CN111835513B - 一种更新凭证数据的方法、装置及设备 - Google Patents
一种更新凭证数据的方法、装置及设备 Download PDFInfo
- Publication number
- CN111835513B CN111835513B CN202010691178.0A CN202010691178A CN111835513B CN 111835513 B CN111835513 B CN 111835513B CN 202010691178 A CN202010691178 A CN 202010691178A CN 111835513 B CN111835513 B CN 111835513B
- Authority
- CN
- China
- Prior art keywords
- data
- credential data
- credential
- agent module
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Abstract
本说明书实施例公开了一种更新凭证数据的方法、装置及设备。方案包括:确定用于访问目标数据资源的第一凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据处于启用状态;启用所述第一凭证数据;获取基于所述第二凭证数据对所述目标数据资源的访问连接数小于预设连接数的持续时间;判断所述持续时间是否大于设定时长,得到判断结果;若所述判断结果为是,禁用所述第二凭证数据。
Description
技术领域
本申请涉及信息科学技术领域,尤其涉及一种更新凭证数据的方法、装置及设备。
背景技术
数据安全一直是信息科学领域中十分重要和敏感的问题。对于一些重要的数据资源,如果需要访问这些数据资源,需要访问方具有相应的访问权限。实际应用中,对于上述访问权限,通常采用数据资源访问凭证来实现。具体来说,数据资源访问凭证,可以采用密钥或口令的方式来实现。
数据资源访问凭证的使用,可以使得不具有数据资源访问凭证的用户,无法访问对应的数据资源,从而提高数据资源的安全性。但是,一旦数据资源访问凭证被泄露,则会导致对应的数据资源面临被泄露的风险。
因此,需要提供一种数据资源凭证的更新方法,以便进一步提高数据资源的安全性。
发明内容
本说明书实施例提供一种更新凭证数据的方法、装置及设备,用于提高数据资源的安全性。
为解决上述技术问题,本说明书实施例是这样实现的:
本说明书实施例提供的一种更新凭证数据的方法,包括:
确定用于访问目标数据资源的第一凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据处于启用状态;
启用所述第一凭证数据;
获取基于所述第二凭证数据对所述目标数据资源的访问连接数小于预设连接数的持续时间;
判断所述持续时间是否大于设定时长,得到判断结果;
若所述判断结果为是,禁用所述第二凭证数据。
本说明书实施例提供的一种更新凭证数据的方法,包括:
获取凭证数据管理系统的第一凭证数据;所述第一凭证数据为用于访问目标数据资源的凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据的创建时间早于所述第一凭证数据的创建时间;
基于所述第一凭证数据,创建用于访问所述目标数据资源的第一代理模块;
启用所述第一代理模块;
获取所述第一代理模块的使用状态信息;
基于所述使用状态信息确定所述第一代理模块可被正常使用后,停用基于所述第二凭证数据创建的用于访问所述目标数据资源的第二代理模块。
本说明书实施例提供的一种更新凭证数据的装置,包括:
第一凭证数据确定模块,用于确定用于访问目标数据资源的第一凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据处于启用状态;
凭证数据启动模块,用于启用所述第一凭证数据;
时间获取模块,用于获取基于所述第二凭证数据对所述目标数据资源的访问连接数小于预设连接数的持续时间;
判断模块,用于判断所述持续时间是否大于设定时长,得到判断结果;
凭证数据禁用模块,用于若所述判断结果为是,禁用所述第二凭证数据。
本说明书实施例提供的一种更新凭证数据的装置,包括:
凭证数据获取模块,用于获取凭证数据管理系统的第一凭证数据;所述第一凭证数据为用于访问目标数据资源的凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据的创建时间早于所述第一凭证数据的创建时间;
代理模块创建模块,用于基于所述第一凭证数据,创建用于访问所述目标数据资源的第一代理模块;
代理模块启用模块,用于启用所述第一代理模块;
状态信息获取模块,用于获取所述第一代理模块的使用状态信息;
第二代理模块停用模块,用于基于所述使用状态信息确定所述第一代理模块可被正常使用后,停用基于所述第二凭证数据创建的用于访问所述目标数据资源的第二代理模块。
本说明书实施例提供的一种更新凭证数据的设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
确定用于访问目标数据资源的第一凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据处于启用状态;
启用所述第一凭证数据;
获取基于所述第二凭证数据对所述目标数据资源的访问连接数小于预设连接数的持续时间;
判断所述持续时间是否大于设定时长,得到判断结果;
若所述判断结果为是,禁用所述第二凭证数据。
本说明书实施例提供的一种更新凭证数据的设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
获取凭证数据管理系统的第一凭证数据;所述第一凭证数据为用于访问目标数据资源的凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据的创建时间早于所述第一凭证数据的创建时间;
基于所述第一凭证数据,创建用于访问所述目标数据资源的第一代理模块;
启用所述第一代理模块;
获取所述第一代理模块的使用状态信息;
基于所述使用状态信息确定所述第一代理模块可被正常使用后,停用基于所述第二凭证数据创建的用于访问所述目标数据资源的第二代理模块。
本说明书实施例提供的一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现一种更新凭证数据的方法。
本说明书一个实施例实现了能够达到以下有益效果:
本说明书实施例中可以在第二凭证数据处于启用状态时,确定并启动第一凭证数据用于访问目标数据资源,当第二凭证数据对目标数据资源的访问连接数小于预设连接数的持续时间大于设定时长时,可禁用第二凭证数据,用第一凭证数据访问目标数据资源,可以实现访问数据资源的凭证数据的无损轮换,可保证凭证数据更新时,仍可正常访问目标数据资源,也提高了数据资源的安全性。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书实施例中一种更新凭证数据的方法的整体方案流程示意图;
图2为本说明书实施例提供的一种更新凭证数据的方法的流程示意图;
图3为本说明书实施例提供的一种更新凭证数据的方法的流程示意图;
图4为本说明书实施例提供的一种更新凭证数据的方法的时序图;
图5为本说明书实施例提供的对应于图2的一种更新凭证数据的装置的结构示意图;
图6为本说明书实施例提供的对应于图3的一种更新凭证数据的装置的结构示意图;
图7为本说明书实施例提供的一种更新凭证数据的设备的结构示意图。
具体实施方式
为使本说明书一个或多个实施例的目的、技术方案和优点更加清楚,下面将结合本说明书具体实施例及相应的附图对本说明书一个或多个实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本说明书一个或多个实施例保护的范围。
以下结合附图,详细说明本说明书各实施例提供的技术方案。
随着信息技术的发展,产生的数据越来越多,同时数据的安全性也越来越重要。通常情况下,用户可以将数据存储在存储空间中,例如,第三方存储、云存储等,并利用存储空间可识别的凭证(如,密钥、口令等)来访问所需数据,为减少因凭证泄露造成的数据安全问题,用于管理凭证的密钥管理服务应运而生,当用户需要访问数据时,需要向提供密钥管理服务的服务器获取访问数据的凭证才可以正常访问数据。
为了进一步增加数据访问凭证的安全性,密钥管理服务器可以提供凭证轮换服务对数据资源访问凭证进行定期的轮换,从而保证即使访问凭证泄露,泄露造成的数据风险也能在一段时间后消除。
目前的数据资源访问凭证轮换方法,需要大量的人工干预,比如,需要人为地保证轮换后,应用端使用的是新版本的凭证,因为此刻被轮换的凭证已不再有效,如果应用端在轮换后继续使用老的凭证,就会出现数据资源拒绝访问的情况,影响业务可用性。可见,目前的轮换方法并不能保证受保护的数据资源在轮换期间的高可用性,对受保护的数据资源会产生一定的安全问题。
为了解决现有技术中的缺陷,本方案给出了以下实施例:
图1为本说明书实施例中一种更新凭证数据的方法的整体方案流程示意图。
如图1所示,整体架构主要包括凭证数据管理系统1、客户端2、存储器3。其中,存储器3中存储有需要通过客户端2访问的数据资源,存储器3可以是具有存储功能的服务器,例如,云存储服务器;凭证数据管理系统1用于管理客户端2访问数据资源所需的密钥、口令等凭证;客户端2可以是部署在移动终端上的应用客户端,也可以是某应用平台服务器上的程序。当客户端2需要访问存储器3中的数据资源时,需要向凭证数据管理系统1发送获取凭证的请求,基于该请求,凭证数据管理系统1将处于启用状态的凭证发送给客户端2,客户端2利用该凭证访问存储器3中的数据资源。例如,假设用户为某平台的VIP用户,由于该平台的VIP用户数量较多,该平台借助第三方提供的云服务器存储用户的VIP账户等信息,为了进一步保障云服务器中存储的数据的安全,第三方通常会设置凭证数据管理系统用于访问云服务器的凭证数据,只有采用处于启用状态的凭证数据,才可以正常访问云服务器中的数据。
在实际应用中,为提高数据资源的安全性,凭证数据管理系统1中用于访问存储器3中的数据资源的凭证可以是定时更新的,当凭证有更新时,凭证数据管理系统1可以将新的凭证发送给客户端2,使客户端2可以采用新的凭证访问存储器3中的数据资源。
接下来,将针对说明书实施例提供的一种更新凭证数据的方法结合附图进行具体说明:
图2为本说明书实施例提供的一种更新凭证数据的方法的流程示意图。从程序角度而言,流程的执行主体可以为搭载于应用服务器的程序。具体的,本实施例中方法的执行主体可以是提供凭证数据管理服务的服务端。
如图2所示,该流程可以包括以下步骤:
步骤202:服务端确定用于访问目标数据资源的第一凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据处于启用状态。
本说明书实施例中提供的更新凭证数据的方法,可应用于访问数据资源的凭证数据的更新,其中凭证数据可以是密钥、口令等可被验证权限的数据;服务端可以看作是密钥管理系统或者凭证数据管理系统,用于管理凭证数据的凭证数据管理系统,该服务端中可以存储有多个凭证数据,其中可以包含处于启用状态的凭证数据,也可以包含处于非启用状态的凭证数据。
由于服务端可以提供凭证轮换服务对数据资源访问凭证进行定期的轮换,即对当前使用的凭证数据进行更新,从而,当前处于非启用状态的凭证数据可能在下一轮更新后成为处于启用状态的可访问数据资源的凭证数据,同理,当前处于启用状态的可访问数据资源的凭证数据可能在下一轮更新后成为处于非启用状态的凭证数据。本说明书实施例中第二凭证数据可以是本轮更新前可用于访问数据资源的凭证数据,其处于启用状态;第一凭证数据可以是本轮更新后的凭证数据。
步骤204:启用所述第一凭证数据。
本说明书实施例中,服务端可以将确定的第一凭证数据发送给客户端,使客户端使用该第一凭证数据访问目标数据资源。
步骤206:获取基于所述第二凭证数据对所述目标数据资源的访问连接数小于预设连接数的持续时间。
实际应用中,客户端在接收到更新后的凭证数据,即第一凭证数据后,可以采用第一数据访问目标数据资源,在此之前,可以使用第二凭证数据访问目标数据资源。在客户端处理访问的过程中可以实时获取使用凭证数据访问目标数据资源的情况,通常随着客户端对第一凭证数据的使用,基于第二凭证数据对目标数据资源的访问连接数会越来越少,进而可以获取基于第二凭证数据对目标数据资源的访问连接数小于预设连接数的持续时间。
实际应用中,第二凭证数据对目标数据资源的访问连接数可以通过存储目标数据资源的存储器中的相关记录获得,也可从客户端中的访问记录中获得,本说明书实施例中对具体的方式不作具体限定。其中,预设连接数也可根据实际需要进行设定,对此,本说明书实施例中也不作具体限定,只要能够满足需求即可。
步骤208:判断所述持续时间是否大于设定时长,得到判断结果。
步骤210:若所述判断结果为是,禁用所述第二凭证数据。
实际应用中,当基于第二凭证数据对目标数据资源的访问连接数小于预设连接数的持续时间大于设定时长时,可以将第二凭证数据禁用。可以理解为,当客户端可以正常采用第一凭证数据访问目标数据资源时,可以将第二凭证数据停用或禁用,利用更新后的凭证数据访问数据资源。例如,启用第一凭证数据后,客户端采用第一凭证数据访问目标数据资源,基于第二凭证数据的访问连接数越来越少,也就是基于第二凭证数据对目标数据资源的访问连接数变小,当该连接数小于预设连接数,假设预设连接数为0,且持续时间大于设定时长时,假设设定时长为3小时,可以认为第一凭证数据可以正常使用,此时可以将第二凭证数据禁用,在预设周期时间内采用第一凭证数据访问目标数据资源。
应当理解,本说明书一个或多个实施例所述的方法其中部分步骤的顺序可以根据实际需要相互交换,或者其中的部分步骤也可以省略或删除。
本说明书实施例的图2中的方法,可以在第二凭证数据处于启用状态时,确定并启动第一凭证数据用于访问目标数据资源,当第二凭证数据对目标数据资源的访问连接数小于预设连接数的持续时间大于设定时长时,可禁用第二凭证数据,用第一凭证数据访问目标数据资源,可以实现访问数据资源的凭证数据的无损轮换,可保证凭证数据更新时,仍可正常访问目标数据资源,也提高了数据资源的安全性。
基于图2的方法,本说明书实施例还提供了该方法的一些具体实施方式,下面进行说明。
可选的,本说明书实施例中步骤202中确定用于访问目标数据资源的第一凭证数据,具体可以包括:
确定所述第一凭证数据;
获取所述第二凭证数据的权限;
为所述第一凭证数据赋予所述权限。
实际应用中,凭证数据可以具有相应的权限,例如,可读权限、可写权限、可复制权限等等。当凭证数据具有可读权限时,表示可以通过该凭证数据对该凭证数据对应的目标数据资源进行读取;当凭证数据具有可写权限时,表示可以通过该凭证数据对该凭证数据对应的目标数据资源进行编辑修改;当凭证数据具有可复制权限时,表示可以通过该凭证数据对该凭证数据对应的目标数据资源进行复制。需要说明的是,上述内容仅是示例性表示,凭证数据的权限可以根据实际需求进行设定,权限可以是一种也可以是多种,本说明书实施例中对具体的权限不作限定。
为保证客户端在采用第一凭证数据访问目标数据资源时,与采用第二凭证数据访问目标数据资源时是相同的,保证客户端的正常访问,本说明书实施例中可以将第一凭证数据的权限设定为与第二凭证数据相同的权限。例如,可以将表示第二凭证数据的权限的相关信息复制到第一凭证数据中,使第一凭证数据与第二凭证数据具有相同的权限。
为进一步保证第一凭证数据具有与第二凭证数据相同的权限,上述步骤为所述第一凭证数据赋予所述权限之后,还可以包括:
校验所述第一凭证数据是否具有所述权限;
若不具有所述权限,重新为所述第一凭证数据赋予所述权限。
本说明书实施例中还可以校验第一凭证数据是否与第二凭证数据具有相同的权限,例如,可以将表示第一凭证数据的权限的信息与表示第二凭证数据的权限的信息进行比对,判断两者中是否都具有表示读权限的字样,如read字样。当第一凭证数据的权限与第二凭证数据的权限不同时,还可以重新将第二凭证数据的权限赋予给第一凭证数据。需要说明的是,上述对权限的校验方法以及权限的表示方法仅是示例性表示,在实际应用中,可根据需要进行校验以及采用适合的权限表示方法,本说明书实施例中对权限的校验方法以及权限的表示方法不作具体限定,只要能够使第一凭证数据与第二凭证数据具有相同的权限即可。
为了更好的区分第一凭证,本说明书实施例提供的更新凭证数据的方法中,还可以包括:
为所述第一凭证数据生成第一标签,所述第一标签用于表示所述第一凭证数据的版本为新版本。
本说明书实施例中采用标签的形式表示第一凭证数据为新版本的凭证数据,无需为第一凭证数据赋予版本号,可避免因版本号产生的确定最新版本数据有误的问题。
现有技术中常有采用版本号表示数据的版本,当数据更新一次就需要设置一个新的版本号,当数据更新多次时,会存在多个版本号信息,在通过版本号确定新的数据时,需要先确定哪个版本号是最新的版本号,然后再获取相应的数据,然而当存在的版本号信息较多时,可能会存在识别最新版本号不正确的问题,也就会存在获取的新版数据不正确的问题。
本说明书实施例中仅需确定凭证数据是否为新确定的数据,而对该凭证数据之前是否被使用过以及该凭证数据已经是第多少版、其对应的版本号不作要求,因此本说明书实施例中可以采用标签表示第一凭证数据为新版本。
并且,本说明书实施例中的凭证数据可以是在不同的轮换周期中被重复使用,例如,凭证数据管理系统中存储或者借助其他存储器存储有多个凭证数据,在一个周期中,选择凭证数据A作为第一凭证数据,当本次周期结束后,可采用凭证数据B作为第一凭证数据,在后续的第N个周期时,还可以采用凭证数据A作为第一凭证数据,只需保证第一凭证数据与第二凭证数据不同即可,也就无需进行版本号的处理,尤其是对于需要进行多次凭证数据变更的场景,本说明书实施例中的方法可大大减少服务器的计算量。
为使客户端可以及时的获知服务端生成了新的凭证数据,本说明书实施例步骤202中所述确定用于访问目标数据资源的第一凭证数据之后,还可以包括:
向客户端发送凭证数据轮换通知;所述凭证数据轮换通知用于表示确定了新版本的凭证数据。
本说明书实施例中当服务端有新的凭证数据生成后,可以向客户端发送凭证数据轮换通知,以便客户端可以及时的获知有新的凭证数据生成,可以向服务端获取新的凭证数据。
实际应用中,通常可以在满足预设轮换条件时,例如,轮换周期时间到时或者利用同一凭证数据访问目标数据资源的次数达到预定次数时,服务端可以重新确定新的凭证数据。
实际应用中,客户端在接收到服务端发送的凭证数据轮换通知后,可以向服务端发送获取新凭证数据的请求,因此上述步骤所述向客户端发送凭证数据轮换通知之后,还可以包括:
获取所述客户端发送的凭证数据获取请求;所述凭证数据获取请求用于获取新版本的凭证数据;
响应于所述凭证数据获取请求,向所述客户端发送所述第一凭证数据。
本说明书实施例中服务端可以在接收到客户端发送的凭证数据获取请求之后,向客户端发送第一凭证数据,可以避免服务端向已经不再或者无需再进行目标数据资源访问的客户端发送第一凭证数据,可以在一定程度上减少服务端的资源损耗,也可以降低服务端在向上述客户端发送第一凭证数据时被恶意截获的风险,也可以提高凭证数据的安全性,进而也可以提高目标数据资源的安全性。
实际应用中,服务端可以为多个客户端提供服务,当客户端的数量较多时,同时对客户端所需的凭证数据进行更新需要服务端具有较高的性能,并且当其中一个或者部分凭证数据更新出现问题时,可能会造成全部客户端不能获取到新的凭证数据,也会对目标数据资源的安全性产生一定的影响。为此,本说明书实施例中,所述向客户端发送凭证数据轮换通知之前,还可以包括:
确定本次凭证数据轮换对应的用户组;所述用户组中的每个用户具有至少一个对应的客户端;
所述向客户端发送凭证数据轮换通知,具体包括:
向所述用户组中用户对应的客户端发送所述凭证数据轮换通知。
本说明书实施例中可以将服务端提供凭证数据服务的客户端分组,然后按组发送凭证数据轮换通知,进而可以根据该组中客户端发送的凭证数据获取请求,向该组中客户端发送对应的凭证数据。实际应用中,可以按照预设规则将客户端分组,按照分组顺序一组一组的完成凭证数据轮换,直到全部凭证数据轮换完成。例如,可以先选择本次凭证数据轮换对应的总客户端的5%的客户端作为第一组,进行试点凭证数据轮换,当该5%完成后,可以再把范围扩大,选择10%的客户端作为第二组,当该10%完成后,可以继续扩大范围,选择20%的客户端作为第三组,以此类推完成全部客户端所需的凭证数据轮换。本说明书实施例中,当任一组的凭证数据轮换出现问题时,均可对本组数据进行重新轮换,直到本组数据轮换完成,并且在对该组数据的处理结果不会影响其他组客户端对目标数据资源的访问,从而可以防止因部分客户端的凭证数据轮换不成功造成的全部客户端不可访问目标数据资源的情况,可以提高客户端的体验性,保证数据资源的安全性。
本说明书实施例中第一凭证数据的标签是可以轮换更新的,步骤202中所述确定用于访问目标数据资源的第一凭证数据之后,还可以包括:
确定本次凭证数据轮换对应的用户组;所述用户组中的每个用户具有至少一个对应的客户端;
向所述用户组中的客户端发送所述凭证数据轮换通知;所述凭证数据轮换通知用于表示确定了新版本的凭证数据;
获取所述用户组中的客户端反馈的凭证数据轮换成功消息;
基于所述凭证数据轮换成功消息确定所述用户组中的客户端均以完成凭证数据的轮换操作后,将所述第一凭证数据的所述第一标签更新为第二标签,所述第二标签用于表示所述第一凭证数据的版本为非最新版本。
本说明书实施例中,在完成凭证数据的更新后,可以将第一凭证数据的第一标签变更为第二标签,用于表示该第一凭证数据的版本为非最新版本,也可以理解为,在凭证数据更新的过程中,也可以理解为在凭证数据更新的过渡期,将第一凭证数据用第一标签标注,表示第一凭证数据是本次轮换的新数据,也就是在本次更新完成后,在本周期内需要使用第一凭证数据访问目标数据资源;当凭证数据更新完成后,也就是可以正常使用第一凭证数据访问目标数据资源后,可以将第一凭证数据的标签变更为第二标签,以便与下轮更新时的第一标签区分。例如,可以用pending(审核中)表示第一标签,用current(当前)表示第二标签,还可以根据需要设置满足需求的标签,本说明书实施例中对标签的具体形式不作限定。
由于本说明书实施例中可以将凭证数据进行分组处理,服务端可以一组中客户端发送凭证数据轮换通知,并获取该组中客户端反馈的凭证数据轮换成功消息,从而确定该组中凭证数据更新完成,也可以理解为该组中客户端均已完成凭证数据的轮换操作,之后可以将该组中第一凭证数据的第一标签更新为第二标签。本说明书实施例中标签的更新也可以按照预设分组进行,当一组中凭证数据更新有问题时,可以重新向服务端获取新的凭证数据,直到该组中第一凭证数据的标签均变更为第二标签,表示在本次周期中该组可以采用第一凭证数据访问目标数据资源。同样,一组中凭证数据更新过程有问题时,也不会影响其他组的凭证数据更新以及对数据资源的访问,可避免服务端提供的数据资源访问服务大面积中断的现象。
在实际应用中,当第一凭证数据生效后,即可以采用第一凭证数据访问目标数据资源后,可以将第二凭证数据禁用,步骤210中所述禁用所述第二凭证数据,具体可以包括:
删除所述第二凭证数据;
或者,删除所述第二凭证数据包含的权限数据。
本说明书实施例中,可以将本次周期内不再使用的第二凭证数据删除;作为另一种实施方式,为保证第二凭证数据可以在之后的至少一次周期中还是可以被使用的,还可以只删除第二凭证数据包含的权限数据,保留第二凭证数据本身,其中,不具有权限数据的第二凭证数据不能再访问目标数据资源,如果在某个轮换周期中,第二凭证数据又赋予了权限数据,其可以再次访问目标数据资源,从而可以保证凭证数据的重复使用性。
基于同样的思路,本说明书实施例中还提供了一种与上述方法对应的以客户端为执行主体的更新凭证数据的方法。
图3为本说明书实施例提供的一种更新凭证数据的方法的流程示意图。从程序角度而言,流程的执行主体可以为搭载于应用服务器的程序或应用客户端。具体的,该方法的执行主体可以是从服务端获取凭证数据的客户端。
如图3所示,该流程可以包括以下步骤:
步骤302:获取凭证数据管理系统的第一凭证数据;所述第一凭证数据为用于访问目标数据资源的凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据的创建时间早于所述第一凭证数据的创建时间。
本说明书实施例中,客户端可以获取到凭证数据管理系统发送的第一凭证数据,凭证数据管理系统是提供凭证数据管理服务的系统,也可称为服务端。
在实际应用中,凭证数据可以按照预设周期更新,当服务端的凭证数据管理系统确定的凭证数据有更新时,可以将新确定的凭证数据(即,第一凭证数据)发送给客户端,使客户端更新凭证数据,利用新的凭证数据访问目标数据资源。其中,第二凭证数据可以理解为在凭证数据更新之前,客户端访问目标数据资源采用的凭证数据,并且由于第一凭证数据与第二凭证数据均可以访问目标数据资源,因此,第一凭证数据与第二凭证数据的权限是相同的。
通常情况下,客户端获取第二凭证数据的时间会早于获取第一凭证数据的时间,也可以理解为,在客户端第二凭证数据的创建时间早于第一凭证数据的创建时间。
步骤304:基于所述第一凭证数据,创建用于访问所述目标数据资源的第一代理模块。
实际应用中,代理模块可以用来操作、管理存储空间和存储的数据,客户端可以通过代理模块利用凭证数据去访问存储在特定位置的数据资源,从而代理模块也可以看作是客户端访问目标数据资源的接口,还可以将获取到的凭证数据转换为客户端可以识别的格式,进而完成客户端对目标数据资源的访问。
从程序角度而言,代理模块可以是根据需求创建的实例,可用于对获取到的数据进行管理,并将数据存储在客户端的缓存中,不会以文件的方式存储在硬盘中,使其他用户无法轻易读取到,可有效防止代理模块管理或存储的数据的泄露,进而也可保证数据资源的安全。
本说明书实施例中客户端在接收到第一凭证数据后,可以创建第一代理模块,该第一代理模块可以用来操作、管理存储空间和存储获取到的第一凭证数据。
步骤306:启用所述第一代理模块。
本说明书实施例中可以启用第一代理模块,进而可以使用第一代理模块对应的第一凭证数据访问目标数据资源。
步骤308:获取所述第一代理模块的使用状态信息。
步骤310:基于所述使用状态信息确定所述第一代理模块可被正常使用后,停用基于所述第二凭证数据创建的用于访问所述目标数据资源的第二代理模块。
实际应用中,客户端获取到第一凭证数据后,可以选择使用第一凭证数据访问目标数据资源,当通过第一代理模块采用第一凭证数据成功访问目标数据资源时,可以确定此时第一代理模块的使用状态信息为正常。
当第一代理模块可被正常使用,可表示客户端可以采用第一凭证数据访问目标数据资源,进而可以将基于第二凭证数据创建的用于访问目标数据资源的第二代理模块停用。可以理解为,在客户端采用第一凭证数据访问目标数据资源之前,客户端可以采用第二凭证数据通过第二代理模块访问目标数据资源;在客户端可以正常采用第一凭证数据访问目标数据资源之后,可以将第二代理模块停用,也就不再使用第二凭证数据访问目标数据资源,而是使用新获取的第一凭证数据,从而完成客户端侧凭证数据的更新。
本说明书实施例的图3中的凭证数据更新方法,可以在第一代理模块可被正常使用后,再停用第二代理模块,从而完成凭证数据的更新,可以实现访问数据资源的凭证数据的无损轮换,可保证凭证数据更新时,仍可正常访问目标数据资源,也提高了数据资源的安全性。
基于图3的方法,本说明书实施例还提供了该方法的一些具体实施方式,下面进行说明。
可选的,本说明书实施例中的方法在步骤302,所述获取凭证数据管理系统的第一凭证数据之前,还可以包括:
获取所述凭证数据管理系统发送的凭证数据轮换通知;
响应于所述凭证数据轮换通知,向所述凭证数据管理系统发送获取新版本的凭证数据的请求。
在实际应用中,凭证数据管理系统在确定了新的凭证数据后,可以向客户端发送的凭证数据轮换通知,以告知客户端现已有新的凭证数据,需要进行凭证数据轮换,也可以理解为需要更新客户端当前使用的凭证数据。客户端在接收到凭证数据轮换通知后,可响应于该凭证数据轮换通知,向凭证数据管理系统发送获取新版本的凭证数据的请求,进而获取凭证数据管理系统的第一凭证数据。
本说明书实施例中,凭证数据管理系统可以存储有多个凭证数据,并且可以将确定的新一轮使用的凭证数据标记标签,客户端在获取凭证数据时,可以获取带有标签的数据,和/或凭证数据管理系统将确定的带有标签的凭证数据发送给客户端,因此,上述步骤所述向所述凭证数据管理系统发送获取新版本的凭证数据的请求,具体可以包括:
向所述凭证数据管理系统发送获取第一标签对应的凭证数据的请求,所述第一标签用于表示凭证数据的版本为新版本。
为进一步保证可以采用第一凭证数据访问目标数据资源,本说明书实施例中在步骤304,创建用于访问所述目标数据资源的第一代理模块之后,还可以包括:
对所述第一代理模块进行连接性校验;
所述启用所述第一代理模块,具体可以包括:
若所述第一代理模块通过连接性校验,则启用所述第一代理模块。
在实际应用中,可以在创建了第一代理模块后,使用获取的第一凭证数据通过第一代理模块访问目标数据资源,对第一代理模块的连接性进行校验,也可以理解为校验是否可以使用获取的第一凭证数据通过第一代理模块正常访问目标数据资源。例如,可以判断是否可以访问到目标数据资源,还可以判断是否与之前使用的第二凭证数据通过第二代理模块访问的目标数据资源具有相同的权限,如采用第二凭证数据通过第二代理模块访问目标数据资源时,具有对目标数据资源的读写权限,此时需要判断采用第一凭证数据通过第一代理模块访问目标数据资源是否也具有对目标数据资源的读写权限。需要说明的是,连接性校验的方式可以根据需要进行设定,本说明书实施例中对此不作具体限定,只要能够确定客户端使用新创建的第一代理模块与之前使用第二代理模块可访问的数据以及达到的效果相同即可。
本说明书实施例可以在第一代理模块通过连接性校验后,启用第一代理模块,之后可以使用第一代理模块访问目标数据资源。
基于上述对第一代理模块的校验,实际应用中,可能会由于一些原因导致第一代理模块不能正常使用,即第一代理模块未通过连接性校验,为了保证在第一代理模块不能正常使用的情况下,客户端仍能正常访问目标数据资源,本说明书实施例中的方法还可以包括:
若所述第一代理模块未通过连接性校验,则保持所述第二代理模块处于启用状态。
本说明书实施例中,若第一代理模块未通过连接性校验,第二代理模块可一直处于启用状态,可以理解为,当客户端获取了第一凭证数据并创建了第一代理模块,但由于某些原因,并不能通过该第一代理模块访问目标数据资源,或者访问目标数据资源的权限与之前使用第二代理模块的权限不同,此时,为保证客户端可以正常访问目标数据资源,客户端可仍采用第二代理模块进行数据访问,从而可以在即使更新凭证数据有问题时,仍能保证客户端的访问顺利进行,进一步保证了凭证数据的无损轮换,也提高了数据资源的安全性。
实际应用中,可以根据第一代理模块访问目标数据资源的情况判断第一代理模块是否可以正常使用,如果第一代理模块可以正常使用,在之后对目标数据资源进行访问时就可以采用第一代理模块进行。本说明书实施例的步骤310中所述基于所述使用状态信息确定所述第一代理模块可被正常使用,具体可以包括:
确定在预设时长内基于所述第一代理模块对所述目标数据资源的访问未出现异常;
或者,确定基于所述第一代理模块对所述目标数据资源的成功访问次数达到预设次数。
实际应用中,为确保客户端访问目标数据的稳定性,可以持续监测第一代理模块的使用状态信息,当第一代理模块的使用状态满足预设条件时,可以确定该代理模块可以正常使用了。具体的,可以判断基于第一代理模块对目标访问未出现异常的持续时间是否达到标准,如,持续时间是否大于3小时,当大于3小时则可表示达到了标准,可以认为第一代理模块可被正常使用;还可以判断连续使用第一代理模块成功访问目标数据资源的次数是否达到标准,例如,成功访问次数是否大于50次,当成功访问次数大于50次则可表示达到了标准,可以认为第一代理模块可被正常使用。
需要说明的是上述预设时长以及预设次数均可根据需求进行设定,例如,对于对目标数据资源访问频率较高的场景可以将预设时长设置的短一些,对于对目标数据资源访问频率较低的场景可以将预设时长设置的长一些等等,本说明书实施例中对具体的预设时长以及预设次数不作具体限定,只要能够满足需求即可。
实际应用中,客户端还可以将轮换结果反馈给凭证数据管理系统,步骤310确定所述第一代理模块可被正常使用后,还可以包括:
确定所述第一代理模块可被正常使用后,向所述凭证数据管理系统发送第一凭证数据轮换结果;所述第一凭证数据轮换结果用于表示所述第一凭证数据已被所述客户端正常启用。
本说明书实施例中客户端可以将轮换结果反馈给凭证数据管理系统,进而凭证数据管理系统可以确定本次更新凭证数据完成,可以将凭证数据进行相应的标记,例如,将第一凭证数据的标签由第一标签变更为第二标签,表示该第一凭证数据是本周期使用的访问目标数据资源的凭证数据,在凭证数据更新完的本周期中,如果客户端需要再次获取访问目标数据资源的凭证数据时,可以获取带有第二标签的凭证数据。
实际应用中,可能会出现第一代理模块无法正常使用的情况,例如,通过第一代理模块不能访问目标数据资源,或者不能在预设时长内连续访问目标数据资源等等,本说明书实施例中的方法,还可以包括:
确定所述第一代理模块无法被正常使用后,向所述凭证数据管理系统发送第二凭证数据轮换结果;所述第二凭证数据轮换结果用于表示所述第一凭证数据无法被所述客户端正常启用。
本说明书实施例中客户端还可以将表示第一代理模块不能正常使用的第二凭证数据轮换结果,进而凭证数据管理系统还可以根据该结果进行相应的处理,例如,重新发送第一凭证数据给客户端,使客户端可以根据获取的第一凭证数据重新创建第一代理模块等等。
本说明书实施例中,当第一代理模块不能正常使用时,仍采用第二代理模块访问目标数据资源,可以理解的是,在凭证数据更新的过程中,即在由第二凭证数据变更为第一凭证数据的过渡期中,可以优先采用新获取的第一凭证数据以及创建的第一代理模块访问目标数据资源,当访问出现问题时,可仍采用之前的第二凭证数据以及创建的第二代理模块访问目标数据资源,直到第一凭证数据以及创建的第一代理模块可以正常访问目标数据资源后,才会将第二凭证数据以及第二代理模块禁用,从而实现凭证数据的无损轮换,并且无需重启客户端,不会对目标数据资源的访问带来任何影响。
为更清楚的说明本说明书实施例中的凭证数据更新方法,这里结合图4所示的时序图进行说明。图4为本说明书实施例提供的一种更新凭证数据的方法的时序图,如图4所示:
本实施例中的凭证数据更新方法,可以包括:
步骤401:服务端确定第一凭证数据;
实际应用中,可以按照预设周期对凭证数据进行更新,例如,设定3个月更新一次,当周期时间到时,服务端可以确定本轮将使用的新的凭证数据。其中,第一凭证数据可以与上一个周期中使用的第二凭证数据不同,在第二凭证数据处于启用状态时,可以给第二凭证数据设定相应的标签,在确定第一凭证数据时,可以根据该标签选择不具有该标签的其他凭证数据作为第一凭证数据。
步骤402:将确定的第一凭证数据赋予与第二凭证数据相同的权限,还可以对该权限进行验证,验证第一凭证数据的权限是否与第二凭证数据的权限相同;
步骤403:启动第一凭证数据,表示已经生成了新的凭证数据;
步骤404:服务端发送凭证数据轮换通知给客户端;
步骤405:客户端响应于该凭证数据轮换通知,发送获取新版本的凭证数据的请求给服务端;
步骤406:服务端发送第一凭证数据给客户端;
步骤407:服务端可以监测第二凭证数据的使用情况,获取基于第二凭证数据对目标数据资源的访问连接数小于预设连接数的持续时间;
步骤408:判断该持续时间是否大于预设时长,当确定该持续时间大于预设时长后;
步骤409:禁用第二凭证数据。
客户端在获取到步骤406中服务端发送的第一凭证数据后,还可以执行:
步骤410:创建第一代理模块;在第一代理模块正常使用之前,可一直使用第二代理模块访问目标数据资源,第二代理模块可以是在上个周期新创建的代理模块。
步骤411:校验第一代理模块;
步骤412:校验通过后,启用第一代理模块,可以通过第一代理模块访问目标数据资源;
步骤413:客户端还可以监测第一代理模块的使用情况,获取第一代理模块的使用状态信息;
步骤414:当获取的第一代理模块的使用状态信息满足预设条件时,可以确定第一代理模块可正常使用;
步骤415:当第一代理模块可正常使用后,可停用第二代理模块,完成本轮凭证数据的更新。
应当理解,本说明书实施例所述的方法其中部分步骤的顺序可以根据实际需要相互交换,或者其中的部分步骤也可以省略或删除。
基于同样的思路,本说明书实施例还提供了上述图2所示方法对应的装置。图5为本说明书实施例提供的对应于图2的一种更新凭证数据的装置的结构示意图。如图5所示,该装置可以包括:
第一凭证数据确定模块502:用于确定用于访问目标数据资源的第一凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据处于启用状态;
凭证数据启动模块504:用于启用所述第一凭证数据;
时间获取模块506:用于获取基于所述第二凭证数据对所述目标数据资源的访问连接数小于预设连接数的持续时间;
判断模块508:用于判断所述持续时间是否大于设定时长,得到判断结果;
凭证数据禁用模块510:用于若所述判断结果为是,禁用所述第二凭证数据。
基于图5的装置,本说明书实施例还提供了该装置的一些具体实施方式,下面进行说明。
可选的,所述第一凭证数据确定模块,具体可以用于:
生成所述第一凭证数据;
获取所述第二凭证数据的权限;
为所述第一凭证数据赋予所述权限。
本说明书实施例提供的更新凭证数据的装置,还可以包括:
标签生成模块,用于为所述第一凭证数据生成第一标签,所述第一标签用于表示所述第一凭证数据的版本为新版本。
基于同样的思路,本说明书实施例还提供了上述图3所示方法对应的装置。图6为本说明书实施例提供的对应于图3的一种更新凭证数据的装置的结构示意图。如图6所示,该装置可以包括:
凭证数据获取模块602:用于获取凭证数据管理系统的第一凭证数据;所述第一凭证数据为用于访问目标数据资源的凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据的创建时间早于所述第一凭证数据的创建时间;
代理模块创建模块604:用于基于所述第一凭证数据,创建用于访问所述目标数据资源的第一代理模块;
代理模块启用模块606:用于启用所述第一代理模块;
状态信息获取模块608:用于获取所述第一代理模块的使用状态信息;
第二代理模块停用模块610:用于基于所述使用状态信息确定所述第一代理模块可被正常使用后,停用基于所述第二凭证数据创建的用于访问所述目标数据资源的第二代理模块。
基于图6的装置,本说明书实施例还提供了该装置的一些具体实施方式,下面进行说明。
可选的,所述凭证数据获取模块,还可以用于:
获取所述凭证数据管理系统发送的凭证数据轮换通知;
响应于所述凭证数据轮换通知,向所述凭证数据管理系统发送获取新版本的凭证数据的请求。
可选的,所述代理模块启用模块,还可以用于:
对所述第一代理模块进行连接性校验;
所述启用所述第一代理模块,具体包括:
若所述第一代理模块通过连接性校验,则启用所述第一代理模块。
基于同样的思路,本说明书实施例还提供了上述方法对应的设备。
图7为本说明书实施例提供的一种更新凭证数据的设备的结构示意图。该设备可应用于上述图2和/或图3所示的方法,具体的,当该设备应用于上述图2所示的方法时:
如图7所示,设备700可以包括:
至少一个处理器710;以及,
与所述至少一个处理器通信连接的存储器730;其中,
所述存储器730存储有可被所述至少一个处理器710执行的指令720,所述指令被所述至少一个处理器710执行,以使所述至少一个处理器710能够:
确定用于访问目标数据资源的第一凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据处于启用状态;
启用所述第一凭证数据;
获取基于所述第二凭证数据对所述目标数据资源的访问连接数小于预设连接数的持续时间;
判断所述持续时间是否大于设定时长,得到判断结果;
若所述判断结果为是,禁用所述第二凭证数据。
当图7所示设备应用于上述图3所示的方法时,如图7所示,设备700可以包括:
至少一个处理器710;以及,
与所述至少一个处理器通信连接的存储器730;其中,
所述存储器730存储有可被所述至少一个处理器710执行的指令720,所述指令被所述至少一个处理器710执行,以使所述至少一个处理器710能够:
获取凭证数据管理系统的第一凭证数据;所述第一凭证数据为用于访问目标数据资源的凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据的创建时间早于所述第一凭证数据的创建时间;
基于所述第一凭证数据,创建用于访问所述目标数据资源的第一代理模块;
启用所述第一代理模块;
获取所述第一代理模块的使用状态信息;
基于所述使用状态信息确定所述第一代理模块可被正常使用后,停用基于所述第二凭证数据创建的用于访问所述目标数据资源的第二代理模块。
基于同样的思路,本说明书实施例还提供了上述方法对应的计算机可读介质。计算机可读介质上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现上述更新凭证数据的方法:
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于图7所示的设备而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字符系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字符助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字符多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带式磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (25)
1.一种更新凭证数据的方法,包括:
服务端确定用于访问目标数据资源的第一凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据处于启用状态;
启用所述第一凭证数据;
获取基于所述第二凭证数据对所述目标数据资源的访问连接数小于预设连接数的持续时间;
判断所述持续时间是否大于设定时长,得到判断结果;
若所述判断结果为是,禁用所述第二凭证数据。
2.根据权利要求1所述的方法,所述确定用于访问目标数据资源的第一凭证数据,具体包括:
确定所述第一凭证数据;
获取所述第二凭证数据的权限;
为所述第一凭证数据赋予所述权限。
3.根据权利要求2所述的方法,所述为所述第一凭证数据赋予所述权限之后,还包括:
校验所述第一凭证数据是否具有所述权限;
若不具有所述权限,重新为所述第一凭证数据赋予所述权限。
4.根据权利要求1所述的方法,还包括:
为所述第一凭证数据生成第一标签,所述第一标签用于表示所述第一凭证数据的版本为新版本。
5.根据权利要求1所述的方法,所述确定用于访问目标数据资源的第一凭证数据之后,还包括:
向客户端发送凭证数据轮换通知;所述凭证数据轮换通知用于表示确定了新版本的凭证数据。
6.根据权利要求5所述的方法,所述向客户端发送凭证数据轮换通知之后,还包括:
获取所述客户端发送的凭证数据获取请求;所述凭证数据获取请求用于获取新版本的凭证数据;
响应于所述凭证数据获取请求,向所述客户端发送所述第一凭证数据。
7.根据权利要求5所述的方法,所述向客户端发送凭证数据轮换通知之前,还包括:
确定本次凭证数据轮换对应的用户组;所述用户组中的每个用户具有至少一个对应的客户端;
所述向客户端发送凭证数据轮换通知,具体包括:
向所述用户组中用户对应的客户端发送所述凭证数据轮换通知。
8.根据权利要求4所述的方法,所述确定用于访问目标数据资源的第一凭证数据之后,还包括:
确定本次凭证数据轮换对应的用户组;所述用户组中的每个用户具有至少一个对应的客户端;
向所述用户组中的客户端发送所述凭证数据轮换通知;所述凭证数据轮换通知用于表示确定了新版本的凭证数据;
获取所述用户组中的客户端反馈的凭证数据轮换成功消息;
基于所述凭证数据轮换成功消息确定所述用户组中的客户端均以完成凭证数据的轮换操作后,将所述第一凭证数据的所述第一标签更新为第二标签,所述第二标签用于表示所述第一凭证数据的版本为非最新版本。
9.根据权利要求1所述的方法,所述禁用所述第二凭证数据,具体包括:
删除所述第二凭证数据;
或者,删除所述第二凭证数据包含的权限数据。
10.一种更新凭证数据的方法,包括:
获取凭证数据管理系统的第一凭证数据;所述第一凭证数据为用于访问目标数据资源的凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据的创建时间早于所述第一凭证数据的创建时间;
基于所述第一凭证数据,创建用于访问所述目标数据资源的第一代理模块;
启用所述第一代理模块;
获取所述第一代理模块的使用状态信息;
基于所述使用状态信息确定所述第一代理模块可被正常使用后,停用基于所述第二凭证数据创建的用于访问所述目标数据资源的第二代理模块。
11.根据权利要求10所述的方法,所述获取凭证数据管理系统的第一凭证数据之前,还包括:
获取所述凭证数据管理系统发送的凭证数据轮换通知;
响应于所述凭证数据轮换通知,向所述凭证数据管理系统发送获取新版本的凭证数据的请求。
12.根据权利要求11所述的方法,所述向所述凭证数据管理系统发送获取新版本的凭证数据的请求,具体包括:
向所述凭证数据管理系统发送获取第一标签对应的凭证数据的请求,所述第一标签用于表示凭证数据的版本为新版本。
13.根据权利要求10所述的方法,所述创建用于访问所述目标数据资源的第一代理模块之后,还包括:
对所述第一代理模块进行连接性校验;
所述启用所述第一代理模块,具体包括:
若所述第一代理模块通过连接性校验,则启用所述第一代理模块。
14.根据权利要求13所述的方法,还包括:
若所述第一代理模块未通过连接性校验,则保持所述第二代理模块处于启用状态。
15.根据权利要求10所述的方法,所述基于所述使用状态信息确定所述第一代理模块可被正常使用,具体包括:
确定在预设时长内基于所述第一代理模块对所述目标数据资源的访问未出现异常;
或者,确定基于所述第一代理模块对所述目标数据资源的成功访问次数达到预设次数。
16.根据权利要求10所述的方法,还包括:
确定所述第一代理模块可被正常使用后,向所述凭证数据管理系统发送第一凭证数据轮换结果;所述第一凭证数据轮换结果用于表示所述第一凭证数据已被客户端正常启用。
17.根据权利要求10所述的方法,还包括:
确定所述第一代理模块无法被正常使用后,向所述凭证数据管理系统发送第二凭证数据轮换结果;所述第二凭证数据轮换结果用于表示所述第一凭证数据无法被客户端正常启用。
18.一种更新凭证数据的装置,包括:
第一凭证数据确定模块,用于确定用于访问目标数据资源的第一凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据处于启用状态;
凭证数据启动模块,用于启用所述第一凭证数据;
时间获取模块,用于获取基于所述第二凭证数据对所述目标数据资源的访问连接数小于预设连接数的持续时间;
判断模块,用于判断所述持续时间是否大于设定时长,得到判断结果;
凭证数据禁用模块,用于若所述判断结果为是,禁用所述第二凭证数据。
19.根据权利要求18所述的装置,所述第一凭证数据确定模块,具体用于:
确定所述第一凭证数据;
获取所述第二凭证数据的权限;
为所述第一凭证数据赋予所述权限。
20.根据权利要求18所述的装置,还包括:
标签生成模块,用于为所述第一凭证数据生成第一标签,所述第一标签用于表示所述第一凭证数据的版本为新版本。
21.一种更新凭证数据的装置,包括:
凭证数据获取模块,用于获取凭证数据管理系统的第一凭证数据;所述第一凭证数据为用于访问目标数据资源的凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据的创建时间早于所述第一凭证数据的创建时间;
代理模块创建模块,用于基于所述第一凭证数据,创建用于访问所述目标数据资源的第一代理模块;
代理模块启用模块,用于启用所述第一代理模块;
状态信息获取模块,用于获取所述第一代理模块的使用状态信息;
第二代理模块停用模块,用于基于所述使用状态信息确定所述第一代理模块可被正常使用后,停用基于所述第二凭证数据创建的用于访问所述目标数据资源的第二代理模块。
22.根据权利要求21所述的装置,所述凭证数据获取模块,还用于:
获取所述凭证数据管理系统发送的凭证数据轮换通知;
响应于所述凭证数据轮换通知,向所述凭证数据管理系统发送获取新版本的凭证数据的请求。
23.根据权利要求21所述的装置,所述代理模块启用模块,还用于:
对所述第一代理模块进行连接性校验;
所述启用所述第一代理模块,具体包括:
若所述第一代理模块通过连接性校验,则启用所述第一代理模块。
24.一种更新凭证数据的设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
确定用于访问目标数据资源的第一凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据处于启用状态;
启用所述第一凭证数据;
获取基于所述第二凭证数据对所述目标数据资源的访问连接数小于预设连接数的持续时间;
判断所述持续时间是否大于设定时长,得到判断结果;
若所述判断结果为是,禁用所述第二凭证数据。
25.一种更新凭证数据的设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
获取凭证数据管理系统的第一凭证数据;所述第一凭证数据为用于访问目标数据资源的凭证数据;所述第一凭证数据具有与用于访问所述目标数据资源的第二凭证数据相同的权限;所述第二凭证数据的创建时间早于所述第一凭证数据的创建时间;
基于所述第一凭证数据,创建用于访问所述目标数据资源的第一代理模块;
启用所述第一代理模块;
获取所述第一代理模块的使用状态信息;
基于所述使用状态信息确定所述第一代理模块可被正常使用后,停用基于所述第二凭证数据创建的用于访问所述目标数据资源的第二代理模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010691178.0A CN111835513B (zh) | 2020-07-17 | 2020-07-17 | 一种更新凭证数据的方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010691178.0A CN111835513B (zh) | 2020-07-17 | 2020-07-17 | 一种更新凭证数据的方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111835513A CN111835513A (zh) | 2020-10-27 |
| CN111835513B true CN111835513B (zh) | 2022-03-25 |
Family
ID=72923411
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010691178.0A Active CN111835513B (zh) | 2020-07-17 | 2020-07-17 | 一种更新凭证数据的方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111835513B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113382024B (zh) * | 2021-08-12 | 2021-12-21 | 阿里云计算有限公司 | 凭据的轮转方法、计算设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483509A (zh) * | 2017-10-09 | 2017-12-15 | 武汉斗鱼网络科技有限公司 | 一种身份验证方法、服务器及可读存储介质 |
| WO2019168601A1 (en) * | 2018-03-01 | 2019-09-06 | Google Llc | Gradual credential disablement |
| CN111181728A (zh) * | 2019-12-24 | 2020-05-19 | 西安万像电子科技有限公司 | 数据处理方法及装置 |
| US10715514B1 (en) * | 2016-12-07 | 2020-07-14 | Amazon Technologies, Inc. | Token-based credential renewal service |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10530576B2 (en) * | 2015-02-13 | 2020-01-07 | Insyde Software Corp. | System and method for computing device with improved firmware service security using credential-derived encryption key |
| US10038723B2 (en) * | 2015-11-10 | 2018-07-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for reliable token revocation |
| US10546297B2 (en) * | 2016-06-30 | 2020-01-28 | Paypal, Inc. | Hardware and token based user authentication |
-
2020
- 2020-07-17 CN CN202010691178.0A patent/CN111835513B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10715514B1 (en) * | 2016-12-07 | 2020-07-14 | Amazon Technologies, Inc. | Token-based credential renewal service |
| CN107483509A (zh) * | 2017-10-09 | 2017-12-15 | 武汉斗鱼网络科技有限公司 | 一种身份验证方法、服务器及可读存储介质 |
| WO2019168601A1 (en) * | 2018-03-01 | 2019-09-06 | Google Llc | Gradual credential disablement |
| CN111181728A (zh) * | 2019-12-24 | 2020-05-19 | 西安万像电子科技有限公司 | 数据处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111835513A (zh) | 2020-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11438159B2 (en) | Security privilege escalation exploit detection and mitigation | |
| CN107341702B (zh) | 一种业务处理的方法及装置 | |
| CN108897628B (zh) | 一种分布式锁的实现方法、装置及电子设备 | |
| KR101928127B1 (ko) | 애플리케이션용 선택적 파일 액세스 기법 | |
| CN102630320B (zh) | 信息处理装置以及应用程序不正当协作防止方法 | |
| CN111782535A (zh) | 测试方法及装置 | |
| CN107092824B (zh) | 一种应用程序的运行方法及装置 | |
| CN109284066B (zh) | 一种数据处理方法、装置、设备及系统 | |
| CN115374481B (zh) | 数据脱敏处理的方法、装置、存储介质及电子设备 | |
| CN110008758B (zh) | 一种id获取方法、装置、电子设备及存储介质 | |
| CN111835513B (zh) | 一种更新凭证数据的方法、装置及设备 | |
| CN113946854B (zh) | 一种文件访问控制方法、装置及计算机可读存储介质 | |
| US20160373421A1 (en) | Virtual content repository | |
| CN111737304B (zh) | 一种区块链数据的处理方法、装置及设备 | |
| US8375290B1 (en) | Document version marking and access method and apparatus | |
| CN107392010B (zh) | 执行Root操作的方法及装置、终端设备、存储介质 | |
| CN115758419A (zh) | 用于数据安全的方法、装置、设备和存储介质 | |
| CN110968888B (zh) | 一种数据处理方法及装置 | |
| WO2018175607A1 (en) | System and method for providing secure access to production files in a code deployment environment | |
| CN111158771B (zh) | 处理方法、装置及计算机设备 | |
| CN115129728A (zh) | 一种文件校验的方法及装置 | |
| CN113849836A (zh) | 一种信息提示方法、装置及设备 | |
| CN114338115A (zh) | 一种无人设备的远程登录方法及装置 | |
| US11036400B2 (en) | System and method for limiting restoration access | |
| CN111488232A (zh) | 开箱即用解决方案级配置以及诊断日志记录和报告的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |