CN116257860A - 权限管理方法、装置、存储介质及电子设备 - Google Patents
权限管理方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN116257860A CN116257860A CN202111506464.6A CN202111506464A CN116257860A CN 116257860 A CN116257860 A CN 116257860A CN 202111506464 A CN202111506464 A CN 202111506464A CN 116257860 A CN116257860 A CN 116257860A
- Authority
- CN
- China
- Prior art keywords
- account
- information
- application
- service
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例公开了权限管理方法、装置、存储介质及电子设备,上述方法包括响应于客户端发出的认证请求,得到第一账户,所述第一账户用于标识所述客户端在所述权限管理服务器中的身份标识;向身份认证服务器请求进行账户关联,所述身份认证服务器用于基于所述第一账户生成第二账户,并建立所述第一账户与所述第二账户之间的关联关系,所述第二账户为基于预设授权标准得到的所述客户端的授权标识;响应于所述账户关联成功建立的情况,提供基于免密访问令牌的权限管理服务,所述免密访问令牌中包括所述第二账户。本申请可以统一接入标准,实现统一授权,统一鉴权。简化在混合云环境下,复杂应用对接的复杂流程与授权过程。
Description
技术领域
本申请实施例涉及计算机技术领域,尤其涉及权限管理方法、装置、存储介质及电子设备。
背景技术
软件服务化是一种较为新颖的服务提供方式,服务提供商为用户搭建信息化所需要的所有网络基础设施及软件、硬件运作平台,并负责所有前期的实施、后期的维护等一系列服务,用户只需要购买服务即可通过互联网享受该服务而无需关心服务的维护运营等细节问题,从而显著降低用户的消费成本。但是,为用户提供软件服务化交易的平台却面临着授权鉴权流程复杂的问题,难以为用户提供细粒度的权限管理,从而显著影响了软件服务化的普及。
发明内容
为了使得软件服务化交易的平台可以降低鉴权授权的流程复杂度,为用户提供细粒度的权限管理,本申请实施例提供权限管理方法、装置、存储介质及电子设备。
一方面,本申请实施例提供了一种权限管理方法,应用于权限管理服务器,所述方法包括:
响应于客户端发出的认证请求,得到第一账户,所述第一账户用于标识所述客户端在所述权限管理服务器中的身份标识;
向身份认证服务器请求进行账户关联,所述身份认证服务器用于基于所述第一账户生成第二账户,并建立所述第一账户与所述第二账户之间的关联关系,所述第二账户为基于预设授权标准得到的所述客户端的授权标识;
响应于所述账户关联成功建立的情况,提供基于免密访问令牌的权限管理服务,所述免密访问令牌中包括所述第二账户。
另一方面,本申请实施例提供一种权限管理装置,应用于权限管理服务器,所述装置包括:
认证请求获取模块,用于响应于客户端发出的认证请求,得到第一账户,所述第一账户用于标识所述客户端在所述权限管理服务器中的身份标识;
关联建立模块,用于向身份认证服务器请求进行账户关联,所述身份认证服务器用于基于所述第一账户生成第二账户,并建立所述第一账户与所述第二账户之间的关联关系,所述第二账户为基于预设授权标准得到的所述客户端的授权标识;
权限管理服务模块,用于响应于所述账户关联成功建立的情况,提供基于免密访问令牌的权限管理服务,所述免密访问令牌中包括所述第二账户。
另一方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现上述的一种权限管理方法。
另一方面,本申请实施例提供了一种电子设备,包括至少一个处理器,以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令实现上述的一种权限管理方法。
另一方面,本申请实施例提供了一种计算机程序产品,包括计算机程序或指令,该计算机程序或指令被处理器执行时实现上述的一种权限管理方法。
本申请提供的权限管理方法,实现在不同SaaS应用之间的免密访问,免密信息携带免密访问令牌,第三方SaaS应用可基于此免密访问令牌进行身份校验。基于OIDC协议的免密访问令牌,可以统一接入标准,不同服务厂商,只要按照标准对接,即可实现统一授权,统一鉴权。简化在混合云环境下,复杂应用对接的复杂流程与授权过程。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案和优点,下面将对实施例或相关技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请实施例的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本说明书实施例提供的OIDC工作流程示意图;
图2是本说明书实施例提供的云服务框架示意图;
图3是本申请实施例提供的一种权限管理方法的流程示意图;
图4是本申请实施例提供的认证过程流程的示意图;
图5是本申请实施例提供的购买流程的示意图;
图6是本申请实施例提供的访问服务流程的示意图;
图7是本申请实施例提供的验证过程流程的示意图;
图8是本申请实施例提供的权限管理装置的框图;
图9是本申请实施例提供的一种用于实现本申请实施例所提供的方法的设备的硬件结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请实施例一部分实施例,而不是全部的实施例。基于本申请实施例中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请实施例保护的范围。
需要说明的是,本申请实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请实施例的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了使本申请实施例公开的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请实施例进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请实施例,并不用于限定本申请实施例。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。为了便于理解本申请实施例上述的技术方案及其产生的技术效果,本申请实施例首先对于相关专业名词进行解释:
云技术(Cloud technology):是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
软件服务化:Software as a Service,SaaS。SaaS平台是运营SaaS软件的平台。SaaS提供商为企业搭建信息化所需要的所有网络基础设施及软件、硬件运作平台,并负责所有前期的实施、后期的维护等一系列服务,企业无需购买软硬件、建设机房、招聘计算机专业人员,即可通过互联网使用信息系统。SaaS是一种软件布局模型,其应用专为网络交付而设计,便于用户通过互联网托管、部署及接入。
SaaS应用:SaaS应用是一种通过网络提供的软件的模式,用户不需要再购买软件,而改用向提供商租用基于网页的软件,来管理企业的经营活动,且无需对软件进行维护,服务提供商会全权管理和维护软件的模式。
OAuth:Open Authorization。OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAuth的授权不会使第三方触及到用户的账号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAuth是安全的。
OIDC:OpenID Connect,它在OAuth2.0上构建了一个身份层,是一个基于OAuth2.0协议的身份认证标准协议,OIDC使用OAuth2.0的授权服务器来为第三方客户端提供用户的身份认证,并把对应的身份认证信息传递给客户端。
IDaaS:Identity as a Service,即可信赖身份认证服务,为企业提供统一、高效的身份管理服务,IDaaS支持集中管理企业用户身份和认证方式,实现一个账号打通所有应用服务。用户仅需一次认证即可免密登录授权范围内的所有应用和系统,用户登录和访问行为也能统一监控,极大地提升企业管理效率,降低维护成本。
免密模式SsoUrl:免密SsoUrl地址,依托IDaaS统一授权中心,用户购买完应用后,服务商提供的登录地址信息,用户通过SsoUrl即可访问购买的SaaS服务,无需进行密码验证。
JWT:Json Web Token,是为了在网络应用环境间传递声明而执行的一种基于对象简谱(JSON)的开放标准。JWT包括组成包括三部分,第一部分为头部(header),第二部分为载荷(payload),第三部分是签证(signature)。
相关技术中提供有免密访问的相关技术方案,其中比较好的有OAuth2.0授权机制,OAuth2.0主要功能是用户同意服务方向第三方发送令牌token,OAuth2.0就是一种授权机制,服务方给第三方授权,产生一个短期的进入令牌(token),同意授权第三方应用进入系统,供第三方应用使用。第三方在访问时,携带令牌token,即可进行访问,系统向资源服务器验证令牌合法性,验证通过,即可进行服务。OAuth2.0完整地解决了用户、服务方、第三方在某次服务时这三者之间的信任问题。通过令牌,即可解决服务互信,免密过程。
但是,OAuth2.0授权机制,本身可以实现授权过程,但是OAuth2.0是一个授权协议,它无法提供完善的身份认证功能,难以应用于需要进行更细粒度的授权鉴权的场景。比如,在混合云场景下,不仅涉及多租户,同时还可能复杂的分账号授权问题,具体来说,在混合云场景下,可能涉及企业主账号、子账号,主账号下面又可能有很多子账号,主账号可以授权部分子账号访问SaaS服务,但是,如果遵循OAuth2.0,所有主账号、子账号都共用同一个token,无法实现用户身份识别认证,无法做到权限隔离与访问,任何拿到token的用户,都可以享受相同服务。
为了进行更细粒度的权限管理,本申请实施例提供一种权限管理方法,该方法可以进行账户级别的授权鉴权,通过基于OAuth协议优化权限管理流程中的信息交互内容,依托OAuth的授权服务器来作为可信任的第三方,结合账户信息可以提供账户级别的身份认证服务,并基于认证结果进行权限管理。本申请实施例不仅可以进行复杂情况下的账户权限管理,还可以与基于OAuth协议搭建的相关技术方案完全兼容,为用户提供更细粒度的权限管理服务。本申请实施例可以被应用于各种云环境,尤其适用于混合云场景。
本申请实施例提供的权限管理方法可以基于OAuth协议或OAuth2.0协议实施。OAuth是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本。
OAuth2.0提供了接入令牌(Access Token)来解决授权第三方客户端访问受保护资源的问题;OIDC在这个基础上提供了标识令牌(ID Token)来解决第三方客户端标识用户身份认证的问题。OIDC的核心在于在OAuth2.0的授权流程中,一并提供用户的身份认证信息(ID Token)给到第三方客户端,ID Token使用JWT格式来包装,得益于JWT的自包含性,紧凑性以及防篡改机制,使得ID Token可以安全传递给第三方客户端程序并且容易被验证。同时,OIDC服务还可以提供用户信息(UserInfo)的接口,用户获取用户的更完整的信息,OIDC协议涉及组成术语主要包括:
EU:End User,一个人类用户,在本申请实施例中可以被理解为用户所对应的账号。
RP:Relying Party,用来代指OAuth2.0中的受信任的客户端,身份认证和授权信息的消费方;
OP:OpenID Provider,有能力提供EU认证的服务(比如OAuth2.0中的授权服务),用来为RP提供EU的身份认证信息;
ID Token:JWT格式的数据,包含EU身份认证的信息。
UserInfo Endpoint:用户信息接口(受OAuth2.0保护)。
当RP使用Access Token访问时,返回授权用户的信息,此接口必须使用HTTPS。HTTPS的全称是Hyper Text Transfer Protocol over SecureSocket Layer,是以安全为目标的超文本传输协议(Hyper Text Transfer Protocol,HTTP)通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。
请参考图1,OIDC工作流程,涉及EU、RP、OP三个主体之间的流程交互,包括下述步骤:
(1)受信任客户端发布认证请求(AuthN Requeset),其中AuthN意为Authentication,表示认证;
(2)认证提供者向用户账户进行授权。
(3)认证提供者向受信任客户端反馈认证响应(AuthN Response)。具体地,OP把IDToken和Access Token(需要的话)返回给RP。
(4)受信任客户端向认证提供者发送用户信息请求(UserInfo Request)。
(5)认证提供者反馈用户信息响应(UserInfo Respponse)。
RP使用Access Token发送一个请求UserInfo EndPoint;UserInfo EndPoint返回EU的Claims(权限信息)。OIDC对OAuth2最主要的扩展就是提供了ID Token。ID Token是一个安全令牌,是一个授权服务器提供的包含用户信息(由一组Cliams构成以及其他辅助的Cliams)的JWT格式的数据结构,其遵循标准的JWT格式,服务拿到ID Token后,即可进行JWT验证与解析,获取JWT载体里面账户数据信息。
本申请实施例所提供的方法可以涉及区块链,即本申请实施例提供的方法可以基于区块链实现,或者本申请实施例提供的方法中涉及到的数据可以基于区块链存储,或本申请实施例中提供的方法的执行主体可以位于区块链中。区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
区块链底层平台可以包括用户管理、基础服务、智能合约以及运营监控等处理模块。其中,用户管理模块负责所有区块链参与者的身份信息管理,包括维护公私钥生成(账户管理)、密钥管理以及用户真实身份和区块链地址对应关系维护(权限管理)等,并且在授权的情况下,监管和审计某些真实身份的交易情况,提供风险控制的规则配置(风控审计);基础服务模块部署在所有区块链节点设备上,用来验证业务请求的有效性,并对有效请求完成共识后记录到存储上,对于一个新的业务请求,基础服务先对接口适配解析和鉴权处理(接口适配),然后通过共识算法将业务信息加密(共识管理),在加密之后完整一致地传输至共享账本上(网络通信),并进行记录存储;智能合约模块负责合约的注册发行以及合约触发和合约执行,开发人员可以通过某种编程语言定义合约逻辑,发布到区块链上(合约注册),根据合约条款的逻辑,调用密钥或者其他的事件触发执行,完成合约逻辑,同时还提供对合约升级注销的功能;运营监控模块主要负责产品发布过程中的部署、配置的修改、合约设置、云适配以及产品运行中的实时状态的可视化输出,例如:告警、监控网络情况、监控节点设备健康状态等。
平台产品服务层提供典型应用的基本能力和实现框架,开发人员可以基于这些基本能力,叠加业务的特性,完成业务逻辑的区块链实现。应用服务层提供基于区块链方案的应用服务给业务参与方进行使用。
本申请实施例可以被应用于公有云、私有云或混合云场景之中。私有云(PrivateCloud)是将云基础设施与软硬件资源创建在防火墙内,以供机构或企业内各部门共享数据中心内的资源。创建私有云,除了硬件资源外,一般还有云设备(IaaS,Infrastructure asa Service,基础设施即服务)软件。私有云计算同样包含云硬件、云平台、云服务三个层次。不同的是,云硬件是用户自己的个人电脑或服务器,而非云计算厂商的数据中心。云计算厂商构建数据中心的目的是为千百万用户提供公共云服务,因此需要拥有几十上百万台服务器。私有云计算,对个人来说只服务于亲朋好友,对企业来说只服务于本企业员工以及本企业的客户和供应商,因此个人或企业自己的个人电脑或服务器已经足够用来提供云服务。
公有云(Public Cloud)通常指第三方提供商为用户提供的能够使用的云,公有云一般可通过Internet使用,可能是免费或成本低廉的,公有云的核心属性是共享资源服务。这种云有许多实例,可在当今整个开放的公有网络中提供服务。
混合云(Hybrid Cloud)融合了公有云(Public Cloud)和私有云(PrivateCloud),是近年来云计算的主要模式和发展方向。私有云主要是面向企业用户,出于安全考虑,企业更愿意将数据存放在私有云中,但是同时又希望可以获得公有云的计算资源,在这种情况下混合云被越来越多的采用,它将公有云和私有云进行混合和匹配,以获得最佳的效果,这种个性化的解决方案,达到了既省钱又安全的目的。
公有云、私有云或混合云都可以部署各种应用,通过公有云、私有云或混合云发布、销售或运行的应用为云应用。本申请实施例并不限定云应用相关的领域,比如,可以涉及云物联、云呼叫、云安全、云社交、云医疗、云计算、云存储等。
在一个实施例中,本申请实施例可以应用于云服务框架中,该云服务框架的架构图如图2所示。该云服务框架包括计费模块、应用模块、权限管理模块和账号管理模块。
账号管理模块包括账号中心、权限中心、IdaaS信息中心,账号中心负责用户账号信息、登录管理、用户注册、激活等基础操作,权限中心负责混合云平台的权限体系管理,IdaaS信息中心用于绑定用户购买的SaaS应用与账号之间的关联关系,包括关联应用信息Application ID、公钥证书Certificate,用于用户登录授权操作。
计费模块包括账单中心、订单中心、支付管理几个核心功能。订单中心负责处理账户整个购买应用的流程,包括账户的下单、付款、通知实例发货、退款、对接云市场等环节,账户所对应的用户通过应用模块中的商品中心进行浏览应用,点击购买后,通过订单中心下单,支付,支付成功,订单通知实例中心进行发货逻辑处理。账单中心负责用户支付订单后的账单信息。
应用模块负责实现各种来源的商品的统一管理与配置,包括商品中心、实例中心和接入中心。该商品可以为SaaS应用。本申请实施例中若商品来源于不同的云,则上述云服务框架即为混合云框架。商品中心中的商品涉及的场景包括从云中导入、审核、上架、下架、售卖等,这些场景中都涉及到上述商品中心的参与。商品可以通过公有云被上架,也可以通过私有云被上架,也就是说,上述混合云框架可以为私有云和公有云提供统一的商品上架接口。商品中心同时对商品信息展示与维护等方面进行服务,是整个商品信息维护的关键环节,实现公有云商品的商品信息与私有云商品的商品信息的统一维护。
实例中心负责用户购买完SaaS应用后,管理应用实例信息,包块实例管理,涉及实例信息,实例访问地址,实例到期时间等基础信息,这里是用户访问购买SaaS应用的入口。在混合云中负责对接云市场和服务提供商,用户购买的SaaS类商品,由实例中心进行购买的后服务实例生命周期控制,包括实例发货、续费、过期、配置升级、关闭等操作,购买完成后的后续流程,由实例中心负责进行处理,是用户购买后商品交付的核心环节。
接入中心负责对接公有云、私有云的服务提供商,进行发货对接梳理,接口验证、数据对接、信息同步过程。接入中心作为混合云场景下一个管理中心,实现功能实现层面对接,主要实现对接本地服务提供商ISV,包括服务开通、续费、升级、过期、销毁整个过程对接,实例中心发货本地服务时,进行业务侧对接,调用接入中心,接入中心通知服务商进行发货处理,服务商返回发货信息,实例中心进行发货信息判断,返回实例中心个,完成整个发货过程。
权限管理模块为企业提供统一、高效的身份管理服务。不同于传统的多系统维护不同用户信息和分散式身份认证的模式,权限管理模块支持集中管理企业用户身份和认证方式,实现一个账号打通所有应用服务。用户仅需一次认证即可免密登录授权范围内的所有应用和系统,用户登录和访问行为也能统一监控,极大地提升企业管理效率,降低维护成本。IDaaS基于OIDC协议,不仅可以进行服务授权,还可以进行服务鉴权操作,在进行免密登录时,满足免密与安全性要求。
本申请实施例中SaaS应用来源包括公有云与私有云,对于公有云与私有云SaaS产品,可以由第三方SaaS服务进行提供,提供第三方服务的供应商统称为服务提供商ISV,用户购买的服务可能是自研应用,也可以来自相关服务提供商,服务提供商需要按照本申请实施例的框架标准完成整个发货对接,同时基于OIDC协议,进行账户信息验证与解码,识别账户身份,为该账户提供对应的服务。
以下介绍本申请实施例的一种权限管理方法,图3示出了本申请实施例提供的一种权限管理方法的流程示意图,本申请实施例提供了如实施例或流程图上述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统、终端设备或服务器产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境),上述方法可以包括:
S101.响应于客户端发出的认证请求,得到第一账户,上述第一账户用于标识上述客户端在上述权限管理服务器中的身份标识。
本申请实施例权限管理服务器可以为上述云服务框架中的权限中心和权限管理模块。该权限中心可以以网站的形式向用户提供服务。用户通过登录该权限中心所对应的网址,即可触发上述认证请求,认证请求中可以包括进行认证所需要的基本信息,比如用户昵称,用户标识,用户密码等。本申请对于认证请求所携带的信息不做限定。
S102.向身份认证服务器请求进行账户关联,上述身份认证服务器用于基于上述第一账户生成第二账户,并建立上述第一账户与上述第二账户之间的关联关系,上述第二账户为基于预设授权标准得到的上述客户端的授权标识。
本申请实施例的身份认证服务器可以为上述云服务框架的IdaaS信息中心,IdaaS信息中心基于OIDC进行构建。预设授权标准可以为OAuth或OAuth2.0。身份认证服务器用于为用户提供可信任的身份信息认证服务。在后续的权限处理中可以使得权限管理服务器能够基于第二账户来与应用服务的提供商进行交互,从而隐藏第一账户所对应的信息,达到信息安全的技术效果。并且服务于同一个客户端的不同应用服务的提供商都可以基于IdaaS信息中心提供免的密访问令牌来提供服务,从而达到了一键打通各应用服务交互流程的技术效果。
S103.响应于上述账户关联成功建立的情况,提供基于免密访问令牌的权限管理服务,上述免密访问令牌中包括上述第二账户。
具体来说,请参考图4,认证过程包括下述步骤:
S1.向权限管理服务器请求认证。
S2.权限管理服务器响应于认证通过的情况,向上述身份认证服务器请求开通可信赖身份认证服务。
S3.上述身份认证服务器创建并反馈上述第二账户,向权限管理服务器反馈第二账户。
S4.权限管理服务器创建应用信息(application信息)以及第一账户,并将其发送至身份认证服务器。上述应用信息表征以购买应用为目的生成的基础信息。具体来说,该应用信息可以被理解为为了购买应用而预设的信息,比如预设一些置空的字段,比如应用标识、应用描述信息等,在用户购买应用服务的环节,根据用户的实际购买情况更新这一应用信息即可,提升整个交易过程的速度。
S5.身份认证服务器进行信息更新。
上述向身份认证服务器请求进行账户关联,包括:将上述应用信息和上述第一账户传输至上述身份认证服务器,以触发上述身份认证服务器更新上述应用信息;在账户关联成功的情况下,接收上述身份认证服务器反馈的上述应用信息和公钥信息。
S6.客户端在认证完成的秦光下,进行子账户认证。
用户通过进行账号注册,权限管理服务器会在身份认证服务器侧创建对应租户账号(第二账户),同时创建租户下面的应用信息,用于绑定用户在购买SaaS服务时,对应服务实例与第二账号的绑定关系,当然还可以将这些信息更新到权限管理服务器。
在企业权限管理场景中,上述实施例内容可以表达企业管理员的客户端的认证过程,其它企业用户也可以参考前文建立与上述第二账户的绑定关系。企业管理员为主账号,其它企业用户为子账号,子账号携带主账号信息即可向身份认证服务器请求进行认证,从而将自身账号与上述第二账号进行绑定,在身份认证服务器的支持下进行一键式免密访问。上述第二账号可以对应主账号以及至少一个子账号,并且在后续的消费目标应用服务的场景中为每个账户提供对应的免密一键式访问支持,也就是说,本申请可以提供多级账户粒度下的授权鉴权服务。
在一个实施例中,权限管理服务器还可以在账户关联成功的情况下,响应于购买目标应用服务的情况,获取上述目标应用服务对应的下单信息;根据上述下单信息更新上述应用信息;基于更新后的应用信息、上述公钥信息和上述第二账户提供针对上述目标应用服务的购买服务。具体来说,通过与应用商店交互即可获取应用信息,应用商店为图2中云服务框架内商品中心提供的服务。而更新后的应用信息中可以包括该应用信息在身份认证服务器中的应用标识。
权限管理服务器可以基于上述更新后的应用信息、上述公钥信息(certification)、上述第二账户和预设验证信息生成购买请求,将上述购买请求发送至应用服务器,上述预设验证信息用于验证上述权限管理服务器的合法性,上述应用服务器用于提供上述目标应用服务,以触发上述应用服务器创建第三账户,并建立上述购买请求中的信息与上述第三账户的关联,上述第三账户为用户消费上述目标应用服务时的身份信息。
响应于购买成功的情况,获取上述应用服务器反馈的购买信息,上述购买信息包括上述目标应用服务对应的目标地址(ssoURL)和目标实例标识(signID)。向上述身份认证服务器发出购买信息更新请求,以触发上述身份认证服务器建立上述第二账户与上述购买信息之间的关联。当然,用户还可以授权其他用户消费购买的目标应用服务,只需将上述其他用户关联到该用户(第一账户)对应的第二账户即可。
结合前文,请参考图5,其示出购买流程示意图。具体来说,包括下述步骤:
S10.客户端向权限管理服务器购买SaaS应用。
S20.权限管理服务器向应用市场购买SaaS应用。
S30.应用市场向权限管理服务器反馈下单完成,购买成功。
S40.权限管理服务器向身份认证服务器更新appllication信息,并携带ertification信息。
S50.身份认证服务器反馈appllication信息,并携带ertification信息。
S60.权限管理服务器向SaaS服务商发出发货通知(预设验证信息、applicationId、公钥)。
S70.SaaS服务商平台更新信息,并反馈发货成功。
S80.权限管理服务器进行应用关联。
S90.客户端请求授权,并获得授权响应。
在一个实施例中,上述方法还包括:
权限管理服务器响应于消费上述目标应用服务的请求,根据上述第一账户和上述应用信息向上述身份认证服务器查询免密访问令牌(id_token),以触发上述身份认证服务器根据上述第一账户、上述第二账户、上述目标实例标识生成免密访问令牌。以及,根据上述目标地址和上述免密访问令牌生成访问地址,链接至上述访问地址对应的目标应用服务。
具体来说,上述根据上述目标地址和上述免密访问令牌生成访问地址,链接至上述访问地址对应的目标应用服务,包括:对上述免密访问令牌进行加密,得到加密结果;根据上述目标地址和上述加密结果生成上述访问地址;跳转至上述访问地址,以触发上述应用服务器对上述加密结果进行解密,得到解密结果,以及对上述解密结果进行验证,在验证通过的情况下提供上述目标应用服务。
结合前文,请参考图6,其示出访问服务流程示意图,具体包括下述步骤:
S100.免密登录已购买SaaS应用。
S200.跳转查询第一账户、第二账户、应用信息的关联。
S300.验证产生令牌。
S400.重定向到服务地址,该地址可以表达为ssoUrl+id_token,token包含applicaitonId和UserId。
S500.访问服务地址。
S600.应用商店解析id_token,并进行验证,验证通过允许提供服务。
在一个实施例中,上述验证包括下述步骤:解析得到待校验应用信息和待校验第二账户。根据上述待校验应用信息查询对应的公钥信息。根据上述公钥信息对免密访问令牌的合法性进行验证。响应于验证成功的情况,查询上述待校验第二账户的合法性。响应于上述待校验第二账户合法的情况,确定验证通过。
如图7所示,加密结果中包括目标地址以及免密访问令牌,可以基于JWT对于免密访问令牌进行解析,从而进行验证。验证过程具体来说可以通过base64解码id_token的payload部分,获取待校验应用信息和待校验第二账户。base64是网络上常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。
本申请实施例尤其适合在混合云场景下使用,混合云场景中不仅涉及到多账户还涉及到一个账户关联多个账户的情况,本申请实施例可以基于OIDC协议,利用IDaaS服务实现SaaS应用授权,解决在公有云、私有云、混合云场景下SaaS应用授权、鉴权、身份识别问题,与混合云平台账号打通,实现免密登录,用户只需要登录云平台一次,即可实现在不同SaaS应用之间的免密访问,免密信息携带id_token,第三方SaaS应用可基于此id_token进行身份校验。基于OIDC协议的id_token,可以统一接入标准,不同服务厂商,只要按照标准对接,即可实现统一授权,统一鉴权。简化在混合云环境下,复杂应用对接的复杂流程与授权过程。
混合云融合了公有云、私有云,是云技术主要的发展模式与方向,从用户群体来划分,公有云面向于个人与企业用户,私有云主要面向企业用户,特别大的企业用户,偏向于私有云模式,同时希望获得公有云SaaS应用资源,在这种混合云场景下,不仅能满足定制化,也能满足安全与费用节省目的。混合用给企业用户带来诸多优势,其中数据安全,数据本地化是基本要求,同时也包括更完善的体系建设、更高扩展性,随着混合云模式不断落地,混合云平台,结合公有云平台,利用公有云丰富的产品特性,既可以享受丰富的公有云资源包括SaaS服务,也能打造地方特色,各大企业也纷纷推出企业上云,进行企业数字化转型,传统应用全面拥抱云,进行SaaS化支持。
混合云模式下,SaaS应用不仅来源公有云市场的甄选应用,也有私有云环境下的服务商提供应用、企业自营应用支持。混合云模式下,用户通过混合云平台购买SaaS应用,无需感知商品应用来源公有云市场还是来自私有云市场,仅需按照标准购买流程进行购买,由混合云平台进行不同服务商对接,实现SaaS发货处理,用户只需要直接进行登录即可。访问购买的应用时,无需再进行登录或者授权操作,直接进行免密地址访问即可。
本申请实施例可以基于OIDC协议的IdaaS在混合云模式下实现SaaS应用接入与授权,定义了在公有云与混合云场景下,SaaS服务通过OIDC协议,实现服务接入、服务认证、授权与鉴权整体流程与标准,用户在混合云场景下,实现多源SaaS应用的接入与授权标准,通过OIDC协议的IdaaS,使用OAuth2.0的授权服务器来为第三方客户端提供用户的身份认证,并把对应的身份认证信息传递给客户端,且可以适用于各种类型的客户端(比如服务端应用,移动APP,JS应用),且完全兼容OAuth2.0。对于公有云SaaS应用、私有云SaaS应用服务商,可以依赖OIDC协议IdaaS,实现统一的应用授权、鉴权标准,免去重复对接平台的麻烦与不便,统一标准。基于OIDC协议的IdaaS,实现混合云平台下不同来源SaaS接入与使用标准,用户注册云平台账号,购买服务后,购买的应用实例自动实现接入,实现免密过程,服务商只需要按照id_token验证标准对接即可,减少对业务的入侵。
请参考图8,其示出本实施例中一种权限管理装置的框图,上述装置包括:
认证请求获取模块101,用于响应于客户端发出的认证请求,得到第一账户,上述第一账户用于标识上述客户端在上述权限管理服务器中的身份标识;
关联建立模块102,用于向身份认证服务器请求进行账户关联,上述身份认证服务器用于基于上述第一账户生成第二账户,并建立上述第一账户与上述第二账户之间的关联关系,上述第二账户为基于预设授权标准得到的上述客户端的授权标识;
权限管理服务模块103,用于响应于上述账户关联成功建立的情况,提供基于免密访问令牌的权限管理服务,上述免密访问令牌中包括上述第二账户。
在一个实施例中,上述权限管理服务模块,用于执行下述操作:
上述响应于客户端发出的认证请求,得到第一账户,包括:
响应于认证通过的情况,向上述身份认证服务器请求开通可信赖身份认证服务,以触发上述身份认证服务器创建并反馈上述第二账户;
创建应用信息以及第一账户,上述应用信息表征以购买应用为目的生成的基础信息;
上述向身份认证服务器请求进行账户关联,包括:将上述应用信息和上述第一账户传输至上述身份认证服务器,以触发上述身份认证服务器更新上述应用信息;
在账户关联成功的情况下,接收上述身份认证服务器反馈的上述应用信息和公钥信息。
在一个实施例中,上述权限管理服务模块,用于执行下述操作:
在账户关联成功的情况下,响应于购买目标应用服务的情况,获取上述目标应用服务对应的下单信息;
根据上述下单信息更新上述应用信息;
基于更新后的应用信息、上述公钥信息和上述第二账户提供针对上述目标应用服务的购买服务。
在一个实施例中,上述权限管理服务模块,用于执行下述操作:
基于上述更新后的应用信息、上述公钥信息、上述第二账户和预设验证信息生成购买请求,将上述购买请求发送至应用服务器,上述预设验证信息用于验证上述权限管理服务器的合法性,上述应用服务器用于提供上述目标应用服务,以触发上述应用服务器创建第三账户,并建立上述购买请求中的信息与上述第三账户的关联,上述第三账户为用户消费上述目标应用服务时的身份信息;
响应于购买成功的情况,获取上述应用服务器反馈的购买信息,上述购买信息包括上述目标应用服务对应的目标地址和目标实例标识;
向上述身份认证服务器发出购买信息更新请求,以触发上述身份认证服务器建立上述第二账户与上述购买信息之间的关联。
在一个实施例中,上述权限管理服务模块,用于执行下述操作:
响应于消费上述目标应用服务的请求,根据上述第一账户和上述应用信息向上述身份认证服务器查询免密访问令牌,以触发上述身份认证服务器根据上述第一账户、上述第二账户、上述目标实例标识生成免密访问令牌;
根据上述目标地址和上述免密访问令牌生成访问地址,链接至上述访问地址对应的目标应用服务。
在一个实施例中,上述权限管理服务模块,用于执行下述操作:
对上述免密访问令牌进行加密,得到加密结果;
根据上述目标地址和上述加密结果生成上述访问地址;
跳转至上述访问地址,以触发上述应用服务器对上述加密结果进行解密,得到解密结果,以及对上述解密结果进行验证,在验证通过的情况下提供上述目标应用服务。
在一个实施例中,上述权限管理服务模块,用于执行下述操作:
解析得到待校验应用信息和待校验第二账户;
根据上述待校验应用信息查询对应的公钥信息;
根据上述公钥信息对免密访问令牌的合法性进行验证;
响应于验证成功的情况,查询上述待校验第二账户的合法性;
响应于上述待校验第二账户合法的情况,确定验证通过。
本申请实施例提供的权限管理装置与方法实施例基于相同发明构思,在此不做赘述。
进一步地,图9示出了一种用于实现本申请实施例所提供的方法的设备的硬件结构示意图,上述设备可以参与构成或包含本申请实施例所提供的装置或系统。如图9所示,设备10可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图9所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,设备10还可包括比图9中所示更多或者更少的组件,或者具有与图9所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到设备10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中上述的方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的一种权限管理方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至设备10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括设备10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(NetworkInterfaceController,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与设备10(或移动设备)的用户界面进行交互。
需要说明的是:上述本申请实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本申请实施例特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本申请实施例中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和服务器实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,上述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
上述存储介质中的指令可以执行一种权限管理方法,应用于权限管理服务器,上述方法包括:
响应于客户端发出的认证请求,得到第一账户,上述第一账户用于标识上述客户端在上述权限管理服务器中的身份标识;
向身份认证服务器请求进行账户关联,上述身份认证服务器用于基于上述第一账户生成第二账户,并建立上述第一账户与上述第二账户之间的关联关系,上述第二账户为基于预设授权标准得到的上述客户端的授权标识;
响应于上述账户关联成功建立的情况,提供基于免密访问令牌的权限管理服务,上述免密访问令牌中包括上述第二账户。
在一个实施例中,上述响应于客户端发出的认证请求,得到第一账户,包括:
响应于认证通过的情况,向上述身份认证服务器请求开通可信赖身份认证服务,以触发上述身份认证服务器创建并反馈上述第二账户;
创建应用信息以及第一账户,上述应用信息表征以购买应用为目的生成的基础信息;
上述向身份认证服务器请求进行账户关联,包括:将上述应用信息和上述第一账户传输至上述身份认证服务器,以触发上述身份认证服务器更新上述应用信息;
在账户关联成功的情况下,接收上述身份认证服务器反馈的上述应用信息和公钥信息。
在一个实施例中,上述方法还包括:
在账户关联成功的情况下,响应于购买目标应用服务的情况,获取上述目标应用服务对应的下单信息;
根据上述下单信息更新上述应用信息;
基于更新后的应用信息、上述公钥信息和上述第二账户提供针对上述目标应用服务的购买服务。
在一个实施例中,上述基于更新后的应用信息、上述公钥信息和上述第二账户提供针对上述目标应用服务的购买服务,包括:
基于上述更新后的应用信息、上述公钥信息、上述第二账户和预设验证信息生成购买请求,将上述购买请求发送至应用服务器,上述预设验证信息用于验证上述权限管理服务器的合法性,上述应用服务器用于提供上述目标应用服务,以触发上述应用服务器创建第三账户,并建立上述购买请求中的信息与上述第三账户的关联,上述第三账户为用户消费上述目标应用服务时的身份信息;
响应于购买成功的情况,获取上述应用服务器反馈的购买信息,上述购买信息包括上述目标应用服务对应的目标地址和目标实例标识;
向上述身份认证服务器发出购买信息更新请求,以触发上述身份认证服务器建立上述第二账户与上述购买信息之间的关联。
在一个实施例中,上述方法还包括:
响应于消费上述目标应用服务的请求,根据上述第一账户和上述应用信息向上述身份认证服务器查询免密访问令牌,以触发上述身份认证服务器根据上述第一账户、上述第二账户、上述目标实例标识生成免密访问令牌;
根据上述目标地址和上述免密访问令牌生成访问地址,链接至上述访问地址对应的目标应用服务。
在一个实施例中,上述根据上述目标地址和上述免密访问令牌生成访问地址,链接至上述访问地址对应的目标应用服务,包括:
对上述免密访问令牌进行加密,得到加密结果;
根据上述目标地址和上述加密结果生成上述访问地址;
跳转至上述访问地址,以触发上述应用服务器对上述加密结果进行解密,得到解密结果,以及对上述解密结果进行验证,在验证通过的情况下提供上述目标应用服务。
在一个实施例中,上述验证包括下述步骤:
解析得到待校验应用信息和待校验第二账户;
根据上述待校验应用信息查询对应的公钥信息;
根据上述公钥信息对免密访问令牌的合法性进行验证;
响应于验证成功的情况,查询上述待校验第二账户的合法性;
响应于上述待校验第二账户合法的情况,确定验证通过。
以上上述仅为本申请实施例的较佳实施例,并不用以限制本申请实施例,凡在本申请实施例的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请实施例的保护范围之内。
Claims (11)
1.一种权限管理方法,其特征在于,应用于权限管理服务器,所述方法包括:
响应于客户端发出的认证请求,得到第一账户,所述第一账户用于标识所述客户端在所述权限管理服务器中的身份标识;
向身份认证服务器请求进行账户关联,所述身份认证服务器用于基于所述第一账户生成第二账户,并建立所述第一账户与所述第二账户之间的关联关系,所述第二账户为基于预设授权标准得到的所述客户端的授权标识;
响应于所述账户关联成功建立的情况,提供基于免密访问令牌的权限管理服务,所述免密访问令牌中包括所述第二账户。
2.根据权利要求1所述的方法,其特征在于,所述响应于客户端发出的认证请求,得到第一账户,包括:
响应于认证通过的情况,向所述身份认证服务器请求开通可信赖身份认证服务,以触发所述身份认证服务器创建并反馈所述第二账户;
创建应用信息以及第一账户,所述应用信息表征以购买应用为目的生成的基础信息;
所述向身份认证服务器请求进行账户关联,包括:将所述应用信息和所述第一账户传输至所述身份认证服务器,以触发所述身份认证服务器更新所述应用信息;
在账户关联成功的情况下,接收所述身份认证服务器反馈的所述应用信息和公钥信息。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
在账户关联成功的情况下,响应于购买目标应用服务的情况,获取所述目标应用服务对应的下单信息;
根据所述下单信息更新所述应用信息;
基于更新后的应用信息、所述公钥信息和所述第二账户提供针对所述目标应用服务的购买服务。
4.根据权利要求3所述的方法,其特征在于,所述基于更新后的应用信息、所述公钥信息和所述第二账户提供针对所述目标应用服务的购买服务,包括:
基于所述更新后的应用信息、所述公钥信息、所述第二账户和预设验证信息生成购买请求,将所述购买请求发送至应用服务器,所述预设验证信息用于验证所述权限管理服务器的合法性,所述应用服务器用于提供所述目标应用服务,以触发所述应用服务器创建第三账户,并建立所述购买请求中的信息与所述第三账户的关联,所述第三账户为用户消费所述目标应用服务时的身份信息;
响应于购买成功的情况,获取所述应用服务器反馈的购买信息,所述购买信息包括所述目标应用服务对应的目标地址和目标实例标识;
向所述身份认证服务器发出购买信息更新请求,以触发所述身份认证服务器建立所述第二账户与所述购买信息之间的关联。
5.根据权利要求4所述的方法,其特征在于,所述提供基于免密访问令牌的权限管理服务,包括:
响应于消费所述目标应用服务的请求,根据所述第一账户和所述应用信息向所述身份认证服务器查询免密访问令牌,以触发所述身份认证服务器根据所述第一账户、所述第二账户、所述目标实例标识生成免密访问令牌;
根据所述目标地址和所述免密访问令牌生成访问地址,链接至所述访问地址对应的目标应用服务。
6.根据权利要求5所述的方法,其特征在于,所述根据所述目标地址和所述免密访问令牌生成访问地址,链接至所述访问地址对应的目标应用服务,包括:
对所述免密访问令牌进行加密,得到加密结果;
根据所述目标地址和所述加密结果生成所述访问地址;
跳转至所述访问地址,以触发所述应用服务器对所述加密结果进行解密,得到解密结果,以及对所述解密结果进行验证,在验证通过的情况下提供所述目标应用服务。
7.根据权利要求6所述的方法,其特征在于,所述验证包括下述步骤:
解析得到待校验应用信息和待校验第二账户;
根据所述待校验应用信息查询对应的公钥信息;
根据所述公钥信息对免密访问令牌的合法性进行验证;
响应于验证成功的情况,查询所述待校验第二账户的合法性;
响应于所述待校验第二账户合法的情况,确定验证通过。
8.一种权限管理装置,其特征在于,应用于权限管理服务器,所述装置包括:
认证请求获取模块,用于响应于客户端发出的认证请求,得到第一账户,所述第一账户用于标识所述客户端在所述权限管理服务器中的身份标识;
关联建立模块,用于向身份认证服务器请求进行账户关联,所述身份认证服务器用于基于所述第一账户生成第二账户,并建立所述第一账户与所述第二账户之间的关联关系,所述第二账户为基于预设授权标准得到的所述客户端的授权标识;
权限管理服务模块,用于响应于所述账户关联成功建立的情况,提供基于免密访问令牌的权限管理服务,所述免密访问令牌中包括所述第二账户。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现如权利要求1至7中任一项所述的一种权限管理方法。
10.一种电子设备,其特征在于,包括至少一个处理器,以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令实现如权利要求1至7中任一项所述的一种权限管理方法。
11.一种计算机程序产品,包括计算机程序或指令,其特征在于,该计算机程序或指令被处理器执行时实现权利要求1至7中任一项所述的一种权限管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111506464.6A CN116257860A (zh) | 2021-12-10 | 2021-12-10 | 权限管理方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111506464.6A CN116257860A (zh) | 2021-12-10 | 2021-12-10 | 权限管理方法、装置、存储介质及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116257860A true CN116257860A (zh) | 2023-06-13 |
Family
ID=86683081
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111506464.6A Pending CN116257860A (zh) | 2021-12-10 | 2021-12-10 | 权限管理方法、装置、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116257860A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117118751A (zh) * | 2023-10-23 | 2023-11-24 | 城云科技(中国)有限公司 | 基于OAuth2的访问控制模型的拓展方法及其应用 |
-
2021
- 2021-12-10 CN CN202111506464.6A patent/CN116257860A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117118751A (zh) * | 2023-10-23 | 2023-11-24 | 城云科技(中国)有限公司 | 基于OAuth2的访问控制模型的拓展方法及其应用 |
| CN117118751B (zh) * | 2023-10-23 | 2024-01-30 | 城云科技(中国)有限公司 | 基于OAuth2的访问控制模型的拓展方法及其应用 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10783503B2 (en) | System for managing, storing and providing shared digital content to users in a user relationship defined group in a multi-platform environment | |
| CN110929288B (zh) | 生成公钥证书的方法、证书授权中心和介质 | |
| CN109447811B (zh) | 在区块链网络中查询交易信息的方法、记账节点和介质 | |
| US11528147B2 (en) | Verifying integrity and secure operations of cloud-based software services | |
| CN108668277B (zh) | 用于分享信息、获取信息的方法和设备 | |
| EP1990750A1 (en) | Method and device for data processing and communication system comprising such device | |
| CN108881108A (zh) | 权限管理的方法和装置 | |
| CN107534855A (zh) | 远程控制目标安全元件的权限和权利的方法 | |
| WO2023030450A1 (zh) | 数据共享方法和电子设备 | |
| US20020062322A1 (en) | System for the automated carrying out of transactions by means of active identity management | |
| US20140165053A1 (en) | License management system | |
| CN102457509A (zh) | 云计算资源安全访问方法、装置及系统 | |
| CN108959310A (zh) | 基于区块链的数据处理方法、装置和计算机可读存储介质 | |
| Javed et al. | Distributed ledger technologies for network slicing: A survey | |
| CN112488707B (zh) | 一种业务流转监管方法和系统 | |
| CN113141404B (zh) | 智能网关、及数据共享系统 | |
| CN116257860A (zh) | 权限管理方法、装置、存储介质及电子设备 | |
| CN109726592A (zh) | 一种数据沙盒的处理方法及装置 | |
| CN109272318B (zh) | 应用于请求方客户端资源流交易方法、装置、设备及介质 | |
| WO2023244993A1 (en) | Systems and methods for mitigating network congestion on blockchain networks by supporting blockchain operations through off-chain interactions | |
| RU2321060C1 (ru) | Способ осуществления платежей пользователями мобильной сотовой связи | |
| US10853898B1 (en) | Method and apparatus for controlled messages | |
| CN113988982A (zh) | 一种数据交易方法、装置、设备及存储介质 | |
| US20230289472A1 (en) | Privacy as a Service | |
| Odusote et al. | Towards a well-secured electronic health record in the health cloud |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40088251 Country of ref document: HK |