CN115225401A - 访问控制方法、装置、电子设备及计算机可读存储介质 - Google Patents

访问控制方法、装置、电子设备及计算机可读存储介质 Download PDF

Info

Publication number
CN115225401A
CN115225401A CN202210876972.1A CN202210876972A CN115225401A CN 115225401 A CN115225401 A CN 115225401A CN 202210876972 A CN202210876972 A CN 202210876972A CN 115225401 A CN115225401 A CN 115225401A
Authority
CN
China
Prior art keywords
access
user
access request
allowed
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210876972.1A
Other languages
English (en)
Inventor
谈政扬
李勇
万志宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202210876972.1A priority Critical patent/CN115225401A/zh
Publication of CN115225401A publication Critical patent/CN115225401A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供一种访问控制方法、装置、电子设备及计算机可读存储介质,方法包括:在获取到访问请求时,获取所述访问请求对应的用户权限以及所述访问请求所请求的访问路径;获取所述用户权限对应的允许访问路径集合;所述允许访问路径集合表征所述用户权限所允许访问的所有访问路径;判断所述访问请求所请求的访问路径是否存在于所述允许访问路径集合中;若是,允许所述访问请求通过;若否,拒绝所述访问请求。本申请的方案只需预先为各用户权限配置好对应的允许访问路径集合即可,无需在针对每一服务单独配置复杂的调用查询用户权限的方法,也不再需要将用户权限设置到方法的参数中,实现更为简单,维护难度更低。

Description

访问控制方法、装置、电子设备及计算机可读存储介质
技术领域
本申请涉及访问控制技术领域,具体而言,涉及一种访问控制方法、装置、电子设备及计算机可读存储介质。
背景技术
在计算机系统中,数据安全是系统可靠性的重要标准之一。目前随着计算机技术的不断发展,计算机系统中所提供的服务也越来越多样化,从而对于数据安全的挑战也越来越高。目前,出于数据安全性考虑,在许多系统中都会采用权限控制的方式,来为不同的用户分配不同的数据访问权限,从而使得不同的用户可访问不同的数据范围。
传统的权限管理方式是,为每系统中的一个服务单独配置一个调用查询用户权限的方法,并需要将用户权限设置到方法的参数中,实现方式复杂,且不易维护。
发明内容
本申请实施例的目的在于提供一种访问控制方法、装置、电子设备及计算机可读存储介质,用以解决相关技术存在着的实现方式复杂,且不易维护的问题。
本申请实施例提供了一种访问控制方法,包括:在获取到访问请求时,获取所述访问请求对应的用户权限以及所述访问请求所请求的访问路径;获取所述用户权限对应的允许访问路径集合;所述允许访问路径集合表征所述用户权限所允许访问的所有访问路径;判断所述访问请求所请求的访问路径是否存在于所述允许访问路径集合中;若是,允许所述访问请求通过;若否,拒绝所述访问请求。
在上述实现方式中,通过为各用户权限预先配置对应的允许访问路径集合,从而在获取到访问请求时,可以将该访问请求所请求的访问路径与该访问请求对应的用户权限的允许访问路径集合进行比较,快速确定出该访问请求是否允许通过。本申请的实现方式只需预先为各用户权限配置好对应的允许访问路径集合即可,无需在针对每一服务单独配置复杂的调用查询用户权限的方法,也不再需要将用户权限设置到方法的参数中,实现更为简单,且后续进行维护时,只需维护好各用户权限对应的允许访问路径集合即可,维护难度更低。
进一步地,获取所述访问请求的过程包括:监测是否存在访问请求进入网关服务;在监测到存在访问请求进入所述网关服务时,拦截所述访问请求。
在上述实现方式中,通过在网关服务处进行访问请求的监听,这就可以在访问请求进入系统的各服务之前,有效拦截到访问请求进而进行访问请求的权限判断(所谓权限判断是指判断访问请求是否允许通过),从而在网关服务处就统一对所有访问请求进行权限判断,避免不符合权限要求的访问请求进入到后续的系统服务中。同时,由于在网关服务处就统一对所有访问请求进行权限判断,也即各用户权限对应的允许访问路径集合会与网关服务相关联,从而通过对网关服务进行管理时,即可很容易地实现对于各用户权限对应的允许访问路径集合的维护,利于进行维护操作。
进一步地,获取所述访问请求对应的用户权限,包括:解析所述访问请求,以得到所述访问请求中的用户唯一标识;根据所述用户唯一标识确定所述用户权限。
在上述实现方式中,通过解析得到访问请求中的用户唯一标识,从而基于用户唯一标识即可快速定位出用户权限,实现方式简单可靠。
进一步地,根据所述用户唯一标识确定所述用户权限,包括:解析所述用户唯一标识,以得到所述用户唯一标识中的用户角色唯一标识;所述用户角色唯一标识表征所述用户权限。
在上述实现方式中,通过将用户角色唯一标识作为用户唯一标识的一部分携带于访问请求中,且通过使用用户角色唯一标识来表征用户权限,这就使得通过解析访问请求即可直接得到用户权限,从而无需再在系统中配置用户唯一标识与用户权限之间的对应关系表,无需再进行用户唯一标识与用户权限之间的查表操作,可以提高系统的执行效率。
进一步地,所述允许访问路径集合中包含有所述用户权限所允许访问的所有访问路径的哈希值;所述判断所述访问请求所请求的访问路径是否存在于所述允许访问路径集合中,包括:计算所述访问请求所请求的访问路径的哈希值;判断所述访问请求所请求的访问路径的哈希值是否存在于所述允许访问路径集合中。
在上述实现方式中,通过计算用户权限所允许访问的所有访问路径的哈希值,以该哈希值构成用户权限对应的允许访问路径集合,这样,由于哈希值的大小远小于访问路径本身的大小,因此可以有效降低允许访问路径集合的大小,可以节约系统的存储资源。此外,由于哈希计算具有确定性(即相同的内容通过哈希计算得到的哈希值必然相同)以及不可逆性(基于哈希值不能逆运算得到原内容),因此通过哈希值构成用户权限对应的允许访问路径集合,可以在保证对于用户权限所允许访问的所有访问路径的有效记录的同时,避免在允许访问路径集合被窃取后导致真实的访问路径被泄露,从而可以在一定程度上提高数据的安全性。
进一步地,所述允许访问路径集合存储于内存中。
在上述实现方式中,通过将允许访问路径集合存储于内存中,这就使得在进行访问请求的权限判断时,可以直接从内存中调取该访问请求对应的用户权限的允许访问路径集合,从而利用内存读取速度快的特点,有效提高系统的执行效率。此外,本申请直接从内存中调取该访问请求对应的用户权限的允许访问路径集合,也就无需对数据库等相关数据存储区进行操作,从而也利于数据安全。
进一步地,所述方法还包括:在接收到权限修改指令时,根据所述权限修改指令中的目标用户权限,获取所述目标用户权限对应的目标允许访问路径集合;根据所述权限修改指令中的需修改访问路径,更新所述目标允许访问路径集合。
在上述实现方式中,在用户权限所允许访问的访问路径有变更时,只需要通过下发权限修改指令,修改该用户权限对应的允许访问路径集合(即目标允许访问路径集合)即可,实现简单,无需进行复杂的方法实现程序的修改以及参数的修改等操作。
本申请实施例还提供了一种访问控制装置,包括:获取模块,用于在获取到访问请求时,获取所述访问请求对应的用户权限以及所述访问请求所请求的访问路径;所述获取模块,还用于获取所述用户权限对应的允许访问路径集合;所述允许访问路径集合表征所述用户权限所允许访问的所有访问路径;判断模块,用于判断所述访问请求所请求的访问路径是否存在于所述允许访问路径集合中;若是,允许所述访问请求通过;若否,拒绝所述访问请求。
本申请实施例还提供了一种电子设备,包括处理器和存储器;所述处理器用于执行存储器中存储的一个或者多个程序,以实现上述任一种的访问控制方法。
本申请实施例中还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任一种的访问控制方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种访问控制方法的流程示意图;
图2为本申请实施例提供的一种访问控制装置的结构示意图;
图3为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一:
为了解决相关技术存在着的实现方式复杂,且不易维护的问题,本申请实施例中提供了一种访问控制方法。可以参见图1所示,图1为本申请实施例中提供的访问控制方法的流程示意图,包括:
S101:在获取到访问请求时,获取该访问请求对应的用户权限以及该访问请求所请求的访问路径。
在本申请实施例中,为了监测是否获取到了访问请求,可以监测系统的网关服务,从而监测是否存在访问请求进入网关服务。在监测到存在访问请求进入网关服务时,即可拦截该访问请求,从而执行本申请实施例所提供的访问控制方法。这样,由于网关服务是访问请求进入系统后端的各服务的门户,因此在访问请求进入网关服务时就先对其进行拦截,通过本申请实施例提供的访问控制方法对该访问请求进行权限判断(所谓权限判断是指判断访问请求是否允许通过)后,即可有效防止不符合权限要求的访问请求进入到后续的服务中。
在本申请实施例中,为了获取到访问请求对应的用户权限,可以解析该访问请求,从而得到该访问请求中的用户唯一标识,进而根据该用户唯一标识确定出用户权限。
在一可选实施方式中,可以预先构建记录有各用户唯一标识和用户权限的对应关系的对应关系表,并存储和管理该对应关系表。当得到访问请求中的用户唯一标识后,即可调用该对应关系表,根据得到的用户唯一标识查询该对应关系表,得到用户唯一标识对应的用户权限。
而在另一可选实施方式中,可以配置用户唯一标识的构成规则中,需要携带有用户角色唯一标识,并在系统中以用户角色唯一标识表征用户权限(例如以用户角色唯一标识作为用户权限的标识),从而可以在解析访问请求得到用户唯一标识后,直接解析该用户唯一标识,以得到该用户唯一标识中的用户角色唯一标识。这样,通过用户角色唯一标识即可在后续步骤S102中获取到用户权限对应的允许访问路径集合。
示例性的,可以配置用户唯一标识的构成规则中,用户唯一标识的最后n(n为设定的大于等于1的常数)位为用户角色唯一标识,从而解析出用户唯一标识中的用户角色唯一标识。
例如,假设用户权限有管理员和普通用户两种,假设以数字1标识管理员,数字0标识普通用户,用户唯一标识的最后1位为用户角色唯一标识,则可以通过解析用户唯一标识,得到用户唯一标识中最后一位数字(即用户角色唯一标识),若该数字为0,即表明访问请求对应的用户权限为普通用户,若该数字为1,即表明访问请求对应的用户权限为管理员。
应理解,以上仅为本申请实施例中所示例的一种可行的实现用户角色唯一标识在用户唯一标识中的配置方案,不作为对本申请实施例的限制。例如,也可以配置用户唯一标识的构成规则中,用户唯一标识的前m(m为设定的大于等于1的常数)位为用户角色唯一标识。
在本申请实施例中,为了获取到访问请求所请求的访问路径,可以解析得到访问请求中所请求访问的目的地址。在一种可选实施方式中,可以基于当前位置(指拦截到访问请求时访问请求所到达的位置,例如在网关服务处拦截的访问请求,则当前位置为网关服务的地址)生成起始位置为当前位置,目的地址为该访问请求中的目的地址的访问路径。此外,在另一种可选实施方式中,也可以直接以访问请求中所请求访问的目的地址作为访问路径。
S102:获取该用户权限对应的允许访问路径集合。
在本申请实施例中,可以预先配置好各不同用户权限所对应的允许访问路径集合。不同用户权限所对应的允许访问路径集合表征不同用户权限所允许访问的所有访问路径。
在一实施例中,可以将不同用户权限所允许访问的所有访问路径直接进行记录,构成不同用户权限所对应的允许访问路径集合。
在另一实施例中,也可以将不同用户权限所允许访问的所有访问路径通过哈希算法进行计算,得到各访问路径的哈希值,从而将不同用户权限所允许访问的所有访问路径的哈希值分别进行记录,得到不同用户权限所对应的允许访问路径集合。
这样,由于哈希值的大小远小于访问路径本身的大小,因此可以有效降低允许访问路径集合的大小,可以节约系统的存储资源。此外,由于哈希计算具有确定性(即相同的内容通过哈希计算得到的哈希值必然相同)以及不可逆性(基于哈希值不能逆运算得到原内容),因此通过哈希值构成用户权限对应的允许访问路径集合,可以在保证对于用户权限所允许访问的所有访问路径的有效记录的同时,避免在允许访问路径集合被窃取后导致真实的访问路径被泄露,从而可以在一定程度上提高数据的安全性。
S103:判断该访问请求所请求的访问路径是否存在于该允许访问路径集合中。若是,转至步骤S104;否则,转至步骤S105。
需要理解的是,若允许访问路径集合中包含的是用户权限所允许访问的所有访问路径,则步骤S103中,可以直接将该访问请求与该允许访问路径集合中的各访问路径依次进行一致性比较,从而确定出该访问请求所请求的访问路径是否存在于该允许访问路径集合中。
若允许访问路径集合中包含的是用户权限所允许访问的所有访问路径的哈希值,则步骤S103中,应先通过哈希算法计算该访问请求所请求的访问路径的哈希值,然后再判断该访问请求所请求的访问路径的哈希值是否存在于该允许访问路径集合中。
应理解,本申请实施例中对于所需采用的哈希算法并不做限制,只要可以实现哈希计算即可。但是,计算该访问请求所请求的访问路径的哈希值时所采用的哈希算法应当与生成允许访问路径集合时所采用的哈希算法一致。
可选的,为了判断该访问请求所请求的访问路径的哈希值是否存在于该允许访问路径集合中,可以将该访问请求所请求的访问路径的哈希值依次与该允许访问路径集合中的哈希值进行一致性比较,从而根据比较结果确定出该访问请求所请求的访问路径的哈希值是否存在于该允许访问路径集合中。
此外,也可以将该访问请求所请求的访问路径的哈希值与该允许访问路径集合做与运算,若与运算结果为1,则表明该访问请求所请求的访问路径的哈希值存在于该允许访问路径集合中,若与运算结果为0,则表明该访问请求所请求的访问路径的哈希值不存在于该允许访问路径集合中。
应理解,在本申请实施例中,若某一用户权限所允许访问的访问路径出现变更(例如某一用户权限所允许访问的访问路径有新增或删减等),可以直接修改该用户权限对应的允许访问路径集合即可达到修改该用户权限对应的可访问范围的效果,实现简单,无需进行复杂的方法实现程序的修改以及参数的修改等操作。
示例性的,用户可以下发权限修改指令,系统在接收到权限修改指令时,即可根据该权限修改指令中的目标用户权限,获取目标用户权限对应的目标允许访问路径集合,然后根据该权限修改指令中的需修改访问路径,更新该目标允许访问路径集合。
应理解,目标用户权限是指所允许访问的访问路径出现变更,需要修改对应的允许访问路径集合的用户权限,而目标允许访问路径集合为目标用户权限所对应的允许访问路径集合。
可选的,在本申请实施例中,可以将允许访问路径集合存储于内存中,从而使得在进行访问请求的权限判断时,可以直接从内存中调取该访问请求对应的用户权限的允许访问路径集合,从而利用内存读取速度快的特点,有效提高系统的执行效率。此外,直接从内存中调取该访问请求对应的用户权限的允许访问路径集合,也就无需对数据库等相关数据存储区进行操作,从而也利于数据安全。当然,在本申请实施例中,也可以是将允许访问路径集合存储于诸如硬盘、数据库等存储区中,对此本申请实施不做限制。
在将允许访问路径集合存储于内存中时,考虑到内存为易失性存储介质(即在断电后内部存储的数据会丢失的存储介质),因此为了防止出现因系统故障导致内存所在设备宕机,需断电重启,或出现意外停电等情况,导致内存中的允许访问路径集合丢失,在本申请实施例中,可以在诸如硬盘等非易失性存储介质中,或在数据库中备份该允许访问路径集合。此时,若任一允许访问路径集合被修改,则该允许访问路径集合所进行的修改需同步至备份的该允许访问路径集合中,以保证内存中的允许访问路径集合与所备份的允许访问路径集合的内容的一致性。
S104:允许该访问请求通过。
在本申请实施例中,在允许该访问请求通过后,该访问请求即可到达后端服务处,实现访问操作。
S105:拒绝该访问请求。
在本申请实施例中,可以直接丢弃该访问请求以实现对于该访问请求的丢弃。此外,在本申请实施例中,在拒绝该访问请求后,还可以向该访问请求的发起者返回报错信息,以提示该访问请求的发起者本次请求超出其所具有的用户权限。
在本申请实施例中,在获取到访问请求后,获取该访问请求对应的用户权限以及该访问请求所请求的访问路径之前,还可以先检测该访问请求中的令牌(token)是否合法。若合法才进一步获取该访问请求对应的用户权限以及该访问请求所请求的访问路径。若不合法,则表明该访问请求存在安全风险,从而可以直接丢弃该访问请求,此时可以对该访问请求的发起者返回报错信息。
需要说明的是,本申请实施例的执行主体可以是具有数据处理能力的电子设备,例如服务器、终端(如电脑、控制平台等)、网关等设备,但不作为限制。
本申请实施例所提供的访问控制方法,通过为各用户权限预先配置对应的允许访问路径集合,从而在获取到访问请求时,可以将该访问请求所请求的访问路径与该访问请求对应的用户权限的允许访问路径集合进行比较,快速确定出该访问请求是否允许通过。本申请的实现方式只需预先为各用户权限配置好对应的允许访问路径集合即可,无需在针对每一服务单独配置复杂的调用查询用户权限的方法,也不再需要将用户权限设置到方法的参数中,实现更为简单,且后续进行维护时,只需维护好各用户权限对应的允许访问路径集合即可,维护难度更低。
实施例二:
本实施例在实施例一的基础上,以一个具体的实现过程为例,为本申请做进一步示例说明。
首先,在系统启动时,在网关服务处配置好各用户权限对应的允许访问路径集合,并与各用户权限的唯一标识关联存储在内存中。允许访问路径集合由各用户权限允许访问的访问路径的哈希值构成。
然后,监测网关服务。在监测到有访问请求进入网关服务时,拦截该访问请求。
接着,从该访问请求中获取到所请求的访问路径,并解析该访问请求,从该访问请求的头信息中获取用户唯一标识。解析该用户唯一标识,得到用户唯一标识中的用户角色唯一标识。该用户角色唯一标识即为用户权限的唯一标识。
接着,以该用户角色唯一标识为基础,得到该用户角色唯一标识对应的允许访问路径集合,并计算该访问请求中获取到所请求的访问路径的哈希值A。
将哈希值A与允许访问路径集合做与运算。若运算结果为1,则允许该访问请求通过,该访问请求所访问的后端服务返回所请求的数据。若运算结果为0,返回报错信息。
在任一用户权限所允许访问的访问路径出现变更,则通过接收管理者下发的权限修改指令,根据该权限修改指令中的目标用户权限,获取目标用户权限对应的允许访问路径集合,然后根据该权限修改指令中的需修改访问路径,计算该需修改访问路径的哈希值,根据该哈希值更新该目标允许访问路径集合。
通过上述方案,能够快速的确定访问请求是否通过,方案实现所需的存储空间更小,执行效率更高。且针对所有服务的访问请求都是在统一的入口处(网关服务处)进行判断,可有效减少代码维护量,方便管理。且在用户权限对应的访问路径发送变更时,只需更新对应的允许访问路径集合接口,无需数据库操作,利于维护。
实施例三:
基于同一发明构思,本申请实施例中还提供了一种访问控制装置200。请参阅图2所示,图2示出了采用图1所示的方法的访问控制装置。应理解,装置200具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。装置200包括至少一个能以软件或固件的形式存储于存储器中或固化在装置200的操作系统中的软件功能模块。具体地:
参见图2所示,装置200包括:获取模块201和判断模块202。其中:
所述获取模块201,用于在获取到访问请求时,获取所述访问请求对应的用户权限以及所述访问请求所请求的访问路径;
所述获取模块201,还用于获取所述用户权限对应的允许访问路径集合;所述允许访问路径集合表征所述用户权限所允许访问的所有访问路径;
所述判断模块202,用于判断所述访问请求所请求的访问路径是否存在于所述允许访问路径集合中;若是,允许所述访问请求通过;若否,拒绝所述访问请求。
可选的,在本申请实施例的一种可行实施方式中,所述获取模块201还用于监测是否存在访问请求进入网关服务,在监测到存在访问请求进入所述网关服务时,拦截所述访问请求。
可选的,在本申请实施例的一种可行实施方式中,所述获取模块201具体用于解析所述访问请求,以得到所述访问请求中的用户唯一标识,根据所述用户唯一标识确定所述用户权限。
可选的,在上述可行实施方式中,所述获取模块201具体用于解析所述用户唯一标识,以得到所述用户唯一标识中的用户角色唯一标识;所述用户角色唯一标识表征所述用户权限。
可选的,在本申请实施例中,所述允许访问路径集合中包含有所述用户权限所允许访问的所有访问路径的哈希值;所述判断模块202具体用于,计算所述访问请求所请求的访问路径的哈希值,判断所述访问请求所请求的访问路径的哈希值是否存在于所述允许访问路径集合中。
可选的,在本申请实施例中,所述允许访问路径集合存储于内存中。
可选的,在本申请实施例中,装置200还可以包括更新模块,用于在接收到权限修改指令时,根据所述权限修改指令中的目标用户权限,获取所述目标用户权限对应的目标允许访问路径集合,根据所述权限修改指令中的需修改访问路径,更新所述目标允许访问路径集合。
需要理解的是,出于描述简洁的考量,部分实施例一中描述过的内容在本实施例中不再赘述。
实施例四:
本实施例提供了一种电子设备,参见图3所示,其包括处理器301、存储器302以及通信总线303。其中:
通信总线303用于实现处理器301和存储器302之间的连接通信。
处理器301用于执行存储器302中存储的一个或多个第一程序,以实现上述实施例一和/或实施例二中的访问控制方法。
可以理解,图3所示的结构仅为示意,电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。
例如,电子设备还可以具有通信总线,以通过通信总线实现处理器301和存储器302之间的通信连接。或者,电子设备还可以具有外部通信接口,例如USB接口、无线通信模组、网口等,以实现信息的接收与发送。此外,电子设备还可以具有显示屏等信息展示组件,以进行信息的显示。此外,电子设备还可以具有键盘等信息输入组件,以进行信息的输入。
可选的,该电子设备可以是诸如电脑、平板、服务器、网关等具有数据处理能力的设备,但不作为限制。
本实施例还提供了一种计算机可读存储介质,如软盘、光盘、硬盘、闪存、U盘、SD(Secure Digital Memory Card,安全数码卡)卡、MMC(Multimedia Card,多媒体卡)卡等,在该计算机可读存储介质中存储有实现上述各个步骤的一个或者多个程序,这一个或者多个程序可被一个或者多个处理器执行,以实现上述实施例一和/或实施例二中的访问控制方法。在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
在本文中,多个是指两个或两个以上。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种访问控制方法,其特征在于,包括:
在获取到访问请求时,获取所述访问请求对应的用户权限以及所述访问请求所请求的访问路径;
获取所述用户权限对应的允许访问路径集合;所述允许访问路径集合表征所述用户权限所允许访问的所有访问路径;
判断所述访问请求所请求的访问路径是否存在于所述允许访问路径集合中;
若是,允许所述访问请求通过;
若否,拒绝所述访问请求。
2.如权利要求1所述的访问控制方法,其特征在于,获取所述访问请求的过程包括:
监测是否存在访问请求进入网关服务;
在监测到存在访问请求进入所述网关服务时,拦截所述访问请求。
3.如权利要求1所述的访问控制方法,其特征在于,获取所述访问请求对应的用户权限,包括:
解析所述访问请求,以得到所述访问请求中的用户唯一标识;
根据所述用户唯一标识确定所述用户权限。
4.如权利要求3所述的访问控制方法,其特征在于,根据所述用户唯一标识确定所述用户权限,包括:
解析所述用户唯一标识,以得到所述用户唯一标识中的用户角色唯一标识;所述用户角色唯一标识表征所述用户权限。
5.如权利要求1-4任一项所述的访问控制方法,其特征在于,所述允许访问路径集合中包含有所述用户权限所允许访问的所有访问路径的哈希值;
所述判断所述访问请求所请求的访问路径是否存在于所述允许访问路径集合中,包括:
计算所述访问请求所请求的访问路径的哈希值;
判断所述访问请求所请求的访问路径的哈希值是否存在于所述允许访问路径集合中。
6.如权利要求1-5任一项所述的访问控制方法,其特征在于,所述允许访问路径集合存储于内存中。
7.如权利要求1-6任一项所述的访问控制方法,其特征在于,所述方法还包括:
在接收到权限修改指令时,根据所述权限修改指令中的目标用户权限,获取所述目标用户权限对应的目标允许访问路径集合;
根据所述权限修改指令中的需修改访问路径,更新所述目标允许访问路径集合。
8.一种访问控制装置,其特征在于,包括:
获取模块,用于在获取到访问请求时,获取所述访问请求对应的用户权限以及所述访问请求所请求的访问路径;
所述获取模块,还用于获取所述用户权限对应的允许访问路径集合;所述允许访问路径集合表征所述用户权限所允许访问的所有访问路径;
判断模块,用于判断所述访问请求所请求的访问路径是否存在于所述允许访问路径集合中;若是,允许所述访问请求通过;若否,拒绝所述访问请求。
9.一种电子设备,其特征在于,包括:处理器和存储器;所述处理器用于执行所述存储器中存储的一个或者多个程序,以实现如权利要求1-7任一项所述的访问控制方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1-7任一项所述的访问控制方法。
CN202210876972.1A 2022-07-25 2022-07-25 访问控制方法、装置、电子设备及计算机可读存储介质 Pending CN115225401A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210876972.1A CN115225401A (zh) 2022-07-25 2022-07-25 访问控制方法、装置、电子设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210876972.1A CN115225401A (zh) 2022-07-25 2022-07-25 访问控制方法、装置、电子设备及计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN115225401A true CN115225401A (zh) 2022-10-21

Family

ID=83614437

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210876972.1A Pending CN115225401A (zh) 2022-07-25 2022-07-25 访问控制方法、装置、电子设备及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN115225401A (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102542069A (zh) * 2012-01-16 2012-07-04 上海方正数字出版技术有限公司 Xml数据库系统的xml文档访问控制方法及系统
US20160098572A1 (en) * 2014-10-01 2016-04-07 Viktor Povalyayev Providing Integrated Role-based Access Control
CN110232292A (zh) * 2019-05-06 2019-09-13 平安科技(深圳)有限公司 数据访问权限认证方法、服务器及存储介质
CN112507298A (zh) * 2020-11-30 2021-03-16 北京达佳互联信息技术有限公司 用户鉴权方法、装置、服务器以及存储介质
CN112836189A (zh) * 2021-02-26 2021-05-25 深圳证券交易所 第三方应用的访问方法、终端及计算机可读存储介质
CN113992437A (zh) * 2021-12-27 2022-01-28 广州得一物联科技有限公司 一种Modbus设备的访问控制管理方法、装置及系统
CN114091077A (zh) * 2021-11-26 2022-02-25 北京字节跳动网络技术有限公司 一种鉴权方法、装置、设备及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102542069A (zh) * 2012-01-16 2012-07-04 上海方正数字出版技术有限公司 Xml数据库系统的xml文档访问控制方法及系统
US20160098572A1 (en) * 2014-10-01 2016-04-07 Viktor Povalyayev Providing Integrated Role-based Access Control
CN110232292A (zh) * 2019-05-06 2019-09-13 平安科技(深圳)有限公司 数据访问权限认证方法、服务器及存储介质
CN112507298A (zh) * 2020-11-30 2021-03-16 北京达佳互联信息技术有限公司 用户鉴权方法、装置、服务器以及存储介质
CN112836189A (zh) * 2021-02-26 2021-05-25 深圳证券交易所 第三方应用的访问方法、终端及计算机可读存储介质
CN114091077A (zh) * 2021-11-26 2022-02-25 北京字节跳动网络技术有限公司 一种鉴权方法、装置、设备及存储介质
CN113992437A (zh) * 2021-12-27 2022-01-28 广州得一物联科技有限公司 一种Modbus设备的访问控制管理方法、装置及系统

Similar Documents

Publication Publication Date Title
CN108810006B (zh) 资源访问方法、装置、设备及存储介质
CN108923908B (zh) 授权处理方法、装置、设备及存储介质
CN111258725B (zh) 一种基于区块链的数据处理方法、装置、设备和介质
CN110266764B (zh) 基于网关的内部服务调用方法、装置及终端设备
CN111695156A (zh) 业务平台的访问方法、装置、设备及存储介质
CN108289098B (zh) 分布式文件系统的权限管理方法和装置、服务器、介质
CN109657492B (zh) 数据库管理方法、介质及电子设备
CN109033857B (zh) 一种访问数据的方法、装置、设备及可读存储介质
CN110197075B (zh) 资源访问方法、装置、计算设备以及存储介质
CN110888838A (zh) 基于对象存储的请求处理方法、装置、设备及存储介质
CN113179271A (zh) 一种内网安全策略检测方法及装置
CN111083093B (zh) 调用端能力的方法、装置、电子设备及存储介质
CN112651001A (zh) 访问请求的鉴权方法、装置、设备及可读存储介质
CN113779545A (zh) 数据跨进程共享的方法、终端设备及计算机可读存储介质
CN111966422A (zh) 一种本地化插件服务方法、装置、电子设备及存储介质
CN108289080B (zh) 一种访问文件系统的方法、装置和系统
CN112579997B (zh) 一种用户权限配置方法、装置、计算机设备及存储介质
De Carvalho et al. Secure cloud storage service for detection of security violations
CN110351719B (zh) 一种无线网络管理方法、系统及电子设备和存储介质
CN109635558B (zh) 访问控制方法、装置和系统
CN109740328B (zh) 一种权限鉴定方法、装置、计算机设备和存储介质
CN111327680A (zh) 认证数据同步方法、装置、系统、计算机设备和存储介质
CN115225401A (zh) 访问控制方法、装置、电子设备及计算机可读存储介质
CN115208689A (zh) 基于零信任的访问控制方法、装置及设备
CN111698227B (zh) 信息同步管理方法、装置、计算机系统及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination