CN112187748A - 一种跨网访问控制管理方法、装置及电子设备 - Google Patents
一种跨网访问控制管理方法、装置及电子设备 Download PDFInfo
- Publication number
- CN112187748A CN112187748A CN202010970278.7A CN202010970278A CN112187748A CN 112187748 A CN112187748 A CN 112187748A CN 202010970278 A CN202010970278 A CN 202010970278A CN 112187748 A CN112187748 A CN 112187748A
- Authority
- CN
- China
- Prior art keywords
- network
- user
- route
- authority
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/48—Routing tree calculation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种跨网访问控制管理方法、装置及电子设备,该方法包括:当检测到用户访问应用系统时,获取目标路由,根据目标路由判断当前调用的服务是否为登录操作;若为登录操作,则对用户进行鉴权,鉴权成功后,生成权限路由集;若非登录操作,且完成校验操作,则查询用户角色对应的权限行为数据,检测到当前网络为限制网络网段时,进行限制网络网段鉴权,根据鉴权结果生成包含用户角色和网络环境的权限路由集。本发明实施例以用户为维度,在不同的网络环境中维护此用户的路由权限集,当在某种网络环境中,最大路由权限集已确定时,可基于网络环境和用户角色做双重限制,有效降低用户在多种网络环境下的的访问控制配置管理成本。
Description
技术领域
本发明涉及互联网信息技术领域,尤其涉及一种跨网访问控制管理方法、装置及电子设备。
背景技术
Spring Cloud作为Java语言的微服务框架,它依赖于Spring Boot,有快速开发、持续交付和容易部署等特点。Spring Cloud的组件非常多,涉及微服务的方方面面,并在开源社区Spring和Netflix、Pivotal两大公司的推动下越来越完善。
在Web应用中,根据客体的不同,常见的访问控制可分为基于URL的访问控制、基于方法的访问控制和基于数据的访问控制,其实质是通过客体在相关网络环境中应用权限的对应关系进行管理,从而降低数据隐私泄露的风险。
现有的访问管理方法大都以人员为维度,若需要在多种网络环境(不同网段划分)访问,则需要分环境、分人员进行配置管理其路径权限集,后期维护和管理成本较大。
如针对某个网络环境,屏蔽某些菜单的访问,以人员为维度去维护人员权限集,此操作不合理,且效率较低。因此,对于在某个网络环境仅开放某些固定菜单的应用系统来说,不太适用。
因此,现有技术还有待于改进和发展。
发明内容
鉴于上述现有技术的不足,本发明的目的在于提供一种跨网访问控制管理方法、装置及电子设备,旨在解决现有技术中在网络中屏蔽某些菜单的访问,以人员为维度去维护人员权限集,操作复杂,效率低的技术问题。
本发明的技术方案如下:
一种跨网访问控制管理方法,所述方法包括:
当检测到用户访问应用系统时,获取目标路由,根据目标路由判断当前调用的服务是否为登录操作;
若为登录操作,则对用户进行鉴权,鉴权成功后,生成权限路由集;
若非登录操作,且完成校验操作,则查询用户角色对应的权限行为数据,检测到当前网络为限制网络网段时,进行限制网络网段鉴权,根据鉴权结果生成包含用户角色和网络环境的权限路由集。
进一步地,所述当检测到用户访问应用系统时,获取目标路由,根据目标路由判断当前调用的服务是否为登录操作,包括:
当检测到用户访问应该系统时,获取目标路由,判断目标路由是否登录路由;
若目标路由是登录路由,则清空会话存储内容,并移除存储状态中的权限路由集,调用后台登录服务,通过网关服务器判断当前调用的服务是否为登录服务。
进一步优选地,所述当检测到用户访问应该系统时,获取目标路由,判断目标路由是否登录路由,还包括:
若目标路由不是登录路由,则判定会话存储中是否含有令牌信息;
若含有令牌信息,则判断存储状态是否存在权限路由集;
若存储状态中不存在权限路由集,则调用后端生成权限路由集。
进一步优选地,所述若非登录操作,且完成校验操作,具体为:
若当前调用的服务非登录操作,则进行令牌校验;
令牌校验成功后,进行IP校验;
若当前IP与令牌中首次登录绑定的IP相同,则IP校验通过,完成校验操作。
优选地,所述查询用户角色对应的权限行为数据,包括:
查询用户名对应的用户角色,根据用户角色获取对应的权限行为数据。
进一步地,所述检测到当前网络为限制网络网段时,进行限制网络网段鉴权,根据鉴权结果生成包含用户角色和网络环境的权限路由集,包括:
判断当前网络是否为限制网络网段;
若当前网络是限制网络网段,则获取用户在限制网络网段的鉴权结果;
若鉴权成功,则生成用户在限制网络网段的权限路由集。
进一步地,所述判断当前网络是否为限制网络网段,还包括:
若当前网络非限制网络网段,则生成用户角色对应的权限路由集。
本发明的另一实施例提供了一种跨网访问控制管理装置,包括:
目标路由判定模块;用于当检测到用户访问应用系统时,获取目标路由,根据目标路由判断当前调用的服务是否为登录操作;
第一鉴权及路由生成模块,用于若为登录操作,则对用户进行鉴权,鉴权成功后,生成权限路由集;
第二鉴权及路由生成模块,用于若非登录操作,且完成校验操作,则查询用户角色对应的权限行为数据,检测到当前网络为限制网络网段时,进行限制网络网段鉴权,根据鉴权结果生成包含用户角色和网络环境的权限路由集。
本发明的另一实施例提供了一种电子设备,其特征在于,包括处理器和存储器;
所述存储器,用于存储操作指令;
所述处理器,用于通过调用所述操作指令,执行上述任一项所述的跨网访问控制管理方法。
本发明的另一实施例还提供了一种非易失性计算机可读存储介质,所述非易失性计算机可读存储介质存储有计算机程序,该计算机程序令被处理器执行时实现上述任一项所述的跨网访问控制管理方法。
有益效果:本发明实施例以用户为维度,在不同的网络环境中维护此用户的路由权限集,当在某种网络环境中,最大路由权限集已确定时,可基于网络环境和用户角色做双重限制,有效降低用户在多种网络环境下的的访问控制配置管理成本。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1为本发明一种跨网访问控制管理方法较佳实施例的流程图;
图2为本发明一种跨网访问控制管理装置的较佳实施例的结构示意图;
图3为本发明一种电子设备的较佳实施例的结构示意图。
具体实施方式
为使本发明的目的、技术方案及效果更加清楚、明确,以下对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。以下结合附图对本发明实施例进行介绍。
本发明实施例提供了一种跨网访问控制管理方法。请参阅图1,图1为本发明一种跨网访问控制管理方法较佳实施例的流程图。如图1所示,其包括步骤:
步骤S100、当检测到用户访问应用系统时,获取目标路由,根据目标路由判断当前调用的服务是否为登录操作,若为登录操作,则执行步骤S200;若非登录操作,则执行步骤S300;
步骤S200、对用户进行鉴权,鉴权成功后,生成权限路由集;
步骤S300、检测到完成校验操作,则查询用户角色对应的权限行为数据,检测到当前网络为限制网络网段时,进行限制网络网段鉴权,根据鉴权结果生成包含用户角色和网络环境的权限路由集。
具体实施时,本发明实施例当检测到用户访问应用系统时,获取目标路由,若目标路由为登录路由,则进行登录操作;若目标路由不是登录路由,且检测到权限路由集不存在,则接收用户指令生成权限路由集;
判断调用服务是否为登录服务;若调用服务是登录服务,则进行用户鉴权操作,校验成功后,前端调用权限路由集服务;若调用服务不是登录服务,则查询用户角色,获取用户对应的权限行为;若目标路由不是登录路由,且检测到权限路由集不存在;判断菜单树路由的状态,获取用户的ID根据请求的地址分配到对应的微服务中,根据用户的角色信息查询对应的功能模块,生成包含用户角色和网络环境的权限路由集。
本发明实施例是基于spring CLOUD微服务技术架构的跨网访问控制管理方法,包括了用户登录、IP校验、用户角色校验、网络鉴权、构造菜单树等步骤。利用该方法,结合了网络环境特点和员工角色权限两者来控制访问和授权应用系统数据,使用该方法,应用系统基于微服务的架构,结合网络环境的访问路径权限集及人员的角色权限数据,进而高效、安全的访问控制。可以有效的降低特定网络环境上的数据泄露的风险。
在步骤S100之前还包括:
预先在网关服务器配置限制网网段,并在鉴权服务器中配置限制网路由权限白名单,所述限制网为限制访问的网络。
具体地,需要预先配置需要区分的网络环境网段(此实现方案以网络1、网络2、网络3为例,网络2、网络3环境需要单独区分出来),在些基础上,分别配置网络2、网络3的路由权限白名单,限定网络2、网络3环境中可访问的路由最大范围,
进一步地,当检测到用户访问应用系统时,获取目标路由,根据目标路由判断当前调用的服务是否为登录操作,包括:
当检测到用户访问应该系统时,获取目标路由,判断目标路由是否登录路由;
若目标路由是登录路由,则清空会话存储内容,并移除存储状态中的权限路由集,调用后台登录服务,通过网关服务器判断当前调用的服务是否为登录服务。
具体实施时,在此步骤中,当用户访问应用系统时,前端会统一进行路由拦截,用于获取用户信息。通过目标路由进行判断,若目标路由为登录URL,调用登录接口,清空会话存储SessionStorage内容,并移除store存储状态中的权限路由集,调用后台登录服务,通过网关服务器判断当前调用的服务是否为登录服务。。
进一步地,当检测到用户访问应该系统时,获取目标路由,判断目标路由是否登录路由,还包括:
若目标路由不是登录路由,则判定会话存储中是否含有令牌信息;
若含有令牌信息,则判断存储状态是否存在权限路由集;
若存储状态中不存在权限路由集,则调用后端生成权限路由集。
具体实施时,若目标路由非登录路由,则判断SessionStorage中是否存在token,若目标路由非登录路由,则判断SessionStorage中是否存在token,
如果不存在token,则调用后端其他服务;
如果存在token,则判断菜单树路由是否存在(即页面是否刷新),
如果菜单树路由不存在,调用后端接口,重新生成菜单树。
若菜单树路由存在,则直接调用网关服务,网关服务会将生成菜单的请求根据它的URL分配到它所属的微服务中。
进一步地,若非登录操作,且完成校验操作,具体为:
若当前调用的服务非登录操作,则进行令牌校验;
令牌校验成功后,进行IP校验;
若当前IP与令牌中首次登录绑定的IP相同,则IP校验通过,完成校验操作。
具体实施时,当前端调用后端登录接口时,网关服务会调用鉴权服务,如果是已登录的状态(即Redis中已经存在Token信息),则进行IP校验,若未登录,则根据用户名和密码进行验证。
在IP校验中,判断当前访问客户端与Token信息中首次登录绑定的IP是否符合,如果不符合,则重新登录。
进一步地,查询用户角色对应的权限行为数据,包括:
查询用户名对应的用户角色,根据用户角色获取对应的权限行为数据。
具体实施时,前端会调用后端生成菜单树的接口。网关服务会先重复鉴权操作,如果用户账户信息验证通过,则通过查询该用户的角色id进行角色权限控制,如果没有角色,会被默认赋予“游客”角色(无任何操作权限)。
进一步地,检测到当前网络为限制网络网段时,进行限制网络网段鉴权,根据鉴权结果生成包含用户角色和网络环境的权限路由集,包括:
判断当前网络是否为限制网络网段;
若当前网络是限制网络网段,则获取用户在限制网络网段的鉴权结果;
若鉴权成功,则生成用户在限制网络网段的权限路由集。
具体实施时,网关服务进行网络2或者网络3的网段URL请求判断,通过对请求URL的网段进行判断,有效的区分网络1、网络2、网络3。网关服务对网络2或者网络3的URL进行鉴权,如果请求的URL不在网络2或者网络3统一配置开放的功能或菜单白名单内,则鉴权失败,反之,则鉴权成功,生成生成权限路由集合。网关服务会将生成菜单的请求根据它的URL分配到它所属的微服务中,根据此用户当前角色ID查询其关联的功能实体、动态菜单,再判断是否是网络2或者网络3,若是,则将网络2或者网络3统一配置开放的白名单过滤,生成属于该员工的在网络2或者网络3环境内进行访问的基于人员角色的权限路由集。
进一步地,判断当前网络是否为限制网络网段,还包括:
若当前网络非限制网络网段,则生成用户角色对应的权限路由集。
具体实施时,若当前网络非限制网络网段,则根据用户角色对应的权限数据,生成用户在当前非限制网络网段的权限路由集。
本发明实施例还提供了一种跨网访问的具体实施例,其中应用系统以项目管理系统为例,此系统在办公网和开发网上皆可访问,但在办公网只能开放一部分特定菜单,具体实施步骤如下:
需要在网关服务配置办公网网段,还需要在鉴权微服务中配置办公网路由权限白名单,限定办公网环境中可访问的路由最大范围。
当用户访问应用系统时,前端会统一进行路由拦截,用于获取用户信息。通过目标路由进行判断,若目标路由为登录URL,调用登录接口,执行登录操作;若目标路由非登录路由,则判断SessionStorage中是否存在token。
若SessionStorage中不存在token,则重新调用登录接口,执行鉴权操作;如果存在token,则判断store状态管理中的菜单树路由是否存在(即页面是否刷新),如果不存在菜单树路由,调用后端接口,重新生成菜单树;如果存在菜单树路由,则生成路由权限集。
鉴权操作具体为:当前端调用后端登录接口时,网关服务会调用鉴权服务,如果是已登录的状态(即Redis中已经存在Token信息),则进行IP校验;若未登录,则根据用户名和密码进行验证。
在IP校验中,判断当前访问客户端与Token信息中首次登录绑定的IP是否符合,如果不符合,则重新登录,继续调用鉴权服务进行鉴权处理。
前端会调用后端生成菜单树的接口。网关服务会先重复鉴权操作,如果用户账户信息验证通过,则通过查询该用户的角色id进行角色权限控制,如果没有角色,会被默认赋予“游客”角色(无任何操作权限)。
网关服务进行办公网网段URL请求判断,通过对请求URL的网段进行判断,有效的区分办公网和开发网。
网关服务对办公网的URL进行鉴权,如果请求的URL不在办公网统一配置开放的功能或菜单白名单内,则鉴权失败,反之,则鉴权成功。
鉴权成功后,网关服务会将生成菜单的请求根据它的URL分配到它所属的微服务中,根据此用户当前角色ID查询其关联的功能实体、动态菜单,再判断是否是办公网,若是,则将办公网统一配置开放的白名单过滤,生成属于该员工的在办公网环境内只能在特定范围内进行访问的菜单树。
通过此实施例,实现了用户灵活控制应用系统在办公网和开发网不同的菜单与功能权限,降低了用户在不同网络环境下的访问控制配置管理成本,有效的将用户在多种网络环境中的行为隔离,降低了数据泄露的风险。
由以上方法实施例可知,本发明实施例提供了一种跨网访问控制管理方法,采用基于网络和角色双重信息的web应用访问控制,通过配置应用系统在不同网络环境中的路由权限集以及用户角色,来限定该用户对功能、菜单的访问权限。该方法基于SpingCloud微服务框架,提供了开箱即用的认证、授权、用户管理等功能,实现了用户灵活控制不同网络环境下的应用系统的下的不同菜单与功能,降低了用户在不同网络环境下的访问控制配置管理成本,有效的将用户在多种网络环境中的行为隔离,降低了数据泄露的风险。。
需要说明的是,上述各步骤之间并不必然存在一定的先后顺序,本领域普通技术人员,根据本发明实施例的描述可以理解,不同实施例中,上述各步骤可以有不同的执行顺序,亦即,可以并行执行,变可以交换执行等等。
本发明另一实施例提供一种跨网访问控制管理装置,如图2所示,装置1包括:
目标路由判定模块11;用于当检测到用户访问应用系统时,获取目标路由,根据目标路由判断当前调用的服务是否为登录操作;
第一鉴权及路由生成模块12,用于若为登录操作,则对用户进行鉴权,鉴权成功后,生成权限路由集;
第二鉴权及路由生成模块13,用于若非登录操作,且完成校验操作,则查询用户角色对应的权限行为数据,检测到当前网络为限制网络网段时,进行限制网络网段鉴权,根据鉴权结果生成包含用户角色和网络环境的权限路由集。
具体实施方式上见述方法实施例,此处不再赘述。
可选地,目标路由判定模块11还用于当检测到用户访问应该系统时,获取目标路由,判断目标路由是否登录路由;
若目标路由是登录路由,则清空会话存储内容,并移除存储状态中的权限路由集,调用后台登录服务,通过网关服务器判断当前调用的服务是否为登录服务。
可选地,目标路由判定模块11还用于若目标路由不是登录路由,则判定会话存储中是否含有令牌信息;
若含有令牌信息,则判断存储状态是否存在权限路由集;
若存储状态中不存在权限路由集,则调用后端生成权限路由集。
可选地,第二鉴权及路由生成模块13还用于若非登录操作,且完成校验操作,具体为:
若当前调用的服务非登录操作,则进行令牌校验;
令牌校验成功后,进行IP校验;
若当前IP与令牌中首次登录绑定的IP相同,则IP校验通过,完成校验操作。
可选地,所述第二鉴权及路由生成模块13还用于查询用户角色对应的权限行为数据,包括:
查询用户名对应的用户角色,根据用户角色获取对应的权限行为数据。
可选地,第二鉴权及路由生成模块13用于判断当前网络是否为限制网络网段;
若当前网络是限制网络网段,则获取用户在限制网络网段的鉴权结果;
若鉴权成功,则生成用户在限制网络网段的权限路由集。
可选地,第二鉴权及路由生成模块13还用于若当前网络非限制网络网段,则生成用户角色对应的权限路由集。
本发明另一实施例提供一种电子设备10,如图3所示,包括处理器110和存储器120;
存储器120,用于存储操作指令;
处理器110,用于通过调用所述操作指令,执行上述任一项所述的跨网访问控制管理方法。
处理器110用于完成电子设备10的各种控制逻辑,其可以为通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、单片机、ARM(Acorn RISCMachine)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。还有,处理器110还可以是任何传统处理器、微处理器或状态机。处理器110也可以被实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP核、或任何其它这种配置。
存储器120作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本发明实施例中的跨网访问控制管理方法对应的程序指令。处理器110通过运行存储在存储器120中的非易失性软件程序、指令以及单元,从而执行电子设备10的各种功能应用以及数据处理,即实现上述方法实施例中的跨网访问控制管理方法。
存储器120可以包括存储程序区和存储数据区,其中,存储程序区可存储操作装置、至少一个功能所需要的应用程序;存储数据区可存储根据电子设备10使用所创建的数据等。此外,存储器120可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器120可选包括相对于处理器110远程设置的存储器,这些远程存储器可以通过网络连接至电子设备10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个单元存储在存储器120中,当被处理器110执行时,执行上述任意方法实施例中的跨网访问控制管理方法,例如,执行以上描述的图1中的方法步骤S100至步骤S300。
本发明实施例提供了一种非易失性计算机可读存储介质,计算机可读存储介质存储有计算机程序,该计算机程序令被处理器执行时实现上述任一项所述的跨网访问控制管理方法行,例如,执行以上描述的图1中的方法步骤S100至步骤S300。
作为示例,非易失性存储介质能够包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦ROM(EEPROM)或闪速存储器。易失性存储器能够包括作为外部高速缓存存储器的随机存取存储器(RAM)。通过说明并非限制,RAM可以以诸如同步RAM(SRAM)、动态RAM、(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDR SDRAM)、增强型SDRAM(ESDRAM)、Synchlink DRAM(SLDRAM)以及直接Rambus(兰巴斯)RAM(DRRAM)之类的许多形式得到。本文中所描述的操作环境的所公开的存储器组件或存储器旨在包括这些和/或任何其他适合类型的存储器中的一个或多个。
以上所描述的实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际需要选择其中的部分或者全部模块来实现本实施例方案的目的。
通过以上的实施例的描述,本领域的技术人员可以清楚地了解到各实施例可借助软件加通用硬件平台的方式来实现,当然也可以通过硬件实现。基于这样的理解,上述技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存在于计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)执行各个实施例或者实施例的某些部分的方法。
除了其他之外,诸如"能够'、"能"、"可能"或"可以"之类的条件语言除非另外具体地陈述或者在如所使用的上下文内以其他方式理解,否则一般地旨在传达特定实施方式能包括(然而其他实施方式不包括)特定特征、元件和/或操作。因此,这样的条件语言一般地还旨在暗示特征、元件和/或操作对于一个或多个实施方式无论如何都是需要的或者一个或多个实施方式必须包括用于在有或没有输入或提示的情况下判定这些特征、元件和/或操作是否被包括或者将在任何特定实施方式中被执行的逻辑。
已经在本文中在本说明书和附图中描述的内容包括能够提供跨网访问控制管理方法及装置的示例。当然,不能够出于描述本公开的各种特征的目的来描述元件和/或方法的每个可以想象的组合,但是可以认识到,所公开的特征的许多另外的组合和置换是可能的。因此,显而易见的是,在不脱离本公开的范围或精神的情况下能够对本公开做出各种修改。此外,或在替代方案中,本公开的其他实施例从对本说明书和附图的考虑以及如本文中所呈现的本公开的实践中可能是显而易见的。意图是,本说明书和附图中所提出的示例在所有方面被认为是说明性的而非限制性的。尽管在本文中采用了特定术语,但是它们在通用和描述性意义上被使用并且不用于限制的目的。
Claims (10)
1.一种跨网访问控制管理方法,其特征在于,包括:
当检测到用户访问应用系统时,获取目标路由,根据目标路由判断当前调用的服务是否为登录操作;
若为登录操作,则对用户进行鉴权,鉴权成功后,生成权限路由集;
若非登录操作,且完成校验操作,则查询用户角色对应的权限行为数据,检测到当前网络为限制网络网段时,进行限制网络网段鉴权,根据鉴权结果生成包含用户角色和网络环境的权限路由集。
2.根据权利要求1所述的方法,其特征在于,所述当检测到用户访问应用系统时,获取目标路由,根据目标路由判断当前调用的服务是否为登录操作,包括:
当检测到用户访问应该系统时,获取目标路由,判断目标路由是否登录路由;
若目标路由是登录路由,则清空会话存储内容,并移除存储状态中的权限路由集,调用后台登录服务,通过网关服务器判断当前调用的服务是否为登录服务。
3.根据权利要求2所述的方法,其特征在于,所述当检测到用户访问应该系统时,获取目标路由,判断目标路由是否登录路由,还包括:
若目标路由不是登录路由,则判定会话存储中是否含有令牌信息;
若含有令牌信息,则判断存储状态是否存在权限路由集;
若存储状态中不存在权限路由集,则调用后端生成权限路由集。
4.根据权利要求3所述的方法,其特征在于,所述若非登录操作,且完成校验操作,具体为:
若当前调用的服务非登录操作,则进行令牌校验;
令牌校验成功后,进行IP校验;
若当前IP与令牌中首次登录绑定的IP相同,则IP校验通过,完成校验操作。
5.根据权利要求4所述的方法,其特征在于,所述查询用户角色对应的权限行为数据,包括:
查询用户名对应的用户角色,根据用户角色获取对应的权限行为数据。
6.根据权利要求5所述的方法,其特征在于,所述检测到当前网络为限制网络网段时,进行限制网络网段鉴权,根据鉴权结果生成包含用户角色和网络环境的权限路由集,包括:
判断当前网络是否为限制网络网段;
若当前网络是限制网络网段,则获取用户在限制网络网段的鉴权结果;
若鉴权成功,则生成用户在限制网络网段的权限路由集。
7.根据权利要求6所述的方法,其特征在于,所述判断当前网络是否为限制网络网段,还包括:
若当前网络非限制网络网段,则生成用户角色对应的权限路由集。
8.一种跨网访问控制管理装置,其特征在于,包括:
目标路由判定模块;用于当检测到用户访问应用系统时,获取目标路由,根据目标路由判断当前调用的服务是否为登录操作;
第一鉴权及路由生成模块,用于若为登录操作,则对用户进行鉴权,鉴权成功后,生成权限路由集;
第二鉴权及路由生成模块,用于若非登录操作,且完成校验操作,则查询用户角色对应的权限行为数据,检测到当前网络为限制网络网段时,进行限制网络网段鉴权,根据鉴权结果生成包含用户角色和网络环境的权限路由集。
9.一种电子设备,其特征在于,包括处理器和存储器;
所述存储器,用于存储操作指令;
所述处理器,用于通过调用所述操作指令,执行权利要求1-7任一项所述的方法。
10.一种非易失性计算机可读存储介质,其特征在于,所述非易失性计算机可读存储介质存储有计算机程序,该计算机程序令被处理器执行时实现权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010970278.7A CN112187748B (zh) | 2020-09-15 | 2020-09-15 | 一种跨网访问控制管理方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010970278.7A CN112187748B (zh) | 2020-09-15 | 2020-09-15 | 一种跨网访问控制管理方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112187748A true CN112187748A (zh) | 2021-01-05 |
| CN112187748B CN112187748B (zh) | 2022-11-25 |
Family
ID=73921224
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010970278.7A Active CN112187748B (zh) | 2020-09-15 | 2020-09-15 | 一种跨网访问控制管理方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112187748B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112866293A (zh) * | 2021-03-05 | 2021-05-28 | 武汉思普崚技术有限公司 | 一种网关设备系统管理员权限管理方法及装置 |
| CN113613274A (zh) * | 2021-09-01 | 2021-11-05 | 四川九州电子科技股份有限公司 | 基于Mesh组网下的智能接入配置方法 |
| CN113992406A (zh) * | 2021-10-27 | 2022-01-28 | 杭州云象网络技术有限公司 | 一种用于联盟链跨链的权限访问控制方法 |
| CN114157564A (zh) * | 2021-12-07 | 2022-03-08 | 中信银行股份有限公司 | 网络访问状态的检测方法、装置、设备及可读存储介质 |
| CN114338223A (zh) * | 2022-01-14 | 2022-04-12 | 百果园技术(新加坡)有限公司 | 一种用户鉴权方法、系统、装置、设备及存储介质 |
| CN114944944A (zh) * | 2022-05-05 | 2022-08-26 | 北京蓝海在线科技有限公司 | 一种基于json数据的权限分配方法、装置及计算机设备 |
| CN115002015A (zh) * | 2022-05-25 | 2022-09-02 | 携程旅游网络技术(上海)有限公司 | 终端设备的网络环境检测方法、系统、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017080385A1 (zh) * | 2015-11-10 | 2017-05-18 | 阿里巴巴集团控股有限公司 | 获取网页应用的方法、装置及系统 |
| CN110866243A (zh) * | 2019-10-25 | 2020-03-06 | 北京达佳互联信息技术有限公司 | 登录权限校验方法、装置、服务器及存储介质 |
| CN111177612A (zh) * | 2019-07-16 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种页面登录鉴权的方法及相关装置 |
| CN111552936A (zh) * | 2020-04-26 | 2020-08-18 | 国电南瑞科技股份有限公司 | 一种基于调度机构级别的跨系统访问权限控制方法及系统 |
-
2020
- 2020-09-15 CN CN202010970278.7A patent/CN112187748B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017080385A1 (zh) * | 2015-11-10 | 2017-05-18 | 阿里巴巴集团控股有限公司 | 获取网页应用的方法、装置及系统 |
| CN111177612A (zh) * | 2019-07-16 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种页面登录鉴权的方法及相关装置 |
| CN110866243A (zh) * | 2019-10-25 | 2020-03-06 | 北京达佳互联信息技术有限公司 | 登录权限校验方法、装置、服务器及存储介质 |
| CN111552936A (zh) * | 2020-04-26 | 2020-08-18 | 国电南瑞科技股份有限公司 | 一种基于调度机构级别的跨系统访问权限控制方法及系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112866293A (zh) * | 2021-03-05 | 2021-05-28 | 武汉思普崚技术有限公司 | 一种网关设备系统管理员权限管理方法及装置 |
| CN113613274A (zh) * | 2021-09-01 | 2021-11-05 | 四川九州电子科技股份有限公司 | 基于Mesh组网下的智能接入配置方法 |
| CN113613274B (zh) * | 2021-09-01 | 2023-08-18 | 四川九州电子科技股份有限公司 | 基于Mesh组网下的智能接入配置方法 |
| CN113992406A (zh) * | 2021-10-27 | 2022-01-28 | 杭州云象网络技术有限公司 | 一种用于联盟链跨链的权限访问控制方法 |
| CN114157564A (zh) * | 2021-12-07 | 2022-03-08 | 中信银行股份有限公司 | 网络访问状态的检测方法、装置、设备及可读存储介质 |
| CN114338223A (zh) * | 2022-01-14 | 2022-04-12 | 百果园技术(新加坡)有限公司 | 一种用户鉴权方法、系统、装置、设备及存储介质 |
| CN114338223B (zh) * | 2022-01-14 | 2024-01-09 | 百果园技术(新加坡)有限公司 | 一种用户鉴权方法、系统、装置、设备及存储介质 |
| CN114944944A (zh) * | 2022-05-05 | 2022-08-26 | 北京蓝海在线科技有限公司 | 一种基于json数据的权限分配方法、装置及计算机设备 |
| CN115002015A (zh) * | 2022-05-25 | 2022-09-02 | 携程旅游网络技术(上海)有限公司 | 终端设备的网络环境检测方法、系统、设备及介质 |
| CN115002015B (zh) * | 2022-05-25 | 2024-03-22 | 携程旅游网络技术(上海)有限公司 | 终端设备的网络环境检测方法、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112187748B (zh) | 2022-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112187748B (zh) | 一种跨网访问控制管理方法、装置及电子设备 | |
| CN111131242B (zh) | 一种权限控制方法、装置和系统 | |
| US10178096B2 (en) | Enhanced data leakage detection in cloud services | |
| CN107172054B (zh) | 一种基于cas的权限认证方法、装置及系统 | |
| US9639678B2 (en) | Identity risk score generation and implementation | |
| CN102577302B (zh) | 用于在具有流量管理的连接中使用端点审计的系统和方法 | |
| CN110266764B (zh) | 基于网关的内部服务调用方法、装置及终端设备 | |
| US8850550B2 (en) | Using cached security tokens in an online service | |
| US20130019018A1 (en) | Optimized service integration | |
| WO2019215040A1 (en) | Telecom node control via blockchain | |
| CN103119907A (zh) | 提供用于访问控制的智能组的系统和方法 | |
| CN108319827B (zh) | 一种基于osgi框架的api权限管理系统及方法 | |
| CN111416822A (zh) | 访问控制的方法、电子设备和存储介质 | |
| CN111881483B (zh) | 基于区块链的资源账户绑定方法、装置、设备和介质 | |
| CN107872455A (zh) | 一种跨域单点登录系统及其方法 | |
| US20230336541A1 (en) | Method and device for two-factor authentication, computer device, and storage medium | |
| CN112788031A (zh) | 基于Envoy架构的微服务接口认证系统、方法及装置 | |
| CN112511565B (zh) | 请求响应方法、装置、计算机可读存储介质及电子设备 | |
| CN112769735A (zh) | 资源访问方法、装置与系统 | |
| CN112149108A (zh) | 访问控制方法、装置、电子设备及存储介质 | |
| Chae et al. | A study on secure user authentication and authorization in OAuth protocol | |
| EP2207303B1 (en) | Method, system and entity for bill authentication in network serving | |
| CN113784354A (zh) | 基于网关的请求转换方法和装置 | |
| CN110839027B (zh) | 用户的认证方法、装置、代理服务器和网络服务系统 | |
| CN109861982A (zh) | 一种身份认证的实现方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |