CN111698250B - 访问请求处理方法、装置、电子设备及计算机存储介质 - Google Patents

访问请求处理方法、装置、电子设备及计算机存储介质 Download PDF

Info

Publication number
CN111698250B
CN111698250B CN202010530450.7A CN202010530450A CN111698250B CN 111698250 B CN111698250 B CN 111698250B CN 202010530450 A CN202010530450 A CN 202010530450A CN 111698250 B CN111698250 B CN 111698250B
Authority
CN
China
Prior art keywords
access
request
authentication
access request
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010530450.7A
Other languages
English (en)
Other versions
CN111698250A (zh
Inventor
林梅贞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010530450.7A priority Critical patent/CN111698250B/zh
Publication of CN111698250A publication Critical patent/CN111698250A/zh
Application granted granted Critical
Publication of CN111698250B publication Critical patent/CN111698250B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例涉及互联网技术领域,公开了一种访问请求处理方法、装置、电子设备及计算机存储介质,访问请求处理方法应用于准入网关,包括:获取用户请求访问任一业务站点的访问请求,任一业务站点是预先配置到准入网关的;接着,基于预配置的站点访问控制策略,对访问请求进行校验,得到相应的校验结果,站点访问控制策略是任一业务站点配置到准入网关时确定的;接着,根据校验结果对访问请求进行相应处理。本申请实施例的方法,有效保障业务站点的访问安全,让业务应用更省心,可方便地对已配置的各种类型的业务站点进行统一管理,对用户身份进行统一识别与鉴权,实现不同业务站点之间的相互跳转,使用户能够轻松地实现跨业务站点的登录。

Description

访问请求处理方法、装置、电子设备及计算机存储介质
技术领域
本申请实施例涉及互联网技术领域,具体而言,本申请涉及一种访问请求处理方法、装置、电子设备及计算机存储介质。
背景技术
随着移动互联网的普及,用户使用终端访问业务站点出现了多样性,包括web端、微信、企业微信、应用程序、小程序及H5页面等类型。不同类型的业务站点需要应对来自不同终端或不同设备的访问请求,这种情况下,业务站点对访问请求进行保障显得尤为重要。
通常,管理人员会发布各种类型的业务站点给对应的人群访问,当用户针对某一类型的业务站点发起访问请求时,该业务站点会将用户的访问请求转发到统一的身份认证系统进行身份鉴权,以保证业务站点的访问安全。然而,本申请的发明人在具体实现过程中,发现:这种方式无法对各种类型的业务站点进行统一管理,尤其当用户登录业务站点A后,再想基于业务站点A登录业务站点B时,需要额外针对业务站点A与业务站点B进行数据连通,造成极大工作量。
发明内容
本申请实施例的目的旨在至少能解决上述的技术缺陷之一,特提出以下技术方案:
一方面,提供了一种访问请求处理方法,应用于准入网关,包括:
获取用户请求访问任一业务站点的访问请求,任一业务站点是预先配置到准入网关的;
基于预配置的站点访问控制策略,对访问请求进行校验,得到相应的校验结果,站点访问控制策略是任一业务站点配置到准入网关时确定的;
根据校验结果对访问请求进行相应处理。
一方面,提供了一种访问请求处理装置,应用于准入网关,包括:
获取模块,用于获取用户请求访问任一业务站点的访问请求,任一业务站点是预先配置到准入网关的;
校验模块,用于基于预配置的站点访问控制策略,对访问请求进行校验,得到相应的校验结果,站点访问控制策略是任一业务站点配置到准入网关时确定的;
处理模块,用于根据校验结果对访问请求进行相应处理。
在一种可能的实现方式中,校验包括登录确认校验、请求校验与用户身份校验,站点访问控制策略包括登录控制策略与请求校验策略;
校验模块用于:
根据登录控制策略,对访问请求进行登录确认校验,以确定用户是否已登录及是否需要登录中的至少一项;
若登录校验通过,根据请求校验策略,对访问请求进行请求校验;
若请求校验通过,对访问请求进行用户身份校验。
在一种可能的实现方式中,校验模块在对访问请求进行请求校验时,用于执行以下至少一项:
校验访问请求的请求地址是否正确;
校验访问请求的请求频率是否大于预定请求频率;
校验访问请求是否属于被禁止的访问请求;
校验获取到访问请求后的总请求数是否大于预定请求数量;
校验访问请求所请求访问的内容是否属于可访问内容。
在一种可能的实现方式中,访问请求包括用户请求访问任一业务站点的身份认证信息;校验模块在对访问请求进行用户身份校验时,用于:
根据身份认证信息,对访问请求进行用户身份校验;
身份认证信息包括以下至少一项:
用户标识信息;用户账号及用户密码。
在一种可能的实现方式中,校验模块在根据身份认证信息,对访问请求进行用户身份校验时,用于执行以下任一项:
若任一业务站点所属的业务应用已关联第三方认证平台,调用第三方认证平台,并通过第三方认证平台根据身份认证信息,对访问请求进行用户身份校验;
若任一业务站点所属的业务应用未关联第三方认证平台,通过自有的认证平台,根据身份认证信息,对访问请求进行用户身份校验。
在一种可能的实现方式中,校验还包括合法性校验,校验模块在对访问请求进行用户身份校验之后,还用于:
若用户身份校验通过,对访问请求进行合法性校验,以验证访问请求的请求来源。
在一种可能的实现方式中,校验模块在对访问请求进行合法性校验时,用于:
在访问请求的头部信息中增加预设字段,得到处理后的访问请求;
向任一业务站点的服务器转发处理后的访问请求,并通过服务器对处理后的访问请求进行合法性校验。
在一种可能的实现方式中,预设字段包括以下至少一项:
准入网关生成的签名字符串字段;准入网关的时间戳字段;准入网关生成的非重复随机字符串字段;用户的标识信息字段;用户的身份证信息字段;用户信息扩展字段。
在一种可能的实现方式中,校验模块在对访问请求进行合法性校验之后,还用于:
若合法性校验通过,对访问请求进行脱敏处理;
对访问请求进行脱敏处理包括以下至少一项:
对访问请求的请求内容进行加密、格式转换及预定内容处理中的至少一项处理;
对访问请求的请求参数进行转换参数名称及过滤预定字段中的至少一项处理。
一方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行所述程序时实现上述的访问请求处理方法。
一方面,提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现上述的访问请求处理方法。
本申请实施例提供的访问请求处理方法,通过将业务站点配置到准入网关中并确定相应的站点访问控制策略,使得准入网关可以获取用户针对预先配置到准入网关中的业务站点的访问请求,并基于业务站点配置到准入网关时确定的站点访问控制策略对访问请求进行校验,从而不仅可以有效保障业务站点的访问安全,尤其是重大业务站点的访问安全控制,帮助业务应用把关好第一道门,让应用更省心,而且可以方便地对已配置的各种类型的业务站点进行统一管理,能够对用户身份进行统一识别与鉴权,实现不同业务站点之间的相互跳转,使得用户能够轻松地实现跨业务站点之间的登录,极大减轻开发工作量。
本申请实施例附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请实施例上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本申请实施例的访问请求处理方法的流程示意图;
图2为本申请实施例的准入网关的多种认证方式的示意图;
图3为本申请实施例的添加认证方式的示意图;
图4为本申请实施例的业务站点的站点部署信息的示意图;
图5为本申请实施例的准入网关的认证框架示意图;
图6为本申请实施例的通过多种可选方式接入准入网关的示意图;
图7为本申请实施例的自定义请求和响应的示意图;
图8为本申请实施例的访问请求处理的过程示意图;
图9为本申请实施例的访问请求处理装置的基本结构示意图;
图10为本申请实施例的电子设备的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能解释为对本申请的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
云技术(Cloud technology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
下面以具体地实施例对本申请实施例的技术方案以及本申请实施例的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
本申请一个实施例提供了一种访问请求处理方法,该方法可以由部署有准入网关的计算机设备执行,该计算机设备可以是终端或者服务器。服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请实施例在此不做限制。
步骤S110,获取用户请求访问任一业务站点的访问请求,任一业务站点是预先配置到准入网关的;步骤S120,基于预配置的站点访问控制策略,对访问请求进行校验,得到相应的校验结果,站点访问控制策略是任一业务站点配置到准入网关时确定的;步骤S130,根据校验结果对访问请求进行相应处理。
里约准入网关是面向Saas(Software-as-a-Service,软件即服务)层的业务系统,为所有业务站点提供统一的接入和管理,为业务站点提供身份鉴权、灰度路由、过载保护等能力。其中,业务站点包括但不仅限于web浏览器网站、小程序、移动端页面(微信、政务微信或企业微信等)。SaaS提供给用户的服务是运营商运行在云计算基础设施上的应用程序,用户可以在各种设备上通过客户端界面访问,如浏览器;运营商不需要管理或控制任何云计算基础设施,包括网络、服务器、操作系统、存储等等。
需要说明的是,若无特殊说明,本申请实施例中的准入网关均指里约准入网关,准入网关可以部署在服务器中的,也可以是部署在终端中的。
通常,不同业务应用下会有多个业务站点,这些业务站点的协议相同或不同,业务站点的提供者(或发布者)在注册业务站点后,可以将业务站点发布给对应的群体访问,以供群体对业务站点进行访问。
由于同一业务应用下的不同业务站点,如果基于业务站点本身分别独立地去针对访问请求进行校验,会非常麻烦,因此,本申请实施例提供了准入网关,支持业务站点的提供者(或发布者)在准入网关上发布业务站点。当用户实际发起针对业务站点(该业务站点已接入准入网关或预先配置到准入网关中)的访问请求时,准入网关可以获取用户请求访问该业务站点的访问请求,并对用户的访问请求进行统一校验,从而无需在业务站点上额外针对访问请求进行校验。即准入网关获取用户请求访问任一业务站点的访问请求,该任一业务站点是预先配置到准入网关的。换言之,本申请实施例支持通过将业务站点接入或配置到准入网关,来借助准入网关对访问请求进行校验,从而有效保障业务站点的访问控制和访问安全。
其中,业务站点的提供者(或发布者)在准入网关上发布或配置业务站点时,可以在准入网关上确定(即配置或设定)相应的站点访问控制策略,比如在准入网关的该业务站点所属的业务应用下,配置或设定该业务站点的站点访问规则,即站点访问控制策略是业务站点配置到准入网关时确定的,从而准入网关在获取到用户请求访问任一业务站点的访问请求时,可以基于预配置的站点访问控制策略,对访问请求进行校验,得到相应的校验结果,进而准入网关可以根据校验结果对访问请求进行相应处理。
对访问请求进行校验的校验结果可以是校验通过,也可以是校验不通过。相对应地,准入网关根据校验结果对访问请求进行相应处理的情况可以为:第一种情况,当校验结果为校验通过时,准入网关可以根据校验结果,允许用户对业务站点进行访问,并返回相应的访问响应,比如业务站点的页面内容,又比如用于前端展示的用户身份信息(例如用户的手机号、姓名、昵称、电话等);第二种情况,当校验结果为校验不通过时,准入网关可以根据校验结果,拒绝用户对业务站点进行访问,比如可以返回拒绝访问的访问响应,又比如返回错误页。
本申请实施例提供的访问请求处理方法,通过将业务站点配置到准入网关中并确定相应的站点访问控制策略,使得准入网关可以获取用户针对预先配置到准入网关中的业务站点的访问请求,并基于业务站点配置到准入网关时确定的站点访问控制策略对访问请求进行校验,从而不仅可以有效保障业务站点的访问安全,尤其是重大业务站点的访问安全控制,帮助业务应用把关好第一道门,让应用更省心,而且可以方便地对已配置的各种类型的业务站点进行统一管理,能够对用户身份进行统一识别与鉴权,实现不同业务站点之间的相互跳转,使得用户能够轻松地实现跨业务站点之间的单点登录,极大减轻开发工作量。
下面通过具体示例对本申请实施例的方法进行具体介绍:
在一种可能的实现方式中,校验包括登录确认校验、请求校验与用户身份校验,站点访问控制策略包括登录控制策略与请求校验策略;其中,根据预配置的站点访问控制策略,对访问请求进行校验,可以是:根据登录控制策略,对访问请求进行登录确认校验,以确定用户是否已登录或是否需要登录中的至少一项;若登录校验通过,根据请求校验策略,对访问请求进行请求校验;若请求校验通过,对访问请求进行用户身份校验。
通常,准入网关会提供多种认证方式,供业务站点的提供者(或发布者)在准入网关中发布或配置业务站点时选择,从而对接入的各业务站点的认证方式进行统一管理。换言之,业务站点的提供者(或发布者)在准入网关中发布或配置业务站点,可以根据自身需求,从准入网关提供的多种认证方式中,确定业务站点的一个或多个认证方式,从而后续可以通过已确定的一个或多个认证方式对访问请求进行认证。
如图2所示,准入网关提供的多种认证方式包括但不限于账号密码认证、手机验证码认证、企业微信或政务微信扫码认证、微信认证、小程序扫码认证等。其中,里约认证是指里约准入网关认证,其具备账号密码和短信验证码的认证能力,通过里约认证中的“设置安全策略”可以实现业务站点的站点访问控制策略的设置或确定。
如图2所示,准入网关除了可以支持账号密码认证、手机验证码认证、企业微信或政务微信扫码认证、微信认证、小程序扫码认证外,还支持客户自有认证这一认证方式,即支持添加客户自有认证方式。其中,准入网关可以通过Openid Connect、LDAP、SAML等认证协议,来支持客户自有认证这一认证方式。OpenID Connect是一套基于OAuth 2.0协议的轻量级规范,提供通过API(Application Programming Interface,应用程序接口)进行身份交互的框架;LDAP(Lightweight Directory Access Protocol,轻型目录访问协议)是一个开放的、中立的、工业标准的应用协议,通过IP(Internet Protocol,网际互连协议)协议提供访问控制和维护分布式信息的目录信息;SAML(Security Assertion Markup Language,安全断言标记语言)是一个基于XML(可扩展标记语言)的开源标准数据格式,它在当事方之间交换身份验证和授权数据,尤其是在身份提供者和服务提供者之间交换。
在图2中,业务站点的提供者(或发布者)可以通过点击相应认证方式下面的“添加方式”,来进行具体认证方式的设置。当点击“对接客户自有认证”这一认证方式下的“添加认证方式”选项时,可以弹出如图3所示的添加认证方式的示意图,在图3中,业务站点的提供者(或发布者)可以根据自身需求,选择相应的认证协议类型,填写认证名称、认证ID、ClientID(客户端标识信息)、ClientSecret(客户端密钥)及issuer(发布者)等,完成之后可以点击“提交”按钮,来完成在准入网关中关于认证方式的设置。
业务站点的提供者(或发布者)在准入网关上发布或配置业务站点时,可以在准入网关上确定(即配置或设定)相应的站点访问控制策略,该站点访问控制策略包括但不限于登录控制策略与请求校验策略。其中,登录控制策略可以是是否需要登录、登录方式等,登录方式可以从准入网关提供的多种认证方式中选择。请求校验策略可以是访问范围(即可被访问的范围或内容)、预定请求频率(即允许的最大请求频率,比如1秒请求5次、10次等)、请求地址、禁用情况及预定请求数量(即允许的访问请求的最大数量)等。其中,图4给出了一部分业务站点的站点部署信息,即业务站点的提供者(或发布者)在准入网关上发布或配置业务站点时,对业务站点配置的站点信息,既包括站点访问控制策略,也包括业务站点的基本信息,该基本信息是业务站点接入准入网关前的原始业务站点本身具备的信息,例如网络区域、原始域名、原始根路径、协议支持等。
业务站点的提供者(或发布者)将业务站点发布到准入网关后,即业务站点已接入准入网关或业务站点已被配置到准入网关中,用户在请求访问业务站点时,可以根据业务站点设置的访问域名跳转至业务站点已接入的准入网关,即根据业务站点设置的访问域名向准入网关发起访问请求。准入网关接收到该访问请求后,可以基于业务站点配置到准入网关时确定的站点访问控制策略,对访问请求进行校验。
对访问请求进行的校验,可以包括登录确认校验、请求校验与用户身份校验。基于此,在对访问请求进行校验的过程中,可以先对访问请求进行登录确认校验,当登录确认校验通过后,再对访问请求进行请求校验,当请求校验通过后,再对访问请求进行用户身份校验。
其中,在对访问请求进行登录确认校验的过程中,可以基于站点访问控制策略中的登录控制策略,对访问请求进行登录确认校验,比如校验发起访问请求的用户是否已登录,若已登录,则确定登录确认校验通过,若未登录,则检测是否需要登录,即检测登录控制策略中配置的是需要登录还是不需要登录,若检测结果是需要登录,则引导用户进行登录,比如显示提示用户登录的提示信息,若检测结果是不需要登录,则确定登录确认校验通过。
在对访问请求进行请求校验的过程中,可以基于站点访问控制策略中的请求校验策略,对访问请求进行请求校验。其中,对访问请求进行的请求校验,包括但不限于以下至少一项:校验访问请求的请求地址是否正确;校验访问请求的请求频率是否大于预定请求频率(即校验访问请求是否超出请求校验策略中设定的预定请求频率);校验访问请求是否属于被禁止的访问请求(即校验访问请求的禁用情况);校验获取到访问请求后的总请求数是否大于预定请求数量(即校验接收到的总访问请求的数量是否超出请求校验策略中的预定请求数量);校验访问请求所请求访问的内容是否属于可访问内容(即校验访问请求所请求访问的内容是否属于请求校验策略中设定的访问内容或访问范围)。
用户请求访问业务站点的访问请求中会携带用户的身份认证信息,当准入网关接收到用户请求访问业务站点的访问请求后,可以从访问请求中获取到用户的身份认证信息,同时准入网关会记录用户针对业务站点的每一步操作,比如将用户针对业务站点的每一步操作都记录到操作日志中,以便于后面发现问题时,能够根据操作日志回溯出问题所在。
在一种可能的实现方式中,访问请求包括用户请求访问任一业务站点的身份认证信息;对访问请求进行用户身份校验,包括:根据身份认证信息,对访问请求进行用户身份校验;其中,身份认证信息包括以下至少一项:用户标识信息;用户账号;用户密码。
当用户请求访问已接入准入网关或被配置到准入网关中的业务站点时,准入网关会响应用户的访问请求,即业务站点的服务端从用户发起的访问请求里获得相关的信息,比如用户发起访问的请求频率、请求地址、请求来源等,与上述的登录确认校验和请求校验中的信息类似,通过准入网关对这些相关的信息进行校验并返回相应的响应,当校验通过后,业务站点可以从准入网关提供的接口里获得用于前端展示的用户身份信息,比如手机号、姓名、昵称及电话等,以便于将其展示出来。同时,准入网关将用户的登录信息(即用户的身份认证信息)转发到准入网关中的认证中心,并通过认证中心对用户的身份认证信息进行认证或校验,即准入网关根据用户的身份认证信息,对访问请求进行用户身份校验。其中,用户的身份认证信息包括但不限于用户标识信息、用户账号、用户密码等。
本申请实施例中的准入网关提供的认证框架,如图5所示,支持通过OpenidConnect、LDAP、SAML等多种协议与客户自有认证的认证平台(即第三方认证平台)实现集成对接。准入网关也具有自己的认证中心(记作自有的认证平台),即图5中的里约认证中心,用于与客户自有认证的认证平台相互配合,来完成身份认证信息的认证或校验。
在一种情况下,若业务站点的提供者(或发布者)具备原有的认证平台(记作第三方认证平台),在将业务站点发布或配置到准入网关中时,可以通过在准入网关中调用创建认证的接口,发布原有的认证方式到准入网关上,即在准入网关中发布或配置业务站点时,将该业务站点的认证方式配置或确定为客户原有认证对应的认证方式;接着,将所有对接客户原有认证的业务系统(即业务应用),例如图5中的业务系统A、业务系统B及业务系统C,统一发布或配置到准入网关中,即将业务站点所属的业务应用关联到第三方认证平台。其中,业务站点的提供者(或发布者)在将业务站点发布或配置到准入网关中时,选择登录方式为“客户自有认证”,即可沿用原来的认证方式,即通过原有的认证平台(记作第三方认证平台)对用户的身份认证信息进行认证或校验,并实现在准入网关上对认证方式和业务系统的统一管理。
需要说明的是,上述的第三方认证平台不是准入网关自有的认证平台,是除准入网关的自有认证平台外的认证平台。
在另一种情况下,若业务站点的提供者(或发布者)没有原有的认证平台(记作第三方认证平台),即业务站点所属的业务应用未关联第三方认证平台,则可以选择使用准入网关自有的认证平台,即通过准入网关的认证中心对用户的身份认证信息进行认证或校验。如图5所示,业务系统E、业务系统F及业务系统G均为对接准入网关的自有的认证平台的业务系统,均未关联第三方认证平台,此时可以通过准入网关的认证中心提供的多种认证协议(比如Openid Connect、LDAP、SAML等)的认证方式,包括账号密码认证、手机验证码认证等,对身份认证信息进行认证或校验。
换言之,准入网关在根据身份认证信息,对访问请求进行用户身份校验的过程中,若确定业务站点所属的业务应用已关联第三方认证平台(即客户自有认证的认证平台),则调用第三方认证平台,并通过第三方认证平台根据身份认证信息,对访问请求进行用户身份校验;若确定业务站点所属的业务应用未关联第三方认证平台,则通过自有的认证平台,根据身份认证信息,对访问请求进行用户身份校验。
其中,当通过第三方认证平台进行用户身份校验时,第三方认证平台上用户的用户信息(比如账号信息、联系方式等)都会存储在第三方认证平台这一侧;当通过自有的认证平台进行用户身份校验时,用户的用户信息会统一存储在准入网关的统一账号库中。
通过准入网关去适配不同的认证方式,可以实现所有业务系统之间的互相跳转,即:若业务站点已对接过原有的第三方认证平台,且第三方认证平台具备单点登录的能力,那么当发布或配置到准入网关上的业务站点选择客户自有认证进行登录时,无论是从对接准入网关自有的认证平台的业务站点跳转到第三方认证平台的业务站点,还是从对接第三方认证平台的业务站点跳转到对接准入网关自有的认证平台的业务站点,都可以实现单点登录的能力。
在一种可能的实现方式中,校验还包括合法性校验,在对访问请求进行用户身份校验之后,还包括:若用户身份校验通过,对访问请求进行合法性校验,以验证访问请求的请求来源。
在对访问请求进行合法性校验时,可以执行如下处理:首先,在访问请求的头部信息中增加预设字段,得到处理后的访问请求;接着,向任一业务站点的服务器转发处理后的访问请求,并通过服务器对处理后的访问请求进行合法性校验。其中,预设字段包括以下至少一项:准入网关生成的签名字符串字段;准入网关的时间戳字段;准入网关生成的非重复随机字符串字段;用户的标识信息字段;用户的身份证信息字段;用户信息扩展字段。
在对访问请求进行合法性校验之后,还可以在合法性校验通过时,对访问请求进行脱敏处理;其中,对访问请求进行脱敏处理包括以下至少一项:对访问请求的请求内容进行加密、格式转换及预定内容处理中的至少一项处理;对访问请求的请求参数进行转换参数名称及过滤预定字段中的至少一项处理。
用户可以通过各种可行的访问方式请求访问业务站点,准入网关会接收相应的访问请求,各种可行的访问方式除了常见的IOS终端、安卓终端、小程序和web浏览器外,还可以是一些特殊的设备或APP(应用程序),准入网关在接收到访问请求后,会对发起访问请求的相应设备进行准入校验,准入网关在对发起访问请求的相应设备进行准入校验时,相应设备会上报设备信息给准入网关,准入网关根据设备信息负责鉴权是不是按照预先设定的认证方式来对访问请求进行校验或认证的。其中,当准入网关鉴定是按照预先设定的认证方式来对访问请求进行校验或认证时,需要继续对访问请求进行合法性校验。当准入网关鉴定不是按照预先设定的认证方式来对访问请求进行校验或认证时,可以直接确定访问请求未通过校验,并拒绝用户的访问请求。
需要说明的是,准入校验的级别是由业务站点的提供者(或发布者)在准入网关中发布或配置业务站点时决定,即准入校验的级别是由业务站点的提供者(或发布者)根据自身的业务需求配置的。其中,图6给出了用户通过各种可行的访问方式请求访问发布到或配置到准入网关的业务站点的示意图,在图6中,用户可以通过IOS终端、安卓终端、web浏览器、特殊的访问设备、特殊的APP、小程序及移动应用等访问方式,请求访问发布或配置到准入网关中的业务站点。
在实际应用中,对于某些需要重点保障的业务站点,支持业务站点的提供者(或发布者)自定义请求内容和响应内容、请求头和响应头,如图7所示。在图7中,业务站点的提供者(或发布者)可以根据自身需求,设置相应的目标主机头、请求头、请求内容、请求参数、响应头、响应内容及响应参数等。
默认情况下,一般是准入网关转发访问请求的原始主机头(即用户输入的域名或IP)给后端服务,然而,由于后端服务可能绑定了其他主机头,即后端服务的主机头与访问请求的原始主机头不一致,这种情况在使用共享域名或者实际使用域名与公开域名不一致时更常见,所以可以进一步通过一些可选操作来过滤掉一些非法请求或非法用户。
其中,后端服务是指接入或配置到准入网关的业务站点(例如业务站点A)所对应的原始业务站点(例如业务站点A’)所在设备或服务器(即真正发布业务站点的设备或服务器),原始业务站点A’是未发布到准入网关中的,将原始业务站点A’发布到准入网关后就可以得到上述的业务站点A,从而可以比较方便地供准入网关上其它已发布的业务站点调用该业务站点A。其他已发布到准入网关的业务站点(例如业务站点A)的服务,在调用另外一个已发布到准入网关中的业务站点(例如业务站点B)的服务时,就可以把该另外一个已发布到准入网关中的业务站点(例如业务站点B)的服务叫做目标服务。
准入网关在对访问请求进行合法性校验的过程中,可以将访问请求转发给业务站点的后端服务,并通过业务站点的后端服务对访问请求进行合法性校验。其中,准入网关在转发访问请求给业务站点的后端服务之前,对访问请求的头部信息(即请求头)进行预处理,比如添加或计算一些目标服务所需要的请求头(例如计算签名)。在一个示例中,在准入网关完成身份认证信息的鉴权或校验后,在将访问请求转发给业务站点的后端服务前,可以在访问请求的请求头中增加以下几个字段:
·x-rio-signature:准入网关生成的签名字符串字段,即需要验证该字符串是否合法;
·x-rio-timestamp:准入网关的时间戳字段,即准入网关的unix时间戳,单位为秒;
·x-rio-nonce:准入网关生成的非重复随机字符串字段,用于结合时间戳防止重复;
·x-rio-uid:用户的标识信息字段,即用户的ID(身份标识);
·x-rio-uinfo:用户的身份证信息字段;
·x-rio-ext:用户信息扩展字段,json对象(即JavaScript的原生对象)。
准入网关在访问请求的请求头中增加上述示例所示的预设字段后,可以得到处理后的访问请求,接着,准入网关向业务站点的后端服务转发处理后的访问请求,并通过后端服务对处理后的访问请求进行合法性校验。其中,业务站点的后端服务根据签名算法计算签名并验证访问请求的请求来源,从而确定访问请求是否合法。
除了在访问请求的请求头中增加预设字段外,准入网关还可以对访问请求的请求内容进行预处理,比如加密、特殊内容处理和格式转换等,同时,还可以对访问请求的请求参数进行预处理,比如转换参数名称、过滤某些字段等。其中,请求参数可编辑的内容也可以在请求内容中编辑,准入网关会把请求内容转化为格式化的对象,不仅便于用户方便操作,而且可以对访问信息做好有效脱敏。准入网关通过对来自不同设备或终端的访问请求进行预处理,便于及时过滤掉不合法的访问请求,并对访问信息进行有效脱敏。
图8为本申请实施例的访问请求处理的过程示意图,在图8中,首先,用户发起访问站点URL,即用户发起针对某个业务站点的访问请求;接着,准入网关可以获取到该访问请求,并基于预配置的站点访问控制策略,对访问请求进行校验,在对访问请求进行校验的过程中,先根据登录控制策略,对访问请求进行登录确认校验,以确定用户是否已登录或是否需要登录中的至少一项,当登录确认校验通过时,再对访问请求进行请求校验与用户身份校验,即图8中的基础校验;接着,若访问请求校验未通过,则返回对应错误页,并结束流程,若访问请求校验通过且所有访问请求的请求总数量超过业务站点的限制,则可以提示等待后重试,并结束流程,若访问请求校验通过且所有访问请求的请求总数量未超过业务站点的限制,则向业务站点的后端服务或目标服务发起业务请求,由向业务站点的后端服务或目标服务对业务请求进行签名校验、响应请求及身份获取等处理,相当于针对访问请求进行合法性校验,并返回相应的响应,其中,准入网关将业务站点后端服务或目标服务返回的响应转发给用户,用户接收响应并结束流程。
其中,图8中的基础校验包括请求校验及用户身份校验,请求校验包括但不限于图8中的请求地址、请求频率及禁用情况等的校验,图8中基础校验中的身份信息即为用户身份校验,具体校验过程请参见上述描述,在此不再赘述,图8中基础校验中的日记记录即为上述的操作日志,用于记录用户的每一步操作的相关信息。
本申请实施例的方法,可以在准入网关上基于业务站点提供者(或发布者)配置的站点访问规则过滤非法请求或非法用户,不仅可以满足有些业务站点对于信息的安全性要求,在重大保障期间需要屏蔽访问源的需求,而且在用户访问业务站点时,通过准入网关对接所有业务站点的认证方式,可以对用户身份做统一校验并确保业务站点之间能够互相跳转。同时,在校验用户身份之余,准入网关可以帮助业务应用把关好第一道门,通过准入网关对来自不同终端或APP的访问请求进行预处理,可以实现对非法请求的有效过滤,让业务应用更省心。
本申请实施例的方案,支持业务站点通过对接准入网关来进行用户访问控制和身份鉴权,用户可以轻松地实现跨站点间的单点登录;同时,在用户的访问请求抵达到业务站点的后端服务前,业务站点的后端服务可以从访问请求的请求头中获得相关的信息并进行校验,并在校验信息后返回对应的响应结果,实现业务站点的访问阻断能力,有效保障重大业务站点的安全访问控制。
图9为本申请又一实施例提供的一种访问请求处理装置的结构示意图,该装置可以应用于准入网关,如图9所示,该装置900可以包括:获取模块901、校验模块902及处理模块903,其中:
获取模块901,用于获取用户请求访问任一业务站点的访问请求,任一业务站点是预先配置到准入网关的;
校验模块902,用于基于预配置的站点访问控制策略,对访问请求进行校验,得到相应的校验结果,站点访问控制策略是任一业务站点配置到准入网关时确定的;
处理模块903,用于根据校验结果对访问请求进行相应处理。
在一种可能的实现方式中,校验包括登录确认校验、请求校验与用户身份校验,站点访问控制策略包括登录控制策略与请求校验策略;
校验模块用于:
根据登录控制策略,对访问请求进行登录确认校验,以确定用户是否已登录及是否需要登录中的至少一项;
若登录校验通过,根据请求校验策略,对访问请求进行请求校验;
若请求校验通过,对访问请求进行用户身份校验。
在一种可能的实现方式中,校验模块在对访问请求进行请求校验时,用于执行以下至少一项:
校验访问请求的请求地址是否正确;
校验访问请求的请求频率是否大于预定请求频率;
校验访问请求是否属于被禁止的访问请求;
校验获取到访问请求后的总请求数是否大于预定请求数量;
校验访问请求所请求访问的内容是否属于可访问内容。
在一种可能的实现方式中,访问请求包括用户请求访问任一业务站点的身份认证信息;校验模块在对访问请求进行用户身份校验时,用于:
根据身份认证信息,对访问请求进行用户身份校验;
身份认证信息包括以下至少一项:
用户标识信息;用户账号及用户密码。
在一种可能的实现方式中,校验模块在根据身份认证信息,对访问请求进行用户身份校验时,用于执行以下任一项:
若任一业务站点所属的业务应用已关联第三方认证平台,调用第三方认证平台,并通过第三方认证平台根据身份认证信息,对访问请求进行用户身份校验;
若任一业务站点所属的业务应用未关联第三方认证平台,通过自有的认证平台,根据身份认证信息,对访问请求进行用户身份校验。
在一种可能的实现方式中,校验还包括合法性校验,校验模块在对访问请求进行用户身份校验之后,还用于:
若用户身份校验通过,对访问请求进行合法性校验,以验证访问请求的请求来源。
在一种可能的实现方式中,校验模块在对访问请求进行合法性校验时,用于:
在访问请求的头部信息中增加预设字段,得到处理后的访问请求;
向任一业务站点的服务器转发处理后的访问请求,并通过服务器对处理后的访问请求进行合法性校验。
在一种可能的实现方式中,预设字段包括以下至少一项:
准入网关生成的签名字符串字段;准入网关的时间戳字段;准入网关生成的非重复随机字符串字段;用户的标识信息字段;用户的身份证信息字段;用户信息扩展字段。
在一种可能的实现方式中,校验模块在对访问请求进行合法性校验之后,还用于:
若合法性校验通过,对访问请求进行脱敏处理;
对访问请求进行脱敏处理包括以下至少一项:
对访问请求的请求内容进行加密、格式转换及预定内容处理中的至少一项处理;
对访问请求的请求参数进行转换参数名称及过滤预定字段中的至少一项处理。
本申请实施例提供的装置,通过将业务站点配置到准入网关中并确定相应的站点访问控制策略,使得准入网关可以获取用户针对预先配置到准入网关中的业务站点的访问请求,并基于业务站点配置到准入网关时确定的站点访问控制策略对访问请求进行校验,从而不仅可以有效保障业务站点的访问安全,尤其是重大业务站点的访问安全控制,帮助业务应用把关好第一道门,让应用更省心,而且可以方便地对已配置的各种类型的业务站点进行统一管理,能够对用户身份进行统一识别与鉴权,实现不同业务站点之间的相互跳转,使得用户能够轻松地实现跨业务站点之间的单点登录,极大减轻开发工作量。
需要说明的是,本实施例为与上述的方法项实施例相对应的装置项实施例,本实施例可与上述方法项实施例互相配合实施。上述方法项实施例中提到的相关技术细节在本实施例中依然有效,为了减少重复,这里不再赘述。相应地,本实施例中提到的相关技术细节也可应用在上述方法项实施例中。
本申请另一实施例提供了一种电子设备,如图10所示,图10所示的电子设备1000包括:处理器1001和存储器1003。其中,处理器1001和存储器1003相连,如通过总线1002相连。进一步地,电子设备1000还可以包括收发器1004。需要说明的是,实际应用中收发器1004不限于一个,该电子设备1000的结构并不构成对本申请实施例的限定。
其中,处理器1001应用于本申请实施例中,用于实现图9所示的第获取模块、校验模块及处理模块的功能。收发器1004包括接收机和发射机。
处理器1001可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器1001也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线1002可包括一通路,在上述组件之间传送信息。总线1002可以是PCI总线或EISA总线等。总线1002可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器1003可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器1003用于存储执行本申请方案的应用程序代码,并由处理器1001来控制执行。处理器1001用于执行存储器1003中存储的应用程序代码,以实现图9所示实施例提供的访问请求处理装置的动作。
本申请实施例提供的电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时,可实现:获取用户请求访问任一业务站点的访问请求,任一业务站点是预先配置到准入网关的;接着,基于预配置的站点访问控制策略,对访问请求进行校验,得到相应的校验结果,站点访问控制策略是任一业务站点配置到准入网关时确定的;接着,根据校验结果对访问请求进行相应处理。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现上述实施例所示的方法。其中,通过将业务站点配置到准入网关中并确定相应的站点访问控制策略,使得准入网关可以获取用户针对预先配置到准入网关中的业务站点的访问请求,并基于业务站点配置到准入网关时确定的站点访问控制策略对访问请求进行校验,从而不仅可以有效保障业务站点的访问安全,尤其是重大业务站点的访问安全控制,帮助业务应用把关好第一道门,让应用更省心,而且可以方便地对已配置的各种类型的业务站点进行统一管理,能够对用户身份进行统一识别与鉴权,实现不同业务站点之间的相互跳转,使得用户能够轻松地实现跨业务站点之间的单点登录,极大减轻开发工作量。
本申请实施例提供的计算机可读存储介质适用于上述方法的任一实施例。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上所述仅是本申请的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (14)

1.一种访问请求处理方法,其特征在于,应用于准入网关,所述准入网关是面向软件即服务Saas层的、为各个业务站点提供统一的接入、管理和各个业务站点之间跳转的准入网关;所述准入网关中包括预先发布或配置的各个业务站点以及各个业务站点所对应的站点访问控制策略;
包括:
获取用户请求访问任一业务站点的访问请求,所述任一业务站点是预先配置到所述准入网关的;
基于预配置的与所述任一业务站点对应的站点访问控制策略,对所述访问请求进行校验,得到相应的校验结果,所述站点访问控制策略是所述任一业务站点配置到所述准入网关时确定的;
根据所述校验结果对所述访问请求进行相应处理;
其中,一个业务站点对应的站点访问控制策略,包括登录控制策略与请求校验策略;所述请求校验策略包括该业务站点的访问范围、预定请求频率、请求地址、禁用情况及预定请求数量中的至少一项;所述登录控制策略包括该业务站点是否需要登录或该业务站点的登录方式中的至少一项;所述登录方式是基于所述准入网关的认证配置页面中显示的认证方式中选择的认证方式;
其中,若所述登录控制策略包括登录方式,所述业务站点对应的登录控制策略的获取方式,包括:
在所述准入网关的认证方式配置页面中,显示所述准入网关提供的多种认证方式对应的配置入口、以及所述准入网关支持的自有认证方式对应的配置入口;
基于所述配置页面中多种认证方式和自有认证方式分别对应的配置入口,对所述业务站点对应的认证方式进行配置,得到所述业务站点对应的登录控制策略;
其中,所述业务站点对应的登录方式可包括所述准入网关提供的多种认证方式或所述业务站点的自有认证方式中的至少一项。
2.根据权利要求1所述的方法,其特征在于,所述基于所述配置页面中多种认证方式和自有认证方式分别对应的配置入口,对所述业务站点对应的认证方式进行配置,包括以下至少一项:
响应于对所述多认证方式对应的配置入口的第一选择操作,显示所述多认证方式中被选中的认证方式所对应的第一认证配置页面,并基于所述第一认证配置页面获取对所述业务站点配置的第一认证方式;
响应于对自有认证方式对应的配置入口的第二选择操作,显示所述自有认证方式对应的第二认证配置页面,并基于所述第二认证配置页面获取所述业务站点在自有认证方式对应的至少一项认证信息,所述至少一项认证信息包括认证名称、认证ID、客户端标识信息、客户端密钥、或者发布者中的至少一项。
3.根据权利要求1所述的方法,其特征在于,所述根据所述校验结果对所述访问请求进行相应处理,包括:
当所述校验结果为校验通过时,根据所述校验结果允许用户对所述任一业务站点进行访问,并返回与所述访问请求相对应的访问响应;
当所述校验结果为校验不通过时,根据所述校验结果拒绝用户对所述任一业务站点进行访问,并返回与所述访问请求相对应的拒绝访问的访问响应。
4.根据权利要求1所述的方法,其特征在于,所述校验包括登录确认校验、请求校验与用户身份校验,所述站点访问控制策略包括登录控制策略与请求校验策略;
所述根据预配置的站点访问控制策略,对所述访问请求进行校验,包括:
根据所述登录控制策略,对所述访问请求进行登录确认校验,以确定所述用户是否已登录或是否需要登录中的至少一项;
若登录校验通过,根据所述请求校验策略,对所述访问请求进行请求校验;
若所述请求校验通过,对所述访问请求进行用户身份校验。
5.根据权利要求4所述的方法,其特征在于,对所述访问请求进行请求校验,包括以下至少一项:
校验所述访问请求的请求地址是否正确;
校验所述访问请求的请求频率是否大于预定请求频率;
校验所述访问请求是否属于被禁止的访问请求;
校验获取到所述访问请求后的总请求数是否大于预定请求数量;
校验所述访问请求所请求访问的内容是否属于可访问内容。
6.根据权利要求4所述的方法,其特征在于,所述访问请求包括所述用户请求访问所述任一业务站点的身份认证信息;所述对所述访问请求进行用户身份校验,包括:
根据所述身份认证信息,对所述访问请求进行用户身份校验;
所述身份认证信息包括以下至少一项:
用户标识信息;用户账号;用户密码。
7.根据权利要求6所述的方法,其特征在于,所述根据所述身份认证信息,对所述访问请求进行用户身份校验,包括以下任一项:
若所述任一业务站点所属的业务应用已关联第三方认证平台,调用所述第三方认证平台,并通过所述第三方认证平台根据所述身份认证信息,对所述访问请求进行用户身份校验;
若所述任一业务站点所属的业务应用未关联第三方认证平台,通过自有的认证平台,根据所述身份认证信息,对所述访问请求进行用户身份校验。
8.根据权利要求4所述的方法,其特征在于,所述校验还包括合法性校验,在对所述访问请求进行用户身份校验之后,还包括:
若所述用户身份校验通过,对所述访问请求进行合法性校验,以验证所述访问请求的请求来源。
9.根据权利要求8所述的方法,其特征在于,所述对所述访问请求进行合法性校验,包括:
在所述访问请求的头部信息中增加预设字段,得到处理后的访问请求;
向所述任一业务站点的服务器转发所述处理后的访问请求,并通过所述服务器对所述处理后的访问请求进行合法性校验。
10.根据权利要求9所述的方法,其特征在于,所述预设字段包括以下至少一项:
准入网关生成的签名字符串字段;准入网关的时间戳字段;准入网关生成的非重复随机字符串字段;用户的标识信息字段;用户的身份证信息字段;用户信息扩展字段。
11.根据权利要求8所述的方法,其特征在于,在对所述访问请求进行合法性校验之后,还包括:
若合法性校验通过,对所述访问请求进行脱敏处理;
对所述访问请求进行脱敏处理包括以下至少一项:
对所述访问请求的请求内容进行加密、格式转换及预定内容处理中的至少一项处理;
对所述访问请求的请求参数进行转换参数名称及过滤预定字段中的至少一项处理。
12.一种访问请求处理装置,其特征在于,应用于准入网关,所述准入网关是面向软件即服务Saas层的、为各个业务站点提供统一的接入、管理和各个业务站点之间跳转的准入网关;所述准入网关中包括预先发布或配置的各个业务站点以及各个业务站点所对应的站点访问控制策略;
包括:
获取模块,用于获取用户请求访问任一业务站点的访问请求,所述任一业务站点是预先配置到所述准入网关的;
校验模块,用于基于预配置的与所述任一业务站点对应的站点访问控制策略,对所述访问请求进行校验,得到相应的校验结果,所述站点访问控制策略是所述任一业务站点配置到所述准入网关时确定的;
处理模块,用于根据所述校验结果对所述访问请求进行相应处理;
其中,一个业务站点对应的站点访问控制策略,包括登录控制策略与请求校验策略;所述请求校验策略包括该业务站点的访问范围、预定请求频率、请求地址、禁用情况及预定请求数量中的至少一项;所述登录控制策略包括该业务站点是否需要登录或该业务站点的登录方式中的至少一项;所述登录方式是基于所述准入网关的认证配置页面中显示的认证方式中选择的认证方式;
其中,若所述登录控制策略包括登录方式,所述业务站点对应的登录控制策略的获取方式,包括:
在所述准入网关的认证方式配置页面中,显示所述准入网关提供的多种认证方式对应的配置入口、以及所述准入网关支持的自有认证方式对应的配置入口;
基于所述配置页面中多种认证方式和自有认证方式分别对应的配置入口,对所述业务站点对应的认证方式进行配置,得到所述业务站点对应的登录控制策略;
其中,所述业务站点对应的登录方式可包括所述准入网关提供的多种认证方式或所述业务站点的自有认证方式中的至少一项。
13.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-11任一项所述的方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现权利要求1-11任一项所述的方法。
CN202010530450.7A 2020-06-11 2020-06-11 访问请求处理方法、装置、电子设备及计算机存储介质 Active CN111698250B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010530450.7A CN111698250B (zh) 2020-06-11 2020-06-11 访问请求处理方法、装置、电子设备及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010530450.7A CN111698250B (zh) 2020-06-11 2020-06-11 访问请求处理方法、装置、电子设备及计算机存储介质

Publications (2)

Publication Number Publication Date
CN111698250A CN111698250A (zh) 2020-09-22
CN111698250B true CN111698250B (zh) 2023-11-28

Family

ID=72480398

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010530450.7A Active CN111698250B (zh) 2020-06-11 2020-06-11 访问请求处理方法、装置、电子设备及计算机存储介质

Country Status (1)

Country Link
CN (1) CN111698250B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112235265B (zh) * 2020-09-29 2022-05-31 上海药明康德新药开发有限公司 一种外网访问项目进度系统与方法
CN112231667B (zh) * 2020-11-09 2022-02-18 腾讯科技(深圳)有限公司 身份核验方法、装置、存储介质、系统及设备
CN112613007B (zh) * 2020-12-22 2024-02-09 北京八分量信息科技有限公司 基于可信认证的数据准入方法、装置及相关产品
CN112804224B (zh) * 2021-01-07 2023-07-14 沈阳麟龙科技股份有限公司 一种基于微服务的认证鉴权方法、装置、介质及电子设备
CN113268775B (zh) * 2021-07-16 2021-10-15 深圳市永兴元科技股份有限公司 照片处理方法、装置、系统及计算机可读存储介质
CN113949710B (zh) * 2021-10-15 2024-04-05 北京奇艺世纪科技有限公司 一种数据处理方法及服务器集群
CN114124571A (zh) * 2021-12-09 2022-03-01 上海甄云信息科技有限公司 一种多路对接的单点登录方法及系统
CN114268952B (zh) * 2021-12-22 2023-09-22 广东悦伍纪网络技术有限公司 身份实名认证方法、装置、存储介质及4g盒子设备
CN115001776B (zh) * 2022-05-26 2024-01-30 浙江网商银行股份有限公司 数据处理系统及方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012028168A1 (en) * 2010-08-30 2012-03-08 Nokia Siemens Networks Oy Identity gateway
CN103237019A (zh) * 2013-04-03 2013-08-07 中国科学院合肥物质科学研究院 一种云服务访问网关系统和方法
CN107404485A (zh) * 2017-08-02 2017-11-28 北京天翔睿翼科技有限公司 一种自验证云连接方法及其系统
CN107493280A (zh) * 2017-08-15 2017-12-19 中国联合网络通信集团有限公司 用户认证的方法、智能网关及认证服务器
CN109413032A (zh) * 2018-09-03 2019-03-01 中国平安人寿保险股份有限公司 一种单点登录方法、计算机可读存储介质及网关
CN109815656A (zh) * 2018-12-11 2019-05-28 平安科技(深圳)有限公司 登录认证方法、装置、设备及计算机可读存储介质
CN110086822A (zh) * 2019-05-07 2019-08-02 北京智芯微电子科技有限公司 面向微服务架构的统一身份认证策略的实现方法及系统
CN110213217A (zh) * 2018-08-23 2019-09-06 腾讯科技(深圳)有限公司 数据访问方法、相关装置、网关和数据访问系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012028168A1 (en) * 2010-08-30 2012-03-08 Nokia Siemens Networks Oy Identity gateway
CN103237019A (zh) * 2013-04-03 2013-08-07 中国科学院合肥物质科学研究院 一种云服务访问网关系统和方法
CN107404485A (zh) * 2017-08-02 2017-11-28 北京天翔睿翼科技有限公司 一种自验证云连接方法及其系统
CN107493280A (zh) * 2017-08-15 2017-12-19 中国联合网络通信集团有限公司 用户认证的方法、智能网关及认证服务器
CN110213217A (zh) * 2018-08-23 2019-09-06 腾讯科技(深圳)有限公司 数据访问方法、相关装置、网关和数据访问系统
CN109413032A (zh) * 2018-09-03 2019-03-01 中国平安人寿保险股份有限公司 一种单点登录方法、计算机可读存储介质及网关
CN109815656A (zh) * 2018-12-11 2019-05-28 平安科技(深圳)有限公司 登录认证方法、装置、设备及计算机可读存储介质
CN110086822A (zh) * 2019-05-07 2019-08-02 北京智芯微电子科技有限公司 面向微服务架构的统一身份认证策略的实现方法及系统

Also Published As

Publication number Publication date
CN111698250A (zh) 2020-09-22

Similar Documents

Publication Publication Date Title
CN111698250B (zh) 访问请求处理方法、装置、电子设备及计算机存储介质
CN108901022B (zh) 一种微服务统一鉴权方法及网关
TWI725958B (zh) 雲端主機服務權限控制方法、裝置和系統
US20190190905A1 (en) System and Method for Mobile Single Sign-On Integration
US20180278651A1 (en) Deep Application Programming Interface Inspection (DAPII) for Cloud Security
US9118657B1 (en) Extending secure single sign on to legacy applications
US9794227B2 (en) Automatic detection of authentication methods by a gateway
US8412156B2 (en) Managing automatic log in to internet target resources
EP2974208B1 (en) Actively federated mobile authentication
US9258292B2 (en) Adapting federated web identity protocols
CN111786969B (zh) 单点登录方法、装置及系统
AU2016349477B2 (en) Systems and methods for controlling sign-on to web applications
CN115021991A (zh) 未经管理的移动设备的单点登录
WO2016173199A1 (zh) 一种移动应用单点登录方法及装置
JP2017535877A (ja) 条件付きログインプロモーション
CN113381979B (zh) 一种访问请求代理方法及代理服务器
Ferry et al. Security evaluation of the OAuth 2.0 framework
US11012495B1 (en) Remote service credentials for establishing remote sessions with managed devices
US11165768B2 (en) Technique for connecting to a service
CN110247758B (zh) 密码管理的方法、装置及密码管理器
CA2844888A1 (en) System and method of extending a host website
CN116484338A (zh) 数据库访问方法及装置
CN117251837A (zh) 一种系统接入方法、装置、电子设备及存储介质
CN113992446B (zh) 一种跨域浏览器用户认证方法、系统及计算机储存介质
CN115664761A (zh) 单点登录方法、装置、电子设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40028563

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant