CN113239377B - 权限控制方法、装置、设备以及存储介质 - Google Patents
权限控制方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN113239377B CN113239377B CN202110530434.2A CN202110530434A CN113239377B CN 113239377 B CN113239377 B CN 113239377B CN 202110530434 A CN202110530434 A CN 202110530434A CN 113239377 B CN113239377 B CN 113239377B
- Authority
- CN
- China
- Prior art keywords
- information
- service
- authority
- authentication
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 138
- 230000006870 function Effects 0.000 claims description 47
- 238000004590 computer program Methods 0.000 claims description 12
- 238000000605 extraction Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000007726 management method Methods 0.000 description 57
- 238000012545 processing Methods 0.000 description 16
- 238000004891 communication Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 7
- 238000012986 modification Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供了一种权限控制方法、装置、设备以及存储介质,涉及权限控制领域。具体实现方案为:接收业务请求,业务请求包含用户信息和目标资源信息;对用户信息进行认证,得到认证结果;在认证结果为认证通过的情况下,向服务端发送鉴权服务调用请求,从服务端接收与用户信息对应的权限配置信息;基于权限配置信息,得到业务请求的权限鉴别结果,权限鉴别结果用于表征用户信息是否具有目标资源信息的操作权限。根据本公开的技术,实现了针对集群式的多个业务端的统一权限管理,从而为不同业务端的业务方提供了通用、稳定以及可扩展的权限管理服务。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及权限控制领域。
背景技术
权限控制是解决应用系统各类权限校验需求的基础服务,相关技术中的权限控制方案,权限体系散落在各个业务方,且各个业务方的权限控制逻辑和接入方式各不相同,不能满足定制化需求。
发明内容
本公开提供了一种权限控制方法、装置、设备以及存储介质。
根据本公开的一方面,提供了一种权限控制方法,包括:
接收业务请求,业务请求包含用户信息和目标资源信息;
对用户信息进行认证,得到认证结果;
在认证结果为认证通过的情况下,向服务端发送鉴权服务调用请求,从服务端接收与用户信息对应的权限配置信息;
基于权限配置信息,得到业务请求的权限鉴别结果,权限鉴别结果用于表征用户信息是否具有目标资源信息的操作权限。
根据本公开的另一方面,提供了一种权限控制方法,包括:
向服务端发送用户服务调用请求,从服务端接收编辑后的用户信息;并且,向服务端发送功能服务调用请求,从服务端接收绑定后的角色信息;
基于编辑后的用户信息和绑定后的角色信息,向服务端发送赋权服务调用请求,从服务端接收权限配置信息。
根据本公开的另一方面,提供了一种权限控制方法,包括:
从业务端接收鉴权服务调用请求,鉴权服务调用请求包含业务请求的用户信息;
基于用户信息,确定用户信息对应的权限配置信息;
向业务端发送权限配置信息。
根据本公开的另一方面,提供了一种权限控制装置,包括:
业务请求接收模块,用于接收业务请求,业务请求包含用户信息和目标资源信息;
认证模块,用于对用户信息进行认证,得到认证结果;
权限配置信息接收模块,用于在认证结果为认证通过的情况下,向服务端发送鉴权服务调用请求,从服务端接收与用户信息对应的权限配置信息;
鉴别模块,用于基于权限配置信息,得到业务请求的权限鉴别结果,权限鉴别结果用于表征用户信息是否具有目标资源信息的操作权限。
根据本公开的另一方面,提供了一种权限控制装置,包括:
第一收发模块,用于向服务端发送用户服务调用请求,从服务端接收编辑后的用户信息;并且,向服务端发送功能服务调用请求,从服务端接收绑定后的角色信息;
第二收发模块,用于基于编辑后的用户信息和绑定后的角色信息,向服务端发送赋权服务调用请求,从服务端接收权限配置信息。
根据本公开的另一方面,提供了一种权限控制装置,包括:
鉴权服务调用请求接收模块,用于从业务端接收鉴权服务调用请求,鉴权服务调用请求包含业务请求的用户信息;
权限配置信息确定模块,用于基于用户信息,确定用户信息对应的权限配置信息;
发送模块,用于向业务端发送权限配置信息。
根据本公开的另一方面,提供了一种电子设备,包括:
至少一个处理器;以及
与该至少一个处理器通信连接的存储器;其中,
该存储器存储有可被该至少一个处理器执行的指令,该指令被该至少一个处理器执行,以使该至少一个处理器能够执行本公开任一实施例中的方法。
根据本公开的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,该计算机指令用于使计算机执行本公开任一实施例中的方法。
根据本公开的另一方面,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现本公开任一实施例中的方法。
根据本公开的技术,通过对业务请求所包含的用户信息进行认证,以及在认证通过的情况下对用户信息是否具有目标资源信息的操作权限进行鉴别,实现了业务端对业务请求的权限鉴别。并且,通过向业务端发送鉴权服务调用请求以获取业务端的权限配置信息,并基于权限配置信息确定权限鉴别结果,由此,通过采用将业务端和服务端分离的方式进行权限管理,实现了针对集群式的多个业务端的统一权限管理,从而为不同业务端的业务方提供了通用、稳定以及可扩展的权限管理服务。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1示出根据本公开第一方面实施例的权限控制方法的流程图;
图2示出根据本公开第一方面实施例的权限控制方法的具体流程图;
图3示出根据本公开第一方面实施例的权限控制方法中的得到权限配置信息的具体流程图;
图4示出根据本公开第一方面实施例的权限控制方法中的得到权限配置信息的具体流程图;
图5示出根据本公开第一方面实施例的权限控制方法中的得到认证结果的具体流程图;
图6示出根据本公开第二方面实施例的权限控制方法的流程图;
图7示出根据本公开第二方面实施例的权限控制方法的具体流程图;
图8示出根据本公开第二方面实施例的权限控制方法中接收权限配置信息之后的具体流程图;
图9示出根据本公开第三方面实施例的权限控制方法中的流程图;
图10示出根据本公开第三方面实施例的权限控制方法的具体流程图;
图11示出根据本公开第三方面实施例的权限控制方法的具体流程图;
图12示出根据本公开第三方面实施例的权限控制方法的具体流程图;
图13示出根据本公开实施例的权限控制方法的应用场景的示意图;
图14示出根据本公开第四方面实施例的权限控制装置的示意图;
图15示出根据本公开第四方面实施例的权限控制装置的示意图;
图16示出根据本公开第四方面实施例的权限控制装置的示意图;
图17是用来实现本公开实施例的权限控制方法的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
下面参考图1至图5描述本公开第一方面实施例的权限控制方法。
示例性地,本公开第一方面实施例的权限控制方法可以由业务端执行,以实现业务端对业务请求的权限鉴别。其中,业务端可以为快应用或小程序等,且不同的业务端可以采用集群化的统一权限管理。
图1示出根据本公开实施例的权限控制方法的流程图。如图1所示,根据本公开实施例的方法包括以下步骤:
S101:接收业务请求,业务请求包含用户信息和目标资源信息;
S102:对用户信息进行认证,得到认证结果;
S103:在认证结果为认证通过的情况下,向服务端发送鉴权服务调用请求,从服务端接收与用户信息对应的权限配置信息;
S104:基于权限配置信息,得到业务请求的权限鉴别结果,权限鉴别结果用于表征用户信息是否具有目标资源信息的操作权限。
在本公开实施例中,业务请求可以理解为,用户向业务端发送的对于目标资源进行访问或执行相关操作的请求。
资源可以为硬件资源或软件资源。其中,硬件资源可以包括计算资源和存储资源,软件资源可以为用于开发、使用和维护的有关文档。
例如,目标资源具体可以为存储资源中的某个文件,业务请求具体可以为用户请求对该文件进行访问或者进行拷贝、修改以及删除等相关操作。
用户信息包含账户信息,账户信息指的是用户登录业务端时输入的账户信息,作为用户登录业务端的凭证。账户信息可以是用户注册账户时由用户自行编辑生成的,也可以由业务端自动生成并分配给用户的。用户信息指的是用户的身份信息,即用于表征用户身份的相关信息。目标资源信息指的是用户请求访问或操作的对象。
示例性地,在步骤S102中,可以通过业务端的认证拦截器对业务请求进行拦截,并对业务请求所包含的用户信息进行验证,在验证结果为验证通过的情况下,则放行业务请求,执行下一步的业务逻辑处理流程。
示例性地,在步骤S103中,响应于鉴权服务调用请求,服务端查找与业务请求所包含的用户信息相对应的权限配置信息,并将权限配置信息发送至业务端。
其中,服务端可以采用基于ACL(Access Control Lists,访问控制列表)或者RBAC(Role-Based Access Control,基于角色访问控制)的微服务架构,用于向业务端和/或管理端提供各种RPC((Remote Procedure Call,远程过程调用)服务。以采用基于RBAC微服务架构的服务端为例,服务端可以向管理端提供用户RPC服务、功能RPC服务以及赋权RPC服务等,并且,服务端也可以向业务端提供鉴权RPC服务。进一步地,针对集群化的多个业务端,服务端可以向不同的业务端提供统一的权限管理服务。
需要说明的是,权限配置信息可以预先配置并存储于数据库中,且权限配置信息用于表征用户信息对应的可操作资源信息,即用户信息具有操作权限的资源信息。
示例性地,在步骤S104中,在得到的权限鉴别结果为该业务请求的用户信息具有对目标资源信息的操作权限的情况下,则业务端根据业务请求按照业务逻辑执行相应的处理流程。其中,业务逻辑可以由业务端的业务方根据实际情况自行配置。
在一个示例中,业务端配置有权限SDK(Software Development Kit,软件开发工具包),用于执行本公开实施例的权限控制方法。业务方针对权限SDK可以灵活配置各种拦截器和执行参数,以满足不同业务灵活的管控需求。
具体而言,权限SDK可以配置有认证拦截器、鉴权拦截器以及权限规则计算模块。响应于业务请求,认证拦截器业务请求所包含的用户信息进行认证。在认证通过的情况下,鉴权拦截器向服务端发起鉴权服务调用请求,并接收来自服务端的权限配置信息。权限规则计算模块根据权限配置信息,计算出业务请求的权限鉴别结果。其中,在权限鉴别结果为用户信息具有目标资源信息的操作权限的情况下,则业务端按照业务逻辑执行后续的处理流程;在权限鉴别结果为用户信息不具有目标资源信息的操作权限的情况下,则向业务端的登录客户端发送错误提示信息。
根据本公开实施例的方法,通过对业务请求所包含的用户信息进行认证,以及在认证通过的情况下对用户信息是否具有目标资源信息的操作权限进行鉴别,实现了业务端对业务请求的权限鉴别。并且,通过向业务端发送鉴权服务调用请求以获取业务端的权限配置信息,并基于权限配置信息确定权限鉴别结果,由此,通过采用将业务端和服务端分离的方式进行权限管理,实现了针对集群式的多个业务端的统一权限管理,从而为不同业务端的业务方提供了通用、稳定以及可扩展的权限管理服务。
如图2所示,在一种实施方式中,向服务端发送鉴权服务调用请求,从服务端接收与用户信息对应的权限配置信息,包括:
步骤S201:通过远程过程调用协议向服务端发送鉴权服务调用请求,通过远程过程调用协议从服务端接收与用户信息对应的权限配置信息,其中,鉴权服务调用请求包括用户信息。
换而言之,通过远程过程调用协议实现了业务端向服务端申请鉴权服务调用请求的通信机制,同时实现了服务端将权限配置信息反馈给业务端的通信机制。
示例性地,业务端的权限SDK配置有鉴权拦截器,鉴权拦截器对业务请求进行拦截,并通过远程过程调用接口向服务端的鉴权API(Application Programming Interface,应用程序接口)发送鉴权服务调用请求,响应于鉴权服务调用请求,鉴权API在数据库中查找与用户信息对应的权限配置信息,并将权限配置信息发送至远程过程调用接口,以使权限SDK的权限规则计算模块接收权限配置信息。
通过采用远程过程调用协议向服务端发送鉴权服务调用请求,以及接收来自服务端的权限配置信息,实现了业务端对服务端的鉴权服务的远程调用,并且,不同业务端均可以通过远程过程调用协议统一接入服务端的鉴权API接口,从而为不同的业务端提供了统一的标准化接入,降低了各业务端接入服务端的鉴权API接口的接入难度。
如图3所示,在一种实施方式中,权限配置信息包括为用户信息预先分配的角色信息,以及角色信息所绑定的可操作资源信息。步骤S104包括:
步骤S301:提取权限配置信息中的为用户信息预先分配的角色信息;以及,提取角色信息所绑定的可操作资源信息;
步骤S302:根据目标资源信息与可操作资源信息的匹配结果,得到业务请求的权限鉴别结果。
示例性地,权限配置信息是基于RBAC控制方式进行预先配置的。可以理解的是,RBAC控制方式的基本思想是,对可操作资源的各种权限不是直接授予具体的用户,而是在用户信息集合与可操作资源集合之间建立一个角色信息集合。每一种角色信息对应一组相应的可操作资源信息。一旦用户信息被分配了适当的角色信息后,该用户信息就拥有此角色信息对应的所有可操作资源的权限。由此,在建立权限配置信息时,不必在创建用户信息时都进行分配可操作资源信息的权限的操作,只要为用户信息分配相应的角色信息即可,而且角色信息的权限变更比用户信息的权限变更要简易很多,从而简化了权限配置信息的配置过程。
例如,角色信息可以包括文件普通用户和文件管理用户,其中,文件普通用户绑定的可操作资源为“文件查看”和“文件拷贝”,文件管理用户绑定的可操作资源为“文件修改”和“文件删除”。在为用户信息分配的角色信息为文件普通用户的情况下,则用户信息对应的可操作资源信息即为“文件查看”和“文件拷贝”;在为用户信息分配的角色信息为文件普通用户和文件管理用户的情况下,则用户信息对应的可操作资源信息即为“文件查看”、“文件拷贝”、“文件修改”和“文件删除”。
示例性地,权限配置信息可以由管理端调用服务端相应的RPC服务进行预先配置。其中,服务端采用基于RBAC模式的微服务架构,服务端可以包括用户RPC服务模块、功能RPC服务模块和赋权RPC服务模块,在管理端的调用下,用户RPC服务模块可以提供对用户信息的增加、删除、修改和查看的功能,功能RPC服务模块可以提供对角色信息的编辑以及为角色信息绑定可操作资源的功能,赋权RPC服务模块用于为用户信息配置角色信息。
根据上述实施方式,通过提取权限配置信息中的与用户信息对应的角色信息,以及根据角色信息提取对应的可操作资源信息,从而得到用户信息具有操作权限的可操作资源信息,然后,通过判断可操作资源信息与目标资源信息是否匹配,即可得到用户是否具有对目标资源信息的操作权限的权限鉴别结果。
如图4所示,在一种实施方式中,根据目标资源信息与可操作资源信息的匹配结果,得到业务请求的权限鉴别结果,包括以下中的至少一项:
S401:在目标资源信息与可操作资源信息匹配的情况下,得到的权限鉴别结果为,用户信息具有目标资源信息的操作权限;
S402:在目标资源信息与可操作资源信息不匹配的情况下,得到的权限鉴别结果为,用户信息不具有目标资源信息的操作权限。
示例性地,在步骤S401中,在用户信息具有目标资源信息的操作权限的情况下,业务端根据业务请求按照业务逻辑执行相应的处理流程。
示例性地,在步骤S402中,在用户信息不具有目标资源信息的操作权限的情况下,业务端拦截业务请求,并生成错误提示信息反馈给用户。
根据上述实施方式,目标资源信息与可操作资源信息的匹配结果得到权限鉴别结果,简化了业务端的权限鉴别过程。
如图5所示,在一种实施方式中,对用户信息进行认证,得到认证结果,包括:
S501:对业务请求进行拦截;
S502:向服务端发送认证服务调用请求,从服务端接收认证结果。
示例性地,业务端包括认证拦截器,认证拦截器用于对业务请求进行拦截,并向服务端发送认证服务调用请求。认证服务调用请求中包括业务请求包含的用户信息,且用户信息包括用户名和密码。响应于认证服务调用请求,服务端基于用户名和密码对用户信息进行认证,生成认证结果并发送至认证拦截器。
进一步地,在认证结果为认证通过的情况下,服务端生成与用户信息对应的令牌数据,且将令牌数据以认证结果的方式发送至业务端。业务端将令牌数据存储于Cookie(储存在用户本地终端上的数据)中,以作为业务端执行后续业务处理流程的凭证。
在认证结果为用户信息不具有登录权限的情况下,则终止后续的业务处理流程,并生成错误提示信息反馈给用户。
此外,在步骤S502中,可以通过远程过程调用协议向服务端发送认证服务调用请求以及从服务端接收认证结果。
通过上述实施方式,实现了对业务请求包含的用户信息的认证,并且通过调用服务端的认证RPC服务,实现了对不同业务端统一提供用户信息的认证服务。
下面参考图6至图8描述根据本公开另一方面实施例的权限控制方法。
示例性地,本公开另一方面实施例的权限控制方法可以由管理端执行,管理端可以通过调用服务端的相应服务,实现对用户信息、角色信息以及权限配置信息的处理。
如图6所示,根据本公开实施例的权限控制方法包括以下步骤:
S601:向服务端发送用户服务调用请求,从服务端接收编辑后的用户信息;并且,向服务端发送功能服务调用请求,从服务端接收绑定后的角色信息;
S602:基于编辑后的用户信息和绑定后的角色信息,向服务端发送赋权服务调用请求,从服务端接收权限配置信息。
示例性地,在步骤S601中,用户服务调用请求具体包括对用户信息的增加、删除、修改以及查看的服务请求。功能服务调用请求具体包括对各种资源信息的可操作设置以及为角色信息绑定可操作资源的服务请求。
示例性地,在步骤S602中,赋权服务调用请求可以为,为用户信息绑定角色信息的服务请求,即为用户信息赋予角色信息对应的可操作资源的赋权服务请求。
根据本公开实施例的权限控制方法,通过向服务端发送用户服务调用请求、功能服务调用请求以及赋权服务调用请求,可以实现对角色信息、资源信息以及用户信息的维护和赋权等功能,向业务系统开发员提供了产品线、功能、角色以及维度等的维护工作,以及向业务系统管理员提供了对用户信息和角色信息的增删改查功能以及对用户信息和角色信息的绑定以及解绑的操作,实现了用户维护以及授权等工作。
如图7所示,在一种实施方式中,步骤S601包括:
S701:通过远程过程调用协议向服务端发送用户服务调用请求,通过远程过程调用协议从服务端接收编辑后的用户信息;并且,通过远程过程调用协议向服务端发送功能服务调用请求,通过远程过程调用协议从服务端接收绑定后的角色信息;
步骤S602包括:
S702:通过远程过程调用协议向服务端发送赋权服务调用请求,通过远程过程调用协议从服务端接收权限配置信息。
换而言之,通过远程过程调用协议实现了管理端向服务端申请用户服务调用请求、角色服务调用请求以及赋权服务调用请求的通信机制。
示例性地,服务端配置有用户RPC服务模块、角色RPC服务模块以及赋权RPC服务模块,各RPC服务模块通过相应的API接口,向管理端提供相应的RPC服务。
需要说明的是,通过采用远程过程调用协议,实现了管理端对服务端用户服务、角色服务以及赋权服务的远程调用,并且,不同业务方的管理端均可以通过远程过程调用协议统一接入服务端各个RPC服务的鉴权API接口,从而为不同业务方的管理端提供了统一的RPC服务,降低了各管理端接入服务端的RPC服务的API接口的接入难度。
如图8所示,在一种实施方式中,步骤S602之后还包括:
S801:将权限配置信息写入关系型数据库的主库;其中,关系型数据库包括主库和从库,主库用于执行数据写操作,从库用于执行数据读操作。
示例性地,关系型数据库可以采用MySQL,其中,不同业务方对应的权限配置信息以及用户信息和角色信息等可以保存在不同的表中,从而提高查询的效率和灵活性。
通过对关系型数据采用读写分离的数据处理方式,可以提高关系型数据的读写性能,从而提高服务端对权限配置信息的读取效率,并且保证了权限配置信息的存储稳定性和可靠性。
在一种实施方式中,步骤S602之后还包括:
将编辑后的用户信息和绑定后的角色信息写入关系型数据库中;以及,将权限配置信息写入分布式存储数据库。
示例性地,可以将编辑后的用户信息和绑定后的角色信息存储至MySQL,以及将权限配置信息缓存至Redis(Remote Dictionary Server,远程字典服务)数据库。
通过上述实施方式,在权限配置信息的数据量较大的情况下,即便服务端的RPC服务无法正常运行,通过读取分布式存储数据库中的权限配置信息,也可以向业务端提供稳定的鉴权服务,从而保证了业务端鉴权作业的稳定性和可靠性。
下面参考图9至图12描述根据本公开另一方面实施例的权限控制方法。
示例性地,本公开另一方面实施例的权限控制方法可以由服务端执行,以向业务端提供权限管理服务。并且,服务端可以采用基于RBAC模式的微服务架构,可以向不同的业务端提供统一的权限管理服务。
如图9所示,该方法包括以下步骤:
S901:从业务端接收鉴权服务调用请求,鉴权服务调用请求包含业务请求的用户信息;
S902:基于用户信息,确定用户信息对应的权限配置信息;
S903:向业务端发送权限配置信息。
示例性地,服务端包括鉴权服务模块。响应于业务端发送端鉴权服务调用请求,鉴权服务模块基于用户信息,从数据库中查找用户信息对应的权限配置信息,并将查找到的权限配置信息发送至业务端。
通过上述实施方式,通过采用将业务端和服务端分离的方式进行权限管理,实现了针对集群式的多个业务端的统一权限管理,从而为不同业务端的业务方提供了通用、稳定以及可扩展的权限管理服务。
如图10所示,在一种实施方式中,步骤S901包括:
S1001:通过远程过程调用协议从业务端接收鉴权服务调用请求;
步骤S902包括:
S1002:通过远程过程调用协议向业务端发送权限配置信息。
换而言之,服务端通过远程过程调用协议从业务端接收鉴权服务调用请求以及向业务端发送权限配置信息。
示例性地,服务端包括鉴权RPC服务模块,鉴权RPC服务模块通过鉴权API接口接收服务端发送的鉴权服务调用请求以及向服务端发送权限配置信息。
根据上述实施方式,实现了服务端对业务端的远程鉴权服务并且,服务端通过配置统一的鉴权API接口,可以向不同的业务端提供统一的远程鉴权服务,降低了各业务端接入服务端的远程鉴权服务的接入难度。
如图11所示,在一种实施方式中,该方法还包括:
S1101:从管理端接收用户服务调用请求,对用户信息进行编辑处理,生成编辑后的用户信息,向管理端发送编辑后的用户信息;并且,从管理端接收功能服务调用请求,对角色信息和可操作资源信息进行绑定,生成绑定后的角色信息,向管理端发送绑定后的角色信息;
S1102:从管理端接收赋权服务调用请求,为编辑后的用户信息分配绑定后的角色信息,生成权限配置信息,向管理端发送权限配置信息。
示例性地,服务端包括多个微服务模块具体为用户服务模块、功能服务模块以及赋权服务模块。其中,响应于用户服务调用请求,用户服务模块执行相应的对用户信息的增加、删除、修改以及查看处理。响应于功能服务调用请求,功能服务模块执行相应的对资源信息的可操作设置以及为角色信息绑定可操作资源的处理。响应于赋权服务调用请求,赋权服务模块执行相应的为用户信息绑定角色信息的处理。
通过上述实施方式,服务端可以向管理端提供对角色信息、资源信息以及用户信息的维护和赋权等功能,从而实现了业务系统开发员对产品线、功能、角色以及维度等的维护工作,以及实现了业务系统管理员对用户信息和角色信息的增删改查功能以及对用户信息和角色信息的绑定以及解绑的操作,实现了用户维护以及授权等工作。
如图12所示,在一种实施方式中,步骤S1101包括:
S1201:通过远程过程调用协议从管理端接收用户服务调用请求;通过远程过程调用协议从管理端接收功能服务调用请求;
步骤S1102包括:
S1202:通过远程过程调用协议从管理端接收赋权服务调用请求。
换而言之,通过远程过程调用协议实现了服务端接收用户服务调用请求、角色服务调用请求以及赋权服务调用请求的通信机制,以及向服务端发送编辑后的用户信息、绑定后的角色信息以及生成的权限配置信息。
示例性地,服务端配置有用户RPC服务模块、角色RPC服务模块以及赋权RPC服务模块,各RPC服务模块通过相应的API接口,向管理端提供相应的RPC服务。
需要说明的是,通过采用远程过程调用协议,实现了服务端向管理端提供远程的用户服务、角色服务以及赋权服务,并且,不同业务方的管理端均可以通过远程过程调用协议统一接入服务端各个RPC服务的鉴权API接口,从而为不同业务方的管理端提供了统一的RPC服务,降低了各管理端接入服务端的RPC服务的API接口的接入难度。
下面结合图13以一个具体应用场景描述根据本公开各方面实施例的权限控制方法。
图13示出采用本公开各方面实施例的权限控制方法的权限控制系统的示意图。如图13所示,该系统包括统一权限控制服务集群(即服务端)、管理平台(即管理端)和多个业务模块(即业务端)。
具体而言,统一权限控制服务集群以RBAC模型为基础,基于微服务架构设计,包括各种用户服务模块、功能服务模块和权限服务模块等rpc服务模块。并且,统一权限控制服务集群底层存储使用Mysql,并使用Redis缓存热点数据。
用户服务模块用于向管理平台提供用户信息的增删改查的功能。功能服务服务模块用于向管理平台提供角色信息的增删改查功能以及为角色信息绑定或解绑可操作资源(即生成权限配置信息)的功能。权限服务模块包括多个部署实例,各部署实例配置有权限API接口,其中,权限API接口包括赋权API接口和鉴权API接口,赋权API接口用于向管理平台提供为用户信息分配角色信息的功能,鉴权API接口用于向业务模块提供权限查询并发送权限配置信息的功能。
业务模块内配置有权限SDK,其中,权限SDK包括配置好的拦截器和处理参数。进一步地,权限SDK包括认证拦截器、验证拦截器和权限规则计算模块,认证拦截器用于向服务端发送认证服务调用请求以及接收服务端的认证结果。验证拦截器用于在用户信息验证成功的情况下,向服务端发送鉴权服务调用请求,并接受来自服务端的权限配置信息。权限规则计算模块用于根据权限配置信息,生成业务信息的权限鉴别结果。在权限鉴别结果为用户信息具有目标资源信息的操作权限的情况下,则业务模块执行后续的业务逻辑处理。
根据本公开的另一方面,还提供了一种权限控制装置。
如图14所示,该装置包括:
业务请求接收模块1401,用于接收业务请求,业务请求包含用户信息和目标资源信息;
认证模块1402,用于对用户信息进行认证,得到认证结果;
权限配置信息接收模块1403,用于在认证结果为认证通过的情况下,向服务端发送鉴权服务调用请求,从服务端接收与用户信息对应的权限配置信息;
鉴别模块1404,用于基于权限配置信息,得到业务请求的权限鉴别结果,权限鉴别结果用于表征用户信息是否具有目标资源信息的操作权限。
在一种实施方式中,权限配置信息接收模块还用于:
通过远程过程调用协议向服务端发送鉴权服务调用请求,通过远程过程调用协议从服务端接收与用户信息对应的权限配置信息,其中,鉴权服务调用请求包括用户信息。
在一种实施方式中,权限配置信息包括为用户信息预先分配的角色信息,以及角色信息所绑定的可操作资源信息;
鉴别模块1404包括:
角色信息和可操作资源信息提取子模块,用于提取权限配置信息中的为用户信息预先分配的角色信息;以及,提取角色信息所绑定的可操作资源信息;
权限鉴别结果确定子模块,根据目标资源信息与可操作资源信息的匹配结果,得到业务请求的权限鉴别结果。
在一种实施方式中,权限鉴别结果确定子模块用于实现以下中的至少一项:
在目标资源信息与可操作资源信息匹配的情况下,得到的权限鉴别结果为,用户信息具有目标资源信息的操作权限;
在目标资源信息与可操作资源信息不匹配的情况下,得到的权限鉴别结果为,用户信息不具有目标资源信息的操作权限。
在一种实施方式中,认证模块1402包括:
拦截子模块,用于对业务请求进行拦截;
认证子模块,用于向服务端发送认证服务调用请求,以及从服务端接收认证结果。
根据本公开的另一方面,还提供了一种权限控制装置。
如图15所示,该装置包括:
第一收发模块1501,用于向服务端发送用户服务调用请求,从服务端接收编辑后的用户信息;并且,向服务端发送功能服务调用请求,从服务端接收绑定后的角色信息;
第二收发模块1502,用于基于编辑后的用户信息和绑定后的角色信息,向服务端发送赋权服务调用请求,从服务端接收权限配置信息。
在一种实施方式中,第一收发模块1501还用于:
通过远程过程调用协议向服务端发送用户服务调用请求,通过远程过程调用协议从服务端接收编辑后的用户信息;并且,通过远程过程调用协议向服务端发送功能服务调用请求,通过远程过程调用协议从服务端接收绑定后的角色信息;
第二收发模块1502还用于:
通过远程过程调用协议向服务端发送赋权服务调用请求,通过远程过程调用协议从服务端接收权限配置信息。
在一种实施方式中,该装置还包括:
权限配置信息写入模块,用于将权限配置信息写入关系型数据库的主库;
其中,关系型数据库包括主库和从库,主库用于执行数据写操作,从库用于执行数据读操作。
根据本公开的另一方面,还提供了一种权限控制装置,包括:
鉴权服务调用请求接收模块1601,用于从业务端接收鉴权服务调用请求,鉴权服务调用请求包含业务请求的用户信息;
权限配置信息确定模块1602,用于基于用户信息,确定用户信息对应的权限配置信息;
发送模块1603,用于向业务端发送权限配置信息。
在一种实施方式中,鉴权服务调用请求接收模块1601还用于:
通过远程过程调用协议从业务端接收鉴权服务调用请求;
发送模块1603还用于:
通过远程过程调用协议向业务端发送权限配置信息。
在一种实施方式中,该装置还包括:
用户服务和功能服务模块,用于从管理端接收用户服务调用请求,对用户信息进行编辑处理,生成编辑后的用户信息,向管理端发送编辑后的用户信息;并且,从管理端接收功能服务调用请求,对角色信息和可操作资源信息进行绑定,生成绑定后的角色信息,向管理端发送绑定后的角色信息;
赋权服务模块,用于从管理端接收赋权服务调用请求,为编辑后的用户信息分配绑定后的角色信息,生成权限配置信息,向管理端发送权限配置信息。
在一种实施方式中,用户服务和功能服务模块还用于:
通过远程过程调用协议从管理端接收用户服务调用请求;并且,通过远程过程调用协议从管理端接收功能服务调用请求;
赋权服务模块还用于:
通过远程过程调用协议从管理端接收赋权服务调用请求。
本公开实施例各装置中的各单元、模块或子模块的功能可以参见上述方法实施例中的对应描述,在此不再赘述。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图17示出了可以用来实施本公开的实施例的示例电子设备1700的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或要求的本公开的实现。
如图17所示,电子设备1700包括计算单元1701,其可以根据存储在只读存储器(ROM)1702中的计算机程序或者从存储单元1708加载到随机访问存储器(RAM)1703中的计算机程序来执行各种适当的动作和处理。在RAM 1703中,还可存储电子设备1700操作所需的各种程序和数据。计算单元1701、ROM 1702以及RAM 1703通过总线1704彼此相连。输入输出(I/O)接口1705也连接至总线1704。
电子设备1700中的多个部件连接至I/O接口1705,包括:输入单元1706,例如键盘、鼠标等;输出单元1707,例如各种类型的显示器、扬声器等;存储单元1708,例如磁盘、光盘等;以及通信单元1709,例如网卡、调制解调器、无线通信收发机等。通信单元1709允许电子设备1700通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元1701可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元1701的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元1701执行上文所描述的各个方法和处理,例如权限管理方法。例如,在一些实施例中,权限管理方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元1708。在一些实施例中,计算机程序的部分或者全部可以经由ROM1702和/或通信单元1709而被载入和/或安装到电子设备1700上。当计算机程序加载到RAM 1703并由计算单元1701执行时,可以执行上文描述的权限管理方法的一个或多个步骤。备选地,在其他实施例中,计算单元1701可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行权限管理方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入、或者触觉输入来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (23)
1.一种权限控制方法,所述方法由业务端执行,包括:
接收业务请求,所述业务请求包含用户信息和目标资源信息;
对所述用户信息进行认证,得到认证结果;
在所述认证结果为认证通过的情况下,通过远程过程调用协议向服务端发送鉴权服务调用请求,通过所述远程过程调用协议从所述服务端接收与所述用户信息对应的权限配置信息;
基于所述权限配置信息,得到所述业务请求的权限鉴别结果,所述权限鉴别结果用于表征所述用户信息是否具有所述目标资源信息的操作权限。
2.根据权利要求1所述的方法,其中,所述鉴权服务调用请求包括所述用户信息。
3.根据权利要求1所述的方法,其中,所述权限配置信息包括为所述用户信息预先分配的角色信息,以及所述角色信息所绑定的可操作资源信息;
所述基于所述权限配置信息,得到所述业务请求的权限鉴别结果,包括:
提取所述权限配置信息中的为所述用户信息预先分配的角色信息;以及,提取所述角色信息所绑定的可操作资源信息;
根据所述目标资源信息与所述可操作资源信息的匹配结果,得到所述业务请求的权限鉴别结果。
4.根据权利要求3所述的方法,其中,所述根据所述目标资源信息与所述可操作资源信息的匹配结果,得到所述业务请求的权限鉴别结果,包括以下中的至少一项:
在所述目标资源信息与所述可操作资源信息匹配的情况下,得到的所述权限鉴别结果为,所述用户信息具有所述目标资源信息的操作权限;
在所述目标资源信息与所述可操作资源信息不匹配的情况下,得到的所述权限鉴别结果为,所述用户信息不具有所述目标资源信息的操作权限。
5.根据权利要求1所述的方法,其中,所述对所述用户信息进行认证,得到认证结果,包括:
对所述业务请求进行拦截;
向服务端发送认证服务调用请求,从所述服务端接收认证结果。
6.一种权限控制方法,所述方法由管理端执行,包括:
通过远程过程调用协议向服务端发送用户服务调用请求,通过远程过程调用协议从所述服务端接收编辑后的用户信息;并且,通过远程过程调用协议向所述服务端发送功能服务调用请求,通过远程过程调用协议从所述服务端接收绑定后的角色信息;
基于所述编辑后的用户信息和所述绑定后的角色信息,通过远程过程调用协议向所述服务端发送赋权服务调用请求,通过远程过程调用协议从所述服务端接收权限配置信息。
7.根据权利要求6所述的方法,所述从所述服务端接收权限配置信息之后,还包括:
将所述权限配置信息写入关系型数据库的主库;
其中,所述关系型数据库包括所述主库和从库,所述主库用于执行数据写操作,所述从库用于执行数据读操作。
8.一种权限控制方法,所述方法由服务端执行,包括:
通过远程过程调用协议从业务端接收鉴权服务调用请求,所述鉴权服务调用请求包含业务请求的用户信息;
基于所述用户信息,确定所述用户信息对应的权限配置信息;
通过远程过程调用协议向所述业务端发送所述权限配置信息。
9.根据权利要求8所述的方法,还包括:
从管理端接收用户服务调用请求,对用户信息进行编辑处理,生成编辑后的用户信息,向所述管理端发送所述编辑后的用户信息;并且,从所述管理端接收功能服务调用请求,对角色信息和可操作资源信息进行绑定,生成绑定后的角色信息,向所述管理端发送所述绑定后的角色信息;
从所述管理端接收赋权服务调用请求,为所述编辑后的用户信息分配所述绑定后的角色信息,生成权限配置信息,向所述管理端发送所述权限配置信息。
10.根据权利要求9所述的方法,其中,所述从管理端接收用户服务调用请求,包括:
通过远程过程调用协议从管理端接收用户服务调用请求;
所述从所述管理端接收功能服务调用请求,包括:
通过所述远程过程调用协议从所述管理端接收功能服务调用请求;
所述从所述管理端接收赋权服务调用请求,包括:
通过所述远程过程调用协议从所述管理端接收赋权服务调用请求。
11.一种权限控制装置,所述装置设置与业务端,包括:
业务请求接收模块,用于接收业务请求,所述业务请求包含用户信息和目标资源信息;
认证模块,用于对所述用户信息进行认证,得到认证结果;
权限配置信息接收模块,用于在所述认证结果为认证通过的情况下,通过远程过程调用协议向服务端发送鉴权服务调用请求,通过远程过程调用协议从所述服务端接收与所述用户信息对应的权限配置信息;
鉴别模块,用于基于所述权限配置信息,得到所述业务请求的权限鉴别结果,所述权限鉴别结果用于表征所述用户信息是否具有所述目标资源信息的操作权限。
12.根据权利要求11所述的装置,其中,所述鉴权服务调用请求包括所述用户信息。
13.根据权利要求11所述的装置,其中,所述权限配置信息包括为所述用户信息预先分配的角色信息,以及所述角色信息所绑定的可操作资源信息;
所述鉴别模块包括:
角色信息和可操作资源信息提取子模块,用于提取所述权限配置信息中的为所述用户信息预先分配的角色信息;以及,提取所述角色信息所绑定的可操作资源信息;
权限鉴别结果确定子模块,根据所述目标资源信息与所述可操作资源信息的匹配结果,得到所述业务请求的权限鉴别结果。
14.根据权利要求13所述的装置,其中,所述权限鉴别结果确定子模块用于实现以下中的至少一项:
在所述目标资源信息与所述可操作资源信息匹配的情况下,得到的所述权限鉴别结果为,所述用户信息具有所述目标资源信息的操作权限;
在所述目标资源信息与所述可操作资源信息不匹配的情况下,得到的所述权限鉴别结果为,所述用户信息不具有所述目标资源信息的操作权限。
15.根据权利要求11所述的装置,其中,所述认证模块包括:
拦截子模块,用于对所述业务请求进行拦截;
认证子模块,用于向服务端发送认证服务调用请求,以及从所述服务端接收认证结果。
16.一种权限控制装置,所述装置设置于管理端,包括:
第一收发模块,用于通过远程过程调用协议向服务端发送用户服务调用请求,通过远程过程调用协议从所述服务端接收编辑后的用户信息;并且,通过远程过程调用协议向所述服务端发送功能服务调用请求,通过远程过程调用协议从所述服务端接收绑定后的角色信息;
第二收发模块,用于基于所述编辑后的用户信息和所述绑定后的角色信息,通过远程过程调用协议向所述服务端发送赋权服务调用请求,通过远程过程调用协议从所述服务端接收权限配置信息。
17.根据权利要求16所述的装置,还包括:
权限配置信息写入模块,用于将所述权限配置信息写入关系型数据库的主库;
其中,所述关系型数据库包括所述主库和从库,所述主库用于执行数据写操作,所述从库用于执行数据读操作。
18.一种权限控制装置,所述装置设置于服务端,包括:
鉴权服务调用请求接收模块,用于通过远程过程调用协议从业务端接收鉴权服务调用请求,所述鉴权服务调用请求包含业务请求的用户信息;
权限配置信息确定模块,用于基于所述用户信息,确定所述用户信息对应的权限配置信息;
发送模块,用于通过远程过程调用协议向所述业务端发送所述权限配置信息。
19.根据权利要求18所述的装置,还包括:
用户服务和功能服务模块,用于从管理端接收用户服务调用请求,对用户信息进行编辑处理,生成编辑后的用户信息,向所述管理端发送所述编辑后的用户信息;并且,从所述管理端接收功能服务调用请求,对角色信息和可操作资源信息进行绑定,生成绑定后的角色信息,向所述管理端发送所述绑定后的角色信息;
赋权服务模块,用于从所述管理端接收赋权服务调用请求,为所述编辑后的用户信息分配所述绑定后的角色信息,生成权限配置信息,向所述管理端发送所述权限配置信息。
20.根据权利要求19所述的装置,其中,所述用户服务和功能服务模块还用于:
通过远程过程调用协议从管理端接收用户服务调用请求;并且,通过所述远程过程调用协议从所述管理端接收功能服务调用请求;
所述赋权服务模块还用于:
通过所述远程过程调用协议从所述管理端接收赋权服务调用请求。
21.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至10中任一项所述的方法。
22.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使计算机执行权利要求1至10中任一项所述的方法。
23.一种计算机程序产品,包括计算机程序,该计算机程序在被处理器执行时实现根据权利要求1至10中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110530434.2A CN113239377B (zh) | 2021-05-14 | 2021-05-14 | 权限控制方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110530434.2A CN113239377B (zh) | 2021-05-14 | 2021-05-14 | 权限控制方法、装置、设备以及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113239377A CN113239377A (zh) | 2021-08-10 |
| CN113239377B true CN113239377B (zh) | 2024-05-17 |
Family
ID=77134437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110530434.2A Active CN113239377B (zh) | 2021-05-14 | 2021-05-14 | 权限控制方法、装置、设备以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113239377B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113591126B (zh) * | 2021-08-12 | 2023-02-07 | 北京滴普科技有限公司 | 一种数据权限处理方法及计算机可读存储介质 |
| CN114221782B (zh) * | 2021-11-09 | 2023-11-24 | 中央广播电视总台 | 一种认证鉴权方法、设备、芯片及存储介质 |
| CN114448726A (zh) * | 2022-03-23 | 2022-05-06 | 广联达科技股份有限公司 | 一种基于多重身份的权限管理方法及装置 |
| CN115277263A (zh) * | 2022-09-28 | 2022-11-01 | 天津卓朗昆仑云软件技术有限公司 | 权限认证的数据处理系统、方法以及装置 |
| CN115422526B (zh) * | 2022-10-31 | 2023-04-28 | 平安银行股份有限公司 | 角色权限管理方法、设备及存储介质 |
| CN115883536A (zh) * | 2022-11-28 | 2023-03-31 | 中国联合网络通信集团有限公司 | 文件传递方法、装置、系统及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581143A (zh) * | 2012-08-03 | 2014-02-12 | 北京亿赞普网络技术有限公司 | 一种用户权限认证方法、系统、客户端及服务端 |
| WO2018133721A1 (zh) * | 2017-01-19 | 2018-07-26 | 腾讯科技(深圳)有限公司 | 鉴权系统、方法及服务器 |
| WO2018227802A1 (zh) * | 2017-06-13 | 2018-12-20 | 西安中兴新软件有限责任公司 | 一种权限获取方法、装置、设备和存储介质 |
| CN110958237A (zh) * | 2019-11-26 | 2020-04-03 | 苏州思必驰信息科技有限公司 | 一种权限校验的方法和装置 |
| CN111093197A (zh) * | 2019-12-31 | 2020-05-01 | 北大方正集团有限公司 | 权限认证方法、权限认证系统和计算机可读存储介质 |
| US10728247B1 (en) * | 2019-08-02 | 2020-07-28 | Alibaba Group Holding Limited | Selecting an authentication system for handling an authentication request |
| WO2021022792A1 (zh) * | 2019-08-02 | 2021-02-11 | 创新先进技术有限公司 | 一种鉴权与业务服务方法、装置以及设备 |
| CN112380517A (zh) * | 2020-11-17 | 2021-02-19 | 上海君牧生物信息技术有限公司 | 基于生物信息统一认证的云平台管理方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021077040A (ja) * | 2019-11-07 | 2021-05-20 | キヤノン株式会社 | 権限委譲システム、サーバ及びその制御方法、並びにプログラム |
-
2021
- 2021-05-14 CN CN202110530434.2A patent/CN113239377B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581143A (zh) * | 2012-08-03 | 2014-02-12 | 北京亿赞普网络技术有限公司 | 一种用户权限认证方法、系统、客户端及服务端 |
| WO2018133721A1 (zh) * | 2017-01-19 | 2018-07-26 | 腾讯科技(深圳)有限公司 | 鉴权系统、方法及服务器 |
| WO2018227802A1 (zh) * | 2017-06-13 | 2018-12-20 | 西安中兴新软件有限责任公司 | 一种权限获取方法、装置、设备和存储介质 |
| US10728247B1 (en) * | 2019-08-02 | 2020-07-28 | Alibaba Group Holding Limited | Selecting an authentication system for handling an authentication request |
| WO2021022792A1 (zh) * | 2019-08-02 | 2021-02-11 | 创新先进技术有限公司 | 一种鉴权与业务服务方法、装置以及设备 |
| CN110958237A (zh) * | 2019-11-26 | 2020-04-03 | 苏州思必驰信息科技有限公司 | 一种权限校验的方法和装置 |
| CN111093197A (zh) * | 2019-12-31 | 2020-05-01 | 北大方正集团有限公司 | 权限认证方法、权限认证系统和计算机可读存储介质 |
| CN112380517A (zh) * | 2020-11-17 | 2021-02-19 | 上海君牧生物信息技术有限公司 | 基于生物信息统一认证的云平台管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113239377A (zh) | 2021-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113239377B (zh) | 权限控制方法、装置、设备以及存储介质 | |
| CN106254075B (zh) | 认证服务器系统以及方法 | |
| US20210144147A1 (en) | System and method for externally-delegated access control and authorization | |
| US8561172B2 (en) | System and method for virtual information cards | |
| CN110546979B (zh) | 在服务与应用之间的多级分布式访问控制 | |
| CN111404923A (zh) | 容器集群访问权限的控制方法及系统 | |
| CN113239344A (zh) | 一种访问权限控制方法和装置 | |
| WO2018119589A1 (zh) | 账户管理方法、装置及账户管理系统 | |
| US11924210B2 (en) | Protected resource authorization using autogenerated aliases | |
| CN115203653A (zh) | 将用户账户与企业工作空间相关联 | |
| CN116848528A (zh) | 用于自动配置用于容器应用的最小云服务访问权限的技术 | |
| KR20230027241A (ko) | 공유 자원 식별 | |
| US20190166123A1 (en) | User terminal using cloud service, integrated security management server for user terminal, and integrated security management method for user terminal | |
| CN108293047B (zh) | 由用户访问跨多个分布式计算网络的资源的系统和方法 | |
| CN113010238A (zh) | 一种微应用调用接口的权限确定方法、装置和系统 | |
| US20150281281A1 (en) | Identification of unauthorized application data in a corporate network | |
| CN113169999A (zh) | 基于位置与用户装置安全地共享文件 | |
| WO2022095958A1 (zh) | 资源管理方法、装置、计算机系统、可读存储介质 | |
| Song et al. | App’s auto-login function security testing via android os-level virtualization | |
| CN111147470A (zh) | 账号授权的方法、装置及电子设备 | |
| CN110765445A (zh) | 处理请求的方法和装置 | |
| CN113765986B (zh) | 一种开放平台的流量控制方法和服务器 | |
| CN113760563B (zh) | 基于开放平台的数据处理方法、装置以及数据处理系统 | |
| CN115834252B (zh) | 一种服务访问方法及系统 | |
| CN113641966B (zh) | 一种应用集成方法、系统、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |