CN112311716A - 一种基于openstack的数据访问控制方法、装置及服务器 - Google Patents
一种基于openstack的数据访问控制方法、装置及服务器 Download PDFInfo
- Publication number
- CN112311716A CN112311716A CN201910672228.8A CN201910672228A CN112311716A CN 112311716 A CN112311716 A CN 112311716A CN 201910672228 A CN201910672228 A CN 201910672228A CN 112311716 A CN112311716 A CN 112311716A
- Authority
- CN
- China
- Prior art keywords
- token
- user side
- specified
- link
- specified position
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
一种基于openstack的数据访问控制方法包括:接收用户端的令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置;在所述用户端具有所述指定位置的访问权限时,将所述指定位置添加至指定用户组信息,并向用户端发送所生成的所述指定位置对应的令牌以及令牌对应的链接;根据接收到的用户端所发送的令牌和链接,结合用户组信息控制指定位置的访问权限。根据令牌获取请求生成用户端权限内的任意指定位置的令牌,使得权限控制更为灵活,并且可以根据所得到的令牌和链接,准确的对指定位置的数据进行分享,有利于提高数据分享的安全性。
Description
技术领域
本申请属于云计算领域,尤其涉及一种基于openstack的数据访问控制方法、装置及服务器。
背景技术
OpenStack是一个开源的云计算管理平台项目。而对象存储swift则是该开源云计算项目的重要子项目之一,可以为用户提供强大的扩展性、冗余和持久的数据存储服务。适于对虚拟机镜像、图片、邮件或存档备份等静态数据进行长期存储。
在通过代理服务(proxy)获取所存储的数据的访问权限时,目前一般是通过配置访问权限列表ACL(Access Control List)的方式,即预先配置不同用户所对应的具有访问权限的目录container的令牌token,用户获取token后,可以访问目录下的所有文件。由于配置访问权限列表无法配置具体对象的访问权限,权限控制方式较为单一,而且在分享数据时,不利于保证所分享的目录container下的其它数据的安全性。
发明内容
有鉴于此,本申请实施例提供了一种基于openstack的数据访问控制方法、装置及设备,以解决现有技术中在对openstack的对象存储的数据进行访问时,权限控制方式较为单一,不利于保证所分享的数据的安全性的问题。
本申请实施例的第一方面提供了一种基于openstack的数据访问控制方法,所述基于openstack的数据访问控制方法包括:
接收用户端的令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置;
在所述用户端具有所述指定位置的访问权限时,将所述指定位置添加至指定用户组信息,并向用户端发送所生成的所述指定位置对应的令牌以及令牌对应的链接;
根据接收到的用户端所发送的令牌和链接,结合用户组信息控制指定位置的访问权限。
结合第一方面,在第一方面的第一种可能实现方式中,所述接收用户端的令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置为:
接收用户端的令牌获取请求,所述信息获取请求为http请求,所述令牌所对应的指定位置的信息位于所述http请求的头部header。
结合第一方面,在第一方面的第二种可能实现方式中,所述根据接收到的用户端所发送的令牌和链接,结合用户组信息控制指定位置的访问权限的步骤包括:
接收用户端的访问请求,所述访问请求包括访问链接和令牌;
在所述令牌与所述访问链接匹配时,获取所述访问链接中的指定位置的权限。
结合第一方面,在第一方面的第三种可能实现方式中,所述向用户端发送所生成的所述指定位置对应的令牌以及令牌对应的链接的步骤包括:
根据用户端所请求的指定位置,确定所述指定位置的类型对应的不同版本的令牌,以及与所述不同版本的令牌对应的链接;
将所述指定位置对应的令牌和链接发送至用户端。
结合第一方面、第一方面的第一种可能实现方式、第一方面的第二种可能实现方式或第一方面的第三种可能实现方式,在第一方面的第四种可能实现方式中,所述指定位置的类型包括指定目录和指定目录下的指定文件。
第二方面,本申请实施例提供了一种基于openstack的数据访问方法,所述基于openstack的数据访问方法包括:
向服务器发送令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置;
接收服务器返回的令牌以及令牌对应的链接,所述令牌以及令牌对应的链接根据发送请求的用户端的权限将指定位置添加至用户组信息后生成;
根据所接收的链接和令牌访问所述指定位置。
结合第二方面,在第二方面的第一种可能实现方式中,所述向服务器发送令牌获取请求的步骤包括:
获取令牌获取请求的http请求的头部header信息;
在所述头部header添加所述令牌的指定位置的信息;
将添加有指定位置的http请求发送给服务器。
本申请实施例的第三方面提供了一种基于openstack的数据访问控制装置,所述基于openstack的数据访问控制装置包括:
请求接收单元,用于接收用户端的令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置;
令牌生成单元,用于在所述用户端具有所述指定位置的访问权限时,将所述指定位置添加至指定用户组信息,并向用户端发送所生成的所述指定位置对应的令牌以及令牌对应的链接;
权限控制单元,用于根据接收到的用户端所发送的令牌和链接,结合用户组信息控制指定位置的访问权限。
本申请实施例的第四方面提供了一种基于openstack的数据访问控制设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述基于openstack的数据访问控制方法的步骤。
本申请实施例的第五方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面任一项所述基于openstack的数据访问控制方法的步骤。
本申请实施例与现有技术相比存在的有益效果是:根据用户端发送的获取访问指定位置的令牌的请求,在用户端具有访问指定位置的权限时,将指定位置添加至用户组令牌,生成所述指定位置对应的令牌及链接并发送给用户端,在接收到用户端发送的链接和令牌,用于对指定位置访问时,结合所述用户组令牌控制用户的访问权限。由于本申请可以根据令牌获取请求生成用户端权限内的任意指定位置的令牌,从而使得权限控制更为灵活,并且可以根据所得到的令牌和链接,准确的对指定位置的数据进行分享,有利于提高数据分享的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的基于openstack的数据访问控制方法实施场景示意图;
图2是本申请实施例提供的一种基于openstack的数据访问控制方法的实现流程示意图;
图3是本申请实施例提供的一种生成令牌方法的实现流程示意图;
图4是本申请实施例提供的一种基于openstack的数据访问方法的实现流程示意图;
图5是本申请实施例提供的一种基于openstack的数据访问控制装置的示意图;
图6是本申请实施例提供的一种基于openstack的数据访问装置的示意图;
图7是本申请实施例提供的服务器的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
为了说明本申请所述的技术方案,下面通过具体实施例来进行说明。
图1为本申请实施例提供的一种基于openstack的数据访问控制系统的示意图,如图1所示,所述基于openstack的数据访问控制系统包括代理(proxy)服务器、数据服务器和用户端。其中,所述用户端可以根据用户权限,向所述代理服务器发送令牌获取请求,并根据所返回的令牌等令牌,获取指定位置的数据进行访问。所述代理服务器用于控制令牌生成,以及在用户获取到令牌、链接后,对用户的令牌和链接进行鉴权控制,在用户的数据访问请求通过鉴权认证后,允许用户端访问所述数据服务器中存储的数据。
其中,所述openstack,是一个开源的云计算管理平台项目,覆盖了网络、虚拟化、操作系统、服务器等各个方面。根据成熟及重要程度的不同,被分解成核心项目、孵化项目,以及支持项目和相关项目。其中,所述核心项目可以包括如计算、对象存储、镜像服务、身份服务等。
图2所示为本申请实施例提供的一种基于openstack的数据访问控制方法的实现流程示意图,详述如下:
在步骤S201中,接收用户端的令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置;
具体的,本申请所述令牌获取请求,可以通过http(超文本传输协议)请求的方式,由用户端发送至服务器,比如发送至代理服务器等。所述令牌获取请求中包括的所请求的令牌对应的指定位置,可以设置在所述http请求中的头部header,比如可以设定头部header中的定位来设定令牌所对应的指定位置等。或者,所述令牌所对应的指定位置,也可以通过url(统一资源定位符)中的参数来携带的方式,发送至所述服务器。
所述指定位置,可以包括指定的目录container,也可以包括指定的container下的指定文件object。
当所述指定位置为指定的目录container时,用户端获取所述指定目录container对应的令牌和链接后,用户端可以根据所述令牌访问该目录container下的所有文件夹container和文件object。或者用户端可以将该令牌和链接分享至其它用户,其它用户可以根据所述令牌和链接,访问该目录container下的所有文件夹container和文件object。可以指定用户权限范围内的特定目录,提高权限控制的灵活性和分享的安全性。
当所述指定位置指定的目录container下的指定文件object时,用户端获取所述指定目录container下的指定文件object所对应的令牌和链接后,用户端可以根据所述令牌访问该目录container下的指定文件object。或者用户端可以将该令牌和链接分享至其它用户,其它用户可以根据所分享的令牌和链接,访问该目录container下的指定文件object。可以准确的针对具体的文件object进行分享和访问,有利于提高权限控制的灵活性的分享的安全性。
可以理解的是,在接收到用户端的令牌获取请求之前,可以包括对用户端进行验证的步骤。比如,可以在接收用户端的令牌获取请求之前,验证所述用户端的用户是否为合法用户。可以通过接收用户端所发送的账户信息,对用户端进行验证,如果用户端为具有对数据服务器中的数据的访问权限的用户端,则可进一步根据用户的令牌获取请求进行处理。如果用户端不具有对数据服务器中的数据的访问权限的用户端,可拒绝所述令牌获取请求,或者可以返回令牌获取失败的响应消息。
在步骤S202中,在所述用户端具有所述指定位置的访问权限时,将所述指定位置添加至指定用户组信息,并向用户端发送所生成的所述指定位置对应的令牌以及令牌对应的链接;
在用户端具有对服务器的数据访问的权限时,则可以进一步将令牌获取请求中的指定位置与用户端的权限进行比较。
如果所述用户端的权限对应的访问范围,包括所述用户端所请求获取的令牌所对应的指定位置,则可以生成所述用户端所请求的令牌,并且生成所述令牌所对应的链接。
比如,用户端权限对应的访问范围包括container A,container B,如果用户端所请求获取的令牌所对应的指定位置为container A,或者所述用户端所请求获取的令牌所对应的指定位置为container B下的指定文件object b1,则可以生成所述用户端所请求的令牌,并生成所述令牌所对应的链接。
如果所述用户端的权限对应的访问范围,没有包括所述用户所请求获取的令牌所对应的指定位置,则可以返回令牌创建失败的响应消息。
比如,用户端权限对应的访问范围包括container A,container B,如果用户端所请求获取的令牌所对应的指定位置为container C,或者所述用户端所请求获取的令牌所对应的指定位置为container D下的指定文件object d1,则可以返回令牌创建失败的响应消息,或者权限验证失败的响应消息等。
在本申请中,为了优化权限控制,所生成的令牌的版本,可以与所述指定位置的类型相关联,如图3所示,可以包括:
在步骤S301中,根据用户端所请求的指定位置,确定所述指定位置的类型对应的不同版本的令牌,以及与所述不同版本的令牌对应的链接;
比如,所述指定位置的类型,可以包括指定具体的目录container,也可以包括指定具体目录container下的具体文件object。在本申请实施过程中,可能会存在未指定任何具体目录的情形。为了便于对不同指定位置类型进行管理,可以分别对应不同版本的令牌,以及不同版本的令牌所对应的链接。所述令牌可以包括所述用户端的账号信息。
比如,用户端在请求获取令牌token时,如果用户端的令牌获取请求中所指定位置为目录container,则可以使用V1.1版本的令牌,并生成所对应的链接可以为:
http://oss-sf.express.com/v1.1/account/container
如果用户端在请求获取令牌token时,如果用户端的令牌获取请求中所指定位置为目录container下的指定文件object时,可以使用V1.2版本的令牌,并生成对应的链接可以为:
http://oss-sf.express.com/v1.2/account/container/object
如果用户端的令牌获取请求中未携带指定位置,则生成的令牌的版本类型可以为V1,所对应的链接可以为:
http://oss-sf.express.com/v1/account/container/object
http://oss-sf.express.com/v1/account/container
http://oss-sf.express.com/v1/account
等。
在步骤S302中,将所述指定位置对应的令牌和链接发送至用户端。
所述用户端获取所述令牌和对应的链接后,可以根据所述链接,结合所述令牌发起对指定位置的数据访问请求。或者,可以将所述令牌和所述链接分享至所其它用户端,或者由请求获取该令牌和链接的用户,分享给其它用户使用。
当用户端使用所述链接和所述令牌访问指定位置的数据时,需要包括相同的版本令牌,如果所述令牌版本与所述链接中包括的版本令牌不匹配,则不能获取所述指定位置的数据的访问权限。
在步骤S203中,根据接收到的用户端所发送的令牌和链接,结合用户组信息控制指定位置的访问权限。
接收到所述用户端所发送的令牌和链接,可以对所述令牌和链接是否匹配进行验证。验证可以包括所述链接中的指定位置,是否与令牌中的指定位置相匹配,从而控制指定位置以外的其它数据的安全性。其次,还可以进一步验证所述令牌的版本,与所述链接中的版本信息是否相符,如果所述令牌中的版本,与所述链接中的版本信息相符,则进一步根据用户组信息中是否包括所述指定位置,如果所述用户组信息中包括所述指定位置,则允许用户访问指定位置的数据。通过获取链接中的版本。
图4为本申请实施例提供的一种基于用户端角度的、基于openstack的数据访问方法的实现流程图,详述如下:
在步骤S401中,向服务器发送令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置;
本申请在向服务器发送令牌获取请求时,可以预先在用户端通过用户账号信息登录至服务器,服务器可以获取用户端可访问的权限范围。根据所述权限访问确定所请求获取的令牌的指定位置是否有效。如果服务器确定指定位置无效,则接收服务器返回的令牌获取失败的消息。如果服务器锭指定位置有效,则获取服务器返回的令牌和链接。
其中,所述令牌获取请求可以为http请求,所述指定位置的令牌,可以添加至所述http请求中的头部header,从而能够有效的将指定位置发送至服务器。
在步骤S402中,接收服务器返回的令牌以及令牌对应的链接,所述令牌以及令牌对应的链接根据发送请求的用户端的权限将指定位置添加至用户组信息后生成;
在接收到服务器返回的链接和令牌后,可以根据所述令牌和链接对指定位置进行访问,或者可以分享给其它用户,由其它用户对指定位置进行访问。在使用所述链接和令牌进行数据访问时,需要控制所述令牌与链接的匹配。比如,需要控制所述令牌的版本和链接中包括的版本匹配,和/或,需要控制所述令牌中的指定位置,与链接中的指定位置匹配。
在步骤S403中,根据所接收的链接和令牌访问所述指定位置。
在获取到所述令牌和链接后,可以在所述令牌的有效时间范围内,对所述令牌和链接所对应的指定位置进行访问,包括如对指定目录container,或者指定目录container下的指定文件object进行访问。
图4所述基于openstack的数据访问方法,与图2所述的基于openstack的数据访问控制方法对应。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
图5为本申请实施例提供的一种基于openstack的数据访问控制装置的结构示意图,所述基于openstack的数据访问控制装置包括:
请求接收单元501,用于接收用户端的令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置;
令牌生成单元502,用于在所述用户端具有所述指定位置的访问权限时,将所述指定位置添加至指定用户组信息,并向用户端发送所生成的所述指定位置对应的令牌以及令牌对应的链接;
权限控制单元503,用于根据接收到的用户端所发送的令牌和链接,结合用户组信息控制指定位置的访问权限。
图5所述基于openstack的数据访问控制装置,与图2所述的基于openstack的数据访问控制方法对应。
图6为本申请实施例提供的一种基于openstack的数据访问装置的结构示意图,所述基于openstack的数据访问装置包括:
请求发送单元601,用于向服务器发送令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置;
令牌接收单元602,用于接收服务器返回的令牌以及令牌对应的链接,所述令牌以及令牌对应的链接根据发送请求的用户端的权限将指定位置添加至用户组信息后生成;
访问单元603,用于根据所接收的链接和令牌访问所述指定位置。
图6所述的基于openstack的数据访问装置,与图4所述的基于openstack的数据访问方法对应。
图7是本申请一实施例提供的服务器的示意图。如图7所示,该实施例的服务器7包括:处理器70、存储器71以及存储在所述存储器71中并可在所述处理器70上运行的计算机程序72,例如基于openstack的数据访问控制程序。所述处理器70执行所述计算机程序72时实现上述各个基于openstack的数据访问控制方法实施例中的步骤。或者,所述处理器70执行所述计算机程序72时实现上述各装置实施例中各模块/单元的功能。
示例性的,所述计算机程序72可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器71中,并由所述处理器70执行,以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序72在所述服务器7中的执行过程。例如,所述计算机程序72可以被分割成:
请求接收单元,用于接收用户端的令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置;
令牌生成单元,用于在所述用户端具有所述指定位置的访问权限时,将所述指定位置添加至指定用户组信息,并向用户端发送所生成的所述指定位置对应的令牌以及令牌对应的链接;
权限控制单元,用于根据接收到的用户端所发送的令牌和链接,结合用户组信息控制指定位置的访问权限。
所述服务器可包括,但不仅限于,处理器70、存储器71。本领域技术人员可以理解,图7仅仅是服务器7的示例,并不构成对服务器7的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述服务器还可以包括输入输出设备、网络接入设备、总线等。
所称处理器70可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器71可以是所述服务器7的内部存储单元,例如服务器7的硬盘或内存。所述存储器71也可以是所述服务器7的外部存储设备,例如所述服务器7上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器71还可以既包括所述服务器7的内部存储单元也包括外部存储设备。所述存储器71用于存储所述计算机程序以及所述服务器所需的其他程序和数据。所述存储器71还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,本申请还提供了一种终端设备,所述终端设备处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述计算机程序可以划分为:
请求发送单元,用于向服务器发送令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置;
令牌接收单元,用于接收服务器返回的令牌以及令牌对应的链接,所述令牌以及令牌对应的链接根据发送请求的用户端的权限将指定位置添加至用户组信息后生成;
访问单元,用于根据所接收的链接和令牌访问所述指定位置。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括是电载波信号和电信信号。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种基于openstack的数据访问控制方法,其特征在于,所述基于openstack的数据访问控制方法包括:
接收用户端的令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置;
在所述用户端具有所述指定位置的访问权限时,将所述指定位置添加至指定用户组信息,并向用户端发送所生成的所述指定位置对应的令牌以及令牌对应的链接;
根据接收到的用户端所发送的令牌和链接,结合用户组信息控制指定位置的访问权限。
2.根据权利要求1所述的基于openstack的数据访问控制方法,其特征在于,所述接收用户端的令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置为:
接收用户端的令牌获取请求,所述信息获取请求为http请求,所述令牌所对应的指定位置的信息位于所述http请求的头部header。
3.根据权利要求1所述基于openstack的数据访问控制方法,其特征在于,所述根据接收到的用户端所发送的令牌和链接,结合用户组信息控制指定位置的访问权限的步骤包括:
接收用户端的访问请求,所述访问请求包括访问链接和令牌;
在所述令牌与所述访问链接匹配时,获取所述访问链接中的指定位置的权限。
4.根据权利要求1所述基于openstack的数据访问控制方法,其特征在于,所述向用户端发送所生成的所述指定位置对应的令牌以及令牌对应的链接的步骤包括:
根据用户端所请求的指定位置,确定所述指定位置的类型对应的不同版本的令牌,以及与所述不同版本的令牌对应的链接;
将所述指定位置对应的令牌和链接发送至用户端。
5.根据权利要求1-4任一项所述的基于openstack的数据访问控制方法,其特征在于,所述指定位置的类型包括指定目录和指定目录下的指定文件。
6.一种基于openstack的数据访问方法,其特征在于,所述基于openstack的数据访问方法包括:
向服务器发送令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置;
接收服务器返回的令牌以及令牌对应的链接,所述令牌以及令牌对应的链接根据发送请求的用户端的权限将指定位置添加至用户组信息后生成;
根据所接收的链接和令牌访问所述指定位置。
7.根据权利要求6所述的基于openstack的数据访问方法,其特征在于,所述向服务器发送令牌获取请求的步骤包括:
获取令牌获取请求的http请求的头部header信息;
在所述头部header添加所述令牌的指定位置的信息;
将添加有指定位置的http请求发送给服务器。
8.一种基于openstack的数据访问控制装置,其特征在于,所述基于openstack的数据访问控制装置包括:
请求接收单元,用于接收用户端的令牌获取请求,所述令牌获取请求包括请求获取的令牌所对应的指定位置;
令牌生成单元,用于在所述用户端具有所述指定位置的访问权限时,将所述指定位置添加至指定用户组信息,并向用户端发送所生成的所述指定位置对应的令牌以及令牌对应的链接;
权限控制单元,用于根据接收到的用户端所发送的令牌和链接,结合用户组信息控制指定位置的访问权限。
9.一种服务器,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述基于openstack的数据访问控制方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述基于openstack的数据访问控制方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910672228.8A CN112311716B (zh) | 2019-07-24 | 2019-07-24 | 一种基于openstack的数据访问控制方法、装置及服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910672228.8A CN112311716B (zh) | 2019-07-24 | 2019-07-24 | 一种基于openstack的数据访问控制方法、装置及服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112311716A true CN112311716A (zh) | 2021-02-02 |
CN112311716B CN112311716B (zh) | 2023-04-21 |
Family
ID=74329101
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910672228.8A Active CN112311716B (zh) | 2019-07-24 | 2019-07-24 | 一种基于openstack的数据访问控制方法、装置及服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112311716B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114047882A (zh) * | 2021-11-18 | 2022-02-15 | 中国科学院计算机网络信息中心 | 一种单桶读写权限分离的身份认证方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104216907A (zh) * | 2013-06-02 | 2014-12-17 | 上海贝尔股份有限公司 | 一种用于提供数据库访问控制的方法、装置与系统 |
US20180007024A1 (en) * | 2015-01-23 | 2018-01-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for obtaining a scoped token |
US20180089451A1 (en) * | 2016-09-23 | 2018-03-29 | Microsoft Technology Licensing, Llc. | Tokenized links with granular permissions |
US20180152441A1 (en) * | 2016-11-25 | 2018-05-31 | Canon Kabushiki Kaisha | Authority verification system, authority verification method, and computer-readable storage medium |
US20180295126A1 (en) * | 2015-09-22 | 2018-10-11 | Conjur, Inc. | Dynamic computing resource access authorization |
-
2019
- 2019-07-24 CN CN201910672228.8A patent/CN112311716B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104216907A (zh) * | 2013-06-02 | 2014-12-17 | 上海贝尔股份有限公司 | 一种用于提供数据库访问控制的方法、装置与系统 |
US20180007024A1 (en) * | 2015-01-23 | 2018-01-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for obtaining a scoped token |
US20180295126A1 (en) * | 2015-09-22 | 2018-10-11 | Conjur, Inc. | Dynamic computing resource access authorization |
US20180089451A1 (en) * | 2016-09-23 | 2018-03-29 | Microsoft Technology Licensing, Llc. | Tokenized links with granular permissions |
US20180152441A1 (en) * | 2016-11-25 | 2018-05-31 | Canon Kabushiki Kaisha | Authority verification system, authority verification method, and computer-readable storage medium |
Non-Patent Citations (1)
Title |
---|
李小宁等: "基于OpenStack构建私有云计算平台", 《电信科学》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114047882A (zh) * | 2021-11-18 | 2022-02-15 | 中国科学院计算机网络信息中心 | 一种单桶读写权限分离的身份认证方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112311716B (zh) | 2023-04-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5516821B2 (ja) | 仮想化及び認証を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法 | |
CN108923908B (zh) | 授权处理方法、装置、设备及存储介质 | |
US9507949B2 (en) | Device and methods for management and access of distributed data sources | |
US11177964B2 (en) | Blockchain based authentication | |
CN108734028B (zh) | 基于区块链的数据管理方法、区块链节点及存储介质 | |
CN105164633B (zh) | 由可信提供商进行的配置和验证 | |
US10833859B2 (en) | Automating verification using secure encrypted phone verification | |
CN108289098B (zh) | 分布式文件系统的权限管理方法和装置、服务器、介质 | |
CN108880821B (zh) | 一种数字证书的认证方法及设备 | |
CN109587126B (zh) | 用户鉴权方法和系统 | |
US20230370265A1 (en) | Method, Apparatus and Device for Constructing Token for Cloud Platform Resource Access Control | |
CN107835181B (zh) | 服务器集群的权限管理方法、装置、介质和电子设备 | |
CN109286620B (zh) | 用户权限管理方法、系统、设备和计算机可读存储介质 | |
CN110708335A (zh) | 访问认证方法、装置及终端设备 | |
CN111818088A (zh) | 授权模式管理方法、装置、计算机设备及可读存储介质 | |
CN114021103A (zh) | 基于身份认证的单点登录方法、装置、终端及存储介质 | |
CN111177703B (zh) | 操作系统数据完整性的确定方法及装置 | |
CN114422258A (zh) | 一种基于多认证协议的单点登录方法、介质及电子设备 | |
CN111988262B (zh) | 认证方法、装置及服务器、存储介质 | |
CN107181801B (zh) | 一种电子附件存储方法及终端 | |
CN112311716B (zh) | 一种基于openstack的数据访问控制方法、装置及服务器 | |
CN111538566A (zh) | 镜像文件处理方法、装置、系统、电子设备及存储介质 | |
CN111355583B (zh) | 一种业务提供系统、方法、装置、电子设备及存储介质 | |
CN109635558B (zh) | 访问控制方法、装置和系统 | |
CN103559430A (zh) | 基于安卓系统的应用账号管理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |