CN105225072B - 一种多应用系统的访问管理方法及系统 - Google Patents
一种多应用系统的访问管理方法及系统 Download PDFInfo
- Publication number
- CN105225072B CN105225072B CN201510744904.XA CN201510744904A CN105225072B CN 105225072 B CN105225072 B CN 105225072B CN 201510744904 A CN201510744904 A CN 201510744904A CN 105225072 B CN105225072 B CN 105225072B
- Authority
- CN
- China
- Prior art keywords
- application system
- role
- user
- access
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims abstract description 27
- 238000013507 mapping Methods 0.000 claims abstract description 46
- 238000000034 method Methods 0.000 claims abstract description 27
- 238000012545 processing Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 206010019233 Headaches Diseases 0.000 description 1
- 101100194362 Schizosaccharomyces pombe (strain 972 / ATCC 24843) res1 gene Proteins 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 231100000869 headache Toxicity 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种多应用系统的访问管理方法及系统,该方法包括:接收原始应用系统发送的访问请求,并确定与访问请求中的访问资源标识相对应的目标应用系统;当判定目标应用系统的用户信息库中不存在与用户标识相对应的用户信息,并且可信数据表中存在原始应用系统能够访问目标系统的记录时,参考源应用系统与目标应用系统之间的角色映射表,确定与用户的角色标识相对应目标应用系统中的角色标识;利用确定的角色标识对与访问资源标识相对应的资源进行访问。应用本发明能够实现对多应用系统的数据进行灵活管理并且数据安全性高的目的。
Description
技术领域
本发明涉及系统集成技术领域,特别是涉及一种多应用系统的访问管理方法及系统。
背景技术
目前,企业内部一般分为不同的业务部门,每个业务部门也都有自己的应用系统,随着公司的扩大和移动互联网的带动,公司的业务越来越多,相应的应用系统也随之增加。
但是,这些应用系统之间彼此孤立,不利于资源的整合,其中一个明显的缺点就是:用户管理。用户可能需要用到多个应用系统,所以必须申请和记忆多个用户名和密码。为了方便记忆,所以密码一般有规律可循,存在安全隐患。对于管理员,要在各个应用系统中不断切换,为用户分配用户名,面对越来越多的应用系统,无疑是个头痛的问题。对于项目开发来说,也是一种资源浪费,需要进行大量重复的工作。所以需要进行单点登录,但是,在系统集成的单点登录的访问管理过程中,各个不同应用系统中有着各自的一套权限管理规则,为每个用户分配相应的权限,然后把所有应用系统的数据集成到一个数据库中进行集中管理,导致权限管理成为一项比较复杂且不易配置的工作,并且这样做不仅不够灵活,而且安全性低,以后系统拆分也很难实现。
发明内容
有鉴于此,本发明提供了一种多应用系统的访问管理方法及系统,以实现对多应用系统的数据进行灵活管理并且数据安全性高的目的。
为解决上述技术问题,本发明提供一种多应用系统的访问管理方法,包括为各应用系统建立各自的用户信息库,该方法还包括:
接收原始应用系统发送的访问请求,并确定与所述访问请求中的访问资源标识相对应的目标应用系统;其中,所述访问请求携带用户的用户标识、角色标识和访问资源标识;
当判定所述目标应用系统的用户信息库中不存在与所述用户标识相对应的用户信息,并且可信数据表中存在所述原始应用系统能够访问所述目标系统的记录时,参考所述源应用系统与所述目标应用系统之间的角色映射表,确定与用户的角色标识相对应所述目标应用系统中的角色标识;
利用确定的角色标识对与所述访问资源标识相对应的资源进行访问;
其中,所述可信数据表包括多个某个应用系统能够访问另一个应用系统的记录。
上述方法中,优选的,还包括:
当判定所述目标应用系统的用户信息库中存在与所述用户标识相对应的用户信息时,利用用户的角色标识对与所述访问资源标识相对应的资源进行访问。
上述方法中,优选的,所述参考所述源应用系统与所述目标应用系统之间的角色映射表,确定与用户的角色标识相对应所述目标应用系统中的角色标识,包括:
判断所述角色映射表中是否存在所述用户的角色标识;
当判定所述角色映射表中存在所述用户的角色标识时,确定与所述用户的角色标识相对应的所述目标应用系统中的角色标识;
当判定所述角色映射表中不存在所述用户的角色标识时,提示用户不存在的访问失败信息。
上述方法中,优选的,所述为各应用系统建立各自的用户信息库,包括:
获取各所述应用系统中的用户信息副本,并利用获取的用户信息副本为各所述应用系统建立各自的用户信息库。
上述方法中,优选的,所述访问请求还携带token标签,在所述接收原始应用系统发送的访问请求之后,还包括:
确定所述token标签的可访问资源列表;
当与所述访问资源标识相对应的资源在所述可访问资源列表中时,利用所述可访问资源列表对与所述访问资源标识相对应的资源进行访问。
本发明还提供了一种多应用系统的访问管理系统,包括用户信息库建立单元,用于为各应用系统建立各自的用户信息库,该系统还包括:
目标应用系统确定单元,用于接收原始应用系统发送的访问请求,并确定与所述访问请求中的访问资源标识相对应的目标应用系统;其中,所述访问请求携带用户的用户标识、角色标识和访问资源标识;
角色标识确定单元,用于当判定所述目标应用系统的用户信息库中不存在与所述用户标识相对应的用户信息,并且可信数据表中存在所述原始应用系统能够访问所述目标系统的记录时,参考所述源应用系统与所述目标应用系统之间的角色映射表,确定与用户的角色标识相对应所述目标应用系统中的角色标识;
资源访问单元,用于利用确定的角色标识对与所述访问资源标识相对应的资源进行访问;
其中,所述可信数据表包括多个某个应用系统能够访问另一个应用系统的记录。
上述系统中,优选的,所述资源访问单元还用于当判定所述目标应用系统的用户信息库中存在与所述用户标识相对应的用户信息时,利用用户的角色标识对与所述访问资源标识相对应的资源进行访问。
上述系统中,优选的,所述角色标识确定单元包括:
判断子单元,用于判断所述角色映射表中是否存在所述用户的角色标识;
角色标识确定子单元,用于当判定所述角色映射表中存在所述用户的角色标识时,确定与所述用户的角色标识相对应的所述目标应用系统中的角色标识;
访问失败提示子单元,用于当判定所述角色映射表中不存在所述用户的角色标识时,提示用户不存在的访问失败信息。
上述系统中,优选的,所述用户信息库建立单元具体用于获取各所述应用系统中的用户信息副本,并利用获取的用户信息副本为各所述应用系统建立各自的用户信息库。
上述系统中,优选的,所述访问请求还携带token标签,该系统还包括:
token标签处理单元,用于在所述接收原始应用系统发送的访问请求之后,确定所述token标签的可访问资源列表;当与所述访问资源标识相对应的资源在所述可访问资源列表中时,利用所述可访问资源列表对与所述访问资源标识相对应的资源进行访问。
以上本发明提供的一种多应用系统的访问管理方法及系统中,首先,为各应用系统建立各自的用户信息库,这些用户信息库在平常是独立存在的,除了应用系统之间进行互访之外,这样做的好处是,既可以统一管理用户信息,又保证各自的独立性和安全性,同时以后系统拆分也很容易实现,以此实现了多应用系统的数据安全性高的目的;其次,为所有应用系统建立一个公共的可信数据表,该可信数据表记录着某个应用系统能够访问另一个应用系统的可信关系,各应用系统间通过可信数据表建立关联并进行互访,,在可信数据表的基础上,为应用系统A的角色与其它应用系统的角色建立角色映射表,以实现不同应用系统之间不同的角色可以互相访问,而不需要为每个用户分配相应的权限,以此实现对多应用系统的数据进行灵活管理的目的。
具体地,当目标应用系统的用户信息库中不存在与用户标识相对应的用户信息并且可信数据表中存在原始应用系统能够访问目标系统的记录时,只要确定了与用户的角色标识相对应目标应用系统中的角色标识,就能够利用确定的角色标识对与访问资源标识相对应的资源进行访问。举个例子,一个用户在应用系统A中是角色R1,其想访问应用系统B中,而应用系统B中并没有角色R1只有角色R2,这时,由于角色R1和角色R2建立了映射关系,用户就能够以角色R2的身份访问应用系统B中的资源。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种多应用系统的访问管理方法的流程图;
图2为本发明实施例提供的一种多应用系统的访问管理方法中构建本地数据库的示意图;
图3为本发明实施例提供的一种基于token标签的方法流程图;
图4为本发明实施例提供的基于图3的一种示意图;
图5为本发明实施例提供的一种多应用系统的访问管理系统的结构框图示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的核心是提供一种多应用系统的访问管理方法及系统,以实现对多应用系统的数据进行灵活管理并且数据安全性高的目的。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。
参考图1,图1示出了本发明实施例提供的一种多应用系统的访问管理方法的流程图,该方法具体可以包括如下步骤:
步骤S100、接收原始应用系统发送的访问请求,并确定与访问请求中的访问资源标识相对应的目标应用系统;
其中,访问请求携带用户的用户标识、角色标识和访问资源标识。实际应用中,访问资源标识可以为资源的URI。
本发明实施例所提供的方法的执行主体为多应用系统的访问管理系统,实际应用中,该访问管理系统也可以称为统一认证中心,为了便于本领域技术人员较好地理解本发明提供的技术方案,以下以统一认证中心为执行主体进行阐述。
在步骤S100之前,需要先为各应用系统建立各自的用户信息库,具体地,获取各应用系统中的用户信息副本,并利用获取的用户信息副本为各应用系统建立各自的用户信息库。
具体实施时,统一认证中心通过各个应用系统提供的接口,主动获取所有接入统一认证中心的应用系统的用户信息进而组建本地数据库,用户信息包括用户标识、角色标识和与该角色标识对应的资源访问权限等信息。建库过程中,不会把不同的应用系统的用户信息组建成一个本地库,而是各自独立存在,它们之间通过一个协调数据库和一些业务逻辑进行互访问,如图2所示。在能够进行统一认证的同时,又为了保证原有数据的安全性,认证中心只保存所有应用系统的数据副本,当更新用户信息时,通知认证中心保持同步。同时,设置所有者数据,即只有应用系统本身才可以更新自己的用户数据,其他系统不能直接进行修改。这样做的好处是,既可以统一管理用户信息,又保证各自的独立性和安全性,同时以后系统拆分也很容易实现,以此实现了多应用系统的数据安全性高的目的。
步骤S101、当判定目标应用系统的用户信息库中不存在与用户标识相对应的用户信息,并且可信数据表中存在原始应用系统能够访问目标系统的记录时,参考源应用系统与目标应用系统之间的角色映射表,确定与用户的角色标识相对应目标应用系统中的角色标识;
其中,可信数据表包括多个某个应用系统能够访问另一个应用系统的记录。
具体实施时,在步骤S100中确定与访问资源标识相对应的目标应用系统之后,可以先判断目标应用系统的用户信息库中是否存在与用户标识相对应的用户信息;当判定目标应用系统的用户信息库中不存在与用户标识相对应的用户信息时,再判断可信数据表中是否存在原始应用系统能够访问目标系统的记录中;当判定可信数据表中存在原始应用系统能够访问目标系统的记录时,执行步骤S101。
当判定目标应用系统的用户信息库中存在与用户标识相对应的用户信息时,利用用户的角色标识对与访问资源标识相对应的资源进行访问。
进一步地,步骤S101的具体过程包括:判断角色映射表中是否存在用户的角色标识;当判定角色映射表中存在用户的角色标识时,确定与用户的角色标识相对应的目标应用系统中的角色标识;当判定角色映射表中不存在用户的角色标识时,提示用户不存在的访问失败信息。
在实际应用中,当某个用户或者某个应用系统不再被允许访问相应的应用系统时,如果是用户,则可以为其改变角色,不让其成为不在角色映射表中的角色。如果想隔离某个用户,就把其角色从角色映射表中去除。如果是一个应用,则直接取消它们的信任关系,在app_access.tbl中去除记录。
步骤S102、利用确定的角色标识对与访问资源标识相对应的资源进行访问。
具体实施过程中,当用户登录原始应用系统app时,根据用户访问的URI来识别其访问的目标应用系统。查看目标应用系统对应的用户信息库中是否可以获取用户信息,如果通过则进行访问资源。如果没有通过,则查看可信数据表,看看原始应用系统是否能够访问目标应用系统,如果是,则到该目标应用系统的用户信息库中去寻找用户信息。如果找不到用户信息,提示用户不存在或者认证失败,返回登录界面。如果找到用户信息,则根据该用户的角色和角色映射表,来决定是否可以访问应用系统,以及可以显示的资源功能列表。
进一步地,根据角色映射机制建立一个统一配置管理的界面。管理员登录统一认证中心后,通过手动操作界面,来添加或者删除两个应用系统之间的可访问关系,也可以修改它们之间可访问的细节,即角色映射关系。其底层就是更新相应的数据控制表。这样就不用为每个用户配置相应的权限,可以进行批量管理,简单安全高效。
在实际应用中,可以基于认证策略中心和认证代理,认证代理安装到各个应用系统中,策略中心独自部署。部署策略中心后,然后把各个应用系统接入到认证策略中心,然后进行策略中心的初始化,收集所有应用系统的用户信息,组建本地库。当有用户的访问请求发送到应用系统时,认证代理获取应用系统需要认证的请求,发送到策略中心,策略中心根据认证和授权的规则进行决策,然后返回给认证代理,最后为应用系统做出决策。
综上,各应用系统间通过可信数据表建立关联并进行互访,在可信数据表的基础上,引入角色映射机制,为应用系统的角色与其它应用系统的角色建立角色映射表,以实现不同应用系统之间不同的角色可以互相访问,可以轻松的使一个应用系统的一类用户访问另一个系统的资源,而不需要为每个用户分配相应的权限,以此实现对多应用系统的数据进行灵活管理的目的。
基于上述本发明实施例所公开的技术方案,在本发明另一实施例中,进一步地,访问请求还携带token标签,在接收原始应用系统发送的访问请求之后,参考图3,还可以包括以下内容:
步骤S300、确定token标签的可访问资源列表;
步骤S301、当与访问资源标识相对应的资源在可访问资源列表中时,利用可访问资源列表对与访问资源标识相对应的资源进行访问。
在实际应用中,token是基于标签验证的机制,用于客户端和服务器进行临时通信的凭证。统一认证中心生产统一的token,凭借token可以访问所有应用系统中的权限内资源。当用户携带一个token去访问一个资源URI时,认证中心首先查看该token的有效性,即是否存在和过期。如果有效,则获取token中保存的用户信息,进行认证用户的合法性,即用户是否存在。然后根据token中的可访问资源列表,本次的访问URI是否在其中,若是,直接进行访问,若没有,则进行权限检测。通过权限验证后,添加到token的可访问资源列表中。如图4所示,用户可以访问app1_res1和app2_res1。这样可以在保证安全的同时,加快认证和授权的过程,当可信数据表中的应用系统之间互信关系和角色映射表中角色的映射关系发生改变时,服务器即认证中心需要删除相应的token,等新的访问发生时,重新建立新的token。
基于上述本发明实施例所公开的技术方案,在本发明另一实施例中,针对引入角色映射机制,为应用系统的角色与其它应用系统的角色建立角色映射表,具体地,各个应用系统之间的角色划分是不一样的,在进行各个应用系统之间互访问的时候,就需要进行角色的转换。即一个用户在应用系统A中是角色R1,其想访问应用系统B中,而应用系统B中并没有角色R1只有角色R2,所以需要为其指定映射规则。具体步骤为:
(1)统计所有应用系统。通过建立一个描述应用系统的数据表来表示,如表1所示。
表1 app_desc.tbl
id | app_name | app_uri |
id:应用系统的唯一标示id;
app_name:应用系统的名字,也是唯一可区别的;
app_uri:不同的app具有不同的uri,当请求过来时,根据uri来区别app的。
(2)建立可信关系。两个应用系统之间是否可信,即是否可以访问,这个是具有方向性的,根据实际情况,可以是单向的,也可以是双向的。通过一个数据表来控制,如表2所示。
表2 app_access.tbl
id | src_app | des_app | access | rule_map_name |
Id:两个app之间可信描述的id;
src_app:源应用程序名称,app_desc.tbl中的app_name的值;
des_app:目的应用程序,app_desc.tbl中的app_name的值;
rule_map_name:角色映射表;
其中,src_app如果对des_app有访问的权利,则access的值为true,而rule_map_name则指定src_app到des_app的角色映射表。
(3)建立角色映射关系。通过一个角色映射表,来表示角色的转换过程,如表3所示。
表3 rule_map.tbl
id | src_app_role | des_app_role |
id:唯一标示id;
src_app_role:源应用系统的角色;
des_app_role:目的应用系统的角色;
其中,如果允许src_app中的角色访问des_app的角色,在数据表中插入一条映射记录。
基于此,一个用户在应用系统A中是角色R1,其想访问应用系统B中,而应用系统B中并没有角色R1只有角色R2,这时,由于角色R1和角色R2建立了映射关系,用户就能够以角色R2的身份访问应用系统B中的资源。
基于上述本发明实施例提供的多应用系统的访问管理方法,本发明实施例还提供了一种多应用系统的访问管理系统,参考图5,该系统500可以包括如下内容:
用户信息库建立单元501,用于为各应用系统建立各自的用户信息库;
目标应用系统确定单元502,用于接收原始应用系统发送的访问请求,并确定与访问请求中的访问资源标识相对应的目标应用系统;其中,访问请求携带用户的用户标识、角色标识和访问资源标识;
角色标识确定单元503,用于当判定目标应用系统的用户信息库中不存在与用户标识相对应的用户信息,并且可信数据表中存在原始应用系统能够访问目标系统的记录时,参考源应用系统与目标应用系统之间的角色映射表,确定与用户的角色标识相对应目标应用系统中的角色标识;
资源访问单元504,用于利用确定的角色标识对与访问资源标识相对应的资源进行访问;
其中,可信数据表包括多个某个应用系统能够访问另一个应用系统的记录。
本发明中,上述资源访问单元504还用于当判定目标应用系统的用户信息库中存在与用户标识相对应的用户信息时,利用用户的角色标识对与访问资源标识相对应的资源进行访问。
本发明中,上述角色标识确定单元503包括:
判断子单元,用于判断角色映射表中是否存在用户的角色标识;
角色标识确定子单元,用于当判定角色映射表中存在用户的角色标识时,确定与用户的角色标识相对应的目标应用系统中的角色标识;
访问失败提示子单元,用于当判定角色映射表中不存在用户的角色标识时,提示用户不存在的访问失败信息。
本发明中,上述用户信息库建立单元501具体用于获取各应用系统中的用户信息副本,并利用获取的用户信息副本为各应用系统建立各自的用户信息库。
本发明中,上述访问请求还携带token标签,该系统500还可以包括:token标签处理单元,用于在接收原始应用系统发送的访问请求之后,确定token标签的可访问资源列表;当与访问资源标识相对应的资源在可访问资源列表中时,利用可访问资源列表对与访问资源标识相对应的资源进行访问。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于系统类实施例而言,由于其与方法实施例基本相似,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
以上对本发明所提供的一种多应用系统的访问管理方法及系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (8)
1.一种多应用系统的访问管理方法,其特征在于,包括为各应用系统建立各自的用户信息库,该方法还包括:
接收原始应用系统发送的访问请求,并确定与所述访问请求中的访问资源标识相对应的目标应用系统;其中,所述访问请求携带用户的用户标识、角色标识和访问资源标识;
当判定所述目标应用系统的用户信息库中不存在与所述用户标识相对应的用户信息,并且可信数据表中存在所述原始应用系统能够访问所述目标应用系统的记录时,参考所述原始应用系统与所述目标应用系统之间的角色映射表,判断所述角色映射表中是否存在所述用户的角色标识;
当判定所述角色映射表中存在所述用户的角色标识时,确定与所述用户的角色标识相对应的所述目标应用系统中的角色标识;利用确定的角色标识对与所述访问资源标识相对应的资源进行访问;
当判定所述角色映射表中不存在所述用户的角色标识时,提示用户不存在的访问失败信息;
其中,所述可信数据表包括多个某个应用系统能够访问另一个应用系统的记录。
2.如权利要求1所述的方法,其特征在于,还包括:
当判定所述目标应用系统的用户信息库中存在与所述用户标识相对应的用户信息时,利用用户的角色标识对与所述访问资源标识相对应的资源进行访问。
3.如权利要求2所述的方法,其特征在于,所述为各应用系统建立各自的用户信息库,包括:
获取各所述应用系统中的用户信息副本,并利用获取的用户信息副本为各所述应用系统建立各自的用户信息库。
4.如权利要求1至3任意一项所述的方法,其特征在于,所述访问请求还携带token标签,在所述接收原始应用系统发送的访问请求之后,还包括:
确定所述token标签的可访问资源列表;
当与所述访问资源标识相对应的资源在所述可访问资源列表中时,利用所述可访问资源列表对与所述访问资源标识相对应的资源进行访问。
5.一种多应用系统的访问管理系统,其特征在于,包括用户信息库建立单元,用于为各应用系统建立各自的用户信息库,该系统还包括:
目标应用系统确定单元,用于接收原始应用系统发送的访问请求,并确定与所述访问请求中的访问资源标识相对应的目标应用系统;其中,所述访问请求携带用户的用户标识、角色标识和访问资源标识;
角色标识确定单元,用于当判定所述目标应用系统的用户信息库中不存在与所述用户标识相对应的用户信息,并且可信数据表中存在所述原始应用系统能够访问所述目标应用系统的记录时,参考所述原始应用系统与所述目标应用系统之间的角色映射表,判断所述角色映射表中是否存在所述用户的角色标识;
资源访问单元,用于当判定所述角色映射表中存在所述用户的角色标识时,确定与所述用户的角色标识相对应的所述目标应用系统中的角色标识;利用确定的角色标识对与所述访问资源标识相对应的资源进行访问;
访问失败提示单元,用于当判定所述角色映射表中不存在所述用户的角色标识时,提示用户不存在的访问失败信息;
其中,所述可信数据表包括多个某个应用系统能够访问另一个应用系统的记录。
6.如权利要求5所述的系统,其特征在于,所述资源访问单元还用于当判定所述目标应用系统的用户信息库中存在与所述用户标识相对应的用户信息时,利用用户的角色标识对与所述访问资源标识相对应的资源进行访问。
7.如权利要求6所述的系统,其特征在于,所述用户信息库建立单元具体用于获取各所述应用系统中的用户信息副本,并利用获取的用户信息副本为各所述应用系统建立各自的用户信息库。
8.如权利要求5至7任意一项所述的系统,其特征在于,所述访问请求还携带token标签,该系统还包括:
token标签处理单元,用于在所述接收原始应用系统发送的访问请求之后,确定所述token标签的可访问资源列表;当与所述访问资源标识相对应的资源在所述可访问资源列表中时,利用所述可访问资源列表对与所述访问资源标识相对应的资源进行访问。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510744904.XA CN105225072B (zh) | 2015-11-05 | 2015-11-05 | 一种多应用系统的访问管理方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510744904.XA CN105225072B (zh) | 2015-11-05 | 2015-11-05 | 一种多应用系统的访问管理方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105225072A CN105225072A (zh) | 2016-01-06 |
CN105225072B true CN105225072B (zh) | 2020-12-04 |
Family
ID=54994027
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510744904.XA Active CN105225072B (zh) | 2015-11-05 | 2015-11-05 | 一种多应用系统的访问管理方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105225072B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209913B (zh) * | 2016-08-30 | 2019-07-23 | 江苏天联信息科技发展有限公司 | 数据访问方法及装置 |
CN106506498B (zh) * | 2016-11-07 | 2020-07-28 | 安徽四创电子股份有限公司 | 一种系统间数据调用授权认证方法 |
CN110290112B (zh) * | 2019-05-30 | 2022-08-12 | 平安科技(深圳)有限公司 | 权限控制方法、装置、计算机设备及存储介质 |
CN110826048B (zh) * | 2019-09-26 | 2022-04-05 | 北京健康之家科技有限公司 | 资源请求处理方法、装置及设备 |
CN111683039B (zh) * | 2020-04-20 | 2023-04-07 | 浪潮通用软件有限公司 | 一种认证方法、设备及介质 |
CN112600813B (zh) * | 2020-12-08 | 2023-03-28 | 武汉卓尔信息科技有限公司 | 一种基于ukey的多应用统一认证方法 |
CN113239344B (zh) * | 2021-05-12 | 2023-05-05 | 中国建设银行股份有限公司 | 一种访问权限控制方法和装置 |
CN113742749B (zh) * | 2021-09-10 | 2024-03-29 | 广州市奥威亚电子科技有限公司 | 平台用户权限管理方法、装置、设备及存储介质 |
CN115250204B (zh) * | 2022-09-22 | 2022-12-09 | 四川蜀天信息技术有限公司 | 一种集中处理登录鉴权的方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102611699A (zh) * | 2012-02-22 | 2012-07-25 | 浪潮(北京)电子信息产业有限公司 | 一种云操作系统中访问控制的方法和系统 |
CN103617485A (zh) * | 2013-11-15 | 2014-03-05 | 中国航空无线电电子研究所 | 统一权限管理部署系统 |
CN103839138A (zh) * | 2014-03-08 | 2014-06-04 | 成都文昊科技有限公司 | 用于支撑多个异构系统交互的系统 |
CN104112085A (zh) * | 2013-04-19 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 一种应用系统集群的数据权限控制方法和装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262474B (zh) * | 2008-04-22 | 2012-02-01 | 武汉理工大学 | 一种基于跨域授权中介实现角色和组映射的跨域访问控制系统 |
US8381279B2 (en) * | 2009-02-13 | 2013-02-19 | Microsoft Corporation | Constraining a login to a subset of access rights |
-
2015
- 2015-11-05 CN CN201510744904.XA patent/CN105225072B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102611699A (zh) * | 2012-02-22 | 2012-07-25 | 浪潮(北京)电子信息产业有限公司 | 一种云操作系统中访问控制的方法和系统 |
CN104112085A (zh) * | 2013-04-19 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 一种应用系统集群的数据权限控制方法和装置 |
CN103617485A (zh) * | 2013-11-15 | 2014-03-05 | 中国航空无线电电子研究所 | 统一权限管理部署系统 |
CN103839138A (zh) * | 2014-03-08 | 2014-06-04 | 成都文昊科技有限公司 | 用于支撑多个异构系统交互的系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105225072A (zh) | 2016-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105225072B (zh) | 一种多应用系统的访问管理方法及系统 | |
CN108293045B (zh) | 本地和远程系统之间的单点登录身份管理 | |
CN107579958B (zh) | 数据管理方法、装置及系统 | |
US20180278607A1 (en) | Device Credentials Management | |
US8254579B1 (en) | Cryptographic key distribution using a trusted computing platform | |
CN108259422B (zh) | 一种多租户访问控制方法和装置 | |
JP6675163B2 (ja) | 権限委譲システム、認可サーバの制御方法、認可サーバおよびプログラム | |
JP6124687B2 (ja) | 画像形成装置、サーバー装置、情報処理方法及びプログラム | |
CN109474632B (zh) | 对用户进行认证和权限管理的方法、装置、系统和介质 | |
JP2019508763A (ja) | ローカルデバイス認証 | |
KR20080024513A (ko) | 비관리형 네트워크에서의 공통 id를 위한 계정 동기화 | |
US8484309B2 (en) | Owner controlled access to shared data resource | |
JP2011522315A (ja) | 無人のアプリケーションのための認証されたデータベース接続 | |
US11368462B2 (en) | Systems and method for hypertext transfer protocol requestor validation | |
US20170374548A1 (en) | Network device selective synchronization | |
US10270759B1 (en) | Fine grained container security | |
KR20140033056A (ko) | 클라우드 서비스 재접속 자동화 방법 | |
US10178183B2 (en) | Techniques for prevent information disclosure via dynamic secure cloud resources | |
CN106330836B (zh) | 一种服务端对客户端的访问控制方法 | |
Martinelli et al. | Identity, authentication, and access management in openstack: implementing and deploying keystone | |
US8266678B2 (en) | Deriving a username based on a digital certificate | |
JP2006301831A (ja) | 管理装置 | |
JP2010020647A (ja) | 認可サーバ装置、情報処理方法及びプログラム | |
US9823944B2 (en) | Deployment control device and deployment control method for deploying virtual machine for allowing access | |
US11411813B2 (en) | Single user device staging |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |