CN111783076A - 权限资源构建、建权、授权、验证多场景归一化处理模型 - Google Patents
权限资源构建、建权、授权、验证多场景归一化处理模型 Download PDFInfo
- Publication number
- CN111783076A CN111783076A CN202010779827.2A CN202010779827A CN111783076A CN 111783076 A CN111783076 A CN 111783076A CN 202010779827 A CN202010779827 A CN 202010779827A CN 111783076 A CN111783076 A CN 111783076A
- Authority
- CN
- China
- Prior art keywords
- establishment
- resource
- authority
- role
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供权限资源构建、建权、授权、验证多场景归一化处理模型,涉及资源管理领域。该权限资源构建、建权、授权、验证多场景归一化处理模型,包括权限资源的入口划分为多个、建立静态建权和动态建权、资源授权和把具体的权限认证抽离出来。前后端分离,更加灵活;无需手动录入权限资源,减少冲突和人力,加快了开发;支持多种建权模式,多种资源入口。
Description
技术领域
本发明涉及各种涉及权限认证的信息系统技术领域,具体为权限资源构建、建权、授权、验证多场景归一化处理模型。
背景技术
权限认证几乎是每个系统必不可少的功能,是系统安全性的重要屏障。目前市场上已经提出了很多认证方案:单体应用下的常用方案,微服务下的SSO单点登陆方案,分布式Session与网关结合方案,网关Token和服务鉴权结合等。针对不同的方案也有相应的成熟的实现:CAS(Central Authentication Service),Shiro,OAuth2,Spring
Security OAuth2(建立在Spring Security的基础上,实现了OAuth2的规范)等。这些实现的关注点都聚焦在授权和验证这二点,几乎没有一个框架能够模拟一个应用的整个生命周期,设计出完整的解决方案。
权限认证方案跟应用的部署息息相关:不同的部署模式需要采用不同的认证方案,同一个应用的部署模式又随着客户应用场景的不同而不同;权限认证方案跟具体权限资源的构建也有关系:权限资源的构建逻辑,决定了权限认证方案的认证逻辑。权限认证方案还需要考虑前端权限资源设计,持久化方式;后端权限资源设计,持久化方式;
权限资源的持久化集成等。权限资源构建,建权,授权,权限认证这四个环节互相影响,缺一不可。权限认证已经融入了整个应用的生命周期,作为系统的重要组成部分,必须全面地考虑这些因素,才能设计出合理的,完整的产品。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了权限资源构建、建权、授权、验证多场景归一化处理模型,解决了现有方案中软件开发慢、开发成本高的问题。
(二)技术方案
为实现以上目的,本发明通过以下技术方案予以实现:权限资源构建、建权、授权、验证多场景归一化处理模型,包括以下内容:
1、权限资源构建
把权限资源的入口划分为多个,如Web端,App端,后端,动态服务码配置,且Web端和App端上传的资源文件,分别只有一条json记录;
2、资源建权
权限资源构建完成后,需要对资源进行建权,建权的通用设计模式几乎都是创建一个角色,把具体的资源跟角色绑定,建权分成静态建权和动态建权;
2.1静态建权:静态建权是指应用在设计的过程中,已经确定了具体的角色,不需要修改,增加,已经在资源配置中直接关联,即角色和资源绑定,那么建权这一步可以直接跳过;
2.2态建权权:动态建权是指可以动态的创建角色,修改角色,由于当前多资源模型场景,为了更好的客户体验,跟传统的设计相比,需要再加一步,创建一个最小粒度的组(功能组),把组和角色进行关联;
3、资源授权
把建好的权限授予给具体的用户,或者是组织机构,当前步骤和传统授权设计模式几乎一样;
4、资源验证
把具体的权限认证抽离出来,做成插件,拔插式的插入各种启动模式,和具体的业务分离,从而达到适配所有场景的效果,权限认证包括具体认证资源的加载,认证完整的逻辑(因为多权限资源入口的模式,逻辑需要自定义),具体的登录,注销,续约等操作,与其他权限认证环节,合并成一个服务模块,从而减少部署的复杂度。
优选的,所述Web端,App端,后端,动态服务码配置分别保存在不同的存储结构中。
优选的,所述超级管理员角色,无需建权,默认所有权限。
优选的,所述动态建权中功能组和资源最小单位映射,且保存功能组和资源最小单位映射表、角色和功能组或者资源最小单位映射,并保存角色和功能组或者资源最小单位映射表。
(三)有益效果
本发明提供了权限资源构建、建权、授权、验证多场景归一化处理模型。具备以下有益效果:
本发明,前后端分离,更加灵活;无需手动录入权限资源,减少冲突和人力,加快了开发;支持多种建权模式,多种资源入口。
附图说明
图1为本发明的权限资源构建示意图;
图2为本发明的静态权限示意图;
图3为本发明的动态权限示意图;
图4为本发明的资源授权示意图;
图5为传统认证服务工作节点示意图;
图6为本发明的权限认证示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例:
本发明实施例提供权限资源构建、建权、授权、验证多场景归一化处理模型,包括以下内容:
1、权限资源构建
如图1所示,把权限资源的入口划分为多个,如Web端,App端,后端,动态服务码配置,且Web端和App端上传的资源文件,分别只有一条json记录,Web端,App端,后端,动态服务码配置分别保存在不同的存储结构中,而传统的方式,传统的权限资源构建有二种模式:一种是手工录入资源到数据库,一种是在服务接口中埋点配置,由应用程序统一解析入库;
2、资源建权
权限资源构建完成后,需要对资源进行建权,建权的通用设计模式几乎都是创建一个角色,把具体的资源跟角色绑定,超级管理员角色,无需建权,默认所有权限,建权分成静态建权和动态建权;
2.1静态建权:如图2所示,静态建权是指应用在设计的过程中,已经确定了具体的角色,不需要修改,增加,已经在资源配置中直接关联,即角色和资源绑定,那么建权这一步可以直接跳过;
2.2态建权权:如图3所示,动态建权是指可以动态的创建角色,修改角色,由于当前多资源模型场景,为了更好的客户体验,跟传统的设计相比,需要再加一步,创建一个最小粒度的组(功能组),把组和角色进行关联,具体为动态建权中功能组和资源最小单位映射,且保存功能组和资源最小单位映射表、角色和功能组或者资源最小单位映射,并保存角色和功能组或者资源最小单位映射表;
3、资源授权
如图4所示,把建好的权限授予给具体的用户,或者是组织机构,当前步骤和传统授权设计模式几乎一样;
4、资源验证
如图6所示,把具体的权限认证抽离出来,做成插件,拔插式的插入各种启动模式,和具体的业务分离,从而达到适配所有场景的效果,权限认证包括具体认证资源的加载,认证完整的逻辑(因为多权限资源入口的模式,逻辑需要自定义),具体的登录,注销,续约等操作,与其他权限认证环节,合并成一个服务模块,从而减少部署的复杂度;
如图5所示,传统的方式为:权限认证校验的对象是用户以及用户的行为(包括用户对第三方应用的授权),认证服务器和认证调用方之间的交互遵循OAuth2授权认证标准,传统的权限认证服务器都是加载并且缓存权限资源,加载并且缓存授权资源(角色和资源的映射关系),当用户登录时,加载并且缓存用户的具体授权(授权步骤中赋予用户的角色),用户访问某个资源(公开资源,半公开资源除外),根据资源的状态(资源所对应的角色),再和用户的权限(角色)取交集,如果不为空,则表示当前用户拥有该资源的访问权限,按照应用部署的模式,认证服务器可以工作在不同的节点上,权限认证复杂,部署困难。
总结:
遵照当前设计模式:前后端分离,更加灵活;无需手动录入权限资源,减少冲突和人力,加快了开发;支持多种建权模式,多种资源入口,加强了产品的弹性伸缩度;为应用多客户,多场景部署奠定了可行基础
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (4)
1.权限资源构建、建权、授权、验证多场景归一化处理模型,其特征在于,包括以下内容:
1、权限资源构建
把权限资源的入口划分为多个,如Web端,App端,后端,动态服务码配置,且Web端和App端上传的资源文件,分别只有一条json记录;
2、资源建权
权限资源构建完成后,需要对资源进行建权,建权的通用设计模式几乎都是创建一个角色,把具体的资源跟角色绑定,建权分成静态建权和动态建权;
2.1静态建权:静态建权是指应用在设计的过程中,已经确定了具体的角色,不需要修改,增加,已经在资源配置中直接关联,即角色和资源绑定,那么建权这一步可以直接跳过;
2.2态建权权:动态建权是指可以动态的创建角色,修改角色,由于当前多资源模型场景,为了更好的客户体验,跟传统的设计相比,需要再加一步,创建一个最小粒度的组(功能组),把组和角色进行关联;
3、资源授权
把建好的权限授予给具体的用户,或者是组织机构,当前步骤和传统授权设计模式几乎一样;
4、资源验证
把具体的权限认证抽离出来,做成插件,拔插式的插入各种启动模式,和具体的业务分离,从而达到适配所有场景的效果,权限认证包括具体认证资源的加载,认证完整的逻辑(因为多权限资源入口的模式,逻辑需要自定义),具体的登录,注销,续约等操作,与其他权限认证环节,合并成一个服务模块,从而减少部署的复杂度。
2.根据权利要求1所述的权限资源构建、建权、授权、验证多场景归一化处理模型,其特征在于:所述Web端,App端,后端,动态服务码配置分别保存在不同的存储结构中。
3.根据权利要求1所述的权限资源构建、建权、授权、验证多场景归一化处理模型,其特征在于:所述超级管理员角色,无需建权,默认所有权限。
4.根据权利要求1所述的权限资源构建、建权、授权、验证多场景归一化处理模型,其特征在于:所述动态建权中功能组和资源最小单位映射,且保存功能组和资源最小单位映射表、角色和功能组或者资源最小单位映射,并保存角色和功能组或者资源最小单位映射表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010779827.2A CN111783076A (zh) | 2020-08-05 | 2020-08-05 | 权限资源构建、建权、授权、验证多场景归一化处理模型 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010779827.2A CN111783076A (zh) | 2020-08-05 | 2020-08-05 | 权限资源构建、建权、授权、验证多场景归一化处理模型 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111783076A true CN111783076A (zh) | 2020-10-16 |
Family
ID=72765813
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010779827.2A Pending CN111783076A (zh) | 2020-08-05 | 2020-08-05 | 权限资源构建、建权、授权、验证多场景归一化处理模型 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111783076A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114327389A (zh) * | 2021-12-24 | 2022-04-12 | 商派软件有限公司 | 应用管理方法、账号管理插件以及应用管理系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020156904A1 (en) * | 2001-01-29 | 2002-10-24 | Gullotta Tony J. | System and method for provisioning resources to users based on roles, organizational information, attributes and third-party information or authorizations |
| CN101631116A (zh) * | 2009-08-10 | 2010-01-20 | 中国科学院地理科学与资源研究所 | 一种分布式双重授权及访问控制方法和系统 |
| CN101902402A (zh) * | 2010-07-21 | 2010-12-01 | 中兴通讯股份有限公司 | 一种用户权限管理方法、装置 |
| US8224873B1 (en) * | 2008-05-22 | 2012-07-17 | Informatica Corporation | System and method for flexible security access management in an enterprise |
| CN103617485A (zh) * | 2013-11-15 | 2014-03-05 | 中国航空无线电电子研究所 | 统一权限管理部署系统 |
| CN103632082A (zh) * | 2013-12-10 | 2014-03-12 | 惠州华阳通用电子有限公司 | 一种通用权限管理系统及方法 |
| CN106230818A (zh) * | 2016-08-01 | 2016-12-14 | 浪潮(苏州)金融技术服务有限公司 | 一种信息管理系统的资源授权方法 |
| CN107342992A (zh) * | 2017-06-27 | 2017-11-10 | 努比亚技术有限公司 | 一种系统权限管理方法、装置及计算机可读存储介质 |
| CN111460500A (zh) * | 2020-03-31 | 2020-07-28 | 贵州电网有限责任公司 | 一种网络资源的权限管理方法 |
-
2020
- 2020-08-05 CN CN202010779827.2A patent/CN111783076A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020156904A1 (en) * | 2001-01-29 | 2002-10-24 | Gullotta Tony J. | System and method for provisioning resources to users based on roles, organizational information, attributes and third-party information or authorizations |
| US8224873B1 (en) * | 2008-05-22 | 2012-07-17 | Informatica Corporation | System and method for flexible security access management in an enterprise |
| CN101631116A (zh) * | 2009-08-10 | 2010-01-20 | 中国科学院地理科学与资源研究所 | 一种分布式双重授权及访问控制方法和系统 |
| CN101902402A (zh) * | 2010-07-21 | 2010-12-01 | 中兴通讯股份有限公司 | 一种用户权限管理方法、装置 |
| CN103617485A (zh) * | 2013-11-15 | 2014-03-05 | 中国航空无线电电子研究所 | 统一权限管理部署系统 |
| CN103632082A (zh) * | 2013-12-10 | 2014-03-12 | 惠州华阳通用电子有限公司 | 一种通用权限管理系统及方法 |
| CN106230818A (zh) * | 2016-08-01 | 2016-12-14 | 浪潮(苏州)金融技术服务有限公司 | 一种信息管理系统的资源授权方法 |
| CN107342992A (zh) * | 2017-06-27 | 2017-11-10 | 努比亚技术有限公司 | 一种系统权限管理方法、装置及计算机可读存储介质 |
| CN111460500A (zh) * | 2020-03-31 | 2020-07-28 | 贵州电网有限责任公司 | 一种网络资源的权限管理方法 |
Non-Patent Citations (1)
| Title |
|---|
| 许静等: "云计算环境下应用资源访问控制架构研究", 《无线电工程》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114327389A (zh) * | 2021-12-24 | 2022-04-12 | 商派软件有限公司 | 应用管理方法、账号管理插件以及应用管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107948203B (zh) | 一种容器登录方法、应用服务器、系统及存储介质 | |
| CN112597472B (zh) | 单点登录方法、装置及存储介质 | |
| CN110049048B (zh) | 一种政务公共服务的数据访问方法、设备及可读介质 | |
| CN105450581B (zh) | 权限控制的方法和装置 | |
| CN108920494A (zh) | 多租户数据库的隔离访问方法、服务端以及存储介质 | |
| CN112100262A (zh) | 多租户SaaS平台快速搭建及动态扩容的方法及系统 | |
| CN109033857B (zh) | 一种访问数据的方法、装置、设备及可读存储介质 | |
| CN110417730B (zh) | 多应用程序的统一接入方法及相关设备 | |
| CN110008665B (zh) | 一种区块链的权限控制方法及装置 | |
| CN111475795A (zh) | 一种面向多应用进行统一认证授权的方法及装置 | |
| CN107315950B (zh) | 一种云计算平台管理员权限最小化的自动化划分方法及访问控制方法 | |
| CN105871914A (zh) | 客户关系管理系统访问控制方法 | |
| CN112653681B (zh) | 多特征融合的用户登录准入方法、装置和系统 | |
| CN110138767B (zh) | 事务请求的处理方法、装置、设备和存储介质 | |
| CN106559389A (zh) | 一种服务资源发布、调用方法、装置、系统及云服务平台 | |
| CN107748849A (zh) | 一种基于网络文件系统的权限控制方法及系统 | |
| CN107453872A (zh) | 一种基于Mesos容器云平台的统一安全认证方法及系统 | |
| CN110795174A (zh) | 一种应用程序接口调用方法、装置、设备及可读存储介质 | |
| CN109726545B (zh) | 一种信息显示方法、设备、计算机可读存储介质和装置 | |
| CN108234122B (zh) | 令牌校验方法和装置 | |
| CN110750780B (zh) | 基于多业务系统的用户角色权限融合方法、装置以及设备 | |
| CN107645474B (zh) | 登录开放平台的方法及登录开放平台的装置 | |
| CN111783076A (zh) | 权限资源构建、建权、授权、验证多场景归一化处理模型 | |
| CN105141418A (zh) | 认证鉴权方法及系统 | |
| CN109861982A (zh) | 一种身份认证的实现方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201016 |