CN113923023B - 权限配置和数据处理的方法、装置、电子设备及介质 - Google Patents
权限配置和数据处理的方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN113923023B CN113923023B CN202111177946.1A CN202111177946A CN113923023B CN 113923023 B CN113923023 B CN 113923023B CN 202111177946 A CN202111177946 A CN 202111177946A CN 113923023 B CN113923023 B CN 113923023B
- Authority
- CN
- China
- Prior art keywords
- user
- access
- information
- cluster
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title description 13
- 238000000034 method Methods 0.000 claims abstract description 112
- 238000012545 processing Methods 0.000 claims abstract description 91
- 238000006243 chemical reaction Methods 0.000 claims description 30
- 230000004044 response Effects 0.000 claims description 25
- 238000012795 verification Methods 0.000 claims description 23
- 238000004891 communication Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 8
- 238000010276 construction Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 11
- 238000007726 management method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- SPBWHPXCWJLQRU-FITJORAGSA-N 4-amino-8-[(2r,3r,4s,5r)-3,4-dihydroxy-5-(hydroxymethyl)oxolan-2-yl]-5-oxopyrido[2,3-d]pyrimidine-6-carboxamide Chemical compound C12=NC=NC(N)=C2C(=O)C(C(=O)N)=CN1[C@@H]1O[C@H](CO)[C@@H](O)[C@H]1O SPBWHPXCWJLQRU-FITJORAGSA-N 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000011218 segmentation Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Abstract
本公开涉及一种权限配置和数据处理的方法、装置、电子设备及介质,上述方法应用于云平台,上述云平台为分布式服务集群的统一代理层。上述权限配置的方法包括:接收第一用户的权限配置请求。在接收到上述权限配置请求的情况下,生成权限配置界面。接收上述第一用户在上述权限配置界面配置的:关于用户选项中的用户与角色模板选项中的角色模板之间的绑定关系。上述用户对上述云平台具有访问权限,上述角色模板预定义有针对上述分布式服务集群的预设访问身份。根据上述绑定关系和上述预设访问身份预定义的资源访问权限,为上述绑定关系中的用户配置相应的角色模板定义下的访问身份对应的资源访问权限,得到权限配置信息。
Description
技术领域
本公开涉及云原生和多集群技术领域,尤其涉及一种权限配置和数据处理的方法、电子设备及介质。
背景技术
云原生(Cloud Native)技术帮助企业和机构在公有云、私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用系统/程序(简称应用)。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式应用程序接口(API)等。随着容器技术的发展,基于容器技术的云服务能够支撑各种类型业务的部署和灵活变化。
随着云原生技术的普及,越来越多的企业使用Kubernetes(简称为k8s,一种可移植、可扩展、开源的容器编排工具/平台,用于管理容器化的工作负载和服务,可以促进声明式配置和自动化)来管理应用。随着应用对应的数据处理场景越来越复杂,集群规模从单集群(Single-Cluster)扩展为多集群,且集群数量呈爆发式增长。在多集群(Multi-Cluster)技术中,多集群管理中的权限管理是很重要的一环。
然而,在集群权限控制方面,大部分的数据处理场景下,都给用户分配了最高访问权限,由此在基于多集群提供云服务时,会把集群底层的连接信息直接暴露给应用层,这样一来,在用户信息被非法窃取的场景下,不仅会导致信息的泄露,甚至还可能招来恶意攻击,无法有效控制风险,导致集群安全性、可用性等方面都存在很大隐患。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开的实施例提供了一种权限配置和数据处理的方法、装置、电子设备及介质。
第一个方面,本公开的实施例提供了一种权限配置的方法,该方法应用于云平台,上述云平台为分布式服务集群的统一代理层。上述权限配置的方法包括:接收第一用户的权限配置请求。在接收到上述权限配置请求的情况下,生成权限配置界面。接收上述第一用户在上述权限配置界面配置的:关于用户选项中的用户与角色模板选项中的角色模板之间的绑定关系。上述用户对上述云平台具有访问权限,上述角色模板预定义有针对上述分布式服务集群的预设访问身份。根据上述绑定关系和上述预设访问身份预定义的资源访问权限,为上述绑定关系中的用户配置相应的角色模板定义下的访问身份对应的资源访问权限,得到权限配置信息。
根据本公开的实施例,上述在接收到上述权限配置请求的情况下,生成权限配置界面,包括:在接收到上述权限配置请求的情况下,获取集群访问权限处于待配置状态的用户信息;根据上述用户信息,在预先配置好的候选角色模板中,确定与上述用户信息相匹配的匹配角色模板;根据上述用户信息和上述匹配角色模板,生成用户选项的第一展示信息和与上述用户选项关联的角色模板选项的第二展示信息;以及根据上述第一展示信息和上述第二展示信息,生成权限配置界面,并在上述权限配置界面展示对应的用户选项和角色模板选项。
根据本公开的实施例,上述根据上述用户信息,在预先配置好的候选角色模板中,确定与上述用户信息相匹配的匹配角色模板,包括:根据上述用户信息,确定上述用户的身份信息;根据上述用户的身份信息,确定上述身份信息对应享有的集群服务信息;以及根据上述集群服务信息,在预先配置好的候选角色模板中,将与上述集群服务信息相匹配的角色模板确定为匹配角色模板。
根据本公开的实施例,上述权限配置的方法还包括:配置多个候选角色模板。其中,上述配置多个候选角色模板,包括:接收对上述多个候选角色模板中的每个候选角色模板进行定义的配置信息,上述配置信息包括:对当前候选角色模板针对上述分布式服务集群的访问身份进行定义的第一配置信息,和对上述访问身份具有的资源访问权限进行定义的第二配置信息;以及基于上述第一配置信息和上述第二配置信息,对每个候选角色模板进行配置,得到配置好的多个候选角色模板。
根据本公开的实施例,上述权限配置的方法还包括:将上述权限配置信息同步给上述分布式服务集群中的各个服务集群。
第二个方面,本公开的实施例提供了一种数据处理的方法,该方法应用于云平台,上述云平台为分布式服务集群的统一代理层。上述数据处理的方法包括:接收第二用户对上述分布式服务集群中的集群资源进行访问的初始访问请求。上述初始访问请求携带有:上述第二用户的用户信息、目标服务集群的地址信息和请求访问上述目标服务集群中的第一集群资源信息。在接收到上述初始访问请求的情况下,根据上述第二用户的用户信息,对上述第二用户的身份进行验证。在上述第二用户的身份验证通过的情况下,根据预先配置好的用户与角色模板之间的绑定关系,确定上述第二用户对应的第一目标角色模板。其中,上述绑定关系中的用户对上述云平台具有访问权限,上述绑定关系中的角色模板预定义有针对上述分布式服务集群的预设访问身份,上述预设访问身份具有预定义的资源访问权限。对上述初始访问请求中的用户信息进行身份标识转换,得到携带有上述第一目标角色模板对应的第一目标访问身份、上述第一目标访问身份下的第一目标资源访问权限和上述第一集群资源信息的中间访问请求。根据上述地址信息,将上述中间访问请求转发给上述目标服务集群。
第三个方面,本公开的实施例提供了一种数据处理的方法,该方法应用于云平台,上述云平台为分布式服务集群的统一代理层。上述数据处理的方法包括:接收第二用户对上述分布式服务集群中的集群资源进行访问的访问请求,上述访问请求携带有:上述第二用户的用户信息、目标服务集群的地址信息和请求访问上述目标服务集群中的第一集群资源信息。在接收到上述访问请求的情况下,根据上述第二用户的用户信息,对上述第二用户的身份进行验证。在上述第二用户的身份验证通过的情况下,根据预先配置好的权限配置信息,确定上述第二用户对应的第一目标资源访问权限。其中,上述预先配置好的权限配置信息通过采用如上所述的权限配置的方法配置得到。将上述第一目标资源访问权限构建为上述访问请求的转发标识。根据上述地址信息,将携带有上述转发标识的上述访问请求转发给上述目标服务集群。
根据本公开的实施例,上述第二个方面或第三个方面提供的数据处理的方法还包括:接收来自目标服务集群的访问响应结果;其中,上述访问响应结果由上述目标服务集群根据上述第一目标资源访问权限对上述第一集群资源信息是否具有访问权限的结果来生成得到。
第四个方面,本公开的实施例提供了一种数据处理的方法。上述数据处理的方法包括:接收第三用户对应用的操作请求。根据上述操作请求,确定需要调用的分布式服务集群中的目标服务集群和对上述目标服务集群的调用请求,上述调用请求中携带有:第三用户的用户信息、需要调用的第二集群资源信息和数据处理指令。根据上述第三用户的用户信息,对上述第三用户的身份进行验证。在上述第三用户的身份验证通过的情况下,根据预先配置好的用户与角色模板之间的绑定关系,确定上述第三用户对应的第二目标角色模板。其中,上述绑定关系中的用户对上述云平台具有访问权限,上述绑定关系中的角色模板预定义有针对上述分布式服务集群的预设访问身份,上述预设访问身份具有预定义的资源访问权限。对上述调用请求中的用户信息进行身份标识转换,得到携带有上述第二目标角色模板对应的第二目标访问身份、上述第二目标访问身份下的第二目标资源访问权限、上述第二集群资源信息和上述数据处理指令的转换调用请求。将上述转换调用请求转发给上述目标服务集群。
第五个方面,本公开的实施例提供了一种数据处理的方法。上述数据处理的方法包括:接收第三用户对应用的操作请求。根据上述操作请求,确定需要调用的分布式服务集群中的目标服务集群和对上述目标服务集群的调用请求,上述调用请求中携带有:第三用户的用户信息、需要调用的第二集群资源信息和数据处理指令。根据上述第三用户的用户信息,对上述第三用户的身份进行验证。在上述第三用户的身份验证通过的情况下,根据预先配置好的权限配置信息,确定上述第三用户对应的第二目标资源访问权限。其中,上述预先配置好的权限配置信息通过采用如上所述的权限配置的方法配置得到。将上述第二目标资源访问权限构建为上述调用请求的转发标识。将携带有上述转发标识的上述调用请求转发给上述目标服务集群。
根据本公开的实施例,上述第四个方面或第五个方面提供的数据处理的方法,还包括:接收来自目标服务集群反馈的调用响应结果;其中,上述调用响应结果由上述目标服务集群根据上述第二目标资源访问权限对上述第二集群资源信息是否具有访问权限的结果以及根据该结果来确定是否执行数据处理指令后得到。
第六个方面,本公开的实施例提供了一种权限配置的装置。上述权限配置的装置包括云平台,上述云平台为分布式服务集群的统一代理层。上述云平台包括:配置请求接收模块、配置界面生成模块、配置信息接收模块和权限配置模块。上述配置请求接收模块,用于接收第一用户的权限配置请求。上述配置界面生成模块用于在接收到上述权限配置请求的情况下,生成权限配置界面。上述配置信息接收模块用于接收上述第一用户在上述权限配置界面配置的:关于用户选项中的用户与角色模板选项中的角色模板之间的绑定关系。上述用户对上述云平台具有访问权限,上述角色模板预定义有针对上述分布式服务集群的预设访问身份。上述权限配置模块用于根据上述绑定关系和上述预设访问身份预定义的资源访问权限,为上述绑定关系中的用户配置相应的角色模板定义下的访问身份对应的资源访问权限,得到权限配置信息。
第七个方面,本公开的实施例提供了一种数据处理的装置。上述数据处理的装置包括云平台,上述云平台为分布式服务集群的统一代理层。上述云平台包括:访问请求接收模块、身份验证模块、角色模板确定模块、请求转换模块和转发模块。上述访问请求接收模块用于接收第二用户对上述分布式服务集群中的集群资源进行访问的初始访问请求,上述初始访问请求携带有:上述第二用户的用户信息、目标服务集群的地址信息和请求访问上述目标服务集群中的第一集群资源信息。上述身份验证模块用于在接收到上述初始访问请求的情况下,根据上述第二用户的用户信息,对上述第二用户的身份进行验证。上述角色模板确定模块用于在上述第二用户的身份验证通过的情况下,根据预先配置好的用户与角色模板之间的绑定关系,确定上述第二用户对应的第一目标角色模板。其中,上述绑定关系中的用户对上述云平台具有访问权限,上述绑定关系中的角色模板预定义有针对上述分布式服务集群的预设访问身份,上述预设访问身份具有预定义的资源访问权限。上述请求转换模块用于对上述初始访问请求中的用户信息进行身份标识转换,得到携带有上述第一目标角色模板对应的第一目标访问身份、上述第一目标访问身份下的第一目标资源访问权限和上述第一集群资源信息的中间访问请求。上述转发模块用于根据上述地址信息,将上述中间访问请求转发给上述目标服务集群。
第八个方面,本公开的实施例提供了一种数据处理的装置。上述数据处理的装置包括:访问请求接收模块、身份验证模块、访问权限确定模块、请求标识构建模块和转发模块。上述访问请求接收模块用于接收第二用户对上述分布式服务集群中的集群资源进行访问的访问请求,上述访问请求携带有:上述第二用户的用户信息、目标服务集群的地址信息和请求访问上述目标服务集群中的第一集群资源信息。上述身份验证模块用于在接收到上述访问请求的情况下,根据上述第二用户的用户信息,对上述第二用户的身份进行验证。上述访问权限确定模块用于在上述第二用户的身份验证通过的情况下,根据预先配置好的权限配置信息,确定上述第二用户对应的第一目标资源访问权限。其中,上述预先配置好的权限配置信息通过采用如上所述的权限配置的方法配置得到或者采用如上所述的权限配置的装置配置得到。上述请求标识构建模块用于将上述第一目标资源访问权限构建为上述访问请求的转发标识。上述转发模块用于根据上述地址信息,将携带有上述转发标识的上述访问请求转发给上述目标服务集群。
第九个方面,本公开的实施例提供了一种数据处理的装置。上述数据处理的装置包括:操作请求接收模块、调用集群和调用请求确定模块、身份验证模块、角色模板确定模块、请求转换模块和转发模块。上述操作请求接收模块用于接收第三用户对应用的操作请求。上述调用集群和调用请求确定模块,用于根据上述操作请求,确定需要调用的分布式服务集群中的目标服务集群和对上述目标服务集群的调用请求,上述调用请求中携带有:第三用户的用户信息、需要调用的第二集群资源信息和数据处理指令。上述身份验证模块用于根据上述第三用户的用户信息,对上述第三用户的身份进行验证。上述角色模板确定模块用于在上述第三用户的身份验证通过的情况下,根据预先配置好的用户与角色模板之间的绑定关系,确定上述第三用户对应的第二目标角色模板。其中,上述绑定关系中的用户对上述云平台具有访问权限,上述绑定关系中的角色模板预定义有针对上述分布式服务集群的预设访问身份,上述预设访问身份具有预定义的资源访问权限。上述请求转换模块用于对上述调用请求中的用户信息进行身份标识转换,得到携带有上述第二目标角色模板对应的第二目标访问身份、上述第二目标访问身份下的第二目标资源访问权限、上述第二集群资源信息和上述数据处理指令的转换调用请求。上述转发模块用于将上述转换调用请求转发给上述目标服务集群。
第十个方面,本公开的实施例提供了一种数据处理的装置。上述数据处理的装置包括:操作请求接收模块、调用集群和调用请求确定模块、身份验证模块、访问权限确定模块、请求标识构建模块和转发模块。上述操作请求接收模块用于接收第三用户对应用的操作请求。上述调用集群和调用请求确定模块用于根据上述操作请求,确定需要调用的分布式服务集群中的目标服务集群和对上述目标服务集群的调用请求,上述调用请求中携带有:第三用户的用户信息、需要调用的第二集群资源信息和数据处理指令。上述身份验证模块用于根据上述第三用户的用户信息,对上述第三用户的身份进行验证。上述访问权限确定模块用于在上述第三用户的身份验证通过的情况下,根据预先配置好的权限配置信息,确定上述第三用户对应的第二目标资源访问权限。其中,上述预先配置好的权限配置信息通过采用如上所述的权限配置的方法配置得到或者采用如上所述的权限配置的装置配置得到。上述请求标识构建模块用于将上述第二目标资源访问权限构建为上述调用请求的转发标识。上述转发模块用于将携带有上述转发标识的上述调用请求转发给上述目标服务集群。
第十一个方面,本公开的实施例提供了一种电子设备。上述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器、通信接口和存储器通过通信总线完成相互间的通信;存储器,用于存放计算机程序;处理器,用于执行存储器上所存放的程序时,实现如上所述的构建图像语义分割模型的方法或图像处理的方法。
第十二个方面,本公开的实施例提供了一种计算机可读存储介质。上述计算机可读存储介质上存储有计算机程序,上述计算机程序被处理器执行时实现如上所述的构建图像语义分割模型的方法或图像处理的方法。
本公开实施例提供的上述技术方案至少具有如下优点的部分或全部:
在权限配置的方法中,云平台作为分布式服务集群的统一代理层,通过接收云平台的权限管理者(第一用户,例如为云平台的管理员或者其他具有集群权限配置的人员)配置的绑定关系,实现用户与角色模板的绑定,从而给对云平台具有访问权限的用户配置对应访问分布式服务集群中资源的预设访问身份,并进一步能根据预设访问身份预定义的资源访问权限,得到上述绑定关系中用户对应的预设访问身份所分配的资源访问权限,从而得到权限配置信息,实现了从云平台的权限管理到服务集群的权限管理之间的映射,使得云平台的服务对象(包括享受平台即服务(PAAS)的第二用户和享受软件即服务(SAAS)的第三用户)对于服务集群中资源的访问权限是明确且受限的,有效控制风险,确保服务集群资源的安全性以及服务的可用性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示意性地示出了适用于本公开实施例的权限配置的方法和装置、数据处理的方法和装置的系统架构;
图2示意性地示出了根据本公开一实施例的权限配置的方法的流程图;
图3示意性地示出了根据本公开实施例的权限配置界面展示的选项示意图;
图4示意性地示出了根据本公开实施例的配置的绑定关系的示意图;
图5示意性地示出了根据本公开实施例的操作S202的详细实施流程图;
图6示意性地示出了根据本公开实施例的配置多个候选角色模板的详细实施流程图;
图7A示意性地示出了根据本公开一实施例的资源访问场景下,数据处理的方法的流程图;
图7B示意性地示出了根据本公开另一实施例的资源访问场景下,数据处理的方法的流程图;
图8A示意性地示出了根据本公开一实施例的应用操作场景下,数据处理的方法的流程图;
图8B示意性地示出了根据本公开另一实施例的应用操作场景下,数据处理的方法的流程图;以及
图9示意性示出了本公开实施例提供的电子设备的结构框图。
具体实施方式
本公开的实施例提供了一种权限配置和数据处理的方法、装置、电子设备及介质。上述方法应用于云平台,上述云平台为分布式服务集群的统一代理层。上述权限配置的方法包括:接收第一用户的权限配置请求。在接收到上述权限配置请求的情况下,生成权限配置界面。接收上述第一用户在上述权限配置界面配置的:关于用户选项中的用户与角色模板选项中的角色模板之间的绑定关系。上述用户对上述云平台具有访问权限,上述角色模板预定义有针对上述分布式服务集群的预设访问身份。根据上述绑定关系和上述预设访问身份预定义的资源访问权限,为上述绑定关系中的用户配置相应的角色模板定义下的访问身份对应的资源访问权限,得到权限配置信息。
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开的一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。
图1示意性地示出了适用于本公开实施例的权限配置的方法和装置、数据处理的方法和装置的系统架构。
参照图1所示,适用于本公开实施例的权限配置的方法和装置、数据处理的方法和装置的系统架构100可以是云环境下的架构,该系统架构100包括:终端设备110、云平台120和分布式服务集群。
上述云环境是指能够从动态虚拟化的资源池中向用户或者各种应用系统按需提供计算能力、存储能力或者虚拟机服务等的互联网或者大数据环境。
上述终端设备110上安装有云平台120提供的服务所对应的客户端应用(app)或客户端界面(例如为云盘或者其他类型的云服务面向用户的软件),该客户端应用或客户端界面具有供用户进行云端操作的界面。终端设备110包括但不限于是图1所示例的笔记本电脑111、平板电脑112、智能手机113、智能手表114等。
上述客户端应用可以是各种云服务所支持的通讯客户端应用,例如,包括但不限于是:购物类应用、网页浏览器应用、搜索类应用、图像处理类应用、短视频类应用、即时通信工具、通讯录、邮箱客户端、社交平台软件、办公自动化系统(OA系统)等(仅为示例)。
上述云平台120(Cloud Platforms)是指基于底层的基础设施和网络,用于提供计算和/或存储服务的一种云计算平台。上述云平台120可以大致划分为3类:以数据存储为主的存储型云平台,以数据处理为主的计算型云平台以及计算和数据存储兼做的综合性云平台。上述云平台120作为一种提供服务的软件/系统(包括软硬件的系统),可以为软件研发人员创建应用提供服务,即,提供平台即服务(PAAS);也可以为用户使用应用提供服务,即,提供软件即服务(SAAS)。云平台提供的服务可以对应于传统的应用服务器的功能进行理解。
针对云平台120实施的步骤/操作,对应于安装有上述云平台对应的软件/系统的电子设备来执行,上述电子设备为联网的具有运算能力的终端设备,或者也可以是虚拟主机或云服务器等。
上述云平台120作为分布式服务集群的统一代理层,分布式服务集群例如为k8s服务集群,云平台120可以对应作为k8s服务集群的主集群(Host Cluster),用于k8s服务集群的权限管理、访问接入和资源调用。
上述分布式服务集群包括多个服务集群,图1中以分布式服务集群包括两个空间上相互独立的服务集群a 131和服务集群b 132作为示例。服务集群a 131和服务集群b132各自包括多个服务节点,各个服务节点具有各自能够提供的对应服务。在图1中,以服务集群a 131包括服务节点a1和a2进行示例,以服务集群b 132包括服务节点b1和b2进行示例,示例性的,服务节点a1能够提供流量审计服务和数据查询服务,服务节点a2能够提供k8sAPI服务;服务节点b1能够提供流量审计服务,服务节点b2能够提供数据查询服务和k8sAPI服务。
下面结合图1中的系统架构100来描述本公开的权限配置的方法的应用场景和数据处理的方法的应用场景。
图1中,以虚线箭头示意了第一用户101进行集群权限配置的数据流,以单点划线箭头示意了第二用户102进行集群资源访问的数据流,以双点划线箭头示意了第三用户103进行应用操作的数据流。
其中,第一用户101可以是云平台120的权限管理者,例如为云平台的管理员或者其他具有集群权限配置的人员。第二用户102和第三用户103可以是云平台的服务使用者。例如,第二用户102可以是云平台的PAAS服务的使用者,第三用户103可以是云平台的SAAS服务的使用者。
参照图1中虚线箭头所示,第一用户101在云平台120所在的电子设备上登录自己的云端管理员账号后,向云平台120发起对分布式服务集群的权限进行配置的权限配置请求。在云平台120接收到上述权限配置请求的情况下,(例如在实施时,对应于上述云平台120所在的电子设备)生成权限配置界面。然后,云平台120接收第一用户101在上述权限配置界面配置的:关于用户选项中的用户与角色模板选项中的角色模板之间的绑定关系。其中,上述用户选项中的用户对上述云平台具有访问权限,上述角色模板选项中的角色模板预定义有针对上述分布式服务集群的预设访问身份。接着,上述云平台120根据上述绑定关系和上述预设访问身份预定义的资源访问权限,为上述绑定关系中的用户配置相应的角色模板定义下的访问身份对应的资源访问权限,得到权限配置信息。
之后,云平台120还可以进一步执行以下操作:将上述权限配置信息同步给上述分布式服务集群中的各个服务集群。参照图1中示例的一种同步方式,通过代理服务器转发给各个代理服务器下属的服务集群中,例如,通过代理服务器1同步至服务集群a 131,通过代理服务器2同步至服务集群b 132。
本公开后续第一个实施例要描述的权限配置的方法可以参照图1中虚线箭头示意的数据流,由安装有云平台120的电子设备执行上述权限配置的方法的各个操作步骤,权限配置的装置可以是:联网的具有运算能力的终端设备,或者也可以是虚拟主机或云服务器等。
参照图1中单点划线箭头所示,第二用户102在基于云平台的PAAS服务进行应用创建的过程中,通过在终端设备110的应用界面或浏览器界面输入用于访问的目标集群的域名,基于云平台120作为分布式服务集群的统一代理层,来实现对分布式服务集群的资源访问,例如对k8s服务集群(分布式的多个服务集群)中的服务集群a 131(目标服务集群)中的k8s API服务的资源访问。
示例性的,访问域名例如为:https://proxy.tpaas/k8s/clusters/cluster a;tpaas用于表示云平台,proxy.tpaas用于表示云平台作为统一代理层。
图1中示例了两种访问路径,分别采用标号①和标号②来进行示意。参照标号①所示意的数据流所示,云平台120接收来自第二用户对集群的资源进行访问的访问请求,该访问请求中携带有:目标服务集群的地址信息(地址信息可以是IP地址信息,或者域名信息,由于域名信息和IP地址具有对应的映射关系,择一采用即可)和请求访问上述服务集群a131(目标服务集群)中的第一集群资源信息:k8s API服务。根据该访问请求来调用对应的代理接口API 1,代理接口API 1连接至相应的代理服务器1,由代理服务器1将上述集群访问请求转发给服务集群a 131中的服务节点a2,以请求访问k8s API服务的资源。
参照标号②所示意的数据流所示,云平台120接收来自第二用户对集群的资源进行访问的访问请求,根据该集群访问请求来调用代理接口API 2,该代理接口API 2直接连接至分布式服务集群中的服务集群a 131的k8s API服务。
本公开后续要描述的第二个实施例和第三个实施例中提供的数据处理的方法可以参照图1中单点划线箭头示意的数据流,由安装有云平台120的电子设备执行上述数据处理的方法的各个操作步骤,数据处理的装置可以是:联网的具有运算能力的终端设备,或者也可以是虚拟主机或云服务器等。
参照图1中双点划线箭头所示,第三用户103在终端设备110上发起对应用进行操作的操作请求。云平台120接收到上述操作请求后,确定需要调用的服务和对应执行的数据处理操作。图1所示例了两种调用路径,分别采用标号③和标号④来进行示意。参照标号③所示意的数据流所示,云平台120确定需要调用的微服务的接口为API 3,接口API 3连接至相应的代理服务器2,由代理服务器2将上述调用请求转发给目标服务集群:服务集群b 132中的服务节点b2,以调用服务节点b2中的k8s API服务。
参照标号④所示意的数据流所示,云平台120接收来自第三用户对应用进行操作的操作请求,根据该操作请求来调用对应的微服务的接口API 4,该接口API 4直接连接至分布式服务集群中的服务集群b 132的k8s API服务。
本公开后续要描述的第四个实施例和第五个实施例中提供的数据处理的方法可以参照图1中双点划线箭头示意的数据流,由安装有云平台120的电子设备执行上述数据处理的方法的各个操作步骤,数据处理的装置可以是:联网的具有运算能力的终端设备,或者也可以是虚拟主机或云服务器等。
下面结合附图来对本公开的实施例进行详细介绍。
本公开的第一个示例性实施例提供了一种权限配置的方法。该方法应用于云平台120,上述云平台120为分布式服务集群的统一代理层,详见图1描述的系统架构100。
图2示意性地示出了根据本公开一实施例的权限配置的方法的流程图。
参照图2所示,本公开实施例提供的权限配置的方法,包括以下操作:S201、S202、S203和S204。操作S201~S204可以由安装有云平台的电子设备执行,例如为提供云服务的联网的具有运算能力的终端设备,或者也可以是提供云服务的虚拟主机或云服务器。
在操作S201,接收第一用户的权限配置请求。
参照图1所示,第一用户101可以是云平台的管理员,或者其他具有集群权限配置的人员。第一用户101在安装有云平台120的电子设备上发起权限配置请求。例如,该电子设备的云平台120界面上设置有权限配置的功能模块,在第一用户101的管理员账号登录成功之后,可以在云平台120的用户交互界面上点击权限配置的功能模块,从而在云平台120对应的电子设备上接收到上述权限配置请求。
在操作S202,在接收到上述权限配置请求的情况下,生成权限配置界面。
图3示意性地示出了根据本公开实施例的权限配置界面展示的选项示意图。
在一实施例中,参照图3所示,上述权限配置界面300可以展示有供用户进行权限配置的选项,上述选项包括:用户选项301和角色模板选项302。
上述用户选项中的用户对上述云平台120具有访问权限。例如,上述用户选项301中的用户P1、P2、P3对上述云平台120具有访问权限,能够访问上述云平台自身的资源(计算资源、存储资源等)。
上述角色模板选项302中的角色模板预定义有针对上述分布式服务集群的预设访问身份。
例如,角色模板302A预定义的访问身份为身份CA,角色模板302B预定义的访问身份为身份CB,角色模板302C预定义的访问身份为身份CC,角色模板302D预定义的访问身份为身份CD。
在操作S203,接收上述第一用户在上述权限配置界面配置的:关于用户选项中的用户与角色模板选项中的角色模板之间的绑定关系。
示例性的,上述云平台120可以接收第一用户101在用户选项301中选择的特定用户的第一信息,和在角色模板选项302中针对每个特定用户选择的特定角色模板的第二信息,从而可以根据上述第一信息和第二信息来得到用户与角色模板之间的绑定关系。
图4示意性地示出了根据本公开实施例的配置的绑定关系的示意图。
例如,接收云平台的管理员配置的第一信息和第二信息后,得到的绑定关系如图4中虚线连线所示,用户P1与角色模板302A和302C均进行绑定;用户P2与角色模板302B进行绑定;用户P3与角色模板302A和角色模板302D均进行绑定。
在操作S204,根据上述绑定关系和上述预设访问身份预定义的资源访问权限,为上述绑定关系中的用户配置相应的角色模板定义下的访问身份对应的资源访问权限,得到权限配置信息。
例如,上述身份CA预定义的资源访问权限为:对服务集群a 131的k8s API服务中的特定资源组RA具有访问权限LA。上述身份CB定义的资源访问权限为:对服务集群a131的k8s API服务中的特定资源组RB具有访问权限LB。上述身份CC预定义的资源访问权限为:对服务集群a 131的流量审计服务中的特定资源组RC具有访问权限LC。上述身份CD定义的资源访问权限为:对服务集群b 132的数据查询服务中的特定资源组RD具有访问权限LD。
在上述操作S204中,根据用户P1与角色模板302A和302C均进行绑定的绑定关系和各个预设访问身份CA~CD预定义的资源访问权限LA~LD,为用户P1配置相应的角色模板定义302A和302C下的访问身份CA和CC对应的资源访问权限:LA和LC。类似的,根据用户P2与角色模板302B进行绑定的绑定关系和各个预设访问身份CA~CD预定义的资源访问权限LA~LD,为用户P2配置相应的角色模板定义302B下的访问身份CB对应的资源访问权限:LB。根据用户P3与角色模板302A和角色模板302D均进行绑定的绑定关系和各个预设访问身份CA~CD预定义的资源访问权限LA~LD,为用户P3配置相应的角色模板定义302A和302D下的访问身份CA和CD对应的资源访问权限:LA和LD。由此,得到的权限配置信息例如为以下形式:{用户P1-CA+CC-LA+LC;用户P2-CB-LB;用户P3-CA+CD-LA+LD}。
基于上述操作S201~S204,云平台作为分布式服务集群的统一代理层,通过接收云平台的权限管理者(第一用户,例如为云平台的管理员或者其他具有集群权限配置的人员)配置的绑定关系,实现用户与角色模板的绑定,从而给对云平台具有访问权限的用户配置对应访问分布式服务集群中资源的预设访问身份,并进一步能根据预设访问身份预定义的资源访问权限,得到上述绑定关系中用户对应的预设访问身份所分配的资源访问权限,从而得到权限配置信息,实现了从云平台的权限管理到服务集群的权限管理之间的映射,使得云平台的服务对象(包括享受平台即服务(PAAS)的第二用户和享受软件即服务(SAAS)的第三用户)对于服务集群中资源的访问权限是明确且受限的,有效控制风险,确保服务集群资源的安全性以及服务的可用性。
图5示意性地示出了根据本公开实施例的操作S202的详细实施流程图。
根据本公开的实施例,参照图5所示,上述操作S202中,在接收到上述权限配置请求的情况下,生成权限配置界面,包括以下操作:S501、S502、S503和S504。
在操作S501,在接收到上述权限配置请求的情况下,获取集群访问权限处于待配置状态的用户信息。
上述操作S501的实施场景中,可以由云平台从自身的数据库中获取集群访问权限尚未被配置的用户对应的用户信息。
在操作S502,根据上述用户信息,在预先配置好的候选角色模板中,确定与上述用户信息相匹配的匹配角色模板。
根据本公开的实施例,根据上述用户信息,在预先配置好的候选角色模板中,确定与上述用户信息相匹配的匹配角色模板,包括:根据上述用户信息,确定上述用户的身份信息;根据上述用户的身份信息,确定上述身份信息对应享有的集群服务信息;以及根据上述集群服务信息,在预先配置好的候选角色模板中,将与上述集群服务信息相匹配的角色模板确定为匹配角色模板。
集群服务信息例如为:使用特定软件的服务,使用服务集群中的特定计算资源、特定存储资源的服务等。
在操作S503,根据上述用户信息和上述匹配角色模板,生成用户选项的第一展示信息和与上述用户选项关联的角色模板选项的第二展示信息。
在操作S504,根据上述第一展示信息和上述第二展示信息,生成权限配置界面,并在上述权限配置界面展示对应的用户选项和角色模板选项。
基于上述操作S501~S504,云平台的各个用户账号(对应于用户的身份信息)下,租用或购买了各自的云服务或资源,那么通过根据用户信息可以得到该用户的身份信息,进而可以根据该用户的身份信息来得到该身份信息享有的集群服务信息,并将候选角色模板中与上述集群服务信息匹配的角色模板确定为匹配角色模板,如此一来,根据匹配角色模板生成的角色模板选项是与各个用户自身的身份信息相关联、且享受的集群权限不会超出该用户购买的服务之外,从而为权限管理员(第一用户)呈现的选项是合理的,基于合理的选项供第一用户进行选择,可以避免在无选项场景下,第一用户随机配置用户和角色模板导致的集群权限过大或者集群权限与用户身份不匹配的问题。
根据本公开的实施例,上述权限配置的方法中,在包括上述操作S201~S204,且操作S202包括操作S501~S504的实施例的基础上,还包括以下操作S610:配置多个候选角色模板。该操作S610在操作S502之前预先执行。
图6示意性地示出了根据本公开实施例的配置多个候选角色模板的详细实施流程图。
参照图6所示,在操作S610中,配置多个候选角色模板,包括以下子操作:S611和S612。
在子操作S611,接收对上述多个候选角色模板中的每个候选角色模板进行定义的配置信息,上述配置信息包括:对当前候选角色模板针对上述分布式服务集群的访问身份进行定义的第一配置信息,和对上述访问身份具有的资源访问权限进行定义的第二配置信息。
在子操作S612,基于上述第一配置信息和上述第二配置信息,对每个候选角色模板进行配置,得到配置好的多个候选角色模板。
在上述各个实施例的基础上,上述权限配置的方法还包括:将上述权限配置信息同步给上述分布式服务集群中的各个服务集群。其中,同步权限配置信息的方式可以是通过代理服务器向各个服务集群进行同步,如图1所示。
通过将上述权限配置信息同步至各个服务集群,从而在各个服务集群中存储上述权限配置信息,进而在后续接收到用户对服务集群中的资源进行访问或调用的请求时,能够基于预先配置的权限配置信息进行鉴权处理。
本公开的第二个示例性实施例提供了一种数据处理的方法。该方法应用于云平台120,上述云平台120为分布式服务集群的统一代理层,如图1所示。第二个实施例在预先配置了绑定关系的情况下即可执行,无需执行第一个实施例的全部权限配置的步骤。
图7A示意性地示出了根据本公开一实施例的资源访问场景下,数据处理的方法的流程图。
参照图7A所示,本实施例提供的数据处理的方法,包括以下操作:S711、S712、S713、S714和S715。
在操作S711,接收第二用户对上述分布式服务集群中的集群资源进行访问的初始访问请求,上述初始访问请求携带有:上述第二用户的用户信息、目标服务集群的地址信息和请求访问上述目标服务集群中的第一集群资源信息。
参照图1所示,第二用户102可以是云平台120的PAAS服务的使用者。为了区分云平台120接收到的访问请求和进行身份标识转换之后用于进行转发的访问请求,将接收到的访问请求描述为初始访问请求,将进行身份标识转换之后的访问请求描述为中间访问请求。
在操作S712,在接收到上述初始访问请求的情况下,根据上述第二用户的用户信息,对上述第二用户的身份进行验证。
对上述第二用户的身份进行验证,确定上述第二用户是否具有对云平台的访问权限,避免给非法用户分配对应的集群访问权限。
进行身份验证的方式可以包括但不限于是:基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。
在操作S713,在上述第二用户的身份验证通过的情况下,根据预先配置好的用户与角色模板之间的绑定关系,确定上述第二用户对应的第一目标角色模板。其中,上述绑定关系中的用户对上述云平台具有访问权限,上述绑定关系中的角色模板预定义有针对上述分布式服务集群的预设访问身份,上述预设访问身份具有预定义的资源访问权限。
由于用户与角色模板之间的绑定关系已经预先配置好,那么可以得到身份验证通过的当前用户所对应的目标角色模板,为了与后续描述的操作应用场景下用户对应的模板角色模板进行区分,这里采用第一目标角色模板来描述第二用户对应的目标角色模板。
在操作S714,对上述初始访问请求中的用户信息进行身份标识转换,得到携带有上述第一目标角色模板对应的第一目标访问身份、上述第一目标访问身份下的第一目标资源访问权限和上述第一集群资源信息的中间访问请求。
通过在云平台对用户信息进行身份标识转换,使得用于转发给目标服务集群的中间访问请求中对应的用户标识为:第一目标访问身份,以及该第一目标访问身份下的第一目标资源访问权限,从而在后续目标服务集群进行鉴权时,可以根据上述用户标识对应的身份信息和权限信息来得到是否具有对第一集群资源信息的访问权限的结果,进而根据该结果生成对应的访问响应结果。
在操作S715,根据上述地址信息,将上述中间访问请求转发给上述目标服务集群。
基于上述操作S711~S715,在享受PAAS服务的第二用户通过云平台进行集群资源访问时,云平台能够根据预先配置的绑定关系来得到当前用户对应的第一目标角色模板,进一步确定当前用户对应的第一目标访问身份、上述第一目标访问身份下的第一目标资源访问权限;基于上述信息,对初始访问请求进行身份标识转换,得到携带有当前用户对应的访问身份(第一目标访问身份)和访问权限(第一目标资源访问权限)的中间访问请求,由于要转发给目标服务集群的中间访问请求中携带了当前用户对集群资源的权限配置信息,从而在目标服务集群可以根据上述第一目标资源访问权限对当前要求访问的第一集群资源信息是否具有访问权限来得到访问响应结果,在确保服务集群资源的安全性以及服务的可用性的同时,还有助于鉴权过程的简化和高效处理。
在上述实施例的基础上,上述数据处理的方法除了包括上述操作S711~S715之外,还包括:接收来自目标服务集群的访问响应结果。其中,上述访问响应结果由上述目标服务集群根据上述第一目标资源访问权限对上述第一集群资源信息是否具有访问权限的结果来生成得到。
当第一目标资源访问权限对上述第一集群资源信息不具有访问权限时,反馈无法访问目标资源的提示信息。当第一目标资源访问权限对上述第一集群资源信息具有访问权限时,反馈允许访问的提示,或者反馈资源访问的结果。
例如,第一目标资源访问权限对第一集群资源信息具有访问权限对应的情况为:第一集群资源信息作为第一目标访问权限能够访问的集群资源的子集或等同,这种情况下,将上述第一集群资源信息发送给上述云平台,或者上述第一集群资源信息允许上述第二用户通过上述云平台进行访问;访问响应结果为反馈的第一集群资源信息或者为允许访问的提示。
在一示例性实施场景中,预先配置的绑定关系为:用户P1与角色模板302A和302C均进行绑定;用户P2与角色模板302B进行绑定;用户P3与角色模板302A和角色模板302D均进行绑定。
角色模板302A预定义的访问身份为身份CA,角色模板302B预定义的访问身份为身份CB,角色模板302C预定义的访问身份为身份CC,角色模板302D预定义的访问身份为身份CD。
上述身份CA预定义的资源访问权限为:对服务集群a 131的k8s API服务中的特定资源组RA具有访问权限LA。上述身份CB定义的资源访问权限为:对服务集群a 131的k8s API服务中的特定资源组RB具有访问权限LB。上述身份CC预定义的资源访问权限为:对服务集群a 131的流量审计服务中的特定资源组RC具有访问权限LC。上述身份CD定义的资源访问权限为:对服务集群b 132的数据查询服务中的特定资源组RD具有访问权限LD。
在上述前提下,参照图1所示,上述操作S711中,第二用户为用户P1,目标服务集群的地址信息为:服务集群a 131的域名信息,请求访问服务集群a 131中的第一集群资源信息为资源M,其中资源M为特定资源组RA的子集。在操作S712中,对上述用户P1的身份进行验证。在验证通过的情况下,执行操作S713,根据上述绑定关系,确定上述第二用户P1对应的第一目标角色模板为:角色模板302A和302C。进而能够确定上述角色模板302A和302C对应的第一目标访问身份为CA和CC、上述第一目标访问身份CA和CC下的第一目标资源访问权限分别对应为:LA+LC。则在操作S714中,中间访问请求中携带的信息包括:第一目标访问身份CA和CC,上述第一目标访问身份CA和CC下的第一目标资源访问权限LA和LC,资源M(第一集群资源信息)。在操作S715中,将上述中间访问请求转发给服务集群a 131。
在服务集群a 131中,可以根据上述第一目标资源访问权限LA和LC对当前要求访问的资源M是否具有访问权限来得到访问响应结果,由于资源M为特定资源组RA的子集,则第二用户对资源M具有访问权限,由此得到的访问响应结果为:允许资源访问或者返回资源访问结果。
本公开的第三个示例性实施例提供了一种数据处理的方法,该方法应用于云平台120,上述云平台120为分布式服务集群的统一代理层,参照图1所示。本实施例与第二个实施例的区别在于,本实施例是在第一实施例得到权限配置信息的基础上的方案,而第二个实施例仅需要预先配置绑定关系。
图7B示意性地示出了根据本公开另一实施例的资源访问场景下,数据处理的方法的流程图。
参照图7B所示,本实施例提供的数据处理的方法包括以下操作:S721、S722、S723、S724和S725。
在操作S721,接收第二用户对上述分布式服务集群中的集群资源进行访问的访问请求,上述访问请求携带有:上述第二用户的用户信息、目标服务集群的地址信息和请求访问上述目标服务集群中的第一集群资源信息。
在操作S722,在接收到上述访问请求的情况下,根据上述第二用户的用户信息,对上述第二用户的身份进行验证。
在操作S723,在上述第二用户的身份验证通过的情况下,根据预先配置好的权限配置信息,确定上述第二用户对应的第一目标资源访问权限。其中,上述预先配置好的权限配置信息通过采用本公开实施例提供的权限配置的方法配置得到。
例如,本实施例中延续采用第二个实施例中的前提,区别在于预先配置的不仅仅是绑定关系,而是采用第一实施例的方法得到的预先配置的权限配置信息。例如权限配置信息为:{用户P1-CA+CC-LA+LC;用户P2-CB-LB;用户P3-CA+CD-LA+LD},由此可以确定第二用户P1对应的第一目标资源访问权限为访问权限LA和LC。
在操作S724,将上述第一目标资源访问权限构建为上述访问请求的转发标识。
在操作S725,根据上述地址信息,将携带有上述转发标识的上述访问请求转发给上述目标服务集群。
基于上述操作S721~S725,在享受PAAS服务的第二用户通过云平台进行集群资源访问时,云平台能够根据预先配置的权限配置信息确定当前用户对应的第一目标资源访问权限,将该第一目标资源访问权限构建为访问请求的转发标识,并将携带有该转发标识的访问请求转发给目标服务集群,从而使得目标服务集群可以根据上述第一目标资源访问权限对第一集群资源信息是否具有访问权限来得到访问响应结果,在确保服务集群资源的安全性以及服务的可用性的同时,还有助于鉴权过程的简化和高效处理。
在上述实施例的基础上,上述数据处理的方法除了包括上述操作S721~S725之外,还包括:接收来自目标服务集群的访问响应结果。其中,上述访问响应结果由上述目标服务集群根据上述第一目标资源访问权限对上述第一集群资源信息是否具有访问权限的结果来生成得到。具体执行过程可以参照第二个实施例的描述,这里不再赘述。
本公开的第四个示例性实施例提供了一种数据处理的方法。
图8A示意性地示出了根据本公开一实施例的应用操作场景下,数据处理的方法的流程图。
参照图8A所示,本公开实施例提供的数据处理的方法,包括以下操作:S811、S812、S813、S814、S815和S816。
在操作S811,接收第三用户对应用的操作请求。
参照图1所示,第三用户103可以是云平台的SAAS服务的使用者。
在操作S812,根据上述操作请求,确定需要调用的分布式服务集群中的目标服务集群和对上述目标服务集群的调用请求,上述调用请求中携带有:第三用户的用户信息、需要调用的第二集群资源信息和数据处理指令。
在操作S813,根据上述第三用户的用户信息,对上述第三用户的身份进行验证。
在操作S814,在上述第三用户的身份验证通过的情况下,根据预先配置好的用户与角色模板之间的绑定关系,确定上述第三用户对应的第二目标角色模板。
其中,上述绑定关系中的用户对上述云平台具有访问权限,上述绑定关系中的角色模板预定义有针对上述分布式服务集群的预设访问身份,上述预设访问身份具有预定义的资源访问权限。
在操作S815,对上述调用请求中的用户信息进行身份标识转换,得到携带有上述第二目标角色模板对应的第二目标访问身份、上述第二目标访问身份下的第二目标资源访问权限、上述第二集群资源信息和上述数据处理指令的转换调用请求。
在操作S816,将上述转换调用请求转发给上述目标服务集群。
基于上述操作S811~S816,在数据处理的方法中,在享受SAAS服务的第三用户操作应用的过程中,云平台进行数据处理时,需要调用服务集群中的资源进行数据处理,云平台能够根据预先配置的绑定关系来得到当前用户对应的第二目标角色模板,进一步确定当前用户对应的第二目标访问身份、上述第二目标访问身份下的第二目标资源访问权限;基于上述信息,对调用请求进行身份标识转换,得到携带有当前用户对应的访问身份(第二目标访问身份)和访问权限(第二目标资源访问权限)的转换调用请求。由于在要转发给目标服务集群的转换调用请求中携带有当前用户对集群资源的权限配置信息,从而在目标服务集群,能够根据第二目标资源访问权限对第二集群资源信息是否具有访问权限的结果以及根据该结果来确定是否执行数据处理指令后得到调用响应结果;在确保服务集群资源的安全性以及服务的可用性的同时,还有助于鉴权过程的简化和高效处理。
在上述实施例的基础上,上述数据处理的方法除了包括上述操作S811~S816之外,还包括:接收来自目标服务集群反馈的调用响应结果。其中,上述调用响应结果由上述目标服务集群根据上述第二目标资源访问权限对上述第二集群资源信息是否具有访问权限的结果以及根据该结果来确定是否执行数据处理指令后得到。
当目标服务集群确定第二目标资源访问权限对上述第二集群资源信息具有访问权限时,会进一步基于上述结果来确定调用上述第二集群资源信息所对应的资源来执行数据处理指令,将处理结果作为调用响应结果。当目标服务集群确定第二目标资源访问权限对上述第二集群资源信息不具有访问权限时,反馈不具备访问权限的提示信息。
本公开的第五个示例性实施例提供了一种数据处理的方法。本实施例与第四个实施例的区别在于,本实施例是在第一实施例得到权限配置信息的基础上的方案,而第四个实施例仅需要预先配置绑定关系。
图8B示意性地示出了根据本公开另一实施例的应用操作场景下,数据处理的方法的流程图。
参照图8B所示,本实施例提供数据处理的方法包括以下操作:S821、S822、S823、S824、S825和S826。
在操作S821,接收第三用户对应用的操作请求。
在操作S822,根据上述操作请求,确定需要调用的分布式服务集群中的目标服务集群和对上述目标服务集群的调用请求,上述调用请求中携带有:第三用户的用户信息、需要调用的第二集群资源信息和数据处理指令。
在操作S823,根据上述第三用户的用户信息,对上述第三用户的身份进行验证。
在操作S824,在上述第三用户的身份验证通过的情况下,根据预先配置好的权限配置信息,确定上述第三用户对应的第二目标资源访问权限。
其中,上述预先配置好的权限配置信息通过采用如上所述的权限配置的方法配置得到。
在操作S825,将上述第二目标资源访问权限构建为上述调用请求的转发标识。
在操作S826,将携带有上述转发标识的上述调用请求转发给上述目标服务集群。
基于上述操作S821~S826,在享受SAAS服务的第三用户操作应用的过程中,云平台进行数据处理时,需要调用服务集群中的资源进行数据处理,云平台能够根据预先配置的权限配置信息确定当前用户对应的第二目标资源访问权限,将该第二目标资源访问权限构建为调用请求的转发标识,并将携带有该转发标识的调用请求转发给目标服务集群。由于在要转发给目标服务集群的调用请求中携带有当前用户对集群资源的权限配置信息,从而在目标服务集群,能够根据第二目标资源访问权限对第二集群资源信息是否具有访问权限的结果以及根据该结果来确定是否执行数据处理指令后得到调用响应结果;在确保服务集群资源的安全性以及服务的可用性的同时,还有助于鉴权过程的简化和高效处理。
在上述实施例的基础上,上述数据处理的方法除了包括上述操作S821~S826之外,还包括:接收来自目标服务集群反馈的调用响应结果。其中,上述调用响应结果由上述目标服务集群根据上述第二目标资源访问权限对上述第二集群资源信息是否具有访问权限的结果以及根据该结果来确定是否执行数据处理指令后得到。具体内容可以参照上述第四个实施例的描述,这里不再赘述。
基于相同的技术构思,本公开的第六个示例性实施例提供了一种权限配置的装置,该装置包括用于执行第一个实施例的方法对应的功能模块。
上述权限配置的装置包括云平台,上述云平台为分布式服务集群的统一代理层。上述云平台包括:配置请求接收模块、配置界面生成模块、配置信息接收模块和权限配置模块。上述配置请求接收模块,用于接收第一用户的权限配置请求。上述配置界面生成模块用于在接收到上述权限配置请求的情况下,生成权限配置界面。上述配置信息接收模块用于接收上述第一用户在上述权限配置界面配置的:关于用户选项中的用户与角色模板选项中的角色模板之间的绑定关系。上述用户对上述云平台具有访问权限,上述角色模板预定义有针对上述分布式服务集群的预设访问身份。上述权限配置模块用于根据上述绑定关系和上述预设访问身份预定义的资源访问权限,为上述绑定关系中的用户配置相应的角色模板定义下的访问身份对应的资源访问权限,得到权限配置信息。
本公开的第七个示例性实施例提供了一种数据处理的装置,该装置包括用于执行第二个实施例、第三个实施例、第四个实施例或第五个实施例的数据处理的方法对应的功能模块。
各个功能模块中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,各个功能模块中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
本公开的第八个示例性实施例提供了一种电子设备。
图9示意性示出了本公开实施例提供的电子设备的结构框图。
参照图9所示,本公开实施例提供的电子设备900包括处理器901、通信接口902、存储器903和通信总线904,其中,处理器901、通信接口902和存储器903通过通信总线904完成相互间的通信;存储器903,用于存放计算机程序;处理器901,用于执行存储器上所存放的程序时,实现如上所述的权限配置的方法或数据处理的方法。
本公开的第九个示例性实施例还提供了一种计算机可读存储介质。上述计算机可读存储介质上存储有计算机程序,上述计算机程序被处理器执行时实现如上所述的权限配置的方法或数据处理的方法。
该计算机可读存储介质可以是上述实施例中描述的设备/装置中所包含的;也可以是单独存在,而未装配入该设备/装置中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (17)
1.一种权限配置的方法,其特征在于,应用于云平台,所述云平台为分布式服务集群的统一代理层,所述方法包括:
接收第一用户的权限配置请求;
在接收到所述权限配置请求的情况下,获取集群访问权限处于待配置状态的用户信息;
根据所述用户信息,在预先配置好的候选角色模板中,确定与所述用户信息相匹配的匹配角色模板;
根据所述用户信息和所述匹配角色模板,生成用户选项的第一展示信息和与所述用户选项关联的角色模板选项的第二展示信息;
根据所述第一展示信息和所述第二展示信息,生成权限配置界面,并在所述权限配置界面展示对应的用户选项和角色模板选项;
接收所述第一用户在所述权限配置界面配置的:关于用户选项中的用户与角色模板选项中的角色模板之间的绑定关系;所述用户对所述云平台具有访问权限,所述角色模板预定义有针对所述分布式服务集群的预设访问身份;
根据所述绑定关系和所述预设访问身份预定义的资源访问权限,为所述绑定关系中的用户配置相应的角色模板定义下的访问身份对应的资源访问权限,得到权限配置信息。
2.根据权利要求1所述的方法,其特征在于,所述根据所述用户信息,在预先配置好的候选角色模板中,确定与所述用户信息相匹配的匹配角色模板,包括:
根据所述用户信息,确定用户的身份信息;
根据所述用户的身份信息,确定所述身份信息对应享有的集群服务信息;以及
根据所述集群服务信息,在预先配置好的候选角色模板中,将与所述集群服务信息相匹配的角色模板确定为匹配角色模板。
3.根据权利要求1所述的方法,其特征在于,还包括:配置多个候选角色模板;
其中,所述配置多个候选角色模板,包括:
接收对所述多个候选角色模板中的每个候选角色模板进行定义的配置信息,所述配置信息包括:对当前候选角色模板针对所述分布式服务集群的访问身份进行定义的第一配置信息,和对所述访问身份具有的资源访问权限进行定义的第二配置信息;以及
基于所述第一配置信息和所述第二配置信息,对每个候选角色模板进行配置,得到配置好的多个候选角色模板。
4.根据权利要求1-3中任一项所述的方法,其特征在于,还包括:
将所述权限配置信息同步给所述分布式服务集群中的各个服务集群。
5.一种数据处理的方法,其特征在于,应用于云平台,所述云平台为分布式服务集群的统一代理层,所述方法包括:
接收第二用户对所述分布式服务集群中的集群资源进行访问的初始访问请求,所述初始访问请求携带有:所述第二用户的用户信息、目标服务集群的地址信息和请求访问所述目标服务集群中的第一集群资源信息;
在接收到所述初始访问请求的情况下,根据所述第二用户的用户信息,对所述第二用户的身份进行验证;
在所述第二用户的身份验证通过的情况下,根据预先配置好的用户与角色模板之间的绑定关系,确定所述第二用户对应的第一目标角色模板;其中,所述绑定关系中的用户对所述云平台具有访问权限,所述绑定关系中的角色模板预定义有针对所述分布式服务集群的预设访问身份,所述预设访问身份具有预定义的资源访问权限;
对所述初始访问请求中的用户信息进行身份标识转换,得到携带有所述第一目标角色模板对应的第一目标访问身份、所述第一目标访问身份下的第一目标资源访问权限和所述第一集群资源信息的中间访问请求;以及
根据所述地址信息,将所述中间访问请求转发给所述目标服务集群。
6.一种数据处理的方法,其特征在于,应用于云平台,所述云平台为分布式服务集群的统一代理层,所述方法包括:
接收第二用户对所述分布式服务集群中的集群资源进行访问的访问请求,所述访问请求携带有:所述第二用户的用户信息、目标服务集群的地址信息和请求访问所述目标服务集群中的第一集群资源信息;
在接收到所述访问请求的情况下,根据所述第二用户的用户信息,对所述第二用户的身份进行验证;
在所述第二用户的身份验证通过的情况下,根据预先配置好的权限配置信息,确定所述第二用户对应的第一目标资源访问权限;其中,所述预先配置好的权限配置信息通过采用权利要求1-4中任一项所述的方法配置得到;
将所述第一目标资源访问权限构建为所述访问请求的转发标识;以及
根据所述地址信息,将携带有所述转发标识的所述访问请求转发给所述目标服务集群。
7.根据权利要求5或6所述的方法,其特征在于,还包括:
接收来自目标服务集群的访问响应结果;其中,所述访问响应结果由所述目标服务集群根据所述第一目标资源访问权限对所述第一集群资源信息是否具有访问权限的结果来生成得到。
8.一种数据处理的方法,其特征在于,包括:
接收第三用户对应用的操作请求;
根据所述操作请求,确定需要调用的分布式服务集群中的目标服务集群和对所述目标服务集群的调用请求,所述调用请求中携带有:第三用户的用户信息、需要调用的第二集群资源信息和数据处理指令;
根据所述第三用户的用户信息,对所述第三用户的身份进行验证;
在所述第三用户的身份验证通过的情况下,根据预先配置好的用户与角色模板之间的绑定关系,确定所述第三用户对应的第二目标角色模板;其中,所述绑定关系中的用户对云平台具有访问权限,所述绑定关系中的角色模板预定义有针对所述分布式服务集群的预设访问身份,所述预设访问身份具有预定义的资源访问权限;所述云平台为分布式服务集群的统一代理层;
对所述调用请求中的用户信息进行身份标识转换,得到携带有所述第二目标角色模板对应的第二目标访问身份、所述第二目标访问身份下的第二目标资源访问权限、所述第二集群资源信息和所述数据处理指令的转换调用请求;以及
将所述转换调用请求转发给所述目标服务集群。
9.一种数据处理的方法,其特征在于,包括:
接收第三用户对应用的操作请求;
根据所述操作请求,确定需要调用的分布式服务集群中的目标服务集群和对所述目标服务集群的调用请求,所述调用请求中携带有:第三用户的用户信息、需要调用的第二集群资源信息和数据处理指令;
根据所述第三用户的用户信息,对所述第三用户的身份进行验证;
在所述第三用户的身份验证通过的情况下,根据预先配置好的权限配置信息,确定所述第三用户对应的第二目标资源访问权限;其中,所述预先配置好的权限配置信息通过采用权利要求1-4中任一项所述的方法配置得到;
将所述第二目标资源访问权限构建为所述调用请求的转发标识;以及
将携带有所述转发标识的所述调用请求转发给所述目标服务集群。
10.根据权利要求8或9所述的方法,其特征在于,还包括:
接收来自目标服务集群反馈的调用响应结果;其中,所述调用响应结果由所述目标服务集群根据所述第二目标资源访问权限对所述第二集群资源信息是否具有访问权限的结果以及根据所述结果来确定是否执行数据处理指令后得到。
11.一种权限配置的装置,其特征在于,所述装置包括云平台,所述云平台为分布式服务集群的统一代理层,所述云平台包括:
配置请求接收模块,用于接收第一用户的权限配置请求;
配置界面生成模块,用于在接收到所述权限配置请求的情况下,获取集群访问权限处于待配置状态的用户信息;根据所述用户信息,在预先配置好的候选角色模板中,确定与所述用户信息相匹配的匹配角色模板;根据所述用户信息和所述匹配角色模板,生成用户选项的第一展示信息和与所述用户选项关联的角色模板选项的第二展示信息;根据所述第一展示信息和所述第二展示信息,生成权限配置界面,并在所述权限配置界面展示对应的用户选项和角色模板选项;
配置信息接收模块,用于接收所述第一用户在所述权限配置界面配置的:关于用户选项中的用户与角色模板选项中的角色模板之间的绑定关系;所述用户对所述云平台具有访问权限,所述角色模板预定义有针对所述分布式服务集群的预设访问身份;
权限配置模块,用于根据所述绑定关系和所述预设访问身份预定义的资源访问权限,为所述绑定关系中的用户配置相应的角色模板定义下的访问身份对应的资源访问权限,得到权限配置信息。
12.一种数据处理的装置,其特征在于,所述装置包括云平台,所述云平台为分布式服务集群的统一代理层,所述云平台包括:
访问请求接收模块,用于接收第二用户对所述分布式服务集群中的集群资源进行访问的初始访问请求,所述初始访问请求携带有:所述第二用户的用户信息、目标服务集群的地址信息和请求访问所述目标服务集群中的第一集群资源信息;
身份验证模块,用于在接收到所述初始访问请求的情况下,根据所述第二用户的用户信息,对所述第二用户的身份进行验证;
角色模板确定模块,用于在所述第二用户的身份验证通过的情况下,根据预先配置好的用户与角色模板之间的绑定关系,确定所述第二用户对应的第一目标角色模板;其中,所述绑定关系中的用户对所述云平台具有访问权限,所述绑定关系中的角色模板预定义有针对所述分布式服务集群的预设访问身份,所述预设访问身份具有预定义的资源访问权限;
请求转换模块,用于对所述初始访问请求中的用户信息进行身份标识转换,得到携带有所述第一目标角色模板对应的第一目标访问身份、所述第一目标访问身份下的第一目标资源访问权限和所述第一集群资源信息的中间访问请求;以及
转发模块,用于根据所述地址信息,将所述中间访问请求转发给所述目标服务集群。
13.一种数据处理的装置,其特征在于,包括:
访问请求接收模块,用于接收第二用户对所述分布式服务集群中的集群资源进行访问的访问请求,所述访问请求携带有:所述第二用户的用户信息、目标服务集群的地址信息和请求访问所述目标服务集群中的第一集群资源信息;
身份验证模块,用于在接收到所述访问请求的情况下,根据所述第二用户的用户信息,对所述第二用户的身份进行验证;
访问权限确定模块,用于在所述第二用户的身份验证通过的情况下,根据预先配置好的权限配置信息,确定所述第二用户对应的第一目标资源访问权限;其中,所述预先配置好的权限配置信息通过采用权利要求1-4中任一项所述的方法配置得到或者采用权利要求11所述的装置配置得到;
请求标识构建模块,用于将所述第一目标资源访问权限构建为所述访问请求的转发标识;以及
转发模块,用于根据所述地址信息,将携带有所述转发标识的所述访问请求转发给所述目标服务集群。
14.一种数据处理的装置,其特征在于,包括:
操作请求接收模块,用于接收第三用户对应用的操作请求;
调用集群和调用请求确定模块,用于根据所述操作请求,确定需要调用的分布式服务集群中的目标服务集群和对所述目标服务集群的调用请求,所述调用请求中携带有:第三用户的用户信息、需要调用的第二集群资源信息和数据处理指令;
身份验证模块,用于根据所述第三用户的用户信息,对所述第三用户的身份进行验证;
角色模板确定模块,用于在所述第三用户的身份验证通过的情况下,根据预先配置好的用户与角色模板之间的绑定关系,确定所述第三用户对应的第二目标角色模板;其中,所述绑定关系中的用户对云平台具有访问权限,所述绑定关系中的角色模板预定义有针对所述分布式服务集群的预设访问身份,所述预设访问身份具有预定义的资源访问权限;所述云平台为分布式服务集群的统一代理层;
请求转换模块,用于对所述调用请求中的用户信息进行身份标识转换,得到携带有所述第二目标角色模板对应的第二目标访问身份、所述第二目标访问身份下的第二目标资源访问权限、所述第二集群资源信息和所述数据处理指令的转换调用请求;以及
转发模块,用于将所述转换调用请求转发给所述目标服务集群。
15.一种数据处理的装置,其特征在于,包括:
操作请求接收模块,用于接收第三用户对应用的操作请求;
调用集群和调用请求确定模块,用于根据所述操作请求,确定需要调用的分布式服务集群中的目标服务集群和对所述目标服务集群的调用请求,所述调用请求中携带有:第三用户的用户信息、需要调用的第二集群资源信息和数据处理指令;
身份验证模块,用于根据所述第三用户的用户信息,对所述第三用户的身份进行验证;
访问权限确定模块,用于在所述第三用户的身份验证通过的情况下,根据预先配置好的权限配置信息,确定所述第三用户对应的第二目标资源访问权限;其中,所述预先配置好的权限配置信息通过采用权利要求1-4中任一项所述的方法配置得到或者采用权利要求11所述的装置配置得到;
请求标识构建模块,用于将所述第二目标资源访问权限构建为所述调用请求的转发标识;以及
转发模块,用于将携带有所述转发标识的所述调用请求转发给所述目标服务集群。
16.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器、通信接口和存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-10中任一项所述的方法。
17.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-10中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111177946.1A CN113923023B (zh) | 2021-10-09 | 2021-10-09 | 权限配置和数据处理的方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111177946.1A CN113923023B (zh) | 2021-10-09 | 2021-10-09 | 权限配置和数据处理的方法、装置、电子设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113923023A CN113923023A (zh) | 2022-01-11 |
CN113923023B true CN113923023B (zh) | 2024-04-05 |
Family
ID=79238623
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111177946.1A Active CN113923023B (zh) | 2021-10-09 | 2021-10-09 | 权限配置和数据处理的方法、装置、电子设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113923023B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114650170B (zh) * | 2022-02-24 | 2024-02-02 | 京东科技信息技术有限公司 | 跨集群资源管理方法、装置、设备和存储介质 |
CN115189943B (zh) * | 2022-07-08 | 2024-04-19 | 北京天融信网络安全技术有限公司 | 一种基于网络地址的权限管理方法及系统 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7685206B1 (en) * | 2004-02-12 | 2010-03-23 | Microsoft Corporation | Authorization and access control service for distributed network resources |
CN106936772A (zh) * | 2015-12-29 | 2017-07-07 | 中国移动通信集团湖南有限公司 | 一种云平台资源的访问方法、装置及系统 |
CN107104931A (zh) * | 2016-02-23 | 2017-08-29 | 中兴通讯股份有限公司 | 一种访问控制方法及平台 |
CN110569652A (zh) * | 2019-08-29 | 2019-12-13 | 武汉大学 | 一种基于用户角色调整的动态访问控制方法 |
CN110784433A (zh) * | 2018-07-31 | 2020-02-11 | 阿里巴巴集团控股有限公司 | 一种用户访问处理方法、装置及设备 |
CN110971646A (zh) * | 2018-09-30 | 2020-04-07 | 浙江大学 | 一种集群控制装置、系统及方法 |
CN111371809A (zh) * | 2020-03-27 | 2020-07-03 | 武大吉奥信息技术有限公司 | 一种基于反向代理架构的服务器及gis服务访问控制方法 |
CN111541656A (zh) * | 2020-04-09 | 2020-08-14 | 中央电视台 | 基于融合媒体云平台的身份认证方法及系统 |
US10798084B1 (en) * | 2019-04-30 | 2020-10-06 | Sailpoint Technologies, Inc. | System and method for identity management of cloud based computing services in identity management artificial intelligence systems |
CN111953708A (zh) * | 2020-08-24 | 2020-11-17 | 北京金山云网络技术有限公司 | 基于云平台的跨账号登录方法、装置及服务器 |
WO2020238751A1 (zh) * | 2019-05-28 | 2020-12-03 | 阿里巴巴集团控股有限公司 | 无服务器架构下的资源访问方法、设备、系统及存储介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8132231B2 (en) * | 2007-12-06 | 2012-03-06 | International Business Machines Corporation | Managing user access entitlements to information technology resources |
US10348735B2 (en) * | 2017-09-01 | 2019-07-09 | Atlassian Pty Ltd | Systems and methods for accessing cloud resources from a local development environment |
US11765174B2 (en) * | 2018-12-07 | 2023-09-19 | Vmware, Inc. | Identity-based access control for cloud applications |
US11620445B2 (en) * | 2019-09-25 | 2023-04-04 | Jpmorgan Chase Bank, N.A. | System and method for implementing an automatic data collection and presentation generator module |
US11297066B2 (en) * | 2020-01-20 | 2022-04-05 | International Business Machines Corporation | Constrained roles for access management |
-
2021
- 2021-10-09 CN CN202111177946.1A patent/CN113923023B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7685206B1 (en) * | 2004-02-12 | 2010-03-23 | Microsoft Corporation | Authorization and access control service for distributed network resources |
CN106936772A (zh) * | 2015-12-29 | 2017-07-07 | 中国移动通信集团湖南有限公司 | 一种云平台资源的访问方法、装置及系统 |
CN107104931A (zh) * | 2016-02-23 | 2017-08-29 | 中兴通讯股份有限公司 | 一种访问控制方法及平台 |
CN110784433A (zh) * | 2018-07-31 | 2020-02-11 | 阿里巴巴集团控股有限公司 | 一种用户访问处理方法、装置及设备 |
CN110971646A (zh) * | 2018-09-30 | 2020-04-07 | 浙江大学 | 一种集群控制装置、系统及方法 |
US10798084B1 (en) * | 2019-04-30 | 2020-10-06 | Sailpoint Technologies, Inc. | System and method for identity management of cloud based computing services in identity management artificial intelligence systems |
WO2020238751A1 (zh) * | 2019-05-28 | 2020-12-03 | 阿里巴巴集团控股有限公司 | 无服务器架构下的资源访问方法、设备、系统及存储介质 |
CN110569652A (zh) * | 2019-08-29 | 2019-12-13 | 武汉大学 | 一种基于用户角色调整的动态访问控制方法 |
CN111371809A (zh) * | 2020-03-27 | 2020-07-03 | 武大吉奥信息技术有限公司 | 一种基于反向代理架构的服务器及gis服务访问控制方法 |
CN111541656A (zh) * | 2020-04-09 | 2020-08-14 | 中央电视台 | 基于融合媒体云平台的身份认证方法及系统 |
CN111953708A (zh) * | 2020-08-24 | 2020-11-17 | 北京金山云网络技术有限公司 | 基于云平台的跨账号登录方法、装置及服务器 |
Non-Patent Citations (2)
Title |
---|
分布式服务共享的访问控制技术;梁策;肖田元;张林;;计算机集成制造系统(第03期);全文 * |
基于ORACLE10G AS的数字化校园用户权限管理研究;郭敏;;计算机与数字工程(第08期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113923023A (zh) | 2022-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10827008B2 (en) | Integrated user interface for consuming services across different distributed networks | |
US9811365B2 (en) | Migration of applications between an enterprise-based network and a multi-tenant network | |
JP6621838B2 (ja) | 仮想デスクトップ・インフラストラクチャにおける複数のプロトコルの使用 | |
US9614875B2 (en) | Scaling a trusted computing model in a globally distributed cloud environment | |
US10091055B2 (en) | Configuration service for configuring instances | |
US9489227B2 (en) | Apparatus and method for virtual desktop service | |
US9086897B2 (en) | Method and architecture for virtual desktop service | |
US9665411B2 (en) | Communication between a server orchestration system and a messaging system | |
CN114208112A (zh) | 用于可扩展网络服务的连接池 | |
US11539678B2 (en) | Asymmetric key management for cloud computing services | |
CN113923023B (zh) | 权限配置和数据处理的方法、装置、电子设备及介质 | |
US10021111B2 (en) | Location based authentication of users to a virtual machine in a computer system | |
Alani et al. | What is the Cloud? | |
US11689636B2 (en) | Delegating network data exchange | |
US10785056B1 (en) | Sharing a subnet of a logically isolated network between client accounts of a provider network | |
WO2018157787A1 (zh) | 一种预置账户的密码初始化方法及相关设备 | |
US11297065B2 (en) | Technology for computing resource liaison | |
JP7027612B2 (ja) | ヘルパを介したクライアントデバイスの匿名セッションへの接続 | |
JP7212158B2 (ja) | プロバイダネットワークサービス拡張 | |
Chithambaram et al. | Networks Security on Mobile Computing–A Survey | |
Sindhu et al. | Deploying a Kubernetes Cluster with Kubernetes-Operation (kops) on AWS Cloud: Experiments and Lessons Learned |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |