CN114697063A

CN114697063A - 一种安全认证方法、装置、电子设备及存储介质

Info

Publication number: CN114697063A
Application number: CN202011606646.6A
Authority: CN
Inventors: 彭勇
Original assignee: Beijing Gridsum Technology Co Ltd
Current assignee: Beijing Gridsum Technology Co Ltd
Priority date: 2020-12-30
Filing date: 2020-12-30
Publication date: 2022-07-01

Abstract

本发明涉及一种安全认证方法、装置、电子设备及存储介质，所述方法包括：接收客户端发送的针对待访问对象的访问请求；确定待访问对象的对象标识，提取认证令牌中携带的对象标识对应的权限标识；确定权限标识对应的用户权限，根据用户权限控制对待访问对象的访问。通过将用户权限的权限标识封装于认证令牌中，在接收到针对待访问对象的访问请求的情况下，访问请求中携带有认证令牌，提取认证令牌中携带的对象标识对应的权限标识，从预设用户权限列表中确定权限标识对应的用户权限，根据用户权限控制对待访问对象的访问，如此可以避免在用户权限数据库中频繁的查询用户权限，减小用户权限数据库的压力，确定用户权限数据库正常运行。

Description

一种安全认证方法、装置、电子设备及存储介质

技术领域

本发明涉及安全认证技术领域，尤其涉及一种安全认证方法、装置、电子设备及存储介质。

背景技术

随着分布式技术的快速发展，微服务架构在企业级应用中逐渐得到关注。其中，微服务架构中提供的微服务数量众多，涉及面较广，安全认证问题逐渐凸显，解决安全认证问题面临着巨大的挑战。

相关技术中，接收由用户在客户端触发的访问请求，根据访问请求中携带的Token进行安全认证，安全认证通过之后，从用户权限数据库中查询用户权限，以控制用户对微服务、微服务中数据的访问。

由于用户有可能需要频繁的访问微服务、微服务中数据，则需要频繁的触发访问请求，从而需要频繁的在用户权限数据库中查询用户权限，造成用户权限数据库压力较大，容易导致用户权限数据库宕机。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本发明提供了一种安全认证方法、装置、电子设备以及存储介质。

第一方面，本发明提供了一种安全认证方法，所述方法包括：

接收客户端发送的针对待访问对象的访问请求，其中，所述访问请求中携带有认证令牌，所述认证令牌为对所述客户端发送的登录请求认证通过后，基于所述登录请求中携带的登录信息以及源IP地址而生成的认证令牌；

确定所述待访问对象的对象标识，提取所述认证令牌中携带的所述对象标识对应的权限标识；

从预设用户权限列表中确定所述权限标识对应的用户权限，根据所述用户权限控制对所述待访问对象的访问。

在一个可选的实施方式中，所述确定所述待访问对象的对象标识，提取所述认证令牌中携带的所述对象标识对应的权限标识之前，还包括：

提取所述认证令牌中携带的字符，在所述字符与本地字符一致的情况下，提取所述认证令牌中携带的有效时长及认证令牌生成时刻；

计算当前时刻与所述生成时刻之间的时长，在所述时长小于或者等于所述有效时长的情况下，确定所述认证令牌有效；

在确定所述认证令牌有效的情况下，执行所述确定所述待访问对象的对象标识，提取所述认证令牌中携带的所述对象标识对应的权限标识的步骤。

在一个可选的实施方式中，在执行所述方法之前，还包括：

接收客户端发送的登录请求，其中，所述登录请求中携带有登录信息以及源IP地址；

确定所述登录信息对应的目标对象的目标用户权限，将所述目标对象的目标对象标识与所述目标用户权限的目标权限标识进行关联；

根据所述登录信息以及所述源IP地址确定有效时长；

基于相关联的所述目标对象标识、所述目标权限标识以及所述有效时长生成认证令牌，并返回至所述客户端。

在一个可选的实施方式中，所述根据所述登录信息以及所述源IP地址确定有效时长，包括：

确定所述登录信息对应的用户角色类别，查询所述用户角色类别对应的第一时效要素；

获取针对所述源IP地址统计的第一出现次数，确定所述第一出现次数对应的第二时效要素；

查找所述源IP地址所属的IP地址范围，确定所述IP地址范围对应的第三时效要素；

基于所述第一时效要素、所述第二时效要素以及所述第三时效要素确定有效时长。

在一个可选的实施方式中，所述获取针对所述源IP地址统计的第一出现次数，确定所述第一出现次数对应的第二时效要素，包括：

获取针对所述源IP地址统计的第一出现次数，确定所述第一出现次数对应的预设第一次数区间；

查询所述预设第一次数区间对应的IP地址第一安全度，确定所述IP地址第一安全度为所述第一出现次数对应的第二时效要素。

在一个可选的实施方式中，所述查找所述源IP地址所属的IP地址范围，确定所述IP地址范围对应的第三时效要素，包括：

查找所述源IP地址所属的IP地址范围，基于所述IP地址范围判断所述源IP地址是否为内网IP地址；

若所述源IP地址为所述内网IP地址，查询所述内网IP地址对应的IP地址第二安全度，确定所述IP地址第二安全度为所述IP地址范围对应的第三时效要素；

若所述源IP地址非所述内网IP地址，确定非所述内网IP地址对应的IP地址第三安全度，确定所述IP地址第三安全度为所述IP地址范围对应的第三时效要素。

在一个可选的实施方式中，所述若所述源IP地址非所述内网IP地址，确定非所述内网IP地址对应的IP地址第三安全度，包括：

若所述源IP地址非所述内网IP地址，获取针对所述源IP地址统计的第二出现次数；

确定所述第二出现次数对应的预设第二次数区间，查询所述预设第二次数区间对应的IP地址第三安全度。

在一个可选的实施方式中，所述基于所述第一时效要素、所述第二时效要素以及所述第三时效要素确定有效时长，包括：

将所述第一时效要素、所述第二时效要素以及所述第三时效要素进行相乘，确定相乘结果对应的有效时长。

在一个可选的实施方式中，所述将所述第一时效要素、所述第二时效要素以及所述第三时效要素进行相乘，确定相乘结果对应的有效时长，包括：

将所述第一时效要素、所述第二时效要素以及所述第三时效要素进行相乘，确定相乘结果对应的预设时效区间；

查找所述预设时效区间对应的访问级别，确定所述访问级别对应的允许时长为相乘结果对应的有效时长。

第二方面，本发明提供了一种安全认证装置，所述装置包括：

请求接收模块，用于接收客户端发送的针对待访问对象的访问请求，其中，所述访问请求中携带有认证令牌，所述认证令牌为对所述客户端发送的登录请求认证通过后，基于所述登录请求中携带的登录信息以及源IP地址而生成的认证令牌；

标识提取模块，用于确定所述待访问对象的对象标识，提取所述认证令牌中携带的所述对象标识对应的权限标识；

访问控制模块，用于从预设用户权限列表中确定所述权限标识对应的用户权限，根据所述用户权限控制对所述待访问对象的访问。

第三方面，本发明提供了一种电子设备，包括：至少一个处理器、以及与处理器连接的至少一个存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行上述第一方面中任一项所述的安全认证方法。

第四方面，本发明实施例提供一种存储介质，所述存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现上述第一方面中任一项所述的安全认证方法。

本发明实施例提供的技术方案，接收客户端发送的针对待访问对象的访问请求，其中，访问请求中携带有认证令牌，且认证令牌为对客户端发送的登录请求认证通过后，基于登录请求中携带的登录信息以及源IP地址而生成的认证令牌，确定待访问对象的对象标识，提取认证令牌中携带的对象标识对应的权限标识，从预设用户权限列表中确定权限标识对应的用户权限，根据用户权限控制对待访问对象的访问。通过将用户权限的权限标识封装于认证令牌中，在接收到针对待访问对象的访问请求的情况下，访问请求中携带有认证令牌，提取认证令牌中携带的对象标识对应的权限标识，从预设用户权限列表中确定权限标识对应的用户权限，根据用户权限控制对待访问对象的访问，如此可以避免在用户权限数据库中频繁的查询用户权限，减小用户权限数据库的压力，确定用户权限数据库正常运行。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种安全认证方法的实施流程示意图；

图2为本发明实施例提供的一种认证令牌结构示意图；

图3为本发明实施例提供的一种认证令牌生成方法的实施流程示意图；

图4为本发明实施例提供的一种有效时长确定方法的实施流程示意图；

图5为本发明实施例提供的一种次数区间示意图；

图6为本发明实施例提供的另一种认证令牌结构示意图；

图7为本发明实施例提供的一种安全认证装置的结构示意图；

图8为本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，为本发明实施例提供的一种安全认证方法的实施流程示意图，该方法可以应用于网关，具体可以包括以下步骤：

S101，接收客户端发送的针对待访问对象的访问请求，其中，所述访问请求中携带有认证令牌，所述认证令牌为对所述客户端发送的登录请求认证通过后，基于所述登录请求中携带的登录信息以及源IP地址而生成的认证令牌。

在本发明实施例中，客户端侧可以展示多个对象，用户可以从客户端展示的多个对象中选择某个对象，客户端确定用户选择的对象为待访问对象，从而客户端可以发送针对待访问对象的访问请求。

本发明实施例可以接收客户端发送的针对待访问对象的访问请求，其中，该访问请求中携带有认证令牌，且认证令牌为对客户端发送的登录请求认证通过后，基于登录请求中携带的登录信息以及源IP地址而生成的认证令牌。

例如，客户端展示多个微服务：微服务1、微服务2、微服务3……，用户可以从客户端展示的多个微服务中选择微服务1，客户端确定用户选择的微服务1为待访问微服务，从而发出针对待访问微服务的访问请求。

本发明实施例可以接收客户端发送的针对待访问微服务的访问请求，该访问请求中携带有认证令牌，认证令牌为对客户端发送的登录请求认证通过后，基于登录请求中携带的登录信息以及源IP地址而生成的认证令牌。对于认证令牌，具体可以包含令牌头、权限区、令牌尾等3部分，每部分内容如图2所示。

需要说明的是，对于待访问对象，例如可以是微服务，可以是微服务中数据(例如井数据、井筒数据、管道数据)等，本发明实施例对此不作限定。

S102，确定所述待访问对象的对象标识，提取所述认证令牌中携带的所述对象标识对应的权限标识。

对于待访问对象，本发明实施例可以确定该待访问对象的对象标识，对于对象标识，例如可以是对象ID，可以是对象名称，本发明实施例对此不作限定。

在认证令牌中携带有成对的对象标识与权限标识，故本发明实施例可以提取认证令牌中携带的该待访问对象的对象标识对应的权限标识。对于权限标识，例如可以是权限ID，可以是权限名称，本发明实施例对此不作限定。

例如，如图2所示的认证令牌中权限区，存储有成对的微服务ID与权限ID，如下表1所示，对于微服务的微服务ID：A001，可以提取认证令牌中携带的微服务ID(A001)对应的权限ID：01。

微服务ID	权限ID
		A001	01
A002	02
		……	……

表1

例如，如图2所示的认证令牌中权限区，存储有成对的数据ID与权限ID，如下表1所示，对于微服务中数据的数据ID：B001(表示与井相关的数据)，可以提取认证令牌中携带的数据ID(B001)对应的权限ID：01。

数据ID	权限ID
		B001	01
B002	02
		……	……

表2

S103，从预设用户权限列表中确定所述权限标识对应的用户权限，根据所述用户权限控制对所述待访问对象的访问。

对于从认证令牌中提取的权限标识，本发明实施例可以从预设用户权限列表中确定权限标识对应的用户权限，根据该用户权限控制对待访问对象的访问。

例如，对于预设用户权限列表，可以如下表3所示，本发明实施例可以从预设用户权限列表中确定权限ID(01)对应的用户权限：只读，从而可以根据该用户权限控制对微服务的访问，即表示只能对微服务进行读操作。

权限ID	用户权限
		01	只读
02	只写
		03	读写

表3

此外，在执行S102之前，即确定待访问对象的对象标识，提取认证令牌中携带的对象标识对应的权限标识之前，本发明实施例可以提取认证令牌中携带的字符，在字符与本地字符一致的情况下，提取认证令牌中携带的有效时长及认证令牌生成时刻，计算当前时刻与生成时刻之间的时长，在时长小于或者等于有效时长的情况下，确定认证令牌有效，在确定认证令牌有效的情况下，执行S102。

例如，本发明实施例可以提取认证令牌中携带的字符，如图2所示的10位随机字符：Er$sd3……，在字符与本地字符一致的情况下，说明认证令牌由本发明实施例生成，从而可以提取认证令牌中携带的有效时长及认证令牌生成时刻，如图2所示的时效(2小时)、时间(2020-10-01……)，计算当前时刻与认证令牌生成时刻之间的时长，在时长小于或者等于有效时长的情况下，确定认证令牌有效，说明认证令牌未过有效期，在确定认证令牌有效的情况下，可以执行S102。

通过上述对本发明实施例提供的技术方案的描述，接收客户端发送的针对待访问对象的访问请求，其中，访问请求中携带有认证令牌，且认证令牌为对客户端发送的登录请求认证通过后，基于登录请求中携带的登录信息以及源IP地址而生成的认证令牌，确定待访问对象的对象标识，提取认证令牌中携带的对象标识对应的权限标识，从预设用户权限列表中确定权限标识对应的用户权限，根据用户权限控制对待访问对象的访问。

通过将用户权限的权限标识封装于认证令牌中，在接收到针对待访问对象的访问请求的情况下，访问请求中携带有认证令牌，提取认证令牌中携带的对象标识对应的权限标识，从预设用户权限列表中确定权限标识对应的用户权限，根据用户权限控制对待访问对象的访问，如此可以避免在用户权限数据库中频繁的查询用户权限，减小用户权限数据库的压力，确定用户权限数据库正常运行。

如图3所示，为本发明实施例提供的一种认证令牌生成方法的实施流程示意图，该方法可以应用于网关，具体可以包括以下步骤：

S301，接收客户端发送的登录请求，其中，所述登录请求中携带有登录信息以及源IP地址。

在本发明实施例中，用户可以在客户端侧触发登录请求，客户端可以发出该登录请求，从而本发明实施例可以接收客户端发送的登录请求，其中，登录请求中携带有登录信息以及源IP地址(即客户端所在网络的IP地址)。具体地，用户可以在客户端侧通过点击按钮触发登录请求，本发明实施例对此不作限定。

例如，在本发明实施例中，用户可以在客户端侧通过点击登录按钮触发登录请求，客户端可以发出该登录请求，本发明实施例可以接收客户端发送的登录请求，其中，登录请求中携带有用户名、密码等登录信息，以及相应的源IP地址：192.168.1.1。

需要说明的是，对于登录信息，例如可以是用户名、密码，可以是账号、密码等，本发明实施例对此不作限定。

S302，确定所述登录信息对应的目标对象的目标用户权限，将所述目标对象的目标对象标识与所述目标用户权限的目标权限标识进行关联。

对于登录信息，本发明实施例可以确定该登录信息对应的目标对象的目标用户权限，将目标对象的目标对象标识与目标用户权限的目标权限标识进行关联。其中，可以从用户权限数据库中确定该登录信息对应的目标对象的目标用户权限，本发明实施例对此不作限定。

例如，对于登录信息：用户名、密码，可以唯一确定一个用户角色，基于此，可以从用户权限数据库中确定该登录信息对应的用户角色针对微服务的用户权限以及微服务中数据的用户权限，如下表4、表5所示。

微服务	用户权限
		微服务1	只读
微服务2	只读
		……	……

表4

微服务中数据	用户权限
		微服务1中数据1	只读
微服务1中数据2	只写
		……	……

表5

对于该登录信息对应的用户角色针对微服务的用户权限以及微服务中数据的用户权限，本发明实施例可以将微服务对应的微服务ID与针对微服务的用户权限对应的权限ID进行关联，如上述表1所示，如此微服务ID与权限ID成对构成，另外可以将微服务中数据对应的数据ID与针对微服务中数据的用户权限对应的权限ID进行关联，如上述表2所示，如此数据ID与权限ID成对构成。

S303，根据所述登录信息以及所述源IP地址确定有效时长。

在本发明实施例中，可以根据上述登录信息以及源IP地址确定有效时长，该有效时长可以认为是认证令牌的有效期。例如，根据上述登录信息(用户名、密码)以及源IP地址(192.168.1.1)确定有效时长：2小时，意味着认证令牌自生成时刻起计时，在2个小时内，该认证令牌有效。

具体地，如图4所示，为本发明实施例提供的一种有效时长确定方法的实施流程示意图，该方法具体可以包括以下步骤：

S401，确定所述登录信息对应的用户角色类别，查询所述用户角色类别对应的第一时效要素。

在本发明实施例中，对于登录信息，可以唯一确定一个用户角色，基于此，可以确定该登录信息对应的用户角色所属的用户角色类别，从而可以查询用户角色类别对应的第一时效要素。

例如，在本发明实施例中可以对用户角色进行分类，每个用户角色类别均对应一个第一时效要素(即用户角色评分)，如下表6所示。对于登录信息：用户名、密码，可以唯一确定一个用户角色，确定该用户角色对应的用户角色类别：超级管理员，即认为是该登录信息对应的用户角色类别，从而可以查询该用户角色类别(超级管理员)对应的第一时效要素：用户角色评分10。

用户角色类别	第一时效要素
		超级管理员	用户角色评分：10
内部管理员	用户角色评分：5
		内部用户	用户角色评分：2
外部用户	用户角色评分：1

表6

需要说明的是，对于第一时效要素，表示用户角色信任程度，一般可以是如上述表6所示的用户角色类别对应的用户角色评分，用户角色评分越高，表示用户角色信任程度越高，本发明实施例对此不作限定。

S402，获取针对所述源IP地址统计的第一出现次数，确定所述第一出现次数对应的第二时效要素。

对于源IP地址，在一段时间段内，本发明实施例可以在安全记录中统计该源IP地址的第一出现次数，从而获取针对源IP地址统计的第一出现次数，确定该第一出现次数对应的第二时效要素。

例如，对于源IP地址：192.168.1.1，在最近24小时内，本发明实施例在安全记录中统计该源IP地址的第一出现次数N(例如200)，从而获取针对源IP地址统计的第一出现次数N，确定该第一出现次数N对应的第二时效要素。

具体地，本发明实施例可以通过以下方式确定该第一出现次数对应的第二时效要素：获取针对源IP地址统计的第一出现次数，确定第一出现次数对应的预设第一次数区间；查询预设第一次数区间对应的IP地址第一安全度，确定IP地址第一安全度为第一出现次数对应的第二时效要素。

例如，在本发明实施例中，预先设置第一次数区间：次数区间1、次数区间2、次数区间3，如图5所示，次数区间1的范围为大于等于M(M＝100)至无穷大，次数区间2的范围为小于M(M＝100)至大于0，次数区间3的范围为0，对于各个次数区间，其对应的IP地址第一安全度如下表7所示。其中，IP地址第一/第二/第三安全度，表示源IP地址安全程度，IP地址第一/第二/第三安全度越大，表示源IP地址属于攻击者的IP地址的几率越小。需要说明的是，表7中N为第一出现次数N，M为图5中所示的M(M＝100)。

次数区间	IP地址第一安全度
		次数区间1	2
次数区间2	(1+N/M)
		次数区间3	0.5

表7

本发明实施例获取最近24小时内针对源IP地址(192.168.1.1)统计的第一出现次数200，确定该第一出现次数200对应的次数区间1，查询该次数区间1对应的IP地址第一安全度2，确定IP地址第一安全度2为第一出现次数200对应的第二时效要素。

本发明实施例获取最近24小时内针对源IP地址(192.168.1.1)统计的第一出现次数50，确定该第一出现次数50对应的次数区间2，查询该次数区间2对应的IP地址第一安全度1+N/M，这里N＝50，M＝100，即IP地址第一安全度1+N/M＝1.5，确定IP地址第一安全度1.5为第一出现次数50对应的第二时效要素。

本发明实施例获取最近24小时内针对源IP地址(192.168.1.1)统计的第一出现次数0，表示此前源IP地址未出现，确定该第一出现次数0对应的次数区间3，查询该次数区间3对应的IP地址第一安全度0.5，确定IP地址第一安全度0.5为第一出现次数0对应的第二时效要素。

S403，查找所述源IP地址所属的IP地址范围，确定所述IP地址范围对应的第三时效要素。

在本发明实施例中，可以对IP地址划分不同的范围，即存在不同的IP地址范围，对于IP地址范围，存在对应的第三时效要素，从而可以查找源IP地址所属的IP地址范围，确定IP地址范围对应的第三时效要素。

例如，在本发明实施例中可以将IP地址划分不同的范围：A类地址(10.0.0.0～10.255.255.255)、B类地址(172.16.0.0～172.31.255.255)、C类地址(192.168.0.0～192.168.255.255)以及非A类B类、C类的地址(即公有地址范围)，每个IP地址范围存在对应的第三时效要素，从而可以查找源IP地址所属的IP地址范围，确定IP地址范围对应的第三时效要素。

其中，本发明实施例具体通过以下方式确定IP地址范围对应的第三时效要素：查找源IP地址所属的IP地址范围，基于IP地址范围判断源IP地址是否为内网IP地址；若源IP地址为内网IP地址，查询内网IP地址对应的IP地址第二安全度，确定IP地址第二安全度为IP地址范围对应的第三时效要素；若源IP地址非内网IP地址，确定非内网IP地址对应的IP地址第三安全度，确定IP地址第三安全度为IP地址范围对应的第三时效要素。

例如，查找源IP地址(192.168.1.1)所属的IP地址范围：C类地址，基于IP地址范围可以确定该源IP地址为内网IP地址，查询内网IP地址对应的IP地址第二安全度1，确定IP地址第二安全度1为IP地址范围对应的第三时效要素。

例如，查找源IP地址(162.168.1.1)所属的IP地址范围：非A类B类、C类的地址(即公有地址范围)，基于IP地址范围可以确定该源IP地址为非内网IP地址，即外网IP地址，确定非内网IP地址对应的IP地址第三安全度0，确定IP地址第三安全度0为IP地址范围对应的第三时效要素。

其中，在源IP地址非内网IP地址的情况下，本发明实施例具体通过以下方式确定非内网IP地址对应的IP地址第三安全度：若源IP地址非内网IP地址，获取针对源IP地址统计的第二出现次数；确定第二出现次数对应的预设第二次数区间，查询预设第二次数区间对应的IP地址第三安全度。

例如，在本发明实施例中，预先设置第二次数区间：次数区间1、次数区间2、次数区间3，如图5所示，对于各个次数区间，其对应的IP地址第三安全度如下表8所示。需要说明的是，表7中N为第二出现次数N，M为图5中所示的M(M＝100)。

次数区间	IP地址第三安全度
		次数区间1	0
次数区间2	(1-N/M)
		次数区间3	0.5

表8

在源IP地址非内网IP地址的情况下，本发明实施例可以获取最近24小时内针对源IP地址统计的第二出现次数200，确定该第二出现次数200对应的次数区间1，查询该次数区间1对应的IP地址第三安全度0，确定IP地址第三安全度0为第二出现次数200对应的第三时效要素。

在源IP地址非内网IP地址的情况下，本发明实施例可以获取最近24小时内针对源IP地址统计的第二出现次数50，确定该第二出现次数50对应的次数区间2，查询该次数区间2对应的IP地址第三安全度1-N/M，这里N＝50，M＝100，即IP地址第三安全度1-N/M＝0.5，确定IP地址第三安全度0.5为第二出现次数50对应的第三时效要素。

在源IP地址非内网IP地址的情况下，本发明实施例可以获取最近24小时内针对源IP地址统计的第二出现次数0，确定该第二出现次数0对应的次数区间3，查询该次数区间3对应的IP地址第三安全度0.5，确定IP地址第三安全度0.5为第二出现次数0对应的第三时效要素。

S404，基于所述第一时效要素、所述第二时效要素以及所述第三时效要素确定有效时长。

对于上述第一时效要素、第二时效要素以及第三时效要素，可以基于此确定有效时长，即认证令牌的有效时长。具体地，本发明实施例可以将上述第一时效要素、第二时效要素以及第三时效要素进行相乘，确定相乘结果对应的有效时长。

其中，在本发明实施例中，可以确定相乘结果对应的预设时效区间，查找预设时效区间对应的访问级别，确定访问级别对应的允许时长为相乘结果对应的有效时。

例如，在本发明实施例中，预先设置时效区间：时效区间1、时效区间2、时效区间3、时效区间4，时效区间1的范围大于等于10，时效区间2的范围小于10且大于等于5，时效区间3的范围大于0且小于5，时效区间4的范围小于等于0，各个时效区间均存在对应的访问等级，且每个访问等级存在对应的允许时长，如下表9所示。

表9

例如，对于第一时效要素：用户角色评分10，第二时效要素：IP地址第一安全度0.5，第二时效要素：IP地址第二安全度：1，将第一时效要素、第二时效要素以及第三时效要素进行相乘：10*0.5*1，确定相乘结果5(即最终评分)对应的时效区间2，查找时效区间2对应的访问等级中信任访问，确定访问等级中信任访问对应的允许时长1为相乘结果对应的有效时长，即表示认证令牌有效时长为1小时。

例如，对于第一时效要素：用户角色评分1，第二时效要素：IP地址第一安全度1.5，第二时效要素：IP地址第三安全度：0.5，将第一时效要素、第二时效要素以及第三时效要素进行相乘：1*1.5*0.5，确定相乘结果0.75(即最终评分)对应的时效区间3，查找时效区间3对应的访问等级低信任访问，确定访问等级中信任访问对应的允许时长0.5为相乘结果对应的有效时长，即表示认证令牌有效时长为0.5小时。

S304，基于相关联的所述目标对象标识、所述目标权限标识以及所述有效时长生成认证令牌，并返回至所述客户端。

对于上述相关联的目标对象标识、目标权限标识，以及确定的有效时长，可以基于此生成认证令牌，并返回至客户端，后续用户访问对象时，客户端可以发送携带有认证令牌的访问请求。

具体的，本发明实施例中认证令牌包含令牌头、权限区、令牌尾等3部分，可以将随机生成的10位随机字符、认证令牌生成时间、有效时长均封装于令牌头，将相关联的目标对象标识、目标权限标识封装于权限区，然后将令牌头、权限区、令牌尾等3部分进行拼接，生成认证令牌。

例如，如上述表2所示的相关联的微服务ID与权限ID，相关联的数据ID与权限ID，封装于权限区，如此权限区中包含成对的微服务ID与权限ID、数据ID与权限ID，将随机生成的10位随机字符、认证令牌生成时间(2020-10-01……)、有效时长(1)均封装于令牌头，然后将令牌头、权限区、令牌尾等3部分进行拼接，生成认证令牌，如图6所示。

与上述方法实施例相对应，本发明实施例还提供了一种安全认证装置，如图7所示，该装置包括：请求接收模块710、标识提取模块720、访问控制模块730。

请求接收模块710，用于接收客户端发送的针对待访问对象的访问请求，其中，所述访问请求中携带有认证令牌，所述认证令牌为对所述客户端发送的登录请求认证通过后，基于所述登录请求中携带的登录信息以及源IP地址而生成的认证令牌；

标识提取模块720，用于确定所述待访问对象的对象标识，提取所述认证令牌中携带的所述对象标识对应的权限标识；

访问控制模块730，用于从预设用户权限列表中确定所述权限标识对应的用户权限，根据所述用户权限控制对所述待访问对象的访问。

所述安全认证装置，包括处理器和存储器，上述请求接收模块710、标识提取模块720、访问控制模块730等均作为程序模块存储在存储器中，由处理器执行存储在存储器中的上述程序模块来实现相应的功能。

本发明实施例还提供了一种存储介质(计算机可读存储介质)。这里的存储介质存储有一个或者多个程序。其中，存储介质可以包括易失性存储器，例如随机存取存储器；存储器也可以包括非易失性存储器，例如只读存储器、快闪存储器、硬盘或固态硬盘；存储器还可以包括上述种类的存储器的组合。

当存储介质中一个或者多个程序可被一个或者多个处理器执行，以实现上述在安全认证设备侧执行的安全认证方法。

所述处理器用于执行存储器中存储的安全认证程序，以实现以下在安全认证设备侧执行的安全认证方法的步骤：

在一个可选的实施方式中，在执行所述方法之前，还包括：

根据所述登录信息以及所述源IP地址确定有效时长；

本发明实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行：接收客户端发送的针对待访问对象的访问请求，其中，所述访问请求中携带有认证令牌，所述认证令牌为对所述客户端发送的登录请求认证通过后，基于所述登录请求中携带的登录信息以及源IP地址而生成的认证令牌；确定所述待访问对象的对象标识，提取所述认证令牌中携带的所述对象标识对应的权限标识；从预设用户权限列表中确定所述权限标识对应的用户权限，根据所述用户权限控制对所述待访问对象的访问。

图8为本发明实施例提供的一种电子设备的结构示意图，图8所示的电子设备80包括：至少一个处理器801、以及与处理器801连接的至少一个存储器802、总线803；其中，处理器801、存储器802通过总线803完成相互间的通信；处理器用于调用存储器中的程序指令，以执行上述的安全认证方法。本文中的电子设备可以是服务器、PC、PAD、手机等。

本发明还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：

在一个可选的实施方式中，在执行所述方法之前，还包括：

根据所述登录信息以及所述源IP地址确定有效时长；

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

在一个典型的配置中，设备包括一个或多个处理器(CPU)、存储器和总线。设备还可以包括输入/输出接口、网络接口等。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本发明的实施例可提供为方法、系统或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本发明的实施例而已，并不用于限制本发明。对于本领域技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本发明的权利要求范围之内。

Claims

1.一种安全认证方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，在执行所述方法之前，还包括：

根据所述登录信息以及所述源IP地址确定有效时长；

3.根据权利要求2所述的方法，其特征在于，所述根据所述登录信息以及所述源IP地址确定有效时长，包括：

4.根据权利要求3所述的方法，其特征在于，所述获取针对所述源IP地址统计的第一出现次数，确定所述第一出现次数对应的第二时效要素，包括：

5.根据权利要求3所述的方法，其特征在于，所述查找所述源IP地址所属的IP地址范围，确定所述IP地址范围对应的第三时效要素，包括：

6.根据权利要求5所述的方法，其特征在于，所述若所述源IP地址非所述内网IP地址，确定非所述内网IP地址对应的IP地址第三安全度，包括：

7.根据权利要求3所述的方法，其特征在于，所述基于所述第一时效要素、所述第二时效要素以及所述第三时效要素确定有效时长，包括：

8.一种安全认证装置，其特征在于，所述装置包括：

9.一种电子设备，其特征在于，包括：至少一个处理器、以及与处理器连接的至少一个存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行权利要求1～7中任一项所述的方法。

10.一种存储介质，其特征在于，所述存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现权利要求1～7中任一项所述的方法。