CN108268780A - 一种用于对系统访问进行控制的方法及装置 - Google Patents
一种用于对系统访问进行控制的方法及装置 Download PDFInfo
- Publication number
- CN108268780A CN108268780A CN201611252357.4A CN201611252357A CN108268780A CN 108268780 A CN108268780 A CN 108268780A CN 201611252357 A CN201611252357 A CN 201611252357A CN 108268780 A CN108268780 A CN 108268780A
- Authority
- CN
- China
- Prior art keywords
- user
- resource
- information
- user information
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种用于对系统访问进行控制的方法,包括:用户通过登录页面输入用户信息,启动登录处理插件对所述用户信息进行验证;在所述用户信息通过验证后,为用户的资源访问分配功能权限,将所述用户信息保存在缓存中;在所述用户提交访问请求时,访问控制插件获取所述访问请求,并对所述请求所涉及的资源类型进行判断;若所涉及的资源类型已进行配置,确认所述资源类型的权限,并将资源类型已配置的权限与缓存中所述用户信息的用户的操作权限进行比较判断,以根据比较结果确认所述用户是否拥有对该类型资源的访问权限;若所述用户拥有该类型资源的访问权限,则用户对资源进行访问;否则,拒绝用户对资源进行访问。
Description
技术领域
本发明涉及计算机领域,更具体地,涉及一种用于对系统访问进行控制的方法及装置。
背景技术
目前,大部分应用系统的登录信息都是存放在会话Session中的。在集群环境下,如果负载均衡不是Session粘制的,这样所有登录用户的Session信息都会存放在主节点上,主节点就会成为系统的瓶颈。大部分应用系统的访问控制都只是实现了对页面权限进行控制,而对于页面上按钮权限进行控制还没有实现,权限控制粒度偏大。
因此,需要一种技术,以解决对系统访问权限控制度低的问题。
发明内容
本发明提出了一种用于对系统访问进行控制的方法及装置,以解决系统访问权限控制度低,系统访问安全性低的问题。
为解决上述问题,本发明提供了一种用于对系统访问进行控制的方法,所述方法包括:
用户通过登录页面输入用户信息,启动登录处理插件对所述用户信息进行验证;
在所述用户信息通过验证后,为用户的资源访问分配功能权限,将所述用户信息保存在缓存中;
在所述用户提交访问请求时,访问控制插件获取所述访问请求,并对所述请求所涉及的资源类型进行判断;
若所涉及的资源类型已进行配置,确认所述资源类型的权限,并将资源类型已配置的权限与缓存中所述用户信息的用户的操作权限进行比较判断,以根据比较结果确认所述用户是否拥有对该类型资源的访问权限;若所述用户拥有该类型资源的访问权限,则用户对资源进行访问;否则,拒绝用户对资源进行访问。
优选地,还包括:
对资源信息进行配置,包括对资源名称、资源类型、资源关键字以及资源描述进行配置;
根据资源类型进行权限配置,包括对权限名称、权限关键字、权限描述进行配置。
优选地,所述为用户的资源访问分配功能权限,还包括:
新增、修改或删除用户信息;
对用户进行禁用,被禁用的用户将禁止对资源进行访问。
优选地,所述资源类型包括:页面类型或按钮类型。
优选地,所述通过将权限名称与资源名称进行对应来建立权限与资源的关联还包括:
将一个权限名称关联多个资源名称。
优选地,所述用户通过登录页面输入用户信息,启动登录处理插件对所述用户信息进行验证还包括:
通过数据库查询用户的信息,若所述数据库中查询不到所述用户,则提示“用户名或密码不正确”;
若通过数据库查询到所述用户的信息,则从用户信息中提取用户账号,并通过所述用户账号从缓存中取出缓存中的用户信息,获取用户提交密码错误次数记录;
如果密码错误次数记录超过5次,则提示“用户已被锁定”,锁定时间为4小时,在锁定期间所述用户将禁止对资源进行访问;
如果密码错误次数记录小于5次,则从用户信息中对时间戳进行判断,如果时间戳没有过期,并且所述用户账号没有被禁用,则启动登录处理插件对所述用户信息进行验证。
优选地,所述启动登录处理插件对所述用户信息进行验证还包括:
将用户输入用户信息中的用户密码用加密算法进行加密,并对加密后的用户密码与数据库中的密码进行比较,若两个密码不相同,则说明用户密码输入错误,从用户信息中提取用户账号,并通过所述用户账号从缓存中取出缓存中的密码错误次数记录增加1次;
若两个密码相同,则所述用户信息通过验证。
优选地,所述用户对资源进行访问后还包括:
将缓存中的密码错误次数记录设置为0,通过数据库查询所述用户的所有资源权限,并将系统中所述用户的权限信息写入到缓存中用户系统中,用户系统缓存时间为4小时。
基于本发明的另一方面,本发明提供一种用于对系统访问进行控制的装置,所述装置包括:
登录单元,用于用户通过登录页面输入用户信息,启动登录处理插件对所述用户信息进行验证;
授权单元,用于在所述用户信息通过验证后,为用户的资源访问分配功能权限,将所述用户信息保存在缓存中;
请求单元,用于在所述用户提交访问请求时,访问控制插件获取所述访问请求,并对所述请求所涉及的资源类型进行判断;
确认单元,用于若所涉及的资源类型已进行配置,确认所述资源类型的权限,并将资源类型已配置的权限与缓存中所述用户信息的用户的操作权限进行比较判断,以根据比较结果确认所述用户是否拥有对该类型资源的访问权限;若所述用户拥有该类型资源的访问权限,则用户对资源进行访问;否则,拒绝用户对资源进行访问。
优选地,所述装置还包括资源配置单元,用于:对资源名称、资源类型、资源关键字以及资源描述进行配置;
权限配置单元,用于:对权限名称、权限关键字、权限描述、所属模块以及是否有效进行配置;
优选地,所述授权单元,还用于:
新增、修改或删除用户信息;
对用户进行禁用,被禁用的用户将禁止对资源进行访问。
优选地,所述资源类型包括:页面类型或按钮类型。
优选地,所述权限配置单元还用于:
将一个权限名称关联多个资源名称。
优选地,所述登录单元还用于:
通过数据库查询用户的信息,若所述数据库中查询不到所述用户,则提示“用户名或密码不正确”;
若通过数据库查询到所述用户的信息,则从用户信息中提取用户账号,并通过所述用户账号从缓存中取出缓存中的用户信息,获取用户提交密码错误次数记录;
如果密码错误次数记录超过5次,则提示“用户已被锁定”,锁定时间为4小时,在锁定期间所述用户将禁止对资源进行访问;
如果密码错误次数记录小于5次,则从用户信息中对时间戳进行判断,如果时间戳没有过期,并且所述用户账号没有被禁用,则启动登录处理插件对所述用户信息进行验证。
优选地,所述登录单元还用于:
将用户输入用户信息中的用户密码用加密算法进行加密,并对加密后的用户密码与数据库中的密码进行比较,若两个密码不相同,则说明用户密码输入错误,从用户信息中提取用户账号,并通过所述用户账号从缓存中取出缓存中的密码错误次数记录增加1次;
若两个密码相同,则所述用户信息通过验证。
优选地,还用于:
将缓存中的密码错误次数记录设置为0,通过数据库查询所述用户的所有资源权限,并将系统中所述用户的权限信息写入到缓存中用户系统中,用户系统缓存时间为4小时。
本发明的有益效果是:
本发明技术方案所提供的访问控制方法,解决了登录后访问系统页面时对Session的依赖,通过Cookie就可以取到登录用户信息,可以实现对页面或页面上的按钮进行权限控制,提高了访问控制的粒度,同时也提高了系统访问的安全性。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明实施方式的用户进行系统登录用户信息验证方法流程图;
图2为根据本发明实施方式的对用户进行系统访问控制的方法流程图;
图3为根据本发明实施方式的一种用于对系统访问进行控制的装置结构图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明实施方式的用户进行系统登录用户信息验证方法流程图。如图1所示,用户通过登录页面输入用户信息,启动登录处理插件对用户信息进行验证。本发明的实施方式中,用户在登录页面输入用户名和密码信息,然后点击“登录”按钮,提交到登录处理插件进行后台登录验证,如果验证不通过直接提示登录失败信息并返回,如果验证通过进行登录成功后处理并跳转到主界面中。登录成功之后,用户可以在主界面上通过菜单访问页面,也可以直接通过页面的链接地址访问页面。当用户访问页面类资源或页面上的按钮类型资源时,所有请求都会先提交到访问控制插件,在访问控制插件里先判断用户是否已经成功登录,如果没有登录提示“用户未登录”,如果已经登录则再进行资源类型权限判断。如果用户没有资源类型权限,对于要打开的页面不显示页面内容,提示没有操作权限,用户点击提示信息的“确定”按钮后直接关闭页面;对于操作的按钮类型资源,提示没有操作权限,不执行按钮资源类型的事件处理。
优选地,本发明实施方式中登录处理部分算法如下:
首先根据登录用户信息中的用户名在数据中查询该用户的信息,如果查不出该用户的信息则说明该用户不存在,直接提示“用户名或密码不正确”,如果可以查出该用户的信息,则说明该用户名在系统中是存在的,从用户信息中取出用户账号,即用户ID,接着根据用户ID从缓存中取出缓存中的用户信息,再从中取出密码错误记录次数,如果密码错误记录次数为5次则说明该用户已被锁定,提示“用户已被锁定”,其锁定时间为4小时。如果从缓存中没有取到用户信息或是密码错误记录次数少于5,则说明该用户没有被锁定,再判断该用户账号用户是否过期,如果已过期则提示“用户已过期”,如果没有过期再判断用户是否被禁用。如果已被禁用则提示“用户已禁用”,如果没有被禁用再进行密码校验。
优选地,密码校验部分的处理方法是,将从登录页面输入的用户密码用加密算法进行加密,然后再与从系统数据库中查出的用户密码进行比较,如果两个密码不相同说明密码输入错误,再根据用户ID从缓存中取出用户信息,如果可以取出则将密码错误记录次数加1并重新放入缓存中,如果没有取到则设置用户信息中的密码错误次数为1,并将用户的ID作为key值,用户信息作为value值放入缓存中,同时返回登录页面提示“用户名或密码不正确”。如果两个密码值是相同的,则说明用户密码输入正确,然后进行登录成功后处理。
登录成功后的处理包括,将用户信息中的密码错误记录次数设置为0,接着从数据库中查出该用户拥有的所有资源权限,并将权限进行信息放入用户信息中,然后再将用户的ID作为key值,用户信息作为value值放入缓存中,缓存时间为4小时。然后将用户ID、用户签名和时间戳信息拼接在一起,并将其作为访问控制插件值cookieID设置到页面访问控制插件cookie中去,最后跳转到主界面。
图2为根据本发明实施方式的对用户进行系统访问控制的方法流程图。方法200包括:
对系统资源信息进行配置,包括对资源名称、资源类型、资源关键字以及资源描述进行配置;
根据资源类型进行权限配置,包括对权限名称、权限关键字、权限描述、所属模块以及是否有效进行配置;并通过将权限名称与资源名称进行对应来建立权限与资源的关联;
用户通过登录页面输入用户信息,启动登录处理插件对用户信息进行验证;
在用户信息通过验证后,为用户的资源访问分配功能权限,将用户信息保存在缓存中;
在用户提交访问请求时,访问控制插件获取访问请求,并对所请求所涉及的系统资源类型进行判断;
若所涉及的系统资源类型已进行配置,确认类型的权限,并将资源类型已配置的权限与缓存中用户信息对用户的操作权限进行比较判断,以根据比较结果确认用户是否拥有对该类型资源的访问权限;若用户拥有该类型资源的访问权限,则用户对系统进行访问;否则,拒绝用户对系统进行访问。
优选地,为用户的资源访问分配功能权限,还包括:
新增、修改或删除用户信息;
对用户进行禁用,被禁用的用户将禁止对系统进行访问。
优选地,资源类型包括:页面类型或按钮类型。
优选地,并通过将权限名称与资源名称进行对应来建立权限与资源的关联还包括:
将一个权限名称关联多个资源名称。
优选地,用户通过登录页面输入用户信息,启动登录处理插件对用户信息进行验证还包括:
通过数据库查询用户的信息,若数据库中查询不到用户,则提示“用户名或密码不正确”;
若通过数据库查询到用户的信息,则从用户信息中提取用户账号,并通过用户账号从缓存中取出缓存中的用户信息,获取用户提交密码错误次数记录;
如果密码错误次数记录超过5次,则提示“用户已被锁定”,锁定时间为4小时,锁定期间用户将禁止对系统进行访问;
如果密码错误次数记录小于5次,则从用户信息中对时间戳进行判断,如果时间戳没有过期,并且用户账号没有被禁用,则启动登录处理插件对用户信息进行验证。
优选地,启动登录处理插件对用户信息进行验证还包括:
将用户输入用户信息中的用户密码用加密算法进行加密,并对加密后的用户密码与数据库中的密码进行比较,若两个密码不相同,则说明用户密码输入错误,则从用户信息中提取用户账号,并通过用户账号从缓存中取出缓存中的密码错误次数记录增加1次;
若两个密码相同,则用户信息通过验证。
优选地,用户对系统进行访问后还包括:
将缓存中的密码错误次数记录设置为0,通过系统数据库查询用户的所有资源权限,并将系统中用户的权限信息写入到缓存中用户系统中,用户系统缓存时间为4小时。
方法200的实施方式说明如下:方法200可以实现将登录用户ID信息存放在cookie中,用户信息存在缓存中,对登录用户可以访问的页面和页面中按钮功能进行精确权限控制。方法200包括:资源配置页面,配置需要进行权限控制的资源。权限配置页面,配置模块信息和权限信息。用户管理页面,进行用户信息维护和给用户赋权。
优选地,资源配置页面的具体内容包括:
在资源配置页面,可以新增、修改、删除资源,资源信息包括资源名称、资源类型、资源关键字、资源描述等信息,其中资源类型分为页面类型和按钮类型,资源关键字是访问控制进行权限比较时用到的字段。对于页面类型的资源配置为页面访问时的ID,对于按钮类型的资源配置为按钮对应的提交事件名称,只有当有提交事件的按钮才可以进行权限控制。
优选地,权限配置页面的具体内容包括:
在权限配置页面,可以新增、修改、删除模块信息和权限信息,权限信息需要建在模块信息下面。权限信息包括权限名称、权限关键字、权限描述、所属模块和是否有效等信息。在权限配置页面还可以配置权限与资源的关联关系,一个权限可以关联多个资源。
优选地其中,还可以建立用户管理页面,用户管理页面的具体内容包括:
在用户管理页面,可以新增、修改、删除用户信息,用户信息包括用户账号(即登录时的用户名,用户ID)、用户实名、用户密码、账号失效日期等。在用户管理页面可以对用户进行功能授权,选择某个用户,点击“功能授权”按钮,会弹出在权限配置页面配置的权限树,勾选需要分配给该用户的权限,然后保存即可。在用户管理页面也可以启用或禁用某个用户。
优选地,在登录页面输入用户名和密码信息,然后点击“登录”按钮,提交到登录处理插件进行后台登录验证,如果验证不通过直接提示登录失败信息并返回,如果验证通过进行登录成功后处理并跳转到主界面中。登录成功之后,用户可以在主界面上通过菜单访问页面,也可以直接通过页面的链接地址访问页面。当用户访问页面和页面上的按钮功能时,所有请求都会先提交到访问控制插件,在访问控制插件里先判断是否登录,如果没有登录提示“用户未登录”,如果已经登录则再进行资源权限判断。如果用户没有资源权限,对于要打开的页面不显示页面内容,提示没有操作权限,用户点击提示信息的“确定”按钮后直接关闭页面;对于操作的按钮,提示没有操作权限,不执行按钮的事件处理。
优选地,其中,登录处理部分进行如下操作:
用户在登录页面输入用户名和密码信息,然后点击“登录”按钮,提交到登录处理插件进行后台登录验证,如果验证不通过直接提示登录失败信息并返回,如果验证通过进行登录成功后处理并跳转到主界面中。登录成功之后,用户可以在主界面上通过菜单访问页面,也可以直接通过页面的链接地址访问页面。当用户访问页面类资源或页面上的按钮类型资源时,所有请求都会先提交到访问控制插件,在访问控制插件里先判断用户是否已经成功登录,如果没有登录提示“用户未登录”,如果已经登录则再进行资源类型权限判断。如果用户没有资源类型权限,对于要打开的页面不显示页面内容,提示没有操作权限,用户点击提示信息的“确定”按钮后直接关闭页面;对于操作的按钮类型资源,提示没有操作权限,不执行按钮资源类型的事件处理。
优选地,本发明实施方式中登录处理部分算法如下:
首先根据登录用户信息中的用户名在数据中查询该用户的信息,如果查不出该用户的信息则说明该用户不存在,直接提示“用户名或密码不正确”,如果可以查出该用户的信息,则说明该用户名在系统中是存在的,从用户信息中取出用户账号,即用户ID,接着根据用户ID从缓存中取出缓存中的用户信息,再从中取出密码错误记录次数,如果密码错误记录次数为5次则说明该用户已被锁定,提示“用户已被锁定”,其锁定时间为4小时。如果从缓存中没有取到用户信息或是密码错误记录次数少于5,则说明该用户没有被锁定,再判断该用户账号用户是否过期,如果已过期则提示“用户已过期”,如果没有过期再判断用户是否被禁用。如果已被禁用则提示“用户已禁用”,如果没有被禁用再进行密码校验。
优选地,密码校验部分的处理方法是,将从登录页面输入的用户密码用加密算法进行加密,然后再与从系统数据库中查出的用户密码进行比较,如果两个密码不相同说明密码输入错误,再根据用户ID从缓存中取出用户信息,如果可以取出则将密码错误记录次数加1并重新放入缓存中,如果没有取到则设置用户信息中的密码错误次数为1,并将用户的ID作为key值,用户信息作为value值放入缓存中,同时返回登录页面提示“用户名或密码不正确”。如果两个密码值是相同的,则说明用户密码输入正确,然后进行登录成功后处理。
登录成功后的处理包括,将用户信息中的密码错误记录次数设置为0,接着从数据库中查出该用户拥有的所有资源权限,并将权限进行信息放入用户信息中,然后再将用户的ID作为key值,用户信息作为value值放入缓存中,缓存时间为4小时。然后将用户ID、用户签名和时间戳信息拼接在一起,并将其作为访问控制插件值cookieID设置到页面访问控制插件cookie中去,最后跳转到主界面。
优选地,其中访问控制算法包括:
从cookie中获取登录用户的cookieID,如果没有获取到cookieID,则发起解析用户ID的服务,服务返回信息中必需包括用户的ID,然后根据用户ID从数据库中取出用户信息和用户拥有的权限信息,并将用户ID作为key值,用户全部信息作为value值放入缓存中,再将用户ID、用户签名和时间戳信息拼接在一起作为cookieID的值设置到页面cookie中去。如果取到cookieID,则从cookieID中截取出用户的ID,根据用户ID从缓层中取出用户信息。接着判断用户信息是否为空,如果为空提示“用户未登录”,如果不为空再判断请求的页面是否受控,如果不受控,直接请求通过返回。如果受控,则进行资源权限判断。
本发明实施方式中的提交按钮事件请求也称为action类型请求,资源权限的判断方法是,首先判断请求是否为action类型的请求,如果是action类型的请求,则判断该action类型请求是否配置过资源,如果配置过资源则再判断用户是否有该资源的权限,如果有该资源权限,直接请求通过返回,如果没有该资源权限则直接抛出没有访问该功能的提示。如果没有配置过该资源,则进行该请求所在页面的资源权限判断。如果请求不是action类型的,则进行该请求所在页面的资源权限判断。
页面类型的权限判断方法是,判断是否配置过该页面的资源,如果配置过该资源,则再判断用户是否有该资源的权限,如果有该资源权限,直接请求通过返回,如果没有该资源的权限,再查看临时授权列表,如果临时授权列表有该资源权限,则直接请求通过,如果也没有该资源权限则提示没有访问该功能的提示。如果没有配置过该页面的资源,则直接请求通过返回。
其中,判断请求是否配置过资源的方法是,从缓存中取出所有与请求类型相同的资源,第一次从缓存中取值时是没有数据的,这时会从数据库中查出所有的资源并放入缓存中。然后遍历资源数据,判断资源是否为请求的资源,直到找到请求的资源后返回。
其中,判断用户是否有某个资源权限的方法是,从用户信息中取出该用户拥有的该资源类型的资源权限,遍历资源权限数组,判断里面是否包请求的资源权限,如果有说明该用户拥有该资源的权限,如果没有说明该用户没有该资源的权限。
图3为根据本发明实施方式的一种用于对系统访问进行控制的装置结构图。如图3所示,系统300包括:资源配置单元301,权限配置单元302,登录单元303,授权单元304,请求单元305,确认单元306。
优选地,资源配置单元301,用于对系统资源信息进行配置,包括对资源名称、资源类型、资源关键字以及资源描述进行配置;
优选地,权限配置单元302,用于根据资源类型进行权限配置,包括对权限名称、权限关键字、权限描述、所属模块以及是否有效进行配置;并通过将权限名称与资源名称进行对应来建立权限与资源的关联;
优选地,登录单元303,用于用户通过登录页面输入用户信息,启动登录处理插件对用户信息进行验证;
优选地,授权单元304,用于在用户信息通过验证后,为用户的资源访问分配功能权限,将用户信息保存在缓存中;
优选地,请求单元305,用于在用户提交访问请求时,访问控制插件获取访问请求,并对所请求所涉及的系统资源类型进行判断;
优选地,确认单元306,用于若所涉及的系统资源类型已进行配置,确认类型的权限,并将资源类型已配置的权限与缓存中用户信息对用户的操作权限进行比较判断,以根据比较结果确认用户是否拥有对该类型资源的访问权限;若用户拥有该类型资源的访问权限,则用户对系统进行访问;否则,拒绝用户对系统进行访问。
优选地,授权单元304,还用于:
新增、修改或删除用户信息;
对用户进行禁用,被禁用的用户将禁止对系统进行访问。
优选地,资源类型包括:页面类型或按钮类型。
优选地,权限配置单元还用于:
将一个权限名称关联多个资源名称。
优选地,登录单元303还用于:
通过数据库查询用户的信息,若数据库中查询不到用户,则提示“用户名或密码不正确”;
若通过数据库查询到用户的信息,则从用户信息中提取用户账号,并通过用户账号从缓存中取出缓存中的用户信息,获取用户提交密码错误次数记录;
如果密码错误次数记录超过5次,则提示“用户已被锁定”,锁定时间为4小时,锁定期间用户将禁止对系统进行访问;
如果密码错误次数记录小于5次,则从用户信息中对时间戳进行判断,如果时间戳没有过期,并且用户账号没有被禁用,则启动登录处理插件对用户信息进行验证。
优选地,登录单元303还用于:
将用户输入用户信息中的用户密码用加密算法进行加密,并对加密后的用户密码与数据库中的密码进行比较,若两个密码不相同,则说明用户密码输入错误,则从用户信息中提取用户账号,并通过用户账号从缓存中取出缓存中的密码错误次数记录增加1次;
若两个密码相同,则用户信息通过验证。
优选地,装置300还用于:
将缓存中的密码错误次数记录设置为0,通过系统数据库查询用户的所有资源权限,并将系统中用户的权限信息写入到缓存中用户系统中,用户系统缓存时间为4小时。
本发明的实施方式提供了一种通过Cookie存放登录用户ID信息的方案。通过将用户信息存放在缓存中,解决了集群环境下非Session粘制时主节点会成为系统的瓶颈的问题,极大的提了系统性能。通过配置页面和页面上的按钮资源,将权限与资源进行关联。进而对用户进行赋权,实现了对页面和页面上的按钮进行精确权限控制,提高了系统访问的安全性。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
Claims (16)
1.一种用于对系统访问进行控制的方法,所述方法包括:
用户通过登录页面输入用户信息,启动登录处理插件对所述用户信息进行验证;
在所述用户信息通过验证后,为用户的资源访问分配功能权限,将所述用户信息保存在缓存中;
在所述用户提交访问请求时,访问控制插件获取所述访问请求,并对所述请求所涉及的资源类型进行判断;
若所涉及的资源类型已进行配置,确认所述资源类型的权限,并将资源类型已配置的权限与缓存中所述用户信息的用户的操作权限进行比较判断,以根据比较结果确认所述用户是否拥有对该类型资源的访问权限;若所述用户拥有该类型资源的访问权限,则用户对资源进行访问;否则,拒绝用户对资源进行访问。
2.根据权利要求1所述的方法,还包括:
对资源信息进行配置,包括对资源名称、资源类型、资源关键字以及资源描述进行配置;
根据资源类型进行权限配置,包括对权限名称、权限关键字以及权限描述进行配置。
3.根据权利要求1所述的方法,所述为用户的资源访问分配功能权限,还包括:
新增、修改或删除用户信息;
对用户进行禁用,被禁用的用户将禁止对资源进行访问。
4.根据权利要求2所述的方法,所述资源类型包括:页面类型或按钮类型。
5.根据权利要求2所述的方法,所述通过将权限名称与资源名称进行对应来建立权限与资源的关联还包括:
将一个权限名称关联多个资源名称。
6.根据权利要求3所述的方法,所述用户通过登录页面输入用户信息,启动登录处理插件对所述用户信息进行验证还包括:
通过数据库查询用户的信息,若所述数据库中查询不到所述用户,则提示“用户名或密码不正确”;
若通过数据库查询到所述用户的信息,则从用户信息中提取用户账号,并通过所述用户账号从缓存中取出缓存中的用户信息,获取用户提交密码错误次数记录;
如果密码错误次数记录超过5次,则提示“用户已被锁定”,锁定时间为4小时,在锁定期间所述用户将禁止对资源进行访问;
如果密码错误次数记录小于5次,则从用户信息中对时间戳进行判断,如果时间戳没有过期,并且所述用户账号没有被禁用,则启动登录处理插件对所述用户信息进行验证。
7.根据权利要求1所述的方法,所述启动登录处理插件对所述用户信息进行验证还包括:
将用户输入用户信息中的用户密码用加密算法进行加密,并对加密后的用户密码与数据库中的密码进行比较,若两个密码不相同,则说明用户密码输入错误,从用户信息中提取用户账号,并通过所述用户账号从缓存中取出缓存中的密码错误次数记录增加1次;
若两个密码相同,则所述用户信息通过验证。
8.根据权利要求1所述的方法,所述用户对资源进行访问后还包括:
将缓存中的密码错误次数记录设置为0,通过数据库查询所述用户的所有资源权限,并将系统中所述用户的权限信息写入到缓存中用户系统中,用户系统缓存时间为4小时。
9.一种用于对系统访问进行控制的装置,所述装置包括:
登录单元,用于用户通过登录页面输入用户信息,启动登录处理插件对所述用户信息进行验证;
授权单元,用于在所述用户信息通过验证后,为用户的资源访问分配功能权限,将所述用户信息保存在缓存中;
请求单元,用于在所述用户提交访问请求时,访问控制插件获取所述访问请求,并对所述请求所涉及的资源类型进行判断;
确认单元,用于若所涉及的资源类型已进行配置,确认所述资源类型的权限,并将资源类型已配置的权限与缓存中所述用户信息的用户的操作权限进行比较判断,以根据比较结果确认所述用户是否拥有对该类型资源的访问权限;若所述用户拥有该类型资源的访问权限,则用户对资源进行访问;否则,拒绝用户对资源进行访问。
10.根据权利要求9所述的装置,所述装置还包括资源配置单元,用于:对资源名称、资源类型、资源关键字以及资源描述进行配置;
权限配置单元,用于:对权限名称、权限关键字以及权限描述进行配置。
11.根据权利要求9所述的装置,所述授权单元,还用于:
新增、修改或删除用户信息;
对用户进行禁用,被禁用的用户将禁止对资源进行访问。
12.根据权利要求10所述的装置,所述资源类型包括:页面类型或按钮类型。
13.根据权利要求10所述的装置,所述权限配置单元还用于:
将一个权限名称关联多个资源名称。
14.根据权利要求11所述的装置,所述登录单元还用于:
通过数据库查询用户的信息,若所述数据库中查询不到所述用户,则提示“用户名或密码不正确”;
若通过数据库查询到所述用户的信息,则从用户信息中提取用户账号,并通过所述用户账号从缓存中取出缓存中的用户信息,获取用户提交密码错误次数记录;
如果密码错误次数记录超过5次,则提示“用户已被锁定”,锁定时间为4小时,在锁定期间所述用户将禁止对资源进行访问;
如果密码错误次数记录小于5次,则从用户信息中对时间戳进行判断,如果时间戳没有过期,并且所述用户账号没有被禁用,则启动登录处理插件对所述用户信息进行验证。
15.根据权利要求9所述的装置,所述登录单元还用于:
将用户输入用户信息中的用户密码用加密算法进行加密,并对加密后的用户密码与数据库中的密码进行比较,若两个密码不相同,则说明用户密码输入错误,从用户信息中提取用户账号,并通过所述用户账号从缓存中取出缓存中的密码错误次数记录增加1次;
若两个密码相同,则所述用户信息通过验证。
16.根据权利要求9所述的装置,还用于:
将缓存中的密码错误次数记录设置为0,通过数据库查询所述用户的所有资源权限,并将系统中所述用户的权限信息写入到缓存中用户系统中,用户系统缓存时间为4小时。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611252357.4A CN108268780A (zh) | 2016-12-30 | 2016-12-30 | 一种用于对系统访问进行控制的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611252357.4A CN108268780A (zh) | 2016-12-30 | 2016-12-30 | 一种用于对系统访问进行控制的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108268780A true CN108268780A (zh) | 2018-07-10 |
Family
ID=62754001
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611252357.4A Pending CN108268780A (zh) | 2016-12-30 | 2016-12-30 | 一种用于对系统访问进行控制的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108268780A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110188188A (zh) * | 2019-05-14 | 2019-08-30 | 河北世窗信息技术股份有限公司 | 一种实现公文语音签批处理、解析的方法和系统 |
| CN110287660A (zh) * | 2019-05-21 | 2019-09-27 | 深圳壹账通智能科技有限公司 | 访问权限控制方法、装置、设备及存储介质 |
| CN110717153A (zh) * | 2019-09-30 | 2020-01-21 | 新华三大数据技术有限公司 | 一种权限验证方法和装置 |
| CN110971563A (zh) * | 2018-09-28 | 2020-04-07 | 北京国双科技有限公司 | 权限信息的处理方法及装置 |
| CN111385310A (zh) * | 2020-03-25 | 2020-07-07 | 深圳本地宝新媒体技术有限公司 | 一种网站后台保护的方法 |
| CN111539006A (zh) * | 2020-04-26 | 2020-08-14 | 北京思特奇信息技术股份有限公司 | 一种权限管控方法及装置 |
| CN112347442A (zh) * | 2020-11-30 | 2021-02-09 | 四川长虹电器股份有限公司 | 用户权限的验证方法及装置 |
| CN113190870A (zh) * | 2021-05-27 | 2021-07-30 | 新华三技术有限公司 | 一种Redis数据库访问权限控制方法及装置 |
| CN113542214A (zh) * | 2021-05-31 | 2021-10-22 | 新华三信息安全技术有限公司 | 一种访问控制方法、装置、设备及机器可读存储介质 |
| CN113704812A (zh) * | 2021-07-16 | 2021-11-26 | 杭州医康慧联科技股份有限公司 | 用户访问浏览权限动态配置方法 |
| CN113760709A (zh) * | 2020-09-29 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种自动化测试方法和装置 |
| CN114785720A (zh) * | 2022-04-08 | 2022-07-22 | 北京国信网联科技有限公司 | 一种用于企业局域网络的上网行为监管平台 |
| CN115906187A (zh) * | 2023-02-22 | 2023-04-04 | 山东经伟晟睿数据技术有限公司 | 一种功能权限与接口权限结合的用户权限控制方法及系统 |
| CN117692258A (zh) * | 2024-02-02 | 2024-03-12 | 新亿成科技(江苏)有限公司 | 安全访问管控方法、系统和可读存储介质 |
| CN117692258B (zh) * | 2024-02-02 | 2024-06-07 | 新亿成科技(江苏)有限公司 | 安全访问管控方法、系统和可读存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101441688A (zh) * | 2007-11-20 | 2009-05-27 | 阿里巴巴集团控股有限公司 | 一种用户权限分配方法和一种用户权限控制方法 |
| CN102404726A (zh) * | 2011-11-18 | 2012-04-04 | 重庆邮电大学 | 一种对用户访问物联网信息的分布式控制方法 |
| CN103078859A (zh) * | 2012-12-31 | 2013-05-01 | 普天新能源有限责任公司 | 业务系统权限管理方法、设备及系统 |
| CN103179134A (zh) * | 2013-04-19 | 2013-06-26 | 中国建设银行股份有限公司 | 基于Cookie的单点登录方法、系统及其应用服务器 |
| CN104063636A (zh) * | 2013-03-22 | 2014-09-24 | 鸿富锦精密工业(深圳)有限公司 | 角色权限控制方法及系统 |
| US20140304837A1 (en) * | 2013-04-04 | 2014-10-09 | Canon Kabushiki Kaisha | System and method for controlling same, access management service system and method for controlling same, and non-transitory computer readable medium |
| CN104333553A (zh) * | 2014-11-11 | 2015-02-04 | 安徽四创电子股份有限公司 | 一种基于黑白名单组合的海量数据权限控制策略 |
| CN104363211A (zh) * | 2014-10-31 | 2015-02-18 | 北京思特奇信息技术股份有限公司 | 一种权限管理方法及系统 |
| CN105049423A (zh) * | 2015-06-26 | 2015-11-11 | 腾讯科技(北京)有限公司 | 权限管理系统、装置及方法 |
| CN105119975A (zh) * | 2015-07-21 | 2015-12-02 | 陈丹 | 一种资源下载方法及系统 |
| CN105472029A (zh) * | 2015-12-29 | 2016-04-06 | 锐达互动科技股份有限公司 | 一种基于缓存的单点登录的方法及系统 |
-
2016
- 2016-12-30 CN CN201611252357.4A patent/CN108268780A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101441688A (zh) * | 2007-11-20 | 2009-05-27 | 阿里巴巴集团控股有限公司 | 一种用户权限分配方法和一种用户权限控制方法 |
| CN102404726A (zh) * | 2011-11-18 | 2012-04-04 | 重庆邮电大学 | 一种对用户访问物联网信息的分布式控制方法 |
| CN103078859A (zh) * | 2012-12-31 | 2013-05-01 | 普天新能源有限责任公司 | 业务系统权限管理方法、设备及系统 |
| CN104063636A (zh) * | 2013-03-22 | 2014-09-24 | 鸿富锦精密工业(深圳)有限公司 | 角色权限控制方法及系统 |
| US20140304837A1 (en) * | 2013-04-04 | 2014-10-09 | Canon Kabushiki Kaisha | System and method for controlling same, access management service system and method for controlling same, and non-transitory computer readable medium |
| CN103179134A (zh) * | 2013-04-19 | 2013-06-26 | 中国建设银行股份有限公司 | 基于Cookie的单点登录方法、系统及其应用服务器 |
| CN104363211A (zh) * | 2014-10-31 | 2015-02-18 | 北京思特奇信息技术股份有限公司 | 一种权限管理方法及系统 |
| CN104333553A (zh) * | 2014-11-11 | 2015-02-04 | 安徽四创电子股份有限公司 | 一种基于黑白名单组合的海量数据权限控制策略 |
| CN105049423A (zh) * | 2015-06-26 | 2015-11-11 | 腾讯科技(北京)有限公司 | 权限管理系统、装置及方法 |
| CN105119975A (zh) * | 2015-07-21 | 2015-12-02 | 陈丹 | 一种资源下载方法及系统 |
| CN105472029A (zh) * | 2015-12-29 | 2016-04-06 | 锐达互动科技股份有限公司 | 一种基于缓存的单点登录的方法及系统 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110971563A (zh) * | 2018-09-28 | 2020-04-07 | 北京国双科技有限公司 | 权限信息的处理方法及装置 |
| CN110971563B (zh) * | 2018-09-28 | 2022-10-04 | 北京国双科技有限公司 | 权限信息的处理方法及装置 |
| CN110188188A (zh) * | 2019-05-14 | 2019-08-30 | 河北世窗信息技术股份有限公司 | 一种实现公文语音签批处理、解析的方法和系统 |
| CN110287660A (zh) * | 2019-05-21 | 2019-09-27 | 深圳壹账通智能科技有限公司 | 访问权限控制方法、装置、设备及存储介质 |
| CN110717153B (zh) * | 2019-09-30 | 2021-08-24 | 新华三大数据技术有限公司 | 一种权限验证方法和装置 |
| CN110717153A (zh) * | 2019-09-30 | 2020-01-21 | 新华三大数据技术有限公司 | 一种权限验证方法和装置 |
| CN111385310A (zh) * | 2020-03-25 | 2020-07-07 | 深圳本地宝新媒体技术有限公司 | 一种网站后台保护的方法 |
| CN111539006A (zh) * | 2020-04-26 | 2020-08-14 | 北京思特奇信息技术股份有限公司 | 一种权限管控方法及装置 |
| CN113760709A (zh) * | 2020-09-29 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种自动化测试方法和装置 |
| CN112347442A (zh) * | 2020-11-30 | 2021-02-09 | 四川长虹电器股份有限公司 | 用户权限的验证方法及装置 |
| CN112347442B (zh) * | 2020-11-30 | 2023-03-21 | 四川长虹电器股份有限公司 | 用户权限的验证方法及装置 |
| CN113190870A (zh) * | 2021-05-27 | 2021-07-30 | 新华三技术有限公司 | 一种Redis数据库访问权限控制方法及装置 |
| CN113542214A (zh) * | 2021-05-31 | 2021-10-22 | 新华三信息安全技术有限公司 | 一种访问控制方法、装置、设备及机器可读存储介质 |
| CN113542214B (zh) * | 2021-05-31 | 2023-08-22 | 新华三信息安全技术有限公司 | 一种访问控制方法、装置、设备及机器可读存储介质 |
| CN113704812A (zh) * | 2021-07-16 | 2021-11-26 | 杭州医康慧联科技股份有限公司 | 用户访问浏览权限动态配置方法 |
| CN114785720A (zh) * | 2022-04-08 | 2022-07-22 | 北京国信网联科技有限公司 | 一种用于企业局域网络的上网行为监管平台 |
| CN115906187A (zh) * | 2023-02-22 | 2023-04-04 | 山东经伟晟睿数据技术有限公司 | 一种功能权限与接口权限结合的用户权限控制方法及系统 |
| CN117692258A (zh) * | 2024-02-02 | 2024-03-12 | 新亿成科技(江苏)有限公司 | 安全访问管控方法、系统和可读存储介质 |
| CN117692258B (zh) * | 2024-02-02 | 2024-06-07 | 新亿成科技(江苏)有限公司 | 安全访问管控方法、系统和可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108268780A (zh) | 一种用于对系统访问进行控制的方法及装置 | |
| US11108752B2 (en) | Systems and methods for managing resetting of user online identities or accounts | |
| US7509497B2 (en) | System and method for providing security to an application | |
| US11790077B2 (en) | Methods, mediums, and systems for establishing and using security questions | |
| CN110753944B (zh) | 用于基于区块链的数据管理的系统和方法 | |
| US10243935B2 (en) | User authentication based on tracked activity | |
| CN110768967B (zh) | 业务授权方法、装置、设备、系统及存储介质 | |
| US9848001B2 (en) | Secure access to mobile applications | |
| US20230031484A1 (en) | Dynamically-tiered authentication | |
| CN107342992A (zh) | 一种系统权限管理方法、装置及计算机可读存储介质 | |
| US20130081126A1 (en) | System and method for transparent single sign-on | |
| US20080034412A1 (en) | System to prevent misuse of access rights in a single sign on environment | |
| US20060037073A1 (en) | PIN recovery in a smart card | |
| WO2011046939A1 (en) | Authentication using a weak hash of user credentials | |
| US11757882B2 (en) | Conditionally-deferred authentication steps for tiered authentication | |
| US9882914B1 (en) | Security group authentication | |
| AU2003262473A1 (en) | Methods and systems for authentication of a user for sub-locations of a network location | |
| WO2007047798A1 (en) | Method and apparatus for providing secure access control for protected information | |
| US20110023082A1 (en) | Techniques for enforcing application environment based security policies using role based access control | |
| US11956246B2 (en) | Secure content management through authentication | |
| US20180219867A1 (en) | Secure remote support authorization | |
| WO2005066850A1 (en) | System for controlling datanbase access based on 3-tier structure and method thereof | |
| Madani et al. | Social login and data storage in the big data file system HDFS | |
| EP2896005A1 (en) | Multi-factor profile and security fingerprint analysis | |
| US11425126B1 (en) | Sharing of computing resource policies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180710 |