CN105282145A - 一种多数据中心用户访问控制的方法及系统 - Google Patents
一种多数据中心用户访问控制的方法及系统 Download PDFInfo
- Publication number
- CN105282145A CN105282145A CN201510580897.4A CN201510580897A CN105282145A CN 105282145 A CN105282145 A CN 105282145A CN 201510580897 A CN201510580897 A CN 201510580897A CN 105282145 A CN105282145 A CN 105282145A
- Authority
- CN
- China
- Prior art keywords
- user
- access
- time
- information
- user access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种多数据中心用户访问控制的方法及系统,属于数据中心管理技术领域;本发明根据用户信息生成用户访问信息,并把用户的访问信息保存到用户访问信息管理类对象中,同时生成用户的凭证token信息并保存,之后用户访问系统时,把token信息放入http请求报文头中,用于服务端验证用户访问状态,判断用户访问权限,既保证有效用户能够安全的访问系统,还避免了无效用户的非法访问,保证系统的安全。
Description
技术领域
本发明公开一种多数据中心用户访问控制的方法及系统,属于数据中心管理技术领域。
背景技术
由于数据量的大幅提升,公司规模的不断扩大,地域限制传输速率的前提下,大多数公司采用异地多数据中心的方式来管理公司数据。在这种大环境下,多数据中心中的用户访问控制就突显出重要性,安全有效的用户访问控制是整个数据中心的重要环节。本发明提供一种多数据中心用户访问控制的方法及系统,设定系统中有唯一的一个用户访问信息管理类实例,用于存储用户访问信息;每次调用服务端,需要验证用户的访问权限,服务端记录用户的访问信息,并控制用户的访问有效性,能够在用户登录数据中心之后,控制用户的访问状态,避免用户登录之后,忘记退出,造成的不必要的损失。
访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术,访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
发明内容
本发明为保障多数据中心下用户访问的安全性,提供一种多数据中心用户访问控制的方法及系统,能够在用户登录数据中心之后,控制用户的访问状态,避免造成不必要的损失。
本发明提出的具体方案是:
一种多数据中心用户访问控制的方法,根据用户信息生成用户访问信息,并把用户的访问信息保存到用户访问信息管理类对象中,同时生成用户的凭证token信息并保存,之后用户访问系统时,把token信息放入http请求报文头中,用于服务端验证用户访问状态,判断用户访问权限。
所述把token信息放入http请求报文头中,用于服务端验证用户访问状态,过程为:验证此用户token信息是不是有效的token信息,在用户访问信息管理类对象中查询是否存在token信息对应的用户访问信息,存在此用户对应的用户访问信息,用户访问继续,如果没有对应的用户访问信息,则此用户无权访问,用户需要重新登录。
对用户访问设置时间控制,满足时间控制要求,用户继续访问,否则,移除用户访问信息管理类对象中的此用户token信息对应的用户访问信息,用户需要重新登录。
所述的时间控制为通过配置启用超时规则,取得超时时间和用户访问信息中记录用户最后一次操作的时间,用当前系统时间减去用户最后一次操作的时间,然后与超时时间进行比较,没超过超时时间则用户继续访问,否则移除用户访问信息管理类对象中的此用户token信息对应的用户访问信息,用户需要重新登录。
没超过超时时间,更新用户访问信息管理类对象中的此用户token对应的用户访问信息中的用户最后一次操作的时间,用户继续访问。
所述的时间控制为通过配置启用访问有效期规则,取得用户访问有效时间,在用户访问有效时间内用户访问系统,超出用户访问有效时间,移除用户访问信息管理类对象中的此用户token信息对应的用户访问信息,用户需要重新登录。
可以启用多种时间规则,以便更加严格地控制用户访问。
一种多数据中心用户访问控制的系统,包括登陆模块、注册模块、设置模块、判断模块;
登陆模块负责用户登录系统,调用注册模块;
注册模块负责根据用户信息生成用户访问信息,并把用户的访问信息保存到用户访问信息管理类对象中,同时生成用户的凭证token信息;
设置模块负责设置系统参数,配置系统规则;
判断模块负责当用户访问系统时,把token信息放入http请求报文头中,用于服务端验证用户访问状态,判断用户访问权限。
所述判断模块判断用户访问权限过程为:验证此用户token信息是不是有效的token信息,在用户访问信息管理类对象中查询是否存在token信息对应的用户访问信息,存在此用户对应的用户访问信息,用户访问继续,如果没有对应的用户访问信息,则此用户无权访问,用户需要重新登录。
所述系统还包括第二判断模块、超时判断模块、注销模块;
第二判断模块调用设置模块,判断用户设置时间控制规则的种类,若是超时规则,调用超时判断模块,取得超时时间和用户访问信息中记录用户最后一次操作的时间,用当前系统时间减去用户最后一次操作的时间,然后与超时时间进行比较,没超过超时时间则用户继续访问,否则调用注销模块移除用户访问信息管理类对象中的此用户token信息对应的用户访问信息,用户需要重新登录。系统可以包括更新模块,更新根据token查询出来的用户访问信息管理类对象中保存的登陆用户的访问信息中的最后一次操作时间。
所述系统还包括第二判断模块、有效期判断模块、注销模块;
第二判断模块调用设置模块,判断用户设置时间控制规则的种类,若是访问有效期规则,调用有效期判断模块,取得用户访问有效时间,在用户访问有效时间内用户访问系统,超出用户访问有效时间,调用注销模块移除用户访问信息管理类对象中的此用户token信息对应的用户访问信息,用户需要重新登录。
系统可以同时设置多种时间控制规则,以便更加严格地控制用户访问。
其中token,可以采用有限长度的、随机的、英文字母、数字、下划线组成的随机字符串作为用户的访问标志token字符串。
用户访问管理类即visitorManager。
本发明的有益之处是:本发明通过设置用户访问信息管理类,存储用户的访问信息,在每次调用服务端接口或其他服务的时候,验证http报文头中的token信息,管理用户的访问,还加强设置了时间控制规则,满足时间控制要求,用户继续访问,否则,就会移除用户访问信息管理类对象中的此用户token信息对应的用户访问信息,用户需要重新登录,不仅保证有效用户能够安全的访问系统,还避免了无效用户的非法访问,保证系统的安全。
附图说明
图1本发明流程示意图;
图2本发明用户访问控制系统模块间相互作用示意图。
具体实施方式
一种多数据中心用户访问控制的方法,根据用户信息生成用户访问信息,并把用户的访问信息保存到用户访问信息管理类对象中,同时生成用户的凭证token信息并保存,之后用户访问系统时,把token信息放入http请求报文头中,用于服务端验证用户访问状态,判断用户访问权限。
一种多数据中心用户访问控制的系统,包括登陆模块、注册模块、设置模块、判断模块;
登陆模块负责用户登录系统,调用注册模块;
注册模块负责根据用户信息生成用户访问信息,并把用户的访问信息保存到用户访问信息管理类对象中,同时生成用户的凭证token信息;
设置模块负责设置系统参数,配置系统规则;
判断模块负责当用户访问系统时,把token信息放入http请求报文头中,用于服务端验证用户访问状态,判断用户访问权限。
根据上述方法及系统,结合附图,对本发明做进一步说明。
图2的系统中包括登陆模块、注册模块、设置模块、判断模块、第二判断模块、超时判断模块、有效期判断模块、注销模块、更新模块;利用此系统再结合图1中本方法的流程步骤:
步骤11,用户登录系统,填写用户名,密码,登录系统,用户名和密码验证通过之后,调用步骤12,注册模块,生成用户的访问信息,并把用户的访问信息保存到用户访问信息管理类visitorManager对象中。然后,将注册模块生成的用户的凭证token,返回给浏览器,保存在浏览器中,以便之后用户访问系统时,把token放入http请求报文头中,用于服务端验证用户。
步骤13,用户访问,用户正常登陆之后,访问系统,在每次操作系统,调用后台的时候,把token放入http请求报文头中。
步骤14,用户每次访问后台资源,会把token放入http请求报文头中,用于服务端验证用户token有效性和登陆状态,此步骤验证此token是不是有效的token,在用户访问信息管理类visitorManager对象中有没有此token对应的用户访问信息。如果没有对应的用户访问信息,则返回给前台,此用户无权访问,跳转到登陆页面,需要用户重新登录。
步骤15,此步骤表示在判断是否启用超时规则。是否启用超时规则是通过配置文件来进行控制,如果启用了超时规则,就需要在配置文件中配置启用超时规则,并且配置超时时间为多少分钟,超时时间不是必须配置的参数,如果用户没有配置超时时间,系统自身有默认的超时时间;如果配置不启用,则会执行步骤19。
步骤16,启用了超时规则。在本步骤中需要读取设置模块中配置文件,取得超时时间。根据传递的token取得用户访问信息管理类visitorManager对象中的用户访问信息。用户访问信息中会记录用户最后一次操作的时间。用当前系统时间减去用户最后一次操作的时间,然后和超时时间进行比较。例如,用户访问信息中记录的用户的最后一次操作时间为9:05,用户现在操作的时间为9:11,如果配置文件中配置的超时时间为5分钟,则当前用户为操作超时,就会调用步骤17,注销模块会移除用户访问信息管理类visitorManager对象中的当前token对应的用户访问信息,然后跳转到登陆界面;如果配置文件中配置的超时时间为10分钟,则当前用户没有操作超时,会调用步骤18,更新模块,更新用户访问信息管理类visitorManager对象中的当前token对应的用户访问信息中的用户最后一次操作的时间。然后访问系统资源;如果用户配置了启用超时规则,但没有配置超时时间,系统中有默认的超时时间,会根据默认的超时时间进行判断。
步骤19,验证用户访问有效时间。用户设置模块配置文件,不启用超时规则,可以启用访问有效期规则。访问有效期规则是,用户登录系统之后,多长时间内操作数据中心业务系统,用户访问有效。配置文件会配置用户有效访问时间,用户可以自行配置,系统也存有默认的用户有效访问时间。例如,用户配置文件中配置了用户有效访问时间为30分钟,如果用户9:00登陆系统,则用户在9:00到9:30之间能够访问系统,9:30之后访问系统,就会调用步骤111注销模块会移除用户访问信息管理类visitorManager对象中的当前token对应的用户访问信息,然后跳转到登陆界面。
本发明通过设置用户访问信息管理类,存储用户的访问信息,在每次调用服务端接口或其他服务的时候,验证http报文头中的token信息,管理用户的访问,保证有效用户能够安全的访问系统,也避免了无效用户的非法访问,保证系统的安全。
Claims (10)
1.一种多数据中心用户访问控制的方法,其特征是根据用户信息生成用户访问信息,并把用户的访问信息保存到用户访问信息管理类对象中,同时生成用户的凭证token信息并保存,之后用户访问系统时,把token信息放入http请求报文头中,用于服务端验证用户访问状态,判断用户访问权限。
2.根据权利要求1所述的一种多数据中心用户访问控制的方法,其特征是所述把token信息放入http请求报文头中,用于服务端验证用户访问状态,过程为:验证此用户token信息是不是有效的token信息,在用户访问信息管理类对象中查询是否存在token信息对应的用户访问信息,存在此用户对应的用户访问信息,用户访问继续,如果没有对应的用户访问信息,则此用户无权访问,用户需要重新登录。
3.根据权利要求1或2所述的一种多数据中心用户访问控制的方法,其特征是对用户访问设置时间控制,满足时间控制要求,用户继续访问,否则,移除用户访问信息管理类对象中的此用户token信息对应的用户访问信息,用户需要重新登录。
4.根据权利要求3所述的一种多数据中心用户访问控制的方法,其特征是所述的时间控制为通过配置启用超时规则,取得超时时间和用户访问信息中记录用户最后一次操作的时间,用当前系统时间减去用户最后一次操作的时间,然后与超时时间进行比较,没超过超时时间则用户继续访问,否则移除用户访问信息管理类对象中的此用户token信息对应的用户访问信息,用户需要重新登录。
5.根据权利要求4所述的一种多数据中心用户访问控制的方法,其特征是没超过超时时间,更新用户访问信息管理类对象中的此用户token对应的用户访问信息中的用户最后一次操作的时间,用户继续访问。
6.根据权利要求3所述的一种多数据中心用户访问控制的方法,其特征是所述的时间控制为通过配置启用访问有效期规则,取得用户访问有效时间,在用户访问有效时间内用户访问系统,超出用户访问有效时间,移除用户访问信息管理类对象中的此用户token信息对应的用户访问信息,用户需要重新登录。
7.一种多数据中心用户访问控制的系统,其特征是包括登陆模块、注册模块、设置模块、判断模块;
登陆模块负责用户登录系统,调用注册模块;
注册模块负责根据用户信息生成用户访问信息,并把用户的访问信息保存到用户访问信息管理类对象中,同时生成用户的凭证token信息;
设置模块负责设置系统参数,配置系统规则;
判断模块负责当用户访问系统时,把token信息放入http请求报文头中,用于服务端验证用户访问状态,判断用户访问权限。
8.根据权利要求7所述的一种多数据中心用户访问控制的系统,其特征是所述判断模块判断用户访问权限过程为:验证此用户token信息是不是有效的token信息,在用户访问信息管理类对象中查询是否存在token信息对应的用户访问信息,存在此用户对应的用户访问信息,用户访问继续,如果没有对应的用户访问信息,则此用户无权访问,用户需要重新登录。
9.根据权利要求8所述的一种多数据中心用户访问控制的系统,其特征是所述系统还包括第二判断模块、超时判断模块、注销模块;
第二判断模块调用设置模块,判断用户设置时间控制规则的种类,若是超时规则,调用超时判断模块,取得超时时间和用户访问信息中记录用户最后一次操作的时间,用当前系统时间减去用户最后一次操作的时间,然后与超时时间进行比较,没超过超时时间则用户继续访问,否则调用注销模块移除用户访问信息管理类对象中的此用户token信息对应的用户访问信息,用户需要重新登录。
10.根据权利要求8所述的一种多数据中心用户访问控制的系统,其特征是所述系统还包括第二判断模块、有效期判断模块、注销模块;
第二判断模块调用设置模块,判断用户设置时间控制规则的种类,若是访问有效期规则,调用有效期判断模块,取得用户访问有效时间,在用户访问有效时间内用户访问系统,超出用户访问有效时间,调用注销模块移除用户访问信息管理类对象中的此用户token信息对应的用户访问信息,用户需要重新登录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510580897.4A CN105282145A (zh) | 2015-09-14 | 2015-09-14 | 一种多数据中心用户访问控制的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510580897.4A CN105282145A (zh) | 2015-09-14 | 2015-09-14 | 一种多数据中心用户访问控制的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105282145A true CN105282145A (zh) | 2016-01-27 |
Family
ID=55150471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510580897.4A Pending CN105282145A (zh) | 2015-09-14 | 2015-09-14 | 一种多数据中心用户访问控制的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105282145A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105653864A (zh) * | 2015-12-30 | 2016-06-08 | 深圳安泰创新科技股份有限公司 | 病历信息分享方法及装置 |
| WO2018064881A1 (zh) * | 2016-10-09 | 2018-04-12 | 武汉斗鱼网络科技有限公司 | 一种用于ios客户端的用户登录状态保存方法及系统 |
| US10372928B2 (en) | 2015-08-24 | 2019-08-06 | Alibaba Group Holding Limited | System, method, and apparatus for data access in a cloud computing environment |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067404A (zh) * | 2013-01-10 | 2013-04-24 | 上海斐讯数据通信技术有限公司 | 一种用户访问嵌入式web服务器的方法 |
| CN104158802A (zh) * | 2014-07-28 | 2014-11-19 | 百度在线网络技术(北京)有限公司 | 一种平台授权方法、平台服务端及应用客户端和系统 |
| CN104320423A (zh) * | 2014-11-19 | 2015-01-28 | 重庆邮电大学 | 基于Cookie的单点登录轻量级实现方法 |
| CN104506542A (zh) * | 2014-12-29 | 2015-04-08 | 深圳中兴网信科技有限公司 | 安全认证方法和安全认证系统 |
-
2015
- 2015-09-14 CN CN201510580897.4A patent/CN105282145A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067404A (zh) * | 2013-01-10 | 2013-04-24 | 上海斐讯数据通信技术有限公司 | 一种用户访问嵌入式web服务器的方法 |
| CN104158802A (zh) * | 2014-07-28 | 2014-11-19 | 百度在线网络技术(北京)有限公司 | 一种平台授权方法、平台服务端及应用客户端和系统 |
| CN104320423A (zh) * | 2014-11-19 | 2015-01-28 | 重庆邮电大学 | 基于Cookie的单点登录轻量级实现方法 |
| CN104506542A (zh) * | 2014-12-29 | 2015-04-08 | 深圳中兴网信科技有限公司 | 安全认证方法和安全认证系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10372928B2 (en) | 2015-08-24 | 2019-08-06 | Alibaba Group Holding Limited | System, method, and apparatus for data access in a cloud computing environment |
| US10922429B2 (en) | 2015-08-24 | 2021-02-16 | Alibaba Group Holding Limited | System, method, and apparatus for data access in a cloud computing environment |
| CN105653864A (zh) * | 2015-12-30 | 2016-06-08 | 深圳安泰创新科技股份有限公司 | 病历信息分享方法及装置 |
| WO2018064881A1 (zh) * | 2016-10-09 | 2018-04-12 | 武汉斗鱼网络科技有限公司 | 一种用于ios客户端的用户登录状态保存方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10635793B2 (en) | Restricted accounts on a mobile platform | |
| CN107172054B (zh) | 一种基于cas的权限认证方法、装置及系统 | |
| CN110463161A (zh) | 用于访问受保护资源的口令状态机 | |
| US10922401B2 (en) | Delegated authorization with multi-factor authentication | |
| US20090235345A1 (en) | Authentication system, authentication server apparatus, user apparatus and application server apparatus | |
| CN112800411B (zh) | 支持多协议、多方式的安全可靠身份认证方法及装置 | |
| US20130318576A1 (en) | Method, device, and system for managing user authentication | |
| KR20160138063A (ko) | 머신 생성 인증 토큰으로써 서비스를 동작시키는 기법 | |
| US8365245B2 (en) | Previous password based authentication | |
| CN110149328A (zh) | 接口鉴权方法、装置、设备及计算机可读存储介质 | |
| WO2015142965A1 (en) | Techniques to provide network security through just-in-time provisioned accounts | |
| CN105429943B (zh) | 一种信息处理方法及其终端 | |
| CN111818088A (zh) | 授权模式管理方法、装置、计算机设备及可读存储介质 | |
| CN111431920A (zh) | 一种基于动态令牌的安全控制方法及系统 | |
| EP3008876B1 (en) | Roaming internet-accessible application state across trusted and untrusted platforms | |
| CN111062023A (zh) | 多应用系统实现单点登录的方法及装置 | |
| CN109547432A (zh) | 多系统验证方法及装置、存储介质及电子设备 | |
| CN109040030A (zh) | 单点登录方法和系统 | |
| CN105282145A (zh) | 一种多数据中心用户访问控制的方法及系统 | |
| CN107920063A (zh) | 一种在线更新tokenID的方法 | |
| CN106789930A (zh) | 一种Linux操作系统的单点登录方法 | |
| CN110581863B (zh) | 一种云平台的单点登录方法、装置、设备及介质 | |
| CN106209746B (zh) | 一种安全业务提供方法及服务器 | |
| CN105656856A (zh) | 资源管理方法和装置 | |
| CN109120596B (zh) | 一种多单点登陆集成方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160127 |
|
| RJ01 | Rejection of invention patent application after publication |