CN112818371A - 资源访问控制方法、系统、装置、设备及介质 - Google Patents
资源访问控制方法、系统、装置、设备及介质 Download PDFInfo
- Publication number
- CN112818371A CN112818371A CN202110203222.3A CN202110203222A CN112818371A CN 112818371 A CN112818371 A CN 112818371A CN 202110203222 A CN202110203222 A CN 202110203222A CN 112818371 A CN112818371 A CN 112818371A
- Authority
- CN
- China
- Prior art keywords
- user
- resource
- current
- current display
- display resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种资源访问控制方法、系统、装置、电子设备及存储介质,该方法包括:当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的操作用户标识;根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定当前用户是否具备操作权限;若当前用户具备操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应。本发明实施例的技术方案,减少了权限校验过程中对数据库的查询操作次数,降低了数据库压力,提升了应用性能。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种资源访问控制方法、系统、装置、电子设备及存储介质。
背景技术
BAC(Broken Access Control,越权访问)是Web应用程序中一种常见的漏洞。越权访问是一种“基于数据的访问控制”设计缺陷引起的漏洞,是由于服务器端在接收到数据请求进行操作时没有判断数据的所属人/所属组而导致的越权数据访问漏洞。水平越权漏洞一般出现在一个用户对象关联多个其他对象(例如订单或者地址等)、并且要实现对关联对象的增、删、改以及查操作的过程中。
越权访问是指攻击者在获得低权限用户账号后,利用一些方式绕过应用程序的权限检查,访问或者操作其他同权限用户或者更高权限用户的数据。越权访问的成因主要是因为开发人员在对数据进行增、删、改以及查时对客户端请求的数据过分相信而遗漏了权限的判定。具体的,开发者容易习惯性的在生成增、删、改或者查的表单(或AJAX请求)的时候根据认证过的用户身份来找出其有权限的被操作对象id,提供入口,然后在用户提交数据请求时根据被操作对象id来操作相关对象。在处理增、删、改以及查请求时,往往默认只有有权限的用户才能得到操作入口,进而才能操作相关对象,因此就不再校验权限了。可是,大多数被操作对象的id都被设置为自增整型,所以攻击者只要对相关id加1或者减1,就可以操作其他用户所关联的对象了。
现有的水平越权解决方案一般为在收到高权限请求时,查询数据库中源权限信息表,以确认当前用户是否有对当前资源的操作权限。如此,每次请求都会增加至少一次对权限信息的数据库查询操作,导致数据库压力增加至少一倍,从而影响应用程序的性能。
发明内容
本发明实施例提供一种资源访问控制方法、系统、装置、电子设备及存储介质,减少了权限校验过程中对数据库的查询操作次数,降低了数据库压力,提升了应用性能。
第一方面,本发明实施例提供了一种资源访问控制方法,应用于服务器,该方法包括:
当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识;
根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限;
若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应;
其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识。
第二方面,本发明实施例还提供了一种资源访问控制系统,该系统包括:
浏览器客户端、服务器前端应用和服务器后端应用;
其中,所述浏览器客户端用于展示资源,并将针对当前展示资源的操作请求通过所述服务器前端应用发送至所述服务器后端应用;
所述服务器后端应用基于所述操作请求解析出参考令牌以及当前用户的操作用户标识,并根据所述当前展示资源标识、所述操作用户标识以及设定随机因子生成实时令牌,根据所述实时令牌以及所述参考令牌确定所述当前用户是否具备所述当前展示资源的操作权限,若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应;
其中,所述参考令牌在所述服务器后端应用响应于所述当前展示资源的第一次操作请求时生成,并将所述参考令牌发送至所述浏览器客户端,以使浏览器客户端对所述参考令牌进行存储。
第三方面,本发明实施例还提供了一种资源访问控制装置,集成于服务器,该装置包括:
第一确定模块,用于当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识;
第二确定模块,用于根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限;
控制模块,用于若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应;
其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识。
第四方面,本发明实施例还提供了一种电子设备,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明实施例任一所述的资源访问控制方法。
第五方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如本发明实施例任一所述的资源访问控制方法。
本发明实施例的技术方案,通过当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识;根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限;若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应;其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识的技术手段,实现了减少权限校验过程中对数据库的查询操作次数,降低数据库压力,提升应用性能的目的。
附图说明
结合附图并参考以下具体实施方式,本发明各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,原件和元素不一定按照比例绘制。
图1为本发明实施例一所提供的一种资源访问控制方法流程示意图;
图2为本发明实施例二所提供的一种资源访问控制方法流程示意图;
图3为本发明实施例三所提供的一种资源访问控制方法流程示意图;
图4为本发明实施例四所提供的一种资源访问控制系统的结构示意图;
图5为本发明实施例四所提供的一种资源访问控制流程示意图;
图6为本发明实施例五所提供的一种资源访问控制装置结构示意图;
图7为本发明实施例六所提供的一种电子设备结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的实施例。虽然附图中显示了本发明的某些实施例,然而应当理解的是,本发明可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本发明。应当理解的是,本发明的附图及实施例仅用于示例性作用,并非用于限制本发明的保护范围。
应当理解,本发明的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本发明的范围在此方面不受限制。
本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本发明中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本发明中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
实施例一
图1为本发明实施例一所提供的一种资源访问控制方法流程示意图,该方法可适用于Web应用在向服务器请求资源时,服务器对请求者的访问权限进行校验,以防止没有访问权限的请求者访问资源的越权现象的出现。所述资源访问控制方法可以由资源访问控制装置来执行,该装置可以通过软件和/或硬件的形式实现。
如图1所示,本实施例提供的资源访问控制方法包括如下步骤:
步骤110、当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识。
其中,当前展示资源具体可以是展示在终端界面的一篇文章、一个具体应用的操作页面(例如网上就医的操作页面)。
所述终端例如可以是智能手机、掌上电脑、台式机电脑或者智能电视、智能音箱等具备显示屏的电子设备。
若当前展示资源为一篇文章,所述操作请求例如可以是修改文章的操作请求。若当前展示资源为网上就医的操作页面,所述操作请求例如可以是查看病例的操作请求。
触发所述操作请求的当前用户具体指与当前展示资源发生交互的用户,例如张三的智能手机展示有一篇文章,张三触发其中的“编辑”按钮,想对所述文章进行编辑,则对应的当前用户即为张三,当前展示资源为“文章”,操作请求为“编辑”请求。所述操作用户标识指当前用户张三的身份标识,该标识可以是与终端设备绑定,也可以是通过账号绑定,还可以通过上网的IP(Internet Protocol,网络协议)地址绑定。例如,当终端设备为智能手机时,则操作用户标识可以是安装于智能手机的手机卡的标识,具体可以是手机号或者手机卡的出厂标识号等。若终端设备为公共终端,即所有人共享一台终端设备,此时所述操作用户标识可以与账号绑定,即每个用户在终端设备浏览资源、请求资源之前需要通过自己的账号进行登录操作,如此,系统后台便可以通过用户的登录账号识别当前用户。
可以理解的是,通常所述操作请求包括请求的操作类型(例如编辑、查看等)、请求的资源标识以及操作用户标识。因此可以通过对所述操作请求进行解析来获取所述操作用户标识以及请求的资源标识。
步骤120、根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限。
其中,通过预先获取对所述当前展示资源具备操作权限的参考用户标识,而不是在接收到操作请求时,实时获取所述参考用户标识,可降低系统实时处理的工作量,且可减少系统重复获取所述参考用户标识的次数。
可选的,在当前资源被第一次访问时,获取所述参考用户标识,之后在当前资源被第二次访问、第三次访问甚至更多次被访问时,均不再重复获取所述参考用户标识,因此可减少系统重复获取所述参考用户标识的次数,提高系统性能。可以理解的是,可为所述参考用户标识设置生命周期,当设定的生命周期结束时,所述参考用户标识失效,当当前资源被再次访问时,需要再实时获取一次新的参考用户标识。
进一步的,在服务器系统获取到所述参考用户标识之后,可将所述参考用户标识发送至前端应用,即客户端(例如浏览器),当前端应用接收到操作请求时,将操作请求发送至服务器,服务器通过解析所述操作请求获取当前用户的操作用户标识、参考用户标识以及被访问的当前资源标识。
通常,在目标资源被第一次访问时,服务器在从数据库获取所述目标资源以使所述目标资源被展示在终端设备时,从所述数据库同时获取对所述目标资源具备操作权限的参考用户标识,并在将所述目标资源发送至前端应用时,将所述参考用户标识也发送至前端应用,前端应用对所述参考用户标识进行存储,当所述目标资源被再次访问时,前端应用将所述参考用户标识封装在目标资源的操作请求中,并将所述操作请求发送至服务器。如此,服务器只需一次数据库查询操作,而不是每次接收到目标资源的操作请求时,均增加一次数据库查询操作来获取对目标资源具备操作权限的参考用户标识,实现了减少权限校验过程中对数据库的查询操作次数,降低了数据库压力,提升了应用性能的目的。
示例性的,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识。
根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,对当前用户进行权限校验,以校验当前用户是否具备对当前展示资源的访问权限。
具体的校验规则可以是通过简单地比对,例如将当前用户的操作用户标识与所述参考用户标识进行比对,如果两者相同,则确定当前用户具备对当前展示资源的访问权限,如果两者不同,则确定当前用户不具备对当前展示资源的访问权限。还可以通过一定的算法基于当前用户的操作用户标识得到第一结果,基于对当前展示资源具备操作权限的参考用户标识通过所述算法得到第二结果,如果所述第一结果与所述第二结果相同,则确定当前用户具备对当前展示资源的访问权限,如果所述第一结果与所述第二结果不同,则确定当前用户不具备对当前展示资源的访问权限。
步骤130、若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应。
具体的,若当前用户具备当前展示资源的操作权限,则从数据库获取相关资源并发送至前端应用,以使前端应用进行展示界面的刷新,使当前用户可以完成对应的操作。若当前用户不具备当前展示资源的操作权限,则不进行任何响应,或者控制前端应用展示当前用户不具备操作权限的提示信息,以提示当前用户其不具备操作权限,无法对当前展示资源进行相关操作,达到提升用户使用体验的目的。
本发明实施例的技术方案,通过当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识;根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限;若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应;其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识的技术手段,实现了减少权限校验过程中对数据库的查询操作次数,降低数据库压力,提升应用性能的目的。
实施例二
图2为本发明实施例二所提供的一种资源访问控制方法的流程示意图。在上述实施例的基础上,本实施例对方案进行了进一步优化,具体是针对上述步骤120“根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限”给出了可选实施方式。其中,相同或相似的描述本实施例不再赘述,可参考上述实施例的相关解释。
如图2所示,所述资源访问控制方法包括如下步骤:
步骤210、当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识。
步骤220、基于所述操作用户标识、所述当前展示资源标识以及设定随机因子生成实时令牌。
示例性的,所述基于所述操作用户标识、所述当前展示资源标识以及设定随机因子生成实时令牌,包括:
通过哈希算法基于所述操作用户标识、所述当前展示资源标识以及设定随机因子生成所述实时令牌。
即实时令牌token2=hash(userid2,resourceid,salt),其中,userid2表示所述操作用户标识,resourceid表示当前展示资源标识,salt表示设定随机因子。
将任意长度的二进制值串映射为固定长度的二进制值串,这个映射规则可以理解为哈希算法,而通过原始数据映射之后得到的二进制值串就是哈希值,一个性能较好的哈希算法通常需要满足以下条件:
从哈希值不能反向推导出原始数据(所以哈希算法也称为单向哈希算法);
对输入数据非常敏感,即使原始数据只修改了一个位bit,最后得到的哈希值也大不相同;
散列冲突的概率要很小,对于不同的原始数据,哈希值相同的概率非常小;
哈希算法的执行效率尽量高效,针对较长的文本,也能快速地计算出哈希值。
步骤230、根据所述实时令牌以及参考令牌确定所述当前用户是否具备所述当前展示资源的操作权限。
其中,所述参考令牌基于所述参考用户标识、所述当前展示资源标识以及所述设定随机因子生成。在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识,而不是每次接收到资源的操作请求时都从预设数据库获取一次所述参考用户标识,减少了数据库的操作次数,降低了数据库压力,提高了性能。
可选的,所述参考令牌通过上述哈希算法基于所述参考用户标识、所述当前展示资源标识以及所述设定随机因子生成。
即参考令牌token1=hash(userid1,resourceid,salt),其中,userid1表示所述参考用户标识,即对当前展示资源具备操作权限的用户标识,resourceid表示当前展示资源标识,salt表示设定随机因子。
当对当前展示资源具备操作权限的参考用户标识只有一个时,当token1=token2时,则可以确定当前用户对当前展示资源具备操作权限。当对当前展示资源具备操作权限的参考用户标识有多个时,即对当前展示资源具备操作权限的用户有多个,每个用户具有不同的用户标识,可通过对所有的参考用户标识进行一定的处理,例如提取每个参考用户标识的信息摘要,作为每个参考用户标识的唯一标识,然后通过哈希算法得到一个哈希字符串,作为每个参考用户的唯一标识,并将其所有参考用户的唯一标识存储在散列表中,当基于当前用户的操作用户标识、当前展示资源标识和设定随机因子获得实时令牌时,在散列表中查找是否存在这个实时令牌。即参考令牌中是否包括实时令牌,如果包括,则确定当前用户是具备当前展示资源操作权限的用户,否则,确定当前用户是不具备当前展示资源操作权限的用户。
可选的,所述参考令牌在生成所述实时令牌之前或者之后生成。
可选的,所述参考令牌存储于客户端,且在客户端向服务端发送所述操作请求时,所述参考令牌被封装至所述操作请求。具体的,服务器在第一次接收到当前展示资源的操作请求时,在从数据库获取当前展示资源,以将当前展示资源发送至客户端,使客户端展示当前展示资源时,从数据库获取对当前展示资源具备操作权限的参考用户标识,并基于参考用户标识、当前展示资源标识以及随机因子通过哈希算法生成参考令牌,并将参考令牌发送至客户端,客户端对所述参考令牌进行存储。在客户端接收到针对当前展示资源的第二次操作请求时,将当前展示资源的标识、当前用户的操作用户标识以及存储的参考令牌发送至服务器,服务器基于接收到的当前展示资源的标识、操作用户的标识以及随机因子通过哈希算法生成实时令牌,并将实时令牌与参考令牌进行比对,进而确定当前用户是否对当前展示资源具备操作权限,并根据确定结果进行后续响应操作。
步骤240、若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应。
本实施例的技术方案,通过预先基于对当前展示资源具备操作权限的所有参考用户标识、当前展示资源标识以及随机因子通过哈希算法生成参考令牌,并将参考令牌发送至客户端,在接收到客户端发送的当前展示资源的操作请求时,基于当前展示资源标识、当前用户的操作用户标识以及随机因子通过哈希算法生成实时令牌,并通过对比实时令牌和参考令牌确定当前用户是否为对当前展示资源具备操作权限的用户,如果当前用户对当前展示资源具备操作权限,则对接收到操作请求进行响应,否则不对所述操作请求进行响应。其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识,实现了减少权限校验过程中对数据库的查询操作次数,降低数据库压力,提升应用性能的目的。
实施例三
图3为本发明实施例二所提供的一种资源访问控制方法的流程示意图。在上述实施例的基础上,本实施例对方案进行了进一步优化,具体是针对上述步骤120“根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限”给出了另一种可选实施方式。其中,相同或相似的描述本实施例不再赘述,可参考上述实施例的相关解释。
如图3所示,所述资源访问控制方法包括如下步骤:
步骤310、当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识。
步骤320、将所述操作用户标识与所述参考用户标识进行比对,若所述操作用户标识与所述参考用户标识相同,则确定所述当前用户具备所述当前展示资源的操作权限。
其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识。
步骤330、若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应。
本实施例的技术方案,通过将所述操作用户标识与所述参考用户标识进行比对,若所述操作用户标识与所述参考用户标识相同,则确定所述当前用户具备所述当前展示资源的操作权限,实现了对当前用户操作权限的校验,其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识,减少了权限校验过程中对数据库的查询操作次数,降低了数据库压力,提升了应用性能。
需要说明的是,还可以将当前展示资源的标识resourceid改成一个具有一定长度的随机字符串id,如5d41402abc4b2a76b9719d911017c592,只有有权限的用户才能得到这个入口,而且不能通过加1、减1的方式预测其他用户的操作入口,因此不再做进一步的权限校验。这个方案实现简单方便,但是随机字符串id的保密性在网络环境下无法保证。随机字符串id一旦泄露则修复成本较高,需要修改数据库中的id值。
实施例四
图4为本发明实施例四所提供的一种资源访问控制系统的结构示意图,该系统包括:浏览器客户端410、服务器前端应用420和服务器后端应用430。
其中,所述浏览器客户端410用于展示资源,并将针对当前展示资源的操作请求通过所述服务器前端应用420发送至所述服务器后端应用430。
所述服务器后端应用430基于所述操作请求解析出参考令牌以及当前用户的操作用户标识,并根据所述当前展示资源标识、所述操作用户标识以及设定随机因子生成实时令牌,根据所述实时令牌以及所述参考令牌确定所述当前用户是否具备所述当前展示资源的操作权限,若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应。
其中,所述参考令牌在所述服务器后端应用430响应于所述当前展示资源的第一次操作请求时生成,并将所述参考令牌发送至所述浏览器客户端410,以使浏览器客户端410对所述参考令牌进行存储。
所述服务器后端应用430基于所述当前展示资源标识、对所述当前展示资源具备操作权限的参考用户标识以及所述设定随机因子生成所述参考令牌。
具体的,服务器后端应用430在生成浏览器请求参数时,增加一个token参数,token=hash(用户请求的资源id,有权限的用户id,随机因子salt),其中,有权限的用户id可以在生成页面资源时,对数据库中的权限表查询得出。服务器后端应用430计算出上述token后,将该token发送至浏览器客户端410。之后,在服务器后端应用430处理浏览器客户端410的请求时,根据请求的资源id和请求用户的id以及随机因子通过哈希算法生成另一个token,以验证请求用户是否具备请求权限。该方案简单易于实现,又不会增加额外的数据库查询开销,针对每个请求都生成一个token的计算成本也不高。
参考如图5所示的一种资源访问控制流程示意图,在用户通过浏览器客户端打开页面时,服务器后端应用根据当前待展示资源的resourceid,资源权限所有者的userid1以及随机因子salt,通过哈希算法hash()生成token1(token1=hash(userid1,resourceid,salt),并将生成的token1以及浏览器客户端请求的页面资源通过服务器前端应用发送至浏览器客户端。
当浏览器客户端发起对于当前展示资源的操作请求时,浏览器客户端将所述token1传回至服务器后端应用,服务器后端应用根据发起请求的用户id、当前展示资源的id以及随机因子进行哈希计算得到token2,token2=hash(userid2,resourceid,salt),其中,userid2表示发起请求的用户id,resourceid表示当前展示资源标识,salt表示设定随机因子。
服务器后端应用判断token1与token2是否相等,如果token1与token2相等,则说明发起请求的用户为合法用户,即具备操作权限的用户,否则拒绝对操作请求进行响应。例如是修改的操作请求,如果确定发起请求的用户为合法用户,则调用修改请求接口modifyRequest.approve(),否则确定不调用修改请求接口modifyRequest.decline()。
可以理解的是,可针对当前展示资源的每个操作按钮或者菜单单独配置token,以将权限细化区分。
本实施例提供的资源访问控制系统,服务器后端应用基于浏览器客户端发送的操作请求解析出参考令牌以及当前用户的操作用户标识,并根据当前展示资源标识、所述操作用户标识以及设定随机因子生成实时令牌,根据实时令牌以及参考令牌确定当前用户是否具备所述当前展示资源的操作权限,其中,所述参考令牌在所述服务器后端应用430响应于所述当前展示资源的第一次操作请求时生成,并将所述参考令牌发送至所述浏览器客户端410,以使浏览器客户端410对所述参考令牌进行存储。通过令牌token的权限校验方式,减少了水平越权鉴权中额外的数据库查询开销。
实施例五
图6为本发明实施例五提供的一种资源访问控制装置,该装置包括:第一确定模块610、第二确定模块620和控制模块630。
其中,第一确定模块610,用于当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识;第二确定模块620,用于根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限;控制模块630,用于若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应;其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识。
在上述技术方案的基础上,第二确定模块620包括:
生成单元,用于基于所述操作用户标识、所述当前展示资源标识以及设定随机因子生成实时令牌;
确定单元,用于根据所述实时令牌以及参考令牌确定所述当前用户是否具备所述当前展示资源的操作权限。
在上述各技术方案的基础上,所述参考令牌基于所述参考用户标识、所述当前展示资源标识以及所述设定随机因子生成。
在上述各技术方案的基础上,所述参考令牌在生成所述实时令牌之前或者之后生成。
在上述各技术方案的基础上,所述参考令牌存储于客户端,且在客户端向服务端发送所述操作请求时,所述参考令牌被封装至所述操作请求。
在上述各技术方案的基础上,所述生成单元具体用于:
通过所述哈希算法基于所述操作用户标识、所述当前展示资源标识以及设定随机因子生成所述实时令牌。
在上述各技术方案的基础上,所述参考令牌通过哈希算法基于所述参考用户标识、所述当前展示资源标识以及所述设定随机因子生成。
在上述各技术方案的基础上,所述确定单元具体用于:
若所述实时令牌与所述参考令牌相同,则确定所述当前用户具备所述当前展示资源的操作权限,否则,确定所述当前用户不具备所述当前展示资源的操作权限。
在上述各技术方案的基础上,第二确定模块具体用于:
将所述操作用户标识与所述参考用户标识进行比对;
若所述操作用户标识与所述参考用户标识相同,则确定所述当前用户具备所述当前展示资源的操作权限。
在上述各技术方案的基础上,所述针对当前展示资源的操作请求,包括针对当前展示资源的编辑请求。
本实施例的技术方案,通过当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识;根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限;若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应;其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识的技术手段,实现了减少权限校验过程中对数据库的查询操作次数,降低数据库压力,提升应用性能的目的。
本发明实施例所提供的资源访问控制装置可执行本发明任意实施例所提供的资源访问控制方法,具备执行方法相应的功能模块和有益效果。
值得注意的是,上述装置所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明实施例的保护范围。
实施例六
下面参考图7,其示出了适于用来实现本发明实施例的电子设备(例如图7中的终端设备或服务器)400的结构示意图。本发明实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图7示出的电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,电子设备400可以包括处理装置(例如中央处理器、图形处理器等)401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储装置408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中,还存储有电子设备400操作所需的各种程序和数据。处理装置401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
通常,以下装置可以连接至I/O接口405:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置407;包括例如磁带、硬盘等的存储装置408;以及通信装置409。通信装置409可以允许电子设备400与其他设备进行无线或有线通信以交换数据。虽然图7示出了具有各种装置的电子设备400,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本发明的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置409从网络上被下载和安装,或者从存储装置408被安装,或者从ROM 402被安装。在该计算机程序被处理装置401执行时,执行本发明实施例的方法中限定的上述功能。
本发明实施例提供的终端与上述实施例提供的资源访问控制方法属于同一发明构思,未在本发明实施例中详尽描述的技术细节可参见上述实施例,并且本发明实施例与上述实施例具有相同的有益效果。
实施例七
本发明实施例提供了一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述实施例所提供的资源访问控制方法。
需要说明的是,本发明上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:
当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识;
根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限;
若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应;
其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定,例如,可编辑内容显示单元还可以被描述为“编辑单元”。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
在本发明的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
根据本发明的一个或多个实施例,【示例一】提供了一种资源访问控制方法,该方法包括:
当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识;
根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限;
若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应;
其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识。
根据本发明的一个或多个实施例,【示例二】提供了一种资源访问控制方法,可选的,所述根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限,包括:
基于所述操作用户标识、所述当前展示资源标识以及设定随机因子生成实时令牌;
根据所述实时令牌以及参考令牌确定所述当前用户是否具备所述当前展示资源的操作权限。
根据本发明的一个或多个实施例,【示例三】提供了一种资源访问控制方法,可选的,所述参考令牌基于所述参考用户标识、所述当前展示资源标识以及所述设定随机因子生成。
根据本发明的一个或多个实施例,【示例四】提供了一种资源访问控制方法,可选的,所述参考令牌在生成所述实时令牌之前或者之后生成。
根据本发明的一个或多个实施例,【示例五】提供了一种资源访问控制方法,可选的,所述参考令牌存储于客户端,且在客户端向服务端发送所述操作请求时,所述参考令牌被封装至所述操作请求。
根据本发明的一个或多个实施例,【示例六】提供了一种资源访问控制方法,可选的,所述基于所述操作用户标识、所述当前展示资源标识以及设定随机因子生成实时令牌,包括:
通过所述哈希算法基于所述操作用户标识、所述当前展示资源标识以及设定随机因子生成所述实时令牌。
根据本发明的一个或多个实施例,【示例七】提供了一种资源访问控制方法,可选的,所述参考令牌通过哈希算法基于所述参考用户标识、所述当前展示资源标识以及所述设定随机因子生成。
根据本发明的一个或多个实施例,【示例八】提供了一种资源访问控制方法,可选的,所述根据所述实时令牌以及参考令牌确定所述当前用户是否具备所述当前展示资源的操作权限,包括:
若所述实时令牌与所述参考令牌相同,则确定所述当前用户具备所述当前展示资源的操作权限,否则,确定所述当前用户不具备所述当前展示资源的操作权限。
根据本发明的一个或多个实施例,【示例九】提供了一种资源访问控制方法,可选的,所述根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限,包括:
将所述操作用户标识与所述参考用户标识进行比对;
若所述操作用户标识与所述参考用户标识相同,则确定所述当前用户具备所述当前展示资源的操作权限。
根据本发明的一个或多个实施例,【示例十】提供了一种资源访问控制方法,可选的,所述针对当前展示资源的操作请求,包括针对当前展示资源的编辑请求。
根据本发明的一个或多个实施例,【示例十一】提供了一种资源访问控制系统,包括:浏览器客户端、服务器前端应用和服务器后端应用;
其中,所述浏览器客户端用于展示资源,并将针对当前展示资源的操作请求通过所述服务器前端应用发送至所述服务器后端应用;
所述服务器后端应用基于所述操作请求解析出参考令牌以及当前用户的操作用户标识,并根据所述当前展示资源标识、所述操作用户标识以及设定随机因子生成实时令牌,根据所述实时令牌以及所述参考令牌确定所述当前用户是否具备所述当前展示资源的操作权限,若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应;
其中,所述参考令牌在所述服务器后端应用响应于所述当前展示资源的第一次操作请求时生成,并将所述参考令牌发送至所述浏览器客户端,以使浏览器客户端对所述参考令牌进行存储。
根据本发明的一个或多个实施例,【示例十二】提供了一种资源访问控制系统,可选的,所述服务器后端应用基于所述当前展示资源标识、对所述当前展示资源具备操作权限的参考用户标识以及所述设定随机因子生成所述参考令牌。
根据本发明的一个或多个实施例,【示例十三】提供了一种资源访问控制装置,该装置包括:
第一确定模块,用于当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识;
第二确定模块,用于根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限;
控制模块,用于若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应;
其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识。
根据本发明的一个或多个实施例,【示例十四】提供了一种电子设备,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如下所述的资源访问控制方法:
当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识;
根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限;
若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应;
其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识。
根据本发明的一个或多个实施例,【示例十五】提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行下述的资源访问控制方法:
当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识;
根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限;
若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应;
其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识。
以上描述仅为本发明的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本发明中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本发明中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
此外,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本发明的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
Claims (15)
1.一种资源访问控制方法,应用于服务器,其特征在于,包括:
当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识;
根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限;
若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应;
其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识。
2.根据权利要求1所述的方法,其特征在于,所述根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限,包括:
基于所述操作用户标识、所述当前展示资源标识以及设定随机因子生成实时令牌;
根据所述实时令牌以及参考令牌确定所述当前用户是否具备所述当前展示资源的操作权限。
3.根据权利要求2所述的方法,其特征在于,所述参考令牌基于所述参考用户标识、所述当前展示资源标识以及所述设定随机因子生成。
4.根据权利要求2所述的方法,其特征在于,所述参考令牌在生成所述实时令牌之前或者之后生成。
5.根据权利要求2所述的方法,其特征在于,所述参考令牌存储于客户端,且在客户端向服务端发送所述操作请求时,所述参考令牌被封装至所述操作请求。
6.根据权利要求5所述的方法,其特征在于,所述基于所述操作用户标识、所述当前展示资源标识以及设定随机因子生成实时令牌,包括:
通过哈希算法基于所述操作用户标识、所述当前展示资源标识以及设定随机因子生成所述实时令牌。
7.根据权利要求2所述的方法,其特征在于,所述参考令牌通过哈希算法基于所述参考用户标识、所述当前展示资源标识以及所述设定随机因子生成。
8.根据权利要求2所述的方法,其特征在于,所述根据所述实时令牌以及参考令牌确定所述当前用户是否具备所述当前展示资源的操作权限,包括:
若所述实时令牌与所述参考令牌相同,则确定所述当前用户具备所述当前展示资源的操作权限,否则,确定所述当前用户不具备所述当前展示资源的操作权限。
9.根据权利要求1所述的方法,其特征在于,所述根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限,包括:
将所述操作用户标识与所述参考用户标识进行比对;
若所述操作用户标识与所述参考用户标识相同,则确定所述当前用户具备所述当前展示资源的操作权限。
10.根据权利要求1-9任一项所述的方法,其特征在于,所述针对当前展示资源的操作请求,包括针对当前展示资源的编辑请求。
11.一种资源访问控制系统,其特征在于,包括:浏览器客户端、服务器前端应用和服务器后端应用;
其中,所述浏览器客户端用于展示资源,并将针对当前展示资源的操作请求通过所述服务器前端应用发送至所述服务器后端应用;
所述服务器后端应用基于所述操作请求解析出参考令牌以及当前用户的操作用户标识,并根据所述当前展示资源标识、所述操作用户标识以及设定随机因子生成实时令牌,根据所述实时令牌以及所述参考令牌确定所述当前用户是否具备所述当前展示资源的操作权限,若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应;
其中,所述参考令牌在所述服务器后端应用响应于所述当前展示资源的第一次操作请求时生成,并将所述参考令牌发送至所述浏览器客户端,以使浏览器客户端对所述参考令牌进行存储。
12.根据权利要求11所述的系统,其特征在于,所述服务器后端应用基于所述当前展示资源标识、对所述当前展示资源具备操作权限的参考用户标识以及所述设定随机因子生成所述参考令牌。
13.一种资源访问控制装置,集成于服务器,其特征在于,包括:
第一确定模块,用于当接收到针对当前展示资源的操作请求时,确定触发所述操作请求的当前用户的操作用户标识;
第二确定模块,用于根据所述操作用户标识,以及预先获取的对所述当前展示资源具备操作权限的参考用户标识,确定所述当前用户是否具备所述当前展示资源的操作权限;
控制模块,用于若当前用户具备所述当前展示资源的操作权限,则对所述操作请求进行响应,否则,拒绝对所述操作请求进行响应;
其中,在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时,从所述预设数据库获取所述参考用户标识。
14.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-10中任一项所述的资源访问控制方法。
15.一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-10中任一项所述的资源访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110203222.3A CN112818371A (zh) | 2021-02-23 | 2021-02-23 | 资源访问控制方法、系统、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110203222.3A CN112818371A (zh) | 2021-02-23 | 2021-02-23 | 资源访问控制方法、系统、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112818371A true CN112818371A (zh) | 2021-05-18 |
Family
ID=75865181
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110203222.3A Pending CN112818371A (zh) | 2021-02-23 | 2021-02-23 | 资源访问控制方法、系统、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112818371A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113204344A (zh) * | 2021-05-28 | 2021-08-03 | 中国工商银行股份有限公司 | 前端开发的信息获取方法及装置 |
| CN113268774A (zh) * | 2021-06-16 | 2021-08-17 | 中移(杭州)信息技术有限公司 | 文件资源管理方法、装置、设备及存储介质 |
| CN113452710A (zh) * | 2021-06-28 | 2021-09-28 | 深圳前海微众银行股份有限公司 | 越权漏洞检测方法、装置、设备及计算机程序产品 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101316277A (zh) * | 2007-06-01 | 2008-12-03 | 三星电子株式会社 | 通过基于web的服务来控制装置的方法和设备 |
| CN103501304A (zh) * | 2013-10-12 | 2014-01-08 | 深信服网络科技(深圳)有限公司 | 控制web系统越权访问的方法及装置 |
| CN105245501A (zh) * | 2015-09-01 | 2016-01-13 | Tcl集团股份有限公司 | 一种集中权限数据的分布式权限验证方法及系统 |
| CN106227785A (zh) * | 2016-07-15 | 2016-12-14 | 杭州数梦工场科技有限公司 | 一种页面对象的显示方法和装置 |
| CN109472156A (zh) * | 2018-10-12 | 2019-03-15 | 平安科技(深圳)有限公司 | 信息访问方法、装置、电子设备及计算机可读存储介质 |
| CN109657429A (zh) * | 2018-09-27 | 2019-04-19 | 深圳壹账通智能科技有限公司 | 视频资源管理方法、设备、系统及计算机可读存储介质 |
| CN109873819A (zh) * | 2019-02-01 | 2019-06-11 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种防止非法访问服务器的方法及系统 |
| CN111079104A (zh) * | 2019-11-21 | 2020-04-28 | 腾讯科技(深圳)有限公司 | 一种权限控制方法、装置、设备及存储介质 |
-
2021
- 2021-02-23 CN CN202110203222.3A patent/CN112818371A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101316277A (zh) * | 2007-06-01 | 2008-12-03 | 三星电子株式会社 | 通过基于web的服务来控制装置的方法和设备 |
| CN103501304A (zh) * | 2013-10-12 | 2014-01-08 | 深信服网络科技(深圳)有限公司 | 控制web系统越权访问的方法及装置 |
| CN105245501A (zh) * | 2015-09-01 | 2016-01-13 | Tcl集团股份有限公司 | 一种集中权限数据的分布式权限验证方法及系统 |
| CN106227785A (zh) * | 2016-07-15 | 2016-12-14 | 杭州数梦工场科技有限公司 | 一种页面对象的显示方法和装置 |
| CN109657429A (zh) * | 2018-09-27 | 2019-04-19 | 深圳壹账通智能科技有限公司 | 视频资源管理方法、设备、系统及计算机可读存储介质 |
| CN109472156A (zh) * | 2018-10-12 | 2019-03-15 | 平安科技(深圳)有限公司 | 信息访问方法、装置、电子设备及计算机可读存储介质 |
| CN109873819A (zh) * | 2019-02-01 | 2019-06-11 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种防止非法访问服务器的方法及系统 |
| CN111079104A (zh) * | 2019-11-21 | 2020-04-28 | 腾讯科技(深圳)有限公司 | 一种权限控制方法、装置、设备及存储介质 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113204344A (zh) * | 2021-05-28 | 2021-08-03 | 中国工商银行股份有限公司 | 前端开发的信息获取方法及装置 |
| CN113204344B (zh) * | 2021-05-28 | 2024-04-19 | 中国工商银行股份有限公司 | 前端开发的信息获取方法及装置 |
| CN113268774A (zh) * | 2021-06-16 | 2021-08-17 | 中移(杭州)信息技术有限公司 | 文件资源管理方法、装置、设备及存储介质 |
| CN113452710A (zh) * | 2021-06-28 | 2021-09-28 | 深圳前海微众银行股份有限公司 | 越权漏洞检测方法、装置、设备及计算机程序产品 |
| CN113452710B (zh) * | 2021-06-28 | 2022-12-27 | 深圳前海微众银行股份有限公司 | 越权漏洞检测方法、装置、设备及计算机程序产品 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111556006B (zh) | 第三方应用系统登录方法、装置、终端及sso服务平台 | |
| CN111639319B (zh) | 用户资源授权方法、装置及计算机可读存储介质 | |
| CN108632253B (zh) | 基于移动终端的客户数据安全访问方法及装置 | |
| CN112818371A (zh) | 资源访问控制方法、系统、装置、设备及介质 | |
| WO2017084290A1 (zh) | 公众账号二维码生成方法和服务器、公众账号关注方法、服务器和终端 | |
| US20230370265A1 (en) | Method, Apparatus and Device for Constructing Token for Cloud Platform Resource Access Control | |
| CN112528262A (zh) | 基于令牌的应用程序访问方法、装置、介质及电子设备 | |
| CN110708335A (zh) | 访问认证方法、装置及终端设备 | |
| CN109726545B (zh) | 一种信息显示方法、设备、计算机可读存储介质和装置 | |
| US20180357404A1 (en) | Information processing method and apparatus, and electronic device | |
| CN114157434A (zh) | 登录验证方法、装置、电子设备及存储介质 | |
| CN111241523B (zh) | 认证处理方法、装置、设备和存储介质 | |
| CN112905990A (zh) | 一种访问方法、客户端、服务端及访问系统 | |
| US8990398B1 (en) | Systems and methods for processing requests for network resources | |
| CN114584324B (zh) | 一种基于区块链的身份授权方法和系统 | |
| CN113824675B (zh) | 管理登录态的方法和装置 | |
| CN112995098B (zh) | 鉴权的方法、电子设备及存储介质 | |
| CN114461912A (zh) | 一种信息处理方法、装置、电子设备及存储介质 | |
| CN109462604B (zh) | 一种数据传输方法、装置、设备及存储介质 | |
| CN111897620A (zh) | 交互方法、装置和电子设备 | |
| CN113395240A (zh) | 数据获取方法、装置、设备及介质 | |
| CN107517177B (zh) | 接口授权的方法和装置 | |
| CN117041343B (zh) | 请求处理方法、装置、电子设备和计算机可读介质 | |
| CN114531486B (zh) | 一种工业互联网数据处理方法、装置、设备及存储介质 | |
| CN117278323B (zh) | 第三方信息的获取方法、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |