CN112615815B - 基于令牌的用户权限管理方法 - Google Patents

基于令牌的用户权限管理方法 Download PDF

Info

Publication number
CN112615815B
CN112615815B CN202011358879.9A CN202011358879A CN112615815B CN 112615815 B CN112615815 B CN 112615815B CN 202011358879 A CN202011358879 A CN 202011358879A CN 112615815 B CN112615815 B CN 112615815B
Authority
CN
China
Prior art keywords
token
user
information
resources
serial number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011358879.9A
Other languages
English (en)
Other versions
CN112615815A (zh
Inventor
张志龙
贾学东
魏晖
王文瑜
陈国军
何婷
王帅帅
陈琦
樊礼谦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Zhengzhou Xinda Institute of Advanced Technology
Original Assignee
Information Engineering University of PLA Strategic Support Force
Zhengzhou Xinda Institute of Advanced Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Engineering University of PLA Strategic Support Force , Zhengzhou Xinda Institute of Advanced Technology filed Critical Information Engineering University of PLA Strategic Support Force
Priority to CN202011358879.9A priority Critical patent/CN112615815B/zh
Publication of CN112615815A publication Critical patent/CN112615815A/zh
Application granted granted Critical
Publication of CN112615815B publication Critical patent/CN112615815B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于令牌的用户权限管理方法,步骤一、根据用户序列号、用户角色信息和用户信息生成令牌;步骤二、在系统的配置文件中对不同角色用户能够访问的资源进行管理;步骤三、用户访问资源时首先对其携带的令牌进行验证,令牌验证通过后,软件系统解析令牌中携带的用户角色信息以及用户序列号;步骤四、系统将令牌中的用户角色、欲访问的资源与配置文件对应的资源进行匹配;步骤五、匹配成功后,用户通过令牌中携带的用户序列号查询数据库访问指定的资源;本发明通过在令牌中保存用户角色信息以及用户序列号,并根据用户信息与资源的映射关系,通过在令牌中添加用户角色信息可有效对用户权限进行管理,同时减轻数据库的访问压力,在令牌中添加加扰信息可有效增强令牌的安全性能,达到用户对访问资源的权限管理功能目的。

Description

基于令牌的用户权限管理方法
技术领域:
本发明涉及安全防护技术领域,特别是涉及一种基于令牌的用户权限管理方法。
背景技术:
随着网络的快速发展,用户的不断增加,如果系统没有一个统一的用户管理,就会出现随着用户的持续增加,很可能会导致系统崩溃、某些用户的恶意访问导致系统资源占用造成资源的浪费、黑客攻击系统等一系列问题。针对以上问题,就需要一个统一的用户权限管理,限制某些不法用户的恶意访问占用资源问题。在对HTTP形式的API发请求时,由于Restful API不保存状态,无法依赖Cookie及Session来保存用户信息,大部分情况不是通过用户名和密码做验证,而是通过一个令牌,即Token做验证。但是通常token中保存用户基本信息,如果使用token令牌并且被恶意捕获到,就可能会被伪造进行冒充。另外系统获取用户基本信息后需要通过数据库查询的方式获取用户对应的资源访问权限,大量用户访问或者被恶意访问会造成数据库的访问压力,严重时造成系统崩溃。
发明内容:
本发明所要解决的技术问题是:克服现有技术的不足,提供一种通过在令牌中保存用户角色信息以及用户序列号,并根据用户信息与资源的映射关系,达到用户对访问资源的权限管理功能目的的基于令牌的用户权限管理方法。
本发明的技术方案是:一种基于令牌的用户权限管理方法,其步骤是:步骤一、根据用户序列号、用户角色信息和用户信息生成令牌;
步骤二、在系统的配置文件中对不同角色用户能够访问的资源进行管理;
步骤三、用户访问资源时首先对其携带的令牌进行验证,令牌验证通过后,软件系统解析令牌中携带的用户角色信息以及用户序列号;
步骤四、系统将令牌中的用户角色、欲访问的资源与配置文件对应的资源进行匹配;
步骤五、匹配成功后,用户通过令牌中携带的用户序列号查询数据库访问指定的资源。
进一步的,所述令牌的生成步骤是:生成随机字符串作为密钥;将令牌中将要包含的所述用户序列号和用户角色信息及所述密钥拼装成第一字符串,并且通过对所述第一字符串进行加密得到令牌签名;以及将用户信息和所述令牌签名按照可拆解的模式拼装成第二字符串作为所述令牌。
进一步的,所述资源根据用户角色的不同进行归类,并建立所述令牌与归类后资源的映射关系,根据所述映射关系赋予用户使用不同资源的权限。
进一步的,获取各类资源之间的不同特征值,根据特征值与所述令牌中用户角色的映射关系,赋予所述用户使用不同资源的权限。
进一步的,所述令牌的验证方法为:对令牌进行拆解,以得到其中包含的用户信息和第一令牌签名;将拆解出的用户信息和存储的密钥拼装成字符串,并且通过对所述字符串进行加密得到第二令牌签名;以及将所述第一令牌签名和所述第二令牌签名进行比较,并且基于比较结果进行令牌验证。
进一步的,根据获取的用户角色通过与特征值的映射关系,建立匹配关系。
本发明的有益效果是:
1、本发明通过在令牌中保存用户角色信息以及用户序列号,并根据用户信息与资源的映射关系,通过在令牌中添加用户角色信息可有效对用户权限进行管理,同时减轻数据库的访问压力,在令牌中添加加扰信息可有效增强令牌的安全性能,达到用户对访问资源的权限管理功能目的。
2、本发明用在各种用户权限管理与资源分配的应用中,实现过程简单、有效、保密性强,可有效防止恶意攻击以及用户对资源的越界访问。
说明书附图:
图1是用户令牌生成流程框图。
图2是令牌信息提取流程框图。
具体实施方式:
实施例:
基于令牌的用户权限管理方法,步骤一、根据用户序列号、用户角色信息和用户信息生成令牌;步骤二、在系统的配置文件中对不同角色用户能够访问的资源进行管理;步骤三、用户访问资源时首先对其携带的令牌进行验证,令牌验证通过后,软件系统解析令牌中携带的用户角色信息以及用户序列号;步骤四、系统将令牌中的用户角色、欲访问的资源与配置文件对应的资源进行匹配;步骤五、匹配成功后,用户通过令牌中携带的用户序列号查询数据库访问指定的资源;本发明通过在令牌中保存用户角色信息以及用户序列号,并根据用户信息与资源的映射关系,通过在令牌中添加用户角色信息可有效对用户权限进行管理,同时减轻数据库的访问压力,在令牌中添加加扰信息可有效增强令牌的安全性能,达到用户对访问资源的权限管理功能目的。
下面结合附图和实施例对本申请进行详细描述。
步骤一、根据用户序列号、用户角色信息和用户信息生成令牌;
步骤二、在系统的配置文件中对不同角色用户能够访问的资源进行管理;
步骤三、用户访问资源时首先对其携带的令牌进行验证,令牌验证通过后,软件系统解析令牌中携带的用户角色信息以及用户序列号;
步骤四、系统将令牌中的用户角色、欲访问的资源与配置文件对应的资源进行匹配;
步骤五、匹配成功后,用户通过令牌中携带的用户序列号查询数据库访问指定的资源。
所述令牌的生成步骤是:生成随机字符串作为密钥;将令牌中将要包含的所述用户序列号和用户角色信息及所述密钥拼装成第一字符串,并且通过对所述第一字符串进行加密得到令牌签名;以及将用户信息和所述令牌签名按照可拆解的模式拼装成第二字符串作为所述令牌。
所述资源根据用户角色的不同进行归类,并建立所述令牌与归类后资源的映射关系,根据所述映射关系赋予用户使用不同资源的权限。
获取各类资源之间的不同特征值,根据特征值与所述令牌中用户角色的映射关系,赋予所述用户使用不同资源的权限。
所述令牌的验证方法为:对令牌进行拆解,以得到其中包含的用户信息和第一令牌签名;将拆解出的用户信息和存储的密钥拼装成字符串,并且通过对所述字符串进行加密得到第二令牌签名;以及将所述第一令牌签名和所述第二令牌签名进行比较,并且基于比较结果进行令牌验证。
根据获取的用户角色通过与特征值的映射关系,建立匹配关系。
使用时,生成过程中将用户的序列号以及用户角色信息保存到令牌中,为防止令牌被恶意破解,可以在令牌中对用户信息进行一定的加扰。在系统的配置文件中对不同角色用户能够访问的资源进行管理。用户访问资源时需要携带合法令牌,令牌验证通过后,软件系统解析令牌中携带的用户角色信息以及用户序列号。系统将令牌中的用户角色、欲访问的资源与配置文件对应的资源进行匹配。匹配成功后,用户通过令牌中携带的序列号查询数据库访问指定的资源。通过在令牌中添加用户角色信息可有效对用户权限进行管理,同时减轻数据库的访问压力,在令牌中添加加扰信息可有效增强令牌的安全性能。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。

Claims (4)

1.一种基于令牌的用户权限管理方法,其步骤是:步骤一、根据用户序列号、用户角色信息和用户信息生成令牌;
所述令牌的生成步骤是:生成随机字符串作为密钥;将令牌中将要包含的所述用户序列号和用户角色信息及所述密钥拼装成第一字符串,并且通过对所述第一字符串进行加密得到令牌签名;以及将用户信息和所述令牌签名按照可拆解的模式拼装成第二字符串作为所述令牌;
步骤二、在系统的配置文件中对不同角色用户能够访问的资源进行管理;
步骤三、用户访问资源时首先对其携带的令牌进行验证,令牌验证通过后,软件系统解析令牌中携带的用户角色信息以及用户序列号;
所述令牌的验证方法为:对令牌进行拆解,以得到其中包含的用户信息和第一令牌签名;将拆解出的用户信息和存储的密钥拼装成字符串,并且通过对所述字符串进行加密得到第二令牌签名;以及将所述第一令牌签名和所述第二令牌签名进行比较,并且基于比较结果进行令牌验证;
步骤四、系统将令牌中的用户角色、欲访问的资源与配置文件对应的资源进行匹配;
步骤五、匹配成功后,用户通过令牌中携带的用户序列号查询数据库访问指定的资源;
生成过程中将用户的序列号以及用户角色信息保存到令牌中,为防止令牌被恶意破解,可以在令牌中对用户信息进行一定的加扰;在系统的配置文件中对不同角色用户能够访问的资源进行管理;用户访问资源时需要携带合法令牌,令牌验证通过后,软件系统解析令牌中携带的用户角色信息以及用户序列号;系统将令牌中的用户角色、欲访问的资源与配置文件对应的资源进行匹配;匹配成功后,用户通过令牌中携带的序列号查询数据库访问指定的资源;通过在令牌中添加用户角色信息可有效对用户权限进行管理,同时减轻数据库的访问压力,在令牌中添加加扰信息可有效增强令牌的安全性能。
2.根据权利要求1所述的基于令牌的用户权限管理方法,其特征是:所述资源根据用户角色的不同进行归类,并建立所述令牌与归类后资源的映射关系,根据所述映射关系赋予用户使用不同资源的权限。
3.根据权利要求2所述的基于令牌的用户权限管理方法,其特征是:获取各类资源之间的不同特征值,根据特征值与所述令牌中用户角色的映射关系,赋予所述用户使用不同资源的权限。
4.根据权利要求1所述的基于令牌的用户权限管理方法,其特征是:根据获取的用户角色通过与特征值的映射关系,建立匹配关系。
CN202011358879.9A 2020-11-26 2020-11-26 基于令牌的用户权限管理方法 Active CN112615815B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011358879.9A CN112615815B (zh) 2020-11-26 2020-11-26 基于令牌的用户权限管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011358879.9A CN112615815B (zh) 2020-11-26 2020-11-26 基于令牌的用户权限管理方法

Publications (2)

Publication Number Publication Date
CN112615815A CN112615815A (zh) 2021-04-06
CN112615815B true CN112615815B (zh) 2023-04-07

Family

ID=75228011

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011358879.9A Active CN112615815B (zh) 2020-11-26 2020-11-26 基于令牌的用户权限管理方法

Country Status (1)

Country Link
CN (1) CN112615815B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103200175A (zh) * 2013-02-25 2013-07-10 捷德(中国)信息科技有限公司 一种应用在移动设备上安全安装方法及装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7010600B1 (en) * 2001-06-29 2006-03-07 Cisco Technology, Inc. Method and apparatus for managing network resources for externally authenticated users
US8387136B2 (en) * 2010-01-05 2013-02-26 Red Hat, Inc. Role-based access control utilizing token profiles
CN103701801B (zh) * 2013-12-26 2015-07-15 四川九洲电器集团有限责任公司 一种资源访问控制方法
CN106161462B (zh) * 2016-08-29 2019-02-15 无锡华云数据技术服务有限公司 一种网络安全认证方法
CN108494750B (zh) * 2018-03-09 2021-04-06 中山大学 一种扩展xacml访问控制的排序策略授权方法及系统
CN109861968A (zh) * 2018-12-13 2019-06-07 平安科技(深圳)有限公司 资源访问控制方法、装置、计算机设备及存储介质
CN111541656B (zh) * 2020-04-09 2022-09-16 中央电视台 基于融合媒体云平台的身份认证方法及系统
CN111756753B (zh) * 2020-06-28 2022-09-23 中国平安财产保险股份有限公司 一种权限验证方法及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103200175A (zh) * 2013-02-25 2013-07-10 捷德(中国)信息科技有限公司 一种应用在移动设备上安全安装方法及装置

Also Published As

Publication number Publication date
CN112615815A (zh) 2021-04-06

Similar Documents

Publication Publication Date Title
CN108471432B (zh) 防止网络应用程序接口被恶意攻击的方法
Van Gundy et al. Catch Me, If You Can: Evading Network Signatures with Web-based Polymorphic Worms.
US20110047610A1 (en) Modular Framework for Virtualization of Identity and Authentication Processing for Multi-Factor Authentication
CN111262835B (zh) 敏感数据的脱敏存储方法及装置
JPH09128337A (ja) コンピュータ・ネットワークにおけるマスカレード・アタック保護方法及びその装置
CN112511599B (zh) 一种基于区块链的人防数据共享系统及方法
CN110225014B (zh) 基于指纹集中下发式的物联网设备身份认证方法
CN111954211A (zh) 一种移动终端新型认证密钥协商系统
CN104601602A (zh) 一种终端设备网络安全增强接入与认证方法
CN106453321A (zh) 一种认证服务器、系统和方法及待认证终端
Wang et al. The web security password authentication based the single-block hash function
CN110602083B (zh) 一种数字身份认证数据的安全传输与存储方法
CN112182616A (zh) 核心表数据的密码技术安全控制方法及系统
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
US20190124111A1 (en) Responding and processing method for dnssec negative response
CN111935194B (zh) 一种数据拦截方法及装置
CN113779536A (zh) 一种用户访问方法、系统、电子设备及介质
CN113918977A (zh) 基于物联网和大数据分析的用户信息传输装置
CN112615815B (zh) 基于令牌的用户权限管理方法
CN106850592A (zh) 一种信息处理方法、服务器及终端
CN111600864A (zh) 基于令牌认证多维度校验访问服务接口的方法和装置
Said et al. A multi-factor authentication-based framework for identity management in cloud applications
CN101335623A (zh) 一种采用口令变换的网络身份认证方法
CN113779538A (zh) 一种利用单例模式提升服务器性能的身份验证方法
RU2702080C1 (ru) Способ блокировки сетевых соединений с ресурсами из запрещенных категорий

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant