CN117134941A - 权限控制方法、权限控制装置、电子设备及存储介质 - Google Patents
权限控制方法、权限控制装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117134941A CN117134941A CN202310866434.9A CN202310866434A CN117134941A CN 117134941 A CN117134941 A CN 117134941A CN 202310866434 A CN202310866434 A CN 202310866434A CN 117134941 A CN117134941 A CN 117134941A
- Authority
- CN
- China
- Prior art keywords
- target object
- service platform
- identity
- channel
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 108091006146 Channels Proteins 0.000 claims description 109
- 238000012795 verification Methods 0.000 claims description 51
- 238000013475 authorization Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 11
- 238000012423 maintenance Methods 0.000 abstract description 4
- 238000007726 management method Methods 0.000 description 115
- 230000006870 function Effects 0.000 description 14
- 238000004891 communication Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 5
- 230000009977 dual effect Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000011084 recovery Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/2895—Intermediate processing functionally located close to the data provider application, e.g. reverse proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种权限控制方法、权限控制装置、电子设备及存储介质,属于控制技术领域,通过对目标对象的对象身份进行身份认证,若身份认证通过,获取目标对象绑定的服务平台,并确定服务平台绑定的渠道,渠道分配有预设对象的预设角色以及与预设角色关联的服务平台的数据操作权限,若目标对象与预设对象相同,则将数据操作权限分配给目标对象,以使目标对象根据数据操作权限对服务平台的数据进行操作,能够实现统一对多个服务平台进行权限管理,便于权限管理的维护,提高权限管理的效率和安全性。
Description
技术领域
本申请涉及控制技术领域,尤其涉及一种权限控制方法、权限控制装置、电子设备及存储介质。
背景技术
各种服务平台的权限管理是一个非常重要的问题。传统的权限管理方式是在每个服务平台中单独实现权限管理。当用户访问多个服务平台时,需要逐一对这多个服务平台的用户权限进行管理,使得权限管理不统一且权限管理难以维护,降低了权限管理的效率和安全性。
发明内容
本申请实施例的主要目的在于提出一种权限控制方法、权限控制装置、电子设备及存储介质,旨在实现统一对多个服务平台进行权限管理,便于权限管理的维护,提高权限管理的效率和安全性。
为实现上述目的,本申请实施例的第一方面提出了一种权限控制方法,所述方法包括:
对目标对象的对象身份进行身份认证;
若身份认证通过,获取所述目标对象绑定的服务平台,并确定所述服务平台绑定的渠道;所述渠道分配有预设对象的预设角色以及与所述预设角色关联的所述服务平台的数据操作权限;
若所述目标对象与所述预设对象相同,则将所述数据操作权限分配给所述目标对象,以使所述目标对象根据所述数据操作权限对所述服务平台的数据进行操作。
在一些实施例,所述对目标对象的对象身份进行身份认证,包括:
根据目标对象的对象身份确定所述目标对象的对象类型;
若所述对象类型为业务对象,且所述对象身份不具有服务平台的授权标识,则对所述目标对象与所述服务平台的第一绑定关系进行校验;
若所述第一绑定关系表示所述目标对象绑定所述服务平台,对渠道进行校验。
在一些实施例,所述若所述第一绑定关系表示所述目标对象绑定所述服务平台,对渠道进行校验,包括:
若所述第一绑定关系表示所述目标对象绑定所述服务平台,获取所述渠道的渠道状态;
若所述渠道状态表示所述渠道处于启用状态,对所述渠道与所述服务平台的第二绑定关系进行校验;
若所述第二绑定关系表示所述渠道绑定所述服务平台,且所述服务平台处于启用状态,对所述渠道绑定所述服务平台的期限进行校验。
在一些实施例,在所述根据目标对象的对象身份确定所述目标对象的对象类型之后,所述权限控制方法还包括:
若所述对象类型为业务对象,且所述对象身份具有所述授权标识,则对所述渠道进行校验;
若所述对象类型为系统对象,且所述对象身份具有第一系统标识,则对所述目标对象与所述服务平台的第三绑定关系进行校验;若所述对象类型为系统对象,且所述对象身份具有第二系统标识,则对所述目标对象对所述服务平台的权限状态进行校验。
在一些实施例,所述对目标对象的对象身份进行身份认证,还包括:
响应于目标对象携带所述对象身份的登录请求,对所述对象身份进行登录校验,得到登录会话标识;
响应于所述目标对象携带所述登录会话标识的发送验证码请求,得到验证码;
响应于所述目标对象携带所述验证码的登录请求,对所述验证码进行校验。
在一些实施例,所述对目标对象的对象身份进行身份认证,还包括:
根据所述对象身份确定所述目标对象的对象状态;
若所述对象状态为非冻结状态,对所述对象身份进行密码校验。
在一些实施例,在所述以使所述目标对象根据所述数据操作权限对所述服务平台的数据进行操作之后,所述权限控制方法还包括:
将所述目标对象对所述数据进行操作后的操作信息记录入日志;
将所述日志存储至预设区块链网络。
为实现上述目的,本申请实施例的第二方面提出了一种权限控制装置,所述装置包括:
身份认证模块,用于对目标对象的对象身份进行身份认证;
获取模块,用于若身份认证通过,获取所述目标对象绑定的服务平台,并确定所述服务平台绑定的渠道;所述渠道分配有预设对象的预设角色以及与所述预设角色关联的所述服务平台的数据操作权限;
权限控制模块,用于若所述目标对象与所述预设对象相同,则将所述数据操作权限分配给所述目标对象,以使所述目标对象根据所述数据操作权限对所述服务平台的数据进行操作。
为实现上述目的,本申请实施例的第三方面提出了一种电子设备,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的权限控制方法。
为实现上述目的,本申请实施例的第四方面提出了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的权限控制方法。
本申请提出的权限控制方法、权限控制装置、电子设备及存储介质,通过对目标对象的对象身份进行身份认证,以对对象身份进行限制和过滤。若身份认证通过,获取目标对象绑定的服务平台,并确定服务平台绑定的渠道,渠道分配有预设对象的预设角色以及与预设角色关联的服务平台的数据操作权限,若目标对象与预设对象相同,则将数据操作权限分配给目标对象,以使目标对象根据数据操作权限对服务平台的数据进行操作,从而实现对目标对象绑定的多个服务平台的权限进行统一管理,提高了权限管理的效率和安全性。
附图说明
图1是本申请实施例提供的权限控制方法的流程图;
图2是图1中的步骤S110的流程图;
图3是本申请实施例提供的权限控制方法的另一流程图;
图4是图2中的步骤S230的流程图;
图5是图1中的步骤S110的另一流程图;
图6是图1中的步骤S110的另一流程图;
图7是本申请实施例提供的权限控制方法的另一流程图;
图8是本申请实施例提供的权限控制装置的结构示意图;
图9是本申请实施例提供的电子设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
需要说明的是,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
各种服务平台(应用系统)的权限管理是一个非常重要的问题。传统的权限管理方式是在每个服务平台中单独实现权限管理。当用户访问多个服务平台时,需要逐一对这多个服务平台的用户权限进行管理,使得权限管理不统一且权限管理难以维护,降低了权限管理的效率和安全性。
基于此,本申请实施例提供了一种权限控制方法、权限控制装置、电子设备及计算机可读存储介质,旨在实现统一对多个服务平台进行权限管理,便于权限管理的维护,提高权限管理的效率和安全性。
本申请实施例提供的权限控制方法、权限控制装置、电子设备及计算机可读存储介质,具体通过如下实施例进行说明,首先描述本申请实施例中的权限控制方法。
本申请实施例提供的权限控制方法,涉及控制技术领域。本申请实施例提供的权限控制方法可应用于终端中,也可应用于服务器端中,还可以是运行于终端或服务器端中的软件。在一些实施例中,终端可以是智能手机、平板电脑、笔记本电脑、台式计算机等;服务器端可以配置成独立的物理服务器,也可以配置成多个物理服务器构成的服务器集群或者分布式系统,还可以配置成提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN以及大数据和人工智能平台等基础云计算服务的云服务器;软件可以是实现权限控制方法的应用等,但并不局限于以上形式。
本申请可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
图1是本申请实施例提供的权限控制方法的一个可选的流程图,应用于权限管理系统,权限管理系统是一个基于云计算的系统,包括前端、后端和数据库,前端采用vue.js框架,后端采用spring boot框架,数据库可以采用MySQL、Redis、MongoDB中的至少一个。权限管理系统可以对接多个服务平台,以实现多个服务平台的权限控制。权限管理系统利用用户权限中心的概念,将所有应用系统的权限管理集中到一个中心化的系统中进行管理。权限管理系统的安全设计包括身份认证、权限控制和数据加密。其中,身份认证采用JWT(JSON Web Token)技术,目标对象登录后会生成一个token,每次请求都需要携带token进行身份认证。权限控制采用RBAC(Role-Based Access Control)模型,目标对象需要被分配角色和权限才能访问资源数据。数据加密采用RSA加密算法,可以对目标对象的敏感信息例如密码等进行加密存储。采用Docker容器化技术将前端、后端和数据库分别打包成镜像,通过Docker Compose进行编排部署,以将权限管理系统部署于不同的服务器节点上,或者将前端、后端和数据库分别部署于存在通信链接的服务器节点上。权限管理系统可以通过前端Web界面进行管理,也可以通过API接口进行调用。权限管理系统可以运行于各种操作系统和数据库平台上,操作系统可以是Windows或者Linux,数据库平台可以是Oracle或者MySQL等。同时采用Nginx反向代理和HTTPS协议,以保证数据传输的安全性。图1中的方法可以包括但不限于包括步骤S110至步骤S130。
步骤S110,对目标对象的对象身份进行身份认证;
步骤S120,若身份认证通过,获取目标对象绑定的服务平台,并确定服务平台绑定的渠道;渠道分配有预设对象的预设角色以及与预设角色关联的服务平台的数据操作权限;
步骤S130,若目标对象与预设对象相同,则将数据操作权限分配给目标对象,以使目标对象根据数据操作权限对服务平台的数据进行操作。
本申请实施例所示意的步骤S110至步骤S130,通过对目标对象的对象身份进行身份认证,以对对象身份进行限制和过滤。若身份认证通过,则确定对象身份在服务平台绑定渠道中的角色,以根据角色关联的服务平台的数据操作权限对服务平台的数据进行操作,从而实现对目标对象绑定的多个服务平台的权限进行统一管理,提高了权限管理的效率和安全性。
请参阅图2,在一些实施例中,步骤S110可以包括但不限于包括步骤S210至步骤S230:
步骤S210,根据目标对象的对象身份确定目标对象的对象类型;
步骤S220,若对象类型为业务对象,且对象身份不具有服务平台的授权标识,则对目标对象与服务平台的第一绑定关系进行校验;
步骤S230,若第一绑定关系表示目标对象绑定服务平台,对渠道进行校验。
在一些实施例的步骤S210中,权限管理系统包括用户登录界面,该用户登录界面用于向用户显示其可访问的服务平台,服务平台可以是应用程序、网站等。目标对象为用户,目标对象的对象身份可以为用户的账号、用户名、邮箱、密码等。权限管理系统包括两个用户体系,即两种对象类型,对象类型包括业务对象和系统对象,业务对象为权限管理系统的普通使用者,系统对象为权限管理系统的开发者等。可以在数据库中设计业务对象表和系统对象表,业务对象表用于存储业务对象的对象身份,系统对象表用于存储系统对象的对象身份。也可以在数据库中设计标识字段,用于标识对象类型。
具体地,用户在登录界面选择一个或者多个服务平台。在服务平台处于正常启用状态的情况下,在登录界面输入账号、用户名、邮箱和密码,根据账号、用户名和邮箱从数据库的业务对象表中查找与账号、用户名和邮箱匹配的对象身份,若业务对象表中存在对象身份,则确定目标对象的对象类型为业务对象;若业务对象表中不存在对象身份,则根据账号、用户名和邮箱从数据库的系统对象表中查找与账号、用户名和邮箱匹配的对象身份,若系统对象表中存在对象身份,则确定目标对象的对象类型为系统对象,若系统对象表中不存在对象身份,则说明目标对象的对象身份输入错误。或者,根据账号、用户名和邮箱从数据库查找与账号、用户名和邮箱匹配的对象身份,根据对象身份的标识字段确定对象类型。若无法查找到匹配的对象身份,说明目标对象的对象身份输入错误。若对象身份输入错误的次数达到预设次数阈值,则在预设时段内禁止目标对象登录。
若用户输入的账号、用户名和邮箱与数据库中的账号、用户名和邮箱均相同,则进行密码校验。比对用户输入的密码和数据库中与账号、用户名和邮箱匹配的密码。若密码相同,说明密码校验成功。若密码不同,说明密码输入错误,且密码校验失败。若密码输入错误的次数达到预设次数阈值,则在预设时段内禁止目标对象登录。
登录界面还包括注册功能和密码找回功能,响应于用户的注册请求,将用户在注册阶段输入的对象身份存储至数据库。响应于用户的密码找回请求,将用户重新输入的密码存储在数据库。
密码的存储过程如下:获取目标对象在服务平台设置的密码以及服务平台公布的目标对象的公钥。通过公钥对密码进行加密后,将加密后的密码存储至数据库。或者,响应于密码找回请求,显示密码输入界面。获取用户在密码输入解码输入的密码,利用公钥对该密码加密,用加密后的密码覆盖数据库中的密码。
在密码校验后,可以对用户有效期进行校验,若用户有效期超过预设有效期,则禁止登录。可以理解的是,用户向服务平台发送登录请求时,会携带权限管理系统分发的token,token存在有效期,用户有效期指的是token的有效期。
在一些实施例的步骤S220中,若对象类型为业务对象,则校验目标对象是否可以获得服务平台的授权。若对象身份具有服务平台的授权标识,则说明目标对象可以获得服务平台的授权,即不需要管理员人为给目标对象分配权限,目标对象自动获得该服务平台的相关权限。若对象类型为业务对象且对象身份不具有服务平台的授权标识,则校验目标对象与服务平台的第一绑定关系。在目标对象可以获取服务平台授权的情况下,则不校验目标对象与服务平台的第一绑定关系。
在一些实施例的步骤S230中,一个服务平台可以拥有多个渠道,服务平台的资源数据需要通过渠道分发,其中渠道可以是运营网站、手机应用程序。若第一绑定关系表示目标对象绑定其在登录界面选择的服务平台,则对渠道进行校验。
上述步骤S210至步骤S230,当对象类型为业务对象且不具有授权标识时才需要校验第一绑定关系,当对象类型为业务对象且具有授权标识时就不必校验第一绑定关系,能够根据对象类型和授权标识实现不同的校验逻辑,提高了校验的效率,同时实现了对不同对象类型的身份认证。
请参阅图3,在一些实施例中,在步骤S210之后,权限控制方法还可以包括但不限于包括步骤S310、步骤S320或者步骤S330:
步骤S310,若对象类型为业务对象,且对象身份具有授权标识,则对渠道进行校验;
步骤S320,若对象类型为系统对象,且对象身份具有第一系统标识,则对目标对象与服务平台的第三绑定关系进行校验;
步骤S330,若对象类型为系统对象,且对象身份具有第二系统标识,则对目标对象对服务平台的权限状态进行校验。
在一些实施例的步骤S310中,若对象类型为业务对象,且对象身份具有授权标识,说明业务对象可以获得服务平台的授权,则不必校验目标对象与服务平台的第一绑定关系,直接对渠道进行校验。
在一些实施例的步骤S320中,不同对象类型与服务平台的绑定逻辑不同,针对不同的对象类型,区分对象类型判断目标对象与服务平台的绑定关系。第一系统标识为admin标识,若对象类型为系统对象,且对象身份具有admin标识,则对目标对象与服务平台的第三绑定关系进行校验。在对绑定关系进行校验时,根据对象身份从数据库中查找到目标对象绑定的服务平台列表,将服务平台列表中的服务平台与目标对象在登录页面上选择的服务平台进行比对,若选择的服务平台存在于服务平台列表,则说明目标对象绑定了其选择的服务平台。
在一些实施例的步骤S330中,若对象类型为系统对象,且对象身份具有第二系统标识,则对目标对象对服务平台的权限状态进行校验,其中第二系统标识为普通标识,权限状态表示目标对象是否具有服务平台的菜单权限。可以理解的是,可以通过查找数据库来获取目标对象对服务平台的菜单权限,进而判断权限状态。
上述步骤S310至步骤S330,根据对象类型的不同区分校验逻辑,使得权限控制方法可以适用于不同的对象,提高了权限管理系统的适用性。
请参阅图4,在一些实施例中,步骤S230可以包括但不限于包括步骤S410至步骤S430:
步骤S410,若第一绑定关系表示目标对象绑定服务平台,获取渠道的渠道状态;
步骤S420,若渠道状态表示渠道处于启用状态,对渠道与服务平台的第二绑定关系进行校验;
步骤S430,若第二绑定关系表示渠道绑定服务平台,且服务平台处于启用状态,对渠道绑定服务平台的期限进行校验。
在一些实施例的步骤S410中,若第一绑定关系表示目标对象绑定服务平台,则进行渠道校验。在进行渠道校验时,需要依次校验渠道状态、渠道是否绑定服务平台、渠道绑定服务平台的期限。则获取渠道的渠道状态以进行渠道状态校验。渠道状态包括启用状态和禁用状态,启用状态说明渠道可以被使用,禁用状态说明渠道无法被使用。若渠道状态为禁用状态,则说明渠道状态校验不通过,身份认证不通过。
在一些实施例的步骤S420中,若渠道状态表示渠道处于启用状态,则校验渠道与服务平台的第二绑定关系,以判断渠道是否与服务平台绑定。同时,校验服务平台的平台状态,以确保平台状态为启用状态。
在一些实施例的步骤S430中,若第二绑定关系表示渠道绑定服务平台,且服务平台为启用状态,则比对渠道绑定服务平台的期限与预设有效期,若期限超过预设有限期,说明第二绑定关系失效,身份认证不通过。若期限未超过预设有效期,说明第二绑定关系处于有效期限内。若第二绑定关系表示渠道未绑定服务平台,或者服务平台为禁用状态,则说明渠道校验不通过,身份认证不通过。可以理解的是,若渠道之间存在层级关系,则递归所有上级,进行步骤S410至步骤S430的校验逻辑。
上述步骤S410至步骤S430,仅针对业务对象进行渠道校验,能够确保服务平台绑定的渠道处于启用状态且绑定关系成立,同时提高了校验的效率。
请参阅图5,在一些实施例中,步骤S110还可以包括但不限于包括步骤S510至步骤S530:
步骤S510,响应于目标对象携带对象身份的登录请求,对对象身份进行登录校验,得到登录会话标识;
步骤S520,响应于目标对象携带登录会话标识的发送验证码请求,得到验证码;
步骤S530,响应于目标对象携带验证码的登录请求,对验证码进行校验。
在一些实施例的步骤S510中,若目标对象开启双重认证功能,则需要对对象身份进行双重认证。双重认证的方式可以选用账号+指纹、账号+验证码等方式。用户需要同时提供多种认证因素才能通过身份认证,通过多因素认证提高了身份认证的安全性。在账号+指纹的认证方式中,通过依次对比用户输入的账号与数据库中的预设账号、用户输入的指纹与数据库中的预设指纹是否相同,若二者均相同,说明身份认证成功。在账号+验证码的认证方式中,目标对象向服务平台发送登录请求,服务平台将携带对象身份的登录请求转发给权限管理系统,权限管理系统根据对象身份进行登录校验。若登录校验成功,权限管理系统将登录会话标识code返回给服务平台,服务平台将code返回给目标对象对应的web前端,登录会话标识是表示用户开启登录需要双重认证的一个标识。
在一些实施例的步骤S520中,web前端携带code向服务平台传递发送验证码请求,服务平台将发送验证码请求传递给权限管理系统,权限管理系统发送双重认证验证码邮件给服务管理平台,服务管理平台转发邮件至web前端,以使目标对象接收邮件得到验证码,验证码是根据邮箱生成的随机6位数。可以理解的是,来自web前端的包括登录请求、发送验证码请求在内的各种请求通过网关被转发至权限管理系统或者权限管理系统对外开放的接口openapi,其中openapi不连接数据库,转发至openapi的数据全部由权限管理系统处理。当被转发至openapi接口时,可通过HTTP协议将数据转发给权限管理系统。
在一些实施例的步骤S530中,web前端携带验证码向服务平台发送登录请求,服务平台将登录请求发送至权限管理系统,权限管理系统对验证码进行校验。若验证码校验通过,权限管理系统响应于登录请求生成登录令牌accesstoken,并将accesstoken经由服务平台转发至web前端,以便下次携带仍处于有效期的accesstoken直接登录,而不必经过code分发、验证码分发等阶段,提高了身份认证的效率。accesstoken的有效期限可以为12小时,可根据实际情况自行设置。
上述步骤S510至步骤S530,通过双重认证,进一步提高了身份认证的安全性。
请参阅图6,在一些实施例中,步骤S110还可以包括但不限于包括步骤S610至步骤S620:
步骤S610,根据对象身份确定目标对象的对象状态;
步骤S620,若对象状态为非冻结状态,对对象身份进行密码校验。
在一些实施例的步骤S610中,根据对象身份例如账号、用户名等确定对象状态,对象状态包括冻结状态和非冻结状态。
在一些实施例的步骤S620中,若对象状态为冻结状态,则身份认证不通过。若对象状态为非冻结状态,则对密码进行密码校验,以判断目标对象是否需要修改密码。密码校验包括密码期限校验、重置密码校验。密码期限校验时,若密码期限超过有效期,则需要修改密码。重置密码校验时,判断用户是否发送重置密码请求,当接收到重置密码请求,则需要修改密码。在修改密码时可设置两次输入,判断两次输入的密码是否相同,若密码相同则密码修改成功,否则需要重新设置密码。
上述步骤S610至步骤S620,通过校验用户状态,能够使处于冻结状态的用户无法登录,提高身份认证的安全性。通过校验密码是否需要修改密码,能够保证密码的安全性。
在一些实施例的步骤S120中,权限管理系统采用统一认证,当身份认证通过后,用户只需要进行一次身份认证。而且,权限管理系统采用单点登录,当身份认证通过后,用户可登录到服务平台,实现只需要登录一次,即可访问多个服务平台。权限管理系统支持多种语言,方便不同用户使用。权限管理系统的主要功能包括平台管理、平台菜单管理、用户管理、渠道管理、角色管理、访问控制模块、权限管理和日志管理等多个模块。
平台管理模块主要包括平台的基本信息、密钥对管理等。平台的基本信息包括服务平台名称、logo、网址等。秘钥对管理时,将服务平台的一个rsa的公钥保存到权限管理系统的数据库中,当服务平台与权限管理系统对接时,数据通过http方式进行传输,数据内容需要经过服务平台的rsa的私钥进行签名,权限管理系统通过公钥验证签名,以校验签名的合法性,其中私钥与公钥相互匹配。并通过公钥对密码原文加密生成加密密文存储到数据库中。
平台菜单管理模块负责菜单基本信息维护,菜单基本信息包括菜单名称、菜单类型、菜单功能、权限标识以及备注信息等。菜单名称可以为XX服务平台的XX菜单,菜单类型包括开始菜单、控制菜单、快捷菜单、下拉菜单和级联菜单等。权限标识用于标识服务平台对应的菜单权限,菜单权限为增、删、改、查权限。每个服务平台分别可以针对归属于自己的菜单进行维护,通过菜单列表的形式展示所有归属于自己的菜单,可以通过按钮对菜单进行增删改查操作。
渠道管理模块包括渠道信息管理、渠道绑定的平台分配以及创建渠道主账号等功能。渠道信息包括渠道基本信息、新增渠道、更新渠道、渠道绑定的服务平台信息等。基本信息可以是渠道的名称、功能等。平台分配功能指的是将平台绑定到渠道并指定有效期。权限管理系统只有一个超管root可以创建普通用户,并将普通用户升级为业务系统管理员。在创建渠道主账号时,每个渠道只有一个主账号作为渠道的所有者。每个渠道都有一个默认的主角色(主账号),渠道拥有的菜单权限通过主角色体现,主角色拥有渠道的所有菜单权限。普通角色的菜单权限是主角色的菜单权限的一部分。
用户管理模块包括用户信息管理、用户角色分配以及用户权限管理等功能。用户信息包括用户的基本信息、用户对应的角色信息等,基本信息包括姓名、邮箱和地址等,角色信息包括角色名称、角色对应的菜单权限、备注等。用户角色分配指的是将用户分配到相应的角色中。用户权限管理用于管理用户的权限信息,包括添加、删除、修改等操作。可以理解的是,用户的权限信息通过角色进行体现,需要管理用户的权限时,只需要针对用户绑定的角色进行编辑权限即可。
角色管理模块包括角色信息管理、角色权限分配以及角色用户管理等功能。角色信息包括角色的基本信息、权限信息等。角色权限分配指的是将权限分配给相应的角色。角色用户管理指的是管理角色下的用户信息,包括添加、删除、修改等操作。
权限管理模块包括权限信息管理、权限角色分配以及权限用户管理等功能。权限信息包括服务平台的基本信息、服务平台对应的菜单权限信息等。权限角色分配功能用于将权限分配给相应的角色。权限用户管理用于管理拥有该权限的用户信息,包括添加、删除、修改等操作。
访问控制模块包括访问控制和安全日志记录等功能,访问控制根据用户的角色权限与权限管理系统存储的角色权限进行访问控制,当二者角色权限相同时,则可以访问服务平台。安全日志记录用于记录用户的访问信息,包括访问时间、访问内容等。
若身份认证通过,则通过平台管理模块获取目标对象绑定的服务平台,并通过渠道管理模块确定服务平台绑定的渠道。该服务平台可以是目标对象在登录界面选定的且与目标对象绑定的服务平台。渠道分配有预设对象的预设角色以及与所述预设角色关联的所述服务平台的数据操作权限。具体地,将预设角色分配到渠道,并为渠道分配服务平台的数据操作权限,将预设对象分配到预设角色,并为预设角色分配服务平台的数据操作权限。
在一些实施例的步骤S130中,通过权限管理模块获取服务平台的权限信息,并通过权限管理模块将权限分配给渠道的主角色,以为渠道分配数据操作权限。通过用户管理模块将预设对象分配到预设角色,并通过角色管理模块将权限分配给预设角色。权限管理系统通过角色的方式管理用户权限可以灵活调整权限,实现多服务平台的多用户权限管理,将不同服务平台的用户权限分开进行,提高了权限管理的灵活性和可扩展性,且能够适应不同的业务需求。同时,权限管理系统实现了权限管理的中心化,提高了权限管理的效率和安全性。本申请实施例的权限管理系统可以方便扩展到其他业务系统,只需要在权限管理模块中添加相应的权限信息即可。权限管理系统还可以与各个服务平台进行数据同步,保证各个服务平台与权限管理系统的用户权限信息一致性,提高了权限管理的准确性和可靠性。
若目标对象与预设对象相同,则将数据操作权限分配给目标对象,以使目标对象根据数据操作权限对服务平台的数据进行增、删、改、查等操作。若目标对象与预设对象不同,说明目标对象不具有相应的数据操作权限,无法对服务平台提供给渠道的数据进行操作。
请参阅图7,在一些实施例中,在步骤S150之后,权限控制方法还可以包括但不限于包括步骤S710至步骤S720:
步骤S710,将目标对象对数据进行操作后的操作信息记录入日志;
步骤S720,将日志存储至预设区块链网络。
在一些实施例的步骤S710中,权限管理系统的维护方案包括日志监控、性能优化和版本升级,日志监控、性能优化和版本升级等功能日志管理模块负责。日志监控采用ELK(Elasticsearch、Logstash、Kibana)技术,对权限管理系统的日志进行收集、分析和展示。日志管理模块还设置有告警机制,当部署有权限管理系统的服务器出现CPU占用过高、服务器内存过低、服务器硬盘容量低于预设容量阈值、虚拟机堆栈剩余空间过低等问题时,通过告警机制可以及时发现和解决问题。性能优化采用缓存技术和负载均衡技术,以提高系统的响应速度和并发能力。版本升级采用灰度发布和回滚机制,保证系统的稳定性和可靠性。
通过访问控制模块,将目标对象对渠道数据进行操作后的操作信息记录入日志,操作信息可以包括操作前的数据、操作后的数据、具体数据操作、操作时间、用户权限操作等,权限操作包括登录、权限申请、权限授权、权限管理等操作。
在一些实施例的步骤S720中,当日志中不含有敏感数据(对象身份)时,将日志存储至预设区块链网络。预设区块链网络可以是公有链或者联盟链,公有链可以保证数据的公开透明,联盟链可以保证数据的隐私性和安全性。智能合约部署于区块链网络上,用于实现权限管理逻辑,可以采用solidity等智能合约语言进行编写。利用智能合约实现权限管理逻辑时,创建一个包含用户信息、角色信息、权限信息的智能合约,当用户的权限发生变化时,可以同步到区块中进行保存。其中,智能合约应具有强大的安全性,以确保授权信息不会被未授权的人恶意篡改,智能合约应具有可扩展性,以满足应用程序在不断发展和增长的需求,智能合约应具有透明性,以便管理员可以在实时监控和日志记录方面进行管理,智能合约应具有易于使用性,用户应能够轻松使用智能合约,以便更好地管理其授权信息。
通过上述步骤S710至步骤S720,能够保证日志数据的可靠性,使得可以根据日志定位权限管理系统的问题,方便审计、溯源,及时发现和解决问题,对权限管理系统进行维护。
本申请实施例的权限控制方法包括:根据输入的账号、用户名和邮箱获取业务用户,当业务用户不存在,根据输入的账号、用户名和邮箱获取系统用户。校验登录失败是否达到次数,达到限制之后禁止登录。校验用户输入的密码,密码校验失败后记录失败信息,达到阈值后限制登录。校验用户有效期,过期则无法登录。校验服务平台是否为所有业务用户可以获得授权,在所有业务用户可以获得平台授权情况下不校验平台与用户绑定关系。区分用户类型校验平台与用户的绑定关系,当为业务用户根据用户所有角色绑定的平台信息判断,当为系统用户且系统用户的标识为admin标识,校验用户与平台的绑定关系,当为系统用户且系统用户的标识为普通标识,校验用户是否包含对应平台的菜单权限。仅针对业务用户进行渠道校验,依次校验渠道状态、校验渠道是否绑定该平台(同时校验平台的启用状态)、校验渠道绑定平台的有效期。校验用户状态,以确保用户为非冻结状态。校验是否需要修改密码,包含密码过期、密码被重置等。更新登录时间。校验是否需要双重认证,生成accessToken。当前一校验失败时,则不继续向下校验,认为身份认证失败。若身份认证通过,获取目标对象绑定的服务平台,并确定服务平台绑定的渠道。将预设角色分配到渠道,并为渠道分配服务平台的数据操作权限。将预设对象分配到预设角色,并为预设角色分配数据操作权限。若目标对象与预设对象相同,则将预设角色的数据操作权限分配给目标对象,以使目标对象根据数据操作权限对渠道的数据进行操作。
通过权限管理方法可以实现对用户授权的安全管理,保障数据的安全性和可靠性。同时,该权限管理方法具有良好的可扩展性和可维护性,可以满足不同规模和需求的用户。
请参阅图8,本申请实施例还提供一种权限控制装置,可以实现上述权限控制方法,该装置包括:
身份认证模块810,用于对目标对象的对象身份进行身份认证;
获取模块820,用于若身份认证通过,获取目标对象绑定的服务平台,并确定服务平台绑定的渠道;渠道分配有预设对象的预设角色以及与预设角色关联的服务平台的数据操作权限;
权限控制模块830,用于若目标对象与预设对象相同,则将数据操作权限分配给目标对象,以使目标对象根据数据操作权限对服务平台的数据进行操作。
该权限控制装置的具体实施方式与上述权限控制方法的具体实施例基本相同,在此不再赘述。
本申请实施例还提供了一种电子设备,电子设备包括括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述权限控制方法。该电子设备可以为包括平板电脑、车载电脑等任意智能终端。
请参阅图9,图9示意了另一实施例的电子设备的硬件结构,电子设备包括:
处理器910,可以采用通用的CPU(CentralProcessingUnit,中央处理器)、微处理器、应用专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本申请实施例所提供的技术方案;
存储器920,可以采用只读存储器(ReadOnlyMemory,ROM)、静态存储设备、动态存储设备或者随机存取存储器(RandomAccessMemory,RAM)等形式实现。存储器920可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器920中,并由处理器910来调用执行本申请实施例的权限控制方法;
输入/输出接口930,用于实现信息输入及输出;
通信接口940,用于实现本设备与其他设备的通信交互,可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信;
总线950,在设备的各个组件(例如处理器910、存储器920、输入/输出接口930和通信接口940)之间传输信息;
其中处理器910、存储器920、输入/输出接口930和通信接口940通过总线950实现彼此之间在设备内部的通信连接。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现上述权限控制方法。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请实施例提供的权限控制方法、权限控制装置、电子设备及计算机可读存储介质,通过对目标对象的对象身份进行身份认证,以对对象身份进行限制和过滤。若身份认证通过,则确定对象身份在服务平台绑定渠道中的角色以及与角色关联的服务平台的数据操作权限,以根据数据操作权限对服务平台的数据进行操作,从而实现对目标对象绑定的多个服务平台的权限进行统一管理,提高了权限管理的效率和安全性。
本申请实施例描述的实施例是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域技术人员可知,随着技术的演变和新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本领域技术人员可以理解的是,图中示出的技术方案并不构成对本申请实施例的限定,可以包括比图示更多或更少的步骤,或者组合某些步骤,或者不同的步骤。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括多指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序的介质。
以上参照附图说明了本申请实施例的优选实施例,并非因此局限本申请实施例的权利范围。本领域技术人员不脱离本申请实施例的范围和实质内所作的任何修改、等同替换和改进,均应在本申请实施例的权利范围之内。
Claims (10)
1.权限控制方法,其特征在于,所述方法包括:
对目标对象的对象身份进行身份认证;
若身份认证通过,获取所述目标对象绑定的服务平台,并确定所述服务平台绑定的渠道;所述渠道分配有预设对象的预设角色以及与所述预设角色关联的所述服务平台的数据操作权限;
若所述目标对象与所述预设对象相同,则将所述数据操作权限分配给所述目标对象,以使所述目标对象根据所述数据操作权限对所述服务平台的数据进行操作。
2.根据权利要求1所述的权限控制方法,其特征在于,所述对目标对象的对象身份进行身份认证,包括:
根据目标对象的对象身份确定所述目标对象的对象类型;
若所述对象类型为业务对象,且所述对象身份不具有服务平台的授权标识,则对所述目标对象与所述服务平台的第一绑定关系进行校验;
若所述第一绑定关系表示所述目标对象绑定所述服务平台,对渠道进行校验。
3.根据权利要求2所述的权限控制方法,其特征在于,所述若所述第一绑定关系表示所述目标对象绑定所述服务平台,对渠道进行校验,包括:
若所述第一绑定关系表示所述目标对象绑定所述服务平台,获取所述渠道的渠道状态;
若所述渠道状态表示所述渠道处于启用状态,对所述渠道与所述服务平台的第二绑定关系进行校验;
若所述第二绑定关系表示所述渠道绑定所述服务平台,且所述服务平台处于启用状态,对所述渠道绑定所述服务平台的期限进行校验。
4.根据权利要求2所述的权限控制方法,其特征在于,在所述根据目标对象的对象身份确定所述目标对象的对象类型之后,所述权限控制方法还包括:
若所述对象类型为业务对象,且所述对象身份具有所述授权标识,则对所述渠道进行校验;
若所述对象类型为系统对象,且所述对象身份具有第一系统标识,则对所述目标对象与所述服务平台的第三绑定关系进行校验;若所述对象类型为系统对象,且所述对象身份具有第二系统标识,则对所述目标对象对所述服务平台的权限状态进行校验。
5.根据权利要求2所述的权限控制方法,其特征在于,所述对目标对象的对象身份进行身份认证,还包括:
响应于目标对象携带所述对象身份的登录请求,对所述对象身份进行登录校验,得到登录会话标识;
响应于所述目标对象携带所述登录会话标识的发送验证码请求,得到验证码;
响应于所述目标对象携带所述验证码的登录请求,对所述验证码进行校验。
6.根据权利要求2所述的权限控制方法,其特征在于,所述对目标对象的对象身份进行身份认证,还包括:
根据所述对象身份确定所述目标对象的对象状态;
若所述对象状态为非冻结状态,对所述对象身份进行密码校验。
7.根据权利要求1至6任一项所述的权限控制方法,其特征在于,在所述以使所述目标对象根据所述数据操作权限对所述服务平台的数据进行操作之后,所述权限控制方法还包括:
将所述目标对象对所述数据进行操作后的操作信息记录入日志;
将所述日志存储至预设区块链网络。
8.权限控制装置,其特征在于,所述装置包括:
身份认证模块,用于对目标对象的对象身份进行身份认证;
获取模块,用于若身份认证通过,获取所述目标对象绑定的服务平台,并确定所述服务平台绑定的渠道;所述渠道分配有预设对象的预设角色以及与所述预设角色关联的所述服务平台的数据操作权限;
权限控制模块,用于若所述目标对象与所述预设对象相同,则将所述数据操作权限分配给所述目标对象,以使所述目标对象根据所述数据操作权限对所述服务平台的数据进行操作。
9.电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述的权限控制方法。
10.计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的权限控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310866434.9A CN117134941A (zh) | 2023-07-13 | 2023-07-13 | 权限控制方法、权限控制装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310866434.9A CN117134941A (zh) | 2023-07-13 | 2023-07-13 | 权限控制方法、权限控制装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117134941A true CN117134941A (zh) | 2023-11-28 |
Family
ID=88853482
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310866434.9A Pending CN117134941A (zh) | 2023-07-13 | 2023-07-13 | 权限控制方法、权限控制装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117134941A (zh) |
-
2023
- 2023-07-13 CN CN202310866434.9A patent/CN117134941A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11088903B2 (en) | Hybrid cloud network configuration management | |
US9766914B2 (en) | System and methods for remote maintenance in an electronic network with multiple clients | |
EP3484125B1 (en) | Method and device for scheduling interface of hybrid cloud | |
CN105379223B (zh) | 管理对企业资源的访问的方法和装置 | |
CN108965480A (zh) | 云桌面登录管控方法、装置及计算机可读存储介质 | |
US11425571B2 (en) | Device configuration method, apparatus and system | |
CN104320389B (zh) | 一种基于云计算的融合身份保护系统及方法 | |
CN104904178A (zh) | 提供虚拟化专用网络隧道 | |
CN113360862A (zh) | 统一身份认证系统、方法、电子设备及存储介质 | |
CN108289098B (zh) | 分布式文件系统的权限管理方法和装置、服务器、介质 | |
US10277606B2 (en) | Anonymous application wrapping | |
CN101729541B (zh) | 多业务平台的资源访问方法及系统 | |
CN105162775A (zh) | 虚拟机登陆方法及装置 | |
CN105162774A (zh) | 虚拟机登陆方法、用于终端的虚拟机登陆方法及装置 | |
CN117134941A (zh) | 权限控制方法、权限控制装置、电子设备及存储介质 | |
US20140206319A1 (en) | Method and device for achieving data roaming | |
CN104717177A (zh) | 一种移动应用安全管控方法和设备 | |
CN102833229B (zh) | 一种信息系统的数据交互方法及装置 | |
CN113810241A (zh) | kubernetes集群的测试方法及装置 | |
CN115913522A (zh) | 密码管理方法和系统、服务器及存储介质 | |
CN115941349A (zh) | 社交通信方法、装置、设备及计算机可读存储介质 | |
CN116405220A (zh) | 一种基于区块链的匿名账户生成与管理方法及相关设备 | |
CN106790026A (zh) | 一种基于Hadoop的多租户网盘鉴权方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |