CN113014593A - 访问请求的鉴权方法及装置、存储介质、电子设备 - Google Patents
访问请求的鉴权方法及装置、存储介质、电子设备 Download PDFInfo
- Publication number
- CN113014593A CN113014593A CN202110270881.9A CN202110270881A CN113014593A CN 113014593 A CN113014593 A CN 113014593A CN 202110270881 A CN202110270881 A CN 202110270881A CN 113014593 A CN113014593 A CN 113014593A
- Authority
- CN
- China
- Prior art keywords
- access
- tpp
- access request
- browser
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种访问请求的鉴权方法及装置、存储介质、电子设备,属于数据安全领域。其中,该方法包括:在浏览器上接收登录请求,基于所述登录请求获取登录用户的身份认证信息;在接收到所述登录用户的访问请求后,从所述身份认证信息获取所述登录用户的访问权限数据,其中,所述访问请求用于请求通过所述浏览器访问目标第三方组件TPP;基于所述访问权限数据对所述访问请求进行鉴权。通过本发明,解决了相关技术接入TPP需要重构授权代码的技术问题,第三方组件可以快速且便捷地集成到现有平台系统,进而高效限制了用户的访问权限,保护了用户数据。
Description
技术领域
本发明涉及数据安全领域,具体而言,涉及一种访问请求的鉴权方法及装置、存储介质、电子设备。
背景技术
相关技术中,认证系统保护平台用户的数据安全,做到数据隔离和保护。随着开源组件的发展,越来越多的组件应用到各种平台及系统。但是开源组件缺乏认证系统,导致个人用户的数据泄露,以及无法限制用户的访问权限。认证系统有OAuth2(OpenAuthorization),OIDC(OpenID Connect)等,具体功能如下:OAuth2:OAuth2协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAuth2的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAuth2是安全的。OIDC,OIDC=(Identity,Authentication)+OAuth 2.0,它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。
相关技术中,虽然OAuth和OIDC在一定程度上可以限制用户的访问权限,做到用户的数据隔离,但是随着开源组件的增加,工程师将组件集成到平台的开发成本越来越高,具体如下:例如将k8s dashboard或jupyternotebook等接入现有平台,则需要按照现有平台的账户体系进行统一的授权和认证处理,在k8s dashboard或jupyternotebook等源码中加入用户登录功能,支持现有平台的授权认证协议(Oauth或者OIDC),工程师重构相关组件时,二次开发的成本很高。
针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
本发明实施例提供了一种访问请求的鉴权方法及装置、存储介质、电子设备。
根据本发明实施例的一个方面,提供了一种访问请求的鉴权方法,包括:在浏览器上接收登录请求,基于所述登录请求获取登录用户的身份认证信息;在接收到所述登录用户的访问请求后,从所述身份认证信息获取所述登录用户的访问权限数据,其中,所述访问请求用于请求通过所述浏览器访问目标第三方组件TPP;基于所述访问权限数据对所述访问请求进行鉴权。
进一步,基于所述访问权限数据对所述访问请求进行鉴权包括:从所述访问权限数据中读取白名单列表,其中,所述白名单列表的每个条目对应一个TPP;判断所述目标TPP是否命中所述白名单列表;若所述目标TPP命中所述白名单列表,确定所述访问请求具备所述目标TPP的访问权限;若所述目标TPP未命中所述白名单列表,确定所述访问请求不具备所述目标TPP的访问权限。
进一步,在基于所述访问权限数据对所述访问请求进行鉴权之后,所述方法还包括:若鉴权通过,通过发现代理在所述浏览器中显示与所述访问请求对应的访问页面。
进一步,通过发现代理在所述浏览器中显示与所述访问请求对应的访问页面包括:向所述目标TPP转发所述访问请求,其中,所述访问请求携带所述目标TPP的访问路径信息;接收所述目标TPP基于所述访问路径信息返回的访问页面;在所述浏览器中显示所述访问页面。
进一步,在基于所述访问权限数据对所述访问请求进行鉴权之后,所述方法还包括:若鉴权失败,向所述浏览器返回提示信息,其中,所述提示信息用于指示所述登录用户不具备所述目标TPP的访问权限。
进一步,基于所述登录请求获取登录用户的身份认证信息包括:将所述登录请求重定向到授权服务OP,其中,所述OP和所述浏览器运行在同一个客户端,所述OP用于根据所述登录用户在所述OP上的注册状态和授权状态向所述浏览器提供登录授权服务;接收所述OP返回的登录通知消息,以及接收所述OP向所述浏览器同步的身份认证信息。
根据本发明实施例的另一个方面,提供了一种访问请求的鉴权装置,包括:第一获取模块,用于在浏览器上接收登录请求,基于所述登录请求获取登录用户的身份认证信息;第二获取模块,用于在接收到所述登录用户的访问请求后,从所述身份认证信息获取所述登录用户的访问权限数据,其中,所述访问请求用于请求通过所述浏览器访问目标第三方组件TPP;鉴权模块,用于基于所述访问权限数据对所述访问请求进行鉴权。
进一步,所述鉴权模块包括:读取单元,用于从所述访问权限数据中读取白名单列表,其中,所述白名单列表的每个条目对应一个TPP;判断单元,用于判断所述目标TPP是否命中所述白名单列表;确定单元,用于若所述目标TPP命中所述白名单列表,确定所述访问请求具备所述目标TPP的访问权限;若所述目标TPP未命中所述白名单列表,确定所述访问请求不具备所述目标TPP的访问权限。
进一步,所述装置还包括:第一返回模块,用于在所述鉴权模块基于所述访问权限数据对所述访问请求进行鉴权之后,若鉴权通过,通过发现代理在所述浏览器中显示与所述访问请求对应的访问页面。
进一步,所述第一返回模块包括:转发单元,用于向所述目标TPP转发所述访问请求,其中,所述访问请求携带所述目标TPP的访问路径信息;接收单元,用于接收所述目标TPP基于所述访问路径信息返回的访问页面;显示单元,用于在所述浏览器中显示所述访问页面。
进一步,所述装置还包括:第二返回模块,用于在所述鉴权模块基于所述访问权限数据对所述访问请求进行鉴权之后,若鉴权失败,向所述浏览器返回提示信息,其中,所述提示信息用于指示所述登录用户不具备所述目标TPP的访问权限。
进一步,所述第一获取模块包括:处理单元,用于将所述登录请求重定向到授权服务OP,其中,所述OP和所述浏览器运行在同一个客户端,所述OP用于根据所述登录用户在所述OP上的注册状态和授权状态向所述浏览器提供登录授权服务;接收单元,用于接收所述OP返回的登录通知消息,以及接收所述OP向所述浏览器同步的身份认证信息。
根据本发明实施例的另一方面,还提供了一种访问请求的鉴权系统,包括:客户端,第一服务器,第二服务器,其中,所述客户端,包括执行上述实施例所描述的装置;所述第一服务器,与所述客户端连接,用于运行目标第三方组件TPP;所述第二服务器,与所述客户端连接,包括授权服务OP,用于按照预设约定信息根据所述登录用户在所述OP上的注册状态和授权状态向所述浏览器提供登录授权服务。
根据本发明实施例的另一方面,还提供了一种存储介质,该存储介质包括存储的程序,程序运行时执行上述的步骤。
根据本发明实施例的另一方面,还提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;其中:存储器,用于存放计算机程序;处理器,用于通过运行存储器上所存放的程序来执行上述方法中的步骤。
本发明实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述方法中的步骤。
通过本发明,在浏览器上接收登录请求,基于登录请求获取登录用户的身份认证信息,在接收到登录用户的访问请求后,从身份认证信息获取登录用户的访问权限数据,基于访问权限数据对访问请求进行鉴权,实现了一种浏览器访问的认证授权转发方案,高效的实现了第三方开源服务组件到浏览器的认证接入操作,无需在第三方开源组件源码层增加授权协议代码,降低了开源组件的代码冗余度,解决了相关技术接入TPP需要重构授权代码的技术问题,第三方组件可以快速且便捷地集成到现有平台系统,进而高效限制了用户的访问权限,保护了用户数据。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种计算机的硬件结构框图;
图2是根据本发明实施例的一种访问请求的鉴权方法的流程图;
图3是本发明实施例的一个工作流程图;
图4是根据本发明实施例的一种访问请求的鉴权装置的结构框图;
图5是根据本发明实施例的一种访问请求的鉴权系统的结构框图;
图6是实施本发明实施例的一种电子设备的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
本发明实施例一所提供的方法实施例可以在服务器、计算机或者类似的运算装置中执行。以运行在计算机上为例,图1是本发明实施例的一种计算机的硬件结构框图。如图1所示,计算机可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述计算机还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述计算机的结构造成限定。例如,计算机还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种访问请求的鉴权方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种访问请求的鉴权方法,图2是根据本发明实施例的一种访问请求的鉴权方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,在浏览器上接收登录请求,基于登录请求获取登录用户的身份认证信息;
本实施例的浏览器可以是浏览器应用,如IE浏览器,火狐浏览器等,也可以是嵌入在应用程序内的浏览器。其中,身份认证信息是从第三方授权服务获取的Token;
步骤S204,在接收到登录用户的访问请求后,从身份认证信息获取登录用户的访问权限数据,其中,访问请求用于请求通过浏览器访问目标第三方组件TPP(Third PartyPlugins);
本实施例的第三方组件TPP可以是k8s dashboard、jupyternotebook等接入浏览器的组件/插件,用于提高浏览器的服务能力或增加浏览器的功能。
步骤S206,基于访问权限数据对访问请求进行鉴权;
若鉴权通过,则允许通过浏览器访问目标TPP,否则拒绝通过浏览器访问目标TPP。
通过上述步骤,在浏览器上接收登录请求,基于登录请求获取登录用户的身份认证信息,在接收到登录用户的访问请求后,从身份认证信息获取登录用户的访问权限数据,基于访问权限数据对访问请求进行鉴权,实现了一种浏览器访问的认证授权转发方案,高效的实现了第三方开源服务组件到浏览器的认证接入操作,无需在第三方开源组件源码层增加授权协议代码,降低了开源组件的代码冗余度,解决了相关技术接入TPP需要重构授权代码的技术问题,第三方组件可以快速且便捷地集成到现有平台系统,进而高效限制了用户的访问权限,保护了用户数据。
在实施例的一个实施方式中,基于访问权限数据对访问请求进行鉴权包括:
S11,从访问权限数据中读取白名单列表,其中,白名单列表的每个条目对应一个TPP;
S12,判断目标TPP是否命中白名单列表;
S13,若目标TPP命中白名单列表,确定访问请求具备目标TPP的访问权限;若目标TPP未命中白名单列表,确定访问请求不具备目标TPP的访问权限。
在基于本实施方式的一些示例中,访问权限数据包括两级权限,分别是第一白名单列表和第二白名单列表,其中,第一白名单列表对应上述实施方式中的TPP白名单,第二白名单列表对应每个TPP的资源,例如,第一TPP的资源白名单为资源1和资源2,第二TPP的资源白名单为资源3和资源4,或者任意TPP资源5,若第一TPP为目标TPP,在判断目标TPP是否命中白名单列表之后,进一步判定目标访问资源是否命中第二白名单列表,若命中,确定访问请求具备目标访问资源(携带在该访问请求中)的访问权限;若未命中第二白名单列表,确定访问请求不具备该目标访问资源的访问权限。
在此需要说明的是,也可以使用黑名单进行鉴权判定,或者使用黑名单与白名单结合的方式,从而实现相同的技术效果。
在一些实施场景中,在基于访问权限数据对访问请求进行鉴权之后,还包括:若鉴权通过,通过发现代理在浏览器中显示与访问请求对应的访问页面。
在基于本实施场景的一个实施方式中,通过发现代理在浏览器中显示与访问请求对应的访问页面包括:向目标TPP转发访问请求,其中,访问请求携带目标TPP的访问路径信息;接收目标TPP基于访问路径信息返回的访问页面;在浏览器中显示访问页面。
在本实施方式的另一方面,在基于访问权限数据对访问请求进行鉴权之后,还包括:若鉴权失败,向浏览器返回提示信息,其中,提示信息用于指示登录用户不具备目标TPP的访问权限。
在另一些实施场景中,在返回访问页面的时候进行鉴权。基于访问权限数据对访问请求进行鉴权包括:向目标TPP转发访问请求,其中,访问请求携带目标TPP的访问路径信息;接收目标TPP基于访问路径信息返回的访问页面;从访问权限数据中读取白名单列表,其中,白名单列表的每个条目对应一个TPP;判断目标TPP是否命中白名单列表;若目标TPP命中白名单列表,确定访问请求具备目标TPP的访问权限,在浏览器中显示访问页面;若目标TPP未命中白名单列表,确定访问请求不具备目标TPP的访问权限,向浏览器返回提示信息。
在本实施例的一个实施方式中,基于登录请求获取登录用户的身份认证信息包括:将登录请求重定向到授权服务OP(OpenID Provider),其中,OP和浏览器运行在同一个客户端,OP用于根据登录用户在OP上的注册状态和授权状态向浏览器提供登录授权服务;接收OP返回的登录通知消息,以及接收OP向浏览器同步的身份认证信息。
可选的,该OP可以是基于有OAuth2和OIDC等认证系统的服务,具体应用如微信,支付宝等。其他应用(如京东)可以使用微信进行授权登录。
图3是本发明实施例的一个工作流程图,提供了一种可扩展的认证代理方法及系统,包括以下模块:
EU(End User):一个人类用户,对应上述登录用户;
RP(Relying Party):用来代指OAuth2或其他授权平台的受信任的客户端,身份认证和授权信息的消费方,对应上述浏览器或浏览器所在的客户端;
OP:有能力提供EU认证的服务(比如OAuth2或其他授权平台中的授权服务),用来为RP提供EU的身份认证信息;
AP(Authentication Proxy):认证代理模块;
TPP:第三方组件模块,对应上述目标TPP。
基于上述系统,可以解决第三方开源组件快速且便捷地集成到现有平台系统,限制用户的访问权限以及个人数据,工作流程包括:
S31,用户EU在浏览器发起登陆请求;
S32,RP将用户请求通过http(或https)重定向到OP;
S33,OP在EU的浏览器中弹出登陆框;
S34,EU在浏览器的登陆框确认授权,完成登陆;
S35,OP通知RP该用户是合法用户,并同步该用户的IdToken(身份认证信息);其中,合法用户是指:代表EU在OP中注册过,如果是OP的合法用户,则可以被授权和认证,访问RP资源;
S36,RP将用户请求转发给AP;
S37,AP的鉴权和认证代理转发,具体包括:
S371,鉴权操作,该用户登陆RP后,是否拥有权限对RP的特定资源(在本实施例指加载在RP上的TPP的资源)进行访问;
AP获取IdToken中关于用户权限的信息,如用户A有权限访问k8sdashboard但没有jupyternotebook的权限,那么用户A可以访问到k8sdashboard但访问jupyter notebook时会报http 401的未授权响应码等提示信息;
S372,AP根据用户请求的URL子路径,转发到相对应的TPP;
解析用户请求中携带的路径信息,AP会把访问k8s dashboard的子路径如/tpp/k8s-bashboard这段子路径,发现代理(转发)到k8s dashboard插件。把访问jupyternotebook的子路径如/tpp/jupyter notebook这段子路径,代理转发到jupyternotebook插件。
S373,AP转发插件返回的访问页面;
通过鉴权判断,如果用户有子路径的访问权限,即访问的是子路径/tpp/k8s-bashboard,且idToken中包含访问k8s dashboard的权限。AP则将k8s-dashboard的页面展现在用户浏览器。在另一方面,如果用户没有子路径的访问权限,即访问的是子路径/tpp/k8s-bashboard,但i dToken中不包含访问k8s dashboard的权限,则在用户浏览器中显示该用户暂无授权的提示信息。
本实施例提供了一种认证授权转发机制,高效的实现了第三方开源服务组件的认证接入,相对于基于OAuth2或者OIDC的认证方法,开发工程师无需在开源组件源码层实现授权协议(OAuth2或者OIDC),降低了代码的冗余度。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种访问请求的鉴权装置,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本发明实施例的一种访问请求的鉴权装置的结构框图,如图4所示,该装置包括:第一获取模块40,第二获取模块42,鉴权模块44,其中,
第一获取模块40,用于在浏览器上接收登录请求,基于所述登录请求获取登录用户的身份认证信息;
第二获取模块42,用于在接收到所述登录用户的访问请求后,从所述身份认证信息获取所述登录用户的访问权限数据,其中,所述访问请求用于请求通过所述浏览器访问目标第三方组件TPP;
鉴权模块44,用于基于所述访问权限数据对所述访问请求进行鉴权。
可选的,所述鉴权模块包括:读取单元,用于从所述访问权限数据中读取白名单列表,其中,所述白名单列表的每个条目对应一个TPP;判断单元,用于判断所述目标TPP是否命中所述白名单列表;确定单元,用于若所述目标TPP命中所述白名单列表,确定所述访问请求具备所述目标TPP的访问权限;若所述目标TPP未命中所述白名单列表,确定所述访问请求不具备所述目标TPP的访问权限。
可选的,所述装置还包括:第一返回模块,用于在所述鉴权模块基于所述访问权限数据对所述访问请求进行鉴权之后,若鉴权通过,通过发现代理在所述浏览器中显示与所述访问请求对应的访问页面。
可选的,所述第一返回模块包括:转发单元,用于向所述目标TPP转发所述访问请求,其中,所述访问请求携带所述目标TPP的访问路径信息;接收单元,用于接收所述目标TPP基于所述访问路径信息返回的访问页面;显示单元,用于在所述浏览器中显示所述访问页面。
可选的,所述装置还包括:第二返回模块,用于在所述鉴权模块基于所述访问权限数据对所述访问请求进行鉴权之后,若鉴权失败,向所述浏览器返回提示信息,其中,所述提示信息用于指示所述登录用户不具备所述目标TPP的访问权限。
可选的,所述第一获取模块包括:处理单元,用于将所述登录请求重定向到授权服务OP,其中,所述OP和所述浏览器运行在同一个客户端,所述OP用于根据所述登录用户在所述OP上的注册状态和授权状态向所述浏览器提供登录授权服务;接收单元,用于接收所述OP返回的登录通知消息,以及接收所述OP向所述浏览器同步的身份认证信息。
图5是根据本发明实施例的一种访问请求的鉴权系统的结构框图,图5提供了一种访问请求的鉴权系统,包括:客户端50,第一服务器52,第二服务器54,其中,所述客户端,包括执行上述实施例所描述的装置;所述第一服务器,与所述客户端连接,用于运行目标第三方组件TPP;所述第二服务器,与所述客户端连接,包括授权服务OP,用于按照预设约定信息根据所述登录用户在所述OP上的注册状态和授权状态向所述浏览器提供登录授权服务。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本申请实施例还提供了一种电子设备,图6是本发明实施例的一种电子设备的结构图,如图6所示,包括处理器61、通信接口62、存储器63和通信总线64,其中,处理器61,通信接口62,存储器63通过通信总线64完成相互间的通信,存储器63,用于存放计算机程序;处理器61,用于执行存储器63上所存放的程序时,实现如下步骤:在浏览器上接收登录请求,基于所述登录请求获取登录用户的身份认证信息;在接收到所述登录用户的访问请求后,从所述身份认证信息获取所述登录用户的访问权限数据,其中,所述访问请求用于请求通过所述浏览器访问目标第三方组件TPP;基于所述访问权限数据对所述访问请求进行鉴权。
进一步,基于所述访问权限数据对所述访问请求进行鉴权包括:从所述访问权限数据中读取白名单列表,其中,所述白名单列表的每个条目对应一个TPP;判断所述目标TPP是否命中所述白名单列表;若所述目标TPP命中所述白名单列表,确定所述访问请求具备所述目标TPP的访问权限;若所述目标TPP未命中所述白名单列表,确定所述访问请求不具备所述目标TPP的访问权限。
进一步,在基于所述访问权限数据对所述访问请求进行鉴权之后,所述方法还包括:若鉴权通过,通过发现代理在所述浏览器中显示与所述访问请求对应的访问页面。
进一步,通过发现代理在所述浏览器中显示与所述访问请求对应的访问页面包括:向所述目标TPP转发所述访问请求,其中,所述访问请求携带所述目标TPP的访问路径信息;接收所述目标TPP基于所述访问路径信息返回的访问页面;在所述浏览器中显示所述访问页面。
进一步,在基于所述访问权限数据对所述访问请求进行鉴权之后,所述方法还包括:若鉴权失败,向所述浏览器返回提示信息,其中,所述提示信息用于指示所述登录用户不具备所述目标TPP的访问权限。
进一步,基于所述登录请求获取登录用户的身份认证信息包括:将所述登录请求重定向到授权服务OP,其中,所述OP和所述浏览器运行在同一个客户端,所述OP用于根据所述登录用户在所述OP上的注册状态和授权状态向所述浏览器提供登录授权服务;接收所述OP返回的登录通知消息,以及接收所述OP向所述浏览器同步的身份认证信息。
上述终端提到的通信总线可以是外设部件互连标准(PeripheralComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的访问请求的鉴权方法。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的访问请求的鉴权方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种访问请求的鉴权方法,其特征在于,包括:
在浏览器上接收登录请求,基于所述登录请求获取登录用户的身份认证信息;
在接收到所述登录用户的访问请求后,从所述身份认证信息获取所述登录用户的访问权限数据,其中,所述访问请求用于请求通过所述浏览器访问目标第三方组件TPP;
基于所述访问权限数据对所述访问请求进行鉴权。
2.根据权利要求1所述的方法,其特征在于,基于所述访问权限数据对所述访问请求进行鉴权包括:
从所述访问权限数据中读取白名单列表,其中,所述白名单列表的每个条目对应一个TPP;
判断所述目标TPP是否命中所述白名单列表;
若所述目标TPP命中所述白名单列表,确定所述访问请求具备所述目标TPP的访问权限;若所述目标TPP未命中所述白名单列表,确定所述访问请求不具备所述目标TPP的访问权限。
3.根据权利要求1所述的方法,其特征在于,在基于所述访问权限数据对所述访问请求进行鉴权之后,所述方法还包括:
若鉴权通过,通过发现代理在所述浏览器中显示与所述访问请求对应的访问页面。
4.根据权利要求3所述的方法,其特征在于,通过发现代理在所述浏览器中显示与所述访问请求对应的访问页面包括:
向所述目标TPP转发所述访问请求,其中,所述访问请求携带所述目标TPP的访问路径信息;
接收所述目标TPP基于所述访问路径信息返回的访问页面;
在所述浏览器中显示所述访问页面。
5.根据权利要求1所述的方法,其特征在于,在基于所述访问权限数据对所述访问请求进行鉴权之后,所述方法还包括:
若鉴权失败,向所述浏览器返回提示信息,其中,所述提示信息用于指示所述登录用户不具备所述目标TPP的访问权限。
6.根据权利要求1所述的方法,其特征在于,基于所述登录请求获取登录用户的身份认证信息包括:
将所述登录请求重定向到授权服务OP,其中,所述OP和所述浏览器运行在同一个客户端,所述OP用于根据所述登录用户在所述OP上的注册状态和授权状态向所述浏览器提供登录授权服务;
接收所述OP返回的登录通知消息,以及接收所述OP向所述浏览器同步的身份认证信息。
7.一种访问请求的鉴权装置,其特征在于,包括:
第一获取模块,用于在浏览器上接收登录请求,基于所述登录请求获取登录用户的身份认证信息;
第二获取模块,用于在接收到所述登录用户的访问请求后,从所述身份认证信息获取所述登录用户的访问权限数据,其中,所述访问请求用于请求通过所述浏览器访问目标第三方组件TPP;
鉴权模块,用于基于所述访问权限数据对所述访问请求进行鉴权。
8.一种访问请求的鉴权系统,其特征在于,包括:客户端,第一服务器,第二服务器,其中,
所述客户端,包括执行权利要求1-6任一项方法步骤的装置;
所述第一服务器,与所述客户端连接,用于运行目标第三方组件TPP;
所述第二服务器,与所述客户端连接,包括授权服务OP,用于按照预设约定信息根据所述登录用户在所述OP上的注册状态和授权状态向所述浏览器提供登录授权服务。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至6中任一项所述的方法步骤。
10.一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;其中:
存储器,用于存放计算机程序;
处理器,用于通过运行存储器上所存放的程序来执行权利要求1至6中任一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110270881.9A CN113014593B (zh) | 2021-03-12 | 2021-03-12 | 访问请求的鉴权方法及装置、存储介质、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110270881.9A CN113014593B (zh) | 2021-03-12 | 2021-03-12 | 访问请求的鉴权方法及装置、存储介质、电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113014593A true CN113014593A (zh) | 2021-06-22 |
| CN113014593B CN113014593B (zh) | 2023-03-31 |
Family
ID=76406251
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110270881.9A Active CN113014593B (zh) | 2021-03-12 | 2021-03-12 | 访问请求的鉴权方法及装置、存储介质、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113014593B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113411349A (zh) * | 2021-07-22 | 2021-09-17 | 用友汽车信息科技(上海)股份有限公司 | 鉴权认证方法、鉴权认证系统、计算机设备和存储介质 |
| CN113612806A (zh) * | 2021-10-09 | 2021-11-05 | 北京云歌科技有限责任公司 | 一种安全网络服务方法、装置、电子设备及介质 |
| CN115982778A (zh) * | 2023-03-14 | 2023-04-18 | 北京仁科互动网络技术有限公司 | Obs文件访问方法、系统、装置、电子设备及存储介质 |
| CN117575613A (zh) * | 2024-01-15 | 2024-02-20 | 山东鼎信数字科技有限公司 | 一种动态访问环境的鉴权支付方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101523398A (zh) * | 2006-09-15 | 2009-09-02 | 索尼达德克奥地利股份公司 | 用于管理对插件数据文件访问的系统和方法 |
| CN104243154A (zh) * | 2013-06-07 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 服务器用户权限集中控制系统及方法 |
| CN106713315A (zh) * | 2016-12-22 | 2017-05-24 | 北京五八信息技术有限公司 | 插件应用程序的登录方法和装置 |
-
2021
- 2021-03-12 CN CN202110270881.9A patent/CN113014593B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101523398A (zh) * | 2006-09-15 | 2009-09-02 | 索尼达德克奥地利股份公司 | 用于管理对插件数据文件访问的系统和方法 |
| CN104243154A (zh) * | 2013-06-07 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 服务器用户权限集中控制系统及方法 |
| US20150113610A1 (en) * | 2013-06-07 | 2015-04-23 | Tencent Technology (Shenzhen) Company Limited | System and method for centralizedly controlling server user rights |
| CN106713315A (zh) * | 2016-12-22 | 2017-05-24 | 北京五八信息技术有限公司 | 插件应用程序的登录方法和装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113411349A (zh) * | 2021-07-22 | 2021-09-17 | 用友汽车信息科技(上海)股份有限公司 | 鉴权认证方法、鉴权认证系统、计算机设备和存储介质 |
| CN113612806A (zh) * | 2021-10-09 | 2021-11-05 | 北京云歌科技有限责任公司 | 一种安全网络服务方法、装置、电子设备及介质 |
| CN113612806B (zh) * | 2021-10-09 | 2021-12-17 | 北京云歌科技有限责任公司 | 一种安全网络服务方法、装置、电子设备及介质 |
| CN115982778A (zh) * | 2023-03-14 | 2023-04-18 | 北京仁科互动网络技术有限公司 | Obs文件访问方法、系统、装置、电子设备及存储介质 |
| CN115982778B (zh) * | 2023-03-14 | 2023-07-14 | 北京仁科互动网络技术有限公司 | Obs文件访问方法、系统、装置、电子设备及存储介质 |
| CN117575613A (zh) * | 2024-01-15 | 2024-02-20 | 山东鼎信数字科技有限公司 | 一种动态访问环境的鉴权支付方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113014593B (zh) | 2023-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113014593B (zh) | 访问请求的鉴权方法及装置、存储介质、电子设备 | |
| US11218314B2 (en) | Network function service invocation method, apparatus, and system | |
| US11093598B2 (en) | Identity authentication method and apparatus | |
| CN110178393B (zh) | 一种签约数据集的下载方法、设备及服务器 | |
| EP3001600B1 (en) | Account login method, equipment and system | |
| CN110730174B (zh) | 一种网络访问控制方法、装置、设备及介质 | |
| CN111698250B (zh) | 访问请求处理方法、装置、电子设备及计算机存储介质 | |
| CN111148088B (zh) | 管理移动终端的方法、装置、设备和存储介质以及系统 | |
| CN112995163B (zh) | 资源访问的鉴权方法及装置、存储介质、电子设备 | |
| CN111355713B (zh) | 一种代理访问方法、装置、代理网关及可读存储介质 | |
| CN110266642A (zh) | 身份认证方法及服务器、电子设备 | |
| KR20130109322A (ko) | 통신 시스템에서 사용자 인증을 대행하는 장치 및 방법 | |
| US11165768B2 (en) | Technique for connecting to a service | |
| CN106559785B (zh) | 认证方法、设备和系统以及接入设备和终端 | |
| CN112995166A (zh) | 资源访问的鉴权方法及装置、存储介质、电子设备 | |
| CN103069742A (zh) | 用于将密钥绑定到名称空间的的方法和装置 | |
| CN111182537A (zh) | 移动应用的网络接入方法、装置及系统 | |
| CN113271289A (zh) | 用于资源授权和访问的方法、系统和计算机存储介质 | |
| CN109495362B (zh) | 一种接入认证方法及装置 | |
| CN113489689B (zh) | 访问请求的鉴权方法及装置、存储介质、电子设备 | |
| CN108009439B (zh) | 资源请求的方法、装置及系统 | |
| CN112995164B (zh) | 资源访问的鉴权方法及装置、存储介质、电子设备 | |
| WO2013071836A1 (zh) | 客户端应用访问鉴权处理方法和装置 | |
| CN110198540B (zh) | Portal认证方法及装置 | |
| CN117251837A (zh) | 一种系统接入方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |