CN112651001A - 访问请求的鉴权方法、装置、设备及可读存储介质 - Google Patents
访问请求的鉴权方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN112651001A CN112651001A CN202011631343.XA CN202011631343A CN112651001A CN 112651001 A CN112651001 A CN 112651001A CN 202011631343 A CN202011631343 A CN 202011631343A CN 112651001 A CN112651001 A CN 112651001A
- Authority
- CN
- China
- Prior art keywords
- identifier
- user
- access request
- identity information
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 230000004044 response Effects 0.000 claims abstract description 13
- 238000004590 computer program Methods 0.000 claims description 12
- 238000010276 construction Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及数据安全技术领域,公开了一种访问请求的鉴权方法,包括:接收访问请求,并识别所述访问请求中所包含的身份信息;根据所述身份信息在服务缓存中查询,确定当前是否进行访问鉴权;若确定当前进行访问鉴权,则根据所述身份信息确定用户标识,以根据所述用户标识在热点列表中进行查询;当确定所述热点列表中不包含有所述用户标识所对应的资源标识时,根据所述身份信息得到所述访问请求所对应的标准资源标识;根据所述标准资源标识确定是否响应所述访问请求。本申请还提供一种装置、计算机设备和存储介质。有效的提高了资源访问的高效性,也提高了系统的响应性能。
Description
技术领域
本申请涉及数据安全技术领域,尤其涉及一种访问请求的鉴权方法、访问请求的鉴权装置、计算机设备及计算机可读存储介质。
背景技术
为了保证系统安全,防止用户水平越权的操作,通常采用ACL(访问控制列表,Access Control List)权限控制作为系统所使用的通用方案,是必不可少的功能。而在用户访问系统功能时,不同的用户会有不同的操作权限,其中对于用户可见的资源,用户具有相应的操作权限,而对于用户不可见的资源,用户则不能进行相应的操作,比如查询、删除以及新增等。
在现有的ACL权限控制链路当中,一般会涉及到用户、角色、资源三种元素,然后通过构建三者之间的对应关系,实现用户与资源之间的对应,进而使得用户在访问系统时通过查询和匹配实现对对应资源的操作。
该方式虽然实现了资源信息的查询,但是由于权限校验链路较长,使得系统响应时间较长,导致性能比较低下,同时在高并发的场景下,也会给系统带来更大的运行负载。
发明内容
本申请提供了一种访问请求的鉴权方法、装置、计算机设备及存储介质,以提高了资源访问的高效性和系统的响应性能。
第一方面,本申请提供了一种访问请求的鉴权方法,所述方法包括:
接收访问请求,并识别所述访问请求中所包含的身份信息;
根据所述身份信息在服务缓存中查询,确定当前是否进行访问鉴权;
若确定当前进行访问鉴权,则根据所述身份信息确定用户标识,以根据所述用户标识在热点列表中进行查询;
当确定所述热点列表中不包含有所述用户标识所对应的资源标识时,根据所述身份信息得到所述访问请求所对应的标准资源标识;
根据所述标准资源标识确定是否响应所述访问请求。
第二方面,本申请还提供了一种访问请求的鉴权装置,所述装置包括:
请求接收模块,用于接收访问请求,并识别所述访问请求中所包含的身份信息;
鉴权判断模块,用于根据所述身份信息在服务缓存中查询,确定当前是否进行访问鉴权;
信息查询模块,用于若确定当前进行访问鉴权,则根据所述身份信息确定用户标识,以根据所述用户标识在热点列表中进行查询;
标识生成模块,用于当确定所述热点列表中不包含有所述用户标识所对应的资源标识时,根据所述身份信息得到所述访问请求所对应的标准资源标识;
响应判断模块,用于根据所述标准资源标识确定是否响应所述访问请求。
第三方面,本申请还提供了一种计算机设备,所述计算机设备包括存储器和处理器;所述存储器用于存储计算机程序;所述处理器,用于执行所述计算机程序并在执行所述计算机程序时实现如上述的访问请求的鉴权方法。
第四方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时使所述处理器实现如上述的访问请求的鉴权方法。
本申请公开了一种访问请求的鉴权方法、装置、计算机设备及存储介质,在进行资源访问时,通过网关获取相关的身份信息,同时构建实时更新变化的热点列表,将热点用户的相关信息进行记录和存储,进而根据所得到身份信息和热点列表进行鉴权,以确定系统是否对所接收到的访问请求进行响应,使得在进行资源访问时避免“用户→角色→资源”的长链路式的查询和判断,有效的提高了资源访问的高效性,也提高了系统的响应性能。同时在进行鉴权时,还会根据不同的请求风格对请求进行处理,也就是可以适用于不同风格的请求生成方式,提高了系统的适配性。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一个实施例提供的一种访问请求的鉴权方法的流程示意图;
图2为本申请一实施例提供的确定是否进行访问鉴权的步骤的流程示意图;
图3为本申请一实施例提供的根据用户标识进行查询的步骤的流程示意图;
图4为本申请一个实施例中一种访问请求的鉴权装置的示意性框图;
图5为本申请一个实施例中计算机设备的结构示意性框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
附图中所示的流程图仅是示例说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解、组合或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应当理解,在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参阅图1,图1为本申请一个实施例提供的一种访问请求的鉴权方法的流程示意图。
如图1所示,该访问请求的鉴权方法包括步骤S101至步骤S105。
步骤S101、接收访问请求,并识别所述访问请求中所包含的身份信息。
在用户访问系统时,用户通过相应的操作向系统发出对资源的访问请求,以使得系统在接收到访问请求时,进行相应的处理和判断,以确定发出访问请求的用户是否可以对所想要进行访问的资源进行访问,进而在确定可以对访问请求进行响应时,响应所接收到的访问请求,而在确定不可以访问时进行相应的反馈,比如将反馈请求视为无效请求,或者发出相应的提示信息以告知为什么不能进行访问等。
因此,在接收到访问请求时,首先将会识别访问请求中所包含的身份信息,进而根据所识别到的身份信息确定是否响应所接收到的访问请求,以在确定对所接收到的访问请求进行响应时,实现用户对资源信息的访问。
在一实施例中,在对访问请求进行识别以得到对应的身份信息时,所得到的身份信息可以包括有:请求资源标识uri(Uniform Resource Identifier,是一个用于标识某一互联网资源名称的字符串)、请求类型、服务标识portal Token、登陆账号以及账号类型,其中,账号类型根据实际的情况而定,比如账号类型可以包括um类型、壹账通类型以及团体组epa类型等,主要由公司内部所确定。
在实际应用中,在进行资源访问时,通常是利用用户角色以及资源三者之间的对应关系来实现对当前所要进行访问的资源进行访问,具体地,通过用户确定所对应的角色,然后再通过角色确定所对应的资源,以得到用户可以进行访问的资源,或者是否可以对所想要访问的资源进行访问,进而确定用户当前所想要进行访问的资源是否允许被访问。
对于此种资源的访问方式,由于一种长链路式的访问,在出现高并发的情况时,由于频繁的查询匹配,会在一定程度上降低资源访问效率,因此,在本申请中,在实现对资源信息的访问时并不会单独依托于用户与角色以及角色与资源的关系,通过合理的鉴权和资源信息的查询,实现在高并发的情况下合理的进行信息的缓存以有效的提高资源访问的效率,避免在高并发情况下链式访问和鉴权带来的运行负载的提高。
步骤S102、根据所述身份信息在服务缓存中进行查询,以确定当前是否进行访问鉴权。
其中,服务缓存中记录着在系统中执行或者运行的服务的相关信息,比如服务的标识信息,对于在系统中运行过的服务,都会记录在服务缓存中。在实际用中,对应服务缓存和实际的配置来说,并不是完成用户与角色和角色与资源之间的对应关系时才会记录在服务缓存中,只要在系统中存在了,不管实际的配置情况如何,都会将服务记录在服务缓存中,比如在系统升级以及配置更新时,没有将新的配置信息在系统中完成配置。
因此,在根据访问请求确定当前进行访问的用户的身份信息之后,将会根据身份信息确定用户是否可以对想要进行访问的资源进行访问。具体地,获取预先所记录各存储的服务缓存,然后根据所得到的身份信息在服务缓存中进行查询和匹配,以根据查询匹配结果确定当前是否进行访问鉴权。其中,在确定需要进行访问鉴权时,根据所识别到的身份信息对当前所接收到的访问请求及逆行鉴权,而在确定不需要进行访问鉴权时,将会不对访问请求进行鉴权,并放行所接收到的访问请求,也就是不对访问请求进行响应。
在实际应用中,在确定是否进行鉴权时,首先获取身份信息中所包含的服务标识,然后根据服务标识进行相应的判断,具体地,获取预先所记录的服务缓存,然后根据所得到的服务标识在服务缓存中进行查询,确定服务缓存中是否包含有当前所得到的服务标识,其中,在确定服务缓存中不包含有所得到的服务标识时,说明系统中不存在有该服务,因此对于此时所接收到的访问请求可以视为无效请求,然后发出相应的反馈信息。
而在确定服务缓存中包含有服务标识时,也并不是直接确定此时需要进行访问鉴权,而是需要进行进一步地的判断和确定,以根据所得到的判断和确定的结果确定是否对访问请求进行访问鉴权。
进一步地,如图2所示,图2为本申请一实施例提供的确定是否进行访问鉴权的步骤的流程示意图。
其中,步骤S102包括步骤S201至步骤S202。
步骤S201、获取所述身份信息中所包含的服务标识,并确定所述服务标识是否存在于预设的服务缓存中;
步骤S202、若确定所述服务标识存在于所述服务缓存中,则确定鉴权开关的状态,以根据所述鉴权开关的状态确定当前是否进行访问鉴权。
身份信息中包含有若干相关信息,比如请求资源标识uri、请求类型、服务标识portal Token、登陆账号以及账号类型等。不同的信息代表着当前的访问请求不同的信息,比如服务标识表示访问请求所对应的服务的相关信息,登录账号以及账号类型表示发出该访问请求的用户所使用的账号信息以及账号的类型信息。而在进行访问鉴权的判断时,只有满足相关条件的访问请求才被允许被鉴权以及被响应。
因此,在确定是否需要对访问请求进行访问鉴权时,识别所得到的身份信息中做包含的服务标识,然后根据所得到的服务标识在实时更新和存储的服务缓存中进行查询匹配,以确定服务标识是否存在于服务缓存中。由于服务标识的存在是确定该服务之前是否在系统中运行过,而对于运行过的服务都会被记录,也就是在服务缓存中会有相应的匹配项,因此在确定服务标识存在于服务缓存中时,确定可能需要对当前所接收到的访问请求进行访问,而在确定服务标识不存在于服务缓存中时,确定不会会访问请求进行响应,也就是将此时所接收到的访问请求可以视为无效请求。
由上述描述可知,在确定服务标识存在于服务缓存中时确定可能需要对当前所接收到的访问请求进行访问,因此需要进行进一步的判断和确定。具体地,在确定服务标识存在于服务缓存中时,确定系统中进行访问鉴权的鉴权开关的状态,其中开关的状态包括开启和关闭,进而根据鉴权开关的状态确定当前是否需要访问鉴权。
对于系统中的鉴权开关,是管理人员所控制的,是根据系统的实际运行状态来确定的,比如在系统进行服务升级时,存在有资源权限信息的更新时,在进行更新时,因为存在信息的更新,此时若进行鉴权并不一定可以准确的完成,同时也会跟家一定的运行负载,因此此时将需要控制鉴权开关处于关闭状态,以避免在进行信息更新时还进行鉴权处理。
进一步地,在根据鉴权开关确定是否进行访问鉴权时包括:若确定所述鉴权开关的状态为开启状态,则确定进行访问鉴权;若确定所述鉴权开关的状态为关闭状态,则确定不进行访问鉴权,并放行所述访问请求。
在实际应用中,鉴权开关是确定系统当前环境是否允许进行访问鉴权的判断依据,且鉴权开关是根据系统的实际情况而定的,因此,即使服务标识存在于服务缓存中,若鉴权开关处于关闭状态,也说明此时不会进行访问鉴权。
步骤S103、若确定当前进行访问鉴权,则根据所述身份信息确定用户标识,以根据所述用户标识在热点列表中进行查询。
其中,热点列表中记录着部分用户与资源之间的关系,不包含有所有的用户与资源之间的对应关系,通常记录着具有访问或者查询频率的用户与资源,同时对于热点列表而言,是处于一个实时更新的状态的,会根据实际的使用状态对热点列表中所记录的信息进行更新,以保证热点列表中记录着更有用的数据,以提高访问和鉴权的高效性。
进一步地,对于热点列表中所记录的用户与资源之间的关系,可以根据时间信息以及在监测时间段内的查询频率进行更新,通过对就在热点列表中的信息进行更新,在降低热点列表中所记录数据的数据量的同时,保证访问和鉴权的高效性。同时,对应新出现的用户与资源的关系,可以直接缓存在热点列表中,同样的也会随着时间的推移进行更新和处理。
在根据用户的身份信息确定需要进行鉴权时,将会根据预先所得到的身份信息完成鉴权,以确定是否对所接收到的网络请求进行响应。具体地,在根据服务标识以及系统的实际状态确定需要进行鉴权时,将根据所识别的身份信息在热点列表中进行查询,以确定此时是否需要对访问请求进行响应。
而对于身份信息而言,除了包含有服务标识之外,还包括有请求资源标识、请求类型、登录账号以及账号类型,因此在根据身份信息在热点列表中进行查询时,首先根据身份信息确定进行资源访问的用户的用户信息,比如用户标识(如数字或者字母等),进而根据所确定的用户信息完成资源鉴权的判断。
在接收到访问请求时,访问请求中包含有用户想要访问的资源的相关信息,如身份信息中所包含的请求资源标识,然后通过鉴权和确定,判断用户是否可以对所需要进行访问的资源进行访问。
具体地,如图3所示,图3为本申请一实施例提供的根据用户标识进行查询的步骤的流程示意图。
其中,根据所述身份信息确定用户标识,以根据所述用户标识在热点列表(用户资源列表)中进行查询,包括步骤S301至步骤S303。
步骤S301、获取所述身份信息中所包含的登录账号以及账号信息,以得到当前所对应的用户标识;
步骤S302、获取预先所记录的用户缓存,并确定所述用户标识是否存在于所述用户缓存中;
步骤S303、若确定所述用户标识存在于所述用户缓存中,则基于所述用户标识在热点列表中进行查询。
其中,用户缓存中记录着在系统中具有访问权限的用户的相关信息。
在进行鉴权和判断时,根据身份信息中所包含的登陆账号以及账号类型确定当前所对应的用户标识,然后根据所得到的用户标识在用户缓存中进行匹配,确定用户缓存中是否包含有该用户标识,其中,若确定用户缓存中不存在有所得到的用户标识,则确定该用户不具有访问权限,若确定用户缓存中存在有所得到的用户标识,则进行进一步的判断和确定。
具体地,在确定是否响应所接收到的访问请求时,对身份信息中所包含的登陆账号以及账号类型进行识别和获取,以得到当前所对应的用户信息,比如用户标识,然后确定所得到的用户标识是否在实时更新的用户缓存中,其中,当用户标识存在于用户缓存中时,确定可以进行进一步的判断和确定,而在用户标识不存在于用户缓存中时,确定此时该用户标识所对应的用户不具有资源访问权限,此时将会确定不对所接收到的访问请求进行响应。
在确定用户标识是否存在于用户缓存中时,首先获取预先所记录的用户缓存,然后通过查询和对比确定当前所得到的用户标识是否存在于用户缓存中,比如通过标识信息的对比。
对于查询和对比结果,包括:用户标识存在于用户缓存中以及用户标识不存在于用户缓存中。根据上述描述可知,在不存在于用户缓存中时确定不响应,而在确定存在于用户缓存中时,需要进行进一步的判断。因此,在确定用户标识存在于用户缓存中时,根据用户标识在热点列表中进行查询,以确定用户标识是否存在于热点列表中。而在确定热点列表中存在有当前所得到的用户标识时,获取用户标识所对应的第一资源第一资源标识,进而将第一资源标识与请求资源标识进行对比,以确定是否响应访问请求。
实际上,在根据用户的登陆账号和账号类型确定了用户标识,并确定了用标识存在于用户缓存中之后,根据用户标识在热点列表中进行查询和匹配,以得到在热点列表中与用户标识相对应的第一资源以及第一资源所对应的第一资源标识。在请求资源标识存在于第一资源标识中时,确定用户可以对所想要进行访问的资源进行访问,也就是此时将对所接收到的访问请求进行响应。
步骤S104、当确定所述热点列表中所包含有所述用户标识所对应的资源标识时,根据所述身份信息得到所述访问请求所对应的标准资源标识。
在实际应用中,由于考虑到请求资源标识的多样性,因此会存在即使用户具有对想要访问的资源的访问权限,但是也会因为请求资源标识的形式的不同,导致鉴权失败,比如对于restful风格的请求资源标识,由于在请求资源标识的生成时会携带有用户标识,因此所得到的请求资源标识的构成为“路径+资源标识”,因此对于此类型的请求资源标识来说,即使用户标识存在于用户缓存中,此时也不会查询到相关联的资源,也就是会鉴权失败,因此此时需要进行进一步的处理,进行进一步的判断。
具体地,在确定热点列表中不存在有用户标识所对应的资源标识时,将会确定此时是否需要对请求资源标识进行处理,也就是确定请求资源标识的构成类型,并在根据构成类型确定需要进行处理时,对请求资源标识进行处理,以得到标准资源标识。比如,对请求资源标识进行切分处理,以将请求资源标识切分为若干分段,示例性的,对于上述以“路径+资源标识”的构成形式所生成的请求资源标识来说,此时会将请求资源标识切分为“路径”与“资源标识”两个部分,进而根据用户标识和所得到的资源标识进行判断,而在用户ID,即用户标识通过鉴权判断时,直接对切分所得到的资源标识进行二次判断和确定。
而在得到标准资源标识之后,根据用户标识和标准资源标识按照步骤103中的方式在热点列表中进行查询以完成鉴权。
进一步地,确定标准资源标识时还包括根据用户当前所访问的系统的系统标识以及用户标识组成标准资源标识,进而按照用户到角色以及觉得到资源的方式进行资源的访问。而在德奥标准资源标识之后,确定是否响应访问请求实际包括:获取用户角色缓存列表,并根据标准资源标识确定是否存在对应的角色标识,以在确定存在对应的角色标识时获取对应的目标角色标识;根据目标角色标识以及身份信息中所包含的服务标识,在角色资源缓存列表中进行查询,以确定是否存在对应的资源标识;当确定存在对应的资源标识时,将所对应的资源标识与身份信息中所包含的请求资源标识进行匹配,以根据匹配结果确定是否响应所述访问请求;其中,若所对应的资源标识中存在有请求资源标识的匹配项,则确定响应所述访问请求;以及,若所对应的资源标识中不存在有请求资源标识的匹配项,则确定不响应所述访问请求。
具体地,在确定是否需要对请求资源标识进行处理时,若确定不需要对请求资源标识进行处理,此时还可以获取系统标识,然后根据所得到的系统标识以及用户标识在用户角色缓存中进行查询,然后在确定用户角色缓存中包含有用标识时,根据身份信息中所包含的服务标识和进行查询所得到的角色标识,在角色资源缓存中进行查询,并在确定存在有与角色标识相对应的资源标识时,把请求资源标识和所获取的资源标识通过antPattern匹配,并在匹配到一条结果时确定鉴权通过,反之这鉴权不通过。
步骤S105、根据所述标准资源标识确定是否响应所述访问请求。
在得到标准资源标识之后,根据所得到的标准资源标识确定是否对所接收到的访问请求进行响应。而在确定响应访问请求时,直接对访问请求进行响应,同时在完成响应时,将会获取用户所需要进行访问的资源并进行展示,而在确定不对访问请求进行响应时,将会根据实际的鉴权结果发出相应的的反馈信息,比如包含有访问失败的原因的反馈信息。
在上述描述的访问请求的鉴权方法中,在进行资源访问时,通过网关获取相关的身份信息,同时构建实时更新变化的热点列表,将热点用户的相关信息进行记录和存储,进而根据所得到身份信息和热点列表进行鉴权,以确定系统是否对所接收到的访问请求进行响应,使得在进行资源访问时避免“用户→角色→资源”的长链路式的查询和判断,有效的提高了资源访问的高效性,也提高了系统的响应性能。同时在进行鉴权时,还会根据不同的请求风格对请求进行处理,也就是可以适用于不同风格的请求生成方式,提高了系统的适配性。
请参阅图4,图4为本申请一个实施例中一种访问请求的鉴权装置的示意性框图,该装置用于执行前述的访问请求的鉴权方法。
如图4所示,该访问请求的鉴权装置400包括:
请求接收模块401,用于接收访问请求,并识别所述访问请求中所包含的身份信息;
鉴权判断模块402,用于根据所述身份信息在服务缓存中查询,确定当前是否进行访问鉴权;
信息查询模块403,用于若确定当前进行访问鉴权,则根据所述身份信息确定用户标识,以根据所述用户标识在热点列表中进行查询;
标识生成模块404,用于当确定所述热点列表中不包含有所述用户标识所对应的资源标识时,根据所述身份信息得到所述访问请求所对应的标准资源标识;
响应判断模块405,用于根据所述标准资源标识确定是否响应所述访问请求。
进一步地,在一个实施例中,所述鉴权判断模块402具体还用于:
获取所述身份信息中所包含的服务标识,并确定所述服务标识是否存在于预设的服务缓存中;若确定所述服务标志存在于所述服务缓存中,则确定鉴权开关的状态,以根据所述鉴权开关的状态确定当前是否进行访问鉴权。
进一步地,在一个实施例中,所述鉴权判断模块402具体还用于:
若确定所述鉴权开关的状态为开启状态,则确定进行访问鉴权;若确定所述鉴权开关的状态为关闭状态,则确定不进行访问鉴权,并放行所述访问请求。
进一步地,在一个实施例中,所述信息查询模块403具体还用于:
获取所述身份信息中所包含的登录账号以及账号信息,以得到当前所对应的用户标识;获取预先所记录的用户缓存,并确定所述用户标识是否存在于所述用户缓存中;若确定所述用户标识存在于所述用户缓存中,则基于所述用户标识在热点列表中进行查询。
进一步地,在一个实施例中,所述访问请求的鉴权装置400具体还用于:
当基于所述用户标识在所述热点列表中得到对应的第一资源标识集合时,将所述第一资源标识集合与所述身份信息中所包含的请求资源标识进行对比;若确定所述请求资源标识存在于所述第一资源标识集合中,则确定响应所述访问请求;若确定所述请求资源标识不存在于所述第一资源标识集合中,则确定不响应所述访问请求。
进一步地,在一个实施例中,所述信息查询模块403具体还用于:
识别所述身份信息中所包含的请求资源标识,以及所述请求资源标识所对应的构成类型;根据所述构成类型对所述请求资源标识进行切分处理,以根据所得到的资源标识所述访问请求所对应的标准资源标识。
进一步地,在一个实施例中,所述信息查询模块403具体还用于:
获取系统标识,以根据所述系统标识以及所述用户标识得到标准资源标识。
所述响应判断模块405具体还用于:
获取用户角色缓存列表,并根据所述标准资源标识确定是否存在对应的角色标识,以在确定存在对应的角色标识时获取对应的目标角色标识;根据所述目标角色标识以及所述身份信息中所包含的服务标识,在角色资源缓存列表中进行查询,以确定是否存在对应的资源标识;当确定存在对应的资源标识时,将所对应的资源标识与身份信息中所包含的请求资源标识进行匹配,以根据匹配结果确定是否响应所述访问请求;
其中,若所述所对应的资源标识中存在有所述请求资源标识的匹配项,则确定响应所述访问请求;以及,若所述所对应的资源标识中不存在有所述请求资源标识的匹配项,则确定不响应所述访问请求。
需要说明的是,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的装置和各模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
上述的装置可以实现为一种计算机程序的形式,该计算机程序可以在如图5所示的计算机设备上运行。
请参阅图5,图5为本申请一个实施例中计算机设备的结构示意性框图。该计算机设备可以是服务器。
参阅图5,该计算机设备包括通过系统总线连接的处理器、存储器和网络接口,其中,存储器可以包括非易失性存储介质和内存储器。
非易失性存储介质可存储操作系统和计算机程序。该计算机程序包括程序指令,该程序指令被执行时,可使得处理器执行任意一种访问请求的鉴权方法。
处理器用于提供计算和控制能力,支撑整个计算机设备的运行。
内存储器为非易失性存储介质中的计算机程序的运行提供环境,该计算机程序被处理器执行时,可使得处理器执行任意一种访问请求的鉴权方法。
该网络接口用于进行网络通信,如发送分配的任务等。本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
应当理解的是,处理器可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
其中,在一个实施例中,所述处理器用于运行存储在存储器中的计算机程序,以实现如下步骤:
接收访问请求,并识别所述访问请求中所包含的身份信息;根据所述身份信息在服务缓存中查询,确定当前是否进行访问鉴权;若确定当前进行访问鉴权,则根据所述身份信息确定用户标识,以根据所述用户标识在热点列表中进行查询;当确定所述热点列表中不包含有所述用户标识所对应的资源标识时,根据所述身份信息得到所述访问请求所对应的标准资源标识;根据所述标准资源标识确定是否响应所述访问请求。
在一个实施例中,所述处理器在实现所述根据所述身份信息在服务缓存中查询,确定当前是否进行访问鉴权时,还用于实现:
获取所述身份信息中所包含的服务标识,并确定所述服务标识是否存在于预设的服务缓存中;若确定所述服务标志存在于所述服务缓存中,则确定鉴权开关的状态,以根据所述鉴权开关的状态确定当前是否进行访问鉴权。
在一个实施例中,所述处理器在实现所述根据所述鉴权开关的状态确定当前是否进行鉴权访问时,还用于实现:
若确定所述鉴权开关的状态为开启状态,则确定进行访问鉴权;若确定所述鉴权开关的状态为关闭状态,则确定不进行访问鉴权,并放行所述访问请求。
在一个实施例中,所述处理器在实现所述根据所述身份信息确定用户标识,以根据所述用户标识在热点列表中进行查询时,还用于实现:
获取所述身份信息中所包含的登录账号以及账号信息,以得到当前所对应的用户标识;获取预先所记录的用户缓存,并确定所述用户标识是否存在于所述用户缓存中;若确定所述用户标识存在于所述用户缓存中,则基于所述用户标识在热点列表中进行查询。
在一个实施例中,所述处理器在实现所述若确定所述用户标识存在于所述用户缓存中,则基于所述用户标识在热点列表中进行查询之后,还用于实现:
当基于所述用户标识在所述热点列表中得到对应的第一资源标识集合时,将所述第一资源标识集合与所述身份信息中所包含的请求资源标识进行对比;若确定所述请求资源标识存在于所述第一资源标识集合中,则确定响应所述访问请求;若确定所述请求资源标识不存在于所述第一资源标识集合中,则确定不响应所述访问请求。
在一个实施例中,所述处理器在实现所述根据所述身份信息得到所述访问请求所对应的标准资源标识时,还用于实现:
识别所述身份信息中所包含的请求资源标识,以及所述请求资源标识所对应的构成类型;根据所述构成类型对所述请求资源标识进行切分处理,以根据所得到的资源标识所述访问请求所对应的标准资源标识。
在一个实施例中,所述处理器在实现所述根据所述身份信息得到所述访问请求所对应的标准资源标识时,还用于实现:
获取系统标识,以根据所述系统标识以及所述用户标识得到标准资源标识;
所述根据所述标准资源标识确定是否响应所述访问请求,包括:
获取用户角色缓存列表,并根据所述标准资源标识确定是否存在对应的角色标识,以在确定存在对应的角色标识时获取对应的目标角色标识;根据所述目标角色标识以及所述身份信息中所包含的服务标识,在角色资源缓存列表中进行查询,以确定是否存在对应的资源标识;当确定存在对应的资源标识时,将所对应的资源标识与身份信息中所包含的请求资源标识进行匹配,以根据匹配结果确定是否响应所述访问请求;其中,若所述所对应的资源标识中存在有所述请求资源标识的匹配项,则确定响应所述访问请求;以及,若所述所对应的资源标识中不存在有所述请求资源标识的匹配项,则确定不响应所述访问请求。
本申请的实施例中还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序中包括程序指令,所述处理器执行所述程序指令,实现本申请实施例提供的任一项访问请求的鉴权方法。
其中,所述计算机可读存储介质可以是前述实施例所述的计算机设备的内部存储单元,例如所述计算机设备的硬盘或内存。所述计算机可读存储介质也可以是所述计算机设备的外部存储设备,例如所述计算机设备上配备的插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
进一步地,所述计算机可读存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。
另外,本申请所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种访问请求的鉴权方法,其特征在于,所述方法包括:
接收访问请求,并识别所述访问请求中所包含的身份信息;
根据所述身份信息在服务缓存中查询,确定当前是否进行访问鉴权;
若确定当前进行访问鉴权,则根据所述身份信息确定用户标识,以根据所述用户标识在热点列表中进行查询;
当确定所述热点列表中不包含有所述用户标识所对应的资源标识时,根据所述身份信息得到所述访问请求所对应的标准资源标识;
根据所述标准资源标识确定是否响应所述访问请求。
2.根据权利要求1所述的方法,其特征在于,所述根据所述身份信息在服务缓存中查询,确定当前是否进行访问鉴权,包括:
获取所述身份信息中所包含的服务标识,并确定所述服务标识是否存在于预设的服务缓存中;
若确定所述服务标志存在于所述服务缓存中,则确定鉴权开关的状态,以根据所述鉴权开关的状态确定当前是否进行访问鉴权。
3.根据权利要求2所述的方法,其特征在于,所述根据所述鉴权开关的状态确定当前是否进行鉴权访问,包括:
若确定所述鉴权开关的状态为开启状态,则确定进行访问鉴权;
若确定所述鉴权开关的状态为关闭状态,则确定不进行访问鉴权,并放行所述访问请求。
4.根据权利要求1所述的方法,其特征在于,所述根据所述身份信息确定用户标识,以根据所述用户标识在热点列表中进行查询,包括:
获取所述身份信息中所包含的登录账号以及账号信息,以得到当前所对应的用户标识;
获取预先所记录的用户缓存,并确定所述用户标识是否存在于所述用户缓存中;
若确定所述用户标识存在于所述用户缓存中,则基于所述用户标识在热点列表中进行查询。
5.根据权利要求4所述的方法,其特征在于,所述若确定所述用户标识存在于所述用户缓存中,则基于所述用户标识在热点列表中进行查询之后,还包括:
当基于所述用户标识在所述热点列表中得到对应的第一资源标识集合时,将所述第一资源标识集合与所述身份信息中所包含的请求资源标识进行对比;
若确定所述请求资源标识存在于所述第一资源标识集合中,则确定响应所述访问请求;
若确定所述请求资源标识不存在于所述第一资源标识集合中,则确定不响应所述访问请求。
6.根据权利要求1所述的方法,其特征在于,所述根据所述身份信息得到所述访问请求所对应的标准资源标识,包括:
识别所述身份信息中所包含的请求资源标识,以及所述请求资源标识所对应的构成类型;
根据所述构成类型对所述请求资源标识进行切分处理,以根据所得到的资源标识得到所述访问请求所对应的标准资源标识。
7.根据权利要求1所述的方法,其特征在于,所述根据所述身份信息得到所述访问请求所对应的标准资源标识,还包括:
获取系统标识,以根据所述系统标识以及所述用户标识得到标准资源标识;
所述根据所述标准资源标识确定是否响应所述访问请求,包括:
获取用户角色缓存列表,并根据所述标准资源标识确定是否存在对应的角色标识,以在确定存在对应的角色标识时获取对应的目标角色标识;
根据所述目标角色标识以及所述身份信息中所包含的服务标识,在角色资源缓存列表中进行查询,以确定是否存在对应的资源标识;
当确定存在对应的资源标识时,将所对应的资源标识与身份信息中所包含的请求资源标识进行匹配,以根据匹配结果确定是否响应所述访问请求;
其中,若所述所对应的资源标识中存在有所述请求资源标识的匹配项,则确定响应所述访问请求;以及,若所述所对应的资源标识中不存在有所述请求资源标识的匹配项,则确定不响应所述访问请求。
8.一种访问请求的鉴权装置,其特征在于,所述装置包括:
请求接收模块,用于接收访问请求,并识别所述访问请求中所包含的身份信息;
鉴权判断模块,用于根据所述身份信息在服务缓存中查询,确定当前是否进行访问鉴权;
信息查询模块,用于若确定当前进行访问鉴权,则根据所述身份信息确定用户标识,以根据所述用户标识在热点列表中进行查询;
标识生成模块,用于当确定所述热点列表中不包含有所述用户标识所对应的资源标识时,根据所述身份信息得到所述访问请求所对应的标准资源标识;
响应判断模块,用于根据所述标准资源标识确定是否响应所述访问请求。
9.一种计算机设备,其特征在于,包括存储器和处理器:
所述存储器中存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行如权利要求1至7中任一项所述的访问请求的鉴权方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机可读指令被所述处理器执行时,使得一个或多个处理器执行如权利要求1至7中任一项所述的访问请求的鉴权方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011631343.XA CN112651001A (zh) | 2020-12-30 | 2020-12-30 | 访问请求的鉴权方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011631343.XA CN112651001A (zh) | 2020-12-30 | 2020-12-30 | 访问请求的鉴权方法、装置、设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112651001A true CN112651001A (zh) | 2021-04-13 |
Family
ID=75366789
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011631343.XA Pending CN112651001A (zh) | 2020-12-30 | 2020-12-30 | 访问请求的鉴权方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112651001A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113656772A (zh) * | 2021-07-26 | 2021-11-16 | 北京达佳互联信息技术有限公司 | 信息处理方法、装置、电子设备及存储介质 |
| CN113810486A (zh) * | 2021-09-13 | 2021-12-17 | 珠海格力电器股份有限公司 | 物联网平台对接方法、装置、电子设备及存储介质 |
| CN113821818A (zh) * | 2021-11-19 | 2021-12-21 | 国网浙江省电力有限公司 | 基于标识管理的中台访问隔阻方法、装置及存储介质 |
| CN115102755A (zh) * | 2022-06-20 | 2022-09-23 | 中银金融科技有限公司 | 一种资源访问的控制方法及装置、电子设备、存储介质 |
| WO2023173908A1 (zh) * | 2022-03-17 | 2023-09-21 | 华为云计算技术有限公司 | 访问文件的方法、装置、系统及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103078859A (zh) * | 2012-12-31 | 2013-05-01 | 普天新能源有限责任公司 | 业务系统权限管理方法、设备及系统 |
| CN106790262A (zh) * | 2017-02-07 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 一种鉴权方法及装置 |
| CN107566429A (zh) * | 2016-06-30 | 2018-01-09 | 中兴通讯股份有限公司 | 基站、访问请求的响应方法、装置及系统 |
| CN109617907A (zh) * | 2019-01-04 | 2019-04-12 | 平安科技(深圳)有限公司 | 认证方法、电子装置及计算机可读存储介质 |
| CN110213217A (zh) * | 2018-08-23 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 数据访问方法、相关装置、网关和数据访问系统 |
| CN111008345A (zh) * | 2019-11-28 | 2020-04-14 | 蜂助手股份有限公司 | 一种访问定点访问url的方法及系统 |
| CN111753223A (zh) * | 2020-06-09 | 2020-10-09 | 北京天空卫士网络安全技术有限公司 | 一种访问控制的方法和装置 |
-
2020
- 2020-12-30 CN CN202011631343.XA patent/CN112651001A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103078859A (zh) * | 2012-12-31 | 2013-05-01 | 普天新能源有限责任公司 | 业务系统权限管理方法、设备及系统 |
| CN107566429A (zh) * | 2016-06-30 | 2018-01-09 | 中兴通讯股份有限公司 | 基站、访问请求的响应方法、装置及系统 |
| CN106790262A (zh) * | 2017-02-07 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 一种鉴权方法及装置 |
| CN110213217A (zh) * | 2018-08-23 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 数据访问方法、相关装置、网关和数据访问系统 |
| CN109617907A (zh) * | 2019-01-04 | 2019-04-12 | 平安科技(深圳)有限公司 | 认证方法、电子装置及计算机可读存储介质 |
| CN111008345A (zh) * | 2019-11-28 | 2020-04-14 | 蜂助手股份有限公司 | 一种访问定点访问url的方法及系统 |
| CN111753223A (zh) * | 2020-06-09 | 2020-10-09 | 北京天空卫士网络安全技术有限公司 | 一种访问控制的方法和装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113656772A (zh) * | 2021-07-26 | 2021-11-16 | 北京达佳互联信息技术有限公司 | 信息处理方法、装置、电子设备及存储介质 |
| CN113810486A (zh) * | 2021-09-13 | 2021-12-17 | 珠海格力电器股份有限公司 | 物联网平台对接方法、装置、电子设备及存储介质 |
| CN113821818A (zh) * | 2021-11-19 | 2021-12-21 | 国网浙江省电力有限公司 | 基于标识管理的中台访问隔阻方法、装置及存储介质 |
| CN113821818B (zh) * | 2021-11-19 | 2022-02-08 | 国网浙江省电力有限公司 | 基于标识管理的中台访问隔阻方法、装置及存储介质 |
| WO2023173908A1 (zh) * | 2022-03-17 | 2023-09-21 | 华为云计算技术有限公司 | 访问文件的方法、装置、系统及存储介质 |
| CN115102755A (zh) * | 2022-06-20 | 2022-09-23 | 中银金融科技有限公司 | 一种资源访问的控制方法及装置、电子设备、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110727712B (zh) | 基于区块链网络的数据处理方法、装置、电子设备及存储介质 | |
| CN112651001A (zh) | 访问请求的鉴权方法、装置、设备及可读存储介质 | |
| US11115418B2 (en) | Registration and authorization method device and system | |
| JP5522307B2 (ja) | 仮想機械によるソフトウェアテストを用いた電子ネットワークにおけるクライアントシステムの遠隔保守のためのシステム及び方法 | |
| CN109492380B (zh) | 一种设备认证方法、装置及区块链节点 | |
| CN107135218B (zh) | 登录态获取、发送方法、凭证配置方法、客户端及服务器 | |
| CN110569251A (zh) | 一种数据处理方法、相关设备及计算机可读存储介质 | |
| CN112651011B (zh) | 运维系统登录验证方法、装置、设备以及计算机存储介质 | |
| CN110598434B (zh) | 基于区块链网络的房屋信息处理方法、装置、电子设备及存储介质 | |
| CN108073823B (zh) | 数据处理方法、装置及系统 | |
| CN110661658A (zh) | 一种区块链网络的节点管理方法、装置及计算机存储介质 | |
| US20190141048A1 (en) | Blockchain identification system | |
| CN110597918A (zh) | 一种账户管理方法、装置及计算机可读存储介质 | |
| CN110011796B (zh) | 证书更新方法、装置、计算机设备和存储介质 | |
| CN110661779B (zh) | 基于区块链网络的电子证件管理方法、系统、设备及介质 | |
| CN111340483A (zh) | 一种基于区块链的数据管理方法及相关设备 | |
| CN112215609A (zh) | 基于超级账本的房产用户身份认证方法、装置和电子设备 | |
| WO2019191635A1 (en) | System and methods for preventing reverse transactions in a distributed environment | |
| US11362806B2 (en) | System and methods for recording codes in a distributed environment | |
| Quamara et al. | An in-depth security and performance investigation in hyperledger fabric-configured distributed computing systems | |
| CN111241188A (zh) | 区块链网络中的共识方法、节点及存储介质 | |
| Lin et al. | User-managed access delegation for blockchain-driven IoT services | |
| CN111552551A (zh) | 基于主从系统的用户管理方法、装置、计算机设备和介质 | |
| CN111818107B (zh) | 网络请求的响应方法、装置、设备及可读存储介质 | |
| JP7477907B2 (ja) | 情報提供システム、情報提供方法及び情報提供プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |