CN116257824A - 一种越权校验方法、装置及电子设备 - Google Patents

一种越权校验方法、装置及电子设备 Download PDF

Info

Publication number
CN116257824A
CN116257824A CN202310144698.3A CN202310144698A CN116257824A CN 116257824 A CN116257824 A CN 116257824A CN 202310144698 A CN202310144698 A CN 202310144698A CN 116257824 A CN116257824 A CN 116257824A
Authority
CN
China
Prior art keywords
override
access request
service access
logic
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310144698.3A
Other languages
English (en)
Inventor
刘海舟
李旭东
陈星宇
肖亚男
李彦臻
钱姝贝
王婷婷
李锐
刘啸原
田冲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
General Technology Group Digital Intelligent Technology Co ltd
Original Assignee
General Technology Group Digital Intelligent Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by General Technology Group Digital Intelligent Technology Co ltd filed Critical General Technology Group Digital Intelligent Technology Co ltd
Priority to CN202310144698.3A priority Critical patent/CN116257824A/zh
Publication of CN116257824A publication Critical patent/CN116257824A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请的实施例提供了一种越权校验方法,所述方法包括:响应于用户的业务访问请求,获取所述用户的身份信息以及所述业务访问请求的请求参数;基于所述请求参数确定与所述业务访问请求对应的目标业务接口,以及与所述目标业务接口关联的越权注解;基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的越权校验逻辑,并通过所述越权校验逻辑对所述业务访问请求进行越权校验。本申请实施例的技术方案能提高对越权操作进行校验的便捷性,同时提高越权校验逻辑代码的通用性。

Description

一种越权校验方法、装置及电子设备
技术领域
本申请涉及数据处理技术领域,具体而言,涉及一种越权校验方法、装置、存储介质及电子设备。
背景技术
目前在网页web应用程序中常出现的越权漏洞,会对代码产生严重的入侵。越权漏洞包括纵向越权(垂直越权)和横向越权(水平越权)。其中,纵向越权是指本来不能访问此功能的用户,通过特殊后端绕过前端验证直接访问;横向越权是指访问此功能的用户,看到了他所属范围之外的数据。目前,为了克服越权漏洞,通常会把越权校验逻辑直接编写在业务代码中,这种操作虽然简单便捷,但如果没有做好Code Review很可能会忘记编写越权校验逻辑,且每一个业务接口都需要编写相同的越权校验逻辑,另外,当业务场景发生变化时,相应的也需要修改越权校验逻辑代码,使得通用性差。基于此,如何提高对越权操作进行校验的便捷性,同时提高越权校验逻辑代码的通用性是亟待解决的技术问题。
发明内容
本申请的实施例提供了一种越权校验方法、装置、存储介质及电子设备,进而在一定程度上能够提高对越权操作进行校验的便捷性,同时提高越权校验逻辑代码的通用性。
本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
根据本申请实施例的第一方面,提供了一种越权校验方法,所述方法包括:响应于用户的业务访问请求,获取所述用户的身份信息以及所述业务访问请求的请求参数;基于所述请求参数确定与所述业务访问请求对应的目标业务接口,以及与所述目标业务接口关联的越权注解;基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的越权校验逻辑,并通过所述越权校验逻辑对所述业务访问请求进行越权校验。
在本申请的一些实施例中,基于前述方案,所述越权注解包括纵向越权注解和横向越权注解,所述基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的越权校验逻辑,包括:基于所述纵向越权注解从预先配置的切面层中确定对所述业务访问请求的纵向越权校验逻辑;如果所述业务访问请求通过所述纵向越权校验逻辑的纵向越权校验,则基于所述横向越权注解从所述预先配置的切面层中确定对所述业务访问请求的横向越权校验逻辑。
在本申请的一些实施例中,基于前述方案,所述纵向越权校验逻辑用于校验所述用户的身份信息是否具备对所述目标业务接口的访问权限。
在本申请的一些实施例中,基于前述方案,所述基于所述横向越权注解从所述预先配置的切面层中确定对所述业务访问请求的横向越权校验逻辑,包括:基于所述横向越权注解确定所述目标业务接口的方法名和参数列;基于所述方法名和所述参数列从预先配置的切面层中确定对所述业务访问请求的横向越权校验逻辑。
在本申请的一些实施例中,基于前述方案,在获取所述用户的身份信息以及所述业务访问请求的请求参数之前,所述方法还包括:获取预先配置的越权校验逻辑包,所述越权校验逻辑包包括与多个业务接口对应的越权校验逻辑;从所述越权校验逻辑包中选定并调整与所述目标业务接口对应的越权校验逻辑;为所述目标业务接口配置关联的越权注解,以将所述越权注解与所述目标业务接口对应的越权校验逻辑关联。
在本申请的一些实施例中,基于前述方案,如果未确定到与所述目标业务接口关联的越权注解,则基于所述目标业务接口的校验逻辑接口确定对所述业务访问请求的越权校验逻辑,并通过所述越权校验逻辑对所述业务访问请求进行越权校验。
在本申请的一些实施例中,基于前述方案,在所述基于所述越权校验逻辑对所述业务访问请求进行越权校验之后,所述方法还包括:若所述业务访问请求通过越权校验,则执行与所述目标业务接口对应的目标业务;若所述业务访问请求未通过越权校验,则向所述用户发送提示信息,所述提示信息用于提示所述用户对所述目标业务不具备访问权限。
根据本申请实施例的第二方面,提供了一种越权校验装置,所述装置包括:响应单元,用于响应于用户的业务访问请求,获取所述用户的身份信息以及所述业务访问请求的请求参数;确定单元,用于基于所述请求参数确定与所述业务访问请求对应的目标业务接口,以及与所述目标业务接口关联的越权注解;校验单元,用于基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的越权校验逻辑,并通过所述越权校验逻辑对所述业务访问请求进行越权校验。
根据本申请实施例的第三方面,提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条程序代码,所述至少一条程序代码由处理器加载并执行以实现如上述第一方面任一项所述的方法所执行的操作。
根据本申请实施例的第四方面,提供了一种电子设备,包括一个或多个处理器和一个或多个存储器,所述一个或多个存储器中存储有至少一条程序代码,所述至少一条程序代码由所述一个或多个处理器加载并执行以实现如上述第一方面任一项所述的方法所执行的操作。
本申请的技术方案,当服务端接收到终端设备发送的业务访问请求,会获取发起业务访问请求的用户的身份信息,以及所述业务访问请求的请求参数;再基于所述请求参数确定与所述业务访问请求对应的目标业务接口,以及与所述目标业务接口关联的越权注解;最后,基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的越权校验逻辑,并通过所述越权校验逻辑对所述业务访问请求进行越权校验。可见,在本申请的技术方案中无需在每一个业务接口处编写越权校验逻辑,而是将对业务访问请求的越权校验逻辑统一编写入切面层,使得只需为每个业务接口配置关联的越权注解即能确定到对业务访问请求的越权校验逻辑,在一定程度上减少了编写越权校验逻辑的繁琐性,提高了对越权操作进行校验的便捷性,也能避免因遗漏编写越权校验逻辑而造成的信息泄露情况的发生,另外,因越权校验逻辑被统一编写在切面层,使得本申请提供的越权校验逻辑代码能适应于多种不同的业务场景,通用性强。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1示出了根据本申请一个实施例的越权校验方法的流程图;
图2示出了根据本申请一个实施例的基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的越权校验逻辑的细节流程图;
图3示出了根据本申请一个实施例的越权校验装置的框图;
图4示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本申请将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
需要说明的是:在本文中提及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
需要注意的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的对象在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在图示或描述的那些以外的顺序实施。
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面将结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
参见图1,示出了根据本申请一个实施例的越权校验方法的流程图,具体包括步骤110至步骤130。
步骤110,响应于用户的业务访问请求,获取所述用户的身份信息以及所述业务访问请求的请求参数。
可以理解,所述用户的身份信息包括但不限于用户的账号信息,用户账号对应的权限信息等等。所述请求参数用于描述用户的业务访问请求的相关内容,比如,请求对A账号的用户信息进查询操作,请求对A账号的用户信息进行删除操作,请求对A账号的用户信息进行编辑操作等等。
在一些实施方式中,当用户在终端设备中触发了业务访问请求时,服务端会接收到从终端设备发送的业务访问请求,同时获取发起所述业务访问请求的用户的身份信息,以及所述业务访问请求的请求内容。
步骤120,基于所述请求参数确定与所述业务访问请求对应的目标业务接口,以及与所述目标业务接口关联的越权注解。
在一些实施方式中,所述越权注解包括纵向越权注解(@CheckFunction)和横向越权注解(@CheckDataRange)。
步骤130,基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的越权校验逻辑,并通过所述越权校验逻辑对所述业务访问请求进行越权校验。
在一些实施方式中,所述基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的越权校验逻辑可以按照如图2所示的方法执行。
参见图2,示出了根据本申请一个实施例的基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的越权校验逻辑的细节流程图,具体包括步骤131至步骤132。
步骤131,基于所述纵向越权注解从预先配置的切面层中确定对所述业务访问请求的纵向越权校验逻辑。
在一些实施方式中,所述纵向越权校验逻辑用于校验所述用户的身份信息是否具备对所述目标业务接口的访问权限。
可以理解,通过所述纵向越权注解能通过索引得到对所述业务访问请求的纵向越权校验逻辑,并且将所述用户的身份信息传递至所述纵向越权校验逻辑,从而能实现对所述业务访问请求进行纵向越权校验。
需要说明的是,所述切面层为切面AOP,在所述切面层中只设置一种纵向越权校验逻辑(即一套纵向越权校验代码),对于不同用户对同一业务发起业务访问请求,或者对于同一用户对不同业务发起的业务访问请求均利用相同的纵向越权校验逻辑对业务访问请求进行纵向越权校验。
继续参见图2,步骤132,如果所述业务访问请求通过所述纵向越权校验逻辑的纵向越权校验,则基于所述横向越权注解从所述预先配置的切面层中确定对所述业务访问请求的横向越权校验逻辑。
在一些实施方式中,如果所述业务访问请求没有通过所述纵向越权校验逻辑的纵向越权校验,则所述用户的业务访问请求被拒绝。示例性的,假设所述用户的身份信息为普通用户,当通过所述纵向越权校验逻辑确定到所述用户的业务访问请求为访问管理员的操作权限,则所述用户的业务访问请求被拒绝。
在一些实施方式中,所述基于所述横向越权注解从所述预先配置的切面层中确定对所述业务访问请求的横向越权校验逻辑的可以按照如下步骤1321至步骤1322来执行。
步骤1321,基于所述横向越权注解确定所述目标业务接口的方法名和参数列。
在一些实施方式中,可以将所述目标业务接口对应的方法名和参数列编写入所述目标业务接口对应的横向越权注解中。
需要说明的是,因为不同业务接口的横向越权校验逻辑不同,因此需要设置方法名和参数列以便于精准的确定业务接口对应的纵向越权校验逻辑。所述方法名用于描述所述目标业务接口所属的业务模块,所述参数列用于描述所述目标业务接口对应的业务内容。示例性的,业务部门模块,人事部门模块,以及研发部门模块等可以作为方法名;员工信息查看,员工信息编辑,员工岗位调整等可以作为参数列。
步骤1322,基于所述方法名和所述参数列从预先配置的切面层中确定对所述业务访问请求的横向越权校验逻辑。
可以理解,通过所述方法名和所述参数列就能索引到配置在切面层中与所述方法名和所述参数列对应的横向越权校验逻辑,从而基于所述用户的身份信息确定所述用户访问的业务是否能被所述用户控制。对于不同的业务场景,只需要对方法名和参数列做出适应性调整,就能对所属的业务场景进行横向越权校验。
在一些实施方式中,在所述获取所述用户的身份信息以及所述业务访问请求的请求参数之前,所述方法还包括如下步骤1至步骤3。
步骤1,获取预先配置的越权校验逻辑包,所述越权校验逻辑包包括与多个业务接口对应的越权校验逻辑。
在一些实施方式中,所述越权校验逻辑包可以是防止越权的Jar包。且,所述越权校验逻辑包中包括纵向越权校验逻辑和横向越权校验逻辑。
步骤2,从所述越权校验逻辑包中选定并调整与所述目标业务接口对应的越权校验逻辑。
可以理解,如果将所述越权校验逻辑包引入A业务场景,那么需要根据A业务场景的特性调整所述越权校验逻辑包括的越权校验逻辑,以能适应A业务场景包括的业务接口。
步骤3,为所述目标业务接口配置关联的越权注解,以将所述越权注解与所述目标业务接口对应的越权校验逻辑关联。
可以理解,可以将需要配置越权注解的业务接口暴露出来,然后对应的配置纵向越权注解和横向越权注解,从而能实现在用户访问业务时对其访问操作进行越权校验。
在本实施例中,通过越权校验逻辑包的设置使得本申请的越权校验逻辑具有较强的迁移性,能适用于不同的业务场景,通用性强。
在一些实施方式中,本申请提出的越权校验方法还包括:如果未确定到与所述目标业务接口关联的越权注解,则基于所述目标业务接口的校验逻辑接口确定对所述业务访问请求的越权校验逻辑,并通过所述越权校验逻辑对所述业务访问请求进行越权校验。
可以理解,针对一些特殊的业务接口,比如一些非角色控制业务,不适合利用切面层中编写的越权校验逻辑对其进行越权校验,则需要一些特殊的越权校验逻辑对其进行越权校验。因此为该类特殊的业务接口设置对应的校验逻辑接口,从而将针对该类特殊的业务接口的越权校验逻辑编写入对应的校验逻辑接口中,实现对该类特殊的业务接口进行越权校验。
在本实施例中,通过设置校验逻辑接口,能实现对特殊的业务接口编写与其相匹配的越权校验逻辑,使得本申请的越权校验方法扩展性强。
在一些实施方式中,本申请提出的越权校验方法还包括:在所述基于所述校验逻辑对所述业务访问请求进行越权校验之后,若所述业务访问请求通过越权校验,则执行与所述目标业务接口对应的目标业务;若所述业务访问请求未通过越权校验,则向所述用户发送提示信息,所述提示信息用于提示所述用户对所述目标业务不具备访问权限。
可以理解,如果所述用户的业务访问请求没有通过纵向越权校验,或者通过了纵向越权校验但没有通过横向越权校验,所述用户在终端设备都会收到所述提示信息,以提醒用户对其访问的业务不具备访问权限,从而提高业务被访问的安全性。
在本申请的一些实施例所提供的技术方案中,当服务端接收到终端设备发送的业务访问请求,会获取发起业务访问请求的用户的身份信息,以及所述业务访问请求的请求参数;再基于所述请求参数确定与所述业务访问请求对应的目标业务接口,以及与所述目标业务接口关联的越权注解;最后,基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的越权校验逻辑,并通过所述越权校验逻辑对所述业务访问请求进行越权校验。可见,在本申请的技术方案中无需在每一个业务接口处编写越权校验逻辑,而是将对业务访问请求的越权校验逻辑统一编写入切面层,使得只需为每个业务接口配置关联的越权注解即能确定到对业务访问请求的越权校验逻辑,在一定程度上减少了编写越权校验逻辑的繁琐性,提高了对越权操作进行校验的便捷性,也能避免因遗漏编写越权校验逻辑而造成的信息泄露情况的发生,另外,因越权校验逻辑被统一编写在切面层,使得本申请提供的越权校验逻辑代码能适应于多种不同的业务场景,通用性强。
以下介绍本申请的装置实施例,可以用于执行本申请上述实施例中的越权校验方法。对于本申请装置实施例中未披露的细节,请参照本申请上述的越权校验方法的实施例。
图3示出了根据本申请的一个实施例的越权校验装置的框图。
参照图3所示,根据本申请的一个实施例的越权校验装置300,包括:获取单元301,确定单元302和校验单元303。
其中,响应单元301,用于响应于用户的业务访问请求,获取所述用户的身份信息以及所述业务访问请求的请求参数;确定单元302,用于基于所述请求参数确定与所述业务访问请求对应的目标业务接口,以及与所述目标业务接口关联的越权注解;校验单元303,用于基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的越权校验逻辑,并通过所述越权校验逻辑对所述业务访问请求进行越权校验。
在本申请的一些实施例中,基于前述方案,所述校验单元303还用于:所述越权注解包括纵向越权注解和横向越权注解,所述基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的校验逻辑,包括:基于所述纵向越权注解从预先配置的切面层中确定对所述业务访问请求的纵向越权校验逻辑;如果所述业务访问请求通过所述纵向越权校验逻辑的纵向越权校验,则基于所述横向越权注解从所述预先配置的切面层中确定对所述业务访问请求的横向越权校验逻辑。
在本申请的一些实施例中,基于前述方案,所述校验单元303还用于:所述纵向越权校验逻辑用于校验所述用户的身份信息是否具备对所述目标业务接口的访问权限。
在本申请的一些实施例中,基于前述方案,所述校验单元303还用于:基于所述横向越权注解确定所述目标业务接口的方法名和参数列;基于所述方法名和所述参数列从预先配置的切面层中确定对所述业务访问请求的横向越权校验逻辑。
在本申请的一些实施例中,基于前述方案,所述响应单元301还用于:获取预先配置的越权校验逻辑包,所述越权校验逻辑包包括与多个业务接口对应的越权校验逻辑;从所述越权校验逻辑包中选定并调整与所述目标业务接口对应的越权校验逻辑;为所述目标业务接口配置关联的越权注解,以将所述越权注解与所述目标业务接口对应的越权校验逻辑关联。
在本申请的一些实施例中,基于前述方案,所述校验单元303还用于:如果未确定到与所述目标业务接口关联的越权注解,则基于所述目标业务接口的校验逻辑接口确定对所述业务访问请求的越权校验逻辑,并通过所述校验逻辑对所述业务访问请求进行越权校验。
在本申请的一些实施例中,基于前述方案,所述校验单元303还用于:若所述业务访问请求通过越权校验,则执行与所述目标业务接口对应的目标业务;若所述业务访问请求未通过越权校验,则向所述用户发送提示信息,所述提示信息用于提示所述用户对所述目标业务不具备访问权限。
图4示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
需要说明的是,图4示出的电子设备的计算机系统400仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图4所示,计算机系统400包括中央处理单元(Central Processing Unit,CPU)401,其可以根据存储在只读存储器(Read-Only Memory,ROM)402中的程序或者从储存部分408加载到随机访问存储器(Random Access Memory,RAM)403中的程序而执行各种适当的动作和处理,例如执行上述实施例中所述的方法。在RAM403中,还存储有系统操作所需的各种程序和数据。CPU401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(Input/Output,I/O)接口405也连接至总线404。
以下部件连接至I/O接口405:包括键盘、鼠标等的输入部分406;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器](Liquid Crystal Display,LCD)等以及扬声器等的输出部分407;包括硬盘等的储存部分408;以及包括诸如LAN(Local Area Network,局域网)卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至I/O接口405。可拆卸介质411,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器410上,以便于从其上读出的计算机程序根据需要被安装入储存部分408。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分409从网络上被下载和安装,和/或从可拆卸介质411被安装。在该计算机程序被中央处理单元(CPU)401执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
作为另一方面,本申请还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例中所述的越权校验方法。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现上述实施例中所述的越权校验方法。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本申请实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的实施方式后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims (10)

1.一种越权校验方法,其特征在于,所述方法包括:
响应于用户的业务访问请求,获取所述用户的身份信息以及所述业务访问请求的请求参数;
基于所述请求参数确定与所述业务访问请求对应的目标业务接口,以及与所述目标业务接口关联的越权注解;
基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的越权校验逻辑,并通过所述越权校验逻辑对所述业务访问请求进行越权校验。
2.根据权利要求1所述的方法,其特征在于,所述越权注解包括纵向越权注解和横向越权注解,所述基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的越权校验逻辑,包括:
基于所述纵向越权注解从预先配置的切面层中确定对所述业务访问请求的纵向越权校验逻辑;
如果所述业务访问请求通过所述纵向越权校验逻辑的纵向越权校验,则基于所述横向越权注解从所述预先配置的切面层中确定对所述业务访问请求的横向越权校验逻辑。
3.根据权利要求2所述的方法,其特征在于,所述纵向越权校验逻辑用于校验所述用户的身份信息是否具备对所述目标业务接口的访问权限。
4.根据权利要求2所述的方法,其特征在于,所述基于所述横向越权注解从所述预先配置的切面层中确定对所述业务访问请求的横向越权校验逻辑,包括:
基于所述横向越权注解确定所述目标业务接口的方法名和参数列;
基于所述方法名和所述参数列从预先配置的切面层中确定对所述业务访问请求的横向越权校验逻辑。
5.根据权利要求1所述的方法,其特征在于,在所述获取所述用户的身份信息以及所述业务访问请求的请求参数之前,所述方法还包括:
获取预先配置的越权校验逻辑包,所述越权校验逻辑包包括与多个业务接口对应的越权校验逻辑;
从所述越权校验逻辑包中选定并调整与所述目标业务接口对应的越权校验逻辑;
为所述目标业务接口配置关联的越权注解,以将所述越权注解与所述目标业务接口对应的越权校验逻辑关联。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果未确定到与所述目标业务接口关联的越权注解,则基于所述目标业务接口的校验逻辑接口确定对所述业务访问请求的越权校验逻辑,并通过所述越权校验逻辑对所述业务访问请求进行越权校验。
7.根据权利要求1所述的方法,其特征在于,在所述基于所述越权校验逻辑对所述业务访问请求进行越权校验之后,所述方法还包括:
若所述业务访问请求通过越权校验,则执行与所述目标业务接口对应的目标业务;
若所述业务访问请求未通过越权校验,则向所述用户发送提示信息,所述提示信息用于提示所述用户对所述目标业务不具备访问权限。
8.一种越权校验装置,其特征在于,所述装置包括:
响应单元,用于响应于用户的业务访问请求,获取所述用户的身份信息以及所述业务访问请求的请求参数;
确定单元,用于基于所述请求参数确定与所述业务访问请求对应的目标业务接口,以及与所述目标业务接口关联的越权注解;
校验单元,用于基于所述越权注解从预先配置的切面层中确定对所述业务访问请求的越权校验逻辑,并通过所述越权校验逻辑对所述业务访问请求进行越权校验。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条程序代码,所述至少一条程序代码由处理器加载并执行以实现如权利要求1至7任一项所述的方法所执行的操作。
10.一种电子设备,其特征在于,包括一个或多个处理器和一个或多个存储器,所述一个或多个存储器中存储有至少一条程序代码,所述至少一条程序代码由所述一个或多个处理器加载并执行以实现如权利要求1至7中任一项权利要求所述的方法。
CN202310144698.3A 2023-02-10 2023-02-10 一种越权校验方法、装置及电子设备 Pending CN116257824A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310144698.3A CN116257824A (zh) 2023-02-10 2023-02-10 一种越权校验方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310144698.3A CN116257824A (zh) 2023-02-10 2023-02-10 一种越权校验方法、装置及电子设备

Publications (1)

Publication Number Publication Date
CN116257824A true CN116257824A (zh) 2023-06-13

Family

ID=86680473

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310144698.3A Pending CN116257824A (zh) 2023-02-10 2023-02-10 一种越权校验方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN116257824A (zh)

Similar Documents

Publication Publication Date Title
US20200213362A1 (en) Policy approval layer
CN110795501A (zh) 基于区块链的可验证声明的创建方法、装置、设备及系统
WO2019052496A1 (zh) 云存储的帐号鉴权方法和服务器
CN110661776B (zh) 敏感数据溯源方法、装置、安全网关及系统
CN109766708B (zh) 数据资源的访问方法、系统、计算机系统及存储介质
CN109359449B (zh) 一种基于微服务的鉴权方法、装置、服务器及存储介质
US20190005260A1 (en) Method and system for isolating application data access
CN113343304A (zh) 一种权限申请方法、装置、电子设备及存储介质
CN113904821A (zh) 一种身份认证方法及装置、可读存储介质
CN109635558B (zh) 访问控制方法、装置和系统
CN115374481A (zh) 数据脱敏处理的方法、装置、存储介质及电子设备
CN115037557A (zh) 一种用于用户访问应用的临时身份认证方法和装置
US11240044B2 (en) Verifying purpose of data usage at sub-application granularity
CN111488095A (zh) 一种用户登录管理方法及装置
CN113282591B (zh) 权限过滤方法、装置、计算机设备及存储介质
CN110990798A (zh) 应用程序权限配置方法、装置、电子设备及存储介质
US10142344B2 (en) Credential management system
CN112464176B (zh) 一种权限管理方法、装置、电子设备及存储介质
CN109683942B (zh) 脚本管理方法、装置、介质及电子设备
CN111901299A (zh) 申请认证方法、装置、电子设备和存储介质
CN114745185B (zh) 集群访问方法及装置
CN111030816A (zh) 一种取证设备接入平台的认证方法、装置及存储介质
US20200311244A1 (en) Video-based authentication
CN113542238B (zh) 一种基于零信任的风险判定方法及系统
CN116257824A (zh) 一种越权校验方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination