CN107835181B - 服务器集群的权限管理方法、装置、介质和电子设备 - Google Patents
服务器集群的权限管理方法、装置、介质和电子设备 Download PDFInfo
- Publication number
- CN107835181B CN107835181B CN201711136019.9A CN201711136019A CN107835181B CN 107835181 B CN107835181 B CN 107835181B CN 201711136019 A CN201711136019 A CN 201711136019A CN 107835181 B CN107835181 B CN 107835181B
- Authority
- CN
- China
- Prior art keywords
- authority
- authority management
- server
- access token
- interceptor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种服务器集群的权限管理方法、装置、介质和电子设备,该服务器集群的权限管理方法包括:通过部署在服务器集群中的各个服务器上的拦截器拦截用户对所述各个服务器的访问请求;获取统一权限管理中心向所述用户分配的第一权限管理策略;根据所述第一权限管理策略和部署在所述各个服务器上的拦截器中的第二权限管理策略,对所述用户的访问请求进行管理。本发明实施例的技术方案既能够通过统一权限管理中心分配的第一权限管理策略实现权限的统一管理,也能够通过部署在各个服务器上的拦截器中的第二权限管理策略实现各个服务器的特殊权限控制,提高了服务器集群的权限控制的灵活性与独立性。
Description
技术领域
本发明涉及权限管理技术领域,具体而言,涉及一种服务器集群的权限管理方法、装置、介质和电子设备。
背景技术
随着SaaS(Software-as-a-Service,软件即服务)技术的发展,越来越多的应用服务器及管理系统采用PaaS(Platform-as-a-Service,平台即服务)方案来部署。该方案使用大量且廉价的小型机作为硬件基础形成灵活、高可用的大型集群系统。
对于集群系统的权限管理,目前通常是通过统一登录、统一权限配置的方案,这种方案使得各个应用服务器都具有相同的权限,难以实现各个应用服务器由于服务对象及数据源的不同而要求不同权限的目的。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本发明的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本发明实施例的目的在于提供一种服务器集群的权限管理方法、装置、介质和电子设备,进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的一个或者多个问题。
本发明的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本发明的实践而习得。
根据本发明实施例的第一方面,提供了一种服务器集群的权限管理方法,包括:通过部署在服务器集群中的各个服务器上的拦截器拦截用户对所述各个服务器的访问请求;获取统一权限管理中心向所述用户分配的第一权限管理策略;根据所述第一权限管理策略和部署在所述各个服务器上的拦截器中的第二权限管理策略,对所述用户的访问请求进行管理。
在本发明的一些实施例中,基于前述方案,获取统一权限管理中心向所述用户分配的第一权限管理策略,包括:获取所述访问请求中包含的访问令牌;将所述访问令牌发送至所述统一权限管理中心,以获取所述统一权限管理中心根据所述访问令牌分配的所述第一权限管理策略。
在本发明的一些实施例中,基于前述方案,在将所述访问令牌发送至所述统一权限管理中心之前,还包括:根据所述访问令牌确定所述拦截器中是否缓存有所述第一权限管理策略;若判定所述拦截器中缓存有所述第一权限管理策略,则获取所述拦截器中缓存的所述第一权限管理策略;若判定所述拦截器中未缓存有所述第一权限管理策略,则将所述访问令牌发送至所述统一权限管理中心。
在本发明的一些实施例中,基于前述方案,还包括:在获取到所述统一权限管理中心根据所述访问令牌分配的所述第一权限管理策略后,在所述拦截器中缓存所述第一权限管理策略。
在本发明的一些实施例中,基于前述方案,还包括:若所述访问令牌失效或所述用户注销登录,则删除所述拦截器中缓存的所述第一权限管理策略。
在本发明的一些实施例中,基于前述方案,还包括:若未获取到所述访问请求中包含的所述访问令牌,则根据所述第二权限管理策略对所述用户的访问请求进行管理。
在本发明的一些实施例中,基于前述方案,在将所述访问令牌发送至所述统一权限管理中心之前,还包括:判断所述访问令牌是否失效;在判定所述访问令牌未失效时,将所述访问令牌发送至所述统一权限管理中心。
在本发明的一些实施例中,基于前述方案,还包括:通过配置文件配置所述拦截器中的所述第二权限控制策略。
在本发明的一些实施例中,基于前述方案,还包括:在所述各个服务器对应的用于项目管理的配置文件中添加所述拦截器的部署文件包的索引信息;基于所述配置文件加载所述部署文件包并绑定在所述各个服务器上,以在所述各个服务器上部署所述拦截器。
根据本发明实施例的第二方面,提供了一种服务器集群的权限管理装置,包括:拦截单元,用于通过部署在服务器集群中的各个服务器上的拦截器拦截用户对所述各个服务器的访问请求;获取单元,用于获取统一权限管理中心向所述用户分配的第一权限管理策略;处理单元,用于根据所述第一权限管理策略和部署在所述各个服务器上的拦截器中的第二权限管理策略,对所述用户的访问请求进行管理。
根据本发明实施例的第三方面,提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现如上述实施例中第一方面所述的服务器集群的权限管理方法。
根据本发明实施例的第四方面,提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上述实施例中第一方面所述的服务器集群的权限管理方法。
在本发明的一些实施例所提供的技术方案中,通过部署在各个服务器上的拦截器拦截用户对各个服务器的访问请求,进而根据统一权限管理中心向用户分配的第一权限管理策略和部署在各个服务器上的拦截器中的第二权限管理策略对用户的访问请求进行管理,使得对于集群系统而言,既能够通过统一权限管理中心分配的第一权限管理策略实现权限的统一管理,也能够通过部署在各个服务器上的拦截器中的第二权限管理策略实现各个服务器的特殊权限控制,提高了服务器集群的权限控制的灵活性与独立性,同时能够保证各服务器之间的权限耦合更松散。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1示意性示出了根据本发明的一个实施例的服务器集群的权限管理方法的流程图;
图2示出了根据本发明的一个实施例的服务器集群的系统结构示意图;
图3示意性示出了根据本发明的一个实施例的服务器集群的权限管理装置的框图;
图4示出了适于用来实现本发明实施例的电子设备的计算机系统的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本发明将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本发明的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本发明的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本发明的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
图1示意性示出了根据本发明的实施例的服务器集群的权限管理方法的流程图。
参照图1所示,根据本发明的实施例的服务器集群的权限管理方法,包括如下步骤:
步骤S10,通过部署在服务器集群中的各个服务器上的拦截器拦截用户对所述各个服务器的访问请求;
步骤S12,获取统一权限管理中心向所述用户分配的第一权限管理策略;
步骤S14,根据所述第一权限管理策略和部署在所述各个服务器上的拦截器中的第二权限管理策略,对所述用户的访问请求进行管理。
以下对上述各个步骤进行详细说明:
在步骤S10中,需要事先在各个服务器上部署拦截器。在本发明的示例性实施例中,在各个服务器上部署拦截器的方案具体可以是:在各个服务器对应的用于项目管理的配置文件中添加所述拦截器的部署文件包的索引信息;基于所述配置文件加载所述部署文件包并绑定在所述各个服务器上,以在所述各个服务器上部署所述拦截器。
在本发明的一个具体实施例中,可以通过Maven(项目对象模型)来部署拦截器,拦截器的部署文件包可以是jar包,用于项目管理的配置文件可以是pom.xml文件。具体的配置方式可以是将jar包上传至Maven资源服务器上,然后获得该资源服务器上的maven配置信息标签(即jar包的索引信息),然后将该标签放入需要部署拦截器的服务器的配置文件中,然后通过Maven库更新的方式来加载jar包,并捆绑到相应的服务器中。
在步骤S12中,获取统一权限管理中心向所述用户分配的第一权限管理策略。在本发明的一个示例性实施例中,该步骤具体包括:获取所述访问请求中包含的访问令牌;将所述访问令牌发送至所述统一权限管理中心,以获取所述统一权限管理中心根据所述访问令牌分配的所述第一权限管理策略。
在该实施例中,访问令牌是在用户登录时由系统创建的。具体地,拦截器在拦截到访问请求时,可以获取其中的访问令牌,然后将该访问令牌发送至统一权限管理中心,由统一权限管理中心根据该访问令牌来分配第一权限管理策略。其中,拦截器可以通过rest方式与统一权限管理中心进行通信。
为了避免拦截器在每次拦截到访问请求时都与统一权限管理中心进行通信来获取第一权限管理策略,可以将获取到的第一权限管理策略缓存至拦截器中,进而拦截器在拦截到访问请求时,可以根据访问请求中的访问令牌直接获取到缓存的第一权限管理策略。
进一步地,可以在用户登录后首次访问时从统一权限管理中心获得第一权限管理策略,然后缓存至拦截器中,在后续的访问过程中,可以直接从拦截器中获取第一权限管理策略。
更进一步地,若确定访问令牌失效或用户注销登录,则可以删除拦截器中缓存的第一权限管理策略,以在用户再次登录时重新获取第一权限管理策略,这样能够保证第一权限管理策略得到及时更新。
综合上述实施例的方案,当拦截器拦截到访问请求时,若根据访问请求中的访问令牌确定缓存有第一权限管理策略,则获取拦截器中缓存的第一权限管理策略;若确定拦截器中未缓存有第一权限管理策略,则将访问令牌发送至统一权限管理中心,以获取同一权限管理中心分配的第一权限管理策略。并且在获取到统一权限管理中心根据访问令牌分配的第一权限管理策略后,在拦截器中缓存该第一权限管理策略。
此外,需要说明的是,拦截器在将访问令牌发送至统一权限管理中心之前,还可以判断访问令牌是否失效,当判定访问令牌未失效时,再将访问令牌发送至统一权限管理中心。若判定访问令牌失效,则可以向用户终端返回错误信息。
在本发明的实施例中,访问令牌可能具有时效性,当不满足时效性要求时,可以认为访问令牌已经失效。
在步骤S14中,根据第一权限管理策略和部署在各个服务器上的拦截器中的第二权限管理策略,对用户的访问请求进行管理。
在本发明的实施例中,第一权限管理策略是由统一权限管理中心分配的进行统一权限管理的策略,第二权限管理策略是用于实现各个服务器特殊权限的控制,这样能够提高服务器集群的权限控制的灵活性与独立性,同时能够保证各服务器之间的权限耦合更松散。比如第二权限管理策略可以控制权限的过滤范围,如第二权限管理策略可以控制在没有访问令牌时也能够对登录页面进行访问等。
同时,在本发明的实施例中,可以通过配置文件配置拦截器中的第二权限控制策略。
此外,在本发明的实施例中,若未获取到访问请求中包含的访问令牌,则根据拦截器中的第二权限管理策略对用户的访问请求进行管理,比如通过第二权限管理策略实现上述提到的对登录页面的访问控制。
需要说明的是,上述所述的权限管理方法的执行主体可以是拦截器,即通过部署在应用服务器上的拦截器来实现权限管理。
在本发明的一个具体应用场景中,如图2所示,客户端的访问请求通过负载均衡处理后到达应用服务器,应用服务器通过调用微服务和相应的资源来响应访问请求。各个应用服务器对应一个拦截器,该拦截器用于拦截访问请求,并通过与统一权限管理中心进行交互来实现权限管理,具体的权限管理方案如上述实施例中所述,在此不再赘述。本发明的实施例通过将拦截器嵌入到每个应用服务器中,利用拦截器与统一权限管理完成统一权限认证管理的同时,也能够满足对每个应用服务器的特殊权限控制。
此外,本发明还提出了一种服务器集群的权限管理装置。具体如图3所示,根据本发明的实施例的服务器集群的权限管理装置300,包括:拦截单元302、获取单元304和处理单元306。
具体地,拦截单元302用于通过部署在服务器集群中的各个服务器上的拦截器拦截用户对所述各个服务器的访问请求;获取单元304用于获取统一权限管理中心向所述用户分配的第一权限管理策略;处理单元306用于根据所述第一权限管理策略和部署在所述各个服务器上的拦截器中的第二权限管理策略,对所述用户的访问请求进行管理。
在本发明的一些实施例中,基于前述方案,获取单元304配置为:获取所述访问请求中包含的访问令牌;将所述访问令牌发送至所述统一权限管理中心,以获取所述统一权限管理中心根据所述访问令牌分配的所述第一权限管理策略。
在本发明的一些实施例中,基于前述方案,权限管理装置300还包括:判断单元,用于根据所述访问令牌确定所述拦截器中是否缓存有所述第一权限管理策略;所述获取单元304配置为:在判断单元判定所述拦截器中缓存有所述第一权限管理策略时,获取所述拦截器中缓存的所述第一权限管理策略,并用于在所述判断单元判定所述拦截器中未缓存有所述第一权限管理策略时,将所述访问令牌发送至所述统一权限管理中心。
在本发明的一些实施例中,基于前述方案,权限管理装置300还包括:缓存单元,用于在获取单元304获取到所述统一权限管理中心根据所述访问令牌分配的所述第一权限管理策略后,在所述拦截器中缓存所述第一权限管理策略。
在本发明的一些实施例中,基于前述方案,权限管理装置300还包括:删除单元,用于在所述访问令牌失效或所述用户注销登录时,删除所述拦截器中缓存的所述第一权限管理策略。
在本发明的一些实施例中,基于前述方案,处理单元306还用于:在获取单元304未获取到所述访问请求中包含的所述访问令牌时,根据所述第二权限管理策略对所述用户的访问请求进行管理。
在本发明的一些实施例中,基于前述方案,所述获取单元304还用于:在将所述访问令牌发送至所述统一权限管理中心之前,判断所述访问令牌是否失效,当判定所述访问令牌未失效时,将所述访问令牌发送至所述统一权限管理中心。
在本发明的一些实施例中,基于前述方案,权限管理装置300还包括:配置单元,用于通过配置文件配置所述拦截器中的所述第二权限控制策略。
在本发明的一些实施例中,基于前述方案,权限管理装置300还包括:部署单元,用于在所述各个服务器对应的用于项目管理的配置文件中添加所述拦截器的部署文件包的索引信息,基于所述配置文件加载所述部署文件包并绑定在所述各个服务器上,以在所述各个服务器上部署所述拦截器。
下面参考图4,其示出了适于用来实现本发明实施例的电子设备的计算机系统400的结构示意图。图4示出的电子设备的计算机系统400仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,计算机系统400包括中央处理单元(CPU)401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储部分408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中,还存储有系统操作所需的各种程序和数据。CPU401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
以下部件连接至I/O接口405:包括键盘、鼠标等的输入部分406;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分407;包括硬盘等的存储部分408;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至I/O接口405。可拆卸介质411,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器410上,以便于从其上读出的计算机程序根据需要被安装入存储部分408。
特别地,根据本发明的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分409从网络上被下载和安装,和/或从可拆卸介质411被安装。在该计算机程序被中央处理单元(CPU)401执行时,执行本申请的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现如上述实施例中所述的服务器集群的权限管理方法。
例如,所述的电子设备可以实现如图1中所示的:步骤S10,通过部署在服务器集群中的各个服务器上的拦截器拦截用户对所述各个服务器的访问请求;步骤S12,获取统一权限管理中心向所述用户分配的第一权限管理策略;步骤S14,根据所述第一权限管理策略和部署在所述各个服务器上的拦截器中的第二权限管理策略,对所述用户的访问请求进行管理。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本发明实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本发明实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (9)
1.一种服务器集群的权限管理方法,其特征在于,包括:
通过部署在服务器集群中的各个服务器上的拦截器拦截用户对所述各个服务器的访问请求;
获取所述访问请求中包含的访问令牌,在判定访问令牌没有失效时,将所述访问令牌发送至统一权限管理中心,以获取所述统一权限管理中心根据所述访问令牌发送的第一权限管理策略,根据所述第一权限管理策略对所述用户请求进行管理;
若未获取到所述访问请求中包含的所述访问令牌,则根据部署在所述各个服务器上的拦截中的第二权限管理策略对所述用户的访问请求进行管理;
其中,所述第二权限管理策略用于控制所述各个服务器的权限的过滤范围。
2.根据权利要求1所述的服务器集群的权限管理方法,其特征在于,在将所述访问令牌发送至所述统一权限管理中心之前,还包括:根据所述访问令牌确定所述拦截器中是否缓存有所述第一权限管理策略;
若判定所述拦截器中缓存有所述第一权限管理策略,则获取所述拦截器中缓存的所述第一权限管理策略;
若判定所述拦截器中未缓存有所述第一权限管理策略,则将所述访问令牌发送至所述统一权限管理中心。
3.根据权利要求1所述的服务器集群的权限管理方法,其特征在于,还包括:
在获取到所述统一权限管理中心根据所述访问令牌分配的所述第一权限管理策略后,在所述拦截器中缓存所述第一权限管理策略。
4.根据权利要求3所述的服务器集群的权限管理方法,其特征在于,还包括:
若所述访问令牌失效或所述用户注销登录,则删除所述拦截器中缓存的所述第一权限管理策略。
5.根据权利要求1所述的服务器集群的权限管理方法,其特征在于,还包括:
通过配置文件配置所述拦截器中的所述第二权限控制策略。
6.根据权利要求1至5中任一项所述的服务器集群的权限管理方法,其特征在于,还包括:
在所述各个服务器对应的用于项目管理的配置文件中添加所述拦截器的部署文件包的索引信息;
基于所述配置文件加载所述部署文件包并绑定在所述各个服务器上,以在所述各个服务器上部署所述拦截器。
7.一种服务器集群的权限管理装置,其特征在于,包括:
拦截单元,用于通过部署在服务器集群中的各个服务器上的拦截器拦截用户对所述各个服务器的访问请求;
获取单元,用于获取所述访问请求中包含的所述访问令牌,在判定访问令牌未失效时,将所述访问令牌发送至统一权限管理中心,以获取所述统一权限管理中心根据所述访问令牌发送的第一权限管理策略,根据所述第一权限管理策略对所述用户请求进行管理;
处理单元,用于若未获取到所述访问请求中包含的所述访问令牌,则根据部署在所述各个服务器上的拦截中的第二权限管理策略对所述用户的访问请求进行管理;
其中,所述第二权限管理策略用于控制所述各个服务器的权限的过滤范围。
8.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1至6中任一项所述的服务器集群的权限管理方法。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至6中任一项所述的服务器集群的权限管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711136019.9A CN107835181B (zh) | 2017-11-16 | 2017-11-16 | 服务器集群的权限管理方法、装置、介质和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711136019.9A CN107835181B (zh) | 2017-11-16 | 2017-11-16 | 服务器集群的权限管理方法、装置、介质和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107835181A CN107835181A (zh) | 2018-03-23 |
| CN107835181B true CN107835181B (zh) | 2020-06-30 |
Family
ID=61651900
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711136019.9A Active CN107835181B (zh) | 2017-11-16 | 2017-11-16 | 服务器集群的权限管理方法、装置、介质和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107835181B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108683672B (zh) * | 2018-05-21 | 2021-09-21 | 华为技术有限公司 | 一种权限管理的方法及装置 |
| CN111125642B (zh) * | 2018-10-31 | 2022-06-03 | 北京数聚鑫云信息技术有限公司 | 一种管理api的方法、装置、存储介质及计算机设备 |
| CN111259227B (zh) * | 2020-01-16 | 2023-11-10 | 北京旷视科技有限公司 | 用于在多个检索集群之间共享目标检索服务的方法和装置 |
| CN111695092A (zh) * | 2020-05-29 | 2020-09-22 | 腾讯科技(深圳)有限公司 | 权限管理方法、装置、电子设备及介质 |
| CN112256351B (zh) * | 2020-10-26 | 2023-11-17 | 卫宁健康科技集团股份有限公司 | Feign组件的实现方法、微服务调用方法及装置 |
| CN113297589B (zh) * | 2021-03-31 | 2024-04-16 | 阿里巴巴创新公司 | 设置集群权限的方法、装置及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183940A (zh) * | 2007-12-11 | 2008-05-21 | 中兴通讯股份有限公司 | 一种多应用系统对用户身份进行认证的方法 |
| CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
| CN103227799A (zh) * | 2013-05-13 | 2013-07-31 | 山东临沂烟草有限公司 | 基于多应用系统统一用户管理及单点登陆平台的实现方法 |
| CN106027494A (zh) * | 2016-04-29 | 2016-10-12 | 深圳市永兴元科技有限公司 | 权限管理方法、服务器及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5787640B2 (ja) * | 2011-06-24 | 2015-09-30 | キヤノン株式会社 | 認証システムおよび認証方法およびプログラム |
-
2017
- 2017-11-16 CN CN201711136019.9A patent/CN107835181B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183940A (zh) * | 2007-12-11 | 2008-05-21 | 中兴通讯股份有限公司 | 一种多应用系统对用户身份进行认证的方法 |
| CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
| CN103227799A (zh) * | 2013-05-13 | 2013-07-31 | 山东临沂烟草有限公司 | 基于多应用系统统一用户管理及单点登陆平台的实现方法 |
| CN106027494A (zh) * | 2016-04-29 | 2016-10-12 | 深圳市永兴元科技有限公司 | 权限管理方法、服务器及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107835181A (zh) | 2018-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107835181B (zh) | 服务器集群的权限管理方法、装置、介质和电子设备 | |
| US9614875B2 (en) | Scaling a trusted computing model in a globally distributed cloud environment | |
| US10749985B2 (en) | Custom communication channels for application deployment | |
| US10601871B2 (en) | Reconfiguration of security requirements for deployed components of applications | |
| US20160352746A1 (en) | Dynamic permission roles for cloud based applications | |
| US9448901B1 (en) | Remote direct memory access for high availability nodes using a coherent accelerator processor interface | |
| US9270703B1 (en) | Enhanced control-plane security for network-accessible services | |
| US11025623B2 (en) | Updating database drivers for client applications through a database server push | |
| US10318747B1 (en) | Block chain based authentication | |
| US11005847B2 (en) | Method, apparatus and computer program product for executing an application in clouds | |
| CN116848528A (zh) | 用于自动配置用于容器应用的最小云服务访问权限的技术 | |
| US11005951B2 (en) | Gateway device allowing multiple infrastructural services to access multiple IoT devices | |
| US10606480B2 (en) | Scale-out container volume service for multiple frameworks | |
| US10521381B2 (en) | Self-moderating bus arbitration architecture | |
| US20230195858A1 (en) | Programmable model-driven license management and enforcement in a multi-tenant system | |
| US11798001B2 (en) | Progressively validating access tokens | |
| CN117813605A (zh) | 开源容器数据管理 | |
| CN114528140A (zh) | 一种业务降级的方法和装置 | |
| US11431711B2 (en) | Method, device and computer program product for service access | |
| US10884621B2 (en) | Block volume mount synchronization to prevent data corruption | |
| CN112311716A (zh) | 一种基于openstack的数据访问控制方法、装置及服务器 | |
| US11953972B2 (en) | Selective privileged container augmentation | |
| CN114707179B (zh) | 集群系统的资源授权方法、装置、介质及电子设备 | |
| CN113765986B (zh) | 一种开放平台的流量控制方法和服务器 | |
| US20240007465A1 (en) | Controlling access to components of a software-defined data center in a hybrid environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |