CN105991603A - 一种权限判断方法和装置 - Google Patents
一种权限判断方法和装置 Download PDFInfo
- Publication number
- CN105991603A CN105991603A CN201510088808.4A CN201510088808A CN105991603A CN 105991603 A CN105991603 A CN 105991603A CN 201510088808 A CN201510088808 A CN 201510088808A CN 105991603 A CN105991603 A CN 105991603A
- Authority
- CN
- China
- Prior art keywords
- server
- authentication
- object content
- validity
- cdn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了权限判断方法和装置,判断设备获取用户端针对目标内容发送的访问请求,所述访问请求包括所述用户端的位置信息;所述判断设备根据所述位置信息确定出内容分发网络CDN服务器,并向所述用户端发送所述目标内容的CDN资源地址和由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码,所述鉴权服务器为所述目标内容维护所述鉴权码,可见,判断设备具有由鉴权服务器提供的具有对应有效期且处于有效期内的鉴权码,鉴权码由所述鉴权服务器根据有效期进行更新,那么所述判断设备发给用户端的鉴权码也将根据所述鉴权服务器的鉴权码更新而改变,持续改变的鉴权码将大幅提高鉴权方式被破解的难度,提高了CDN技术的安全性。
Description
技术领域
本发明涉及互联网领域,特别是涉及一种权限判断方法和装置。
背景技术
内容分发网络(Content Delivery Network,CDN)的主要作用是可以将资源站提供的内容缓存到CDN服务器中。当用户企图通过该资源站访问该内容时,系统可以通过地址解析获取该用户相关的位置信息,然后根据当前网络状况,引导该用户访问距离该用户位置信息较近的CDN服务器。若该CDN服务器缓存了该内容,那么该用户可以相对快速的通过访问该CDN服务器访问到该内容。
资源站可以为提供的特定内容设置访问权限,只允许具有访问权限的特定用户访问。如果该特定用户访问该特定内容时被引导到缓存该特定内容的CDN服务器,该CDN服务器会通过鉴权算法计算该特定用户访问请求中携带的鉴权码是否合法,该鉴权码是由资源站在该特定用户访问该特定内容时下发给该特定用户的。当鉴权码合法时,CDN服务器才可以将该特定内容下发给该特定用户。
由于鉴权码和CDN服务器的鉴权算法都是预先设置好的,一般不会改动。故这种固定的鉴权方式比较容易破解,可以通过抓包的方式分析出鉴权码和鉴权算法,伪造出可以得到合法鉴权结果的访问请求,由此导致具有访问权限的特定内容被非法用户获得,降低了CDN技术的安全性。
发明内容
为了解决上述技术问题,本发明提供了一种权限判断方法和装置,由鉴权服务器提供持续更新的鉴权码,增加了鉴权方式被破解的难度,提供了CDN技术的安全性。
本发明实施例公开了如下技术方案:
一种权限判断方法,所述方法包括:
判断设备获取用户端针对目标内容发送的访问请求,所述访问请求包括所述用户端的位置信息;
所述判断设备根据所述位置信息确定出内容分发网络CDN服务器,并向所述用户端发送所述目标内容的CDN资源地址和由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码,所述CDN资源地址为所述目标内容在所述CDN服务器上的资源地址,所述鉴权码用于在所述用户端访问所述CDN服务器时作为判断所述用户端是否具有访问所述目标内容的权限的依据,所述鉴权服务器为所述目标内容维护所述鉴权码,所述维护所述鉴权码具体包括:当所述鉴权码对应的有效期到期时,更新鉴权码。
优选的,所述访问请求还包括所述用户端的用户信息,则在所述判断设备获取用户端针对目标内容发送的访问请求之后,所述判断设备根据所述位置信息确定出CDN服务器之前,还包括:
所述判断设备判断所述用户信息是否为相对于所述目标内容的合法用户信息;若判断结果为是,执行:所述判断设备根据所述位置信息确定出CDN服务器。
优选的,所述判断设备判断所述用户信息是否为相对于所述目标内容的合法用户信息,还包括:
若判断结果为否,所述判断设备向所述用户端返回合法认证资源地址,以使得所述用户端通过访问所述合法认证资源地址在资源服务器进行用户信息认证,所述资源服务器为提供所述目标内容的服务器。
优选的,所述判断设备具体为鉴权服务器,所述鉴权服务器还为所述目标内容维护对应所述鉴权码的鉴权算法,所述鉴权算法具有对应的有效期,所述维护对应的鉴权算法具体包括:当所述鉴权算法对应的有效期到期时,更新鉴权算法,在所述鉴权服务器根据所述位置信息确定出CDN服务器,并向所述用户端发送所述目标内容的CDN资源地址和由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码之后,所述方法还包括:
所述鉴权服务器获取所述CDN服务器针对所述目标内容的鉴权算法更新请求;
所述鉴权服务器向所述CDN服务器发送处于有效期内的所述鉴权算法。
优选的,在所述鉴权服务器获取用户端针对目标内容发送的访问请求之前,还包括:
所述鉴权服务器获取资源服务器发送的针对所述目标内容的第一鉴权注册请求,所述第一鉴权注册请求包括所述目标内容的合法用户信息,所述资源服务器为提供所述目标内容的服务器;
所述鉴权服务器在鉴权注册后,向所述资源服务器发送所述目标内容的第一资源地址,所述第一资源地址为所述鉴权服务器上对应所述目标内容的位置,以使得所述资源服务器通过所述第一资源地址提供所述目标内容。
优选的,所述判断设备具体为所述资源服务器,在所述资源服务器获取用户端针对目标内容发送的访问请求之前,还包括:
所述资源服务器向所述鉴权服务器发送针对所述目标内容的第二鉴权注册请求;
所述资源服务器获取所述鉴权服务器发送的处于有效期内的所述鉴权码和所述CDN资源地址;
所述资源服务器提供对应资源地址为第二资源地址的所述目标内容,所述第二资源地址为所述资源服务器上对应所述目标内容的位置。
优选的,所述资源服务器判断所述用户信息是否为相对于所述目标内容的合法用户信息;若判断结果为是,还包括:
所述资源服务器判断本地保存的所述鉴权码是否超出对应的有效期;若超出,
所述资源服务器向所述鉴权服务器发送鉴权码更新请求;
所述资源服务器从所述鉴权服务器获取处于有效期内的所述鉴权码。
一种权限判断装置,所述装置包括:
第一获取单元,用于获取用户端针对目标内容发送的访问请求,所述访问请求包括所述用户端的位置信息;
第一发送单元,用于根据所述位置信息确定出内容分发网络CDN服务器,并向所述用户端发送所述目标内容的CDN资源地址和由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码,所述CDN资源地址为所述目标内容在所述CDN服务器上的资源地址,所述鉴权码用于在所述用户端访问所述CDN服务器时作为判断所述用户端是否具有访问所述目标内容的权限的依据,所述鉴权服务器为所述目标内容维护所述鉴权码,所述维护所述鉴权码具体包括:当所述鉴权码对应的有效期到期时,更新鉴权码。
优选的,所述访问请求还包括所述用户端的用户信息,还包括:
第一判断单元,用于在触发所述第一获取单元之后,触发所述第一发送单元之前,判断所述用户信息是否为相对于所述目标内容的合法用户信息;若判断结果为是,触发所述第一发送单元。
优选的,还包括:
返回单元,用于若所述第一判断单元的判断结果为否,向所述用户端返回合法认证资源地址,以使得所述用户端通过访问所述合法认证资源地址在资源服务器进行用户信息认证,所述资源服务器为提供所述目标内容的服务器。
优选的,所述装置具体为鉴权服务器,所述鉴权服务器还为所述目标内容维护对应所述鉴权码的鉴权算法,所述鉴权算法具有对应的有效期,所述维护对应的鉴权算法具体包括:当所述鉴权算法对应的有效期到期时,更新鉴权算法,还包括:
第二获取单元,用于在触发所述第一发送单元之后,获取所述CDN服务器针对所述目标内容的鉴权算法更新请求;
第二发送单元,用于向所述CDN服务器发送处于有效期内的所述鉴权算法。
优选的,还包括:
第三获取单元,用于在触发所述第一获取单元之前,获取资源服务器发送的针对所述目标内容的第一鉴权注册请求,所述第一鉴权注册请求包括所述目标内容的合法用户信息,所述资源服务器为提供所述目标内容的服务器;
第三发送单元,用于在鉴权注册后,向所述资源服务器发送所述目标内容的第一资源地址,所述第一资源地址为所述鉴权服务器上对应所述目标内容的位置,以使得所述资源服务器通过所述第一资源地址提供所述目标内容。
优选的,所述装置具体为所述资源服务器,还包括:
第四发送单元,用于在触发所述第一获取单元之前,向所述鉴权服务器发送针对所述目标内容的第二鉴权注册请求;
第四获取单元,用于获取所述鉴权服务器发送的处于有效期内的所述鉴权码和所述CDN资源地址;
提供单元,用于提供对应资源地址为第二资源地址的所述目标内容,所述第二资源地址为所述资源服务器上对应所述目标内容的位置。
优选的,还包括:
第二判断单元,用于若所述第一判断单元的判断结果为是,判断本地保存的所述鉴权码是否超出对应的有效期;若超出,触发第五发送单元;
所述第五发送单元,用于向所述鉴权服务器发送鉴权码更新请求;
第五获取单元,用于从所述鉴权服务器获取处于有效期内的所述鉴权码。
一种权限判断方法,所述方法包括:
内容分发网络CDN服务器获取用户端根据CDN资源地址发送的针对目标内容的访问请求,所述访问请求包括具有对应的有效期且处于所述有效期内的鉴权码;
所述CDN服务器根据由鉴权服务器提供的针对所述目标内容的鉴权算法对所述鉴权码进行权限判断,判断所述用户端是否具有访问所述目标内容的权限,所述鉴权算法具有对应的有效期,且处于有效期内,所述鉴权服务器为所述目标内容维护所述鉴权码和对应的鉴权算法,所述鉴权算法具有对应的有效期,所述维护所述鉴权码具体包括:当所述鉴权码对应的有效期到期时,更新鉴权码;所述维护对应的鉴权算法具体包括:当所述鉴权算法对应的有效期到期时,更新鉴权算法;若判断结果为是,
所述CDN服务器向所述用户端返回所述目标内容。
优选的,在所述CDN服务器获取用户端根据CDN资源地址发送的针对目标内容的访问请求之后,所述CDN服务器根据由鉴权服务器提供的针对所述目标内容的鉴权算法对所述鉴权码进行权限判断之前,还包括:
所述CDN服务器判断本地保存的所述鉴权算法是否超出对应的有效期;若超出,
所述CDN服务器向所述鉴权服务器发送鉴权算法更新请求;
所述CDN服务器获取处于有效期内的所述鉴权算法。
优选的,所述CDN服务器根据由鉴权服务器提供的针对所述目标内容的鉴权算法对所述鉴权码进行权限判断,判断所述用户端是否具有访问所述目标内容的权限;若判断结果为是,在所述CDN服务器向所述用户端返回所述目标内容之前,还包括:
所述CDN服务器判断本地是否保存了所述目标内容;若没有保存,
所述CDN服务器向资源服务器请求获取所述目标内容,所述资源服务器为提供所述目标内容的服务器;
所述CDN服务器从所述资源服务器获取所述目标内容。
一种权限判断装置,所述装置包括:
第一获取单元,用于获取用户端根据CDN资源地址发送的针对目标内容的访问请求,所述访问请求包括具有对应的有效期且处于所述有效期内的鉴权码;
第一判断单元,用于根据由鉴权服务器提供的针对所述目标内容的鉴权算法对所述鉴权码进行权限判断,判断所述用户端是否具有访问所述目标内容的权限,所述鉴权算法具有对应的有效期,且处于有效期内,所述鉴权服务器为所述目标内容维护所述鉴权码和对应的鉴权算法,所述鉴权算法具有对应的有效期,所述维护所述鉴权码具体包括:当所述鉴权码对应的有效期到期时,更新鉴权码;所述维护对应的鉴权算法具体包括:当所述鉴权算法对应的有效期到期时,更新鉴权算法;若判断结果为是,触发第一发送单元;
所述第一发送单元,用于向所述用户端返回所述目标内容。
优选的,还包括:
第二判断单元,用于在触发所述第一获取单元之后,触发所述第一判断单元之前,判断本地保存的所述鉴权算法是否超出对应的有效期;若超出,触发第二发送单元;
所述第二发送单元,用于向所述鉴权服务器发送鉴权算法更新请求;
第二获取单元,用于获取处于有效期内的所述鉴权算法。
优选的,若所述第一判断单元的判断结果为是,还包括:
第三判断单元,用于在触发所述第一发送单元之前,判断本地是否保存了所述目标内容;若没有保存,触发第三发送单元;
所述第三发送单元,用于向资源服务器请求获取所述目标内容,所述资源服务器为提供所述目标内容的服务器;
第三获取单元,用于从所述资源服务器获取所述目标内容。
由上述技术方案可以看出,所述判断设备具有由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码,所述鉴权码由所述鉴权服务器根据有效期进行更新,那么所述判断设备发给用户端的鉴权码也将根据所述鉴权服务器的鉴权码更新而改变,持续改变的鉴权码将大幅提高鉴权方式被破解的难度,提高了CDN技术的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种权限判断方法的方法流程图;
图2为本发明实施例提供的一种权限判断方法的方法流程图;
图3为本发明实施例提供的一种权限判断方法的信令示意图;
图4为本发明实施例提供的一种权限判断方法的信令示意图;
图5为本发明实施例提供的一种权限判断方法的方法流程图;
图6为本发明实施例提供的一种权限判断方法的方法流程图;
图7为本发明实施例提供的一种权限判断装置的装置结构图;
图8为本发明实施例提供的一种权限判断装置的装置结构图;
图9为本发明实施例提供的一种权限判断装置的装置结构图;
图10为本发明实施例提供的一种权限判断装置的装置结构图;
图11为本发明实施例提供的一种权限判断装置的装置结构图;
图12为本发明实施例提供的一种权限判断装置的装置结构图。
具体实施方式
现有技术在实施CDN技术中,用户端通过地理位置相对较近,网络速度相对较快CDN服务器访问特定内容时,若该特定内容被提供方例如资源服务器设置了访问权限,只允许具有访问权限的特定用户访问,那么所述CDN服务器将会对企图访问所述特定内容的用户端进行鉴权,通过预置的鉴权算法来计算访问请求中的鉴权码,通过判断结果确定访问的用户端是否具有访问所述特定内容的权限,以此决定是否将所述特定内容返回给作为访问者的用户端。但是现有技术中鉴权码和CDN服务器的鉴权算法都是预置的固定鉴权码和鉴权算法,一般不会改动。故这种固定的鉴权方式比较容易破解,可以通过抓包的方式分析出鉴权码和鉴权算法,伪造出可以得到合法鉴权结果的访问请求,由此导致具有访问权限的特定内容被非法用户获得,降低了CDN技术的安全性。
为此,本发明实施例提供了一种权限判断方法和装置,所述判断设备具有由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码,所述鉴权码由所述鉴权服务器根据有效期进行更新,那么所述判断设备发给用户端的鉴权码也将根据所述鉴权服务器的鉴权码更新而改变,持续改变的鉴权码将大幅提高鉴权方式被破解的难度,提高了CDN技术的安全性。
所述鉴权服务器还为所述目标内容维护对应所述鉴权码的鉴权算法,当所述鉴权算法对应的有效期到期时,更新鉴权算法。使得CDN服务器在进行鉴权时,所使用的鉴权算法也与所述鉴权码一样,会随着所述鉴权服务器的鉴权算法更新而相应的改变,进一步的提高了鉴权方式被破解的难度。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
图1为本发明实施例提供的一种权限判断方法的方法流程图,所述方法包括:
S101:判断设备获取用户端针对目标内容发送的访问请求,所述访问请求包括所述用户端的位置信息。
举例说明,所述用户端可以理解为用户用于上网的设备,例如可以为手机、平板电脑等移动终端,也可以为台式机、笔记本等计算机设备,本发明对此不进行限定。
所述目标内容可以理解为被发布在网上、可供访问的内容,例如所述目标内容可以由资源服务器所提供。当所述用户端尝试访问所述目标内容时,所述用户端将通过所述目标内容对应的资源地址向所述判断设备发送访问请求。
所述位置信息可以理解为所述用户端的接入网位置等用于标识所述用户端所在位置的信息。
S102:所述判断设备根据所述位置信息确定出CDN服务器,并向所述用户端发送所述目标内容的CDN资源地址和由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码,所述CDN资源地址为所述目标内容在所述CDN服务器上的资源地址,所述鉴权码用于在所述用户端访问所述CDN服务器时作为判断所述用户端是否具有访问所述目标内容的权限的依据,所述鉴权服务器为所述目标内容维护所述鉴权码,所述维护所述鉴权码具体包括:当所述鉴权码对应的有效期到期时,更新鉴权码。
举例说明,所述CDN服务器是所述判断设备根据所述用户端的位置信息以及CDN服务器的位置信息和提供所述目标内容的资源服务器信息判断得出,一般情况下,所述CDN服务器是距离所述用户端相对所述资源服务器较近的服务器,由此可以达到所述用户端访问所述CDN服务器的访问速度相比访问所述资源服务器的访问速度更快的效果。
所述CDN资源地址的形式可以是统一资源标识符(Uniform ResourceIdentifier,URI)的形式,也可以是统一资源定位符(Uniform Resource Locator,URL)的形式等,本发明对此不进行限定。例如所述CDN资源地址在URI形式下可以为:/folder/file.ext。例如所述CDN资源地址在URL形式下可以为:http://cdn.s.com/folder/file.ext。所述判断设备可以通过http 3xx的方式向所述用户端发送的所述CDN资源地址。所述http 3xx属于一种http协议,如果客户端收到3xx的返回码,则会自动跳转访问随3xx返回码返回的一个新的资源地址例如URL,通过这种方式实现所述判断设备对于客户端的资源重定向调度。
所述鉴权码专门由所述鉴权服务器提供,和所述目标内容具有对应关系。所述鉴权码具有对应的有效期,例如一分钟、一小时、一天等,当一个鉴权码投入使用时,将开始计时,当计时时间达到该鉴权码对应的有效期,则所述鉴权服务器不再使用该过期的鉴权码,将重新更新一个新的与所述目标内容对应的鉴权码使用。一般情况下,所述鉴权服务器为一个内容在同一时刻只提供一个对应的鉴权码。所述鉴权码可以以参数方式附在所述CDN资源地址中发送给所述用户端,例如:http://cdn.s.com/folder/file.ext&cdn=M,其中M代表所述鉴权码。所述鉴权码也可以通过其他方式向所述用户端发送,本发明对此不进行限定。
可选的,在执行S102之前,所述判断设备还可以判断发送所述访问请求的所述用户端是否为合法用户,或者说,需要先判断所述用户端是否具有所述资源服务器授予的访问所述目标内容的权利。相应的,所述访问请求中除了包括所述位置信息外,还可以包括用户信息。在图1的基础上,本发明实施例还进一步提供了判断用户端合法性的方法,图2为本发明实施例提供的一种权限判断方法的方法流程图,所述方法包括:
S201:判断设备获取用户端针对目标内容发送的访问请求,所述访问请求包括所述用户端的用户信息和位置信息。
举例说明,所述用户信息可以理解为证明使用所述用户端的用户为所述目标内容的授权用户的信息。所述用户信息可以是用户登录信息,例如浏览器中保存的cookie,也可为所述用户分配的所述目标内容的授权信息等,本发明对用户信息的形式不进行限定。
S202:所述判断设备判断所述用户信息是否为相对于所述目标内容的合法用户信息;若判断结果为是,执行S203,若判断结果为否,执行S204。
举例说明,所述判断设备预先获取所述目标内容的合法用户信息,也就是具有访问所述目标内容权限的用户的用户信息。所述合法用户信息可以由提供所述目标内容的所述资源服务器提供。所述判断设备可以通过比对本地的所述合法用户信息和所述访问请求中的用户信息,由此得到判断结果。如果判断结果为是,则证明所述用户端给出的所述用户信息为具有访问所述目标内容权限的用户的用户信息。如果判断结果为否,则证明具有所述用户信息的用户不具有访问所述目标内容的权限,或者也可以理解为所述访问请求中的用户信息为空的情况。
S203:所述判断设备根据所述位置信息确定出CDN服务器,并向所述用户端发送所述目标内容的CDN资源地址和由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码,所述CDN资源地址为所述目标内容在所述CDN服务器上的资源地址,所述鉴权码用于在所述用户端访问所述CDN服务器时作为判断所述用户端是否具有访问所述目标内容的权限的依据,所述鉴权服务器为所述目标内容维护所述鉴权码,所述维护所述鉴权码具体包括:当所述鉴权码对应的有效期到期时,更新鉴权码。
S204:所述判断设备向所述用户端返回合法认证资源地址,以使得所述用户端通过访问所述合法认证资源地址在资源服务器进行用户信息认证,所述资源服务器为提供所述目标内容的服务器。
举例说明,所述判断设备可以通过http 3xx的方式向所述用户端返回的合法认证资源地址。所述合法认证资源地址可以为在所述资源服务器上的登录界面地址,例如:http://login.s.com/。所述用户端可以在所述登录界面上进行登录、注册等用户信息认证操作,以此获得所述目标内容的授权。当所述用户端通过用户信息认证得到所述资源服务器对所述目标内容的授权,即获得合法的用户信息时,可以重新执行S201。
由上述实施例可以看出,所述判断设备具有由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码,所述鉴权码由所述鉴权服务器根据有效期进行更新,那么所述判断设备发给用户端的鉴权码也将根据所述鉴权服务器的鉴权码更新而改变,持续改变的鉴权码将大幅提高鉴权方式被破解的难度,提高了CDN技术的安全性。
可选的,本发明实施例根据所述判断设备的具体执行设备不同,提供了至少两种相应的权限判断方式。接下来,将通过实施例二和实施例三对这两种方式进行详细描述。
在进行描述前,先对所述鉴权服务器进行说明,所述鉴权服务器除了具有更新所述鉴权码的功能外,还具有更新鉴权算法的功能。所述鉴权算法和所述鉴权码具有对应关系。一般来说,当所述鉴权码更新时,所述鉴权算法也会相应的更新。也就是说,所述鉴权服务器还为所述目标内容维护对应所述鉴权码的鉴权算法,所述鉴权算法具有对应的有效期,所述维护对应的鉴权算法具体包括:当所述鉴权算法对应的有效期到期时,更新鉴权算法。
所述鉴权算法具有对应的有效期,例如一分钟、一小时、一天等,当一个鉴权算法投入使用时,将开始计时,当计时时间达到该鉴权算法对应的有效期,则所述鉴权服务器不再使用该过期的鉴权算法,将重新更新一个新的与所述目标内容对应的鉴权算法使用。一般情况下,所述鉴权服务器为一个内容在同一时刻只提供一个对应的鉴权算法。一个鉴权算法可以为多个内容进行鉴权。
实施例二
本实施例将在如图1所对应实施例的基础上,对所述判断设备具体为鉴权服务器的情况下如何进行权限判断进行详细描述。
图3为本发明实施例提供的一种权限判断方法的信令示意图,包括:
S301:所述鉴权服务器获取资源服务器发送的针对所述目标内容的第一鉴权注册请求,所述第一鉴权注册请求包括所述目标内容的合法用户信息,所述资源服务器为提供所述目标内容的服务器。
举例说明,当提供内容的所述资源服务器想在网上发布目标内容,需要在所述鉴权服务器进行注册后,所述目标内容才能享受到CDN技术的优势。
S302:所述鉴权服务器在鉴权注册后,向所述资源服务器发送所述目标内容的第一资源地址,所述第一资源地址为所述鉴权服务器上对应所述目标内容的位置,以使得所述资源服务器通过所述第一资源地址提供所述目标内容。
举例说明,由于在本实施例中,所述鉴权服务器将作为所述判断设备,在所述鉴权服务器完成对所述目标内容的鉴权注册后,返回的所述第一资源地址将指向所述鉴权服务器。例如所述鉴权服务器的URL形式下的地址为http://www.cdn-ca.com。则返回给所述资源服务器的所述第一资源地址可以为http://www.cdn-ca.com/folder/file.ext。
S303:所述鉴权服务器为获取用户端针对目标内容发送的访问请求。
举例说明,当所述资源服务器在网上提供所述目标内容时,所述目标内容所对应的资源地址将为所述第一资源地址。如果有用户端企图访问所述目标内容,所述用户端的针对所述目标内容的访问请求将通过所述第一资源地址发向作为所述判断设备的所述鉴权服务器。所述访问请求中包括所述用户端的位置信息,也可以包括所述用户端的用户信息等。在所述访问请求中包括所述用户信息时,所述鉴权服务器还可以通过S301中获得的所述合法用户信息对所述用户信息进行合法性判断,详情请参阅图2所对应实施例的S202,这里不再赘述。
S304:所述鉴权服务器根据所述位置信息确定出CDN服务器,并向所述用户端发送所述目标内容的CDN资源地址和由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码。
举例说明,由于所述鉴权码的更新专门由所述鉴权服务器完成,故所述鉴权服务器本地保存的所述鉴权码一般都是在有效期内的鉴权码。
S305:所述CDN服务器获取用户端根据CDN资源地址发送的针对目标内容的访问请求,所述访问请求包括具有对应的有效期且处于所述有效期内的鉴权码。
举例说明,当所述用户端获取所述CDN资源地址和所述鉴权码后,可以根据所述CDN资源地址,通过访问所述CDN服务器获取到所述目标内容。访问所述CDN服务器的速度相对直接访问所述资源服务器的速度更快。所述用户端的所述访问请求中的所述鉴权码从作为所述判断设备的所述鉴权服务器获取。
S306:所述CDN服务器判断本地保存的所述鉴权算法是否超出对应的有效期;若超出,触发S307。若未超出,触发S309。
举例说明,由于所述鉴权算法具有对应的有效期,故当接收到所述访问请求时,如果不判断本地保存的所述鉴权算法是否过期,可能会出现使用已经过期的鉴权算法验证获取的未过期的所述鉴权码,鉴于所述鉴权码和所述鉴权算法的对应关系,这样验证会得出错误的验证结果,可能会导致原本具有访问所述目的内容权限的用户端无法正常访问所述目标内容,由此影响用户体验度。
S307:所述CDN服务器向所述鉴权服务器发送鉴权算法更新请求。
S308:所述CDN服务器获取所述鉴权服务器发送的处于有效期内的所述鉴权算法。
举例说明,当所述鉴权服务器获取所述鉴权算法更新请求后,将更新后的对应所述目标内容的鉴权算法发送至所述CDN服务器。
S309:所述CDN服务器根据由鉴权服务器提供的针对所述目标内容的鉴权算法对所述鉴权码进行权限判断,判断所述用户端是否具有访问所述目标内容的权限,若判断结果为是,触发S310。
举例说明,若判断结果为否时,则证明所述鉴权码与所述鉴权算法不具有对应关系,所述用户端不具有访问所述目标内容的权限。所述CDN服务器将会拒绝该访问请求。
S310:所述CDN服务器判断本地是否保存了所述目标内容;若没有保存,触发S311。若有保存,触发S313。
举例说明,当通过S309确定所述用户端具有访问所述目标内容后,所述CDN服务器将判断本地是否缓存所述目标内容,因为有些情况下,所述目标内容并没有预先缓存在所述CDN服务器中,如果没有缓存,所述CDN服务器将会向提供所述目标内容的所述资源服务器发送获取所述目标内容的请求。
S311:所述CDN服务器向资源服务器请求获取所述目标内容,所述资源服务器为提供所述目标内容的服务器。
S312:所述CDN服务器从所述资源服务器获取所述目标内容。
举例说明,所述CDN服务器也可以从用于缓存内容的缓存中转服务器获取所述目标内容,这里不再赘述。
S313:所述CDN服务器向所述用户端返回所述目标内容。
可见,作为所述判断设备的鉴权服务器,具有更新鉴权码和更新对应鉴权码的鉴权算法的功能,发送给用户端的鉴权码也将根据所述鉴权服务器的鉴权码更新而改变,发给CDN服务器的鉴权算法也将根据所述鉴权服务器的鉴权算法更新而改变,持续改变的鉴权码和鉴权算法将大幅提高鉴权方式被破解的难度,提高了CDN技术的安全性。
实施例三
本实施例将在如图1所对应实施例的基础上,对所述判断设备具体为资源服务器的情况下如何进行权限判断进行详细描述。
图4为本发明实施例提供的一种权限判断方法的信令示意图,包括:
S401:所述资源服务器向所述鉴权服务器发送针对所述目标内容的第二鉴权注册请求。
举例说明,当提供内容的所述资源服务器想在网上发布目标内容,需要在所述鉴权服务器进行注册后,所述目标内容才能享受到CDN技术的优势。
S402:所述资源服务器获取所述鉴权服务器发送的处于有效期内的所述鉴权码和所述CDN资源地址。
举例说明,由于本实施例中,由所述资源服务器作为所述判断设备,故本步骤中,所述资源服务器将获取所述鉴权码和所述CDN资源地址。当在判断所述用户端合法性成功后,可以将所述鉴权码和所述CDN资源地址发送给所述用户端。
S403:所述资源服务器提供对应资源地址为第二资源地址的所述目标内容,所述第二资源地址为所述资源服务器上对应所述目标内容的位置。
举例说明,若所述资源服务器的URL形式下的地址为http://www.s.com,那么所述第二资源地址可以为http://www.s.com/folder/file.ext。当用户端访问所述目标内容时,可以通过对应所述目标内容的所述第二资源地址发向所述资源服务器。
S404:所述资源服务器为获取用户端针对目标内容发送的访问请求。
举例说明,所述资源服务器还可以在所述访问请求中包括用户信息的情况下验证所述用户信息的合法性,这里不再赘述。
S405:所述资源服务器判断本地保存的所述鉴权码是否超出对应的有效期;若超出,触发S406,若未超出,触发S408。
举例说明,由于触发S402和触发S404的时间之间可以会有较长时间,故虽然从S402中获取的是处于有效期内的所述鉴权码,但是,当通过S404获取所述访问请求时,所述资源服务器本地保存的所述鉴权码可能已经过期。如果不对所述鉴权码的有效期进行判断,向所述用户端发送了过期的鉴权码,所述用户端即使具有访问所述目标内容的权限,也无法通过过期的鉴权码成功访问所述CDN服务器,造成较差的用户体验。故所述资源服务器在判断出本地保存的针对所述目标内容的鉴权算法已经过期时,可以通过向专门用于更新鉴权算法的所述鉴权服务器发送鉴权码更新请求,获取针对所述目标内容的且正处于有效期内的鉴权算法。
S406:所述资源服务器向所述鉴权服务器发送鉴权码更新请求;
S407:所述资源服务器从所述鉴权服务器获取处于有效期内的所述鉴权码。
S408:所述资源服务器根据所述位置信息确定出CDN服务器,并向所述用户端发送所述目标内容的CDN资源地址和由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码。
S409:所述CDN服务器获取用户端根据CDN资源地址发送的针对目标内容的访问请求,所述访问请求包括具有对应的有效期且处于所述有效期内的鉴权码。
举例说明,所述用户端的所述访问请求中的所述鉴权码从作为所述判断设备的所述资源服务器获取。
S410:所述CDN服务器判断本地保存的所述鉴权算法是否超出对应的有效期;若超出,触发S411。若未超出,触发S413。
S411:所述CDN服务器向所述鉴权服务器发送鉴权算法更新请求。
S412:所述CDN服务器获取所述鉴权服务器发送的处于有效期内的所述鉴权算法。
S413:所述CDN服务器根据由鉴权服务器提供的针对所述目标内容的鉴权算法对所述鉴权码进行权限判断,判断所述用户端是否具有访问所述目标内容的权限,若判断结果为是,触发S414。
举例说明,若判断结果为否时,则证明所述鉴权码与所述鉴权算法不具有对应关系,所述用户端不具有访问所述目标内容的权限。所述CDN服务器将会拒绝该访问请求。
S414:所述CDN服务器判断本地是否保存了所述目标内容;若没有保存,触发S415。若有保存,触发S417。
S415:所述CDN服务器向资源服务器请求获取所述目标内容,所述资源服务器为提供所述目标内容的服务器。
S416:所述CDN服务器从所述资源服务器获取所述目标内容。
S417:所述CDN服务器向所述用户端返回所述目标内容。
可见,作为所述判断设备的资源服务器,通过鉴权服务器获取对应所述目标内容的鉴权码,所述鉴权服务器,具有更新鉴权码和更新对应鉴权码的鉴权算法的功能,发送给用户端的鉴权码也将根据所述鉴权服务器的鉴权码更新而改变,发给CDN服务器的鉴权算法也将根据所述鉴权服务器的鉴权算法更新而改变,持续改变的鉴权码和鉴权算法将大幅提高鉴权方式被破解的难度,提高了CDN技术的安全性。
实施例四
本实施例将以CDN服务器的角度,对本发明的技术方案进行描述。图5为本发明实施例提供的一种权限判断方法的方法流程图,如图5所示,所述方法包括:
S501:CDN服务器获取用户端根据CDN资源地址发送的针对目标内容的访问请求,所述访问请求包括具有对应的有效期且处于所述有效期内的鉴权码。
本步骤可以参见图3所对应实施例中S305的相关描述,这里不再赘述。
S502:所述CDN服务器根据由鉴权服务器提供的针对所述目标内容的鉴权算法对所述鉴权码进行权限判断,判断所述用户端是否具有访问所述目标内容的权限,所述鉴权算法具有对应的有效期,且处于有效期内,所述鉴权服务器为所述目标内容维护所述鉴权码和对应的鉴权算法,所述鉴权算法具有对应的有效期,所述维护所述鉴权码具体包括:当所述鉴权码对应的有效期到期时,更新鉴权码;所述维护对应的鉴权算法具体包括:当所述鉴权算法对应的有效期到期时,更新鉴权算法;若判断结果为是,执行步骤S503。
本步骤可以参见图3所对应实施例中S309的相关描述,这里不再赘述。
S503:所述CDN服务器向所述用户端返回所述目标内容。
由上述实施例可以看出,所述CDN服务器使用由所述鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权算法对访问请求中的鉴权码进行鉴权判断,所述鉴权算法会根据所述鉴权服务器的鉴权算法更新而改变,持续改变的鉴权算法将大幅提高鉴权方式被破解的难度,提高了CDN技术的安全性。
由于所述鉴权算法具有对应的有效期,故当接收到所述访问请求时,如果不判断本地保存的所述鉴权算法是否过期,可能会出现使用已经过期的鉴权算法验证获取的未过期的所述鉴权码,鉴于所述鉴权码和所述鉴权算法的对应关系,这样验证会得出错误的验证结果,可能会导致原本具有访问所述目的内容权限的用户端无法正常访问所述目标内容,由此影响用户体验度。为此,本发明实施例提供了一种权限判断方法,如图6所示,图6为本发明实施例提供的一种权限判断方法的方法流程图,所述方法包括:
S601:CDN服务器获取用户端根据CDN资源地址发送的针对目标内容的访问请求,所述访问请求包括具有对应的有效期且处于所述有效期内的鉴权码。
S602:所述CDN服务器判断本地保存的所述鉴权算法是否超出对应的有效期;若超出,执行步骤S603。若不超出,执行步骤S605。
本步骤可以参见图3所对应实施例中S306的相关描述,这里不再赘述。
S603:所述CDN服务器向所述鉴权服务器发送鉴权算法更新请求。
S604:所述CDN服务器获取处于有效期内的所述鉴权算法。
本步骤可以参见图3所对应实施例中S308的相关描述,这里不再赘述。
有些情况下,所述目标内容并没有预先缓存在所述CDN服务器中,如果没有缓存,所述CDN服务器将会向提供所述目标内容的所述资源服务器发送获取所述目标内容的请求。为此,本发明实施例提供了一种权限判断方式,请参见图6:
S605:所述CDN服务器根据由鉴权服务器提供的针对所述目标内容的鉴权算法对所述鉴权码进行权限判断,判断所述用户端是否具有访问所述目标内容的权限,所述鉴权算法具有对应的有效期,且处于有效期内,所述鉴权服务器为所述目标内容维护所述鉴权码和对应的鉴权算法,所述鉴权算法具有对应的有效期,所述维护所述鉴权码具体包括:当所述鉴权码对应的有效期到期时,更新鉴权码;所述维护对应的鉴权算法具体包括:当所述鉴权算法对应的有效期到期时,更新鉴权算法;若判断结果为是,执行步骤S606。
S606:所述CDN服务器判断本地是否保存了所述目标内容;若没有保存,执行步骤S607。若有保存,执行步骤S609。
本步骤可以参见图3所对应实施例中S310的相关描述,这里不再赘述。
S607:所述CDN服务器向资源服务器请求获取所述目标内容,所述资源服务器为提供所述目标内容的服务器。
S608:所述CDN服务器从所述资源服务器获取所述目标内容。
本步骤可以参见图3所对应实施例中S312的相关描述,这里不再赘述。
S609:所述CDN服务器向所述用户端返回所述目标内容。
实施例五
图7为本发明实施例提供的一种权限判断装置的装置结构图,所述装置包括:
第一获取单元701,用于获取用户端针对目标内容发送的访问请求,所述访问请求包括所述用户端的位置信息。
举例说明,所述用户端可以理解为用户用于上网的设备,例如可以为手机、平板电脑等移动终端,也可以为台式机、笔记本等计算机设备,本发明对此不进行限定。
所述目标内容可以理解为被发布在网上、可供访问的内容,例如所述目标内容可以由资源服务器所提供。当所述用户端尝试访问所述目标内容时,所述用户端将通过所述目标内容对应的资源地址向所述判断设备发送访问请求。
所述位置信息可以理解为所述用户端的接入网位置等用于标识所述用户端所在位置的信息。
第一发送单元702,用于根据所述位置信息确定出CDN服务器,并向所述用户端发送所述目标内容的CDN资源地址和由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码,所述CDN资源地址为所述目标内容在所述CDN服务器上的资源地址,所述鉴权码用于在所述用户端访问所述CDN服务器时作为判断所述用户端是否具有访问所述目标内容的权限的依据,所述鉴权服务器为所述目标内容维护所述鉴权码,所述维护所述鉴权码具体包括:当所述鉴权码对应的有效期到期时,更新鉴权码。
举例说明,所述CDN服务器是所述判断设备根据所述用户端的位置信息以及CDN服务器的位置信息和提供所述目标内容的资源服务器信息判断得出,一般情况下,所述CDN服务器是距离所述用户端相对所述资源服务器较近的服务器,由此可以达到所述用户端访问所述CDN服务器的访问速度相比访问所述资源服务器的访问速度更快的效果。
所述CDN资源地址的形式可以是URI的形式,也可以是URL的形式等,本发明对此不进行限定。例如所述CDN资源地址在URI形式下可以为:/folder/file.ext。例如所述CDN资源地址在URL形式下可以为:http://cdn.s.com/folder/file.ext。所述第一发送单元702可以通过http 3xx的方式向所述用户端发送的所述CDN资源地址。所述http 3xx属于一种http协议,如果客户端收到3xx的返回码,则会自动跳转访问随3xx返回码返回的一个新的资源地址例如URL,通过这种方式实现所述第一发送单元702对于客户端的资源重定向调度。
所述鉴权码专门由所述鉴权服务器提供,和所述目标内容具有对应关系。所述鉴权码具有对应的有效期,例如一分钟、一小时、一天等,当一个鉴权码投入使用时,将开始计时,当计时时间达到该鉴权码对应的有效期,则所述鉴权服务器不再使用该过期的鉴权码,将重新更新一个新的与所述目标内容对应的鉴权码使用。一般情况下,所述鉴权服务器为一个内容在同一时刻只提供一个对应的鉴权码。所述鉴权码可以以参数方式附在所述CDN资源地址中发送给所述用户端,例如:http://cdn.s.com/folder/file.ext&cdn=M,其中M代表所述鉴权码。所述鉴权码也可以通过其他方式向所述用户端发送,本发明对此不进行限定。
可选的,在触发所述第一发送单元702之前,所述装置还可以判断发送所述访问请求的所述用户端是否为合法用户,或者说,需要先判断所述用户端是否具有所述资源服务器授予的访问所述目标内容的权利。相应的,所述访问请求中除了包括所述位置信息外,还可以包括用户信息。在图7的基础上,本发明实施例还进一步提供了判断用户端合法性的装置,图8为本发明实施例提供的一种权限判断装置的装置结构图,所述访问请求还包括所述用户端的用户信息,所述装置进一步包括:
第一判断单元801,用于在触发所述第一获取单元之后,触发所述第一发送单元之前,判断所述用户信息是否为相对于所述目标内容的合法用户信息;若判断结果为是,触发所述第一发送单元702。
举例说明,所述用户信息可以理解为证明使用所述用户端的用户为所述目标内容的授权用户的信息。所述用户信息可以是用户登录信息,例如浏览器中保存的cookie,也可为所述用户分配的所述目标内容的授权信息等,本发明对用户信息的形式不进行限定。
举例说明,所述第一判断单元801预先获取所述目标内容的合法用户信息,也就是具有访问所述目标内容权限的用户的用户信息。所述合法用户信息可以由提供所述目标设备的所述资源服务器提供。所述第一判断单元801可以通过比对本地的所述合法用户信息和所述访问请求中的用户信息,由此得到判断结果。如果判断结果为是,则证明所述用户端给出的所述用户信息为具有访问所述目标内容权限的用户的用户信息。如果判断结果为否,则证明具有所述用户信息的用户不具有访问所述目标内容的权限,或者也可以理解为所述访问请求中的用户信息为空的情况。在判断结果为否的情况下,所述装置还包括返回单元802:
所述返回单元802,用于若所述第一判断单元的判断结果为否,向所述用户端返回合法认证资源地址,以使得所述用户端通过访问所述合法认证资源地址在资源服务器进行用户信息认证,所述资源服务器为提供所述目标内容的服务器。
举例说明,所述返回单元802可以通过http 3xx的方式向所述用户端返回的合法认证资源地址。所述合法认证资源地址可以为在所述资源服务器上的登录界面地址,例如:http://login.s.com/。所述用户端可以在所述登录界面上进行登录、注册等用户信息认证操作,以此获得所述目标内容的授权。当所述用户端通过用户信息认证得到所述资源服务器对所述目标内容的授权,即获得合法的用户信息时,可以重新触发所述第一获取单元701。
由上述实施例可以看出,所述判断设备具有由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码,所述鉴权码由所述鉴权服务器根据有效期进行更新,那么所述判断设备发给用户端的鉴权码也将根据所述鉴权服务器的鉴权码更新而改变,持续改变的鉴权码将大幅提高鉴权方式被破解的难度,提高了CDN技术的安全性。
可选的,本发明实施例根据所述权限判断装置的具体执行设备不同,提供了至少两种相应的权限判断装置的连接关系。接下来,将通过实施例六和实施例七对这两种连接关系进行详细描述。
在进行描述前,先对所述鉴权服务器进行说明,所述鉴权服务器除了具有更新所述鉴权码的功能外,还具有更新鉴权算法的功能。所述鉴权算法和所述鉴权码具有对应关系。一般来说,当所述鉴权码更新时,所述鉴权算法也会相应的更新。也就是说,所述鉴权服务器还为所述目标内容维护对应所述鉴权码的鉴权算法,所述鉴权算法具有对应的有效期,所述维护对应的鉴权算法具体包括:当所述鉴权算法对应的有效期到期时,更新鉴权算法。
所述鉴权算法具有对应的有效期,例如一分钟、一小时、一天等,当一个鉴权算法投入使用时,将开始计时,当计时时间达到该鉴权算法对应的有效期,则所述鉴权服务器不再使用该过期的鉴权算法,将重新更新一个新的与所述目标内容对应的鉴权算法使用。一般情况下,所述鉴权服务器为一个内容在同一时刻只提供一个对应的鉴权算法。一个鉴权算法可以为多个内容进行鉴权。
实施例六
本实施例将在实施例五的基础上,对所述装置具体为鉴权服务器的情况下如何进行权限判断进行详细描述。
在图7的基础上,图9为本发明实施例提供的一种权限判断装置的装置结构图,如图9所示:
第二获取单元901,用于在触发所述第一发送单元702之后,获取所述CDN服务器针对所述目标内容的鉴权算法更新请求。
第二发送单元902,用于向所述CDN服务器发送处于有效期内的所述鉴权算法。
举例说明,当所述第二获取单元901获取所述鉴权算法更新请求后,所述第二发送单元902将更新后的对应所述目标内容的鉴权算法发送至所述CDN服务器。
当提供内容的所述资源服务器想在网上发布目标内容,需要对所述目标内容进行注册后,所述目标内容才能享受到CDN技术的优势。为此,本发明实施例还提供了对所述目标内容进行注册的装置,如图9所示:
第三获取单元903,用于在触发所述第一获取单元之前,获取资源服务器发送的针对所述目标内容的第一鉴权注册请求,所述第一鉴权注册请求包括所述目标内容的合法用户信息,所述资源服务器为提供所述目标内容的服务器。
第三发送单元904,用于在鉴权注册后,向所述资源服务器发送所述目标内容的第一资源地址,所述第一资源地址为所述鉴权服务器上对应所述目标内容的位置,以使得所述资源服务器通过所述第一资源地址提供所述目标内容。
举例说明,由于在本实施例中,在完成对所述目标内容的鉴权注册后,所述第三发送单元904返回的所述第一资源地址将指向所述鉴权服务器。例如所述鉴权服务器的URL形式下的地址为http://www.cdn-ca.com。则所述第三发送单元904返回给所述资源服务器的所述第一资源地址可以为http://www.cdn-ca.com/folder/file.ext。
实施例七
本实施例将在实施例五的基础上,对所述装置具体为资源服务器的情况下如何进行权限判断进行详细描述。
在图7的基础上,图10为本发明实施例提供的一种权限判断装置的装置结构图,还包括:
第四发送单元1001,用于在触发所述第一获取单元之前,向所述鉴权服务器发送针对所述目标内容的第二鉴权注册请求。
举例说明,当提供内容的所述资源服务器想在网上发布目标内容,需要对所述目标内容进行注册后,所述目标内容才能享受到CDN技术的优势。
第四获取单元1002,用于获取所述鉴权服务器发送的处于有效期内的所述鉴权码和所述CDN资源地址。
提供单元1003,用于提供对应资源地址为第二资源地址的所述目标内容,所述第二资源地址为所述资源服务器上对应所述目标内容的位置。
举例说明,若所述资源服务器的URL形式下的地址为http://www.s.com,那么所述第二资源地址可以为http://www.s.com/folder/file.ext。当用户端访问所述目标内容时,可以通过对应所述目标内容的所述第二资源地址发向所述资源服务器。
在所述第一获取单元701获取所述访问请求时,所述资源服务器本地保存的所述鉴权码可能已经过期。如果不对所述鉴权码的有效期进行判断,向所述用户端发送了过期的鉴权码,所述用户端即使具有访问所述目标内容的权限,也无法通过过期的鉴权码成功访问所述CDN服务器,造成较差的用户体验。为此,可选的,本发明实施例提供了一种权限判断装置,如图10所示,还包括:
第二判断单元1004,用于若所述第一判断单元的判断结果为是,判断本地保存的所述鉴权码是否超出对应的有效期;若超出,触发第五发送单元。
举例说明,所述第二判断单元1004在判断出本地保存的针对所述目标内容的鉴权算法已经过期时,可以通过所述第五发送单元1005向专门用于更新鉴权算法的所述鉴权服务器发送鉴权码更新请求,以通过第五获取单元1006获取针对所述目标内容的且正处于有效期内的鉴权算法。
所述第五发送单元1005,用于向所述鉴权服务器发送鉴权码更新请求。
第五获取单元1006,用于从所述鉴权服务器获取处于有效期内的所述鉴权码。
实施例八
本实施例将以CDN服务器的角度,对本发明的技术方案进行描述。图11为本发明实施例通过的一种权限判断装置的装置结构图,包括:
第一获取单元1101,用于获取用户端根据CDN资源地址发送的针对目标内容的访问请求,所述访问请求包括具有对应的有效期且处于所述有效期内的鉴权码。
举例说明,当所述用户端获取所述CDN资源地址和所述鉴权码后,可以根据所述CDN资源地址,通过访问所述CDN服务器获取到所述目标内容。访问所述CDN服务器的速度相对直接访问所述资源服务器的速度更快。所述用户端的所述访问请求中的所述鉴权码从作为所述判断设备的所述鉴权服务器获取。
第一判断单元1102,用于根据由鉴权服务器提供的针对所述目标内容的鉴权算法对所述鉴权码进行权限判断,判断所述用户端是否具有访问所述目标内容的权限,所述鉴权算法具有对应的有效期,且处于有效期内,所述鉴权服务器为所述目标内容维护所述鉴权码和对应的鉴权算法,所述鉴权算法具有对应的有效期,所述维护所述鉴权码具体包括:当所述鉴权码对应的有效期到期时,更新鉴权码;所述维护对应的鉴权算法具体包括:当所述鉴权算法对应的有效期到期时,更新鉴权算法;若判断结果为是,触发第一发送单元1103。
举例说明,若判断结果为否时,则证明所述鉴权码与所述鉴权算法不具有对应关系,所述用户端不具有访问所述目标内容的权限。所述第一判断单元1102将会拒绝该访问请求。
所述第一发送单元1103,用于向所述用户端返回所述目标内容。
由于所述鉴权算法具有对应的有效期,故当接收到所述访问请求时,如果不判断本地保存的所述鉴权算法是否过期,可能会出现使用已经过期的鉴权算法验证获取的未过期的所述鉴权码,鉴于所述鉴权码和所述鉴权算法的对应关系,这样验证会得出错误的验证结果,可能会导致原本具有访问所述目的内容权限的用户端无法正常访问所述目标内容,由此影响用户体验度。为此,可选的,本发明实施例提供了一种权限判断装置,图12为本发明实施例提供的一种权限判断装置的装置结构图,如图12所示,还包括:
第二判断单元1201,用于在触发所述第一获取单元之后,触发所述第一判断单元之前,判断本地保存的所述鉴权算法是否超出对应的有效期;若超出,触发第二发送单元1202。
所述第二发送单元1202,用于向所述鉴权服务器发送鉴权算法更新请求。
第二获取单元1203,用于获取处于有效期内的所述鉴权算法。
有些情况下,所述目标内容并没有预先缓存在所述CDN服务器中,为此需要判断本地是否保存了所述目标内容,如图12所示,若所述第一判断单元1102的判断结果为是,所述装置还包括:
第三判断单元1204,用于在触发所述第一发送单元1103之前,判断本地是否保存了所述目标内容;若没有保存,触发第三发送单元1205。
所述第三发送单元1205,用于向资源服务器请求获取所述目标内容,所述资源服务器为提供所述目标内容的服务器。
第三获取单元1206,用于从所述资源服务器获取所述目标内容。
举例说明,所述第三获取单元1206也可以从用于缓存内容的缓存中转服务器获取所述目标内容,这里不再赘述。
由上述实施例可以看出,所述CDN服务器使用由所述鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权算法对访问请求中的鉴权码进行鉴权判断,所述鉴权算法会根据所述鉴权服务器的鉴权算法更新而改变,持续改变的鉴权算法将大幅提高鉴权方式被破解的难度,提高了CDN技术的安全性。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者诸如媒体网关等网络通信设备)执行本发明各个实施例或者实施例的某些部分所述的方法。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本发明的优选实施方式,并非用于限定本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (20)
1.一种权限判断方法,其特征在于,所述方法包括:
判断设备获取用户端针对目标内容发送的访问请求,所述访问请求包括所述用户端的位置信息;
所述判断设备根据所述位置信息确定出内容分发网络CDN服务器,并向所述用户端发送所述目标内容的CDN资源地址和由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码,所述CDN资源地址为所述目标内容在所述CDN服务器上的资源地址,所述鉴权码用于在所述用户端访问所述CDN服务器时作为判断所述用户端是否具有访问所述目标内容的权限的依据,所述鉴权服务器为所述目标内容维护所述鉴权码,所述维护所述鉴权码具体包括:当所述鉴权码对应的有效期到期时,更新鉴权码。
2.根据权利要求1所述的方法,其特征在于,所述访问请求还包括所述用户端的用户信息,则在所述判断设备获取用户端针对目标内容发送的访问请求之后,所述判断设备根据所述位置信息确定出CDN服务器之前,还包括:
所述判断设备判断所述用户信息是否为相对于所述目标内容的合法用户信息;若判断结果为是,执行:所述判断设备根据所述位置信息确定出CDN服务器。
3.根据权利要求2所述的方法,其特征在于,所述判断设备判断所述用户信息是否为相对于所述目标内容的合法用户信息,还包括:
若判断结果为否,所述判断设备向所述用户端返回合法认证资源地址,以使得所述用户端通过访问所述合法认证资源地址在资源服务器进行用户信息认证,所述资源服务器为提供所述目标内容的服务器。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述判断设备具体为鉴权服务器,所述鉴权服务器还为所述目标内容维护对应所述鉴权码的鉴权算法,所述鉴权算法具有对应的有效期,所述维护对应的鉴权算法具体包括:当所述鉴权算法对应的有效期到期时,更新鉴权算法,在所述鉴权服务器根据所述位置信息确定出CDN服务器,并向所述用户端发送所述目标内容的CDN资源地址和由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码之后,所述方法还包括:
所述鉴权服务器获取所述CDN服务器针对所述目标内容的鉴权算法更新请求;
所述鉴权服务器向所述CDN服务器发送处于有效期内的所述鉴权算法。
5.根据权利要求4所述的方法,其特征在于,在所述鉴权服务器获取用户端针对目标内容发送的访问请求之前,还包括:
所述鉴权服务器获取资源服务器发送的针对所述目标内容的第一鉴权注册请求,所述第一鉴权注册请求包括所述目标内容的合法用户信息,所述资源服务器为提供所述目标内容的服务器;
所述鉴权服务器在鉴权注册后,向所述资源服务器发送所述目标内容的第一资源地址,所述第一资源地址为所述鉴权服务器上对应所述目标内容的位置,以使得所述资源服务器通过所述第一资源地址提供所述目标内容。
6.根据权利要求1至3任一项所述的方法,其特征在于,所述判断设备具体为所述资源服务器,在所述资源服务器获取用户端针对目标内容发送的访问请求之前,还包括:
所述资源服务器向所述鉴权服务器发送针对所述目标内容的第二鉴权注册请求;
所述资源服务器获取所述鉴权服务器发送的处于有效期内的所述鉴权码和所述CDN资源地址;
所述资源服务器提供对应资源地址为第二资源地址的所述目标内容,所述第二资源地址为所述资源服务器上对应所述目标内容的位置。
7.根据权利要求6所述的方法,其特征在于,所述资源服务器判断所述用户信息是否为相对于所述目标内容的合法用户信息;若判断结果为是,还包括:
所述资源服务器判断本地保存的所述鉴权码是否超出对应的有效期;若超出,
所述资源服务器向所述鉴权服务器发送鉴权码更新请求;
所述资源服务器从所述鉴权服务器获取处于有效期内的所述鉴权码。
8.一种权限判断装置,其特征在于,所述装置包括:
第一获取单元,用于获取用户端针对目标内容发送的访问请求,所述访问请求包括所述用户端的位置信息;
第一发送单元,用于根据所述位置信息确定出内容分发网络CDN服务器,并向所述用户端发送所述目标内容的CDN资源地址和由鉴权服务器提供的具有对应的有效期且处于有效期内的鉴权码,所述CDN资源地址为所述目标内容在所述CDN服务器上的资源地址,所述鉴权码用于在所述用户端访问所述CDN服务器时作为判断所述用户端是否具有访问所述目标内容的权限的依据,所述鉴权服务器为所述目标内容维护所述鉴权码,所述维护所述鉴权码具体包括:当所述鉴权码对应的有效期到期时,更新鉴权码。
9.根据权利要求8所述的装置,其特征在于,所述访问请求还包括所述用户端的用户信息,还包括:
第一判断单元,用于在触发所述第一获取单元之后,触发所述第一发送单元之前,判断所述用户信息是否为相对于所述目标内容的合法用户信息;若判断结果为是,触发所述第一发送单元。
10.根据权利要求9所述的装置,其特征在于,还包括:
返回单元,用于若所述第一判断单元的判断结果为否,向所述用户端返回合法认证资源地址,以使得所述用户端通过访问所述合法认证资源地址在资源服务器进行用户信息认证,所述资源服务器为提供所述目标内容的服务器。
11.根据权利要求8至10任一项所述的装置,其特征在于,所述装置具体为鉴权服务器,所述鉴权服务器还为所述目标内容维护对应所述鉴权码的鉴权算法,所述鉴权算法具有对应的有效期,所述维护对应的鉴权算法具体包括:当所述鉴权算法对应的有效期到期时,更新鉴权算法,还包括:
第二获取单元,用于在触发所述第一发送单元之后,获取所述CDN服务器针对所述目标内容的鉴权算法更新请求;
第二发送单元,用于向所述CDN服务器发送处于有效期内的所述鉴权算法。
12.根据权利要求11所述的装置,其特征在于,还包括:
第三获取单元,用于在触发所述第一获取单元之前,获取资源服务器发送的针对所述目标内容的第一鉴权注册请求,所述第一鉴权注册请求包括所述目标内容的合法用户信息,所述资源服务器为提供所述目标内容的服务器;
第三发送单元,用于在鉴权注册后,向所述资源服务器发送所述目标内容的第一资源地址,所述第一资源地址为所述鉴权服务器上对应所述目标内容的位置,以使得所述资源服务器通过所述第一资源地址提供所述目标内容。
13.根据权利要求8至10任一项所述的装置,其特征在于,所述装置具体为所述资源服务器,还包括:
第四发送单元,用于在触发所述第一获取单元之前,向所述鉴权服务器发送针对所述目标内容的第二鉴权注册请求;
第四获取单元,用于获取所述鉴权服务器发送的处于有效期内的所述鉴权码和所述CDN资源地址;
提供单元,用于提供对应资源地址为第二资源地址的所述目标内容,所述第二资源地址为所述资源服务器上对应所述目标内容的位置。
14.根据权利要求13所述的装置,其特征在于,还包括:
第二判断单元,用于若所述第一判断单元的判断结果为是,判断本地保存的所述鉴权码是否超出对应的有效期;若超出,触发第五发送单元;
所述第五发送单元,用于向所述鉴权服务器发送鉴权码更新请求;
第五获取单元,用于从所述鉴权服务器获取处于有效期内的所述鉴权码。
15.一种权限判断方法,其特征在于,所述方法包括:
内容分发网络CDN服务器获取用户端根据CDN资源地址发送的针对目标内容的访问请求,所述访问请求包括具有对应的有效期且处于所述有效期内的鉴权码;
所述CDN服务器根据由鉴权服务器提供的针对所述目标内容的鉴权算法对所述鉴权码进行权限判断,判断所述用户端是否具有访问所述目标内容的权限,所述鉴权算法具有对应的有效期,且处于有效期内,所述鉴权服务器为所述目标内容维护所述鉴权码和对应的鉴权算法,所述鉴权算法具有对应的有效期,所述维护所述鉴权码具体包括:当所述鉴权码对应的有效期到期时,更新鉴权码;所述维护对应的鉴权算法具体包括:当所述鉴权算法对应的有效期到期时,更新鉴权算法;若判断结果为是,
所述CDN服务器向所述用户端返回所述目标内容。
16.根据权利要求15所述的方法,其特征在于,在所述CDN服务器获取用户端根据CDN资源地址发送的针对目标内容的访问请求之后,所述CDN服务器根据由鉴权服务器提供的针对所述目标内容的鉴权算法对所述鉴权码进行权限判断之前,还包括:
所述CDN服务器判断本地保存的所述鉴权算法是否超出对应的有效期;若超出,
所述CDN服务器向所述鉴权服务器发送鉴权算法更新请求;
所述CDN服务器获取处于有效期内的所述鉴权算法。
17.根据权利要求15所述的方法,其特征在于,所述CDN服务器根据由鉴权服务器提供的针对所述目标内容的鉴权算法对所述鉴权码进行权限判断,判断所述用户端是否具有访问所述目标内容的权限;若判断结果为是,在所述CDN服务器向所述用户端返回所述目标内容之前,还包括:
所述CDN服务器判断本地是否保存了所述目标内容;若没有保存,
所述CDN服务器向资源服务器请求获取所述目标内容,所述资源服务器为提供所述目标内容的服务器;
所述CDN服务器从所述资源服务器获取所述目标内容。
18.一种权限判断装置,其特征在于,所述装置包括:
第一获取单元,用于获取用户端根据CDN资源地址发送的针对目标内容的访问请求,所述访问请求包括具有对应的有效期且处于所述有效期内的鉴权码;
第一判断单元,用于根据由鉴权服务器提供的针对所述目标内容的鉴权算法对所述鉴权码进行权限判断,判断所述用户端是否具有访问所述目标内容的权限,所述鉴权算法具有对应的有效期,且处于有效期内,所述鉴权服务器为所述目标内容维护所述鉴权码和对应的鉴权算法,所述鉴权算法具有对应的有效期,所述维护所述鉴权码具体包括:当所述鉴权码对应的有效期到期时,更新鉴权码;所述维护对应的鉴权算法具体包括:当所述鉴权算法对应的有效期到期时,更新鉴权算法;若判断结果为是,触发第一发送单元;
所述第一发送单元,用于向所述用户端返回所述目标内容。
19.根据权利要求18所述的装置,其特征在于,还包括:
第二判断单元,用于在触发所述第一获取单元之后,触发所述第一判断单元之前,判断本地保存的所述鉴权算法是否超出对应的有效期;若超出,触发第二发送单元;
所述第二发送单元,用于向所述鉴权服务器发送鉴权算法更新请求;
第二获取单元,用于获取处于有效期内的所述鉴权算法。
20.根据权利要求18所述的装置,其特征在于,若所述第一判断单元的判断结果为是,还包括:
第三判断单元,用于在触发所述第一发送单元之前,判断本地是否保存了所述目标内容;若没有保存,触发第三发送单元;
所述第三发送单元,用于向资源服务器请求获取所述目标内容,所述资源服务器为提供所述目标内容的服务器;
第三获取单元,用于从所述资源服务器获取所述目标内容。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510088808.4A CN105991603A (zh) | 2015-02-26 | 2015-02-26 | 一种权限判断方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510088808.4A CN105991603A (zh) | 2015-02-26 | 2015-02-26 | 一种权限判断方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105991603A true CN105991603A (zh) | 2016-10-05 |
Family
ID=57039094
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510088808.4A Pending CN105991603A (zh) | 2015-02-26 | 2015-02-26 | 一种权限判断方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105991603A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111193692A (zh) * | 2018-11-15 | 2020-05-22 | 北京金山云网络技术有限公司 | 请求响应方法、装置、边缘节点和鉴权系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030097374A1 (en) * | 2001-11-21 | 2003-05-22 | Nec Corporation | Information distribution system, information distribution method, and information center |
CN101064729A (zh) * | 2006-04-27 | 2007-10-31 | 中国电信股份有限公司 | 通过cdn网络实现ftp下载服务的系统和方法 |
CN101287011A (zh) * | 2008-05-26 | 2008-10-15 | 蓝汛网络科技(北京)有限公司 | 内容分发网络中响应用户服务请求的方法、系统和设备 |
CN101714993A (zh) * | 2009-12-02 | 2010-05-26 | 中国电信股份有限公司 | 一种p2p验证系统、方法和boss服务器 |
CN102685086A (zh) * | 2011-04-14 | 2012-09-19 | 天脉聚源(北京)传媒科技有限公司 | 一种文件访问方法和系统 |
-
2015
- 2015-02-26 CN CN201510088808.4A patent/CN105991603A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030097374A1 (en) * | 2001-11-21 | 2003-05-22 | Nec Corporation | Information distribution system, information distribution method, and information center |
CN101064729A (zh) * | 2006-04-27 | 2007-10-31 | 中国电信股份有限公司 | 通过cdn网络实现ftp下载服务的系统和方法 |
CN101287011A (zh) * | 2008-05-26 | 2008-10-15 | 蓝汛网络科技(北京)有限公司 | 内容分发网络中响应用户服务请求的方法、系统和设备 |
CN101714993A (zh) * | 2009-12-02 | 2010-05-26 | 中国电信股份有限公司 | 一种p2p验证系统、方法和boss服务器 |
CN102685086A (zh) * | 2011-04-14 | 2012-09-19 | 天脉聚源(北京)传媒科技有限公司 | 一种文件访问方法和系统 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111193692A (zh) * | 2018-11-15 | 2020-05-22 | 北京金山云网络技术有限公司 | 请求响应方法、装置、边缘节点和鉴权系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111131242B (zh) | 一种权限控制方法、装置和系统 | |
EP3258663B1 (en) | Verification method, apparatus and system for network application access | |
US10673985B2 (en) | Router-host logging | |
CN107196951B (zh) | 一种hdfs系统防火墙的实现方法和防火墙系统 | |
CN106537864B (zh) | 一种访问资源的方法及装置 | |
CN104767715B (zh) | 网络接入控制方法和设备 | |
CN105516110B (zh) | 移动设备安全数据传送方法 | |
CN109561066A (zh) | 数据处理方法、装置、终端及接入点计算机 | |
CN108111473B (zh) | 混合云统一管理方法、装置和系统 | |
CN109600366A (zh) | 基于区块链的保护用户数据隐私的方法及装置 | |
CN105516948B (zh) | 一种设备控制方法及装置 | |
CN108259438A (zh) | 一种基于区块链技术的认证的方法和装置 | |
WO2005048526A1 (en) | Extranet access management apparatus and method | |
US20140041002A1 (en) | Secure Access Method, Apparatus And System For Cloud Computing | |
JP2012501561A5 (zh) | ||
JP2007219935A (ja) | 分散認証システム及び分散認証方法 | |
CN102685086A (zh) | 一种文件访问方法和系统 | |
CN107210916A (zh) | 条件登录推广 | |
CN103166977A (zh) | 一种网站访问的方法、终端、服务器和系统 | |
US8863241B2 (en) | System and method for managing usage rights of software applications | |
CN103780580A (zh) | 提供能力访问策略的方法、服务器和系统 | |
CN106775950A (zh) | 一种虚拟机远程访问方法和装置 | |
CN102571873A (zh) | 一种分布式系统中的双向安全审计方法及装置 | |
CN106656455A (zh) | 一种网站访问方法及装置 | |
CN107135085A (zh) | 定向流量的统计控制方法、系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161005 |
|
RJ01 | Rejection of invention patent application after publication |