CN110365684B - 应用集群的访问控制方法、装置和电子设备 - Google Patents
应用集群的访问控制方法、装置和电子设备 Download PDFInfo
- Publication number
- CN110365684B CN110365684B CN201910648406.3A CN201910648406A CN110365684B CN 110365684 B CN110365684 B CN 110365684B CN 201910648406 A CN201910648406 A CN 201910648406A CN 110365684 B CN110365684 B CN 110365684B
- Authority
- CN
- China
- Prior art keywords
- application
- information
- user
- current user
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/02—Banking, e.g. interest calculation or account maintenance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Finance (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Accounting & Taxation (AREA)
- Development Economics (AREA)
- Power Engineering (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供了一种应用集群的访问控制方法,应用集群包括多个应用,方法包括:响应于接收到来自多个应用中的第一应用的认证请求,根据认证请求中包括的当前用户的身份信息,确定由当前用户设置的用于登录多个应用的认证方式;基于认证方式,向第一应用发送校验信息;响应于获取到第一应用针对校验信息返回的认证信息,基于认证信息确定当前用户是否具有登录第一应用的权限;以及在当前用户具有登录第一应用的权限的情况下,向第一应用发送认证信息,使第一应用响应于认证信息,允许当前用户登录第一应用,在当前用户成功登录第一应用的情况下,当前用户访问多个应用中除第一应用以外的其他应用无需认证。本公开还提供了一种装置和电子设备。
Description
技术领域
本公开涉及互联网技术领域,更具体地,涉及一种应用集群的访问控制方法、装置和电子设备。
背景技术
大型企业如银行,往往需要开发多个应用为用户提供不同业务领域的服务。在现有技术中,用户需要分别注册使用到的每一个应用账号,而导致客户在每一个应用上面可能有不同的账号和密码。在用户使用多个应用时,用户需要在每一个应用上分别进行认证,认证成功的情况下,才允许用户登录该应用,以使用该应用的功能,而导致操作复杂,用户体验较低。
发明内容
有鉴于此,本公开提供了一种应用集群的访问控制方法、装置和电子设备。
本公开的一个方面提供了一种应用集群的访问控制方法,包括:响应于接收到来自多个应用中的第一应用的认证请求,根据认证请求中包括的当前用户的身份信息,确定由当前用户设置的用于登录多个应用的认证方式;基于认证方式,向第一应用发送校验信息;响应于获取到第一应用针对校验信息返回的认证信息,基于认证信息确定当前用户是否具有登录第一应用的权限;以及在当前用户具有登录第一应用的权限的情况下,向第一应用发送认证信息,使第一应用响应于认证信息,允许当前用户登录第一应用,其中,在当前用户成功登录第一应用的情况下,当前用户访问多个应用中除第一应用以外的其他应用无需认证。
根据本公开的实施例,在当前用户成功登录第一应用之后,方法还包括:接收来自第一应用的访问信息,访问信息是第一应用响应于接收到用于访问特定功能的访问请求而生成的,其中,访问信息包括特定功能的第一标识信息和当前用户的第二标识信息;根据第一标识信息和第二标识信息,确定当前用户是否具有访问特定功能的权限,并生成确定结果;以及基于确定结果控制当前用户访问特定功能。
根据本公开的实施例,根据第一标识信息和第二标识信息,确定当前用户是否具有访问特定功能的权限包括:根据第二标识信息,确定当前用户的当前权限级别;根据第一标识信息,确定访问特定功能所需要的基准权限级别;在当前权限级别大于基准权限级别的情况下,确定当前用户具有访问特定功能的权限;以及在当前权限级别小于等于基准权限级别的情况下,确定当前用户不具有访问特定功能的权限。
根据本公开的实施例,方法还包括在确定当前用户不具有访问特定功能的权限的情况下,向第一应用发送用于使当前权限级别升级的升级信息,以使在当前权限级别进行升级后,当前用户具有访问特定功能的权限。
根据本公开的实施例,认证方式包括多个认证方式,向第一应用发送用于使当前权限级别升级的升级信息包括:根据第二标识信息,确定当前用户的当前用户类型;确定当前用户类型是否满足与基准权限级别相对应的用户类型;在当前用户类型不满足与基准权限级别相对应的用户类型的情况下,向第一应用发送用于使用户类型升级的升级信息;以及在当前用户类型满足基准权限级别相对应的用户类型的情况下,确定多个认证方式中当前使用的认证方式不满足基准权限级别相对应的认证方式,并根据基准权限级别相对应的认证方式向第一应用发送用于使当前的认证方式升级的升级信息。
根据本公开的实施例,特定功能包括将多个应用中的第二应用嵌入第一应用中的功能;基于确定结果控制当前用户访问特定功能包括:在当前用户具有访问特定功能的权限的情况下,获取与当前用户相关的用户信息;以及向第二应用发送用户信息,使得第二应用响应于接收到用户信息,允许当前用户访问特定功能。
根据本公开的实施例,基于确定结果控制当前用户访问特定功能包括:在当前用户具有访问特定功能的权限的情况下,基于第二标识信息,确定与当前用户相关的用户信息;使用第二应用的密钥对用户信息加密,获得加密信息,并根据加密信息生成访问请求记录,访问请求记录包括第一访问请求标识和当前时刻;向第一应用发送第一访问请求标识,使第一应用程序将第一访问请求标识转发到第二应用;响应于接收到由第二应用返回的第一访问请求标识,确定接收到由第二应用返回的第一访问请求标识的时刻与当前时刻之间的时间间隔;在时间间隔小于预设阈值的情况下,允许当前用户访问特定功能。其中,在当前用户具有访问特定功能的权限的情况下,获取与当前用户相关的用户信息包括:对加密信息解密,获取与当前用户相关的用户信息。
根据本公开的实施例,所述方法还包括:响应于获取到来自多个应用中的第一应用的注册请求,向第一应用发送第一注册页面;响应于接收针对第一注册页面的第一反馈信息,确定第一注册标识是否已经在应用集群中注册,其中,反馈信息中包括第一注册标识;在确定第一注册标识未注册的情况下,向第一应用发送第二注册页面;响应于接收到第一应用针对第二注册页面的第二反馈信息,校验第二反馈信息是否正确;在第二反馈信息正确的情况下,根据第一反馈信息和第二反馈信息,建立并存储当前用户的用户信息;以及向第一应用发送用户信息,以完成注册。
本公开的另一个方面提供了一种应用集群的访问控制装置,应用集群包括多个应用,装置包括:第一确定模块,用于响应于接收到来自多个应用中的第一应用的认证请求,根据认证请求中包括的当前用户的身份信息,确定由当前用户设置的用于登录多个应用的认证方式;第一发送模块,用于基于认证方式,向第一应用发送校验信息;第二确定模块,用于响应于获取到第一应用针对校验信息返回的认证信息,基于认证信息确定当前用户是否具有登录第一应用的权限;以及第二发送模块,用于在当前用户具有登录第一应用的权限的情况下,向第一应用发送认证信息,使第一应用响应于认证信息,允许当前用户登录第一应用,其中,在当前用户成功登录第一应用的情况下,当前用户访问多个应用中除第一应用以外的其他应用无需认证。
本公开的另一个方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器执行上述的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,指令在被执行时用于实现如上的方法。
本公开的另一方面提供了一种计算机程序,计算机程序包括计算机可执行指令,指令在被执行时用于实现如上的方法。
根据本公开的实施例,可以至少部分地解决用户访问不同的应用需要针对每一个应用分别认证的问题,并因此可以实现用户登录一个应用可以访问多个不同的应用的技术效果。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的可以应用访问控制方法的示例性系统架构;
图2示意性示出了根据本公开实施例的应用集群的访问控制方法的流程图;
图3示意性示出了根据本公开实施例的可以实现应用集群的访问控制方法的访问控制系统的框图;
图4示意性示出了根据本公开另一实施例的访问控制方法的流程图;
图5示意性示出了根据本公开另一实施例的可以实现应用集群的访问控制方法的访问控制系统的框图;
图6示意性示出了根据本公开实施例的确定所述当前用户是否具有访问所述特定功能的权限的流程图;
图7示意性示出了根据本公开实施例的向第一应用发送用于使当前权限级别升级的升级信息的流程图;
图8示意性示出了根据本公开另一实施例的访问控制方法;
图9示意性示出了根据本公开另一实施例的访问控制方法的流程图;
图10示意性示出了根据本公开另一实施例的访问控制方法的流程图;
图11示意性示出了根据本公开另一实施例的访问控制方法的流程图;
图12示意性示出了根据本公开另一实施例的访问控制方法的流程图;
图13示意性示出了根据本公开实施例的访问控制装置的方框图;以及
图14示意性示出了根据本公开实施例的适于实现应用集群访问控制方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
本公开的实施例提供了一种应用集群的访问控制方法,其中,应用集群可以包括多个应用。该访问控制方法可以包括,响应于接收到来自多个应用中的第一应用的认证请求,根据该认证请求中包括的当前用户的身份信息,确定由当前用户设置的用于登录多个应用的认证方式。接下来,基于认证方式向所述第一应用发送校验信,并响应于获取到第一应用针对校验信息返回的认证信息,基于认证信息确定当前用户是否具有登录所述第一应用的权限。然后,在当前用户具有登录第一应用的权限的情况下,向第一应用发送认证信息,使第一应用响应于认证信息,允许当前用户登录第一应用。其中,在当前用户成功登录第一应用的情况下,当前用户访问多个应用中除第一应用以外的其他应用无需认证。
图1示意性示出了根据本公开实施例的可以应用访问控制方法的示例性系统架构100。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括应用服务器集群101、访问控制服务器102和网络103。其中,应用服务器集群101例如可以包括应用1的服务器、应用2的服务器、……、应用n的服务器。网络103用以在应用1的服务器、应用2的服务器、……、应用n的服务器和访问控制服务器102之间提供通信链路的介质。网络103可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户例如可以在终端设备上安装应用集群(应用集群可以包括应用1、应用2、……、应用n)中的任意一个或多个应用,以通过终端设备使用该些应用提供的功能。
根据本公开的实施例,例如在当用户针对终端设备上安装的该应用集群中的应用1执行登录操作或者访问操作的情况下,访问控制服务器102可以根据本公开实施例的访问控制方法,确定是否允许用户登录或者访问该应用1。
根据本公开的实施例,访问控制服务器102例如可以响应于接收到来自应用1的认证请求,根据认证请求中包括的当前用户的身份信息,确定由当前用户设置的用于登录应用集群中的多个应用的认证方式。接下来,基于认证方式,向应用1发送校验信息,并响应于获取到应用1针对校验信息返回的认证信息,基于认证信息确定当前用户是否具有登录应用1的权限,以及在当前用户具有登录应用1的权限的情况下,向应用1发送认证信息,使应用1响应于认证信息,允许当前用户登录应用1。其中,在当前用户成功登录应用1的情况下,1当前用户访问1应用集群中除应用1以外的其他应用无需认证。
需要说明的是,本公开实施例所提供的应用集群的访问控制方法一般可以由访问控制服务器102执行。相应地,本公开实施例所提供的应用集群的访问控制装置一般可以设置于服务器102中。本公开实施例所提供的访问控制方法也可以由不同于服务器102且能够与应用1服务器、应用2服务器、……、应用n服务器通信和/或服务器102通信的服务器或服务器集群执行。相应地,本公开实施例所提供的访问控制装置也可以设置于不同于服务器102且能够与应用1服务器、应用2服务器、……、应用n服务器和/或服务器102通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
图2示意性示出了根据本公开的实施例的应用集群的访问控制方法的流程图。
如图2所示,该访问控制方法包括操作S201~S204。
在操作S201,响应于接收到来自多个应用中的第一应用的认证请求,根据认证请求中包括的当前用户的身份信息,确定由当前用户设置的用于登录多个应用的认证方式。
在操作S202,基于认证方式,向第一应用发送校验信息。
在操作S203,响应于获取到第一应用针对校验信息返回的认证信息,基于认证信息确定当前用户是否具有登录第一应用的权限。
在操作S204,在当前用户具有登录第一应用的权限的情况下,向第一应用发送认证信息,使第一应用响应于认证信息,允许当前用户登录第一应用。其中,在当前用户成功登录第一应用的情况下,当前用户访问多个应用中除第一应用以外的其他应用无需认证。
根据本公开的实施例,该访问控制方法可以应用于一个访问控制系统,应用集群中的多个应用的访问控制统一由该访问控制系统管理,从而使得用户登录一个应用后,同时可以访问除该应用之外的其他应用。
图3示意性示出了根据本公开实施例的可以实现应用集群的访问控制方法的访问控制系统300的框图。下面结合图2和图3说明根据本公开实施例的应用集群的访问控制方法。
如图3所示,访问控制系统300可以包括用户信息认证模块301和信息存储模块302。
用户信息认证模块301例如可以通过独立的空间提供给应用集群中的各个应用。该控件例如可以是“登录”按钮。
用户信息认证模块301例如可以包括身份认证单元311和设置认证方式单元321。其中,身份认证单元311用于确定当前用户是否具有登录或者访问特定功能的权限。设置认证方式单元321可以被身份认证单元311调用,用于由用户设置认证方式。
信息存储模块302例如可以包括注册信息存储单元312和用户权限信息存储单元322。注册信息存储单元312用于存储用户的注册信息。例如在用户完成注册后,存储用户的用户编号、用户名称、用户密码(包括静态密码、指纹、手势、生物特征)、用户头像、用户别名。其中,用户编号可以是按照用户的注册时间顺序自动生成。各个用户的用户编号、用户名称、用户别名均不相同。用户权限信息存储单元322例如可以存储用户的权限信息。
根据本公开实施例,应用集群中的多个应用(例如包括应用1、应用2、……应用n)可以与访问控制系统300的用户信息认证模块301通信。
根据本公开的实施例,在操作S210,例如可以是用户点击终端设备上安装的第一应用的“登录”按钮,触发第一应用向访问控制系统300发送认证请求。
访问控制系统300中的身份认证单元311获取该认证请求中的当前用户的身份信息。根据本公开的实施例,身份信息例如可以是当前用户的用户名。
根据本公开的实施例,当前用户的用户名例如可以是用户在点击“登录”按钮之前,在第一应用的预设位置输入的;或者当前用户的用户名可以是终端设备记录的之前登录该第一应用使用过的用户名。
接下来,身份认证单元311根据用户名,查询注册信息存储单元312中存储的当前用户设置的认证方式。认证方式例如可以包括静态密码,生物特征、短信、手势等等。
根据本公开的实施例,例如在操作S201确定的认证方式可以是指纹登录的情景中,则在操作S202,例如可以是用户信息认证模块301向第一应用发送关于指纹的校验信息,以引导用户输入指纹。
根据本公开的实施例,在操作S203,例如在上述情景中,校验信息可以是关于指纹的校验信息,则认证信息可以是用户通过终端设备输入的指纹信息。
根据本公开的实施例,在操作S203,例如可以是在认证信息与注册信息存储单元312中预先存储的认证信息一致的情况下,确定当前用户具有登录第一应用的权限。在认证信息与注册信息存储单元312中预先存储的认证信息不一致的情况下,确定当前用户不具有登录第一应用的权限。其中,注册信息存储单元312中预先存储的认证信息可以是用户在注册该用户名时使用的认证信息。
具体地,例如第一应用将用户输入的指纹信息发送给身份认证单元311,身份认证单元311查询注册信息存储单元312,以确定该指纹信息与预先存储的指纹信息是否一致。在该指纹信息与预先存储的指纹信息一致的情况下,确定当前用户具有登录所述第一应用的权限。在该指纹信息与预先存储的指纹信息不一致的情况下,确定当前用户不具有登录所述第一应用的权限。
根据本公开的实施例,在操作S204,若当前用户具有登录第一应用的权限,例如可以是用户信息认证模块301将认证信息发送到第一应用。第一应用响应于接收到该认证信息,允许当前用户登录第一应用。
根据本公开的实施例,在当前用户成功登录第一应用的情况下,当前用户防问多个应用中除第一应用以外的其他应用无需认证。例如当前用户访问第二应用时无需认证。
根据本公开的实施例,例如在当前用户通过指纹认证成功后,用户权限信息存储单元322可以存储当前用户的当前认证方式为“指纹”。
根据本公开的实施例,存在一些例如当前用户从未登录过该应用集群中的任何一个应用,并且在点击“登录”按钮前,也未输入“用户名”和“密码”的情况,访问控制系统300可以确定当前的认证方式为静态密码认证,从而通过静态密码确定当前用户是否具有登录第一应用的权限。根据本公开的实施例,可以要求用户的首次登录必须使用静态密码,由此保证了用户账户的安全性。
根据本公开的实施例,在用户通过静态密码首次登录后,身份认证单元311例如可以调用设置认证方式单元321,例如可以将设置认证方式单元321提供的设置认证方式的页面信息发送第一应用,使得用户通过第一应用设置其他的认证方式。在访问控制系统300获取到来自第一应用的用户所设置的认证方式的情况下,设置认证方式单元321将用户设置的认证方式存储到注册信息存储单元312中。
图4示意性示出了根据本公开另一实施例的访问控制方法的流程图。
如图4所示,在图2所示操作S201至S204的基础上,在操作S204之后,根据本公开实施例的访问控制方法还可以包括操作S401~S403。
在操作S401,接收来自第一应用的访问信息,访问信息是第一应用响应于接收到用于访问特定功能的访问请求而生成的,其中,访问信息包括特定功能的第一标识信息和当前用户的第二标识信息。
在操作S402,根据第一标识信息和第二标识信息,确定当前用户是否具有访问特定功能的权限,并生成确定结果。
在操作S403,基于确定结果控制当前用户访问特定功能。
图5示出了可以实现应用集群的访问控制方法的访问控制系统500的另一示例框图。下面结合图5来说明图4所示的应用集群的另一访问控制方法。
如图5所示,访问控制系统500在前述所述例的基础上,用户信息认证模块301还包括设置功能权限单元331、信息存储模块302还包括功能权限信息存储单元332。
根据本公开的实施例,设置功能权限单元331用于接收并验证来自各个应用上报的功能。例如可以根据上报的来源服务器的IP地址查询预先存储的IP地址与应用的映射关系,从而确定该服务器服务的应用的应用名称。然后可以将通过IP地址确定的应用名称与该应用上报的应用名称对比,在两者一致的情况下,确定该应用的上报正常。根据本公开的实施例,在确定上报情况下,验证该应用的功能所需要的用户权限级别是否在用户权限信息存储单元的用户权限级别范围内。在该应用的功能所需要的用户权限级别在用户权限信息存储单元的用户权限级别范围内的情况下,将该应用的功能存储到功能权限信息存储单元332。
根据本公开的实施例,功能权限信息存储单元332例如可以存储应用集群中各个应用的权限信息。功能权限信息存储单元332中存储的数据结构例如可以如以下表1所示。
表1
| 功能编号 | 功能所属APP名称 | 功能名称 | 功能所需用户权限级别 |
| A01 | APP名称1 | 余额查询 | 1 |
| A02 | APP名称2 | 明细查询 | 2 |
| A03 | APP名称3 | *** | 3 |
| A04 | APP名称4 | *** | 4 |
| A05 | APP名称* | *** | 5 |
| …… | …… | …… | …… |
| AN | APP名称* | *** | 7 |
根据本公开的实施例,如表1所示,功能权限信息存储单元332中可以存储有每一个应用中的功能,并对各个功能进行编号,形成该功能的功能编号(例如可以是A01、A02、……、AN)。
返回参考图4,根据本公开的实施例,在操作S401,例如可以是在用户使用一个用户名成功登录第一应用之后,点击终端设备上该第一应用的特定功能对应的按钮,例如可以是“转账”按钮,触发了访问请求,第一应用根据该访问请求生成访问信息,并向访问控制系统500发送该访问信息。
例如,特定功能可以包括第一应用本身提供的功能也可以包括第二应用嵌入在第一应用中的功能。
例如,访问信息可以包括特定功能的第一标识信息和当前用户的第二标识信息。特定功能的第一标识信息例如可以是表1所示的功能编号。当前用户的第二标识信息例如可以是注册信息存储单元312中存储的用户编号。
在操作S402,在一个实施方式中,例如可以是在第一标识信息和第二标识信息处于同一的等级情况下,确定当前用户具有访问特定功能的权限,以及在第一标识信息和第二标识信息处于不同的等级的情况下,确定当前用户不具有访问特定功能的权限。
在操作S403,例如可以是在确定当前用户具有访问特定功能的权限的情况下,允许当前用户访问该特定功能,当确定当前用户不具有访问特定功能的权限的情况下,不允许当前用户访问该特定功能。
根据本公开实施例,图2中的操作S402确定所述当前用户是否具有访问所述特定功能的权限。图6示意性示出了一种确定所述当前用户是否具有访问所述特定功能的权限的方法流程图。下面参考图6说明根据本公开实施例的操作S402的一种示例实施方式。
如图6所示,该操作S402可以包括操作S601~S603。
在操作S601,根据第二标识信息,确定当前用户的当前权限级别。
根据本公开的实施例,用户权限信息存储单元322中例如可以存储有在该访问控制系统500中注册过的用户的权限信息列表。该权限信息列表例如可以是下表2所示的结构。
表2
第二标识信息例如可以是表2中所示的用户编号。当前用户的当前权限级别例如可以是根据用户类型和用户当前认证方式确定的。例如当前用户在登录时使用了静态密码和生物识别认证后,终端设备和第一应用建立了会话连接。若当前用户在预设时间长度内未使用该会话连接,则访问控制系统控制当前用户的当前认证方式变更为“未认证”。
如表2所示,用户类型例如可以包括非实名用户、实名用户和绑卡用户。非实名用户例如可以包括用户仅通过手机号进行了注册,而未对用户姓名、用户的证件类型和证件号码进行认证。实名用户例如可以包括用户不仅通过手机号进行了注册,而且对用户姓名、用户的证件类型和证件号码进行的认证。绑卡用户例如可以包括用户在注册时不仅对手机号码、用户姓名、用户的证件类型和证件号码进行了认证,而且还绑定了银行卡,并且对银行卡进行了认证。用户当前的认证方式可以是用户本次登录第一应用采用的认证方式。用户设置的认证方式可以是用户在注册该当前用户时所设置的认证方式。如表2所示,访问控制系统提供的认证方式例如可以包括:静态密码、短信、手势认证以及生物识别认证。
在操作S601,例如当前用户的第二标识信息可以是001,根据该第二标识查询用户权限信息存储单元322可以确定当前用户的权限级别为1级。
接下来,在操作S602,根据所述第一标识信息,确定访问所述特定功能所需要的基准权限级别。
例如可以根据表1所示的列表查询访问该特定功能所需要的基准权限级别。例如,访问功能A01所需要的用户权限级别为1,而访问功能A04所需要的用户权限级别为4。
在操作S603,在当前权限级别大于基准权限级别的情况下,确定当前用户具有访问特定功能的权限;以及在当前权限级别小于等于基准权限级别的情况下,确定当前用户不具有访问特定功能的权限。
例如当前用户的用户编号003所确定的用户权限级别为3,特定功能的用户编号A02所确定的基准户权限级别为2,即当前用户的当前权限级别3大于基准权限级别2,确定所述当前用户具有访问特定功能A02的权限。又例如,当前用户的用户编号003所确定的用户权限级别为3,特定功能的用户编号A04所确定的基准户权限级别为4,即当前用户的当前权限级别3小于基准权限级别4,确定所述当前用户不具有访问特定功能A02的权限。
根据本公开的实施例,所述方法还包括在确定当前用户不具有访问特定功能的权限的情况下,向第一应用发送用于使当前权限级别升级的升级信息,以使在当前权限级别进行升级后,当前用户具有访问特定功能的权限。
图7示意性示出了根据本公开实施例的向第一应用发送用于使当前权限级别升级的升级信息的流程图。
如图7所示,该方法包括操作S701~S704。
在操作S701,根据第二标识信息,确定当前用户的当前用户类型。
例如,当前用户的用户编号003,根据上文所示例性示出的表2确定当前用户类型为非实名用户。
在操作S702,确定当前用户类型是否满足与基准权限级别相对应的用户类型。
例如用户所访问的特定功能的第一标识信息确定的基准权限级别为4。例如可以通过查询表1确定该基准权限级别4对应的用户类型为实名用户。
在操作S703,在当前用户类型不满足与基准权限级别相对应的用户类型的情况下,向第一应用发送用于使用户类型升级的升级信息。
例如在操作S701和操作S702所描述的情景中,当前用户的用户类型为非实名用户,而基准权限级别对应的用户类型为实名用户,确定当前用户类型不满足与基准权限级别相对应的用户类型。在该情况下,访问控制系统500可以向第一应用发送用于使用户类型升级的升级信息。
根据本公开的实施例,用于使用户类型升级的升级信息例如可以包括注册页面,使用户完善注册信息。例如可以对用户的姓名、证件类型和证件号码进行认证,以完善注册信息,使该当前用户的注册信息进一步完善,从而升级成实名用户。
在操作S704,在当前用户类型满足基准权限级别相对应的用户类型的情况下,确定多个认证方式中当前使用的认证方式不满足基准权限级别相对应的认证方式,并根据基准权限级别相对应的认证方式向第一应用发送用于使当前的认证方式升级的升级信息。
例如当前用户的用户类型为实名用户,基准权限级别对应的用户类型为实名用户,当前用户类型满足与基准权限级别相对应的用户类型,从而确定当前使用的认证方式不满足所述基准权限级别相对应的认证方式。
例如用户编号为005,特定功能编号为A05,查询表2可得该用户编号确定的当前认证方式为短信和手势认证,而查询表1可得该功能A05确定的基准用户权限级别为5,再次查询表2可得,用户权限级别为5需要经过静态密码和生物识别认证。因此,当前使用的认证方式(短信和手势)不满足基准权限级别相对应的认证方式(静态密码和生物识别)。从而向第一应用发送升级信息,使用户完成镜头密码和生物识别认证。
根据本公开另一些的实施例,特定功能包括多个应用中的第二应用嵌入第一应用中的功能。例如,第一应用中的“转账”功能可以是通过第二应用实现的。
在该些实施例中,在操作S403,基于确定结果控制当前用户访问特定功能包括:在当前用户具有访问特定功能的权限的情况下,获取与当前用户相关的用户信息;以及向第二应用发送用户信息,使得第二应用响应于接收到用户信息,允许当前用户访问所述特定功能。
例如可以是在当前用户具有访问“转账”功能的权限的情况下,获取当前用户的用户信息。第二应用接收到用户信息之后,与终端设备建立会话,使得用户能够无感登录第二应用,并允许用户在第一应用中使用内嵌的第二应用的“转账”功能。
图8示意性示出了根据本公开实施例的特定功能为第二应用嵌入第一应用中的功能时,操作S403实施方式的流程图。
下面结合图8和图5说明在特定功能包括多个应用中的第二应用嵌入第一应用中的功能的情况下的访问控制方法的实施方式。
根据本公开的实施例,如图5所示,访问控制系统500例如还可以包括用户信息加解密模块501和跳转安全管控模块401。用户信息加解密模块501存储有各个应用的密钥,由跳转安全管控模块401所使用。不同应用存储不同密钥,保证了密钥的安全性,一个应用的密钥丢失后,不影响其他应用的跳转。
跳转安全管控模块401可以包括跳转信息生成单元411、跳转信息安全管控单元421和加解密单元431。其中,信息存储模块302还可以包括跳转信息存储单元342。跳转安全管控模块401用于实现从一个应用跳转至另一个应用的自动认证及安全管控,满足用户应用跳转时,无需再次登录的需求。
其中,跳转信息生成单元411、跳转信息安全管控单元421和加解密单元431的功能在下文的实施例中进一步描述。
如图8所示,该方法包括操作S801~S805。
在操作S801,在当前用户具有访问特定功能的权限的情况下,基于第二标识信息,确定与当前用户相关的用户信息。
根据本公开的实施例,用户信息例如可以包括当前用户的用户名、当前用户编号、当前用户的头像、当前用户的银行卡账号等等。
在操作S802,使用第二应用的密钥对用户信息加密,获得加密信息,并根据加密信息生成访问请求记录,访问请求记录包括第一访问请求标识和当前时刻。
例如可以是跳转信息生成单元411调用用户信息加解密模块501,以获取第二应用的密钥,从而根据用户信息对用户信息进行加密。另外,跳转信息生成单元411例如可以根据加密信息、第一访问请求标识和当前时刻生成访问请求记录。第一访问请求标识例如可以是按照从一个应用跳转到另一个应用发生的时间的时间顺序生成的。当前时刻可以是当前跳转(从第一应用访问第二应用)发生的时间。根据本公开的实施例,访问请求记录还可以包括:第二应用的名称、记录状态等。记录状态可以是当前访问请求记录的有效性,初始值为有效,一旦后续该记录被读取,记录状态则变更为无效,以保证保证该条记录只能被读取一次,防止黑客攻击。
在操作S803和S804,例如可以是向第一应用发送第一访问请求标识。第一应用程序将第一访问请求标识转发到第二应用。确定接收到由第二应用返回的第一访问请求标识的时刻与当前时刻之间的时间间隔。例如可以是跳转信息安全管控单元421根据来自第二应用的第一访问请求标识查询跳转信息存储单元342,得到访问请求记录,从而获得到该访问请求发生时跳转信息存储单元342记录的当前时刻,进而确定该时间间隔。
在操作S805,在时间间隔小于预设阈值的情况下,允许所述当前用户访问所述特定功能,以及在时间间隔不大于预设阈值的情况下,不允许当前用户访问特定功能。
预设阈值例如可以设定为5秒、6秒等等,本申请对预设阈值不做限定。
根据本公开的实施例,该方法在时间间隔大于预设阈值的情况下,不允许当前用户访问该特定功能,从而至少部分地避免了黑客拦截用户信息,从而导致用户信息泄露,设置造成财产损失的问题。根据本公开的实施例,例如该访问请求标识是被黑客拦截后,又发送给第二应用的,则所需要的时间间隔较长,因此可以通过时间间隔来判断该访问是否是安全访问。
访问控制系统例如还可以访问请求记录中的记录状态是否为有效。如果为无效,则表明该访问存在异常,不允许第一应用调用第二应用。
在允许当前用户访问特定功能的情况下,例如可以通过加解密单元431对加密信息解密,获取与当前用户相关的用户信息。从而向第二应用发送该用户信息,使得第二应用响应于接收到用户信息,允许当前用户访问特定功能。
图9示意性示出了根据本公开另一实施例的访问控制方法的流程图。如图5所示,访问控制系统500还包括注册模块110。注册模块110为应用集群中的各个应用提供统一的注册功能。下面结合图9和图5示意性说明根据本公开另一实施例的访问控制方法。
如图9所示,在图2所示的操作S201之前,根据本公开实施例的访问控制方法还包括操作S901~S906。
在操作S901,响应于获取到来自多个应用中的第一应用的注册请求,向第一应用发送第一注册页面。
例如可以是,用户在终端设备上点击了第一应用的用户交互窗口中的“注册”按钮。第一应用将该注册请求发送到访问控制系统500。访问控制系统500的注册模块110响应于接收到该注册请求,向第一应用发送第一注册页面。第一注册页面例如可以是用于手机用户手机号的页面。
在操作S902,响应于接收针对第一注册页面的第一反馈信息,确定第一注册标识是否已经在应用集群中注册,其中反馈信息中包括第一注册标识。
第一注册标识例如可以是手机号。例如响应于接收到用户在终端设备上填写的手机号,确定该手机号是否在应用集群中注册过。
根据本公开的实施例,用户通过注册模块110注册的用户信息例如可以存储在注册信息存储单元312中。在接收到第一反馈信息的情况下,例如可以查询注册信息存储单元312以确定该手机号是否曾经注册过。
在操作S903,在确定第一注册标识未注册的情况下,向第一应用发送第二注册页面。
例如在某个手机号未注册过的情况下,向第一应用发送获取用户的用户姓名、证件类型和证件号码的页面,以获取用户的用户姓名、证件类型和证件号码。
在操作S904,响应于接收到第一应用针对第二注册页面的第二反馈信息,校验第二反馈信息是否正确。例如可以根据用户姓名、证件类型、证件号码来确定是否为同一用户,当确定为同一用户的情况下,确定第二反馈信息正确。
在操作S905,在第二反馈信息正确的情况下,根据第一反馈信息和第二反馈信息,建立并存储当前用户的用户信息。
例如可以是根据手机号、用户姓名、证件类型、证件号码建立当前用户的用户信息,并将用户信息存储于注册信息存储单元312中。
在操作S906,向第一应用发送用户信息,完成当前用户的注册,使得当前用户可以使用第一应用的至少部分功能。
图10示意性示出了根据本公开另一实施例的访问控制方法的流程图。下面结合图5所示的访问控制系统500和图10说明根据本公开另一实施例的访问控制方法。
如图10所示,该方法包括操作1000~1010。
在操作1000,例如可以是应用群组中的第一应用接收到用户的终端设备发起的登录请求。
在操作1001,例如可以是第一应用向访问控制系统500的用户信息认证模块301发送认证请求。
在操作1002和操作1003,例如可以执行如上文参考图2描述的操作S201,例如可以是身份认证单元311响应于接收到认证请求,根据认证请求中包括的当前用户的身份信息,查询注册信息存储单元312以确定由是否为首次登录。或者,认证请求中不包括身份信息,则确定当前用户为首次登录。
根据本公开的实施例,若确定当前用户不是首次登录,可以查询注册信息存储单元312以确定当前用户设置的用于登录多个应用的认证方式。
根据本公开的实施例,若确定当前用户是首次登录,例如可以确定认证方式为静态密码认证。
在操作1004和1005,例如可以执行上文参考图2描述的从操作S202,基于认证方式,向第一应用发送用户认证界面,以发起认证信息校验。
在操作1006,例如可以执行上文参考图2描述的从操作S203,例如可以是响应于获取到第一应用针对校验信息返回的认证信息,校验认证信息与注册信息存储单元312预先存储的认证信息是否一致,以确定所述当前用户是否具有登录第一应用的权限。
在操作1007,在认证成功后,例如可以是注册信息存储单元312和用户权限信息存储单元322对用户的认证状态、当前认证方式、用户的权限级别进行设置。其中,用户的认证状态可以用于表示用户是否是首次登录。
在操作1008,例如可以向第一应用发送用于询问用户是否设置其他认证方式的页面,使得用户进一步设置其他的认证方式。
在操作1009和1010,例如可以执行上文参考图2描述的操作S204,向第一应用发送认证信息。第一应用响应于所述认证信息,允许当前用户登录所述第一应用。
图11示意性示出了根据本公开另一实施例的访问控制方法的流程图。下面结合图5所示的访问控制系统500和图11说明根据本公开另一实施例的访问控制方法。
如图11所示,该方法包括操作1100~1114。
在操作1100,例如可以是用户点击了第一应用中的“余额查询”按钮。应用群组中的第一应用响应于该访问请求生成访问信息。该访问信息可以包括“余额查询”功能的第一标识信息和当前用户的第二标识信息。
在操作1101,例如可以执行上文参考图4描述的操作S401,接收来自第一应用的访问信息。
在操作1102和1103,例如可以执行上文参考图4描述的操作S402,例如可以根据第二标识信息,从用户权限信息存储单元322查询用户的当前权限级别,以及根据第一标识信息,从功能权限信息存储单元332查询该功能的基准权限级别。从而根据当前权限级别和基准权限级别确定当前用户是否具有访问特定功能的权限。
在操作1104,例如可以是在当前用户类型不满足与基准权限级别相对应的用户类型的情况下,执行操作1106~1009。
在操作1106,例如可以执行上文参考图7描述的操作S703,以引导用户补充注册信息。
在操作1107,例如可以是收集、校验注册信息。具体地,例如可以是收集用户的用户姓名、证件类型和证件号码等,并校验其正确性。
在操作1108和1109,例如可以是更新注册模块110中存储的用户注册信息以及注册信息存储单元312中的存储信息,以及更新用户类型。例如将“非实名用户”更新为“实名用户”。
在操作1105,例如可以是在当前用户类型满足与基准权限级别相对应的用户类型,而当前使用的认证方式不满足基准权限级别相对应的认证方式的情况下,执行操作1110。
在操作1110,例如可以是执行上文参考图7描述的操作S704,以引导用户升级当前使用的认证方式。
在操作1111,检查用户返回的认证信息的正确性。
在操作1112,在认证信息正确的情况下,例如可以更新用户权限信息存储单元322中的用户权限级别和当前使用的认证方式。
在操作1113和1114,例如可以是返回更新后的用户权限级别情况,使得用户能够使用该特定功能。
图12示意性示出了根据本公开另一实施例的访问控制方法的流程图。下面结合图5所示的访问控制系统500和图12说明根据本公开另一实施例的访问控制方法。
如图12所示,该方法包括操作1200~1214。
在操作1200,例如可以是用户点击了第一应用中的“转账”按钮,而“转账”功能是由第二应用实现的。应用群组中的第一应用响应于该访问请求生成访问信息。该访问信息可以包括“转账”功能的第一标识信息和当前用户的第二标识信息。
在操作1201,例如可以执行上文参考图4描述的操作S401,例如可以是跳转安全管控模块4接收来自第一应用的访问信息。
在操作1202,跳转安全管控模块4访问用户信息认证模块301,将访问信息发送到用户信息认证模块301。
在操作1203,例如可以是身份认证单元311检测用户权限级别是否满足基准权限级别。
在操作1204和1205,若当前用户的用户权限级别不满足基准权限级别,可以引导用户升级当前的权限级别。在当前用户的用户权限级别升级完成后,更新用户权限级别。
在操作1206和1207,例如可以执行上文参考图8所述的操作S801和S802例如可以是跳转安全管控模块4中的跳转信息生成单元41。
在操作1208,例如可以执行上文参考图8所述的操作S803,例如可以是跳转安全管控模块4向第一应用发送第一访问请求标识(即ID)。
在操作1209,第一应用向第二应用发送接收到的ID。
在操作1210,第二应用向访问控制系统500发送接收到的ID。
在操作1211,例如可以是由跳转信息安全管控单元421判断访问信息的有效性。例如可以执行参考图8所描述的操作S804和S805。
在操作1212,例如可以是在访问信息的有效性的情况下,即允许当前用户访问特定功能的情况下,通过加解密单元431对加密信息解密,获取与当前用户相关的用户信息。
在操作1213和操作1214,向第二应用发送用户信息,第二应用响应于接收到用户信息,允许当前用户使用该特定功能。
图13示意性示出了根据本公开的实施例的应用集群访问控制系统1300的方框图。
如图13所示,电子设备1300包括第一确定模块1310、第一发送模块1320、第二确定模块1330和第二发送模块1340。
第一确定模块1310,例如可以执行上文参考图2描述的操作S201,用于响应于接收到来自所述多个应用中的第一应用的认证请求,根据所述认证请求中包括的当前用户的身份信息,确定由所述当前用户设置的用于登录所述多个应用的认证方式。
第一发送模块1320,例如可以执行上文参考图2描述的操作S202,用于基于所述认证方式,向所述第一应用发送校验信息。
第二确定模块1330,例如可以执行上文参考图2描述的操作S203,用于响应于获取到所述第一应用针对所述校验信息返回的认证信息,基于所述认证信息确定所述当前用户是否具有登录所述第一应用的权限。以及
第二发送模块1340,例如可以执行上文参考图2描述的操作S204,用于在所述当前用户具有登录所述第一应用的权限的情况下,向所述第一应用发送所述认证信息,使所述第一应用响应于所述认证信息,允许所述当前用户登录所述第一应用。
其中,在所述当前用户成功登录所述第一应用的情况下,所述当前用户访问所述多个应用中除所述第一应用以外的其他应用无需认证。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一确定模块1310、第一发送模块1320、第二确定模块1330和第二发送模块1340中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一确定模块1310、第一发送模块1320、第二确定模块1330和第二发送模块1340中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一确定模块1310、第一发送模块1320、第二确定模块1330和第二发送模块1340中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图14示意性示出了根据本公开实施例的适于实现上文描述的方法的电子设备的方框图。图14示出的电子设备仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图14所示,根据本公开实施例的电子设备1400包括处理器1401,其可以根据存储在只读存储器(ROM)1402中的程序或者从存储部分1408加载到随机访问存储器(RAM)1403中的程序而执行各种适当的动作和处理。处理器1401例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器1401还可以包括用于缓存用途的板载存储器。处理器1401可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 1403中,存储有系统1400操作所需的各种程序和数据。处理器1401、ROM1402以及RAM1403通过总线1404彼此相连。处理器1401通过执行ROM 1402和/或RAM 1403中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 1402和RAM 1403以外的一个或多个存储器中。处理器1401也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备1400还可以包括输入/输出(I/O)接口1405,输入/输出(I/O)接口1405也连接至总线1404。电子设备1400还可以包括连接至I/O接口1405的以下部件中的一项或多项:包括键盘、鼠标等的输入部分1406;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1407;包括硬盘等的存储部分1408;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1409。通信部分1409经由诸如因特网的网络执行通信处理。驱动器1410也根据需要连接至I/O接口1405。可拆卸介质1411,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1410上,以便于从其上读出的计算机程序根据需要被安装入存储部分1408。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1409从网络上被下载和安装,和/或从可拆卸介质1411被安装。在该计算机程序被处理器1401执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 1402和/或RAM 1403和/或ROM 1402和RAM 1403以外的一个或多个存储器。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (7)
1.一种应用集群的访问控制方法,所述应用集群包括多个应用,所述方法包括:
响应于接收到来自所述多个应用中的第一应用的认证请求,根据所述认证请求中包括的当前用户的身份信息,确定由所述当前用户设置的用于登录所述多个应用的认证方式;
基于所述认证方式,向所述第一应用发送校验信息;
响应于获取到所述第一应用针对所述校验信息返回的认证信息,基于所述认证信息确定所述当前用户是否具有登录所述第一应用的权限;
在所述当前用户具有登录所述第一应用的权限的情况下,向所述第一应用发送所述认证信息,使所述第一应用响应于所述认证信息,允许所述当前用户登录所述第一应用,
其中,在所述当前用户成功登录所述第一应用的情况下,所述当前用户访问所述多个应用中除所述第一应用以外的其他应用无需认证;
接收来自所述第一应用的访问信息,所述访问信息是所述第一应用响应于接收到用于访问特定功能的访问请求而生成的,其中,所述访问信息包括所述特定功能的第一标识信息和所述当前用户的第二标识信息,所述特定功能包括将所述多个应用中的第二应用嵌入所述第一应用中的功能;
根据所述第一标识信息和所述第二标识信息,确定所述当前用户是否具有访问所述特定功能的权限,并生成确定结果;
在当前用户具有访问所述特定功能的权限的情况下,基于所述第二标识信息,确定与所述当前用户相关的用户信息;
使用所述第二应用的密钥对所述用户信息加密,获得加密信息,并根据所述加密信息生成访问请求记录,所述访问请求记录包括第一访问请求标识和当前时刻;
向所述第一应用发送所述第一访问请求标识,使所述第一应用程序将所述第一访问请求标识转发到所述第二应用;
响应于接收到由所述第二应用返回的第一访问请求标识,确定接收到由所述第二应用返回的第一访问请求标识的时刻与所述当前时刻之间的时间间隔;
在所述时间间隔小于预设阈值的情况下,允许所述当前用户访问所述特定功能,
在允许所述当前用户访问所述特定功能的情况下,对所述加密信息解密,获取与所述当前用户相关的用户信息。
2.根据权利要求1所述的方法,其中,所述根据所述第一标识信息和所述第二标识信息,确定所述当前用户是否具有访问所述特定功能的权限包括:
根据所述第二标识信息,确定所述当前用户的当前权限级别;
根据所述第一标识信息,确定访问所述特定功能所需要的基准权限级别;
在所述当前权限级别大于所述基准权限级别的情况下,确定所述当前用户具有访问所述特定功能的权限;以及在所述当前权限级别小于等于所述基准权限级别的情况下,确定所述当前用户不具有访问所述特定功能的权限。
3.根据权利要求2所述的方法,还包括:
在确定所述当前用户不具有访问所述特定功能的权限的情况下,向所述第一应用发送用于使所述当前权限级别升级的升级信息,以使在所述当前权限级别进行升级后,所述当前用户具有访问所述特定功能的权限。
4.根据权利要求3所述的方法,其中,所述认证方式包括多个认证方式,所述向所述第一应用发送用于使所述当前权限级别升级的升级信息包括:
根据所述第二标识信息,确定所述当前用户的当前用户类型;
确定所述当前用户类型是否满足与所述基准权限级别相对应的用户类型;
在所述当前用户类型不满足与所述基准权限级别相对应的用户类型的情况下,向所述第一应用发送用于使所述用户类型升级的升级信息;以及
在所述当前用户类型满足所述基准权限级别相对应的用户类型的情况下,确定所述多个认证方式中当前使用的认证方式不满足所述基准权限级别相对应的认证方式,并根据所述基准权限级别相对应的认证方式向所述第一应用发送用于使当前的认证方式升级的升级信息。
5.根据权利要求1所述的方法,还包括:
响应于获取到来自所述多个应用中的第一应用的注册请求,向所述第一应用发送第一注册页面;
响应于接收针对所述第一注册页面的第一反馈信息,确定第一注册标识是否已经在所述应用集群中注册,其中,所述反馈信息中包括第一注册标识;
在确定所述第一注册标识未注册的情况下,向所述第一应用发送第二注册页面;
响应于接收到所述第一应用针对所述第二注册页面的第二反馈信息,校验所述第二反馈信息是否正确;
在所述第二反馈信息正确的情况下,根据所述第一反馈信息和所述第二反馈信息,建立并存储当前用户的用户信息;以及
向所述第一应用发送所述用户信息,以完成注册。
6.一种应用集群的访问控制装置,所述应用集群包括多个应用,所述装置包括:
第一确定模块,用于响应于接收到来自所述多个应用中的第一应用的认证请求,根据所述认证请求中包括的当前用户的身份信息,确定由所述当前用户设置的用于登录所述多个应用的认证方式;
第一发送模块,用于基于所述认证方式,向所述第一应用发送校验信息;
第二确定模块,用于响应于获取到所述第一应用针对所述校验信息返回的认证信息,基于所述认证信息确定所述当前用户是否具有登录所述第一应用的权限;
第二发送模块,用于在所述当前用户具有登录所述第一应用的权限的情况下,向所述第一应用发送所述认证信息,使所述第一应用响应于所述认证信息,允许所述当前用户登录所述第一应用,
其中,在所述当前用户成功登录所述第一应用的情况下,所述当前用户访问所述多个应用中除所述第一应用以外的其他应用无需认证;
接收模块,用于接收来自所述第一应用的访问信息,所述访问信息是所述第一应用响应于接收到用于访问特定功能的访问请求而生成的,其中,所述访问信息包括所述特定功能的第一标识信息和所述当前用户的第二标识信息,所述特定功能包括将所述多个应用中的第二应用嵌入所述第一应用中的功能;
第三确定模块,用于根据所述第一标识信息和所述第二标识信息,确定所述当前用户是否具有访问所述特定功能的权限,并生成确定结果;以及
处理模块,用于在当前用户具有访问所述特定功能的权限的情况下,基于所述第二标识信息,确定与所述当前用户相关的用户信息;
使用所述第二应用的密钥对所述用户信息加密,获得加密信息,并根据所述加密信息生成访问请求记录,所述访问请求记录包括第一访问请求标识和当前时刻;
向所述第一应用发送所述第一访问请求标识,使所述第一应用程序将所述第一访问请求标识转发到所述第二应用;
响应于接收到由所述第二应用返回的第一访问请求标识,确定接收到由所述第二应用返回的第一访问请求标识的时刻与所述当前时刻之间的时间间隔;
在所述时间间隔小于预设阈值的情况下,允许所述当前用户访问所述特定功能,
在允许所述当前用户访问所述特定功能的情况下,对所述加密信息解密,获取与所述当前用户相关的用户信息。
7.一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如权利要求1~5中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910648406.3A CN110365684B (zh) | 2019-07-17 | 2019-07-17 | 应用集群的访问控制方法、装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910648406.3A CN110365684B (zh) | 2019-07-17 | 2019-07-17 | 应用集群的访问控制方法、装置和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110365684A CN110365684A (zh) | 2019-10-22 |
| CN110365684B true CN110365684B (zh) | 2022-02-22 |
Family
ID=68220270
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910648406.3A Active CN110365684B (zh) | 2019-07-17 | 2019-07-17 | 应用集群的访问控制方法、装置和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110365684B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110851819A (zh) * | 2019-11-20 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | 多应用的访问权限控制方法、装置及电子设备 |
| CN111209061B (zh) * | 2019-12-27 | 2024-04-30 | 广东德诚科教有限公司 | 用户信息的填写方法、装置、计算机设备和存储介质 |
| CN111818034A (zh) * | 2020-06-30 | 2020-10-23 | 中国工商银行股份有限公司 | 网络访问控制方法、装置、电子设备和介质 |
| JP2022057801A (ja) * | 2020-09-30 | 2022-04-11 | 株式会社リコー | サービス提供システム、情報処理システム、制御方法、プログラム |
| CN112347460A (zh) * | 2020-10-29 | 2021-02-09 | 深圳市裕展精密科技有限公司 | 用户权限管理方法、电子装置及存储介质 |
| CN112667367A (zh) * | 2020-12-22 | 2021-04-16 | 北京有竹居网络技术有限公司 | 一种多租户应用的跳转方法、装置、电子设备及存储介质 |
| CN113904825B (zh) * | 2021-09-29 | 2024-05-14 | 百融至信(北京)科技有限公司 | 一种多应用统一接入网关方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
| CN101894231A (zh) * | 2010-07-19 | 2010-11-24 | 上海三零卫士信息安全技术有限公司 | 权限扩展控制系统及其方法 |
| CN106453425A (zh) * | 2016-12-09 | 2017-02-22 | 郑州云海信息技术有限公司 | 一种多用户使用主机插件的权限管理方法及系统 |
| CN107888589A (zh) * | 2017-11-10 | 2018-04-06 | 恒宝股份有限公司 | 一种调用可信应用的方法及其系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101047508B (zh) * | 2007-01-15 | 2010-05-19 | 深圳市莱克科技有限公司 | 登录认证系统 |
| US20130067469A1 (en) * | 2011-09-14 | 2013-03-14 | Microsoft Corporation | Load Balancing By Endpoints |
| CN102880820B (zh) * | 2012-08-14 | 2017-11-17 | 东莞宇龙通信科技有限公司 | 一种移动终端应用程序访问方法及移动终端 |
| CN103152179A (zh) * | 2013-02-07 | 2013-06-12 | 江苏意源科技有限公司 | 一种适用于多应用系统的统一身份认证方法 |
| US10270759B1 (en) * | 2017-06-21 | 2019-04-23 | Mesosphere, Inc. | Fine grained container security |
| CN107682330B (zh) * | 2017-09-27 | 2020-10-23 | 广州市万表信息技术有限公司 | 统一认证方法和系统 |
-
2019
- 2019-07-17 CN CN201910648406.3A patent/CN110365684B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
| CN101894231A (zh) * | 2010-07-19 | 2010-11-24 | 上海三零卫士信息安全技术有限公司 | 权限扩展控制系统及其方法 |
| CN106453425A (zh) * | 2016-12-09 | 2017-02-22 | 郑州云海信息技术有限公司 | 一种多用户使用主机插件的权限管理方法及系统 |
| CN107888589A (zh) * | 2017-11-10 | 2018-04-06 | 恒宝股份有限公司 | 一种调用可信应用的方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110365684A (zh) | 2019-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110365684B (zh) | 应用集群的访问控制方法、装置和电子设备 | |
| US11431501B2 (en) | Coordinating access authorization across multiple systems at different mutual trust levels | |
| US10097350B2 (en) | Privacy enhanced key management for a web service provider using a converged security engine | |
| US9867043B2 (en) | Secure device service enrollment | |
| CN112422532B (zh) | 业务通信方法、系统、装置及电子设备 | |
| US11405207B2 (en) | Dynamic implementation and management of hash-based consent and permissioning protocols | |
| JP5795604B2 (ja) | アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置 | |
| US11044085B2 (en) | Method employed in user authentication system and information processing apparatus included in user authentication system | |
| US20100077467A1 (en) | Authentication service for seamless application operation | |
| US9544311B2 (en) | Secure identity propagation in a cloud-based computing environment | |
| CN113765906B (zh) | 终端应用程序的一键登录的方法、设备及系统 | |
| US20200322151A1 (en) | Apparatus and methods for secure access to remote content | |
| CN112491778A (zh) | 认证方法、装置、系统及介质 | |
| CN111669351B (zh) | 鉴权方法、业务服务器、客户端及计算机可读存储介质 | |
| US9361443B2 (en) | Method and apparatus for token-based combining of authentication methods | |
| US10771462B2 (en) | User terminal using cloud service, integrated security management server for user terminal, and integrated security management method for user terminal | |
| US9323911B1 (en) | Verifying requests to remove applications from a device | |
| KR20120067105A (ko) | 본인확인이 가능한 소셜 인증 로그인 시스템 및 그 제공방법 | |
| CN111355583B (zh) | 一种业务提供系统、方法、装置、电子设备及存储介质 | |
| US10798077B1 (en) | Securely authenticating untrusted operating environments | |
| CN113051035A (zh) | 一种远程控制方法、装置、系统及宿主机 | |
| KR20210037722A (ko) | 인증 방법, 보조 인증 컴포넌트, 관리 서버 및 컴퓨터 판독 가능 매체 | |
| CN114553570B (zh) | 生成令牌的方法、装置、电子设备及存储介质 | |
| KR20140023085A (ko) | 사용자 인증 방법, 인증 서버 및 사용자 인증 시스템 | |
| CN118337519A (zh) | 认证方法、装置、服务器、介质及产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |