CN109635222A - 网页权限管控方法、装置、设备及计算机可读存储介质 - Google Patents
网页权限管控方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN109635222A CN109635222A CN201811493316.3A CN201811493316A CN109635222A CN 109635222 A CN109635222 A CN 109635222A CN 201811493316 A CN201811493316 A CN 201811493316A CN 109635222 A CN109635222 A CN 109635222A
- Authority
- CN
- China
- Prior art keywords
- password
- webpage
- user
- web page
- privilege control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 238000001514 detection method Methods 0.000 claims abstract description 34
- 238000013507 mapping Methods 0.000 claims description 17
- 238000002347 injection Methods 0.000 claims description 11
- 239000007924 injection Substances 0.000 claims description 11
- 238000012795 verification Methods 0.000 claims description 5
- 238000007726 management method Methods 0.000 description 23
- 238000012986 modification Methods 0.000 description 13
- 230000004048 modification Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 241000699666 Mus <mouse, genus> Species 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000000571 coke Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种网页权限管控方法,包括:在检测到浏览器已安装预设插件后,在根据浏览器的当前网页的url判定当前网页为预设登录网页时,向当前网页注入登录拦截脚本;通过登录拦截脚本监听当前网页的密码框的blur事件,以获取用户密码,并检测用户密码中是否存在预设密码前缀;若不存在,则通过登录拦截脚本在密码框中添加预设密码前缀,得到新的用户密码;在接收到登录指令时,将新的用户密码和对应的用户账号上送至对应的平台服务器,以使得平台服务器检测用户是否有登录访问权限。本发明还公开了一种网页权限管控装置、设备及计算机可读存储介质。本发明能够提高平台密码管理的安全性,进而降低密码泄露的危险。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种网页权限管控方法、装置、设备及计算机可读存储介质。
背景技术
随着互联网技术的不断发展和进步,网络营销已逐渐成为一种重要的营销模式。商家和企业通常会通过微信公众平台、微博平台等第三方平台进行网络营销,以对产品或服务进行推广销售。由于企业的业务需要,常常会设置多个管理人员对第三方平台进行共同管理,且第三方平台众多,对应的,企业需管理的用户账号和密码也非常多,对于平台密码的管理也成为企业的一大痛点。若直接将密码给到各管理人员,一旦有一个管理人员的密码泄露,他人即可通过该泄露的密码进行登录访问,进而存在平台数据被串改、删除等危险。因此,现有技术中存在平台密码管理安全性较差,导致密码泄露的危险性较高的问题。
发明内容
本发明的主要目的在于提供一种网页权限管控方法、装置、设备及计算机可读存储介质,旨在提高平台密码管理的安全性,进而降低密码泄露的危险。
为实现上述目的,本发明提供一种网页权限管控方法,所述网页权限管控方法包括:
在检测到浏览器已安装预设插件后,在根据所述浏览器的当前网页的统一资源定位符url判定当前网页为预设登录网页时,向所述当前网页注入登录拦截LoginIntercept.js脚本;
通过所述LoginIntercept.js脚本监听所述当前网页的密码框的失去焦点blur事件,以获取用户密码,并检测所述用户密码中是否存在预设密码前缀;
若所述用户密码中不存在预设密码前缀,则通过所述LoginIntercept.js脚本在所述密码框中添加所述预设密码前缀,得到新的用户密码;
在接收到登录指令时,将所述新的用户密码和对应的用户账号上送至与所述当前网页对应的平台服务器,以使得所述平台服务器根据所述新的用户密码和所述用户账号检测用户是否有登录访问权限。
可选地,所述通过所述LoginIntercept.js脚本监听所述当前网页的密码框的失去焦点blur事件,以获取用户密码的步骤之前,还包括:
侦测是否接收到窗口加载window.onload事件;
当接收到window.onload事件时,执行步骤:通过所述LoginIntercept.js脚本监听所述当前网页的密码框的失去焦点blur事件,以获取用户密码。
可选地,所述网页权限管控方法还包括:
在接收到所述平台服务器返回的检测通过结果时,将所述当前网页跳转至对应的详情网页。
可选地,所述网页权限管控方法还包括:
根据所述详情网页的url判断所述详情网页是否为预设操作网页;
当判定所述详情网页为预设操作网页时,向所述详情网页注入内容content.js脚本,并根据所述用户账号和预设映射关系表确定用户的操作权限;
通过所述content.js脚本监听点击click事件,并检测监听到的click事件是否超出所述用户的操作权限;
若监听到的click事件超出所述用户的操作权限,则通过所述content.js脚本创建一弹框层,并通过添加节点appendChild方法将所述弹框层加入到所述详情网页上,以防止用户进行误操作。
可选地,所述根据所述详情网页的url判断所述详情网页是否为预设操作网页的步骤之后,所述方法还包括:
当判定所述详情网页为预设操作网页时,向所述详情网页注入当前网站的脚本,并根据所述用户账号和预设映射关系表确定用户的操作权限;
通过所述当前网站的脚本监听点击click事件,并检测监听到的click事件是否超出所述用户的操作权限;
若监听到的click事件超出所述用户的操作权限,则通过所述当前网站的脚本创建一弹框层,并通过添加节点appendChild方法将所述弹框层加入到所述详情网页上,以防止用户进行误操作。
可选地,所述网页权限管控方法还包括:
根据所述click事件生成对应的操作数据,并将所述操作数据保存至预设数据库中,以供后续查证。
可选地,所述检测监听到的click事件是否超出所述用户的操作权限的步骤之后,还包括:
若监听到的click事件未超出所述用户的操作权限,则根据所述click事件执行对应的操作。
可选地,所述检测所述用户密码中是否存在预设密码前缀的步骤之后,还包括:
若所述用户密码中存在预设密码前缀,则在接收到登录指令时,将所述用户密码和对应的用户账号上送至与所述当前网页对应的平台服务器,以使得所述平台服务器根据所述用户密码和所述用户账号检测用户是否有登录访问权限。
此外,为实现上述目的,本发明还提供一种网页权限管控装置,所述网页权限管控装置包括:
脚本注入模块,用于在检测到浏览器已安装预设插件后,在根据所述浏览器的当前网页的统一资源定位符url判定当前网页为预设登录网页时,向所述当前网页注入登录拦截LoginIntercept.js脚本;
前缀检测模块,用于通过所述LoginIntercept.js脚本监听所述当前网页的密码框的失去焦点blur事件,以获取用户密码,并检测所述用户密码中是否存在预设密码前缀;
前缀添加模块,用于若所述用户密码中不存在预设密码前缀,则通过所述LoginIntercept.js脚本在所述密码框中添加所述预设密码前缀,得到新的用户密码;
第一上送模块,用于在接收到登录指令时,将所述新的用户密码和对应的用户账号上送至与所述当前网页对应的平台服务器,以使得所述平台服务器根据所述新的用户密码和所述用户账号检测用户是否有登录访问权限。
此外,为实现上述目的,本发明还提供一种网页权限管控设备,所述网页权限管控设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网页权限管控程序,所述网页权限管控程序被所述处理器执行时实现如上所述的网页权限管控方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网页权限管控程序,所述网页权限管控程序被处理器执行时实现如上所述的网页权限管控方法的步骤。
本发明提供一种网页权限管控方法、装置、设备及计算机可读存储介质,在检测到浏览器已安装预设插件后,在根据浏览器的当前网页的url判定当前网页为预设登录网页时,则向当前网页注入LoginIntercept.js脚本;通过该LoginIntercept.js脚本监听当前网页的密码框的blur事件,以获取用户密码,并检测获取到的用户密码中是否存在预设密码前缀;若不存在,则通过该LoginIntercept.js脚本在该密码框中添加预设密码前缀,得到新的用户密码;在接收到登录指令时,将该新的用户密码和对应的用户账号上送至与该当前网页对应的平台服务器,以使得平台服务器根据该新的用户密码和用户账号检测用户是否有登录访问权限。本发明通过伪密码的方式来设定平台密码,进而管控用户的登录访问权限,具体的,将第三方平台的登录密码设置为密码前缀和伪密码2个部分,通过预设插件,可自动在管理人员输入的伪密码之前添加密码前缀,进而可进行登录访问。若某一管理人员不小心泄露了伪密码,由于单独使用该伪密码是无法进行登录访问的,因而本发明相比于现有技术,可提高平台账号密码管理的安全性,进而降低密码泄露的危险。
附图说明
图1为本发明实施例方案涉及的硬件运行环境的设备结构示意图;
图2为本发明网页权限管控方法第一实施例的流程示意图;
图3为本发明网页权限管控方法第二实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的设备结构示意图。
本发明实施例网页权限管控设备可以是PC(Personal Computer,个人计算机),也可以是平板电脑、便携计算机等终端设备。
如图1所示,该网页权限管控设备可以包括:处理器1001,例如CPU,通信总线1002,用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如Wi-Fi接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的网页权限管控设备结构并不构成对网页权限管控设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网页权限管控程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端,与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的网页权限管控程序,并执行以下操作:
在检测到浏览器已安装预设插件后,在根据所述浏览器的当前网页的统一资源定位符url判定当前网页为预设登录网页时,向所述当前网页注入登录拦截LoginIntercept.js脚本;
通过所述LoginIntercept.js脚本监听所述当前网页的密码框的失去焦点blur事件,以获取用户密码,并检测所述用户密码中是否存在预设密码前缀;
若所述用户密码中不存在预设密码前缀,则通过所述LoginIntercept.js脚本在所述密码框中添加所述预设密码前缀,得到新的用户密码;
在接收到登录指令时,将所述新的用户密码和对应的用户账号上送至与所述当前网页对应的平台服务器,以使得所述平台服务器根据所述新的用户密码和所述用户账号检测用户是否有登录访问权限。
进一步地,处理器1001可以调用存储器1005中存储的网页权限管控程序,还执行以下操作:
侦测是否接收到窗口加载window.onload事件;
当接收到window.onload事件时,执行步骤:通过所述LoginIntercept.js脚本监听所述当前网页的密码框的失去焦点blur事件,以获取用户密码。
进一步地,处理器1001可以调用存储器1005中存储的网页权限管控程序,还执行以下操作:
在接收到所述平台服务器返回的检测通过结果时,将所述当前网页跳转至对应的详情网页。
进一步地,处理器1001可以调用存储器1005中存储的网页权限管控程序,还执行以下操作:
根据所述详情网页的url判断所述详情网页是否为预设操作网页;
当判定所述详情网页为预设操作网页时,向所述详情网页注入内容content.js脚本,并根据所述用户账号和预设映射关系表确定用户的操作权限;
通过所述content.js脚本监听点击click事件,并检测监听到的click事件是否超出所述用户的操作权限;
若监听到的click事件超出所述用户的操作权限,则通过所述content.js脚本创建一弹框层,并通过添加节点appendChild方法将所述弹框层加入到所述详情网页上,以防止用户进行误操作。
进一步地,处理器1001可以调用存储器1005中存储的网页权限管控程序,还执行以下操作:
当判定所述详情网页为预设操作网页时,向所述详情网页注入当前网站的脚本,并根据所述用户账号和预设映射关系表确定用户的操作权限;
通过所述当前网站的脚本监听点击click事件,并检测监听到的click事件是否超出所述用户的操作权限;
若监听到的click事件超出所述用户的操作权限,则通过所述当前网站的脚本创建一弹框层,并通过添加节点appendChild方法将所述弹框层加入到所述详情网页上,以防止用户进行误操作。
进一步地,处理器1001可以调用存储器1005中存储的网页权限管控程序,还执行以下操作:
根据所述click事件生成对应的操作数据,并将所述操作数据保存至预设数据库中,以供后续查证。
进一步地,处理器1001可以调用存储器1005中存储的网页权限管控程序,还执行以下操作:
若监听到的click事件未超出所述用户的操作权限,则根据所述click事件执行对应的操作。
进一步地,处理器1001可以调用存储器1005中存储的网页权限管控程序,还执行以下操作:
若所述用户密码中存在预设密码前缀,则在接收到登录指令时,将所述用户密码和对应的用户账号上送至与所述当前网页对应的平台服务器,以使得所述平台服务器根据所述用户密码和所述用户账号检测用户是否有登录访问权限。
基于上述硬件结构,提出本发明网页权限管控方法的各实施例。
本发明提供一种网页权限管控方法。
参照图2,图2为本发明网页权限管控方法第一实施例的流程示意图。
在本实施例中,该网页权限管控方法包括:
步骤S10,在检测到浏览器已安装预设插件后,在根据所述浏览器的当前网页的统一资源定位符url判定当前网页为预设登录网页时,向所述当前网页注入登录拦截LoginIntercept.js脚本;
目前,商家和企业通常会通过微信公众平台、微博平台等第三方平台进行网络营销,以对产品或服务进行推广销售。由于企业的业务需要,常常会设置多个管理人员对第三方平台进行共同管理,且第三方平台众多,对应的,企业需管理的用户账号和密码也非常多,对于平台密码的管理也成为企业的一大痛点。若直接将密码给到各管理人员,一旦有一个管理人员的密码泄露,他人即可通过该泄露的密码进行登录访问,进而存在平台数据被串改、删除等危险。因此,现有技术中存在平台密码管理安全性较差,导致密码泄露的危险性较高的问题。对此,本发明通过伪密码的方式来设定平台密码,进而管控用户的登录访问权限,具体的,将第三方平台的登录密码设置为密码前缀和伪密码2个部分,该密码前缀是唯一的,而伪密码部分可是随机设置并下发给各个管理人员的,每个管理人员对应的伪密码部分是不同的。公司在给管理人员下发密码时,只需下发对应的伪密码部分,管理人员在终端安装预设插件后,输入伪密码即可完成登录。若某一管理人员不小心泄露了伪密码,由于单独使用该伪密码是无法进行登录访问的,因而本发明相比于现有技术,可提高平台账号密码管理的安全性,进而降低密码泄露的危险。
在本实施例中,终端在检测到浏览器已安装预设插件后,在根据浏览器的当前网页的url(Uniform Resource Locator,统一资源定位符)判定当前网页为预设登录网页时,则向当前网页注入登录拦截LoginIntercept.js脚本。其中,该预设插件的安装方式可以包括但不限于:1)将该插件文件复制到浏览器扩展插件文件下后进行安装;2)通过浏览器网上应用商店进行下载安装。
步骤S20,通过所述LoginIntercept.js脚本监听所述当前网页的密码框的失去焦点blur事件,以获取用户密码,并检测所述用户密码中是否存在预设密码前缀;
在注入该LoginIntercept.js脚本后,终端可通过该LoginIntercept.js脚本监听当前网页的密码框的失去焦点blur事件,以获取用户密码,并检测获取到的用户密码中是否存在预设密码前缀。具体的,当用户输入完用户密码(即伪密码)后,鼠标光标离开密码框时会触发blur事件,此时,终端可通过该LoginIntercept.js脚本监听到该blur事件,然后获取密码框中用户输入的用户密码,进而检测该用户密码中是否存在预设密码前缀。
若所述用户密码中不存在预设密码前缀,则执行步骤S30:通过所述LoginIntercept.js脚本在所述密码框中添加所述预设密码前缀,得到新的用户密码;
若该用户密码中不存在预设密码前缀,则通过该LoginIntercept.js脚本在该密码框中添加预设密码前缀,得到新的用户密码。即通过该预设插件中的LoginIntercept.js脚本可自动添加预先设置的密码前缀,进而得到真正的用户密码,以进行登录。
步骤S40,在接收到登录指令时,将所述新的用户密码和对应的用户账号上送至与所述当前网页对应的平台服务器,以使得所述平台服务器根据所述新的用户密码和所述用户账号检测用户是否有登录访问权限。
在接收到用户通过点击登录选项后触发的登录指令时,将该新的用户密码和对应的用户账号上送至与该当前网页对应的平台服务器,以使得平台服务器根据该新的用户密码和用户账号检测用户是否有登录访问权限。
需要说明的是,在步骤S20之前,该网页权限管控方法还可以包括:
侦测是否接收到窗口加载window.onload事件;
当接收到window.onload事件时,执行步骤S20:通过所述LoginIntercept.js脚本监听所述当前网页的密码框的失去焦点blur事件,以获取用户密码,并检测所述用户密码中是否存在预设密码前缀。
在本实施例中,由于存在当前网页还未加载完成的情况,即当前网页还未加载出密码框,因此,终端可以先侦测是否接收到窗口加载window.onload事件,由于window.onload事件是在页面或图像加载完成后立即发生的,终端在接收到window.onload事件时,则说明当前网页已经加载完成,此时,可以通过该LoginIntercept.js脚本监听当前网页的密码框的失去焦点blur事件,以获取用户密码,并检测获取到的用户密码中是否存在预设密码前缀,进而执行后续步骤。后续步骤的执行与上述执行方式一致,此处不作赘述。
还需要说明的是,在步骤S20之后,该网页权限管控方法还包括:
若所述用户密码中存在预设密码前缀,则在接收到登录指令时,将所述用户密码和对应的用户账号上送至与所述当前网页对应的平台服务器,以使得所述平台服务器根据所述用户密码和所述用户账号检测用户是否有登录访问权限。
在检测用户密码中是否存在预设密码前缀时,若检测到用户密码中存在预设密码前缀,则说明该用户可能为管理员(管理员知晓密码前缀),此时,则在接收到用户触发的登录指令时,直接将该用户密码和对应的用户账号上送至与该当前网页对应的平台服务器,以使得该平台服务器根据该用户密码和用户账号检测用户是否有登录访问权限。本实施例提供了另一种登录方式,即可通过预设密码前缀加伪密码的方式进行登录,可满足不同管理角色(管理员和其他类型管理人员)的登录需要。此外,可以理解的是,通过预设密码前缀加伪密码的方式进行登录,也可无需安装该预设插件。
本发明实施例提供一种网页权限管控方法,在检测到浏览器已安装预设插件后,在根据浏览器的当前网页的url判定当前网页为预设登录网页时,则向当前网页注入LoginIntercept.js脚本;通过该LoginIntercept.js脚本监听当前网页的密码框的blur事件,以获取用户密码,并检测获取到的用户密码中是否存在预设密码前缀;若不存在,则通过该LoginIntercept.js脚本在该密码框中添加预设密码前缀,得到新的用户密码;在接收到登录指令时,将该新的用户密码和对应的用户账号上送至与该当前网页对应的平台服务器,以使得平台服务器根据该新的用户密码和用户账号检测用户是否有登录访问权限。本发明通过伪密码的方式来设定平台密码,进而管控用户的登录访问权限,具体的,将第三方平台的登录密码设置为密码前缀和伪密码2个部分,通过预设插件,可自动在管理人员输入的伪密码之前添加密码前缀,进而可进行登录访问。若某一管理人员不小心泄露了伪密码,由于单独使用该伪密码是无法进行登录访问的,因而本发明相比于现有技术,可提高平台账号密码管理的安全性,进而降低密码泄露的危险。
由于第三方平台中管理角色的分类为固定的,针对不同的管理角色下放的操作权限也是固定的,其往往不完全符合公司所期望的针对各类管理角色的操作权限。以微信公众平台为例,其管理角色只包括管理员和运营人员两类,其中,管理员拥有登录、群发消息、修改服务器配置、修改Appsecret、查看Appsecret这5个风险操作权限,而运营人员拥有登录、群发消息的风险操作权限。但根据各公司的运营情况,很多其他操作可能也是需要管控的,例如修改业务域名、修改JS接口安全域名、修改网页授权域名等操作。然而,就微信公众平台而言,上述列举的修改业务域名、修改JS接口安全域名和修改网页授权域名这些操作,其操作权限对任一类管理人员均是开放的。因此,现有技术中存在第三方平台的管理角色的分类及操作权限是固定的,不可依各公司的实际需要进行调整的问题。针对上述问题,提出了本发明网页权限管控方法的第二实施例。具体的,参照图3,图3为本发明网页权限管控方法第二实施例的流程示意图。
基于图2所示的第一实施例,在步骤S40之后,该网页权限管控方法还包括:
步骤S50,在接收到所述平台服务器返回的检测通过结果时,将所述当前网页跳转至对应的详情网页;
在本实施例中,平台服务器对用户的登录访问权限检测通过时,会返回检测通过结果至终端,终端在接收到该平台服务器返回的检测通过结果时,将当前网页跳转至对应的详情网页。
步骤S60,根据所述详情网页的url判断所述详情网页是否为预设操作网页;
终端会获取该详情网页的url,并根据该详情网页的url判断该详情网页是否为预设操作网页。
当判定所述详情网页为预设操作网页时,则执行步骤S70:向所述详情网页注入内容content.js脚本,并根据所述用户账号和预设映射关系表确定用户的操作权限;
当判定该详情网页为预设操作网页时,此时,终端需监控用户的操作,进而检测用户的操作是否超出其管理角色所对应的操作权限。具体的,向该详情网页注入内容content.js脚本,并根据用户账号和预设映射关系表确定用户的操作权限。该预设映射关系表中包括用户账号与管理角色之间的映射关系,及各类管理角色与操作权限之间的映射关系。
步骤S80,通过所述content.js脚本监听点击click事件,并检测监听到的click事件是否超出所述用户的操作权限;
在确定用户的操作权限之后,通过该content.js脚本监听点击click事件,并检测监听到的click事件是否超出该用户的操作权限。其中,Click事件是在一个对象上按下然后释放一个鼠标按钮时发生,它也会发生在一个控件的值改变时。
若监听到的click事件超出所述用户的操作权限,则执行步骤S91:通过所述content.js脚本创建一弹框层,并通过添加节点appendChild方法将所述弹框层加入到所述详情网页上,以防止用户进行误操作。
若监听到的click事件超出了用户的操作权限,此时,则需阻止该操作,具体的,通过该content.js脚本创建一弹框层,并通过添加节点appendChild方法将该弹框层加入到该详情网页上,使得用户无法执行具体操作,从而可防止用户进行误操作。其中,appendChild方法,是在指定元素节点的最后一个子节点之后添加节点。
例如,用户在点击修改业务域名选项时,正常情况下会弹出对应的修改页面以供用户进行修改,但若该用户无修改业务域名的权限,此时,服务器在监听到用户通过点击修改业务域名选项所触发的click事件时,则通过该content.js脚本创建一弹框层,并通过添加节点appendChild方法将该弹框层加入到当前的详情网页上,即使得弹框层覆盖住该修改页面,使得用户无法进行修改业务域名的操作。
若监听到的click事件未超出所述用户的操作权限,则执行步骤S92:根据所述click事件执行对应的操作。
若监听到的click事件超出了用户的操作权限,则根据该click事件执行对应的操作。例如,上述例中,用户有修改业务域名的权限时,服务器在监听到用户通过点击修改业务域名选项所触发的click事件时,会弹出对应的修改页面以供用户进行修改。
此外,需要说明的是,在本实施例中,是针对由当前页面(登录页面)跳转为详情网页后的情景进行该网页是否为预设操作网页的检测判断,可以理解的是,在实际应用过程中,针对浏览器的任一当前网页,终端均会进行该网页是否为预设操作网页的检测判断,进而根据判定结果执行后续操作。同时,结合第一实施例,在实际应用中,在检测到浏览器已安装预设插件后,会根据所述浏览器的当前网页的url判断当前网页是否为预设登录网页或是否预设操作网页,进而根据判定结果执行后续操作,从而可以基于该预设插件,实现对第三方平台管理人员的访问权限管控和操作权限管控。
在本实施例中,可根据公司的实际需要,对不同的用户账号设定不同类型的管理角色,并针对不同类型的管理角色设定对应的操作权限,无需局限于第三方平台固定设置的管理角色和操作权限。同时,本发明基于该预设插件,在根据用户账号确定其操作权限后,检测该用户触发的click事件是否超出其操作权限,进而在超出操作权限的情况下,通过添加弹框层阻止用户进行操作,从而避免用户超权限操作,可实现对用户操作权限的管控。
进一步地,基于上述第二实施例,当判定所述详情网页为预设操作网页时,还可以执行步骤:向所述详情网页注入当前网站的脚本,并根据所述用户账号和预设映射关系表确定用户的操作权限;
通过所述当前网站的脚本监听点击click事件,并检测监听到的click事件是否超出所述用户的操作权限;
若监听到的click事件超出所述用户的操作权限,则通过所述当前网站的脚本创建一弹框层,并通过添加节点appendChild方法将所述弹框层加入到所述详情网页上,以防止用户进行误操作。
即,可以自建一个网站,通过iframe框架的技术将第三方网页嵌套到自己当前网站中,网站的一小部分存储于单独的HTML(HyperText Markup Language,超级文本标记语言)页面中,这些被嵌入在一个称为框架集的主文档中,它允许指定每个框架能够填充在屏幕上的区域,而不像调整表格的列和行的大小,检测iframe命中的src网页,通过iframe元素的document控制css(Cascading Style Sheets,层叠样式表)样式,同样可以做到限制用户权限。具体的,当判定该详情网页为预设操作网页时,终端还可以向该详情网页注入当前网站的脚本,并根据用户账号和预设映射关系表确定用户的操作权限。其中,该预设映射关系表中包括用户账号与管理角色之间的映射关系,及各类管理角色与操作权限之间的映射关系。
然后通过该当前网站的脚本监听点击click事件,并检测监听到的click事件是否超出该用户的操作权限。若监听到的click事件超出了用户的操作权限,此时,则需阻止该操作,具体的,通过该当前网站的脚本创建一弹框层,并通过appendChild方法将该弹框层加入到该详情网页上,使得用户无法执行具体操作,从而可防止用户进行误操作。
进一步的,基于上述第二实施例,若监听到的click事件超出所述用户的操作权限,该网页权限管控方法还包括:
生成对应的提示信息,并将所述提示信息显示至所述详情网页中,以提示用户无操作权限。
在本实施例中,在检测到监听到的click事件超出了用户的操作权限时,在生成弹窗层进行覆盖阻拦用户误操作的同时,还可以生成对应的提示信息,并将该提示信息显示至该详情网页中,以提示用户无操作权限,还可以提示用户需向管理员申请操作权限。
需要说明的是,该步骤的执行与步骤S91的执行顺序不分先后。
进一步的,基于上述第二实施例,若监听到的click事件超出所述用户的操作权限,该网页权限管控方法还包括:
根据所述click事件生成对应的操作数据,并将所述操作数据保存至预设数据库中,以供后续查证。
在本实施例中,在检测到监听到的click事件超出了用户的操作权限时,在生成弹窗层的进行覆盖阻拦用户误操作的同时,还可以根据该click事件生成对应的操作数据,并将操作数据保存至预设数据库中,以供后续管理员进行查证。当然,在具体实施例中,还可以定期根据预设数据库中保存的操作数据生成对应的统计报告,并发送至管理员对应的终端,以供管理员查看。
需要说明的是,该步骤的执行与步骤S91的执行顺序也不分先后。
本发明还提供一种网页权限管控装置,所述网页权限管控装置包括:
脚本注入模块,用于在检测到浏览器已安装预设插件后,在根据所述浏览器的当前网页的统一资源定位符url判定当前网页为预设登录网页时,向所述当前网页注入登录拦截LoginIntercept.js脚本;
前缀检测模块,用于通过所述LoginIntercept.js脚本监听所述当前网页的密码框的失去焦点blur事件,以获取用户密码,并检测所述用户密码中是否存在预设密码前缀;
前缀添加模块,用于若所述用户密码中不存在预设密码前缀,则通过所述LoginIntercept.js脚本在所述密码框中添加所述预设密码前缀,得到新的用户密码;
第一上送模块,用于在接收到登录指令时,将所述新的用户密码和对应的用户账号上送至与所述当前网页对应的平台服务器,以使得所述平台服务器根据所述新的用户密码和所述用户账号检测用户是否有登录访问权限。
进一步的,所述网页权限管控装置还包括:
事件侦测模块,用于侦测是否接收到窗口加载window.onload事件;
所述前缀检测模块具体用于当接收到window.onload事件时,通过所述LoginIntercept.js脚本监听所述当前网页的密码框的失去焦点blur事件,以获取用户密码。
进一步的,所述网页权限管控装置还包括:
网页跳转模块,用于在接收到所述平台服务器返回的检测通过结果时,将所述当前网页跳转至对应的详情网页。
进一步的,所述网页权限管控装置还包括:
网页检测模块,用于根据所述详情网页的url判断所述详情网页是否为预设操作网页;
第一权限确定模块,用于当判定所述详情网页为预设操作网页时,向所述详情网页注入内容content.js脚本,并根据所述用户账号和预设映射关系表确定用户的操作权限;
第一事件检测模块,用于通过所述content.js脚本监听点击click事件,并检测监听到的click事件是否超出所述用户的操作权限;
第一弹框层添加模块,用于若监听到的click事件超出所述用户的操作权限,则通过所述content.js脚本创建一弹框层,并通过添加节点appendChild方法将所述弹框层加入到所述详情网页上,以防止用户进行误操作。
进一步的,所述网页权限管控装置还包括:
第二权限确定模块,用于当判定所述详情网页为预设操作网页时,向所述详情网页注入当前网站的脚本,并根据所述用户账号和预设映射关系表确定用户的操作权限;
第二事件检测模块,用于通过所述当前网站的脚本监听点击click事件,并检测监听到的click事件是否超出所述用户的操作权限;
第二弹框层添加模块,用于若监听到的click事件超出所述用户的操作权限,则通过所述当前网站的脚本创建一弹框层,并通过添加节点appendChild方法将所述弹框层加入到所述详情网页上,以防止用户进行误操作。
进一步的,所述网页权限管控装置还包括:
数据保存模块,用于根据所述click事件生成对应的操作数据,并将所述操作数据保存至预设数据库中,以供后续查证。
进一步的,所述网页权限管控装置还包括:
操作执行模块,用于若监听到的click事件未超出所述用户的操作权限,则根据所述click事件执行对应的操作。
进一步的,所述网页权限管控装置还包括:
第二上送模块,用于若所述用户密码中存在预设密码前缀,则在接收到登录指令时,将所述用户密码和对应的用户账号上送至与所述当前网页对应的平台服务器,以使得所述平台服务器根据所述用户密码和所述用户账号检测用户是否有登录访问权限。
其中,上述网页权限管控装置中各个模块的功能实现与上述网页权限管控方法实施例中各步骤相对应,其功能和实现过程在此处不再一一赘述。
本发明还提供一种计算机可读存储介质,该计算机可读存储介质上存储有网页权限管控程序,所述网页权限管控程序被处理器执行时实现如以上任一项实施例所述的网页权限管控方法的步骤。
本发明计算机可读存储介质的具体实施例与上述网页权限管控方法各实施例基本相同,在此不作赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (11)
1.一种网页权限管控方法,其特征在于,所述网页权限管控方法包括:
在检测到浏览器已安装预设插件后,在根据所述浏览器的当前网页的统一资源定位符url判定当前网页为预设登录网页时,向所述当前网页注入登录拦截LoginIntercept.js脚本;
通过所述LoginIntercept.js脚本监听所述当前网页的密码框的失去焦点blur事件,以获取用户密码,并检测所述用户密码中是否存在预设密码前缀;
若所述用户密码中不存在预设密码前缀,则通过所述LoginIntercept.js脚本在所述密码框中添加所述预设密码前缀,得到新的用户密码;
在接收到登录指令时,将所述新的用户密码和对应的用户账号上送至与所述当前网页对应的平台服务器,以使得所述平台服务器根据所述新的用户密码和所述用户账号检测用户是否有登录访问权限。
2.如权利要求1所述的网页权限管控方法,其特征在于,所述通过所述LoginIntercept.js脚本监听所述当前网页的密码框的失去焦点blur事件,以获取用户密码的步骤之前,还包括:
侦测是否接收到窗口加载window.onload事件;
当接收到window.onload事件时,执行步骤:通过所述LoginIntercept.js脚本监听所述当前网页的密码框的失去焦点blur事件,以获取用户密码。
3.如权利要求1所述的网页权限管控方法,其特征在于,所述网页权限管控方法还包括:
在接收到所述平台服务器返回的检测通过结果时,将所述当前网页跳转至对应的详情网页。
4.如权利要求3所述的网页权限管控方法,其特征在于,所述网页权限管控方法还包括:
根据所述详情网页的url判断所述详情网页是否为预设操作网页;
当判定所述详情网页为预设操作网页时,向所述详情网页注入内容content.js脚本,并根据所述用户账号和预设映射关系表确定用户的操作权限;
通过所述content.js脚本监听点击click事件,并检测监听到的click事件是否超出所述用户的操作权限;
若监听到的click事件超出所述用户的操作权限,则通过所述content.js脚本创建一弹框层,并通过添加节点appendChild方法将所述弹框层加入到所述详情网页上,以防止用户进行误操作。
5.如权利要求4所述的网页权限管控方法,其特征在于,所述根据所述详情网页的url判断所述详情网页是否为预设操作网页的步骤之后,所述方法还包括:
当判定所述详情网页为预设操作网页时,向所述详情网页注入当前网站的脚本,并根据所述用户账号和预设映射关系表确定用户的操作权限;
通过所述当前网站的脚本监听点击click事件,并检测监听到的click事件是否超出所述用户的操作权限;
若监听到的click事件超出所述用户的操作权限,则通过所述当前网站的脚本创建一弹框层,并通过添加节点appendChild方法将所述弹框层加入到所述详情网页上,以防止用户进行误操作。
6.如权利要求4所述的网页权限管控方法,其特征在于,所述网页权限管控方法还包括:
根据所述click事件生成对应的操作数据,并将所述操作数据保存至预设数据库中,以供后续查证。
7.如权利要求4所述的网页权限管控方法,其特征在于,所述检测监听到的click事件是否超出所述用户的操作权限的步骤之后,还包括:
若监听到的click事件未超出所述用户的操作权限,则根据所述click事件执行对应的操作。
8.如权利要求1-7任一项所述的网页权限管控方法,其特征在于,所述检测所述用户密码中是否存在预设密码前缀的步骤之后,还包括:
若所述用户密码中存在预设密码前缀,则在接收到登录指令时,将所述用户密码和对应的用户账号上送至与所述当前网页对应的平台服务器,以使得所述平台服务器根据所述用户密码和所述用户账号检测用户是否有登录访问权限。
9.一种网页权限管控装置,其特征在于,所述网页权限管控装置包括:
脚本注入模块,用于在检测到浏览器已安装预设插件后,在根据所述浏览器的当前网页的统一资源定位符url判定当前网页为预设登录网页时,向所述当前网页注入登录拦截LoginIntercept.js脚本;
前缀检测模块,用于通过所述LoginIntercept.js脚本监听所述当前网页的密码框的失去焦点blur事件,以获取用户密码,并检测所述用户密码中是否存在预设密码前缀;
前缀添加模块,用于若所述用户密码中不存在预设密码前缀,则通过所述LoginIntercept.js脚本在所述密码框中添加所述预设密码前缀,得到新的用户密码;
第一上送模块,用于在接收到登录指令时,将所述新的用户密码和对应的用户账号上送至与所述当前网页对应的平台服务器,以使得所述平台服务器根据所述新的用户密码和所述用户账号检测用户是否有登录访问权限。
10.一种网页权限管控设备,其特征在于,所述网页权限管控设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网页权限管控程序,所述网页权限管控程序被所述处理器执行时实现如权利要求1至8中任一项所述的网页权限管控方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网页权限管控程序,所述网页权限管控程序被处理器执行时实现如权利要求1至8中任一项所述的网页权限管控方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811493316.3A CN109635222A (zh) | 2018-12-07 | 2018-12-07 | 网页权限管控方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811493316.3A CN109635222A (zh) | 2018-12-07 | 2018-12-07 | 网页权限管控方法、装置、设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109635222A true CN109635222A (zh) | 2019-04-16 |
Family
ID=66071656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811493316.3A Pending CN109635222A (zh) | 2018-12-07 | 2018-12-07 | 网页权限管控方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109635222A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112925589A (zh) * | 2019-12-06 | 2021-06-08 | 腾讯科技(深圳)有限公司 | 扩展接口的调用方法及装置 |
| CN113225317A (zh) * | 2021-04-12 | 2021-08-06 | 西安赤鸾信息科技有限公司 | 一种iPhone手机密码自动填充方法及装置 |
| CN113660533A (zh) * | 2021-07-16 | 2021-11-16 | 广州虎牙科技有限公司 | 直播数据的统计方法、电子设备和计算机可读装置 |
| CN114760280A (zh) * | 2022-03-15 | 2022-07-15 | 河南保营机电有限公司 | 一种基于网页的嵌入式人机交互系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102750486A (zh) * | 2012-06-29 | 2012-10-24 | 奇智软件(北京)有限公司 | 一种登录控件更新登录信息的方法和装置 |
| CN103036887A (zh) * | 2012-12-18 | 2013-04-10 | 北京奇虎科技有限公司 | 实现网站登录的系统和方法 |
| WO2015031014A1 (en) * | 2013-08-29 | 2015-03-05 | Aol Inc. | Systems and methods for managing resetting of user online identities or accounts |
| CN107277038A (zh) * | 2017-07-18 | 2017-10-20 | 北京微影时代科技有限公司 | 访问控制方法、装置以及系统 |
| CN107733847A (zh) * | 2017-07-25 | 2018-02-23 | 上海壹账通金融科技有限公司 | 平台登录网站方法、装置、计算机设备以及可读存储介质 |
-
2018
- 2018-12-07 CN CN201811493316.3A patent/CN109635222A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102750486A (zh) * | 2012-06-29 | 2012-10-24 | 奇智软件(北京)有限公司 | 一种登录控件更新登录信息的方法和装置 |
| CN103036887A (zh) * | 2012-12-18 | 2013-04-10 | 北京奇虎科技有限公司 | 实现网站登录的系统和方法 |
| WO2015031014A1 (en) * | 2013-08-29 | 2015-03-05 | Aol Inc. | Systems and methods for managing resetting of user online identities or accounts |
| CN107277038A (zh) * | 2017-07-18 | 2017-10-20 | 北京微影时代科技有限公司 | 访问控制方法、装置以及系统 |
| CN107733847A (zh) * | 2017-07-25 | 2018-02-23 | 上海壹账通金融科技有限公司 | 平台登录网站方法、装置、计算机设备以及可读存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| A.DANESH等: "《JavaScript 1.1开发指南》", 31 January 1998, 清华大学出版社 * |
| 张剑: "《网络安全意识提升》", 31 May 2017, 电子科技大学出版社 * |
| 焦东杰 等: ""网络密码认证安全研究"", 《卫生职业教育》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112925589A (zh) * | 2019-12-06 | 2021-06-08 | 腾讯科技(深圳)有限公司 | 扩展接口的调用方法及装置 |
| CN112925589B (zh) * | 2019-12-06 | 2023-10-17 | 深圳市雅阅科技有限公司 | 扩展接口的调用方法及装置 |
| CN113225317A (zh) * | 2021-04-12 | 2021-08-06 | 西安赤鸾信息科技有限公司 | 一种iPhone手机密码自动填充方法及装置 |
| CN113660533A (zh) * | 2021-07-16 | 2021-11-16 | 广州虎牙科技有限公司 | 直播数据的统计方法、电子设备和计算机可读装置 |
| CN114760280A (zh) * | 2022-03-15 | 2022-07-15 | 河南保营机电有限公司 | 一种基于网页的嵌入式人机交互系统 |
| CN114760280B (zh) * | 2022-03-15 | 2024-04-12 | 河南宏硕电气有限公司 | 一种基于网页的嵌入式人机交互系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10257199B2 (en) | Online privacy management system with enhanced automatic information detection | |
| US10764290B2 (en) | Governed access to RPA bots | |
| CN109635222A (zh) | 网页权限管控方法、装置、设备及计算机可读存储介质 | |
| EP3368973B1 (en) | Multi-layer computer security countermeasures | |
| US20190373018A1 (en) | Polymorphic Obfuscation of Executable Code | |
| US9553918B1 (en) | Stateful and stateless cookie operations servers | |
| CA2823530C (en) | Online privacy management | |
| US9219787B1 (en) | Stateless cookie operations server | |
| CN103023710B (zh) | 一种安全测试系统和方法 | |
| CN110287660A (zh) | 访问权限控制方法、装置、设备及存储介质 | |
| Mitropoulos et al. | How to train your browser: Preventing XSS attacks using contextual script fingerprints | |
| CN108322427A (zh) | 一种对访问请求进行风控的方法与设备 | |
| EP2973192B1 (en) | Online privacy management | |
| Raptis et al. | The CORAS approach for model-based risk management applied to e-commerce domain | |
| US10803164B2 (en) | Validating sign-out implementation for identity federation | |
| Jayaraman et al. | Enforcing request integrity in web applications | |
| Srivastava et al. | Security and Scalability of E-Commerce Website by OWASP threats. | |
| Zhu | Secure CrsMgr: a course manager system | |
| AU2014280974B2 (en) | Online privacy management | |
| Song | Improving security of web applications based on mainstream technology | |
| Ćosić | Web 2.0 services (vulnerability, threats and protection measures) | |
| Mannan et al. | Privacy Analysis of Technologies Used in Intimate Partner Abuse |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190416 |
|
| RJ01 | Rejection of invention patent application after publication |