可以对客户端屏蔽底层federation的架构，对外暴露为一个超大的存储集群，提升转发效率。
40.其中，在路由层的挂载表中未包括与rpc路径信息对应的挂载目录的情况下，则向客户端返回预设信息，以拒绝rpc请求。
41.鉴于实际生产中，存在独立使用底层hdfs子集群的情况，独立使用hdfs子集群时，进行鉴权认证处理，可以避免产生权限漏洞。因此，可选地，所述方法还可以包括：在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若未调用所述路由层的第一鉴权插件，则基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理。
42.在一实施例中，如图2所示，客户端发送rpc请求信息至hdfs的路由层router组件；在路由层的挂载表包括与rpc路径信息对应的挂载目录的情况下，路由层router查看rpc请求路径信息对应的挂载目录是否开启ranger安全策略，若未开启ranger安全策略，即未调用路由层的第一鉴权插件对rpc请求信息中客户端的身份信息进行鉴权认证处理，则验证rpc请求信息的默认权限，默认权限包括可读权限、可写权限、可执行权限（即rwx权限）。
43.若rpc请求信息具备rwx权限，即在rpc请求信息的默认权限验证通过的情况下，则转发至挂载目录对应hdfs的目标子集群；若rpc请求信息部具备rwx权限，则向客户端返回预设信息，以拒绝rpc请求。
44.其中，在将rpc请求信息转发至挂载目录对应hdfs的目标子集群后，可以激活hdfs的目标子集群中的第二鉴权插件，基于目标子集群的第二鉴权插件对客户端的身份信息进行鉴权认证处理，以查看客户是否具备权限，避免产生权限漏洞，提升hdfs的安全性。若在客户端的身份信息通过第二鉴权插件的鉴权认证的情况下，即具备权限，则基于hdfs的目标子集群响应rpc请求信息；若无权限，则向客户端返回预设信息，以拒绝rpc请求。
45.本实施例中，基于hdfs框架，在路由层设置了第一鉴权插件，为hdfs子集群提供了统一的安全鉴权入口，可以通过第一鉴权插件定期分发ranger策略的方式，无需手动登录各hdfs子集群配置策略，有效降低运维人员工作量，且避免了错配、漏配产生的安全问题
等，便于hdfs子集群鉴权策略的集中管理；同时，通过第一鉴权插件对客户端发送的请求信息进行鉴权认证处理，在路由层拦截了不具备权限的请求信息，降低了服务器的请求负载，提升了集群鉴权效率。在将请求信息转发至hdfs的目标子集群后，可以根据是否需要独立使用底层hdfs判断是否开启hdfs子集群的第二鉴权插件，提升了系统的灵活性。
46.在一些可选地实施方式中，如图2和图3所示，客户端发送rpc请求信息至hdfs的路由层router组件；在路由层的挂载表包括与rpc路径信息对应的挂载目录的情况下，路由层router查看rpc请求路径信息对应的挂载目录是否开启ranger安全策略，若开启ranger安全策略，即调用路由层的第一鉴权插件对rpc请求信息中客户端的身份信息进行鉴权认证处理，则激活路由层的第一鉴权插件，以查看客户是否具备权限；若在客户端的身份信息通过第一鉴权插件的鉴权认证的情况下，即具备权限，则将rpc请求信息转发至hdfs的目标子集群。若路由层router需要进行分发策略，则hdfs的目标子集群可以开启ranger安全策略，调用hdfs的目标子集群中的第二鉴权插件对客户端的身份信息进行鉴权认证处理，以进一步查看客户是否具备权限，避免产生权限漏洞，提升hdfs的安全性。若在客户端的身份信息通过第二鉴权插件的鉴权认证的情况下，即具备权限，则基于hdfs的目标子集群响应rpc请求信息。
47.其中，路由层router组件提供了权限统一管理功能，对外提供统一的router ranger api接口，路由层router通过第一鉴权插件可以定期调用hdfs子集群的hdfs ranger api接口，以分发ranger策略，从而无需手动登录各hdfs子集群配置策略，有效降低运维人员工作量，提升鉴权效率。
48.在另一些可选的实施方式中，如图2和图4所示，客户端发送rpc请求信息至hdfs的路由层router组件；在路由层的挂载表包括与rpc路径信息对应的挂载目录的情况下，路由层router查看rpc请求路径信息对应的挂载目录是否开启ranger安全策略，若开启ranger安全策略，即调用路由层的第一鉴权插件对rpc请求信息中客户端的身份信息进行鉴权认证处理，则激活路由层的第一鉴权插件，以查看客户是否具备权限；若在客户端的身份信息通过第一鉴权插件的鉴权认证的情况下，即具备权限，则将rpc请求信息转发至hdfs的目标子集群。若路由层router不需要进行分发策略，则不需要开启第二鉴权插件；基于hdfs的目标子集群响应rpc请求信息。
49.参见图5，图5是本发明实施例提供的一种鉴权装置的结构示意图，如图5所示，鉴权装置500可以部署于分布式文件系统hdfs的服务器，鉴权装置500包括：接收模块501，用于所述hdfs的路由层接收客户端发送的请求信息；第一处理模块502，用于基于所述路由层的第一鉴权插件，对所述请求信息进行鉴权认证处理；响应模块503，用于在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
50.可选地，所述请求信息包括请求路径信息和客户端的身份信息；第一处理模块502包括：第一处理子模块，用于在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若调用所述路由层的第一鉴权插件，则所述第一鉴权插件对所述客户端的身份信息进行鉴权认证处理；
响应模块503包括：第一响应子模块，用于在所述客户端的身份信息通过所述第一鉴权插件的鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
51.可选地，所述第一响应子模块包括：第一确定单元，用于在所述路由层的挂载表中确定与所述请求路径信息对应的挂载目录；第二确定单元，用于在所述hdfs的多个子集群中确定与所述挂载目录对应的目标子集群；第一响应单元，用于基于所述目标子集群响应所述请求信息。
52.可选地，鉴权装置500还包括：第二处理模块，用于在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若未调用所述路由层的第一鉴权插件，则基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理。
53.可选地，响应模块503包括：第二响应子模块，用于在所述客户端的身份信息通过所述第二鉴权插件的鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
54.可选地，所述第二处理模块包括：验证子模块，用于在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若未调用所述路由层的第一鉴权插件，则验证所述请求信息的默认权限，所述默认权限包括可读权限、可写权限、可执行权限；第二处理子模块，用于在所述请求信息的所述默认权限验证通过的情况下，基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理。
55.鉴权装置500能实现上述鉴权方法的各实施例的各个过程，技术特征一一对应，且能达到相同的技术效果，为避免重复，这里不再赘述。
56.本发明实施例还提供了一种服务器，包括：处理器、存储器及存储在存储器上并可在处理器上运行的程序，程序被处理器执行时实现上述鉴权方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
57.具体的，参见图6，本发明实施例还提供了一种服务器，包括总线601、收发机602、天线603、总线接口604、处理器605和存储器606。
58.其中，收发机602，用于分布式文件系统hdfs的路由层接收客户端发送的请求信息；处理器605，用于基于所述路由层的第一鉴权插件，对所述请求信息进行鉴权认证处理；处理器605，还用于在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。
59.可选地，所述请求信息包括请求路径信息和客户端的身份信息；所述基于所述路由层的第一鉴权插件，对所述请求信息进行鉴权认证处理，包括：在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若调用所述路由层的第一鉴权插件，则所述第一鉴权插件对所述客户端的身份信息进行鉴权认
logic device，cpld）。
67.本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述鉴权方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器（read-only memory，rom）、随机存取存储器（random access memory，ram）、磁碟或者光盘等。
68.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外，需要指出的是，本发明实施方式中的方法和装置的范围不限于按所讨论的顺序来执行功能，还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能，例如，可以按不同于所描述的次序来执行所描述的方法，并且还可以添加、省去、或组合各种步骤。另外，参照某些示例所描述的特征可在其他示例中被组合。
69.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质（如rom/ram、磁碟、光盘）中，包括若干指令用以使得一台终端（可以是手机，计算机，服务器，空调器，或者网络设备等）执行本发明各个实施例所述的方法。
70.上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本发明的保护之内。

技术特征：
1.一种鉴权方法，其特征在于，用于包括分布式文件系统hdfs的服务器，所述方法包括：所述hdfs的路由层接收客户端发送的请求信息；基于所述路由层的第一鉴权插件，对所述请求信息进行鉴权认证处理；在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。2.根据权利要求1所述的方法，其特征在于，所述请求信息包括请求路径信息和客户端的身份信息；所述基于所述路由层的第一鉴权插件，对所述请求信息进行鉴权认证处理，包括：在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若调用所述路由层的第一鉴权插件，则所述第一鉴权插件对所述客户端的身份信息进行鉴权认证处理；所述在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息，包括：在所述客户端的身份信息通过所述第一鉴权插件的鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。3.根据权利要求2所述的方法，其特征在于，所述基于所述hdfs的目标子集群响应所述请求信息，包括：在所述路由层的挂载表中确定与所述请求路径信息对应的挂载目录；在所述hdfs的多个子集群中确定与所述挂载目录对应的目标子集群；基于所述目标子集群响应所述请求信息。4.根据权利要求2所述的方法，其特征在于，所述方法还包括：在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若未调用所述路由层的第一鉴权插件，则基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理。5.根据权利要求4所述的方法，其特征在于，在所述基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理之后，所述在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息，包括：在所述客户端的身份信息通过所述第二鉴权插件的鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。6.根据权利要求4所述的方法，其特征在于，所述在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若未调用所述路由层的第一鉴权插件，则基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理，包括：在所述路由层的挂载表包括与所述请求路径信息对应的挂载目录的情况下，若未调用所述路由层的第一鉴权插件，则验证所述请求信息的默认权限，所述默认权限包括可读权限、可写权限、可执行权限；在所述请求信息的所述默认权限验证通过的情况下，基于所述hdfs的目标子集群中的第二鉴权插件对所述客户端的身份信息进行鉴权认证处理。7.一种鉴权装置，其特征在于，部署于分布式文件系统hdfs的服务器，所述装置包括：
接收模块，用于所述hdfs的路由层接收客户端发送的请求信息；第一处理模块，用于基于所述路由层的第一鉴权插件，对所述请求信息进行鉴权认证处理；响应模块，用于在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。8.一种服务器，其特征在于，包括收发机和处理器，所述收发机，用于分布式文件系统hdfs的路由层接收客户端发送的请求信息；所述处理器，用于基于所述路由层的第一鉴权插件，对所述请求信息进行鉴权认证处理；所述处理器，还用于在所述请求信息通过鉴权认证的情况下，基于所述hdfs的目标子集群响应所述请求信息。9.一种服务器，其特征在于，包括：处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序，所述程序被所述处理器执行时实现如权利要求1至6中任一项所述的鉴权方法的步骤。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的鉴权方法的步骤。

技术总结
本发明提供了一种鉴权方法、装置、服务器及存储介质，涉及大数据存储技术领域，所述方法包括：HDFS的路由层接收客户端发送的请求信息；基于路由层的第一鉴权插件，对请求信息进行鉴权认证处理；在请求信息通过鉴权认证的情况下，基于HDFS的目标子集群响应请求信息。通过在路由层设置了第一鉴权插件，为HDFS子集群提供了统一的安全鉴权入口，便于鉴权策略的集中管理；通过第一鉴权插件对客户端发送的请求信息进行鉴权认证处理，在路由层拦截了不具备权限的请求信息，降低了服务器的请求负载，并将通过鉴权认证的请求信息转发至HDFS的目标子集群，基于HDFS的目标子集群响应请求信息，从而提升集群鉴权效率。从而提升集群鉴权效率。从而提升集群鉴权效率。


技术研发人员：王杰
受保护的技术使用者：中国移动通信集团有限公司
技术研发日：2023.08.15
技术公布日：2023/9/14