CN113032750A - 一种权限管理的方法、装置、电子设备及介质 - Google Patents

一种权限管理的方法、装置、电子设备及介质 Download PDF

Info

Publication number
CN113032750A
CN113032750A CN202110308953.4A CN202110308953A CN113032750A CN 113032750 A CN113032750 A CN 113032750A CN 202110308953 A CN202110308953 A CN 202110308953A CN 113032750 A CN113032750 A CN 113032750A
Authority
CN
China
Prior art keywords
authority
logic
data source
identifier
individual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110308953.4A
Other languages
English (en)
Inventor
曾嵘辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kingsoft Cloud Network Technology Co Ltd
Original Assignee
Beijing Kingsoft Cloud Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Cloud Network Technology Co Ltd filed Critical Beijing Kingsoft Cloud Network Technology Co Ltd
Priority to CN202110308953.4A priority Critical patent/CN113032750A/zh
Publication of CN113032750A publication Critical patent/CN113032750A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例提供了一种权限管理的方法、装置、电子设备及介质,涉及计算机技术领域。该方法应用于权限服务器,该方法包括:接收权限客户端发送的权限处理请求,权限处理请求包括鉴权对象参数、权限逻辑标识和权限数据源标识;基于权限逻辑标识、权限数据源标识和流水线pipeline任务模板生成pipeline任务;通过执行pipeline任务,调用权限逻辑标识对应的个性权限逻辑对象,并获取数据源标识所标识的数据源中的权限数据;基于获取到的权限数据执行个性权限逻辑对象包括的权限逻辑,以对鉴权对象参数进行鉴权,并向权限客户端反馈权限处理结果。可以避免出现大量的重复代码,便于维护。

Description

一种权限管理的方法、装置、电子设备及介质
技术领域
本发明涉及计算机技术领域,特别是涉及一种权限管理的方法、装置、电子设备及介质。
背景技术
目前权限系统可以统一对各业务系统的进行权限控制,即权限系统可以统一管理权限逻辑和权限数据。权限客户端以软件开发工具包(Software Development Kit,SDK)的形式集成在业务系统中,当业务系统接收到请求时,权限客户端将对该请求进行拦截,并请求权限系统进行鉴权,权限系统基于权限逻辑和权限数据对该请求进行鉴权,鉴权通过后,业务系统才可以对该请求进行处理。
权限系统需要支持不同管理渠道的权限控制,每种管理渠道可以对应于一个业务系统,每种业务系统对应的权限逻辑和权限数据不同,所以需要分别针对每种业务系统对应的权限逻辑和权限数据编写代码。因权限处理逻辑和权限数据存在交叉组合的情况,采用这种编写代码的方式将会出现大量的代码重复,导致维护难度大。
发明内容
本发明实施例的目的在于提供一种权限管理的方法、装置、电子设备及介质,以避免大量的代码重复,降低维护难度。具体技术方案如下:
第一方面,本申请实施例提供一种权限管理的方法,所述方法应用于权限服务器,所述方法包括:
接收权限客户端发送的权限处理请求,所述权限处理请求包括鉴权对象参数、权限逻辑标识和权限数据源标识;
基于所述权限逻辑标识、权限数据源标识和流水线pipeline任务模板生成pipeline任务;
通过执行所述pipeline任务,调用所述权限逻辑标识对应的个性权限逻辑对象,并获取所述数据源标识所标识的数据源中的权限数据;
基于获取到的权限数据执行所述个性权限逻辑对象包括的权限逻辑,以对所述鉴权对象参数进行鉴权,并向所述权限客户端反馈权限处理结果。
在一种可能的实现方式中,所述方法还包括:
在所述权限服务器启动时,基于预设的个性权限逻辑命名,扫描各个性权限逻辑类,将扫描到的个性权限逻辑类加载到内存,创建各个性权限逻辑类对应的个性权限逻辑对象;其中,每个个性权限逻辑类均继承通用权限逻辑,所述通用权限逻辑为对各业务系统鉴权时通用的权限逻辑;
扫描各权限数据源,将扫描到的权限数据源加载到内存,创建各数据源对应的数据源对象。
在一种可能的实现方式中,所述预设的个性权限逻辑命名包括:系统标识、对象名和后缀,所述系统标识为个性权限逻辑类对应的业务系统的标识,所述对象名为个性权限逻辑类所在文件的名称,所述后缀为个性权限逻辑类所在文件的文件后缀。
在一种可能的实现方式中,所述权限处理请求包括掩码参数,所述掩码参数的高四位数据为所述权限逻辑标识,所述掩码参数的低四位数据为所述权限数据源标识;
所述基于所述权限逻辑标识、权限数据源标识和流水线pipeline任务模板生成pipeline任务,包括:
将所述权限逻辑标识和所述权限数据源标识添加至所述pipeline任务模板中,生成所述pipeline任务;
其中,所述pipeline任务模板包括:
调用接收到的掩码参数中的高四位数据所标识的权限逻辑对象;
调用接收到的掩码参数中的低四位数据所标识的权限数据源对象,基于所述权限数据源对象中的数据地址获取权限数据;
基于获取到的权限数据执行所述权限逻辑对象包括的权限逻辑。
第二方面,本申请实施例提供一种权限管理的装置,所述装置应用于权限服务器,所述装置包括:
接收模块,用于接收权限客户端发送的权限处理请求,所述权限处理请求包括鉴权对象参数、权限逻辑标识和权限数据源标识;
生成模块,用于基于所述权限逻辑标识、权限数据源标识和流水线pipeline任务模板生成pipeline任务;
鉴权模块,用于通过执行所述pipeline任务,调用所述权限逻辑标识对应的个性权限逻辑对象,并获取所述数据源标识所标识的数据源中的权限数据;基于获取到的权限数据执行所述个性权限逻辑对象包括的权限逻辑,以对所述鉴权对象参数进行鉴权,并向所述权限客户端反馈权限处理结果。
在一种可能的实现方式中,所述装置还包括
加载模块,用于在所述权限服务器启动时,基于预设的个性权限逻辑命名,扫描各个性权限逻辑类,将扫描到的个性权限逻辑类加载到内存,创建各个性权限逻辑类对应的个性权限逻辑对象;其中,每个个性权限逻辑类均继承通用权限逻辑,所述通用权限逻辑为对各业务系统鉴权时通用的权限逻辑;
所述加载模块,还用于扫描各权限数据源,将扫描到的权限数据源加载到内存,创建各数据源对应的数据源对象。
在一种可能的实现方式中,所述预设的个性权限逻辑命名包括:系统标识、对象名和后缀,所述系统标识为个性权限逻辑类对应的业务系统的标识,所述对象名为个性权限逻辑类所在文件的名称,所述后缀为个性权限逻辑类所在文件的文件后缀。
在一种可能的实现方式中,所述权限处理请求包括掩码参数,所述掩码参数的高四位数据为所述权限逻辑标识,所述掩码参数的低四位数据为所述权限数据源标识;
所述生成模块,具体用于:
将所述权限逻辑标识和所述权限数据源标识添加至所述pipeline任务模板中,生成所述pipeline任务;
其中,所述pipeline任务模板包括:
调用接收到的掩码参数中的高四位数据所标识的权限逻辑对象;
调用接收到的掩码参数中的低四位数据所标识的权限数据源对象,基于所述权限数据源对象中的数据地址获取权限数据;
基于获取到的权限数据执行所述权限逻辑对象包括的权限逻辑。
第三方面,本申请实施例还提供一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一所述的权限管理方法步骤。
第四方面,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面中所述的权限管理方法。
第五方面,本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面中所述的权限管理方法。
采用上述技术方案,权限服务器接收的权限处理请求包括鉴权对象参数、权限逻辑标识和权限数据源标识,权限服务器可基于权限逻辑标识、权限数据源标识和pipeline模板生成pipeline任务,通过执行pipeline任务即可基于获取到的权限数据执行个性权限逻辑对象包括的权限逻辑,以完成对鉴权对象参数的鉴权。可见,本申请通过生成pipeline任务的方式,可以基于权限处理请求携带的权限处理逻辑标识和权限数据源标识,可以实现权限处理逻辑和权限数据源的灵活组合,而无需为每种权限处理逻辑和权限数据源的组合编写代码,避免了大量的代码重复,降低了维护难度。
当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本申请实施例提供的一种权限管理系统的结构示意图;
图2为本申请实施例提供的一种权限管理方法的流程图;
图3为本申请实施例提供的选择个性权限逻辑类和选择权限数据源的方法的示例性示意图;
图4为本申请实施例提供的通用权限逻辑与个性权限逻辑之间的继承关系示意图;
图5为本申请实施例提供的一种权限管理装置的结构示意图;
图6为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请实施例提供一种权限管理的方法,可以应用于如图1所示的权限管理系统中。该权限管理系统包括权限服务器、多个业务系统和终端。
其中,每个业务系统中集成有一个权限客户端,终端向业务系统发送访问请求后,权限客户端可以拦截业务系统接收到的访问请求,并基于该访问请求向权限服务器发送权限处理请求,以使得权限服务器对该访问请求进行鉴权。
图1中示例性地示出了3个业务系统和1个终端,实际上权限管理系统中包括的各设备数量不限于此。
结合图1所示的权限管理系统,本申请实施例提供一种权限管理的方法,应用于权限服务器,如图2所示,该方法包括:
S201、接收权限客户端发送的权限处理请求。
其中,权限处理请求包括鉴权对象参数、权限逻辑标识、权限数据源标识。鉴权对象参数包括需要被鉴权的信息,比如用户信息等。
在本申请实施例中,终端可以向业务系统发送访问请求,例如,用户通过终端访问业务系统,业务系统中的权限客户端可以拦截访问请求,并根据该访问请求生成权限处理请求。该权限处理请求的鉴权对象参数可以包括该用户的用户名,或者也可以包括该终端的IP地址。
S202、基于权限逻辑标识、权限数据源标识和流水线pipeline任务模板生成pipeline任务。
S203、通过执行pipeline任务,调用权限逻辑标识对应的个性权限逻辑对象,并获取数据源标识所标识的数据源中的权限数据。
其中,权限服务器中包括多个个性权限逻辑对象和多个权限数据源对象,权限服务器基于上述权限逻辑标识和权限数据源标识生成pipeline任务后,通过执行该pipeline任务即可调用当前需要被鉴权的业务系统适用的个性权限逻辑对象和权限数据源对象。
权限数据源对象中包括权限数据源的地址等信息,通过调用权限数据源对象,即可访问该权限数据源对应的地址,进而获取权限数据源中存储的数据。
其中,权限数据源中包括鉴权所需的权限数据,作为示例,权限数据源中可以包括各个注册用户名对应的角色,以及各个角色具有的权限。
例如,用户名1对应的角色为管理员,管理员具有10条管理权限。
用户名2对应的角色为访客,访客具有2条访问权限。
S204、基于获取到的权限数据执行个性权限逻辑对象包括的权限逻辑,以对鉴权对象参数进行鉴权,并向权限客户端反馈权限处理结果。
采用上述技术方案,权限服务器接收的权限处理请求包括鉴权对象参数、权限逻辑标识和权限数据源标识,权限服务器可基于权限逻辑标识、权限数据源标识和pipeline模板生成pipeline任务,通过执行pipeline任务即可基于获取到的权限数据执行个性权限逻辑对象包括的权限逻辑,以完成对鉴权对象参数的鉴权。可见,本申请通过生成pipeline任务的方式,可以基于权限处理请求携带的权限处理逻辑标识和权限数据源标识,可以实现权限处理逻辑和权限数据源的灵活组合,而无需为每种权限处理逻辑和权限数据源的组合编写代码,避免了大量的代码重复,降低了维护难度。
在本申请的一个实施例中,上述权限处理请求中包括掩码(mask)参数,掩码参数的高四位数据为权限逻辑标识,掩码参数的低四位数据为权限数据源标识。在此基础上,上述S202、基于权限逻辑标识、权限数据源标识和流水线pipeline任务模板生成pipeline任务,可以实现为:
将权限逻辑标识和权限数据源标识添加至pipeline任务模板中,生成pipeline任务;
其中,pipeline任务模板包括:
调用接收到的掩码参数中的高四位数据所标识的权限逻辑对象;
调用接收到的掩码参数中的低四位数据所标识的权限数据源对象,基于权限数据源对象中的数据地址获取权限数据;
基于获取到的权限数据执行权限逻辑对象包括的权限逻辑。
以下以图3为例对pipeline任务进行介绍,如图3所示,权限客户端发送的权限处理请求中携带的掩码参数为00010011,权限服务器基于该掩码参数生成的pipeline任务为:调用0001所标识的权限逻辑对象,调用0011所标识的权限数据源对象,基于权限数据源对象的数据地址获取权限数据;基于获取到的权限数据执行权限逻辑对象包括的权限逻辑。
权限服务器可以将该pipeline任务下发给逻辑选择器和数据源选择器,可参考图3,然后将0001下发给权限服务器中的逻辑选择器,将0011下发给权限服务器中的数据源选择器,然后逻辑选择器选择0001对应的个性权限逻辑A。数据源选择器选择0011对应的数据源C,从数据源C中读取数据。然后,权限服务器可基于数据源C中的数据执行个性权限逻辑A以完成鉴权。
作为示例,假设图3中的个性权限逻辑A为:查找终端的IP地址所属的IP地址范围,判断该IP地址所属的IP地址范围是否具有访问权限,个性权限逻辑B的标识为0001。
个性权限逻辑B为:判断用户名是否处于黑名单中,个性权限逻辑B的标识为0010。
个性权限逻辑C为:判断用户名是否处于白名单中,个性权限逻辑C的标识为:0100。
数据源A中存储的数据包括:处于黑名单中的用户名。数据源A的标识为1111。
数据源B中存储的数据包括:处于白名单中的用户名。数据源B的标识为1000。
数据源C中存储的数据为:各IP地址范围所具有的访问权限。数据源C的标识为0011。
用户请求访问业务系统,业务系统接收到终端发送的访问请求后,业务客户端拦截该访问请求,进而向权限服务器发送权限处理请求,因对该访问请求鉴权需要使用上述个性权限逻辑A和数据源C,所以权限处理请求中携带的掩码参数为00010011。
再例如,若A系统和B系统分别有自身对应的权限数据。B系统具有调整A系统的权限的功能。B系统在对自身系统内的功能进行访问控制时,B系统的权限客户端向权限服务器发送的是B系统的权限数据源标识。B系统在操作和管理A系统权限时,B系统的权限客户端向权限服务器发送的是A系统的权限数据源标识。
可见,采用该方法,权限服务器通过将权限处理请求中携带的权限逻辑标识和权限数据源标识添加至pipeline任务模板中,即可生成pipeline任务,进而通过执行pipeline即可得到鉴权结果,无需针对每种个性权限逻辑和数据源的组合编写代码,实现了代码的解耦,便于维护。
为了实现对个性权限逻辑类的选择,本申请实施例中预先在权限服务器中建立了通用权限逻辑,并通过继承通用权限逻辑的方式,将各个性权限逻辑创建在不同的类中。例如,通用权限逻辑是根据用户角色查寻用户具有的权限,个性权限逻辑可以为查询用户IP地址是否处于IP地址黑名单中。
例如,如图4所示,个性权限逻辑A、个性权限逻辑B和个性权限逻辑C均可以继承通用权限逻辑。
在创建各个性权限逻辑类后,还可以按照预设的命名规范对各个性权限逻辑类进行命名。
在申请实施例中,预设的个性权限逻辑类的命名可以包括系统标识、对象名和后缀。其中,系统标识为个性权限逻辑类对应的业务系统的标识,对象名为个性权限逻辑类所在文件的名称,后缀为个性权限逻辑类所在文件的文件后缀。
进而,在权限服务器启动时,基于预设的个性权限逻辑命名,扫描各个性权限逻辑类,将扫描到的个性权限逻辑类加载到内存,并创建个性权限逻辑类对应的个性权限逻辑对象;其中,每个个性权限逻辑类均继承通用权限逻辑,所述通用权限逻辑为对各业务系统鉴权时通用的权限逻辑;
扫描各权限数据源,将扫描到的权限数据源加载到内存,创建各数据源对应的数据源对象。
其中,在创建个性权限逻辑类对应的个性权限逻辑对象,且创建数据源对应的数据源对象后,已创建的个性权限逻辑对象和数据源对象均可被权限服务器调用。因数据源对象中包括数据源的地址等信息,所以通过调用数据源对象可以访问该数据源对象对应的存储空间,并从中获取数据。
对应于上述方法实施例,本申请实施例还提供一种权限管理的装置,该装置应用于权限服务器,如图5所示,该装置包括:
接收模块501,用于接收权限客户端发送的权限处理请求,权限处理请求包括鉴权对象参数、权限逻辑标识和权限数据源标识;
生成模块502,用于基于权限逻辑标识、权限数据源标识和流水线pipeline任务模板生成pipeline任务;
鉴权模块503,用于通过执行pipeline任务,调用权限逻辑标识对应的个性权限逻辑对象,并获取数据源标识所标识的数据源中的权限数据;基于获取到的权限数据执行个性权限逻辑对象包括的权限逻辑,以对鉴权对象参数进行鉴权,并向权限客户端反馈权限处理结果。
可选地,该装置还包括:
加载模块,用于在权限服务器启动时,基于预设的个性权限逻辑命名,扫描各个性权限逻辑类,将扫描到的个性权限逻辑类加载到内存,创建各个性权限逻辑类对应的个性权限逻辑对象;其中,每个个性权限逻辑类均继承通用权限逻辑,通用权限逻辑为对各业务系统鉴权时通用的权限逻辑;
加载模块,还用于扫描各权限数据源,将扫描到的权限数据源加载到内存,创建各数据源对应的数据源对象。
可选地,预设的个性权限逻辑命名包括:系统标识、对象名和后缀,系统标识为个性权限逻辑类对应的业务系统的标识,对象名为个性权限逻辑类所在文件的名称,后缀为个性权限逻辑类所在文件的文件后缀。
可选地,权限处理请求包括掩码参数,掩码参数的高四位数据为权限逻辑标识,掩码参数的低四位数据为权限数据源标识;
生成模块502,具体用于:
将权限逻辑标识和权限数据源标识添加至pipeline任务模板中,生成pipeline任务;
其中,pipeline任务模板包括:
调用接收到的掩码参数中的高四位数据所标识的权限逻辑对象;
调用接收到的掩码参数中的低四位数据所标识的权限数据源对象,基于权限数据源对象中的数据地址获取权限数据;
基于获取到的权限数据执行权限逻辑对象包括的权限逻辑。
采用上述技术方案,权限服务器接收的权限处理请求包括鉴权对象参数、权限逻辑标识和权限数据源标识,权限服务器可基于权限逻辑标识、权限数据源标识和pipeline模板生成pipeline任务,通过执行pipeline任务即可基于获取到的权限数据执行个性权限逻辑对象包括的权限逻辑,以完成对鉴权对象参数的鉴权。可见,本申请通过生成pipeline任务的方式,可以基于权限处理请求携带的权限处理逻辑标识和权限数据源标识,可以实现权限处理逻辑和权限数据源的灵活组合,而无需为每种权限处理逻辑和权限数据源的组合编写代码,避免了大量的代码重复,降低了维护难度。
本发明实施例还提供了一种电子设备,如图6所示,包括处理器601、通信接口602、存储器603和通信总线604,其中,处理器601,通信接口602,存储器603通过通信总线604完成相互间的通信,
存储器603,用于存放计算机程序;
处理器601,用于执行存储器603上所存放的程序时,实现如下步骤:
接收权限客户端发送的权限处理请求,权限处理请求包括鉴权对象参数、权限逻辑标识和权限数据源标识;
基于权限逻辑标识、权限数据源标识和流水线pipeline任务模板生成pipeline任务;
通过执行pipeline任务,调用权限逻辑标识对应的个性权限逻辑对象,并获取数据源标识所标识的数据源中的权限数据;
基于获取到的权限数据执行个性权限逻辑对象包括的权限逻辑,以对鉴权对象参数进行鉴权,并向权限客户端反馈权限处理结果。
处理器还可以用于实现上述方法实施例中的其他方法步骤。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一权限管理方法的步骤。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一权限管理方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备及存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (10)

1.一种权限管理的方法,其特征在于,所述方法应用于权限服务器,所述方法包括:
接收权限客户端发送的权限处理请求,所述权限处理请求包括鉴权对象参数、权限逻辑标识和权限数据源标识;
基于所述权限逻辑标识、权限数据源标识和流水线pipeline任务模板生成pipeline任务;
通过执行所述pipeline任务,调用所述权限逻辑标识对应的个性权限逻辑对象,并获取所述数据源标识所标识的数据源中的权限数据;
基于获取到的权限数据执行所述个性权限逻辑对象包括的权限逻辑,以对所述鉴权对象参数进行鉴权,并向所述权限客户端反馈权限处理结果。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述权限服务器启动时,基于预设的个性权限逻辑命名,扫描各个性权限逻辑类,将扫描到的个性权限逻辑类加载到内存,创建各个性权限逻辑类对应的个性权限逻辑对象;其中,每个个性权限逻辑类均继承通用权限逻辑,所述通用权限逻辑为对各业务系统鉴权时通用的权限逻辑;
扫描各权限数据源,将扫描到的权限数据源加载到内存,创建各数据源对应的数据源对象。
3.根据权利要求2所述的方法,其特征在于,所述预设的个性权限逻辑命名包括:系统标识、对象名和后缀,所述系统标识为个性权限逻辑类对应的业务系统的标识,所述对象名为个性权限逻辑类所在文件的名称,所述后缀为个性权限逻辑类所在文件的文件后缀。
4.根据权利1所述的方法,其特征在于,所述权限处理请求包括掩码参数,所述掩码参数的高四位数据为所述权限逻辑标识,所述掩码参数的低四位数据为所述权限数据源标识;
所述基于所述权限逻辑标识、权限数据源标识和流水线pipeline任务模板生成pipeline任务,包括:
将所述权限逻辑标识和所述权限数据源标识添加至所述pipeline任务模板中,生成所述pipeline任务;
其中,所述pipeline任务模板包括:
调用接收到的掩码参数中的高四位数据所标识的权限逻辑对象;
调用接收到的掩码参数中的低四位数据所标识的权限数据源对象,基于所述权限数据源对象中的数据地址获取权限数据;
基于获取到的权限数据执行所述权限逻辑对象包括的权限逻辑。
5.一种权限管理的装置,其特征在于,所述装置应用于权限服务器,所述装置包括:
接收模块,用于接收权限客户端发送的权限处理请求,所述权限处理请求包括鉴权对象参数、权限逻辑标识和权限数据源标识;
生成模块,用于基于所述权限逻辑标识、权限数据源标识和流水线pipeline任务模板生成pipeline任务;
鉴权模块,用于通过执行所述pipeline任务,调用所述权限逻辑标识对应的个性权限逻辑对象,并获取所述数据源标识所标识的数据源中的权限数据;基于获取到的权限数据执行所述个性权限逻辑对象包括的权限逻辑,以对所述鉴权对象参数进行鉴权,并向所述权限客户端反馈权限处理结果。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括
加载模块,用于在所述权限服务器启动时,基于预设的个性权限逻辑命名,扫描各个性权限逻辑类,将扫描到的个性权限逻辑类加载到内存,创建各个性权限逻辑类对应的个性权限逻辑对象;其中,每个个性权限逻辑类均继承通用权限逻辑,所述通用权限逻辑为对各业务系统鉴权时通用的权限逻辑;
所述加载模块,还用于扫描各权限数据源,将扫描到的权限数据源加载到内存,创建各数据源对应的数据源对象。
7.根据权利要求6所述的装置,其特征在于,所述预设的个性权限逻辑命名包括:系统标识、对象名和后缀,所述系统标识为个性权限逻辑类对应的业务系统的标识,所述对象名为个性权限逻辑类所在文件的名称,所述后缀为个性权限逻辑类所在文件的文件后缀。
8.根据权利5所述的装置,其特征在于,所述权限处理请求包括掩码参数,所述掩码参数的高四位数据为所述权限逻辑标识,所述掩码参数的低四位数据为所述权限数据源标识;
所述生成模块,具体用于:
将所述权限逻辑标识和所述权限数据源标识添加至所述pipeline任务模板中,生成所述pipeline任务;
其中,所述pipeline任务模板包括:
调用接收到的掩码参数中的高四位数据所标识的权限逻辑对象;
调用接收到的掩码参数中的低四位数据所标识的权限数据源对象,基于所述权限数据源对象中的数据地址获取权限数据;
基于获取到的权限数据执行所述权限逻辑对象包括的权限逻辑。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-4任一所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-4任一所述的方法步骤。
CN202110308953.4A 2021-03-23 2021-03-23 一种权限管理的方法、装置、电子设备及介质 Pending CN113032750A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110308953.4A CN113032750A (zh) 2021-03-23 2021-03-23 一种权限管理的方法、装置、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110308953.4A CN113032750A (zh) 2021-03-23 2021-03-23 一种权限管理的方法、装置、电子设备及介质

Publications (1)

Publication Number Publication Date
CN113032750A true CN113032750A (zh) 2021-06-25

Family

ID=76472975

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110308953.4A Pending CN113032750A (zh) 2021-03-23 2021-03-23 一种权限管理的方法、装置、电子设备及介质

Country Status (1)

Country Link
CN (1) CN113032750A (zh)

Similar Documents

Publication Publication Date Title
US11075900B2 (en) Associating user accounts with enterprise workspaces
US9118653B2 (en) System and method of secure sharing of resources which require consent of multiple resource owners using group URI's
US9787655B2 (en) Controlling access to resources on a network
US20200412538A1 (en) Serverless connected app design
TW202011244A (zh) 獲取、回饋使用者資源的方法、裝置及電子設備
CN111355726B (zh) 一种身份授权登录方法、装置及电子设备和存储介质
US20160048688A1 (en) Restricting System Calls using Protected Storage
US10637723B2 (en) Configuring enterprise workspaces
US10650153B2 (en) Electronic document access validation
CN112738100B (zh) 数据访问的鉴权方法、装置、鉴权设备和鉴权系统
US11063922B2 (en) Virtual content repository
CN109831435B (zh) 一种数据库操作方法、系统及代理服务器和存储介质
US20150067766A1 (en) Application service management device and application service management method
US9027155B2 (en) System for governing the disclosure of restricted data
CN110351719B (zh) 一种无线网络管理方法、系统及电子设备和存储介质
CN112364334A (zh) 单点登录方法、装置及电子设备和存储介质
US20150067124A1 (en) Application service management device and application service management method
US20200334365A1 (en) Self-Management of Devices Using Personal Mobile Device Management
CN113065120B (zh) 接口调用鉴权方法、装置、电子设备及可读存储介质
US20230214508A1 (en) Systems and Methods to Provide Temporary Document Access for Secure File Sharing
CN113032750A (zh) 一种权限管理的方法、装置、电子设备及介质
CN111027051B (zh) 控制页面权限调用的方法、装置及可读存储介质
CN114866247A (zh) 一种通信方法、装置、系统、终端及服务器
CN110401674B (zh) 数据访问方法、装置、系统、电子设备及计算机可读介质
JP2023521901A (ja) ユーザ識別子および署名収集を利用したモバイルアプリケーション偽造・変造探知方法、コンピュータプログラム、コンピュータ読み取り可能な記録媒体およびコンピュータ装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination