CN102480475B - Web服务安全访问控制方法、装置及系统 - Google Patents
Web服务安全访问控制方法、装置及系统 Download PDFInfo
- Publication number
- CN102480475B CN102480475B CN201010565865.4A CN201010565865A CN102480475B CN 102480475 B CN102480475 B CN 102480475B CN 201010565865 A CN201010565865 A CN 201010565865A CN 102480475 B CN102480475 B CN 102480475B
- Authority
- CN
- China
- Prior art keywords
- web service
- external system
- session identification
- information
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明适用于计算机技术领域,提供了一种Web服务安全访问控制方法、装置及系统,所述方法包括:提取外部系统发送的Web服务访问请求信息中的会话标识;获取所述会话标识关联的外部系统访问上下文信息;将所述外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。本发明克服了访问Web服务时,将身份信息作为接口参数,直接传输给每一个请求的Web服务,外部系统身份信息直接暴露的问题,提高了提供Web服务的ERP系统的安全性,降低了提供Web服务的系统维护成本。
Description
技术领域
本发明属于计算机技术领域,尤其涉及一种Web服务安全访问控制方法、装置及系统。
背景技术
Web服务(Web服务)的主要目标是跨平台的可互操作性。为了达到这一目标,Web服务主要是基于XML(可扩展标记语言)、XSD(XML Schema)等独立于平台、独立于软件供应商的标准,因此,Web服务具有应用程序集成,以及软件和数据重用等优点。
目前,用户进行Web服务的访问时,访问控制策略是将身份信息作为Web服务的接口参数,直接传输给Web服务,由Web服务自身进行验证,使得用户身份信息直接暴露,降低了系统的安全性,增加了Web服务系统的复杂性和维护成本。
发明内容
本发明实施例的目的在于提供一种Web服务安全访问控制方法、装置及系统,旨在解决由于访问Web服务(Web Service)时,访问控制策略是将身份信息作为Web服务的接口参数,直接传输给Web服务,使得用户身份信息直接暴露,导致系统安全性降低,系统维护困难的问题。
本发明实施例是这样实现的,一种Web服务安全访问控制方法,所述方法包括下述步骤:
提取外部系统发送的Web服务访问请求信息中的会话标识;
当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识时,获取所述会话标识关联的外部系统访问上下文信息;
将所述外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。
本发明实施例的另一目的在于提供一种Web服务安全访问控制装置,所述装置包括:
会话标识提取单元,用于提取外部系统发送的Web服务访问请求信息中的会话标识;
上下文信息获取单元,用于当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识提取单元提取的会话标识时,获取所述会话标识关联的外部系统访问上下文信息;以及
上下文信息发送单元,用于将所述上下文信息获取单元获取的外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。
本发明实施例的另一目的在于提供一种包括Web服务安全访问控制装置的ERP系统,所述Web服务安全访问控制装置包括:
会话标识提取单元,用于提取外部系统发送的Web服务访问请求信息中的会话标识;
上下文信息获取单元,用于当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识提取单元提取的会话标识时,获取所述会话标识关联的外部系统访问上下文信息;以及
上下文信息发送单元,用于将所述上下文信息获取单元获取的外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。
本发明实施例通过在接收到Web服务访问请求信息时,提取Web服务访问请求信息中的会话标识,当检索到会话标识时,获取会话标识关联的外部系统访问上下文信息,将该上下文信息发送给处理Web服务访问请求信息的ERP系统,克服了访问Web服务时,将身份信息作为Web服务的接口参数,直接传输给Web服务,使得外部系统身份信息直接暴露,导致系统安全性降低,系统维护困难的问题,提高了提供Web服务的ERP系统的安全性,同时,降低了Web服务的复杂性和系统维护成本。
附图说明
图1是本发明第一实施例提供的Web服务安全访问控制方法的实现流程图;
图2是本发明第二实施例提供的Web服务安全访问控制方法的实现流程图;
图3是本发明第四实施例提供的Web服务安全访问控制装置的结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例通过提取Web服务访问请求信息中的会话标识,当检索到会话标识时,获取会话标识关联的外部系统访问上下文信息,将该上下文信息发送给处理Web服务访问请求信息的ERP系统,克服了访问Web服务时,将身份信息作为Web服务的接口参数,直接传输给Web服务,使得外部系统身份信息直接暴露,导致系统安全性降低,系统维护困难的问题,提高了提供Web服务的ERP系统的安全性,降低了Web服务的复杂性和系统维护成本。
本发明实施例提供了一种Web服务安全访问控制方法,所述方法包括下述步骤:
提取外部系统发送的Web服务访问请求信息中的会话标识;
当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识时,获取所述会话标识关联的外部系统访问上下文信息;
将所述外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。
本发明实施例还提供了一种Web服务安全访问控制装置,所述装置包括:
会话标识提取单元,用于提取外部系统发送的Web服务访问请求信息中的会话标识;
上下文信息获取单元,用于当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识提取单元提取的会话标识时,获取所述会话标识关联的外部系统访问上下文信息;以及
上下文信息发送单元,用于将所述上下文信息获取单元获取的外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。
本发明实施例还提供了一种包括Web服务安全访问控制装置的ERP系统,所述Web服务安全访问控制装置包括:
会话标识提取单元,用于提取外部系统发送的Web服务访问请求信息中的会话标识;
上下文信息获取单元,用于当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识提取单元提取的会话标识时,获取所述会话标识关联的外部系统访问上下文信息;以及
上下文信息发送单元,用于将所述上下文信息获取单元获取的外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。
本发明实施例通过在接收到Web服务访问请求信息时,提取Web服务访问请求信息中的会话标识,当检索到会话标识时,获取会话标识关联的外部系统访问上下文信息,将该上下文信息发送给处理Web服务访问请求信息的ERP系统,克服了访问Web服务时,将身份信息作为Web服务的接口参数,直接传输给Web服务,使得外部系统身份信息直接暴露,导致系统安全性降低,系统维护困难的问题,提高了提供Web服务的ERP系统的安全性,降低了Web服务的复杂性和系统维护成本。
以下结合具体实施例对本发明的具体实现进行详细描述:
实施例一:
Web服务是一个应用程序,向外界暴露一个能够通过Web进行调用的应用程序调用接口(API),供外部系统使用,外部系统只须提供Web服务服务所必须的参数即可,通过Web服务接口接收到该参数后,Web服务对外部系统请求进行处理后返回处理结果。在本发明实施例中,ERP系统的功能都是以Web服务的形式向外部系统提供。
图1示出了本发明第一实施例提供的Web服务安全访问控制方法的实现流程,详述如下:
在步骤S101中,提取外部系统发送的Web服务访问请求信息中的会话(Session)标识。
在本发明实施例中,发送Web服务访问请求信息的外部系统可以是用户终端、同构的或异构的其它ERP系统,接收到的Web服务访问请求信息可以是简单对象访问协议(SOAP)或阿帕奇可扩展交互系统(Axis)等消息格式,访问请求信息的封装格式在此不用以限制本发明。
在步骤S102中,当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识时,获取步骤S101提取的会话标识关联的外部系统访问上下文信息。
在本发明实施例中,通过在存储会话标识的散列表、数据库表,或其它文件中检索会话标识,当检索到会话标识时,获取会话标识关联的外部系统访问上下文信息,该上下文信息包括会话标识对应的外部系统访问历史记录信息、以及外部系统权限信息等,处理Web服务的ERP系统根据该上下文信息对外部系统请求进行处理。当从存储的会话标识和外部系统访问上下文信息之间的关联关系中未检索到会话标识时,向外部系统发送拒绝Web服务访问请求服务信息。
在步骤S103中,将外部系统访问上下文信息发送给处理Web服务访问请求信息的ERP系统,以使该ERP系统根据外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。
在本发明实施例中,按照SOAP等通信协议对Web服务访问请求信息和访问Web服务的会话标识进行封装,在接收该请求信息后,提取会话标识,获取会话标识关联的外部系统上下文信息,提供Web服务的ERP系统根据外部系统上下文信息向外部系统提供服务,使得系统能够在不改变提供ERP系统服务的Web服务接口情况下,对Web服务的访问进行安全控制,有效地保护了外部系统的身份信息,提高了提供Web服务服务的ERP系统的安全性。
实施例二:
会话机制是一种服务器端的机制,服务器使用一种散列表或其它结构来保存信息。当接收到外部系统服务请求时,服务器首先检查请求中是否包含了一个会话标识(Session id),如果请求不包含会话标识,则为该外部系统创建一个会话并生成一个与该会话关联的会话标识,会话标识将在本次响应中返回给外部系统。
在本发明实施例,在请求Web服务服务前,Web服务提供商需要对请求服务的外部系统身份信息进行验证,当验证通过后,生成相应的会话标识,并发送给外部系统,在本发明实施例中,采用SOAP消息格式对访问请求信息进行封装。
图2示出了本发明第二实施例提供的Web服务安全访问控制方法的实现流程,其中,ERP系统以Web服务的形式以外部系统提供服务,详述如下:
1.外部系统向Web服务安全访问控制装置发送身份信息。
2.Web服务安全访问控制装置对外部系统身份信息进行验证,当验证通过时,生成本次访问Web服务的会话标识,保存所述会话标识。
在本发明实施例中,Web服务安全访问控制装置也可以提供一个Web服务形式的身份信息验证服务。
在本发明实施例中,还需将会话标识关联的外部系统访问信息保存到外部系统访问上下文信息中,以便处理外部系统Web服务请求的ERP系统根据外部系统访问上下文信息对请求进行处理。
3.Web服务安全访问控制装置将生成的会话标识发送给外部系统。
4.外部系统将会话标识封装到Web服务访问请求的SOAP消息中。
5.外部系统将封装Web服务访问请求的SOAP消息发送给Web服务安全访问控制装置。
6.Web服务安全访问控制装置提取Web服务访问请求信息中的会话标识。
7.Web服务安全访问控制装置当检索到会话标识时,获取会话标识关联的外部系统访问上下文信息。
8.Web服务安全访问控制装置将外部系统访问上下文信息发送给处理Web服务访问请求信息的ERP系统。
9.ERP系统根据外部系统访问上下文信息,对接收的Web服务访问请求进行处理。
10.ERP系统向外部系统发送Web服务结果。
在本发明实施例中,外部系统通过SOAP协议与提供Web服务的Web服务安全访问控制装置、以及ERP系统进行通信,在协议中封装会话标识,通过Web服务安全访问控制装置对会话标识进行认证验证,从而在对提供Web服务的ERP系统进行安全控制时,无须改变现有Web服务的接口,减少了系统维护和扩展的工作量以及成本。
实施例三:
在本发明实施例中,当外部系统通过Web服务安全访问控制装置请求ERP系统提供的Web服务时,无论是否为同一外部系统,Web服务安全访问控制装置都会分配与上一次登录不同的会话标识给外部系统,从而保证系统的安全性。
实施例四:
在本发明实施例中,当外部系统登录ERP系统后,超过预设时间未请求Web服务时,外部系统的登录信息将被注销,从而减少非活动用户占用Web服务提供系统的资源,提高Web服务提供系统的资源利用率。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如ROM/RAM、磁盘、光盘等。
实施例四:
图3示出了本发明第四实施例提供的Web服务安全访问控制装置的结构,为了便于说明,仅示出了与本发明实施例相关的部分。
该Web服务安全访问控制装置可以用于ERP系统中,可以是运行于ERP内的软件单元,也可以作为独立的挂件集成到ERP系统中,其中:
身份信息验证单元31接收外部系统输入的身份信息,对身份信息进行验证;当身份信息验证单元31的身份信息验证通过时,会话标识发送单元32生成本次访问Web服务的会话标识,保存会话标识,并将会话标识发送给外部系统。
会话标识提取单元33提取外部系统发送的Web服务访问请求信息中的会话标识;当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到会话标识提取单元33提取的会话标识时,上下文信息获取单元34获取会话标识关联的外部系统访问上下文信息;上下文信息发送单元35将上下文信息获取单元34获取的外部系统访问上下文信息发送给处理Web服务访问请求信息的ERP系统,以使该ERP系统根据外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。
上述仅为本发明的系统实施例,其各单元的功能如上述方法实施例所述,在此不再赘述,但不用以限制本发明。
本发明实施例通过在接收到Web服务访问请求信息时,提取Web服务访问请求信息中的会话标识,当检索到会话标识时,获取会话标识关联的外部系统访问上下文信息,将外部系统访问上下文信息发送给处理Web服务访问请求信息的ERP系统,克服了访问Web服务时,将身份信息作为Web服务的接口参数,直接传输给Web服务,使得外部系统身份信息直接暴露,导致系统安全性降低,系统维护困难的问题,提高了提供Web服务的ERP系统的安全性,降低了系统的维护成本。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种Web服务安全访问控制方法,其特征在于,所述方法包括下述步骤:
提取外部系统发送的Web服务访问请求信息中的会话标识;
当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识时,获取所述会话标识关联的外部系统访问上下文信息,所述外部系统访问上下文信息为会话标识对应的外部系统访问历史记录信息、以及外部系统权限信息;
将所述外部系统访问上下文信息发送给处理所述Web服务访问请求信息的、提供Web服务的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。
2.如权利要求1所述的方法,其特征在于,所述方法还包括下述步骤:
当从存储的会话标识和外部系统访问上下文信息之间的关联关系中未检索到所述会话标识时,拒绝外部系统发送的Web服务访问请求。
3.如权利要求1所述的方法,其特征在于,所述Web服务访问请求信息按照SOAP消息的格式进行封装。
4.如权利要求1所述的方法,其特征在于,所述提取外部系统发送的Web服务访问请求信息中的会话标识的步骤之前,所述方法还包括下述步骤:
接收外部系统输入的身份信息,对所述身份信息进行验证;
当所述身份信息验证通过时,生成本次访问Web服务的会话标识,保存所述会话标识,并将会话标识发送给外部系统。
5.如权利要求4所述的方法,其特征在于,所述方法还包括下述步骤:
将所述会话标识关联的外部系统访问信息保存到上下文信息中。
6.一种Web服务安全访问控制装置,其特征在于,所述装置包括:
会话标识提取单元,用于提取外部系统发送的Web服务访问请求信息中的会话标识;
上下文信息获取单元,用于当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识提取单元提取的会话标识时,获取所述会话标识关联的外部系统访问上下文信息,所述外部系统访问上下文信息为会话标识对应的外部系统访问历史记录信息、以及外部系统权限信息;以及
上下文信息发送单元,用于将所述上下文信息获取单元获取的外部系统访问上下文信息发送给处理所述Web服务访问请求信息的、提供Web服务的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。
7.如权利要求6所述的装置,其特征在于,所述装置还包括:
身份信息验证单元,用于接收外部系统输入的身份信息,对所述身份信息进行验证;以及
会话标识发送单元,用于当所述身份信息验证单元的身份信息验证通过时,生成本次访问Web服务的会话标识,保存所述会话标识,并将会话标识发送给外部系统。
8.如权利要求7所述的装置,其特征在于,所述装置还包括:
访问信息保存单元,用于将会话标识关联的外部系统访问信息保存到上下文信息中。
9.一种ERP系统,其特征在于,所述系统包括所述权利要求6至8任一所述的Web服务安全访问控制装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010565865.4A CN102480475B (zh) | 2010-11-30 | 2010-11-30 | Web服务安全访问控制方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010565865.4A CN102480475B (zh) | 2010-11-30 | 2010-11-30 | Web服务安全访问控制方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102480475A CN102480475A (zh) | 2012-05-30 |
CN102480475B true CN102480475B (zh) | 2014-10-01 |
Family
ID=46092957
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010565865.4A Active CN102480475B (zh) | 2010-11-30 | 2010-11-30 | Web服务安全访问控制方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102480475B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105227572B (zh) * | 2015-10-19 | 2018-04-20 | 武汉大学 | 一种移动平台上基于情景感知的访问控制系统及方法 |
CN106487812A (zh) * | 2016-12-02 | 2017-03-08 | 努比亚技术有限公司 | 一种鉴权方法及装置 |
CN109063511A (zh) * | 2018-08-16 | 2018-12-21 | 深圳云安宝科技有限公司 | 基于Web API的数据访问控制方法、装置、代理服务器及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
CN101335637A (zh) * | 2007-06-26 | 2008-12-31 | 王立刚 | 一种组播控制的方法及装置 |
CN101345752A (zh) * | 2008-08-15 | 2009-01-14 | 北京立通无限科技有限公司 | 保证移动终端访问web资源安全的方法、装置及系统 |
CN101510877A (zh) * | 2009-02-25 | 2009-08-19 | 中国网络通信集团公司 | 单点登录方法和系统、通信装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9900305B2 (en) * | 1998-01-12 | 2018-02-20 | Soverain Ip, Llc | Internet server access control and monitoring systems |
-
2010
- 2010-11-30 CN CN201010565865.4A patent/CN102480475B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
CN101335637A (zh) * | 2007-06-26 | 2008-12-31 | 王立刚 | 一种组播控制的方法及装置 |
CN101345752A (zh) * | 2008-08-15 | 2009-01-14 | 北京立通无限科技有限公司 | 保证移动终端访问web资源安全的方法、装置及系统 |
CN101510877A (zh) * | 2009-02-25 | 2009-08-19 | 中国网络通信集团公司 | 单点登录方法和系统、通信装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102480475A (zh) | 2012-05-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109067728B (zh) | 应用程序接口的访问控制方法、装置、服务器及存储介质 | |
US20180330362A1 (en) | Payment processing method and apparatus, and intelligent device | |
US9118657B1 (en) | Extending secure single sign on to legacy applications | |
CN102790776B (zh) | 心跳连接归一处理方法、终端、服务器及通信系统 | |
CN105812323B (zh) | 一种网络跨域访问数据的方法和装置 | |
CN110521182B (zh) | 用于协议级身份映射的方法和系统 | |
EP2487874A1 (en) | Mobile broadband device and method for manageing mobile broadband device | |
CN102281311A (zh) | 一种基于开放应用编程接口实现网络业务的方法、系统及装置 | |
CN103117983A (zh) | 数据服务请求应答方法和数据服务协议栈 | |
CN104052746A (zh) | 异构应用单点登录系统及其单点登录方法 | |
US9832198B2 (en) | Service-based message access layer frame and implementation method thereof | |
CN106656919B (zh) | 一种基于Telnet协议的会话解析方法及系统 | |
US9680814B2 (en) | Method, device, and system for registering terminal application | |
CN109150800A (zh) | 一种登录访问方法、系统和存储介质 | |
CN104579657A (zh) | 身份认证方法及装置 | |
CN101908967B (zh) | Linux虚拟服务器配置方法和系统 | |
CN102480475B (zh) | Web服务安全访问控制方法、装置及系统 | |
US20150381550A1 (en) | Cloud computing abstraction layer for integrating mobile platforms | |
EP3079329B1 (en) | Terminal application registration method, device and system | |
US9723436B2 (en) | Mobile device location | |
CN102685109A (zh) | 一种三网融合下的游戏cp接入方法 | |
CN110866240A (zh) | 智能密码钥匙调用方法和系统 | |
CN107995184B (zh) | 一种连接器及使用该连接器通讯的方法 | |
CN112463357B (zh) | 一种服务器带内数据安全交互的方法和设备 | |
CN110913406A (zh) | 一种rcs测试服务器的接入配置方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |