CN117857051A - 鉴权方法、装置、可读存储介质及电子设备 - Google Patents

Abstract

本说明书涉及一种鉴权方法、装置、可读存储介质及电子设备，鉴权方法应用于服务端，其第一预设切点处预先注入有第一切面程序，鉴权方法包括：在客户端访问服务端时，接收客户端发送的用于访问服务端的访问请求；其中，访问请求中携带有客户端的身份信息；第一切面程序根据客户端的身份信息确定客户端的身份，并根据客户端的身份确定客户端的访问权限，然后根据客户端的访问权限获取访问数据；将访问数据发送至客户端。本说明书的鉴权方法、装置、可读存储介质及电子设备，通过预先注入在客户端和服务端的预设切点的切面程序实现鉴权功能，以使鉴权功能与服务端的其他功能解耦，避免对其他功能造成干扰，且通过鉴权可避免隐私数据泄露。

Description

鉴权方法、装置、可读存储介质及电子设备

技术领域

本说明书涉及隐私保护技术领域，更具体地涉及一种鉴权方法、装置、可读存储介质及电子设备。

背景技术

基于互联网技术的发展，用户可通过安装在终端设备上的各种应用程序客户端实现不同的功能。应用程序客户端在实现其功能时，通常需要与服务端进行信息交互，例如访问服务端的数据，调用服务端的接口等等。

由于服务端存储有很多隐私数据(例如存储在可信执行环境中)，因此在现有技术中，当客户端向服务端请求数据时，服务端会先对客户端进行身份确认，然后再向客户端返回请求数据，避免非法客户端调用隐私数据，造成隐私泄露。

但是，现有技术中，上述功能与客户端和服务端的其他功能是耦合的，当需要对上述功能进行修改时，需要修改源代码，导致对客户端和服务端的其他功能造成干扰。

发明内容

本说明书的目的之一在于提供一种鉴权方法，应用于服务端，在客户端访问服务端时，通过预先注入在服务端的第一预设切点的第一切面程序实现鉴权功能，以使鉴权功能与服务端的其他功能解耦，避免对其他功能造成干扰。

基于上述目的，本说明书提供一种鉴权方法，应用于服务端，所述服务端的第一预设切点处预先注入有第一切面程序，所述鉴权方法包括：

在客户端访问服务端时，接收所述客户端发送的用于访问所述服务端的访问请求；其中，所述访问请求中携带有所述客户端的身份信息；

所述第一切面程序根据所述客户端的身份信息确定所述客户端的身份，并根据所述客户端的身份确定所述客户端的访问权限，然后根据所述客户端的访问权限获取访问数据；

将所述访问数据发送至所述客户端。

进一步地，在一些实施方式中，根据所述客户端的身份信息确定所述客户端的身份，具体包括：

将所述客户端的身份信息与预存的标准身份信息进行对比，以确定所述客户端的身份。

进一步地，在一些实施方式中，根据所述客户端的身份确定所述客户端的访问权限，具体包括：

根据所述客户端的身份在预设的访问权限配置表中查找所述客户端的访问权限。

进一步地，在一些实施方式中，根据所述客户端的访问权限获取访问数据，具体包括：

根据所述客户端的访问权限确定所述客户端的可访问字段；

获取所述客户端的所有可访问字段，作为访问数据。

本说明书的另一目的在于提供一种鉴权方法，应用于客户端，通过预先注入在客户端的第二预设切点处的第二切面程序实现鉴权功能，以使鉴权功能与客户端的其他功能解耦，避免对其他功能造成干扰。

基于上述目的，本说明书提供一种鉴权方法，应用于客户端，所述客户端的第二预设切点处预先注入有第二切面程序，所述鉴权方法包括：

在所述客户端访问服务端时，生成用于访问所述服务端的访问请求；

通过所述第二切面程序采集所述客户端的身份信息，并将所述客户端的身份信息插入所述访问请求中；

将携带所述客户端的身份信息的访问请求发送至所述服务端，以使所述服务端根据所述客户端的身份信息确认所述客户端的身份，并根据所述客户端的身份确定所述客户端的访问权限，然后根据所述客户端的访问权限获取访问数据并将所述访问数据发送至所述客户端；

接收所述服务端发送的访问数据。

本说明书的又一目的在于提供一种鉴权装置，应用于服务端，通过预先注入在服务端的第一预设切点处的第一切面程序实现鉴权功能，以使鉴权功能与服务端的其他功能解耦，避免对其他功能造成干扰。

基于上述目的，本说明书提供一种鉴权装置，应用于服务端，所述服务端的第一预设切点处预先注入有第一切面程序，所述鉴权装置包括：

第一接收模块，用于在客户端访问服务端时，接收所述客户端发送的用于访问所述服务端的访问请求；其中，所述访问请求中携带有所述客户端的身份信息；

确定模块，用于通过所述第一切面程序根据所述客户端的身份信息确定所述客户端的身份，并根据所述客户端的身份确定所述客户端的访问权限，然后根据所述客户端的访问权限获取访问数据；

第一发送模块，用于将所述访问数据发送至所述客户端。

进一步地，在一些实施方式中，根据所述客户端的身份信息确定所述客户端的身份，具体包括：

将所述客户端的身份信息与预存的标准身份信息进行对比，以确定所述客户端的身份。

进一步地，在一些实施方式中，根据所述客户端的身份确定所述客户端的访问权限，具体包括：

根据所述客户端的身份在预设的访问权限配置表中查找所述客户端的访问权限。

进一步地，在一些实施方式中，根据所述客户端的访问权限获取访问数据，具体包括：

根据所述客户端的访问权限确定所述客户端的可访问字段；

获取所述客户端的所有可访问字段，作为访问数据。

本说明书又一实施例提供一种鉴权装置，应用客户端，通过预先注入在客户端的第二预设切点处的第二切面程序实现鉴权功能，以使鉴权功能与客户端的其他功能解耦，避免对其他功能造成干扰。

基于上述目的，本说明书提供一种鉴权装置，应用于客户端，所述客户端的第二预设切点处预先注入有第二切面程序，所述鉴权装置包括：

生成模块，用于在所述客户端访问服务端时，生成用于访问所述服务端的访问请求；

采集模块，用于通过所述第二切面程序采集所述客户端的身份信息，并将所述客户端的身份信息插入所述访问请求中；

第二发送模块，用于将携带所述客户端的身份信息的访问请求发送至所述服务端，以使所述服务端根据所述客户端的身份信息确认所述客户端的身份，并根据所述客户端的身份确定所述客户端的访问权限，然后根据所述客户端的访问权限获取访问数据并将所述访问数据发送至所述客户端；

第二接收模块，用于接收所述服务端发送的访问数据。

本说明书又一目的在于提供一种可读存储介质，其上存储有计算机程序，当计算机程序在计算机中执行时，令计算机实现如上所述的鉴权方法。

本说明书又一目的在于提供一种计算设备，其包括存储器和处理器，存储器中存储有可执行代码，当处理器执行可执行代码时，其实现如上所述的鉴权方法。

附图说明

图1为根据本说明书一实施例的应用于服务端的鉴权方法的流程图；

图2为根据本说明书另一实施例的应用于客户端的鉴权方法的流程图；

图3为根据本说明书又一实施例的应用于服务端的鉴权装置的结构框图；

图4为根据本说明书又一实施例的应用于客户端的鉴权装置的结构框图。

具体实施方式

下面结合附图，给出本说明书的较佳实施例，并予以详细描述。

安全切面是指通过采用面向切面编程(Aspect-oriented Programming，AOP)的方式，在不修改应用程序的情况下，在应用程序的运行逻辑中动态的添加或修改用于实现安全切面功能的切面程序的方法。使得在实现安全切面功能的同时，使实现安全切面功能的程序与应用程序解耦，从而避免高耦合导致的开发迭代问题。

这里说的切面程序，即基于功能运行逻辑来实现安全切面功能的增强程序。可通过采用面向切面编程的方式，将切面程序注入至应用程序的相应切点处，该切面程序在执行应用程序的过程中被触发执行，实现所需的安全切面功能。

而应用程序在执行功能时，应用程序通常通过方法之间的调用进行功能执行。因此，可将应用程序中的任意方法作为切面程序的切入点，即上述所说的切点，并将切面程序注入对应切点。使得应用程序在执行至切点，即调用该切点对应的应用程序的方法时，执行在该切点注入的切面程序。

通常，负责将切面程序注入至切点的过程的代码存在较高的可复用性，因此，通常将实现这一过程的程序抽象为一个服务模块，即切面底座。切面底座可从提供安全切面功能的服务器获取需要部署的切面程序以及获取切面程序在应用程序中注入的切点，在应用容器启动后被唤醒并在应用程序的切点处注入对应的切面程序。

应用程序可以是功能平台的服务器中提供功能服务的应用程序。其中，功能服务可以是功能平台的服务器向用户提供的功能服务，如，查询功能、支付功能等。功能服务还可以是功能平台的某服务器向其他服务器提供的功能服务，如，结算功能等。

当然了，由上述描述可知，为了使安全切面功能的程序与应用程序解耦，本说明书通过采用面向切面编程的方式使得安全切面功能的程序与应用程序在功能执行时相互交织，但又互相平行可各自独立维护。因此，区别于应用程序的功能提供方，提供安全切面功能的第三方可通过服务器管理安全切面功能所涉及的内容，例如，安全切面功能管控策略的配置、切面程序的版本迭代、切面程序的部署规则配置等等。当然，提供安全切面功能的可以是第三方，也可以是功能提供方。

服务器在管理安全切面功能所涉及的内容时，可通过配置文件记录各种配置信息，例如各种策略的配置、切面程序的部署规则配置等。使得切面底座可根据配置文件完成对切面程序的部署，或者服务器可根据配置文件实现安全切面功能。

在实际应用中，功能提供方通常设置有包括若干物理机或物理服务器的机房，通过物理机提供应用程序所需的物理资源。当然，一个应用程序可能无需整个物理机的所有物理资源，于是，一般还会通过虚拟化技术在一个物理机上运行多个虚拟主机(virtualhosting)。各个虚拟主机之间是互相独立的，各自享有物理机的部分物理资源。然后，可在虚拟主机中部署应用容器，并通过应用容器运行应用程序。应用容器通常包含分配给该应用容器的物理资源，如CPU、内存等，以及提供给该应用容器的运行环境，如操作系统(Operating System，OS)或其他运行环境数据，如，容器的序列(Serial Number，SN)号、分配的IP(Influential Property)、应用名、租户、环境变量等)。应用程序可部署在应用容器中以执行功能。

而在基于安全切面执行功能的场景中，功能提供方或者提供安全切面功能的第三方的服务器可提供服务器，通过服务器管理安全切面功能所涉及的内容，并将切面底座部署在应用容器中，通过切面底座将切面程序注入应用容器中的应用程序中，以为功能提供方的应用容器提供安全切面功能的支持。

于是，可预先在功能提供方的应用容器中部署切面底座。一般情况下，在启动应用容器时，可唤起提供给应用容器的操作系统，以及运行预先部署的切面底座，通过切面底座从服务器中得到切面程序和应用程序的切点，并将切面程序注入应用容器中的应用程序的切点处。此外，切面底座也可在应用程序执行过程中，从服务器中得到切面程序和应用程序的切点，并将切面程序注入应用容器中的应用程序的切点处。

当然，切面底座如何从服务器中得到部署切面程序所需的信息，可根据需要设置。例如，可以是根据配置文件主动从服务器中拉取所需的信息，或者服务器可主动下发使切面底座接收所需的信息。

将切面程序注入应用程序的切点后，应用程序在执行过程中，即可触发该切面程序从而实现相应的安全切面功能。

安装在终端设备上的应用程序的客户端在实现其各种功能时，需要与服务端进行信息交互，例如访问服务端的数据、调用服务端的接口等，由于服务端中存储有很多敏感的隐私数据，因此当客户端向服务端请求数据时，服务端会先对客户端进行身份确认，然后再向客户端返回请求数据，避免非法客户端调用隐私数据，造成隐私泄露。现有的身份确认功能是与客户端和服务端的其他功能耦合的，当需要对身份确认功能进行修改时，需要修改源代码，导致对客户端和服务端其他功能造成干扰。此外，服务端确认客户端的身份可信后，会直接返回客户端请求的访问数据，而不会对其访问权限做进一步的确认，即无法实现细粒度的鉴权，这也可能导致隐私泄露风险。

基于此，本说明书实施例提供一种鉴权方法，在客户端访问服务端时，通过预先注入在客户端和服务端的预设切点的切面程序实现鉴权功能，以使鉴权功能与客户端和服务端的其他功能解耦，避免对其他功能造成干扰；同时通过鉴权确定客户端的访问权限，并根据访问权限返回访问数据，以实现细粒度的访问控制。

如图1所示，本说明书一实施例提供一种鉴权方法，应用于服务端，服务端的第一预设切点处预先注入有第一切面程序，鉴权方法包括以下步骤：

S110：在客户端访问服务端时，接收客户端发送的用于访问服务端的访问请求；其中，访问请求中携带有客户端的身份信息。

在客户端访问服务端时，客户端会先生成访问请求，然后将客户端的身份信息插入访问请求中，然后再将携带有客户端的身份信息的访问请求发送至服务端，服务端则接收携带有客户端的身份信息的访问请求。

在一些实施例中，客户端的身份信息可包括用于证明客户端的身份的任何合适的信息，例如安装该客户端的终端设备的型号、SN号(产品序列号)、应用程序版本号、终端身份证书、用户手机号等等。客户端在生成访问请求后，可以采集客户端的身份信息，然后再将客户端的身份信息插入访问请求中。

S120：第一切面程序根据客户端的身份信息确定客户端的身份，并根据客户端的身份确定客户端的访问权限，然后根据客户端的访问权限获取访问数据。

第一切面程序是预先注入在服务端的第一预设切点处的。其可通过预先部署在服务端上的第一切面底座注入至第一预设切点。注入方式可以为静态注入，也可以为动态注入。第一切面程序可执行预设的鉴权功能，当服务端执行第一预设切点时，会触发第一切面程序，并由第一切面程序实现其鉴权功能，在第一切面程序完成鉴权功能后，会返回至服务端的原有执行逻辑，以实现服务端的原有功能。第一预设切点的位置可以根据需要进行选择，针对不同的客户端，第一预设切点的位置也可能不同。例如，第一预设切点可以为服务端的接收访问请求的函数，这样，在服务端通过接收访问请求的函数接收到访问请求后，即会触发第一切面程序实现鉴权功能。

第一切面程序的鉴权功能为根据客户端的身份信息确定客户端的身份，并根据客户端的身份确定客户端的访问权限，然后根据客户端的访问权限获取访问数据。

在一些实施例中，确定客户端的身份可以是对客户端进行身份认证，即确定客户端是否为合法客户端，若是，则信任该客户端的身份信息，确定该客户端的身份即为访问请求中所提供的身份。在另外一些实施例中，确定客户端的身份也可以是不对客户端进行身份认证，而是直接信任客户端的访问请求中携带的身份信息，确定客户端的身份为访问请求中所提供的身份。

在一些实施例中，服务端中预存有客户端的标准身份信息，根据客户端的身份信息确定客户端的身份，具体包括：

将客户端的身份信息与服务端中的客户端的标准身份信息进行对比，以确定客户端的身份。

客户端的标准身份信息可以是客户端的注册基线数据，即终端设备在安装客户端时，注册并上报至服务端的设备和环境信息，包括终端设备的型号、SN号(产品序列号)、应用程序版本号、终端身份证书、用户手机号等等。将客户端的身份信息与服务端中的客户端的标准身份信息进行对比，以确定客户端的身份，其具体包括弱一致性认证方法和强一致性认证方法。

弱一致性认证方法包括：将客户端的身份信息中的部分信息(即核心信息，例如身份证书、用户手机号、SN号等)与服务端中的客户端的标准身份信息的相应部分(即标准身份证书、标准用户手机号、标准SN号)进行对比，若完全一致，则信任客户端的身份信息，确定客户端的身份为访问请求中提供的身份；否则，则不信任客户端的身份信息，确定客户端的身份为不合法。弱一致性方法只需将客户端的身份信息中的部分核心信息进行对比，可以减少对比过程的计算量，同时也能够保证一定的认证精确度。

强一致性认证方法包括：将客户端的身份信息中的所有信息与服务端中的标准身份信息进行对比，若完全一致，则信任客户端的身份信息，确定客户端的身份为访问请求中提供的身份；否则，则不信任客户端的身份信息，确定客户端的身份为不合法。由于强一致性认证方法是对身份信息中的所有信息进行对比，因此其精度高，但是相应的，其计算量也大。

在确定客户端的身份后，即可确定客户端的访问权限，然后根据访问权限获取访问数据。具体地，服务端中预先设置有访问权限配置表，访问权限配置表中包括各客户端的身份及其对应的访问权限，通过客户端的身份可在访问权限配置表中查看其对应的访问权限，例如，可用确定好的客户端的身份在访问权限配置表中进行搜索，若找到对应的客户端的身份，则获取其对应的访问权限，即为该确定好的客户端的访问权限，若找不到对应的客户端的身份(即访问权限配置表中没有该客户端的身份)，则确定该客户端无访问权限。对于有访问权限的客户端，可以根据其访问权限获取相应的访问数据，对于无访问权限的客户端，则获取的访问数据为空(即获取不到访问数据)或者为访问错误提示。

在一些实施例中，若客户端的身份为不合法，也可以直接确定该客户端无访问权限，其获取的访问数据为空；对于合法的客户端，则再在访问权限配置表中进行查找其访问权限。

在一些实施例中，访问权限可以细化至字段，即访问权限包括客户端可以访问的字段。根据客户端的访问权限获取访问数据，具体包括：

根据客户端的访问权限确定客户端的可访问字段；

获取客户端的所有可访问字段，作为访问数据。

在一个示例性的实施例中，访问权限包括授权接口和字段信息，例如对于客户端C1，其访问权限包括授权接口S1、S2，S1的字段信息包括字段A和字段B，S2的字段信息包括所有字段，假设S1的数据包括字段A、字段B和字段C，S2的数据包括字段D和字段E，上述访问权限表示客户端C1可以访问S1的字段A和字段B，以及访问S2的字段D和字段E，而无法访问S1的字段C，当客户端C1向服务端发送请求S1和/或S2的数据的访问请求时，服务端会获取S1的字段A和字段B，和/或S2的字段D和字段E作为访问数据返回至客户端C1；通过将访问权限细化至字段细粒度，可防止越权访问，避免隐私数据的泄漏，从而实现更加安全、精细化的访问控制。

当需要改变各客户端的访问权限时，只需要更新服务端中的访问权限配置表即可，十分方便。

由于上述鉴权功能是通过第一切面程序实现的，当需要更改时，只需修改第一切面程序，然后通过切面服务器将修改后的第一切面程序下发至服务端的第一切面底座，通过第一切面底座重新注入至第一预设切点，然后即可实现修改后的鉴权功能，无需对服务端的源代码进行修改，也不会影响服务端的其他功能，十分方便。

S130：将访问数据发送至客户端。

第一切面程序根据客户端的访问权限获取访问数据后，会返回至服务端的原有执行逻辑，然后服务端的原有执行逻辑会将访问数据发送至客户端，这样客户端可以接收到其可访问的数据。

本说明书实施例的鉴权方法，应用于服务端，通过预先注入在服务端的第一预设切点处的第一切面程序实现鉴权功能，以使鉴权功能与服务端的其他功能解耦，避免对其他功能造成干扰；通过鉴权确定客户端的访问权限，并根据访问权限返回访问数据，以实现细粒度的访问控制。

如图2所示，本说明书另一实施例提供一种鉴权方法，应用于客户端，客户端的第二预设切点处预先注入有第二切面程序，鉴权方法包括以下步骤：

S210：在客户端访问服务端时，生成用于访问服务端的访问请求。

在一些实施例中，访问请求可包括所请求的接口、数据等，以便服务端根据访问请求返回客户端能够访问的数据。

S220：通过第二切面程序采集客户端的身份信息，并将客户端的身份信息插入访问请求中。

第二切面程序是预先注入在服务端的第二预设切点处的。其可通过预先部署在服务端上的第二切面底座注入至第二预设切点。注入方式可以为静态注入，也可以为动态注入。第二切面程序可执行预设的鉴权功能，当客户端执行第二预设切点时，会触发第二切面程序，并由第二切面程序实现其鉴权功能，在第二切面程序完成鉴权功能后，会返回至客户端的原有执行逻辑，以实现客户端的原有功能。第二预设切点的位置可以根据需要进行选择，针对不同的客户端，第二预设切点的位置也可能不同。例如，第二预设切点可以为客户端的生成访问请求的函数，这样，在客户端通过生成访问请求的函数生成访问请求后，即会触发第二切面程序实现鉴权功能。

第二切面程序的鉴权功能为采集客户端的身份信息，并将客户端的身份信息插入访问请求中。

在一些实施例中，客户端的身份信息可包括用于证明客户端的身份的任何合适的信息，例如安装该客户端的终端设备的型号、SN号(产品序列号)、应用程序版本号、终端身份证书、用户手机号等等。

在一些实施例中，第二切面程序采集到客户端的身份信息后，可以先对其身份信息进行合法性校验，确定其是否合法，若是，再将其插入访问请求中；否则，直接判定客户端的身份信息不合法，不再进行后续流程。

在一些实施例中，第二切面程序采集到客户端的身份信息后，也可以对其先进行预处理(例如进行哈希计算)，然后再将预处理后的身份信息插入访问请求中。

由于上述鉴权功能是通过第二切面程序实现的，当需要更改时，只需修改第二切面程序，然后通过切面服务器将修改后的第二切面程序下发至客户端的第二切面底座，通过第二切面底座重新注入至第二切点，然后即可实现修改后的鉴权功能，无需对客户端的源代码进行修改，也不会影响客户端的其他功能，十分方便。

S230：将携带客户端的身份信息的访问请求发送至服务端，以使服务端根据客户端的身份信息确认客户端的身份，并根据客户端的身份确定客户端的访问权限，然后根据客户端的访问权限获取访问数据并将访问数据发送至客户端。

第二切面程序将客户端的身份信息插入访问请求后，会返回至客户端的原有执行逻辑，客户端的原有执行逻辑会将携带有客户端的身份信息的访问请求发送至服务端，以使服务端根据客户端的身份信息确定客户端的身份，并根据客户端的身份确定访问权限，然后根据访问权限获取访问数据后将访问数据发送至客户端。服务端根据据客户端的身份信息确定客户端的身份，并根据客户端的身份确定访问权限，然后根据访问权限获取访问数据的方法可参见上一实施例，此处不再赘述。

S240：接收服务端发送的访问数据。

服务端发送的访问数据为服务端对客户端进行鉴权后而获取的访问数据，可避免由客户端越权访问导致的隐私泄露。

在一些实施例中，访问数据包括可访问字段，服务端根据基于字段的访问权限获取客户端的可访问字段，可以实现字段细粒度的鉴权访问控制，从而实现更加安全、精细化的访问控制。

本说明书实施例提供的鉴权方法，应用于客户端，通过预先注入在客户端的第二预设切点处的第二切面程序实现鉴权功能，以使鉴权功能与客户端的其他功能解耦，避免对其他功能造成干扰。

如图3所示，本说明书又一实施例提供一种鉴权装置，应用于服务端，服务端的第一预设切点处预先注入有第一切面程序，鉴权装置包括第一接收模块11、确定模块12和第一发送模块13。

第一接收模块11用于在客户端访问服务端时，接收客户端发送的用于访问服务端的访问请求；其中，访问请求中携带有客户端的身份信息。

在客户端访问服务端时，客户端会先生成访问请求，然后将客户端的身份信息插入访问请求中，然后再将携带有客户端的身份信息的访问请求发送至服务端，服务端则接收携带有客户端的身份信息的访问请求。

在一些实施例中，客户端的身份信息可包括用于证明客户端的身份的任何合适的信息，例如安装该客户端的终端设备的型号、SN号(产品序列号)、应用程序版本号、终端身份证书、用户手机号等等。客户端在生成访问请求后，可以采集客户端的身份信息，然后再将客户端的身份信息插入访问请求中。

确定模块12用于通过第一切面程序根据客户端的身份信息确定客户端的身份，并根据客户端的身份确定客户端的访问权限，然后根据客户端的访问权限获取访问数据。

第一切面程序是预先注入在服务端的第一预设切点处的。其可通过预先部署在服务端上的第一切面底座注入至第一预设切点。注入方式可以为静态注入，也可以为动态注入。

在一些实施例中，确定客户端的身份可以是对客户端进行身份认证，即确定客户端是否为合法客户端，若是，则信任该客户端的身份信息，确定该客户端的身份即为访问请求中所提供的身份。在另外一些实施例中，确定客户端的身份也可以是不对客户端进行身份认证，而是直接信任客户端的访问请求中携带的身份信息，确定客户端的身份为访问请求中所提供的身份。

在一些实施例中，服务端中预存有客户端的标准身份信息，根据客户端的身份信息确定客户端的身份，具体包括：

将客户端的身份信息与服务端中的客户端的标准身份信息进行对比，以确定客户端的身份。

客户端的标准身份信息可以是客户端的注册基线数据，即终端设备在安装客户端时，注册并上报至服务端的设备和环境信息，包括终端设备的型号、SN号(产品序列号)、应用程序版本号、终端身份证书、用户手机号等等。将客户端的身份信息与服务端中的客户端的标准身份信息进行对比，以确定客户端的身份，具体包括弱一致性认证方法和强一致性认证方法，弱一致性认证方法为将客户端的身份信息中的部分信息与标准身份信息的相应部分进行对比，其计算量较小，也能保证一定的精度；强一致性认证是将客户端的身份信息的所有信息与标准身份信息的所有信息进行对比，其精度高，但是相应的，其计算量也大。

服务端中预先设置有访问权限配置表，访问权限配置表中包括各客户端的身份及其对应的访问权限，通过客户端的身份可在访问权限配置表中查看其对应的访问权限。

在一些实施例中，若客户端的身份为不合法，也可以直接确定该客户端无访问权限，其获取的访问数据为空；对于合法的客户端，则再在访问权限配置表中进行查找其访问权限。

在一些实施例中，访问权限可以细化至字段，即访问权限包括客户端可以访问的字段。根据客户端的访问权限获取访问数据，具体包括：

根据客户端的访问权限确定客户端的可访问字段；

获取客户端的所有可访问字段，作为访问数据。

通过将访问权限细化至字段细粒度，可防止越权访问，避免隐私数据的泄漏，从而实现更加安全、精细化的访问控制。

当需要改变各客户端的访问权限时，只需要更新服务端中的访问权限配置表即可，十分方便。

由于上述鉴权功能是通过第一切面程序实现的，当需要更改时，只需修改第一切面程序，然后通过切面服务器将修改后的第一切面程序下发至服务端的第一切面底座，通过第一切面底座重新注入至第一预设切点，然后即可实现修改后的鉴权功能，无需对服务端的源代码进行修改，也不会影响服务端的其他功能，十分方便。

第一发送模块13用于将访问数据发送至客户端。

本说明书实施例的鉴权装置，应用于服务端，确定模块12通过预先注入在服务端的第一预设切点处的第一切面程序实现鉴权功能，以使鉴权功能与服务端的其他功能解耦，避免对其他功能造成干扰；确定模块12通过鉴权确定客户端的访问权限，并根据访问权限返回访问数据，以实现细粒度的访问控制。

如图4所示，本说明书又一实施例提供一种鉴权装置，应用于客户端，客户端的第二预设切点处预先注入有第二切面程序，鉴权装置包括生成模块21、采集模块22、第二发送模块23和第二接收模块24。

生成模块21用于在客户端访问服务端时，生成用于访问服务端的访问请求。

采集模块22用于通过第二切面程序采集客户端的身份信息，并将客户端的身份信息插入访问请求中。

第二切面程序是预先注入在服务端的第二预设切点处的。其可通过预先部署在服务端上的第二切面底座注入至第二预设切点。注入方式可以为静态注入，也可以为动态注入。

在一些实施例中，客户端的身份信息可包括用于证明客户端的身份的任何合适的信息，例如安装该客户端的终端设备的型号、SN号(产品序列号)、应用程序版本号、终端身份证书、用户手机号等等。

在一些实施例中，第二切面程序采集到客户端的身份信息后，可以先对其身份信息进行合法性校验，确定其是否合法，若是，再将其插入访问请求中；否则，直接判定客户端的身份信息不合法，不再进行后续流程。

在一些实施例中，第二切面程序采集到客户端的身份信息后，也可以对其先进行预处理(例如进行哈希计算)，然后再将预处理后的身份信息插入访问请求中。

由于上述鉴权功能是通过第二切面程序实现的，当需要更改时，只需修改第二切面程序，然后通过切面服务器将修改后的第二切面程序下发至客户端的第二切面底座，通过第二切面底座重新注入至第二切点，然后即可实现修改后的鉴权功能，无需对客户端的源代码进行修改，也不会影响客户端的其他功能，十分方便。

第二发送模块23用于将携带客户端的身份信息的访问请求发送至服务端，以使服务端根据客户端的身份信息确认客户端的身份，并根据客户端的身份确定客户端的访问权限，然后根据客户端的访问权限获取访问数据并将访问数据发送至客户端。

第二接收模块24用于接收服务端发送的访问数据。

服务端发送的访问数据为服务端对客户端进行鉴权后而获取的访问数据，可避免由客户端越权访问导致的隐私泄露。

在一些实施例中，访问数据包括可访问字段，服务端根据基于字段的访问权限获取客户端的可访问字段，可以实现字段细粒度的鉴权访问控制，从而实现更加安全、精细化的访问控制。

本说明书实施例的鉴权装置，应用于客户端，采集模块22通过预先注入在客户端的第二预设切点处的第二切面程序实现鉴权功能，以使鉴权功能与客户端的其他功能解耦，避免对其他功能造成干扰。

本说明书的又一实施例提供一种可读存储介质，其上存储有计算机程序，当计算机程序在计算机中执行时，令计算机执行本说明书上述实施例中的鉴权方法的步骤。

本说明书又一实施例提供一种计算设备，其包括存储器和处理器，存储器中存储有可执行代码，当处理器执行可执行代码时，其执行本说明书上述实施例中的鉴权方法的步骤。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本说明书的实施例可提供为方法、系统、或计算机程序产品。因此，本说明书可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本说明书的实施例可提供为方法、系统或计算机程序产品。因此，本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述的，仅为本说明书的较佳实施例，并非用以限定本说明书的范围，本说明书的上述实施例还可以做出各种变化。即凡是依据本说明书申请的权利要求书及说明书内容所作的简单、等效变化与修饰，皆落入本说明书专利的权利要求保护范围。本说明书未详尽描述的均为常规技术内容。

Claims (12)

1.一种鉴权方法，应用于服务端，所述服务端的第一预设切点处预先注入有第一切面程序，所述鉴权方法包括：

在客户端访问服务端时，接收所述客户端发送的用于访问所述服务端的访问请求；其中，所述访问请求中携带有所述客户端的身份信息；

所述第一切面程序根据所述客户端的身份信息确定所述客户端的身份，并根据所述客户端的身份确定所述客户端的访问权限，然后根据所述客户端的访问权限获取访问数据；

将所述访问数据发送至所述客户端。

2.根据权利要求1所述的鉴权方法，根据所述客户端的身份信息确定所述客户端的身份，具体包括：

将所述客户端的身份信息与预存的标准身份信息进行对比，以确定所述客户端的身份。

3.根据权利要求1所述的鉴权方法，根据所述客户端的身份确定所述客户端的访问权限，具体包括：

根据所述客户端的身份在预设的访问权限配置表中查找所述客户端的访问权限。

4.根据权利要求1所述的鉴权方法，根据所述客户端的访问权限获取访问数据，具体包括：

根据所述客户端的访问权限确定所述客户端的可访问字段；

获取所述客户端的所有可访问字段，作为访问数据。

5.一种鉴权方法，应用于客户端，所述客户端的第二预设切点处预先注入有第二切面程序，所述鉴权方法包括：

在所述客户端访问服务端时，生成用于访问所述服务端的访问请求；

通过所述第二切面程序采集所述客户端的身份信息，并将所述客户端的身份信息插入所述访问请求中；

将携带所述客户端的身份信息的访问请求发送至所述服务端，以使所述服务端根据所述客户端的身份信息确认所述客户端的身份，并根据所述客户端的身份确定所述客户端的访问权限，然后根据所述客户端的访问权限获取访问数据并将所述访问数据发送至所述客户端；

接收所述服务端发送的访问数据。

6.一种鉴权装置，应用于服务端，所述服务端的第一预设切点处预先注入有第一切面程序，所述鉴权装置包括：

第一接收模块，用于在客户端访问服务端时，接收所述客户端发送的用于访问所述服务端的访问请求；其中，所述访问请求中携带有所述客户端的身份信息；

确定模块，用于通过所述第一切面程序根据所述客户端的身份信息确定所述客户端的身份，并根据所述客户端的身份确定所述客户端的访问权限，然后根据所述客户端的访问权限获取访问数据；

第一发送模块，用于将所述访问数据发送至所述客户端。

7.根据权利要求6所述的鉴权装置，根据所述客户端的身份信息确定所述客户端的身份，具体包括：

将所述客户端的身份信息与预存的标准身份信息进行对比，以确定所述客户端的身份。

8.根据权利要求6所述的鉴权装置，根据所述客户端的身份确定所述客户端的访问权限，具体包括：

根据所述客户端的身份在预设的访问权限配置表中查找所述客户端的访问权限。

9.根据权利要求6所述的鉴权装置，根据所述客户端的访问权限获取访问数据，具体包括：

根据所述客户端的访问权限确定所述客户端的可访问字段；

获取所述客户端的所有可访问字段，作为访问数据。

10.一种鉴权装置，应用于客户端，所述客户端的第二预设切点处预先注入有第二切面程序，所述鉴权装置包括：

生成模块，用于在所述客户端访问服务端时，生成用于访问所述服务端的访问请求；

采集模块，用于通过所述第二切面程序采集所述客户端的身份信息，并将所述客户端的身份信息插入所述访问请求中；

第二发送模块，用于将携带所述客户端的身份信息的访问请求发送至所述服务端，以使所述服务端根据所述客户端的身份信息确认所述客户端的身份，并根据所述客户端的身份确定所述客户端的访问权限，然后根据所述客户端的访问权限获取访问数据并将所述访问数据发送至所述客户端；

第二接收模块，用于接收所述服务端发送的访问数据。

11.一种可读存储介质，其上存储有计算机程序，当计算机程序在计算机中执行时，令计算机实现如权利要求1-5中任一项所述的鉴权方法。

12.一种计算设备，其包括存储器和处理器，存储器中存储有可执行代码，当处理器执行可执行代码时，其实现如权利要求1-5中任一项所述的鉴权方法。