CN116208367A - 一种访问权限控制方法、系统、装置、电子设备及介质 - Google Patents

一种访问权限控制方法、系统、装置、电子设备及介质 Download PDF

Info

Publication number
CN116208367A
CN116208367A CN202211691512.8A CN202211691512A CN116208367A CN 116208367 A CN116208367 A CN 116208367A CN 202211691512 A CN202211691512 A CN 202211691512A CN 116208367 A CN116208367 A CN 116208367A
Authority
CN
China
Prior art keywords
access type
access
login request
address
intranet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211691512.8A
Other languages
English (en)
Inventor
陈旭
陈志达
刘刚
李金铸
孙驰
朱建康
张元鑫
江伟志
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China National Aviation Fuel Co ltd
Original Assignee
China National Aviation Fuel Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China National Aviation Fuel Co ltd filed Critical China National Aviation Fuel Co ltd
Priority to CN202211691512.8A priority Critical patent/CN116208367A/zh
Publication of CN116208367A publication Critical patent/CN116208367A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供了一种访问权限控制方法、系统、装置、电子设备及介质,该方法包括:接收针对目标业务系统的登录请求,从登录请求中获取发送登录请求的客户端的IP地址,登录请求包括用户名;确定IP地址对应的访问类型,访问类型包括内网访问类型以及外网访问类型;将访问类型对应的访问类型标识附加在登录请求中,并转发给登录服务器;接收登录服务器返回的与访问类型以及用户名对应的功能权限列表,将功能权限列表发送至客户端,以完成访问权限控制。通过采用上述访问权限控制方法、系统、装置、电子设备及介质,解决了在进行访问权限控制时,开发成本高以及后续维护、调整成本高的问题。

Description

一种访问权限控制方法、系统、装置、电子设备及介质
技术领域
本申请涉及互联网技术领域,具体而言,涉及一种访问权限控制方法、系统、装置、电子设备及介质。
背景技术
权限控制是保证信息系统安全性的一种基本手段。在信息系统中,权限控制主要是根据用户登录的用户名、角色以及其状态,赋予或限制使用部分功能以及访问部分数据。在日常工作中,经常存在需要通过互联网访问公司内部系统的情况,但是出于安全考虑,一些功能或者重要、敏感的数据是不允许通过外网访问的,这就需要对这些功能和数据进行权限控制。现有技术中,通常是在基础平台层中基于IP白名单、黑名单等方式进行外网访问权限控制,该方式能够开放或拒绝对某些服务或地址的访问,而对访问内容范围的控制,则是在应用层完成的。而对于内外网访问权限的控制,要么禁止用户在外网访问,要么只能重新开发一个不同的服务,在不同的服务中做权限范围的限制,用户登录时,根据用户的IP地址路由到不同的服务来实现权限控制。
然而,现有的权限控制策略中,IP控制策略和用户名控制策略是在基础平台层与应用层中分别独立进行的,无法直接针对内外网进行功能权限控制,虽然通过开发独立服务能够实现内外网的功能权限控制,但这种方式实现过程复杂,需要重新开发新的登录服务,而且代码较为固化,造成后续维护和调整成本高的问题。
发明内容
有鉴于此,本申请的目的在于提供一种访问权限控制方法、系统、装置、电子设备及介质,以解决在进行访问权限控制时,开发成本高以及后续维护、调整成本高的问题。
第一方面,本申请实施例提供了一种访问权限控制方法,应用于接入服务器,包括:
接收针对目标业务系统的登录请求,从登录请求中获取发送登录请求的客户端的IP地址,登录请求包括用户名;
确定IP地址对应的访问类型,访问类型包括内网访问类型以及外网访问类型;
将访问类型对应的访问类型标识附加在登录请求中,并转发给登录服务器;
接收登录服务器返回的与访问类型以及用户名对应的功能权限列表,将功能权限列表发送至客户端,以完成访问权限控制。
可选地,确定IP地址对应的访问类型,包括:获取预设的内网地址列表,内网地址列表包括内网IP地址段;确定IP地址是否处于内网IP地址段中;若处于内网IP地址段中,确定IP地址为内网地址,访问类型为内网访问类型;若不处于内网IP地址段中,确定IP地址为外网地址,访问类型为外网访问类型。
可选地,将访问类型对应的访问类型标识附加在登录请求中,包括:若为内网访问类型,则将内网访问类型标识附加到登录请求的请求头中;若为外网访问类型,则将外网访问类型标识附加到登录请求的请求头中。
第二方面,本申请实施例还提供了一种访问权限控制系统,所述系统包括:客户端、接入服务器以及登录服务器;
客户端,用于向接入服务器发送登录请求;
接入服务器,用于执行上述的访问权限控制方法;
登录服务器,用于接收附加访问类型的登录请求,对登录请求进行验证,若登录请求通过验证,生成功能权限列表,将功能权限列表发送至客户端。
可选地,登录服务器用于通过以下处理生成功能权限列表:从功能权限表中获取与登录请求中的用户名相对应的初始功能权限列表;针对初始功能权限列表中的每个功能,确定该功能对应的允许访问类型;确定登录请求中的访问类型是否满足允许访问类型的要求;若满足允许访问类型的要求,将该功能纳入功能权限列表中。
可选地,允许访问类型包括允许内网访问类型、允许外网访问类型以及允许内外网访问类型;登录服务器用于通过以下处理确定登录请求中的访问类型是否满足允许访问类型的要求:若登录请求中的访问类型为内网访问类型,且允许访问类型为允许内网访问类型或者允许内外网访问类型,确定满足允许访问类型的要求;若登录请求中的访问类型为外网访问类型,且允许访问类型为允许外网访问类型或者允许内外网访问类型,确定满足允许访问类型的要求。
可选地,登录服务器还用于执行以下处理:响应于允许访问类型配置指令,确定每个功能对应的允许访问类型。
第三方面,本申请实施例还提供了一种访问权限控制装置,应用于接入服务器,所述装置包括:
地址获取模块,用于接收针对目标业务系统的登录请求,从登录请求中获取发送登录请求的客户端的IP地址,登录请求包括用户名;
访问类型确定模块,用于确定IP地址对应的访问类型,访问类型包括内网访问类型以及外网访问类型;
请求转发模块,用于将访问类型对应的访问类型标识附加在登录请求中,并转发给登录服务器;
列表发送模块,用于接收登录服务器返回的与访问类型以及用户名对应的功能权限列表,将功能权限列表发送至客户端,以完成访问权限控制。
第四方面,本申请实施例还提供一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如上述的访问权限控制方法的步骤。
第五方面,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如上述的访问权限控制方法的步骤。
本申请实施例带来了以下有益效果:
本申请实施例提供的一种访问权限控制方法、系统、装置、电子设备及介质,能够根据客户端的IP地址来确定该IP地址的访问类型,针对不同的访问类型确定不同的功能权限列表,以利用该功能权限列表进行访问权限控制,与现有技术中的访问权限控制方法相比,解决了在进行访问权限控制时,开发成本高以及后续维护、调整成本高的问题。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例所提供的访问权限控制方法的流程图;
图2示出了本申请实施例所提供的访问权限控制系统的结构示意图;
图3示出了本申请实施例所提供的访问权限控制装置的结构示意图;
图4示出了本申请实施例所提供的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的每个其他实施例,都属于本申请保护的范围。
值得注意的是,在本申请提出之前,权限控制是保证信息系统安全性的一种基本手段。在信息系统中,权限控制主要是根据用户登录的用户名、角色以及其状态,赋予或限制使用部分功能以及访问部分数据。在日常工作中,经常存在需要通过互联网访问公司内部系统的情况,但是出于安全考虑,一些功能或者重要、敏感的数据是不允许通过外网访问的,这就需要对这些功能和数据进行权限控制。现有技术中,通常是在基础平台层中基于IP白名单、黑名单等方式进行外网访问权限控制,该方式能够开放或拒绝对某些服务或地址的访问,而对访问内容范围的控制,则是在应用层完成的。而对于内外网访问权限的控制,要么禁止用户在外网访问,要么只能重新开发一个不同的服务,在不同的服务中做权限范围的限制,用户登录时,根据用户的IP地址路由到不同的服务来实现权限控制。然而,现有的权限控制策略中,IP控制策略和用户名控制策略是在基础平台层与应用层中分别独立进行的,无法直接针对内外网进行功能权限控制,虽然通过开发独立服务能够实现内外网的功能权限控制,但这种方式实现过程复杂,需要重新开发新的登录服务,而且代码较为固化,造成后续维护和调整成本高的问题。
基于此,本申请实施例提供了一种访问权限控制方法,以降低在进行访问权限控制时的开发成本以及后续维护、调整成本。
请参阅图1,图1为本申请实施例所提供的一种访问权限控制方法的流程图。如图1所示,本申请实施例提供的访问权限控制方法,应用于接入服务器,包括:
步骤S101,接收针对目标业务系统的登录请求,从登录请求中获取发送登录请求的客户端的IP地址。
该步骤中,目标业务系统可指目标用户登录的内部系统,示例性的,目标业务系统可以是航油公司的内部业务系统。
登录请求可指登录目标业务系统的请求,登录请求包括但不限于:用户名、登录密码、客户端的IP地址。
在本申请实施例中,目标用户通过客户端在内网或者外网输入目标业务系统的域名,经内网或者外网域名服务器解析后路由到内部的接入服务器,以显示目标业务系统对应的网站内容。目标用户在目标业务系统中输入用户名以及登录密码,点击登录按钮后发送登录请求,接入服务器接收该登录请求,并从登录请求中确定发起访问请求的客户端对应的IP地址。其中,内网指的是公司的内部网络,外网指的是外部网络。
步骤S102,确定IP地址对应的访问类型。
该步骤中,访问类型可指客户端的IP地址的类型,访问类型用于确定访问权限,访问类型包括内网访问类型以及外网访问类型。
在一可选实施例中,确定IP地址对应的访问类型,包括:获取预设的内网地址列表,内网地址列表包括内网IP地址段;确定IP地址是否处于内网IP地址段中;若处于内网IP地址段中,确定IP地址为内网地址,访问类型为内网访问类型;若不处于内网IP地址段中,确定IP地址为外网地址,访问类型为外网访问类型。
具体的,可预先设置一张内网地址列表,该内网地址列表中列举了公司内网所使用的全部IP地址段,即内网IP地址段,该内网IP地址段用于表征内网的IP地址范围,例如:192.0.0.0-192.0.0.255。
当接收到登录请求时,根据该登录请求中客户端IP地址确定该登录请求是内网地址还是外网地址。以上述示例为例,假设发送登录请求的客户端IP地址为192.0.0.116,则处于内网IP地址段中,说明是通过内网登录的,则确定该登录请求的访问类型为内网访问类型,否则确定该登录请求的访问类型为外网访问类型。
步骤S103,将访问类型对应的访问类型标识附加在登录请求中,并转发给登录服务器。
该步骤中,访问类型标识可指访问类型的唯一标识,访问类型标识用于区分访问类型。
访问类型包括内网访问类型以及外网访问类型。
示例性的,访问类型标识可以是数字,也可以是字符。
作为示例,内网访问类型为true,外网访问类型标识为false,或者,内网访问类型标识为1,外网访问类型标识为0。
在一可选实施例中,将访问类型对应的访问类型标识附加在登录请求中,包括:若为内网访问类型,则将内网访问类型标识附加到登录请求的请求头中;若为外网访问类型,则将外网访问类型标识附加到登录请求的请求头中。
具体的,如果确定发送访问请求的客户端IP地址为内网IP地址,则在登录请求的请求头中为访问类型赋值,例如:访问类型=true。如果确定发送访问请求的客户端IP地址为外网IP地址,则在登录请求的请求头中为访问类型赋值,例如:访问类型=false。
步骤S104,接收登录服务器返回的与访问类型以及用户名对应的功能权限列表,将功能权限列表发送至客户端,以完成访问权限控制。
该步骤中,功能权限列表可指可被目标用户所使用的功能的列表,功能权限列表用于确定目标用户的功能使用权限。
示例性的,可被使用的功能可以是查询飞机加油单、查询发票、查询订单等。
作为示例,功能权限列表包括功能标识、功能名称、功能描述、功能类型。
在本申请实施例中,登录服务器接收到附加有访问类型标识的登录请求后,首先对登录请求中的用户名、密码进行验证,如果验证通过,则从预先设置好的功能权限列表中查询是否存在与该用户名匹配的目标用户名,如果存在匹配的目标用户名,则将目标用户名对应的功能列表作为初始功能权限列表。
然后,针对初始功能权限列表中的每个功能,确定该功能对应的允许访问类型。其中,允许访问类型分为三种,分别是允许内网访问类型、允许外网访问类型以及允许内外网访问类型。如果登录请求中的访问类型标识为1,且某个功能的允许访问类型为允许内网访问类型,则表示允许目标用户使用该功能,并将该功能的功能标识、功能名称加入到功能权限列表中;如果登录请求中的访问类型标识为1,且某个功能的允许访问类型为允许外网访问类型,则表示不允许目标用户使用该功能,不会将该功能的功能标识、功能名称加入到功能权限列表中。如果某个功能的允许访问类型为允许内外网访问类型,则表示无论登录请求中的访问类型标识为1,还是0,目标用户均可以使用该功能,并将该功能的功能标识、功能名称加入到功能权限列表中。
最后,在用户名及密码验证通过的情况下,登录服务器将功能权限列表通过接入服务器发送至客户端,以在客户端显示目标用户可以使用的功能,并提示目标用户登录成功。
与现有技术中访问权限控制方法相比,本申请能够根据客户端的IP地址来确定该IP地址的访问类型,针对不同的访问类型确定不同的功能权限列表,以利用该功能权限列表进行访问权限控制,解决了在进行访问权限控制时,开发成本高以及后续维护、调整成本高的问题。
基于同一发明构思,本申请实施例中还提供了与访问权限控制方法对应的访问权限控制装置,由于本申请实施例中的装置解决问题的原理与本申请实施例上述访问权限控制方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
请参阅图2,图2为本申请实施例所提供的一种访问权限控制系统的结构示意图。如图2中所示,所述访问权限控制系统200包括:客户端210、接入服务器220以及登录服务器230;
客户端210,用于向接入服务器220发送登录请求;
接入服务器220,用于执行上述访问权限控制方法;
登录服务器230,用于接收附加访问类型的登录请求,对登录请求进行验证,若登录请求通过验证,生成功能权限列表,将功能权限列表发送至客户端210。
在本申请实施例中,客户端210与接入服务器220相连,接入服务器220与登录服务器230相连。当目标用户通过客户端210向接入服务器220发送针对目标业务系统的登录请求后,接入服务器220接收该登录请求,并从登录请求中获取客户端210对应的IP地址,然后,确定IP地址对应的访问类型;将访问类型对应的访问类型标识附加在登录请求的请求头中,并转发给登录服务器230。
登录服务器230接收到附加访问类型的登录请求后,对该登录请求进行验证,如果登录请求通过验证则从功能权限表中获取与登录请求中的用户名相对应的初始功能权限列表,并确定初始功能权限列表中的每个功能对应的允许访问类型,确定登录请求中的访问类型是否满足每个功能对应的允许访问类型的要求,如果访问类型满足某个功能的允许访问类型的要求,将该功能的功能标识、功能名称纳入到功能权限列表中,以生成与访问类型以及用户名对应的功能权限列表,并将功能权限列表发送至接入服务器220。
接入服务器220接收登录服务器230返回的与访问类型以及用户名对应的功能权限列表,将功能权限列表发送至客户端210,客户端210会根据该功能权限列表显示目标用户可以使用的功能,以完成访问权限控制。
在一可选实施例中,登录服务器230用于通过以下处理生成功能权限列表:从功能权限表中获取与登录请求中的用户名相对应的初始功能权限列表;针对初始功能权限列表中的每个功能,确定该功能对应的允许访问类型;确定登录请求中的访问类型是否满足允许访问类型的要求;若满足允许访问类型的要求,将该功能纳入功能权限列表中。
在一可选实施例中,允许访问类型包括允许内网访问类型、允许外网访问类型以及允许内外网访问类型;登录服务器230用于通过以下处理确定登录请求中的访问类型是否满足允许访问类型的要求:若登录请求中的访问类型为内网访问类型,且允许访问类型为允许内网访问类型或者允许内外网访问类型,确定满足允许访问类型的要求;若登录请求中的访问类型为外网访问类型,且允许访问类型为允许外网访问类型或者允许内外网访问类型,确定满足允许访问类型的要求。
在一可选实施例中,登录服务器230还用于执行以下处理:响应于允许访问类型配置指令,确定每个功能对应的允许访问类型。
具体的,针对所有功能可设置一张允许访问类型表,在该允许访问类型表中将功能标识作为索引,将每个功能对应的允许访问类型与功能标识相对应存储起来,用以确定每个功能对应的允许访问类型。
请参阅图3,图3为本申请实施例所提供的一种访问权限控制装置的结构示意图。如图3中所示,所述访问权限控制装置300应用于接入服务器,包括:
地址获取模块301,用于接收针对目标业务系统的登录请求,从登录请求中获取发送登录请求的客户端的IP地址,登录请求包括用户名;
访问类型确定模块302,用于确定IP地址对应的访问类型,访问类型包括内网访问类型以及外网访问类型;
请求转发模块303,用于将访问类型对应的访问类型标识附加在登录请求中,并转发给登录服务器;
列表发送模块304,用于接收登录服务器返回的与访问类型以及用户名对应的功能权限列表,将功能权限列表发送至客户端,以完成访问权限控制。
请参阅图4,图4为本申请实施例所提供的一种电子设备的结构示意图。如图4中所示,所述电子设备400包括处理器410、存储器420和总线430。
所述存储器420存储有所述处理器410可执行的机器可读指令,当电子设备400运行时,所述处理器410与所述存储器420之间通过总线430通信,所述机器可读指令被所述处理器410执行时,可以执行如上述图1所示方法实施例中的访问权限控制方法的步骤,具体实现方式可参见方法实施例,在此不再赘述。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时可以执行如上述图1所示方法实施例中的访问权限控制方法的步骤,具体实现方式可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种访问权限控制方法,其特征在于,应用于接入服务器,包括:
接收针对目标业务系统的登录请求,从所述登录请求中获取发送所述登录请求的客户端的IP地址,所述登录请求包括用户名;
确定所述IP地址对应的访问类型,所述访问类型包括内网访问类型以及外网访问类型;
将所述访问类型对应的访问类型标识附加在所述登录请求中,并转发给登录服务器;
接收所述登录服务器返回的与所述访问类型以及所述用户名对应的功能权限列表,将所述功能权限列表发送至客户端,以完成访问权限控制。
2.根据权利要求1所述的方法,其特征在于,所述确定所述IP地址对应的访问类型,包括:
获取预设的内网地址列表,所述内网地址列表包括内网IP地址段;
确定所述IP地址是否处于所述内网IP地址段中;
若处于所述内网IP地址段中,确定所述IP地址为内网地址,访问类型为内网访问类型;
若不处于所述内网IP地址段中,确定所述IP地址为外网地址,访问类型为外网访问类型。
3.根据权利要求1所述的方法,其特征在于,所述将所述访问类型对应的访问类型标识附加在所述登录请求中,包括:
若为内网访问类型,则将内网访问类型标识附加到所述登录请求的请求头中;
若为外网访问类型,则将外网访问类型标识附加到所述登录请求的请求头中。
4.一种访问权限控制系统,其特征在于,所述系统包括:客户端、接入服务器以及登录服务器;
所述客户端,用于向所述接入服务器发送登录请求;
所述接入服务器,用于执行上述权利要求1至3中任一项所述的访问权限控制方法;
所述登录服务器,用于接收附加访问类型的登录请求,对所述登录请求进行验证,若所述登录请求通过验证,生成功能权限列表,将所述功能权限列表发送至客户端。
5.根据权利要求4所述的系统,其特征在于,所述登录服务器用于通过以下处理生成功能权限列表:
从功能权限表中获取与所述登录请求中的用户名相对应的初始功能权限列表;
针对所述初始功能权限列表中的每个功能,确定该功能对应的允许访问类型;
确定所述登录请求中的访问类型是否满足允许访问类型的要求;
若满足允许访问类型的要求,将该功能纳入功能权限列表中。
6.根据权利要求5所述的系统,其特征在于,所述允许访问类型包括允许内网访问类型、允许外网访问类型以及允许内外网访问类型;
所述登录服务器用于通过以下处理确定所述登录请求中的访问类型是否满足允许访问类型的要求:
若所述登录请求中的访问类型为内网访问类型,且允许访问类型为允许内网访问类型或者允许内外网访问类型,确定满足允许访问类型的要求;
若所述登录请求中的访问类型为外网访问类型,且允许访问类型为允许外网访问类型或者允许内外网访问类型,确定满足允许访问类型的要求。
7.根据权利要求4所述的系统,其特征在于,所述登录服务器还用于执行以下处理:
响应于允许访问类型配置指令,确定每个功能对应的允许访问类型。
8.一种访问权限控制装置,其特征在于,应用于接入服务器,包括:
地址获取模块,用于接收针对目标业务系统的登录请求,从所述登录请求中获取发送所述登录请求的客户端的IP地址,所述登录请求包括用户名;
访问类型确定模块,用于确定所述IP地址对应的访问类型,所述访问类型包括内网访问类型以及外网访问类型;
请求转发模块,用于将所述访问类型对应的访问类型标识附加在所述登录请求中,并转发给登录服务器;
列表发送模块,用于接收所述登录服务器返回的与所述访问类型以及所述用户名对应的功能权限列表,将所述功能权限列表发送至客户端,以完成访问权限控制。
9.一种电子设备,其特征在于,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述机器可读指令,以执行如权利要求1至3中任一项所述的访问权限控制方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1至3中任一项所述的访问权限控制方法的步骤。
CN202211691512.8A 2022-12-27 2022-12-27 一种访问权限控制方法、系统、装置、电子设备及介质 Pending CN116208367A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211691512.8A CN116208367A (zh) 2022-12-27 2022-12-27 一种访问权限控制方法、系统、装置、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211691512.8A CN116208367A (zh) 2022-12-27 2022-12-27 一种访问权限控制方法、系统、装置、电子设备及介质

Publications (1)

Publication Number Publication Date
CN116208367A true CN116208367A (zh) 2023-06-02

Family

ID=86512053

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211691512.8A Pending CN116208367A (zh) 2022-12-27 2022-12-27 一种访问权限控制方法、系统、装置、电子设备及介质

Country Status (1)

Country Link
CN (1) CN116208367A (zh)

Similar Documents

Publication Publication Date Title
US10754826B2 (en) Techniques for securely sharing files from a cloud storage
CN107172054B (zh) 一种基于cas的权限认证方法、装置及系统
CN112597472B (zh) 单点登录方法、装置及存储介质
CN105007280B (zh) 一种应用登录方法和装置
JP5704518B2 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
US8881248B2 (en) Service provider access
US8032930B2 (en) Segregating anonymous access to dynamic content on a web server, with cached logons
US8341249B2 (en) Synchronizing configuration information among multiple clients
CN108111473B (zh) 混合云统一管理方法、装置和系统
CN106302308B (zh) 一种信任登录方法和装置
CN106096343A (zh) 消息访问控制方法及设备
CN105141605B (zh) 会话方法、网站服务器及浏览器
US10148637B2 (en) Secure authentication to provide mobile access to shared network resources
CN106034104A (zh) 用于网络应用访问的验证方法、装置和系统
CN109088909B (zh) 一种基于商户类型的服务灰度发布方法及设备
CN105939326A (zh) 处理报文的方法及装置
WO2010138910A1 (en) Secure collaborative environment
CN113132402B (zh) 单点登录方法和系统
CN105897663A (zh) 一种确定访问权限的方法、装置及设备
JP2011076377A (ja) 端末装置及び端末装置におけるアクセス制御ポリシー取得方法
CN105162763B (zh) 通讯数据的处理方法和装置
CN108737398B (zh) 信托系统的处理方法、装置、计算机设备及存储介质
US11784994B2 (en) Management device, management system, and non-transitory computer readable medium
WO2011162079A1 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
CN108009439A (zh) 资源请求的方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination