CN117955720A - 资源获取方法、装置、设备、介质和产品 - Google Patents

资源获取方法、装置、设备、介质和产品 Download PDF

Info

Publication number
CN117955720A
CN117955720A CN202410150913.5A CN202410150913A CN117955720A CN 117955720 A CN117955720 A CN 117955720A CN 202410150913 A CN202410150913 A CN 202410150913A CN 117955720 A CN117955720 A CN 117955720A
Authority
CN
China
Prior art keywords
authentication data
resource
target
identifier
acquisition request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410150913.5A
Other languages
English (en)
Inventor
安思宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202410150913.5A priority Critical patent/CN117955720A/zh
Publication of CN117955720A publication Critical patent/CN117955720A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及一种资源获取方法、装置、计算机设备、存储介质和计算机程序产品,涉及信息安全技术领域。所述方法包括:接收客户端发送的资源获取请求;基于资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据;基于统一资源标识符和目标鉴权数据,获取鉴权数据集合,鉴权数据集合包括所有用户的鉴权数据;基于统一资源标识符和会话标识符,将目标鉴权数据和鉴权数据集合进行对比,并基于对比结果向客户端返回资源获取请求所请求的目标资源。本申请提供的方法,能够有效的确定发起资源获取请求的用户是否具有获取目标资源的权限,从而确定用户是否越权,并且,能够对整个业务系统实现全面有效的越权防控。

Description

资源获取方法、装置、设备、介质和产品
技术领域
本申请涉及信息安全技术领域,特别是涉及一种资源获取方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
在银行或者金融领域的业务系统中极易出现横向越权问题,即用户未经授权却超越其权限范围地访问系统资源,这种情况可能导致敏感信息泄露、恶意操作、系统瘫痪等安全问题。为了防止这些安全问题的发生,需要对业务系统进行越权防控。
现有的越权防控方法,是由业务研发人员针对业务系统中具体的业务交易实现横向越权防控,例如,采用白名单等机制,对前端上送信息进行针对性过滤。但是,在业务系统层面上,由于业务交易种类繁杂、数量巨大,导致需要进行越权防控的防控点很多,从而在进行越权防控的过程中容易遗漏防控点,因此,采用现有的越权防控方法,无法在业务系统层面上实现全面有效的越权防控。
发明内容
基于此,有必要针对上述技术问题,提供一种能够在业务系统层面上实现全面有效的越权防控的资源获取方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种资源获取方法,所述方法包括:
接收客户端发送的资源获取请求;
基于所述资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据;
基于所述统一资源标识符和所述目标鉴权数据,获取鉴权数据集合,所述鉴权数据集合包括所有用户的鉴权数据;
基于所述统一资源标识符和所述会话标识符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源。
在其中一个实施例中,所述基于所述资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据,包括:
基于所述资源获取请求,判断越权开关是否开启;
若开启,则获取与所述资源获取请求相应的统一资源标识符、会话标识符以及目标鉴权数据;
若未开启,则直接向所述客户端返回所述资源获取请求所请求的目标资源。
在其中一个实施例中,所述基于所述统一资源标识符和所述目标鉴权数据,获取鉴权数据集合,包括:
在所述统一资源标识符为空的情况下,直接向所述客户端返回所述资源获取请求所请求的目标资源;
在所述统一资源标识符不为空的情况下,获取所述目标鉴权数据相应的防越权字符串;
在所述防越权字符串不为空的情况下,获取鉴权数据集合。
在其中一个实施例中,所述方法还包括:
在所述防越权字符串为空的情况下,终止资源获取过程,并将目标资源的获取过程确定为越权过程。
在其中一个实施例中,所述基于所述统一资源标识符和所述会话标识符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源,包括:
在所述统一资源标识符不为空的情况下,将所述统一资源标识符和所述会话标识符拼接为统一资源定位符;
基于所述统一资源定位符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源。
在其中一个实施例中,所述基于所述统一资源定位符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源,包括:
基于所述统一资源定位符,判断所述鉴权数据集合中是否包括所述目标鉴权数据;
若包括,则向所述客户端返回所述资源获取请求所请求的目标资源;
若不包括,则终止资源获取过程,并将目标资源的获取过程确定为越权过程。
第二方面,本申请还提供了一种资源获取装置,所述装置包括:
接收模块,用于接收客户端发送的资源获取请求;
第一获取模块,用于基于所述资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据;
第二获取模块,用于基于所述统一资源标识符和所述目标鉴权数据,获取鉴权数据集合,所述鉴权数据集合包括所有用户的鉴权数据;
对比模块,用于基于所述统一资源标识符和所述会话标识符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源。
第三方面,本申请还提供了一种计算机设备。计算机设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述的任意一个实施例中的方法的步骤。
第四方面,本申请还提供了一种计算机可读存储介质。计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述的任意一个实施例中的方法的步骤。
第五方面,本申请还提供了一种计算机程序产品。计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述的任意一个实施例中的方法的步骤。
上述资源获取方法、装置、计算机设备、存储介质和计算机程序产品,接收客户端发送的资源获取请求;基于资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据;基于统一资源标识符和目标鉴权数据,获取鉴权数据集合,鉴权数据集合包括所有用户的鉴权数据;基于统一资源标识符和会话标识符,将目标鉴权数据和鉴权数据集合进行对比,并基于对比结果向客户端返回资源获取请求所请求的目标资源。本申请提供的方法,在基于资源获取请求获取目标资源的过程中,通过将目标鉴权数据和鉴权数据集合对比,能够有效的确定发起资源获取请求的用户是否具有获取目标资源的权限,从而确定用户是否越权,并且,这一方法适用于整个业务系统层面,能够对整个业务系统实现全面有效的越权防控。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一个实施例中资源获取方法的应用环境图;
图2为一个实施例中资源获取方法的流程示意图;
图3为一个实施例中目标鉴权数据获取方法的流程示意图;
图4为另一个实施例中资源获取方法的流程框图;
图5为一个实施例中资源获取装置的结构框图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的资源获取方法,可以应用于如图1所示的应用环境中。其中,客户端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。服务器104接收客户端102发送的资源获取请求,并向客户端102返回资源获取请求所请求的目标资源。其中,客户端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个示例性的实施例中,如图2所示,提供了一种资源获取方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤202至步骤208。其中:
S202、接收客户端发送的资源获取请求。
其中,资源获取请求相应的目标资源可以在发起请求的用户的访问权限内,也可以不在发起请求的用户的访问权限内,本申请实施例对此不作具体限定。
S204、基于资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据。
其中,统一资源标识符(URI,Uniform Resource Identifier)用于标识目标资源;会话标识符(sessionID)用于在客户端和服务器之间维护会话状态;鉴权数据包括发起请求的用户的身份信息和所要获取的目标资源的标识信息,例如,目标资源为电子银行中某一张银行卡的余额信息和交易信息,相应的标识信息可以为该银行卡的银行卡号。
S206、基于统一资源标识符和目标鉴权数据,获取鉴权数据集合,鉴权数据集合包括所有用户的鉴权数据。
其中,鉴权数据集合包括所有用户的访问权限,即包括所有用户与资源之间的对应关系;可以基于统一资源标识符和目标鉴权数据相应的防越权字符串是否为空来获取鉴权数据集合。
S208、基于统一资源标识符和会话标识符,将目标鉴权数据和鉴权数据集合进行对比,并基于对比结果向客户端返回资源获取请求所请求的目标资源。
其中,通过将目标鉴权数据和鉴权数据集合进行对比,能够确定发起资源获取请求的用户是否具有访问目标资源的权限。可以采用indexof方法对目标鉴权数据和鉴权数据集合进行对比,也可以采用其他方法对目标鉴权数据和鉴权数据集合进行对比,本申请实施例对此不作具体限定。
上述资源获取方法中,接收客户端发送的资源获取请求;基于资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据;基于统一资源标识符和目标鉴权数据,获取鉴权数据集合,鉴权数据集合包括所有用户的鉴权数据;基于统一资源标识符和会话标识符,将目标鉴权数据和鉴权数据集合进行对比,并基于对比结果向客户端返回资源获取请求所请求的目标资源。本申请提供的方法,在基于资源获取请求获取目标资源的过程中,通过将目标鉴权数据和鉴权数据集合对比,能够有效的确定发起资源获取请求的用户是否具有获取目标资源的权限,从而确定用户是否越权,并且,这一方法适用于整个业务系统层面,能够对整个业务系统实现全面有效的越权防控。
在一些实施例中,如图3所示,基于资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据,包括:
S302、基于资源获取请求,判断越权开关是否开启。
S304、若开启,则获取与资源获取请求相应的统一资源标识符、会话标识符以及目标鉴权数据。
S306、若未开启,则直接向客户端返回资源获取请求所请求的目标资源。
其中,越权是指在计算机安全领域中,用户通过某种方式获取了比其正常权限更高级别的访问权限的行为;越权开关是指用于控制系统中是否允许越权访问的开关或机制,越权开关的作用是限制或阻止在系统中发生越权行为。
具体地,若开启越权开关,则对发起资源获取请求的用户进行鉴权,若未开启越权开关,则直接返回用户所需的目标资源。
本实施例中,通过打开或者关闭越权开关,能够确定是否对发起资源获取请求的用户进行鉴权,这样能够使得返回目标资源的过程更加符合实际需求。
在一些实施例中,基于统一资源标识符和目标鉴权数据,获取鉴权数据集合,包括:在统一资源标识符为空的情况下,直接向客户端返回资源获取请求所请求的目标资源;在统一资源标识符不为空的情况下,获取目标鉴权数据相应的防越权字符串;在防越权字符串不为空的情况下,获取鉴权数据集合。
其中,防越权字符串通常是指在软件开发中采用的一种安全措施,用于防止越权攻击。
本实施例中,通过判断统一资源标识符和防越权字符串是否为空,获取鉴权数据集合,这样能够保证向客户端返回目标资源过程的安全性。
在一些实施例中,上述方法还包括:在防越权字符串为空的情况下,终止资源获取过程,并将目标资源的获取过程确定为越权过程。
其中,防越权字符串为空,说明系统的访问权限遭到人为篡改,此时为了保证系统资源的安全,拒绝用户发起的资源访问请求。
本实施例中,在防越权字符串为空的情况下,拒绝用户发起的资源访问请求,这样能够保证系统资源的安全性。
在一些实施例中,基于统一资源标识符和会话标识符,将目标鉴权数据和鉴权数据集合进行对比,并基于对比结果向客户端返回资源获取请求所请求的目标资源,包括:在统一资源标识符不为空的情况下,将统一资源标识符和会话标识符拼接为统一资源定位符;基于统一资源定位符,将目标鉴权数据和鉴权数据集合进行对比,并基于对比结果向客户端返回资源获取请求所请求的目标资源。
其中,统一资源定位符用于标识和定位互联网上的资源,它指定了访问资源所需的协议、主机名、路径等信息,以便客户端能够准确地定位和获取资源。
本实施例中,通过将统一资源标识符和会话标识符拼接为统一资源定位符,能够更准确的获取目标资源。
在一些实施例中,基于统一资源定位符,将目标鉴权数据和鉴权数据集合进行对比,并基于对比结果向客户端返回资源获取请求所请求的目标资源,包括:基于统一资源定位符,判断鉴权数据集合中是否包括目标鉴权数据;若包括,则向客户端返回资源获取请求所请求的目标资源;若不包括,则终止资源获取过程,并将目标资源的获取过程确定为越权过程。
其中,若鉴权数据集合中包括目标鉴权数据,则说明发起资源获取请求的用户具有访问目标资源的权限。
本实施例中,通过判断鉴权数据集合中是否包括目标鉴权数据,从而确定是否向客户端返回目标资源,这样能够保证返回目标资源过程中的安全。
在一个实施例中,如图4所示,提供了另一种资源获取方法,图4为该方法的流程框图。该方法所包括的内容如下所示:
首次访问服务端资源时,身份认证与授权服务对用户身份识别认证,在返回前端资源前,由鉴权信息处理模块自动采集并存储到鉴权信息存储模块,如账户号等本次交易主键数据,存储完毕后,返回前端数据资源。
(1)获取服务端资源,查询资源明细时,前端公共数据路由模块自动采集越权防控所需的页面上下文uri(统一资源标识符)和鉴权数据,与交易数据同时上送。
(2)请求拦截器将uri和sessionId(会话标识符)用下划线拼接后作为key,从鉴权信息存储模块查询鉴权数据集合,使用indexof方法判断,鉴权信息存储模块中的鉴权集和前端上送的鉴权数据是否是包含关系,包含则通过,不包含则返回权限不足,打断请求,记录越权事件。
(3)越权检测到越权事件时,记录事件发生的时间、会话信息、客户信息、IP、MAC、交易ID等数据,异步上传到日志与审计系统。
该方法相应系统包括下述模块:
(1)身份认证与授权服务:该服务负责验证用户身份并分配访问令牌。它还负责授予或拒绝用户对特定资源的访问权限。
(2)前端公共数据路由模块:该模块作为前端公共数据处理层,在请求服务端资源前,自动采集越权防控所需的页面上下文uri和鉴权数据,与交易数据同时上送。
(3)鉴权信息处理模块:该处理器自动采集交易数据中的鉴权数据,存储到鉴权信息存储模块中,用于后续的资源访问鉴权。
(4)鉴权信息存储模块(NOS):该模块存储资源访问鉴权数据集合。
(5)请求拦截器:该拦截器位于系统的关键访问点,并负责在用户请求到达目标资源之前截取并验证用户权限。如果请求者的角色与请求的资源相匹配且满足访问控制策略,则请求被允许通过;否则,请求将被拒绝。
(6)日志与审计系统:该系统记录所有越权检测和阻止事件,为后续的审计和安全分析提供重要的信息。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的资源获取方法的资源获取装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个资源获取装置实施例中的具体限定可以参见上文中对于资源获取方法的限定,在此不再赘述。
在一个示例性的实施例中,如图5所示,提供了一种资源获取装置500,包括:接收模块501、第一获取模块502、第二获取模块503和对比模块504,其中:
接收模块501,用于接收客户端发送的资源获取请求。
第一获取模块502,用于基于所述资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据。
第二获取模块503,用于基于所述统一资源标识符和所述目标鉴权数据,获取鉴权数据集合,所述鉴权数据集合包括所有用户的鉴权数据。
对比模块504,用于基于所述统一资源标识符和所述会话标识符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源。
在一些实施例中,第一获取模块502,还用于基于所述资源获取请求,判断越权开关是否开启;若开启,则获取与所述资源获取请求相应的统一资源标识符、会话标识符以及目标鉴权数据;若未开启,则直接向所述客户端返回所述资源获取请求所请求的目标资源。
在一些实施例中,第二获取模块503,还用于在所述统一资源标识符为空的情况下,直接向所述客户端返回所述资源获取请求所请求的目标资源;在所述统一资源标识符不为空的情况下,获取所述目标鉴权数据相应的防越权字符串;在所述防越权字符串不为空的情况下,获取鉴权数据集合。
在一些实施例中,第二获取模块503,还用于在所述防越权字符串为空的情况下,终止资源获取过程,并将目标资源的获取过程确定为越权过程。
在一些实施例中,对比模块504,包括:
拼接单元,用于在所述统一资源标识符不为空的情况下,将所述统一资源标识符和所述会话标识符拼接为统一资源定位符。
对比单元,用于基于所述统一资源定位符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源。
在一些实施例中,对比单元,还用于基于所述统一资源定位符,判断所述鉴权数据集合中是否包括所述目标鉴权数据;若包括,则向所述客户端返回所述资源获取请求所请求的目标资源;若不包括,则终止资源获取过程,并将目标资源的获取过程确定为越权过程。
上述资源获取装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个示例性的实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)和通信接口。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储鉴权数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种资源获取方法。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个示例性的实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:接收客户端发送的资源获取请求;基于所述资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据;基于所述统一资源标识符和所述目标鉴权数据,获取鉴权数据集合,所述鉴权数据集合包括所有用户的鉴权数据;基于所述统一资源标识符和所述会话标识符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源。
在一个实施例中,处理器执行计算机程序时所实现的基于所述资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据,包括:基于所述资源获取请求,判断越权开关是否开启;若开启,则获取与所述资源获取请求相应的统一资源标识符、会话标识符以及目标鉴权数据;若未开启,则直接向所述客户端返回所述资源获取请求所请求的目标资源。
在一个实施例中,处理器执行计算机程序时所实现的基于所述统一资源标识符和所述目标鉴权数据,获取鉴权数据集合,包括:在所述统一资源标识符为空的情况下,直接向所述客户端返回所述资源获取请求所请求的目标资源;在所述统一资源标识符不为空的情况下,获取所述目标鉴权数据相应的防越权字符串;在所述防越权字符串不为空的情况下,获取鉴权数据集合。
在一个实施例中,处理器执行计算机程序时所实现的方法还包括:在所述防越权字符串为空的情况下,终止资源获取过程,并将目标资源的获取过程确定为越权过程。
在一个实施例中,处理器执行计算机程序时所实现的基于所述统一资源标识符和所述会话标识符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源,包括:在所述统一资源标识符不为空的情况下,将所述统一资源标识符和所述会话标识符拼接为统一资源定位符;基于所述统一资源定位符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源。
在一个实施例中,处理器执行计算机程序时所实现的基于所述统一资源定位符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源,包括:基于所述统一资源定位符,判断所述鉴权数据集合中是否包括所述目标鉴权数据;若包括,则向所述客户端返回所述资源获取请求所请求的目标资源;若不包括,则终止资源获取过程,并将目标资源的获取过程确定为越权过程。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:接收客户端发送的资源获取请求;基于所述资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据;基于所述统一资源标识符和所述目标鉴权数据,获取鉴权数据集合,所述鉴权数据集合包括所有用户的鉴权数据;基于所述统一资源标识符和所述会话标识符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源。
在一个实施例中,计算机程序被处理器执行时所实现的基于所述资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据,包括:基于所述资源获取请求,判断越权开关是否开启;若开启,则获取与所述资源获取请求相应的统一资源标识符、会话标识符以及目标鉴权数据;若未开启,则直接向所述客户端返回所述资源获取请求所请求的目标资源。
在一个实施例中,计算机程序被处理器执行时所实现的基于所述统一资源标识符和所述目标鉴权数据,获取鉴权数据集合,包括:在所述统一资源标识符为空的情况下,直接向所述客户端返回所述资源获取请求所请求的目标资源;在所述统一资源标识符不为空的情况下,获取所述目标鉴权数据相应的防越权字符串;在所述防越权字符串不为空的情况下,获取鉴权数据集合。
在一个实施例中,计算机程序被处理器执行时所实现的方法还包括:在所述防越权字符串为空的情况下,终止资源获取过程,并将目标资源的获取过程确定为越权过程。
在一个实施例中,计算机程序被处理器执行时所实现的基于所述统一资源标识符和所述会话标识符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源,包括:在所述统一资源标识符不为空的情况下,将所述统一资源标识符和所述会话标识符拼接为统一资源定位符;基于所述统一资源定位符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源。
在一个实施例中,计算机程序被处理器执行时所实现的基于所述统一资源定位符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源,包括:基于所述统一资源定位符,判断所述鉴权数据集合中是否包括所述目标鉴权数据;若包括,则向所述客户端返回所述资源获取请求所请求的目标资源;若不包括,则终止资源获取过程,并将目标资源的获取过程确定为越权过程。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:接收客户端发送的资源获取请求;基于所述资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据;基于所述统一资源标识符和所述目标鉴权数据,获取鉴权数据集合,所述鉴权数据集合包括所有用户的鉴权数据;基于所述统一资源标识符和所述会话标识符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源。
在一个实施例中,计算机程序被处理器执行时所实现的基于所述资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据,包括:基于所述资源获取请求,判断越权开关是否开启;若开启,则获取与所述资源获取请求相应的统一资源标识符、会话标识符以及目标鉴权数据;若未开启,则直接向所述客户端返回所述资源获取请求所请求的目标资源。
在一个实施例中,计算机程序被处理器执行时所实现的基于所述统一资源标识符和所述目标鉴权数据,获取鉴权数据集合,包括:在所述统一资源标识符为空的情况下,直接向所述客户端返回所述资源获取请求所请求的目标资源;在所述统一资源标识符不为空的情况下,获取所述目标鉴权数据相应的防越权字符串;在所述防越权字符串不为空的情况下,获取鉴权数据集合。
在一个实施例中,计算机程序被处理器执行时所实现的方法还包括:在所述防越权字符串为空的情况下,终止资源获取过程,并将目标资源的获取过程确定为越权过程。
在一个实施例中,计算机程序被处理器执行时所实现的基于所述统一资源标识符和所述会话标识符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源,包括:在所述统一资源标识符不为空的情况下,将所述统一资源标识符和所述会话标识符拼接为统一资源定位符;基于所述统一资源定位符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源。
在一个实施例中,计算机程序被处理器执行时所实现的基于所述统一资源定位符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源,包括:基于所述统一资源定位符,判断所述鉴权数据集合中是否包括所述目标鉴权数据;若包括,则向所述客户端返回所述资源获取请求所请求的目标资源;若不包括,则终止资源获取过程,并将目标资源的获取过程确定为越权过程。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要符合相关规定。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种资源获取方法,其特征在于,所述方法包括:
接收客户端发送的资源获取请求;
基于所述资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据;
基于所述统一资源标识符和所述目标鉴权数据,获取鉴权数据集合,所述鉴权数据集合包括所有用户的鉴权数据;
基于所述统一资源标识符和所述会话标识符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源。
2.根据权利要求1所述的方法,其特征在于,所述基于所述资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据,包括:
基于所述资源获取请求,判断越权开关是否开启;
若开启,则获取与所述资源获取请求相应的统一资源标识符、会话标识符以及目标鉴权数据;
若未开启,则直接向所述客户端返回所述资源获取请求所请求的目标资源。
3.根据权利要求1所述的方法,其特征在于,所述基于所述统一资源标识符和所述目标鉴权数据,获取鉴权数据集合,包括:
在所述统一资源标识符为空的情况下,直接向所述客户端返回所述资源获取请求所请求的目标资源;
在所述统一资源标识符不为空的情况下,获取所述目标鉴权数据相应的防越权字符串;
在所述防越权字符串不为空的情况下,获取鉴权数据集合。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在所述防越权字符串为空的情况下,终止资源获取过程,并将目标资源的获取过程确定为越权过程。
5.根据权利要求3所述的方法,其特征在于,所述基于所述统一资源标识符和所述会话标识符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源,包括:
在所述统一资源标识符不为空的情况下,将所述统一资源标识符和所述会话标识符拼接为统一资源定位符;
基于所述统一资源定位符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源。
6.根据权利要求5所述的方法,其特征在于,所述基于所述统一资源定位符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源,包括:
基于所述统一资源定位符,判断所述鉴权数据集合中是否包括所述目标鉴权数据;
若包括,则向所述客户端返回所述资源获取请求所请求的目标资源;
若不包括,则终止资源获取过程,并将目标资源的获取过程确定为越权过程。
7.一种资源获取装置,其特征在于,所述装置包括:
接收模块,用于接收客户端发送的资源获取请求;
第一获取模块,用于基于所述资源获取请求,获取相应的统一资源标识符、会话标识符以及目标鉴权数据;
第二获取模块,用于基于所述统一资源标识符和所述目标鉴权数据,获取鉴权数据集合,所述鉴权数据集合包括所有用户的鉴权数据;
对比模块,用于基于所述统一资源标识符和所述会话标识符,将所述目标鉴权数据和所述鉴权数据集合进行对比,并基于对比结果向所述客户端返回所述资源获取请求所请求的目标资源。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN202410150913.5A 2024-02-02 2024-02-02 资源获取方法、装置、设备、介质和产品 Pending CN117955720A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410150913.5A CN117955720A (zh) 2024-02-02 2024-02-02 资源获取方法、装置、设备、介质和产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410150913.5A CN117955720A (zh) 2024-02-02 2024-02-02 资源获取方法、装置、设备、介质和产品

Publications (1)

Publication Number Publication Date
CN117955720A true CN117955720A (zh) 2024-04-30

Family

ID=90799873

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410150913.5A Pending CN117955720A (zh) 2024-02-02 2024-02-02 资源获取方法、装置、设备、介质和产品

Country Status (1)

Country Link
CN (1) CN117955720A (zh)

Similar Documents

Publication Publication Date Title
US10250612B1 (en) Cross-account role management
US20110314558A1 (en) Method and apparatus for context-aware authentication
US20110314549A1 (en) Method and apparatus for periodic context-aware authentication
US20100325710A1 (en) Network Access Protection
CN110268406B (zh) 密码安全性
JP4636607B2 (ja) セキュリティ対策アプリケーションの機密ファイル保護方法
WO2020000716A1 (zh) 大数据分析系统、服务器、数据处理方法、程序和存储介质
CN113111359A (zh) 基于信息安防的大数据资源共享方法及资源共享系统
Meetei et al. Security issues in cloud computing
US9230128B2 (en) Assignment of security contexts to define access permissions for file system objects
CN116975893A (zh) 访问请求处理方法及装置、存储介质、计算机设备
US20040243828A1 (en) Method and system for securing block-based storage with capability data
CN112350863B (zh) 一种基于交易的去中心化访问控制方法和系统
CN117411664A (zh) 资源访问控制方法、装置、计算机设备和存储介质
CN117201163A (zh) 多维度接口鉴权方法、装置、计算机设备和存储介质
CN116436692A (zh) 数据访问方法、装置、设备及存储介质
CN117955720A (zh) 资源获取方法、装置、设备、介质和产品
CN115664772A (zh) 访问请求处理方法、装置、计算机设备和存储介质
Behera et al. Big data security threats and prevention measures in cloud and Hadoop
CN108134781B (zh) 一种重要信息数据保密监控系统
CN116346488B (zh) 一种越权访问的检测方法及装置
CN111400750B (zh) 基于访问过程判定的可信度量方法和装置
CN114679301B (zh) 一种利用安全沙箱对数据湖数据进行存取的方法和系统
US20240232419A1 (en) Sensitive data classification for micro-service applications
CN117675396A (zh) 用户账户数据获取方法、系统、装置和计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination