CN112329034B - 一种基于应用平台可控制访问策略的应用代理方法 - Google Patents

一种基于应用平台可控制访问策略的应用代理方法 Download PDF

Info

Publication number
CN112329034B
CN112329034B CN202011201280.4A CN202011201280A CN112329034B CN 112329034 B CN112329034 B CN 112329034B CN 202011201280 A CN202011201280 A CN 202011201280A CN 112329034 B CN112329034 B CN 112329034B
Authority
CN
China
Prior art keywords
application
proxy
address
platform
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011201280.4A
Other languages
English (en)
Other versions
CN112329034A (zh
Inventor
宋录文
李妃军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Arcvideo Technology Co ltd
Original Assignee
Hangzhou Arcvideo Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Arcvideo Technology Co ltd filed Critical Hangzhou Arcvideo Technology Co ltd
Priority to CN202011201280.4A priority Critical patent/CN112329034B/zh
Publication of CN112329034A publication Critical patent/CN112329034A/zh
Application granted granted Critical
Publication of CN112329034B publication Critical patent/CN112329034B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于应用平台可控制访问策略的应用代理方法。它具体包括如下步骤:(1)应用管理平台提供生成加密代理地址的接口;(2)用户通过访问平台内第三方服务,点击调用接口生成代理地址;(3)用户访问该代理地址,平台应用网关匹配后,解密并校验该代理地址。本发明的有益效果是:通过生成第三方服务代理地址来避免第三方服务实际IP地址的暴露,有效控制应用的访问权限和代理地址的过期时间。

Description

一种基于应用平台可控制访问策略的应用代理方法
技术领域
本发明涉及计算机数据处理相关技术领域,尤其是指一种基于应用平台可控制访问策略的应用代理方法。
背景技术
目前应用平台接入第三方服务时,一般会采用内嵌或页面跳转的方式集成,但同时也暴露第三方服务的地址,用户可以不经过应用平台而直接访问到第三方服务,缺少对服务的权限和时效控制。
发明内容
本发明是为了克服现有技术中存在上述的不足,提供了一种控制权限和时效的基于应用平台可控制访问策略的应用代理方法。
为了实现上述目的,本发明采用以下技术方案:
一种基于应用平台可控制访问策略的应用代理方法,具体包括如下步骤:
(1)应用管理平台提供生成加密代理地址的接口;
(2)用户通过访问平台内第三方服务,点击调用接口生成代理地址;
(3)用户访问该代理地址,平台应用网关匹配后,解密并校验该代理地址。
本发明公开了一种第三方服务应用代理的方法,通过生成第三方服务代理地址来避免第三方服务实际IP地址的暴露,有效控制应用的访问权限和代理地址的过期时间。
作为优选,在步骤(2)中,具体操作方法如下:
(21)平台根据应用ID、用户token、应用IP地址、过期时间,通过AES加密生成应用代理地址;
(22)平台生成加密代理地址,包括平台应用网关IP地址,网关匹配规则proxy字段,应用网关通过判断访问路径是否包含proxy字段来判断该地址是否为代理地址,以及加密字符串cryptoToken。
作为优选,在步骤(3)中,校验cryptoToken解密失败,则返回状态码404或跳转到登录页。
作为优选,在步骤(3)中,解密cryptoToken获取到该应用的ID,应用IP地址,过期时间,以及用户token信息,平台通过用户token获取用户权限信息。
作为优选,在步骤(3)中,判断解密后的过期时间,如果已过期,则返回状态码401或跳转到登录页。
作为优选,在步骤(3)中,判断解密后的过期时间,如果未过期,根据用户token获取用户权限信息,判断用户是否有应用ID的访问权限,无权限返回状态码403或跳转到登录页。
作为优选,在步骤(3)中,判断用户是否有应用ID的访问权限,有权限访问,则校验通过,转发到第三方应用IP地址。
本发明的有益效果是:通过生成第三方服务代理地址来避免第三方服务实际IP地址的暴露,有效控制应用的访问权限和代理地址的过期时间。
附图说明
图1是本发明的方法流程图。
具体实施方式
下面结合附图和具体实施方式对本发明做进一步的描述。
如图1所述的实施例中,一种基于应用平台可控制访问策略的应用代理方法,具体包括如下步骤:
(1)应用管理平台提供生成加密代理地址的接口;
(2)用户通过访问平台内第三方服务,点击调用接口生成代理地址;具体操作方法如下:
(21)平台根据应用ID、用户token、应用IP地址、过期时间,通过AES加密生成应用代理地址;
(22)平台生成加密代理地址(http://gateway:port/proxy/cryptoToken/**,**代表具体的访问路径),包括平台应用网关IP地址,网关匹配规则proxy字段,应用网关通过判断访问路径是否包含proxy字段来判断该地址是否为代理地址,以及加密字符串cryptoToken。
(3)用户访问该代理地址,平台应用网关匹配到proxy/cryptoToken/**后,解密并校验该代理地址。具体为:
(31)校验cryptoToken解密失败(如AES密钥不正确,cryptoToken缺失等情况),则返回状态码404或跳转到登录页。
(32)解密cryptoToken获取到该应用的ID,应用IP地址(含端口),过期时间,以及用户token信息,平台通过用户token获取用户权限信息。
(33)判断解密后的过期时间,如果已过期,则返回状态码401或跳转到登录页。
(34)判断解密后的过期时间,如果未过期,根据用户token获取用户权限信息,判断用户是否有应用ID的访问权限,无权限返回状态码403或跳转到登录页。
(35)判断用户是否有应用ID的访问权限,有权限访问,则校验通过,转发到第三方应用IP地址。应用网关会将所有匹配到/proxy/cryptoToken/**的地址全部转发到http://third-app-ip:port/**(**代表第三方应用的具体访问路径),等同于直接访问第三方应用的访问路径。
本发明公开了一种第三方服务应用代理的方法,通过生成第三方服务代理地址来避免第三方服务实际IP地址的暴露,有效控制应用的访问权限和代理地址的过期时间。

Claims (6)

1.一种基于应用平台可控制访问策略的应用代理方法,其特征是,具体包括如下步骤:
(1)应用管理平台提供生成加密代理地址的接口;
(2)用户通过访问平台内第三方服务,点击调用接口生成代理地址;具体操作方法如下:
(21)平台根据应用ID、用户token、应用IP地址、过期时间,通过AES加密生成应用代理地址;
(22)平台生成加密代理地址,包括平台应用网关IP地址,网关匹配规则proxy字段,应用网关通过判断访问路径是否包含proxy字段来判断该地址是否为代理地址,以及加密字符串cryptoToken;
(3)用户访问该代理地址,平台应用网关匹配后,解密并校验该代理地址。
2.根据权利要求1所述的一种基于应用平台可控制访问策略的应用代理方法,其特征是,在步骤(3)中,校验cryptoToken解密失败,则返回状态码404或跳转到登录页。
3.根据权利要求1所述的一种基于应用平台可控制访问策略的应用代理方法,其特征是,在步骤(3)中,解密cryptoToken获取到该应用的ID,应用IP地址,过期时间,以及用户token信息,平台通过用户token获取用户权限信息。
4.根据权利要求3所述的一种基于应用平台可控制访问策略的应用代理方法,其特征是,在步骤(3)中,判断解密后的过期时间,如果已过期,则返回状态码401或跳转到登录页。
5.根据权利要求3所述的一种基于应用平台可控制访问策略的应用代理方法,其特征是,在步骤(3)中,判断解密后的过期时间,如果未过期,根据用户token获取用户权限信息,判断用户是否有应用ID的访问权限,无权限返回状态码403或跳转到登录页。
6.根据权利要求5所述的一种基于应用平台可控制访问策略的应用代理方法,其特征是,在步骤(3)中,判断用户是否有应用ID的访问权限,有权限访问,则校验通过,转发到第三方应用IP地址。
CN202011201280.4A 2020-11-02 2020-11-02 一种基于应用平台可控制访问策略的应用代理方法 Active CN112329034B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011201280.4A CN112329034B (zh) 2020-11-02 2020-11-02 一种基于应用平台可控制访问策略的应用代理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011201280.4A CN112329034B (zh) 2020-11-02 2020-11-02 一种基于应用平台可控制访问策略的应用代理方法

Publications (2)

Publication Number Publication Date
CN112329034A CN112329034A (zh) 2021-02-05
CN112329034B true CN112329034B (zh) 2024-02-23

Family

ID=74324199

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011201280.4A Active CN112329034B (zh) 2020-11-02 2020-11-02 一种基于应用平台可控制访问策略的应用代理方法

Country Status (1)

Country Link
CN (1) CN112329034B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120085684A (ko) * 2011-01-24 2012-08-01 한미아이티 주식회사 역방향 프록시를 이용한 이피시 네트워크 인증 장치 및 방법
CN103944883A (zh) * 2014-03-19 2014-07-23 华存数据信息技术有限公司 一种云计算环境下云应用访问控制的系统及方法
WO2016000425A1 (zh) * 2014-07-02 2016-01-07 百度在线网络技术(北京)有限公司 登录第三方站点的方法和服务器
CN106131079A (zh) * 2016-08-29 2016-11-16 腾讯科技(北京)有限公司 一种认证方法、系统及代理服务器
WO2018187174A1 (en) * 2017-04-07 2018-10-11 Citrix Systems, Inc. Systems and methods for securely and transparently proxying saas applications through a cloud-hosted or on-premise network gateway for enhanced security and visibility
CN109067914A (zh) * 2018-09-20 2018-12-21 星环信息科技(上海)有限公司 Web服务的代理方法、装置、设备及存储介质
CN110213217A (zh) * 2018-08-23 2019-09-06 腾讯科技(深圳)有限公司 数据访问方法、相关装置、网关和数据访问系统
CN111818035A (zh) * 2020-07-01 2020-10-23 上海悦易网络信息技术有限公司 一种基于api网关的权限验证的方法及设备

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080205415A1 (en) * 2007-02-28 2008-08-28 Morales Henry N Jerez Access, Connectivity and Interoperability for Devices and Services
US9043866B2 (en) * 2011-11-14 2015-05-26 Wave Systems Corp. Security systems and methods for encoding and decoding digital content

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120085684A (ko) * 2011-01-24 2012-08-01 한미아이티 주식회사 역방향 프록시를 이용한 이피시 네트워크 인증 장치 및 방법
CN103944883A (zh) * 2014-03-19 2014-07-23 华存数据信息技术有限公司 一种云计算环境下云应用访问控制的系统及方法
WO2016000425A1 (zh) * 2014-07-02 2016-01-07 百度在线网络技术(北京)有限公司 登录第三方站点的方法和服务器
CN106131079A (zh) * 2016-08-29 2016-11-16 腾讯科技(北京)有限公司 一种认证方法、系统及代理服务器
WO2018187174A1 (en) * 2017-04-07 2018-10-11 Citrix Systems, Inc. Systems and methods for securely and transparently proxying saas applications through a cloud-hosted or on-premise network gateway for enhanced security and visibility
CN110213217A (zh) * 2018-08-23 2019-09-06 腾讯科技(深圳)有限公司 数据访问方法、相关装置、网关和数据访问系统
CN109067914A (zh) * 2018-09-20 2018-12-21 星环信息科技(上海)有限公司 Web服务的代理方法、装置、设备及存储介质
CN111818035A (zh) * 2020-07-01 2020-10-23 上海悦易网络信息技术有限公司 一种基于api网关的权限验证的方法及设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
TAPS:Trusted-based Access Control and Protect System;H.Lee;2019 International Conference and Platform Technology and Service(PlatCon),Jeju Korea(South);1-5 *
一个评估VoIP服务的安全方法;Elhalifa Coulibaly;信息科技(第2期);5-15 *

Also Published As

Publication number Publication date
CN112329034A (zh) 2021-02-05

Similar Documents

Publication Publication Date Title
Fett et al. A comprehensive formal security analysis of OAuth 2.0
US10122715B2 (en) Enhanced multi factor authentication
CN106998551B (zh) 一种应用接入鉴权的方法、系统、装置及终端
CN106534175B (zh) 基于OAuth协议的开放平台授权认证系统及方法
CN111800440B (zh) 多策略访问控制登录方法、装置、计算机设备及存储介质
CN107172054B (zh) 一种基于cas的权限认证方法、装置及系统
AU2014388268B2 (en) System and method for biometric protocol standards
US8799639B2 (en) Method and apparatus for converting authentication-tokens to facilitate interactions between applications
Fett et al. Spresso: A secure, privacy-respecting single sign-on system for the web
US8869258B2 (en) Facilitating token request troubleshooting
JP5191376B2 (ja) リスクベース認証システムおよび危険度情報取得サーバならびにリスクベース認証方法
TW201830280A (zh) 信任登錄方法、伺服器及系統
US9686344B2 (en) Method for implementing cross-domain jump, browser, and domain name server
KR102361002B1 (ko) 제 3 자 애플리케이션 활동 데이터 수집을 위한 시스템 및 방법
US20100100950A1 (en) Context-based adaptive authentication for data and services access in a network
CN107426174A (zh) 一种可信执行环境的访问控制系统及方法
CN105188060A (zh) 一种面向移动终端的单点登录认证方法及系统
CN103561040A (zh) 一种文件下载方法及系统
CN111447184A (zh) 单点登录方法及装置、系统、计算机可读存储介质
CN111431920A (zh) 一种基于动态令牌的安全控制方法及系统
US8127033B1 (en) Method and apparatus for accessing local computer system resources from a browser
JP2017097542A (ja) 認証制御プログラム、認証制御装置、及び認証制御方法
CN113381979A (zh) 一种访问请求代理方法及代理服务器
CN105592026A (zh) 一种多网段多系统单点登录方法
KR20070106461A (ko) 위임 오퍼레이션 수행을 위한 시스템 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant