CN115051801A - 访问许可状态确定系统、方法、电子设备及存储介质 - Google Patents
访问许可状态确定系统、方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115051801A CN115051801A CN202210752900.6A CN202210752900A CN115051801A CN 115051801 A CN115051801 A CN 115051801A CN 202210752900 A CN202210752900 A CN 202210752900A CN 115051801 A CN115051801 A CN 115051801A
- Authority
- CN
- China
- Prior art keywords
- application
- access
- service
- information
- original
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明涉及安全访问技术领域,公开了一种访问许可状态确定系统、方法、电子设备及存储介质,该系统通过获取各原始应用对应的应用信息和应用标签,向各原始应用发送对应的应用信息,并向具有服务标签的各个原始应用发送授权信息,使得访问应用根据对应的应用信息生成访问签名,并使得服务应用根据访问签名和授权信息确定访问应用对服务应用的访问允许状态,通过向原始应用分发应用信息和授权信息,不区分访问应用和服务应用,访问应用和服务应用相互之间通过应用信息和授权信息进行相互之间的访问鉴权,使得应用之间的访问鉴权不再依赖网关层,避免网关工作负荷过大,从而提高应用之间的访问效率。
Description
技术领域
本发明涉及安全访问技术领域,尤其涉及一种访问许可状态确定系统、方法、电子设备及存储介质。
背景技术
随着科技的不断进步和企业业务的不断发展,企业需要创建大量的企业应用,以通过企业应用实现辅助业务的实施。通常情况下,企业应用存在访问应用和服务应用,其中,访问应用与服务应用通过网关接入,并且,基于网关层对应用之间的访问进行鉴权。
但是,由于应用与应用之间存在大量的接口调用,并且网关接入的服务应用的数量较多,使得网关的工作负荷过大,降低应用访问的鉴权速度,甚至出现网关响应异常的情况,从而导致应用之间的访问效率过低。
发明内容
为了对披露的实施例的一些方面有基本的理解,下面给出了简单的概括。所述概括不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围,而是作为后面的详细说明的序言。
鉴于以上所述现有技术的缺点,本发明公开了一种访问许可状态确定系统、方法、电子设备及存储介质,以提高应用之间的访问效率。
本发明公开了一种访问许可状态确定系统,包括:获取模块,用于获取各原始应用对应的应用信息和应用标签,其中,所述应用标签包括服务标签和访问标签中的至少一种;分发模块,用于向各所述原始应用发送对应的应用信息,并向具有所述服务标签的各个原始应用发送授权信息,其中,所述授权信息通过对各所述原始应用进行访问授权得到;多个原始应用,包括访问应用和服务应用,所述访问应用用于根据对应的应用信息生成访问签名,所述服务应用用于根据所述访问签名和所述授权信息确定所述访问应用对所述服务应用的访问允许状态,其中,所述访问应用包括具有所述访问标签的任一原始应用,所述服务应用包括具有所述服务标签的任一原始应用。
可选地,所述系统还包括:应用创建模块,用于建立新的原始应用;端口录入模块,用于获取所述服务应用的应用注册信息,根据所述应用注册信息向所述服务应用录入对外端口。
可选地,所述系统还包括密钥管理模块,所述密钥管理模块用于:获取加密密钥,所述加密密钥通过对预设的访问密钥进行加密得到;若接收到任一所述原始应用发送的密钥获取请求,则对所述原始应用对应的应用信息进行数据提取,得到应用权限信息;根据所述应用权限信息确定所述密钥获取请求对应的获取允许状态;若所述获取允许状态为允许获取,则对所述加密密钥进行解密,得到所述访问密钥,将所述访问密钥发送至所述原始应用。
可选地,所述访问应用通过以下方式生成访问签名:获取所述访问密钥,并对所述访问应用对应的应用信息进行数据提取,得到令牌值;根据所述访问密钥对所述令牌值进行加密,得到访问签名。
可选地,所述服务应用通过以下方式确定所述访问应用对所述服务应用的访问允许状态:获取所述访问密钥;通过所述访问密钥对所述访问签名进行签名验证,得到签名验证结果,同时,根据预设鉴权服务和所述授权信息对所述访问应用进行鉴权,得到所述访问应用对应的访问权限状态;若所述签名验证结果为通过验证且所述访问权限状态为具有访问权限,则将访问允许状态确定为允许访问。
可选地,所述访问应用还用于:获取所述访问应用的发送接口配置;对所述发送接口配置进行修改,以使得所述访问应用向所述服务应用发送应用访问请求之前,将所述访问签名加入所述应用访问请求。
可选地,客户端依次通过前端网关、前端应用和后端网关连接各所述原始应用,其中,所述客户端,用于生成用户访问请求;所述前端网关,用于将所述用户访问请求发送至前端应用;所述前端应用,用于对所述用户访问请求进行请求响应,得到所述用户访问请求对应的应用访问请求;所述后端网关,用于对所述应用访问请求进行认证和鉴权,并将所述应用访问请求发送至对应的原始应用。
本发明公开了一种访问许可状态确定方法,包括:获取各原始应用对应的应用信息和应用标签,其中,所述应用标签包括服务标签和访问标签中的至少一种;向各所述原始应用发送对应的应用信息,并向具有所述服务标签的各个原始应用发送授权信息,其中,所述授权信息通过对各所述原始应用进行访问授权得到;将具有所述访问标签的任一原始应用确定为访问应用,所述访问应用用于根据对应的应用信息生成访问签名;将具有所述服务标签的任一原始应用确定为服务应用,所述服务应用用于根据所述访问签名和所述授权信息确定所述访问应用对所述服务应用的访问允许状态。
本发明公开了一种电子设备,包括:处理器及存储器;所述存储器用于存储计算机程序,所述处理器用于执行所述存储器存储的计算机程序,以使所述电子设备执行上述的方法。
本发明公开了一种计算机可读存储介质,其上存储有计算机程序:所述计算机程序被处理器执行时实现上述的方法。
本发明的有益效果:
通过获取各原始应用对应的应用信息和应用标签,向各原始应用发送对应的应用信息,并向具有服务标签的各个原始应用发送授权信息,使得访问应用根据对应的应用信息生成访问签名,并使得服务应用根据访问签名和授权信息确定访问应用对服务应用的访问允许状态。这样,通过向原始应用分发应用信息和授权信息,不区分访问应用和服务应用,访问应用和服务应用相互之间通过应用信息和授权信息进行相互之间的访问鉴权,使得应用之间的访问鉴权不再依赖网关层,避免网关工作负荷过大,从而提高应用之间的访问效率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术者来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明实施例中一个访问许可状态确定系统的结构示意图;
图2是本发明实施例中另一个访问许可状态确定系统的结构示意图;
图3是本发明实施例中一个基于访问许可状态确定系统的访问许可状态确定方法的流程示意图;
图4是本发明实施例中一个访问许可状态确定方法的流程示意图;
图5是本发明实施例中一个电子设备的结构示意图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的子样本可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
在下文描述中,探讨了大量细节,以提供对本发明实施例的更透彻的解释,然而,对本领域技术人员来说,可以在没有这些具体细节的情况下实施本发明的实施例是显而易见的,在其他实施例中,以方框图的形式而不是以细节的形式来示出公知的结构和设备,以避免使本发明的实施例难以理解。
本公开实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开实施例的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。
除非另有说明,术语“多个”表示两个或两个以上。
本公开实施例中,字符“/”表示前后对象是一种“或”的关系。例如,A/B表示:A或B。
术语“和/或”是一种描述对象的关联关系,表示可以存在三种关系。例如,A和/或B,表示:A或B,或,A和B这三种关系。
结合图1所示,本公开实施例提供了一种访问许可状态确定系统,包括获取模块101、分发模块102和多个原始应用103,其中,获取模块101用于获取各原始应用对应的应用信息和应用标签,其中,应用标签包括服务标签和访问标签中的至少一种;分发模块102用于向各原始应用发送对应的应用信息,并向具有服务标签的各个原始应用发送授权信息,其中,授权信息通过对各原始应用进行访问授权得到;原始应用103包括访问应用1031和服务应用1032,访问应用用于根据对应的应用信息生成访问签名,服务应用用于根据访问签名和授权信息确定访问应用对服务应用的访问允许状态,其中,访问应用包括具有访问标签的任一原始应用,服务应用包括具有服务标签的任一原始应用。
采用本公开实施例提供的访问许可状态确定系统,通过获取各原始应用对应的应用信息和应用标签,向各原始应用发送对应的应用信息,并向具有服务标签的各个原始应用发送授权信息,使得访问应用根据对应的应用信息生成访问签名,并使得服务应用根据访问签名和授权信息确定访问应用对服务应用的访问允许状态。这样,通过向原始应用分发应用信息和授权信息,不区分访问应用和服务应用,访问应用和服务应用相互之间通过应用信息和授权信息进行相互之间的访问鉴权,使得应用之间的访问鉴权不再依赖网关层,避免网关工作负荷过大,从而提高应用之间的访问效率。同时,不区分访问应用和服务应用,在原始应用既具有访问标签又具有服务标签的情况下,通过自身行为进行访问或提供服务,简化向应用分发信息的步骤,提高了分发效率,进而提高应用间的访问效率。
可选地,访问应用和服务应用为不同的原始应用。
可选地,应用信息包括应用标识(appID)和应用密文(appSecret),其中,应用密文用于表征原始应用的基本信息、接口访问权限信息、密钥权限信息等,基本信息包括应用名称、应用版本等。
在一些实施例中,原始应用通过jar格式存储应用信息和授权信息,防止代码入侵。
可选地,服务应用还用于:若访问应用访问服务应用,生成访问日志。
可选地,服务应用还用于:若检测到访问应用的异常请求,则向服务器端请求变更该访问应用的访问权限。
可选地,访问应用还用于:以观察者模式监控服务器端,若监控到访问应用的访问权限发生变化,重新向服务器端请求授权码。
可选地,该系统还包括:应用创建模块,用于建立新的原始应用;端口录入模块,用于获取服务应用的应用注册信息,根据应用注册信息向服务应用录入对外端口。
可选地,该系统还包括密钥管理模块,密钥管理模块用于:获取加密密钥,加密密钥通过对预设的访问密钥进行加密得到;若接收到任一原始应用发送的密钥获取请求,则对原始应用对应的应用信息进行数据提取,得到应用权限信息;根据应用权限信息确定密钥获取请求对应的获取允许状态;若获取允许状态为允许获取,则对加密密钥进行解密,得到访问密钥,将访问密钥发送至原始应用。
可选地,访问应用通过以下方式生成访问签名:获取访问密钥,并对访问应用对应的应用信息进行数据提取,得到令牌值;根据访问密钥对令牌值进行加密,得到访问签名。
在一些实施例中,令牌值包括应用名称。
可选地,服务应用通过以下方式确定访问应用对服务应用的访问允许状态:获取访问密钥;通过访问密钥对访问签名进行签名验证,得到签名验证结果,同时,根据预设鉴权服务和授权信息对访问应用进行鉴权,得到访问应用对应的访问权限状态;若签名验证结果为通过验证且访问权限状态为具有访问权限,则将访问允许状态确定为允许访问。
这样,在服务应用提供大量对外接口时,通过获取模块、分发模块管理访问签名和访问权限,通过访问签名和访问权限确定访问应用的访问允许状态,不依赖网关层,服务层能够直接进行鉴权,使得一部分接口无法被授权的访问应用进行访问。
可选地,预设鉴权服务包括鉴权SDK。
可选地,访问应用还用于:获取访问应用的发送接口配置;对发送接口配置进行修改,以使得访问应用向服务应用发送应用访问请求之前,将访问签名加入应用访问请求。
在一些实施例中,通过应用访问请求的请求头部携带访问签名。
可选地,客户端依次通过前端网关、前端应用和后端网关连接各原始应用,其中,客户端,用于生成用户访问请求;前端网关,用于将用户访问请求发送至前端应用;前端应用,用于对用户访问请求进行请求响应,得到用户访问请求对应的应用访问请求;后端网关,用于对应用访问请求进行认证和鉴权,并将应用访问请求发送至对应的原始应用。
在一些实施例中,该系统中的原始应用、获取模块、分发模块、应用创建模块、端口录入模块、密钥管理模块中的一种或多种基于服务器端建立,其中,服务器端包括服务器、服务器组群等,也可以包括台式电脑、笔记本电脑、平板电脑、智能手机、智能手表等。
这样,在服务器端向电子设备中的原始应用分发应用信息和授权信息,访问应用和服务应用相互之间通过应用信息和授权信息进行相互之间的访问鉴权,相较于客户端的用户访问请求通过网关进行访问鉴权,应用之间的访问鉴权不再依赖网关层,而是直接在服务器端进行访问授权,避免网关工作负荷过大,从而提高应用之间的访问效率。
可选地,后端网关还用于:对前端应用和原始应用进行监控和扫描;进行路由分发和路由限流。
在一些实施例中,前端应用与访问应用通过后端网关对应,包括Nest、Vulcan、商城应用、云仓应用、GUC等中的一种或多种,服务应用包括订单服务应用、库存服务应用、会员服务应用、支付服务应用、第三方服务应用等中的一种或多种。
结合图2所示,本公开实施例提供一种访问许可状态确定系统,包括服务器端201、客户端202、前端网关203、前端应用204、后端网关205,其中,服务器端201包括获取模块101、分发模块102、多个原始应用103、应用创建模块104、端口录入模块105和密钥管理模块106,获取模块101用于获取各原始应用对应的应用信息和应用标签,其中,应用标签包括服务标签和访问标签中的至少一种;分发模块102用于向各原始应用发送对应的应用信息,并向具有服务标签的各个原始应用发送授权信息,其中,授权信息通过对各原始应用进行访问授权得到;多个原始应用103包括访问应用1031和服务应用1032,访问应用用于根据对应的应用信息生成访问签名,服务应用用于根据访问签名和授权信息确定访问应用对服务应用的访问允许状态,其中,访问应用包括具有访问标签的任一原始应用,服务应用包括具有服务标签的任一原始应用;应用创建模块104用于建立新的原始应用;端口录入模块105用于获取服务应用的应用注册信息,根据应用注册信息向服务应用录入对外端口;密钥管理模块106用于获取加密密钥,加密密钥通过对预设的访问密钥进行加密得到;若接收到任一原始应用发送的密钥获取请求,则对原始应用对应的应用信息进行数据提取,得到应用权限信息;根据应用权限信息确定密钥获取请求对应的获取允许状态;若获取允许状态为允许获取,则对加密密钥进行解密,得到访问密钥,将访问密钥发送至原始应用;客户端202用于生成用户访问请求;前端网关203用于将用户访问请求发送至前端应用;前端应用204用于对用户访问请求进行请求响应,得到用户访问请求对应的应用访问请求;后端网关205用于对应用访问请求进行认证和鉴权,并将应用访问请求发送至对应的原始应用
采用本公开实施例提供的访问许可状态确定系统,通过获取各原始应用对应的应用信息和应用标签,向各原始应用发送对应的应用信息,并向具有服务标签的各个原始应用发送授权信息,使得访问应用根据对应的应用信息生成访问签名,并使得服务应用根据访问签名和授权信息确定访问应用对服务应用的访问允许状态,具有以下优点:
1、通过向原始应用分发应用信息和授权信息,不区分访问应用和服务应用,访问应用和服务应用相互之间通过应用信息和授权信息进行相互之间的访问鉴权,使得应用之间的访问鉴权不再依赖网关层,避免网关工作负荷过大,从而提高应用之间的访问效率;
2、不区分访问应用和服务应用,在原始应用既具有访问标签又具有服务标签的情况下,通过自身行为进行访问或提供服务,简化向应用分发信息的步骤,提高了分发效率,进而提高应用间的访问效率;
3、在服务应用提供大量对外接口时,通过服务器端管理访问签名和访问权限,通过访问签名和访问权限确定访问应用的访问允许状态,不依赖网关层,服务层能够直接进行鉴权,使得一部分接口无法被授权的访问应用进行访问。
结合图3所示,本公开实施例提供了一种基于访问许可状态确定系统的访问许可状态确定方法,包括:
步骤S301,分发模块向访问应用发送应用信息;
步骤S302,分发模块向服务应用发送授权信息;
步骤S303,访问应用向密钥管理模块申请访问密钥;
步骤S304,密钥管理模块对加密密钥进行解密,得到访问密钥;
步骤S305,密钥管理模块向访问应用发送访问密钥;
步骤S306,访问应用对访问应用对应的应用信息进行数据提取,得到令牌值;
步骤S307,访问应用根据访问密钥对令牌值进行加密,得到访问签名;
步骤S308,访问应用发送应用访问请求至服务应用;
其中,应用访问请求包括访问签名;
步骤S309,服务应用向密钥管理模块申请访问密钥;
步骤S310,密钥管理模块对加密密钥进行解密,得到访问密钥;
步骤S311,密钥管理模块向服务应用发送访问密钥;
步骤S312,服务应用通过访问密钥对访问签名进行签名验证,得到签名验证结果;
步骤S313,若签名验证结果为通过验证,服务应用根据预设鉴权服务和授权信息对访问应用进行鉴权,得到访问权限状态;
步骤S314,若访问权限状态为具有访问权限,则服务应用将访问允许状态确定为允许访问。
采用本公开实施例提供的基于访问许可状态确定系统的访问许可状态确定方法,通过获取各原始应用对应的应用信息和应用标签,向各原始应用发送对应的应用信息,并向具有服务标签的各个原始应用发送授权信息,使得访问应用根据对应的应用信息生成访问签名,并使得服务应用根据访问签名和授权信息确定访问应用对服务应用的访问允许状态。这样,通过向原始应用分发应用信息和授权信息,不区分访问应用和服务应用,访问应用和服务应用相互之间通过应用信息和授权信息进行相互之间的访问鉴权,使得应用之间的访问鉴权不再依赖网关层,避免网关工作负荷过大,从而提高应用之间的访问效率。
结合图4所示,本公开实施例提供了一种访问许可状态确定方法,包括:
步骤S401,获取各原始应用对应的应用信息和应用标签;
其中,应用标签包括服务标签和访问标签中的至少一种;
步骤S402,向各原始应用发送对应的应用信息,并向具有服务标签的各个原始应用发送授权信息;
其中,授权信息通过对各原始应用进行访问授权得到;
步骤S403,将具有访问标签的任一原始应用确定为访问应用,访问应用用于根据对应的应用信息生成访问签名;
步骤S404,将具有服务标签的任一原始应用确定为服务应用,服务应用用于根据访问签名和授权信息确定访问应用对服务应用的访问允许状态;
其中,访问应用和服务应用为不同的原始应用。
采用本公开实施例提供的访问许可状态确定方法,通过获取各原始应用对应的应用信息和应用标签,向各原始应用发送对应的应用信息,并向具有服务标签的各个原始应用发送授权信息,使得访问应用根据对应的应用信息生成访问签名,并使得服务应用根据访问签名和授权信息确定访问应用对服务应用的访问允许状态。这样,通过向原始应用分发应用信息和授权信息,不区分访问应用和服务应用,访问应用和服务应用相互之间通过应用信息和授权信息进行相互之间的访问鉴权,使得应用之间的访问鉴权不再依赖网关层,避免网关工作负荷过大,从而提高应用之间的访问效率。
图5示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。需要说明的是,图5示出的电子设备的计算机系统500仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统500包括中央处理单元(Central Processing Unit,CPU)501,其可以根据存储在只读存储器(Read-Only Memory,ROM)502中的程序或者从储存部分508加载到随机访问存储器(Random Access Memory,RAM)503中的程序而执行各种适当的动作和处理,例如执行上述实施例中的方法。在RAM 503中,还存储有系统操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(Input/Output,I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分507;包括硬盘等的储存部分508;以及包括诸如LAN(Local Area Network,局域网)卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入储存部分508。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(CPU)501执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
本公开实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本实施例中的任一项方法。
本公开实施例中的计算机可读存储介质,本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过计算机程序相关的硬件来完成。前述的计算机程序可以存储于一计算机可读存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本实施例公开的电子设备,包括处理器、存储器、收发器和通信接口,存储器和通信接口与处理器和收发器连接并完成相互间的通信,存储器用于存储计算机程序,通信接口用于进行通信,处理器和收发器用于运行计算机程序,使电子设备执行如上方法的各个步骤。
在本实施例中,存储器可能包含随机存取存储器(Random Access Memory,简称RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、图形处理器(Graphics Processing Unit,简称GPU),网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
以上描述和附图充分地示出了本公开的实施例,以使本领域的技术人员能够实践它们。其他实施例可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求,否则单独的部件和功能是可选地,并且操作的顺序可以变化。一些实施例的部分和子样本可以被包括在或替换其他实施例的部分和子样本。而且,本申请中使用的用词仅用于描述实施例并且不用于限制权利要求。如在实施例以及权利要求的描述中使用的,除非上下文清楚地表明,否则单数形式的“一个”(a)、“一个”(an)和“”(the)旨在同样包括复数形式。类似地,如在本申请中所使用的术语“和/或”是指包含一个或一个以上相关联的列出的任何以及所有可能的组合。另外,当用于本申请中时,术语“包括”(comprise)及其变型“包括”(comprises)和/或包括(comprising)等指陈述的子样本、整体、步骤、操作、元素,和/或组件的存在,但不排除一个或一个以上其它子样本、整体、步骤、操作、元素、组件和/或这些的分组的存在或添加。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括要素的过程、方法或者设备中还存在另外的相同要素。本文中,每个实施例重点说明的可以是与其他实施例的不同之处,各个实施例之间相同相似部分可以互相参见。对于实施例公开的方法、产品等而言,如果其与实施例公开的方法部分相对应,那么相关之处可以参见方法部分的描述。
本领域技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,可以取决于技术方案的特定应用和设计约束条件。技术人员可以对每个特定的应用来使用不同方法以实现所描述的功能,但是这种实现不应认为超出本公开实施例的范围。技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本文所披露的实施例中,所揭露的方法、产品(包括但不限于装置、设备等),可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,可以仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些子样本可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例。另外,在本公开实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
附图中的流程图和框图显示了根据本公开实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这可以依所涉及的功能而定。在附图中的流程图和框图所对应的描述中,不同的方框所对应的操作或步骤也可以以不同于描述中所披露的顺序发生,有时不同的操作或步骤之间不存在特定的顺序。例如,两个连续的操作或步骤实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这可以依所涉及的功能而定。框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
Claims (10)
1.一种访问许可状态确定系统,其特征在于,包括:
获取模块,用于获取各原始应用对应的应用信息和应用标签,其中,所述应用标签包括服务标签和访问标签中的至少一种;
分发模块,用于向各所述原始应用发送对应的应用信息,并向具有所述服务标签的各个原始应用发送授权信息,其中,所述授权信息通过对各所述原始应用进行访问授权得到;
多个原始应用,包括访问应用和服务应用,所述访问应用用于根据对应的应用信息生成访问签名,所述服务应用用于根据所述访问签名和所述授权信息确定所述访问应用对所述服务应用的访问允许状态,其中,所述访问应用包括具有所述访问标签的任一原始应用,所述服务应用包括具有所述服务标签的任一原始应用。
2.根据权利要求1所述的系统,其特征在于,所述系统还包括:
应用创建模块,用于建立新的原始应用;
端口录入模块,用于获取所述服务应用的应用注册信息,根据所述应用注册信息向所述服务应用录入对外端口。
3.根据权利要求1所述的系统,其特征在于,所述系统还包括密钥管理模块,所述密钥管理模块用于:
获取加密密钥,所述加密密钥通过对预设的访问密钥进行加密得到;
若接收到任一所述原始应用发送的密钥获取请求,则对所述原始应用对应的应用信息进行数据提取,得到应用权限信息;
根据所述应用权限信息确定所述密钥获取请求对应的获取允许状态;
若所述获取允许状态为允许获取,则对所述加密密钥进行解密,得到所述访问密钥,将所述访问密钥发送至所述原始应用。
4.根据权利要求3所述的系统,其特征在于,所述访问应用通过以下方式生成访问签名:
获取所述访问密钥,并对所述访问应用对应的应用信息进行数据提取,得到令牌值;
根据所述访问密钥对所述令牌值进行加密,得到访问签名。
5.根据权利要求4所述的系统,其特征在于,所述服务应用通过以下方式确定所述访问应用对所述服务应用的访问允许状态:
获取所述访问密钥;
通过所述访问密钥对所述访问签名进行签名验证,得到签名验证结果,同时,根据预设鉴权服务和所述授权信息对所述访问应用进行鉴权,得到所述访问应用对应的访问权限状态;
若所述签名验证结果为通过验证且所述访问权限状态为具有访问权限,则将访问允许状态确定为允许访问。
6.根据权利要求1所述的系统,其特征在于,所述访问应用还用于:
获取所述访问应用的发送接口配置;
对所述发送接口配置进行修改,以使得所述访问应用向所述服务应用发送应用访问请求之前,将所述访问签名加入所述应用访问请求。
7.根据权利要求1至6所述的系统,其特征在于,客户端依次通过前端网关、前端应用和后端网关连接各所述原始应用,其中,
所述客户端,用于生成用户访问请求;
所述前端网关,用于将所述用户访问请求发送至前端应用;
所述前端应用,用于对所述用户访问请求进行请求响应,得到所述用户访问请求对应的应用访问请求;
所述后端网关,用于对所述应用访问请求进行认证和鉴权,并将所述应用访问请求发送至对应的原始应用。
8.一种访问许可状态确定方法,其特征在于,包括:
获取各原始应用对应的应用信息和应用标签,其中,所述应用标签包括服务标签和访问标签中的至少一种;
向各所述原始应用发送对应的应用信息,并向具有所述服务标签的各个原始应用发送授权信息,其中,所述授权信息通过对各所述原始应用进行访问授权得到;
将具有所述访问标签的任一原始应用确定为访问应用,所述访问应用用于根据对应的应用信息生成访问签名;
将具有所述服务标签的任一原始应用确定为服务应用,所述服务应用用于根据所述访问签名和所述授权信息确定所述访问应用对所述服务应用的访问允许状态。
9.一种电子设备,其特征在于,包括:处理器及存储器;
所述存储器用于存储计算机程序,所述处理器用于执行所述存储器存储的计算机程序,以使所述电子设备执行如权利要求8任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:
所述计算机程序被处理器执行时实现如权利要求8任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210752900.6A CN115051801A (zh) | 2022-06-28 | 2022-06-28 | 访问许可状态确定系统、方法、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210752900.6A CN115051801A (zh) | 2022-06-28 | 2022-06-28 | 访问许可状态确定系统、方法、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115051801A true CN115051801A (zh) | 2022-09-13 |
Family
ID=83164498
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210752900.6A Pending CN115051801A (zh) | 2022-06-28 | 2022-06-28 | 访问许可状态确定系统、方法、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115051801A (zh) |
-
2022
- 2022-06-28 CN CN202210752900.6A patent/CN115051801A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108900464B (zh) | 电子装置、基于区块链的数据处理方法和计算机存储介质 | |
| CN109274652B (zh) | 身份信息验证系统、方法及装置及计算机存储介质 | |
| US9191389B2 (en) | Access control of remote communication interfaces based on system-specific keys | |
| US10366250B1 (en) | Systems and methods for protecting personally identifiable information during electronic data exchanges | |
| KR20140030258A (ko) | 데이터 관리 및 큐레이션 시스템 | |
| CN110268406B (zh) | 密码安全性 | |
| CN109660534B (zh) | 基于多商户的安全认证方法、装置、电子设备及存储介质 | |
| CN110611657A (zh) | 一种基于区块链的文件流处理的方法、装置及系统 | |
| US11195177B1 (en) | Distributed ledger systems for tracking recurring transaction authorizations | |
| EP3937040B1 (en) | Systems and methods for securing login access | |
| CN111200593A (zh) | 应用登录方法、装置和电子设备 | |
| CN115412269A (zh) | 业务处理方法、装置、服务器及存储介质 | |
| CN107920060A (zh) | 基于账号的数据访问方法和装置 | |
| US8904508B2 (en) | System and method for real time secure image based key generation using partial polygons assembled into a master composite image | |
| CN110399706B (zh) | 授权认证方法、装置和计算机系统 | |
| CN113609531B (zh) | 基于区块链的信息交互方法、装置、设备、介质和产品 | |
| CN115811412A (zh) | 一种通信方法、装置、sim卡、电子设备和终端设备 | |
| CN115051801A (zh) | 访问许可状态确定系统、方法、电子设备及存储介质 | |
| KR101986690B1 (ko) | 메시지 종단간 암호화를 위한 키 체인 관리 방법 및 시스템 | |
| CN110659476A (zh) | 用于重置密码的方法和装置 | |
| JP2020127109A (ja) | プログラム及び端末を製造する方法 | |
| CN113645239B (zh) | 一种应用登录方法、装置、用户终端及存储介质 | |
| CN114785560B (zh) | 信息处理方法、装置、设备和介质 | |
| US11709924B2 (en) | Secure authentication | |
| US20220417020A1 (en) | Information processing device, information processing method, and non-transitory computer readable storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |