应用程序的权限控制方法及装置、存储介质、计算机设备
技术领域
本申请涉及计算机技术领域,尤其是涉及到一种应用程序的权限控制方法及装置、存储介质、计算机设备。
背景技术
目前,企业对于员工的计算机使用权限控制管理过程中,通常是对计算机进行管理,使不同的计算机具备不同的权限。
这种赋予不同计算机不同应用权限的方式,虽然在一定程度上提高了企业信息安全,但是使用同一台计算机的不同用户可能从事不同的工作,因此他们在工作中需要使用的各类应用的功能也是不同的。而在现有技术的方法中,只要计算机对于某应用程序具备权限,那么任一用户将可以在计算机上使用该应用程序的全部功能,无论该用户使用的功能是否是该用户工作所需的功能,这显然是不合理的,赋予企业用户多余的功能不仅浪费企业资源,更重要的是会对企业的信息安全造成威胁。
然而现有技术中暂时还没有一种解决以上技术问题的方法。
发明内容
有鉴于此,本申请提供了一种应用程序的权限控制方法及装置、存储介质、计算机设备,结合用户的权限以及不同应用程序本身的权限,对用户使用终端设备时的权限进行管理,防止用户随意使用设备上的应用程序,保障企业信息安全。
根据本申请的一个方面,提供了一种应用程序的权限控制方法,包括:
当用户登录终端设备时,获取所述用户的登录信息;
根据所述登录信息,从内网权限管理服务器中获取所述用户的权限信息;
拦截所述终端设备的应用程序执行请求;
根据所述应用程序执行请求,从所述内网权限管理服务器中获取所述应用程序的权限信息;
根据所述用户的权限信息以及所述应用程序的权限信息,处理被拦截的所述应用程序执行请求对应的进程。
根据本申请的另一方面,提供了一种应用程序的权限控制装置,包括:
登录信息获取单元,用于当用户登录终端设备时,获取所述用户的登录信息;
用户权限获取单元,用于根据所述登录信息,从内网权限管理服务器中获取所述用户的权限信息;
执行请求拦截单元,用于拦截所述终端设备的应用程序执行请求;
应用程序权限获取单元,用于根据所述应用程序执行请求,从所述内网权限管理服务器中获取所述应用程序的权限信息;
执行请求处理单元,用于根据所述用户的权限信息以及所述应用程序的权限信息,处理被拦截的所述应用程序执行请求对应的进程。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述应用程序的权限控制方法。
依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述应用程序的权限控制方法。
借由上述技术方案,本申请提供的一种应用程序的权限控制方法及装置、存储介质、计算机设备,根据用户登录终端设备时输入的登录信息以及被拦截的应用程序执行请求,从内网权限管理服务器中获取用户的权限信息以及应用程序的权限信息,从而根据用户以及应用程序的权限信息选择是否处理被拦截的应用程序执行请求对应的进程。本申请能够防止用户任意调用设备中的应用程序的各种进程进行超范围操作,避免放大用户及应用程序的权限,实现了对用户使用终端设备权限的控制,从而有助于提高企业信息的安全性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种应用程序的权限控制方法的流程示意图;
图2示出了本申请实施例提供的另一种应用程序的权限控制方法的流程示意图;
图3示出了本申请实施例提供的一种应用程序的权限控制装置的结构示意图;
图4示出了本申请实施例提供的另一种应用程序的权限控制装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种应用程序的权限控制方法,如图1所示,该方法包括:
步骤101,当用户登录终端设备时,获取用户的登录信息。
为了保证终端设备的信息安全,限制不同用户对终端设备的使用,控制用户的使用权限在合理范围内,当用户登录终端设备时,获取用户的登录信息,登录信息可以为用户的员工编号等可以确定唯一用户身份的信息,以便根据用户的登录信息获知用户身份从而获取该用户的权限信息。
其中,终端设备可以为计算机设备,如笔记本电脑、台式电脑、平板电脑等。
步骤102,根据登录信息,从内网权限管理服务器中获取用户的权限信息。
内网权限管理服务器中预先存储了不同用户的权限信息,将用户的登录信息发送至内网权限管理服务器,从而内网权限管理服务器在接收到用户的登录信息时,能够根据员工编号等登录信息确定该用户的唯一身份,从而确定该用户具备的权限信息。其中,用户的权限信息包括用户具备使用权限的应用程序对应的进程信息,即用户可以使用的应用程序的功能。
内网权限管理服务器根据用户的登录信息确定用户的权限信息后,将该用户对应的权限信息反馈给终端设备,从而终端设备可以接收到来自内网权限管理服务器反馈的权限信息。该权限信息可以用于对该用户在该终端设备上的操作进行限制。
例如,内网权限管理服务器中预先存储了员工编号为123的用户所具备的权限包括使用邮件处理软件A的读邮件功能,员工编号为456的用户具备的权限包括使用邮件处理软件A的读邮件和收发邮件的功能。那么,员工编号为123的用户具有读取终端设备中.eml格式文件的权限,但不能收发邮件,而员工编号为456的用户不仅具备读取终端设备中.eml格式的文件的权限,也具备接收和发送邮件的权限。
步骤103,拦截终端设备的应用程序执行请求。
用户登录终端设备后,当用户对终端设备中的应用程序进行启动等操作时,终端设备会对应用程序执行请求进行拦截,以便对用户在终端设备中的访问操作进行控制。防止放行无权限的执行指令,放大用户权限,避免用户随意使用终端设备中的应用程序对企业的信息安全造成影响。
另外,需要说明的是,应用程序执行请求可以包括系统软件的应用程序执行请求,也可以包括第三方软件的应用程序执行请求,在此不做限定。
步骤104,根据应用程序执行请求,从内网权限管理服务器中获取应用程序的权限信息。
应用程序执行请求可以包括应用程序代码以及应用程序需要执行的进程的进程代码,与获取用户的权限信息相似的,拦截应用程序执行请求后,将应用程序代码发送至内网权限管理服务器中,从而内网权限管理服务器根据应用程序代码获取该应用程序的权限信息。其中,应用程序的权限信息包括该应用程序具备的执行权限的进程的进程代码,即该应用程序具备执行权限的功能。
从而内网权限管理服务器将应用程序的权限信息反馈给终端设备,终端设备则可以根据应用程序的权限信息以及用户的权限信息处理拦截的应用程序执行请求。具体地,若应用程序的权限信息包括上述被拦截的应用程序执行请求对应的进程代码,则说明应用程序对该进程具备执行权限。
另外,需要说明的是,终端设备中的应用程序还可以具体划分为受保护的应用程序和非受保护的应用程序,若根据应用程序执行请求包括的应用程序代码判断所拦截的应用程序为非受保护的应用程序,则可以直接根据用户的权限信息判断用户是否具备对该执行指令对应的进程的使用权限,如果具备则直接放行该执行指令,而如果不具备则不执行该指令。通过区分受保护的应用程序和非受保护的应用程序从而进行权限控制,减少了设备与服务器之间的交互次数,提高了设备处理效率,从而提高用户的工作效率。
步骤105,根据用户的权限信息以及应用程序的权限信息,处理被拦截的应用程序执行请求对应的进程。
根据从内网权限管理服务器处获取到的用户权限信息以及应用程序权限信息,对被拦截的应用程序执行请求进行放行或拒绝的处理,从而实现对用户在终端设备上的实际使用功能的控制,防止用户随意使用终端设备中的应用程序,避免放大用户或应用程序的使用权限,提高企业信息的安全性。
通过应用本实施例的技术方案,根据用户登录终端设备时输入的登录信息以及被拦截的应用程序执行请求,从内网权限管理服务器中获取用户的权限信息以及应用程序的权限信息,从而根据用户以及应用程序的权限信息选择是否处理被拦截的应用程序执行请求对应的进程。本申请能够防止用户任意调用设备中的应用程序的各种进程进行超范围操作,避免放大用户及应用程序的权限,实现了对用户使用终端设备权限的控制,从而有助于提高企业信息的安全性。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种应用程序的权限控制方法,如图2所示,该方法包括:
步骤201,终端设备向内网权限管理服务器发送终端设备中全部的应用程序、每个应用程序包括的全部进程信息以及终端设备的标识信息,以使内网权限管理服务器分别为每个应用程序分配在终端设备上的具备执行权限的进程,以及分别为每个用户分配在终端设备上的具备使用权限的应用程序及其对应的具备使用权限的进程。
在本申请的实施例中,内网权限管理服务器中预先存储有不同用户的权限信息以及不同应用程序的权限信息,具体地,终端设备向内网权限管理服务器发送终端设备中的全部的应用程序(包括系统软件的应用程序以及第三方软件的应用程序)、每个应用程序包括的进程、以及发送这些信息的终端设备的设备代码,以使内网权限管理服务器在接收到终端设备发送的信息后,为企业内网中的每个用户分配其在该台终端设备中的权限信息,其中,用户的权限信息具体为用户在该终端设备中具备使用权限的应用程序以及与具备使用权限的应用程序对应的具备使用权限的进程,为了方便查询,权限信息中具体的应用程序和进程可以用应用程序和进程对应的代码表示。需要说明的是,对于用户具备使用权限的应用程序,用户并不是可以使用该应用程序的所有进程,具体可以使用的进程还需要受到具备使用权限的应用程序对应的具备使用权限的进程的限制。
例如,用户123具备使用权限的应用程序为邮件处理软件A,具体具备使用权限的进程为读邮件对应的进程,那么该用户在这台终端设备中可以通过邮件处理软件A读邮件,但无法使用邮件处理软件A的其他功能。
内网权限管理服务器除了对用户的权限信息进行分配外,还需要对终端设备中包含的应用程序对应的权限信息进行分配,其中,应用程序的权限信息具体为应用程序在该终端设备中具备执行权限的进程。
例如,邮件处理软件A本身具备多种包括读邮件、发邮件、收邮件等等在内的功能,而在该终端设备上,只能执行读邮件的对应进程。
步骤202,当用户登录终端设备时,获取用户的登录信息;
步骤203,获取终端设备的标识信息。
当用户登录终端设备时,获取用户的登录信息和用户所登录的终端设备的标识信息,其中,根据用户的登录信息可以确定唯一的用户,根据终端设备的标识信息可以确定唯一的终端设备。
步骤204,根据用户登录的信息以及终端设备的标识信息,从内网权限管理服务器中获取在终端设备上的用户的权限信息,其中,用户的权限信息包括用户具备使用权限的应用程序以及与具备使用权限的应用程序对应的具备使用权限的进程。
将用户登录信息以及终端设备的标识信息发送至内网权限管理服务器中,从而内网权限管理服务器根据用户的登录信息以及设备的标识信息获取该用户在该台终端设备上具备的权限信息,用户的权限信息具体包括用户在这台设备上具有使用权限的应用程序,以及具备使用权限的应用程序对应的具备使用权限的进程。
需要说明的是,用户在不同的终端设备上的权限信息可以是不同的,例如人事部门的普通用户使用自己专属的计算机设备就可以完成大部分的工作例如使用office软件,而少部分的工作例如打印材料等需要用户使用公用终端设备完成,以增加用户打印材料的操作成本、时间成本,避免浪费打印纸张。从而内网权限管理服务器根据终端设备的标识信息确定终端设备的属性(是用户的专属设备,还是公用设备),进而可以根据不同属性的终端设备,确定用户在该设备上的访问权限。
步骤205,清空终端设备的本地缓存。
接收内网权限管理服务器发送的权限信息后,将终端设备中的本地缓存进行清空处理,从而清除该设备中的一些历史资源访问记录,防止对设备中信息安全造成影响。在清空缓存后,再将该用户的权限信息以及后续获取的应用程序的权限信息存储在终端设备中,从而便于用户在使用该终端设备时能够按照对应的权限信息访问资源。
步骤206,拦截终端设备的应用程序执行请求。
当用户对终端设备中的应用程序进行使用时,终端设备根据用户需要使用的应用程序的进程,生成应用程序执行请求,终端设备对应用程序执行请求进行拦截,以便对用户在终端设备中的访问操作进行控制,从而实现对用户使用权限的控制。其中,应用程序执行请求中可以包括可以确定唯一应用程序的应用程序标识,例如邮件处理软件A的标识为3362。
步骤207,根据应用程序执行请求以及终端设备的标识信息,从内网权限管理服务器中获取在终端设备上的应用程序的权限信息,其中,应用程序的权限信息包括应用程序对应用程序对应进程的执行权限。
将应用程序执行请求中包含的应用程序标识信息和终端设备的标识信息发送至内网权限管理服务器中,以供内网权限管理服务器查找与终端设备标识和应用程序标识对应的权限信息,该权限信息为在此台终端设备上的这一应用程序对于与其对应的进程中具备执行权限的进程。例如,邮件处理软件A在编号为321的终端设备上具备执行权限的进程为读邮件功能对应的进程。
需要说明的是,将应用程序的权限信息保存在内网权限管理服务器中,进而在需要时从服务器中获取,可以实现对权限信息的集中管理,防止恶意用户在终端设备中通过不正当手段篡改权限信息,威胁企业信息安全。
步骤208,若用户的权限信息包括对应用程序对应的进程的使用权限,并且应用程序的权限信息包括对应用程序对应的进程的执行权限,则终端设备执行应用程序执行请求对应的进程。
获取到用户的权限信息以及应用程序的权限信息后,就可以根据这两项权限信息控制用户在终端设备上的操作,具体地,如果拦截的应用程序执行请求中所包含的进程,既在用户的权限信息范围内,又在应用程序的权限信息范围内,则可以执行所拦截的应用程序执行请求,以便用户能够成功使用合理权限范围内的功能,既能够保证用户的正常工作不受影响,又能够将用户的使用权限限制在一定的范围内避免放大权限威胁企业信息安全。
步骤209,若用户的权限信息不包括对应用程序对应的进程的使用权限和/或应用程序的权限信息不包括对应用程序对应的进程的执行权限,则输出应用程序执行请求对应的进程超出权限范围的提示信息。
而如果用户的权限信息以及应用程序的权限信息中的任意一个或者二个不包括拦截的应用程序执行请求对应的进程,则拒绝该应用程序执行请求,并输出该请求超出权限范围的提示信息,以提示用户正在进行超权限范围范围的操作,应立即停止或请示上级领导授权该操作,从而实现对用户操作的合理权限范围的控制,防止用户的恶意超范围操作,保护企业信息安全。
另外,为了避免用户恶意重复进行超范围的操作,若拦截应用程序执行请求的次数超过预设阈值,则进行报警处理,将该用户的登录信息以及终端设备的标识信息,连同所拦截的应用程序执行请求上报给上级领导或管理员,以便对用户的恶意行为及时制止,避免给企业造成损失。
步骤210,若用户的权限信息不包括对应用程序对应的进程的使用权限和/或应用程序的权限信息不包括对应用程序对应的进程的执行权限,则将应用程序对应的进程上报至内网权限管理服务器,以使内网权限管理服务器根据应用程序对应的进程修改用户的权限信息和/或应用程序的权限信息。
将被拦截且无法执行的应用程序执行请求对应的进程信息、用户登录信息、终端设备标识信息等信息上报至内网权限管理服务器,从而内网权限管理服务器可以对这些信息进行统计,如果某进程被上报的次数超过预设次数,且该进程的使用用户人次超过预设人次,应将这些信息发送给管理员,从而由管理员确认是否需要修改用户的权限信息和/或应用程序的权限信息,内网权限管理服务器根据来自管理员的修改命令对预先存储的用户权限信息和/或应用程序权限信息进行更改,以便为企业员工提供更方便的办公条件。
通过应用本实施例的技术方案,根据用户的登录信息、终端设备的标识信息以及拦截的应用程序执行请求,从内网权限管理服务器中获取在该终端设备上的用户权限信息以及与拦截的应用程序执行请求相应的应用程序的权限信息,从而只有当用户的权限信息和应用程序的权限信息都包括拦截的应用程序执行请求对应的进程时,才执行被拦截的应用程序执行请求。实现了对用户在不同终端设备中的使用权限的控制,有效避免放大用户权限,并且由内网权限管理服务器统一对用户及应用程序的权限信息进行管理,也防止了恶意用户篡改,保证权限信息的安全性。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种应用程序的权限控制装置,如图3所示,该装置包括:登录信息获取单元31、用户权限获取单元32、执行请求拦截单元33、应用程序权限获取单元34、执行请求处理单元35。
登录信息获取单元31,用于当用户登录终端设备时,获取用户的登录信息;
用户权限获取单元32,用于根据登录信息,从内网权限管理服务器中获取用户的权限信息;
执行请求拦截单元33,用于拦截终端设备的应用程序执行请求;
应用程序权限获取单元34,用于根据应用程序执行请求,从内网权限管理服务器中获取应用程序的权限信息;
执行请求处理单元35,用于根据用户的权限信息以及应用程序的权限信息,处理被拦截的应用程序执行请求对应的进程。
在具体的应用场景中,如图4所示,执行请求处理单元35,具体包括:执行单元351、提示单元352、上报单元353。
执行单元351,用于若用户的权限信息包括对应用程序对应的进程的使用权限,并且应用程序的权限信息包括对应用程序对应的进程的执行权限,则终端设备执行应用程序执行请求对应的进程。
提示单元352,用于若用户的权限信息不包括对应用程序对应的进程的使用权限和/或应用程序的权限信息不包括对应用程序对应的进程的执行权限,则输出应用程序执行请求对应的进程超出权限范围的提示信息。
上报单元353,用于若用户的权限信息不包括对应用程序对应的进程的使用权限和/或应用程序的权限信息不包括对应用程序对应的进程的执行权限,则将应用程序对应的进程上报至内网权限管理服务器,以使内网权限管理服务器根据应用程序对应的进程修改用户的权限信息和/或应用程序的权限信息。
在具体的应用场景中,如图4所示,该装置还包括:设备标识获取单元36。
设备标识获取单元36,用于根据登录信息,从内网权限管理服务器中获取用户的权限信息之前,获取终端设备的标识信息;
用户权限获取单元32,具体用于根据用户的登录信息以及终端设备的标识信息,从内网权限管理服务器中获取在终端设备上的用户的权限信息,其中,用户的权限信息包括用户具备使用权限的应用程序以及与具备使用权限的应用程序对应的具备使用权限的进程;
应用程序权限获取单元34,具体用于根据应用程序执行请求以及终端设备的标识信息,从内网权限管理服务器中获取在终端设备上的应用程序的权限信息,其中,应用程序的权限信息包括应用程序对应用程序对应进程的执行权限。
在具体的应用场景中,如图4所示,该装置还包括:信息发送单元37、缓存清空单元38。
信息发送单元37,用于获取用户的登录信息之前,终端设备向内网权限管理服务器发送终端设备中全部的应用程序、每个应用程序包括的全部进程信息以及终端设备的标识信息,以使内网权限管理服务器分别为每个应用程序分配在终端设备上的具备执行权限的进程,以及分别为每个用户分配在终端设备上的具备使用权限的应用程序及其对应的具备使用权限的进程。
缓存清空单元38,用于根据登录信息,从内网权限管理服务器中获取用户的权限信息之后,清空终端设备的本地缓存。
需要说明的是,本申请实施例提供的一种应用程序的权限控制装置所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
基于上述如图1和图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的应用程序的权限控制方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3、图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的应用程序的权限控制方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现根据用户登录终端设备时输入的登录信息以及被拦截的应用程序执行请求,从内网权限管理服务器中获取用户的权限信息以及应用程序的权限信息,从而根据用户以及应用程序的权限信息选择是否处理被拦截的应用程序执行请求对应的进程。本申请能够防止用户任意调用设备中的应用程序的各种进程进行超范围操作,避免放大用户及应用程序的权限,实现了对用户使用终端设备权限的控制,从而有助于提高企业信息的安全性。
本发明实施例提供了以下技术方案:
A1、一种应用程序的权限控制方法,包括:
当用户登录终端设备时,获取所述用户的登录信息;
根据所述登录信息,从内网权限管理服务器中获取所述用户的权限信息;
拦截所述终端设备的应用程序执行请求;
根据所述应用程序执行请求,从所述内网权限管理服务器中获取所述应用程序的权限信息;
根据所述用户的权限信息以及所述应用程序的权限信息,处理被拦截的所述应用程序执行请求对应的进程。
A2、根据A1所述的方法,所述根据所述用户的权限信息以及所述应用程序的权限信息,处理所述应用程序执行请求对应的进程,具体包括:
若所述用户的权限信息包括对所述应用程序对应的进程的使用权限,并且所述应用程序的权限信息包括对所述应用程序对应的进程的执行权限,则所述终端设备执行所述应用程序执行请求对应的进程。
A3、根据A2所述的方法,所述方法还包括:
若所述用户的权限信息不包括对所述应用程序对应的进程的使用权限和/或所述应用程序的权限信息不包括对所述应用程序对应的进程的执行权限,则输出所述应用程序执行请求对应的进程超出权限范围的提示信息。
A4、根据A1至A3中任一项所述的方法,还包括:
若所述用户的权限信息不包括对所述应用程序对应的进程的使用权限和/或所述应用程序的权限信息不包括对所述应用程序对应的进程的执行权限,则将所述应用程序对应的进程上报至所述内网权限管理服务器,以使所述内网权限管理服务器根据所述应用程序对应的进程修改所述用户的权限信息和/或所述应用程序的权限信息。
A5、根据A1至A3中任一项所述的方法,所述根据所述登录信息,从内网权限管理服务器中获取所述用户的权限信息之前,所述方法还包括:
获取所述终端设备的标识信息;
所述根据所述登录信息,从内网权限管理服务器中获取所述用户的权限信息,具体包括:
根据所述用户的登录信息以及所述终端设备的标识信息,从所述内网权限管理服务器中获取在所述终端设备上的所述用户的权限信息,其中,所述用户的权限信息包括所述用户具备使用权限的应用程序以及与所述具备使用权限的应用程序对应的具备使用权限的进程;
所述根据所述应用程序执行请求,从所述内网权限管理服务器中获取所述应用程序的权限信息,具体包括:
根据所述应用程序执行请求以及所述终端设备的标识信息,从所述内网权限管理服务器中获取在所述终端设备上的所述应用程序的权限信息,其中,所述应用程序的权限信息包括所述应用程序对所述应用程序对应进程的执行权限。
A6、根据A5所述的方法,所述获取所述用户的登录信息之前,所述方法还包括:
向所述内网权限管理服务器发送所述终端设备中全部的应用程序、每个所述应用程序包括的全部进程信息以及所述终端设备的标识信息,以使所述内网权限管理服务器分别为每个所述应用程序分配在所述终端设备上的具备执行权限的进程,以及分别为每个所述用户分配在所述终端设备上的具备使用权限的应用程序及其对应的具备使用权限的进程。
A7、根据A1至A3中任一项所述的方法,所述根据所述登录信息,从内网权限管理服务器中获取所述用户的权限信息之后,所述方法还包括:
清空所述终端设备的本地缓存。
B8、一种应用程序的权限控制装置,包括:
登录信息获取单元,用于当用户登录终端设备时,获取所述用户的登录信息;
用户权限获取单元,用于根据所述登录信息,从内网权限管理服务器中获取所述用户的权限信息;
执行请求拦截单元,用于拦截所述终端设备的应用程序执行请求;
应用程序权限获取单元,用于根据所述应用程序执行请求,从所述内网权限管理服务器中获取所述应用程序的权限信息;
执行请求处理单元,用于根据所述用户的权限信息以及所述应用程序的权限信息,处理被拦截的所述应用程序执行请求对应的进程。
B9、根据B8所述的装置,所述执行请求处理单元,具体包括:
执行单元,用于若所述用户的权限信息包括对所述应用程序对应的进程的使用权限,并且所述应用程序的权限信息包括对所述应用程序对应的进程的执行权限,则所述终端设备执行所述应用程序执行请求对应的进程。
B10、根据B9所述的装置,所述执行请求处理单元,具体还包括:
提示单元,用于若所述用户的权限信息不包括对所述应用程序对应的进程的使用权限和/或所述应用程序的权限信息不包括对所述应用程序对应的进程的执行权限,则输出所述应用程序执行请求对应的进程超出权限范围的提示信息。
B11、根据B8至B10中任一项所述的装置,所述执行请求处理单元,具体还包括:
上报单元,用于若所述用户的权限信息不包括对所述应用程序对应的进程的使用权限和/或所述应用程序的权限信息不包括对所述应用程序对应的进程的执行权限,则将所述应用程序对应的进程上报至所述内网权限管理服务器,以使所述内网权限管理服务器根据所述应用程序对应的进程修改所述用户的权限信息和/或所述应用程序的权限信息。
B12、根据B8至B10中任一项所述的装置,所述装置还包括:
设备标识获取单元,用于获取所述用户的登录信息之后,获取所述终端设备的标识信息;
所述用户权限获取单元,具体用于根据所述用户登录信息以及所述终端设备的标识信息,从所述内网权限管理服务器中获取在所述终端设备上的所述用户的权限信息,其中,所述用户的权限信息包括所述用户具备使用权限的应用程序以及与所述具备使用权限的应用程序对应的具备使用权限的进程;
所述应用程序权限获取单元,具体用于根据所述应用程序执行请求以及所述终端设备的标识信息,从所述内网权限管理服务器中获取在所述终端设备上的所述应用程序的权限信息,其中,所述应用程序的权限信息包括所述应用程序对所述应用程序对应进程的执行权限。
B13、根据B12所述的装置,还包括:
信息发送单元,用于获取所述用户的登录信息之前,所述终端设备向所述内网权限管理服务器发送所述终端设备中全部的应用程序、每个所述应用程序包括的全部进程信息以及所述终端设备的标识信息,以使所述内网权限管理服务器分别为每个所述应用程序分配在所述终端设备上的具备执行权限的进程,以及分别为每个所述用户分配在所述终端设备上的具备使用权限的应用程序及其对应的具备使用权限的进程。
B14、根据B8至10中任一项所述的装置,还包括:
缓存情况单元,用于根据所述登录信息,从内网权限管理服务器中获取所述用户的权限信息之后,清空所述终端设备的本地缓存。
C15、一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现A1至A7中任一项所述的应用程序的权限控制方法。
D16、一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现A1至A7中任一项所述的应用程序的权限控制方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。