CN116938520A - 权限控制方法、装置、系统、设备和存储介质 - Google Patents

权限控制方法、装置、系统、设备和存储介质 Download PDF

Info

Publication number
CN116938520A
CN116938520A CN202310667108.5A CN202310667108A CN116938520A CN 116938520 A CN116938520 A CN 116938520A CN 202310667108 A CN202310667108 A CN 202310667108A CN 116938520 A CN116938520 A CN 116938520A
Authority
CN
China
Prior art keywords
authentication
resource
party
target
request message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310667108.5A
Other languages
English (en)
Inventor
乔明鹤
姬超平
韩冬
孔维坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN202310667108.5A priority Critical patent/CN116938520A/zh
Publication of CN116938520A publication Critical patent/CN116938520A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本公开提供了一种权限控制方法、装置、系统、设备和存储介质,涉及计算机技术领域,具体涉及权限管理、云平台等技术领域。权限控制方法包括:获取访问方发送的业务请求消息的初始鉴权结果,所述初始鉴权结果是基于所述访问方所属的目标角色和所述业务请求消息所请求的目标资源获得的;若所述初始鉴权结果是鉴权通过,获取所述目标资源的目标属性信息和资源特征信息,所述资源特征信息用于表征所述目标角色针对所述目标资源具有操作权限的特征信息;基于所述目标属性信息和所述资源特征信息,获取所述业务请求消息的最终鉴权结果。本公开可以在基于角色的访问控制方式下,实现更细粒度的权限控制。

Description

权限控制方法、装置、系统、设备和存储介质
技术领域
本公开涉及计算机技术领域,具体涉及权限管理、云平台等技术领域,尤其涉及一种权限控制方法、装置、设备和存储介质。
背景技术
在实际的生产工作中,很多系统的鉴权逻辑都采用基于角色的访问控制(Role-BasedAccessControl,RBAC)模型来实现,RBAC模型的控制粒度是资源级,即可以控制某一角色对某一资源具有操作权限。
但是,在一些情况下可能需要更细粒度的权限控制,例如,需要控制某一角色对具有某一特征的资源具有操作权限。
为此,需要解决如何实现更细粒度的权限控制问题。
发明内容
本公开提供了一种权限控制方法、装置、系统、设备和存储介质。
根据本公开的一方面,提供了一种权限控制方法,包括:获取访问方发送的业务请求消息的初始鉴权结果,所述初始鉴权结果是基于所述访问方所属的目标角色和所述业务请求消息所请求的目标资源获得的;若所述初始鉴权结果是鉴权通过,获取所述目标资源的目标属性信息和资源特征信息,所述资源特征信息用于表征所述目标角色针对所述目标资源具有操作权限的特征信息;基于所述目标属性信息和所述资源特征信息,获取所述业务请求消息的最终鉴权结果。
根据本公开的另一方面,提供了一种权限控制装置,包括:第一获取模块,用于获取访问方发送的业务请求消息的初始鉴权结果,所述初始鉴权结果是基于所述访问方所属的目标角色和所述业务请求消息所请求的目标资源获得的;第二获取模块,用于若所述初始鉴权结果是鉴权通过,获取所述目标资源的目标属性信息和资源特征信息,所述资源特征信息用于表征所述目标角色针对所述目标资源具有操作权限的特征信息;鉴权模块,用于基于所述目标属性信息和所述资源特征信息,获取所述业务请求消息的最终鉴权结果。
根据本公开的另一方面,提供了一种权限控制系统,包括:业务设备和鉴权设备;所述鉴权设备,用于根据访问方所属的目标角色和业务请求消息所请求的目标资源,获取初始鉴权结果;所述业务设备,用于在所述初始鉴权结果是鉴权通过时,获取所述目标资源的目标属性信息和资源特征信息,所述资源特征信息用于表征所述目标角色针对所述目标资源具有操作权限的特征信息;以及,根据所述目标属性信息和所述资源特征信息,获取所述业务请求消息的最终鉴权结果。
根据本公开的另一方面,提供了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上述任一方面的任一项所述的方法。
根据本公开的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据上述任一方面的任一项所述的方法。
根据本公开的另一方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据上述任一方面的任一项所述的方法。
根据本公开的技术方案,可以在基于角色的访问控制方式下,实现更细粒度的权限控制。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是根据本公开第一实施例的示意图;
图2是根据本公开实施例提供的应用场景的示意图;
图3是根据本公开第二实施例的示意图;
图4是根据本公开实施例提供的资源特征信息的配置过程的示意图;
图5是根据本公开第三实施例的示意图;
图6是根据本公开第四实施例的示意图;
图7是用来实现本公开实施例的权限控制方法的电子设备的示意图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
基于角色的访问控制(Role-BasedAccessControl,RBAC)是面向企业安全策略的一种有效的访问控制方式。其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。
采用RBAC模型的权限控制方式只能实现资源级别的控制,但是,在一些情况下可能需要更细粒度的控制。
相关技术中,可以采用基于属性的访问控制(AttributeBasedAccess Control,ABAC)模型进行精细粒度的控制,但是,采用ABAC模型的控制方式,实现较为复杂。
为了在基于角色的访问控制方式下,实现更细粒度的权限控制,本公开提供如下实施例。
图1是根据本公开第一实施例的示意图,本实施例提供一种权限控制方法,该方法包括:
101、获取访问方发送的业务请求消息的初始鉴权结果,所述初始鉴权结果是基于所述访问方所属的目标角色和所述业务请求消息所请求的目标资源获得的。
102、若所述初始鉴权结果是鉴权通过,获取所述目标资源的目标属性信息,以及获取资源特征信息,所述资源特征信息用于表征所述目标角色针对所述目标资源具有操作权限的特征信息。
103、基于所述目标属性信息和所述资源特征信息,获取所述业务请求消息的最终鉴权结果。
目标角色,是指访问方对应的角色。访问方也可以称为用户,业务请求消息中可以包含访问方标识信息,如用户ID或用户名等,另外,可以预先配置用户与角色的对应关系,基于该对应关系以及访问标识信息可以确定目标角色,目标角色例如是普通用户、管理员等。
目标资源,是指业务请求消息所请求的资源。业务请求消息中可以包含资源标识信息,如统一资源定位器(UniformResourceLocator,URL)、或者资源名等,将该资源标识信息对应的资源作为目标资源,目标资源例如包括:音视频、文本、表格、图片等。
初始鉴权结果是基于目标角色和目标资源获得的,因此可以实现基于角色的访问控制。具体地,可以采用RBAC模型,基于目标角色和目标资源获得初始鉴权结果。
RBAC模型可以配置在权限模块中,从而权限模块采用RBAC模型,基于目标角色和目标资源获得初始鉴权结果。
例如,权限模块中可以预先配置用户与角色的对应关系(可称为第一对应关系),以及角色与资源的对应关系(可称为第二对应关系),基于第一对应关系以及业务请求消息中携带的访问方标识信息,可以确定访问方所属的目标角色。
第二对应关系用于表征每个角色具有操作权限的资源,基于第二对应关系以及目标角色,可以确定目标角色具有操作权限的资源(假设包括资源A和资源B),基于业务请求消息中携带的目标资源标识信息可以确定目标资源,之后,可以比对目标资源和目标角色具有操作权限的资源,获得初始鉴权结果,初始鉴权结果包括鉴权通过或鉴权不通过。例如,若目标资源属于目标角色具有操作权限的资源,如目标资源是资源A,则初始鉴权结果是鉴权通过;反之,若目标资源不属于目标角色具有操作权限的资源,如目标资源是资源C,则初始鉴权结果是鉴权不通过。
若初始鉴权结果是鉴权不通过,则可以直接确定最终鉴权结果是鉴权不通过。
若初始鉴权结果是鉴权通过,则可以进一步鉴权,得到最终鉴权结果。
具体可以基于目标属性信息和资源特征信息获取最终鉴权结果。
目标属性信息,是指目标资源具有的属性信息,例如包括:创建时间(如,X年X月X日),创建人(如,甲)。
资源特征信息,是指目标角色针对目标资源具有操作权限的特征信息,例如,创建时间早于某一设定时间点(如Y年Y月Y日),创建人是访问方自己等。
若目标属性信息与资源特征信息匹配,例如,X年X月X日早于Y年Y月Y日,则最终鉴权结果是鉴权通过;反之,两者不匹配,如X年X月X日晚于Y年Y月Y日,则最终鉴权结果是鉴权不通过。
本实施例中,初始鉴权结果是基于目标角色和目标资源获得的,即可以实现基于角色的访问控制下的权限控制;在初始鉴权结果是鉴权通过后,基于资源特征信息和目标属性信息获得最终鉴权结果,可以实现属性级别的权限控制,相对于资源级别的权限控制,可以实现更细粒度的权限控制;因此,可以实现在基于角色的访问控制方式下,实现更细粒度的权限控制。
为了更好地理解本公开,对本公开实施例的应用场景进行说明。
图2是根据本公开实施例提供的应用场景的示意图。如图2所示,整体系统可以包括:访问方201、业务方202和鉴权方203。访问方可以包括用户终端,用户终端可以包括:个人电脑(PersonalComputer、PC)、移动设备、智能家居设备、智能家居设备、可穿戴式设备等,移动设备例如包括手机、便携式电脑、平板电脑等,智能家居设备例如包括智能音箱、智能电视等,可穿戴式设备例如包括智能手表、智能眼镜等。业务方和鉴权方可以包括服务器,服务器可以为本地服务器或者云端服务器。用户终端与服务器,以及服务器之间基于通信网络进行交互,通信网络可以包括有线和/或无线通信网络。
访问方用于向业务方发送业务请求消息,以访问目标资源。
业务方用于提供目标资源,例如音视频、文本等资源。
鉴权方用于对访问方发送的业务请求消息进行鉴权,以获得初始鉴权结果,并反馈给业务方。
业务方还用于在初始鉴权结果为鉴权通过时,基于目标属性信息和资源特征信息获得最终鉴权结果;以及,在初始鉴权结果为鉴权不通过时,确定最终鉴权结果为鉴权不通过。若最终鉴权结果是鉴权通过,则允许用户访问目标资源,若最终鉴权结果不通过,则拒绝用户访问目标资源。
为了实现业务与鉴权的分离,业务方与鉴权方可以是分离设置的,即,每个业务方提供业务服务,基于角色的鉴权服务由鉴权方提供,多个业务可以采用统一的鉴权方进行鉴权。
结合上述的应用场景,本公开还提供一种权限控制方法。
图3是根据本公开第二实施例的示意图,本实施例提供一种权限控制方法,该方法包括:
301、访问方向业务方发送业务请求消息。
其中,业务请求消息中可以包含访问方标识信息,以及目标资源标识信息。访问方标识信息例如用户ID或用户名,目标资源标识信息例如为目标资源的url或资源名等。
302、业务方向鉴权方发送鉴权请求消息。
其中,鉴权请求消息中可以携带访问方标识信息和目标资源标识信息。
303、鉴权方采用RBAC模型,基于所述访问方所属的目标角色和所述业务请求消息所请求的目标资源,获取初始鉴权结果。
其中,RBAC模型是预先配置在鉴权方的,其中可以记录第一对应关系(如用户名与角色名的对应关系)和第二对应关系(如角色名与可操作资源名的对应关系),基于这两个对应关系以及鉴权请求消息中携带的用户名,可以确定目标角色,以及目标角色具有操作权限的资源。
基于鉴权请求消息中携带的目标资源标识信息(如资源名)以及目标角色对应的可操作资源名,可以确定目标资源是否属于目标角色具有操作权限的资源,若属于,则初始鉴权结果是鉴权通过,否则,若不属于,则初始鉴权结果是鉴权不通过。
304、鉴权方将初始鉴权结果发送给业务方。
本实施例中,初始鉴权结果是鉴权方获得的,而不是内置在业务方内部,可以实现业务与鉴权的解耦,提升扩展性。
另外,鉴权方采用RBAC模型进行鉴权,无需引入ABAC等新的模型,改动小,实现简便。
305、若初始鉴权结果是鉴权通过,业务方向鉴权方发送查询请求消息。
另外,若初始鉴权结果是鉴权不通过,业务方可以直接确定最终鉴权结果是鉴权不通过并反馈给访问方。
306、鉴权方响应于查询请求消息,获取预先配置的资源特征信息。
其中,查询请求消息中可以携带访问方标识信息(如用户名)和目标资源标识信息(如资源名),鉴权方基于查询请求消息中携带的用户名以及第一对应关系,可以确定目标角色,以及,基于目标资源标识可以确定目标资源。鉴权方内还可以预先配置角色-资源-资源特征信息的对应关系,基于该对应关系,可以获得目标角色针对目标资源的资源特征信息。
资源特征信息是目标角色针对目标资源具有操作权限的特征信息,例如,创建时间早于某一设定时间点(如Y年Y月Y日),创建人是访问方自己等。
307、鉴权方将资源特征信息发送给业务方。
308、业务方基于目标属性信息和资源特征信息,获取最终鉴权结果。
其中,目标属性信息是目标资源具有的属性信息,目标资源存储在业务方,基于业务请求消息中携带的目标资源标识信息可以确定目标资源,由于目标资源存储在业务方,可以在业务方本地读取到目标资源的各种属性信息,从而获得目标属性信息。
获得目标属性信息和资源特征信息后,若两者匹配,确定最终鉴权结果是鉴权通过,否则鉴权不通过。例如,目标属性信息包括:创建时间是X年X月X日,资源特征信息是创建时间早于Y年Y月Y日,若X年X月X日早于Y年Y月Y日,则最终鉴权结果是鉴权通过。
本实施例中,由于目标资源存储在业务方,业务方可以高效地获得目标属性信息,因此,业务方基于资源特征信息和目标属性信息进行鉴权,可以高效地获得最终鉴权结果。
309、业务方将最终鉴权结果发送给访问方。
资源特征信息可以是配置方通过业务方配置的。
参见图4,针对资源特征信息的配置过程可以包括:
401、配置方向业务方发送配置请求消息。
402、业务方将配置请求消息转发给鉴权方。
403、鉴权方基于配置请求消息,配置资源特征信息。
其中,配置请求消息中可以包含资源特征信息,例如,角色甲针对资源A的资源特征信息是创建时间早于Y时间点,从而鉴权方可以从配置请求消息中获取并配置资源特征信息。
另外,不同业务方可以针对同一资源配置不同的资源特征信息。例如,一个业务方配置了上述的针对资源A的创建时间的资源特性信息,另一个业务方还可以配置角色甲针对资源A的资源特征信息是创建者是甲。
另外,发起查询请求消息的业务方与配置的业务方可以相同或不同。例如,第一业务方完成了配置,第二业务方并未配置,但是,某一访问方向第二业务方发送业务请求消息后,第二业务方可以从鉴权方获得第一业务方配置的资源特征信息。
本实施例中,资源特征信息配置在鉴权方,相对于配置在业务方的方式,在存在改动需求时,无需对每个业务方都进行改动,而只需要改动鉴权方的配置信息,提高扩展性。
本实施例中,初始鉴权结果是鉴权方采用RBAC模型获得的,最终鉴权结果是业务方基于目标属性信息和资源特征信息获得的,资源特征信息是业务方从鉴权方获得的。可以理解的是,也可以是业务方采用RBAC模型获得初始鉴权结果,以及基于目标属性信息和本地配置的资源特征信息获得最鉴权结果;或者,鉴权方采用RBAC模型获得初始鉴权结果,并从业务方获得目标属性信息,并基于目标属性信息和资源特征信息获得最终鉴权结果;也就是说,初始鉴权结果和最终鉴权结果可以均是业务方或鉴权方获得的。但是,本实施例中,通过初始鉴权结果是鉴权方获得的,最终鉴权结果是业务方获得的,可以实现业务与鉴权的解耦,避免对业务的入侵,可以提升扩展性,以及提高鉴权效率。
图5是根据本公开第三实施例的示意图,本实施例提供一种权限控制装置。该装置500包括:第一获取模块501、第二获取模块502和鉴权模块503。
第一获取模块501用于获取访问方发送的业务请求消息的初始鉴权结果,所述初始鉴权结果是基于所述访问方所属的目标角色和所述业务请求消息所请求的目标资源获得的;第二获取模块502用于若所述初始鉴权结果是鉴权通过,获取所述目标资源的目标属性信息和资源特征信息,所述资源特征信息用于表征所述目标角色针对所述目标资源具有操作权限的特征信息;鉴权模块503用于基于所述目标属性信息和所述资源特征信息,获取所述业务请求消息的最终鉴权结果。
本实施例中,初始鉴权结果是基于目标角色和目标资源获得的,即可以实现基于角色的访问控制下的权限控制;在初始鉴权结果是鉴权通过后,基于资源特征信息和目标属性信息获得最终鉴权结果,可以实现属性级别的权限控制,相对于资源级别的权限控制,可以实现更细粒度的权限控制;因此,可以实现基于RBAC模型的更细粒度的权限控制。
一些实施例中,所述方法应用于业务方,所述业务方用于存储所述目标资源;所述第一获取模块501进一步用于:响应于所述访问方发送的所述业务请求消息,向鉴权方发送鉴权请求消息,以使所述鉴权方基于所述目标角色和所述目标资源获得所述初始鉴权结果;接收所述鉴权方发送的所述初始鉴权结果。
本实施例中,初始鉴权结果是鉴权方获得的,而不是内置在业务方内部,可以实现业务与鉴权的解耦,提升扩展性。
一些实施例中,所述第二获取模块502进一步用于:若所述初始鉴权结果是鉴权通过,执行如下步骤:向所述鉴权方发送查询请求消息,以使所述鉴权方基于预设的配置信息获取所述资源特征信息;接收所述鉴权方发送的所述资源特征信息;基于所述业务请求消息确定所述业务方存储的所述目标资源,并获取所述目标资源的所述目标属性信息。
本实施例中,由于目标资源存储在业务方,业务方可以高效地获得目标属性信息,因此,业务方基于资源特征信息和目标属性信息进行鉴权,可以高效地获得最终鉴权结果。
一些实施例中,该装置500还包括:配置模块,用于向所述鉴权方发送配置请求消息,所述配置请求消息中包含所述资源特征信息,以使所述鉴权方配置所述资源特征信息。
本实施例中,资源特征信息配置在鉴权方,相对于配置在业务方的方式,在存在改动需求时,无需对每个业务方都进行改动,而只需要改动鉴权方的配置信息,提高扩展性。
图6是根据本公开第四实施例的示意图,本实施例提供一种权限控制系统,该系统600包括:业务设备601和权限设备602。
鉴权设备601用于根据访问方所属的目标角色和业务请求消息所请求的目标资源,获取初始鉴权结果;业务设备602用于在所述初始鉴权结果是鉴权通过时,获取所述目标资源的目标属性信息和资源特征信息,所述资源特征信息用于表征所述目标角色针对所述目标资源具有操作权限的特征信息;以及,根据所述目标属性信息和所述资源特征信息,获取所述业务请求消息的最终鉴权结果。
本实施例中,初始鉴权结果是基于目标角色和目标资源获得的,即可以实现基于角色的访问控制下的权限控制;在初始鉴权结果是鉴权通过后,基于资源特征信息和目标属性信息获得最终鉴权结果,可以实现属性级别的权限控制,相对于资源级别的权限控制,可以实现更细粒度的权限控制;因此,可以实现基于RBAC模型的更细粒度的权限控制。
一些实施例中,所述业务设备601进一步用于:响应于所述访问方发送的所述业务请求消息,向所述鉴权设备发送鉴权请求消息;以及,接收所述鉴权方发送的所述初始鉴权结果;所述鉴权设备602进一步用于:响应于所述鉴权请求消息,根据所述目标角色和所述目标资源获得所述初始鉴权结果。
本实施例中,初始鉴权结果是鉴权方获得的,而不是内置在业务方内部,可以实现业务与鉴权的解耦,提升扩展性。
一些实施例中,所述业务设备601进一步用于:在所述初始鉴权结果是鉴权通过时,向所述鉴权设备发送查询请求消息,并接收所述鉴权设备发送的所述资源特征信息;以及,根据所述业务请求消息确定所述业务方存储的所述目标资源,并获取所述目标资源的所述目标属性信息;所述鉴权设备602进一步用于:响应于所述查询请求消息,根据预设的配置信息获取所述资源特征信息。
本实施例中,由于目标资源存储在业务方,业务方可以高效地获得目标属性信息,因此,业务方基于资源特征信息和目标属性信息进行鉴权,可以高效地获得最终鉴权结果。
一些实施例中,所述业务设备601还用于:向所述鉴权设备发送配置请求消息,所述配置请求消息中包含所述资源特征信息;所述鉴权设备602还用于:根据所述配置请求消息,配置所述资源特征信息。
本实施例中,资源特征信息配置在鉴权方,相对于配置在业务方的方式,在存在改动需求时,无需对每个业务方都进行改动,而只需要改动鉴权方的配置信息,提高扩展性。
本实施例中,通过选择误差最大且大于阈值的维度的提示内容作为提示项,可以实现精准提示,提升用户体验。
可以理解的是,本公开实施例中,不同实施例中的相同或相似内容可以相互参考。
可以理解的是,本公开实施例中的“第一”、“第二”等只是用于区分,不表示重要程度高低、时序先后等。
本公开的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供和公开等处理,均符合相关法律法规的规定,且不违背公序良俗。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图7示出了可以用来实施本公开的实施例的示例电子设备700的示意性框图。电子设备700旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备700还可以表示各种形式的移动装置,诸如,个人数字助理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图7所示,电子设备700包括计算单元701,其可以根据存储在只读存储器(ROM)702中的计算机程序或者从存储单元708加载到随机访问存储器(RAM)703中的计算机程序,来执行各种适当的动作和处理。在RAM703中,还可存储电子设备700操作所需的各种程序和数据。计算单元701、ROM702以及RAM703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
电子设备700中的多个部件连接至I/O接口705,包括:输入单元706,例如键盘、鼠标等;输出单元707,例如各种类型的显示器、扬声器等;存储单元708,例如磁盘、光盘等;以及通信单元709,例如网卡、调制解调器、无线通信收发机等。通信单元709允许电子设备700通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元701可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元701的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元701执行上文所描述的各个方法和处理,例如权限控制方法。例如,在一些实施例中,权限控制方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元708。在一些实施例中,计算机程序的部分或者全部可以经由ROM702和/或通信单元709而被载入和/或安装到电子设备700上。当计算机程序加载到RAM703并由计算单元701执行时,可以执行上文描述的权限控制方法的一个或多个步骤。备选地,在其他实施例中,计算单元701可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行权限控制方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程负载均衡装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务("VirtualPrivate Server",或简称"VPS")中,存在的管理难度大,业务扩展性弱的缺陷。服务器也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。

Claims (15)

1.一种权限控制方法,包括:
获取访问方发送的业务请求消息的初始鉴权结果,所述初始鉴权结果是基于所述访问方所属的目标角色和所述业务请求消息所请求的目标资源获得的;
若所述初始鉴权结果是鉴权通过,获取所述目标资源的目标属性信息和资源特征信息,所述资源特征信息用于表征所述目标角色针对所述目标资源具有操作权限的特征信息;
基于所述目标属性信息和所述资源特征信息,获取所述业务请求消息的最终鉴权结果。
2.根据权利要求1所述的方法,其中,
所述方法应用于业务方,所述业务方用于存储所述目标资源;
所述获取访问方发送的业务请求消息的初始鉴权结果,包括:
响应于所述访问方发送的所述业务请求消息,向鉴权方发送鉴权请求消息,以使所述鉴权方基于所述目标角色和所述目标资源获得所述初始鉴权结果;
接收所述鉴权方发送的所述初始鉴权结果。
3.根据权利要求2所述的方法,其中,所述若所述初始鉴权结果是鉴权通过,获取资源特征信息和所述业务请求消息对应的目标属性信息,包括:
若所述初始鉴权结果是鉴权通过,执行如下步骤:
向所述鉴权方发送查询请求消息,以使所述鉴权方基于预设的配置信息获取所述资源特征信息;
接收所述鉴权方发送的所述资源特征信息;
基于所述业务请求消息确定所述业务方存储的所述目标资源,并获取所述目标资源的所述目标属性信息。
4.根据权利要求2或3所述的方法,还包括:
向所述鉴权方发送配置请求消息,所述配置请求消息中包含所述资源特征信息,以使所述鉴权方配置所述资源特征信息。
5.一种权限控制装置,包括:
第一获取模块,用于获取访问方发送的业务请求消息的初始鉴权结果,所述初始鉴权结果是基于所述访问方所属的目标角色和所述业务请求消息所请求的目标资源获得的;
第二获取模块,用于若所述初始鉴权结果是鉴权通过,获取所述目标资源的目标属性信息和资源特征信息,所述资源特征信息用于表征所述目标角色针对所述目标资源具有操作权限的特征信息;
鉴权模块,用于基于所述目标属性信息和所述资源特征信息,获取所述业务请求消息的最终鉴权结果。
6.根据权利要求5所述的装置,其中,
所述方法应用于业务方,所述业务方用于存储所述目标资源;
所述第一获取模块进一步用于:
响应于所述访问方发送的所述业务请求消息,向鉴权方发送鉴权请求消息,以使所述鉴权方基于所述目标角色和所述目标资源获得所述初始鉴权结果;
接收所述鉴权方发送的所述初始鉴权结果。
7.根据权利要求6所述的装置,其中,所述第二获取模块进一步用于:
若所述初始鉴权结果是鉴权通过,执行如下步骤:
向所述鉴权方发送查询请求消息,以使所述鉴权方基于预设的配置信息获取所述资源特征信息;
接收所述鉴权方发送的所述资源特征信息;
基于所述业务请求消息确定所述业务方存储的所述目标资源,并获取所述目标资源的所述目标属性信息。
8.根据权利要求6或7所述的装置,还包括:
配置模块,用于向所述鉴权方发送配置请求消息,所述配置请求消息中包含所述资源特征信息,以使所述鉴权方配置所述资源特征信息。
9.一种权限控制系统,包括:
业务设备和鉴权设备;
所述鉴权设备,用于根据访问方所属的目标角色和业务请求消息所请求的目标资源,获取初始鉴权结果;
所述业务设备,用于在所述初始鉴权结果是鉴权通过时,获取所述目标资源的目标属性信息和资源特征信息,所述资源特征信息用于表征所述目标角色针对所述目标资源具有操作权限的特征信息;以及,根据所述目标属性信息和所述资源特征信息,获取所述业务请求消息的最终鉴权结果。
10.根据权利要求9所述的系统,其中,
所述业务设备进一步用于:响应于所述访问方发送的所述业务请求消息,向所述鉴权设备发送鉴权请求消息;以及,接收所述鉴权方发送的所述初始鉴权结果;
所述鉴权设备进一步用于:响应于所述鉴权请求消息,根据所述目标角色和所述目标资源获得所述初始鉴权结果。
11.根据权利要求9所述的系统,其中,
所述业务设备进一步用于:在所述初始鉴权结果是鉴权通过时,向所述鉴权设备发送查询请求消息,并接收所述鉴权设备发送的所述资源特征信息;以及,根据所述业务请求消息确定所述业务方存储的所述目标资源,并获取所述目标资源的所述目标属性信息;
所述鉴权设备进一步用于:响应于所述查询请求消息,根据预设的配置信息获取所述资源特征信息。
12.根据权利要求9-11任一项所述的系统,其中,
所述业务设备还用于:向所述鉴权设备发送配置请求消息,所述配置请求消息中包含所述资源特征信息;
所述鉴权设备还用于:根据所述配置请求消息,配置所述资源特征信息。
13.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-4中任一项所述的方法。
14.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1-4中任一项所述的方法。
15.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1-4中任一项所述的方法。
CN202310667108.5A 2023-06-06 2023-06-06 权限控制方法、装置、系统、设备和存储介质 Pending CN116938520A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310667108.5A CN116938520A (zh) 2023-06-06 2023-06-06 权限控制方法、装置、系统、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310667108.5A CN116938520A (zh) 2023-06-06 2023-06-06 权限控制方法、装置、系统、设备和存储介质

Publications (1)

Publication Number Publication Date
CN116938520A true CN116938520A (zh) 2023-10-24

Family

ID=88381741

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310667108.5A Pending CN116938520A (zh) 2023-06-06 2023-06-06 权限控制方法、装置、系统、设备和存储介质

Country Status (1)

Country Link
CN (1) CN116938520A (zh)

Similar Documents

Publication Publication Date Title
US10554655B2 (en) Method and system for verifying an account operation
CN108293045B (zh) 本地和远程系统之间的单点登录身份管理
US11368447B2 (en) Oauth2 SAML token service
CN110162994A (zh) 权限控制方法、系统、电子设备及计算机可读存储介质
US20140283125A1 (en) Facial recognition-based information discovery
CN113360882A (zh) 集群访问方法、装置、电子设备和介质
CN116611411A (zh) 一种业务系统报表生成方法、装置、设备及存储介质
US10721236B1 (en) Method, apparatus and computer program product for providing security via user clustering
CN113946816A (zh) 基于云服务的鉴权方法、装置、电子设备和存储介质
US9014634B2 (en) Social network based Wi-Fi connectivity
US20230085367A1 (en) Authorization processing method, electronic device, and non-transitory computer-readable storage medium
CN116244682A (zh) 数据库的访问方法、装置、设备以及存储介质
CN111752964A (zh) 基于数据接口的数据处理方法及装置
CN115550413A (zh) 一种数据调用方法、装置、服务网关及存储介质
CN116938520A (zh) 权限控制方法、装置、系统、设备和存储介质
CN103067365A (zh) 一种用于虚拟桌面接入的机顶盒、客户端、系统及方法
US11418501B2 (en) Automatic identity management with third party service providers
CN110765445B (zh) 处理请求的方法和装置
CN116566737B (zh) 基于SaaS平台的权限配置方法、装置及相关设备
CN113765866A (zh) 一种登录远程主机的方法和装置
CN111797424A (zh) 处理请求的方法和装置
CN111147470A (zh) 账号授权的方法、装置及电子设备
CN112527802B (zh) 基于键值数据库的软链接方法及装置
CN114024780B (zh) 一种基于物联网设备的节点信息处理方法及装置
CN114884718B (zh) 一种数据处理方法、装置、设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination