CN118171297A - 一种接口权限控制方法、装置、存储介质及电子设备 - Google Patents

一种接口权限控制方法、装置、存储介质及电子设备 Download PDF

Info

Publication number
CN118171297A
CN118171297A CN202410323144.4A CN202410323144A CN118171297A CN 118171297 A CN118171297 A CN 118171297A CN 202410323144 A CN202410323144 A CN 202410323144A CN 118171297 A CN118171297 A CN 118171297A
Authority
CN
China
Prior art keywords
interface
authority
information
target
configuration information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410323144.4A
Other languages
English (en)
Inventor
王映彤
彭明田
孙薇薇
李�远
林乐健
郭和平
郭杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Travelsky Technology Co Ltd
Original Assignee
China Travelsky Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Travelsky Technology Co Ltd filed Critical China Travelsky Technology Co Ltd
Priority to CN202410323144.4A priority Critical patent/CN118171297A/zh
Publication of CN118171297A publication Critical patent/CN118171297A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本申请公开了一种接口权限控制方法、装置、存储介质及电子设备,该方法包括:响应于接收到目标对象对目标接口的调用请求,获得权限配置信息表;获得目标对象的当前角色信息以及目标接口的接口特征信息;利用权限配置信息表对当前角色信息和接口特征信息进行鉴权处理,得到鉴权结果;若鉴权结果表征目标对象的当前角色具有访问目标接口的权限,执行调用请求并返回响应信息至目标对象;若鉴权结果表征目标对象的当前角色不具有访问目标接口的权限,执行对调用请求的非响应处理。本申请满足了实际的应用需求,以及通过权限配置信息表无需每次都获得对象和接口的各种信息降低了鉴权的性能损耗。

Description

一种接口权限控制方法、装置、存储介质及电子设备
技术领域
本申请涉及信息处理技术领域,特别是涉及一种接口权限控制方法、装置、存储介质及电子设备。
背景技术
API(ApplicationProgramming Interface,应用程序编程接口)网关随着云平台和微服务概念兴起的网关服务,主要是在服务开放和共享的企业级PaaS平台,提供服务发布管理、统一认证鉴权、流量控制、报文协议转换、服务审计等功能,帮助用户实现内部多系统间,或者内部系统与外部系统之间跨系统、跨协议的服务能力互通。
以航空信息产业为例,航空信息产业的的核心业务集中在电子旅游分销、机场旅客处理、数据网络、航空货运及基于互联网的旅游平台等5个重要领域,对外提供的API接口数量高达6700个,且仍有增长趋势。用户之广,近乎全覆盖国内的机场、航空公司和代理人。为了统一用户的接入与管控,以及对后台接口的访问权限控制,航空信息的API网关需要相对较优的管控处理办法。
对于用户访问的接口权限问题,一般都是通过划分接口种类,给用户赋予某类权限级别,或者给用户单独配置某些接口的访问权限。这两种方法一种权限粒度覆盖到接口种类,无法将粒度降低至到接口;另一种对于庞大接口集的权限管理,所需要添加的接口标识过于繁杂,而且对接口标识的管理也可能会浪费资源。而针对大用户规模以及大接口数量,同一用户下存在多种角色切换接口权限的场景,这两种方案的局限更为明显。
发明内容
针对于上述问题,本申请提供提供了如下技术方案:
一种接口权限控制方法,包括:
响应于接收到目标对象对目标接口的调用请求,获得权限配置信息表,所述权限配置信息表包括对象角色与接口访问控制列表的对应关系;
获得所述目标对象的当前角色信息以及所述目标接口的接口特征信息;
利用所述权限配置信息表对所述当前角色信息和所述接口特征信息进行鉴权处理,得到鉴权结果;
若所述鉴权结果表征所述目标对象的当前角色具有访问所述目标接口的权限,执行所述调用请求并返回响应信息至所述目标对象;
若所述鉴权结果表征所述目标对象的当前角色不具有访问所述目标接口的权限,执行对所述调用请求的非响应处理。
一种接口权限控制装置,包括:
第一获取单元,用于响应于接收到目标对象对目标接口的调用请求,获得权限配置信息表,所述权限配置信息表包括对象角色与接口访问控制列表的对应关系;
第二获取单元,用于获得所述目标对象的当前角色信息以及所述目标接口的接口特征信息;
处理单元,用于利用所述权限配置信息表对所述当前角色信息和所述接口特征信息进行鉴权处理,得到鉴权结果;
第一执行单元,用于若所述鉴权结果表征所述目标对象的当前角色具有访问所述目标接口的权限,执行所述调用请求并返回响应信息至所述目标对象;
第二执行单元,用于若所述鉴权结果表征所述目标对象的当前角色不具有访问所述目标接口的权限,执行对所述调用请求的非响应处理。
一种存储介质,其特征在于,所述存储介质上存储有可执行指令,所述指令被处理器执行时实现如上述中任一项所述的接口权限控制方法。
一种电子设备,其特征在于,包括:
存储器,用于存储程序;
处理器,用于执行所述程序,所述程序被处理器执行时实现如上述中任一项所述的接口权限控制方法。
相较于现有技术,本申请提供了一种接口权限控制方法、装置、存储介质及电子设备,该方法包括:响应于接收到目标对象对目标接口的调用请求,获得权限配置信息表,权限配置信息表包括对象角色与接口访问控制列表的对应关系;获得目标对象的当前角色信息以及目标接口的接口特征信息;利用权限配置信息表对当前角色信息和接口特征信息进行鉴权处理,得到鉴权结果;若鉴权结果表征目标对象的当前角色具有访问目标接口的权限,执行调用请求并返回响应信息至目标对象;若鉴权结果表征目标对象的当前角色不具有访问目标接口的权限,执行对调用请求的非响应处理。本申请可以实现以接口为粒度的权限管理,同时还可以对不同角色间的权限进行鉴权,满足了实际的应用需求,以及通过权限配置信息表无需每次都获得对象和接口的各种信息降低了鉴权的性能损耗。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、有点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记标识相同或相似的元素。应当理解附图是式意性的,原件和元素不一定按照比例绘制。
图1为本申请实施例提供的一种接口权限控制方法的流程示意图;
图2为本申请实施例提供的一种应用场景的架构示意图;
图3为本申请实施例提供的一种应用场景的处理流程示意图;
图4为本申请实施例提供的一种角色授权配置生成图;
图5为本申请实施例提供的一种接口权限控制装置的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本申请公开了一种接口权限控制方法,该方法主要应用于对业务系统中应用或调用的各种接口的用户访问权限进行验证,以保证数据传输的安全性。同时,在本申请实施例中可以根据接口为粒度,以及满足不同对象具有不同角色的切换的鉴权需求,同时通过预先生成的权限配置信息表进行验证,无需调用过多的用户以及接口的相关信息进行验证,降低了鉴权性能损耗。
参见图1,为本申请实施例提供的一种接口权限控制方法的流程示意图,该方法可以包括以下步骤:
S101、响应于接收到目标对象对目标接口的调用请求,获得权限配置信息表。
其中,目标对象可以是当前业务系统中的访问用户,也可以是对应的客户端。目标接口是指目标对象需要接入或者访问的应用程序编辑接口即API接口。权限配置信息表包括对象角色与接口访问控制列表的对应关系。即在本申请实施例中权限配置信息表是根据同一对象(即用户)不同的访问角色进行配置的,这样可以满足用户在不同角色切换时的鉴权需求。
在本申请实施例中权限配置信息表是根据各个访问对象以及接口的相关信息预先生成的,这样每次进行鉴权时可以直接调用该权限配置信息表,而无需每次都获取用于鉴权的各种信息,降低了系统的功能损耗。在一种实施方式中,预先生成权限配置信息表的过程被配置为:
获得对象角色信息以及当前业务系统的各个接口的接口特征信息,所述接口特征信息包括接口类型和接口编号;
获得每一对象角色信息对应的已授权访问的接口类型以及未授权访问的接口类型;
将已授权访问的接口类型的接口编号以及以及未授权访问的接口类型的接口编码按照权限配置信息表的配置特征进行编码得到二进制编码字符串;
将所述二进制编码字符串进行转换得到十六进制编码字符串;
根据所述十六进制编码字符串,生成所述权限配置信息表。
为了便于生成权限配置信息表,在本申请实施例中可以基于BitMap的方式生成。其中,BitMap使用每个位表示某种状态,通过一个bit数组来存储特定数据的一种数据结构,用一个bit来标记某个元素对应的Value,而Key即是该元素。基于BitMap的多角色接口权限管理方法对接口按类型区分,并从1开始编号管理,用户的角色接口权限基于BitMap按位管理。每种类型的接口根据编号从右到左生成一串0、1二进制串,每一位都对应一个接口,0标识该接口无权限访问,1标识该接口有权限访问,在存储时将二进制串转为十六进制。在进行用户角色授权接口校验的过程中,校验成功的接口会存入缓存,避免大量接口调用在接口鉴权阶段的性能损耗。
S102、获得目标对象的当前角色信息以及目标接口的接口特征信息。
S103、利用权限配置信息表对当前角色信息和接口特征信息进行鉴权处理,得到鉴权结果。
其中,目标对象的当前角色信息为目标对象产生该调用请求时的角色信息,例如,目标对象可以包括角色1和角色2,目标对象采用角色1生成对目标接口的调用请求,对应的当前角色信息为角色1。目标接口的接口特征信息包括目标接口的接口类型以及接口编号信息(如接口版本号等)。
利用权限配置信息表对当前角色信息和接口特征信息进行鉴权时,可以先获得与当前角色信息匹配的接口权限配置信息,因为不同的角色对应的接口访问权限不同。然后再解析该角色是否可以访问目标接口。
在本申请实施例的一种实施方式中,所述利用所述权限配置信息表对所述当前角色信息和所述接口特征信息进行鉴权处理,得到鉴权结果,包括:
在所述权限配置信息表中获得与所述当前角色信息匹配的接口访问控制列表;在所述接口访问控制列表中获得用于所述接口特征信息对应的接口配置信息;基于所述接口配置信息,确定所述目标接口的权限标识字符串;对所述权限标识字符串进行解析,得到鉴权结果。
进一步地,在对权限标识字符串进行解析时,可以按照预设的默认的解析方式进行解析,还可以是根据权限配置信息表的生成模式进行解析,即根据权限配置信息表的配置特征进行解析,以能够获得准确的解析结果,从而得到准确的鉴权结果。具体的,所述对所述权限标识字符串进行解析,得到鉴权结果,包括:获得所述权限配置信息表的配置特征;基于所述配置特征对所述权限标识字符串进行解析,得到鉴权结果。
举例说明,通过API网关接口来自目标对象针对目标接口的调用请求,对目标对象的角色信息、目标接口的接口名和版本号进行接口权限校验。对传输的角色信息,获得基于权限配置信息表中以该角色命名的接口访问控制列表,再根据请求的接口和版本号,在接口访问控制列表中找到该目标接口对应的接口配置信息,获得该接口的类型和编号。根据接口类型找到接口访问控制列表中的该类型的权限标识字符串,根据权限配置信息表的特征,反解出该接口的授权情况。
S104、若鉴权结果表征目标对象的当前角色具有访问目标接口的权限,执行调用请求并返回响应信息至目标对象。
S105、若鉴权结果表征目标对象的当前角色不具有访问目标接口的权限,执行对调用请求的非响应处理。
如果鉴权结果表示鉴权通过,即目标对象的当前角色具有访问目标接口的权限,则会通过对应的服务器执行该调用请求。通常在实际应用中可以有多个服务器响应用户端的请求,如通过服务器集群对用户端的请求进行响应,进一步为了提升响应效率,可以在各个服务器中进行筛选确定出响应性能较优的服务器进行响应。在本申请实施例的一种实施方式中,所述执行所述调用请求并返回响应信息至所述目标对象,包括:获得能够响应所述调用请求的候选服务器对应的各个服务器的运行状态以及负载信息;基于所述运行状态以及所述负载信息,在所述候选服务器中确定目标服务器,以使得由所述目标服务器响应所述调用请求得到响应信息;将所述响应信息返回至所述目标对象。
对应的,若鉴权不通过,则执行对所述调用请求的非响应处理,如可以忽略该调用请求,也可以删除该调用请求,或者不将该调用请求发送至服务端等。
为了能够实时保证权限配置信息表的准确性,可以在对象角色发生变化以及接口发生变化时更新权限配置信息表中的相关信息,其中,发生变化包括角色或接口的更改、新增、删除等变化。
在本申请实施例的一种实施方式中,还包括:
对每一对象的角色信息进行监测,若监测到所述对象的角色信息发生改变,更新所述权限配置信息表。
对应的,还包括:
对所述业务系统中的接口信息进行监测,若监测到所述接口发生改变,更新所述权限配置信息表。
下面以具体的应用场景对本申请实施例的接口权限控制方法进行说明。
参见图2,为本申请实施例提供的一种应用场景的架构示意图。在图2中包括用户模块、API网关模块、运维管理工具和后台系统。
具体的,若以航空信息业务处理场景为例,用户模块为通过API网关调用后台服务的用户,如监管用户、航空公司、空中管理用户、航空业务代理用户等。
API网关模块:该模块为用户调用的网关接入平台,主要分为权限校验和路由两部分,权限校验包括IP白名单检验、接口授权校验、限流校验等诸多特色管控功能,路由包括后台服务健康检查和负载均衡。只有通过权限校验的请求才会进行路由转发,保证对恶意请求的过滤,即主要由API网关模块执行本申请的接口权限控制方法。
运维管理工具模块:该模块指为方便管理API网关的可视化应用,主要包括对用户不同维度下的权限配置显示和配置管理两部分。
后台系统模块:该模块指航信内部各产品线对应的后台服务,包含订座、出票、航班等。后台服务不对外暴露,只有通过API网关才可以调用成功。
参见图3,为本申请实施例提供的一种应用场景的处理流程示意图。首先在步骤一执行之前,运维管理工具管控API网关中存储的权限配置文件(即权项配置信息表),在图3中权限配置文件为基于BitMap生成的信息表。
步骤一:用户端发起请求,传入AppKey、角色、接口名版本号等基本信息,进入API网关模块。
步骤二:API网关收到来自用户的请求,对传入的角色、接口名和版本号进行接口权限校验。按照传入的角色信息,获取基于BitMap的多角色接口权限管理配置文件中以该角色名命名的配置列表,再根据请求的接口和版本号,在可用接口配置文件找到该接口所对应的接口配置,获取该接口的类型和编号。根据接口类型找到角色接口权限配置列表中的该类接口的权限标识串,根据BitMap特征,反解出该接口的授权情况。对完成该接口授权及其他校验的请求予以路由转发,并根据健康检查和负载均衡策略,筛选出目标后台服务器。
步骤三:后台系统收到API网关的调用请求,完成处理并返回响应信息。
步骤四:API网关收到后台系统返回的响应信息,并返回给前端用户。
步骤五:用户收到API网关返回的响应报文,请求结束。
参见图4,为本申请实施例对应的应用场景中的一种角色授权配置生成图。
以同一用户User有多个角色:Role1和Role2,访问接口信息:接口Api1和Api2的类型是Type1,编号是5和11;接口Api3和Api4的类型是Type2,编号是6和8这两组接口为例进行权限配置管理方法的流程阐述。具体实施步骤如下:
步骤零:在接口权限配置管理过程中,使用运维管理工具实现对多角色接口权限的管控。进入运维管理工具,通过接口配置显示功能查看Api1和Api2这两个接口是否已录入API网关的配置,如果不存在则添加相应接口、类型和编号,以便API网关可以获取到Api1、Api2、Api3和Api4的相关配置。再通过多角色接口权限配置显示功能查看当前角色Role1和Role2已授权的接口,利用管理功能操作Role1开通Api1、Api2、Api3并关闭Api4的接口访问权限,Role2开通Api2、Api3和Api4并关闭Api1的访问权限。根据接口编号从右到左按照BitMap算法对接口权限进行表示,如开通接口Api1的权限,,Role1的Type1和Type2分别为:10000010000和100000,Role2的Type1和Type2分别为:10000000000和10100000。将以上二进制串分别转成十六进制的410、20、400和A0进行存储,也进一步降低了空间资源的占用。
步骤一:用户User发起对接口Api1的调用,同时在请求头传入角色参数Role1。
步骤二:API网关收到用户User的请求,获取到用户调用的接口Api1和请求头参数Role1。根据Api1,在接口配置文件找到该接口对应的相关信息:接口类型Type1和接口编号5。对照存储的角色接口权限配置文件进行校验,找到Role1中Type1下按BitMap算法存储的十六进制串,根据内部解析算法进行反解,判断接口编号5在二进制串的位置是否为1,来识别该接口Api1的权限开通情况。角色接口权限校验通过,API网关对后台服务的健康状态及调用情况进行负载均衡,转发到筛选出来的目标后台系统。
步骤三:成功请求到后台系统,后台服务返回响应信息。
步骤四:API网关收到后台服务的响应信息,回报给前端用户User。
步骤五:用户User收到来自API网关的响应信息,请求结束。
在该应用场景中,在BitMap算法的基础上,增加二进制与十六进制间的转换,减少存储资源浪费;按多角色和多接口类型的格式存储接口权限串,在API网关层面对权限粒度也有更良好的控制。
需要说明的是是,实施例中参见的附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperTextTransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,adhoc端对端网络),以及任何当前已知或未来研发的网络。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
参见图5,在本申请实施例还提供了一种接口权限控制装置,包括:
第一获取单元501,用于响应于接收到目标对象对目标接口的调用请求,获得权限配置信息表,所述权限配置信息表包括对象角色与接口访问控制列表的对应关系;
第二获取单元502,用于获得所述目标对象的当前角色信息以及所述目标接口的接口特征信息;
处理单元503,用于利用所述权限配置信息表对所述当前角色信息和所述接口特征信息进行鉴权处理,得到鉴权结果;
第一执行单元504,用于若所述鉴权结果表征所述目标对象的当前角色具有访问所述目标接口的权限,执行所述调用请求并返回响应信息至所述目标对象;
第二执行单元505,用于若所述鉴权结果表征所述目标对象的当前角色不具有访问所述目标接口的权限,执行对所述调用请求的非响应处理。
可选地,所述处理单元包括:
第一获取子单元,用于在所述权限配置信息表中获得与所述当前角色信息匹配的接口访问控制列表;
第二获取子单元,用于在所述接口访问控制列表中获得用于所述接口特征信息对应的接口配置信息;
第一确定子单元,用于基于所述接口配置信息,确定所述目标接口的权限标识字符串;
解析子单元,用于对所述权限标识字符串进行解析,得到鉴权结果。
可选地,所述解析子单元被配置为:
获得所述权限配置信息表的配置特征;
基于所述配置特征对所述权限标识字符串进行解析,得到鉴权结果。
可选地,所述第一执行单元包括:
第三获取子单元,用于获得能够响应所述调用请求的候选服务器对应的各个服务器的运行状态以及负载信息;
第二确定子单元,用于基于所述运行状态以及所述负载信息,在所述候选服务器中确定目标服务器,以使得由所述目标服务器响应所述调用请求得到响应信息;
传输子单元,用于将所述响应信息返回至所述目标对象。
可选地,还包括:
第二获取单元,用于获得对象角色信息以及当前业务系统的各个接口的接口特征信息,所述接口特征信息包括接口类型和接口编号;
第三获取单元,用于获得每一对象角色信息对应的已授权访问的接口类型以及未授权访问的接口类型;
编码单元,用于将已授权访问的接口类型的接口编号以及以及未授权访问的接口类型的接口编码按照权限配置信息表的配置特征进行编码得到二进制编码字符串;
转换单元,用于将所述二进制编码字符串进行转换得到十六进制编码字符串;
生成单元,用于根据所述十六进制编码字符串,生成所述权限配置信息表。
可选地,还包括:
第一更新单元,用于对每一对象的角色信息进行监测,若监测到所述对象的角色信息发生改变,更新所述权限配置信息表。
可选地,还包括:
第二更新单元,用于对所述业务系统中的接口信息进行监测,若监测到所述接口发生改变,更新所述权限配置信息表。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
在本申请实施例中还提供了一种存储介质,所述存储介质上存储有可执行指令,所述指令被处理器执行时实现如上任一项所述的接口权限控制方法。
在本公开的上下文中,存储介质为机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
本申请实施例还提供了一种电子设备,包括:
存储器,用于存储程序;
处理器,用于执行所述程序,所述程序被处理器执行时实现上述中任一项所述的接口权限控制方法。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置从网络上被下载和安装,或者从存储装置被安装,或者从ROM被安装。在该计算机程序被处理装置执行时,执行本公开实施例的方法中限定的上述功能。
根据本公开的一个或多个实施例,提供了一种接口权限控制方法、装置、终端及存储介质。
一种接口权限控制方法,包括:
响应于接收到目标对象对目标接口的调用请求,获得权限配置信息表,所述权限配置信息表包括对象角色与接口访问控制列表的对应关系;
获得所述目标对象的当前角色信息以及所述目标接口的接口特征信息;
利用所述权限配置信息表对所述当前角色信息和所述接口特征信息进行鉴权处理,得到鉴权结果;
若所述鉴权结果表征所述目标对象的当前角色具有访问所述目标接口的权限,执行所述调用请求并返回响应信息至所述目标对象;
若所述鉴权结果表征所述目标对象的当前角色不具有访问所述目标接口的权限,执行对所述调用请求的非响应处理。
一种接口权限控制装置,包括:
第一获取单元,用于响应于接收到目标对象对目标接口的调用请求,获得权限配置信息表,所述权限配置信息表包括对象角色与接口访问控制列表的对应关系;
第二获取单元,用于获得所述目标对象的当前角色信息以及所述目标接口的接口特征信息;
处理单元,用于利用所述权限配置信息表对所述当前角色信息和所述接口特征信息进行鉴权处理,得到鉴权结果;
第一执行单元,用于若所述鉴权结果表征所述目标对象的当前角色具有访问所述目标接口的权限,执行所述调用请求并返回响应信息至所述目标对象;
第二执行单元,用于若所述鉴权结果表征所述目标对象的当前角色不具有访问所述目标接口的权限,执行对所述调用请求的非响应处理。
一种存储介质,其特征在于,所述存储介质上存储有可执行指令,所述指令被处理器执行时实现如上述中任一项所述的接口权限控制方法。
一种电子设备,其特征在于,包括:
存储器,用于存储程序;
处理器,用于执行所述程序,所述程序被处理器执行时实现如上述中任一项所述的接口权限控制方法。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (10)

1.一种接口权限控制方法,其特征在于,包括:
响应于接收到目标对象对目标接口的调用请求,获得权限配置信息表,所述权限配置信息表包括对象角色与接口访问控制列表的对应关系;
获得所述目标对象的当前角色信息以及所述目标接口的接口特征信息;
利用所述权限配置信息表对所述当前角色信息和所述接口特征信息进行鉴权处理,得到鉴权结果;
若所述鉴权结果表征所述目标对象的当前角色具有访问所述目标接口的权限,执行所述调用请求并返回响应信息至所述目标对象;
若所述鉴权结果表征所述目标对象的当前角色不具有访问所述目标接口的权限,执行对所述调用请求的非响应处理。
2.根据权利要求1所述的方法,其特征在于,所述利用所述权限配置信息表对所述当前角色信息和所述接口特征信息进行鉴权处理,得到鉴权结果,包括:
在所述权限配置信息表中获得与所述当前角色信息匹配的接口访问控制列表;
在所述接口访问控制列表中获得用于所述接口特征信息对应的接口配置信息;
基于所述接口配置信息,确定所述目标接口的权限标识字符串;
对所述权限标识字符串进行解析,得到鉴权结果。
3.根据权利要求2所述的方法,其特征在于,所述对所述权限标识字符串进行解析,得到鉴权结果,包括:
获得所述权限配置信息表的配置特征;
基于所述配置特征对所述权限标识字符串进行解析,得到鉴权结果。
4.根据权利要求1所述的方法,其特征在于,所述执行所述调用请求并返回响应信息至所述目标对象,包括:
获得能够响应所述调用请求的候选服务器对应的各个服务器的运行状态以及负载信息;
基于所述运行状态以及所述负载信息,在所述候选服务器中确定目标服务器,以使得由所述目标服务器响应所述调用请求得到响应信息;
将所述响应信息返回至所述目标对象。
5.根据权利要求1所述的方法,其特征在于,还包括:
获得对象角色信息以及当前业务系统的各个接口的接口特征信息,所述接口特征信息包括接口类型和接口编号;
获得每一对象角色信息对应的已授权访问的接口类型以及未授权访问的接口类型;
将已授权访问的接口类型的接口编号以及以及未授权访问的接口类型的接口编码按照权限配置信息表的配置特征进行编码得到二进制编码字符串;
将所述二进制编码字符串进行转换得到十六进制编码字符串;
根据所述十六进制编码字符串,生成所述权限配置信息表。
6.根据权利要求5所述的方法,其特征在于,还包括:
对每一对象的角色信息进行监测,若监测到所述对象的角色信息发生改变,更新所述权限配置信息表。
7.根据权利要求5所述的方法,其特征在于,还包括:
对所述业务系统中的接口信息进行监测,若监测到所述接口发生改变,更新所述权限配置信息表。
8.一种接口权限控制装置,其特征在于,包括:
第一获取单元,用于响应于接收到目标对象对目标接口的调用请求,获得权限配置信息表,所述权限配置信息表包括对象角色与接口访问控制列表的对应关系;
第二获取单元,用于获得所述目标对象的当前角色信息以及所述目标接口的接口特征信息;
处理单元,用于利用所述权限配置信息表对所述当前角色信息和所述接口特征信息进行鉴权处理,得到鉴权结果;
第一执行单元,用于若所述鉴权结果表征所述目标对象的当前角色具有访问所述目标接口的权限,执行所述调用请求并返回响应信息至所述目标对象;
第二执行单元,用于若所述鉴权结果表征所述目标对象的当前角色不具有访问所述目标接口的权限,执行对所述调用请求的非响应处理。
9.一种存储介质,其特征在于,所述存储介质上存储有可执行指令,所述指令被处理器执行时实现如权利要求1至7中任一项所述的接口权限控制方法。
10.一种电子设备,其特征在于,包括:
存储器,用于存储程序;
处理器,用于执行所述程序,所述程序被处理器执行时实现如权利要求1至7中任一项所述的接口权限控制方法。
CN202410323144.4A 2024-03-20 2024-03-20 一种接口权限控制方法、装置、存储介质及电子设备 Pending CN118171297A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410323144.4A CN118171297A (zh) 2024-03-20 2024-03-20 一种接口权限控制方法、装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410323144.4A CN118171297A (zh) 2024-03-20 2024-03-20 一种接口权限控制方法、装置、存储介质及电子设备

Publications (1)

Publication Number Publication Date
CN118171297A true CN118171297A (zh) 2024-06-11

Family

ID=91351293

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410323144.4A Pending CN118171297A (zh) 2024-03-20 2024-03-20 一种接口权限控制方法、装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN118171297A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118484786A (zh) * 2024-07-15 2024-08-13 临工重机股份有限公司 一种中心接口权限匹配方法、装置、设备及存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118484786A (zh) * 2024-07-15 2024-08-13 临工重机股份有限公司 一种中心接口权限匹配方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN111488595B (zh) 用于实现权限控制的方法及相关设备
CN110191063B (zh) 服务请求的处理方法、装置、设备及存储介质
CN112261172B (zh) 服务寻址访问方法、装置、系统、设备及介质
CN103716326A (zh) 一种资源访问方法及用户资源网关
CN112187491A (zh) 服务器的管理方法、装置和设备
CN111651739A (zh) 登录认证服务系统及方法、认证服务节点、电子设备
CN114928460A (zh) 一种基于微服务架构的多租户应用集成框架系统
KR20170062244A (ko) Api 관리 장치
CN112511565B (zh) 请求响应方法、装置、计算机可读存储介质及电子设备
CN118171297A (zh) 一种接口权限控制方法、装置、存储介质及电子设备
WO2023071460A1 (zh) 用于数据交换的方法、系统、装置和设备
CN114650281A (zh) 基于复杂网络的文件下载方法、装置、设备及存储介质
KR101653685B1 (ko) 컴퓨터 수행 가능한 api 관리 방법
CN116032510A (zh) 数据安全保护系统
CN114338682A (zh) 流量身份标识传递方法、装置、电子设备及存储介质
CN114710311B (zh) 一种多项目消息管理方法和系统
CN115396494A (zh) 基于流式计算的实时监控方法及系统
CN116566656A (zh) 资源访问方法、装置、设备及计算机存储介质
CN111597156B (zh) 民航数据处理方法、装置、电子设备及存储介质
CN115941287A (zh) 密码服务集成与管理方法、装置、管理平台及存储介质
CN110233814B (zh) 一种工业物联智能虚拟专网系统
US8839400B2 (en) Managing and controlling administrator access to managed computer systems
CN116055074B (zh) 管理推荐策略的方法和装置
US11637781B1 (en) Method, apparatus and system for managing traffic data of client application
CN115314293A (zh) 信息获取方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination