CN111131242B - 一种权限控制方法、装置和系统 - Google Patents
一种权限控制方法、装置和系统 Download PDFInfo
- Publication number
- CN111131242B CN111131242B CN201911343790.2A CN201911343790A CN111131242B CN 111131242 B CN111131242 B CN 111131242B CN 201911343790 A CN201911343790 A CN 201911343790A CN 111131242 B CN111131242 B CN 111131242B
- Authority
- CN
- China
- Prior art keywords
- network management
- client
- authentication server
- access token
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种权限控制方法、装置和系统,所述方法包括:向网管认证服务器发送授权许可信息,使所述网管认证服务器在校验所述授权许可信息成功时生成访问令牌并响应;接收到所述网管认证服务器响应的访问令牌并存储;使用所述访问令牌向网管资源服务器发起访问请求,使所述网管资源服务器根据所述访问令牌,以及所述访问请求的内容进行响应。该方法能够在不暴露用户名密码的前提下,对第三方应用或网管用户进行授权,进行权限范围内的资源的访问。
Description
技术领域
本发明涉及安全技术领域,特别涉及一种权限控制方法、装置和系统。
背景技术
随着互联网、移动终端设备技术的迅猛发展,移动设备也越来越多地加入通信运营商的网络运维管理体系,同时移动端应用程序也逐渐成为运维管理的入口之一。
有时通信运营商希望可以通过成熟的第三方应用平台,如微信服务号、微信小程序等,接入网络管理系统后实现网络管理功能。在这种场景下,对第三方应用完全暴露网络管理系统的用户名密码来直接登录系统是很不安全的接入方式。
发明内容
有鉴于此,本申请提供一种权限控制方法、装置和系统,能够在不暴露用户名密码的前提下,对第三方应用或网管用户进行授权,进行权限范围内的资源的访问。
为解决上述技术问题,本申请的技术方案是这样实现的:
在一个实施例中,提供了一种权限控制系统,所述系统包括:客户端、网管认证服务器和网管资源管理服务器;
所述客户端,向所述网管认证服务器发送授权许可信息;接收所述网管认证服务器响应的访问令牌并存储;使用所述访问令牌向网管资源服务器发起访问请求;
所述网管认证服务器,接收到客户端发送的授权许可信息时,校验所述授权许可信息成功时为所述客户端生成访问令牌,并将所述访问令牌响应给所述客户端;
所述网管资源服务器,接收到所述客户端发送的访问请求时,根据所述访问请求携带的访问令牌,以及所述访问请求的内容进行响应。
在另一个实施例中,提供了一种权限控制方法,所述方法包括:
向网管认证服务器发送授权许可信息,使所述网管认证服务器在校验所述授权许可信息成功时生成访问令牌并响应;
接收到所述网管认证服务器响应的访问令牌并存储;
使用所述访问令牌向网管资源服务器发起访问请求,使所述网管资源服务器根据所述访问令牌,以及所述访问请求的内容进行响应。
在另一个实施例中,提供了一种权限控制装置,所述装置包括:获取单元、收发单元、存储单元和访问单元;
所述获取单元,用于获取授权许可信息;
所述收发单元,用于向所述网管认证服务器发送授权许可信息,使所述网管认证服务器在校验所述授权许可信息成功时生成访问令牌并响应;接收所述网管认证服务器响应的访问令牌;
所述存储单元,用于当所述收发单元接收到所述网管认证服务器响应的访问令牌时,进行存储;
所述访问单元,用于使用所述存储单元存储的所述访问令牌向网管资源服务器发起访问请求,使所述网管资源服务器根据所述访问令牌,以及所述访问请求的内容进行响应。
在另一个实施例中,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如所述权限控制方法的步骤。
在另一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现所述权限控制方法的步骤。
由上面的技术方案可见,上述实施例中客户端向网管认证服务器发送授权许可信息来获取所述网管认证服务器生成并响应的访问令牌并存储,使用存储访问令牌向网管资源服务器发起访问请求是所述网管资源服务器根据令牌中对应的权限进行访问资源的响应。该方法能够在不暴露用户名密码的前提下,对第三方应用或网管用户进行授权,进行权限范围内的资源的访问。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中权限控制系统示意图;
图2为客户端访问网管受保护资源流程示意图;
图3为本申请实施例中权限控制流程示意图;
图4为网管普通用户获取令牌的流程示意图;
图5为针对第三方应用客户端获取令牌的流程示意图;
图6为本申请实施例中应用于上述技术的装置结构示意图;
图7为本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其他步骤或单元。
下面以具体实施例对本发明的技术方案进行详细说明。下面几个具体实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
本申请实施例中提供一种权限控制系统,参见图1,图1为本申请实施例中权限控制系统示意图。该系统包括:客户端、网管认证服务器和网管资源管理服务器;
所述客户端,获取授权许可信息。
本申请实施例中的客户端可以为访问网管系统提供的客户端,也可以是访问第三方应用提供的客户端,这里的客户端是相对于网管认证服务器和网管资源管理服务器定义的。
这里的授权许可信息是一个代表资源所有者授权的凭据。
下面结合附图,给出获取授权许可信息的过程。
参见图2,图2为客户端访问网管受保护资源流程示意图。具体步骤为:
步骤A:通过客户端发送授权请求(Authorization Request)。
具体实现时,客户端为网管资源所有者展示输入授权许可信息的页面,即发送授权请求,这个页面是认证服务器提供的,客户端仅展示这个页面,以实现“不暴露用户名密码”的特点。
步骤B、客户端获取授权许可(Authorization Grant)信息。
客户端通过接收网管资源所有者输入的授权许可信息来获取授权许可信息。
所述客户端,向所述网管认证服务器发送授权许可信息。
所述网管认证服务器,接收到客户端发送的授权许可信息时,校验所述授权许可信息成功时为所述客户端生成访问令牌,并将所述访问令牌响应给所述客户端;
若校验所述授权许可信息不成功时,则拒绝客户端的请求。
客户端获取授权许可信息后,通过所述授权许可信息从网管认证服务器获取访问令牌。具体如下:
仍参见图2可见:
步骤C、客户端将授权许可(Authorization Grant)信息发送给网管认证服务器。
步骤D、网管认证服务器向所述客户端发送令牌。
这里的令牌包括访问令牌和刷新令牌。
访问令牌是用来访问受保护的资源的凭据。一个访问令牌是一个字符串,它代表发给客户端的授权,在系统中是唯一的。令牌代表资源所有者(网管用户)授予的、对特定范围的访问,同时令牌是有范围和有效期的。
刷新令牌,和访问令牌一样,在系统中是唯一的。当访问令牌已经失效时,可以使用刷新令牌来获取新的访问令牌。
客户端接收所述网管认证服务器响应的令牌(访问令牌和刷新令牌)并绑定存储。
在获取令牌(访问令牌和刷新令牌)时,访问网管系统提供的客户端,与访问第三方应用提供的客户端的实现过程不同,下面分别给出两种类型的客户端的获取过程:
针对网管普通用户,即访问网管系统提供的客户端,获取授权许可信息后,直接将所述授权许可信息送给网管认证服务器,即携带所述授权许可信息发送认证请求,具体实现时,通过登录页面直接输入授权许可信息触发认证请求的发送。
网管认证服务器确认授权许可信息无误后,向所述客户端(网管客户端)返回访问令牌和刷新令牌。
针对第三方应用,即访问第三方应用提供的客户端,获取访问令牌和刷新令牌的过程如下:
客户端通过第三方应用访问认证服务器认证地址,显示认证页面;获取通过所述认证页面输入的登录信息,携带所述登录信息向所述认证服务器发送第一请求;
所述认证服务器,用于接收到所述客户端发送的所述第一请求时,校验所述第一请求中携带的登录信息,若校验成功,则导向授权页面,使所述客户端显示所述授权页面;
所述客户端,接收到所述认证服务器导向的授权页面时,显示所述授权页面;在通过所述授权页面获取同意授权信息时,通知所述认证服务器;
所述认证服务器,接收到所述客户端发送的同意授权信息时,向重定向URI发送授权码;
所述客户端,接收到所述认证服务器发送的授权码时,向所述认证服务器发送携带所述授权码的第二请求;
所述认证服务器接收到所述客户端发送的第二请求,对所述第二请求中携带的授权码进行检验成功后,生成访问令牌,并通过重定向URI向所述客户端响应访问令牌。
所述认证服务器在生成访问令牌的同时,生成刷新令牌,将所述访问令牌和刷新令牌响应给所述客户端;
所述客户端接收到所述访问令牌和所述刷新令牌时,将所述访问令牌和所述刷新令牌绑定存储。
当客户端需要访问资源时,使用存储的访问令牌进行资源访问,如果存储的访问令牌已失效,则使用存储的刷新令牌从所述认证服务器获取访问令牌,以及刷新令牌。
当已获取可以使用的访问令牌时,使用所述访问令牌向网管资源服务器发起访问请求获取资源;
具体实现仍可参见图2,图2中针对资源访问的步骤为:
步骤E、客户端使用所述访问令牌向网管资源服务器发起访问请求;
步骤F、网管资源服务器向所述客户端响应受保护的资源。
所述网管资源服务器,接收到所述客户端发送的访问请求时,根据所述访问请携带的访问令牌,以及所述访问请求的内容进行响应。
网管资源服务器中存在一个资源池和操作池;
其中,资源池包含资源,资源可以是:网管系统中的网络设备、机房等具体对象。
操作池中包含操作;操作可以是:增加设备、删除设备、确认告警、删除告警等具体行为。
网管资源服务器针对用户分配的权限,可以包括可访问的资源集和可执行的操作集,其中操作即网管资源服务器对外提供的访问接口。
在对用户分配权限时,从资源池中挑选一个或多个资源构成一个资源集,从操作池中挑选一个或多个操作构成一个操作集。一个资源集和一个操作集共同构成了一个用户权限,不同的用户可以拥有相同的或不同的权限,该关联关系存储在资源服务器端的持久存储中。
用户权限在网管资源服务器的运行期是可以动态变化的,例如资源集中增加了一个资源、操作集中减少一个操作等,这些都将引起用户权限的变化。
也就是说网管资源服务器接收更新任一用户的权限信息时,使用接收到的权限信息更新对应用户的权限信息。
具体为:
所述资源管理服务器,接收到针对用户权限更新指令时,使用所述指令对应的权限信息更新已为所述用户分配的权限信息。
如果客户端对资源服务器的访问请求不涉及资源,则只需要当前请求使用的令牌中唯一确定的用户拥有该接口对应的操作即可访问;如果涉及资源,则除了需要拥有该接口对应的操作,还需要用户拥有该资源才能访问。
因此,所述网管资源服务器,接收到所述客户端发送的访问请求时,解析所述访问请求携带的访问令牌,获取用户标识,根据所述用户标识获取对应的权限信息,使用所述权限信息校验所请求的内容是否允许访问。
如果请求的内容仅对应操作,则只确定操作权限,如果对应资源,则需要确定操作权限和对应的资源权限。
由于令牌中并不存放用户具体权限,只存放了用于唯一关联用户权限的用户标识,而用户标识和权限的关联关系完全由网管资源服务器端的持久存储维护,每次访问都实时获取和校验,因此这就达到了即使用户权限发生变化,客户端也不需要向资源所有者重新获取授权许可来从认证服务器获取新的令牌的目的。
基于同样的发明构思,本申请实施例中还提出一种权限控制方法,应用于客户端上。在具体实现过程中基于OAuth2标准的基础上实现权限控制。
参见图3,图3为本申请实施例中权限控制流程示意图。具体步骤为:
步骤301,客户端向网管认证服务器发送授权许可信息,使所述网管认证服务器在校验所述授权许可信息成功时生成访问令牌并响应。
当所述客户端为第三方应用对应的客户端时,所述向所述网管认证服务器发送授权许可信息,使所述网管认证服务器在校验所述授权许可信息成功时生成访问令牌并响应,包括:
通过第三方应用访问认证服务器认证地址,显示认证页面;获取通过所述认证页面输入的登录信息,并携带所述登录信息向所述认证服务器发送第一请求;使所述认证服务器校验所述第一请求中携带的登录信息,若校验成功,则导向授权页面;
显示所述授权页面;在通过所述授权页面获取同意授权信息时,通知所述认证服务器使所述认证服务器重定向URI发送授权码;
接收到所述认证服务器发送的授权码时,向所述认证服务器发送携带所述授权码的第二请求,使所述认证服务器对所述第二请求中携带的授权码进行检验成功后,生成访问令牌,并通过重定向URI向所述客户端响应访问令牌。
步骤302,接收到所述网管认证服务器响应的访问令牌并存储。
所述方法进一步包括:
接收所述网管认证服务器响应的所述访问令牌时,还接收到所述网管认证服务器响应的刷新令牌,将所述刷新令牌与所述访问令牌绑定存储;
当所述访问令牌失效时,使用所述刷新令牌获取新的访问令牌。
下面结合附图,详细描述两类客户端获取授权许可信息,以及访问令牌和刷新令牌的过程。
参见图4,图4为网管普通用户获取令牌的流程示意图。具体步骤为:
步骤A,客户端获取网管资源所有者的密码凭证(NMS Resource Owner
Password Credentials)。
网管资源所有者访问所述客户端,输入密码凭证,也就是本申请实施例中的授权许可信息(用户名和密码)。
这种模式下,用户密码会直接暴露给客户端,因此必须是用户高度信任的客户端,比如:客户端是操作系统的一部分、或者由网管资源服务器自行提供的、或者由一个著名公司出品的。
步骤B,客户端使用所述密码凭证(Password Credentials)向网管认证服务器请求认证。
步骤C,网管认证服务器确定所述密码凭证信息无误后,向客户端返回访问令牌(Access Token)和刷新令牌(Refresh Token)。
客户端接收到所述访问令牌和刷新令牌后绑定存储。
针对第三方应用的客户端授权和获取访问令牌和刷新令牌的过程具体如下:
网管资源服务器中建立一个或多个专门用于第三方应用授权访问的账户,并配置该账户的权限。授权时,由网管资源所有者(运营商)使用该账户到网管系统认证并对第三方应用授权。授权成功后,第三方应用将获得一个访问令牌和一个更新令牌。
参见图5,图5为针对第三方应用客户端获取令牌的流程示意图。具体步骤为:
步骤A、第三方应用客户端在网管资源所有者访问时,导向网管系统认证服务器的认证页面,同时携带本应用提供的、独有的"重定向URI"(Redirection URI)。
步骤B、网管资源所有者在授权页面输入网管中已经配置的、用于第三方访问认证的授权许可信息(User Authenticates),包括:账户的用户名和密码,认证服务器校验成功后,导向授权页面,询问网管资源所有者是否授权允许第三方应用使用该账户,网管资源所有者同意授权。
步骤C、网管认证服务器将访问地址导向第三方应用在步骤A中指定的"重定向URI",同时附上一个自动生成的授权许可信息,也称为授权码(Authorization Code)。
步骤D、客户端收到授权码,附上早先的"重定向URI",向认证服务器申请一个令牌。
步骤E、网管认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(Access Token)和刷新令牌(Refresh Token)。
至此,完成访问令牌和刷新令牌的获取。
步骤303,使用所述访问令牌向网管资源服务器发起访问请求,使所述网管资源服务器根据所述访问令牌,以及所述访问请求的内容进行响应。
所述网管资源服务器,接收到所述客户端发送的访问请求时,解析所述访问请求携带的访问令牌,获取用户标识,根据所述用户标识获取对应的权限信息,使用所述权限信息校验所请求的内容是否允许访问。
如果请求的内容仅对应操作,则只确定操作权限,如果对应资源,则需要确定操作权限和对应的资源权限。
基于同样的发明构思,本申请实施例还提供一种权限控制装置。参见图6,图6为本申请实施例中应用于上述技术的装置结构示意图。所述装置包括:获取单元601、收发单元602、存储单元603和访问单元604;
获取单元601,用于获取授权许可信息;
收发单元602,用于向所述网管认证服务器发送授权许可信息,使所述网管认证服务器在校验所述授权许可信息成功时生成访问令牌并响应;接收所述网管认证服务器响应的访问令牌;
存储单元603,用于当收发单元602接收到所述网管认证服务器响应的访问令牌时,进行存储;
访问单元604,用于使用存储单元603存储的所述访问令牌向网管资源服务器发起访问请求,使所述网管资源服务器根据所述访问令牌,以及所述访问请求的内容进行响应。
优选地,
收发单元602,进一步用于接收访问令牌时,还接收到所述网管认证服务器响应的刷新令牌;
存储单元603,进一步用于当收发单元602接收到所述网管认证服务器响应的刷新令牌,将所述刷新令牌与所述访问令牌绑定存储;
收发单元602,进一步用于当存储单元603存储的访问令牌失效时,使用所述刷新令牌获取新的访问令牌。
优选地,
收发单元602,具体用于当所述客户端为第三方应用时,通过第三方应用访问认证服务器认证地址,显示认证页面;获取通过所述认证页面输入的登录信息,并携带所述登录信息向所述认证服务器发送第一请求;使所述认证服务器校验所述第一请求中携带的登录信息,若校验成功,则导向授权页面;显示所述授权页面;在通过所述授权页面获取同意授权信息时,通知所述认证服务器使所述认证服务器重定向URI发送授权码;接收到所述认证服务器发送的授权码时,向所述认证服务器发送携带所述授权码的第二请求,使所述认证服务器对所述第二请求中携带的授权码进行检验成功后,生成访问令牌,并通过重定向URI向所述客户端响应访问令牌。
上述实施例的单元可以集成于一体,也可以分离部署;可以合并为一个单元,也可以进一步拆分成多个子单元。
在另一个实施例中,还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述权限控制方法的步骤。
在另一个实施例中,还提供一种计算机可读存储介质,其上存储有计算机指令,所述指令被处理器执行时可实现所述权限控制方法中的步骤。
图7为本发明实施例提供的电子设备的实体结构示意图。如图7所示,该电子设备可以包括:处理器(Processor)710、通信接口(Communications Interface)720、存储器(Memory)730和通信总线740,其中,处理器710,通信接口720,存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令,以执行如下方法:
所述客户端,向所述网管认证服务器发送授权许可信息;接收所述网管认证服务器响应的访问令牌并存储;使用所述访问令牌向网管资源服务器发起访问请求;
所述网管认证服务器,接收到客户端发送的授权许可信息时,校验所述授权许可信息成功时为所述客户端生成访问令牌,并将所述访问令牌响应给所述客户端;
所述网管资源服务器,接收到所述客户端发送的访问请求时,根据所述访问请求携带的访问令牌,以及所述访问请求的内容进行响应。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (6)
1.一种权限控制系统,其特征在于,所述系统包括:客户端、网管认证服务器和网管资源管理服务器;
所述客户端,向所述网管认证服务器发送授权许可信息;接收所述网管认证服务器响应的访问令牌并存储;使用所述访问令牌向网管资源服务器发起访问请求;
所述网管认证服务器,接收到客户端发送的授权许可信息时,校验所述授权许可信息成功时为所述客户端生成访问令牌,并将所述访问令牌响应给所述客户端;
所述网管资源管理服务器,接收到所述客户端发送的访问请求时,根据所述访问请求携带的访问令牌,以及所述访问请求的内容进行响应;
其中,进一步包括:
所述网管资源管理服务器在对用户分配权限时,从资源池中选择一个或多个资源构成一个资源集,从操作池中挑选一个或多个操作构成一个操作集;将所述资源集和所述操作集组成所述用户的用户权限的权限信息,并将所述用户的用户标识和所述用户权限的权限信息绑定存储;
所述网管资源管理服务器根据所述访问请求携带的访问令牌,以及所述访问请求的内容进行响应,包括:
解析所述访问请求携带的访问令牌,获取用户标识,根据所述用户标识获取对应的权限信息,并使用所述权限信息校验所请求的内容是否允许访问。
2.根据权利要求1所述的系统,其特征在于,
所述网管认证服务器,进一步用于向所述客户端响应访问令牌时,还响应刷新令牌;
所述客户端,进一步用于接收到所述刷新令牌时,与接收到的访问令牌绑定存储;当所述访问令牌失效时,使用与所述访问令牌绑定的所述刷新令牌从所述网管认证服务器获取新的访问令牌。
3.根据权利要求1所述的系统,其特征在于,
所述客户端为第三方应用对应的客户端时,具体用于通过第三方应用访问认证服务器认证地址,显示认证页面;获取通过所述认证页面输入的登录信息,携带所述登录信息向所述认证服务器发送第一请求;接收到所述认证服务器导向的授权页面时,显示所述授权页面;在通过所述授权页面获取同意授权信息时,通知所述认证服务器;接收到所述认证服务器发送的授权码时,向所述认证服务器发送携带所述授权码的第二请求;
所述认证服务器,具体用于接收到所述客户端发送的所述第一请求时,校验所述第一请求中携带的登录信息,若校验成功,则导向授权页面,使所述客户端显示所述授权页面;接收到所述客户端发送的同意授权信息时,向重定向URI发送授权码;接收到所述客户端发送的第二请求,对所述第二请求中携带的授权码进行检验成功后,生成访问令牌,并通过重定向URI向所述客户端响应访问令牌。
4.根据权利要求1-3任一项所述的系统,其特征在于,
所述网管资源管理服务器,进一步用于接收到针对用户权限更新指令时,使用所述指令对应的权限信息更新已为所述用户分配的权限信息。
5.根据权利要求4所述的系统,其特征在于,
所述网管资源管理服务器,具体用于接收到所述客户端发送的访问请求时,解析所述访问请求携带的访问令牌,获取用户标识,根据所述用户标识获取对应的权限信息,使用所述权限信息校验所请求的内容是否允许访问。
6.一种权限控制方法,其特征在于,应用于包括:客户端、网管认证服务器和网管资源管理服务器的系统中;所述网管资源管理服务器在对用户分配权限时,从资源池中选择一个或多个资源构成一个资源集,从操作池中挑选一个或多个操作构成一个操作集;将所述资源集和所述操作集组成所述用户的用户权限的权限信息,并将所述用户的用户标识和所述用户权限的权限信息绑定存储;所述方法包括:
所述客户端,向所述网管认证服务器发送授权许可信息;接收所述网管认证服务器响应的访问令牌并存储;使用所述访问令牌向网管资源服务器发起访问请求;
所述网管认证服务器,接收到客户端发送的授权许可信息时,校验所述授权许可信息成功时为所述客户端生成访问令牌,并将所述访问令牌响应给所述客户端;
所述网管资源管理服务器,接收到所述客户端发送的访问请求时,解析所述访问请求携带的访问令牌,获取用户标识,根据所述用户标识获取对应的权限信息,并使用所述权限信息校验所请求的内容是否允许访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911343790.2A CN111131242B (zh) | 2019-12-24 | 2019-12-24 | 一种权限控制方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911343790.2A CN111131242B (zh) | 2019-12-24 | 2019-12-24 | 一种权限控制方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111131242A CN111131242A (zh) | 2020-05-08 |
| CN111131242B true CN111131242B (zh) | 2023-01-03 |
Family
ID=70501618
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911343790.2A Active CN111131242B (zh) | 2019-12-24 | 2019-12-24 | 一种权限控制方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111131242B (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111698264A (zh) * | 2020-06-28 | 2020-09-22 | 京东数字科技控股有限公司 | 用于保持用户认证会话的方法和装置 |
| CN111770088A (zh) * | 2020-06-29 | 2020-10-13 | 南方电网科学研究院有限责任公司 | 数据鉴权方法、装置、电子设备和计算机可读存储介质 |
| CN111818088A (zh) * | 2020-07-28 | 2020-10-23 | 深圳壹账通智能科技有限公司 | 授权模式管理方法、装置、计算机设备及可读存储介质 |
| CN114079569B (zh) * | 2020-07-31 | 2024-05-03 | 中移(苏州)软件技术有限公司 | 一种开放授权方法及装置、设备、存储介质 |
| CN112104603B (zh) * | 2020-08-06 | 2023-11-14 | 华人运通(江苏)技术有限公司 | 车辆接口的访问权限控制方法、装置及系统 |
| CN113271289B (zh) * | 2020-12-15 | 2023-10-13 | 全芯智造技术有限公司 | 用于资源授权和访问的方法、系统和计算机存储介质 |
| CN112637192B (zh) * | 2020-12-17 | 2023-10-03 | 广东精一信息技术有限公司 | 一种对微服务进行访问的授权方法及系统 |
| CN112788002B (zh) * | 2020-12-28 | 2022-11-18 | 中国建设银行股份有限公司 | 用户访问认证方法、系统、电子设备及存储介质 |
| CN112738805B (zh) * | 2020-12-30 | 2022-12-06 | 青岛海尔科技有限公司 | 设备控制方法和装置、存储介质及电子设备 |
| CN113014576B (zh) * | 2021-02-23 | 2023-05-12 | 中国联合网络通信集团有限公司 | 一种服务权限控制方法、装置、服务器及存储介质 |
| CN113742660B (zh) * | 2021-08-11 | 2023-07-25 | 阿里巴巴新加坡控股有限公司 | 应用程序许可管理系统及方法 |
| CN114070620B (zh) * | 2021-11-16 | 2024-04-02 | 中国平安人寿保险股份有限公司 | 短地址访问方法、装置、计算机设备及存储介质 |
| CN116419229A (zh) * | 2022-01-05 | 2023-07-11 | 华为技术有限公司 | 集成可信度量的通信方法 |
| CN114500078A (zh) * | 2022-02-14 | 2022-05-13 | 北京高途云集教育科技有限公司 | 一种授权管理方法、装置、计算机设备和存储介质 |
| CN114884668A (zh) * | 2022-03-17 | 2022-08-09 | 阿里巴巴(中国)有限公司 | 资源管理方法及计算机可读存储介质 |
| CN114629719B (zh) * | 2022-04-08 | 2024-05-07 | 中国移动通信集团陕西有限公司 | 资源访问控制方法和资源访问控制系统 |
| CN114978675B (zh) * | 2022-05-20 | 2023-06-20 | 辽宁华盾安全技术有限责任公司 | 一种访问认证方法、装置、电子设备及存储介质 |
| CN115296889A (zh) * | 2022-08-02 | 2022-11-04 | 国家能源集团广东电力有限公司 | 一种云边协同的大屏可视化方法及系统 |
| CN117118751B (zh) * | 2023-10-23 | 2024-01-30 | 城云科技(中国)有限公司 | 基于OAuth2的访问控制模型的拓展方法及其应用 |
| CN117544378A (zh) * | 2023-11-21 | 2024-02-09 | 广州方舟信息科技有限公司 | 一种授权管理方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546648A (zh) * | 2012-01-18 | 2012-07-04 | Ut斯达康通讯有限公司 | 一种资源访问授权的方法 |
| CN106295394A (zh) * | 2016-07-22 | 2017-01-04 | 飞天诚信科技股份有限公司 | 资源授权方法及系统和授权服务器及工作方法 |
| CN107920117A (zh) * | 2017-11-20 | 2018-04-17 | 郑州云海信息技术有限公司 | 一种资源管理方法、控制设备和资源管理系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9244742B2 (en) * | 2012-05-31 | 2016-01-26 | Vmware, Inc. | Distributed demand-based storage quality of service management using resource pooling |
| EP3422784B1 (en) * | 2014-03-21 | 2020-07-22 | Sony Corporation | D2d scheduling based on priorities |
-
2019
- 2019-12-24 CN CN201911343790.2A patent/CN111131242B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546648A (zh) * | 2012-01-18 | 2012-07-04 | Ut斯达康通讯有限公司 | 一种资源访问授权的方法 |
| CN106295394A (zh) * | 2016-07-22 | 2017-01-04 | 飞天诚信科技股份有限公司 | 资源授权方法及系统和授权服务器及工作方法 |
| CN107920117A (zh) * | 2017-11-20 | 2018-04-17 | 郑州云海信息技术有限公司 | 一种资源管理方法、控制设备和资源管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111131242A (zh) | 2020-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111131242B (zh) | 一种权限控制方法、装置和系统 | |
| CN107172054B (zh) | 一种基于cas的权限认证方法、装置及系统 | |
| CN107359996B (zh) | 多网站间的自动登录方法及装置 | |
| US10805301B2 (en) | Securely managing digital assistants that access third-party applications | |
| US20200360119A1 (en) | Securely managing digital assistants that access third-party applications | |
| CN112597472B (zh) | 单点登录方法、装置及存储介质 | |
| CN110730174B (zh) | 一种网络访问控制方法、装置、设备及介质 | |
| US8997196B2 (en) | Flexible end-point compliance and strong authentication for distributed hybrid enterprises | |
| CN108200050A (zh) | 单点登录服务器、方法及计算机可读存储介质 | |
| CN110069909B (zh) | 一种免密登录第三方系统的方法及装置 | |
| CN112738105B (zh) | 邀请注册方法及装置 | |
| CN106161475B (zh) | 用户鉴权的实现方法和装置 | |
| JP2009519557A (ja) | 資源が限られている装置におけるオフライン認証方法 | |
| CN104954330A (zh) | 一种对数据资源进行访问的方法、装置和系统 | |
| CN113065115B (zh) | 基于oauth2.0实现小程序登录安全和无网络隔离下认证鉴权方法 | |
| CN109388937B (zh) | 一种多因子身份认证的单点登录方法及登录系统 | |
| CN106302606A (zh) | 一种跨应用访问方法及装置 | |
| CN111062023A (zh) | 多应用系统实现单点登录的方法及装置 | |
| CN103944861A (zh) | 一种语音验证系统 | |
| CN103428161A (zh) | 一种电话认证服务系统 | |
| CN112929388B (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 | |
| KR20210011577A (ko) | 심툴킷과 애플릿을 이용한 개인 정보 인증 장치 및 방법 | |
| KR101803535B1 (ko) | 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법 | |
| CN105656856A (zh) | 资源管理方法和装置 | |
| KR100639992B1 (ko) | 클라이언트 모듈을 안전하게 배포하는 보안 장치 및 그방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Gu Yuqin Inventor after: Deng Xuebo Inventor after: He Yue Inventor before: Gu Yuqin Inventor before: He Yue |
|
| CB03 | Change of inventor or designer information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |