CN110839027A - 用户的认证方法、装置、代理服务器和网络服务系统 - Google Patents
用户的认证方法、装置、代理服务器和网络服务系统 Download PDFInfo
- Publication number
- CN110839027A CN110839027A CN201911112747.5A CN201911112747A CN110839027A CN 110839027 A CN110839027 A CN 110839027A CN 201911112747 A CN201911112747 A CN 201911112747A CN 110839027 A CN110839027 A CN 110839027A
- Authority
- CN
- China
- Prior art keywords
- processing
- user
- sending
- request
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本公开涉及一种用户的认证方法、装置、代理服务器和网络服务系统,涉及计算机技术领域。该方法包括:响应于接收到终端通过用户的虚拟账号发来的操作请求,根据虚拟账号判断用户是否具有处理系统的相应权限;在用户具有相应权限的情况下,将操作请求发送给处理系统;将处理系统返回的处理结果发送给终端。
Description
技术领域
本公开涉及计算机技术领域,特别涉及一种用户的认证方法、用户的认证装置、代理服务器、网络服务系统和计算机可读存储介质。
背景技术
随着电子政务、电子商务等网络服务的普及,网络服务系统的功能不断增加,系统应用需要承载的服务和功能也越来越多。网络服务系统的复杂度的不断增高,需要为系统配置用户的访问控制权限以保证系统安全。
在相关技术中,在服务系统的源码中基于服务系统的用户信息,开发高度定制化的访问控制权限。
发明内容
本公开的发明人发现上述相关技术中存在如下问题:将服务系统的用户信息暴露于外,导致系统安全性降低。
鉴于此,本公开提出了一种用户的认证技术方案,能够提高系统的安全性。
根据本公开的一些实施例,提供了一种用户的认证方法,包括:响应于接收到终端通过用户的虚拟账号发来的操作请求,根据虚拟账号判断用户是否具有处理系统的相应权限;在用户具有相应权限的情况下,将操作请求发送给处理系统;将处理系统返回的处理结果发送给终端。
在一些实施例中,相应权限包括用户对处理系统的访问权限和操作权限。
在一些实施例中,在用户具有相应权限的情况下,将操作请求发送给处理系统包括:在用户具有访问权限的情况下,根据虚拟账号获取用户的操作权限;根据操作权限处理操作请求;将处理后的操作请求发送给处理系统,以便获取处理系统返回的处理结果。
在一些实施例中,该方法还包括:根据处理系统能够提供的处理业务,将操作请求分为系统处理请求和非系统处理请求;对非系统处理请求进行处理,以获取第一处理结果。
在一些实施例中,将操作请求发送给处理系统包括:将第一处理结果和系统处理请求发送给处理系统。
在一些实施例中,该方法还包括:将获取的处理系统返回的第二处理结果发送给终端;根据用户的需求,对第二处理结果进行处理,以获取第三处理结果;将第三处理结果发送给终端。
在一些实施例中,该方法还包括:在处理系统的处理业务无法满足操作请求的情况下,将操作请求发送给扩展系统进行处理,扩展系统根据操作请求相应的用户需求开发。
在一些实施例中,将操作请求发送给扩展系统进行处理包括:根据扩展系统的唯一标识,获取路由信息;根据路由信息,将操作请求发送给扩展系统进行处理。
在一些实施例中,该方法还包括:响应于接收到终端通过用户的虚拟账号发来的第一登录请求,根据虚拟账号与系统账号的关联信息,获取虚拟账号关联的系统账号;根据系统账号,生成第二登录请求;将第二登录请求发送给处理系统进行认证,以便确定是否允许终端登录。
在一些实施例中,将第二登录请求发送给处理系统进行认证,以便确定是否允许终端登录包括:响应于接收到处理系统返回的系统账号的第一认证失败信息,根据虚拟账号,生成第二认证失败信息;将第二认证失败信息发送给终端。
在一些实施例中,认证方法在代理服务器中执行,虚拟账号为代理账号。
根据本公开的另一些实施例,提供一种用户的认证装置,包括:判断单元,用于响应于接收到终端通过用户的虚拟账号发来的操作请求,根据虚拟账号判断用户是否具有处理系统的相应权限;发送单元,用于在用户具有相应权限的情况下,将操作请求发送给处理系统,将处理系统返回的处理结果发送给终端。
在一些实施例中,相应权限包括用户对处理系统的访问权限和操作权限。
在一些实施例中,发送单元在用户具有访问权限的情况下,根据虚拟账号获取用户的操作权限;根据操作权限处理操作请求;将处理后的操作请求发送给处理系统,以便获取处理系统返回的处理结果。
在一些实施例中,该装置还包括处理单元,用于根据处理系统能够提供的处理业务,将操作请求分为系统处理请求和非系统处理请求;对非系统处理请求进行处理,以获取第一处理结果。
在一些实施例中,发送单元将第一处理结果和系统处理请求发送给处理系统。
在一些实施例中,发送单元将获取的处理系统返回的第二处理结果发送给终端;处理单元根据用户的需求,对第二处理结果进行处理,以获取第三处理结果;发送单元将第三处理结果发送给终端。
在一些实施例中,发送单元在处理系统的处理业务无法满足操作请求的情况下,将操作请求发送给扩展系统进行处理,扩展系统根据操作请求相应的用户需求开发。
在一些实施例中,发送单元根据扩展系统的唯一标识,获取路由信息;根据路由信息,将操作请求发送给扩展系统进行处理。
在一些实施例中,该装置还包括处理单元,用于响应于接收到终端通过用户的虚拟账号发来的第一登录请求,根据虚拟账号与系统账号的关联信息,获取虚拟账号关联的系统账号;根据系统账号,生成第二登录请求;发送单元将第二登录请求发送给处理系统进行认证,以便确定是否允许终端登录。
在一些实施例中,处理单元响应于接收到处理系统返回的系统账号的第一认证失败信息,根据虚拟账号,生成第二认证失败信息;发送单元将第二认证失败信息发送给终端。
在一些实施例中,该认证装置设置在代理服务器中,虚拟账号为代理账号。
根据本公开的又一些实施例,提供一种用户的认证装置,包括:存储器;和耦接至存储器的处理器,处理器被配置为基于存储在存储器装置中的指令,执行上述任一个实施例中的用户的认证方法。
根据本公开的再一些实施例,提供一种代理服务器,包括:上述任一个实施例中的用户的认证装置。
根据本公开的再一些实施例,提供一种网络服务系统,包括:上述任一个实施例中的代理服务器;处理系统,用于处理终端发来的用户的操作请求。
根据本公开的再一些实施例,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一个实施例中的用户的认证方法。
在上述实施例中,将权限控制功能设置在处理系统以外,并根据用户的虚拟账号进行权限控制。这样,能够保证处理系统中的系统密码等用户信息不向外泄露,从而提高系统的安全性。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开:
图1示出本公开的用户的认证方法的一些实施例的流程图;
图2示出本公开的用户的认证方法的一些实施例的示意图;
图3示出本公开的用户的认证方法的另一些实施例的示意图;
图4示出本公开的用户的认证方法的又一些实施例的示意图;
图5示出本公开的用户的认证方法的再一些实施例的示意图;
图6示出本公开的用户的认证方法的再一些实施例的示意图;
图7示出本公开的用户的认证方法的再一些实施例的示意图;
图8示出本公开的用户的认证装置的一些实施例的示意图;
图9示出本公开的用户的认证装置的一些实施例的框图;
图10示出本公开的用户的认证装置的另一些实施例的框图;
图11示出本公开的用户的认证装置的又一些实施例的框图;
图12示出本公开的代理服务器的一些实施例的框图;
图13示出本公开的网络服务系统的一些实施例的框图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1示出本公开的用户的认证方法的一些实施例的流程图。
如图1所示,该方法包括:步骤S11,判断用户是否具有相应的权限;步骤S12,发送操作请求;和步骤S13,发送处理结果。
在步骤S11中,响应于接收到终端通过用户的虚拟账号发来的操作请求,根据虚拟账号判断用户是否具有处理系统的相应权限。例如,认证方法在代理服务器中执行,虚拟账号为代理账号。
在步骤S12中,在用户具有相应权限的情况下,将操作请求发送给处理系统。
在一些实施例中,客户端(终端)的操作请求会经过代理服务器,对请求处理之后会继续转发到目标系统(处理系统),目标系统的响应数据也会经过代理服务器处理后,返回至客户端。
例如,相应权限包括用户对处理系统的访问权限和操作权限。例如,在用户具有访问权限的情况下,根据虚拟账号获取用户的操作权限;根据操作权限处理操作请求;将处理后的操作请求发送给处理系统,以便获取处理系统返回的处理结果。
在步骤S13中,将处理系统返回的处理结果发送给终端。
在一些实施例中,可以通过图2中的实施例执行上述步骤。
图2示出本公开的用户的认证方法的一些实施例的示意图。
如图2所示,代理服务器中安装有用户的认证装置,认证装置可以包括代理模块和管控模块。图中虚线箭头为各装置、模块、系统的返回操作。
在事件210中,客户端向代理模块发送用户的操作请求。例如,用户通过客户端设备发送操作请求,代理服务器将请求进行拦截处理。
在事件220中,代理模块向管控模块查询代理账号的白名单信息。
在事件230中,管控模块向代理模块返回白名单信息。
在事件240中,代理模块根据白名单信息对该用户的代理账号进行认证。
在一些实施例中,代理服务器中的管控模块查询当前请求的代理账号信息所对应的访问控制策略信息(如白名单信息)。若判断访问已被授权准许操作,则将操作请求数据转发给目标系统;若不允许进行操作则代理服务器系统向客户端设备返回拒绝访问的结果。
在事件250中,在通过认证的情况下,代理模型向管控模块查询该代理账号对当前操作请求的操作权限信息。
在事件260中,管控模块向代理模块返回操作权限信息。
在事件270中,代理模块根据操作权限信息对操作请求进行处理,生成限制操作请求。例如,用户的操作请求为访问两项数据,但是其权限只允许访问其中一项数据。在这种情况下,将操作请求处理为访问一项数据。
访问控制判断通过之后,代理模块通过管控模块查询出对当前的操作请求的限制。例如,代理模块可以通过管控模块查询当前用户的数据权限信息,并将数据权限信息附加到用户的查询请求中,以限制用户可查询的数据。
在事件280中,代理模块将限制操作请求发送给目标系统。
在事件290中,目标系统将处理结果返回代理模块。
在事件295中,代理模块将处理结果返回客户端。
在一些实施例中,根据处理系统能够提供的处理业务,将操作请求分为系统处理请求和非系统处理请求;对非系统处理请求进行处理,以获取第一处理结果;将第一处理结果和所述系统处理请求发送给处理系统。
例如,将获取的处理系统返回的第二处理结果发送给终端;根据用户的需求,对第二处理结果进行处理,以获取第三处理结果;将第三处理结果发送给终端。
在一些实施例中,可以通过图3的实施例对处理系统无法提供的处理业务进行处理。
图3示出本公开的用户的认证方法的另一些实施例的示意图。
如图3所示,在事件310中,客户端向代理模块发送用户的操作请求。
在事件315中,代理模块解析代理请求,并对用户权限进行认证。例如,根据处理系统能够提供的处理业务,将操作请求分为系统处理请求和非系统处理请求。
在事件320中,代理模块向代理服务器的数据分析模块发送解析结果。
在事件325中,数据分析模块向代理模块返回处理结果。
在一些实施例中,代理服务器的数据分析模块具有数据存储功能,能够将用户发送的待处理数据进行落地存储。例如,数据分析模块支持数据块存储、文件存储、数据库存储、分布式存储、对象存储、缓存存储、内存存储等多种存储模式。
在一些实施例中,数据分析模块利用大数据、人工智能、科学数据处理等数据分析技术,针对用户的需求对请求数据做分析处理。
例如,目标系统为文件下载网站,用户的操作请求是在不改变原目标系统的情况下,获得某格式图片类型文件的一周下载量统计。目标系统不具有统计功能,在这种情况下,代理服务器的数据处理模块能够记录目标系统上该类型文件一周的访问数据,并统计出下载总量。
在事件330中,代理模块将数据分析模块返回的处理结果和操作请求发送给目标系统。
在事件335中,目标系统向代理模块返回处理结果。
在事件340中,代理模块将目标系统的处理结果发送给数据分析模块进行进一步处理。
在事件345中,数据分析模块将最终处理结果返回代理模块。
在事件350中,代理模块将最终处理结果返回客户端。
在一些实施例中,数据分析模块提供请求数据分析结果的查询接口,客户端可以利用接口进行查询数据分析的结果等相关数据。
例如,在事件355中,客户端向代理模块发送查询请求。
在事件360中,代理模块向数据分析模块发送查询请求。
在事件365中,数据分析模块向代理模块返回查询请求相应的数据处理结果。
在事件370中,代理模块向客户端返回数据处理结果。
在一些实施例中,在处理系统的处理业务无法满足所述操作请求的情况下,将操作请求发送给扩展系统进行处理,扩展系统根据操作请求相应的用户需求开发。例如,根据扩展系统的唯一标识,获取路由信息;根据路由信息,将操作请求发送给扩展系统进行处理。例如,可以通过图4中的实施例实现上述功能。
图4示出本公开的用户的认证方法的又一些实施例的示意图。
如图4所示,在事件410中,客户端向代理模块发送操作请求。
在事件420中,代理模块对操作请求进行解析和认证。
在事件430中,代理模块将向代理服务器的功能扩展模块发送路由信息获取请求。
在一些实施例中,可以依据新的用户需求,在代理服务器上开发新的系统功能作为扩展系统。这样,可以在不改变原有目标系统代码的情况下,实现对原有目标系统功能的扩展。
在事件440中,功能扩展模块向代理模块返回路由信息。例如,可以对扩展系统分配唯一路由标识,用于代理服务器转发请求。
在一些实施例中,可以在用户的请求数据中对扩展功能的请求进行标识。代理服务器在请求数据中检测到对扩展功能进行请求的标识后,自动将请求转发到处理该扩展功能的扩展系统。
在事件450中,代理模块根据路由信息,将操作请求发送给扩展系统(新增的系统功能)。
在一些实施例中,对新功能进行调用的操作请求被代理服务器拦截处理;代理服务器向功能扩展模块发送路由查询请求,并获得请求的路由信息;代理服务器系统将请求转发到相应的扩展系统。
在事件460中,扩展系统向代理模块返回处理结果。
在事件470中,代理模块向客户端返回处理结果。
在一些实施例中,响应于接收到终端通过用户的虚拟账号发来的第一登录请求,根据虚拟账号与系统账号的关联信息,获取虚拟账号关联的系统账号;根据系统账号,生成第二登录请求;将第二登录请求发送给处理系统进行认证,以便确定是否允许终端登录。例如,可以通过图5中的实施例实现。
图5示出本公开的用户的认证方法的再一些实施例的示意图。
如图5所示,在事件510中,客户端向代理模块发送代理账号的登录请求。
在一些实施例中,在事件510之前,管控模块可以为用户创建代理账号(虚拟账号),并初始化目标系统的部分系统账号信息;管控模块对用户的代理账号和系统账号进行绑定,并可以进行分组权限配置。这样,用户可以使用代理账号进行登录操作。
在一些实施例中,用户通过客户端,使用在代理服务器系统中的代理账号进行登录操作。例如,用户输入代理账号的用户名和登录口令。用户还可以输入多因子认证凭据,如证书、生物信息、验证码、IP地址段等。代理服务器拦截用户通过客户端向目标系统发送的登录请求。
在事件515中,代理模块向管理模块发送获取代理账号的相应系统账号的查询请求。
在事件520中,管控模块对代理账号进行认证。
在事件525中,管控模块通过认证后,查询代理账号的相应系统账号。
在事件530中,管控模块向代理模块返回系统账号。
在事件535中,代理模块使用系统账号替换登录请求中的代理账号,生成系统账号的登录请求。
在事件540中,代理模块向目标系统发送系统账号的登录请求进行认证。
在一些实施例中,代理服务器收到登录请求之后,通过管控模块进行代理账号的认证处理。代理服务器判断用户账号的登录口令和其它多因此认证凭证是否在有效期内以及是否有效。用户登录认证通过后,代理服务器将目标系统的真实账号替换代理账号信息,形成新的登录认证信息。
在一些实施例中,代理服务器将新登录认证信息发送到目标系统进行二次认证。在此阶段,代理服务器可以利用向代理的方式处理用户账号数据。
在事件545中,目标系统通过系统账号的登录请求的认证。
在事件550中,目标系统向代理模块返回系统账号的认证结果。
在事件555中,代理模块向客户端返回认证结果。
在一些实施例中,响应于接收到处理系统返回的系统账号的第一认证失败信息,根据虚拟账号,生成第二认证失败信息;将第二认证失败信息发送给终端。例如,可以通过图6中的实施例实现。
图6示出本公开的用户的认证方法的再一些实施例的示意图。
如图6所示,在事件610中,客户端向代理模块发送代理账号的登录请求。例如,用户利用客户端使用在管控模块中维护的代理账号进行登录操作。
在事件615中,代理模块向管控模块发送代理账号的对应系统账号的查询请求。
在事件620中,管控模块对代理账号进行认证。
在事件625中,管控模块通过认证后,查询对应系统账号。
在事件630中,管控模块向代理模块返回系统账号信息。
在事件635中,代理模块使用系统账号替换登录请求中的代理账号,生成系统账号的登录请求。
在一些实施例中,代理服务器收到登录请求之后,通过管控模块相关的权限信息接口进行代理账号的认证;认证通过后代理模块收到相对应的系统账号信息。
在事件640中,代理模块向目标系统发送系统账号的登录请求。
在事件645中,目标系统对系统账号认证失败。
在事件650中,目标系统向代理模块返回系统账号的认证结果。例如,系统账号信息有误,经目标系统认证后会返回认证失败的提示
在事件655中,代理模块将认证结果中的系统账号替代为代理账号,生成代理账号的认证结果。例如,代理模块将返回的提示信息替换为用户更清楚的认证错误信息。
在事件660中,代理模块向客户端返回代理账号的认证结果。
在一些实施例中,代理模块没有通过代理账号的登录请求,可以通过图7中的实施例实现。
图7示出本公开的用户的认证方法的再一些实施例的示意图。
如图7所示,在事件710中,客户端向代理模块发送代理账号的登录请求。例如,用户利用客户端使用在管控模块中维护的代理账号进行登录操作。
在事件720中,代理模块向管控模块发送代理账号的对应系统账号的查询请求。
在事件730中,管控模块对代理账号进行认证,认证失败。
在事件740中,管控模块向代理模块返回代理账号的认证结果。例如,返回的系统账号信息为空。代理模块收到登录请求之后,如果用户提供的代理账号有误,管控模块也可以不返回相关的系统账号信息。
在事件750中,代理模块生成认证结果的提示信息。
在事件760中,代理模块向客户端返回认证结果及其提示信息。例如,返回的系统账号信息为空,代理模块直接返回认证失败信息。
在上述实施例中,用户的权限控制策略为基于角色(虚拟账号)的访问控制。基于角色的访问控制是通过对角色的访问进行的控制,使权限与角色相关联。用户通过成为适当角色的成员而得到其角色的权限。基于角色的访问控制是使用最为广泛的访问控制策略。
上述实施例的方法应用了与权限控制模块解耦的实现手段。系统应用只依据系统通用的安全准则,提供基础的访问控制权限;将用户个性化细粒度的访问控制需求单独分离为单独模块(如代理服务器中的认证装置)。这种实现手段不仅仅简化开发流程和开发周期,也使得分离出来的访问控制模块可以适用于更多系统。
在一些实施例中,基于代理实现的权限控制系统就是一种与系统应用相解耦的权限控制方法。该方法能够对http(Hyper Text Transfer Protocol,超文本转移协议)、ftp(File Transfer Protocol,文件传输协议)、tcp(Transmission Control Protocol,传输控制协议)等请求进行拦截处理。
在一些实施例中,该方法能够支持软件和硬件两种代理实现,在代理的基础上实现基于角色的访问控制。同时,基于用户账户的代理,可以解决目标系统的账户密码的保密性问题。做到了目标系统与目标系统账户的双重代理。
在一些实施例中,该方法增加了对操作请求的数据分析,对请求进行相关的解析,存储,分析。
在一些实施例中,该方法能够提供出系统当前请求状态更直观的数据。在代理的基础上,通过路由功能,可以对目标系统进行无侵入的功能添加,极大的方便系统的快速扩展。
图8示出本公开的用户的认证装置的一些实施例的示意图。
如图8所示,认证装置可以安装在部署在用户客户端与目标系统服务端中间的代理服务器上。认证装置可以包括代理模块(包括正向代理和反向代理模块)、管控模块、数据分析模块、功能扩展模块、协议解析模块。
经过网络路径配置,客户端必须经过代理服务器来访问目标系统,而不能直接访问目标系统。目标系统处理完成客户端请求之后,对请求的回复,也经过网络路径配置,必须经过代理服务器处理之后返回给客户端。
正向代理模块主要负责账号的代理功能;反向代理模块为对目标系统的代理功能;协议解析模块负责对代理收到的各类协议的解析以获得请求或者响应中数据;管控模块负责代理及目标系统账户的管理,代理账户的权限管理等等;功能扩展模块负责处理对于新增的功能的操作请求处理(发送到扩展系统等)。代理模块中可以设置有判断单元、发送单元。
管控模块(可以包含处理单元、发送单元)还可以管控存储目标系统的部分用户账号,并将用户账号与代理账号做映射。一个目标系统的真实账号(系统账号)可以对应多个代理账号。
用户登录处理系统时,正向代理模块将代理账号信息替换为目标系统的真实账号信息。这样,既能保证用户可以正常登陆目标系统,也保护了目标系统账户的密码等敏感信息。
管控模块实现支持权限管理服务的管控服务,以实现对代理账户和目标系统账户的管理,以及实现对代理账户的权限管理。例如,基于白名单机制的访问权限管理,对用户的查询、修改等操作进行行为操作级别细粒度权限控制等。
数据分析模块(可以包含处理单元、发送单元)提供数据分析服务,基于流数据处理技术,对流经代理服务器的数据。数据可以包括用户请求、系统应答等关键数据等。数据分析模块对数据以及数据产生的影响结果进行解析、分析、存储,从而挖掘大量数据流中包含的数据价值。数据分析模块可以对数据分析的中间结果和分析结果数据进行存储,分析的数据例如近几分钟内最多的前几个请求,最近几分钟的响应状态等。
功能扩展模块(可以包含处理单元、发送单元)实现功能扩展服务,实现对目标系统的无侵入的功能扩展。对于一些不能进行更改的目标系统,如厂商已不支持、代码无存留、专用硬件已不能获得支持等等情况等。无侵入式的目标系统功能扩展使目标系统继续适应新的业务发展需求成为可能。
客户端的请求经过代理的拦截和处理之后,继续发往目标系统进行处理。若请求需要原目标系统的功能,则判断用户是否有权限。无权限时不发往目标系统处理;有权限时发向目标系统进行处理。
对于目标系统返回的数据结果,代理服务器可以判断数据的敏感性与用户的角色是否匹配。若匹配则将数据结果返回给用户;若用户请求需要数据分析或扩展系统的功能,则代理服务器直接处理请求并返回结果数据。
在一些实施例中,认证装置的协议解析模块可以支持三层代理。例如,三层代理可以包括应用层、传输层和会话层代理。协议解析模块能够对http、ftp、tcp、udp(UserDatagram Protocol,用户数据报协议)、socks5等协议进行解析,从而提取到用户的请求信息及服务的响应信息,并做出相应管控处理。
双向代理服务器支持软件和硬件的实现。例如,软件实现包括以系统服务的形式并以系统进程的方式运行在双向代理服务器上;硬件实现包括利用FPGA(FieldProgrammable Gate Array,现场可编程逻辑门阵列)等硬件处理速度快的特点将协议解析、数据计算等格式化的数据处理任务发送给FPGA处理硬件,实现双向代理服务器性能提升。
图9示出本公开的用户的认证装置的一些实施例的框图。
如图9所示,用户的认证装置9包括判断单元91、发送单元92。
判断单元91响应于接收到终端通过用户的虚拟账号发来的操作请求,根据虚拟账号判断用户是否具有处理系统的相应权限;发送单元92在用户具有相应权限的情况下,将操作请求发送给处理系统,将处理系统返回的处理结果发送给终端。
在一些实施例中,相应权限包括用户对处理系统的访问权限和操作权限。发送单元92在用户具有访问权限的情况下,根据虚拟账号获取用户的操作权限;根据操作权限处理操作请求;将处理后的操作请求发送给处理系统,以便获取处理系统返回的处理结果。
在一些实施例中,认证装置9还包括处理单元93,用于根据处理系统能够提供的处理业务,将操作请求分为系统处理请求和非系统处理请求;对非系统处理请求进行处理,以获取第一处理结果。
在一些实施例中,发送单元92将第一处理结果和系统处理请求发送给处理系统。
在一些实施例中,发送单元92将获取的处理系统返回的第二处理结果发送给终端;处理单元93根据用户的需求,对第二处理结果进行处理,以获取第三处理结果;发送单元92将第三处理结果发送给终端。
在一些实施例中,发送单元92在处理系统的处理业务无法满足操作请求的情况下,将操作请求发送给扩展系统进行处理,扩展系统根据操作请求相应的用户需求开发。
在一些实施例中,发送单元92根据扩展系统的唯一标识,获取路由信息;根据路由信息,将操作请求发送给扩展系统进行处理。
在一些实施例中,处理单元93,用于响应于接收到终端通过用户的虚拟账号发来的第一登录请求,根据虚拟账号与系统账号的关联信息,获取虚拟账号关联的系统账号;根据系统账号,生成第二登录请求;发送单元92将第二登录请求发送给处理系统进行认证,以便确定是否允许终端登录。
在一些实施例中,处理单元93响应于接收到处理系统返回的系统账号的第一认证失败信息,根据虚拟账号,生成第二认证失败信息;发送单元92将第二认证失败信息发送给终端。
在一些实施例中,认证装置9设置在代理服务器中,虚拟账号为代理账号。
图10示出本公开的用户的认证装置的另一些实施例的框图。
如图10所示,该实施例的用户的认证装置10包括:存储器101以及耦接至该存储器101的处理器102,处理器102被配置为基于存储在存储器101中的指令,执行本公开中任意一个实施例中的方法。
其中,存储器101例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序、数据库以及其他程序等。
图11示出本公开的用户的认证装置的又一些实施例的框图。
如图11所示,该实施例的用户的认证装置11包括:存储器1110以及耦接至该存储器1110的处理器1120,处理器1120被配置为基于存储在存储器1110中的指令,执行前述任意一个实施例中的用户的认证方法。
存储器1110例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序以及其他程序等。
用户的认证装置11还可以包括输入输出接口1130、网络接口1140、存储接口1150等。这些接口1130、1140、1150以及存储器1110和处理器1120之间例如可以通过总线1160连接。其中,输入输出接口1130为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口1140为各种联网设备提供连接接口。存储接口1150为SD卡、U盘等外置存储设备提供连接接口。
图12示出本公开的代理服务器的一些实施例的框图。
如图12所示,代理服务器12包括上述任一个实施例中的用户的认证装置121。
图13示出本公开的网络服务系统的一些实施例的框图。
如图13所示,网络服务系统13包括:上述任一个实施例中的代理服务器131;处理系统132,用于处理终端发来的用户的操作请求。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质上实施的计算机程序产品的形式。
至此,已经详细描述了根据本公开的用户的认证方法、用户的认证装置、代理服务器、网络服务系统和计算机可读存储介质。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本公开的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。
Claims (14)
1.一种用户的认证方法,包括:
响应于接收到终端通过用户的虚拟账号发来的操作请求,根据所述虚拟账号判断所述用户是否具有处理系统的相应权限;
在所述用户具有所述相应权限的情况下,将所述操作请求发送给所述处理系统;
将所述处理系统返回的处理结果发送给所述终端。
2.根据权利要求1所述的认证方法,其中,
所述相应权限包括所述用户对所述处理系统的访问权限和操作权限;
所述在所述用户具有所述相应权限的情况下,将所述操作请求发送给所述处理系统包括:
在所述用户具有所述访问权限的情况下,根据所述虚拟账号获取所述用户的操作权限;
根据所述操作权限处理所述操作请求;
将处理后的操作请求发送给所述处理系统,以便获取所述处理系统返回的处理结果。
3.根据权利要求1所述的认证方法,还包括:
根据所述处理系统能够提供的处理业务,将所述操作请求分为系统处理请求和非系统处理请求;
对所述非系统处理请求进行处理,以获取第一处理结果;
其中,所述将所述操作请求发送给所述处理系统包括:
将所述第一处理结果和所述系统处理请求发送给所述处理系统。
4.根据权利要求3所述的认证方法,还包括:
将获取的所述处理系统返回的第二处理结果发送给所述终端;
根据所述用户的需求,对所述第二处理结果进行处理,以获取第三处理结果;
将所述第三处理结果发送给所述终端。
5.根据权利要求1所述的认证方法,还包括:
在所述处理系统的处理业务无法满足所述操作请求的情况下,将所述操作请求发送给扩展系统进行处理,所述扩展系统根据所述操作请求相应的用户需求开发。
6.根据权利要求5所述的认证方法,其中,所述将所述操作请求发送给所述扩展系统进行处理包括:
根据所述扩展系统的唯一标识,获取所述路由信息;
根据所述路由信息,将所述操作请求发送给所述扩展系统进行处理。
7.根据权利要求1所述的认证方法,还包括:
响应于接收到所述终端通过用户的虚拟账号发来的第一登录请求,根据所述虚拟账号与系统账号的关联信息,获取所述虚拟账号关联的系统账号;
根据所述系统账号,生成第二登录请求;
将所述第二登录请求发送给所述处理系统进行认证,以便确定是否允许所述终端登录。
8.根据权利要求7所述的认证方法,其中,所述将所述第二登录请求发送给所述处理系统进行认证,以便确定是否允许所述终端登录包括:
响应于接收到所述处理系统返回的所述系统账号的第一认证失败信息,根据所述虚拟账号,生成第二认证失败信息;
将所述第二认证失败信息发送给所述终端。
9.根据权利要求1-8任一项所述的认证方法,其中,
所述认证方法在代理服务器中执行,所述虚拟账号为代理账号。
10.一种用户的认证装置,包括:
判断单元,用于响应于接收到终端通过用户的虚拟账号发来的操作请求,根据所述虚拟账号判断所述用户是否具有处理系统的相应权限;
发送单元,用于在所述用户具有所述相应权限的情况下,将所述操作请求发送给所述处理系统,将所述处理系统返回的处理结果发送给所述终端。
11.一种用户的认证装置,包括:
存储器;和
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行权利要求1-9任一项所述的用户的认证方法。
12.一种代理服务器,包括:
权利要求10或11所述的用户的认证装置。
13.一种网络服务系统,包括:
权利要求12所述的代理服务器;
处理系统,用于处理终端发来的用户的操作请求。
14.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-9任一项所述的用户的认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911112747.5A CN110839027B (zh) | 2019-11-14 | 2019-11-14 | 用户的认证方法、装置、代理服务器和网络服务系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911112747.5A CN110839027B (zh) | 2019-11-14 | 2019-11-14 | 用户的认证方法、装置、代理服务器和网络服务系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110839027A true CN110839027A (zh) | 2020-02-25 |
| CN110839027B CN110839027B (zh) | 2023-03-07 |
Family
ID=69574963
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911112747.5A Active CN110839027B (zh) | 2019-11-14 | 2019-11-14 | 用户的认证方法、装置、代理服务器和网络服务系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110839027B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114826754A (zh) * | 2022-05-06 | 2022-07-29 | 中国光大银行股份有限公司 | 一种不同网络间的通信方法及系统、存储介质、电子装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080276098A1 (en) * | 2007-05-01 | 2008-11-06 | Microsoft Corporation | One-time password access to password-protected accounts |
| CN104702575A (zh) * | 2013-12-06 | 2015-06-10 | 中国移动通信集团山东有限公司 | 一种账号管理方法、管理平台及系统 |
| CN105245554A (zh) * | 2015-11-24 | 2016-01-13 | 无锡江南计算技术研究所 | 一种云环境下的动态属性访问控制方法 |
| CN106973107A (zh) * | 2017-03-29 | 2017-07-21 | 小沃科技有限公司 | 一种基于hook方式实现的移动客户端定向流量代理系统与方法 |
| CN107026825A (zh) * | 2016-02-02 | 2017-08-08 | 中国移动通信集团陕西有限公司 | 一种访问大数据系统的方法及系统 |
| US9934496B1 (en) * | 2009-04-09 | 2018-04-03 | Intuit Inc. | Data masking using a proxy server |
| CN108876593A (zh) * | 2018-05-30 | 2018-11-23 | 阿里巴巴集团控股有限公司 | 一种在线交易方法和装置 |
| US20190327209A1 (en) * | 2018-03-07 | 2019-10-24 | Jpmorgan Chase Bank, N.A. | System and method for data security management |
| CN110445745A (zh) * | 2018-05-02 | 2019-11-12 | 北京京东尚科信息技术有限公司 | 信息处理方法及其系统、计算机系统及计算机可读介质 |
-
2019
- 2019-11-14 CN CN201911112747.5A patent/CN110839027B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080276098A1 (en) * | 2007-05-01 | 2008-11-06 | Microsoft Corporation | One-time password access to password-protected accounts |
| US9934496B1 (en) * | 2009-04-09 | 2018-04-03 | Intuit Inc. | Data masking using a proxy server |
| CN104702575A (zh) * | 2013-12-06 | 2015-06-10 | 中国移动通信集团山东有限公司 | 一种账号管理方法、管理平台及系统 |
| CN105245554A (zh) * | 2015-11-24 | 2016-01-13 | 无锡江南计算技术研究所 | 一种云环境下的动态属性访问控制方法 |
| CN107026825A (zh) * | 2016-02-02 | 2017-08-08 | 中国移动通信集团陕西有限公司 | 一种访问大数据系统的方法及系统 |
| CN106973107A (zh) * | 2017-03-29 | 2017-07-21 | 小沃科技有限公司 | 一种基于hook方式实现的移动客户端定向流量代理系统与方法 |
| US20190327209A1 (en) * | 2018-03-07 | 2019-10-24 | Jpmorgan Chase Bank, N.A. | System and method for data security management |
| CN110445745A (zh) * | 2018-05-02 | 2019-11-12 | 北京京东尚科信息技术有限公司 | 信息处理方法及其系统、计算机系统及计算机可读介质 |
| CN108876593A (zh) * | 2018-05-30 | 2018-11-23 | 阿里巴巴集团控股有限公司 | 一种在线交易方法和装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114826754A (zh) * | 2022-05-06 | 2022-07-29 | 中国光大银行股份有限公司 | 一种不同网络间的通信方法及系统、存储介质、电子装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110839027B (zh) | 2023-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10462121B2 (en) | Technologies for authentication and single-sign-on using device security assertions | |
| US11075955B2 (en) | Methods and systems for use in authorizing access to a networked resource | |
| US10880292B2 (en) | Seamless transition between WEB and API resource access | |
| CN106716404B (zh) | 计算机子网内的代理服务器 | |
| JP6033990B2 (ja) | 単一のフレキシブルかつプラガブルOAuthサーバを備える複数のリソースサーバ、OAuth保護したREST式OAuth許諾管理サービス、およびモバイルアプリケーションシングルサインオンするOAuthサービス | |
| US20120216133A1 (en) | Secure cloud computing system and method | |
| US9571495B2 (en) | Methods and systems for authorizing web service requests | |
| CN110365684B (zh) | 应用集群的访问控制方法、装置和电子设备 | |
| US9473479B2 (en) | Automating authentication with multi-channel media distributors | |
| CN112930670A (zh) | 用于网络应用的集成服务发现的系统和方法 | |
| JP2018092600A (ja) | 共通認証管理サービス | |
| JP6572750B2 (ja) | 認証制御プログラム、認証制御装置、及び認証制御方法 | |
| US10958653B1 (en) | Dynamically adaptive computer security permissions | |
| CN112805982B (zh) | 用于跨域应用的应用脚本 | |
| WO2015033166A1 (en) | Secured mobile communications device | |
| CN103401885A (zh) | 网络文档权限控制方法、装置及系统 | |
| WO2022262322A1 (zh) | 认证方法、装置、系统、电子设备及存储介质 | |
| CN113472735B (zh) | 一种大数据服务单点登录方法、装置及存储介质 | |
| CN110839027B (zh) | 用户的认证方法、装置、代理服务器和网络服务系统 | |
| US20230315890A1 (en) | Call location based access control of query to database | |
| CN113039769A (zh) | 用于经由嵌入式浏览器深度链接saas应用的系统和方法 | |
| US20230351028A1 (en) | Secure element enforcing a security policy for device peripherals | |
| CN112511565B (zh) | 请求响应方法、装置、计算机可读存储介质及电子设备 | |
| US20240184863A1 (en) | Verification of Access Permissions | |
| KR20240003570A (ko) | 클라우드 보안 진단 서비스 제공 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |