CN113297629B - 一种鉴权方法、装置、系统、电子设备和存储介质 - Google Patents
一种鉴权方法、装置、系统、电子设备和存储介质 Download PDFInfo
- Publication number
- CN113297629B CN113297629B CN202110577341.5A CN202110577341A CN113297629B CN 113297629 B CN113297629 B CN 113297629B CN 202110577341 A CN202110577341 A CN 202110577341A CN 113297629 B CN113297629 B CN 113297629B
- Authority
- CN
- China
- Prior art keywords
- authority
- user request
- information
- authentication mode
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请公开了一种鉴权方法、系统、电子设备和存储介质,该方法包括:根据当前业务需求,切换至目标鉴权模式;当接收到用户请求时,拦截用户请求,并判断用户请求中的令牌信息是否合法;若是,则根据令牌信息与目标鉴权模式,检测用户请求的合法性;若用户请求合法,则将用户请求发送至网络安全能力中心,以使网络安全能力中心进行业务逻辑处理。该方法根据当前业务需求,可灵活切换至需要的鉴权模式即目标鉴权模式,即使在权限要求较高的情况下,也能切换至对应的鉴权模式,提高了系统的安全性能,避免了相关技术中只能使用常规的单一鉴权模式,且该模式只能适用于权限要求不高,难以满足安全性能需求的缺陷。
Description
技术领域
本申请涉及鉴权技术领域,特别涉及一种鉴权方法、装置、系统、电子设备和存储介质。
背景技术
当前,由于公安,网信,科信等政企单位对于网络安全数据把控的需求,往往会对接多家安全运营厂商购买相应的安全运营产品或者服务。对于各个厂家产品或服务之间的统一数据互通与运营管控需求则产生了网络安全能力中心。正是基于这种场景下,网络安全能力中心拥有所有对接厂商接口的访问权限,当人员或者设备对接网络安全能力中心时,如果是任何一个人都能访问的系统,那是极度危险的,因此需要建立起一套鉴权体系。
当前的鉴权系统只支持单一的用户-角色-权限的鉴权模式,由于该鉴权模式下,任意拥有该角色的人员就可以访问权限系统,易被恶意者窃取修改信息,存在安全漏洞的,当系统对权限要求较高时,不能够满足安全需求。
发明内容
本申请的目的是提供一种鉴权方法、装置、系统、电子设备和存储介质,增加了鉴权模式,并能够任意切换鉴权模式,提高了鉴权体系的安全性能。
其具体方案如下:
第一方面,本申请公开了一种鉴权方法,包括:
根据当前业务需求,切换至目标鉴权模式;
当接收到用户请求时,拦截所述用户请求,并判断所述用户请求中的令牌信息是否合法;
若是,则根据所述令牌信息与所述目标鉴权模式,检测所述用户请求的合法性;
若所述用户请求合法,则将所述用户请求发送至网络安全能力中心,以使所述网络安全能力中心进行业务逻辑处理。
可选的,所述判断所述用户请求中的令牌信息是否合法,包括:
根据所述用户请求中的令牌信息的特征,确定所述令牌信息的令牌类型;
在所述令牌类型下,确定是否存在所述令牌信息对应的权限信息。
可选的,所述在所述令牌类型下,确定是否存在所述令牌信息对应的权限信息,包括:
若所述令牌信息属于账号密码类型,则返回功能权限信息和设备权限信息,并判断所述功能权限信息和所述设备权限信息中是否存在所述令牌信息对应的权限信息;
若所述令牌信息属于三方授权码类型,则返回所述设备权限信息,并判断所述设备权限信息中是否存在所述令牌信息对应的权限信息。
可选的,所述根据所述令牌信息与所述目标鉴权模式,检测所述用户请求的合法性,包括:
解析所述令牌信息,得到用户信息;
判断所述目标鉴权模式对应的权限关联表中是否存在所述用户信息对应的权限信息。
可选的,所述根据当前业务需求,切换至目标鉴权模式,包括:
根据所述当前业务需求对应的业务场景,确定权限等级;
若所述权限等级小于预设权限等级阈值,则切换至标准鉴权模式,并将所述标准鉴权模式作为所述目标鉴权模式;所述标准鉴权模式为用户-角色-权限的权限控制模式;
若所述权限等级大于或等于预设权限等级阈值,则切换至精细鉴权模式,并将所述精细鉴权模式作为所述目标鉴权模式;所述精细鉴权模式中用户-权限或角色-权限的权限控制模式。
可选的,所述根据所述令牌信息与所述目标鉴权模式,检测所述用户请求的合法性,包括:
当所述目标鉴权模式为用户-权限的权限控制模式时,解析所述令牌信息,得到用户ID;
判断所述用户-权限的权限控制模式对应的权限关联表中是否存在所述用户ID对应的权限信息。
第二方面,本申请公开了一种鉴权装置,包括:
切换模块,用于根据当前业务需求,切换至目标鉴权模式;
拦截模块,用于当接收到用户请求时,拦截所述用户请求,并判断所述用户请求中的令牌信息是否合法;
检测模块,用于若是,则根据所述令牌信息与所述目标鉴权模式,检测所述用户请求的合法性;
发送模块,用于若所述用户请求合法,则将所述用户请求发送至网络安全能力中心,以使所述网络安全能力中心进行业务逻辑处理。
第三方面,本申请公开了一种鉴权系统,包括:
请求方,用于发送用户请求至服务器;
服务器,用于执行上述鉴权方法的步骤;所述服务器包括鉴权中心和网络安全能力中心;
其中,所述鉴权中心,用于拦截所述用户请求,并判断所述用户请求中的令牌信息是否合法;若是,则将所述用户请求发送至所述网络安全能力中心;所述网络安全能力中心,用于接收所述用户请求,并根据所述用户请求进行业务逻辑处理。
第四方面,本申请公开了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述鉴权方法的步骤。
第五方面,本申请公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述鉴权方法的步骤。
本申请提供一种鉴权方法,包括:根据当前业务需求,切换至目标鉴权模式;当接收到用户请求时,拦截所述用户请求,并判断所述用户请求中的令牌信息是否合法;若是,则根据所述令牌信息与所述目标鉴权模式,检测所述用户请求的合法性;若所述用户请求合法,则将所述用户请求发送至网络安全能力中心,以使所述网络安全能力中心进行业务逻辑处理。
可见,本申请可根据当前业务需求,可灵活切换至需要的鉴权模式即目标鉴权模式,即使在权限要求较高的情况下,也能切换至对应的鉴权模式,提高了系统的安全性能,避免了相关技术中只能使用常规的单一鉴权模式,且该模式只能适用于权限要求不高,难以满足安全性能需求的缺陷,本申请增加了鉴权模式,并能够任意切换鉴权模式,提高了鉴权体系的安全性能。本申请同时还提供了一种鉴权装置、系统、电子设备和计算机可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种鉴权方法的流程图;
图2为本申请实施例所提供的标准鉴权模式的权限配置示意图;
图3a为本申请实施例所提供的精细鉴权模式的一种权限配置示意图;
图3b为本申请实施例所提供的精细鉴权模式的另一种权限配置示意图;
图4为本申请实施例所提供的一种系统交互时序示意图;
图5为本申请实施例所提供的令牌校验逻辑示意图;
图6为本申请实施例所提供的鉴权逻辑示意图;
图7为本申请实施例所提供的一种鉴权装置的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
鉴权中心在目前市面是很成熟的技术解决方案,但基本都是作用于企业内部或者互联网产品的身份信息校验,多以用户-角色-权限维度进行数据访问与操作的权限控制。这种常规的人员-角色-权限鉴权体系进行系统功能把控,对于能力中心而言,功能权限是少数,更多的是一个个的设备与设备对应的请求,不同的人拥有不同的设备请求。如何进行管控是更加安全,如何管控管理员配置更加方便是需要重点解决的问题。当前的鉴权体系存在以下缺点:由于需要对网络安全能力中心所拥有的每个设备的每个请求进行权限管控,因此需要网络安全能力中心将标准能力都注册到鉴权中心,如果网络安全能力中心标准能力变动没有通知到或者更新到鉴权中心,鉴权中心将会对部分权限管控失败;还有,鉴权中心与网络安全能力中心在用户访问时是强耦合的,如果鉴权中心故障,那将会导致拥有权限的用户访问失败。其中,网络安全能力中心是对各种三方厂商提供的安全监控,安全扫描,安全数据获取等接口统一对接平台。鉴权中心是用户或设备进行请求系统时统一的身份认证平台。
基于上述技术问题,本实施例提供一种鉴权方法,增加了鉴权模式,并能够任意切换鉴权模式,提高了鉴权体系的安全性能,具体请参考图1,图1为本申请实施例所提供的一种鉴权方法的流程图,具体包括:
S101、根据当前业务需求,切换至目标鉴权模式。
本实施例并不限定当前业务需求的具体内容,可根据实际情况而定。本实施例中可实现切换鉴权模式,能够弥补相关技术中仅支持单一的常规鉴权模式的缺陷。本实施例并不限定目标鉴权模式的具体对象,可以是常规的标准鉴权模式,可以是本实施例新增的精细鉴权模式,还可以是其他鉴权模式(可根据实际需求进行设定)。
本实施例并不限定切换至目标鉴权模式的具体过程。在一种具体的实施例中,根据当前业务需求,切换至目标鉴权模式,可以包括:
根据当前业务需求对应的业务场景,确定权限等级;
若权限等级小于预设权限等级阈值,则切换至标准鉴权模式,并将标准鉴权模式作为目标鉴权模式;标准鉴权模式为用户-角色-权限的权限控制模式;
若权限等级大于或等于预设权限等级阈值,则切换至精细鉴权模式,并将精细鉴权模式作为目标鉴权模式;精细鉴权模式中用户-权限或角色-权限的权限控制模式。
本实施例首先根据当前业务需求,确定具体的业务场景,进而根据具体的业务场景确定权限等级。可以理解的是,可预先根据不同的业务场景制定不同的权限等级,可将业务场景与权限等级的对应关系存储至表中,以根据该表确定具体的业务场景对应的权限等级。当确定权限等级后,若当前业务场景对应的权限等级小于预设权限等级阈值,说明该业务场景下权限要求较低,则可切换至标准鉴权模式,即为用户-角色-权限的权限控制模式。相应的,若当前业务场景对应的权限等级大于或等于预设权限等级阈值,说明该业务场景下权限要求较高,则可切换至精细鉴权模式,即为用户-权限或角色-权限的权限控制模式。本实施例并不限定预设权限等级阈值的具体大小,可根据实际情况进行设定。
S102、当接收到用户请求时,拦截用户请求,并判断用户请求中的令牌信息是否合法。
本实施例并不限定用户请求的具体内容,可根据实际需求进行设定,例如可以是请求厂商设备进行数据获取的请求。可以理解的是,令牌信息是用户或设备用于表明身份信息的凭证。若用户请求中未携带令牌信息,则直接返回错误信息或拒绝用户请求。若用户请求中携带令牌信息,则需要进一步判断令牌信息的合法性。
本实施例并不限定判断用户请求中的令牌信息是否合法的具体方式。在一种具体的实施例中,判断用户请求中的令牌信息是否合法,可以包括:
根据用户请求中的令牌信息的特征,确定令牌信息的令牌类型;
在令牌类型下,确定是否存在令牌信息对应的权限信息。
本实施例根据用户请求中令牌信息的特征,确定令牌信息的令牌类型。可以理解的是,令牌信息的特征可以是http请求头或用户请求对应请求链接中的参数值,例如,当用户请求的令牌信息为authorization字段即为token令牌,则代表账号密码类型;当用户请求的令牌信息为access字段即为三方鉴权令牌,代表三方授权码类型。当确定令牌信息的令牌类型后,即可在该令牌类型下,确定是否存在令牌信息对应的权限信息,具体的,若存在该令牌信息对应的权限信息,则表示用户请求中的令牌信息合法;若不存在该令牌信息对应的权限信息,则表示用户请求中的令牌信息不合法。
本实施例并不限定根据令牌类型确定是否存在令牌信息对应的权限信息的具体方式。在一种具体的实施例中,在令牌类型下,确定是否存在令牌信息对应的权限信息,可以包括:
若令牌信息属于账号密码类型,则返回功能权限信息和设备权限信息,并判断功能权限信息和设备权限信息中是否存在令牌信息对应的权限信息;
若令牌信息属于三方授权码类型,则返回设备权限信息,并判断设备权限信息中是否存在令牌信息对应的权限信息。
本实施例中若令牌信息属于账号密码类型,则返回功能权限信息和设备权限信息。可以理解的是,功能权限信息代表常规的标准鉴权模式即用户-角色-权限的权限控制模式对应的权限配置信息。图2为本实施例提供的标准鉴权模式的权限配置示意图。标准鉴权模式下,权限信息与角色绑定,用户拥有什么角色,角色将会关联设备权限信息,则根据角色关联的权限信息,用户即为拥有了对应的设备请求权限。例如,角色A关联用户设备1,设备2权限,用户3关联了角色A,则最终用户3拥有设备1,2的权限。设备权限信息代表本申请提出的精细鉴权模式即用户-权限或角色-权限的权限控制模式对应的权限配置信息。图3a为本实施例提供的精细鉴权模式的一种权限配置示意图,图3b为本实施例提供的精细鉴权模式的另一种权限配置示意图。精细鉴权模式,权限信息直接关联到用户或者角色,如果关联至角色,那对应拥有角色的用户也将拥有对应权限。例如,角色A拥有用户设备1,设备2权限,用户张三拥有设备3权限,用户张三还关联了角色A,则最终用户张三拥有设备1,2,3的权限。可以理解的是,若令牌信息属于账号密码类型,返回功能权限信息和设备权限信息,并用账号密码的形式解析令牌信息,确定是哪个用户,再从功能权限信息和设备权限信息中查看是否存在该用户对应的权限信息,若存在,则合法;若不存在,则不合法。同理,若令牌信息属于三方授权码类型,返回设备权限信息,并用三方授权码的形式解析令牌信息,确定是哪个用户,再从设备权限信息中查看是否存在该用户对应的权限信息,若存在,则合法;若不存在,则不合法。
S103、若是,则根据令牌信息与目标鉴权模式,检测用户请求的合法性。
本实施例在确定了用户请求中的令牌信息合法后,还需进一步判断用户请求是否合法。本实施例中根据令牌信息和当前的鉴权模式即目标鉴权模式,来判断用户请求的合法性。
本实施例并不限定判断用户请求是否合法的具体方式,需根据具体的令牌信息和具体的目标鉴权模式而定。在一种具体的实施例中,根据令牌信息与目标鉴权模式,检测用户请求的合法性,可以包括:
解析令牌信息,得到用户信息;
判断目标鉴权模式对应的权限关联表中是否存在用户信息对应的权限信息。
本实施例首先通过解析令牌信息得到用户信息,本实施例并不限定用户信息的具体内容,可以包含用户ID,还可以包含用户角色。在得到用户信息后,通过目标鉴权模式对应的权限关联表中查看是否存在该用户信息对应的权限信息,若存在,则代表用户请求合法;若不存在,则代表用户请求不合法。本实施例并不限定权限关联表的具体内容,只要能够根据用户或角色信息,匹配到对应的权限即可。例如,若令牌信息属于账号密码类型,利用账号密码的方式解析令牌信息得到用户ID和角色信息,然后根据用户ID与角色信息对应设计的权限关联表进行关联查询,获取得到当前请求的用户的权限信息。若令牌信息属于三方授权码类型,利用三方授权码的方式解析令牌信息得到用户ID,然后根据用户ID对应设计的权限关联表进行关联查询,获取得到当前请求的用户的权限信息。在一种具体的实施例中,根据令牌信息与目标鉴权模式,检测用户请求的合法性,可以包括:
当目标鉴权模式为用户-权限的权限控制模式时,解析令牌信息,得到用户ID;
判断用户-权限的权限控制模式对应的权限关联表中是否存在用户ID对应的权限信息。
S104、若用户请求合法,则将用户请求发送至网络安全能力中心,以使网络安全能力中心进行业务逻辑处理。
本实施例在确定了用户请求合法后,将用户请求发送到网络安全能力中心,以使网络安全能力中心进行业务逻辑处理。本实施例并不限定网络安全能力中心进行业务逻辑处理的具体内容,可根据实际请求而定,属于本申请提出的鉴权方案的后续操作。
基于上述技术方案,本实施例可根据当前业务需求,可灵活切换至需要的鉴权模式即目标鉴权模式,即使在权限要求较高的情况下,也能切换至对应的鉴权模式,提高了系统的安全性能,避免了相关技术中只能使用常规的单一鉴权模式,且该模式只能适用于权限要求不高,难以满足安全性能需求的缺陷。
以下提供一种鉴权中心系统,包括鉴权中心,网络安全能力中心(简称能力中心)。本实施例中鉴权模式分为标准模式和精细模式。
标准模式权限说明:用户-1:n-角色-1:n-权限控制,批量权限管控。适用于权限要求细粒度低的,对用户,角色进行批量鉴权场景。精细模式权限说明:用户-1:n-设备请求,每个用户直接关联权限信息。适用于人员权限把控要求高,落实到每个用户独立权限管理的场景,配置简单模式切换:鉴权模式维护在系统的全局变量中,通过拥有超级管理员权限的账号进行请求鉴权中心进行切换,配置复杂;具体的,鉴权中心支持通过拥有超级管理员权限的用户在前端点击切换按钮,前端发送切换请求一键转换标准模式与精细模式。
图4为本实施例提供的一种系统交互时序示意图,过程如下:
1、用户携带令牌信息请求能力中心标准接口;
2、鉴权中心拦截用户请求,校验是否存在合法令牌信息,不存在直接返回错误信息;图5为本实施例提供的令牌校验逻辑示意图。用户向能力中心发送用户请求时,在请求的报文信息中携带令牌信息,鉴权中心根据令牌特征定位令牌类型,根据不同的令牌类型关联找到最终的用户信息。
3、如果令牌信息合法,则进行校验用户请求是否合法,根据当前鉴权模式与令牌信息进行判断,若非法请求则直接返回;图6为本实施例提供的鉴权逻辑示意图。根据获取到的用户信息,在根据鉴权中心内部目前所启用的鉴权模式即当前鉴权模式进行路由到对应的模式内进行判断,获取用户在当前模式配置下权限信息校验用户请求是否拥有权限,如果权限符合则转发至能力中心。
4、若用户请求合法,则将用户请求转发至能力中心,由能力中心进行参数组装并校验;
5、将标准接口对应的参数与接口转发请求至实际的厂商设备或者服务进行数据获取或处理。
6、返回处理结果。
基于上述技术方案,本实施例提供的鉴权中心系统,能力中心在进行权限控制时,降低了模式切换与配置修改给鉴权带来困难,鉴权模式从常规的单一功能的鉴权,增加精细权限控制,细粒度更高;方便了能力中心管理者对于不同场景下对于权限把控的切换更加便捷,便于管理者更好控制对于权限把控的粗细粒度。
下面对本申请实施例提供的一种鉴权装置进行介绍,下文描述的鉴权装置与上文描述的鉴权方法可相互对应参照,相关模块均设置于中,参考图7,图7为本申请实施例所提供的一种鉴权装置的结构示意图,包括:
在一些具体的实施例中,具体包括:
切换模块701,用于根据当前业务需求,切换至目标鉴权模式;
拦截模块702,用于当接收到用户请求时,拦截用户请求,并判断用户请求中的令牌信息是否合法;
检测模块703,用于若是,则根据令牌信息与目标鉴权模式,检测用户请求的合法性;
发送模块704,用于若用户请求合法,则将用户请求发送至网络安全能力中心,以使网络安全能力中心进行业务逻辑处理。
在一些具体的实施例中,拦截模块702,包括:
第一确定单元,用于根据用户请求中的令牌信息的特征,确定令牌信息的令牌类型;
第二确定单元,用于在令牌类型下,确定是否存在令牌信息对应的权限信息。
在一些具体的实施例中,第二确定单元,包括:
第一判断子单元,用于若令牌信息属于账号密码类型,则返回功能权限信息和设备权限信息,并判断功能权限信息和设备权限信息中是否存在令牌信息对应的权限信息;
第二判断子单元,用于若令牌信息属于三方授权码类型,则返回设备权限信息,并判断设备权限信息中是否存在令牌信息对应的权限信息。
在一些具体的实施例中,检测模块703,包括:
第一解析单元,用于解析令牌信息,得到用户信息;
第一判断单元,用于判断目标鉴权模式对应的权限关联表中是否存在用户信息对应的权限信息。
在一些具体的实施例中,切换模块701,包括:
第三确定单元,用于根据当前业务需求对应的业务场景,确定权限等级;
第一切换单元,用于若权限等级小于预设权限等级阈值,则切换至标准鉴权模式,并将标准鉴权模式作为目标鉴权模式;标准鉴权模式为用户-角色-权限的权限控制模式;
第二切换单元,用于若权限等级大于或等于预设权限等级阈值,则切换至精细鉴权模式,并将精细鉴权模式作为目标鉴权模式;精细鉴权模式中用户-权限或角色-权限的权限控制模式。
在一些具体的实施例中,检测模块703,包括:
第二解析单元,用于当目标鉴权模式为用户-权限的权限控制模式时,解析令牌信息,得到用户ID;
第二判断单元,用于判断用户-权限的权限控制模式对应的权限关联表中是否存在用户ID对应的权限信息。
由于鉴权装置部分的实施例与鉴权方法部分的实施例相互对应,因此鉴权装置部分的实施例请参见鉴权方法部分的实施例的描述,这里暂不赘述。
本申请还公开一种鉴权系统,包括:
请求方,用于发送用户请求至服务器;
服务器,用于执行上述鉴权方法的步骤;服务器包括鉴权中心和网络安全能力中心;
其中,鉴权中心,用于拦截用户请求,并判断用户请求中的令牌信息是否合法;若是,则将用户请求发送至网络安全能力中心;网络安全能力中心,用于接收用户请求,并根据用户请求进行业务逻辑处理。
由于鉴权系统部分的实施例与鉴权方法部分的实施例相互对应,因此鉴权系统部分的实施例请参见鉴权方法部分的实施例的描述,这里暂不赘述。
下面对本申请实施例提供的一种电子设备进行介绍,下文描述的电子设备与上文描述的鉴权方法可相互对应参照。
本申请还公开一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述鉴权方法的步骤。
由于电子设备部分的实施例与鉴权方法部分的实施例相互对应,因此电子设备部分的实施例请参见鉴权方法部分的实施例的描述,这里暂不赘述。
下面对本申请实施例提供的一种计算机可读存储介质进行介绍,下文描述的计算机可读存储介质与上文描述的鉴权方法可相互对应参照。
本申请还公开一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述鉴权方法的步骤。
由于计算机可读存储介质部分的实施例与鉴权方法部分的实施例相互对应,因此计算机可读存储介质部分的实施例请参见鉴权方法部分的实施例的描述,这里暂不赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种鉴权方法、装置、系统、电子设备及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (9)
1.一种鉴权方法,其特征在于,包括:
根据当前业务需求,切换至目标鉴权模式;
当接收到用户请求时,拦截所述用户请求,并判断所述用户请求中的令牌信息是否合法;
若是,则根据所述令牌信息与所述目标鉴权模式,检测所述用户请求的合法性;
若所述用户请求合法,则将所述用户请求发送至网络安全能力中心,以使所述网络安全能力中心进行业务逻辑处理;
所述根据当前业务需求,切换至目标鉴权模式,具体包括:
根据所述当前业务需求对应的业务场景,确定权限等级;
若所述权限等级小于预设权限等级阈值,则切换至标准鉴权模式,并将所述标准鉴权模式作为所述目标鉴权模式;所述标准鉴权模式为用户-角色-权限的权限控制模式;
若所述权限等级大于或等于预设权限等级阈值,则切换至精细鉴权模式,并将所述精细鉴权模式作为所述目标鉴权模式;所述精细鉴权模式为用户-权限或角色-权限的权限控制模式。
2.根据权利要求1所述的鉴权方法,其特征在于,所述判断所述用户请求中的令牌信息是否合法,包括:
根据所述用户请求中的令牌信息的特征,确定所述令牌信息的令牌类型;
在所述令牌类型下,确定是否存在所述令牌信息对应的权限信息。
3.根据权利要求2所述的鉴权方法,其特征在于,所述在所述令牌类型下,确定是否存在所述令牌信息对应的权限信息,包括:
若所述令牌类型属于账号密码类型,则返回功能权限信息和设备权限信息,并判断所述功能权限信息和所述设备权限信息中是否存在所述令牌信息对应的权限信息,所述功能权限信息代表常规的标准鉴权模式即用户-角色-权限的权限控制模式对应的权限配置信息,所述设备权限信息代表本申请提出的精细鉴权模式即用户-权限或角色-权限的权限控制模式对应的权限配置信息;
若所述令牌类型属于三方授权码类型,则返回所述设备权限信息,并判断所述设备权限信息中是否存在所述令牌信息对应的权限信息。
4.根据权利要求1所述的鉴权方法,其特征在于,所述根据所述令牌信息与所述目标鉴权模式,检测所述用户请求的合法性,包括:
解析所述令牌信息,得到用户信息;
判断所述目标鉴权模式对应的权限关联表中是否存在所述用户信息对应的权限信息。
5.根据权利要求1所述的鉴权方法,其特征在于,所述根据所述令牌信息与所述目标鉴权模式,检测所述用户请求的合法性,包括:
当所述目标鉴权模式为用户-权限的权限控制模式时,解析所述令牌信息,得到用户ID;
判断所述用户-权限的权限控制模式对应的权限关联表中是否存在所述用户ID对应的权限信息。
6.一种鉴权装置,其特征在于,包括:
切换模块,用于根据当前业务需求,切换至目标鉴权模式;
拦截模块,用于当接收到用户请求时,拦截所述用户请求,并判断所述用户请求中的令牌信息是否合法;
检测模块,用于若是,则根据所述令牌信息与所述目标鉴权模式,检测所述用户请求的合法性;
发送模块,用于若所述用户请求合法,则将所述用户请求发送至网络安全能力中心,以使所述网络安全能力中心进行业务逻辑处理;
所述切换模块,具体用于:
根据所述当前业务需求对应的业务场景,确定权限等级;
若所述权限等级小于预设权限等级阈值,则切换至标准鉴权模式,并将所述标准鉴权模式作为所述目标鉴权模式;所述标准鉴权模式为用户-角色-权限的权限控制模式;
若所述权限等级大于或等于预设权限等级阈值,则切换至精细鉴权模式,并将所述精细鉴权模式作为所述目标鉴权模式;所述精细鉴权模式为用户-权限或角色-权限的权限控制模式。
7.一种鉴权系统,其特征在于,包括:
请求方,用于发送用户请求至服务器;
服务器,用于执行权利要求1至5任一项所述鉴权方法的步骤;所述服务器包括鉴权中心和网络安全能力中心;
其中,所述鉴权中心,用于拦截所述用户请求,并判断所述用户请求中的令牌信息是否合法;若是,则将所述用户请求发送至所述网络安全能力中心;所述网络安全能力中心,用于接收所述用户请求,并根据所述用户请求进行业务逻辑处理。
8.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述鉴权方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述鉴权方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110577341.5A CN113297629B (zh) | 2021-05-26 | 2021-05-26 | 一种鉴权方法、装置、系统、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110577341.5A CN113297629B (zh) | 2021-05-26 | 2021-05-26 | 一种鉴权方法、装置、系统、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113297629A CN113297629A (zh) | 2021-08-24 |
| CN113297629B true CN113297629B (zh) | 2023-03-14 |
Family
ID=77325188
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110577341.5A Active CN113297629B (zh) | 2021-05-26 | 2021-05-26 | 一种鉴权方法、装置、系统、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113297629B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005149121A (ja) * | 2003-11-14 | 2005-06-09 | Ricoh Co Ltd | セキュリティ確保支援プログラム及びそのプログラムを実行するサーバ装置並びにそのプログラムを記憶した記憶媒体 |
| CN101052032A (zh) * | 2006-04-04 | 2007-10-10 | 华为技术有限公司 | 一种业务实体认证方法及装置 |
| CN101197711A (zh) * | 2007-12-06 | 2008-06-11 | 华为技术有限公司 | 一种实现统一鉴权管理的方法、装置及系统 |
| CN101471939A (zh) * | 2007-12-28 | 2009-07-01 | 中国科学院声学研究所 | Soa架构的融合业务系统中的多次用户认证鉴权方法 |
| CN101707771A (zh) * | 2009-11-17 | 2010-05-12 | 中兴通讯股份有限公司 | 网络鉴权系统及网络侧接受终端接入的方法 |
| CN102984169A (zh) * | 2012-12-11 | 2013-03-20 | 中广核工程有限公司 | 单点登录方法、设备及系统 |
| KR20130133987A (ko) * | 2012-05-30 | 2013-12-10 | 모다정보통신 주식회사 | M2m 통신에서 리소스 접근 권한 설정 방법 |
| CN104378348A (zh) * | 2014-09-17 | 2015-02-25 | 酷派软件技术(深圳)有限公司 | 一种数据链路鉴权方法及装置 |
| CN107517179A (zh) * | 2016-06-15 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 一种鉴权方法、装置和系统 |
| CN109617926A (zh) * | 2019-01-28 | 2019-04-12 | 广东淘家科技有限公司 | 业务权限的控制方法、装置和存储介质 |
| CN110113369A (zh) * | 2019-06-27 | 2019-08-09 | 无锡华云数据技术服务有限公司 | 一种基于角色权限控制的鉴权方法 |
| CN111698312A (zh) * | 2020-06-08 | 2020-09-22 | 中国建设银行股份有限公司 | 基于开放平台的业务处理方法、装置、设备和存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105072135B (zh) * | 2015-09-02 | 2018-11-30 | 中国地质大学(武汉) | 一种云文件共享的授权鉴权方法及系统 |
-
2021
- 2021-05-26 CN CN202110577341.5A patent/CN113297629B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005149121A (ja) * | 2003-11-14 | 2005-06-09 | Ricoh Co Ltd | セキュリティ確保支援プログラム及びそのプログラムを実行するサーバ装置並びにそのプログラムを記憶した記憶媒体 |
| CN101052032A (zh) * | 2006-04-04 | 2007-10-10 | 华为技术有限公司 | 一种业务实体认证方法及装置 |
| CN101197711A (zh) * | 2007-12-06 | 2008-06-11 | 华为技术有限公司 | 一种实现统一鉴权管理的方法、装置及系统 |
| CN101471939A (zh) * | 2007-12-28 | 2009-07-01 | 中国科学院声学研究所 | Soa架构的融合业务系统中的多次用户认证鉴权方法 |
| CN101707771A (zh) * | 2009-11-17 | 2010-05-12 | 中兴通讯股份有限公司 | 网络鉴权系统及网络侧接受终端接入的方法 |
| KR20130133987A (ko) * | 2012-05-30 | 2013-12-10 | 모다정보통신 주식회사 | M2m 통신에서 리소스 접근 권한 설정 방법 |
| CN102984169A (zh) * | 2012-12-11 | 2013-03-20 | 中广核工程有限公司 | 单点登录方法、设备及系统 |
| CN104378348A (zh) * | 2014-09-17 | 2015-02-25 | 酷派软件技术(深圳)有限公司 | 一种数据链路鉴权方法及装置 |
| CN107517179A (zh) * | 2016-06-15 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 一种鉴权方法、装置和系统 |
| CN109617926A (zh) * | 2019-01-28 | 2019-04-12 | 广东淘家科技有限公司 | 业务权限的控制方法、装置和存储介质 |
| CN110113369A (zh) * | 2019-06-27 | 2019-08-09 | 无锡华云数据技术服务有限公司 | 一种基于角色权限控制的鉴权方法 |
| CN111698312A (zh) * | 2020-06-08 | 2020-09-22 | 中国建设银行股份有限公司 | 基于开放平台的业务处理方法、装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113297629A (zh) | 2021-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9742757B2 (en) | Identifying and destroying potentially misappropriated access tokens | |
| CN112073400B (zh) | 一种访问控制方法、系统、装置及计算设备 | |
| US6199113B1 (en) | Apparatus and method for providing trusted network security | |
| CN110941844B (zh) | 一种认证鉴权方法、系统、电子设备及可读存储介质 | |
| US9781096B2 (en) | System and method for out-of-band application authentication | |
| CN105933245B (zh) | 一种软件定义网络中安全的可信接入方法 | |
| US11570203B2 (en) | Edge network-based account protection service | |
| US7451209B1 (en) | Improving reliability and availability of a load balanced server | |
| CN110365483B (zh) | 云平台认证方法、客户端、中间件及系统 | |
| CN113672897B (zh) | 数据通信方法、装置、电子设备及存储介质 | |
| JP2016524248A (ja) | 身元情報の窃盗又は複製行為から保護する方法及びシステム | |
| US20090113528A1 (en) | Techniques for authentication via network connections | |
| US9787678B2 (en) | Multifactor authentication for mail server access | |
| US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
| CN116319024B (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
| CN106789858B (zh) | 一种访问控制方法和装置以及服务器 | |
| CN116647572B (zh) | 访问端点切换方法、装置、电子设备及存储介质 | |
| CN111131140B (zh) | 基于消息推送增强Windows操作系统登录安全性的方法和系统 | |
| WO2023125147A1 (zh) | 物联网定向访问管控方法与系统 | |
| CN113297629B (zh) | 一种鉴权方法、装置、系统、电子设备和存储介质 | |
| CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
| CN111064731B (zh) | 一种浏览器请求的访问权限的识别方法、识别装置及终端 | |
| CN107045603A (zh) | 一种应用的调用控制方法和装置 | |
| CN115664686A (zh) | 一种登录方法、装置、计算机设备和存储介质 | |
| CN114157472A (zh) | 一种网络访问控制方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |