CN109740328B - 一种权限鉴定方法、装置、计算机设备和存储介质 - Google Patents
一种权限鉴定方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN109740328B CN109740328B CN201910015638.5A CN201910015638A CN109740328B CN 109740328 B CN109740328 B CN 109740328B CN 201910015638 A CN201910015638 A CN 201910015638A CN 109740328 B CN109740328 B CN 109740328B
- Authority
- CN
- China
- Prior art keywords
- authentication
- rule
- service
- authority
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种权限鉴定方法、装置、计算机设备和存储介质,该方法包括:接收应用针对用户操作发送的鉴权请求;根据所述鉴权请求确定所述用户操作对应的鉴权规则;根据所述鉴权规则对所述用户操作进行权限鉴定,以生成鉴权结果;将所述鉴权结果发送至所述应用。将权限鉴定从各个应用中分离,可降低应用内各模块之间的耦合度,开发时无需关心权限鉴定,降低应用的开发成本;对各个应用开发权限鉴定,不仅可参照其他应用的权限鉴定的结果,保证权限鉴定的全面性,而且,对于重叠的权限鉴定,可配置相同的鉴权规则即可,避免了重复开发工作,从而提高了开发效率。
Description
技术领域
本发明实施例涉及安全的技术,尤其涉及一种权限鉴定方法、装置、计算机设备和存储介质。
背景技术
在一个系统集群中通常包括多个与业务相关的应用,各个应用通常独立为用户提供特定的服务,并对此独立进行权限鉴定。
例如,对于直播平台等系统集群,通常包括开播应用、弹幕应用、用户信息应用等应用,其中,开播应用可以用于对用户开设直播进行权限鉴定、弹幕应用可以用于对用户发布弹幕进行权限鉴定、用户信息应用可以用于对用户修改的用户信息(如用户头像、用户昵称、用户简介等)进行权限鉴定。
各个应用在开发时,都会将一个用于进行权限鉴定的功能模块封装到一个函数体内,在业务需要时,调用这个函数进行权限鉴定。
但是,应用这种权限鉴定的方式,应用内各模块之间的耦合度较高,导致应用开发成本较高,并且,各个应用独立进行开发权限鉴定,不仅存在片面性,容易遗漏其他应用的权限鉴定的结果,而且可能存在重叠,将导致各个应用可能重复开发工作,降低了开发效率。
发明内容
本发明实施例提供一种权限鉴定方法、装置、计算机设备和存储介质,以解决业务系统耦合度较高,独立开发应用导致权限鉴定存在片面性和重复开发工作的问题。
第一方面,本发明实施例提供了一种权限鉴定方法,包括:
接收应用针对用户操作发送的鉴权请求;
根据所述鉴权请求确定所述用户操作对应的鉴权规则;
根据所述鉴权规则对所述用户操作进行权限鉴定,以生成鉴权结果;
将所述鉴权结果发送至所述应用。
第二方面,本发明实施例还提供了一种权限鉴定方法,包括:
接收用户操作;
针对所述用户操作向鉴权服务发送鉴权请求,所述鉴权请求用于确定所述用户操作对应的鉴权规则,根据所述鉴权规则对所述用户操作进行权限鉴定,以生成鉴权结果;
接收所述鉴权服务发送的鉴权结果;
根据所述鉴权结果对所述用户操作进行处理。
第三方面,本发明实施例还提供了一种权限鉴定装置,包括:
鉴权请求接收模块,用于接收应用针对用户操作发送的鉴权请求;
鉴权规则确定模块,用于根据所述鉴权请求确定所述用户操作对应的鉴权规则;
权限鉴定模块,用于根据所述鉴权规则对所述用户操作进行权限鉴定,以生成鉴权结果;
鉴权结果发送模块,用于将所述鉴权结果发送至所述应用。
第四方面,本发明实施例还提供了一种权限鉴定装置,包括:
用户操作接收模块,用于接收用户操作;
鉴权请求发送模块,用于针对所述用户操作向鉴权服务发送鉴权请求,所述鉴权请求用于确定所述用户操作对应的鉴权规则,根据所述鉴权规则对所述用户操作进行权限鉴定,以生成鉴权结果;
鉴权结果接收模块,用于接收所述鉴权服务发送的鉴权结果;
操作处理模块,用于根据所述鉴权结果对所述用户操作进行处理。
第五方面,本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面或第二方面所述的权限鉴定方法。
第六方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面或第二方面所述的权限鉴定方法。
在本实施例中,接收应用针对用户操作发送的鉴权请求,根据鉴权请求确定用户操作对应的鉴权规则,根据鉴权规则对用户操作进行权限鉴定,以生成鉴权结果,将鉴权结果发送至应用,对系统集群中的应用提供统一的鉴权服务,进行统一的权限鉴定,将权限鉴定从各个应用中分离,可降低应用内各模块之间的耦合度,开发时无需关心权限鉴定,降低应用的开发成本;对各个应用开发权限鉴定,不仅可参照其他应用的权限鉴定的结果,保证权限鉴定的全面性,而且,对于重叠的权限鉴定,可配置相同的鉴权规则即可,避免了重复开发工作,从而提高了开发效率。
附图说明
图1为本发明实施例一提供的一种权限鉴定方法的流程图;
图2为本发明实施例一提供的一种鉴权系统的结构示意图;
图3是本发明实施例二提供的一种权限鉴定方法的流程图;
图4是本发明实施例三提供的一种权限鉴定方法的流程图;
图5为本发明实施例三提供的一种权限鉴定装置的结构示意图;
图6为本发明实施例四提供的一种权限鉴定装置的结构示意图;
图7为本发明实施例五提供的一种计算机设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种权限鉴定方法的流程图,本实施例可适用于对系统集群统一提供权限鉴定的情况,该方法可以由权限鉴定装置来执行,该权限鉴定装置可以由软件和/或硬件实现,可配置在计算机设备中,如服务器等,该方法具体包括如下步骤:
S110、接收应用针对用户操作发送的鉴权请求。
在本实施例中,在系统集群中设置统一的鉴权系统,为系统集群中的各个应用提供统一的权限鉴定。
由于业务系统中进行的用户操作多为实时操作,因此,为了保证用户操作的实时性,该鉴权系统可设置为实时操作系统,如kafka(一种分布式发布订阅消息系统)。
如图2所示,该鉴权系统包括数据库211、缓存系统212、策略服务(Strategy) 213、分析服务(Analysis)214与监控系统215等组件。
其中,数据库211可包括MySQL(关系型数据库管理系统)等,在数据库 211中可持久化对各个业务类型适用的鉴权规则。
缓存系统212可包括Redis(内存存储的数据结构服务器)等,在鉴权系统运行时,可从数据库211读取鉴权规则,并写入缓存系统212中。
策略服务213可提供统一的鉴权接口,内部的应用221(即系统集群内部的应用)和/或外部的应用222(即系统集群外部的应用),在接收到用户操作时,可按照该鉴权接口的接口规范生成鉴权请求,通过HTTP(Hyper Text Transport Protocol,超文本传输协议)与WUP(wireless uni-protocol,无线统一协议)等协议发送至策略服务213。
策略服务213可调用缓存系统212中、该用户操作适配的鉴权规则对该用户操作进行权限鉴定。
为使本领域技术人员更好地理解本实施例,在本实施例中,将直播平台作为系统集群的一种示例进行说明。
在本示例中,直播平台包括统一的鉴权系统,以及,开播应用、弹幕应用、用户信息应用等与业务相关的应用。
对于开播应用,若接收到用户的开播操作(即用户操作,用于开设直播业务),则可以生成鉴权请求,发送至鉴权系统,请求鉴定该用户是否具有开设直播业务的权限。
对于弹幕应用,若接收到用户的弹幕发布操作(即用户操作,用于在直播间中发布弹幕),则可以生成鉴权请求,发送至鉴权系统,请求鉴定该用户是否具有在该直播间中发布该弹幕的权限。
对于用户信息应用,若接收到用户的信息修改操作(即用户操作,用于修改用户信息),则可以生成鉴权请求,发送至鉴权系统,请求鉴定该用户是否具有修改该用户信息的权限。
当然,上述用户操作只是作为示例,在实施本实施例时,可以根据系统集群的实际业务情况设置其他用户操作,本实施例对此不加以限制。另外,除了上述用户操作外,本领域技术人员还可以根据实际需要采用其它用户操作,本实施例对此也不加以限制。
S120、根据所述鉴权请求确定所述用户操作对应的鉴权规则。
在具体实现中,鉴权规则可以指用于进行权限鉴定的规则,以确定是否具有某个行为的权限。
在本实施例中,在系统集群中存储了不同应用的鉴权规则,对于不同的应用,其鉴权规则可能相同、也可能不同,为了减少无效的权限鉴定,提高权限鉴定的效率,可针对不同应用的用户操作、从所有的鉴权规则中选择与该用户操作适配的鉴权规则进行权限鉴定。
在一种实施方式中,可针对不同的业务类型(如开播业务、弹幕发布业务、用户信息修改业务等)设置不同的鉴权规则,即业务类型与鉴权规则存在映射关系,针对一种业务类型设置一系列的鉴权规则(包括鉴权规则的匹配顺序) 对该业务类型下的用户操作进行权限鉴定。
该鉴权请求中具有鉴权参数,即用于进行权限鉴定的参数,该鉴权参数可包括业务类型、地理位置、用户标识UID、IP(Internet Protocol,网络之间互连的协议)地址、设备标识、载体标识ID(用于标识视频载体的信息,如直播间号码ID、主播标识UID、视频标识VID等),等等。
在本实施例中,可按照接口规范,从鉴权请求中读取业务类型,从而确定该用户操作所属的业务类型。
在预设的映射关系中,确定该业务类型对应的鉴权规则。
需要说明的是,鉴权规则可以由本领域技术人员根据业务类型的实际情况进行设置,某些鉴权规则可能适用于全部的业务类型(即通用的鉴权规则),某些鉴权规则可能适用于部分的业务类型甚至是单独的业务类型(即特定的鉴权规则),本实施例对此不加以限制。
S130、根据所述鉴权规则对所述用户操作进行权限鉴定,以生成鉴权结果。
在本实施例中,可使用该用户操作对应的鉴权规则对该用户操作进行权限鉴定,从而生成鉴权结果。
一般情况下,全部鉴权规则的鉴权结果为鉴权通过(即具有执行该用户操作的权限),则确定最终的鉴权结果为鉴权通过,其中一个鉴权规则的鉴权结果为鉴权未通过(即不具有执行该用户操作的权限),则确定最终的鉴权结果为鉴权未通过。
需要说明的是,如果对该用户操作所属的业务类型设置的鉴权规则,预先设定了鉴权顺序,则可以按照该鉴权顺序(即鉴权规则的使用顺序)、使用鉴权规则对用户操作进行权限鉴定,以生成鉴权结果。
当然,如果对该用户操作所属的业务类型设置的鉴权规则,未预先设定了鉴权顺序,即任一鉴权顺序不影响鉴权规则的使用,则可以根据其他方式确定一鉴权顺序,例如,以读取鉴权规则的顺序作为鉴权顺序,基于复杂度设置鉴权顺序(如先使用简单的鉴权规则、再使用复杂的鉴权规则),基于应用范围设置鉴权顺序(如先使用通用的鉴权规则、再使用特定的鉴权规则),等等,按照该鉴权顺序、使用鉴权规则对用户操作进行权限鉴定,以生成鉴权结果,本实施例对此不加以限制。
在一个示例中,鉴权规则包括白名单、拦截规则。
其中,白名单中记载了允许通过的鉴权参数,如用户标识UID、IP地址、设备标识、载体标识ID,等等。
拦截规则记载了禁止通过的鉴权参数,如业务类型、地理位置、用户标识 UID、IP地址、设备标识、载体标识ID,等等。
进一步地,拦截规则包括如下的至少一种:
业务拦截规则、黑名单、惩罚名单、弹幕拦截规则。
业务拦截规则中记载了对某个业务类型进行全部或部分拦截的鉴权参数,如业务类型、地理位置,等等。
例如,对于直播平台,在某些特定的时期,可能全面拦截开播业务,也可能针对部分地理位置拦截开播业务。
黑名单中记载了禁止通过的鉴权参数,如用户标识UID、IP地址、设备标识、载体标识ID,等等。
惩罚名单中记载了进行惩罚的鉴权参数,如用户标识UID、IP地址、设备标识、载体标识ID,等等。
例如,对于直播平台,可对用户在一段时间段内的行为进行惩罚。
弹幕拦截规则中记载了拦截短视频等录播视频或直播视频的弹幕的鉴权参数,如载体ID等。
在本示例中,可将用户标识UID、IP地址、设备标识、载体标识ID等鉴权参数与白名单进行匹配。
若鉴权参数与白名单匹配成功,则确定鉴权结果为鉴权通过,不再使用其他鉴权规则进行匹配。
若鉴权参数与所述白名单匹配失败,则将鉴权参数与拦截规则进行匹配。
进一步而言,对于业务拦截规则,可使用业务类型等鉴权参数与进行全部拦截的业务拦截规则进行匹配,也可使用地理位置等鉴权参数与进行部分拦截的业务拦截规则而进行匹配。
可使用用户标识UID、IP地址、设备标识、载体标识ID等鉴权参数与黑名单进行匹配。
可使用用户标识UID、IP地址、设备标识、载体标识ID等鉴权参数与鉴权参数与惩罚名单进行匹配。
可使用载体标识ID等鉴权参数与弹幕拦截规则进行匹配。
若所鉴权参数与任一拦截规则匹配成功,则确定鉴权结果为鉴权未通过。
若鉴权参数与所有拦截规则匹配失败,则确定鉴权结果为鉴权通过。
当然,上述鉴权规则及其匹配方式只是作为示例,在实施本实施例时,可以根据系统集群的实际业务情况设置其他鉴权规则及其匹配方式,本实施例对此不加以限制。另外,除了上述鉴权规则及其匹配方式外,本领域技术人员还可以根据实际需要采用其它鉴权规则及其匹配方式,本实施例对此也不加以限制。
S140、将所述鉴权结果发送至所述应用。
在本实施例中,可按照鉴权接口的接口规范生成鉴权响应,并返回应用,以便该应用对用户操作进行相应的处理。
当然,除了将该鉴权结果封装在该鉴权响应中,也可以将其他信息(如根据鉴权规则生成的拦截文案)封装在该鉴权响应中,本实施例对此不加以限制。
此外,如图2所示,此次鉴权鉴定相关的数据(如鉴权请求、鉴权结果等),均可可记录在系统日志中,并将该系统日志持久化在数据库211中,便于运营人员查询该数据、形成用户的行为轨迹及统计数据报表,也便于开发人员分析用户行为。
在本实施例中,接收应用针对用户操作发送的鉴权请求,根据鉴权请求确定用户操作对应的鉴权规则,根据鉴权规则对用户操作进行权限鉴定,以生成鉴权结果,将鉴权结果发送至应用,对系统集群中的应用提供统一的鉴权服务,进行统一的权限鉴定,将权限鉴定从各个应用中分离,可降低应用内各模块之间的耦合度,开发时无需关心权限鉴定,降低应用的开发成本;对各个应用开发权限鉴定,不仅可参照其他应用的权限鉴定的结果,保证权限鉴定的全面性,而且,对于重叠的权限鉴定,可配置相同的鉴权规则即可,避免了重复开发工作,从而提高了开发效率。
实施例二
图3为本发明实施例二提供的一种权限鉴定方法的流程图,本实施例以前述实施例为基础,进一步增加编辑鉴权规则、惩罚名单的处理操作。该方法具体包括如下步骤:
S310、接收规则处理操作。
S320、根据所述规则处理操作对鉴权规则进行处理。
在本实施例中,在系统集群中设置统一的鉴权系统,为系统集群中的各个应用提供统一的鉴权规则。
管理用户可针对鉴权规则向鉴权系统发送规则处理操作,请求鉴权系统对鉴权规则进行相应的处理。
在一种实施方式中,如图2所示,策略服务213可提供统一的处理接口,内部的应用221(即系统集群内部的应用)和/或外部的应用222(即系统集群外部的应用),根据管理用户的操作,按照该处理接口的接口规范生成规则处理操作,通过HTTP与WUP等协议发送至策略服务213。
策略服务213按照该规则处理操作对数据库212中鉴权规则进行相应的处理,按照处理接口的接口规范生成处理响应,并返回应用,从而返回给管理人员。
在一个示例中,规则处理操作包括如下的至少一种:
1、规则查询操作
在本示例中,可根据规则查询操作查询鉴权规则。
2、规则增加操作
在本示例中,可根据规则增加操作增加鉴权规则。
3、规则删除操作
可根据规则删除操作删除鉴权规则。
4、规则修改操作
可根据规则修改操作修改鉴权规则。
当然,上述规则处理操作及其处理方式只是作为示例,在实施本实施例时,可以根据系统集群的实际业务情况设置其他规则处理操作及其处理方式,本实施例对此不加以限制。另外,除了上述规则处理操作及其处理方式外,本领域技术人员还可以根据实际需要采用其它规则处理操作及其处理方式,本实施例对此也不加以限制。
此外,如果策略服务213对数据库211中的鉴权规则进行了增加、删除、修改等操作,从而更新了数据库211中的鉴权规则,则可将更新后的鉴权规则同步到缓存系统212,以保持最新的鉴权规则。
在本实施例中,可以单独对鉴权规则进行处理,这样可以在很多临时授权和特殊授权的场景下,让权限控制更加灵活。
S330、接收应用针对用户操作发送的鉴权请求。
S340、根据所述鉴权请求确定所述用户操作对应的鉴权规则。
S350、根据所述鉴权规则对所述用户操作进行权限鉴定,以生成鉴权结果。
S360、将所述鉴权结果发送至所述应用。
S370、若所述鉴权结果为鉴权未通过,则提取所述鉴权请求中的鉴权参数。
S380、若所述鉴权参数满足预设的惩罚条件,则将所述鉴权参数写入所述惩罚名单中。
在本实施例中,鉴权规则包括惩罚名单,针对该惩罚名单可设置相应的惩罚条件,例如,一段时间内鉴权未通过的频次超过预设的阈值,等等。
若鉴权结果为鉴权未通过,则可以提取鉴权请求中的鉴权参数,在该鉴权参数满足预设的惩罚条件时,对生成罚单,并将该鉴权参数写入惩罚名单中。
进一步而言,如图2所示,配置服务213基于此次鉴权鉴定相关的数据(如鉴权请求、鉴权结果等)产生消息,并发送至监控系统215(如kafka系统中的eagle系统)。
监控系统215可对该消息写入消息队列中,并对该消息队列中的消息进行维护。
分析服务214消费监控系统215中的消息,可判断该消息中用户标识UID、 IP地址、设备标识、载体标识ID等关键的鉴权参数是否满足规定的惩罚规则。
如果经满足,则生成罚单,将该鉴权参数写入惩罚名单中,并同步到数据库211与缓存系统212,以便策略服务213能实时根据最新的惩罚名单进行鉴权鉴定。
需要说明的是,该惩罚名单及其惩罚条件对于整个系统集群中的应用均适用,针对不同的应用,均可根据统一的惩罚名单来实现对用户的拦截或封禁,保证整个系统集群能在秩序安全的控制范围内运行。
实施例三
图4为本发明实施例三提供的一种权限鉴定方法的流程图,本实施例可适用于对系统集群统一提供权限鉴定的情况,该方法可以由权限鉴定装置来执行,该权限鉴定装置可以由软件和/或硬件实现,可配置在计算机设备中,如服务器等,该方法具体包括如下步骤:
S410、接收用户操作。
在本实施例中,系统集群中具有多个与业务相关的应用,每个应用之间可能相对独立,即独立为用户提供特定的服务。
例如,在直播平台中包括开播应用、弹幕应用、用户信息应用等与业务相关的应用。
对于开播应用,可接收用户的开播操作(即用户操作),用于开设直播业务。
对于弹幕应用,可接收用户的弹幕发布操作(即用户操作),用于在直播间中发布弹幕。
对于用户信息应用,可接收用户的信息修改操作(即用户操作),用于修改用户信息。
当然,上述用户操作只是作为示例,在实施本实施例时,可以根据系统集群的实际业务情况设置其他用户操作,本实施例对此不加以限制。另外,除了上述用户操作外,本领域技术人员还可以根据实际需要采用其它用户操作,本实施例对此也不加以限制。
S420、针对所述用户操作向鉴权服务发送鉴权请求。
在本实施例中,在系统集群中设置统一的鉴权系统,为系统集群中的各个应用提供统一的权限鉴定。
该鉴权系统提供统一的鉴权接口,应用可按照该鉴权接口的接口规范生成鉴权请求,发送至该鉴权系统。
其中,该鉴权请求用于确定用户操作对应的鉴权规则,根据鉴权规则对用户操作进行权限鉴定,以生成鉴权结果。
进一步而言,鉴权请求中具有鉴权参数,鉴权参数包括业务类型,因此,该鉴权请求还可用于确定用户操作所属的业务类型,确定业务类型对应的鉴权规则。
在一个示例中,鉴权规则包括如下的至少一种:
白名单、业务拦截规则、黑名单、惩罚名单、弹幕拦截规则;
该鉴权请求还可用于:
将鉴权参数与白名单进行匹配。
若鉴权参数与白名单匹配成功,则确定鉴权结果为鉴权通过;
若鉴权参数与白名单匹配失败,则将鉴权参数与业务拦截规则、黑名单、惩罚名单、弹幕拦截规则中的至少一种鉴权规则进行匹配。
若鉴权参数与业务拦截规则、黑名单、惩罚名单、弹幕拦截规则中的至少一种鉴权规则匹配成功,则确定鉴权结果为鉴权未通过;
若鉴权参数与业务拦截规则、黑名单、惩罚名单、弹幕拦截规则中的至少一种鉴权规则匹配失败,则确定鉴权结果为鉴权通过。
需要说明的是,由于本实施例的权限鉴定与实施例一、二的权限鉴定应用基本相似,所以描述的比较简单,相关之处参见实施例一、二的部分说明即可,本发明实施例在此不加以详述。
S430、接收所述鉴权服务发送的鉴权结果。
在本实施例中,鉴权系统可按照鉴权接口的接口规范生成鉴权响应,并返回应用。
应用按照该鉴权接口的接口规范,从鉴权响应中提取鉴权结果。
S440、根据所述鉴权结果对所述用户操作进行处理。
应用在解析鉴权结果之后,按照鉴权结果对用户操作进行处理。
若鉴权结果为鉴权通过,则允许执行用户操作。
若鉴权结果为鉴权未通过,则禁止执行用户操作。
进一步地,应用按照该鉴权接口的接口规范,从鉴权响应中提取信息(如根据鉴权规则生成的拦截文案),在鉴权未通过时,显示该信息。
例如,在直播平台中包括开播应用、弹幕应用、用户信息应用等与业务相关的应用。
对于开播应用,若用户的开播操作的权限鉴定结果为鉴权通过,则允许该用户开设直播业务;若用户的开播操作的权限鉴定结果为鉴权未通过,则禁止该用户开设直播业务。
对于弹幕应用,若用户的弹幕发布操作的权限鉴定结果为鉴权通过,则允许该用户在直播间中发布弹幕;若用户的弹幕发布操作的权限鉴定结果为鉴权未通过,则禁止该用户在直播间中发布弹幕。
对于用户信息应用,若用户的信息修改操作的权限鉴定结果为鉴权通过,则允许该用户修改用户信息;若用户的信息修改操作的权限鉴定结果为鉴权未通过,则禁止该用户修改用户信息。
当然,上述用户操作的处理方式只是作为示例,在实施本实施例时,可以根据系统集群的实际业务情况设置其他用户操作的处理方式,本实施例对此不加以限制。另外,除了上述用户操作的处理方式外,本领域技术人员还可以根据实际需要采用其它用户操作的处理方式,本实施例对此也不加以限制。
在本实施例中,接收用户操作,针对用户操作向鉴权服务发送鉴权请求,鉴权请求用于根据用户操作对应的鉴权规则对用户操作进行权限鉴定,以生成鉴权结果,接收鉴权服务发送的鉴权结果,根据鉴权结果对所述用户操作进行处理,对系统集群中的应用提供统一的鉴权服务,进行统一的权限鉴定,将权限鉴定从各个应用中分离,可降低应用内各模块之间的耦合度,开发时无需关心权限鉴定,降低应用的开发成本;对各个应用开发权限鉴定,不仅可参照其他应用的权限鉴定的结果,保证权限鉴定的全面性,而且,对于重叠的权限鉴定,可配置相同的鉴权规则即可,避免了重复开发工作,从而提高了开发效率。
实施例四
图5为本发明实施例四提供的一种权限鉴定装置的结构示意图,该装置具体可以包括如下模块:
鉴权请求接收模块510,用于接收应用针对用户操作发送的鉴权请求;
鉴权规则确定模块520,用于根据所述鉴权请求确定所述用户操作对应的鉴权规则;
权限鉴定模块530,用于根据所述鉴权规则对所述用户操作进行权限鉴定,以生成鉴权结果;
鉴权结果发送模块540,用于将所述鉴权结果发送至所述应用。
在本发明的一个实施例中,所述鉴权请求中具有鉴权参数,所述鉴权参数包括业务类型;
所述鉴权规则确定模块520包括:
业务类型确定子模块,用于确定所述用户操作所属的业务类型;
业务类型映射子模块,用于确定所述业务类型对应的鉴权规则。
在本实施例的一个示例中,所述鉴权规则包括白名单、拦截规则;
其中,所述拦截规则包括如下的至少一种:
业务拦截规则、黑名单、惩罚名单、弹幕拦截规则;
所述鉴权请求中具有鉴权参数;
所述权限鉴定模块530包括:
第一匹配子模块,用于将所述鉴权参数与所述白名单进行匹配;
第一鉴权结果确定子模块,用于若所述鉴权参数与所述白名单匹配成功,则确定鉴权结果为鉴权通过;
第二匹配子模块,用于若所述鉴权参数与所述白名单匹配失败,则将所述鉴权参数与所述拦截规则进行匹配;
第二鉴权结果确定子模块,用于若所述鉴权参数与任一拦截规则匹配成功,则确定鉴权结果为鉴权未通过;
第三鉴权结果确定子模块,用于若所述鉴权参数与所有拦截规则匹配失败,则确定鉴权结果为鉴权通过。
在本发明的一个实施例中,还包括:
规则处理操作接收模块,用于接收规则处理操作;
鉴权规则处理模块,用于根据所述规则处理操作对鉴权规则进行处理。
在本实施例的一个示例中,所述规则处理操作包括如下的至少一种:
规则查询操作、规则增加操作、规则删除操作、规则修改操作;
所述鉴权规则处理模块包括:
规则查询子模块,用于根据所述规则查询操作查询鉴权规则;
和/或,
规则增加子模块,用于根据所述规则增加操作增加鉴权规则;
和/或,
规则删除子模块,用于根据所述规则删除操作删除鉴权规则;
和/或,
规则修改子模块,用于根据所述规则修改操作修改鉴权规则。
在本发明的一个实施例中,所述鉴权规则包括惩罚名单,所述方法还包括:
鉴权参数提取模块,用于若所述鉴权结果为鉴权未通过,则提取所述鉴权请求中的鉴权参数;
惩罚名单写入模块,用于若所述鉴权参数满足预设的惩罚条件,则将所述鉴权参数写入所述惩罚名单中。
本发明实施例所提供的权限鉴定装置可执行本发明任意实施例所提供的权限鉴定方法,具备执行方法相应的功能模块和有益效果。
实施例五
图6为本发明实施例五提供的一种权限鉴定装置的结构示意图,该装置具体可以包括如下模块:
用户操作接收模块610,用于接收用户操作;
鉴权请求发送模块620,用于针对所述用户操作向鉴权服务发送鉴权请求,所述鉴权请求用于确定所述用户操作对应的鉴权规则,根据所述鉴权规则对所述用户操作进行权限鉴定,以生成鉴权结果;
鉴权结果接收模块630,用于接收所述鉴权服务发送的鉴权结果;
操作处理模块640,用于根据所述鉴权结果对所述用户操作进行处理。
在本发明的一个实施例中,所述鉴权请求中具有鉴权参数,所述鉴权参数包括业务类型;所述鉴权请求还可用于确定所述用户操作所属的业务类型,确定所述业务类型对应的鉴权规则。
在实施例的一个示例中,鉴权规则包括如下的至少一种:
白名单、业务拦截规则、黑名单、惩罚名单、弹幕拦截规则;
所述鉴权请求中具有鉴权参数;
所述鉴权请求还可用于:
将所述鉴权参数与所述白名单进行匹配;
若所述鉴权参数与所述白名单匹配成功,则确定鉴权结果为鉴权通过;
若所述鉴权参数与所述白名单匹配失败,则将所述鉴权参数与所述业务拦截规则、所述黑名单、所述惩罚名单、所述弹幕拦截规则中的至少一种鉴权规则进行匹配;
若所述鉴权参数与所述业务拦截规则、所述黑名单、所述惩罚名单、所述弹幕拦截规则中的至少一种鉴权规则匹配成功,则确定鉴权结果为鉴权未通过;
若所述鉴权参数与所述业务拦截规则、所述黑名单、所述惩罚名单、所述弹幕拦截规则中的至少一种鉴权规则匹配失败,则确定鉴权结果为鉴权通过。
在本发明的一个实施例中,所述操作处理模块640包括:
操作允许子模块,用于若所述鉴权结果为鉴权通过,则允许执行所述用户操作;
操作禁止子模块,用于若鉴所述权结果为鉴权未通过,则禁止执行所述用户操作。
本发明实施例所提供的权限鉴定装置可执行本发明任意实施例所提供的权限鉴定方法,具备执行方法相应的功能模块和有益效果。
实施例六
图7为本发明实施例六提供的一种计算机设备的结构示意图,如图7所示,该计算机设备包括处理器700、存储器710、输入装置720和输出装置730;计算机设备中处理器700的数量可以是一个或多个,图7中以一个处理器700为例;计算机设备中的处理器700、存储器710、输入装置720和输出装置730可以通过总线或其他方式连接,图7中以通过总线连接为例。
存储器710作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的权限鉴定方法对应的程序指令/模块 (例如,如图5所示的鉴权请求接收模块510、鉴权规则确定模块520、权限鉴定模块530和鉴权结果发送模块540;或者,如图6所示的用户操作接收模块 610、鉴权请求发送模块620、鉴权结果接收模块630和操作处理模块640)。处理器700通过运行存储在存储器710中的软件程序、指令以及模块,从而执行计算机设备的各种功能应用以及数据处理,即实现上述的权限鉴定方法。
存储器710可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器710可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器710可进一步包括相对于处理器700 远程设置的存储器,这些远程存储器可以通过网络连接至计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置720可用于接收输入的数字或字符信息,以及产生与计算机设备的用户设置以及功能控制有关的键信号输入。输出装置730可包括显示屏等显示设备。
实施例七
本发明实施例七还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现一种权限鉴定方法。
在一个实施例中,该方法包括:
接收应用针对用户操作发送的鉴权请求;
根据所述鉴权请求确定所述用户操作对应的鉴权规则;
根据所述鉴权规则对所述用户操作进行权限鉴定,以生成鉴权结果;
将所述鉴权结果发送至所述应用。
在另一个实施例中,该方法包括:
接收用户操作;
针对所述用户操作向鉴权服务发送鉴权请求,所述鉴权请求用于确定所述用户操作对应的鉴权规则,根据所述鉴权规则对所述用户操作进行权限鉴定,以生成鉴权结果;
接收所述鉴权服务发送的鉴权结果;
根据所述鉴权结果对所述用户操作进行处理。
当然,本发明实施例所提供的一种计算机可读存储介质,其计算机程序不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的权限鉴定方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器 (Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述权限鉴定装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (7)
1.一种权限鉴定方法,其特征在于,应用于系统集群中的鉴权系统,所述鉴权系统为实时操作系统、用于为所述系统集群中的各个应用提供统一的权限鉴定,该鉴权系统包括策略服务、分析服务与监控系统,所述方法包括:
调用所述策略服务的鉴权接口接收应用针对用户操作发送的鉴权请求,所述鉴权请求中具有鉴权参数,所述鉴权参数包括业务类型;
确定所述用户操作所属的业务类型,所述业务类型与鉴权规则存在映射关系,针对一种所述业务类型设置一系列的所述鉴权规则,所述鉴权规则指用于进行权限鉴定的规则,以确定是否具有某个行为的权限,所述鉴权规则包括惩罚名单;
确定所述业务类型对应的鉴权规则;
调用所述策略服务根据所述鉴权规则对所述用户操作进行权限鉴定,以生成鉴权结果;
调用所述策略服务的鉴权接口将所述鉴权结果发送至所述应用,以对所述用户操作进行处理;
若所述鉴权结果为鉴权未通过,则调用所述策略服务提取所述鉴权请求中的鉴权参数、并产生消息发送至所述监控系统,所述监控系统用于将所述消息写入消息队列中;
调用所述分析服务消费所述消息队列中的所述消息,若所述鉴权参数满足预设的惩罚条件,则将所述鉴权参数写入所述惩罚名单中。
2.根据权利要求1所述的方法,其特征在于,所述鉴权规则包括白名单、拦截规则;
其中,所述拦截规则包括如下的至少一种:
业务拦截规则、黑名单、惩罚名单、弹幕拦截规则;
所述鉴权请求中具有鉴权参数;
所述根据所述鉴权规则对所述用户操作进行权限鉴定,获得鉴权结果,包括:
将所述鉴权参数与所述白名单进行匹配;
若所述鉴权参数与所述白名单匹配成功,则确定鉴权结果为鉴权通过;
若所述鉴权参数与所述白名单匹配失败,则将所述鉴权参数与所述拦截规则进行匹配;
若所述鉴权参数与任一拦截规则匹配成功,则确定鉴权结果为鉴权未通过;
若所述鉴权参数与所有拦截规则匹配失败,则确定鉴权结果为鉴权通过。
3.根据权利要求1-2任一项所述的方法,其特征在于,还包括:
接收规则处理操作;
根据所述规则处理操作对鉴权规则进行处理。
4.根据权利要求3所述的方法,其特征在于,所述规则处理操作包括如下的至少一种:
规则查询操作、规则增加操作、规则删除操作、规则修改操作;
所述根据所述规则处理操作对鉴权规则进行处理则,包括:
根据所述规则查询操作查询鉴权规则;
和/或,
根据所述规则增加操作增加鉴权规则;
和/或,
根据所述规则删除操作删除鉴权规则;
和/或,
根据所述规则修改操作修改鉴权规则。
5.一种权限鉴定装置,其特征在于,应用于系统集群中的鉴权系统,所述鉴权系统为实时操作系统、用于为所述系统集群中的各个应用提供统一的权限鉴定,该鉴权系统包括策略服务、分析服务与监控系统,所述装置包括:
鉴权请求接收模块,用于调用所述策略服务的鉴权接口接收应用针对用户操作发送的鉴权请求,所述鉴权请求中具有鉴权参数,所述鉴权参数包括业务类型;
鉴权规则确定模块,用于确定所述用户操作所属的业务类型,确定所述业务类型对应的鉴权规则,所述业务类型与鉴权规则存在映射关系,针对一种所述业务类型设置一系列的所述鉴权规则,所述鉴权规则指用于进行权限鉴定的规则,以确定是否具有某个行为的权限,所述鉴权规则包括惩罚名单;
权限鉴定模块,用于调用所述策略服务根据所述鉴权规则对所述用户操作进行权限鉴定,以生成鉴权结果;
鉴权结果发送模块,用于调用所述策略服务的鉴权接口将所述鉴权结果发送至所述应用;
鉴权参数提取模块,用于若所述鉴权结果为鉴权未通过,则调用所述策略服务提取所述鉴权请求中的鉴权参数、并产生消息发送至所述监控系统,所述监控系统用于将所述消息写入消息队列中;
惩罚名单写入模块,用于调用所述分析服务消费所述消息队列中的所述消息,若所述鉴权参数满足预设的惩罚条件,则将所述鉴权参数写入所述惩罚名单中。
6.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-4中任一所述的权限鉴定方法。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一所述的权限鉴定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910015638.5A CN109740328B (zh) | 2019-01-08 | 2019-01-08 | 一种权限鉴定方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910015638.5A CN109740328B (zh) | 2019-01-08 | 2019-01-08 | 一种权限鉴定方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109740328A CN109740328A (zh) | 2019-05-10 |
| CN109740328B true CN109740328B (zh) | 2021-07-02 |
Family
ID=66363876
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910015638.5A Active CN109740328B (zh) | 2019-01-08 | 2019-01-08 | 一种权限鉴定方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109740328B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110708301B (zh) * | 2019-09-24 | 2022-06-24 | 贝壳找房(北京)科技有限公司 | 一种用户请求处理方法、装置、电子设备和存储介质 |
| CN111612611A (zh) * | 2020-05-27 | 2020-09-01 | 深圳壹账通智能科技有限公司 | 银行卡鉴权方法、装置、计算机设备和存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101593260A (zh) * | 2009-07-03 | 2009-12-02 | 杭州华三通信技术有限公司 | 一种管理系统权限的应用方法和装置 |
| CN101951604A (zh) * | 2010-08-16 | 2011-01-19 | 中兴通讯股份有限公司 | 一种增值业务处理方法和装置 |
| CN102195956A (zh) * | 2010-03-19 | 2011-09-21 | 富士通株式会社 | 云服务系统及其中管理用户权限的方法 |
| CN102447677A (zh) * | 2010-09-30 | 2012-05-09 | 北大方正集团有限公司 | 资源访问控制方法、系统和设备 |
| CN102469092A (zh) * | 2010-11-18 | 2012-05-23 | 卓望数码技术(深圳)有限公司 | 一种实现手机应用的安全保护机制的方法及系统 |
| CN103839309A (zh) * | 2012-11-27 | 2014-06-04 | 海尔集团公司 | 一种社区门禁方法及其系统 |
| CN104717647A (zh) * | 2013-12-13 | 2015-06-17 | 中国电信股份有限公司 | 业务能力鉴权方法、设备及系统 |
| CN104751077A (zh) * | 2015-04-21 | 2015-07-01 | 沈文策 | 权限控制方法及装置 |
| CN106899563A (zh) * | 2016-06-29 | 2017-06-27 | 阿里巴巴集团控股有限公司 | 鉴权方法及装置、鉴权码生成方法及装置、鉴权系统 |
| CN107277038A (zh) * | 2017-07-18 | 2017-10-20 | 北京微影时代科技有限公司 | 访问控制方法、装置以及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020133716A1 (en) * | 2000-09-05 | 2002-09-19 | Shlomi Harif | Rule-based operation and service provider authentication for a keyed system |
| JP4143654B2 (ja) * | 2006-05-31 | 2008-09-03 | キヤノン株式会社 | デバイス管理システム、デバイス管理装置、デバイス管理方法、プログラムおよび記憶媒体 |
| CN101453528B (zh) * | 2007-11-30 | 2010-12-15 | 上海粱江通信系统股份有限公司 | 一种实现呼叫鉴权网关的系统及方法 |
| CN101296196B (zh) * | 2008-06-13 | 2012-12-12 | 腾讯科技(深圳)有限公司 | 一种鉴权方法及鉴权装置 |
| US8948038B1 (en) * | 2012-12-10 | 2015-02-03 | Google Inc. | Augmenting spectrum sharing using network measurements |
| CN103546489B (zh) * | 2013-11-05 | 2017-05-03 | 腾讯科技(武汉)有限公司 | 一种权限控制方法、服务器和系统 |
| CN108809956B (zh) * | 2018-05-23 | 2021-11-19 | 广州虎牙信息科技有限公司 | 基于微服务的鉴权方法、访问请求转发方法和装置、系统 |
-
2019
- 2019-01-08 CN CN201910015638.5A patent/CN109740328B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101593260A (zh) * | 2009-07-03 | 2009-12-02 | 杭州华三通信技术有限公司 | 一种管理系统权限的应用方法和装置 |
| CN102195956A (zh) * | 2010-03-19 | 2011-09-21 | 富士通株式会社 | 云服务系统及其中管理用户权限的方法 |
| CN101951604A (zh) * | 2010-08-16 | 2011-01-19 | 中兴通讯股份有限公司 | 一种增值业务处理方法和装置 |
| CN102447677A (zh) * | 2010-09-30 | 2012-05-09 | 北大方正集团有限公司 | 资源访问控制方法、系统和设备 |
| CN102469092A (zh) * | 2010-11-18 | 2012-05-23 | 卓望数码技术(深圳)有限公司 | 一种实现手机应用的安全保护机制的方法及系统 |
| CN103839309A (zh) * | 2012-11-27 | 2014-06-04 | 海尔集团公司 | 一种社区门禁方法及其系统 |
| CN104717647A (zh) * | 2013-12-13 | 2015-06-17 | 中国电信股份有限公司 | 业务能力鉴权方法、设备及系统 |
| CN104751077A (zh) * | 2015-04-21 | 2015-07-01 | 沈文策 | 权限控制方法及装置 |
| CN106899563A (zh) * | 2016-06-29 | 2017-06-27 | 阿里巴巴集团控股有限公司 | 鉴权方法及装置、鉴权码生成方法及装置、鉴权系统 |
| CN107277038A (zh) * | 2017-07-18 | 2017-10-20 | 北京微影时代科技有限公司 | 访问控制方法、装置以及系统 |
Non-Patent Citations (2)
| Title |
|---|
| Design of Portal-Based Uniform Identity Authentication System in Campus Network;Wei Wang 等;《2010 International Conference on Multimedia Communications》;20110120;112-115 * |
| SaaS平台访问控制系统设计与实现;郭斌;《中国优秀硕士学位论文全文数据库 信息科技辑》;20180915(第(2018)09期);I139-28 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109740328A (zh) | 2019-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111565199B (zh) | 网络攻击信息处理方法、装置、电子设备及存储介质 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN107733863B (zh) | 一种分布式hadoop环境下的日志调试方法和装置 | |
| CN112270012B (zh) | 一种用于分布式数据安全防护的装置、方法及其系统 | |
| CN109688186B (zh) | 数据交互方法、装置、设备及可读存储介质 | |
| CN111752799A (zh) | 一种业务链路跟踪方法、装置、设备及储存介质 | |
| CN112165455A (zh) | 数据访问控制方法、装置、计算机设备和存储介质 | |
| CN112311788A (zh) | 一种访问控制方法、装置、服务器及介质 | |
| CN109740328B (zh) | 一种权限鉴定方法、装置、计算机设备和存储介质 | |
| CN111353151A (zh) | 一种网络应用的漏洞检测方法和装置 | |
| CN114139178A (zh) | 基于数据链路的数据安全监测方法、装置和计算机设备 | |
| CN108712369B (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
| CN114244568B (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
| CN109657485B (zh) | 权限处理方法、装置、终端设备和存储介质 | |
| CN111147496B (zh) | 数据处理方法及装置 | |
| CN111740973A (zh) | 一种区块链服务与应用的智能防御系统及方法 | |
| CN112073366A (zh) | 一种用于铁路财务系统的数据处理方法及数据中台 | |
| Design of a network security audit system based on log data mining | ||
| CN114189383B (zh) | 封禁方法、装置、电子设备、介质和计算机程序产品 | |
| CN108809909B (zh) | 数据处理方法及数据处理装置 | |
| CN115022008A (zh) | 一种访问风险评估方法、装置、设备及介质 | |
| CN114760083B (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
| CN113992453A (zh) | 一种防止数据外泄的阻断方法、装置及存储介质 | |
| CN113360575A (zh) | 联盟链中交易数据的监管方法、装置、设备及存储介质 | |
| CN113536381A (zh) | 一种基于终端的大数据分析处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |