CN113612806B - 一种安全网络服务方法、装置、电子设备及介质 - Google Patents
一种安全网络服务方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN113612806B CN113612806B CN202111173448.XA CN202111173448A CN113612806B CN 113612806 B CN113612806 B CN 113612806B CN 202111173448 A CN202111173448 A CN 202111173448A CN 113612806 B CN113612806 B CN 113612806B
- Authority
- CN
- China
- Prior art keywords
- user
- network service
- user identity
- webpage access
- container
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开一种安全网络服务方法、装置、电子设备及介质,属于网络安全技术领域,特别涉及一种安全网络服务方法,包括:接收用户发送的访问网页请求;从访问网页请求中获取用户身份标识,根据预设的安全访问控制策略和用户身份标识检测用户身份权限;在用户身份权限为已授权的情形下,向授权服务器发送页面权限请求;接收授权服务器返回的页面权限响应,在页面权限响应为具有权限的情形下,将访问网页请求发送至网络服务容器;在接收到网络服务容器返回的网页访问响应时,向网页访问响应中叠加控制组件,得到处理后的网页访问响应,将处理后的网页访问响应发送给用户。本发明通过采用非侵入式技术,不需要修改被保护的网络服务容器,部署简易快捷。
Description
技术领域
本发明属于计算机技术领域,特别涉及一种安全网络服务方法、装置、电子设备及介质。
背景技术
在云计算领域,整个业界在向容器化转型,基于容器的集群计算成为企业计算的标准形式。容器(container)是一种打包了代码及其所有依赖的软件,用于在不同 的计算环境下以一致的行为运行。在容器云环境下,对外提供一项网络服务只需要部署一个容器即可,因此云计算集群中通常运行着很多个容器。
本发明人经研究发现,现有技术中,为这些容器添加安全保护机制通常需要修改容器本身,例如修改容器中运行的网络服务的网页,添加用户注册、登录、登出等页面。这种方式要求对云计算集群中的每一个容器都进行修改,较为繁琐,另外对于第三方提供的或者没有修改权限的容器,这种方式则根本无法实现。
发明内容
为了至少解决上述技术问题,本发明公开在无需修改容器本身的情况下,为容器添加安全保护机制。具体提供了一种安全网络服务方法、装置、电子设备及介质。
根据本发明第一方面,提供了一种安全网络服务方法,包括:
接收用户发送的访问网页请求;
从访问网页请求中获取用户身份标识,根据预设的安全访问控制策略和用户身份标识检测用户身份权限;
在用户身份权限为已授权的情形下,向授权服务器发送页面权限请求;
接收授权服务器返回的页面权限响应,在页面权限响应为具有权限的情形下,将访问网页请求发送至网络服务容器;
在接收到网络服务容器返回的网页访问响应时,向网页访问响应中叠加控制组件,得到处理后的网页访问响应,将处理后的网页访问响应发送给用户。
进一步的,
所述接收用户发送的访问网页请求时,还包括:
检测用户是否为首次登录,在检测到用户为首次登录的情形下,为用户设置身份信息,生成用户身份标识,将用户的身份信息以加密 Cookie 的形式存储在用户的浏览器中。
进一步的,所述接收用户发送的访问网页请求前包括:采用非授权移动接入协议,在授权服务器中设置网络服务的安全访问控制策略。
进一步的,所述根据预设的安全访问控制策略和用户身份标识检测用户身份权限,包括:
在安全访问控制策略为所有的网页都必须登录的情形下,从访问网页请求中获取用户身份标识,根据用户身份标识检测用户登录状态。
进一步的,所述在用户身份权限为已授权的情形下,向授权服务器发送页面权限请求,包括:
在用户登录状态为已登录时,判定用户身份权限为已授权,向授权服务器发送页面权限请求。
进一步的,在所述用户登陆状态为未登录时,判定用户身份权限未授权,跳转至登录页面,进行用户登录。
进一步的,所述向网页访问响应中叠加控制组件,包括:
向网页访问响应中自动添加具有退出账号、查看用户详细信息功能的浮动窗口。
进一步的,所述方法还包括:
预先为处于云计算集群中的每个网络服务容器配置一个安全访问控制容器,使得每个网络服务容器都存在一个与之对应的安全访问控制容器。
进一步的,所述方法还包括:
实时监控云计算集群中的网络服务容器,在检测到有开发者在云计算集群中新创建了一个网络服务容器时,检查网络服务容器上携带的标签并进行判断,在判定需要应用安全保护控制的情形下,修改网络服务容器的配置,为网络服务容器增设一个安全访问控制容器。
进一步的,所述在所述用户登陆状态为未登录时,判定用户身份权限未授权,跳转至登录页面,进行用户登录,包括:
用户处于未登录的情形下,判定用户身份权限未授权,采用安全访问控制容器禁止用户访问网页,重定向至授权服务器的登录页面,使用户根据需要使用的用户名和密码进行登录。
根据本发明第二方面,提供一种安全网络服务装置,包括:
接收模块,用于接收用户发送的访问网页请求;
身份检测模块,用于从访问网页请求中获取用户身份标识,根据预设的安全访问控制策略和用户身份标识检测用户身份权限;
请求模块,用于在用户身份权限为已授权的情形下,向授权服务器发送页面权限请求;
控制模块,用于接收授权服务器返回的页面权限响应,在页面权限响应为具有权限的情形下,将访问网页请求发送至网络服务容器;
处理模块,用于在接收到网络服务容器返回的网页访问响应时,向网页访问响应中叠加控制组件,得到处理后的网页访问响应,将处理后的网页访问响应发送给用户。
根据本发明第三方面,一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,
所述处理器执行所述程序时实现本发明第一方面任一项所述方法的步骤。
根据本发明第四方面,一种计算机可读存储介质,所述计算机可读存储介质存储有程序,所述程序被执行时,能够实现如本发明第一方面任一项所述的方法。
本发明的有益效果:采用非侵入式技术,不需要修改被保护的网络服务容器,部署简易快捷,流程标准化,采用安全访问控制容器机制,无需修改网络服务容器,即可提供安全保护机制,另外,本发明兼容现有的主流安全访问机制,兼容性更强。
附图说明
本发明上述的和 / 或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中,
图1为本发明提供的一种安全网络服务方法流程图;
图2本发明提供的一种安全网络服务方法数据流示意图;
图3为本发明提供的一种安全网络服务方法多点服务示意图;
图4为本发明提供的另一种安全网络服务方法流程图;
图5为本发明提供的一种安全网络服务装置结构示意图;
图6为本发明提供的一种电子设备结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
为了更清楚地说明本发明,下面结合优选实施例和附图对本发明做进一步的说明。附图中相似的部件以相同的附图标记进行表示。本领域技术人员应当理解,下面所具体描述的内容是说明性的而非限制性的,不应以此限制本发明的保护范围。
在本发明的第一方面,提供一种安全网络服务方法,如图1所示,包括:
步骤101:接收用户发送的访问网页请求;
在本发明中,可以预先通过UMA(User Managed Access,用户管理访问)协议在授权服务器中定义网络服务的安全访问控制策略,例如:所有的网页都必须登录以后才能查看,或者某个网页只有管理员用户才能查看。然后,等待用户发送访问网络服务中某个网页的请求,接收用户发送的访问网页请求。
步骤102:从访问网页请求中获取用户身份标识,根据预设的安全访问控制策略和用户身份标识检测用户身份权限;
本发明中,在安全访问控制策略为所有的网页都必须登录的情形下进行阐述。从访问网页请求中获取用户身份标识,根据用户身份标识检测用户登录状态;
从接收到的访问网页请求中获取用户身份标志位,以此获取到用户身份标识。进一步的,用户身份标志位可以为Cookie,具体可以从接收到的访问网页请求中获取携带的Cookie,对Cookie进行解析,得到用户身份标识,并对用户身份标识判断用户的登录情况。
步骤103:在用户身份权限为已授权的情形下,向授权服务器发送页面权限请求;
本发明中,检测用户登录状态,在用户登录状态为已登录时,判定用户身份权限,若用户身份权限为已授权,则向授权服务器发送页面权限请求;
进一步的,在用户登录状态为已登录的情形下,向授权服务器询问该用户是否具有访问所请求的页面的权限,具体可以向授权服务器发送页面权限请求。
在本发明的另一个实施例中,在用户未登录的情形下,跳转至登录页面,进行用户登录;
进一步的,用户处于未登录的情形下,采用安全访问控制容器禁止用户访问网页,重定向至授权服务器的登录页面,使用户根据需要使用的用户名和密码进行登录。
在用户登录后,授权服务器将用户重定向至安全访问控制容器,安全访问控制容器将用户的身份信息以加密Cookie 的形式存储在用户的浏览器中。登录过程中用户与授权服务器、安全访问控制容器的通信通过开放授权、OIDC(Open Id Connect,身份认证)协议进行安全保护,防止密码泄露,其中,开放授权可以为OAuth2。
需要说明的是,预先在处于云计算集群中的每个网络服务都配置一个容器,也就是说,每个网络都存在一个与之对应的容器,即安全访问控制容器。
进一步的,实时监控云计算集群中的网络服务容器,在检测到有开发者在云计算集群中新创建了一个网络服务容器时,进一步检查网络服务容器上携带的标签,在判定需要应用安全保护控制的情形下,修改网络服务容器的配置,为其增加一个安全访问控制容器。
采用本发明方法,网络服务的开发者只需要简单配置即可,自动为其创建的网络服务容器注入一个安全访问控制容器,操作简单、容易执行。
网络服务容器与安全访问控制容器采用一对一配置方式,安全半径比较小,与在整个集群之前部署一个安全访问控制容器的方案相比,有效克服了只要突破一层防线,就能访问所有网络服务的缺陷。
本发明中,授权服务器是一个独立的系统,其内部可以设置非常细致的安全访问控制策略,多个网络服务可以共享认证与授权系统,用户在一个网络服务登录后,再访问另一个网络服务就不需要再次登录,实现了安全性与灵活性的结合。
步骤104:接收授权服务器返回的页面权限响应,在页面权限响应为具有权限的情形下,将访问网页请求发送至网络服务容器;
在本发明中,在接收到授权服务器返回的页面权限响应时,对用户访问权限进行判断,如果用户没有权限,安全访问控制容器将拒绝用户的此次访问网页请求。
如果用户拥有权限,安全访问控制容器将用户的请求转发给网络服务容器,等待获得网络服务容器返回的响应。
步骤105:在接收到网络服务容器返回的网页访问响应时,向网页访问响应中叠加控制组件,得到处理后的网页访问响应,将处理后的网页访问响应发送给用户。
本发明中,接收到网络服务容器返回的网页访问响应时,修改网络服务容器返回的该响应,具体可以注入代码。
进一步的,向网页访问响应中自动添加一个控制组件,例如浮动窗口,增加退出账号、查看用户详细信息等功能模块,以此得到处理后的网页访问响应。
在本发明另一实施例中,在通过访问网页请求检测到用户为首次登录的情形下,安全访问控制容器将用户的身份信息以加密 Cookie 的形式存储在用户的浏览器中。
本发明中,云计算集群中通常运行着很多个网络服务容器,为它们配置安全保护机制只需要在每个网络服务容器的前面部署一个安全访问控制容器即可。
在本发明第二方面,提供一种安全网络服务装置,如图5所示,包括:
接收模块501,用于接收用户发送的访问网页请求;
在本发明中,装置可以预先通过UMA(User Managed Access,用户管理访问)协议在授权服务器中定义网络服务的安全访问控制策略,例如:所有的网页都必须登录以后才能查看,或者某个网页只有管理员用户才能查看。然后,等待用户发送访问网络服务中某个网页的请求,接收用户发送的访问网页请求。
身份检测模块502,用于从访问网页请求中获取用户身份标识,根据预设的安全访问控制策略和用户身份标识检测用户身份权限;
本发明中,在安全访问控制策略为所有的网页都必须登录的情形下进行阐述。身份检测模块502,具体用于从访问网页请求中获取用户身份标识,根据用户身份标识检测用户登录状态;
从接收到的访问网页请求中获取用户身份标志位,以此获取到用户身份标识。进一步的,用户身份标志位可以为Cookie,具体可以从接收到的访问网页请求中获取携带的Cookie,对Cookie进行解析,得到用户身份标识,并对用户身份标识判断用户的登录情况。
请求模块503,用于在用户身份权限为已授权的情形下,向授权服务器发送页面权限请求;
本发明中,请求模块503,具体用于在用户登录状态为已登录时,判定用户身份权限为已授权,向授权服务器发送页面权限请求;
进一步的,请求模块503在用户登录状态为已登录的情形下,向授权服务器询问该用户是否具有访问所请求的页面的权限,具体可以向授权服务器发送页面权限请求。
在本发明的另一个实施例中,装置包括登录模块,用于在用户未登录的情形下,跳转至登录页面,进行用户登录;
进一步的,如果用户没有登录,安全访问控制容器不会允许用户访问网页,而是将重定向至授权服务器的登录页面,使用户根据需要使用的用户名和密码进行登录。
本发明中,在用户登录后,授权服务器将用户重定向至安全访问控制容器,安全访问控制容器将用户的身份信息以加密Cookie 的形式存储在用户的浏览器中。登录过程中用户与授权服务器、安全访问控制容器的通信通过开放授权、OIDC(Open Id Connect,身份认证)协议进行安全保护,防止密码泄露,其中,开放授权可以为OAuth2。
控制模块504,用于接收授权服务器返回的页面权限响应,在页面权限响应为具有权限的情形下,将访问网页请求发送至网络服务容器;
在本发明中,控制模块504,具体用于在接收到授权服务器返回的页面权限响应时,对用户访问权限进行判断,如果用户没有权限,安全访问控制容器将拒绝用户的此次访问网页请求。
如果用户拥有权限,安全访问控制容器将用户的请求转发给网络服务容器,等待获得网络服务容器返回的响应。
处理模块505,用于在接收到网络服务容器返回的网页访问响应时,向网页访问响应中叠加控制组件,得到处理后的网页访问响应,将处理后的网页访问响应发送给用户。
本发明中,处理模块505,用于接收到网络服务容器返回的网页访问响应时,修改网络服务容器返回的该响应,具体可以注入代码。
进一步的,处理模块505向网页访问响应中自动添加一个控制组件,例如浮动窗口,增加退出账号、查看用户详细信息等功能模块,以此得到处理后的网页访问响应。
在本发明第三方面,提供一种电子设备,下面参考图6,其示出了适于用来实现本公开实施例的电子设备的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图6示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图6所示,电子设备可以包括处理装置(例如中央处理器、图形处理器等)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储装置606加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有电子设备操作所需的各种程序和数据。处理装置601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
通常,以下装置可以连接至I/O接口605:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置606;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置607;包括例如磁带、硬盘等的存储装置606;以及通信装置609。通信装置609可以允许电子设备与其他设备进行无线或有线通信以交换数据。虽然图6示出了具有各种装置的电子设备,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置609从网络上被下载和安装,或者从存储装置606被安装,或者从ROM 602被安装。在该计算机程序被处理装置601执行时,执行本公开实施例的方法中限定的上述功能。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:从第一设备接收语音信号;解析所述语音信号得到第二设备标识符以及第二设备控制指令;根据所述第二设备标识符向所述第二设备发送所述第二设备控制指令;从所述第二设备接收所述第二设备控制指令的执行结果;向所述第一设备发送所述第二设备控制指令的执行结果。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、 “一个”、 “所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和 / 或组件,但是并不排除存在或添加 一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时, 它可以直接连接或耦接到其他元件,或者也可以存在 中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语 ( 包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
应当理解,以上借助优选实施例对本发明的技术方案进行的详细说明是示意性的而非限制性的。本领域的普通技术人员在阅读本发明说明书的基础上可以对各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种安全网络服务方法,其特征在于,包括:
接收用户发送的访问网页请求;
从访问网页请求中获取用户身份标识,根据预设的安全访问控制策略和用户身份标识检测用户身份权限;
在用户身份权限为已授权的情形下,向授权服务器发送页面权限请求;
接收授权服务器返回的页面权限响应,在页面权限响应为具有权限的情形下,将访问网页请求发送至网络服务容器;
在接收到网络服务容器返回的网页访问响应时,向网页访问响应中叠加控制组件,得到处理后的网页访问响应,将处理后的网页访问响应发送给用户;
所述方法还包括:
预先为处于云计算集群中的每个网络服务容器配置一个安全访问控制容器,使得每个网络服务容器都存在一个与之对应的安全访问控制容器。
2.如权利要求1所述的方法,其特征在于,
所述接收用户发送的访问网页请求时,还包括:
检测用户是否为首次登录,在检测到用户为首次登录的情形下,为用户设置身份信息,生成用户身份标识,将用户的身份信息以加密 Cookie 的形式存储在用户的浏览器中。
3.如权利要求1所述的方法,其特征在于,
所述接收用户发送的访问网页请求前包括:预先通过用户管理访问协议在授权服务器中定义网络服务的安全访问控制策略。
4.如权利要求1所述的方法,其特征在于,
所述根据预设的安全访问控制策略和用户身份标识检测用户身份权限,包括:
在安全访问控制策略为所有的网页都必须登录的情形下,从访问网页请求中获取用户身份标识,根据用户身份标识检测用户登录状态。
5.如权利要求1所述的方法,其特征在于,
所述在用户身份权限为已授权的情形下,向授权服务器发送页面权限请求,包括:
在用户登录状态为已登录时,判定用户身份权限为已授权,向授权服务器发送页面权限请求。
6.如权利要求1所述的方法,其特征在于,
在所述用户登陆状态为未登录时,判定用户身份权限未授权,跳转至登录页面,进行用户登录。
7.如权利要求1所述的方法,其特征在于,
所述向网页访问响应中叠加控制组件,包括:
向网页访问响应中自动添加具有退出账号、查看用户详细信息功能的浮动窗口。
8.如权利要求1所述的方法,其特征在于,
所述方法还包括:
实时监控云计算集群中的网络服务容器,在检测到有开发者在云计算集群中新创建了一个网络服务容器时,检查网络服务容器上携带的标签并进行判断,在判定需要应用安全保护控制的情形下,修改网络服务容器的配置,为网络服务容器增设一个安全访问控制容器。
9.如权利要求6所述的方法,其特征在于,
所述在所述用户登陆状态为未登录时,判定用户身份权限未授权,跳转至登录页面,进行用户登录,包括:
用户处于未登录的情形下,判定用户身份权限未授权,采用安全访问控制容器禁止用户访问网页,重定向至授权服务器的登录页面,使用户根据需要使用的用户名和密码进行登录。
10.一种安全网络服务装置,其特征在于,包括:
接收模块,用于接收用户发送的访问网页请求;
身份检测模块,用于从访问网页请求中获取用户身份标识,根据预设的安全访问控制策略和用户身份标识检测用户身份权限;
请求模块,用于在用户身份权限为已授权的情形下,向授权服务器发送页面权限请求;
控制模块,用于接收授权服务器返回的页面权限响应,在页面权限响应为具有权限的情形下,将访问网页请求发送至网络服务容器;
处理模块,用于在接收到网络服务容器返回的网页访问响应时,向网页访问响应中叠加控制组件,得到处理后的网页访问响应,将处理后的网页访问响应发送给用户;
预先为处于云计算集群中的每个网络服务容器配置一个安全访问控制容器,使得每个网络服务容器都存在一个与之对应的安全访问控制容器。
11.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,
所述处理器执行所述程序时实现权利要求1-7任一项所述方法的步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有程序,所述程序被执行时,能够实现如权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111173448.XA CN113612806B (zh) | 2021-10-09 | 2021-10-09 | 一种安全网络服务方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111173448.XA CN113612806B (zh) | 2021-10-09 | 2021-10-09 | 一种安全网络服务方法、装置、电子设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113612806A CN113612806A (zh) | 2021-11-05 |
| CN113612806B true CN113612806B (zh) | 2021-12-17 |
Family
ID=78310834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111173448.XA Active CN113612806B (zh) | 2021-10-09 | 2021-10-09 | 一种安全网络服务方法、装置、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113612806B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115378669A (zh) * | 2022-08-05 | 2022-11-22 | 北京达佳互联信息技术有限公司 | 云端集成开发环境ide远程用户权限确认方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7340525B1 (en) * | 2003-01-24 | 2008-03-04 | Oracle International Corporation | Method and apparatus for single sign-on in a wireless environment |
| CN109302388A (zh) * | 2018-09-19 | 2019-02-01 | 平安科技(深圳)有限公司 | 访问权限过滤方法、系统、计算机设备和存储介质 |
| CN111209578A (zh) * | 2019-12-31 | 2020-05-29 | 网联清算有限公司 | 应用服务访问方法和装置 |
| WO2020133292A1 (zh) * | 2018-12-28 | 2020-07-02 | 深圳市优必选科技有限公司 | 业务访问的权限系统和方法 |
| CN113014593A (zh) * | 2021-03-12 | 2021-06-22 | 北京金山云网络技术有限公司 | 访问请求的鉴权方法及装置、存储介质、电子设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106569895B (zh) * | 2016-10-24 | 2020-12-22 | 华南理工大学 | 一种基于容器的多租户大数据平台构建方法 |
-
2021
- 2021-10-09 CN CN202111173448.XA patent/CN113612806B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7340525B1 (en) * | 2003-01-24 | 2008-03-04 | Oracle International Corporation | Method and apparatus for single sign-on in a wireless environment |
| CN109302388A (zh) * | 2018-09-19 | 2019-02-01 | 平安科技(深圳)有限公司 | 访问权限过滤方法、系统、计算机设备和存储介质 |
| WO2020133292A1 (zh) * | 2018-12-28 | 2020-07-02 | 深圳市优必选科技有限公司 | 业务访问的权限系统和方法 |
| CN111209578A (zh) * | 2019-12-31 | 2020-05-29 | 网联清算有限公司 | 应用服务访问方法和装置 |
| CN113014593A (zh) * | 2021-03-12 | 2021-06-22 | 北京金山云网络技术有限公司 | 访问请求的鉴权方法及装置、存储介质、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113612806A (zh) | 2021-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113711563B (zh) | 基于细粒度令牌的访问控制 | |
| CN106471466B (zh) | 短暂应用 | |
| CN113630377B (zh) | 托管移动设备的单点登录 | |
| EP4097944B1 (en) | Metadata-based detection and prevention of phishing attacks | |
| US9544380B2 (en) | Data analytics and security in social networks | |
| US20200019582A1 (en) | Identifying webpages accessible by unauthorized users via url guessing or network sniffing | |
| CN111163095B (zh) | 网络攻击分析方法、网络攻击分析装置、计算设备和介质 | |
| US10757088B2 (en) | YARN REST API protection | |
| CN111737687B (zh) | 网页应用系统的访问控制方法、系统、电子设备和介质 | |
| US20220188413A1 (en) | System and method for prevention of transfer of sensitive information | |
| CN115102744B (zh) | 数据访问方法和装置 | |
| Bao et al. | Cross-site scripting attacks on android hybrid applications | |
| US9407654B2 (en) | Providing multi-level password and phishing protection | |
| CN113612806B (zh) | 一种安全网络服务方法、装置、电子设备及介质 | |
| CN113572763B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| KR20140068940A (ko) | 애플리케이션용 콘텐츠 핸들링 기법 | |
| US12015502B2 (en) | Artificial intelligence integration of third-party software into large-scale digital platforms | |
| US11503074B2 (en) | Device enrollment in a management service | |
| US12068933B2 (en) | Launcher application with connectivity detection for shared mobile devices | |
| CN111382381B (zh) | 一种用户数据共享方法、装置、移动终端及存储介质 | |
| US9858423B2 (en) | Application modification based on a security vulnerability | |
| US20240187431A1 (en) | System and method for monitoring user actions with respect to a resource presented by a web browser | |
| CN113641966B (zh) | 一种应用集成方法、系统、设备及介质 | |
| CN112261659B (zh) | 终端和服务器的控制方法、装置、终端和存储介质 | |
| CN113760563B (zh) | 基于开放平台的数据处理方法、装置以及数据处理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100080 unit 53, floor 15, block B, No. 3 Danling street, Haidian District, Beijing Patentee after: Beijing Vector Stack Technology Co.,Ltd. Address before: 100080 unit 53, floor 15, block B, No. 3 Danling street, Haidian District, Beijing Patentee before: Beijing Yunge Technology Co.,Ltd. |