CN115952516A - 资源访问控制方法、装置、设备和存储介质 - Google Patents
资源访问控制方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN115952516A CN115952516A CN202211596623.0A CN202211596623A CN115952516A CN 115952516 A CN115952516 A CN 115952516A CN 202211596623 A CN202211596623 A CN 202211596623A CN 115952516 A CN115952516 A CN 115952516A
- Authority
- CN
- China
- Prior art keywords
- resource
- role
- access
- node
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种资源访问控制方法、装置、设备和存储介质。其中,方法包括:在检测到资源访问请求时,确定资源访问请求对应的访问对象和用户账户对应的角色标识,将访问对象在资源架构中对应的资源节点标识作为访问资源节点标识,将角色标识在资源架构中对应的资源节点标识作为目标资源节点标识,在访问资源节点标识对应的资源节点为目标资源节点标识对应的资源节点的直系下级节点时,输出访问对象。解决了现有资源访问控制方法灵活度较低的问题,提高了资源访问控制的灵活性。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及资源访问控制方法、装置、设备和存储介质。
背景技术
资源访问控制是系统保密性、完整性、可用性和合法使用性的重要基础,是在身份鉴别之后保护系统资源安全的屏障。现有的基于角色的访问控制(Role-Based AccessControl,RBAC)是通过对角色的访问所进行的控制,使权限与角色相关联,这种资源访问控制的结构简单且易于理解,但是角色不能自动定义且不能自动授予,导致资源访问控制的灵活性较低,因此需要一种灵活性高的资源访问控制方法。
发明内容
本发明提供了一种资源访问控制方法、装置、设备和存储介质,以解决现有资源访问控制方法灵活度较低的问题。
根据本发明的一方面,提供了一种资源访问控制方法,该方法包括:
在检测到资源访问请求时,确定资源访问请求对应的访问对象和用户账户对应的角色标识;
将访问对象在资源架构中对应的资源节点标识作为访问资源节点标识,其中,资源架构包括至少两个层级的资源节点,各资源节点均被配置有至少一个角色,角色的角色标识包括资源节点的节点标识,角色被配置为可访问对应资源节点所对应的资源的权限;
将角色标识在资源架构中对应的资源节点标识作为目标资源节点标识,在访问资源节点标识对应的资源节点为目标资源节点标识对应的资源节点的直系下级节点时,输出访问对象。
根据本发明的另一方面,提供了一种资源访问控制装置,应用于资源管理服务器,该装置包括:
访问请求接收模块,用于在检测到资源访问请求时,确定资源访问请求对应的访问对象和用户账户对应的角色标识;
节点确定模块,用于将访问对象在资源架构中对应的资源节点标识作为访问资源节点标识,其中,资源架构包括至少两个层级的资源节点,各资源节点均被配置有至少一个角色,角色的角色标识包括资源节点的节点标识,角色被配置为可访问对应资源节点所对应的资源的权限;
访问结果模块,用于将角色标识在资源架构中对应的资源节点标识作为目标资源节点标识,在访问资源节点标识对应的资源节点为目标资源节点标识对应的资源节点的直系下级节点时,输出访问对象。
根据本发明的另一方面,提供了一种服务器设备,该服务器设备包括:
至少一个处理器;以及
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的计算机程序,计算机程序被至少一个处理器执行,以使至少一个处理器能够执行本发明任一实施例的资源访问控制方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机指令,计算机指令用于使处理器执行时实现本发明任一实施例的资源访问控制方法。
本发明实施例提供的资源访问控制方法的技术方案,通过在检测到资源访问请求时,确定资源访问请求对应的访问对象和用户账户对应的角色标识;将访问对象在资源架构中对应的资源节点标识作为访问资源节点标识,其中,资源架构包括至少两个层级的资源节点,各资源节点均被配置有至少一个角色,角色的角色标识包括资源节点的节点标识,角色被配置为可访问对应资源节点所对应的资源的权限;将角色标识在资源架构中对应的资源节点标识作为目标资源节点标识,在访问资源节点标识对应的资源节点为目标资源节点标识对应的资源节点的直系下级节点时,输出访问对象,将角色标识对应的目标资源节点所对应的资源范围作为角色标识对应角色的最大可访问范围,通过确定访问对象对应的访问资源节点是否该目标资源节点的直系下级节点,确定访问对象是否位于该最大可访问范围内,以及是否输出访问对象,提高了角色的最大可访问资源范围的确定速度,从而提高了资源访问控制的灵活性。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1A是本发明实施例提供的一种资源访问控制方法的流程图;
图1B是一种资源管理服务器的结构示意图;
图2是本发明实施例提供的另一种资源访问控制方法的流程图;
图3是本发明实施例提供的又一种资源访问控制方法的流程图;
图4A是本发明实施例提供的一种资源访问控制装置的结构框图;
图4B是本发明实施例提供的另一种资源访问控制装置的结构框图;
图4C是本发明实施例提供的又一种资源访问控制装置的结构框图;
图5是本发明实施例提供的一种服务器设备的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”和“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
图1A是本发明实施例提供的一种资源访问控制方法的流程图,本实施例可适用于云平台的资源访问控制场景。该方法应用于资源管理服务器,可以由资源访问控制装置来执行,该资源访问控制装置可以采用硬件和/或软件的形式实现,并配置于服务器设备的处理器中。
如图1A所示,资源访问控制方法包括以下步骤:
S110、在检测到资源访问请求时,确定资源访问请求对应的访问对象和用户账户对应的角色标识。
其中,资源访问请求响应于用户的资源访问操作生成,用于向服务器请求访问对象。
其中,访问对象资源访问请求对应的访问目标,即用户期望访问的资源内容。具体的,资源与平台对应,不同的平台资源可能不同,例如,资源可以是菜单按钮、一笔订单、与该平台相关的其他服务或数据。
其中,资源访问请求由终端生成,具体为:用户在客户端执行资源访问前,需先登录个人账户(用户账户),然后执行对应的资源访问操作,终端响应于该访问操作生成携带有访问对象和用户账户的资源访问请求,并将该资源访问请求发送至资源管理服务器。
角色(Role)表示为权限和用户(用户账户)的关系,用户可以访问而且只能访问自己被授权的资源。当用户激活其账户对应的角色的一个子集时,会建立一个会话(Session),每个会话都是用户到角色的映射。所有的授权分配给角色而不是直接分配给用户,是完成一项任务必须访问的资源及相应操作权限的集合,根据用户的责任和资格分派相应的角色,权限可以根据需求新增,也可以根据需要从对应角色中收回。角色作为一个中间体,根据权限的设置为用户的权限访问提供更好的控制,降低了管理的复杂性,提高了资源访问控制的灵活性。
角色标识用于确认该用户对应的角色,例如,可以对不同角色设置不同的角色标识。具体的,用户的角色可以通过用户的账户对应的角色标识确定,用户可以通过静态密码、动态密码、数字证书和指纹虹膜等进行身份验证后,登录对应的账户。同一个用户可以拥有一个或多个账户,每个账户都有对应的角色标识,同一个用户的不同账户对应的角色可以不同,对应的角色标识也就不同。
可以理解的是,用户发送针对一种或多种资源的访问请求到资源管理服务器,资源管理服务器接收该请求并确认该资源访问请求对应的资源、当前用户账户对应的角色和该角色对应的节点标识。
S120、将访问对象在资源架构中对应的资源节点标识作为访问资源节点标识,其中,资源架构包括至少两个层级的资源节点,各资源节点均被配置有至少一个角色,角色的角色标识包括资源节点的节点标识,角色被配置为可访问对应资源节点所对应的资源的权限。
资源组织是一个存放资源的集合,是用户使用和管理资源的基本单位。资源组织的资源架构包括至少两个层级的资源节点,例如,可以是第一层级和第二层级,其中第一层级高于第二层级,第二层级也可以是该第一层级的下层分支;资源架构可以是线性结构,也可以是非线性结构,常见的线性结构有:数组、队列、链表和栈,常见的非线性结构有二维数组、多维数组、广义表、树结构和图结构。
各资源节点均被配置有至少一个角色,将权限标识和资源节点的节点标识绑定起来作为角色标识。对于任一用户账户来说,其可访问的最大资源范围为角色标识对应资源节点对应的资源。而且,角色标识对应的资源节点标识的层级越高,其可访问的资源范围越大。
在一个实施例中,管理员角色还被配置为可配置对应资源节点或直系下级资源节点的其他角色的权限。管理员角色对应的用户可以是平台开发者,参与角色对应的用户可以是该平台租户的开发者,观察角色可以是该平台租户的用户。
角色的设置满足最小特权原则、责任分离原则和数据抽象原则。其中,最小特权原则要求不能赋予用户多于其进行工作所需要的最小权限;责任分离原则要求确保一项任务可以调用多个责任上相互约束的角色;数据抽象原则是允许抽象的许可,而不只是读、写和执行许可。
S130、将角色标识在资源架构中对应的资源节点标识作为目标资源节点标识,在访问资源节点标识对应的资源节点为目标资源节点标识对应的资源节点的直系下级节点时,输出访问对象。
具体的,将角色标识在资源架构中对应的资源节点标识作为目标资源节点标识,该目标资源节点标识对应资源为该角色标识可访问的最大资源范围对应的资源节点标识;在目标资源节点标识对应的资源节点为该访问资源节点标识对应的资源节点的直系下级节点时,表明角色标识可访问的最大资源范围包括该访问对象对应资源节点标识所对应的资源范围,即表示当前角色标识拥有访问该访问对象的权限,因此输出访问对象。以此类推,在目标资源节点标识对应的资源节点不是访问资源节点标识对应的资源节点的直系下级节点时,表明该角色标识不具备访问该访问对象的权限,因此输出用于表示无权访问的提示信息。
在一个实施例中,对接收到的资源访问请求进行解析,以得到对应的访问对象、访问操作和用户账户对应的角色标识;将角色标识在资源架构中对应的资源节点标识作为目标资源节点标识,在该访问节点标识对应的资源节点为目标资源节点标识对应的资源节点的直系下级节点,同时角色标识拥有访问操作的权限时,输出访问对象。其中,访问操作为对访问对象执行的操作,例如查询、编辑或删除等操作。该实施例中,在确定是否输出访问对象时,先确定该访问资源节点标识对应的资源节点是否为目标资源节点标识对应的资源节点的直系下级节点,如果否,则说明访问对象位于该角色标识对应的角色的最大可访问资源范围之外,因此输出用于表示无权访问的提示信息;如果是,则确定该角色标识是否拥有该访问操作的权限,如果具有该访问操作的权限,则输出访问对象,反之,则输出用于表示无权访问的提示信息。
在一个具体的实施例中,一种资源管理服务器如图1B所示,该服务器包括租户管理系统、用户管理系统、角色管理系统、授权管理系统、资源组织管理系统和云资源管理系统。该资源管理服务器对应的技术组成包括应用层、核心层和数据层,分层用于将一个复杂的计算机网络分开管理,各个层执行对应的功能,便于管理和执行任务。
其中,租户管理系统用于管理在云平台上活动的多个租户并授予基本的系统功能操作权限,使得租户能够根据需要实现租户内部的资源管理、角色管理和用户管理。用户管理和角色管理主要是管理用户的用户信息和角色信息;除了用户和角色的增加、删除、修改和查找等操作,还包括用户角色分配操作;授权管理用于对角色进行权限设置和管理。资源管理用于管理租户的资源组织。云资源管理用于管理租户的资源。
其中,应用层用于自动判断用户为某一租户用户还是平台用户。若用户为平台用户,可以通过跨域授权判断该用户能否选择租户账户登录;若用户为平台租户的用户,则只能登录其所在租户账户。
权限认证用于对用户进入系统后能够访问的资源进行判定。控制策略是访问规则集合,用于控制用户在授权范围内访问资源,能有效防止信息泄露。
数据层用于存储数据,为了保证服务器数据不丢失,需要在数据写入时进行数据同步复制,将数据写入多台服务器上,实现数据备份。
本发明实施例提供的资源访问控制方法的技术方案,将角色标识对应的目标资源节点所对应的资源范围作为角色标识对应角色的最大可访问范围,通过确定访问对象对应的访问资源节点是否该目标资源节点的直系下级节点,确定访问对象是否位于该最大可访问范围内,以及是否输出访问对象,提高了角色的最大可访问资源范围的确定速度,从而提高了资源访问控制的灵活性。
图2是本发明实施例提供的另一种资源访问控制方法的流程图,本实施例与上述实施例中的资源访问控制方法属于同一个发明构思,在上述实施例的基础上增加了创建资源架构的步骤。
如图2所示,资源访问控制方法包括以下步骤:
S2001、在接收到资源架构创建请求的情况下,获取对应的架构信息。
架构信息用于确定该资源架构的架构,例如,可以包括该资源架构的层级、各层级包含的节点数、资源架构的总节点数以及各层级的分支数等参数的设置。
管理员通过终端发送资源架构的创建请求到资源管理服务器,资源管理服务器接收该请求,并对该请求进行解析以得到资源架构的层级、各层级包含的节点数、资源数的总节点数以及各层级的分支数等参数,然后根据解析得到的参数创建资源架构。
S2002、基于架构信息生成资源架构,以及资源架构的各资源节点对应的至少一个角色。
其中,该至少一个角色包括管理员角色、参与角色和观察角色中的一个或多个,管理员角色被配置为:对相应角色标识对应的资源拥有增加权限、删除权限、编辑权限和查询权限;参与角色被配置为:对相应角色标识对应资源拥有创建权限、编辑权限和查询权限;观察角色被配置为:对相应角色标识对应资源拥有只读权限。
可选的,资源架构的各资源节点还被配置有至少一个自定义角色,该自定义角色可由用户根据平台的需求自行配置其他所需角色,有助于提高资源管理的灵活性。
在一个实施例中,在资源架构的创建过程中,基于直系继承规则对资源架构中的各资源节点的标识命名。示例性的,对一个级的二叉树的树状资源架构进行标识命名,其中,根节点的标识为a,二级资源节点从左到右分别为a-aa、a-bb,三级资源节点从左到右分别为a-aa-aaa、a-aa-bbb、a-bb-aaa、a-bb-bbb。各资源节点对应的任一角色标识包括所在资源节点的资源节点标识。
S210、在检测到资源访问请求时,确定资源访问请求对应的访问对象、访问操作和用户账户对应的角色标识。
S220、将访问对象在资源架构中对应的资源节点标识,作为访问资源节点标识,其中,资源架构包括至少两个层级的资源节点,各资源节点均被配置有至少一个角色,角色的角色标识包括资源节点的节点标识,角色被配置为可访问对应资源节点所对应的资源的权限。
S230、将角色标识在资源架构中对应的资源节点标识作为目标资源节点标识,在该访问资源节点标识对应的资源节点为目标资源节点标识对应的资源节点的直系下级节点时,输出访问对象。
本发明实施例通过解析资源架构创建请求确定架构信息,根据架构信息创建资源架构以及资源架构的各资源节点对应的至少一个角色,以建立资源节点与对应角色的对应关系,即确定各角色所对应的可访问资源范围,提高了确定各角色可访问资源范围的效率。
图3是本发明实施例提供的又一种资源访问控制方法的流程图,本实施例与上述实施例中的资源访问控制方法属于同一个发明构思,在上述实施例的基础上增加了创建用户账户的步骤。相应的,资源访问控制方法的步骤包括:
S3001、在接收到用户账户创建请求时,获取用户的标识信息、角色标识以及对应的资源节点标识。
其中,账户创建请求基于用户在客户终端执行的用户创建操作生成。
标识信息包括用户身份标识信息与合法性验证信息,该合法性验证信息包括但不限于静态密码、动态密码、数字证书和/或指纹虹膜中的一种或多种。
在一个实施例中,用户在用户终端输出的账户注册页面输入注册信息,其中,该注册信息包括用户的标识信息、角色标识以及对应的资源节点标识;然后点击注册按钮,用户终端响应于该操作生成用户创建请求,并将该用户创建请求发送至资源管理服务器,资源管理服务器根据该用户创建请求从用户终端获取用户的标识信息、角色标识以及对应的资源节点标识。需要说明的是,用户账户创建时需要角色标识和资源节点标识。如果角色标识包括资源节点标识,那么注册信息无需包括资源节点标识,资源管理服务器获取到角色标识后,根据角色标识包括的资源节点标识自动确定该角色标识对应的资源节点;如果角色标识不包括资源节点标识,那么注册信息需包括角色标识和资源节点标识。
S3002、绑定用户的标识信息、角色标识和资源节点标识以生成用户账户,用户账户被配置为,对角色标识对应角色在资源架构中对应的资源节点所对应资源拥有目标权限,目标权限为角色标识被配置的设定权限。
绑定用户的标识信息、角色标识和资源节点标识,以建立用户的标识信息与角色标识、资源标识的对应关系。可以理解的是,该资源标识对应的资源范围为该角色标识的最大可访问资源范围。角色标识对应角色在资源架构中对应的资源节点所对应资源拥有目标权限,该目标权限为预先为该目标角色标识配置的设定权限。
通过建立用户的标识信息、角色标识与资源节点标识之间的绑定关系来创建用户账户,同时完成了用户的角色与最大可访问资源范围的绑定,提高了用户账户确定的速度和灵活性。
在一个实施例中,在检测到解绑请求的情况下,对解绑请求进行解析以得到用户的标识信息、角色标识和资源节点标识,并解除该用户的标识信息、角色标识与资源节点标识之间的对应关系。通过解除用户的标识信息与角色标识、资源节点标识之间的对应关系,来解绑用户角色,提高了用户角色解绑的速度和灵活性。
S310、在检测到资源访问请求时,确定资源访问请求对应的访问对象和用户账户对应的角色标识。
S320、将访问对象在资源架构中对应的资源节点标识作为访问资源节点标识,其中,资源架构包括至少两个层级的资源节点,各资源节点均被配置有至少一个角色,角色的角色标识包括资源节点的节点标识,角色被配置为可访问对应资源节点所对应的资源的权限。
S330、将角色标识在资源架构中对应的资源节点标识作为目标资源节点标识,在访问资源节点标识对应的资源节点为目标资源节点标识对应的资源节点的直系下级节点时,输出访问对象。
本实施例的技术方案,通过用户账户绑定用户的标识信息、资源标识与角色标识之间的对应关系,实现了用户的角色赋权,提高了角色配置的灵活性和资源访问控制的灵活性。
图4A是本发明实施例提供的一种资源访问控制装置的结构框图,本实施例可适用于云平台的资源访问控制场景。该装置可以采用硬件和/或软件的形式实现,集成于具有应用开发功能的服务器设备的处理器中。
如图4A所示,该资源访问控制装置包括:
访问请求接收模块410,用于在检测到资源访问请求时,确定资源访问请求对应的访问对象和用户账户对应的角色标识;
节点确定模块420,用于将访问对象在资源架构中对应的资源节点标识作为访问资源节点标识,其中,资源架构包括至少两个层级的资源节点,各资源节点均被配置有至少一个角色,角色的角色标识包括资源节点的节点标识,角色被配置为可访问对应资源节点所对应的资源的权限;
访问结果模块430,用于将角色标识在资源架构中对应的资源节点标识作为目标资源节点标识,在访问资源节点标识对应的资源节点为目标资源节点标识对应的资源节点的直系下级节点时,输出访问对象。
可选的,访问结果模块430还用于:
在访问资源节点标识对应的资源节点不是目标资源节点标识对应的资源节点的直系下级节点时,输出用于表示无权访问的提示信息。
可选的,如图4B所示,该装置包括资源架构创建模块440,该资源架构创建模块440用于:
在接收到资源架构创建请求的情况下,获取对应的架构信息;
基于架构信息生成资源架构,以及资源架构的各资源节点对应的至少一个角色。
可选的,如图4C所示,该装置还包括用户账户创建模块450,该用户账户创建模块450用于:
在接收到用户账户创建请求时,获取用户的标识信息、角色标识以及对应的资源节点标识;
绑定用户的标识信息、角色标识和资源节点标识以生成用户账户,用户账户被配置为,对角色标识对应角色在资源架构中对应的资源节点所对应资源拥有目标权限,目标权限为角色标识被配置的设定权限。
可选的,访问请求接收模块410用于在检测到资源访问请求时,确定资源访问请求对应的访问对象、访问操作和用户账户对应的角色标识;
可选的,访问结果模块430用于:将角色标识在资源架构中对应的资源节点标识作为目标资源节点标识,在访问资源节点标识对应的资源节点为目标资源节点标识对应的资源节点的直系下级节点,同时角色标识拥有访问操作的权限时,输出访问对象。
可选的,至少一个角色、参与角色、观察角色中的一个或多个,管理员角色被配置为:对相应角色标识对应的资源拥有增加权限、删除权限、编辑权限和查询权限;参与角色被配置为:对相应角色标识对应资源拥有创建权限、编辑权限和查询权限;所述观察角色被配置为:对相应角色标识对应资源拥有只读权限。
可选地,资源架构树的各节点还被配置有至少一个自定义角色。
本发明实施例提供的资源访问控制装置的技术方案,将角色标识对应的目标资源节点所对应的资源范围作为角色标识对应角色的最大可访问范围,通过确定访问对象对应的访问资源节点是否该目标资源节点的直系下级节点,确定访问对象是否位于该最大可访问范围内,以及是否输出访问对象,提高了角色的最大可访问资源范围的确定速度,从而提高了资源访问控制的灵活性。
本发明实施例所提供的资源访问控制装置可执行本发明任一实施例所提供的资源访问控制方法,具备执行方法相应的功能模块和有益效果。
图5是本发明的实施例提供的一种服务器设备的结构框图。服务器设备10旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机或其它适合的计算机。服务器设备10还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)或其它类似的计算装置。本文所示的部件、它们的连接关系以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图5示,服务器设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储服务器设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
服务器设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘或鼠标等;输出单元17,例如各种类型的显示器或扬声器等;存储单元18,例如磁盘或光盘等;以及通信单元19,例如网卡、调制解调器或无线通信收发机等。通信单元19允许服务器设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、任何适当的处理器、控制器或微控制器等。处理器11执行上文所描述的各个方法和处理,例如资源访问控制方法。
在一些实施例中,资源访问控制方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到服务器设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的资源访问控制方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行资源访问控制方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行或部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备或上述内容的任何合适组合。
为了提供与用户的交互,可以在服务器设备上实施此处描述的系统和技术,该服务器设备具有:用于向用户显示信息的显示装置(例如,CRT(Cathode Ray Tube,阴极射线管)或者LCD(Liquid Crystal Display,液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给服务器设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种资源访问控制方法,其特征在于,应用于资源管理服务器,包括:
在检测到资源访问请求时,确定所述资源访问请求对应的访问对象和用户账户对应的角色标识;
将所述访问对象在所述资源架构中对应的资源节点标识作为访问资源节点标识,其中,所述资源架构包括至少两个层级的资源节点,各所述资源节点均被配置有至少一个角色,所述角色的角色标识包括所述资源节点的节点标识,角色被配置为可访问对应资源节点所对应的资源的权限;
将所述角色标识在所述资源架构中对应的资源节点标识作为目标资源节点标识,在所述访问资源节点标识对应的资源节点为所述目标资源节点标识对应的资源节点的直系下级节点时,输出访问对象。
2.根据权利要求1所述的方法,其特征在于,还包括:
在所述访问资源节点标识对应的资源节点不是所述目标资源节点标识对应的资源节点的直系下级节点时,输出用于表示无权访问的提示信息。
3.根据权利要求1所述的方法,其特征在于,通过以下步骤生成所述资源架构,包括:
在接收到资源架构创建请求的情况下,获取对应的架构信息;
基于所述架构信息生成所述资源架构,以及所述资源架构的各资源节点对应的所述至少一个角色。
4.根据权利要求3所述的方法,其特征在于,还包括:
在接收到用户账户创建请求时,获取用户的标识信息、角色标识以及对应的资源节点标识;
绑定所述用户的标识信息、所述角色标识和资源节点标识以生成用户账户,所述用户账户被配置为,对所述角色标识对应角色在所述资源架构中对应的资源节点所对应资源拥有目标权限,所述目标权限为所述角色标识被配置的设定权限。
5.根据权利要求1所述的方法,其特征在于,所述在检测到资源访问请求时,确定所述资源访问请求对应的访问对象、用户账户对应的角色标识,包括:
在检测到资源访问请求时,确定所述资源访问请求对应的访问对象、访问操作和用户账户对应的角色标识;
所述在所述访问资源节点标识对应的资源节点为所述目标资源节点标识对应的资源节点的直系下级节点的情况下,输出访问对象,包括:
在所述访问资源节点标识对应的资源节点为所述目标资源节点标识对应的资源节点的直系下级节点,同时所述角色标识拥有所述访问操作的权限时,输出访问对象。
6.根据权利要求4所述的方法,其特征在于,所述至少一个角色包括管理员角色、参与角色、观察角色中的一个或多个,所述管理员角色被配置为:对相应角色标识对应的资源拥有增加权限、删除权限、编辑权限和查询权限;所述参与角色被配置为:对相应角色标识对应资源拥有创建权限、编辑权限和查询权限;所述观察角色被配置为:对相应角色标识对应资源拥有只读权限。
7.根据权利要求4所述的方法,其特征在于,所述资源架构树的各节点还被配置有至少一个自定义角色。
8.一种资源访问控制装置,其特征在于,应用于资源管理服务器,包括:
访问请求接收模块,用于在检测到资源访问请求时,确定所述资源访问请求对应的访问对象和用户账户对应的角色标识;
节点确定模块,用于将所述访问对象在所述资源架构中对应的资源节点标识作为访问资源节点标识,其中,所述资源架构包括至少两个层级的资源节点,各所述资源节点均被配置有至少一个角色,所述角色的角色标识包括所述资源节点的节点标识,角色被配置为可访问对应资源节点所对应的资源的权限;
访问结果模块,用于将所述角色标识在所述资源架构中对应的资源节点标识作为目标资源节点标识,在所述访问资源节点标识对应的资源节点为所述目标资源节点标识对应的资源节点的直系下级节点时,输出访问对象。
9.一种服务器设备,其特征在于,所述服务器设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的资源访问控制方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的资源访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211596623.0A CN115952516A (zh) | 2022-12-12 | 2022-12-12 | 资源访问控制方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211596623.0A CN115952516A (zh) | 2022-12-12 | 2022-12-12 | 资源访问控制方法、装置、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115952516A true CN115952516A (zh) | 2023-04-11 |
Family
ID=87296062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211596623.0A Pending CN115952516A (zh) | 2022-12-12 | 2022-12-12 | 资源访问控制方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115952516A (zh) |
-
2022
- 2022-12-12 CN CN202211596623.0A patent/CN115952516A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111488595A (zh) | 用于实现权限控制的方法及相关设备 | |
| JP5327220B2 (ja) | 管理プログラム、管理装置および管理方法 | |
| CN109889517B (zh) | 数据处理方法、权限数据集创建方法、装置及电子设备 | |
| CN112883390B (zh) | 一种权限控制方法、装置及存储介质 | |
| EP2586155A1 (en) | Authorization control | |
| CN101729541B (zh) | 多业务平台的资源访问方法及系统 | |
| CN113297550A (zh) | 权限控制的方法、装置、设备、存储介质及程序产品 | |
| CN107315950B (zh) | 一种云计算平台管理员权限最小化的自动化划分方法及访问控制方法 | |
| CN111062028B (zh) | 权限管理方法及装置、存储介质、电子设备 | |
| WO2020156135A1 (zh) | 一种访问控制策略的处理方法、装置及计算机可读存储介质 | |
| CN109669718A (zh) | 系统权限配置方法、装置、设备及存储介质 | |
| CN113239386A (zh) | Api权限控制方法及装置 | |
| CN115238247A (zh) | 基于零信任数据访问控制系统的数据处理方法 | |
| CN109657485B (zh) | 权限处理方法、装置、终端设备和存储介质 | |
| US8819231B2 (en) | Domain based management of partitions and resource groups | |
| CN113010897A (zh) | 云计算安全管理方法及其系统 | |
| CN111147496A (zh) | 数据处理方法及装置 | |
| Sette et al. | Authorization policy federation in heterogeneous multicloud environments | |
| CN115952516A (zh) | 资源访问控制方法、装置、设备和存储介质 | |
| CN116383804A (zh) | 一种权限管理方法、装置、设备、介质及程序产品 | |
| CN113542238B (zh) | 一种基于零信任的风险判定方法及系统 | |
| CN112417402B (zh) | 权限控制方法、权限控制装置、权限控制设备及存储介质 | |
| CN114386092A (zh) | 应用于半导体工艺设备的权限控制方法和半导体工艺设备 | |
| Xie et al. | Design and implement of spring security-based T-RBAC | |
| CN116340965A (zh) | 资源访问方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |