CN112769735B - 资源访问方法、装置与系统 - Google Patents
资源访问方法、装置与系统 Download PDFInfo
- Publication number
- CN112769735B CN112769735B CN201911068951.1A CN201911068951A CN112769735B CN 112769735 B CN112769735 B CN 112769735B CN 201911068951 A CN201911068951 A CN 201911068951A CN 112769735 B CN112769735 B CN 112769735B
- Authority
- CN
- China
- Prior art keywords
- access
- resource
- certificate
- flow control
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种资源访问方法、装置和系统,其中,该方法包括:应用服务器接收到客户端发送的凭证获取请求后,根据凭证获取请求获得访问凭证,并向客户端返回访问凭证,其中,访问凭证中携带流量控制策略;当客户端通过访问凭证访问资源服务器中的资源时,资源服务器根据流量控制策略对客户端的资源访问进行流量控制。本发明提供的技术方案解决了前端绕过SDK的安全问题,从而提高了流量控制的安全性,同时无需占用客户端资源进行流控,从而也降低了前端资源的消耗。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种资源访问方法、装置与系统。
背景技术
云计算服务可以降低企业的运行成本,向用户提供可靠的资源访问服务,因此,越来越多的企业通过云计算服务平台(简称云平台)来向用户提供服务。
为了避免资源抢夺,提高用户体验度,需要在客户端访问资源时进行流量控制。目前,业界典型的流量控制方法,是基于客户端的软件开发工具包(Software DevelopmentKit,SDK)做流量控制,比如在Android/iOS客户端上传数据的SDK内进行流量控制。
但是,上述这种流量控制方法,存在流量控制被绕过的漏洞,例如:不采用SDK而是直接使用后端(即资源服务器)的表现层状态转移(Representational State Transfer,REST)应用程序接口(Application Programming Interface,API),即可以绕过流量控制,因而安全性低;而且会消耗前端(即客户端)资源。
发明内容
有鉴于此,本发明提供一种资源访问方法、装置与系统,用于提高客户端进行资源访问流量控制的安全性,同时降低前端资源的消耗。
为了实现上述目的,第一方面,本发明实施例提供一种资源访问方法,应用于应用服务器,包括:
接收客户端发送的凭证获取请求,凭证获取请求用于请求获取访问资源服务器中资源的权限;
根据凭证获取请求获得访问凭证,并向客户端返回访问凭证,访问凭证中携带流量控制策略,访问凭证用于指示资源服务器在客户端根据访问凭证访问资源服务器中的资源时,根据流量控制策略对客户端的资源访问进行流量控制。
第二方面,本发明实施例提供一种资源访问方法,应用于安全管理服务器,包括:
接收应用服务器发送的授权访问请求,授权访问请求中包括流量控制策略;
根据授权访问请求生成访问凭证;
向应用服务器返回访问凭证,访问凭证用于指示资源服务器在客户端根据访问凭证访问资源服务器中的资源时,根据流量控制策略对客户端的资源访问进行流量控制。
第三方面,本发明实施例提供一种资源访问方法,应用于资源服务器,包括:
接收客户端发送的资源访问请求,资源访问请求中携带访问凭证,访问凭证中携带流量控制策略;
提取访问凭证中的流量控制策略;
根据流量控制策略对客户端的资源访问进行流量控制。
第四方面,本发明实施例提供一种资源访问装置,应用于应用服务器,包括:
接收模块,用于接收客户端发送的凭证获取请求,凭证获取请求用于请求获取访问资源服务器中资源的权限;
处理模块,用于根据凭证获取请求获得访问凭证;
发送模块,用于向客户端返回访问凭证,访问凭证中携带流量控制策略,访问凭证用于指示资源服务器在客户端根据访问凭证访问资源服务器中的资源时,根据流量控制策略对客户端的资源访问进行流量控制。
第五方面,本发明实施例提供一种资源访问装置,应用于安全管理服务器,包括:
接收模块,用于接收应用服务器发送的授权访问请求,授权访问请求中包括流量控制策略;
生成模块,用于根据授权访问请求生成访问凭证;
发送模块,用于向应用服务器返回访问凭证,访问凭证用于指示资源服务器在客户端根据访问凭证访问资源服务器中的资源时,根据流量控制策略对客户端的资源访问进行流量控制。
第六方面,本发明实施例提供一种资源访问装置,应用于资源服务器,包括:
接收模块,用于接收客户端发送的资源访问请求,资源访问请求中携带访问凭证,访问凭证中携带流量控制策略;
处理模块,用于提取访问凭证中的流量控制策略;
控制模块,用于根据流量控制策略对客户端的资源访问进行流量控制。
第七方面,本发明实施例提供一种应用服务器,包括:存储器和处理器,存储器用于存储计算机程序;处理器用于在调用计算机程序时执行上述第一方面或第一方面的任一实施方式所述的方法。
第八方面,本发明实施例提供一种安全管理服务器,包括:存储器和处理器,存储器用于存储计算机程序;处理器用于在调用计算机程序时执行上述第二方面或第二方面的任一实施方式所述的方法。
第九方面,本发明实施例提供一种资源服务器,包括:存储器和处理器,存储器用于存储计算机程序;处理器用于在调用计算机程序时执行上述第三方面或第三方面的任一实施方式所述的方法。
第十方面,本发明实施例提供一种资源访问系统,包括:客户端、应用服务器、安全管理服务器和资源服务器,其中:
客户端用于向应用服务器发送凭证获取请求,凭证获取请求用于请求获取访问资源服务器中资源的权限;
应用服务器用于接收客户端发送的凭证获取请求,并根据凭证获取请求向安全管理服务器发送授权访问请求,授权访问请求中包括流量控制策略;
安全管理服务器用于接收应用服务器发送的授权访问请求,并根据授权访问请求生成访问凭证,向应用服务器返回访问凭证,访问凭证中携带流量控制策略;
应用服务器还用于接收安全管理服务器返回的访问凭证,并向客户端返回访问凭证;
客户端还用于接收应用服务器返回的访问凭证,并向资源服务器发送资源访问请求,资源访问请求中携带访问凭证;
资源服务器用于接收客户端发送的资源访问请求,提取访问凭证中的流量控制策略,并根据流量控制策略对客户端的资源访问进行流量控制。
第十一方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述第一方面、第二方面或第三方面所述的方法。
本发明实施例提供的资源访问方法、装置和系统,通过在客户端向应用服务器发送凭证获取请求以获取访问凭证时,应用服务器根据凭证获取请求将流量控制策略携带在访问凭证返回给客户端,当客户端通过访问凭证访问资源服务器中的资源时,由资源服务器对客户端的资源访问进行流量控制,解决了前端绕过SDK的安全问题,从而提高了流量控制的安全性,同时无需占用客户端资源进行流控,从而也降低了前端资源的消耗。
附图说明
图1为本发明实施例提供的资源访问系统的结构示意图;
图2为本发明实施例提供的一种资源访问方法的流程示意图;
图3为本发明实施例提供的另一种资源访问方法的流程示意图;
图4为本发明实施例提供的一种资源访问装置的结构示意图;
图5为本发明实施例提供的另一种资源访问装置的结构示意图;
图6为本发明实施例提供的又一种资源访问装置的结构示意图;
图7为本发明实施例提供的应用服务器的结构示意图;
图8为本发明实施例提供的安全管理服务器的结构示意图;
图9为本发明实施例提供的资源服务器的结构示意图。
具体实施方式
目前的基于客户端的SDK进行流量控制的方法存在流量控制被绕过的漏洞,针对此问题,本发明实施例提供一种资源访问方法、装置与设备,主要通过在为客户端发放访问凭证时,在访问凭证中携带流量控制策略,当客户端通过访问凭证访问资源服务器中的资源时,由资源服务器对客户端的资源访问进行流量控制,以解决前端绕过SDK的安全问题,从而提高流量控制的安全性,同时降低前端资源的消耗。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1为本发明实施例提供的资源访问系统的结构示意图,如图1所示,本实施例提供的系统可以包括客户端10、应用服务器20、安全管理服务器30和资源服务器40。
本实施例中,客户端10可以为具有显示、运算和网络访问功能的电子设备,例如可以为手机、平板电脑、笔记本电脑或智能可穿戴设备等移动设备,也可以是台式电脑或具有网络访问功能的电视机等固定设备。客户端10中具有应用服务器20的访问入口和/或应用服务器20对应的应用,为了便于理解,本实施例中以客户端10为移动设备,其中具有应用服务器20对应的应用为例进行示例性说明。
客户端10可以访问资源服务器40中的资源,在需要访问资源时,可以先向应用服务器20发送凭证获取请求,以请求获取访问资源服务器40中资源的权限。
应用服务器20具有访问资源服务器40中相关资源的权限,用于向客户端10提供访问凭证,其具体可以在接收到客户端10发送的凭证获取请求后,根据凭证获取请求向安全管理服务器30发送授权访问请求,以获取访问凭证。其中,授权访问请求中可以包括流量控制策略;访问凭证具有访问资源服务器40中资源的权限,且携带流量控制策略。应用服务器20的数量可以为一个或多个。
安全管理服务器30用于发布访问凭证,并实现访问凭证的验证,其可以与资源服务器40之间通过对称或非对称密钥方式建立安全通道。具体的,安全管理服务器30在接收到应用服务器20发送的授权访问请求后,可以根据授权访问请求生成访问凭证,然后向应用服务器20返回访问凭证,其中,访问凭证中携带流量控制策略。
应用服务器20接收到访问凭证后可以返回给客户端10,客户端10就可以根据该访问凭证访问资源服务器40中的资源。
资源服务器40用于根据从访问凭证中提取的流量控制策略对客户端10的资源访问进行流量控制,其中的资源可以包括但不限于应用界面展现的图片、音视频和日志等,资源服务器40可以提供云服务,例如云存储服务,对应的资源可以是对象存储服务(ObjectStorage Service,OSS)桶或对象,为了便于说明,本实施例中以云存储服务为例进行示例性说明。
图2为本发明实施例提供的一种资源访问方法的流程示意图,如图2所示,该方法可以包括如下步骤:
S101、客户端向应用服务器发送凭证获取请求。
具体的,当客户端通过个人应用访问资源服务器中的资源时,例如:上传或下载文件,先向应用服务器发送凭证获取请求,以获取访问资源服务器中资源的权限。
其中,凭证获取请求中可以携带用户身份信息,例如用户在应用中登录的个人账号;其还可以携带待访问的目标资源信息,例如:OSS桶名和对象名。
S102、应用服务器接收客户端发送的凭证获取请求,并根据凭证获取请求获得携带有流量控制策略的访问凭证。
具体的,应用服务器接收到凭证获取请求后,可以基于预设的流量控制策略配置确定凭证获取请求对应的流量控制策略,进而获得访问凭证。
具体的流量控制策略配置,可以根据用户身份信息设置,例如:普通用户可以设置速度为1MBps,贵宾(Very Important People,VIP)用户可以设置速度3MBps;也可以根据目标资源信息设置,例如:对于视频A可以设置速度为10Kbps,视频B可以设置速度为100Kbps;还可以同时根据用户身份信息和目标资源信息设置,例如:对于视频A,普通用户可以设置速度为10Kbps,VIP用户可以设置速度50Kbps;对于视频B,普通用户可以设置速度为100Kbps,VIP用户可以设置速度500Kbps。
对应的,确定流量控制策略时,可以基于流量控制策略配置,根据用户身份信息和/或目标资源信息确定凭证获取请求对应的流量控制策略。
本实施例中,应用服务器可以根据流量控制策略生成访问凭证,为了便于访问凭证的管理,访问凭证可以由安全管理服务器统一发布和验证,则应用服务器在根据流量控制策略获得访问凭证时,可以先向安全管理服务器发送授权访问请求,其中,授权访问请求中包括流量控制策略;由安全管理服务器根据授权访问请求生成访问凭证后返回给应用服务器。
其中,访问凭证中可以包括安全令牌、访问密钥和过期时间,访问凭证中还可以携带其他权限策略,限制安全令牌的资源操作权限,以更精细地控制各个访问用户的权限。其中,权限策略例如可以为:允许对A地域的所有资源授予查看权限,允许对OSS的a存储桶中的对象授予只读访问权限。在具体实现时,流量控制策略可以和其他权限策略可以单独列举,也可以合并在一起,即一条权限策略中可以同时包括资源操作权限和流量控制策略;一个用户可以被授予至少一条权限策略。访问凭证根据权限策略(包括流量控制策略)生成,权限策略例如可以携带在安全令牌中;资源服务器解析访问凭证中的安全令牌,可以获得对应的权限策略。
为了保证资源访问的安全性,应用服务器在接收到凭证获取请求后,可以先验证凭证获取请求的合法性,当凭证获取请求合法时,再获得访问凭证。
具体在验证合法性时,可以验证凭证获取请求的格式是否符合预设格式,例如:是否包括预设参数,参数值是否超范围等。
S103、应用服务器向客户端返回访问凭证。
应用服务器获得访问凭证后,可以向客户端返回访问凭证。
S104、客户端接收应用服务器返回的访问凭证。
S105、客户端向资源服务器发送携带有访问凭证的资源访问请求。
客户端接收到应用服务器返回的访问凭证后,就可以将访问凭证携带在资源访问请求中发送给资源服务器,使用访问凭证访问资源服务器中的资源。
S106、资源服务器接收客户端发送的资源访问请求。
S107、资源服务器提取访问凭证中的流量控制策略,并根据流量控制策略对客户端的资源访问进行流量控制。
资源服务器接收到客户端发送的资源访问请求中,可以解析访问凭证,提取出访问凭证中的流量控制策略,根据流量控制策略对客户端的资源访问进行流量控制。同时,资源服务器可以提取出其他权限策略,根据其他权限策略对客户端的资源访问进行权限控制。
当数据传输完毕后,即资源访问结束时,资源服务器可以向客户端返回访问结果。
本实施例提供的资源访问方法,通过在客户端向应用服务器发送凭证获取请求以获取访问凭证时,应用服务器根据凭证获取请求将流量控制策略携带在访问凭证返回给客户端,当客户端通过访问凭证访问资源服务器中的资源时,由资源服务器对客户端的资源访问进行流量控制,解决了前端绕过SDK的安全问题,从而提高了流量控制的安全性,同时无需占用客户端资源进行流控,从而也降低了前端资源的消耗。
图3为本发明实施例提供的另一种资源访问方法的流程示意图,本实施例是对上述图2所示实施例的进一步优化补充。在上述实施例的基础上,如图3所示,该方法可以包括如下步骤:
S201、客户端向应用服务器发送凭证获取请求。
该步骤可参考上述图2所示实施例对应步骤S101的描述,在此不再赘述。
S202、应用服务器接收凭证获取请求,并基于预设的流量控制策略配置确定凭证获取请求对应的流量控制策略。
应用服务器接收到凭证获取请求后,可以基于流量控制策略配置查询对应的流量控制信息,根据此信息填写策略信息,其中,策略信息中还可以包括其他权限策略(详见步骤S102中的描述),其可以包括至少一条权限策略(包括流量控制策略);然后向安全管理服务器申请访问凭证。该步骤的相关描述可参考上述图2所示实施例对应步骤S102的描述,在此不再赘述。
S203、应用服务器向安全管理服务器发送携带有流量控制策略的授权访问请求。
S204、安全管理服务器接收授权访问请求,并在验证授权访问请求合法时,根据授权访问请求生成访问凭证。
安全管理服务器接收到授权访问请求后,为了提高资源访问的安全性,可以先验证授权访问请求是否合法,在验证授权访问请求合法时,再根据授权访问请求生成访问凭证。
具体的,授权访问请求具有一定的格式,在验证时,可以检查授权访问请求的格式是否符合预设格式,例如:是否包括预设参数,参数值是否超范围等;当授权访问请求符合预设格式时,确定授权访问请求合法。
S205、安全管理服务器向应用服务器返回访问凭证。
安全管理服务器生成访问凭证后,向应用服务器返回访问凭证。
S206、应用服务器接收到访问凭证后,向客户端返回访问凭证和待访问的目标资源信息。
应用服务器接收到访问凭证后,向客户端转发访问凭证;同时,应用服务器可以一并返回待访问的目标资源信息,这样客户端就无需再存储和查询目标资源信息,从而可以方便客户端访问资源。
S207、客户端接收访问凭证和待访问的目标资源信息。
S208、客户端向资源服务器发送携带有访问凭证和目标资源信息的资源访问请求。
客户端接收到应用服务器返回的访问凭证后,就可以将访问凭证和目标资源信息携带在资源访问请求中发送给资源服务器,使用访问凭证访问资源服务器中目标资源信息对应的资源。
S209、资源服务器接收客户端发送的资源访问请求。
S210、资源服务器向安全管理服务器发送访问凭证验证请求。
为了提高资源访问的安全性,资源服务器接收到客户端发送的资源访问请求后,可以将访问凭证携带在访问凭证验证请求中发送给安全管理服务器,以验证访问凭证是否有效。
S211、安全管理服务器接收访问凭证验证请求,并验证访问凭证验证请求中的访问凭证是否有效。
安全管理服务器接收到访问凭证验证请求后,可以将访问凭证验证请求中的访问凭证与存储的已发放的访问凭证进行比对,验证访问凭证是否有效;当在存储的访问凭证中未找到访问凭证验证请求中的访问凭证或访问凭证已过期时,可以确定访问凭证验证请求中的访问凭证无效(即验证未通过);否则可以确定访问凭证验证请求中的访问凭证有效(即验证通过)。
为了提高验证的安全性,安全管理服务器与资源服务器之间可以通过密钥方式建立安全通道,通过安全通道传输数据。
S212、安全管理服务器向资源服务器返回验证结果。
安全管理服务器在验证完访问凭证后,向资源服务器返回验证结果。
S213、资源服务器接收验证结果,并在验证通过时,提取访问凭证中的流量控制策略,并根据流量控制策略对客户端访问的目标资源信息对应的资源进行流量控制。
资源服务器接收到验证结果后,在验证通过时,可以解析访问凭证,提取出访问凭证中的流量控制策略,根据流量控制策略对客户端访问的目标资源信息对应的资源进行流量控制。
当验证未通过时,资源服务器可以向客户端返回验证未通过的信息,以提示用户。
本实施例提供的资源访问方法,通过安全管理服务器进行访问凭证的统一发布和验证,可以方便访问凭证的管理,提高资源访问的安全性。
基于同一发明构思,作为对上述方法的实现,本发明实施例提供了资源访问装置,该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。
图4为本发明实施例提供的一种资源访问装置的结构示意图,如图4所示,本实施例提供的装置110包括:
接收模块111,用于接收客户端发送的凭证获取请求,凭证获取请求用于请求获取访问资源服务器中资源的权限;
处理模块112,用于根据凭证获取请求获得访问凭证;
发送模块113,用于向客户端返回访问凭证,访问凭证中携带流量控制策略,访问凭证用于指示资源服务器在客户端根据访问凭证访问资源服务器中的资源时,根据流量控制策略对客户端的资源访问进行流量控制。
作为本发明实施例一种可选的实施方式,处理模块112具体用于:
基于预设的流量控制策略配置确定凭证获取请求对应的流量控制策略;
根据流量控制策略获得访问凭证。
作为本发明实施例一种可选的实施方式,凭证获取请求中包括用户身份信息和/或待访问的目标资源信息,处理模块112具体用于:
基于预设的流量控制策略配置,根据用户身份信息和/或目标资源信息确定凭证获取请求对应的流量控制策略。
作为本发明实施例一种可选的实施方式,处理模块112具体用于:
指示发送模块113向安全管理服务器发送授权访问请求,授权访问请求中包括流量控制策略;
指示接收模块111接收安全管理服务器返回的访问凭证,访问凭证根据授权访问请求生成。
作为本发明实施例一种可选的实施方式,发送模块113还用于:
根据凭证获取请求向客户端返回待访问的目标资源信息。
本实施例提供的装置可以执行上述方法实施例,其实现原理与技术效果类似,此处不再赘述。
图5为本发明实施例提供的另一种资源访问装置的结构示意图,该装置应用于安全管理服务器,如图5所示,本实施例提供的装置120包括:
接收模块121,用于接收应用服务器发送的授权访问请求,授权访问请求中包括流量控制策略;
生成模块122,用于根据授权访问请求生成访问凭证;
发送模块123,用于向应用服务器返回访问凭证,访问凭证用于指示资源服务器在客户端根据访问凭证访问资源服务器中的资源时,根据流量控制策略对客户端的资源访问进行流量控制。
作为本发明实施例一种可选的实施方式,该装置还包括:
检查模块124,用于在发送模块123向应用服务器返回访问凭证之前,检查授权访问请求是否合法;
发送模块123具体用于:
当授权访问请求合法时,向应用服务器返回访问凭证。
作为本发明实施例一种可选的实施方式,检查模块124具体用于:
检查授权访问请求的格式是否符合预设格式;
当授权访问请求符合预设格式时,确定授权访问请求合法。
作为本发明实施例一种可选的实施方式,接收模块121还用于:
通过与资源服务器之间建立的安全通道,接收资源服务器发送的访问凭证验证请求,访问凭证验证请求中携带访问凭证;
该装置还包括:验证模块125,用于验证访问凭证是否有效;
发送模块123还用于向资源服务器返回验证结果。
本实施例提供的装置可以执行上述方法实施例,其实现原理与技术效果类似,此处不再赘述。
图6为本发明实施例提供的又一种资源访问装置的结构示意图,该装置应用于资源服务器,如图6所示,本实施例提供的装置130包括:
接收模块131,用于接收客户端发送的资源访问请求,资源访问请求中携带访问凭证,访问凭证中携带流量控制策略;
处理模块132,用于提取访问凭证中的流量控制策略;
控制模块133,用于根据流量控制策略对客户端的资源访问进行流量控制。
作为本发明实施例一种可选的实施方式,该装置还包括:
发送模块134,用于在控制模块133根据流量控制策略对客户端的资源访问进行流量控制之前,通过与安全管理服务器之间建立的安全通道,向安全管理服务器发送访问凭证验证请求,访问凭证验证请求中携带访问凭证;
接收模块131还用于:接收资源服务器返回的验证结果;
控制模块133具体用于:当验证通过时,根据流量控制策略对客户端的资源访问进行流量控制。
作为本发明实施例一种可选的实施方式,资源访问请求中还携带有待访问的目标资源信息,控制模块133具体用于:
根据流量控制策略对客户端访问的目标资源信息对应的资源进行流量控制。
本实施例提供的装置可以执行上述方法实施例,其实现原理与技术效果类似,此处不再赘述。
基于同一发明构思,本发明实施例还提供了一种应用服务器。图7为本发明实施例提供的应用服务器的结构示意图,如图7所示,本实施例提供的应用服务器包括:存储器211和处理器212,存储器211用于存储计算机程序;处理器212用于在调用计算机程序时执行上述方法实施例所述的方法。
本实施例提供的应用服务器可以执行上述方法实施例,其实现原理与技术效果类似,此处不再赘述。
另外,本发明实施例还提供了一种安全管理服务器。图8为本发明实施例提供的安全管理服务器的结构示意图,如图8所示,本实施例提供的应用服务器包括:存储器221和处理器222,存储器221用于存储计算机程序;处理器222用于在调用计算机程序时执行上述方法实施例所述的方法。
本实施例提供的安全管理服务器可以执行上述方法实施例,其实现原理与技术效果类似,此处不再赘述。
此外,本发明实施例还提供了一种资源服务器。图9为本发明实施例提供的资源服务器的结构示意图,如图9所示,本实施例提供的资源服务器包括:存储器231和处理器232,存储器231用于存储计算机程序;处理器232用于在调用计算机程序时执行上述方法实施例所述的方法。
本实施例提供的资源服务器可以执行上述方法实施例,其实现原理与技术效果类似,此处不再赘述。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例所述的方法。
本领域技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。
处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动存储介质。存储介质可以由任何方法或技术来实现信息存储,信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (20)
1.一种资源访问方法,应用于应用服务器,其特征在于,包括:
接收客户端发送的凭证获取请求,所述凭证获取请求用于请求获取访问资源服务器中资源的权限;
根据所述凭证获取请求获得访问凭证,并向所述客户端返回访问凭证,所述访问凭证中携带流量控制策略,所述访问凭证用于指示所述资源服务器在所述客户端根据所述访问凭证访问所述资源服务器中的资源时,根据所述流量控制策略对所述客户端的资源访问进行流量控制,所述访问凭证是安全管理服务器根据所述应用服务器发送的授权访问请求生成并向所述应用服务器发送的,所述授权访问请求是在所述应用服务器接收到客户端发送的凭证获取请求后,根据所述凭证获取请求向所述安全管理服务器发送的,所述授权访问请求中包括流量控制策略。
2.根据权利要求1所述的方法,其特征在于,所述根据所述凭证获取请求获得访问凭证,包括:
基于预设的流量控制策略配置确定所述凭证获取请求对应的流量控制策略;
根据所述流量控制策略获得访问凭证。
3.根据权利要求2所述的方法,其特征在于,所述凭证获取请求中包括用户身份信息和/或待访问的目标资源信息;所述基于预设的流量控制策略配置确定所述凭证获取请求对应的流量控制策略,包括:
基于预设的流量控制策略配置,根据所述用户身份信息和/或所述目标资源信息确定所述凭证获取请求对应的流量控制策略。
4.根据权利要求2所述的方法,其特征在于,所述根据所述流量控制策略获得访问凭证,包括:
向安全管理服务器发送授权访问请求,所述授权访问请求中包括所述流量控制策略;
接收所述安全管理服务器返回的访问凭证,所述访问凭证根据所述授权访问请求生成。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
根据所述凭证获取请求向所述客户端返回待访问的目标资源信息。
6.一种资源访问方法,应用于安全管理服务器,其特征在于,包括:
接收应用服务器发送的授权访问请求,所述授权访问请求中包括流量控制策略,所述授权访问请求是应用服务器在接收客户端发送的凭证获取请求后发送的,所述凭证获取请求用于客户端请求获取访问资源服务器中资源的权限;
根据所述授权访问请求生成访问凭证;
向所述应用服务器返回所述访问凭证,所述访问凭证用于指示资源服务器在所述客户端根据所述应用服务器返回的访问凭证访问所述资源服务器中的资源时,根据所述流量控制策略对所述客户端的资源访问进行流量控制。
7.根据权利要求6所述的方法,其特征在于,在所述向所述应用服务器返回所述访问凭证之前,所述方法还包括:
检查所述授权访问请求是否合法;
所述向所述应用服务器返回所述访问凭证,包括:
当所述授权访问请求合法时,向所述应用服务器返回所述访问凭证。
8.根据权利要求7所述的方法,其特征在于,所述检查所述授权访问请求是否合法,包括:
检查所述授权访问请求的格式是否符合预设格式;
当所述授权访问请求符合预设格式时,确定所述授权访问请求合法。
9.根据权利要求6-8任一项所述的方法,其特征在于,所述方法还包括:
通过与资源服务器之间建立的安全通道,接收所述资源服务器发送的访问凭证验证请求,所述访问凭证验证请求中携带所述访问凭证;
验证所述访问凭证是否有效,并向所述资源服务器返回验证结果。
10.一种资源访问方法,应用于资源服务器,其特征在于,包括:
接收客户端发送的资源访问请求,所述资源访问请求中携带访问凭证,所述访问凭证中携带流量控制策略,所述资源访问请求是所述客户端在接收到应用服务器发送的访问凭证后发送的,所述访问凭证是安全管理服务器根据所述应用服务器发送的授权访问请求生成并向所述应用服务器发送的,所述授权访问请求是在所述应用服务器接收到客户端发送的凭证获取请求后,根据所述凭证获取请求向所述安全管理服务器发送的;
提取所述访问凭证中的流量控制策略;
根据所述流量控制策略对所述客户端的资源访问进行流量控制。
11.根据权利要求10所述的方法,其特征在于,在所述根据所述流量控制策略对所述客户端的资源访问进行流量控制之前,所述方法还包括:
通过与安全管理服务器之间建立的安全通道,向所述安全管理服务器发送访问凭证验证请求,所述访问凭证验证请求中携带所述访问凭证;
接收所述资源服务器返回的验证结果;
则所述根据所述流量控制策略对所述客户端的资源访问进行流量控制,包括:
当验证通过时,根据所述流量控制策略对所述客户端的资源访问进行流量控制。
12.根据权利要求10或11所述的方法,其特征在于,所述资源访问请求中还携带有待访问的目标资源信息,所述根据所述流量控制策略对所述客户端的资源访问进行流量控制,包括:
根据所述流量控制策略对所述客户端访问的目标资源信息对应的资源进行流量控制。
13.一种资源访问装置,应用于应用服务器,其特征在于,包括:
接收模块,用于接收客户端发送的凭证获取请求,所述凭证获取请求用于请求获取访问资源服务器中资源的权限;
处理模块,用于根据所述凭证获取请求获得访问凭证;
发送模块,用于向所述客户端返回访问凭证,所述访问凭证中携带流量控制策略,所述访问凭证用于指示所述资源服务器在所述客户端根据所述访问凭证访问所述资源服务器中的资源时,根据所述流量控制策略对所述客户端的资源访问进行流量控制,所述访问凭证是安全管理服务器根据所述应用服务器发送的授权访问请求生成并向所述应用服务器发送的,所述授权访问请求是在所述应用服务器接收到客户端发送的凭证获取请求后,根据所述凭证获取请求向所述安全管理服务器发送的,所述授权访问请求中包括流量控制策略。
14.一种资源访问装置,应用于安全管理服务器,其特征在于,包括:
接收模块,用于接收应用服务器发送的授权访问请求,所述授权访问请求中包括流量控制策略,所述授权访问请求是应用服务器在接收客户端发送的凭证获取请求后发送的,所述凭证获取请求用于客户端请求获取访问资源服务器中资源的权限;
生成模块,用于根据所述授权访问请求生成访问凭证;
发送模块,用于向所述应用服务器返回所述访问凭证,所述访问凭证用于指示所述资源服务器在客户端根据应用服务器返回的所述访问凭证访问所述资源服务器中的资源时,根据所述流量控制策略对所述客户端的资源访问进行流量控制。
15.一种资源访问装置,应用于资源服务器,其特征在于,包括:
接收模块,用于接收客户端发送的资源访问请求,所述资源访问请求中携带访问凭证,所述访问凭证中携带流量控制策略,所述资源访问请求是所述客户端在接收到应用服务器发送的访问凭证后发送的,所述访问凭证是安全管理服务器根据所述应用服务器发送的授权访问请求生成并向所述应用服务器发送的,所述授权访问请求是在所述应用服务器接收到客户端发送的凭证获取请求后,根据所述凭证获取请求向所述安全管理服务器发送的;
处理模块,用于提取所述访问凭证中的流量控制策略;
控制模块,用于根据所述流量控制策略对所述客户端的资源访问进行流量控制。
16.一种应用服务器,其特征在于,包括:存储器和处理器,所述存储器用于存储计算机程序;所述处理器用于在调用所述计算机程序时执行如权利要求1-5任一项所述的方法。
17.一种安全管理服务器,其特征在于,包括:存储器和处理器,所述存储器用于存储计算机程序;所述处理器用于在调用所述计算机程序时执行如权利要求6-9任一项所述的方法。
18.一种资源服务器,其特征在于,包括:存储器和处理器,所述存储器用于存储计算机程序;所述处理器用于在调用所述计算机程序时执行如权利要求10-12任一项所述的方法。
19.一种资源访问系统,其特征在于,包括:客户端、应用服务器、安全管理服务器和资源服务器,其中:
所述客户端用于向所述应用服务器发送凭证获取请求,所述凭证获取请求用于请求获取访问资源服务器中资源的权限;
所述应用服务器用于接收所述客户端发送的凭证获取请求,并根据所述凭证获取请求向所述安全管理服务器发送授权访问请求,所述授权访问请求中包括流量控制策略;
所述安全管理服务器用于接收所述应用服务器发送的授权访问请求,并根据所述授权访问请求生成访问凭证,向所述应用服务器返回所述访问凭证,所述访问凭证中携带所述流量控制策略;
所述应用服务器还用于接收所述安全管理服务器返回的访问凭证,并向所述客户端返回所述访问凭证;
所述客户端还用于接收所述应用服务器返回的访问凭证,并向所述资源服务器发送资源访问请求,所述资源访问请求中携带所述访问凭证;
所述资源服务器用于接收所述客户端发送的资源访问请求,提取所述访问凭证中的流量控制策略,并根据所述流量控制策略对所述客户端的资源访问进行流量控制。
20.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-12任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911068951.1A CN112769735B (zh) | 2019-11-05 | 2019-11-05 | 资源访问方法、装置与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911068951.1A CN112769735B (zh) | 2019-11-05 | 2019-11-05 | 资源访问方法、装置与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112769735A CN112769735A (zh) | 2021-05-07 |
| CN112769735B true CN112769735B (zh) | 2023-03-24 |
Family
ID=75692633
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911068951.1A Active CN112769735B (zh) | 2019-11-05 | 2019-11-05 | 资源访问方法、装置与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112769735B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113726675A (zh) * | 2021-08-27 | 2021-11-30 | 上海东普信息科技有限公司 | 流量管理方法、装置、设备和存储介质 |
| CN113949534A (zh) * | 2021-09-22 | 2022-01-18 | 广东电网有限责任公司 | 信息化系统的资源访问方法、装置、电子设备及存储介质 |
| CN114095200B (zh) * | 2021-09-28 | 2023-12-01 | 阿里巴巴(中国)有限公司 | 资源访问权限管理方法、装置、电子设备及介质 |
| CN114244624A (zh) * | 2021-12-31 | 2022-03-25 | 北京市商汤科技开发有限公司 | 流量控制方法及装置、设备、存储介质 |
| CN114189483B (zh) * | 2022-02-14 | 2022-05-17 | 北京安盟信息技术股份有限公司 | 一种云环境下多用户密码服务流量按需控制方法及系统 |
| CN116155565B (zh) * | 2023-01-04 | 2023-10-10 | 北京夏石科技有限责任公司 | 数据访问控制方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104769913A (zh) * | 2012-11-07 | 2015-07-08 | 微软公司 | 基于策略的经由nfc的资源访问 |
| CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理系统及方法 |
| CN106156064A (zh) * | 2015-03-30 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 对数据库进行流量控制的方法及装置 |
| CN106656937A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 一种访问控制方法和访问令牌颁发方法、设备 |
| CN107181751A (zh) * | 2017-06-02 | 2017-09-19 | 国电南瑞科技股份有限公司 | 一种变电站广域运维中心与变电站交互系统及其方法 |
| CN110213215A (zh) * | 2018-08-07 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种资源访问方法、装置、终端和存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7774830B2 (en) * | 2005-03-14 | 2010-08-10 | Microsoft Corporation | Access control policy engine controlling access to resource based on any of multiple received types of security tokens |
-
2019
- 2019-11-05 CN CN201911068951.1A patent/CN112769735B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104769913A (zh) * | 2012-11-07 | 2015-07-08 | 微软公司 | 基于策略的经由nfc的资源访问 |
| CN106156064A (zh) * | 2015-03-30 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 对数据库进行流量控制的方法及装置 |
| CN106656937A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 一种访问控制方法和访问令牌颁发方法、设备 |
| CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理系统及方法 |
| CN107181751A (zh) * | 2017-06-02 | 2017-09-19 | 国电南瑞科技股份有限公司 | 一种变电站广域运维中心与变电站交互系统及其方法 |
| CN110213215A (zh) * | 2018-08-07 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种资源访问方法、装置、终端和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112769735A (zh) | 2021-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112769735B (zh) | 资源访问方法、装置与系统 | |
| US11218460B2 (en) | Secure authentication for accessing remote resources | |
| US10785201B2 (en) | Synchronizing authentication sessions between applications | |
| CN106209749B (zh) | 单点登录方法及装置、相关设备和应用的处理方法及装置 | |
| US10432608B2 (en) | Selectively enabling multi-factor authentication for managed devices | |
| US10009355B2 (en) | Bootstrapping user authentication on devices | |
| CN106953831B (zh) | 一种用户资源的授权方法、装置及系统 | |
| TWI725958B (zh) | 雲端主機服務權限控制方法、裝置和系統 | |
| US10834133B2 (en) | Mobile device security policy based on authorized scopes | |
| US9112854B1 (en) | Secure communication between applications on untrusted platforms | |
| US9723007B2 (en) | Techniques for secure debugging and monitoring | |
| US20160125180A1 (en) | Near Field Communication Authentication Mechanism | |
| US20140337955A1 (en) | Authentication and authorization with a bundled token | |
| WO2014183526A1 (zh) | 一种身份识别的方法、装置和系统 | |
| CA2786346A1 (en) | Authentication and binding of multiple devices | |
| CN105354451B (zh) | 访问鉴权的方法及系统 | |
| CN103475666A (zh) | 一种物联网资源的数字签名认证方法 | |
| KR20130109322A (ko) | 통신 시스템에서 사용자 인증을 대행하는 장치 및 방법 | |
| CN113010874A (zh) | 登录认证方法、装置、电子设备及计算机可读存储介质 | |
| CN116319024A (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
| CN116192483A (zh) | 认证鉴权方法、装置、设备及介质 | |
| CN109842616B (zh) | 账号绑定方法、装置及服务器 | |
| CN113901429A (zh) | 多租户系统的访问方法及装置 | |
| CA2809562A1 (en) | Authentication server and methods for granting tokens comprising location data | |
| CN117251837A (zh) | 一种系统接入方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |