CN114006755B - 接口调用权限的鉴别方法、系统、装置、设备和存储介质 - Google Patents
接口调用权限的鉴别方法、系统、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN114006755B CN114006755B CN202111272633.4A CN202111272633A CN114006755B CN 114006755 B CN114006755 B CN 114006755B CN 202111272633 A CN202111272633 A CN 202111272633A CN 114006755 B CN114006755 B CN 114006755B
- Authority
- CN
- China
- Prior art keywords
- interface
- user
- unique identifier
- authorized
- value pair
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请提出一种接口调用权限的鉴别方法、系统、装置、设备和存储介质,该方法包括:若接收到新增指令且不存在已授权接口的第一键值对,则在用户接口权限映射表中新增已授权接口的第一键值对;若存在已授权接口的第一键值对,则在已授权接口的第一键值对的值中增加新增用户的用户唯一标识;拦截用户侧设备的接口调用请求,从中解析出目标用户的用户唯一标识和待调用接口的接口唯一标识;查询目标用户对应的已授权接口中是否存在待调用接口;若存在,则允许对待调用接口的调用。本申请通过追加的方式新增接口与用户之间的授权关系,减少了键值对的存储空间。同时实现了对用户接口权限快速鉴权,减少对应用服务区的流量访问和网络堵塞。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种接口调用权限的鉴别方法、系统、装置、设备和存储介质。
背景技术
接口访问鉴权操作是网络接口访问中必不可少的一个环节,在网络中存在大量的敏感数据,只有具有相关权限的用户才能够访问特定的数据,禁止越权访问接口能在一定程度上防止越权用户对敏感数据的非法访问,从而减少系统被恶意访问的可能。接口访问鉴权包括DMZ网络域的鉴权和SF网络域的鉴权,在SF网络域的鉴权通常会将访问请求从DMZ网络域流入到SF网络域进行鉴权,这样会需要额外增加用户的一些权限,因此会直接对SF网络域造成一定的威胁,且耗时并且在并发高的情况下会对应用服务造成一定的阻塞。而在DMZ网络域的鉴权有的需要通过调用SF网络域部分接口以从数据库中调取用户权限信息来协助完成,这种跨服务区域的接口调用往往也会产生一定的网络资源损耗。
另外,现有技术中对于用户的接口权限采用的是用户-已授权接口这种形式的存储方式,当用户的接口权限增加时需要新建映射关系,大量的映射数据会占用大量的存储空间。
发明内容
为了解决现有技术中对不同网络域的接口访问或调用的鉴权都可能需要调用其他网络域的接口协助完成,这种跨网络域的接口鉴权方式会产生一定的网络损耗,从而引起网络阻塞的技术问题。本申请提供了一种接口调用权限的鉴别方法、系统、装置、设备和存储介质,其主要目的在于通过构建用户接口权限映射表,减少了跨网络域的接口调用,快速实现接口调用的鉴权,且通过在可调用接口的键值对中追加可调用的用户的存储方式,减少了键值对的存储空间,优化了键值对重建的问题。
为实现上述目的,本申请提供了一种接口调用权限的鉴别方法,该方法包括:
若接收到新增指令,且用户接口权限映射表中不存在已授权接口对应的第一键值对,则在用户接口权限映射表中新增已授权接口对应的第一键值对,其中,新增指令携带新增用户的用户唯一标识和对应的已授权接口的接口唯一标识,已授权接口的第一键值对的键为已授权接口的接口唯一标识、值包括新增用户的用户唯一标识,用户接口权限映射表存储在非关系型数据库中;
若用户接口权限映射表中存在已授权接口对应的第一键值对,则在已授权接口对应的第一键值对的值中增加新增用户的用户唯一标识;
拦截用户侧设备的接口调用请求,从接口调用请求中解析出目标用户的用户唯一标识和待调用接口的接口唯一标识;
根据目标用户的用户唯一标识,在用户接口权限映射表的键值对中查询目标用户对应的已授权接口的接口唯一标识集合中是否存在待调用接口的接口唯一标识;
若接口唯一标识集合中存在待调用接口的接口唯一标识,则允许目标用户所在用户侧设备对待调用接口的调用。
为实现上述目的,本申请还提供了一种接口调用权限的鉴别装置,该装置包括:
第一构建模块,用于若接收到新增指令,且用户接口权限映射表中不存在已授权接口对应的第一键值对,则在用户接口权限映射表中新增已授权接口对应的第一键值对,其中,新增指令携带新增用户的用户唯一标识和对应的已授权接口的接口唯一标识,已授权接口的第一键值对的键为已授权接口的接口唯一标识、值包括新增用户的用户唯一标识,用户接口权限映射表存储在非关系型数据库中;
第二构建模块,用于若用户接口权限映射表中存在已授权接口对应的第一键值对,则在已授权接口对应的第一键值对的值中增加新增用户的用户唯一标识;
拦截模块,用于拦截用户侧设备的接口调用请求,从接口调用请求中解析出目标用户的用户唯一标识和待调用接口的接口唯一标识;
第一查询模块,用于根据目标用户的用户唯一标识,在用户接口权限映射表的键值对中查询目标用户对应的已授权接口的接口唯一标识集合中是否存在待调用接口的接口唯一标识;
允许调用模块,用于若接口唯一标识集合中存在待调用接口的接口唯一标识,则允许目标用户所在用户侧设备对待调用接口的调用。
为实现上述目的,本申请还提供了一种接口调用权限的鉴别系统,该系统包括:DMZ网络域、SF网络域和接口权限管理非关系型数据库,接口权限管理非关系型数据库为非业务数据库;
SF网络域用于若接收到新增指令,且在接口权利管理数据库中的用户接口权限映射表中不存在已授权接口对应的第一键值对,则在用户接口权限映射表中新增已授权接口对应的第一键值对,其中,新增指令携带新增用户的用户唯一标识和对应的已授权接口的接口唯一标识,已授权接口,已授权接口的第一键值对的键为已授权接口的接口唯一标识、值包括新增用户的用户唯一标识;若用户接口权限映射表中存在已授权接口对应的第一键值对,则在已授权接口对应的第一键值对中的值中新增目标用户的唯一标识;
DMZ网络域用于拦截用户侧设备的接口调用请求,从接口调用请求中解析出目标用户的用户信息和待调用接口的接口信息,根据目标用户的用户唯一标识,在接口权限管理非关系型数据库的用户接口权限映射表的键值对中、查询目标用户对应的已授权接口的接口信息集合中是否存在待调用接口的接口唯一标识,若接口唯一标识集合中存在待调用接口的接口唯一标识,则允许目标用户所在用户侧设备发送的接口调用请求通过SF网络域,以实现对待调用接口的调用。
为实现上述目的,本申请还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机可读指令,处理器执行计算机可读指令时执行如前面任一项的接口调用权限的鉴别方法的步骤。
为实现上述目的,本申请还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机可读指令,计算机可读指令被处理器执行时,使得处理器执行如前面任一项的接口调用权限的鉴别方法的步骤。
本申请提出的接口调用权限的鉴别方法、系统、装置、设备和存储介质,通过在数据库中构建接口唯一标识和用户唯一标识的映射关系,并通过保持键不变只需要对值进行追加的方式在接口唯一标识下增加和删减用户唯一标识,实现了接口唯一标识与用户唯一标识之间多对多的映射关系和存储方式,减少了键值对的存储空间,优化了键值对重建的问题。同时本申请能够通过目标用户的用户唯一标识直接从非SF网络域(非服务区)的数据库中获取目标用户可访问接口的接口唯一标识,来判断目标用户待访问的接口是否可访问,实现了对用户接口权限实现快速鉴权拦截,把控住绝大部分非法请求或越权的流量,减少对应用服务区的流量访问,一定程度上保证了系统安全,且减少了服务的堵塞。
附图说明
图1为本申请一实施例中接口调用权限的鉴别方法的应用场景图;
图2为本申请一实施例中接口调用权限的鉴别方法的流程示意图;
图3为本申请一实施例中接口调用权限的鉴别装置的结构框图;
图4为本申请一实施例中计算机设备的内部结构框图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的接口调用权限的鉴别方法可应用在如图1的接口调用权限的鉴别系统中。其中,该接口调用权限的鉴别系统包括:DMZ网络域、SF网络域和接口权限管理非关系型数据库。
SF网络域用于若接收到新增指令,且在接口权利管理数据库中的用户接口权限映射表中不存在已授权接口对应的第一键值对,则在用户接口权限映射表中新增已授权接口对应的第一键值对,其中,新增指令携带新增用户的用户唯一标识和对应的已授权接口的接口唯一标识,已授权接口,已授权接口的第一键值对的键为已授权接口的接口唯一标识、值包括新增用户的用户唯一标识;若用户接口权限映射表中存在已授权接口对应的第一键值对,则在已授权接口对应的第一键值对中的值中新增目标用户的唯一标识;
DMZ网络域用于拦截用户侧设备的接口调用请求,从接口调用请求中解析出目标用户的用户信息和待调用接口的接口信息,根据目标用户的用户唯一标识,在接口权限管理非关系型数据库的用户接口权限映射表的键值对中、查询目标用户对应的已授权接口的接口信息集合中是否存在待调用接口的接口唯一标识,若接口唯一标识集合中存在待调用接口的接口唯一标识,则允许目标用户所在用户侧设备发送的接口调用请求通过SF网络域,以实现对待调用接口的调用。
用户侧设备可以但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。
图2为本申请一实施例中接口调用权限的鉴别方法的流程示意图。参考图2,以该方法应用在图1中的接口调用权限的鉴别系统为例进行说明。该接口调用权限的鉴别方法包括以下步骤S100-S500。
S100:若接收到新增指令,且用户接口权限映射表中不存在已授权接口对应的第一键值对,则在用户接口权限映射表中新增已授权接口对应的第一键值对,其中,新增指令携带新增用户的用户唯一标识和对应的已授权接口的接口唯一标识,已授权接口的第一键值对的键为已授权接口的接口唯一标识、值包括新增用户的用户唯一标识,用户接口权限映射表存储在非关系型数据库中。
S200:若用户接口权限映射表中存在已授权接口对应的第一键值对,则在已授权接口对应的第一键值对的值中增加新增用户的用户唯一标识。
具体地,步骤S100-S200用于构建或完善补充用户接口权限映射表。用户接口权限映射表中存储了每个用户的用户信息与其可调用或可访问的接口的接口信息的映射关系,或存储了各个接口的接口信息与所授权的访问用户的用户信息的映射关系。用户接口权限映射表具体存储在非关系型数据库中,非关系型数据库为非业务数据库。对于一个系统来说,敏感的业务数据会存储在核心业务数据库中,而用户接口权限映射表相较于业务数据来说属于非敏感数据,因此,不会存储在核心业务数据库中,这样对用户接口权限映射表的调用不需要跨越SF网络域,也不需要访问核心数据库,因此一定程度保障了核心数据库中业务数据的安全。
新增指令可以是用户权限管理员通过数据库管理后台发送的。用户权限管理员可以通过数据库管理后台修改任意注册用户的接口访问权限。用户可以访问对应权限下的接口。
新增指令指定了新授权某个用户对某个接口的调用权限。如果接收到的是新增指令,则根据新增指令,在已授权接口的接口唯一标识对应的第一键值对下增加新增用户的用户唯一标识。即将用户的可访问接口或已授权接口与该用户的用户信息以key-value的格式注册或刷新到用户接口权限映射表中。第一键值对是一个包含一个key和多个value的键值对,即一个key对应多个value。且不同的key对应的value可能重合或部分重合,即不同的用户可以同时具有同一个接口的访问权限。
用户接口权限映射表具体可以存储在Redis中。Redis(Remote DictionaryServer)远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API,一般用做远程缓存的存储。当然用户接口权限映射表也可以存储在其他数据存储媒介中,例如ES等。
用户接口权限映射表中如果没有已授权接口对应的键值对,则需要新建一个,新建的第一键值对的key为该已授权接口的接口唯一标识,value(值)包括新增用户的用户唯一标识。用户接口权限映射表映射表中一个接口唯一标识可以对应多个用户唯一标识。即,一个接口可以授权给多个用户调用。
键值对具体的映射形式为接口a—>[A,B],代表接口a授权给了用户A和用户B使用,接口a的键值对中key为接口a,值value包括了用户A和用户B,所以一个键值对中的值包括了至少一个用户唯一标识。
例如用户A可访问接口a、b、c,则分别构建三个键值对:a->[A],b->[A],c->[A]。后续如果给其他用户也分配了相同的接口权限的情况下,则进行键值对值的追加。例如,用户B也可以调用接口a,那么在redis中修改接口a的第一键值对为:a–>[A、B]。其中,[A、B]也为接口a对应的用户列表。一个key可以有多个value,一个value也可以对应多个key,作为多个key中的一个值。这样减少了存储用户->接口权限列表这类键值对空间的同时,能够在用户权限变更的时候不用重新构建键值对,只需要追加即可。
键值对中的键可以为接口的接口唯一标识,例如为接口代码或对应的url地址。值可以为用户的用户唯一标识,例如用户的账号或手机号码等不局限于此。
例如,对于APP来说,用户能够调用的接口实际就是用户所能看到的应用的菜单以及所能使用应用的功能,用户的权限修改影响的是用户看到的菜单应用,但是实际上对应到数据来说是每个用户所能访问的接口,接口是和菜单关联的,一个菜单可以对应多个接口,比如说一个员工管理的菜单,可以有增、删、改、查4个接口。这4个接口可以对部分用户全部开放,也可以部分接口对另外部分用户开放。
S300:拦截用户侧设备的接口调用请求,从接口调用请求中解析出目标用户的用户唯一标识和待调用接口的接口唯一标识。
具体地,接口调用请求为目标用户通过用户侧设备发送的,接口调用请求中携带有待调用接口的接口信息和目标用户的用户信息,用户信息包括用户唯一标识,例如用户账号;接口信息包括接口唯一标识,例如接口对应的url。
接口调用请求具体携带JWT(JSon Web Token),对JWT进行解析进而获取到目标用户的用户唯一标识和待调用接口的接口唯一标识。
S400:根据目标用户的用户唯一标识,在用户接口权限映射表的键值对中查询目标用户对应的已授权接口的接口唯一标识集合中是否存在待调用接口的接口唯一标识。
具体地,已授权接口即用户接口权限映射表中同一个用户对应的接口,已授权接口即为可访问接口或可调用接口。例如,用户接口权限映射表中包括三个第一键值对:a->[A、B],b->[A],c->[A],则用户A的可访问接口包括接口a、接口b和接口c,用户B的可访问接口包括接口a。
将待调用接口的接口唯一标识与可访问接口的接口唯一标识进行匹配,以判断待调用接口是否为目标用户的可访问接口。
S500:若接口唯一标识集合中存在待调用接口的接口唯一标识,则允许目标用户所在用户侧设备对待调用接口的调用。
具体地,如果目标用户的可访问接口的接口唯一标识集合中存在待调用接口的接口唯一标识,则表明待调用接口为目标用户的可访问接口,因此,待调用接口可以被目标用户所在的用户侧设备访问调用。用户侧设备成功访问待调用接口可以从服务器端获取到需要的数据。
本实施例通过在数据库中构建接口唯一标识和用户唯一标识的映射关系,并通过保持键不变只需要对值进行追加的方式在接口唯一标识下增加和删减用户唯一标识,实现了接口唯一标识与用户唯一标识之间多对多的映射关系和存储方式,减少了键值对的存储空间,优化了键值对重建的问题。同时本申请能够通过目标用户的用户唯一标识直接从非SF网络域(非服务区)的数据库中获取目标用户可访问接口的接口唯一标识,来判断目标用户待访问的接口是否可访问,实现了对用户接口权限实现快速鉴权拦截,把控住绝大部分非法请求或越权的流量,减少对应用服务区的流量访问,一定程度上保证了系统安全,且减少了服务的堵塞。
在一个实施例中,该方法还包括:
若接收到删减指令,则从用户接口权限映射表中查找以待删减接口的接口唯一标识作为键、值包含删减用户的用户唯一标识的第二键值对,其中,删减指令携带删减用户的用户唯一标识和待删减接口的接口唯一标识;
将删减用户的用户唯一标识从第二键值对中删除。
具体地,新增指令和删减指令都是对用户的接口访问权限的设置操作。同一个接口对应的键值对可以删减已授权用户,也可以添加新的授权用户。
删减指令可以是用户权限管理员通过数据库管理后台发送的。用户权限管理员可以通过数据库管理后台修改任意注册用户的接口访问权限。
如果接收到的是删减指令,则根据删减指令,在待删减接口的接口唯一标识对应的第二键值对下删除删减用户的用户唯一标识。
例如,要取消用户A对接口a的调用权限,则要查找出键为接口a,值包括用户A的键值对,例如,接口a—>[A,B],才能将用户A从这个键值对中删掉,进而取消用户A对接口a的访问,最后得到的键值对就是接口a—>[B]。
再例如,第二键值对a–>[A、B],待删减接口为接口a,删减用户为用户B,则将用户B从第二键值对a–>[A、B]中删除,得到更新的第二键值对a–>[A]。
在一个实施例中,该方法还包括:
若接口信息集合中不存在待调用接口的接口唯一标识,则禁止目标用户所在用户侧设备对待调用接口的调用;
统计目标用户对待调用接口的累计禁止调用次数;
若目标用户对待调用接口的累计禁止调用次数达到第一阈值,则将目标用户的用户唯一标识加入至待调用接口对应的黑名单中。
具体地,如果待调用接口为目标用户的可调用接口中的一个,则允许该目标用户通过用户侧设备调用该待调用接口。如果待调用接口不属于目标用户的可调用接口中的一个,则禁止该目标用户通过用户侧设备调用该待调用接口。并对该目标用户对该待调用接口的禁止调用次数进行累加,得到累计禁止调用次数。生成目标用户、待调用接口以及累计禁止调用次数之间的映射关系。
如果该目标用户对应的累计禁止调用次数大于或等于第一阈值,则将目标用户的用户唯一标识加入到待调用接口对应的黑名单中。
黑名单可以与用户接口权限映射表存储在同一个数据库或数据存储媒介中,例如存储在Redis数据库中。
如果目标用户调用同一个接口多次都被禁止调用,则说明该目标用户不允许调用该接口。为了防止目标用户频繁调用不允许调用的接口,直接将该用户加入该接口的黑名单中,则减少对用户接口权限映射表即redis数据库的频繁访问,达到进一步加快鉴别高频访问的目标用户的接口权限的速度。减少了非法用户对接口的恶意高频访问而造成的服务器压力。
在一个实施例中,步骤S400具体包括:
获取待调用接口对应的目标黑名单,
若根据目标用户的用户唯一标识判定目标用户不在目标黑名单中,则根据目标用户的用户唯一标识,在用户接口权限映射表的键值对中查询目标用户对应的已授权接口的接口唯一标识集合中是否存在待调用接口的接口唯一标识。
该方法还包括:
若根据目标用户的用户唯一标识判定目标用户在目标黑名单中,则禁止目标用户所在用户侧设备对待调用接口的调用。
具体地,用户接口权限映射表存储了所有接口与授权的用户之间的映射关系,因此,查询用户接口权限映射表的工作量相较于查询一个接口对应的黑名单计算开销更大。因此,在用户接口权限映射表中查询待调用接口是否为目标用户的可调用接口之前,先在待调用接口对应的目标黑名单中查询是否有该目标用户。如果目标黑名单中存在该目标用户的用户唯一标识,则说明该目标用户是禁止访问该待调用接口的,无需再去用户接口权限映射表中的查询,节省了计算开销,也加快了用户接口权限的鉴权。
如果该目标用户不在目标黑名单中,则需要去用户接口权限映射表中查询待调用接口是否为该目标用户的可调用接口。如果是该待调用接口为该目标用户的可调用接口,则允许该目标用户对该待调用接口的访问或调用。
在一个实施例中,步骤S300中拦截用户侧设备的接口调用请求,包括:
通过DMZ网络域中的拦截组件拦截用户侧设备的接口调用请求。
步骤S400和步骤S500也由DMZ网络域的拦截组件执行。具体地,通过DMZ网络域中的拦截组件根据目标用户的用户唯一标识,在用户接口权限映射表的键值对中查询目标用户对应的已授权接口的接口唯一标识集合中是否存在待调用接口的接口唯一标识,若接口唯一标识集合中存在待调用接口的接口唯一标识,则允许目标用户所在用户侧设备对待调用接口的调用。
具体地,VPC(VPC:Virtual Private Cloud,专有网络)下划分DMZ和SF两个基本的网络域。DMZ网络域:Demilitarized Zone,中文含义是“隔离区”,在安全领域的具体含义是“内外网防火墙之间的区域”,即两个防火墙之间的空间被称为DMZ网络域。与Internet相比,DMZ网络域可以提供更高的安全性,但是其安全性比内部网络低。DMZ网络域是内网与互联网外网之间隔离的区域,通常部署web server或者前置、代理服务器,可通过开通防火墙向Internet提供服务。SF网络域与DMZ网络域均属于业务集群。DMZ网络域和SF网络域均包括一些服务组件。SF网络域与所述DMZ网络域之间通过安全组进行通信。SF网络域:部署内网应用和核心应用的区域。通过SF网络域可访问到服务器端存储在业务数据库中的核心数据。
本实施例在DMZ网络域对接口调用请求进行拦截并执行鉴权操作,当鉴权通过时,DMZ网络域才允许该接口调用请求通过DMZ网络域到达SF网络域,然后由SF网络域根据接口调用请求去业务数据库中查找相应的数据返回给用户侧设备,以实现用户侧设备的接口调用。
传统的鉴权方式,用户的接口调用请求是依次通过DMZ网络域->SF网络域,在SF网络域进行鉴权,然后返回服务端的结果至用户侧设备。DMZ网络域和SF网络域是分别独立的,因为数据是存储在SF网络域,DMZ网络域不会直接对接数据库,所以需要跨区域跨服务通过SF网络域调用数据库中的用户权限数据。网络损耗主要是服务间的调用以及网络传输过程的损耗。本实施例直接在DMZ网络域通过网关的拦截器对接口调用请求进行拦截,并且越过SF网络域从其他非核心数据库中获取用户接口权限映射表实现接口调用的鉴权,不再跨区域进行服务调用,减少了对SF网络域的调用风险。
更具体地,DMZ区属于外网访问区,用户的接口调用请求是由CDN域名解析,到达DMZ区网关被拦截组件拦截。DMZ网关的拦截组件即拦截器还可以用于例如有效请求、白名单、黑名单、灰度分流等拦截。本实施例减少网络损耗,同时将非法接口调用拦截在SF网络域之前,进一步减少了恶意用户对接口的非法调用,一定程度保证了系统数据安全。同时,减少了网络阻塞和损耗。
在一个实施例中,步骤S100具体包括:
若在SF网络域接收到新增指令,且用户接口权限映射表中不存在已授权接口对应的第一键值对,则通过SF网络域在接口权限管理非关系型数据库中的用户接口权限映射表中新增已授权接口对应的第一键值对。
步骤S200具体包括:若用户接口权限映射表中存在已授权接口对应的第一键值对,则通过SF网络域在接口权限管理非关系型数据库中已授权接口对应的第一键值对的值中增加新增用户的用户唯一标识。
具体地,在SF网络域执行对Redis数据存储媒介中的数据的管理。接口访问权限即接口调用权限。在用户接口权限映射表中存储了各种不同的用户所对应的可访问接口与用户之间的映射关系。设置操作可以为修改操作也可以是新建操作。本实施例通过SF网络域来对接口权限管理非关系型数据库中的键值对进行删除或新增等设置操作,绕过DMZ网络域,只允许管理员直接通过SF网络域即内网对用户接口权限映射表进行管理,一定程度保证了用户接口权限映射表中数据的安全。
当然,步骤S100-S500也可以全部由DMZ网络域完成。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
图3为本申请一实施例中接口调用权限的鉴别装置的结构框图。参考图3,该接口调用权限的鉴别装置包括:
第一构建模块100,用于若接收到新增指令,且用户接口权限映射表中不存在已授权接口对应的第一键值对,则在用户接口权限映射表中新增已授权接口对应的第一键值对,其中,新增指令携带新增用户的用户唯一标识和对应的已授权接口的接口唯一标识,已授权接口的第一键值对的键为已授权接口的接口唯一标识、值包括新增用户的用户唯一标识,用户接口权限映射表存储在非关系型数据库中;
第二构建模块200,用于若用户接口权限映射表中存在已授权接口对应的第一键值对,则在已授权接口对应的第一键值对的值中增加新增用户的用户唯一标识;
拦截模块300,用于拦截用户侧设备的接口调用请求,从接口调用请求中解析出目标用户的用户唯一标识和待调用接口的接口唯一标识;
第一查询模块400,用于根据目标用户的用户唯一标识,在用户接口权限映射表的键值对中查询目标用户对应的已授权接口的接口唯一标识集合中是否存在待调用接口的接口唯一标识;
允许调用模块500,用于若接口唯一标识集合中存在待调用接口的接口唯一标识,则允许目标用户所在用户侧设备对待调用接口的调用。
在一个实施例中,该装置还包括:
第二查询模块,用于若接收到删减指令,则从用户接口权限映射表中查找以待删减接口的接口唯一标识作为键、值包含删减用户的用户唯一标识的第二键值对,其中,删减指令携带删减用户的用户唯一标识和待删减接口的接口唯一标识;
第三构建模块,用于将删减用户的用户唯一标识从第二键值对中删除。
在一个实施例中,该装置还包括:
第一禁止调用模块,用于若接口信息集合中不存在待调用接口的接口唯一标识,则禁止目标用户所在用户侧设备对待调用接口的调用;
统计模块,用于统计目标用户对待调用接口的累计禁止调用次数;
黑名单设置模块,用于若目标用户对待调用接口的累计禁止调用次数达到第一阈值,则将目标用户的用户唯一标识加入至待调用接口对应的黑名单中。
在一个实施例中,第一查询模块具体包括:
黑名单获取模块,用于获取待调用接口对应的目标黑名单,
子查询模块,用于若根据目标用户的用户唯一标识判定目标用户不在目标黑名单中,则根据目标用户的用户唯一标识,在用户接口权限映射表的键值对中查询目标用户对应的已授权接口的接口唯一标识集合中是否存在待调用接口的接口唯一标识;
该装置还包括:
第二禁止调用模块,用于若根据目标用户的用户唯一标识判定目标用户在目标黑名单中,则禁止目标用户所在用户侧设备对待调用接口的调用。
在一个实施例中,拦截模块具体用于:通过DMZ网络域中的拦截组件拦截用户侧设备的接口调用请求。
在一个实施例中,第一构建模块100具体用于:若在SF网络域接收到新增指令,且用户接口权限映射表中不存在已授权接口对应的第一键值对,则通过SF网络域在接口权限管理非关系型数据库中的用户接口权限映射表中新增已授权接口对应的第一键值对;
第二构建模块200具体用于:若用户接口权限映射表中存在已授权接口对应的第一键值对,则通过SF网络域在接口权限管理非关系型数据库中已授权接口对应的第一键值对的值中增加新增用户的用户唯一标识。
其中上述模块/单元中的“第一”和“第二”的意义仅在于将不同的模块/单元加以区分,并不用于限定哪个模块/单元的优先级更高或者其它的限定意义。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块,本申请中所出现的模块的划分,仅仅是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式。
关于接口调用权限的鉴别装置的具体限定可以参见上文中对于接口调用权限的鉴别方法的限定,在此不再赘述。上述接口调用权限的鉴别装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
图4为本申请一实施例中计算机设备的内部结构框图。如图4所示,该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、输入装置和显示屏。其中,该计算机设备的处理器用于提供计算和控制能力。存储器包括存储介质和内存储器。存储介质可以是非易失性存储介质,也可以是易失性存储介质。存储介质存储有操作系统,还可存储有计算机可读指令。本申请的接口调用权限的鉴别方法的全部步骤可以由多个计算机设备配合完成,也可以由一个计算机设备独立完成。当由多个计算机设备来完成时,每个计算机设备的计算机可读指令被处理器执行时,可使得处理器实现接口调用权限的鉴别方法中的部分步骤。该内存储器为存储介质中的操作系统和计算机可读指令的运行提供环境。该内存储器中也可储存有计算机可读指令,该计算机可读指令被处理器执行时,可使得处理器执行接口调用权限的鉴别方法中相应的步骤。该计算机设备的网络接口用于与外部服务器通过网络连接通信。计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机可读指令(例如计算机程序),处理器执行计算机可读指令时实现上述实施例中接口调用权限的鉴别方法的步骤,例如图2所示的步骤S100至步骤S500及该方法的其它扩展和相关步骤的延伸。或者,处理器执行计算机可读指令时实现上述实施例中接口调用权限的鉴别装置的各模块/单元的功能,例如图3所示模块100至模块500的功能。为避免重复,这里不再赘述。
处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,处理器是计算机装置的控制中心,利用各种接口和线路连接整个计算机装置的各个部分。
存储器可用于存储计算机可读指令和/或模块,处理器通过运行或执行存储在存储器内的计算机可读指令和/或模块,以及调用存储在存储器内的数据,实现计算机装置的各种功能。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、视频数据等)等。
存储器可以集成在处理器中,也可以与处理器分开设置。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机可读指令,计算机可读指令被处理器执行时实现上述实施例中接口调用权限的鉴别方法的步骤,例如图2所示的步骤S100至步骤S500及该方法的其它扩展和相关步骤的延伸。或者,计算机可读指令被处理器执行时实现上述实施例中接口调用权限的鉴别装置的各模块/单元的功能,例如图3所示模块100至模块500的功能。为避免重复,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机可读指令来指示相关的硬件来完成,所述的计算机可读指令可存储于一计算机可读取存储介质中,该计算机可读指令在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双倍速率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种接口调用权限的鉴别方法,其特征在于,所述方法包括:
若SF网络域接收到新增指令,且用户接口权限映射表中不存在已授权接口对应的第一键值对,则在所述用户接口权限映射表中新增所述已授权接口对应的第一键值对,其中,所述新增指令携带新增用户的用户唯一标识和对应的已授权接口的接口唯一标识,所述已授权接口的第一键值对的键为所述已授权接口的接口唯一标识、值包括所述新增用户的用户唯一标识,所述用户接口权限映射表存储在非关系型数据库中;
若所述用户接口权限映射表中存在所述已授权接口对应的第一键值对,则在所述已授权接口对应的第一键值对的值中增加所述新增用户的用户唯一标识;
DMZ网络域拦截用户侧设备的接口调用请求,从所述接口调用请求中解析出目标用户的用户唯一标识和待调用接口的接口唯一标识;
根据所述目标用户的用户唯一标识,在所述用户接口权限映射表的键值对中查询所述目标用户对应的已授权接口的接口唯一标识集合中是否存在所述待调用接口的接口唯一标识;
若所述接口唯一标识集合中存在所述待调用接口的接口唯一标识,则允许所述目标用户所在用户侧设备通过SF网络域,以实现对所述待调用接口的调用。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若接收到删减指令,则从所述用户接口权限映射表中查找以待删减接口的接口唯一标识作为键、值包含删减用户的用户唯一标识的第二键值对,其中,所述删减指令携带所述删减用户的用户唯一标识和所述待删减接口的接口唯一标识;
将所述删减用户的用户唯一标识从所述第二键值对中删除。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述接口唯一标识集合中不存在所述待调用接口的接口唯一标识,则禁止所述目标用户所在用户侧设备对所述待调用接口的调用;
统计所述目标用户对所述待调用接口的累计禁止调用次数;
若所述目标用户对所述待调用接口的累计禁止调用次数达到第一阈值,则将所述目标用户的用户唯一标识加入至所述待调用接口对应的黑名单中。
4.根据权利要求1所述的方法,其特征在于,所述根据所述目标用户的用户唯一标识,在所述用户接口权限映射表的键值对中查询所述目标用户对应的已授权接口的接口唯一标识集合中是否存在所述待调用接口的接口唯一标识,包括:
获取所述待调用接口对应的目标黑名单,
若根据所述目标用户的用户唯一标识判定所述目标用户不在所述目标黑名单中,则根据所述目标用户的用户唯一标识,在所述用户接口权限映射表的键值对中查询所述目标用户对应的已授权接口的接口唯一标识集合中是否存在所述待调用接口的接口唯一标识;
所述方法还包括:
若根据所述目标用户的用户唯一标识判定所述目标用户在所述目标黑名单中,则禁止所述目标用户所在用户侧设备对所述待调用接口的调用。
5.根据权利要求1所述的方法,其特征在于,所述拦截用户侧设备的接口调用请求,包括:
通过DMZ网络域中的拦截组件拦截用户侧设备的接口调用请求。
6.根据权利要求1所述的方法,其特征在于,所述若接收到新增指令,且用户接口权限映射表中不存在已授权接口对应的第一键值对,则在用户接口权限映射表中新增所述已授权接口对应的第一键值对,包括:
若在SF网络域接收到新增指令,且用户接口权限映射表中不存在已授权接口对应的第一键值对,则通过所述SF网络域在接口权限管理非关系型数据库中的用户接口权限映射表中新增所述已授权接口对应的第一键值对;
所述若所述用户接口权限映射表中存在所述已授权接口对应的第一键值对,则在所述已授权接口对应的第一键值对中的值中增加所述新增用户的用户唯一标识,包括:若所述用户接口权限映射表中存在所述已授权接口对应的第一键值对,则通过所述SF网络域在接口权限管理非关系型数据库中所述已授权接口对应的第一键值对的值中增加所述新增用户的用户唯一标识。
7.一种接口调用权限的鉴别系统,其特征在于,所述系统包括:DMZ网络域、SF网络域和接口权限管理非关系型数据库;
所述SF网络域用于若接收到新增指令,且在所述接口权限管理非关系型数据库中的用户接口权限映射表中不存在已授权接口对应的第一键值对,则在所述用户接口权限映射表中新增所述已授权接口对应的第一键值对,其中,所述新增指令携带新增用户的用户唯一标识和对应的已授权接口的接口唯一标识,所述已授权接口的第一键值对的键为所述已授权接口的接口唯一标识、值包括所述新增用户的用户唯一标识;若用户接口权限映射表中存在所述已授权接口对应的第一键值对,则在所述已授权接口对应的第一键值对中的值中新增目标用户的唯一标识;
所述DMZ网络域用于拦截用户侧设备的接口调用请求,从所述接口调用请求中解析出目标用户的用户信息和待调用接口的接口信息,根据所述目标用户的用户唯一标识,在所述接口权限管理非关系型数据库的用户接口权限映射表的键值对中、查询所述目标用户对应的已授权接口的接口唯一标识集合中是否存在所述待调用接口的接口唯一标识,若所述接口唯一标识集合中存在所述待调用接口的接口唯一标识,则允许所述目标用户所在用户侧设备发送的接口调用请求通过所述SF网络域,以实现对所述待调用接口的调用。
8.一种接口调用权限的鉴别装置,其特征在于,所述装置包括:
第一构建模块,用于若SF网络域接收到新增指令,且用户接口权限映射表中不存在已授权接口对应的第一键值对,则在用户接口权限映射表中新增所述已授权接口对应的第一键值对,其中,所述新增指令携带新增用户的用户唯一标识和对应的已授权接口的接口唯一标识,所述已授权接口的第一键值对的键为所述已授权接口的接口唯一标识、值包括所述新增用户的用户唯一标识,所述用户接口权限映射表存储在非关系型数据库中;
第二构建模块,用于若所述用户接口权限映射表中存在所述已授权接口对应的第一键值对,则在所述已授权接口对应的第一键值对的值中增加所述新增用户的用户唯一标识;
拦截模块,用于DMZ网络域拦截用户侧设备的接口调用请求,从所述接口调用请求中解析出目标用户的用户唯一标识和待调用接口的接口唯一标识;
第一查询模块,用于根据所述目标用户的用户唯一标识,在所述用户接口权限映射表的键值对中查询所述目标用户对应的已授权接口的接口唯一标识集合中是否存在所述待调用接口的接口唯一标识;
允许调用模块,用于若所述接口唯一标识集合中存在所述待调用接口的接口唯一标识,则允许所述目标用户所在用户侧设备通过SF网络域,以实现对所述待调用接口的调用。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机可读指令,其特征在于,所述处理器执行所述计算机可读指令时执行如权利要求1-6任一项所述的接口调用权限的鉴别方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机可读指令,其特征在于,所述计算机可读指令被处理器执行时,使得所述处理器执行如权利要求1-6任一项所述的接口调用权限的鉴别方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111272633.4A CN114006755B (zh) | 2021-10-29 | 2021-10-29 | 接口调用权限的鉴别方法、系统、装置、设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111272633.4A CN114006755B (zh) | 2021-10-29 | 2021-10-29 | 接口调用权限的鉴别方法、系统、装置、设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114006755A CN114006755A (zh) | 2022-02-01 |
CN114006755B true CN114006755B (zh) | 2023-07-18 |
Family
ID=79925274
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111272633.4A Active CN114006755B (zh) | 2021-10-29 | 2021-10-29 | 接口调用权限的鉴别方法、系统、装置、设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114006755B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115296901B (zh) * | 2022-08-03 | 2023-07-04 | 中国平安财产保险股份有限公司 | 基于人工智能的权限管理方法及相关设备 |
CN117235708B (zh) * | 2023-11-13 | 2024-03-26 | 紫光同芯微电子有限公司 | 应用程序运行时的接口授权调用方法、装置、系统和介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110099104A (zh) * | 2019-04-12 | 2019-08-06 | 平安科技(深圳)有限公司 | 文件传输方法、系统和存储介质 |
CN112039868A (zh) * | 2020-08-27 | 2020-12-04 | 中国平安财产保险股份有限公司 | 防火墙策略验证方法、装置、设备及存储介质 |
CN112650732A (zh) * | 2020-12-22 | 2021-04-13 | 平安普惠企业管理有限公司 | 一种业务处理方法、装置、设备及存储介质 |
CN112866385A (zh) * | 2021-01-19 | 2021-05-28 | 北京字跳网络技术有限公司 | 接口调用方法、装置、电子设备和存储介质 |
-
2021
- 2021-10-29 CN CN202111272633.4A patent/CN114006755B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110099104A (zh) * | 2019-04-12 | 2019-08-06 | 平安科技(深圳)有限公司 | 文件传输方法、系统和存储介质 |
CN112039868A (zh) * | 2020-08-27 | 2020-12-04 | 中国平安财产保险股份有限公司 | 防火墙策略验证方法、装置、设备及存储介质 |
CN112650732A (zh) * | 2020-12-22 | 2021-04-13 | 平安普惠企业管理有限公司 | 一种业务处理方法、装置、设备及存储介质 |
CN112866385A (zh) * | 2021-01-19 | 2021-05-28 | 北京字跳网络技术有限公司 | 接口调用方法、装置、电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114006755A (zh) | 2022-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111698228B (zh) | 系统访问权限授予方法、装置、服务器及存储介质 | |
US10055561B2 (en) | Identity risk score generation and implementation | |
US11178112B2 (en) | Enforcing security policies on client-side generated content in cloud application communications | |
US9680876B2 (en) | Method and system for protecting data flow at a mobile device | |
US8578487B2 (en) | System and method for internet security | |
CN114006755B (zh) | 接口调用权限的鉴别方法、系统、装置、设备和存储介质 | |
US8266714B2 (en) | Access control in a multi-principal browser | |
US11102245B2 (en) | Deception using screen capture | |
US20230289464A1 (en) | Data access method and device, storage medium, and electronic device | |
Sicari et al. | Security&privacy issues and challenges in NoSQL databases | |
US10831915B2 (en) | Method and system for isolating application data access | |
US10972481B2 (en) | Web application session security | |
US10735375B2 (en) | Web application security with service worker | |
US20150341362A1 (en) | Method and system for selectively permitting non-secure application to communicate with secure application | |
KR20050089008A (ko) | 웹 서비스 제공 시스템, 그것을 위한 서버 장치, 컴퓨터시스템을 웹 서비스 제공 시스템을 위한 서버 장치로서제어하기 위한 제어 방법, 상기 제어 방법을 실행하기 위한프로그램, 및 기록 매체 | |
US10992759B2 (en) | Web application session security with protected session identifiers | |
CN115422526A (zh) | 角色权限管理方法、设备及存储介质 | |
US20220334869A1 (en) | Distributed Attribute Based Access Control as means of Data Protection and Collaboration in Sensitive (Personal) Digital Record and Activity Trail Investigations | |
CN115795493A (zh) | 访问控制策略部署方法和相关装置、以及访问控制系统 | |
CA3022356C (en) | Gateway policy enforcement and service metadata binding | |
US10997287B2 (en) | Real-time monitoring and alerting for directory object update processing | |
CN115733702B (zh) | 一种路由权限的控制方法、存储介质及电子设备 | |
US12021900B1 (en) | Using cached summaries for efficient access analysis for cloud provider entities | |
US20240338471A1 (en) | Facilitating secured access to protected resources hosted in one cloud from another cloud | |
US20220086637A1 (en) | Method for authentication, user terminal and authentication server for executing the same |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |