CN113987597A - 一种为应用分配账号的方法和装置 - Google Patents
一种为应用分配账号的方法和装置 Download PDFInfo
- Publication number
- CN113987597A CN113987597A CN202111266489.3A CN202111266489A CN113987597A CN 113987597 A CN113987597 A CN 113987597A CN 202111266489 A CN202111266489 A CN 202111266489A CN 113987597 A CN113987597 A CN 113987597A
- Authority
- CN
- China
- Prior art keywords
- account
- application
- index
- signature value
- account index
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Bioethics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种为应用分配账号的方法和装置,属于大数据,该方法包括:根据应用信息,确定配置模板;将配置模板发送至计算引擎,解析计算获得账号索引;根据账号索引,通过数据库存储位置授权管理器获取账号信息;其中,数据库存储位置授权管理器,用于账号的生成和存储;根据账号信息与数据库建立连接,将账号索引响应给应用。本发明可以提升数据库开发过程中的安全性。
Description
技术领域
本发明涉及计算机数据处理技术领域,尤其涉及一种为应用分配账号的方法和装置。
背景技术
本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
软件开发过程中,一般都是DBA给你分配好固定的账号和密码,然后RD拿到这些账号和密码连接数据库进行开发,这样会存在几个安全隐患:
开发者知道这些账号和密码可以任意操作数据库;
账号和密码存在传递的隐患,如果被非法利用,后果很难想象;
账号和密码是明文的,没有加密处理;
多个应用共同用一套账号密码,无法统计度量;甚至出现问题,不好跟踪、追责。
因此,如何提供一种新的方案,其能够解决上述技术问题是本领域亟待解决的技术难题。
发明内容
本发明实施例提供一种为应用分配账号的方法,可以提升数据库开发过程中的安全性,该方法包括:
根据应用信息,确定配置模板;
将配置模板发送至计算引擎,解析计算获得账号索引;
根据账号索引,通过数据库存储位置授权管理器获取账号信息;其中,数据库存储位置授权管理器,用于账号的生成和存储;
根据账号信息与数据库建立连接,将账号索引响应给应用。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,根据应用信息,确定配置模板,包括:
根据应用信息,按照配置模板格式,填充配置域阈值,在配置域阈值填充完成后,进行base64转换,确定配置模板。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,填充配置域阈值,包括:
根据应用信息,获取应用英文标识、加密盐串和账号索引,作为应用识别标识;
根据英文标识、加密盐串和账号索引,利用MD5计算确定第一签名值,作为防篡改计算标识;
将应用英文标识、加密盐串和账号索引以及第一签名值,填入配置域阈值。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,将配置模板发送至计算引擎,解析计算获得账号索引,包括:
将配置模板发送至计算引擎,进行base64解密,解析计算出账号索引。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,根据账号索引,通过数据库存储位置授权管理器获取账号信息,包括:
利用计算引擎再次解析配置模板,获取应用英文标识、加密盐串、账号索引以及第一签名值的值;
将应用英文标识、加密盐串和账号索引的值相加后进行MD5计算,确定第二签名值;
通过计算引擎比对第一签名值与第二签名值;
若第一签名值与第二签名值相等,则判断账号索引的值是否为空;
当账号索引的值不为空时,判断账号索引是否过期;
如果账号索引不过期,则计算引擎利用账号索引从数据库存储位置授权管理器中获取账号信息。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,在比对第一签名值与第二签名值时,若第一签名值与第二签名值不相等,则判定应用请求信息被篡改,实施安全拦截。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,在判断账号索引的值是否为空时,当账号索引的值为空,则分配新的数据库账号信息和新的索引账号以及过期策略;
将新的数据库账号信息和新的索引账号以及过期策略通过在数据库存储位置授权管理器中进行生成和存储。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,在判断账号索引是否过期时,如果账号索引过期,则修改过期策略,重新设置过期时间,将新设置的过期时间在数据库存储位置授权管理器中进行生成和存储。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,还包括:将账号索引响应给应用后,应用利用账号索引进行本地模板文件的渲染与备份。
本发明实施例还提供一种为应用分配账号的装置,包括:
配置模板确定模块,用于根据应用信息,确定配置模板;
账号索引计算模块,用于将配置模板发送至计算引擎,解析计算获得账号索引;
账号信息获取模块,用于根据账号索引,通过数据库存储位置授权管理器获取账号信息;其中,数据库存储位置授权管理器,用于账号的生成和存储;
数据库连接模块,用于根据账号信息与数据库建立连接,将账号索引响应给应用。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,配置模板确定模块,具体用于:
根据应用信息,按照配置模板格式,填充配置域阈值,在配置域阈值填充完成后,进行base64转换,确定配置模板。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,配置模板确定模块,还用于:
根据应用信息,获取应用英文标识、加密盐串和账号索引,作为应用识别标识;
根据英文标识、加密盐串和账号索引,利用MD5计算确定第一签名值,作为防篡改计算标识;
将应用英文标识、加密盐串和账号索引以及第一签名值,填入配置域阈值。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,账号索引计算模块,具体用于:
将配置模板发送至计算引擎,进行base64解密,解析计算出账号索引。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,账号信息获取模块,具体用于:
利用计算引擎再次解析配置模板,获取应用英文标识、加密盐串、账号索引以及第一签名值的值;
将应用英文标识、加密盐串和账号索引的值相加后进行MD5计算,确定第二签名值;
通过计算引擎比对第一签名值与第二签名值;
若第一签名值与第二签名值相等,则判断账号索引的值是否为空;
当账号索引的值不为空时,判断账号索引是否过期;
如果账号索引不过期,则计算引擎利用账号索引从数据库存储位置授权管理器中获取账号信息。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,账号信息获取模块,还用于:在比对第一签名值与第二签名值时,若第一签名值与第二签名值不相等,则判定应用请求信息被篡改,实施安全拦截。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,账号信息获取模块,还用于:在判断账号索引的值是否为空时,当账号索引的值为空,则分配新的数据库账号信息和新的索引账号以及过期策略;
将新的数据库账号信息和新的索引账号以及过期策略通过在数据库存储位置授权管理器中进行生成和存储。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,账号信息获取模块,还用于:在判断账号索引是否过期时,如果账号索引过期,则修改过期策略,重新设置过期时间,将新设置的过期时间在数据库存储位置授权管理器中进行生成和存储。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,数据库连接模块,还用于:将账号索引响应给应用后,应用利用账号索引进行本地模板文件的渲染与备份。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述一种为应用分配账号的方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述一种为应用分配账号的方法的计算机程序。
本发明实施例提供的一种为应用分配账号的方法和装置,包括:根据应用信息,确定配置模板;将配置模板发送至计算引擎,解析计算获得账号索引;根据账号索引,通过数据库存储位置授权管理器获取账号信息;其中,数据库存储位置授权管理器,用于账号的生成和存储;根据账号信息与数据库建立连接,将账号索引响应给应用。本发明实施例提供了一种通过配置模板+规则渲染的方式为应用动态生成账号的解决方式,即便是RD也不知道自己应用的线上用户名、密码,有效防止内部成员对DB安全造成威胁,每个应用拥有自己的用户和密码,可以定期更换数据库的账号密码,以保证数据库账户安全,而不必要求应用做任何修改,限制单个用户的连接数和操作权限,提升数据库开发过程中的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例一种为应用分配账号的方法示意图。
图2为本发明实施例一种为应用分配账号的方法的架构图。
图3为本发明实施例一种为应用分配账号的方法的流程图。
图4为本发明实施例一种为应用分配账号的方法的base64转换前示意图。
图5为本发明实施例一种为应用分配账号的方法的base64转换后示意图。
图6为运行本发明实施的一种为应用分配账号的方法的计算机装置示意图。
图7为本发明实施例一种为应用分配账号的装置示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
本发明属于大数据技术。图1为本发明实施例一种为应用分配账号的方法示意图,如图1所示,本发明实施例提供一种为应用分配账号的方法,可以提升数据库开发过程中的安全性,该方法包括:
步骤101:根据应用信息,确定配置模板;
步骤102:将配置模板发送至计算引擎,解析计算获得账号索引;
步骤103:根据账号索引,通过数据库存储位置授权管理器获取账号信息;其中,数据库存储位置授权管理器,用于账号的生成和存储;
步骤104:根据账号信息与数据库建立连接,将账号索引响应给应用。
本发明实施例提供的一种为应用分配账号的方法,包括:根据应用信息,确定配置模板;将配置模板发送至计算引擎,解析计算获得账号索引;根据账号索引,通过数据库存储位置授权管理器获取账号信息;其中,数据库存储位置授权管理器,用于账号的生成和存储;根据账号信息与数据库建立连接,将账号索引响应给应用。本发明实施例提供了一种通过配置模板+规则渲染的方式为应用动态生成账号的解决方式,即便是RD也不知道自己应用的线上用户名、密码,有效防止内部成员对DB安全造成威胁,每个应用拥有自己的用户和密码,可以定期更换数据库的账号密码,以保证数据库账户安全,而不必要求应用做任何修改,限制单个用户的连接数和操作权限,提升数据库开发过程中的安全性。
在本发明实施例中,设计的专业词汇如下:
RD:Research&Develop的缩写,中文译作软件工程师;
DB:DataBase的缩写,中文译作数据库;
DBA:Database Administrator的缩写,中文译作数据库管理员;
MD5:一种不可逆加密算法;
JSON:JavaScript Object Notation的缩写是一种轻量级的数据交换格式.易于阅读和理解,也易于机器解析和生成;
Key:账号和密码的md5索引串,通过Key可以找到相应的账号和密码信息;
数据库实例:后台进程和数据库文件的集合。比如一个SQL Server服务器就是一个实例;
应用:一个物理存在的软件系统;
MD5加密算法:一种被广泛使用的密码散列函数,具有较强的复杂度和不可逆性,可以产生出一个128位(16字节)的散列值(hash value),广泛应用于普通数据的加密保护领域,本发明主要用于账号密码索引加密;
Base64:Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法,本发明主要用其进行应用模板文件本地存储,避免信息明文展示。
图2为本发明实施例一种为应用分配账号的方法的架构图,如图2所示,本申请提供了一种通过配置模板+规则渲染的方式为应用动态分配数据库用户的方法,主要过程包括:
提供配置模板,各应用按照要求进行模板的内容配置,内容配置用于识别该应用以及作为账号、密码的计算因子。引擎解析应用的配置模板,并按一定规则动态生成账号和密码,并在结果集存储区存储,并将该账号和密码的索引通过MD5加密生成一个MD5串响应给请求应用。数据库存储位置授权管理器(DB-AccountManager)用于提供结果集存储功能和账号生成功能。
图3为本发明实施例一种为应用分配账号的方法的流程图,如图3所示,具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,可以包括:
根据应用信息,确定配置模板;
将配置模板发送至计算引擎,解析计算获得账号索引;
根据账号索引,通过数据库存储位置授权管理器(DB-AccountManager)获取账号信息;其中,数据库存储位置授权管理器,用于账号的生成和存储;
根据账号信息与数据库建立连接,将账号索引响应给应用。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,根据应用信息,确定配置模板,包括:
根据应用信息,按照配置模板格式,填充配置域阈值,在配置域阈值填充完成后,进行base64转换,确定配置模板。
应用按照配置模板格式,填充相应的域值,填充后将内容base64转换后以txt文件存在,并把配置模板发送至计算引擎;图4为base64转换前,图5为base64转换后。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,填充配置域阈值,包括:
根据应用信息,获取应用英文标识、加密盐串和账号索引,作为应用识别标识;
根据英文标识、加密盐串和账号索引,利用MD5计算确定第一签名值sign,作为防篡改计算标识;
将应用英文标识、加密盐串和账号索引以及第一签名值sign,填入配置域阈值。
实施例中,配置模板:渲染模板是一个json格式文件,它包含几个配置域,如下:
appName+key+salt组合作为应用的识别标识,第一签名值sign用于防篡改计算,并将模板生成发送至规则引擎。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,将配置模板发送至计算引擎,解析计算获得账号索引,包括:
将配置模板发送至计算引擎,进行base64解密,解析计算出账号索引。
实施例中,计算引擎用于解析配置模板json内容,计算出key,从结果集存储区找到对应的数据库对应账号信息。
结果集存储区:采用HashMap存储数据库用户信息的key-value,结果集存储区由DBA来维护。
计算引擎以sdk的方式存在,应用嵌入该sdk,sdk负责串联应用客户端和数据库存储位置授权管理器,根据渲染模板从数据库存储位置授权管理器拿到数据库账号信息后,负责与数据库建立连接。
数据库存储位置授权管理器:由DBA维护生成和获取数据库账号信息的API,供计算引擎调用。其中结果集存储区可以采用DB本身的table形式,它包含如下表1所示:
表1
配置模板:以txt文件形式存在,用于和计算引擎交互。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,根据账号索引,通过数据库存储位置授权管理器获取账号信息,包括:
利用计算引擎再次解析配置模板,获取应用英文标识、加密盐串、账号索引以及第一签名值的值;
将应用英文标识、加密盐串和账号索引的值相加后进行MD5计算,确定第二签名值sign1;
通过计算引擎比对第一签名值sign与第二签名值sign1;
若第一签名值sign与第二签名值sign1相等,则判断账号索引的值是否为空;
当账号索引的值不为空时,判断账号索引是否过期;
如果账号索引不过期,则计算引擎利用账号索引从数据库存储位置授权管理器中获取账号信息。
实施例中,计算引擎base64解密后,根据解密后的值分别解析出appName、salt、第一签名值sign、key的值,并对appName、salt、key的值相加后进行MD5,获取到第二签名值sign1,即sign1=MD5(value(appName)+value(salt)+value(key));
计算引擎判断sign1==sign,如果不相等,说明应用请求信息被篡;若相等,继续4);
计算引擎判断key==””,即如果为空串,需要新分配数据账号信息和新key以及过期策略;若不为空,判断key是否过期,若不过期,则进行计算引擎根据key从数据库存储位置授权管理器获取账号信息;
否则进行进行计算引擎把key、账号信息、过期策略通过数据库存储位置授权管理器进行生成和存储;。其中key的计算方法为:
key=MD5(value(appName)+value(salt));
计算引擎根据拿到的账号信息与数据建立连接,并把key响应给应用;
应用拿到key后进行本地模板文件渲染与备份。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,在比对第一签名值sign与第二签名值sign1时,若第一签名值sign与第二签名值sign1不相等,则判定应用请求信息被篡改,实施安全拦截。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,在判断账号索引的值是否为空时,当账号索引的值为空,则分配新的数据库账号信息和新的索引账号以及过期策略;
将新的数据库账号信息和新的索引账号以及过期策略通过在数据库存储位置授权管理器中进行生成和存储。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,在判断账号索引是否过期时,如果账号索引过期,则修改过期策略,重新设置过期时间,将新设置的过期时间在数据库存储位置授权管理器中进行生成和存储。
具体实施本发明实施例提供的一种为应用分配账号的方法时,在一个实施例中,还包括:将账号索引响应给应用后,应用利用账号索引进行本地模板文件的渲染与备份;上述渲染,是指对本地模板文件进行配置和填充。
本发明实施例的关键点在于:
提供了信息传递过程中防篡改的保护方法;
可以按应用粒度来动态分配数据库账号信息;
防止数据库账号信息明文传递;
计算引擎、配置模板的设计思想;
计算引擎、配置模板的交互逻辑;
提供了一种通过配置模板+规则渲染的方式为应用动态生成账号的解决方式。
本发明实施例的保护点在于:一种通过配置模板+规则渲染的方式为应用动态生成账号的解决方式;该发明中计算引擎、配置模板两个装置的设计思想和交互逻辑。
本发明能带来的好处:
即便是RD也不知道自己应用的线上用户名、密码,有效防止内部成员对DB安全造成威胁。
每个应用拥有自己的用户和密码
一旦发现危险操作,可以根据数据库日志快速定位到是哪个用户发起的,进而定位到应用,立即联系项目负责人介入处理
我们可以针对这个用户,进行限流,禁用等操作,而不会影响到其他应用。
我们可以定期更换数据库的账号密码,以保证数据库账户安全,而不必要求应用做任何修改(DBA自己发起替换后,渲染模板并串行重启应用即可)。
限制单个用户的连接数和操作权限
不同的应用需要不同的权限,遵循“权限最小化”原则
避免恶意操作(或者是内部误操作)打爆连接数,影响DB实例的可用性
下面结合具体场景,对本发明实施例提供的一种为应用分配账号的方法进行简要描述:
1)应用按照配置模板格式,填充相应的域值,填充后将内容base64转换后以txt文件存在,并把配置模板发送至计算引擎;
2)计算引擎base64解密后,根据解密后的值分别解析出appName、salt、sign、key的值,并对appName、salt、key的值相加后进行MD5,获取到sign1,即sign1=MD5(value(appName)+value(salt)+value(key));
3)计算引擎判断sign1==sign,如果不相等,说明应用请求信息被篡;若相等,继续4);
4)计算引擎判断key==””,即如果为空串,需要新分配数据账号信息和新key以及过期策略;若不为空,判断key是否过期,若不过期,则进行6);
否则进行进行5)。其中key的计算方法为:
key=MD5(value(appName)+value(salt));
5)计算引擎把key、账号信息、过期策略通过数据库存储位置授权管理器进行生成和存储;
6)计算引擎根据key从数据库存储位置授权管理器获取账号信息;
7)计算引擎根据拿到的账号信息与数据建立连接,并把key响应给应用;
8)应用拿到key后进行本地模板文件渲染与备份。
图6为运行本发明实施的一种为应用分配账号的方法的计算机装置示意图,如图6所示,本发明实施例还提供一种计算机设备600,包括存储器610、处理器620及存储在存储器上并可在处理器上运行的计算机程序630,所述处理器执行所述计算机程序时实现上述一种为应用分配账号的方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行实现上述一种为应用分配账号的方法的计算机程序。
本发明实施例中还提供了一种为应用分配账号的装置,如下面的实施例所述。由于该装置解决问题的原理与一种为应用分配账号的方法相似,因此该装置的实施可以参见一种为应用分配账号的方法的实施,重复之处不再赘述。
图7为本发明实施例一种为应用分配账号的装置示意图,如图7所示,本发明实施例还提供一种为应用分配账号的装置,具体实施时可以包括:
配置模板确定模块701,用于根据应用信息,确定配置模板;
账号索引计算模块702,用于将配置模板发送至计算引擎,解析计算获得账号索引;
账号信息获取模块703,用于根据账号索引,通过数据库存储位置授权管理器获取账号信息;其中,数据库存储位置授权管理器,用于账号的生成和存储;
数据库连接模块704,用于根据账号信息与数据库建立连接,将账号索引响应给应用。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,配置模板确定模块,具体用于:
根据应用信息,按照配置模板格式,填充配置域阈值,在配置域阈值填充完成后,进行base64转换,确定配置模板。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,配置模板确定模块,还用于:
根据应用信息,获取应用英文标识、加密盐串和账号索引,作为应用识别标识;
根据英文标识、加密盐串和账号索引,利用MD5计算确定第一签名值,作为防篡改计算标识;
将应用英文标识、加密盐串和账号索引以及第一签名值,填入配置域阈值。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,账号索引计算模块,具体用于:
将配置模板发送至计算引擎,进行base64解密,解析计算出账号索引。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,账号信息获取模块,具体用于:
利用计算引擎再次解析配置模板,获取应用英文标识、加密盐串、账号索引以及第一签名值的值;
将应用英文标识、加密盐串和账号索引的值相加后进行MD5计算,确定第二签名值;
通过计算引擎比对第一签名值与第二签名值;
若第一签名值与第二签名值相等,则判断账号索引的值是否为空;
当账号索引的值不为空时,判断账号索引是否过期;
如果账号索引不过期,则计算引擎利用账号索引从数据库存储位置授权管理器中获取账号信息。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,账号信息获取模块,还用于:在比对第一签名值与第二签名值时,若第一签名值与第二签名值不相等,则判定应用请求信息被篡改,实施安全拦截。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,账号信息获取模块,还用于:在判断账号索引的值是否为空时,当账号索引的值为空,则分配新的数据库账号信息和新的索引账号以及过期策略;
将新的数据库账号信息和新的索引账号以及过期策略通过在数据库存储位置授权管理器中进行生成和存储。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,账号信息获取模块,还用于:在判断账号索引是否过期时,如果账号索引过期,则修改过期策略,重新设置过期时间,将新设置的过期时间在数据库存储位置授权管理器中进行生成和存储。
具体实施本发明实施例提供的一种为应用分配账号的装置时,在一个实施例中,数据库连接模块,还用于:将账号索引响应给应用后,应用利用账号索引进行本地模板文件的渲染与备份。
综上,本发明实施例提供的一种为应用分配账号的方法和装置,包括:根据应用信息,确定配置模板;将配置模板发送至计算引擎,解析计算获得账号索引;根据账号索引,通过数据库存储位置授权管理器获取账号信息;根据账号信息与数据库建立连接,将账号索引响应给应用。本发明实施例提供了一种通过配置模板+规则渲染的方式为应用动态生成账号的解决方式,即便是RD也不知道自己应用的线上用户名、密码,有效防止内部成员对DB安全造成威胁,每个应用拥有自己的用户和密码,可以定期更换数据库的账号密码,以保证数据库账户安全,而不必要求应用做任何修改,限制单个用户的连接数和操作权限,提升数据库开发过程中的安全性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (20)
1.一种为应用分配账号的方法,其特征在于,包括:
根据应用信息,确定配置模板;
将配置模板发送至计算引擎,解析计算获得账号索引;
根据账号索引,通过数据库存储位置授权管理器获取账号信息;其中,数据库存储位置授权管理器,用于账号的生成和存储;
根据账号信息与数据库建立连接,将账号索引响应给应用。
2.如权利要求1所述的方法,其特征在于,根据应用信息,确定配置模板,包括:
根据应用信息,按照配置模板格式,填充配置域阈值,在配置域阈值填充完成后,进行base64转换,确定配置模板。
3.如权利要求2所述的方法,其特征在于,填充配置域阈值,包括:
根据应用信息,获取应用英文标识、加密盐串和账号索引,作为应用识别标识;
根据英文标识、加密盐串和账号索引,利用MD5计算确定第一签名值,作为防篡改计算标识;
将应用英文标识、加密盐串和账号索引以及第一签名值,填入配置域阈值。
4.如权利要求2所述的方法,其特征在于,将配置模板发送至计算引擎,解析计算获得账号索引,包括:
将配置模板发送至计算引擎,进行base64解密,解析计算出账号索引。
5.如权利要求4所述的方法,其特征在于,根据账号索引,通过数据库存储位置授权管理器获取账号信息,包括:
利用计算引擎再次解析配置模板,获取应用英文标识、加密盐串、账号索引以及第一签名值的值;
将应用英文标识、加密盐串和账号索引的值相加后进行MD5计算,确定第二签名值;
通过计算引擎比对第一签名值与第二签名值;
若第一签名值与第二签名值相等,则判断账号索引的值是否为空;
当账号索引的值不为空时,判断账号索引是否过期;
如果账号索引不过期,则计算引擎利用账号索引从数据库存储位置授权管理器中获取账号信息。
6.如权利要求5所述的方法,其特征在于,在比对第一签名值与第二签名值时,若第一签名值与第二签名值不相等,则判定应用请求信息被篡改,实施安全拦截。
7.如权利要求5所述的方法,其特征在于,在判断账号索引的值是否为空时,当账号索引的值为空,则分配新的数据库账号信息和新的索引账号以及过期策略;
将新的数据库账号信息和新的索引账号以及过期策略通过在数据库存储位置授权管理器中进行生成和存储。
8.如权利要求5所述的方法,其特征在于,在判断账号索引是否过期时,如果账号索引过期,则修改过期策略,重新设置过期时间,将新设置的过期时间在数据库存储位置授权管理器中进行生成和存储。
9.如权利要求5所述的方法,其特征在于,还包括:将账号索引响应给应用后,应用利用账号索引进行本地模板文件的渲染与备份。
10.一种为应用分配账号的装置,其特征在于,包括:
配置模板确定模块,用于根据应用信息,确定配置模板;
账号索引计算模块,用于将配置模板发送至计算引擎,解析计算获得账号索引;
账号信息获取模块,用于根据账号索引,通过数据库存储位置授权管理器获取账号信息;其中,数据库存储位置授权管理器,用于账号的生成和存储;
数据库连接模块,用于根据账号信息与数据库建立连接,将账号索引响应给应用。
11.如权利要求10所述的装置,其特征在于,配置模板确定模块,具体用于:
根据应用信息,按照配置模板格式,填充配置域阈值,在配置域阈值填充完成后,进行base64转换,确定配置模板。
12.如权利要求11所述的装置,其特征在于,配置模板确定模块,还用于:
根据应用信息,获取应用英文标识、加密盐串和账号索引,作为应用识别标识;
根据英文标识、加密盐串和账号索引,利用MD5计算确定第一签名值,作为防篡改计算标识;
将应用英文标识、加密盐串和账号索引以及第一签名值,填入配置域阈值。
13.如权利要求11所述的装置,其特征在于,账号索引计算模块,具体用于:
将配置模板发送至计算引擎,进行base64解密,解析计算出账号索引。
14.如权利要求13所述的装置,其特征在于,账号信息获取模块,具体用于:
利用计算引擎再次解析配置模板,获取应用英文标识、加密盐串、账号索引以及第一签名值的值;
将应用英文标识、加密盐串和账号索引的值相加后进行MD5计算,确定第二签名值;
通过计算引擎比对第一签名值与第二签名值;
若第一签名值与第二签名值相等,则判断账号索引的值是否为空;
当账号索引的值不为空时,判断账号索引是否过期;
如果账号索引不过期,则计算引擎利用账号索引从数据库存储位置授权管理器中获取账号信息。
15.如权利要求14所述的装置,其特征在于,账号信息获取模块,还用于:在比对第一签名值与第二签名值时,若第一签名值与第二签名值不相等,则判定应用请求信息被篡改,实施安全拦截。
16.如权利要求14所述的装置,其特征在于,账号信息获取模块,还用于:在判断账号索引的值是否为空时,当账号索引的值为空,则分配新的数据库账号信息和新的索引账号以及过期策略;
将新的数据库账号信息和新的索引账号以及过期策略通过在数据库存储位置授权管理器中进行生成和存储。
17.如权利要求14所述的装置,其特征在于,账号信息获取模块,还用于:在判断账号索引是否过期时,如果账号索引过期,则修改过期策略,重新设置过期时间,将新设置的过期时间在数据库存储位置授权管理器中进行生成和存储。
18.如权利要求14所述的装置,其特征在于,数据库连接模块,还用于:将账号索引响应给应用后,应用利用账号索引进行本地模板文件的渲染与备份。
19.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至9任一项所述方法。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行实现权利要求1至9任一项所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111266489.3A CN113987597A (zh) | 2021-10-28 | 2021-10-28 | 一种为应用分配账号的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111266489.3A CN113987597A (zh) | 2021-10-28 | 2021-10-28 | 一种为应用分配账号的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113987597A true CN113987597A (zh) | 2022-01-28 |
Family
ID=79743851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111266489.3A Pending CN113987597A (zh) | 2021-10-28 | 2021-10-28 | 一种为应用分配账号的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113987597A (zh) |
-
2021
- 2021-10-28 CN CN202111266489.3A patent/CN113987597A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102447251B1 (ko) | 실링 엔클레이브로써의 데이터 실링해제 | |
| RU2759302C2 (ru) | Кросс-платформенная идентификационная информация анклава | |
| KR102510273B1 (ko) | 실링 엔클레이브로써의 데이터 실링 | |
| CN110414268B (zh) | 访问控制方法、装置、设备及存储介质 | |
| US9836612B2 (en) | Protecting data | |
| KR102466793B1 (ko) | 추상적 엔클레이브 신원 | |
| US20180020008A1 (en) | Secure asynchronous communications | |
| CN110199285B (zh) | 从属包围区二进制文件 | |
| CN109657492B (zh) | 数据库管理方法、介质及电子设备 | |
| US9268492B2 (en) | Network based management of protected data sets | |
| JP2023520632A (ja) | データの保護のためのノイズ・トランザクション | |
| CN115580413A (zh) | 一种零信任的多方数据融合计算方法和装置 | |
| WO2022116761A1 (en) | Self auditing blockchain | |
| CN104657504A (zh) | 一种文件快速识别方法 | |
| CN110602051A (zh) | 基于共识协议的信息处理方法及相关装置 | |
| CN116150780A (zh) | 动态生成令牌方法和装置、电子设备及存储介质 | |
| CN113987597A (zh) | 一种为应用分配账号的方法和装置 | |
| CN113609531B (zh) | 基于区块链的信息交互方法、装置、设备、介质和产品 | |
| CN108427559B (zh) | 一种脚本文件生成和调用方法以及装置 | |
| CN114338245B (zh) | 一种基于人工智能的数据防泄密方法及系统 | |
| KR20130133922A (ko) | 리소스 보안 방법, 이를 실행하는 마스터 서버 및 이를 저장한 기록 매체 | |
| CN111079165B (zh) | 一种数据处理的方法、数据处理装置、设备及存储介质 | |
| CA3046497C (en) | Abstract enclave identity | |
| CN110214323B (zh) | 包围区抽象模型 | |
| KR20220140638A (ko) | 모델 보호 방법과 장치, 전자 기기, 모델 보호 시스템, 저장 매체 및 컴퓨터 프로그램 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |