CN116467686A - 目标对象权限的确定方法和装置、电子设备和存储介质 - Google Patents

目标对象权限的确定方法和装置、电子设备和存储介质 Download PDF

Info

Publication number
CN116467686A
CN116467686A CN202210033855.9A CN202210033855A CN116467686A CN 116467686 A CN116467686 A CN 116467686A CN 202210033855 A CN202210033855 A CN 202210033855A CN 116467686 A CN116467686 A CN 116467686A
Authority
CN
China
Prior art keywords
access
request information
authentication
access request
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210033855.9A
Other languages
English (en)
Inventor
郝亚森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kingsoft Cloud Network Technology Co Ltd
Original Assignee
Beijing Kingsoft Cloud Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Cloud Network Technology Co Ltd filed Critical Beijing Kingsoft Cloud Network Technology Co Ltd
Priority to CN202210033855.9A priority Critical patent/CN116467686A/zh
Publication of CN116467686A publication Critical patent/CN116467686A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供了一种目标对象权限的确定方法和装置、电子设备和存储介质,其中,该方法包括:获取目标对象对目标平台发起的访问请求信息;根据所述访问请求信息,确定至少两个鉴权模式;在所述访问请求信息的访问权限满足任意一个所述鉴权模式设置的认证权限的情况下,确定所述目标对象具备访问所述目标平台的权限。通过本申请,解决了相关技术中存在的鉴权系统的鉴权形式会影响用户访问平台的便利性的问题。

Description

目标对象权限的确定方法和装置、电子设备和存储介质
技术领域
本申请涉及数据认证领域,尤其涉及一种目标对象权限的确定方法和装置、电子设备和存储介质。
背景技术
目前,市面上的大数据云平台统一鉴权系统都是单一的鉴权系统,用户只能按照特定的鉴权模式进行访问,比如用户登陆成功后植入纯文本文件,令牌等认证信息,用户发送请求时必须要携带该种认证信息才能通过鉴权访问具体内容,但是这种方案过于单调,当组件未采用当前使用的微服务架构或者需要对接第三方产品时只能强依赖此单一的鉴权方式,这时会时常出现组件与第三方产品不兼容的情况,极大地影响了用户访问平台的便利性。
因此,相关技术中存在鉴权系统的鉴权形式会影响用户访问平台的便利性的问题。
发明内容
本申请提供了一种目标对象权限的确定方法和装置、电子设备和存储介质,以至少解决相关技术中存在鉴权系统的鉴权形式会影响用户访问平台的便利性的问题。
根据本申请实施例的一个方面,提供了一种目标对象权限的确定方法,该方法包括:
获取目标对象对目标平台发起的访问请求信息;
根据所述访问请求信息,确定至少两个鉴权模式;
利用所述鉴权模式对所述访问请求信息进行访问权限的判定,在所述访问请求信息的访问权限满足任意一个所述鉴权模式设置的认证权限的情况下,确定所述目标对象具备访问所述目标平台的权限。
根据本申请实施例的另一个方面,还提供了一种目标对象权限的确定装置,该装置包括:
获取单元,用于获取目标对象对目标平台发起的访问请求信息;
第一确定单元,用于根据所述访问请求信息,确定至少两个鉴权模式;
第二确定单元,用于在所述访问请求信息的访问权限满足任意一个所述鉴权模式设置的认证权限的情况下,确定所述目标对象具备访问所述目标平台的权限。
可选地,第一确定单元包括:
第一确定模块,用于确定所述访问请求信息所支持的至少两个请求处理器,其中,所述请求处理器用于对所述访问请求信息进行访问权限的处理;
第二确定模块,用于根据所述请求处理器确定对应的所述鉴权模式。
可选地,该装置还包括:
拦截单元,用于在确定所述访问请求信息所支持的至少两个请求处理器之前,利用鉴权拦截装置对所述访问请求信息进行拦截;
第三确定单元,用于根据拦截后的所述访问请求信息,确定所述访问请求信息所支持的所述请求处理器。
可选地,该装置还包括如下步骤对访问请求信息进行访问权限的判定:
排列单元,用于在根据所述访问请求信息,确定至少两个鉴权模式之后,对所述鉴权模式按照预设排序方案对应的顺序进行排列;
得到单元,用于按照所述排列依次对所述访问请求信息进行判定,得到判定结果。
可选地,该装置还包括:
第一发送单元,用于在确定所述目标对象具备访问所述目标平台的权限之后,向所述目标平台发送所述目标对象具备访问权限的第一标识,其中,所述标识用于表征所述目标对象允许获得所述目标平台内的内容。
可选地,该装置还包括:
第二发送单元,用于在得到判定结果之后,在所述访问请求信息的访问权限不满足所有的所述鉴权模式设置的认证权限的情况下,向所述目标平台发送所述目标对象不具备访问权限的第二标识,其中,所述第二标识用于表征所述目标对象不允许获得所述目标平台内的内容。
可选地,第二确定单元还包括:
获取模块,用于获取所述预设排序方案中位于第一位的第一鉴权模式;
判定模块,用于利用所述第一鉴权模式对所述访问请求信息进行访问权限的判定;
第三确定模块,用于在所述判定结果为成功的情况下,确定所述目标对象具备访问所述目标平台的权限;或者,
输入模块,用于在所述判定结果为失败的情况下,将所述访问请求信息输入所述预设排序方案中位于第二位的第二鉴权模式;
第四确定模块,用于利用所述第二鉴权模式对所述访问请求信息进行访问权限的判定,直到所述预设排序方案内的任意一个鉴权模式输出的所述判定结果为成功的情况下,确定所述目标对象具备访问所述目标平台的权限。
根据本申请实施例的又一个方面,还提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器、通信接口和存储器通过通信总线完成相互间的通信;其中,存储器,用于存储计算机程序;处理器,用于通过运行所述存储器上所存储的所述计算机程序来执行上述任一实施例中的方法步骤。
根据本申请实施例的又一个方面,还提供了一种计算机可读的存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一实施例中的方法步骤。
在本申请实施例中,通过获取目标对象对目标平台发起的访问请求信息;根据访问请求信息,确定至少两个鉴权模式;利用鉴权模式对访问请求信息进行访问权限的判定,在访问请求信息的访问权限满足任意一个鉴权模式设置的认证权限的情况下,确定目标对象具备访问目标平台的权限,由于本申请实施例通过设置至少两个鉴权模式,利用横向拓展认证鉴权模式的方式,只要有一个鉴权模式通过即可具备访问目标平台的内容的权限,打破了单一模式带来的强制困扰,极大方便了使用方的目标对象,解决了相关技术中鉴权系统的鉴权形式会影响用户访问平台的便利性的问题。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的一种可选的目标对象权限的确定方法的硬件环境的示意图;
图2是根据本申请实施例的一种可选的目标对象权限的确定方法的流程示意图;
图3是根据本申请实施例的一种可选的目标对象权限的确定方法的整体流程示意图;
图4是根据本申请实施例的一种可选的目标对象权限的确定装置的结构框图;
图5是根据本申请实施例的一种可选的电子设备的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本申请实施例的一个方面,提供了一种目标对象权限的确定方法。可选地,在本实施例中,上述目标对象权限的确定方法可以应用于如图1所示的硬件环境中。如图1所示,终端102中可以包含有存储器104、处理器106和显示器108(可选部件)。终端102可以通过网络110与服务器112进行通信连接,该服务器112可用于为终端或终端上安装的客户端提供服务(如应用服务等),可在服务器112上或独立于服务器112设置数据库114,用于为服务器112提供数据存储服务。此外,服务器112中可以运行有处理引擎116,该处理引擎116可以用于执行由服务器112所执行的步骤。
可选地,终端102可以但不限于为可以计算数据的终端,如移动终端(例如手机、平板电脑)、笔记本电脑、PC(Personal Computer,个人计算机)机等终端上,上述网络可以包括但不限于无线网络或有线网络。其中,该无线网络包括:蓝牙、WIFI(Wireless Fidelity,无线保真)及其他实现无线通信的网络。上述有线网络可以包括但不限于:广域网、城域网、局域网。上述服务器112可以包括但不限于任何可以进行计算的硬件设备。
此外,在本实施例中,上述目标对象权限的确定方法还可以但不限于应用于处理能力较强大的独立的处理设备中,而无需进行数据交互。例如,该处理设备可以但不限于为处理能力较强大的终端设备,即,上述目标对象权限的确定方法中的各个操作可以集成在一个独立的处理设备中。上述仅是一种示例,本实施例中对此不作任何限定。
可选地,在本实施例中,上述目标对象权限的确定方法可以由服务器112来执行,也可以由终端102来执行,还可以是由服务器112和终端102共同执行。其中,终端102执行本申请实施例的目标对象权限的确定方法也可以是由安装在其上的客户端来执行。
以运行在由多个鉴权模式共同组成的鉴权体系的服务器侧为例,图2是根据本申请实施例的一种可选的目标对象权限的确定方法的流程示意图,如图2所示,该方法的流程可以包括以下步骤:
步骤S201,获取目标对象对目标平台发起的访问请求信息。
可选地,在本申请实施例中,将当前进行统一鉴权系统所在的大数据平台作为目标平台;将任意一个需要使用目标平台的使用方(或用户)称为目标对象;在目标平台前面设置一个鉴权体系的服务器,该鉴权体系中包含有鉴权模式,比如openApi(即开放接口)鉴权模式、InnerApi(即内网网络接口)鉴权模式、AK-Signature(即AK-签名)鉴权模式等。该服务器可以获取到一目标对象对该目标平台发起的访问请求,该访问请求信息可以是获取目标平台中的某一项目内容的请求等。
步骤S202,根据访问请求信息,确定至少两个鉴权模式。
可选地,依据获取的访问请求信息,可以从鉴权体系中找到能够处理该访问请求信息的访问权限的至少两个鉴权模式。其中,鉴权模式优选可以是3个。
步骤S203,在访问请求信息的访问权限满足任意一个鉴权模式设置的认证权限的情况下,确定目标对象具备访问目标平台的权限。
可选地,服务器可以利用鉴权体系内包含的各鉴权模式对访问请求信息进行访问权限的判定,只要该访问请求信息的访问权限能够满足任意一个鉴权模式设置的认证权限,即认为该目标对象具备访问目标平台的权限,服务器给予放行。
可以理解的是,本申请实施例所涉及的鉴权模式的个数为至少两个,可以是openApi(即开放接口)鉴权模式、InnerApi(即内网网络接口)鉴权模式、AK-Signature(即AK-签名)鉴权模式等,其中,openApi:是指外网的调用模式,当某一服务无法部署在公司局域网环境并且还要访问该平台内容并且获取到用户的信息,此时鉴权系统开发了openApi的认证鉴权模式,可以解决用户不是同一网络的限制。
InnerApi:是指内网访问的模式,这种鉴权模式只有能够访问公司内部的网络才可以调用,当然这种鉴权模式也是更安全的是不对外开放的。
AK-Signature:Signature:是指服务之间调用采用的一种鉴权模式,该模式下是系统给应用分配AK,SK等密钥信息通过特有的方式加密成Signature进行访问的一种认证鉴权模式。
在本申请实施例中,通过获取目标对象对目标平台发起的访问请求信息;根据访问请求信息,确定至少两个鉴权模式;利用鉴权模式对访问请求信息进行访问权限的判定,在访问请求信息的访问权限满足任意一个鉴权模式设置的认证权限的情况下,确定目标对象具备访问目标平台的权限,由于本申请实施例通过设置至少两个鉴权模式,可以横向拓展认证鉴权模式,只要有一个鉴权模式通过即可具备访问目标平台的内容的权限,打破了单一模式带来的强制困扰,极大方便了使用方的目标对象,解决了相关技术中鉴权系统的鉴权形式会影响用户访问平台的便利性的问题。
作为一种可选实施例,根据访问请求信息,确定至少两个鉴权模式包括:
确定访问请求信息所支持的至少两个请求处理器,其中,请求处理器用于对访问请求信息进行访问权限的处理;
根据请求处理器确定对应的鉴权模式。
可选地,本申请实施例的鉴权体系采用了请求处理器模式,一种鉴权模式对应一种请求处理器,其中,请求处理器用于对访问请求信息进行访问权限的处理。
在这里,根据访问请求信息可以找到其所支持的至少两个请求处理器,再利用这些请求处理器可以确定与之对应的鉴权模式。
在本申请实施例中,利用请求处理器可以将各个处理业务细粒度地分隔开,更便于精准的区分请求来源,实现无耦合的进行横向拓展,访问请求信息只要符合其中一种鉴权模式对应的请求处理器的鉴权权限,即可访问目标平台,便利了目标对象的访问操作。
作为一种可选实施例,在确定访问请求信息所支持的至少两个请求处理器之前,方法还包括:
利用鉴权拦截装置对访问请求信息进行拦截;
根据拦截后的访问请求信息,确定访问请求信息所支持的请求处理器。
可选地,本申请实施例还需要在得到访问请求信息后,利用鉴权认证拦截装置,即鉴权认证拦截器对该访问请求信息进行拦截,使所有访问请求都要经过此鉴权认证拦截器进行统一处理,其中,鉴权认证拦截器引入方式可以是:通过jar包方式或者统一网关鉴权机制,或者使用更轻量级的Api调用方式调用该鉴权认证拦截器。
然后基于拦截后的访问请求信息,来确定其所支持的请求处理器。
在本申请实施例中,在得到访问请求信息时,先利用鉴权认证拦截器进行拦截,可以更好地预防了非法信息在还未进行权限鉴定就直接进入目标平台,给目标平台带来了巨大危害的情况。
作为一种可选实施例,在所述根据所述访问请求信息,确定至少两个鉴权模式之后,按照如下步骤对访问请求信息进行访问权限的判定:
对鉴权模式按照预设排序方案对应的顺序进行排列;
按照排列依次对访问请求信息进行判定,得到判定结果。
可选地,在本申请实施例中,可以对当前访问请求信息所支持的多个请求处理器的优先级进行动态排序,得到预设排序方案,原则上所有的请求处理器都可以处理访问请求信息,这时,根据实际场景对这些请求处理器(也即鉴权模式)进行排序,然后按照预设排序方案对应的排列次序,对访问请求信息进行判定,得到判定结果。其中,判定结果只有两种,即失败或成功。
在本申请实施例中,对鉴权模式按照预设排序方案对应的顺序进行排列,通常比较常用或符合当前目标平台的实际场景的鉴权模式会排在前面,这样只要存在一鉴权模式通过访问权限鉴定,即可放行目标对象访问目标平台,在一定程度上可以节省程序流程。
作为一种可选实施例,在确定目标对象具备访问目标平台的权限之后,方法还包括:
向目标平台发送目标对象具备访问权限的第一标识,其中,标识用于表征目标对象允许获得目标平台内的内容。
可选地,在服务器确定目标对象具备访问目标平台的权限之后,可以向目标平台发送一条用于指示目标对象具备访问目标平台内容权限的标识,将该标识作为第一标识。这样,目标平台在收到第一标识后,即可对目标对象进行开放。
在本申请实施中,通过向目标平台发送第一标识,使得目标平台能够基于第一标识信息确定目标对象具备访问其内容的权限,并及时开放内容。
作为一种可选实施例,在得到判定结果之后,方法还包括:
在访问请求信息的访问权限不满足所有的鉴权模式设置的认证权限的情况下,向目标平台发送目标对象不具备访问权限的第二标识,其中,第二标识用于表征目标对象不允许获得目标平台内的内容。
可选地,将鉴权系统中的所有鉴权模式对应的请求服务器均执行一次后,如果到最后一个请求处理器还是解析失败,那么就可以判定当前访问请求信息没有携带任何合法的认证信息,是无权访问目标平台的,这时鉴权系统服务器会向目标平台发送目标对象不具备访问权限的第二标识,如401,其中该401用于表示访问请求信息未授权。
在本申请实施中,通过向目标平台发送第二标识,使得目标平台能够基于第二标识信息确定目标对象不具备访问其内容的权限,不允许开放其内容。
作为一种可选实施例,在访问请求信息的访问权限满足任意一个鉴权模式设置的认证权限的情况下,确定目标对象具备访问目标平台的权限包括:
获取预设排序方案中位于第一位的第一鉴权模式;
利用第一鉴权模式对访问请求信息进行访问权限的判定;
在判定结果为成功的情况下,确定目标对象具备访问目标平台的权限;或者,
在判定结果为失败的情况下,将访问请求信息输入预设排序方案中位于第二位的第二鉴权模式;
利用第二鉴权模式对访问请求信息进行访问权限的判定,直到预设排序方案内的任意一个鉴权模式输出的判定结果为成功的情况下,确定目标对象具备访问目标平台的权限。
可选地,本申请实施例首先获取到在预设排序方案中位于第一位的第一鉴权模式,利用第一鉴权模式对访问请求信息进行访问权限的判定;在判定结果为成功的情况下,确定目标对象具备访问目标平台的权限;
若在判定结果为失败的情况下,将访问请求信息输入预设排序方案中位于第二位的第二鉴权模式,利用第二鉴权模式对访问请求信息进行访问权限的判定,直到预设排序方案内的任意一个鉴权模式输出的判定结果为成功的情况下,确定目标对象具备访问目标平台的权限。如果直到最后一个鉴权模式,其请求处理器得到的判定结果还是失败的情况下,则判定目标对象不具备目标平台的访问权限。
在申请实施例中,调用多种认证鉴权模式,并且可以横向拓展认证鉴权模式,使用方可以根据自身的情况采用自己方便的鉴权模式进行使用,打破了单一模式带来的强制困扰,极大方便了使用方。
作为一种可选实施例,如图3所示,图3是根据本申请实施例的一种可选的目标对象权限的确定方法的整体流程示意图,具体阐述如下:
(1)介入方首先需要引入鉴权拦截器(即图3中的鉴权认证拦截器),使所有请求都要经过此鉴权拦截器进行统一处理,引入方式可以通过jar包方式或者统一网关鉴权机制,或者更轻量级的Api调用方式。
(2)用户发送请求到达鉴权拦截器后,鉴权拦截器首先会获取当前支持的请求处理器集合并且按照指定的排序方式进行循环迭代,其中,当前请求支持哪些处理器可以进行动态配置,系统默认是全部支持,这样可以让用户更灵活的选择与更细粒度的控制用户访问限制。
(3)请求经过多种鉴权拦截器后,首先会取出优先的OpenApi处理器(即图3中的Processor)进行请求校验,该请求会通过用户传递的特有Header加密头信息精准的匹配出当前用户信息,从而进行鉴权校验并且处理相关OpenApi业务逻辑,成功直接放行,失败进行下一请求处理器。
(4)用户经过OpenApi失败后会到达InnerApi处理器,此处理器会取出纯文本文件(即cookie),令牌(即token)等认证信息进行鉴权,InnerApi通过认证信息校验当前用户是否合法,合法的用户直接放行,失败进行下一请求处理。
(5)用户经过InnerApi失败后会到达Signature处理器,Signature处理器会取出之前已经在鉴权系统注册好的AK,SK等密钥信息,用户请求时,会通过鉴权系统加密好签名内容,将加密好的签名内容与AK传递给Signature处理器,Signature处理器会进行解密匹配,匹配成功的处理Signature处理器业务逻辑否认继续请求处理器集合剩下处理器内容,此种处理器只为组件之间调用提供。
(6)用户请求判断当前请求处理器集合中是否还存在未执行的处理器,直至执行到最后一个请求处理器,如果最后一个请求处理器还是解析失败,那么就可以判断当前请求没有携带任何合法的认证信息,是无权访问平台,鉴权系统会抛出401请求未授权信息。
(7)只要是当前用户携带任何一种合法的认证信息通过了多种请求处理器,系统就会执行放行操作,允许用户访问当前平台内容。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM(Read-Only Memory,只读存储器)/RAM(Random Access Memory,随机存取存储器)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例的方法。
根据本申请实施例的另一个方面,还提供了一种用于实施上述目标对象权限的确定方法的目标对象权限的确定装置。图4是根据本申请实施例的一种可选的目标对象权限的确定装置的结构框图,如图4所示,该装置可以包括:
获取单元411,用于获取目标对象对目标平台发起的访问请求信息;
第一确定单元412,与获取单元411相连,用于根据访问请求信息,确定至少两个鉴权模式;
第二确定单元413,与第一确定单元412相连,用于在访问请求信息的访问权限满足任意一个鉴权模式设置的认证权限的情况下,确定目标对象具备访问目标平台的权限。
需要说明的是,该实施例中的获取单元411可以用于执行上述步骤S201,该实施例中的第一确定单元412可以用于执行上述步骤S202,该实施例中的第二确定单元413可以用于执行上述步骤S203。
通过上述模块,本申请实施例通过设置至少两个鉴权模式,利用横向拓展认证鉴权模式的方式,只要有一个鉴权模式通过即可具备访问目标平台的内容的权限,打破了单一模式带来的强制困扰,极大方便了使用方的目标对象,解决了相关技术中鉴权系统的鉴权形式会影响用户访问平台的便利性的问题。
作为一种可选的实施例,第一确定单元包括:
第一确定模块,用于确定访问请求信息所支持的至少两个请求处理器,其中,请求处理器用于对访问请求信息进行访问权限的处理;
第二确定模块,用于根据请求处理器确定对应的鉴权模式。
作为一种可选的实施例,该装置还包括:
拦截单元,用于在确定访问请求信息所支持的至少两个请求处理器之前,利用鉴权拦截装置对访问请求信息进行拦截;
第三确定单元,用于根据拦截后的访问请求信息,确定访问请求信息所支持的请求处理器。
作为一种可选的实施例,该装置还包括如下步骤对访问请求信息进行访问权限的判定:
排列单元,用于在根据访问请求信息,确定至少两个鉴权模式之后,对鉴权模式按照预设排序方案对应的顺序进行排列;
得到单元,用于按照排列依次对访问请求信息进行判定,得到判定结果。
作为一种可选的实施例,该装置还包括:
第一发送单元,用于在确定目标对象具备访问目标平台的权限之后,向目标平台发送目标对象具备访问权限的第一标识,其中,标识用于表征目标对象允许获得目标平台内的内容。
作为一种可选的实施例,该装置还包括:
第二发送单元,用于在得到判定结果之后,在访问请求信息的访问权限不满足所有的鉴权模式设置的认证权限的情况下,向目标平台发送目标对象不具备访问权限的第二标识,其中,第二标识用于表征目标对象不允许获得目标平台内的内容。
作为一种可选的实施例,第二确定单元还包括:
获取模块,用于获取预设排序方案中位于第一位的第一鉴权模式;
判定模块,用于利用第一鉴权模式对访问请求信息进行访问权限的判定;
第三确定模块,用于在判定结果为成功的情况下,确定目标对象具备访问目标平台的权限;或者,
输入模块,用于在判定结果为失败的情况下,将访问请求信息输入预设排序方案中位于第二位的第二鉴权模式;
第四确定模块,用于利用第二鉴权模式对访问请求信息进行访问权限的判定,直到预设排序方案内的任意一个鉴权模式输出的判定结果为成功的情况下,确定目标对象具备访问目标平台的权限。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在如图1所示的硬件环境中,可以通过软件实现,也可以通过硬件实现,其中,硬件环境包括网络环境。
根据本申请实施例的又一个方面,还提供了一种用于实施上述目标对象权限的确定方法的电子设备,该电子设备可以是服务器、终端、或者其组合。
图5是根据本申请实施例的一种可选的电子设备的结构框图,如图5所示,包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501、通信接口502和存储器503通过通信总线504完成相互间的通信,其中,
存储器503,用于存储计算机程序;
处理器501,用于执行存储器503上所存放的计算机程序时,实现如下步骤:
获取目标对象对目标平台发起的访问请求信息;
根据访问请求信息,确定至少两个鉴权模式;
在访问请求信息的访问权限满足任意一个鉴权模式设置的认证权限的情况下,确定目标对象具备访问目标平台的权限。
可选地,在本实施例中,上述的通信总线可以是PCI(Peripheral ComponentInterconnect,外设部件互连标准)总线、或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括RAM,也可以包括非易失性存储器(non-volatile memory),例如,至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
作为一种示例,如图5所示,上述存储器503中可以但不限于包括上述目标对象权限的确定装置中的获取单元411、第一确定单元412、第二确定单元413。此外,还可以包括但不限于上述目标对象权限的确定装置中的其他模块单元,本示例中不再赘述。
上述处理器可以是通用处理器,可以包含但不限于:CPU(Central ProcessingUnit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(DigitalSignal Processing,数字信号处理器)、ASIC(Application Specific IntegratedCircuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
此外,上述电子设备还包括:显示器,用于显示目标对象权限的确定结果。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
本领域普通技术人员可以理解,图5所示的结构仅为示意,实施上述目标对象权限的确定方法的设备可以是终端设备,该终端设备可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。图5其并不对上述电子设备的结构造成限定。例如,终端设备还可包括比图5中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图5所示的不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、ROM、RAM、磁盘或光盘等。
根据本申请实施例的又一个方面,还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于执行目标对象权限的确定方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于上述实施例所示的网络中的多个网络设备中的至少一个网络设备上。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
获取目标对象对目标平台发起的访问请求信息;
根据访问请求信息,确定至少两个鉴权模式;
在访问请求信息的访问权限满足任意一个鉴权模式设置的认证权限的情况下,确定目标对象具备访问目标平台的权限。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例中对此不再赘述。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、ROM、RAM、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
根据本申请实施例的又一个方面,还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中;计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述任一个实施例中的目标对象权限的确定方法步骤。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例目标对象权限的确定方法的全部或部分步骤。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例中所提供的方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (10)

1.一种目标对象权限的确定方法,其特征在于,所述方法包括:
获取目标对象对目标平台发起的访问请求信息;
根据所述访问请求信息,确定至少两个鉴权模式;
在所述访问请求信息的访问权限满足任意一个所述鉴权模式设置的认证权限的情况下,确定所述目标对象具备访问所述目标平台的权限。
2.根据权利要求1所述的方法,其特征在于,所述根据所述访问请求信息,确定至少两个鉴权模式包括:
确定所述访问请求信息所支持的至少两个请求处理器,其中,所述请求处理器用于对所述访问请求信息进行访问权限的处理;
根据所述请求处理器确定对应的所述鉴权模式。
3.根据权利要求2所述的方法,其特征在于,在确定所述访问请求信息所支持的至少两个请求处理器之前,所述方法还包括:
利用鉴权拦截装置对所述访问请求信息进行拦截;
根据拦截后的所述访问请求信息,确定所述访问请求信息所支持的所述请求处理器。
4.根据权利要求1所述的方法,其特征在于,在所述根据所述访问请求信息,确定至少两个鉴权模式之后,按照如下步骤对访问请求信息进行访问权限的判定:
对所述鉴权模式按照预设排序方案对应的顺序进行排列;
按照所述排列依次对所述访问请求信息进行判定,得到判定结果。
5.根据权利要求1所述的方法,其特征在于,在确定所述目标对象具备访问所述目标平台的权限之后,所述方法还包括:
向所述目标平台发送所述目标对象具备访问权限的第一标识,其中,所述标识用于表征所述目标对象允许获得所述目标平台内的内容。
6.根据权利要求4所述的方法,其特征在于,在所述得到判定结果之后,所述方法还包括:
在所述访问请求信息的访问权限不满足所有的所述鉴权模式设置的认证权限的情况下,向所述目标平台发送所述目标对象不具备访问权限的第二标识,其中,所述第二标识用于表征所述目标对象不允许获得所述目标平台内的内容。
7.根据权利要求4所述的方法,其特征在于,所述在所述访问请求信息的访问权限满足任意一个所述鉴权模式设置的认证权限的情况下,确定所述目标对象具备访问所述目标平台的权限包括:
获取所述预设排序方案中位于第一位的第一鉴权模式;
利用所述第一鉴权模式对所述访问请求信息进行访问权限的判定;
在所述判定结果为成功的情况下,确定所述目标对象具备访问所述目标平台的权限;或者,
在所述判定结果为失败的情况下,将所述访问请求信息输入所述预设排序方案中位于第二位的第二鉴权模式;
利用所述第二鉴权模式对所述访问请求信息进行访问权限的判定,直到所述预设排序方案内的任意一个鉴权模式输出的所述判定结果为成功的情况下,确定所述目标对象具备访问所述目标平台的权限。
8.一种目标对象权限的确定装置,其特征在于,所述装置包括:
获取单元,用于获取目标对象对目标平台发起的访问请求信息;
第一确定单元,用于根据所述访问请求信息,确定至少两个鉴权模式;
第二确定单元,用于利用所述鉴权模式对所述访问请求信息进行访问权限的判定,在所述访问请求信息的访问权限满足任意一个所述鉴权模式设置的认证权限的情况下,确定所述目标对象具备访问所述目标平台的权限。
9.一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,所述处理器、所述通信接口和所述存储器通过所述通信总线完成相互间的通信,其特征在于,
所述存储器,用于存储计算机程序;
所述处理器,用于通过运行所述存储器上所存储的所述计算机程序来执行权利要求1至7中任一项所述的方法步骤。
10.一种计算机可读的存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至7中任一项中所述的方法步骤。
CN202210033855.9A 2022-01-12 2022-01-12 目标对象权限的确定方法和装置、电子设备和存储介质 Pending CN116467686A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210033855.9A CN116467686A (zh) 2022-01-12 2022-01-12 目标对象权限的确定方法和装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210033855.9A CN116467686A (zh) 2022-01-12 2022-01-12 目标对象权限的确定方法和装置、电子设备和存储介质

Publications (1)

Publication Number Publication Date
CN116467686A true CN116467686A (zh) 2023-07-21

Family

ID=87179413

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210033855.9A Pending CN116467686A (zh) 2022-01-12 2022-01-12 目标对象权限的确定方法和装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN116467686A (zh)

Similar Documents

Publication Publication Date Title
US9686301B2 (en) Method and system for virtual asset assisted extrusion and intrusion detection and threat scoring in a cloud computing environment
CN107463838B (zh) 基于sgx的安全监控方法、装置、系统及存储介质
CN110598446A (zh) 基于区块链的测试方法、装置、存储介质和计算机设备
CN112559993B (zh) 身份认证方法、装置、系统及电子设备
CN109766700A (zh) 访问文件的控制方法及装置、存储介质、电子装置
CN105306490A (zh) 支付验证系统、方法及装置
US20170118022A1 (en) Mainstream connection establishment method and device based on multipath transmission control protocol (mptcp)
CN110958119A (zh) 身份验证方法和装置
CN112308561A (zh) 基于区块链的存证方法、系统、计算机设备和存储介质
EP3063690A1 (en) Method and system for validating a virtual asset
CN107645474B (zh) 登录开放平台的方法及登录开放平台的装置
CN111698196A (zh) 一种鉴权方法及微服务系统
US20150067784A1 (en) Computer network security management system and method
CN111597537B (zh) 基于区块链网络的证书签发方法、相关设备及介质
CN110602051B (zh) 基于共识协议的信息处理方法及相关装置
CN112328415A (zh) 接口调用方法、装置、计算机设备和可读存储介质
CN112261003A (zh) 工业互联网边缘计算节点的安全认证方法及系统
CN110602133A (zh) 智能合约处理方法、区块链管理设备及存储介质
CN113709136B (zh) 一种访问请求验证方法和装置
CN108574658B (zh) 一种应用登录方法及其设备
CN116467686A (zh) 目标对象权限的确定方法和装置、电子设备和存储介质
US9787658B2 (en) Login system based on server, login server, and verification method thereof
CN113596600A (zh) 直播嵌入程序的安全管理方法、装置、设备及存储介质
CN115623013A (zh) 一种策略信息同步方法、系统及相关产品
CN113098685B (zh) 一种基于云计算的安全验证方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination