CN104052775A - 一种云平台服务的权限管理方法、装置和*** - Google Patents
一种云平台服务的权限管理方法、装置和*** Download PDFInfo
- Publication number
- CN104052775A CN104052775A CN201310081876.9A CN201310081876A CN104052775A CN 104052775 A CN104052775 A CN 104052775A CN 201310081876 A CN201310081876 A CN 201310081876A CN 104052775 A CN104052775 A CN 104052775A
- Authority
- CN
- China
- Prior art keywords
- information
- called side
- session information
- cloud platform
- platform service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/564—Enhancement of application control based on intercepted application data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例公开了一种云平台服务的权限管理方法、装置及***,其中所述权限管理方法包括:目标云平台服务获取调用方的操作访问请求,所述操作访问请求中包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息中包括本次会话信息;目标云平台服务确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效;目标云平台服务根据所述调用方的会话信息对所述操作访问请求进行权限校验。采用本发明,可确保云平台服务的操作访问的合法性,保证云平台服务安全。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种云平台服务的权限管理方法、装置和***。
背景技术
云平台(云计算):一种按使用量付费的互联网服务模式,这种模式提供可用的、便捷的、按需的网络访问进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。现有云平台服务里的账户管理和权限控制大部分都是针对服务直接调用方进行管理和控制的,而对于引发直接调用方的最初发起者,则基本不加以鉴别。小部分***考虑到最初发起者的区别,但也只是通过直接调用方指定最初发起者的方式来鉴别,而对所指定的最初发起者是否合法,则不加以进一步确认。
现有的帐号管理和权限控制模式,在面对错综复杂的云平台环境时,由于大部分只对直接调用方进行鉴权,极有可能出现由于一个短板***发生安全漏洞被利用,从而出现多个云平台服务和组件发生操作非法目的资源的情况,最终导致某非法最初发起者通过云服务和组件操作不属于其自身资源的情况,造成云平台敏感资源被篡改或者泄露,损害平台或者相关第三方服务商的利益和声誉。
发明内容
本发明实施例所要解决的技术问题在于,提供一种云平台服务的权限管理方法、装置和***,可确保云平台服务的操作访问的合法性,保证云平台服务安全。
为了解决上述技术问题,本发明实施例提供了一种云平台服务的权限管理方法,所述方法包括:
目标云平台服务获取调用方的操作访问请求,所述操作访问请求中包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息中包括本次会话信息;
目标云平台服务确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效;
目标云平台服务对所述操作访问请求进行权限校验,所述权限校验包括:
确认所述会话信息是否合法;
分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;
根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;
根据所述初始用户的权限信息确认所述操作访问请求的目标信息是否合法。
相应地,本发明实施例还提供了一种云平台服务的权限管理装置,所述权限管理装置包括:
操作访问获取模块,用于获取调用方的操作访问请求,所述操作访问请求中包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息中包括本次会话信息;
会话判断模块,用于确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效;
权限校验模块,用于对所述操作访问请求进行权限校验,其中若会话判断模块确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效,则所述权限校验包括:
确认所述会话信息是否合法;
分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;
根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;
根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法。
相应的,本发明实施例还提供了一种云平台服务的调用装置,所述调用装置包括:
间接操作请求模块,用于向目标云平台服务发送操作访问请求,所述操作访问请求中包括操作信息、目标信息和调用方的会话信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始初始会话信息,以使所述目标云平台服务根据所述调用方的会话信息对所述操作访问请求进行权限校验。
相应的,本发明实施例还提供了一种云平台服务的账户鉴权***,所述账户鉴权***包括:
权限校验获取模块,用于从目标云平台服务获取间接服务鉴权请求,所述间接服务鉴权请求包括调用方的操作访问请求和所述调用方的会话信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息;
间接服务鉴权模块,对所述调用方的操作访问请求和所述调用方的会话信息进行权限校验,所述权限校验包括:
确认所述会话信息是否合法;
分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;
根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;
根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法;
权限校验返回模块,用于向所述目标云平台服务返回所述权限校验的结果。
相应的,本发明实施例还提供了一种云平台服务的权限管理***,其特征在于,所述权限管理***包括如前文所述的云平台服务的权限管理装置和云平台服务的调用装置,其中:
所述云平台服务的调用装置用于向目标云平台服务发送操作访问请求,所述操作访问请求中包括操作信息、目标信息和调用方的会话信息,所述调用方的会话信息中包括本次会话信息;
所述云平台服务的权限管理装置用于获取所述云平台服务的调用装置发送的操作访问请求,确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效;对所述操作访问请求进行权限校验,所述权限校验包括:确认所述会话信息是否合法;分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法。
本发明实施例通过在发送间接调用目标云平台服务资源的操作访问请求时携带调用方的初始会话信息,目标云平台服务从而可以通过对直接调用方和初始用户的两方面校验,确保操作访问请求在合法权限范围之内,保证了在错综复杂的云平台环境中,云平台服务和第三方资源的整体安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明第一实施例中的一种云平台服务的权限管理方法的流程示意图;
图2是本发明第二实施例中的云平台服务的权限管理方法的流程示意图;
图3是本发明第三实施例中的云平台服务的权限管理方法的流程示意图;
图4是本发明第四实施例中的云平台服务的权限管理方法的流程示意图;
图5是本发明实施例中的云平台服务的权限管理装置的结构示意图;
图6是本发明实施例中的云平台服务的调用装置的结构示意图;
图7是本发明实施例中的云平台服务的账户鉴权***的结构示意图;
图8是本发明实施例中的云平台服务的权限管理***的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明第一实施例中的一种云平台服务的权限管理方法的流程示意图,本实施例中的方法流程可以在目标云平台服务即被调用的云平台服务上实现,如图所示本实施例中的方法流程至少包括:
S101,目标云平台服务获取调用方的操作访问请求,所述操作访问请求中包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息中包括本次会话信息。具体的,本实施例中的所述调用方可以为所述目标云平台服务的直接用户,也可以为调用目标云平台服务的另一云平台服务,这里作为调用方的云平台服务的登陆账户作为目标云平台服务的直接用户,而作为调用方的云平台服务的用户在本发明中称之为初始用户,对于调用方为直接用户的,直接用户与初始用户为同一对象。所述操作访问请求中的操作信息可以包括操作类型,所述操作访问请求中的目标信息可以包括操作目的服务信息(例如操作访问需调用的appid,application identification)和操作目的IP(Internet Protocol,网络协议,这里指操作访问的目标网络协议地址),所述调用方的会话信息为所述调用方预先在目标云平台服务登陆成功后目标云平台服务向其返回的会话信息,用于登陆后调用方与目标云平台服务之间的通信会话,所述本次会话信息可以包括调用方的用户信息、会话标识、会话源IP、会话目的IP等。
S102,目标云平台服务确认所述会话信息中是否包括所述调用方的初始会话信息并且所述初始会话信息有效。本发明实施例中,若所述调用方的会话信息中不包括调用方的初始会话信息或所述初始会话信息无效,则表示所述调用方为直接用户,反之若所述调用方的会话信息中包括调用方的初始会话信息,则表示所述调用方为间接用户,所述初始用户的初始会话信息为初始用户在所述调用方所属的初始云平台服务进行登陆过程中获取到的会话信息,与前文所述本次会话信息类似可以包括所述初始用户的用户信息、会话标识、会话源IP、会话目的IP等,用于登陆成功后初始用户与初始云平台服务之间的通信会话。其中判断所述初始会话信息是否有效,可以通过判断所述初始会话信息中的会话标识是否有效,例如会话标识为0或为空则为无效,进而可以判断初始会话信息无效,否则为有效,也可以通过判断初始会话信息信息是否与所述调用方的本次会话信息的内容一致,若一致则可以确认初始会话信息无效,反之为有效。若所述会话信息中包括所述调用方的初始会话信息并且有效,则表示调用方发送的操作访问请求为间接调用,执行S103~S105的权限校验过程,否则执行S106~S107的权限校验过程。需要指出的是,上述两种的权限校验过程均可以在所述目标云平台服务中执行,也可以为目标云平台服务通过将包括调用方的会话信息和操作访问请求的间接服务鉴权请求或直接服务鉴权请求交由账户鉴权***进行S103~S105或S106~S107的权限校验过程,目标云平台服务再从账户鉴权***获取权限校验结果。
S103,确认所述会话信息是否合法。具体实现中,可以通过判断所述操作访问请求中的会话信息是否与在所述调用方登陆时建立的会话信息一致,若是,则确认所述会话信息合法,反之为不合法。需要指出的是,在其他可选实施例中,可以先执行S103或S107后再执行S102,完全不影响本发明的实现。
S104,分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息。所述调用方的权限信息和所述初始用户的权限信息可以为目标云平台服务为调用方本次登陆确认的权限信息列表,例如可以为在调用方向目标云平台服务的登陆过程中目标云平台服务从账户鉴权***处连同调用方的会话信息和登陆鉴权结果一齐获取到的,内容包括调用方和初始用户各自对应的操作类型权限、多个可操作的目的服务(如appid)以及各操作目的服务的可操作范围(如采用IP代表)等。若目标云平台服务在本地保存了从账户鉴权***获取到的调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息,则目标云平台服务可以在本地完成所述权限校验,否则可以将操作访问请求发送给账户鉴权***进行所述权限校验。
S105,根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作信息是否在所述权限信息列表中,若是则确认所述操作信息为合法,例如合法的操作类型。
S106,根据所述初始用户的权限信息确认所述操作访问请求的目标信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作目的服务信息和操作目的IP是否在所述初始用户的权限信息列表中,进而还可以查询所述操作目的IP是否属于操作目的app的可访问接口,若均得到肯定判断结果则确认所述操作访问请求中的目标信息合法。在S103~S105均得到肯定的结果后,则确认所述调用方的操作访问请求合法,进而可以响应调用方的操作访问请求,进而将操作结果返回给所述调用方,若S103中发现调用方的会话信息不合法则可以向调用方返回会话超时或不存在的提示消息,若S104~S105发现操作访问请求中的操作信息或目标信息不合法,则向调用方返回操作失败的消息。
S107,确认所述会话信息是否合法。同S103,此处不再赘述。
S108,根据所述本次会话信息获取所述调用方的权限信息。与步骤S104类似,所述调用方的权限信息可以为目标云平台服务为调用方本次登陆确认的一个权限信息列表,例如可以为在调用方向目标云平台服务的登陆过程中目标云平台服务从账户鉴权***处连同调用方的会话信息和登陆鉴权结果一齐获取到的,内容包括调用方的操作类型权限、多个可操作的目的服务(如appid)以及各操作目的服务的可操作范围(如采用IP代表)等。
S109,根据所述调用方的权限信息确认所述操作访问请求的操作信息和目标信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作信息和目标信息是否在所述调用方的权限信息列表中,若是则确认操作访问请求中的操作信息和目标信息合法。
图2是本发明第二实施例中的云平台服务的权限管理方法的流程示意图,本实施例描述的是直接调用云平台服务的权限管理过程,调用方与初始用户为同一对象,如图所示本实施例的方法流程包括:
S201,初始用户向初始云平台服务发送直接登陆请求,所述直接登陆请求包括所述初始用户的登陆验证信息,所述登陆验证信息可以包括所述初始用户的用户名和密码等。本发明实施例中的初始用户可以通过个人电脑、移动终端等互联网终端与所述云平台服务进行通信和获取服务。
S202,初始云平台服务将所述初始用户的登陆验证信息发送至账户鉴权***。在其他可选实施例中,云平台服务也可以独立完成用户的登陆校验过程,无需通过账户鉴权***的校验。
S203,账户鉴权***对所述初始用户的登陆验证信息进行登陆校验,若登陆校验通过,则建立所述初始用户的初始会话信息。对所述初始用户的登陆验证信息进行登陆校验可以为与预存的登陆验证信息进行比较,若一致则登陆校验通过。所述初始会话信息可以包括所述初始用户的用户信息(如用户名、用户IP等)、会话ID(用于方便查找会话信息)等,所述初始会话信息的有效期限可以设置为当次登陆有效,或一天、一周等,当超过有效期限,所述初始会话信息失效。
S204,账户鉴权***将所述初始会话信息返回给初始云平台服务。
S205,初始云平台服务将所述初始会话信息返回给所述初始用户。
S206,初始用户向初始云平台服务发送操作访问请求,所述操作访问请求中包括操作信息、目标信息以及所述初始用户的初始会话信息。
S207,初始云平台服务将所述操作访问请求发送给账户鉴权***。在其他可选实施例中,云平台服务也可以独立完成用户的操作访问请求的权限的校验过程,无需通过账户鉴权***的校验。
S208,账户鉴权***对所述操作访问请求进行权限校验,包括确认所述初始会话信息是否合法,根据所述初始会话信息获取所述初始用户的权限信息以及根据所述初始用户的权限信息确认所述操作访问请求的操作信息和目标信息是否合法。其中确认所述初始会话是否合法即为确认所述初始会话信息是否与在所述初始用户登陆时建立的初始会话信息一致,若一致则为合法,进而可以通过判断所述操作访问请求中的操作信息和目标信息是否在所述初始用户的权限信息列表中,若是则确认操作访问请求中的操作信息和目标信息合法。
S209,账户鉴权***将权限校验结果返回给初始云平台服务。
S210,初始云平台服务将操作结果返回给所述初始用户。具体的,若权限校验结果确认所述初始用户的操作访问请求合法,则可以响应调用方的操作访问请求,进而将操作结果返回给所述调用方,即初始用户,若校验结果确定初始会话信息不合法则可以向初始用户返回会话超时或不存在的提示消息,若校验结果确认操作访问请求中的操作信息或目标信息不合法,则向初始用户返回操作失败的消息。
图3是本发明第三实施例中的云平台服务的权限管理方法的流程示意图,本实施例描述的是间接调用云平台服务的权限管理过程,初始用户通过登陆另一云平台服务作为调用方,如图所示本实施例的方法流程包括:
S301,初始用户向初始云平台服务发出发起间接服务的操作访问。具体实现中,所述初始用户已经预先完成到初始云平台服务的登陆过程,所述发起间接服务的操作访问携带所述初始用户的初始会话信息、操作信息以及目标信息,其中所述初始会话信息为初始用户在向初始云平台服务的登陆过程中获取到的,可以包括所述初始用户的用户信息、会话标识、会话源IP、会话目的IP等,所述操作信息和/或目标信息需要调用到目标云平台服务的资源。
S302,初始云平台服务根据初始用户的操作访问向目标云平台服务发出间接登陆请求,所述间接登陆请求包括调用方的登陆验证信息和所述初始会话信息,所述登陆验证信息可以为所述初始用户通过所述初始云平台服务输入的登陆用户名和密码等。
S303,目标云平台服务将所述调用方的登录验证信息和所述初始会话信息发送至账户鉴权***。
S304,账户鉴权***对所述调用方的登陆验证信息和初始会话信息进行登陆校验,其中可以将调用方的登陆验证信息和初始会话信息与预存的登陆验证信息和初始会话信息进比较,若一致则登陆校验通过,进而若所述初始会话信息不是保存在账户鉴权***而是保存在外部***,账户鉴权***则可以去到保存所述初始会话信息的外部***进行外部校验。若登陆校验成功,则生成所述调用方的会话信息,包括所述调用方的本次会话信息和初始会话信息,其中所述调用方的本次会话信息可以包括调用方的用户信息、会话标识、会话源IP、会话目的IP等。
S305,账户鉴权***将所述调用方的会话信息返回给所述目标云平台服务。具体的,账户鉴权***在对目标云平台服务发送的登录验证信息和初始会话信息进行登陆校验后,无论校验成功与否都可以将校验结果返回给目标云平台服务,若登陆校验成功则可以将校验结果携带调用方的会话信息返回给所述目标云平台服务,可选的同时还可以携带所述调用方的权限信息以及所述初始用户的权限信息。
S306,目标云平台服务将调用方的会话信息返回给初始云平台服务。具体的,目标云平台服务将间接登陆的校验结果返回给初始云平台服务,若登陆校验成功,则可以将获取到的调用方的会话信息一起返回给初始云平台服务。
S307,初始用户向初始云平台服务发出后续访问操作,所述后续访问操作同样携带所述初始用户的初始会话信息、操作信息以及目标信息,其中所述所述操作信息和/或目标信息需要调用到目标云平台服务的资源。
S308,初始云平台服务向目标云平台服务发出操作访问请求,所述操作访问请求包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息。
S309,目标云平台服务向账户鉴权***发送间接服务鉴权请求,所述间接服务鉴权请求包括所述操作访问请求和所述调用方的会话信息。
S310,所述账户鉴权***对所述操作访问请求和所述调用方的会话信息进行所述权限校验,本实施例中的权限校验进一步可以包括:
1)确认所述会话信息是否合法。具体实现中,可以通过判断所述操作访问请求中的会话信息是否与在所述调用方登陆时建立的会话信息一致,若是,则确认所述会话信息合法,反之为不合法。
2)分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息。其中所述调用方的权限信息和所述初始用户的权限信息可以为在调用方向目标云平台服务的登陆过程中账户鉴权***分别根据调用方的用户信息和初始用户的用户信息确认的,内容包括调用方和初始用户各自对应的操作类型权限、多个可操作的目的服务(如appid)以及各操作目的服务的可操作范围(如采用IP代表)等。
3)根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作信息是否在所述调用方的的权限信息中的权限信息列表中,若是则确认所述操作信息为合法,例如合法的操作类型。
4)根据所述初始用户的权限信息确认所述操作访问请求的目标信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作目的服务信息和操作目的IP是否在所述初始用户的权限信息列表中,进而还可以查询所述操作目的IP是否属于操作目的app的可访问接口,若均得到肯定判断结果则确认所述操作访问请求中的目标信息合法。
若上述三步校验均通过,则账户鉴权***通过对所述操作访问请求和所述调用方的会话信息进行的权限校验。
S311,账户鉴权***将权限校验的结果返回给所述目标云平台服务。
S312,目标云平台服务根据账户鉴权***返回的权限校验结果向初始云平台服务返回操作结果。具体的,若账户鉴权***确认所述调用方的操作访问请求合法,则目标云平台服务可以响应调用方的操作访问请求,进而将操作结果返回给所述调用方,若账户鉴权***返回的权限校验结果中确认调用方的会话信息不合法,目标云平台服务则可以向调用方返回会话超时或不存在的提示消息,若账户鉴权***返回的权限校验结果中确认操作访问请求中的操作信息或目标信息不合法,目标云平台服务则向调用方返回操作失败的消息。
S313,初始云平台服务向初始用户返回操作结果。
图4是本发明第四实施例中的云平台服务的权限管理方法的流程示意图,本实施例描述的是另一个间接调用云平台服务的权限管理过程,初始用户通过登陆另一云平台服务作为调用方,如图所示本实施例的方法流程包括:
S401~S403与前一实施例中的S301~S303相同,本实施例中不再赘述。
S404,账户鉴权***对所述调用方的登陆验证信息和初始会话信息进行登陆校验,其中可以将调用方的登陆验证信息和初始会话信息与预存的登陆验证信息和初始会话信息进比较,若一致则登陆校验通过,进而若所述初始会话信息不是保存在账户鉴权***而是保存在外部***,账户鉴权***则可以去到保存所述初始会话信息的外部***进行外部校验。若登陆校验成功,则生成所述调用方的会话信息,包括所述调用方的本次会话信息和初始会话信息,并分别根据调用方的本次会话信息和初始会话信息确认所述调用方的权限信息以及所述初始用户的权限信息。
S405,账户鉴权***将所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息返回给所述目标云平台服务。具体的,账户鉴权***在对目标云平台服务发送的登录验证信息和初始会话信息进行登陆校验后,无论校验成功与否都可以将校验结果返回给目标云平台服务,若登陆校验成功则可以将校验结果携带调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息返回给所述目标云平台服务。
S406,目标云平台服务将调用方的会话信息返回给初始云平台服务。具体的,目标云平台服务将间接登陆的校验结果返回给初始云平台服务,若登陆校验成功,则可以将获取到的调用方的会话信息一起返回给初始云平台服务。
S407,目标云平台服务保存账户鉴权***返回的所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息。
S408~S409初始用户向初始云平台服务发出后续访问操作,初始云平台服务向目标云平台服务发出操作访问请求,与前一实施例中的S307和S308相同,本实施例中不再赘述。
S410,目标云平台服务对获取到的操作访问请求中的所述操作访问请求和所述调用方的会话信息进行所述权限校验,由于本实施例中S407目标云平台服务已将本次调用方登陆时获取到的调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息保存在本地,因此可以在本地实现对操作访问请求进行权限校验,本实施例中的权限校验进一步可以包括:
1)确认所述会话信息是否合法。具体实现中,目标云平台服务可以通过判断所述操作访问请求中的会话信息是否与在所述调用方登陆时建立的会话信息一致,若是,则确认所述会话信息合法,反之为不合法。
2)分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息。所述调用方的权限信息和所述初始用户的权限信息可以为目标云平台服务为调用方本次登陆确认的一个权限信息列表,本实施例中可以为在调用方向目标云平台服务的登陆过程中目标云平台服务从账户鉴权***处连同调用方的会话信息和登陆鉴权结果一齐获取到的,内容包括调用方和初始用户各自对应的操作类型权限、多个可操作的目的服务(如appid)以及各操作目的服务的可操作范围(如采用IP代表)等。
3)根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法。具体实现中,目标云平台服务可以通过判断所述操作访问请求中的操作信息是否在所述调用方的的权限信息中的权限信息列表中,若是则确认所述操作信息为合法,例如合法的操作类型。
4)根据所述初始用户的权限信息确认所述操作访问请求的目标信息是否合法。具体实现中,目标云平台服务可以通过判断所述操作访问请求中的操作目的服务信息和操作目的IP是否在所述初始用户的权限信息列表中,进而还可以查询所述操作目的IP是否属于操作目的app的可访问接口,若均得到肯定判断结果则确认所述操作访问请求中的目标信息合法。
若上述三步校验均通过,则目标云平台服务通过对所述操作访问请求和所述调用方的会话信息进行的权限校验。
S411,目标云平台服务根据权限校验结果向初始云平台服务返回操作结果。具体的,若目标云平台服务经S410确认所述调用方的操作访问请求合法,则可以响应调用方的操作访问请求,进而将操作结果返回给所述调用方,若目标云平台服务经S410确认调用方的会话信息不合法,则可以向调用方返回会话超时或不存在的提示消息,若目标云平台服务经S410确认操作访问请求中的操作信息或目标信息不合法,则可以向调用方返回操作失败的消息。
S412,初始云平台服务向初始用户返回操作结果。
图5是本发明实施例中的云平台服务的权限管理装置的结构示意图,本发明实施例中的权限管理装置可以实现在被间接调用的目标云平台服务的后台,如图所示本发明实施例中的权限管理装置可以包括:
间接登陆获取模块510,用于获取所述调用方的间接登陆请求,所述间接登陆请求包括所述调用方的登陆验证信息和所述初始会话信息。具体实现中,可以为初始用户通过初始云平台服务作为所述发送间接登陆请求的调用方,所述登陆验证信息可以为所述初始用户通过初始云平台服务输入的用户名和密码等,所述初始会话信息为初始用户在所述调用方所属的初始云平台服务进行登陆过程中获取到的会话信息,可以包括所述初始用户的用户信息、会话标识、会话源IP、会话目的IP等,用于登陆成功后初始用户与初始云平台服务之间的通信会话,所述登陆验证信息可以为所述初始用户通过所述初始云平台服务输入的用于向目标云平台服务发起登陆的登陆用户名和密码等。
间接登陆校验模块520,用于对所述调用方的登陆验证信息和所述初始会话信息进行登陆校验,若登陆校验通过,则获取所述调用方的会话信息,还可以获取所述调用方的权限信息以及所述初始用户的权限信息。具体的,间接登陆校验模块520可以将调用方的登陆验证信息和初始会话信息与预存的登陆验证信息和初始会话信息进比较,若一致则登陆校验通过,进而若所述初始会话信息不是保存在账户鉴权***而是保存在外部***,间接登陆校验模块520则可以前往保存所述初始会话信息的外部***进行外部校验。若登陆校验成功,则获取所述调用方的会话信息,进而还可以根据所述调用方的会话信息获取所述调用方的权限信息以及所述初始用户的权限信息。可选的,间接登陆校验模块520可以包括:
登陆校验请求单元,用于向账户鉴权***发送所述调用方的登陆验证信息和所述初始会话信息,以使所述账户鉴权***对所述调用方的登陆验证信息和所述初始会话信息进行校验,并且若校验通过,则所述账户鉴权***建立所述调用方的会话信息。
会话信息获取单元,用于从所述账户鉴权***获取所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息。即间接登陆校验模块520可以将登录校验交由账户鉴权***完成,每次接收到调用方的间接登录请求时可以将调用方的登录验证信息和初始会话信息通过登录校验请求单元发送至账户鉴权***进行登陆校验,然后通过会话信息获取单元从账户鉴权***获取登录校验的结果,若校验成功,则可以从账户鉴权***获取所述调用方的会话信息,进而还可以获取所述调用方的权限信息以及所述初始用户的权限信息。
登陆结果返回模块530,用于向所述调用方返回所述会话信息。具体的,登陆结果返回模块530可以将间接登陆的校验结果返回给调用方所在的初始云平台服务,若登陆校验成功,则可以将获取到的调用方的会话信息一起返回给初始云平台服务。
操作访问获取模块540,用于获取调用方的操作访问请求,所述操作访问请求中包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息包括本次会话信息,还可以包括调用方的初始会话信息。
会话判断模块550,用于确认所述会话信息中是否包括所述调用方的初始会话信息并且所述初始会话信息有效。本发明实施例中,若所述调用方的会话信息中不包括调用方的初始会话信息或所述初始会话信息无效,则表示所述调用方为初始用户,所述调用为直接调用,反之若所述调用方的会话信息中包括调用方的初始会话信息,则表示所述调用方为间接用户,例如初始用户通过初始云平台服务向目标云平台服务发出的操作访问请求,所述初始用户的初始会话信息为初始用户在所述调用方所属的初始云平台服务进行登陆过程中获取到的会话信息,用于进行在登陆后与初始云平台服务之间的通信会话,可以包括所述初始用户的用户信息、会话标识、会话源IP、会话目的IP等。其中判断所述初始会话信息是否有效,可以通过判断所述初始会话信息中的会话标识是否有效,例如会话标识为0或为空则为无效,进而可以判断初始会话信息无效,否则为有效,也可以通过判断初始会话信息信息是否与所述调用方的本次会话信息的内容一致,若一致则可以确认初始会话信息无效,反之为有效。
权限校验模块560,用于对所述操作访问请求进行权限校验。
具体实现中,若目标云平台服务在本地保存了获取到的调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息,则权限校验模块560可以在本地完成所述权限校验,反之则可以将操作访问请求发送给账户鉴权***进行所述权限校验。其中若会话判断模块550判断所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效,则所述权限校验包括如下:
1)确认所述会话信息是否合法。具体实现中,可以通过判断所述操作访问请求中的会话信息是否与在所述调用方登陆时建立的会话信息一致,若是,则确认所述会话信息合法,反之为不合法。需要指出的是,在可选实施例中,可以先由权限校验模块560确认所述会话信息合法后再由会话判断模块550判断断所述会话信息中是否包括所述调用方的初始会话信息。
2)分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息。所述调用方的权限信息和所述初始用户的权限信息为在调用方向目标云平台服务的登陆过程中间接登陆校验模块520获取到的,内容包括调用方和初始用户各自对应的操作类型权限、多个可操作的目的服务(如appid)以及各操作目的服务的可操作范围(如采用IP代表)等。
3)根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作信息是否在所述权限信息列表中,若是则确认所述操作信息为合法,例如合法的操作类型。
4)根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法。具体实现中,可以通过判断所述操作访问请求中的操作目的服务信息和操作目的IP是否在所述初始用户的权限信息列表中,进而还可以查询所述操作目的IP是否属于操作目的app的可访问接口,若均得到肯定判断结果则确认所述操作访问请求中的目标信息合法。
另一方面,若会话判断模块550确认所述会话信息中不包括所述调用方的初始会话信息或所述初始会话信息无效,则权限校验模块560对所述操作访问请求进行的权限校验可以包括:
1)确认所述会话信息是否合法。具体实现中,可以通过判断所述操作访问请求中的会话信息是否与在所述调用方登陆时建立的会话信息一致,若是,则确认所述会话信息合法,反之为不合法。需要指出的是,在可选实施例中,可以先由权限校验模块560确认所述会话信息合法后再由会话判断模块550判断断所述会话信息中是否包括所述调用方的初始会话信息。
2)根据所述本次会话信息获取所述调用方的权限信息。所述调用方的权限信息为在调用方向目标云平台服务的登陆过程中间接登陆校验模块520获取到的,内容包括调用方的操作类型权限、多个可操作的目的服务(如appid)以及各操作目的服务的可操作范围(如采用IP代表)等。
3)根据所述调用方的权限信息确认所述操作访问请求的操作信息和目标信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作信息和目标信息是否在所述调用方的权限信息列表中,若是则确认操作访问请求中的操作信息和目标信息合法。
在可选实施例中,权限校验模块560可以进一步包括:
权限校验请求单元,用于向账户鉴权***发送间接服务鉴权请求,所述间接服务鉴权请求包括所述操作访问请求和所述调用方的会话信息,以使所述账户鉴权***对所述操作访问请求和所述调用方的会话信息进行所述权限校验。具体的,可以只在目标云平台服务未在本地保存所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息时,目标云平台服务的权限校验模块560由权限校验请求单元向账户鉴权***发送间接服务鉴权请求,执行前文所述的权限校验。
权限校验获取单元,用于从所述账户鉴权***获取所述权限校验的结果。
图6是本发明实施例中的云平台服务的调用装置的结构示意图,本实施例中的调用装置可以实现在根据已登录的初始用户的操作访问向目标云平台服务发起间接调用的初始云平台服务的后台,如图所示本发明实施例中的调用装置可以包括:
直接登陆获取模块610,用于获取初始用户的直接登陆请求,所述直接登陆请求包括所述初始用户的登陆验证信息,所述登陆验证信息可以包括所述初始用户的用户名和密码等。本发明实施例中的初始用户可以通过个人电脑、移动终端等互联网终端与所述云平台服务进行通信和获取服务。
直接登陆校验模块620,用于对所述初始用户的登陆验证信息进行登陆校验,若登陆校验通过,则获取所述初始用户的初始会话信息,可以包括所述初始用户的用户信息、会话标识、会话源IP、会话目的IP等,用于登陆成功后初始用户与初始云平台服务之间的通信会话。本实施例中的直接登陆校验模块620可以进一步包括登陆校验请求单元和初始会话获取单元,其中:
登陆校验请求单元用于向账户鉴权***发送所述初始用户的登陆验证信息,以使所述账户鉴权***对初始用户的登陆验证信息进行校验,并且若校验通过,则所述账户鉴权***建立所述初始用户的初始会话信息。具体实现中,账户鉴权***对所述初始用户的登陆验证信息进行登陆校验可以为与预存的登陆验证信息进行比较,若一致则登陆校验通过。所述初始会话信息可以包括所述初始用户的用户信息(如用户名、用户IP等)、会话ID(用于方便查找会话信息)等,所述初始会话信息的有效期限可以设置为当次登陆有效,或一天、一周等,当超过有效期限,所述初始会话信息失效。
初始会话获取单元用于在所述账户鉴权***对所述初始用户的登陆验证信息校验通过后,从所述账户鉴权***获取所述初始会话信息。
需要指出的是,在其他可选实施例中,直接登陆校验模块620也可以独立完成用户的登陆校验过程,无需通过账户鉴权***进行登陆校验。
间接登陆请求模块630,用于向目标云平台服务发送间接登陆请求,所述间接登陆请求包括所述调用方的登陆验证信息和所述初始会话信息,以使所述目标云平台服务对所述调用方的登陆验证信息和所述初始会话信息进行登陆校验,所述登陆验证信息可以为所述初始用户通过所述初始云平台服务输入的登陆用户名和密码等。
登陆结果获取模块640,用于当所述目标云平台服务的登陆校验通过后从所述目标云平台服务获取所述调用方的会话信息。具体实现中,目标云平台服务对所述调用方的登陆验证信息和所述初始会话信息进行登陆校验后,若登陆校验成功,则会建立或从账户鉴权***获取所述调用方的会话信息,并将间接登录校验结果返回给云平台服务的调用装置的登陆结果获取模块640,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息。
间接操作请求模块650,用于向目标云平台服务发送操作访问请求,所述操作访问请求中包括操作信息、目标信息和调用方的会话信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息,以使所述目标云平台服务根据所述调用方的会话信息对所述操作访问请求进行权限校验。具体实现中,初始用户在预先通过完成到初始云平台服务的登陆时从直接登陆校验模块620获取到所述初始会话信息,然后向初始云平台服务发送所述发起间接服务的操作访问,携带所述初始用户的初始会话信息、操作信息以及目标信息,所述操作信息和/或目标信息需要调用到目标云平台服务的资源,间接操作请求模块650根据所述初始用户发送的操作访问向目标云平台服务发送所述操作访问请求,所述操作访问请求中包括操作信息、目标信息和调用方的会话信息,进而所述目标云平台服务获取到所述操作访问请求后,可以确认所述会话信息是否合法,进而分别根据所述本次会话信息和初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息,然后根据所述根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法,以及根据所述初始用户的权限信息确认所述操作访问请求的目标信息是否合法。
图7是本发明实施例中的云平台服务的账户鉴权***的结构示意图,如图所示本发明实施例中的账户鉴权***可以包括:
直接登陆校验模块710,用于获取所述调用方所属云平台服务发送的所述调用方的初始用户的登陆验证信息,对所述初始用户的登陆验证信息进行校验,若校验通过,则建立所述初始用户的初始会话信息。具体实现中,对所述初始用户的登陆验证信息进行登陆校验可以为与预存的登陆验证信息进行比较,若一致则登陆校验通过。所述初始会话信息可以包括所述初始用户的用户信息(如用户名、用户IP等)、会话ID(随机生成,用于方便查找会话信息)等,所述初始会话信息的有效期限可以设置为当次登陆有效,或一天、一周等,当超过有效期限,所述初始会话信息失效。
初始会话返回模块720,用于向所述调用方所属云平台服务发送所述初始会话信息。
间接登陆校验模块730,用于从目标云平台服务获取调用方的登陆验证信息和初始会话信息,对所述调用方的登陆验证信息和所述初始会话信息进行校验,若校验通过,则建立所述调用方的会话信息,还可以根据所述调用方的会话信息确认所述调用方的权限信息和所述初始用户的权限信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息。具体实现中,可以将调用方的登陆验证信息和初始会话信息与账户鉴权***预存的登陆验证信息和初始会话信息进比较,若一致则登陆校验通过,进而若所述初始会话信息不是保存在账户鉴权***而是保存在外部***,间接登陆校验模块730可以前往保存所述初始会话信息的外部***进行外部校验。若登陆校验成功,则生成所述调用方的会话信息,其中本次会话信息用于登陆后调用方与目标云平台服务之间的通信会话,内容可以包括调用方的用户信息、会话标识、会话源IP、会话目的IP等,所述初始会话信息可以为初始用户在所述调用方所属的初始云平台服务进行登陆过程中获取到的会话信息,可以包括所述初始用户的用户信息、会话标识、会话源IP、会话目的IP等,用于登陆成功后初始用户与初始云平台服务之间的通信会话。
会话信息返回模块740,用于向所述目标云平台服务返回所述调用方的会话信息,进一步还可以向向所述目标云平台服务返回所述调用方的权限信息以及所述初始用户的权限信息。具体的,会话信息返回模块740在对目标云平台服务发送的登录验证信息和初始会话信息进行登陆校验后,无论校验成功与否都可以将校验结果返回给目标云平台服务,若登陆校验成功则可以将校验结果携带调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息返回给所述目标云平台服务。
权限校验获取模块750,用于从目标云平台服务获取间接服务鉴权请求,所述间接服务鉴权请求包括调用方的操作访问请求和所述调用方的会话信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息;
间接服务鉴权模块760,对所述调用方的操作访问请求和所述调用方的会话信息进行权限校验,所述权限校验包括:
1)确认所述会话信息是否合法。具体实现中,可以通过判断所述操作访问请求中的会话信息是否与在所述调用方登陆时建立的会话信息一致,若是,则确认所述会话信息合法,反之为不合法。
2)分别根据所述本次会话信息和初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息。所述调用方的权限信息和所述初始用户的权限信息的内容可以包括调用方和初始用户各自对应的操作类型权限、多个可操作的目的服务(如appid)以及各操作目的服务的可操作范围(如采用IP代表)等。
3)根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作信息是否在所述调用方的的权限信息中的权限信息列表中,若是则确认所述操作信息为合法,例如合法的操作类型。
4)根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法。具体实现中,可以通过判断所述操作访问请求中的操作目的服务信息和操作目的IP是否在所述初始用户的权限信息列表中,进而还可以查询所述操作目的IP是否属于操作目的app的可访问接口,若均得到肯定判断结果则确认所述操作访问请求中的目标信息合法。
权限校验返回模块770,用于向所述目标云平台服务返回所述权限校验的结果。
图8是本发明实施例中的云平台服务的权限管理***的结构示意图。如图所述本发明实施例中的云平台服务的权限管理***至少可以包括云平台服务的权限管理装置810和云平台服务的调用装置820,其中:
所述云平台服务的调用装置810可以为如前文实施例结合图6所描述的云平台服务的调用装置,可以实现在根据已登录的初始用户的操作访问向目标云平台服务发起间接调用的初始云平台服务的后台,用于向目标云平台服务发送操作访问请求,所述操作访问请求中包括操作信息、目标信息和调用方的会话信息,所述调用方的会话信息中包括本次会话信息;
所述云平台服务的权限管理装置820可以如前文实施例结合图5所描述的云平台服务的权限管理装置,可以实现在被间接调用的目标云平台服务的后台,用于获取所述云平台服务的调用装置810发送的操作访问请求,确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效;对所述操作访问请求进行权限校验,所述权限校验包括:确认所述会话信息是否合法;分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法。
进一步可选的,本发明实施例中的云平台服务的权限管理***还可以包括账户鉴权***830,可以如前文实施例结合图7所描述的账户鉴权***,用于从所述云平台服务的权限管理装置820获取间接服务鉴权请求,所述间接服务鉴权请求包括调用方的操作访问请求和所述调用方的会话信息,对所述调用方的操作访问请求和所述调用方的会话信息进行所述权限校验,并向所述云平台服务的权限管理装置820返回所述权限校验的结果。
本发明实施例通过在发送间接调用目标云平台服务资源的操作访问请求时携带调用方的初始会话信息,目标云平台服务从而可以通过对直接调用方和初始会话信息的两方面校验,确保操作访问请求在合法权限范围之内,保证了在错综复杂的云平台环境中,云平台服务和第三方资源的整体安全。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (22)
1.一种云平台服务的权限管理方法,其特征在于,所述方法包括:
目标云平台服务获取调用方的操作访问请求,所述操作访问请求中包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息中包括本次会话信息;
目标云平台服务确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效;
目标云平台服务对所述操作访问请求进行权限校验,所述权限校验包括:
确认所述会话信息是否合法;
分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;
根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;
根据所述初始用户的权限信息确认所述操作访问请求的目标信息是否合法。
2.如权利要求1所述的云平台服务的权限管理方法,其特征在于,所述获取调用方的服务访问请求之前还包括:
目标云平台服务获取所述调用方的间接登陆请求,所述间接登陆请求包括所述调用方的登陆验证信息和所述初始会话信息;
目标云平台服务对所述调用方的登陆验证信息和所述初始会话信息进行登陆校验,若登陆校验通过,则获取所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息;
目标云平台服务向所述调用方返回所述会话信息。
3.如权利要求2所述的云平台服务的权限管理方法,其特征在于,所述目标云平台服务对所述调用方的登陆验证信息和所述初始会话信息进行登陆校验,若登陆校验通过,则获取所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息包括:
所述目标云平台服务向账户鉴权***发送所述调用方的登陆验证信息和所述初始会话信息;
所述账户鉴权***对所述调用方的登陆验证信息和所述初始会话信息进行校验,若校验通过,则建立所述调用方的会话信息并将所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息返回给所述目标云平台服务。
4.如权利要求1所述的云平台服务的权限管理方法,其特征在于,所述目标云平台服务对所述操作访问请求进行权限校验包括:
所述目标云平台服务向账户鉴权***发送间接服务鉴权请求,所述间接服务鉴权请求包括所述操作访问请求和所述调用方的会话信息;
所述账户鉴权***对所述操作访问请求和所述调用方的会话信息进行所述权限校验,并将权限校验的结果返回给所述目标云平台服务。
5.如权利要求1所述的云平台服务的权限管理方法,其特征在于,所述获取所述调用方的登陆请求之前还包括:
所述调用方所属的初始云平台服务获取所述初始用户的直接登陆请求,所述直接登陆请求包括所述初始用户的登陆验证信息;
所述调用方所属的初始云平台服务对所述初始用户的登陆验证信息进行登陆校验,若登陆校验通过,则获取所述初始会话信息。
6.如权利要求5所述的云平台服务的权限管理方法,其特征在于,所述调用方所属的初始云平台服务对所述初始用户的登陆验证信息进行登陆校验包括:
所述调用方所属的初始云平台服务向账户鉴权***发送所述初始用户的登陆验证信息;
所述账户鉴权***对初始用户的登陆验证信息进行校验,若校验通过,则建立所述初始用户的初始会话信息并将所述初始会话信息返回给所述调用方所属的初始云平台服务。
7.如权利要求1~6中任一项所述的云平台服务的权限管理方法,其特征在于,若目标云平台服务确认所述会话信息中不包括所述调用方的初始会话信息或所述初始会话信息无意义,则所述权限校验包括:
确认所述会话信息是否合法;
根据所述会话信息获取所述调用方的权限信息;
根据所述调用方的权限信息确认所述操作访问请求的操作信息和目标信息是否合法。
8.一种云平台服务的权限管理装置,其特征在于,所述权限管理装置包括:
操作访问获取模块,用于获取调用方的操作访问请求,所述操作访问请求中包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息中包括本次会话信息;
会话判断模块,用于确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效;
权限校验模块,用于对所述操作访问请求进行权限校验,其中若会话判断模块确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效,则所述权限校验包括:
确认所述会话信息是否合法;
分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;
根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;
根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法。
9.如权利要求8所述的云平台服务的权限管理装置,其特征在于,所述权限管理装置还包括:
间接登陆获取模块,用于获取所述调用方的间接登陆请求,所述间接登陆请求包括所述调用方的登陆验证信息和所述初始会话信息;
间接登陆校验模块,用于对所述调用方的登陆验证信息和所述初始会话信息进行登陆校验,若登陆校验通过,则获取所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息;
登陆结果返回模块,用于向所述调用方返回所述会话信息。
10.如权利要求9所述的云平台服务的权限管理装置,其特征在于,所述间接登陆校验模块包括:
登陆校验请求单元,用于向账户鉴权***发送所述调用方的登陆验证信息和所述初始会话信息,以使所述账户鉴权***对所述调用方的登陆验证信息和所述初始会话信息进行校验,并且若校验通过,则所述账户鉴权***建立所述调用方的会话信息;
会话信息获取单元,用于从所述账户鉴权***获取所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息。
11.如权利要求10所述的云平台服务的权限管理装置,其特征在于,所述权限校验模块包括:
权限校验请求单元,用于向账户鉴权***发送间接服务鉴权请求,所述间接服务鉴权请求包括所述操作访问请求和所述调用方的会话信息,以使所述账户鉴权***对所述操作访问请求和所述调用方的会话信息进行所述权限校验;
权限校验获取单元,用于从所述账户鉴权***获取所述权限校验的结果。
12.如权利要求8中任一项所述的云平台服务的权限管理装置,其特征在于,若所述会话判断模块确认所述会话信息中不包括所述调用方的初始会话信息或所述初始会话信息无意义,则所述权限校验模块对所述操作访问请求进行的权限校验包括:
确认所述会话信息是否合法;
根据所述本次会话信息获取所述调用方的权限信息;
根据所述调用方的权限信息确认所述操作访问请求的操作信息和目标信息是否合法。
13.一种云平台服务的调用装置,其特征在于,所述调用装置包括:
间接操作请求模块,用于向目标云平台服务发送操作访问请求,所述操作访问请求中包括操作信息、目标信息和调用方的会话信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息,以使所述目标云平台服务根据所述调用方的会话信息对所述操作访问请求进行权限校验。
14.如权利要求13所述的云平台服务的调用装置,其特征在于,所述调用装置还包括:
间接登陆请求模块,用于向目标云平台服务发送间接登陆请求,所述间接登陆请求包括所述调用方的登陆验证信息和所述初始会话信息,以使所述目标云平台服务对所述调用方的登陆验证信息和所述初始会话信息进行登陆校验;
登陆结果获取模块,用于当所述目标云平台服务的登陆校验通过后从所述目标云平台服务获取所述调用方的会话信息。
15.如权利要求13所述的云平台服务的调用装置,其特征在于,所述调用装置还包括:
直接登陆获取模块,用于获取初始用户的直接登陆请求,所述直接登陆请求包括所述初始用户的登陆验证信息;
直接登陆校验模块,用于对所述初始用户的登陆验证信息进行登陆校验,若登陆校验通过,则获取所述初始用户的初始会话信息。
16.如权利要求15所述的云平台服务的调用装置,其特征在于,所述直接登陆校验模块包括:
登陆校验请求单元,用于向账户鉴权***发送所述初始用户的登陆验证信息,以使所述账户鉴权***对初始用户的登陆验证信息进行校验,并且若校验通过,则所述账户鉴权***建立所述初始用户的初始会话信息;
初始会话获取单元,用于在所述账户鉴权***对所述初始用户的登陆验证信息校验通过后,从所述账户鉴权***获取所述初始会话信息。
17.一种云平台服务的账户鉴权***,其特征在于,所述账户鉴权***包括:
权限校验获取模块,用于从目标云平台服务获取间接服务鉴权请求,所述间接服务鉴权请求包括调用方的操作访问请求和所述调用方的会话信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息;
间接服务鉴权模块,对所述调用方的操作访问请求和所述调用方的会话信息进行权限校验,所述权限校验包括:
确认所述会话信息是否合法;
分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;
根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;
根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法;
权限校验返回模块,用于向所述目标云平台服务返回所述权限校验的结果。
18.如权利要求17所述的云平台服务的账户鉴权***,其特征在于,所述账户鉴权***还包括:
间接登陆校验模块,用于从目标云平台服务获取调用方的登陆验证信息和初始会话信息,对所述调用方的登陆验证信息和所述初始会话信息进行校验,若校验通过,则建立所述调用方的会话信息;
会话信息返回模块,用于向所述目标云平台服务返回所述调用方的会话信息。
19.如权利要求18所述的云平台服务的账户鉴权***,其特征在于,所述会话信息返回模块还用于向所述目标云平台服务返回所述调用方的权限信息以及所述初始用户的权限信息。
20.如权利要求17所述的云平台服务的账户鉴权***,其特征在于,所述账户鉴权***包括:
直接登陆校验模块,用于获取所述调用方所属云平台服务发送的所述调用方的初始用户的登陆验证信息,对所述初始用户的登陆验证信息进行校验,若校验通过,则建立所述初始用户的初始会话信息;
初始会话返回模块,用于向所述调用方所属云平台服务发送所述初始会话信息。
21.一种云平台服务的权限管理***,其特征在于,所述权限管理***包括如权利要求8~12中任一项所述的云平台服务的权限管理装置和如权利要求13~16中任一项所述的云平台服务的调用装置,其中:
所述云平台服务的调用装置用于向目标云平台服务发送操作访问请求,所述操作访问请求中包括操作信息、目标信息和调用方的会话信息,所述调用方的会话信息中包括本次会话信息;
所述云平台服务的权限管理装置用于获取所述云平台服务的调用装置发送的操作访问请求,确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效;对所述操作访问请求进行权限校验,所述权限校验包括:确认所述会话信息是否合法;分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法。
22.如权利要求21所述的云平台服务的权限管理***,其特征在于,所述权限管理***还包括如权利要求17~20任一项所述的云平台服务的账户鉴权***,用于从所述云平台服务的权限管理装置获取间接服务鉴权请求,所述间接服务鉴权请求包括调用方的操作访问请求和所述调用方的会话信息,对所述调用方的操作访问请求和所述调用方的会话信息进行所述权限校验,并向所述云平台服务的权限管理装置返回所述权限校验的结果。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310081876.9A CN104052775B (zh) | 2013-03-14 | 2013-03-14 | 一种云平台服务的权限管理方法、装置和*** |
US14/319,578 US20150373026A1 (en) | 2013-03-14 | 2013-12-17 | Permission management method, device and system for cloud platform service |
PCT/CN2013/089724 WO2014139298A1 (en) | 2013-03-14 | 2013-12-17 | Permission management method, device and system for cloud platform service |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310081876.9A CN104052775B (zh) | 2013-03-14 | 2013-03-14 | 一种云平台服务的权限管理方法、装置和*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104052775A true CN104052775A (zh) | 2014-09-17 |
CN104052775B CN104052775B (zh) | 2016-11-23 |
Family
ID=51505139
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310081876.9A Active CN104052775B (zh) | 2013-03-14 | 2013-03-14 | 一种云平台服务的权限管理方法、装置和*** |
Country Status (3)
Country | Link |
---|---|
US (1) | US20150373026A1 (zh) |
CN (1) | CN104052775B (zh) |
WO (1) | WO2014139298A1 (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106469093A (zh) * | 2016-09-05 | 2017-03-01 | 用友优普信息技术有限公司 | 数据调用方法和数据调用装置 |
CN107018140A (zh) * | 2017-04-24 | 2017-08-04 | 深信服科技股份有限公司 | 一种权限控制方法和*** |
CN107094140A (zh) * | 2017-04-24 | 2017-08-25 | 深信服科技股份有限公司 | 一种基于会话的权限控制方法和*** |
CN107133516A (zh) * | 2017-04-24 | 2017-09-05 | 深信服科技股份有限公司 | 一种权限控制方法和*** |
CN109324913A (zh) * | 2018-09-21 | 2019-02-12 | 浪潮电子信息产业股份有限公司 | 一种针对多OpenStack云平台的管理方法和装置 |
WO2019062536A1 (zh) * | 2017-09-30 | 2019-04-04 | 腾讯科技(深圳)有限公司 | 资源处理方法、装置、***及计算机可读介质 |
CN110650139A (zh) * | 2019-09-25 | 2020-01-03 | 四川师范大学 | 云平台的资源访问控制方法以及*** |
CN113949529A (zh) * | 2021-09-09 | 2022-01-18 | 广州鲁邦通智能科技有限公司 | 一种可信的混合云管理平台接入方法及*** |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015051120A1 (en) * | 2013-10-03 | 2015-04-09 | Go Factory, LLC | Creating, joining, finding, discovering, restoring and relocating process-based channels |
CN107103230A (zh) * | 2017-04-24 | 2017-08-29 | 深信服科技股份有限公司 | 一种权限控制方法和*** |
CN110768989B (zh) * | 2019-10-29 | 2021-12-28 | 中国建设银行股份有限公司 | 一种基于云平台的权限控制方法、装置、设备及存储介质 |
CN112769881B (zh) * | 2019-11-01 | 2023-04-07 | 中移智行网络科技有限公司 | 一种物联网设备的控制***、方法和可信安全云平台 |
CN117118692B (zh) * | 2023-08-15 | 2024-05-03 | 安徽国科检测科技有限公司 | 一种实验室数据云存储平台的安全管理方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102202046A (zh) * | 2011-03-15 | 2011-09-28 | 北京邮电大学 | 面向网络化操作***的可信任虚拟运行平台 |
US20120265671A1 (en) * | 2011-04-12 | 2012-10-18 | Matt Higgins | Systems and Methods for Validating an Order Purchased With an Unspecified Term |
CN202663444U (zh) * | 2012-06-29 | 2013-01-09 | 上海海事大学 | 一种云安全数据迁移模型 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6490624B1 (en) * | 1998-07-10 | 2002-12-03 | Entrust, Inc. | Session management in a stateless network system |
US6715082B1 (en) * | 1999-01-14 | 2004-03-30 | Cisco Technology, Inc. | Security server token caching |
US8671444B2 (en) * | 2006-10-06 | 2014-03-11 | Fmr Llc | Single-party, secure multi-channel authentication for access to a resource |
US9781205B2 (en) * | 2011-09-12 | 2017-10-03 | Microsoft Technology Licensing, Llc | Coordination engine for cloud selection |
US9277017B2 (en) * | 2012-10-30 | 2016-03-01 | Netiq Corporation | Techniques for device independent session migration |
-
2013
- 2013-03-14 CN CN201310081876.9A patent/CN104052775B/zh active Active
- 2013-12-17 WO PCT/CN2013/089724 patent/WO2014139298A1/en active Application Filing
- 2013-12-17 US US14/319,578 patent/US20150373026A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102202046A (zh) * | 2011-03-15 | 2011-09-28 | 北京邮电大学 | 面向网络化操作***的可信任虚拟运行平台 |
US20120265671A1 (en) * | 2011-04-12 | 2012-10-18 | Matt Higgins | Systems and Methods for Validating an Order Purchased With an Unspecified Term |
CN202663444U (zh) * | 2012-06-29 | 2013-01-09 | 上海海事大学 | 一种云安全数据迁移模型 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106469093A (zh) * | 2016-09-05 | 2017-03-01 | 用友优普信息技术有限公司 | 数据调用方法和数据调用装置 |
CN107018140A (zh) * | 2017-04-24 | 2017-08-04 | 深信服科技股份有限公司 | 一种权限控制方法和*** |
CN107094140A (zh) * | 2017-04-24 | 2017-08-25 | 深信服科技股份有限公司 | 一种基于会话的权限控制方法和*** |
CN107133516A (zh) * | 2017-04-24 | 2017-09-05 | 深信服科技股份有限公司 | 一种权限控制方法和*** |
CN107094140B (zh) * | 2017-04-24 | 2021-01-19 | 深信服科技股份有限公司 | 一种基于会话的权限控制方法和*** |
WO2019062536A1 (zh) * | 2017-09-30 | 2019-04-04 | 腾讯科技(深圳)有限公司 | 资源处理方法、装置、***及计算机可读介质 |
EP3664405A4 (en) * | 2017-09-30 | 2020-07-08 | Tencent Technology (Shenzhen) Company Limited | RESOURCE PROCESSING METHOD, DEVICE AND SYSTEM, AND COMPUTER READABLE MEDIUM |
US11190503B2 (en) | 2017-09-30 | 2021-11-30 | Tencent Technology (Shenzhen) Company Limited | Resource processing method, apparatus, and system, and computer-readable medium |
CN109324913A (zh) * | 2018-09-21 | 2019-02-12 | 浪潮电子信息产业股份有限公司 | 一种针对多OpenStack云平台的管理方法和装置 |
CN110650139A (zh) * | 2019-09-25 | 2020-01-03 | 四川师范大学 | 云平台的资源访问控制方法以及*** |
CN110650139B (zh) * | 2019-09-25 | 2022-08-30 | 四川师范大学 | 云平台的资源访问控制方法以及*** |
CN113949529A (zh) * | 2021-09-09 | 2022-01-18 | 广州鲁邦通智能科技有限公司 | 一种可信的混合云管理平台接入方法及*** |
Also Published As
Publication number | Publication date |
---|---|
WO2014139298A1 (en) | 2014-09-18 |
CN104052775B (zh) | 2016-11-23 |
US20150373026A1 (en) | 2015-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104052775A (zh) | 一种云平台服务的权限管理方法、装置和*** | |
KR102406757B1 (ko) | 보안 모듈의 가입자 프로파일 프로비저닝 방법 | |
CN102378170B (zh) | 一种鉴权及业务调用方法、装置和*** | |
CN108512862A (zh) | 基于无证书标识认证技术的物联网终端安全认证管控平台 | |
JP2008099267A (ja) | ネットワーク内で無線端末と設備との間のセッションを保護する方法 | |
CN104052682A (zh) | 一种网络接入方法及设备、*** | |
CN112203271B (zh) | 一种通信连接方法、装置及*** | |
CN104202338A (zh) | 一种适用于企业级移动应用的安全接入方法 | |
CN110069909B (zh) | 一种免密登录第三方***的方法及装置 | |
KR20160057828A (ko) | 무선 통신 시스템에서 단말의 어플리케이션을 원격으로 관리하는 방법 및 장치 | |
CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
CN110719203A (zh) | 智能家居设备的操作控制方法、装置、设备及存储介质 | |
CN104753674A (zh) | 一种应用身份的验证方法和设备 | |
CN112272089B (zh) | 云主机登录方法、装置、设备及计算机可读存储介质 | |
FI128171B (en) | network authentication | |
CN105577619B (zh) | 一种客户端登录方法、客户端以及*** | |
CN109583154A (zh) | 一种基于Web中间件访问智能密码钥匙的***及方法 | |
CN108023727A (zh) | 一种授权方法及其*** | |
CN104753954A (zh) | 一种利用堡垒机保障网络安全的方法 | |
CN112398824A (zh) | 一种权限校验方法、存储介质及电子设备 | |
CN103621125A (zh) | 将OpenID与电信网络整合的***和方法 | |
CN110602133B (zh) | 智能合约处理方法、区块链管理设备及存储介质 | |
CN104469772A (zh) | 一种网点设备认证方法、装置及认证*** | |
EP2961208A1 (en) | Method for accessing a service and corresponding application server, device and system | |
CN106487776B (zh) | 一种保护机器类通信设备的方法、网络实体及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20180926 Address after: 101000 Beijing Haidian District Zhichun Road 49 No. 3 West 309 Patentee after: Tencent cloud computing (Beijing) limited liability company Address before: 518057 East 403 room, Sai Ge science and Technology Park, Futian District Zhenxing Road, Shenzhen, Guangdong, China, 2 Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |