CN111767524B - 权限管理方法、装置、系统、服务器及介质 - Google Patents

权限管理方法、装置、系统、服务器及介质 Download PDF

Info

Publication number
CN111767524B
CN111767524B CN202010425896.3A CN202010425896A CN111767524B CN 111767524 B CN111767524 B CN 111767524B CN 202010425896 A CN202010425896 A CN 202010425896A CN 111767524 B CN111767524 B CN 111767524B
Authority
CN
China
Prior art keywords
target
resource
code
resources
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010425896.3A
Other languages
English (en)
Other versions
CN111767524A (zh
Inventor
吴君佳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN202010425896.3A priority Critical patent/CN111767524B/zh
Publication of CN111767524A publication Critical patent/CN111767524A/zh
Application granted granted Critical
Publication of CN111767524B publication Critical patent/CN111767524B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本说明书实施例公开一种权限管理方法、装置、系统、服务器及介质,在所述权限管理方法中,通过对未进行资源权限分配的目标应用程序的代码进行扫描,为目标应用程序中包含的资源注册权限码,实现了对应用程序资源的权限码自动注册,提高了权限码的注册效率。

Description

权限管理方法、装置、系统、服务器及介质
技术领域
本说明书实施例涉及计算机技术领域,尤其涉及一种权限管理方法、装置、电子设备及可读存储介质。
背景技术
随着科学技术的不断进步,网络技术也得到了飞速发展,在用户访问网络中任意应用程序的资源时,为了确定用户是否有权限访问该资源,需要对用户进行鉴权操作,这就需要对应用程序中的资源进行权限设置和权限管理,同时也需要对用户所拥有的权限进行管理。
发明内容
本说明书实施例提供一种权限管理方法、装置、系统、服务器及介质。
第一方面,本说明书实施例提供一种权限管理方法,应用于权限管理平台中,该方法包括:
获取目标应用程序的代码,所述目标应用程序为未进行资源权限分配的应用程序;
基于所述目标应用程序的代码,获取所述目标应用程序中需要进行权限分配的N个资源,N为正整数;
为所述N个资源中的每个资源注册权限码,建立已注册资源与权限码之间的对应关系,并将所述已注册资源与权限码之间的对应关系保存在所述权限管理平台中。
第二方面,本说明书实施例提供一种权限管理系统,该系统包括:
权限管理平台,网关;
所述权限管理平台,用于获取目标应用程序的代码,所述目标应用程序为未进行资源权限分配的应用程序;基于所述目标应用程序的代码,获取所述目标应用程序中需要进行权限分配的N个资源,N为正整数;为所述N个资源中的每个资源注册权限码,建立已注册资源与权限码之间的对应关系,并将所述已注册资源与权限码之间的对应关系保存在所述权限管理平台中;
所述网关,用于基于接收到的目标用户发起的资源访问请求,生成鉴权服务请求,并将所述鉴权服务请求发送给所述权限管理平台,以使所述权限管理平台基于所述鉴权服务请求,对所述目标用户进行鉴权操作。
第三方面,本说明书实施例提供一种权限管理装置,应用于权限管理平台中,该装置包括:
代码获取模块,用于获取目标应用程序的代码,所述目标应用程序为未进行资源权限分配的应用程序;
资源获取模块,用于基于所述目标应用程序的代码,获取所述目标应用程序中需要进行权限分配的N个资源,N为正整数;
权限管理模块,用于为所述N个资源中的每个资源注册权限码,建立已注册资源与权限码之间的对应关系,并将所述已注册资源与权限码之间的对应关系保存在所述权限管理平台中。
第四方面,本说明书实施例提供一种服务器,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行上述任一项所述方法的步骤。
第五方面,本说明书实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一项所述方法的步骤。
本说明书实施例有益效果如下:
在本说明书实施例提供的权限管理方法中,通过扫描目标应用程序的代码,获取目标应用程序中需要进行权限分配的N个资源,并且为每个资源注册权限码。上述方案中,通过对未进行资源权限分配的目标应用程序的代码进行扫描,能够自动获取目标应用程序中的资源,并实现对每个资源的权限码自动注册。而现有技术中的权限码需要通过人工进行注册和维护,因此,本说明书实施例中的权限管理方法大大提高了权限码的注册效率,节约了人力资源。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本说明书的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本说明书实施例第一方面提供的一种权限管理方法的流程图;
图2为本说明书实施例第二方面提供的权限管理系统的示意图;
图3为本说明书实施例第三方面提供的权限管理装置的示意图;
图4为本说明书实施例第四方面提供的服务器的示意图。
具体实施方式
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本说明书实施例的技术方案做详细的说明,应当理解本说明书实施例以及实施例中的具体特征是对本说明书实施例技术方案的详细的说明,而不是对本说明书技术方案的限定,在不冲突的情况下,本说明书实施例以及实施例中的技术特征可以相互组合。
本说明书实施例提供的权限管理方法可以应用于办公网、测试网等场景中。以办公网为例,通过本说明书实施例提供的权限管理方法可以对办公网中发布的应用程序的资源进行权限码注册和管理,同时对访问办公网中应用程序的用户进行鉴权操作。
第一方面,本说明书实施例提供一种权限管理方法,应用于权限管理平台中,如图1所示,为本说明书实施例提供的一种权限管理方法的流程图,该方法包括以下步骤:
步骤S12:获取目标应用程序的代码,所述目标应用程序为未进行资源权限分配的应用程序;
步骤S14:基于所述目标应用程序的代码,获取所述目标应用程序中需要进行权限分配的N个资源,N为正整数;
步骤S16:为所述N个资源中的每个资源注册权限码,建立已注册资源与权限码之间的对应关系,并将所述已注册资源与权限码之间的对应关系保存在所述权限管理平台中。
本说明书实施例中,目标应用程序可以为权限管理平台进行管理的任意应用程序,目标应用程序的数量可以是一个或多个。例如,以办公网的权限管理场景为例,权限管理平台为管理办公网中发布的各应用程序资源权限的平台,目标应用程序为在办公网中发布上线的任意应用程序。其中,目标应用程序中包含的资源均未进行权限分配。目标应用程序中包含有一个或多个资源,每个资源都可以用对应的URI(Uniform ResourceIdentifier,统一资源标识符)来进行标识。
目标应用程序的代码可以是目标应用程序的源代码,也可以是通过对目标应用程序的二进制代码进行反编译得到的代码,或者是通过其他方式获得的代码,这里不做限定。
目标应用程序的代码可以在代码上线过程中获取,也可以在应用程序发布后获取。本说明书实施例中,可以将应用程序的研发部署平台和权限管理平台打通,在目标应用程序的代码上线流程中获取到对应的代码。
在获取到目标应用程序的代码之后,对代码进行扫描,得到代码中包含的资源,例如,通过提取代码中的URI来获取应用程序中的访问资源。在提取到的资源中,可以根据需要确定出待权限分配的N个资源,例如,可以将提取到的所有资源作为待权限分配的N个资源,或者将提取到的部分资源作为待权限分配的N个资源。对于N个资源中的每个资源,为其注册权限码,权限码的格式可以根据实际需要进行设置,权限码可以是随机生成的,也可以是按照一定规律生成的,这里不做限定。
针对每个资源来说,在为其分配好权限码之后,将权限码与资源进行关联,建立一组已注册资源与权限码之间的对应关系,这样,可以将权限管理平台进行管理的全部应用程序中的资源与各自的权限码关联起来,构成已注册资源与权限码之间的对应关系。将已注册资源与权限码之间的对应关系保存在权限管理平台中,以便权限管理平台对各个资源的权限码进行管理。
可见,本说明书实施例中的方法,能够对未进行资源权限分配的应用程序自动进行资源提取并进行权限注册,而无需通过人工进行权限的分配和管理,大大提高了权限码的注册效率,节约了人力资源。
本说明书实施例中,获取目标应用程序中的资源可以通过以下方式实现:检测所述目标应用程序的代码中是否存在预设信息,所述预设信息为用于表征执行鉴权操作的信息;若所述目标应用程序的代码中存在所述预设信息,获取与所述预设信息对应的资源,作为需要进行权限分配的所述N个资源。
在具体实施过程中,预设信息可以是预设函数的名称、代码中包含的预设节点名称等。预设信息为需要进行鉴权操作的信息,即当代码中包含有预设信息时,则预设信息所在的位置为需要进行权限校验的位置。
预设信息的数量可以为一个或多个,在预设信息为多个的时候,可以将预设信息中的每个信息逐一与目标应用程序的代码进行比对,确定代码中是否包含有该预设信息。举例来讲,GroupID作为一个预设信息,在对目标应用程序的代码进行扫描时,检测代码中是否包含有GroupID,如果检测到存在该预设信息,则进一步对GroupID所在的代码段进行解析,以得到与该预设信息对应的URI。其中,一个预设信息可以对应一个或多个资源,在进行资源解析时,可以通过解析预设信息所在代码段的调用关系、引用关系等得到对应的资源。
进一步的,在获取到目标应用程序中包含的N个资源之后,为每个资源配置权限码,在具体实施过程中,权限码的配置可以通过以下方式实现:针对所述N个资源中的每个资源,基于该资源、所述目标应用程序的标识以及所述目标应用程序的等级,生成该资源的权限码,并建立权限码与该资源之间的对应关系,作为一组已注册资源与权限码之间的对应关系。
具体来讲,在对目标应用程序的资源进行权限码注册时,可以随机生成权限码,也可以按照预设的权限码命名规则来生成与资源对应的权限码。在本说明书实施例中,可以通过目标应用程序的标识、以及目标应用程序的等级来随机生成或按照预设规则生成权限码。
以按照预设的权限码命名规则来生成权限码为例,若权限码的命名规则为:应用名-应用等级-序号,则目标应用程序的标识即为应用名,以目标应用程序的应用名为S1、目标应用程序的应用等级为A1为例,如果目标应用程序中提取出三个资源,则生成这三个资源的权限码分别为S1-A1-01、S1-A1-02、S1-A1-03。当然,权限码的命名规则还可以为其他规则,如通过应用名-序号的方式来命名等,这里不做限定。
其中,目标应用程序的等级可以根据目标应用程序对应的业务等级来确定。例如,目标应用程序涉及的业务为涉及到用户个人信息的业务,由于用户个人信息通常为加密信息,为了避免泄漏,该业务的等级可以设置为高等级,则对应的目标应用程序的等级也为高等级。如果目标应用程序涉及到的业务为公开数据的查询业务,该业务的等级可以设置为低等级,对应的目标应用程序的等级也为低等级。目标应用程序的等级可以是预先设置好的,也可以是根据对应的业务等级来实时确定的,其中,业务等级也可以是预先设置好的,这里不做限定。
在生成每个资源的权限码之后,将权限码与对应的资源进行关联,如将应用程序S1中的资源1与其权限码S1-A1-01进行关联,得到权限码与资源之间的对应关系为:S1-A1-01(资源1),并将其作为一组已注册资源与权限码之间的对应关系保存在权限管理平台中,以便在后续查询资源对应的权限码时,可以在保存好的对应关系中直接获取。
进一步的,本说明书实施例中的方法还包括:基于目标用户的资源访问请求,获取所述目标用户所要访问的应用程序的目标资源;基于所述权限管理平台上保存的所述已注册资源与权限码之间的对应关系、以及所述目标用户的目标权限码集合,确定所述目标用户是否有访问所述目标资源的权限。
具体来讲,以办公网为例,目标用户可以是办公网的任意使用用户,目标用户可以访问办公网中发布的应用程序中的资源,由于有些资源的访问是需要权限的,因此,在目标用户访问目标资源时,需要确定目标用户是否具有访问目标资源的权限,即执行鉴权操作。
目标用户的权限可以是已经配置好的,也可以是目标用户通过提交权限申请而申请到的权限。例如,目标用户对应有目标权限码集合,当目标用户访问目标资源时,权限管理平台对目标用户进行鉴权。具体的,可以根据平台上保存的已注册资源与权限码之间的对应关系,确定出目标资源的权限码,检测目标用户的目标权限码集合中是否包含有目标资源的权限码,若包含,则表明目标用户具有目标资源的访问权限,若不包含,则表明目标用户不具有目标资源的访问权限。
进一步的,本说明书实施例中,权限管理平台与网关通信连接,所述网关用于接收所述目标用户的资源访问请求,所述基于目标用户的资源访问请求,获取所述目标用户所要访问的应用程序的目标资源,包括:接收所述网关基于所述资源访问请求生成的鉴权服务请求,所述鉴权服务请求中包含有所述目标用户的目标用户标识以及与所述目标资源对应的目标资源信息;所述基于所述权限管理平台上保存的所述已注册资源与权限码之间的对应关系、以及所述目标用户的目标权限码集合,确定所述目标用户是否有访问所述目标资源的权限,包括:根据所述目标资源信息、以及所述已注册资源与权限码之间的对应关系,确定出与所述目标资源信息对应的目标权限码;根据所述目标用户标识、以及用户标识与权限码集合的对应关系,确定出与所述目标用户标识对应的所述目标权限码集合,并查询所述目标权限码集合中是否包含有所述目标权限码,获得查询结果,所述查询结果用于表征所述目标用户是否有访问所述目标资源的权限。
在具体实施过程中,网关可以为流量网关,用于将流量代理到各个应用程序以使各个应用程序提供服务。目标用户在发起资源访问请求时,首先将资源访问请求发送给网关,网关调用权限管理平台进行鉴权服务,即网关在接收到资源访问请求后,向权限管理平台发送鉴权服务请求,该鉴权服务请求中包含有目标用户的目标用户标识以及目标资源信息,其中,目标资源信息可以包括目标资源所属的应用程序的名称、目标资源的名称等。
权限管理平台在接收到鉴权服务请求后,基于目标用户的目标用户标识,确定目标用户的目标权限码集合。本说明书实施例中,用户标识与权限码集合之间的对应关系可以保存在权限管理平台中,即权限管理平台可以对用户的权限进行管理,当获取到目标用户的目标用户标识后,根据平台上的用户标识与权限码集合的对应关系,确定出与目标用户标识对应的目标权限码集合。另外,根据目标资源信息,以及平台上保存的已注册资源与权限码之间的对应关系,确定出目标资源的目标权限码。通过查询目标用户的目标权限码集合中是否包含目标权限码,获得查询结果。
进一步的,将所述查询结果反馈至所述网关,以使所述网关在所述查询结果表明所述目标权限码集合中包含有所述目标权限码时,将所述目标用户的资源访问请求发送至所述目标用户所要访问的应用程序。
具体来讲,当查询结果表明目标用户的目标权限码集合中包含有目标权限码时,则鉴权通过,若查询结果表明目标用户的目标权限码集合中未包含有目标权限码时,则鉴权失败。在鉴权通过时,网关将目标用户的资源访问请求发送给对应的应用程序,即将流量代理到对应的应用程序以提供服务。
需要说明的是,现有技术中,用户在访问应用程序的资源时,由访问的应用程序向权限管理平台发起鉴权请求,以确定该用户是否有访问该资源的权限,权限管理平台将鉴权结果返回给应用程序,若鉴权结果为鉴权通过,则允许该用户访问资源。因此,现有技术中对用户的鉴权是由应用程序发起的,权限管理平台是被动管控,如果应用程序不发起鉴权请求,则权限平台上的权限码无法发挥作用。
而本说明书实施例中,在用户发起资源访问请求时,通过网关调用权限管理平台的鉴权服务,无需应用程序发起鉴权,从而实现了权限管理平台基于流量访问的主动鉴权。
进一步的,为了避免出现资源的漏注册,本说明书实施例中的方法还包括:获取所述权限管理平台对应用程序的历史访问用户进行鉴权时产生的鉴权日志,并在所述鉴权日志中包含的历史访问资源数据中确定出与所述目标应用程序对应的M个资源,M为正整数;基于已注册的所述目标应用程序的N个资源,确定所述M个资源中是否包含有与所述N个资源中每个资源均不相同的未注册资源;若是,对所述未注册资源注册权限码。
本说明书实施例中,用户在每次访问应用程序的资源时,均需要权限管理平台对用户进行鉴权操作,基于每次鉴权操作生成鉴权日志,其中,针对鉴权日志中的每条数据,记录了该次鉴权操作中用户访问的应用程序信息以及访问的资源信息,例如,在对用户访问应用程序S1中的资源a1进行鉴权时,在鉴权日志中记录下访问的应用程序S1以及资源a1,因此,鉴权日志中包含有各个访问用户访问任意应用程序资源的数据。
由于通过代码扫描对资源进行权限码的分配,有可能存在一定误差,可能出现漏注册的情况。因此,可以监控鉴权日志中历史访问用户曾经访问过的各个应用程序的资源,并与通过代码扫描进行注册的资源进行比对,以及时发现漏注册的资源并进行权限码的分配。具体来讲,对于目标应用程序来说,在对目标应用程序的代码进行扫描,获取了N个资源;然后在鉴权日志中提取出各个用户历史访问目标应用程序的资源,通过去重处理,若在鉴权日志中确定出目标应用程序的资源为M个,将M个资源中的每个资源逐个与N个资源进行比对,确定是否有未包含在N个资源中的资源,若存在,则该资源为未注册的资源。
例如,目标应用程序对应的已注册的资源为a1-a9,在鉴权日志中获取到的访问目标应用程序的资源包括a1-a10,即鉴权日志中出现的资源a10未包含在已注册的资源中,则a10为未注册资源,此时,对a10进行权限码注册。
需要说明的是,现有技术中,资源和权限码之间的关系是在应用程序内部进行维护的,权限管理平台负责维护用户和权限码的关系,这样就导致权限管理平台无法感知应用程序内部的权限管控情况,比如一个应用程序内部有10个访问资源,但只配置了9个权限码,权限管理平台是无法感知的。而本说明书实施例通过提取鉴权日志中的访问资源,并监控提取的资源与注册资源之间的差异,来对资源与权限码进行管理,避免出现漏注册的情况发生。
综上所述,本说明书实施例中的方案,能够实现对应用程序中的资源进行权限码自动注册;并且基于网关的流量控制,无需应用程序发起鉴权,实现了权限管理平台的基于流量访问的主动鉴权;另外,基于鉴权日志中的资源统计,实时发现未注册权限码的资源,有效避免了资源的注册遗漏。同时,由于现有技术中的权限管理平台,每个应用程序都需要与权限平台对接,导致应用程序的接入成本高,而本说明书实施例中的方案通过网关进行流量分发和控制,无需应用程序单独接入,实现了应用程序的零接入成本。
第二方面,基于同一发明构思,本说明书实施例提供一种权限管理系统,请参考图2,为权限管理系统的示意图,该系统包括:
权限管理平台21,网关22;
权限管理平台21,用于获取目标应用程序的代码,所述目标应用程序为未进行资源权限分配的应用程序;基于所述目标应用程序的代码,获取所述目标应用程序中需要进行权限分配的N个资源,N为正整数;为所述N个资源中的每个资源注册权限码,建立已注册资源与权限码之间的对应关系,并将所述已注册资源与权限码之间的对应关系保存在权限管理平台21中;
网关22,用于基于接收到的目标用户发起的资源访问请求,生成鉴权服务请求,并将所述鉴权服务请求发送给权限管理平台21,以使权限管理平台21基于所述鉴权服务请求,对所述目标用户进行鉴权操作。
本说明书实施例中,网关22可以为流量网关,用于将流量代理到各个应用程序以使各个应用程序体用服务。目标用户在发起资源访问请求时,首先将资源访问请求发送给网关22,网关22调用权限管理平台21进行鉴权服务,即网关22在接收到资源访问请求后,向权限管理平台21发送鉴权服务请求。权限管理平台21在接收到鉴权服务请求之后,对目标用户进行鉴权操作。
在具体实施过程中,鉴权服务请求中可以包含有目标用户的目标用户标识以及目标资源信息,其中,目标资源信息可以包括目标资源所属的应用程序的名称、目标资源的名称等。权限管理平台21在接收到鉴权服务请求后,基于目标用户的目标用户标识,确定目标用户的目标权限码集合。本说明书实施例中,用户标识与权限码集合之间的对应关系可以保存在权限管理平台21中,即权限管理平台21可以对用户的权限进行管理,当获取到目标用户的目标用户标识后,根据平台上的用户标识与权限码集合的对应关系,确定出与目标用户标识对应的目标权限码集合。另外,根据目标资源信息,以及平台上保存的已注册资源与权限码之间的对应关系,确定出目标资源的目标权限码。通过查询目标用户的目标权限码集合中是否包含目标权限码,获得查询结果。
进一步的,权限管理平台21将查询结果反馈至网关22,以使网关22在查询结果表明权限码集合中包含有目标权限码时,将目标用户的资源访问请求发送至目标用户所要访问的应用程序。
本说明书实施例通,所述系统还包括:应用研发部署平台,用于对应用程序进行研发和发布;所述权限管理平台,用于在所述应用研发部署平台发布所述目标应用程序之前,获取所述目标应用程序的代码。
其中,应用研发部署平台负责各个应用程序的代码研发、发布和管理。权限管理平台21可以对应用研发部署平台中的所有应用程序进行权限管理,也可以对部分应用程序进行权限管理,这里不做限定。本说明书实施例中,应用研发部署平台与权限管理平台21进行打通,以便对待资源管理的应用程序的资源进行权限注册。以目标应用程序为例,应用研发部署平台发布目标应用程序之前,权限管理平台对目标应用程序的代码进行扫描,以获取目标应用程序中的N个资源。
本说明书实施例中,网关22、权限管理平台21与应用研发部署平台之间能够互相通信,其中,权限管理平台21通过与应用研发部署平台进行通信,为目标应用程序中的资源进行权限注册;权限管理平台21通过与网关22进行通信,对目标用户进行鉴权操作;在目标用户鉴权成功时,网关22通过与应用研发部署平台通信,将流量代理到目标用户所要访问的应用程序中。
关于上述系统,其中各个系统块的具体功能已经在本说明书实施例提供的权限管理方法的实施例中进行了详细描述,此处将不做详细阐述说明。
第三方面,基于同一发明构思,本说明书实施例提供一种权限管理装置,应用于权限管理平台中,请参考图3,该装置包括:
代码获取模块31,用于获取目标应用程序的代码,所述目标应用程序为未进行资源权限分配的应用程序;
资源获取模块32,用于基于所述目标应用程序的代码,获取所述目标应用程序中需要进行权限分配的N个资源,N为正整数;
权限管理模块33,用于为所述N个资源中的每个资源注册权限码,建立已注册资源与权限码之间的对应关系,并将所述已注册资源与权限码之间的对应关系保存在所述权限管理平台中。
在一种可选实现方式中,资源获取模块32,用于:
检测所述目标应用程序的代码中是否存在预设信息,所述预设信息为用于表征执行鉴权操作的信息;
若所述目标应用程序的代码中存在所述预设信息,获取与所述预设信息对应的资源,作为需要进行权限分配的所述N个资源。
在一种可选实现方式中,权限管理模块33,用于:
针对所述N个资源中的每个资源,基于该资源、所述目标应用程序的标识以及所述目标应用程序的等级,生成该资源的权限码,并建立权限码与该资源之间的对应关系,作为一组已注册资源与权限码之间的对应关系。
在一种可选实现方式中,所述装置还包括:
访问资源获取模块,用于基于目标用户的资源访问请求,获取所述目标用户所要访问的应用程序的目标资源;
鉴权模块,用于基于所述权限管理平台上保存的所述已注册资源与权限码之间的对应关系、以及所述目标用户的目标权限码集合,确定所述目标用户是否有访问所述目标资源的权限。
在一种可选实现方式中,所述权限管理平台与网关通信连接,所述网关用于接收所述目标用户的资源访问请求,所述访问资源获取模块,用于:
接收所述网关基于所述资源访问请求生成的鉴权服务请求,所述鉴权服务请求中包含有所述目标用户的目标用户标识以及与所述目标资源对应的目标资源信息;
所述鉴权模块,用于:
根据所述目标资源信息、以及所述已注册资源与权限码之间的对应关系,确定出与所述目标资源信息对应的目标权限码;
根据所述目标用户标识以及用户标识与权限码集合的对应关系,确定出与所述目标用户标识对应的所述目标权限码集合;
查询所述目标权限码集合中是否包含有所述目标权限码,获得查询结果,所述查询结果用于表征所述目标用户是否有访问所述目标资源的权限。
在一种可选实现方式中,所述装置还包括:
响应模块,用于将所述查询结果反馈至所述网关,以使所述网关在所述查询结果表明所述目标权限码集合中包含有所述目标权限码时,将所述目标用户的资源访问请求发送至所述目标用户所要访问的应用程序。
在一种可选实现方式中,所述装置还包括:
鉴权日志获取模块,用于获取所述权限管理平台对应用程序的历史访问用户进行鉴权时产生的鉴权日志,并在所述鉴权日志中包含的历史访问资源数据中确定出与所述目标应用程序对应的M个资源,M为正整数;
处理模块,用于基于所述目标应用程序的N个资源,确定所述M个资源中是否包含有与所述N个资源中每个资源均不相同的未注册资源;若是,对所述未注册资源注册权限码。
关于上述装置,其中各个模块的具体功能已经在本说明书实施例提供的权限管理方法的实施例中进行了详细描述,此处将不做详细阐述说明。
第四方面,基于与前述实施例中权限管理方法同样的发明构思,本说明书实施例还提供一种服务器,如图4所示,包括存储器404、处理器402及存储在存储器404上并可在处理器402上运行的计算机程序,所述处理器402执行所述程序时实现前文所述权限管理方法的任一方法的步骤。
其中,在图4中,总线架构(用总线400来代表),总线400可以包括任意数量的互联的总线和桥,总线400将包括由处理器402代表的一个或多个处理器和存储器404代表的存储器的各种电路链接在一起。总线400还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口406在总线400和接收器401和发送器403之间提供接口。接收器401和发送器403可以是同一个元件,即收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器402负责管理总线400和通常的处理,而存储器404可以被用于存储处理器402在执行操作时所使用的数据。
第五方面,基于与前述实施例中基于权限管理方法的发明构思,本说明书实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前文所述基于权限管理方法的任一方法的步骤。
本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的设备。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令设备的制造品,该指令设备实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本说明书的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本说明书范围的所有变更和修改。
显然,本领域的技术人员可以对本说明书进行各种改动和变型而不脱离本说明书的精神和范围。这样,倘若本说明书的这些修改和变型属于本说明书权利要求及其等同技术的范围之内,则本说明书也意图包含这些改动和变型在内。

Claims (16)

1.一种权限管理方法,应用于权限管理平台中,所述方法包括:
获取目标应用程序的代码,所述目标应用程序为未进行资源权限分配的应用程序;
基于所述目标应用程序的代码,获取所述目标应用程序中需要进行权限分配的N个资源,N为正整数;
为所述N个资源中的每个资源注册权限码,建立已注册资源与权限码之间的对应关系,并将所述已注册资源与权限码之间的对应关系保存在所述权限管理平台中;
所述权限管理平台与网关通信连接,所述网关用于接收所述目标用户的资源访问请求;
所述为所述N个资源中的每个资源注册权限码,以建立已注册资源与权限码之间的对应关系,包括:
针对所述N个资源中的每个资源,基于该资源、所述目标应用程序的标识以及所述目标应用程序的等级,生成该资源的权限码,并建立权限码与该资源之间的对应关系,作为一组已注册资源与权限码之间的对应关系。
2.根据权利要求1所述的方法,所述基于所述目标应用程序的代码,获取所述目标应用程序中需要进行权限分配的N个资源,包括:
检测所述目标应用程序的代码中是否存在预设信息,所述预设信息为用于表征执行鉴权操作的信息;
若所述目标应用程序的代码中存在所述预设信息,获取与所述预设信息对应的资源,作为需要进行权限分配的所述N个资源。
3.根据权利要求1所述的方法,所述方法还包括:
基于目标用户的资源访问请求,获取所述目标用户所要访问的应用程序的目标资源;
基于所述权限管理平台上保存的所述已注册资源与权限码之间的对应关系、以及所述目标用户的目标权限码集合,确定所述目标用户是否有访问所述目标资源的权限。
4.根据权利要求3所述的方法,所述基于目标用户的资源访问请求,获取所述目标用户所要访问的应用程序的目标资源,包括:
接收所述网关基于所述资源访问请求生成的鉴权服务请求,所述鉴权服务请求中包含有所述目标用户的目标用户标识以及与所述目标资源对应的目标资源信息;
所述基于所述权限管理平台上保存的所述已注册资源与权限码之间的对应关系、以及所述目标用户的目标权限码集合,确定所述目标用户是否有访问所述目标资源的权限,包括:
根据所述目标资源信息、以及所述已注册资源与权限码之间的对应关系,确定出与所述目标资源信息对应的目标权限码;
根据所述目标用户标识、以及用户标识与权限码集合的对应关系,确定出与所述目标用户标识对应的所述目标权限码集合;
查询所述目标权限码集合中是否包含有所述目标权限码,获得查询结果,所述查询结果用于表征所述目标用户是否有访问所述目标资源的权限。
5.根据权利要求4所述的方法,所述查询所述目标权限码集合中是否包含有所述目标权限码,获得查询结果之后,所述方法还包括:
将所述查询结果反馈至所述网关,以使所述网关在所述查询结果表明所述目标权限码集合中包含有所述目标权限码时,将所述目标用户的资源访问请求发送至所述目标用户所要访问的应用程序。
6.根据权利要求1所述的方法,所述方法还包括:
获取所述权限管理平台对应用程序的历史访问用户进行鉴权时产生的鉴权日志,并在所述鉴权日志中包含的历史访问资源数据中确定出与所述目标应用程序对应的M个资源,M为正整数;
基于所述目标应用程序的N个资源,确定所述M个资源中是否包含有与所述N个资源中每个资源均不相同的未注册资源;
若是,对所述未注册资源注册权限码。
7.一种权限管理系统,所述系统包括:
权限管理平台,网关;
所述权限管理平台,用于获取目标应用程序的代码,所述目标应用程序为未进行资源权限分配的应用程序;基于所述目标应用程序的代码,获取所述目标应用程序中需要进行权限分配的N个资源,N为正整数;为所述N个资源中的每个资源注册权限码,建立已注册资源与权限码之间的对应关系,并将所述已注册资源与权限码之间的对应关系保存在所述权限管理平台中;
所述网关,用于基于接收到的目标用户发起的资源访问请求,生成鉴权服务请求,并将所述鉴权服务请求发送给所述权限管理平台,以使所述权限管理平台基于所述鉴权服务请求,对所述目标用户进行鉴权操作;
所述为所述N个资源中的每个资源注册权限码,建立已注册资源与权限码之间的对应关系,包括:
针对所述N个资源中的每个资源,基于该资源、所述目标应用程序的标识以及所述目标应用程序的等级,生成该资源的权限码,并建立权限码与该资源之间的对应关系,作为一组已注册资源与权限码之间的对应关系。
8.根据权利要求7所述的系统,所述系统还包括:
应用研发部署平台,用于对应用程序进行研发和发布;
所述权限管理平台,用于在所述应用研发部署平台发布所述目标应用程序之前,获取所述目标应用程序的代码。
9.一种权限管理装置,应用于权限管理平台中,所述装置包括:
代码获取模块,用于获取目标应用程序的代码,所述目标应用程序为未进行资源权限分配的应用程序;
资源获取模块,用于基于所述目标应用程序的代码,获取所述目标应用程序中需要进行权限分配的N个资源,N为正整数;
权限管理模块,用于为所述N个资源中的每个资源注册权限码,建立已注册资源与权限码之间的对应关系,并将所述已注册资源与权限码之间的对应关系保存在所述权限管理平台中;
所述权限管理平台与网关通信连接,所述网关用于接收所述目标用户的资源访问请求;
所述权限管理模块,用于:
针对所述N个资源中的每个资源,基于该资源、所述目标应用程序的标识以及所述目标应用程序的等级,生成该资源的权限码,并建立权限码与该资源之间的对应关系,作为一组已注册资源与权限码之间的对应关系。
10.根据权利要求9所述的装置,所述资源获取模块,用于:
检测所述目标应用程序的代码中是否存在预设信息,所述预设信息为用于表征执行鉴权操作的信息;
若所述目标应用程序的代码中存在所述预设信息,获取与所述预设信息对应的资源,作为需要进行权限分配的所述N个资源。
11.根据权利要求9所述的装置,所述装置还包括:
访问资源获取模块,用于基于目标用户的资源访问请求,获取所述目标用户所要访问的应用程序的目标资源;
鉴权模块,用于基于所述权限管理平台上保存的所述已注册资源与权限码之间的对应关系、以及所述目标用户的目标权限码集合,确定所述目标用户是否有访问所述目标资源的权限。
12.根据权利要求11所述的装置,所述访问资源获取模块,用于:
接收所述网关基于所述资源访问请求生成的鉴权服务请求,所述鉴权服务请求中包含有所述目标用户的目标用户标识以及与所述目标资源对应的目标资源信息;
所述鉴权模块,用于:
根据所述目标资源信息、以及所述已注册资源与权限码之间的对应关系,确定出与所述目标资源信息对应的目标权限码;
根据所述目标用户标识以及用户标识与权限码集合的对应关系,确定出与所述目标用户标识对应的所述目标权限码集合;
查询所述目标权限码集合中是否包含有所述目标权限码,获得查询结果,所述查询结果用于表征所述目标用户是否有访问所述目标资源的权限。
13.根据权利要求12所述的装置,所述装置还包括:
响应模块,用于将所述查询结果反馈至所述网关,以使所述网关在所述查询结果表明所述目标权限码集合中包含有所述目标权限码时,将所述目标用户的资源访问请求发送至所述目标用户所要访问的应用程序。
14.根据权利要求9所述的装置,所述装置还包括:
鉴权日志获取模块,用于获取所述权限管理平台对应用程序的历史访问用户进行鉴权时产生的鉴权日志,并在所述鉴权日志中包含的历史访问资源数据中确定出与所述目标应用程序对应的M个资源,M为正整数;
处理模块,用于基于所述目标应用程序的N个资源,确定所述M个资源中是否包含有与所述N个资源中每个资源均不相同的未注册资源;若是,对所述未注册资源注册权限码。
15.一种服务器,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1-6任一项所述方法的步骤。
16.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-6任一项所述方法的步骤。
CN202010425896.3A 2020-05-19 2020-05-19 权限管理方法、装置、系统、服务器及介质 Active CN111767524B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010425896.3A CN111767524B (zh) 2020-05-19 2020-05-19 权限管理方法、装置、系统、服务器及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010425896.3A CN111767524B (zh) 2020-05-19 2020-05-19 权限管理方法、装置、系统、服务器及介质

Publications (2)

Publication Number Publication Date
CN111767524A CN111767524A (zh) 2020-10-13
CN111767524B true CN111767524B (zh) 2023-05-16

Family

ID=72719471

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010425896.3A Active CN111767524B (zh) 2020-05-19 2020-05-19 权限管理方法、装置、系统、服务器及介质

Country Status (1)

Country Link
CN (1) CN111767524B (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109688086A (zh) * 2017-10-19 2019-04-26 北京京东尚科信息技术有限公司 用于终端设备的权限控制方法和装置
CN108629178B (zh) * 2018-04-27 2022-02-15 北京小米移动软件有限公司 应用程序的资源访问权限配置方法及装置
CN108804938B (zh) * 2018-06-14 2020-12-25 北京金山安全软件有限公司 一种权限检测方法、装置、电子设备及可读存储介质
CN109039880A (zh) * 2018-09-05 2018-12-18 四川长虹电器股份有限公司 一种利用api网关实现简单认证授权的方法
CN110851802A (zh) * 2019-11-06 2020-02-28 腾讯科技(深圳)有限公司 权限控制方法、装置、设备及计算机可读介质

Also Published As

Publication number Publication date
CN111767524A (zh) 2020-10-13

Similar Documents

Publication Publication Date Title
JP7222036B2 (ja) モデルトレーニングシステムおよび方法および記憶媒体
CN111740945B (zh) 数据处理方法及装置
CN110289965B (zh) 一种应用程序服务的管理方法及装置
CN112235290B (zh) 基于区块链的物联网设备管理方法及第一物联网设备
CN114389890B (zh) 一种用户请求的代理方法、服务器及存储介质
CN116527632A (zh) 内容分发网络回源请求的处理方法、装置、设备及介质
CN115004666A (zh) 物联网设备的注册方法、装置、设备及存储介质
US20240179142A1 (en) Method and apparatus for account association, and computer device and storage medium
CN106656942A (zh) 角色令牌颁发方法、访问控制方法及相关设备
CN111767524B (zh) 权限管理方法、装置、系统、服务器及介质
CN112637231A (zh) 授权方法、装置、存储介质及服务器
CN116595495A (zh) 个人数据的跨网络应用程序自动流转方法及系统
CN106487776B (zh) 一种保护机器类通信设备的方法、网络实体及系统
GB2520938A (en) Mobile device location
CN109996228B (zh) 一种信息处理方法及电子设备
CN112311716B (zh) 一种基于openstack的数据访问控制方法、装置及服务器
CN116208346A (zh) 一种资源调度方法、装置、终端、平台管理器及编排器
CN106936643A (zh) 一种设备联动方法以及终端设备
CN110178350B (zh) 用于用户装备类型的增强型检测的方法
CN112565155B (zh) 数据处理方法、装置、设备及存储介质
CN116305218B (zh) 一种数据链路追踪及数据更新方法、装置及数据管理系统
CN112311771B (zh) 一种管理用户接入设备的方法、管理设备和网络设备
CN117492872B (zh) 环境配置方法、装置、系统及存储介质
CN116232655B (zh) 一种基于物联网云平台的组态应用权限管理方法以及系统
CN114546927B (zh) 数据传输方法、核心、计算机可读介质、电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant