CN116992476A - 应用权限的控制方法、装置、设备及存储介质 - Google Patents
应用权限的控制方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116992476A CN116992476A CN202311247764.6A CN202311247764A CN116992476A CN 116992476 A CN116992476 A CN 116992476A CN 202311247764 A CN202311247764 A CN 202311247764A CN 116992476 A CN116992476 A CN 116992476A
- Authority
- CN
- China
- Prior art keywords
- authorization
- information
- target application
- target user
- authorization request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000013475 authorization Methods 0.000 claims abstract description 349
- 230000000977 initiatory effect Effects 0.000 claims abstract description 79
- 238000012795 verification Methods 0.000 claims abstract description 55
- 238000011084 recovery Methods 0.000 claims abstract description 26
- 238000004590 computer program Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 238000004064 recycling Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Bioethics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种应用权限的控制方法、装置、设备及存储介质。方法包括:接收目标应用的授权请求,授权请求用于请求将目标应用对应的资源的操作权限赋予给目标用户;获取目标应用的权限控制模型的配置信息,配置信息中包含有目标应用的多级权限校验信息和目标应用的授权有效期信息;根据多级权限校验信息、目标用户的标识信息和授权请求的发起对象的标识信息,对目标应用的授权请求的有效性进行多级校验;若目标应用的授权请求校验为有效,则根据目标应用的授权有效期信息,确定目标用户的权限有效期信息;根据目标用户的权限有效期信息,为目标用户赋予目标应用对应的资源的操作权限。采用本方法能够避免权限回收不及时。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种应用权限的控制方法、装置、设备及存储介质。
背景技术
随着信息技术的发展,越来越多的业务通过应用程序来实现,相应的,对于应用程序的权限管理也越来越重要。权限管理用于实现用户对访问应用程序的资源的的控制,从而使得按照安全规则或者安全策略控制用户只能访问自己被授权的资源。
相关技术中,应用程序的权限管理可以通过权限控制模型来实现,常见的权限控制模型可以包括访问策略控制(Access Control Lists,ACL)模型和基于角色的访问控制(Role-Based Access Control,RBAC)模型。ACL模型可以对用户、权限对象直接授予应用权限。RBAC模型可以为应用对应的角色授予应用权限,再对用户和权限对象赋予角色,从而实现权限控制。
然而,通过ACL模型和RBAC模型进行的权限控制,在权限回收时,往往需要管理员再次发送权限回收请求,当授权的用户较多时,管理员可能会遗漏个别用户的权限回收,从而造成权限回收不及时的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够避免权限回收不及时的应用权限的控制方法、装置、设备及存储介质。
第一方面,本申请提供了一种应用权限的控制方法。所述方法包括:
接收目标应用的授权请求,所述授权请求用于请求将所述目标应用对应的资源的操作权限赋予给目标用户,所述授权请求中包含所述目标用户的标识信息和所述授权请求的发起对象的标识信息;
获取所述目标应用的权限控制模型的配置信息,所述配置信息中包含有所述目标应用的多级权限校验信息和所述目标应用的授权有效期信息,所述权限控制模型用于管理所述目标应用对应的资源的操作权限;
根据所述多级权限校验信息、所述目标用户的标识信息和所述授权请求的发起对象的标识信息,对所述目标应用的授权请求的有效性进行多级校验;
若所述目标应用的授权请求校验为有效,则根据所述目标应用的授权有效期信息,确定所述目标用户的权限有效期信息;
根据所述目标用户的权限有效期信息,为所述目标用户赋予所述目标应用对应的资源的操作权限。
在其中一个实施例中,所述授权有效期信息中包含有默认授权时间和所述授权请求的发起对象对应的上限授权时间。
在其中一个实施例中,所述根据所述目标应用的授权有效期,确定所述目标用户的权限有效期信息,包括:
若所述授权请求中不存在所述目标用户的授权请求时间,则根据所述默认授权时间,确定所述目标用户的权限有效期信息;
若所述授权请求中存在所述目标用户的授权请求时间,则根据所述目标用户的授权请求时间和所述授权请求的发起对象对应的上限授权时间,确定所述目标用户的权限有效期信息。
在其中一个实施例中,所述多级权限校验信息中包括请求对象列表和授权对象列表;
所述根据所述多级权限校验信息、所述目标用户的标识信息和所述授权请求的发起对象的标识信息,对所述目标应用的授权请求的有效性进行多级校验,包括:
根据所述授权请求的发起对象的标识信息,确定所述授权请求的发起对象对应的角色信息;
根据所述目标用户的标识信息,确定所述目标用户对应的角色信息;
若所述授权请求的发起对象对应的角色信息在所述请求对象列表中且所述目标用户对应的角色信息在所述授权对象列表中,则确定所述目标应用的授权请求有效;
若所述授权请求的发起对象对应的角色信息不在所述请求对象列表中或所述目标用户对应的角色信息不在所述授权对象列表中,则确定所述目标应用的授权请求无效。
在其中一个实施例中,在所述获取所述目标应用的权限控制模型的配置信息之前,所述方法还包括:
接收所述目标应用的配置请求,所述配置请求用于请求开启所述目标应用的权限有效期配置,所述配置请求中包含有所述目标应用的授权有效期信息;
在所述目标应用的权限控制模型的配置信息中,添加所述目标应用的授权有效期信息。
在其中一个实施例中,在所述根据所述目标用户的权限有效期信息,为所述目标用户赋予所述目标应用对应的资源的操作权限之后,所述方法还包括:
将所述目标应用的授权请求对应的授权信息添加至所述目标应用对应的权限回收队列中;
根据所述权限回收队列中的授权信息的排序,依次对所述权限回收队列中的授权信息的权限有效期进行检测;
若检测到存在生效时间大于权限有效期的授权信息,则撤销所述授权信息对应的目标用户对所述目标应用对应的资源的操作权限。
在其中一个实施例中,所述授权信息包括所述目标用户的标识信息、所述目标应用中的授权资源的标识和所述目标用户的权限有效期信息。
第二方面,本申请还提供了一种应用权限的控制装置。所述装置包括:
接收模块,接收目标应用的授权请求,所述授权请求用于请求将所述目标应用对应的资源的操作权限赋予给目标用户,所述授权请求中包含所述目标用户的标识信息和所述授权请求的发起对象的标识信息;
获取模块,用于获取所述目标应用的权限控制模型的配置信息,所述配置信息中包含有所述目标应用的多级权限校验信息和所述目标应用的授权有效期信息,所述权限控制模型用于管理所述目标应用对应的资源的操作权限;
校验模块,用于根据所述多级权限校验信息、所述目标用户的标识信息和所述授权请求的发起对象的标识信息,对所述目标应用的授权请求的有效性进行多级校验;
赋权模块,用于若所述目标应用的授权请求有效,则根据所述目标应用的授权有效期信息,确定所述目标用户的权限有效期信息;根据所述目标用户的权限有效期信息,为所述目标用户赋予所述目标应用对应的资源的操作权限。
在其中一个实施例中,所述授权有效期信息中包含有默认授权时间和所述授权请求的发起对象对应的上限授权时间。
在其中一个实施例中,所述赋权模块,具体用于若所述授权请求中不存在所述目标用户的授权请求时间,则根据所述默认授权时间,确定所述目标用户的权限有效期信息;若所述授权请求中存在所述目标用户的授权请求时间,则根据所述目标用户的授权请求时间和所述授权请求的发起对象对应的上限授权时间,确定所述目标用户的权限有效期信息。
在其中一个实施例中,所述多级权限校验信息中包括请求对象列表和授权对象列表;
所述校验模块,具体用于根据所述授权请求的发起对象的标识信息,确定所述授权请求的发起对象对应的角色信息;根据所述目标用户的标识信息,确定所述目标用户对应的角色信息;若所述授权请求的发起对象对应的角色信息在所述请求对象列表中且所述目标用户对应的角色信息在所述授权对象列表中,则确定所述目标应用的授权请求有效;若所述授权请求的发起对象对应的角色信息不在所述请求对象列表中或所述目标用户对应的角色信息不在所述授权对象列表中,则确定所述目标应用的授权请求无效。
在其中一个实施例中,所述获取模块,还用于接收所述目标应用的配置请求,所述配置请求用于请求开启所述目标应用的权限有效期配置,所述配置请求中包含有所述目标应用的授权有效期信息;在所述目标应用的权限控制模型的配置信息中,添加所述目标应用的授权有效期信息。
在其中一个实施例中,赋权模块,还用于将所述目标应用的授权请求对应的授权信息添加至所述目标应用对应的权限回收队列中;根据所述权限回收队列中的授权信息的排序,依次对所述权限回收队列中的授权信息的权限有效期进行检测;若检测到存在生效时间大于权限有效期的授权信息,则撤销所述授权信息对应的目标用户对所述目标应用对应的资源的操作权限。
在其中一个实施例中,所述授权信息包括所述目标用户的标识信息、所述目标应用中的授权资源的标识和所述目标用户的权限有效期信息。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的应用权限的控制方法。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的应用权限的控制方法。
上述应用权限的控制方法、装置、设备及存储介质,首先接收目标应用的授权请求,授权请求用于请求将目标应用对应的资源的操作权限赋予给目标用户,授权请求中包含目标用户的标识信息和授权请求的发起对象的标识信息。其次,获取目标应用的权限控制模型的配置信息,配置信息中包含有目标应用的多级权限校验信息和目标应用的授权有效期信息,权限控制模型用于管理目标应用对应的资源的操作权限。再次,根据多级权限校验信息、目标用户的标识信息和授权请求的发起对象的标识信息,对目标应用的授权请求的有效性进行多级校验。若目标应用的授权请求校验为有效,则根据目标应用的授权有效期信息,确定目标用户的权限有效期信息。最后,根据目标用户的权限有效期信息,为目标用户赋予目标应用对应的资源的操作权限。由于在本申请中,基于目标用户的权限有效期信息为目标用户赋予目标应用对应的资源的操作权限,从而使得生效时间超过权限有效期后,可以自动撤销应用权限的,保证了权限回收的及时性。
附图说明
图1为本申请实施例提供的一种应用权限的控制方法的应用环境图;
图2为本申请实施例提供的一种应用权限的控制方法的流程示意图;
图3为本申请实施例提供的另一种应用权限的控制方法的流程示意图;
图4为本申请实施例提供的再一种应用权限的控制方法的流程示意图;
图5为本申请实施例提供的一种应用权限的控制方法的信令交互图;
图6为本申请实施例提供的一种应用权限的控制装置的结构框图;
图7为本申请实施例提供的一种计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的应用权限的控制方法方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。
当需要获取权限时,管理员可以通过终端102向服务器发送目标应用的授权请求,该授权请求用于请求将目标应用对应的资源的操作权限赋予给目标用户,该授权请求中包含目标用户的标识信息和授权请求的发起对象的标识信息。其次,服务器104获取目标应用的权限控制模型的配置信息,该配置信息中包含有目标应用的多级权限校验信息和目标应用的授权有效期信息,该权限控制模型用于管理目标应用对应的资源的操作权限。再次,服务器104根据多级权限校验信息、目标用户的标识信息和授权请求的发起对象的标识信息,对目标应用的授权请求的有效性进行多级校验。若目标应用的授权请求校验为无效,则不进行授权。若目标应用的授权请求校验为有效,则服务器104根据目标应用的授权有效期信息,确定目标用户的权限有效期信息。最后,服务器104根据目标用户的权限有效期信息,为目标用户赋予目标应用对应的资源的操作权限。
其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种应用权限的控制方法方法,以该方法应用于图1中的服务器为例进行说明,包括S201-S205:
S201:接收目标应用的授权请求。
其中,授权请求用于请求将目标应用对应的资源的操作权限赋予给目标用户,授权请求中包含目标用户的标识信息和授权请求的发起对象的标识信息。
在本申请中,当需要为目标用户授予目标应用对应的资源的操作权限时,可以通过终端设备向服务器发送目标应用的授权请求。
应理解,本申请实施例对于目标应用不做限制,其可以为即时通讯应用、视频应用、工具应用、游戏应用等。相应的,目标应用对应的资源可以是目标应用中的某项功能、某个元素、某个文件、某个页面、某个菜单等。
示例性的,若目标用户需要访问工具应用中的某个文件,则可以向服务器发送目标应用的授权请求。示例性的,若目标用户申请使用即时通讯应用中的视频通话功能,则也可以向服务器发送目标应用的授权请求。
应理解,上述目标应用的授权请求,可以为发起对象发起的请求。该发起对象可以为上述目标用户,也可以不是上述目标用户,例如,可以为管理员。示例性的,若目标用户需要获取目标应用对应的资源的操作权限,则可以向管理员提出申请,随后,管理员通过终端设备向服务器发送目标应用的授权请求,以使目标用户获取目标应用对应的资源的操作权限。
应理解,本申请实施例对于目标用户的标识信息和授权请求的发起对象的标识信息不做限制,在一些实施例中,目标用户的标识信息和授权请求的发起对象的标识信息,与账号一一对应。不同账号对应的目标用户的标识信息或发起对象的标识信息,均不相同。
S202:获取目标应用的权限控制模型的配置信息。
在本步骤中,当服务器接收目标应用的授权请求后,可以获取目标应用的权限控制模型的配置信息。
其中,配置信息中包含有目标应用的多级权限校验信息和目标应用的授权有效期信息,权限控制模型用于管理目标应用对应的资源的操作权限。上述权限控制模型可以包括访问策略控制(Access Control Lists,ACL)模型和基于角色的访问控制(Role-BasedAccess Control,RBAC)模型等,本申请实施例对此不做限制。
在一些实施例中,上述目标应用的多级权限校验信息,可以包括请求对象列表和授权对象列表,上述请求对象列表中包含有可发起授权请求的角色,上述授权对象列表列表中包含可授予目标应用的授权的角色,上述角色可以为服务器授予各个用户或发起对象的标签。通过多级权限校验信息可以分别对授权请求的发起对象和授权的目标用户的资格进行验证。
在一些实施例中,授权有效期信息中包含有默认授权时间和授权请求的发起对象对应的上限授权时间。上限授权时间为目标用户所能授予的最高授权时间,默认授权时间为授权请求中不存在授权请求时间时所使用的目标用户的权限有效期的时间。
应理解,本申请实施例对于授权有效期信息不做限制。示例性的,授权有效期信息中的默认授权时间可以为七天,授权有效期信息中的上限授权时间可以为十天。示例性的,授权有效期信息中的默认授权时间可以为三天,授权有效期信息中的上限授权时间可以为五天。
应理解,在本申请实施例中,配置信息可以通过终端设备发送的配置请求来添加或修改。在一些实施例中,终端设备可以向服务器发送目标应用的配置请求,配置请求用于请求开启目标应用的权限有效期配置,配置请求中包含有目标应用的授权有效期信息。随后,服务器可以在目标应用的权限控制模型的配置信息中,添加目标应用的授权有效期信息。
需要说明的是,服务器中可以存在多个应用的权限控制模型,来分别管理不同的应用对应的资源的操作权限。配置信息也仅与对应的应用的权限控制模型关联。相应的,配置请求中也可以包括目标应用的标识,服务器可以通过目标应用的标识,来确定需要修改的配置信息。
S203:根据多级权限校验信息、目标用户的标识信息和授权请求的发起对象的标识信息,对目标应用的授权请求的有效性进行多级校验。
在本步骤中,当服务器获取目标应用的权限控制模型的配置信息后,可以根据多级权限校验信息、目标用户的标识信息和授权请求的发起对象的标识信息,对目标应用的授权请求的有效性进行多级校验。
应理解,本申请实施例对于如何对目标应用的授权请求的有效性进行多级校验不做限制,在一些实施例中,服务器可以根据授权请求的发起对象的标识信息,确定授权请求的发起对象对应的角色信息,并根据目标用户的标识信息,确定目标用户对应的角色信息。随后,服务器确定授权请求的发起对象对应的角色信息是否在请求对象列表中,同时,确定目标用户对应的角色信息是否在授权对象列表中。
若授权请求的发起对象对应的角色信息在请求对象列表中且目标用户对应的角色信息在授权对象列表中,则确定目标应用的授权请求有效。若授权请求的发起对象对应的角色信息不在请求对象列表中或目标用户对应的角色信息不在授权对象列表中,则确定目标应用的授权请求无效。
应理解,上述角色可以为服务器授予各个用户或发起对象的标签。
示例性的,不同用户或发起对象,可以对应不同的角色。示例性的,角色信息可以包括一级用户、二级用户和管理员用户,请求对象列表中包括二级用户,授权对象列表中包括管理员用户。若发起对象对应的角色为管理员用户,且授权的目标用户为二级用户,则可以确定目标应用的授权请求有效。若发起对象对应的角色为管理员用户,且授权的目标用户为一级用户,则可以确定目标应用的授权请求有效。
需要说明的是,服务器中可以预先存储有发起对象与角色信息之间的对应关系,以及,目标用户与角色信息之间的对应关系。示例性的,可以在发起对象和目标用户建立账号信息时,存储发起对象与角色信息之间的对应关系或目标用户与角色信息之间的对应关系。
S204:若目标应用的授权请求校验为有效,则根据目标应用的授权有效期信息,确定目标用户的权限有效期信息。
在本步骤中,当服务器确定目标应用的授权请求有效后,可以根据目标应用的授权有效期信息,确定目标用户的权限有效期信息。
其中,授权有效期信息中包含有默认授权时间和授权请求的发起对象对应的上限授权时间。
在一些实施例中,若授权请求中不存在目标用户的授权请求时间,则根据默认授权时间,确定目标用户的权限有效期信息。若授权请求中存在目标用户的授权请求时间,则根据目标用户的授权请求时间和授权请求的发起对象对应的上限授权时间,确定目标用户的权限有效期信息。
示例性的,在发起目标应用的授权请求时,可以指定目标用户的权限有效期,也可以使用默认授权时间。若使用默认的授权时间,则无需在终端设备中输入授权请求时间,相应的,授权请求中不存在目标用户的授权请求时间。若指定目标用户的权限有效期,则可以在终端设备中输入授权请求时间,相应的,服务器可以根据目标用户的授权请求时间和授权请求的发起对象对应的上限授权时间,确定目标用户的权限有效期信息。
示例性的,若授权请求时间大于上限授权时间,则可以使用默认授权时间或上限授权时间,作为目标用户的权限有效期。若授权请求时间小于等于上限授权时间,则可以使用授权请求时间,作为目标用户的权限有效期。
S205:根据目标用户的权限有效期信息,为目标用户赋予目标应用对应的资源的操作权限。
在本步骤中,当服务器根据目标应用的授权有效期信息,确定目标用户的权限有效期信息后,可以根据目标用户的权限有效期信息,为目标用户赋予目标应用对应的资源的操作权限。
在一些实施例中,在为目标用户赋予目标应用对应的资源的操作权限时,可以相应的设置目标用户的权限有效期信息,从而在达到目标用户的权限有效期后,服务器及时回收赋予目标用户的目标应用对应的资源的操作权限。
应理解,本申请实施例对于如何回收权限不做限制,在一些实施例中,服务器可以将目标应用的授权请求对应的授权信息添加至目标应用对应的权限回收队列中。随后,服务器根据权限回收队列中的授权信息的排序,依次对权限回收队列中的授权信息的权限有效期进行检测。若检测到存在生效时间大于权限有效期的授权信息,则撤销授权信息对应的目标用户对目标应用对应的资源的操作权限。
其中,授权信息包括目标用户的标识信息、目标应用中的授权资源的标识和目标用户的权限有效期信息。
示例性的,权限回收队列中的授权信息可以根据距离权限有效期的时长排列,较快到期的授权信息排列在靠前位置,较晚到期的授权信息排列在靠后位置。服务器可以从前往后对权限回收队列中的授权信息的权限有效期进行检测。若检测到存在生效时间大于权限有效期的授权信息,则撤销授权信息对应的目标用户对目标应用对应的资源的操作权限。若检测到存在生效时间小于等于权限有效期的授权信息,则间隔预设的时间间隔为再次对该授权信息的权限有效期进行检测。
应理解,本申请实施例对于上述预设的时间间隔不做限制,在一些实施例中预设的时间间隔可以为1秒、1分钟、1天等。
本申请实施例提供的应用权限的控制方法,首先接收目标应用的授权请求,授权请求用于请求将目标应用对应的资源的操作权限赋予给目标用户,授权请求中包含目标用户的标识信息和授权请求的发起对象的标识信息。其次,获取目标应用的权限控制模型的配置信息,配置信息中包含有目标应用的多级权限校验信息和目标应用的授权有效期信息,权限控制模型用于管理目标应用对应的资源的操作权限。再次,根据多级权限校验信息、目标用户的标识信息和授权请求的发起对象的标识信息,对目标应用的授权请求的有效性进行多级校验。若目标应用的授权请求校验为有效,则根据目标应用的授权有效期信息,确定目标用户的权限有效期信息。最后,根据目标用户的权限有效期信息,为目标用户赋予目标应用对应的资源的操作权限。由于在本申请中,基于目标用户的权限有效期信息为目标用户赋予目标应用对应的资源的操作权限,从而使得生效时间超过权限有效期后,可以自动撤销应用权限的,保证了权限回收的及时性。
下面对于服务器如何对授权请求的有效性进行多级校验进行说明。图3为本申请实施例提供的另一种应用权限的控制方法的流程示意图。如图3所示,该应用权限的控制方法,包括S301-S310:
S301、接收目标应用的授权请求,授权请求用于请求将目标应用对应的资源的操作权限赋予给目标用户,授权请求中包含目标用户的标识信息和授权请求的发起对象的标识信息;
S302、获取目标应用的权限控制模型的配置信息,配置信息中包含有目标应用的多级权限校验信息和目标应用的授权有效期信息,权限控制模型用于管理目标应用对应的资源的操作权限。
S303、根据授权请求的发起对象的标识信息,确定授权请求的发起对象对应的角色信息。
S304、根据目标用户的标识信息,确定目标用户对应的角色信息。
S305、确定授权请求的发起对象对应的角色信息是否在请求对象列表中。
若是,则执行S306,若否,则执行S307。
S306、确定目标用户对应的角色信息是否在授权对象列表中。
若是,则执行S308,若否,则执行S307。
S307、确定目标应用的授权请求无效。
S308、确定目标应用的授权请求有效。
S309、根据目标应用的授权有效期信息,确定目标用户的权限有效期信息。
S310、根据目标用户的权限有效期信息,为目标用户赋予目标应用对应的资源的操作权限。
下面对于服务器如何确定目标用户的权限有效期信息进行说明。图4为本申请实施例提供的再一种应用权限的控制方法的流程示意图。如图4所示,该应用权限的控制方法,包括S401-S407:
S401、接收目标应用的授权请求,授权请求用于请求将目标应用对应的资源的操作权限赋予给目标用户,授权请求中包含目标用户的标识信息和授权请求的发起对象的标识信息;
S402、获取目标应用的权限控制模型的配置信息,配置信息中包含有目标应用的多级权限校验信息和目标应用的授权有效期信息,权限控制模型用于管理目标应用对应的资源的操作权限;
S403、根据多级权限校验信息、目标用户的标识信息和授权请求的发起对象的标识信息,对目标应用的授权请求的有效性进行多级校验。
S404、若目标应用的授权请求校验为有效,则确定授权请求中是否存在目标用户的授权请求时间。
若是,则执行S406,若否,则执行S405。
S405、根据默认授权时间,确定目标用户的权限有效期信息。
在S405之后执行S407。
S406、根据目标用户的授权请求时间和授权请求的发起对象对应的上限授权时间,确定目标用户的权限有效期信息。
S407、根据目标用户的权限有效期信息,为目标用户赋予目标应用对应的资源的操作权限。
下面对于应用权限的控制过程中服务器如何与终端设备交互进行说明。图5为本申请实施例提供的再一种应用权限的控制方法的信令交互图。如图5所示,该应用权限的控制方法,包括S501-S511:
S501、终端设备向服务器发送目标应用的配置请求,配置请求用于请求开启目标应用的权限有效期配置,配置请求中包含有目标应用的授权有效期信息。
S502、服务器配置目标应用的权限控制模型,在配置信息中添加目标应用的授权有效期信息。
S503、终端设备向服务器发送目标应用的授权请求,授权请求用于请求将目标应用对应的资源的操作权限赋予给目标用户,授权请求中包含目标用户的标识信息和授权请求的发起对象的标识信息;
S504、服务器获取目标应用的权限控制模型的配置信息,配置信息中包含有目标应用的多级权限校验信息和目标应用的授权有效期信息,权限控制模型用于管理目标应用对应的资源的操作权限;
S505、服务器确定是否开启目标应用的权限有效期配置。
若是,则执行S507,若否,则执行S506。
S506、服务器授予目标用户无有效期的权限。
S507、服务器根据目标应用的授权有效期信息,确定目标用户的权限有效期信息。
S508、服务器根据目标用户的权限有效期信息,为目标用户赋予目标应用对应的资源的操作权限。
S509、服务器将目标应用的授权请求对应的授权信息添加至目标应用对应的权限回收队列中。
S510、服务器根据权限回收队列中的授权信息的排序,依次对权限回收队列中的授权信息的权限有效期进行检测。
S511、服务器检测是否存在生效时间大于权限有效期的授权信息。
若是,则执行S512,若否,则执行S511。
S512、服务器撤销授权信息对应的目标用户对目标应用对应的资源的操作权限。
本申请实施例提供的应用权限的控制方法,首先接收目标应用的授权请求,授权请求用于请求将目标应用对应的资源的操作权限赋予给目标用户,授权请求中包含目标用户的标识信息和授权请求的发起对象的标识信息。其次,获取目标应用的权限控制模型的配置信息,配置信息中包含有目标应用的多级权限校验信息和目标应用的授权有效期信息,权限控制模型用于管理目标应用对应的资源的操作权限。再次,根据多级权限校验信息、目标用户的标识信息和授权请求的发起对象的标识信息,对目标应用的授权请求的有效性进行多级校验。若目标应用的授权请求校验为有效,则根据目标应用的授权有效期信息,确定目标用户的权限有效期信息。最后,根据目标用户的权限有效期信息,为目标用户赋予目标应用对应的资源的操作权限。由于在本申请中,基于目标用户的权限有效期信息为目标用户赋予目标应用对应的资源的操作权限,从而使得生效时间超过权限有效期后,可以自动撤销应用权限的,保证了权限回收的及时性。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的应用权限的控制方法的应用权限的控制装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个应用权限的控制装置实施例中的具体限定可以参见上文中对于应用权限的控制方法的限定,在此不再赘述。
在一个实施例中,如图6所示,提供了一种应用权限的控制装置600,包括:接收模块601、获取模块602、校验模块603和赋权模块604,其中:
接收模块601,接收目标应用的授权请求,授权请求用于请求将目标应用对应的资源的操作权限赋予给目标用户,授权请求中包含目标用户的标识信息和授权请求的发起对象的标识信息。
获取模块602,用于获取目标应用的权限控制模型的配置信息,配置信息中包含有目标应用的多级权限校验信息和目标应用的授权有效期信息,权限控制模型用于管理目标应用对应的资源的操作权限。
校验模块603,用于根据多级权限校验信息、目标用户的标识信息和授权请求的发起对象的标识信息,对目标应用的授权请求的有效性进行多级校验。
赋权模块604,用于若目标应用的授权请求有效,则根据目标应用的授权有效期信息,确定目标用户的权限有效期信息;根据目标用户的权限有效期信息,为目标用户赋予目标应用对应的资源的操作权限。
在其中一个实施例中,授权有效期信息中包含有默认授权时间和授权请求的发起对象对应的上限授权时间。
在其中一个实施例中,赋权模块604,具体用于若授权请求中不存在目标用户的授权请求时间,则根据默认授权时间,确定目标用户的权限有效期信息;若授权请求中存在目标用户的授权请求时间,则根据目标用户的授权请求时间和授权请求的发起对象对应的上限授权时间,确定目标用户的权限有效期信息。
在其中一个实施例中,多级权限校验信息中包括请求对象列表和授权对象列表。
校验模块603,具体用于根据授权请求的发起对象的标识信息,确定授权请求的发起对象对应的角色信息;根据目标用户的标识信息,确定目标用户对应的角色信息;若授权请求的发起对象对应的角色信息在请求对象列表中且目标用户对应的角色信息在授权对象列表中,则确定目标应用的授权请求有效;若授权请求的发起对象对应的角色信息不在请求对象列表中或目标用户对应的角色信息不在授权对象列表中,则确定目标应用的授权请求无效。
在其中一个实施例中,获取模块602,还用于接收目标应用的配置请求,配置请求用于请求开启目标应用的权限有效期检测,配置请求中包含有目标应用的授权有效期信息;在目标应用的权限控制模型的配置信息中,添加目标应用的授权有效期信息。
在其中一个实施例中,赋权模块604,还用于将目标应用的授权请求对应的授权信息添加至目标应用对应的权限回收队列中;根据权限回收队列中的授权信息的排序,依次对权限回收队列中的授权信息的权限有效期进行检测;若检测到存在生效时间大于权限有效期的授权信息,则撤销授权信息对应的目标用户对目标应用对应的资源的操作权限。
在其中一个实施例中,授权信息包括目标用户的标识信息、目标应用中的授权资源的标识和目标用户的权限有效期信息。
上述应用权限的控制装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图7所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)和通信接口。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种应用权限的控制方法。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述应用权限的控制方法。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述应用权限的控制方法。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric RandomAccess Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccessMemory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种应用权限的控制方法,其特征在于,所述方法包括:
接收目标应用的授权请求,所述授权请求用于请求将所述目标应用对应的资源的操作权限赋予给目标用户,所述授权请求中包含所述目标用户的标识信息和所述授权请求的发起对象的标识信息;
获取所述目标应用的权限控制模型的配置信息,所述配置信息中包含有所述目标应用的多级权限校验信息和所述目标应用的授权有效期信息,所述权限控制模型用于管理所述目标应用对应的资源的操作权限;
根据所述多级权限校验信息、所述目标用户的标识信息和所述授权请求的发起对象的标识信息,对所述目标应用的授权请求的有效性进行多级校验;
若所述目标应用的授权请求校验为有效,则根据所述目标应用的授权有效期信息,确定所述目标用户的权限有效期信息;
根据所述目标用户的权限有效期信息,为所述目标用户赋予所述目标应用对应的资源的操作权限。
2.根据权利要求1所述的方法,其特征在于,所述授权有效期信息中包含有默认授权时间和所述授权请求的发起对象对应的上限授权时间。
3.根据权利要求2所述的方法,其特征在于,所述根据所述目标应用的授权有效期,确定所述目标用户的权限有效期信息,包括:
若所述授权请求中不存在所述目标用户的授权请求时间,则根据所述默认授权时间,确定所述目标用户的权限有效期信息;
若所述授权请求中存在所述目标用户的授权请求时间,则根据所述目标用户的授权请求时间和所述授权请求的发起对象对应的上限授权时间,确定所述目标用户的权限有效期信息。
4.根据权利要求1所述的方法,其特征在于,所述多级权限校验信息中包括请求对象列表和授权对象列表;
所述根据所述多级权限校验信息、所述目标用户的标识信息和所述授权请求的发起对象的标识信息,对所述目标应用的授权请求的有效性进行多级校验,包括:
根据所述授权请求的发起对象的标识信息,确定所述授权请求的发起对象对应的角色信息;
根据所述目标用户的标识信息,确定所述目标用户对应的角色信息;
若所述授权请求的发起对象对应的角色信息在所述请求对象列表中且所述目标用户对应的角色信息在所述授权对象列表中,则确定所述目标应用的授权请求有效;
若所述授权请求的发起对象对应的角色信息不在所述请求对象列表中或所述目标用户对应的角色信息不在所述授权对象列表中,则确定所述目标应用的授权请求无效。
5.根据权利要求1-4任一项所述的方法,其特征在于,在所述获取所述目标应用的权限控制模型的配置信息之前,所述方法还包括:
接收所述目标应用的配置请求,所述配置请求用于请求开启所述目标应用的权限有效期配置,所述配置请求中包含有所述目标应用的授权有效期信息;
在所述目标应用的权限控制模型的配置信息中,添加所述目标应用的授权有效期信息。
6.根据权利要求5所述的方法,其特征在于,在所述根据所述目标用户的权限有效期信息,为所述目标用户赋予所述目标应用对应的资源的操作权限之后,所述方法还包括:
将所述目标应用的授权请求对应的授权信息添加至所述目标应用对应的权限回收队列中;
根据所述权限回收队列中的授权信息的排序,依次对所述权限回收队列中的授权信息的权限有效期进行检测;
若检测到存在生效时间大于权限有效期的授权信息,则撤销所述授权信息对应的目标用户对所述目标应用对应的资源的操作权限。
7.根据权利要求6所述的方法,其特征在于,所述授权信息包括所述目标用户的标识信息、所述目标应用中的授权资源的标识和所述目标用户的权限有效期信息。
8.一种应用权限的控制装置,其特征在于,所述装置包括:
接收模块,接收目标应用的授权请求,所述授权请求用于请求将所述目标应用对应的资源的操作权限赋予给目标用户,所述授权请求中包含所述目标用户的标识信息和所述授权请求的发起对象的标识信息;
获取模块,用于获取所述目标应用的权限控制模型的配置信息,所述配置信息中包含有所述目标应用的多级权限校验信息和所述目标应用的授权有效期信息,所述权限控制模型用于管理所述目标应用对应的资源的操作权限;
校验模块,用于根据所述多级权限校验信息、所述目标用户的标识信息和所述授权请求的发起对象的标识信息,对所述目标应用的授权请求的有效性进行多级校验;
赋权模块,用于若所述目标应用的授权请求有效,则根据所述目标应用的授权有效期信息,确定所述目标用户的权限有效期信息;根据所述目标用户的权限有效期信息,为所述目标用户赋予所述目标应用对应的资源的操作权限。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311247764.6A CN116992476B (zh) | 2023-09-26 | 2023-09-26 | 应用权限的控制方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311247764.6A CN116992476B (zh) | 2023-09-26 | 2023-09-26 | 应用权限的控制方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116992476A true CN116992476A (zh) | 2023-11-03 |
| CN116992476B CN116992476B (zh) | 2024-01-16 |
Family
ID=88523494
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311247764.6A Active CN116992476B (zh) | 2023-09-26 | 2023-09-26 | 应用权限的控制方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116992476B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005339008A (ja) * | 2004-05-25 | 2005-12-08 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御方法およびプログラムと記録媒体 |
| US20140059651A1 (en) * | 2012-08-22 | 2014-02-27 | Southern Company Services, Inc. | Account Elevation Management |
| US20150180863A1 (en) * | 2013-12-25 | 2015-06-25 | Canon Kabushiki Kaisha | Authority management server and authority management method |
| CN105959309A (zh) * | 2016-07-01 | 2016-09-21 | 乐视控股(北京)有限公司 | 一种用户权限管理方法及系统 |
| CN110297672A (zh) * | 2019-05-22 | 2019-10-01 | 深圳壹账通智能科技有限公司 | 页面动态生成方法、装置、计算机设备及存储介质 |
| CN111488595A (zh) * | 2020-03-27 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 用于实现权限控制的方法及相关设备 |
| CN114780930A (zh) * | 2022-04-08 | 2022-07-22 | 南方电网数字电网研究院有限公司 | 权限管理方法、装置、计算机设备和存储介质 |
-
2023
- 2023-09-26 CN CN202311247764.6A patent/CN116992476B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005339008A (ja) * | 2004-05-25 | 2005-12-08 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御方法およびプログラムと記録媒体 |
| US20140059651A1 (en) * | 2012-08-22 | 2014-02-27 | Southern Company Services, Inc. | Account Elevation Management |
| US20150180863A1 (en) * | 2013-12-25 | 2015-06-25 | Canon Kabushiki Kaisha | Authority management server and authority management method |
| CN105959309A (zh) * | 2016-07-01 | 2016-09-21 | 乐视控股(北京)有限公司 | 一种用户权限管理方法及系统 |
| CN110297672A (zh) * | 2019-05-22 | 2019-10-01 | 深圳壹账通智能科技有限公司 | 页面动态生成方法、装置、计算机设备及存储介质 |
| CN111488595A (zh) * | 2020-03-27 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 用于实现权限控制的方法及相关设备 |
| CN114780930A (zh) * | 2022-04-08 | 2022-07-22 | 南方电网数字电网研究院有限公司 | 权限管理方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116992476B (zh) | 2024-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10498766B1 (en) | User privacy framework | |
| US9853820B2 (en) | Intelligent deletion of revoked data | |
| US9240996B1 (en) | Method and system for risk-adaptive access control of an application action | |
| US9078129B1 (en) | Knowledge-based authentication for restricting access to mobile devices | |
| US10083311B2 (en) | Cryptographic key | |
| US8843648B2 (en) | External access and partner delegation | |
| US11847239B2 (en) | Document-level attribute-based access control | |
| US10127401B2 (en) | Redacting restricted content in files | |
| Kumar et al. | Context aware dynamic permission model: a retrospect of privacy and security in android system | |
| US20110321147A1 (en) | Dynamic, temporary data access token | |
| US9171174B2 (en) | Methods, systems, and computer program products for verifying user data access policies when server and/or user are not trusted | |
| US9131374B1 (en) | Knowledge-based authentication for restricting access to mobile devices | |
| JP2012009027A (ja) | 動的アクセスコントロールを用いるポリシーの生成 | |
| US10673823B2 (en) | Migration containers | |
| US10445514B1 (en) | Request processing in a compromised account | |
| JP2014525085A (ja) | デジタル資産の価値を決定して利用するための方法および装置 | |
| US20120233666A1 (en) | Network-Oriented Matrix Sharing For Genealogy And Social Networks Through Network-Role-Based Access Controls | |
| US10242174B2 (en) | Secure information flow | |
| US11520908B2 (en) | Self-management of devices using personal mobile device management | |
| CN116992476B (zh) | 应用权限的控制方法、装置、设备及存储介质 | |
| CN108768918B (zh) | 一种基于授权管理链的访问控制方法 | |
| US10380075B2 (en) | Limiting sharing of a stored file | |
| US10089325B1 (en) | Method and system for using micro objects | |
| CN113312661B (zh) | 用户授权系统、方法、装置及电子设备 | |
| US9591553B1 (en) | Content access based on mobile device geographical location |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |