CN111970266A - 一种多租户资源隔离的验证方法、装置、设备及可读介质 - Google Patents
一种多租户资源隔离的验证方法、装置、设备及可读介质 Download PDFInfo
- Publication number
- CN111970266A CN111970266A CN202010811703.8A CN202010811703A CN111970266A CN 111970266 A CN111970266 A CN 111970266A CN 202010811703 A CN202010811703 A CN 202010811703A CN 111970266 A CN111970266 A CN 111970266A
- Authority
- CN
- China
- Prior art keywords
- tenant
- permission
- database
- resource isolation
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000002955 isolation Methods 0.000 title claims abstract description 58
- 238000012795 verification Methods 0.000 title claims abstract description 48
- 230000008569 process Effects 0.000 claims abstract description 28
- 230000006870 function Effects 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 9
- 238000010200 validation analysis Methods 0.000 claims description 2
- 230000002457 bidirectional effect Effects 0.000 abstract description 3
- 238000012360 testing method Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 5
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 235000010627 Phaseolus vulgaris Nutrition 0.000 description 2
- 244000046052 Phaseolus vulgaris Species 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种多租户资源隔离的验证方法,包括以下步骤:新建第一租户和第二租户并分别为第一租户和第二租户配置数据库;将第一租户的数据库权限设置为第一部分权限,并将第二租户的数据库权限设置为第二部分权限,第二部分权限为全部权限除第一部分权限外剩余的所有权限;遍历第一租户对自身权限,并通过第二租户获取第一租户权限;以及若是第一租户获取自身的权限仅为第一部分权限且第二租户获取第一租户权限不成功,确认第一租户资源隔离功能正常,并将验证过程和结果记录到日志中。本发明还公开了相应的装置、计算机设备和可读存储介质。本发明通过设置租户权限进行双向验证,快速验证权限资源隔离情况,准确性高,操作简单。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种多租户资源隔离的验证方法、装置、设备及可读介质。
背景技术
云海Insight大数据平台通过DataSpace组件实现多租户管理,可对数据资源进行用户隔离,租户即平台封装的拥有一定资源权限的用户。组件HIVE的数据库资源是其中一项管控资源。而在部署DataSpace平台时,可能由于服务器环境因素、部署操作等不当导致部署成功,但HIVE数据库资源隔离功能异常,从而对客户使用造成不便。
对资源隔离功能进行单独验证时,需要用户在专业人员的指导下,完成对租户、数据库资源等信息的配置,再进行租户的相关安全认证,然后才能进行数据操作的权限隔离测试,整个过程异常复杂,当前数据空间DataSpace可控制的hive权限12种,如果按照排列组合遍历测试的话,情况可分为C12(0)+C12(1)+C12(3)+…C12(10)+C12(11)+C12(12)=4096种,一一遍历工作量巨大、复杂,且耗时太长,实际设计中可能会存在N种,过程更加复杂。
现有技术通过实施部署人员或客户进行资源隔离验证时,存在操作复杂,出错率高,测试结果分析难度大,沟通成本开销大等缺点。
发明内容
有鉴于此,本发明实施例的目的在于提出一种多租户资源隔离的验证方法、装置、设备及可读介质,通过对数据库资源的属性设置,租户权限双向验证,可快速验证权限资源隔离情况,且准确性高,操作简单。
基于上述目的,本发明实施例的一方面提供了一种多租户资源隔离的验证方法,包括以下步骤:新建第一租户和第二租户并分别为第一租户和第二租户配置数据库;将第一租户的数据库权限设置为第一部分权限,并将第二租户的数据库权限设置为第二部分权限,第二部分权限为全部权限除第一部分权限外剩余的所有权限;遍历第一租户对自身权限,并通过第二租户获取第一租户权限;以及若是第一租户获取自身的权限仅为第一部分权限且第二租户获取第一租户权限不成功,确认第一租户资源隔离功能正常,并将验证过程和结果记录到日志中。
在一些实施方式中,还包括:遍历第二租户对自身权限,并通过第一租户获取第二租户的权限;若是第二租户获取自身的权限仅为第二部分权限且第一租户获取第二租户权限不成功,确认第二租户资源隔离功能正常,并将验证过程和结果记录到日志中。
在一些实施方式中,还包括:将第一租户的数据库权限设置为全部权限,并将第二租户的数据库设置为无权限;遍历第一租户对自身权限,并通过第二租户获取第一租户权限;若是第一租户获取自身权限成功且第二租户获取第一租户权限不成功,确认第一租户资源隔离功能正常,并将验证过程和结果记录到日志中。
在一些实施方式中,还包括:遍历第二租户对自身权限,并通过第一租户获取第二租户的权限;若是第二租户获取自身权限不成功且第一租户获取第二租户权限不成功,确认第二租户资源隔离功能正常,并将验证过程和结果记录到日志中。
在一些实施方式中,还包括:将第一租户的数据库权限和第二租户的数据库权限均设置为全部权限;遍历第一租户对自身权限,并通过第二租户获取第一租户权限;若是第一租户获取自身权限成功且第二租户获取第一租户权限不成功,确认第一租户资源隔离功能正常,并将验证过程和结果记录到日志中。
在一些实施方式中,还包括:遍历第二租户对自身权限,并通过第一租户获取第二租户的权限;若是第二租户获取自身权限成功且第一租户获取第二租户权限不成功,确认第二租户资源隔离功能正常,并将验证过程和结果记录到日志中。
在一些实施方式中,遍历第一租户对自身权限,并通过第二租户获取第一租户权限包括:认证第一租户,若是第一租户认证成功,遍历第一租户对自身权限;认证第二租户,若是第二租户认证成功,通过第二租户获取第一租户权限。
本发明实施例的另一方面,还提供了一种多租户资源隔离的验证装置,包括:租户初始化模块,配置用于新建第一租户和第二租户并分别为所述第一租户和所述第二租户配置数据库;权限设置模块,配置用于将所述第一租户的数据库权限设置为第一部分权限,并将所述第二租户的数据库权限设置为第二部分权限,所述第二部分权限为全部权限除所述第一部分权限外剩余的所有权限;验证模块,配置用于遍历所述第一租户对自身权限,并通过所述第二租户获取所述第一租户权限;以及分析模块,配置用于若是所述第一租户获取自身的权限仅为所述第一部分权限且所述第二租户获取所述第一租户权限不成功,确认所述第一租户资源隔离功能正常,并将验证过程和结果记录到日志中。
在一些实施方式中,验证模块进一步配置用于:认证第一租户,若是第一租户认证成功,遍历第一租户对自身权限;认证第二租户,若是第二租户认证成功,通过第二租户获取第一租户权限。
本发明实施例的再一方面,还提供了一种计算机设备,包括:至少一个处理器;以及存储器,存储器存储有可在处理器上运行的计算机指令,指令由处理器执行时实现上述方法的步骤。
本发明实施例的再一方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有被处理器执行时实现如上方法步骤的计算机程序。
本发明具有以下有益技术效果:通过对数据库资源的属性设置,租户权限双向验证,可快速验证权限资源隔离情况,且准确性高,操作简单。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明提供的多租户资源隔离的验证方法的实施例的示意图;
图2为本发明提供的多租户资源隔离的验证装置的实施例的示意图;
图3为本发明提供的计算机设备的实施例的示意图;
图4为本发明提供的计算机可读存储介质的实施例的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
基于上述目的,本发明实施例的第一个方面,提出了多租户资源隔离的验证方法的实施例。图1示出的是本发明提供的多租户资源隔离的验证方法的实施例的示意图。如图1所示,本发明实施例包括如下步骤:
S01、新建第一租户和第二租户并分别为第一租户和第二租户配置数据库;
S02、将第一租户的数据库权限设置为第一部分权限,并将第二租户的数据库权限设置为第二部分权限,第二部分权限为全部权限除第一部分权限外剩余的所有权限;
S03、遍历第一租户对自身权限,并通过第二租户获取第一租户权限;以及
S04、若是第一租户获取自身的权限仅为第一部分权限且第二租户获取第一租户权限不成功,确认第一租户资源隔离功能正常,并将验证过程和结果记录到日志中。
在本实施例中,以云海Insight大数据平台多租户对HIVE资源隔离的验证为例,在大数据集群DataSpace组件创建不同数据库的第一用户、第二用户,通过认证第一用户,对第一用户的数量库资源进行新建表、删除表等操作,再对第二用户的数据库资源进行新建表、删除表等操作,然后再认证为第二用户,对第二用户的数据库资源进行新建表、删除表等操作,在对第一用户的数据库资源进行新建表、删除表等操作,并且以日志的形式记录测试结果,测试人员可根据测试结果,从而分析资源隔离功能是否正常。
在本实施例中,检测装置用户根据装置说明,完成初始化环境配置和检查,保证需要检测的资源隔离系统运行正常。并且将HiveServer的ip地址、数据库密码等信息填写到检测装置的配置文件中。运行检测装置后,因资源隔离系统是通过Kerberos+Ranger进行权限控制的,故需要完成租户的认证。本测试方法采用双向资源验证测试,分别认证2个不同的第一租户和第二租户,先由第一租户对自身资源进行访问和操作,验证第一租户可正常访问和操作第一租户资源,再有第一租户对第二租户资源进行访问和操作,验证第二租户资源对第一租户资源隔离;最后由第二租户完成对自身、第一租户资源的访问和操作。检测装置运行过程中,对读取配置信息、认证租户、资源隔离测试、测试结果进行全过程记录,并对执行情况进行分析,如每个环节都通过,则给与Hive资源隔离验证成功,检测通过。否则,给与失败原因反馈。
在本实施例中,遍历自身权限的代码如下:
#获取Hive数据库信息IP_Addr和Passwd
P_Addr=$(awk–F:’{if($1~/P_Addr/)print$2}’$properties)
Passwd=$(awk–F:’{if($1~/Passwd/)print$2}’$properties)
#使用beeline命令,在所属数据库UserA下创建数据表
Return_info1=`beeline–ujdbc:hive2://$IP_Addr:10000/$UserA-n hive-p$Passwd–f Create_Table.sql`
#使用beeline命令,在所属数据库Usera下删除数据表
Return_info2=`beeline–ujdbc:hive2://$IP_Addr:10000/$UserA-n hive-p$Passwd–f Del_Table.sql`
在本实施例中,通过第二租户获取第一租户权限代码如下:
#使用beeline命令,第二租户创建数据表
Return_info3=`beeline–ujdbc:hive2://$IP_Addr:10000/$UserB-n hive-p$Passwd–f Create_Table.sql`
#使用beeline命令,第二租户删除数据表
Return_info4=`beeline–ujdbc:hive2://$IP_Addr:10000/$UserB-n hive-p$Passwd–f Del_Table.sql`
在本发明的一些实施例中,还包括:遍历第二租户对自身权限,并通过第一租户获取第二租户的权限;若是第二租户获取自身的权限仅为第二部分权限且第一租户获取第二租户权限不成功,确认第二租户资源隔离功能正常,并将验证过程和结果记录到日志中。
在本实施例中,将第一租户权限设置为Select、create、alter,并将第二租户权限设置为updata、drop,验证第一租户和第二租户自身细粒度权限,租户间资源隔离。
在本发明的一些实施例中,还包括:将第一租户的数据库权限设置为全部权限,并将第二租户的数据库设置为无权限;遍历第一租户对自身权限,并通过第二租户获取第一租户权限;若是第一租户获取自身权限成功且第二租户获取第一租户权限不成功,确认第一租户资源隔离功能正常,并将验证过程和结果记录到日志中。
在本发明的一些实施例中,还包括:遍历第二租户对自身权限,并通过第一租户获取第二租户的权限;若是第二租户获取自身权限不成功且第一租户获取第二租户权限不成功,确认第二租户资源隔离功能正常,并将验证过程和结果记录到日志中。
在本实施例中,将第一租户权限设置为Select、updata、create、drop、alter,并将第二租户权限设置为无,验证第一租户和第二租户自身细粒度权限,租户间资源隔离。
在本发明的一些实施例中,还包括:将第一租户的数据库权限和第二租户的数据库权限均设置为全部权限;遍历第一租户对自身权限,并通过第二租户获取第一租户权限;若是第一租户获取自身权限成功且第二租户获取第一租户权限不成功,确认第一租户资源隔离功能正常,并将验证过程和结果记录到日志中。
在本实施例中,将第一租户权限和第二租户权限均设置为Select、updata、create、drop、alter,验证第一租户和第二租户自身细粒度权限,租户间资源隔离。
在本发明的一些实施例中,还包括:遍历第二租户对自身权限,并通过第一租户获取第二租户的权限;若是第二租户获取自身权限成功且第一租户获取第二租户权限不成功,确认第二租户资源隔离功能正常,并将验证过程和结果记录到日志中。
在本发明的一些实施例中,遍历第一租户对自身权限,并通过第二租户获取第一租户权限包括:认证第一租户,若是第一租户认证成功,遍历第一租户对自身权限;认证第二租户,若是第二租户认证成功,通过第二租户获取第一租户权限。
在本实施例中,用户认证代码如下:
#执行测试脚本
./AutoTest.sh
#从配置文件获取Hive数据库的配置信息
Properties=”./conf.properties”
#获取服务器执行日期
ex_date=“date+%Y%m%d”
#根据服务器日期创建日志文件
if[!-f"$ex_date.log"];
then
echo“日志不存在,需创建日志文件”
touch$ex_date.log
fi
#销毁当前系统用户已认证的用户身份
kdestroy
#认证用户UserA
Kinit-kt/etc/…/keytabs/UserA.keytab UserA
#获取认证的身份
userA_info=`klist`
#UserA用户关键词
userA_ver=”/UserA”
#检查认证身份是否正确
result=$(echo$userA_ver∣grep"{$userA_info}")
if[[“result"!=""]]thenecho"UserA身份认证信息正确!”
else
echo“UserA身份认证信息不正确!”
fi
需要特别指出的是,上述多租户资源隔离的验证方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于多租户资源隔离的验证方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在实施例之上。
基于上述目的,本发明实施例的第二个方面,提出了一种多租户资源隔离的验证装置。图2示出的是本发明提供的多租户资源隔离的验证装置的实施例的示意图。如图2所示,本发明实施例包括如下模块:租户初始化模块S11,配置用于新建第一租户和第二租户并分别为所述第一租户和所述第二租户配置数据库;权限设置模块S12,配置用于将所述第一租户的数据库权限设置为第一部分权限,并将所述第二租户的数据库权限设置为第二部分权限,所述第二部分权限为全部权限除所述第一部分权限外剩余的所有权限;验证模块S13,配置用于遍历所述第一租户对自身权限,并通过所述第二租户获取所述第一租户权限;以及分析模块S14,配置用于若是所述第一租户获取自身的权限仅为所述第一部分权限且所述第二租户获取所述第一租户权限不成功,确认所述第一租户资源隔离功能正常,并将验证过程和结果记录到日志中。
在一些实施方式中,验证模块S13进一步配置用于:认证第一租户,若是第一租户认证成功,遍历第一租户对自身权限;认证第二租户,若是第二租户认证成功,通过第二租户获取第一租户权限。
基于上述目的,本发明实施例的第三个方面,提出了一种计算机设备。图3示出的是本发明提供的计算机设备的实施例的示意图。如图3所示,本发明实施例包括如下装置:至少一个处理器S21;以及存储器S22,存储器S22存储有可在处理器上运行的计算机指令S23,指令由处理器执行时实现以上方法的步骤。
本发明还提供了一种计算机可读存储介质。图4示出的是本发明提供的计算机可读存储介质的实施例的示意图。如图4所示,计算机可读存储介质存储S31有被处理器执行时执行如上方法的计算机程序S32。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,多租户资源隔离的验证方法的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,程序的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
在一个或多个示例性设计中,功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种多租户资源隔离的验证方法,其特征在于,包括以下步骤:
新建第一租户和第二租户并分别为所述第一租户和所述第二租户配置数据库;
将所述第一租户的数据库权限设置为第一部分权限,并将所述第二租户的数据库权限设置为第二部分权限,所述第二部分权限为全部权限除所述第一部分权限外剩余的所有权限;
遍历所述第一租户对自身权限,并通过所述第二租户获取所述第一租户权限;以及
若是所述第一租户获取自身的权限仅为所述第一部分权限且所述第二租户获取所述第一租户权限不成功,确认所述第一租户资源隔离功能正常,并将验证过程和结果记录到日志中。
2.根据权利要求1所述的多租户资源隔离的验证方法,其特征在于,还包括:
遍历所述第二租户对自身权限,并通过所述第一租户获取所述第二租户的权限;
若是所述第二租户获取自身的权限仅为所述第二部分权限且所述第一租户获取所述第二租户权限不成功,确认所述第二租户资源隔离功能正常,并将验证过程和结果记录到日志中。
3.根据权利要求1所述的多租户资源隔离的验证方法,其特征在于,还包括:
将所述第一租户的数据库权限设置为全部权限,并将所述第二租户的数据库设置为无权限;
遍历所述第一租户对自身权限,并通过所述第二租户获取所述第一租户权限;
若是所述第一租户获取自身权限成功且所述第二租户获取所述第一租户权限不成功,确认所述第一租户资源隔离功能正常,并将验证过程和结果记录到日志中。
4.根据权利要求3所述的多租户资源隔离的验证方法,其特征在于,还包括:
遍历所述第二租户对自身权限,并通过所述第一租户获取所述第二租户的权限;
若是所述第二租户获取自身权限不成功且所述第一租户获取所述第二租户权限不成功,确认所述第二租户资源隔离功能正常,并将验证过程和结果记录到日志中。
5.根据权利要求1所述的多租户资源隔离的验证方法,其特征在于,还包括:
将所述第一租户的数据库权限和所述第二租户的数据库权限均设置为全部权限;
遍历所述第一租户对自身权限,并通过所述第二租户获取所述第一租户权限;
若是所述第一租户获取自身权限成功且所述第二租户获取所述第一租户权限不成功,确认所述第一租户资源隔离功能正常,并将验证过程和结果记录到日志中。
6.根据权利要求5所述的多租户资源隔离的验证方法,其特征在于,还包括:
遍历所述第二租户对自身权限,并通过所述第一租户获取所述第二租户的权限;
若是所述第二租户获取自身权限成功且所述第一租户获取所述第二租户权限不成功,确认所述第二租户资源隔离功能正常,并将验证过程和结果记录到日志中。
7.根据权利要求1所述的多租户资源隔离的验证方法,其特征在于,遍历所述第一租户对自身权限,并通过所述第二租户获取所述第一租户权限包括:
认证所述第一租户,若是所述第一租户认证成功,遍历所述第一租户对自身权限;
认证所述第二租户,若是所述第二租户认证成功,通过所述第二租户获取所述第一租户权限。
8.一种多租户资源隔离的验证装置,其特征在于,包括:
租户初始化模块,配置用于新建第一租户和第二租户并分别为所述第一租户和所述第二租户配置数据库;
权限设置模块,配置用于将所述第一租户的数据库权限设置为第一部分权限,并将所述第二租户的数据库权限设置为第二部分权限,所述第二部分权限为全部权限除所述第一部分权限外剩余的所有权限;
验证模块,配置用于遍历所述第一租户对自身权限,并通过所述第二租户获取所述第一租户权限;以及
分析模块,配置用于若是所述第一租户获取自身的权限仅为所述第一部分权限且所述第二租户获取所述第一租户权限不成功,确认所述第一租户资源隔离功能正常,并将验证过程和结果记录到日志中。
9.一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现1-7任意一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010811703.8A CN111970266A (zh) | 2020-08-13 | 2020-08-13 | 一种多租户资源隔离的验证方法、装置、设备及可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010811703.8A CN111970266A (zh) | 2020-08-13 | 2020-08-13 | 一种多租户资源隔离的验证方法、装置、设备及可读介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111970266A true CN111970266A (zh) | 2020-11-20 |
Family
ID=73364470
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010811703.8A Withdrawn CN111970266A (zh) | 2020-08-13 | 2020-08-13 | 一种多租户资源隔离的验证方法、装置、设备及可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111970266A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499977A (zh) * | 2021-12-28 | 2022-05-13 | 天翼云科技有限公司 | 一种认证方法及装置 |
-
2020
- 2020-08-13 CN CN202010811703.8A patent/CN111970266A/zh not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499977A (zh) * | 2021-12-28 | 2022-05-13 | 天翼云科技有限公司 | 一种认证方法及装置 |
| CN114499977B (zh) * | 2021-12-28 | 2023-08-08 | 天翼云科技有限公司 | 一种认证方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108062296B (zh) | 一种计量检定校准数据结果规范智能化处理的方法及系统 | |
| US10650156B2 (en) | Environmental security controls to prevent unauthorized access to files, programs, and objects | |
| US10523674B2 (en) | Access relationship in a computer system | |
| CN105141614B (zh) | 一种移动存储设备的访问权限控制方法及装置 | |
| BR112016015458B1 (pt) | Sistema e método para padrões de protocolo biométrico | |
| CN108537042A (zh) | 自定义插件生成方法、装置、设备及存储介质 | |
| US9509672B1 (en) | Providing seamless and automatic access to shared accounts | |
| US11704441B2 (en) | Charter-based access controls for managing computer resources | |
| CN114614990B (zh) | 基于区块链的电子合同签章方法 | |
| CN111414614B (zh) | 越权检测方法和辅助装置 | |
| CN111970266A (zh) | 一种多租户资源隔离的验证方法、装置、设备及可读介质 | |
| CN113612865A (zh) | 一种云平台ldap域账户管理的方法、装置、设备及可读介质 | |
| CN116991713B (zh) | 跨环境执行用例的方法、装置、计算机设备及存储介质 | |
| US11283794B2 (en) | Method for monitoring activity of database server administrator in enterprise resource planning system and the tamper-proof enterprise resource planning system | |
| CN111221672A (zh) | 用于分布式存储系统的数据一致性校验方法及装置 | |
| CN112398787A (zh) | 邮箱登录验证的方法、装置及计算机设备 | |
| KR20000059245A (ko) | 생체정보 저장 시스템 및 이를 이용한 인터넷 이용자 인증방법 | |
| CN114564706A (zh) | 一种用户权限管理方法、装置、电子设备及存储介质 | |
| CN112506721A (zh) | 一种rest接口校验的方法、装置、设备及可读介质 | |
| Marsh et al. | Iot database forensics: An investigation on harperdb security | |
| CN108306762A (zh) | 一种基于界面的mac地址管理系统和方法 | |
| CN106933888A (zh) | 数据库配置管理系统 | |
| US20100217983A1 (en) | Archive system, management apparatus, and control method | |
| CN106096382B (zh) | 密码校验设置方法和系统及校验密码的方法和系统 | |
| JP7131200B2 (ja) | データ処理装置、データ処理プログラム、データ処理方法、及びデータ処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20201120 |