CN114021089A - 一种目录访问控制方法、装置、设备及可读存储介质 - Google Patents
一种目录访问控制方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN114021089A CN114021089A CN202111153866.2A CN202111153866A CN114021089A CN 114021089 A CN114021089 A CN 114021089A CN 202111153866 A CN202111153866 A CN 202111153866A CN 114021089 A CN114021089 A CN 114021089A
- Authority
- CN
- China
- Prior art keywords
- directory
- access control
- authority
- identification information
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 72
- 230000008569 process Effects 0.000 claims abstract description 17
- 230000015654 memory Effects 0.000 claims description 21
- 238000000605 extraction Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000011161 development Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种目录访问控制方法、装置、设备及可读存储介质,该方法包括:响应于客户端的目录文件读取请求,获取客户端的用户身份识别信息;基于身份识别信息提取用户的权限标识信息;在根目录下的访问控制列表中查询是否存在与权限标识信息相对应的访问控制项;如果存在与权限标识信息相对应的访问控制项,则基于权限标识信息及访问控制项判断用户是否具备写权限;如果用户具备写权限,则将文件读取请求相对应的目录文件发送至客户端。通过实施本发明,不需要单独设置权限控制工具,同样能够实现对于用户访问权限的控制,简化了对于用户访问权限的控制过程,从而达到数据访问安全的目的。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种目录访问控制方法、装置、设备及可读存储介质。
背景技术
在企业应用中存在对目录访问权限的控制,为了提高企业数据的安全性,一般是由目录的管理员用户对该目录有完全控制权限,并可以分配子目录对哪些用户或用户组可见,企业中各部门间共享目录的访问控制就是这种典型的应用需求。
例如,在NFSv4协议中,是通过ACL(访问控制列表)来赋予用户对文件/目录的访问权限来保证数据安全性,但是对目录的可见性访问控制权限没有涉及,所有用户都可以浏览到目录/文件,因此,这种控制方式对于企业数据的安全性仍会造成一定的隐患。
目前对用户浏览权限的限制主要方式是修改Linux文件系统语义,单独设置权限位来限制用户对文件/目录是否可见,当用户查询的时候根据权限位来判断相应的目录/文件是否对用户可见。但这种方法破坏了Linux系统的posix语义,且需要单独开发工具来设置权限位,实现过程比较复杂,不具有普遍性和可移植性。
发明内容
有鉴于此,本发明实施例提供了一种目录访问控制方法、装置、设备及可读存储介质,以解决现有的权限控制方法需要单独设置开发工具,实现过程比较复杂,不具有普遍性和可移植性的问题。
根据第一方面,本发明实施例提供了一种目录访问控制方法,包括:响应于客户端的目录文件读取请求,获取客户端的用户身份识别信息;基于所述身份识别信息提取所述用户的权限标识信息;在根目录下的访问控制列表中查询是否存在与所述权限标识信息相对应的访问控制项;如果存在与所述权限标识信息相对应的访问控制项,则基于所述权限标识信息及访问控制项判断所述用户是否具备写权限;如果所述用户具备写权限,则将所述文件读取请求相对应的目录文件发送至所述客户端。
结合第一方面,在第一方面第一实施方式中,将所述文件读取请求相对应的目录文件发送至所述客户端的过程,包括:基于所述目录文件查找子目录文件,判断所述子目录文件是否为所述目录文件的最后一级目录;如果所述子目录文件是所述目录文件的最后一级目录,则将所查找到的所有子目录文件整合为所述目录文件,并发送至所述客户端。
结合第一方面第一实施方式,在第一方面第二实施方式中,将所述文件读取请求相对应的目录文件发送至所述客户端的过程,还包括:如果所述子目录文件不是所述目录文件的最后一级目录,则获取所述子目录的访问控制列表,并在所述子目录的访问控制列表中查询是否存在与所述权限标识信息相对应的访问控制项;如果存在与所述权限标识信息相对应的访问控制项,则执行基于所述权限标识信息及访问控制项判断所述用户是否具备写权限的步骤至如果所述用户具备写权限,则将所述文件读取请求相对应的目录文件发送至所述客户端的步骤。
结合第一方面或第一方面的任一实施方式,在第一方面第三实施方式中,在基于所述身份识别信息提取所述用户的权限标识信息之后、在根目录下的访问控制列表中查询是否存在与所述权限标识信息相对应的访问控制项之前,所述目录访问控制方法还包括:基于所述权限标识信息识别所述用户的权限;如果所述用户的权限为管理用户权限或root权限,则将所述目录文件读取请求对应的目录文件发送至所述客户端。
结合第一方面第三实施方式,在第一方面第四实施方式中,所述目录访问控制方法还包括:如果所述用户的权限不是管理用户权限或root权限,则执行所述在根目录下的访问控制列表中查询是否存在与所述权限标识信息相对应的访问控制项的步骤。
结合第一方面,在第一方面第五实施方式中,所述目录访问控制方法还包括:如果不存在与所述权限标识信息相对应的访问控制项,则向所述客户端返回空目录项。
结合第一方面,在第一方面第六实施方式中,所述目录访问控制方法还包括:如果所述用户不具备写权限,则向所述客户端返回空目录项。
根据第二方面,本发明实施例提供了一种目录访问控制装置,包括:身份识别信息获取模块,用于响应于客户端的目录文件读取请求,获取客户端的用户身份识别信息;权限标识信息提取模块,用于基于所述身份识别信息提取所述用户的权限标识信息;访问控制项查询模块,用于在根目录下的访问控制列表中查询是否存在与所述权限标识信息相对应的访问控制项;权限查询模块,用于在存在与所述权限标识信息相对应的访问控制项时,基于所述权限标识信息及访问控制项判断所述用户是否具备写权限;文件发送模块,用于在所述用户具备写权限时,将所述文件读取请求相对应的目录文件发送至所述客户端。
根据第三方面,本发明实施例提供了一种电子设备/移动终端/服务器,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行第一方面或者第一方面的任意一种实施方式中所述的目录访问控制方法。
根据第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行第一方面或者第一方面的任意一种实施方式中所述的目录访问控制方法。
本发明实施例的有益效果在于,通过访问控制项ACL中的写权限来实现对目录的访问控制,即具有ACL中相关写权限的用户具有对该目录可见的权限,否则该目录对用户隐藏,不需要单独设置权限控制工具,同样能够实现对于用户访问权限的控制,简化了对于用户访问权限的控制过程,从而达到数据访问安全的目的。
附图说明
通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
图1示出了本发明实施例的客户端/服务器架构示意图;
图2示出了本发明实施例的目录访问控制方法的流程示意图;
图3示出了本发明另一实施例的目录访问控制方法的流程示意图;
图4示出了本发明实施例的目录访问控制装置的结构示意图;
图5示出了本发明实施例的目录访问控制装置的结构示意图;
图6示出了本发明另一实施例的客户端/服务器架构的示意图;
图7示出了本发明实施例的计算机设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
NFS(Network File System,网络文件系统)是当前主流异构平台共享文件系统之一,能够支持在不同类型的系统之间通过网络进行文件共享,广泛应用在FreeBSD、SCO、Solaris等异构操作系统平台,允许一个系统在网络上与他人共享目录和文件。通过使用NFS,用户和程序可以像访问本地文件一样访问远端系统上的文件,使得每个计算机的节点能够像使用本地资源一样方便地使用网上资源。NFS可用于不同类型计算机、操作系统、网络架构和传输协议运行环境中的网络文件远程访问和共享。
NFS的工作原理是可以应用于如图1所示的客户端/服务器架构中,由客户端程序和服务器程序组成。服务器程序向其他计算机提供对文件系统的访问,其过程称为输出。NFS客户端程序对共享文件系统进行访问时,把它们从NFS服务器中“输送”出来。NFS传输协议用于服务器和客户机之间文件访问和共享的通信,从而使客户机远程地访问保存在存储设备上的数据。
如背景技术中所述,目前针对NFS系统中,对用户浏览权限的限制主要方式是修改文件系统(例如是Linux)语义,单独设置权限位来限制用户对文件/目录是否可见,当用户查询的时候根据权限位来判断相应的目录/文件是否对用户可见。但这种方法破坏了文件系统的posix语义,且需要单独开发工具来设置权限位,实现过程比较复杂,不具有普遍性和可移植性。
为了解决上述问题,本发明实施例提供了一种目录访问控制方法,该方法可主要应用于NFS系统的服务器端,如图2所示,该目录访问控制方法主要包括:
步骤S201:响应于客户端的目录文件读取请求,获取客户端的用户身份识别信息;在NFS系统中,目录文件读取请求是由用户通过客户端设备发起的,例如在Linux文件系统中,则是通过readdir函数发起该目录文件读取请求;在获取到该目录文件读取请求后,先获取到该客户端的用户身份识别信息,例如是uid或gid等。
步骤S202:基于身份识别信息提取用户的权限标识信息;在获取到客户端的身份识别信息后,从该身份识别信息中提取该用户的权限标识信息。在实际应用中,该身份识别信息(即用户uid或gid)中包含有表示该用户的访问权限的数位,因此,在此步骤中,则是从用户的uid或gid中提取该表示用户访问权限的数位。
步骤S203:在根目录下的访问控制列表中查询是否存在与权限标识信息相对应的访问控制项;在NFS系统中,访问控制列表(ACL)用来指定文件系统对象(比如文件和目录)的访问权限。它是由许多访问控制项(ACE)组成的列表,每个访问控制项定义一个用户或组及其权限。因此,在确定用户权限时,首先需确定在根目录的访问控制列表中是否存在与权限标识信息相对应的访问控制项;如果存在与权限标识信息相对应的访问控制项,则执行步骤S204,如果不存在,则执行步骤S206,向所述客户端返回空目录项。当不存在与用户的权限标识信息相对应的访问控制项时,说明该用户不具备查询该服务器的目录文件的权限,则只返回空目录项给客户端。
步骤S204:如果存在与权限标识信息相对应的访问控制项,则基于权限标识信息及访问控制项判断用户是否具备写权限;当确定在该访问控制列表中存在有与权限标识信息对应的访问控制项后,则可进一步基于该权限标识信息与访问控制项判断用户是否具备写权限。在此实施例中,是通过写权限来表征系统文件对于用户来说是否有可查询权限,也就是说,当用户的权限存在写权限时,则表明该用户要查询的目录文件对于用户是可查询、可见的,则执行步骤S205;如果所述用户不具备写权限,则执行步骤S206,向所述客户端返回空目录项。
可选地,在本发明的一些实施例中,基于权限标识信息及访问控制项判断用户是否具备写权限的过程,具体是通过判断该权限标识信息中是否包含表征写权限的标识字段或标识符。在实际应用中,该访问控制项中包含有表征写权限的标识字段或标识符,因此,可通过将用户的权限标识信息和访问控制项中对应的标识字段或标识符进行与操作,如果用户具备与权限,则用户的权限标识信息和访问控制项中对应的标识字段或标识符进行与操作的结果应为1,否则为0,因此,根据与操作的结果即可判断该用户是否具备写权限。
步骤S205:如果用户具备写权限,则将文件读取请求相对应的目录文件发送至客户端。如果通过权限识别信息判断用户具备写权限,则表明用户时具备查询该目录文件读取请求中对应的目录文件的权限,因此,可将该目录文件读取请求对应的目录文件发送至客户端,供用户查询。
本实施例的目录访问控制方法,通过访问控制项ACL中的写权限来实现对目录的访问控制,即具有ACL中相关写权限的用户具有对该目录可见的权限,否则该目录对用户隐藏,不需要单独设置权限控制工具,同样能够实现对于用户访问权限的控制,简化了对于用户访问权限的控制过程,从而达到数据访问安全的目的。
可选地,在本发明的一些实施例中,用户希望查询的目录文件可能包含多级目录,因此针对这种涉及多级目录文件的情况,本发明实施例的目录访问控制方法的主要过程如图3所示,包括:
步骤S301:响应于客户端的目录文件读取请求,获取客户端的用户身份识别信息;详细内容请参见上述方法实施例的步骤S201的相关描述,在此不再赘述;
步骤S302:基于身份识别信息提取用户的权限标识信息;详细内容请参见上述方法实施例的步骤S202的相关描述,在此不再赘述;
步骤S303:在根目录下的访问控制列表中查询是否存在与权限标识信息相对应的访问控制项;详细内容请参见上述方法实施例的步骤S204的相关描述,在此不再赘述;
步骤S304:如果存在与权限标识信息相对应的访问控制项,则基于权限标识信息及访问控制项判断用户是否具备写权限;详细内容请参见上述方法实施例的步骤S204的相关描述,在此不再赘述;
步骤S305:如果用户具备写权限,则基于目录文件查找子目录文件,判断子目录文件是否为目录文件的最后一级目录;
步骤S306:如果子目录文件是目录文件的最后一级目录,则将所查找到的所有子目录文件整合为目录文件,并发送至客户端。
在实际应用中,当用户希望查询的目录文件存在多级子目录时,例如,用户希望查询的X目录文件包含A\B\C三级子目录,因此,服务器在调取相应的文件时,也需要分别查询是否查询到了该X目录下的所有子目录文件(即A\B\C三级子目录),如果查询到了最后一级C级子目录,则将所查找到的所有子目录文件整合为该X目录文件,发送至客户端。
如果仅查询到的是A级子目录或B级子目录,则说明还未查询到该X目录文件的所有子目录,则需要执行步骤S307;
步骤S307:获取子目录的访问控制列表,并在子目录的访问控制列表中查询是否存在与所述权限标识信息相对应的访问控制项;
如果存在与权限标识信息相对应的访问控制项,则返回执行步骤S304至步骤S306,直至将该目录文件下的所有子目录都查询到,整合并发送至客户端。
可选地,在本发明的一些实施例中,客户端的用户的权限除一般用户以外,还包括管理员用户或root权限用户,这两类用户对于NFS系统的共享具有完全的控制权限,还可以设置用户的ACL,因此,在此实施例中,对于上述任意方法实施例中,在步骤S202或步骤S302之前,都可增加一个判断步骤,基于用户的权限标识信息识别用户的权限;如果用户的权限为管理用户权限或root权限,则说明该用户属于管理员用户或root权限用户,针对这两类用户,则不需要在去核实其是否具有写权限,则可直接将所述目录文件读取请求对应的目录文件发送至所述客户端。
如果判断该用户的权限不是管理用户权限或root权限,则继续执行步骤S202或步骤S302以及之后的步骤,通过用户的写权限来对应控制用户的访问权限。
本发明实施例还提供了一种目录访问控制装置,如图4所示,该目录访问控制装置包括:
身份识别信息获取模块401,用于响应于客户端的目录文件读取请求,获取客户端的用户身份识别信息;详细内容请参见上述方法实施例的步骤S201的相关描述,在此不再赘述;
权限标识信息提取模块402,用于基于身份识别信息提取用户的权限标识信息;详细内容请参见上述方法实施例的步骤S202的相关描述,在此不再赘述;
访问控制项查询模块403,用于在根目录下的访问控制列表中查询是否存在与权限标识信息相对应的访问控制项;详细内容请参见上述方法实施例的步骤S203的相关描述,在此不再赘述;
权限查询模块404,用于在存在与权限标识信息相对应的访问控制项时,基于权限标识信息及访问控制项判断用户是否具备写权限;详细内容请参见上述方法实施例的步骤S204的相关描述,在此不再赘述;
文件发送模块405,用于在用户具备写权限是,将文件读取请求相对应的目录文件发送至客户端;详细内容请参见上述方法实施例的步骤S205的相关描述,在此不再赘述。
本实施例的目录访问控制装置,通过访问控制项ACL中的写权限来实现对目录的访问控制,即具有ACL中相关写权限的用户具有对该目录可见的权限,否则该目录对用户隐藏,不需要单独设置权限控制工具,同样能够实现对于用户访问权限的控制,简化了对于用户访问权限的控制过程,从而达到数据访问安全的目的。
可选地,在本发明的一些实施例中,用户希望查询的目录文件可能包含多级目录,因此针对这种涉及多级目录文件的情况,本发明实施例的目录访问控制装置中,该文件发送模块405则对应执行以下过程:
基于所述目录文件查找子目录文件,判断所述子目录文件是否为所述目录文件的最后一级目录;如果所述子目录文件是所述目录文件的最后一级目录,则将所查找到的所有子目录文件整合为所述目录文件,并发送至所述客户端;
如果所述子目录文件不是所述目录文件的最后一级目录,则获取所述子目录的访问控制列表,并在所述子目录的访问控制列表中查询是否存在与所述权限标识信息相对应的访问控制项;
如果存在与所述权限标识信息相对应的访问控制项,则执行基于所述权限标识信息及访问控制项判断所述用户是否具备写权限的步骤至如果所述用户具备写权限,则将所述文件读取请求相对应的目录文件发送至所述客户端的步骤。详细内容可以参见上述方法实施例的步骤S305-步骤S307的相关描述,在此不再赘述。
可选地,在本发明的一些实施例中,如图5所示,该目录访问控制装置还包括权限识别模块406,用于基于权限标识信息识别用户的权限;如果用户的权限为管理用户权限或root权限,则将目录文件读取请求对应的目录文件发送至客户端;如果用户的权限不是管理用户权限或root权限,则触发访问控制项查询模块403,在根目录下的访问控制列表中查询是否存在与权限标识信息相对应的访问控制项。
以下结合一具体应用示例对本发明实施例涉及的具体内容做详细说明。
在此实施例中,如图6所示,该NFS系统的客户端/服务器架构的服务器中,主要由配置管理模块61和权限控制模块62组成。其中,该配置管理模块61的主要功能是设置共享管理员,开启目录访问控制(Directory Access Control,DAC)功能,只有开启了该DAC功能,才能进行后续的目录访问控制过程。所设置的管理员用户在服务端映射为root用户,对共享有完全控制权限,可以设置用户的ACL。
该模块主要有两种生效方式:一种是直接写入配置文件后重载配置文件生效,该方式在程序重启后依然生效;另一种是在命令行中执行命令生效,程序重启后失效。
该权限控制模块62主要用于执行的过程就是判断用户是否有权限对目录可见,其主要流程如下:
i.服务端接收到客户端请求后,根据用户的uid/gid来判断是否是配置文件中的管理员用户,如果是管理员用户不需进行权限检查直接返回目录下所有的文件/目录;
ii.非管理员用户则依次获取目录的NFSv4ACL,查找该用户对应ACE,如果没有查询到则没有权限,直接返回空目录;查询到后进行计算,如果有写权限并且是最后一级目录,则将该目录或者文件添加到返回给客户端的数据中。如果是中间目录则重复上述动作,直到最后一层目录,并将所有目录整合返回给客户端。
由此可见,该权限控制模块62则是用以执行上述方法实施例的步骤S201-步骤S206的步骤,或执行步骤S301-步骤S307的步骤,在此不再赘述。
本发明实施例还提供了一种计算机设备,如图7所示,该计算机设备可以包括处理器71和存储器72,其中处理器71和存储器72可以通过总线或者其他方式连接,图7中以通过总线连接为例。
处理器71可以为中央处理器(Central Processing Unit,CPU)。处理器71还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器72作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的目录访问控制方法对应的程序指令/模块(例如,图4所示的身份识别信息获取模块401、权限标识信息提取模块402、访问控制项查询模块403、权限查询模块404及文件发送模块405)。处理器71通过运行存储在存储器72中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的目录访问控制方法。
存储器72可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器71所创建的数据等。此外,存储器72可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器72可选包括相对于处理器71远程设置的存储器,这些远程存储器可以通过网络连接至处理器71。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器72中,当被所述处理器71执行时,执行如图1-图3所示实施例中的目录访问控制方法。
上述计算机设备具体细节可以对应参阅图1至图6所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random AccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种目录访问控制方法,其特征在于,包括:
响应于客户端的目录文件读取请求,获取客户端的用户身份识别信息;
基于所述身份识别信息提取所述用户的权限标识信息;
在根目录下的访问控制列表中查询是否存在与所述权限标识信息相对应的访问控制项;
如果存在与所述权限标识信息相对应的访问控制项,则基于所述权限标识信息及访问控制项判断所述用户是否具备写权限;
如果所述用户具备写权限,则将所述文件读取请求相对应的目录文件发送至所述客户端。
2.根据权利要求1所述的目录访问控制方法,其特征在于,将所述文件读取请求相对应的目录文件发送至所述客户端的过程,包括:
基于所述目录文件查找子目录文件,判断所述子目录文件是否为所述目录文件的最后一级目录;
如果所述子目录文件是所述目录文件的最后一级目录,则将所查找到的所有子目录文件整合为所述目录文件,并发送至所述客户端。
3.根据权利要求2所述的目录访问控制方法,其特征在于,将所述文件读取请求相对应的目录文件发送至所述客户端的过程,还包括:
如果所述子目录文件不是所述目录文件的最后一级目录,则获取所述子目录的访问控制列表,并在所述子目录的访问控制列表中查询是否存在与所述权限标识信息相对应的访问控制项;
如果存在与所述权限标识信息相对应的访问控制项,则执行基于所述权限标识信息及访问控制项判断所述用户是否具备写权限的步骤至如果所述用户具备写权限,则将所述文件读取请求相对应的目录文件发送至所述客户端的步骤。
4.根据权利要求1-3任一项所述的目录访问控制方法,其特征在于,在基于所述身份识别信息提取所述用户的权限标识信息之后、在根目录下的访问控制列表中查询是否存在与所述权限标识信息相对应的访问控制项之前,所述目录访问控制方法还包括:
基于所述权限标识信息识别所述用户的权限;
如果所述用户的权限为管理用户权限或root权限,则将所述目录文件读取请求对应的目录文件发送至所述客户端。
5.根据权利要求4所述的目录访问控制方法,其特征在于,所述目录访问控制方法还包括:
如果所述用户的权限不是管理用户权限或root权限,则执行所述在根目录下的访问控制列表中查询是否存在与所述权限标识信息相对应的访问控制项的步骤。
6.根据权利要求1所述的目录访问控制方法,其特征在于,所述目录访问控制方法还包括:
如果不存在与所述权限标识信息相对应的访问控制项,则向所述客户端返回空目录项。
7.根据权利要求1所述的目录访问控制方法,其特征在于,所述目录访问控制方法还包括:
如果所述用户不具备写权限,则向所述客户端返回空目录项。
8.一种目录访问控制装置,其特征在于,包括:
身份识别信息获取模块,用于响应于客户端的目录文件读取请求,获取客户端的用户身份识别信息;
权限标识信息提取模块,用于基于所述身份识别信息提取所述用户的权限标识信息;
访问控制项查询模块,用于在根目录下的访问控制列表中查询是否存在与所述权限标识信息相对应的访问控制项;
权限查询模块,用于在存在与所述权限标识信息相对应的访问控制项时,基于所述权限标识信息及访问控制项判断所述用户是否具备写权限;
文件发送模块,用于在所述用户具备写权限时,将所述文件读取请求相对应的目录文件发送至所述客户端。
9.一种计算机设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如权利要求1-7中任一项所述的目录访问控制方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如权利要求1-7中任一项所述的目录访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111153866.2A CN114021089B (zh) | 2021-09-29 | 2021-09-29 | 一种目录访问控制方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111153866.2A CN114021089B (zh) | 2021-09-29 | 2021-09-29 | 一种目录访问控制方法、装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114021089A true CN114021089A (zh) | 2022-02-08 |
| CN114021089B CN114021089B (zh) | 2024-06-25 |
Family
ID=80055180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111153866.2A Active CN114021089B (zh) | 2021-09-29 | 2021-09-29 | 一种目录访问控制方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114021089B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116070294A (zh) * | 2023-03-07 | 2023-05-05 | 浪潮电子信息产业股份有限公司 | 一种权限管理方法、系统、装置、服务器及存储介质 |
| CN116663042A (zh) * | 2023-08-01 | 2023-08-29 | 北京长扬软件有限公司 | 多用户级目录的访问控制方法、装置、设备及存储介质 |
| CN117591038A (zh) * | 2024-01-18 | 2024-02-23 | 济南浪潮数据技术有限公司 | 一种数据访问方法、装置、分布式存储系统及设备和介质 |
| WO2024103257A1 (zh) * | 2022-11-15 | 2024-05-23 | Oppo广东移动通信有限公司 | 用于访问控制的方法和装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110161370A1 (en) * | 2009-12-24 | 2011-06-30 | Fujitsu Limited | Apparatus, program, and method for file management |
| WO2014177108A1 (zh) * | 2013-12-03 | 2014-11-06 | 中兴通讯股份有限公司 | 一种家庭网络多媒体内容共享的访问控制方法和装置 |
| CN105871794A (zh) * | 2015-11-13 | 2016-08-17 | 乐视云计算有限公司 | 分布式文件系统数据存储的方法、客户端、服务器及系统 |
| CN107688753A (zh) * | 2017-09-01 | 2018-02-13 | 郑州云海信息技术有限公司 | 一种acl权限控制的方法与装置 |
| CN109088875A (zh) * | 2018-08-24 | 2018-12-25 | 郑州云海信息技术有限公司 | 一种访问权限校验方法及装置 |
| CN109740367A (zh) * | 2019-01-08 | 2019-05-10 | 郑州云海信息技术有限公司 | 一种文件系统访问控制列表的映射方法 |
| CN113449327A (zh) * | 2021-08-31 | 2021-09-28 | 统信软件技术有限公司 | 一种文件访问控制系统、方法及计算设备 |
-
2021
- 2021-09-29 CN CN202111153866.2A patent/CN114021089B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110161370A1 (en) * | 2009-12-24 | 2011-06-30 | Fujitsu Limited | Apparatus, program, and method for file management |
| WO2014177108A1 (zh) * | 2013-12-03 | 2014-11-06 | 中兴通讯股份有限公司 | 一种家庭网络多媒体内容共享的访问控制方法和装置 |
| CN105871794A (zh) * | 2015-11-13 | 2016-08-17 | 乐视云计算有限公司 | 分布式文件系统数据存储的方法、客户端、服务器及系统 |
| CN107688753A (zh) * | 2017-09-01 | 2018-02-13 | 郑州云海信息技术有限公司 | 一种acl权限控制的方法与装置 |
| CN109088875A (zh) * | 2018-08-24 | 2018-12-25 | 郑州云海信息技术有限公司 | 一种访问权限校验方法及装置 |
| CN109740367A (zh) * | 2019-01-08 | 2019-05-10 | 郑州云海信息技术有限公司 | 一种文件系统访问控制列表的映射方法 |
| CN113449327A (zh) * | 2021-08-31 | 2021-09-28 | 统信软件技术有限公司 | 一种文件访问控制系统、方法及计算设备 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024103257A1 (zh) * | 2022-11-15 | 2024-05-23 | Oppo广东移动通信有限公司 | 用于访问控制的方法和装置 |
| CN116070294A (zh) * | 2023-03-07 | 2023-05-05 | 浪潮电子信息产业股份有限公司 | 一种权限管理方法、系统、装置、服务器及存储介质 |
| CN116663042A (zh) * | 2023-08-01 | 2023-08-29 | 北京长扬软件有限公司 | 多用户级目录的访问控制方法、装置、设备及存储介质 |
| CN116663042B (zh) * | 2023-08-01 | 2023-10-13 | 北京长扬软件有限公司 | 多用户级目录的访问控制方法、装置、设备及存储介质 |
| CN117591038A (zh) * | 2024-01-18 | 2024-02-23 | 济南浪潮数据技术有限公司 | 一种数据访问方法、装置、分布式存储系统及设备和介质 |
| CN117591038B (zh) * | 2024-01-18 | 2024-06-11 | 济南浪潮数据技术有限公司 | 一种数据访问方法、装置、分布式存储系统及设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114021089B (zh) | 2024-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114021089B (zh) | 一种目录访问控制方法、装置、设备及可读存储介质 | |
| CN109936571B (zh) | 一种海量数据共享方法、开放共享平台及电子设备 | |
| US20080244738A1 (en) | Access control | |
| US8959110B2 (en) | Dynamic query for external data connections | |
| US10210191B2 (en) | Accelerated access to objects in an object store implemented utilizing a file storage system | |
| US20180145983A1 (en) | Distributed data storage system using a common manifest for storing and accessing versions of an object | |
| US20230252042A1 (en) | Search and analytics for storage systems | |
| US8554809B1 (en) | Calculating quota usage without impacting file system services | |
| US10943023B2 (en) | Method for filtering documents and electronic device | |
| US20090164738A1 (en) | Process Based Cache-Write Through For Protected Storage In Embedded Devices | |
| JP2012093994A (ja) | 情報処理システム、情報処理システムの制御方法、検索制御装置 | |
| CN110086836B (zh) | 获取元数据的方法和装置 | |
| US11550942B2 (en) | Universal file access control system and method | |
| Do et al. | Enforcing file system permissions on android external storage: Android file system permissions (afp) prototype and owncloud | |
| US20130318211A1 (en) | Asset streaming and delivery | |
| US20110302138A1 (en) | Network aware storage device | |
| CN113157487B (zh) | 数据恢复方法及其设备 | |
| JP2019537097A (ja) | Iノードのアクセスパターンの追跡及びiノードの先取り | |
| CN112306957A (zh) | 获取索引节点号的方法、装置、计算设备和存储介质 | |
| US20060218208A1 (en) | Computer system, storage server, search server, client device, and search method | |
| CN111324799B (zh) | 搜索请求的处理方法及装置 | |
| US11500837B1 (en) | Automating optimizations for items in a hierarchical data store | |
| US10951705B1 (en) | Write leases for distributed file systems | |
| JP2002342144A (ja) | ファイル共有システム、プログラムおよびファイル受渡し方法 | |
| US20220129419A1 (en) | Method and apparatus for providing metadata sharing service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |