CN116049860B - 访问控制方法、装置、计算机设备及存储介质 - Google Patents
访问控制方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN116049860B CN116049860B CN202310204458.8A CN202310204458A CN116049860B CN 116049860 B CN116049860 B CN 116049860B CN 202310204458 A CN202310204458 A CN 202310204458A CN 116049860 B CN116049860 B CN 116049860B
- Authority
- CN
- China
- Prior art keywords
- access
- configuration data
- data
- access control
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及身份鉴权技术,提供了访问控制方法、装置、计算机设备及存储介质,包括构建与访问控制系统中配置中心平台的数据订阅关系;接收新增业务服务启动指令,基于数据订阅关系获取对应的权限定义配置数据;若确定权限定义配置数据通过合法性验证,将权限定义配置数据存储至对应的存储空间;接收访问请求,基于权限定义配置数据确定与访问请求对应的访问策略匹配;若确定访问策略匹配结果为匹配成功结果,则基于匹配成功结果将访问请求发送至对应的服务或微服务。本发明实施例实现了支持外部服务在分布式系统中声明访问策略后,随即即可按照所声明的策略控制所有面向该服务的访问,降低了各种服务接入分布式系统的开发成本。
Description
技术领域
本申请涉及分布式系统的身份鉴权技术领域,尤其涉及一种访问控制方法、装置、计算机设备及存储介质。
背景技术
大型的分布式系统中存在着复数多个服务或者微服务,为了完成复杂的业务功能,各服务之间频繁地进行交互与协作,主要通过访问网络API(API全称是ApplicationProgramming Interface,表示应用程序接口)的形式。
由于功能职责以及存储数据敏感性的差异,每个服务对来自外部的访问都有特定的控制策略,所以IAM(IAM全称是Identity and Access Management,表示身份与访问管理,其为计算机安全与数据管理领域中一种识别、认证和授权个人使用IT资源的安全机制)成为了分布式系统中必不可少的基础组件。当前主流的公有云平台都具备大同小异的IAM服务,但仅服务于平台自身提供的功能,不支持用户自定义权限,也无法控制用户部署的服务的API访问。
目前,大型的分布式系统中采用的是Casbin这一开源的访问控制框架,其权限管理机制支持多种内置的访问控制模型,也支持使用者自定义模型。如Casbin框架中包括以下为默认的访问控制策略模型之一,其主要包含请求格式定义、策略格式定义、策略生效规则以及请求匹配规则四个元素。其中sub指请求和策略的主体,可以是用户名或者角色名;obj指访问的目标对象,可以是资源的唯一标识符或者API路径;act表示访问时执行的具体动作,例如获取或者修改。
# Request definition
[request_definition]
r = sub, obj, act
# Policy definition
[policy_definition]
p = sub, obj, act
# Policy effect
[policy_effect]
e = some(where (p.eft == allow))
# Matchers
[matchers]
m = r.sub == p.sub&&r.obj == p.obj&&r.act == p.act
确定模型后,在代码中加载该模型配置,然后根据业务需求定义策略,例如指定的角色可以对指定的资源进行指定的操作,其中指定的资源可以为API,示例如下:
p: admin, /domain/:domain_id/user, get
在运行过程中,程序提取出收到的访问请求的API信息,使用Casbin提供的方法将其与策略进行匹配,未能匹配的即为非法请求,直接拒绝访问。
但是现有的分布式系统中主要控制平台自身的访问,不支持控制平台用户部署服务的访问。另一方面,如果用户想要基于平台的角色进行访问控制,只能在程序代码中识别访问者的角色,结合访问的目标接口进行具体判断,开发成本较高。
发明内容
本申请实施例提供了一种访问控制方法、装置、计算机设备及存储介质,旨在解决现有的分布式系统中主要控制平台自身服务的访问,不支持控制平台用户部署服务的访问的问题。
第一方面,本申请实施例提供了一种访问控制方法,应用于访问控制系统中的访问控制引擎,所述方法包括:
接收订阅关系构建指令,构建与所述访问控制系统中配置中心平台的数据订阅关系;
接收新增业务服务启动指令,基于所述数据订阅关系,获取与所述新增业务服务启动指令对应的权限定义配置数据;
若确定所述权限定义配置数据通过合法性验证,将所述权限定义配置数据存储至对应的存储空间;
接收访问请求,基于所述权限定义配置数据确定与所述访问请求对应的访问策略匹配;
若确定所述访问策略匹配结果为匹配成功结果,则基于所述匹配成功结果将所述访问请求发送至与所述新增业务服务启动指令对应的服务或微服务。
第二方面,本申请实施例提供了一种访问控制装置,配置于访问控制系统中的访问控制引擎;所述访问控制装置包括:
订阅关系构建单元,用于接收订阅关系构建指令,构建与所述访问控制系统中配置中心平台的数据订阅关系;
权限定义配置数据获取单元,用于接收新增业务服务启动指令,基于所述数据订阅关系,获取与所述新增业务服务启动指令对应的权限定义配置数据;
合法性验证单元,用于若确定所述权限定义配置数据通过合法性验证,将所述权限定义配置数据存储至对应的存储空间;
策略匹配单元,用于接收访问请求,基于所述权限定义配置数据确定与所述访问请求对应的访问策略匹配;
访问请求转发单元,用于若确定所述访问策略匹配结果为匹配成功结果,则基于所述匹配成功结果将所述访问请求发送至与所述新增业务服务启动指令对应的服务或微服务。
第三方面,本申请实施例又提供了一种计算机设备,其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的访问控制方法。
第四方面,本申请实施例还提供了一种计算机可读存储介质,其中所述计算机可读存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行上述第一方面所述的访问控制方法。
本申请实施例提供了一种访问控制方法、装置、计算机设备及存储介质,方法包括接收订阅关系构建指令,构建与访问控制系统中配置中心平台的数据订阅关系;接收新增业务服务启动指令,基于数据订阅关系,获取与新增业务服务启动指令对应的权限定义配置数据;若确定权限定义配置数据通过合法性验证,将权限定义配置数据存储至对应的存储空间;接收访问请求,基于权限定义配置数据确定与访问请求对应的访问策略匹配;若确定访问策略匹配结果为匹配成功结果,则基于匹配成功结果将访问请求发送至与新增业务服务启动指令对应的服务或微服务。本发明实施例实现了支持外部服务在分布式系统中声明访问策略后,随即即可按照所声明的策略控制所有面向该服务的访问,降低了各种服务接入分布式系统的开发成本。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的访问控制方法的流程示意图;
图2为本申请实施例提供的访问控制方法的子流程示意图;
图3为本申请实施例提供的分布式系统及访问控制装置的示意性框图;
图4为本申请实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和 “包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本申请说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1,图1为本申请实施例提供的访问控制方法的流程示意图,该访问控制方法应用于访问控制系统中的访问控制引擎,而访问控制系统又具体应用于分布式系统中,所述访问控制系统除了包括所述访问控制引擎,还包括配置中心平台以及API网关;所述分布式系统中还包括若干个服务或微服务,所述访问控制系统与分布式系统中的若干个服务或微服务均通讯连接。
如图1所示,该方法包括步骤S101~S105。
S101、接收订阅关系构建指令,构建与所述访问控制系统中配置中心平台的数据订阅关系。
在本实施例中,在分布式系统中,除了包括所述访问控制系统,还包括与所述访问控制系统中通讯连接的若干个服务或微服务。已经加入分布式系统中的服务或微服务,均在所述访问控制引擎中存储了对应声明的历史权限定义配置数据。若有新的服务或微服务加入分布式控制系统中,需要由该需新加入的服务或微服务向所述分布式系统中的配置中心平台发送新增业务服务启动指令以用于声明加入分布式系统。所述配置中心平台响应于新增业务服务启动指令,获取与所述新增业务服务启动指令对应的权限定义配置数据。其中,所述新增业务服务启动指令对应的服务或微服务为所述分布式系统中当前未存在的服务或微服务。
由于新加入的服务或微服务之前未在所述配置中心平台中存储过权限定义配置数据,故所述新增业务服务启动指令对应的服务或微服务视为在所述分布式系统中当前未存在的服务或微服务。相较于现有技术,如Casbin开源访问控制框架中所使用的身份与访问管理机制中是仅仅管理分布式系统中已存在服务或微服务的用户身份鉴权外,不能在分布式系统中新增服务或微服务,且不能通过身份与访问管理机制对新增服务或微服务进行用户身份鉴权。本申请中可以即时的在分布式系统中新增服务或微服务,并且后续可以完成声明后正常加入分布式系统。
由于所述配置中心平台中一旦有新的权限定义配置数据保存,则需要及时由所述访问控制引擎获取到,故为了实现权限定义配置数据及时的被所述访问控制引擎获取到,则可以预先构建所述访问控制引擎与所述配置中心平台的数据订阅关系。
在构建所述访问控制引擎与所述配置中心平台的数据订阅关系后,访问控制引擎可以实时监控所述配置中心平台中是否接收到新增的权限配置数据。可见,基于这一订阅关系,可以确保访问控制引擎无遗漏的获取到配置中心平台中新增的任何最新声明的权限配置数据。
S102、接收新增业务服务启动指令,基于所述数据订阅关系,获取与所述新增业务服务启动指令对应的权限定义配置数据。
在本实施例中,当在所述配置中心平台获取到新增的服务或微服务所声明的所述权限定义配置数据后,所述访问控制引擎需及时的从所述配置中心平台获取所述权限定义配置数据。即所述配置中心平台基于新增业务服务启动指令获取到新增的服务或微服务所声明的所述权限定义配置数据后,该新增业务服务启动指令也会被转发至访问控制引擎,访问控制引擎在接收到新增业务服务启动指令,也会基于访问控制引擎与配置中心平台的数据订阅关系,及时的从配置中心平台获取权限定义配置数据,从而完成访问控制引擎对新声明的权限定义配置数据的快速获取。
在一实施例中,所述权限定义配置数据为基于应用程序接口的权限定义配置数据;所述基于应用程序接口的权限定义配置数据中至少包括权限配置数据和角色配置数据;其中,所述权限配置数据用于被访问控制引擎加载解析后与所述访问请求的目标应用程序接口进行匹配,且所述权限配置数据包括服务属性数据、资源属性数据和动作属性数据;所述角色配置数据则是权限配置数据的集合体,将被访问控制系统的管理员按需授予给指定的访问者。
在本实施例中,访问控制系统中的所述配置中心平台中存在的权限定义配置数据均为基于应用程序接口的权限定义配置数据,即均为基于API的权限定义配置数据;其中,API的全称是Application Programming Interface,表示应用程序接口,是应用程序之间交换信息的共享边界,主要通过网络数据流的形式,且提供API的应用程序为服务提供方,使用API的应用程序为客户端。
更具体的,所述基于应用程序接口的权限定义配置数据采用yaml格式,如下:
service:
name: demo-provider
desc: demo服务或微服务
resources:
- name: users
verbs:
- name: get
description: 查看用户列表
api: /demo/apis/v1/domains/:domain_id/users
method: GET
roles:
- name: 管理员
description: demo服务或微服务中的管理员
permissions:
- demo-provider.*
在每一条如上述yaml格式的权限定义配置数据中,至少包括权限配置数据和角色配置数据;其中,所述权限配置数据用于被访问控制引擎加载解析后与所述访问请求的目标应用程序接口进行匹配,且所述权限配置数据包括服务属性数据、资源属性数据和动作属性数据(其中,动作属性数据包含API相关信息)。可见,新增的服务和微服务在分布式系统中以基于应用程序接口的权限定义配置数据的格式进行声明,并保存于配置中心平台中。
在一实施例中,所述步骤S102包括:
在感知确定所述配置中心平台存在新增的权限定义配置数据,且确定当前系统时间与所述权限定义配置数据的新增时间之间的时间间隔未超出预设更新时间阈值,则基于数据订阅关系获取所述权限定义配置数据。
在本实施例中,由于所述配置中心平台中一旦有新的权限定义配置数据保存,则需要及时由所述访问控制引擎获取到,故为了实现权限定义配置数据及时的被所述访问控制引擎获取到,则可以预先构建所述访问控制引擎与所述配置中心平台的数据订阅关系。
即配置中心平台需要具备订阅/通知能力,支持外部程序订阅指定配置。例如,当前主流的开源配置中心项目均支持此功能,如Etcd(Etcd是CoreOS基于Raft协议开发的分布式key-value存储,可用于服务发现、共享配置以及一致性保障)和Zookeeper(是一个分布式应用程序协调服务软件,即是一个开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件)等。所述访问控制引擎则可以基于数据订阅关系获取所述配置中心平台中的所述权限定义配置数据,从而实现所述访问控制引擎中权限定义配置数据的及时更新。
而且为了确保访问控制引擎是及时的从配置中心平台中获取所述权限定义配置数据,还需在感知确定所述配置中心平台存在新增的权限定义配置数据时,同时也判断当前系统时间与所述权限定义配置数据的新增时间之间的时间间隔是否超出预设更新时间阈值,如将更新时间阈值设置为0.5s等用户难以感知实时性且小于1s的短时时长。若访问控制引擎在感知确定所述配置中心平台存在新增的权限定义配置数据,且确定当前系统时间与所述权限定义配置数据的新增时间之间的时间间隔未超出预设更新时间阈值,则表示访问控制引擎可成功且及时从配置中心平台中获取所述权限定义配置数据,此时直接基于访问控制引擎对配置中心平台的数据订阅关系获取所述权限定义配置数据。
S103、若确定所述权限定义配置数据通过合法性验证,将所述权限定义配置数据存储至对应的存储空间。
在本实施例中,当访问控制引擎获取到所述权限定义配置数据后,还需对该权限定义配置数据是否满足合法性进行校验,即可以对所述权限定义配置数据进行解析并获取其中包括的具体配置数据,在确定了所述权限定义配置数据的具体配置数据均设置了具体取值且满足预设的取值条件,则可判定所述权限定义配置数据通过合法性验证。此时,为了使得权限定义配置数据用于后续一些访问请求的校验过程,需要将所述权限定义配置数据存储至访问控制引擎对应的存储空间,并对该存储空间设置数据在管理员权限下方可删除的设置,以实现新声明的权限定义配置数据的长时间安全保存。
在一实施例中,步骤S103包括:
若确定所述权限定义配置数据中权限配置数据和角色配置数据均为非空值,则判定所述权限定义配置数据通过合法性验证,将所述权限定义配置数据存储至对应的存储空间。
在本实施例中,仍参考所述权限定义配置数据中包括权限配置数据和角色配置数据的示例,若能同时确定权限配置数据和角色配置数据均为非空值,则可判定所述权限定义配置数据通过合法性验证。通过上述的判定方式,可以快速的在访问控制引擎实现对权限定义配置数据的合法性验证。
S104、接收访问请求,基于所述权限定义配置数据确定与所述访问请求对应的访问策略匹配。
在本实施例中,当新增的服务或微服务在访问控制系统中完成声明,且配置中心平台保存了对应的权限定义配置数据后,则检测是否有对应的访问端访问该新增的服务或微服务。由于API网关中未存储权限定义配置数据,故不直接进行访问策略匹配处理,而是由API网关作为转发鉴权组件以将所述访问请求发送至所述访问控制引擎。
由于所述访问控制引擎中已获取到新增的服务或微服务声明的所述权限定义配置数据,故当访问控制系统中的访问控制引擎接收到API网关转发的所述访问请求后,即可在访问控制引擎中基于所述权限定义配置数据确定与所述访问请求对应的访问策略匹配结果。其中,所确定的访问策略匹配结果包括匹配成功结果和匹配失败结果。可见,将访问控制引擎作为访问控制系统的核心处理单元,可以更加快速且准确的确定当前访问是否合法。
在一实施例中,在步骤S104之前,还包括:
若检测到有新增的授权访问端角色数据,将所述授权访问端角色数据保存。
在本实施例中,可以由分布式系统的管理员针对上述新增的服务或微服务进行访问者授权的操作,从而在所述访问控制引擎中增加授权访问者对应的授权访问端角色数据,并将所述授权访问端角色数据保存。所述授权访问端角色数据可以与访问控制引擎中已存储的权限定义配置数据共同作为上述新增的服务或微服务的鉴权数据基础,以更准确的实现用户访问控制。
而且,所述访问控制系统中所述API网关可预先响应于转发鉴权部署指令,部署与所述转发鉴权部署指令对应的转发鉴权组件;其中,所述转发鉴权组件为APISIX组件、Kong组件或OpenResty组件中的任意一种。
其中,API网关需要支持对请求进行转发鉴权处理,常见的主流开源API网关项目均支持此功能,如Kong组件、APISIX组件以及负载均衡项目中的OpenResty组件等均可。可见,基于API网关作为转发鉴权处理的功能单元,使得其作为分布式系统的统一入口及转发模块,无需兼顾其他鉴权判断处理过程。
在一实施例中,如图2所示,步骤S104包括:
S1041、获取与所述访问请求对应的当前访问端角色数据;
S1042、若确定授权访问端角色数据中存在有与所述当前访问端角色数据对应的目标授权访问端角色数据,且确定所述访问请求对应的访问策略与所述权限定义配置数据相匹配,则确定与所述访问请求对应的访问策略匹配结果为匹配成功结果;
S1043、若确定授权访问端角色数据中不存在有与所述当前访问端角色数据对应的目标授权访问端角色数据,或确定所述访问请求对应的访问策略与所述权限定义配置数据不匹配,则确定与所述访问请求对应的访问策略匹配结果为匹配失败结果。
在本实施例中,由于所述访问控制引擎已存储了管理员设置的授权访问端角色数据,故当有至少一个访问端发出访问请求并被所述访问控制引擎获取到时是由所述访问控制引擎进行角色是否合法且访问策略是否已事先声明的校验。具体的,若确定授权访问端角色数据中存在有与所述当前访问端角色数据对应的目标授权访问端角色数据,且确定所述访问请求对应的访问策略与所述权限定义配置数据相匹配,则确定与所述访问请求对应的访问策略匹配结果为匹配成功结果;若确定授权访问端角色数据中不存在有与所述当前访问端角色数据对应的目标授权访问端角色数据,或确定所述访问请求对应的访问策略与所述权限定义配置数据不匹配,则确定与所述访问请求对应的访问策略匹配结果为匹配失败结果。可见,基于访问控制引擎可以快速的进行访问请求的合法性判断。
S105、若确定所述访问策略匹配结果为匹配成功结果,则基于所述匹配成功结果将所述访问请求发送至与所述新增业务服务启动指令对应的服务或微服务。
在本实施例中,若在所述访问控制引擎中确定所述访问策略匹配结果为匹配成功结果,则表示访问端的访问请求是合法请求,此时将所述匹配成功结果发送至所述API网关,以通知API网关对访问端的访问放行。
当所述API网关接收到所述访问控制引擎发送的匹配成功结果后,则表示需要对访问端的访问请求放行,此时由所述API网关所述访问请求发送至与所述新增业务服务启动指令对应的服务或微服务。
在一实施例中,步骤S104之后还包括:
若确定所述访问策略匹配结果为匹配失败结果,将所述匹配失败结果发送至所述访问控制系统中API网关,以由所述API网关基于所述匹配失败结果生成拒绝访问信息并发送至发送所述访问请求的访问端。
在本实施例中,若在所述访问控制引擎中确定所述访问策略匹配结果为匹配失败结果,则表示访问端的访问请求是非法请求,由所述API网关基于所述匹配失败结果生成拒绝访问信息,以通知所述访问端无法成功访问分布式系统中的服务或微服务。
该方法实现了支持外部服务在分布式系统中声明访问策略后,随即即可按照所声明的策略控制所有面向该服务的访问,降低了各种服务接入分布式系统的开发成本。
本申请实施例还提供一种访问控制装置,该访问控制装置用于执行前述访问控制方法的任一实施例。具体地,请参阅图3,图3是本申请实施例提供的分布式系统和访问控制装置的示意性框图。
其中,如图3所示,分布式系统10中访问控制系统11包括访问控制装置110(即对应访问控制引擎)、配置中心平台120以及API网关130。所述分布式系统10中还包括若干个服务或微服务140,所述访问控制系统11与分布式系统中的若干个服务或微服务140均通讯连接。其中,所述访问控制装置110包括订阅关系构建单元111、权限定义配置数据获取单元112、合法性验证单元113、策略匹配单元114和访问请求转发单元115。
其中,订阅关系构建单元111,用于接收订阅关系构建指令,构建与所述访问控制系统中配置中心平台的数据订阅关系。
在本实施例中,在分布式系统中,除了包括所述访问控制系统,还包括与所述访问控制系统中通讯连接的若干个服务或微服务。已经加入分布式系统中的服务或微服务,均在所述访问控制引擎中存储了对应声明的历史权限定义配置数据。若有新的服务或微服务加入分布式控制系统中,需要由该需新加入的服务或微服务向所述分布式系统中的配置中心平台发送新增业务服务启动指令以用于声明加入分布式系统。所述配置中心平台响应于新增业务服务启动指令,获取与所述新增业务服务启动指令对应的权限定义配置数据。其中,所述新增业务服务启动指令对应的服务或微服务为所述分布式系统中当前未存在的服务或微服务。
由于新加入的服务或微服务之前未在所述配置中心平台中存储过权限定义配置数据,故所述新增业务服务启动指令对应的服务或微服务视为在所述分布式系统中当前未存在的服务或微服务。相较于现有技术,如Casbin开源访问控制框架中所使用的身份与访问管理机制中是仅仅管理分布式系统中已存在服务或微服务的用户身份鉴权外,不能在分布式系统中新增服务或微服务,且不能通过身份与访问管理机制对新增服务或微服务进行用户身份鉴权。本申请中可以即时的在分布式系统中新增服务或微服务,并且后续可以完成声明后正常加入分布式系统。
由于所述配置中心平台中一旦有新的权限定义配置数据保存,则需要及时由所述访问控制引擎获取到,故为了实现权限定义配置数据及时的被所述访问控制引擎获取到,则可以预先构建所述访问控制引擎与所述配置中心平台的数据订阅关系。
在构建所述访问控制引擎与所述配置中心平台的数据订阅关系后,访问控制引擎可以实时监控所述配置中心平台中是否接收到新增的权限配置数据。可见,基于这一订阅关系,可以确保访问控制引擎无遗漏的获取到配置中心平台中新增的任何最新声明的权限配置数据。
权限定义配置数据获取单元112,用于接收新增业务服务启动指令,基于所述数据订阅关系,获取与所述新增业务服务启动指令对应的权限定义配置数据。
在本实施例中,当在所述配置中心平台获取到新增的服务或微服务所声明的所述权限定义配置数据后,所述访问控制引擎需及时的从所述配置中心平台获取所述权限定义配置数据。即所述配置中心平台基于新增业务服务启动指令获取到新增的服务或微服务所声明的所述权限定义配置数据后,该新增业务服务启动指令也会被转发至访问控制引擎,访问控制引擎在接收到新增业务服务启动指令,也会基于访问控制引擎与配置中心平台的数据订阅关系,及时的从配置中心平台获取权限定义配置数据,从而完成访问控制引擎对新声明的权限定义配置数据的快速获取。
在一实施例中,所述权限定义配置数据为基于应用程序接口的权限定义配置数据;所述基于应用程序接口的权限定义配置数据中至少包括权限配置数据和角色配置数据;其中,所述权限配置数据用于被访问控制引擎加载解析后与所述访问请求的目标应用程序接口进行匹配,且所述权限配置数据包括服务属性数据、资源属性数据和动作属性数据;所述角色配置数据则是权限配置数据的集合体,将被访问控制系统的管理员按需授予给指定的访问者。
在本实施例中,访问控制系统中的所述配置中心平台中存在的权限定义配置数据均为基于应用程序接口的权限定义配置数据,即均为基于API的权限定义配置数据;其中,API的全称是Application Programming Interface,表示应用程序接口,是应用程序之间交换信息的共享边界,主要通过网络数据流的形式,且提供API的应用程序为服务提供方,使用API的应用程序为客户端。
更具体的,所述基于应用程序接口的权限定义配置数据采用yaml格式,每一条yaml格式的权限定义配置数据中,至少包括权限配置数据和角色配置数据;其中,所述权限配置数据用于被访问控制引擎加载解析后与所述访问请求的目标应用程序接口进行匹配,且所述权限配置数据包括服务属性数据、资源属性数据和动作属性数据(其中,动作属性数据包含API相关信息)。可见,新增的服务和微服务在分布式系统中以基于应用程序接口的权限定义配置数据的格式进行声明,并保存于配置中心平台中。
在一实施例中,所述权限定义配置数据获取单元112用于:
在感知确定所述配置中心平台存在新增的权限定义配置数据,且确定当前系统时间与所述权限定义配置数据的新增时间之间的时间间隔未超出预设更新时间阈值,则基于数据订阅关系获取所述权限定义配置数据。
在本实施例中,由于所述配置中心平台中一旦有新的权限定义配置数据保存,则需要及时由所述访问控制引擎获取到,故为了实现权限定义配置数据及时的被所述访问控制引擎获取到,则可以预先构建所述访问控制引擎与所述配置中心平台的数据订阅关系。
即配置中心平台需要具备订阅/通知能力,支持外部程序订阅指定配置。例如,当前主流的开源配置中心项目均支持此功能,如Etcd(Etcd是CoreOS基于Raft协议开发的分布式key-value存储,可用于服务发现、共享配置以及一致性保障)和Zookeeper(是一个分布式应用程序协调服务软件,即是一个开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件)等。所述访问控制引擎则可以基于数据订阅关系获取所述配置中心平台中的所述权限定义配置数据,从而实现所述访问控制引擎中权限定义配置数据的及时更新。
而且为了确保访问控制引擎是及时的从配置中心平台中获取所述权限定义配置数据,还需在感知确定所述配置中心平台存在新增的权限定义配置数据时,同时也判断当前系统时间与所述权限定义配置数据的新增时间之间的时间间隔是否超出预设更新时间阈值,如将更新时间阈值设置为0.5s等用户难以感知实时性且小于1s的短时时长。若访问控制引擎在感知确定所述配置中心平台存在新增的权限定义配置数据,且确定当前系统时间与所述权限定义配置数据的新增时间之间的时间间隔未超出预设更新时间阈值,则表示访问控制引擎可成功且及时从配置中心平台中获取所述权限定义配置数据,此时直接基于访问控制引擎对配置中心平台的数据订阅关系获取所述权限定义配置数据。
合法性验证单元113,用于若确定所述权限定义配置数据通过合法性验证,将所述权限定义配置数据存储至对应的存储空间。
在本实施例中,当访问控制引擎获取到所述权限定义配置数据后,还需对该权限定义配置数据是否满足合法性进行校验,即可以对所述权限定义配置数据进行解析并获取其中包括的具体配置数据,在确定了所述权限定义配置数据的具体配置数据均设置了具体取值且满足预设的取值条件,则可判定所述权限定义配置数据通过合法性验证。此时,为了使得权限定义配置数据用于后续一些访问请求的校验过程,需要将所述权限定义配置数据存储至访问控制引擎对应的存储空间,并对该存储空间设置数据在管理员权限下方可删除的设置,以实现新声明的权限定义配置数据的长时间安全保存。
在一实施例中,合法性验证单元113用于:
若确定所述权限定义配置数据中权限配置数据和角色配置数据均为非空值,则判定所述权限定义配置数据通过合法性验证,将所述权限定义配置数据存储至对应的存储空间。
在本实施例中,仍参考所述权限定义配置数据中包括权限配置数据和角色配置数据的示例,若能同时确定权限配置数据和角色配置数据均为非空值,则可判定所述权限定义配置数据通过合法性验证。通过上述的判定方式,可以快速的在访问控制引擎实现对权限定义配置数据的合法性验证。
策略匹配单元114,用于接收访问请求,基于所述权限定义配置数据确定与所述访问请求对应的访问策略匹配。
在本实施例中,当新增的服务或微服务在访问控制系统中完成声明,且配置中心平台保存了对应的权限定义配置数据后,则检测是否有对应的访问端访问该新增的服务或微服务。由于API网关中未存储权限定义配置数据,故不直接进行访问策略匹配处理,而是由API网关作为转发鉴权组件以将所述访问请求发送至所述访问控制引擎。
由于所述访问控制引擎中已获取到新增的服务或微服务声明的所述权限定义配置数据,故当访问控制系统中的访问控制引擎接收到API网关转发的所述访问请求后,即可在访问控制引擎中基于所述权限定义配置数据确定与所述访问请求对应的访问策略匹配结果。其中,所确定的访问策略匹配结果包括匹配成功结果和匹配失败结果。可见,将访问控制引擎作为访问控制系统的核心处理单元,可以更加快速且准确的确定当前访问是否合法。
在一实施例中,访问控制装置110还包括:
角色数据新增单元,用于若检测到有新增的授权访问端角色数据,将所述授权访问端角色数据保存。
在本实施例中,可以由分布式系统的管理员针对上述新增的服务或微服务进行访问者授权的操作,从而在所述访问控制引擎中增加授权访问者对应的授权访问端角色数据,并将所述授权访问端角色数据保存。所述授权访问端角色数据可以与访问控制引擎中已存储的权限定义配置数据共同作为上述新增的服务或微服务的鉴权数据基础,以更准确的实现用户访问控制。
而且,所述访问控制系统中所述API网关可预先响应于转发鉴权部署指令,部署与所述转发鉴权部署指令对应的转发鉴权组件;其中,所述转发鉴权组件为APISIX组件、Kong组件或OpenResty组件中的任意一种。
其中,API网关需要支持对请求进行转发鉴权处理,常见的主流开源API网关项目均支持此功能,如Kong组件、APISIX组件以及负载均衡项目中的OpenResty组件等均可。可见,基于API网关作为转发鉴权处理的功能单元,使得其作为分布式系统的统一入口及转发模块,无需兼顾其他鉴权判断处理过程。
在一实施例中,策略匹配单元114用于:
获取与所述访问请求对应的当前访问端角色数据;
若确定授权访问端角色数据中存在有与所述当前访问端角色数据对应的目标授权访问端角色数据,且确定所述访问请求对应的访问策略与所述权限定义配置数据相匹配,则确定与所述访问请求对应的访问策略匹配结果为匹配成功结果;
若确定授权访问端角色数据中不存在有与所述当前访问端角色数据对应的目标授权访问端角色数据,或确定所述访问请求对应的访问策略与所述权限定义配置数据不匹配,则确定与所述访问请求对应的访问策略匹配结果为匹配失败结果。
在本实施例中,由于所述访问控制引擎已存储了管理员设置的授权访问端角色数据,故当有至少一个访问端发出访问请求并被所述访问控制引擎获取到时是由所述访问控制引擎进行角色是否合法且访问策略是否已事先声明的校验。具体的,若确定授权访问端角色数据中存在有与所述当前访问端角色数据对应的目标授权访问端角色数据,且确定所述访问请求对应的访问策略与所述权限定义配置数据相匹配,则确定与所述访问请求对应的访问策略匹配结果为匹配成功结果;若确定授权访问端角色数据中不存在有与所述当前访问端角色数据对应的目标授权访问端角色数据,或确定所述访问请求对应的访问策略与所述权限定义配置数据不匹配,则确定与所述访问请求对应的访问策略匹配结果为匹配失败结果。可见,基于访问控制引擎可以快速的进行访问请求的合法性判断。
访问请求转发单元115,用于若确定所述访问策略匹配结果为匹配成功结果,则基于所述匹配成功结果将所述访问请求发送至与所述新增业务服务启动指令对应的服务或微服务。
在本实施例中,若在所述访问控制引擎中确定所述访问策略匹配结果为匹配成功结果,则表示访问端的访问请求是合法请求,此时将所述匹配成功结果发送至所述API网关,以通知API网关对访问端的访问放行。
当所述API网关接收到所述访问控制引擎发送的匹配成功结果后,则表示需要对访问端的访问请求放行,此时由所述API网关所述访问请求发送至与所述新增业务服务启动指令对应的服务或微服务。
在一实施例中,访问控制装置110还包括:
失败通知单元,用于若确定所述访问策略匹配结果为匹配失败结果,将所述匹配失败结果发送至所述访问控制系统中API网关,以由所述API网关基于所述匹配失败结果生成拒绝访问信息并发送至发送所述访问请求的访问端。
在本实施例中,若在所述访问控制引擎中确定所述访问策略匹配结果为匹配失败结果,则表示访问端的访问请求是非法请求,由所述API网关基于所述匹配失败结果生成拒绝访问信息,以通知所述访问端无法成功访问分布式系统中的服务或微服务。
该装置实现了支持外部服务在分布式系统中声明访问策略后,随即即可按照所声明的策略控制所有面向该服务的访问,降低了各种服务接入分布式系统的开发成本。
上述分布式系统的访问控制装置可以实现为计算机程序的形式,该计算机程序可以在如图4所示的计算机设备上运行。
请参阅图4,图4是本申请实施例提供的计算机设备的示意性框图。该计算机设备500是服务器,也可以是服务器集群。服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
参阅图4,该计算机设备500包括通过装置总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括存储介质503和内存储器504。
该存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032被执行时,可使得处理器502执行访问控制方法。
该处理器502用于提供计算和控制能力,支撑整个计算机设备500的运行。
该内存储器504为存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行访问控制方法。
该网络接口505用于进行网络通信,如提供数据信息的传输等。本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现本申请实施例公开的访问控制方法。
本领域技术人员可以理解,图4中示出的计算机设备的实施例并不构成对计算机设备具体构成的限定,在其他实施例中,计算机设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。例如,在一些实施例中,计算机设备可以仅包括存储器及处理器,在这样的实施例中,存储器及处理器的结构及功能与图4所示实施例一致,在此不再赘述。
应当理解,在本申请实施例中,处理器502可以是中央处理单元 (CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路 (Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列 (Field-Programmable Gate Array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
在本申请的另一实施例中提供计算机可读存储介质。该计算机可读存储介质可以为非易失性的计算机可读存储介质,也可以为易失性的计算机可读存储介质。该计算机可读存储介质存储有计算机程序,其中计算机程序被处理器执行时实现本申请实施例公开的访问控制方法。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的设备、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为逻辑功能划分,实际实现时可以有另外的划分方式,也可以将具有相同功能的单元集合成一个单元,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备 ( 可以是个人计算机,后台服务器,或者网络设备等 ) 执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U 盘、移动硬盘、只读存储器 (ROM,Read-OnlyMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种访问控制方法,应用于访问控制系统中的访问控制引擎,其特征在于,所述方法包括:
接收订阅关系构建指令,构建与所述访问控制系统中配置中心平台的数据订阅关系;
接收新增业务服务启动指令,基于所述数据订阅关系,获取与所述新增业务服务启动指令对应的权限定义配置数据;
若确定所述权限定义配置数据通过合法性验证,将所述权限定义配置数据存储至对应的存储空间;
接收访问请求,基于所述权限定义配置数据确定与所述访问请求对应的访问策略匹配;
若确定所述访问策略匹配结果为匹配成功结果,则基于所述匹配成功结果将所述访问请求发送至与所述新增业务服务启动指令对应的服务或微服务。
2.根据权利要求1所述的方法,其特征在于,所述基于所述数据订阅关系,获取与所述新增业务服务启动指令对应的权限定义配置数据,包括:
在感知确定所述配置中心平台存在新增的权限定义配置数据,且确定当前系统时间与所述权限定义配置数据的新增时间之间的时间间隔未超出预设更新时间阈值,则基于数据订阅关系获取所述权限定义配置数据。
3.根据权利要求2所述的方法,其特征在于,所述权限定义配置数据为基于应用程序接口的权限定义配置数据;所述基于应用程序接口的权限定义配置数据中至少包括权限配置数据和角色配置数据;其中,所述权限配置数据用于被所述访问控制引擎加载解析后与所述访问请求的目标应用程序接口进行匹配,且所述权限配置数据包括服务属性数据、资源属性数据和动作属性数据。
4.根据权利要求3所述的方法,其特征在于,所述若确定所述权限定义配置数据通过合法性验证,将所述权限定义配置数据存储至对应的存储空间,包括:
若确定所述权限定义配置数据中权限配置数据和角色配置数据均为非空值,则判定所述权限定义配置数据通过合法性验证,将所述权限定义配置数据存储至对应的存储空间。
5.根据权利要求1所述的方法,其特征在于,在所述接收新增业务服务启动指令,获取与所述新增业务服务启动指令对应的权限定义配置数据之后,在所述接收访问请求,基于所述权限定义配置数据确定与所述访问请求对应的访问策略匹配之前,所述方法还包括:
若检测到有新增的授权访问端角色数据,将所述授权访问端角色数据保存。
6.根据权利要求5所述的方法,其特征在于,所述基于所述权限定义配置数据确定与所述访问请求对应的访问策略匹配,包括:
获取与所述访问请求对应的当前访问端角色数据;
若确定授权访问端角色数据中存在有与所述当前访问端角色数据对应的目标授权访问端角色数据,且确定所述访问请求对应的访问策略与所述权限定义配置数据相匹配,则确定与所述访问请求对应的访问策略匹配结果为匹配成功结果;
若确定授权访问端角色数据中不存在有与所述当前访问端角色数据对应的目标授权访问端角色数据,或确定所述访问请求对应的访问策略与所述权限定义配置数据不匹配,则确定与所述访问请求对应的访问策略匹配结果为匹配失败结果。
7.根据权利要求6所述的方法,其特征在于,所述接收访问请求,基于所述权限定义配置数据确定与所述访问请求对应的访问策略匹配之后,所述方法还包括:
若确定所述访问策略匹配结果为匹配失败结果,将所述匹配失败结果发送至所述访问控制系统中API网关,以由所述API网关基于所述匹配失败结果生成拒绝访问信息并发送至发送所述访问请求的访问端。
8.一种访问控制装置,配置于访问控制系统中的访问控制引擎,其特征在于,所述访问控制装置包括:
订阅关系构建单元,用于接收订阅关系构建指令,构建与所述访问控制系统中配置中心平台的数据订阅关系;
权限定义配置数据获取单元,用于接收新增业务服务启动指令,基于所述数据订阅关系,获取与所述新增业务服务启动指令对应的权限定义配置数据;
合法性验证单元,用于若确定所述权限定义配置数据通过合法性验证,将所述权限定义配置数据存储至对应的存储空间;
策略匹配单元,用于接收访问请求,基于所述权限定义配置数据确定与所述访问请求对应的访问策略匹配;
访问请求转发单元,用于若确定所述访问策略匹配结果为匹配成功结果,则基于所述匹配成功结果将所述访问请求发送至与所述新增业务服务启动指令对应的服务或微服务。
9.一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的访问控制方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行如权利要求1至7任一项所述的访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310204458.8A CN116049860B (zh) | 2023-03-06 | 2023-03-06 | 访问控制方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310204458.8A CN116049860B (zh) | 2023-03-06 | 2023-03-06 | 访问控制方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116049860A CN116049860A (zh) | 2023-05-02 |
| CN116049860B true CN116049860B (zh) | 2023-06-02 |
Family
ID=86129662
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310204458.8A Active CN116049860B (zh) | 2023-03-06 | 2023-03-06 | 访问控制方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116049860B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039213A (zh) * | 2006-03-14 | 2007-09-19 | 华为技术有限公司 | 一种通信网络中对用户的接入访问进行控制的方法 |
| CN101321306A (zh) * | 2008-06-16 | 2008-12-10 | 华为技术有限公司 | 创建业务、部署业务的方法、装置 |
| WO2009074082A1 (fr) * | 2007-12-03 | 2009-06-18 | Huawei Technologies Co., Ltd. | Procédé, système et dispositif de contrôle d'accès |
| CN102622675A (zh) * | 2012-03-14 | 2012-08-01 | 浙江大学 | 一种实现集群式供应链环境下企业互操作的方法及系统 |
| CN108710528A (zh) * | 2018-05-09 | 2018-10-26 | 深圳安布斯网络科技有限公司 | 桌面云虚拟机的访问、控制方法、装置、设备及存储介质 |
| CN108965442A (zh) * | 2018-07-23 | 2018-12-07 | 珠海宏桥高科技有限公司 | 一种微服务架构服务分发系统及模式优化方法 |
| CN109948356A (zh) * | 2019-03-25 | 2019-06-28 | 江苏电力信息技术有限公司 | 一种基于微服务架构下服务调用权限控制方法 |
| CN110781476A (zh) * | 2019-10-15 | 2020-02-11 | 南京南瑞信息通信科技有限公司 | 一种柔性微服务安全访问控制方法及系统 |
| WO2021115231A1 (zh) * | 2019-12-10 | 2021-06-17 | 华为技术有限公司 | 一种鉴权方法和相关设备 |
| EP3937109A1 (en) * | 2020-07-06 | 2022-01-12 | Atos Global IT Solutions and Services Private Limited | Multichannel service delivery platform and method thereof |
| CN114363343A (zh) * | 2021-12-30 | 2022-04-15 | 上海浦东发展银行股份有限公司 | 基于微服务架构的请求数据处理方法、装置、计算机设备 |
| CN114385207A (zh) * | 2021-12-30 | 2022-04-22 | 上海浦东发展银行股份有限公司 | 基于微服务架构的应用发布方法、装置、计算机设备 |
| WO2022126968A1 (zh) * | 2020-12-15 | 2022-06-23 | 平安科技(深圳)有限公司 | 微服务访问方法、装置、设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230093868A1 (en) * | 2021-09-22 | 2023-03-30 | Ridgeline, Inc. | Mechanism for real-time identity resolution in a distributed system |
-
2023
- 2023-03-06 CN CN202310204458.8A patent/CN116049860B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039213A (zh) * | 2006-03-14 | 2007-09-19 | 华为技术有限公司 | 一种通信网络中对用户的接入访问进行控制的方法 |
| WO2009074082A1 (fr) * | 2007-12-03 | 2009-06-18 | Huawei Technologies Co., Ltd. | Procédé, système et dispositif de contrôle d'accès |
| CN101321306A (zh) * | 2008-06-16 | 2008-12-10 | 华为技术有限公司 | 创建业务、部署业务的方法、装置 |
| CN102622675A (zh) * | 2012-03-14 | 2012-08-01 | 浙江大学 | 一种实现集群式供应链环境下企业互操作的方法及系统 |
| CN108710528A (zh) * | 2018-05-09 | 2018-10-26 | 深圳安布斯网络科技有限公司 | 桌面云虚拟机的访问、控制方法、装置、设备及存储介质 |
| CN108965442A (zh) * | 2018-07-23 | 2018-12-07 | 珠海宏桥高科技有限公司 | 一种微服务架构服务分发系统及模式优化方法 |
| CN109948356A (zh) * | 2019-03-25 | 2019-06-28 | 江苏电力信息技术有限公司 | 一种基于微服务架构下服务调用权限控制方法 |
| CN110781476A (zh) * | 2019-10-15 | 2020-02-11 | 南京南瑞信息通信科技有限公司 | 一种柔性微服务安全访问控制方法及系统 |
| WO2021115231A1 (zh) * | 2019-12-10 | 2021-06-17 | 华为技术有限公司 | 一种鉴权方法和相关设备 |
| EP3937109A1 (en) * | 2020-07-06 | 2022-01-12 | Atos Global IT Solutions and Services Private Limited | Multichannel service delivery platform and method thereof |
| WO2022126968A1 (zh) * | 2020-12-15 | 2022-06-23 | 平安科技(深圳)有限公司 | 微服务访问方法、装置、设备及存储介质 |
| CN114363343A (zh) * | 2021-12-30 | 2022-04-15 | 上海浦东发展银行股份有限公司 | 基于微服务架构的请求数据处理方法、装置、计算机设备 |
| CN114385207A (zh) * | 2021-12-30 | 2022-04-22 | 上海浦东发展银行股份有限公司 | 基于微服务架构的应用发布方法、装置、计算机设备 |
Non-Patent Citations (4)
| Title |
|---|
| 基于ServiceComb的多语言微服务平台;赵昱;;计算机系统应用(第04期);第88-95页 * |
| 微服务应用系统迁移上云改造模型;马永;李明;曹弯弯;张弛;王靓;李婕;;计算机系统应用(第10期);第131-136页 * |
| 微服务框架的设计与实现;张晶;黄小锋;李春阳;;计算机系统应用(第06期);第261-264页 * |
| 面向云网融合的智能云原生架构和关键技术研究;陆钢;陈长怡;黄泽龙;黄泽源;;电信科学(第09期);第71-78页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116049860A (zh) | 2023-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| USRE49585E1 (en) | Certificate based profile confirmation | |
| US11489879B2 (en) | Method and apparatus for centralized policy programming and distributive policy enforcement | |
| US8763089B2 (en) | Flexible authentication and authorization mechanism | |
| US7793096B2 (en) | Network access protection | |
| EP2733909B1 (en) | Terminal control method and device, and terminal | |
| US9413778B1 (en) | Security policy creation in a computing environment | |
| US9871778B1 (en) | Secure authentication to provide mobile access to shared network resources | |
| CN111131176A (zh) | 资源访问控制方法、装置、设备及存储介质 | |
| US11983266B2 (en) | Systems and methods for event-based application control | |
| US9635017B2 (en) | Computer network security management system and method | |
| CN115664693A (zh) | 资源访问系统、方法、电子设备和存储介质 | |
| US8726335B2 (en) | Consigning authentication method | |
| US9467448B2 (en) | Consigning authentication method | |
| CN116049860B (zh) | 访问控制方法、装置、计算机设备及存储介质 | |
| CN113438242B (zh) | 服务鉴权方法、装置与存储介质 | |
| WO2016177051A1 (zh) | 安全认证的方法及装置 | |
| WO2019144522A1 (zh) | 身份信息的认证方法、装置、终端设备及介质 | |
| CN116467745A (zh) | 数据查询方法、装置、设备及存储介质 | |
| CN118118906A (zh) | 通信方法及通信装置 | |
| CN117353947A (zh) | 一种应用于网关服务的鉴权方法和系统 | |
| CN117811754A (zh) | 一种数据访问方法、装置、存储介质及设备 | |
| CN114444060A (zh) | 一种权限校验方法、装置、系统及存储介质 | |
| CN114707128A (zh) | 一种数据库访问方法、相关设备、存储介质及程序产品 | |
| CN114978583A (zh) | 一种工业物联智能虚拟专网系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |