CN107623662B - 访问的控制方法,装置和*** - Google Patents
访问的控制方法,装置和*** Download PDFInfo
- Publication number
- CN107623662B CN107623662B CN201610559869.9A CN201610559869A CN107623662B CN 107623662 B CN107623662 B CN 107623662B CN 201610559869 A CN201610559869 A CN 201610559869A CN 107623662 B CN107623662 B CN 107623662B
- Authority
- CN
- China
- Prior art keywords
- access
- information
- content
- restriction information
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种访问的控制方法,装置和***。其中,该方法包括:接收访问请求;读取访问请求中携带的访问限制信息,其中,访问限制信息为限制访问目标对象时所需的内容;根据访问限制信息确定响应内容。本发明解决了现有技术通过代理或回源服务器进行访问控制,由于代理或回源服务器的配置不同,导致在互联网整个体系中没有统一的访问控制管理的技术问题。
Description
技术领域
本发明涉及互联网领域,具体而言,涉及一种访问的控制方法,装置和***。
背景技术
随着互联网的逐渐发展,网络管理***的管理对象变得越来越复杂,网络管理***的安全问题受到人们的更多关注,其中,访问控制是整个网络管理***安全的核心问题之一。访问控制可以防止对任何资源进行未授权的访问,从而使计算机***在合法的访问内使用,通常用于***管理员控制用户对服务器、目录、文件等网络资源的访问。
目前已有的技术手段,HTTP RFC 2616中有对于referer的描述,此字段起到了一定的访问控制的作用。对于用户访问内容版权的地域控制,通常的实现方式是代理或回源服务器通过ip地址和地域进行映射关系来确认用户的身份是否符合观看的要求,如图1所示,具体实现步骤如下:
1)代理服务器配置版权地域策略,例如:country_visit_map{CH:1;US:0}(代表中国地区的用户可以观看,美国地区的用户不可以观看);
2)代理服务器查询用户的ip地址,获取用户所在的地域;
3)策略匹配,得到用户的访问权限;
4)根据权限返回用户结果,有访问权限继续转发,否则直接提示用户无版权。
采用上述方案,虽然最终实现版权地域的控制,但是存在如下问题:
1)整个技术手段与HTTP协议本身没有关联。在网络中,各个代理或回源服务器完全可以按照自己的想法来实现,自由定义ip地址和版权的映射关系,那么对应的配置也就各不相同。
2)现有方法中,对于用户访问的网页或视频内容的观看限制,通常都是直接提示用户,比如“未成年不得观看”等;或者我们在搜索内容中,搜索结果只是按照简单的分类,比如“少儿”,没有再按照更细的年龄区间来显示。
3)现有的方法中,对互联网的内容控制,并没有统一的标准,导致各厂商实现的方式各不相同,扩展性差。
并且,目前对于互联网访问内容的类型和级别,一般都是通过提示用户的方式,由用户自己来确认是否可以访问,不能灵活控制内容的显示,也存在一定的误杀。
针对现有技术通过代理或回源服务器进行访问控制,由于代理或回源服务器的配置不同,导致在互联网整个体系中没有统一的访问控制管理的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种访问的控制方法,装置和***,以至少解决现有技术通过代理或回源服务器进行访问控制,由于代理或回源服务器的配置不同,导致在互联网整个体系中没有统一的访问控制管理的技术问题。
根据本发明实施例的一个方面,提供了一种访问的控制方法,包括:接收访问请求;读取访问请求中携带的访问限制信息,其中,访问限制信息为限制访问目标对象时所需的内容;根据访问限制信息确定响应内容。
根据本发明实施例的另一方面,还提供了一种访问的控制装置,包括:接收模块,用于接收访问请求;读取模块,用于读取访问请求中携带的访问限制信息,其中,访问限制信息为限制访问目标对象时所需的内容;第一确定模块,用于根据访问限制信息确定响应内容。
根据本发明实施例的另一方面,还提供了一种访问的控制方法,包括:客户终端发送访问请求,其中,访问请求中包括用于执行访问控制的控制字段;客户终端接收服务器响应访问请求而返回的响应信息,其中,服务器从控制字段中读取访问请求中携带的访问限制信息,并根据访问限制信息确定响应内容,其中,访问限制信息为限制访问目标对象时所需的内容。
根据本发明实施例的另一方面,还提供了一种访问的控制***,包括:客户端,用于发送访问请求;服务器,与客户端具有通信关系,用于读取访问请求中携带的访问限制信息,并根据访问限制信息确定响应内容,其中,访问限制信息为限制访问目标对象时所需的内容。
在本发明实施例中,可以在接收到访问请求之后,读取访问请求中的访问限制信息,并根据访问限制信息确定返回的响应内容。本方案可以通过读取访问请求中的访问限制信息确定对应的响应内容,实现对用户访问资源的控制管理的目的。
容易注意到,由于可以按照统一的规则,在访问请求中添加访问限制信息,不同代理服务器或者回源服务器在接收到相同的访问请求之后,可以根据从访问请求中读取到的访问限制信息,确定相同的响应内容,而不需要根据代理服务器或者回源服务器的自身配置确定响应内容,从而实现在HTTP协议中提供访问控制标准,来统一访问控制,提升管理***的兼容性。因此,通过本申请实施例所提供的方案,可以实现通过自定义的方式,扩展多种管理控制类型,同时在HTTP协议中提供一个标准,来统一访问控制,提升管理***的兼容性的效果。
由此,本发明提供的方案解决了现有技术通过代理或回源服务器进行访问控制,由于代理或回源服务器的配置不同,导致在互联网整个体系中没有统一的访问控制管理的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据现有技术的一种访问的控制方法的流程图;
图2是根据本申请实施例的一种访问的控制方法的计算机终端的硬件结构框图;
图3是根据本申请实施例一的一种访问的控制方法的流程图;
图4是根据本申请实施例一的一种可选的访问的控制方法的流程图;
图5是根据本申请实施例一的一种可选的访问的控制方法的交互图;
图6是根据本申请实施例二的一种访问的控制装置的示意图;
图7是根据本申请实施例二的一种可选的访问的控制装置的示意图;
图8是根据本申请实施例二的一种可选的访问的控制装置的示意图;
图9是根据本申请实施例二的一种可选的访问的控制装置的示意图;
图10是根据本申请实施例二的一种可选的访问的控制装置的示意图;
图11是根据本申请实施例二的一种可选的访问的控制装置的示意图;
图12是根据本申请实施例二的一种可选的访问的控制装置的示意图;
图13是根据本申请实施例二的一种可选的访问的控制装置的示意图;
图14是根据本申请实施例三的一种访问的控制方法的流程图;
图15是根据本申请实施例四的一种访问的控制***的示意图;以及
图16是根据本申请实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
代理服务器:指提供代理服务的电脑***或其它类型的网络终端。
HTTP协议:超文本传输协议,hyper text transfer protocol的缩写,是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准,客户端是终端用户,服务器端是网站。
Request:指http请求,是指从客户端到服务器端的请求消息。
Response:指http响应,是指从服务器端到客户端的应答消息。
访问控制:是网络安全防范和保护的主要策略,是按用户身份及其所归属的某项定于组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。访问控制包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
访问内容版权:即访问内内容权限,不同用户可以访问不同内容。
地域控制:按照用户所在地域来限制用户对某些信息项的访问,或者限制对某些控制功能的使用的一种策略。
访问限制信息:限定用户访问网络资源的限制内容,例如,限定用户访问网络资源的地区信息,限定用户可接受响应内容的内容类型和级别。
实施例1
根据本申请实施例,还提供了一种访问的控制方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图2是根据本申请实施例的一种访问的控制方法的计算机终端的硬件结构框图。如图2所示,计算机终端20可以包括一个或多个(图中仅示出一个)处理器202(处理器202可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器204、以及用于通信功能的传输模块206。本领域普通技术人员可以理解,图2所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端20还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。
存储器204可用于存储应用软件的软件程序以及模块,如本申请实施例中的访问的控制方法对应的程序指令/模块,处理器202通过运行存储在存储器204内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的访问的控制方法。存储器204可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器204可进一步包括相对于处理器202远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端20。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置206用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端20的通信供应商提供的无线网络。在一个实例中,传输装置206包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置206可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图3所示的访问的控制方法。图3是根据本申请实施例一的一种访问的控制方法的流程图,如图3所示,上述方法可以包括如下步骤:
步骤S32,接收访问请求。
具体的,上述访问请求可以是超文本传输协议HTTP协议的访问请求,HTTP请求,即Request。
在一种可选的方案中,当用户通过客户端访问服务器中的资源时,可以生成从客户端到服务器端的访问请求,客户端通过互联网将访问请求发送给代理服务器或者回源服务器。
步骤S34,读取访问请求中携带的访问限制信息,其中,访问限制信息为限制访问目标对象时所需的内容。
具体的,上述访问限制信息可以是访问请求头部中引入的新头部“X-Limit”,可以是根据访问控制需要,限制用户访问服务器资源的内容,例如,对于用户访问内容版权的地域控制,访问限制信息可以是限制用户访问资源的地区(如中国),属于该地区的用户,即中国用户可以访问资源;对于根据用户的年龄段返回相应的响应内容,访问限制信息可以是限定用户可接受的响应内容按年龄显示。
步骤S36,根据访问限制信息确定响应内容,其中,响应内容可以包括访问用户的访问权限和/或返回的访问内容。
在一种可选的方案中,在代理服务器或者回源服务器接收到客户端发送的访问请求之后,可以对访问请求进行分析,读取访问请求中的访问限制信息,并根据得到的访问限制信息对用户权限进行判定,如果用户满足访问限制信息中的所有内容,即该用户拥有访问内容版权,则允许用户进行访问,返回相应的访问内容给客户端,从而用户可以观看自己需要的资源;如果用户不满足访问限制信息中的任意一项内容,即该用户没有访问内容版权,则不允许用户进行访问,并返回用户无版权,禁止访问的错误信息。
例如,以访问请求是HTTP请求,访问限制信息为地域访问限制信息为例,对本申请上述实施例进行详细说明。在用户访问网络资源的情况下,代理服务器或者回源服务器可以接收到用户客户端生成的HTTP请求,读取HTTP请求中的地区信息,得到限制用户访问网络资源的地区访问限制信息,并根据地区访问限制信息和用户所属的地区属性,确定发送给客户端的响应内容,如果用户所属的地区属性与地区访问限制信息相同,则确定用户拥有访问内容版权,允许用户访问网络资源;如果用户所属的地区属性与地区访问限制信息不同,则确定用户没有访问内容版权,不允许用户访问网络资源,返回403禁止访问信息。
由上可知,本申请上述实施例一公开的方案中,可以在接收到访问请求之后,读取访问请求中的访问限制信息,并根据访问限制信息确定返回的响应内容。本方案可以通过读取访问请求中的访问限制信息确定对应的响应内容,实现对用户访问资源的控制管理的目的。
容易注意到,由于可以按照统一的规则,在访问请求中添加访问限制信息,各个代理或者回源服务器在接收到相同的访问请求之后,可以根据从访问请求中读取到的访问限制信息,确定相同的响应内容,因此,通过本申请实施例所提供的方案,可以实现通过自定义的方式,扩展多种管理控制类型,同时在HTTP协议中提供一个标准,来统一访问控制,提升管理***的兼容性的效果。
由此,本申请提供的上述实施例一的方案解决了现有技术通过代理或回源服务器进行访问控制,由于代理或回源服务器的配置不同,导致在互联网整个体系中没有统一的访问控制管理的技术问题。
根据本申请上述实施例,在步骤S32,接收访问请求之前,上述方法还可以包括如下步骤:
步骤S30,在访问请求的头部域中设置至少一个访问限制信息,其中,访问限制信息包括一组或多组待查询的限制规则,任意一组限制规则包括如下任意一个或多个信息:不同类型的参数和参数的取值。
具体的,上述访问请求的头部域可以是HTTP请求的头部HTTP header,上述限制规则可以是地区限制规则,年龄限制规则,其中,地区限制规则可以包括地区参数,和地区参数值;年龄限制规则可以包括年龄参数和年龄参数值。
在一种可选的方案中,可以在生成的访问请求的头部HTTP header中引入新的头部“X-Limit”,新头部包含两个字段,如表1所示:
表1
对于此头部,我们做出如下描述:
X-Limit=X-Limit:TYPE PARAMS
TYPE=“AREA”|“AGE”|”OTHER”
AREA=Matching user’s area
AGE=Matching user’s age
OTHER=expansible
PARAMS=","token
其中,TYPE可以是匹配检查类型,用一个字符串表示,表示需要限制的内容是什么,例如:AREA-用户所在地区匹配,限定用户属于这个地区才能访问;AGE–用户年龄匹配,限定用户可接受的响应内容按年龄显示。PARAMS可以是参数列表,由检查类型决定参数列表配置何种类型的数据,如果列表包含多个参数,就用西文逗号(,)分隔,例如,如果TYPE=AREA,即,用户所在地区校验,那么PARAMS需要指定具体的地区,支持洲、国家、城市,支持写多个值,以竖线(|)隔开;如果TYPE=AGE,即,用户年龄校验,那么PARAMS需要指定允许的最小年龄,支持年龄段,如3-8;如果TYPE=OTHER,表示可扩展。
下面结合一个配置实例进行说明:X-Limit:AREA US|CH;AGE 3-5,如表2所示。根据限定规则,可以确定上述配置中,访问限制信息包含两个限制规则,每个限制规则的具体含义是:第一个限制规则表示只允许美国或中国区域的用户访问源站的内容;第二个限制规则表示限制返回的内容满足三至五岁的年龄段。
表2
此处需要说明的是,头部“X-Limit”只出现在访问请求中,并不出现在响应请求中。
例如,以访问请求是HTTP请求,对本申请上述实施例进行详细说明。如图4所示,用户在访问网页或者视频之前,可以在Request中设置访问内容的类型和级别,在接收到Request之后,代理服务器或者回源服务器可以读取Request携带的X-Limit字段,得到设置的访问内容的类型和级别,并根据设置的内容确定相应的响应内容。
通过上述方案,可以在访问请求的头部域中设置访问限制信息,从而实现访问控制,并且可以通过设置访问内容的类型和级别,达到内容分级分类的要求。
根据本申请上述实施例,在访问请求的头部域中包括多个访问限制信息的情况下,上述方法还可以包括如下步骤:
步骤S302,将多个访问限制信息进行合并,其中,步骤S302,将多个访问限制信息进行合并包括:步骤S3022,将多个访问限制信息中相同类型参数的相同取值合并为同一个值,相同类型参数的不同取值合并为并列的多个值。
在一种可选的方案中,如果HTTP请求的头部域中包含多个访问限制信息,即X-Limit在HTTP header中出现多次,那么可以先将此字段的值合并,将相同类型参数的相同取值合并为同一个值,相同类型参数的不同取值合并为并列值,然后根据合并后的访问限制信息进行匹配工作,例如,HTTP header中出现两个X-Limit,分别为:X-Limit:AREA CH和X-Limit:AREA US|CH,则在读取到两个X-Limit之后,可以将两个X-Limit合并为一个X-Limit,即,X-Limit:AREA US|CH。
根据本申请上述实施例,在访问请求中包括多个访问限制信息的情况下,上述方法还可以包括如下步骤:
步骤S304,如果存在任意两个或多个访问限制信息中包含的限制规则之间所限定的逻辑内容矛盾的情况下,提取优先级最高的限制规则。
具体的,上述优先级最高的限制规则可以是最先匹配的限制规则,例如,可以是第一个限制规则。
在一种可选的方案中,可以采用冲突最先匹配原则,如果在字段中有内容冲突的规则,那么可以按冲突中最先匹配上的规则生效,在此之后的其他冲突规则,不再进行匹配,以避免逻辑的复杂性,例如,HTTP header中出现两个X-Limit,分别为:X-Limit:AREACH和X-Limit:AREA US,则可以采用冲突最先匹配原则,按最先匹配上的规则X-Limit:AREACH进行匹配,不在匹配之后的规则X-Limit:AREA US。
根据本申请上述实施例,步骤S36,根据访问限制信息确定响应内容,可以包括如下步骤:
步骤S362,逐一查询限制规则中所包含的参数,其中,限制规则中的参数包括:访问用户的访问权限和/或返回给访问用户的访问内容。
具体的,上述访问用户的访问权限可以是用户所在地区匹配,返回给访问用户的访问内容可以是用户可接受的响应内容按年龄显示。
步骤S364,在任意一个或多个参数查询失败的情况下,响应内容为禁止访问。
步骤S366,在参数查询成功的情况下,响应内容为允许访问,并按照每个参数与的关系确定返回给访问用户的访问权限和/或访问内容。
在一种可选的方案中,可以逐一查询限制规则中的每个参数是否符合,如果存在不符合限制规则的参数,则确定响应内容为禁止访问,表明该用户没有访问内容版权,不允许用户进行访问,将响应内容返回给客户端;如果全部符合,则确定响应内容为允许访问,表明该用户拥有访问内容版权,按照每个规则与的关系,返回对应的响应内容,例如,当参数为地区参数时,可以确定返回访问用户拥有访问权限的响应内容至客户端;当参数为年龄参数时,可以确定返回按年龄显示的访问内容至客户端。
例如,仍以访问请求是HTTP请求,对本申请上述实施例进行详细说明。如图4所示,用户在访问网页或者视频之前,可以在Request中设置访问内容的类型和级别,在接收到Request之后,代理服务器或者回源服务器可以读取Request携带的X-Limit字段,逐条查询X-Limit字段中的限制规则,如果全部查询成功,则返回查询结果,即访问权限和/或访问内容;如果未全部查询成功,则返回403禁止访问的响应内容。
此处需要说明的是,当进行查询匹配时,可以按照X-Limit中的规则逐一匹配,如果有一条匹配失败,则立即返回403禁止访问的响应内容。
通过上述方案,可以通过逐一查询限制规则中包含的参数的方式,确定相应的响应内容,从而实现访问控制的目的。
根据本申请上述实施例,在步骤S362,逐一查询限制规则中所包含的参数之前,上述方法还可以包括如下步骤:
步骤S3602,验证访问限制信息的格式是否合法,其中,如果访问限制信息的格式合法,在继续执行逐一查询限制规则中所包含的参数的步骤;如果访问限制信息的格式不合法,则确定响应内容为禁止访问。
在一种可选的方案中,在从访问请求中读取到访问限制信息之后,可以验证访问限制信息的格式是否合法,如果合法,则逐一查询限制规则中的每个参数是否符合,从而确定响应内容;如果不合法,则确定该访问限制信息为非法信息,确定响应内容为禁止访问,表明该用户没有访问内容版权,不允许用户进行访问,将响应内容返回给客户端。
例如,仍以访问请求是HTTP请求,对本申请上述实施例进行详细说明。如图4所示,用户在访问网页或者视频之前,可以在Request中设置访问内容的类型和级别,在接收到Request之后,代理服务器或者回源服务器可以读取Request携带的X-Limit字段,判断X-Limit是否合法,如果合法,则逐条查询X-Limit字段中的限制规则,如果全部查询成功,则返回查询结果,即访问权限和/或访问内容;如果未全部查询成功,则返回403禁止访问的响应内容;如果不合法,则返回403禁止访问的响应内容。
根据本申请上述实施例,在步骤S3602,验证访问限制信息的格式是否合法之前,上述方法还可以包括如下步骤:
步骤S3604,判断访问限制信息是否为空,其中,如果访问限制信息为空,则允许响应访问请求所请求的所有内容;如果访问限制信息不为空,则进入验证访问限制信息的格式的步骤,或者继续执行逐一查询限制规则中所包含的参数的步骤。
在一种可选的方案中,在从访问请求中读取到访问限制信息之后,可以首先判断访问限制信息是否为空,如果为空,则无条件允许该访问请求;如果不为空,则进一步判断访问限制信息的格式是否合法,如果合法,则逐一查询限制规则中的每个参数是否符合,从而确定响应内容;如果不合法,则确定该访问限制信息为非法信息,确定响应内容为禁止访问,表明该用户没有访问内容版权,不允许用户进行访问,将响应内容返回给客户端。
例如,仍以访问请求是HTTP请求,对本申请上述实施例进行详细说明。如图4所示,用户在访问网页或者视频之前,可以在Request中设置访问内容的类型和级别,在接收到Request之后,代理服务器或者回源服务器可以读取Request中携带的X-Limit字段,如果X-Limit字段为空,则无条件允许该Request;如果X-Limit字段不为空,则读取X-Limit字段,并判断X-Limit是否合法,如果合法,则逐条查询X-Limit字段中的限制规则,如果全部查询成功,则返回查询结果,即访问权限和/或访问内容;如果未全部查询成功,则返回403禁止访问的响应内容;如果不合法,则返回403禁止访问的响应内容。
此处需要说明的是,如果访问限制信息不为空,但是限制规则的类型不是有效类型,则不进行处理。
根据本申请上述实施例,在步骤S32,接收访问请求之后,上述方法还可以包括如下步骤:
步骤S322,判断访问请求中是否携带有访问限制信息,其中,在确定访问请求中携带访问限制信息的情况下,进入判断访问限制信息是否为空的步骤;在确定访问请求中未携带有访问限制信息的情况下,允许响应访问请求所请求的所有内容。
在一种可选的方案中,在从访问请求中读取到访问限制信息之后,可以首先判断访问限制信息是否携带有访问限制信息,如果未携带,则表明访问请求没有访问控制,可以无条件允许该访问请求;如果携带,则进一步判断访问限制信息的格式是否合法,如果合法,则逐一查询限制规则中的每个参数是否符合,从而确定响应内容;如果不合法,则确定该访问限制信息为非法信息,确定响应内容为禁止访问,表明该用户没有访问内容版权,不允许用户进行访问,将响应内容返回给客户端。
例如,仍以访问请求是HTTP请求,对本申请上述实施例进行详细说明。如图4所示,用户在访问网页或者视频之前,可以在Request中设置访问内容的类型和级别,在接收到Request之后,代理服务器或者回源服务器可以判断Request中是否携带X-Limit字段,如果未携带,即Request header中没有X-Limit,则表示当前的Request没有X-Limit限制,则无条件允许该Request;如果Request中携带X-Limit字段且X-Limit字段不为空,则读取X-Limit字段,并判断X-Limit是否合法,如果合法,则逐条查询X-Limit字段中的限制规则,如果全部查询成功,则返回查询结果,即访问权限和/或访问内容;如果未全部查询成功,则返回403禁止访问的响应内容;如果不合法,则返回403禁止访问的响应内容。
下面结合图4和图5详细介绍本申请的一种优选实施例。
如图5所示,以HTTP请求为应用场景,提供了一种可选的访问的控制方法,该方法可以包括如下步骤S501至步骤S503:
步骤S501,客户端151发送HTTP请求至服务器153。
可选的,服务器可以接收客户端发送的HTTP请求Request。
步骤S502,服务器153根据HTTP请求中的访问限制信息,确定响应内容。
可选的,服务器在接收到客户端发送的Request之后,判断Request中是否携带有X-Limit字段,如果未携带,则确定响应内容为Request对应的Response;如果携带,则读取X-Limit字段,并判断是否为空,如果为空,则确定响应内容为Request对应的Response;如果不为空,则判断X-Limit字段是否合法,如果不合法,则确定响应内容为403禁止访问;如果合法,则逐条匹配X-Limit规则,判断是否全部匹配成功,如果未全部匹配成功,则确定响应内容为403禁止访问;如果全部匹配成功,则根据每个规则与的关系,得到对应的响应内容。
步骤S503,服务器153将响应内容返回给客户端151。
可选的,服务器在确定响应内容之后,将响应内容返回给客户端,以供用户查看或者提示用户没有访问权限。
通过上述步骤S501至步骤S503,提供了一种访问控制方案,服务器在接收到客户端发送的HTTP请求之后,对HTTP请求头部中的X-Limit字段进行判断,根据判断结果得到相应的响应内容,并将响应内容返回至客户端,从而实现基于HTTP协议的访问控制方案,可以被所有的设备共同实现,实行统一的标准,达到更好的兼容,并且在用户访问网页或者视频之前,可以通过HTTP协议提前设置访问内容的类型和级别,服务器根据设置的内容来对应返回相应的结果,达到内容分级分类的要求,进一步地,基于http协议header,通过自定义的方式,可以扩展多种管控类型。
此处需要说明的是,本申请上述实施例可以通过C/C++语言实现,但不仅限于此,其他类型的计算机语言也可以达到本申请的实施效果。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
实施例2
根据本申请实施例,还提供了一种用于实施上述访问的控制方法的访问的控制装置,如图6所示,该装置可以包括:接收模块61,读取模块63和确定模块65。
其中,接收模块61用于接收访问请求;读取模块63用于读取访问请求中携带的访问限制信息,其中,访问限制信息为限制访问目标对象时所需的内容;确定模块65用于根据访问限制信息确定响应内容,其中,响应内容可以包括访问用户的访问权限和/或返回的访问内容。
具体的,上述访问请求可以是超文本传输协议HTTP协议的访问请求,HTTP请求,即Request。上述访问限制信息可以是访问请求头部中引入的新头部“X-Limit”,可以是根据访问控制需要,限制用户访问服务器资源的内容,例如,对于用户访问内容版权的地域控制,访问限制信息可以是限制用户访问资源的地区(如中国),属于该地区的用户,即中国用户可以访问资源;对于根据用户的年龄段返回相应的响应内容,访问限制信息可以是限定用户可接受的响应内容按年龄显示。
此处需要说明的是,上述接收模块61,读取模块63和确定模块65对应于实施例一中的步骤S32至步骤S36,三个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端20中。
由上可知,本申请上述实施例二公开的方案中,可以在接收到访问请求之后,读取访问请求中的访问限制信息,并根据访问限制信息确定返回的响应内容。本方案可以通过读取访问请求中的访问限制信息确定对应的响应内容,实现对用户访问资源的控制管理的目的。
容易注意到,由于可以按照统一的规则,在访问请求中添加访问限制信息,各个代理或者回源服务器在接收到相同的访问请求之后,可以根据从访问请求中读取到的访问限制信息,确定相同的响应内容,因此,通过本申请实施例所提供的方案,可以实现通过自定义的方式,扩展多种管理控制类型,同时在HTTP协议中提供一个标准,来统一访问控制,提升管理***的兼容性的效果。
由此,本申请提供的上述实施例二的方案解决了现有技术通过代理或回源服务器进行访问控制,由于代理或回源服务器的配置不同,导致在互联网整个体系中没有统一的访问控制管理的技术问题。
根据本申请上述实施例,如图7所示,上述装置还可以包括:设置模块71。
其中,设置模块71用于在访问请求的头部域中设置至少一个访问限制信息,其中,访问限制信息包括一组或多组待查询的限制规则,任意一组限制规则包括如下任意一个或多个信息:不同类型的参数和参数的取值。
具体的,上述访问请求的头部域可以是HTTP请求的头部HTTP header,上述限制规则可以是地区限制规则,年龄限制规则,其中,地区限制规则可以包括地区参数,和地区参数值;年龄限制规则可以包括年龄参数和年龄参数值。
此处需要说明的是,头部“X-Limit”只出现在访问请求中,并不出现在响应请求中。
此处还需要说明的是,上述设置模块71对应于实施例一中的步骤S30,该模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端20中。
通过上述方案,可以在访问请求的头部域中设置访问限制信息,从而实现访问控制,并且可以通过设置访问内容的类型和级别,达到内容分级分类的要求。
根据本申请上述实施例,如图8所示,在访问请求的头部域中包括多个访问限制信息的情况下,上述装置还可以包括:合并模块81。
其中,合并模块81用于将多个访问限制信息进行合并,其中,合并模块81包括:合并子模块811,用于将多个访问限制信息中相同类型参数的相同取值合并为同一个值,相同类型参数的不同取值合并为并列的多个值。
此处需要说明的是,上述合并模块81和合并子模块811对应于实施例一中的步骤S302和步骤S3022,两个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端20中。
根据本申请上述实施例,如图9所示,在访问请求中包括多个访问限制信息的情况下,上述装置还可以包括:提取模块91。
其中,提取模块91用于如果存在任意两个或多个访问限制信息中包含的限制规则之间所限定的逻辑内容矛盾的情况下,提取优先级最高的限制规则。
具体的,上述优先级最高的限制规则可以是最先匹配的限制规则,例如,可以是第一个限制规则。
此处需要说明的是,上述提取模块91对应于实施例一中的步骤S304,该模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端20中。
根据本申请上述实施例,如图10所示,确定模块65可以包括:查询子模块101,第一确定子模块103和第二确定子模块105。
其中,查询子模块101用于逐一查询限制规则中所包含的参数,其中,限制规则中的参数包括:访问用户的访问权限和/或返回给访问用户的访问内容;第一确定子模块103用于在任意一个或多个参数查询失败的情况下,响应内容为禁止访问;第二确定子模块105用于在参数查询成功的情况下,响应内容为允许访问,并按照每个参数与的关系确定返回给访问用户的访问权限和/或访问内容。
具体的,上述访问用户的访问权限可以是用户所在地区匹配,返回给访问用户的访问内容可以是用户可接受的响应内容按年龄显示。
此处需要说明的是,当进行查询匹配时,可以按照X-Limit中的规则逐一匹配,如果有一条匹配失败,则立即返回403禁止访问的响应内容。
此处还需要说明的是,上述查询子模块101,第一确定子模块103和第二确定子模块105对应于实施例一中的步骤S362至步骤S366,三个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端20中。
通过上述方案,可以通过逐一查询限制规则中包含的参数的方式,确定相应的响应内容,从而实现访问控制的目的。
根据本申请上述实施例,如图11所示,上述装置还可以包括:验证模块111。
其中,验证模块111用于验证访问限制信息的格式是否合法,其中,如果访问限制信息的格式合法,在继续执行查询子模块101的功能;如果访问限制信息的格式不合法,则确定响应内容为禁止访问。
此处需要说明的是,上述验证模块111对应于实施例一中的步骤S3602,该模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端20中。
根据本申请上述实施例,如图12所示,上述装置还可以包括:第一判断模块121。
其中,第一判断模块121用于判断访问限制信息是否为空,其中,如果访问限制信息为空,则允许响应访问请求所请求的所有内容;如果访问限制信息不为空,则进入执行验证模块111的功能,或者继续执行查询子模块101的功能。
此处需要说明的是,如果访问限制信息不为空,但是限制规则的类型不是有效类型,则不进行处理。
此处还需要说明的是,上述第一判断模块121对应于实施例一中的步骤S3604,该模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端20中。
根据本申请上述实施例,如图13所示,上述装置还可以包括:第二判断模块131。
其中,第二判断模块131用于判断访问请求中是否携带有访问限制信息,其中,在确定访问请求中携带访问限制信息的情况下,进入执行第一判断模块121的功能;在确定访问请求中未携带有访问限制信息的情况下,允许响应访问请求所请求的所有内容。
此处需要说明的是,上述第二判断模块131对应于实施例一中的步骤S322,该模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端20中。
实施例3
根据本申请实施例,还提供了一种访问的控制方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图14是根据本申请实施例三的一种访问的控制方法的流程图,如图14所示,上述方法可以包括如下步骤:
步骤S142,客户终端发送访问请求,其中,访问请求中包括用于执行访问控制的控制字段。
具体的,上述访问请求可以是超文本传输协议HTTP协议的访问请求,HTTP请求,即Request。
在一种可选的方案中,当用户通过客户端访问服务器中的资源时,可以生成从客户端到服务器端的访问请求,客户端通过互联网将访问请求发送给代理服务器或者回源服务器。
步骤S144,客户终端接收服务器响应访问请求而返回的响应信息,其中,服务器从控制字段中读取访问请求中携带的访问限制信息,并根据访问限制信息确定响应内容,其中,访问限制信息为限制访问目标对象时所需的内容。
具体的,上述访问限制信息可以是访问请求头部中引入的新头部“X-Limit”,可以是根据访问控制需要,限制用户访问服务器资源的内容,例如,对于用户访问内容版权的地域控制,访问限制信息可以是限制用户访问资源的地区(如中国),属于该地区的用户,即中国用户可以访问资源;对于根据用户的年龄段返回相应的响应内容,访问限制信息可以是限定用户可接受的响应内容按年龄显示。
在一种可选的方案中,在代理服务器或者回源服务器接收到客户端发送的访问请求之后,可以对访问请求进行分析,读取访问请求中的访问限制信息,并根据得到的访问限制信息对用户权限进行判定,如果用户满足访问限制信息中的所有内容,即该用户拥有访问内容版权,则允许用户进行访问,返回相应的访问内容给客户端,从而用户可以观看自己需要的资源;如果用户不满足访问限制信息中的任意一项内容,即该用户没有访问内容版权,则不允许用户进行访问,并返回用户无版权,禁止访问的错误信息。
例如,以访问请求是HTTP请求,访问限制信息为地域访问限制信息为例,对本申请上述实施例进行详细说明。在用户访问网络资源的情况下,用户客户端生成HTTP请求发送给代理服务器或者回源服务器,代理服务器或者回源服务器在接收到HTTP请求之后,读取HTTP请求中的地区信息,得到限制用户访问网络资源的地区访问限制信息,并根据地区访问限制信息和用户所属的地区属性,确定发送给客户端的响应内容,如果用户所属的地区属性与地区访问限制信息相同,则确定用户拥有访问内容版权,允许用户访问网络资源;如果用户所属的地区属性与地区访问限制信息不同,则确定用户没有访问内容版权,不允许用户访问网络资源,返回403禁止访问信息。
由上可知,本申请上述实施例三公开的方案中,可以客户终端发送访问请求,服务器从控制字段中读取访问请求中携带的访问限制信息,并根据访问限制信息确定响应内容,客户终端接收服务器响应访问请求而返回的响应信息。本方案可以通过读取访问请求中的访问限制信息确定对应的响应内容,实现对用户访问资源的控制管理的目的。
容易注意到,由于可以按照统一的规则,在访问请求中添加访问限制信息,各个代理或者回源服务器在接收到相同的访问请求之后,可以根据从访问请求中读取到的访问限制信息,确定相同的响应内容,因此,通过本申请实施例所提供的方案,可以实现通过自定义的方式,扩展多种管理控制类型,同时在HTTP协议中提供一个标准,来统一访问控制,提升管理***的兼容性的效果。
由此,本申请提供的上述实施例三的方案解决了现有技术通过代理或回源服务器进行访问控制,由于代理或回源服务器的配置不同,导致在互联网整个体系中没有统一的访问控制管理的技术问题。
实施例4
根据本申请实施例,还提供了一种用于实施上述访问的控制方法的访问的控制***,如图15所示,该***包括:
客户端151,用于发送访问请求。
具体的,上述访问请求可以是超文本传输协议HTTP协议的访问请求,HTTP请求,即Request。
在一种可选的方案中,当用户通过客户端访问服务器中的资源时,可以生成从客户端到服务器端的访问请求,客户端通过互联网将访问请求发送给代理服务器或者回源服务器。
服务器153,与客户端151具有通信关系,用于读取访问请求中携带的访问限制信息,并根据访问限制信息确定响应内容,其中,访问限制信息为限制访问目标对象时所需的内容。
具体的,上述服务器可以是代理服务器或者回源服务器。上述访问限制信息可以是访问请求头部中引入的新头部“X-Limit”,可以是根据访问控制需要,限制用户访问服务器资源的内容,例如,对于用户访问内容版权的地域控制,访问限制信息可以是限制用户访问资源的地区(如中国),属于该地区的用户,即中国用户可以访问资源;对于根据用户的年龄段返回相应的响应内容,访问限制信息可以是限定用户可接受的响应内容按年龄显示。
在一种可选的方案中,在代理服务器或者回源服务器接收到客户端发送的访问请求之后,可以对访问请求进行分析,读取访问请求中的访问限制信息,并根据得到的访问限制信息对用户权限进行判定,如果用户满足访问限制信息中的所有内容,即该用户拥有访问内容版权,则允许用户进行访问,返回相应的访问内容给客户端,从而用户可以观看自己需要的资源;如果用户不满足访问限制信息中的任意一项内容,即该用户没有访问内容版权,则不允许用户进行访问,并返回用户无版权,禁止访问的错误信息。
例如,以访问请求是HTTP请求,访问限制信息为地域访问限制信息为例,对本申请上述实施例进行详细说明。在用户访问网络资源的情况下,代理服务器或者回源服务器可以接收到用户客户端生成的HTTP请求,读取HTTP请求中的地区信息,得到限制用户访问网络资源的地区访问限制信息,并根据地区访问限制信息和用户所属的地区属性,确定发送给客户端的响应内容,如果用户所属的地区属性与地区访问限制信息相同,则确定用户拥有访问内容版权,允许用户访问网络资源;如果用户所属的地区属性与地区访问限制信息不同,则确定用户没有访问内容版权,不允许用户访问网络资源,返回403禁止访问信息。
由上可知,本申请上述实施例四公开的方案中,可以在接收到访问请求之后,读取访问请求中的访问限制信息,并根据访问限制信息确定返回的响应内容。本方案可以通过读取访问请求中的访问限制信息确定对应的响应内容,实现对用户访问资源的控制管理的目的。
容易注意到,由于可以按照统一的规则,在访问请求中添加访问限制信息,各个代理或者回源服务器在接收到相同的访问请求之后,可以根据从访问请求中读取到的访问限制信息,确定相同的响应内容,因此,通过本申请实施例所提供的方案,可以实现通过自定义的方式,扩展多种管理控制类型,同时在HTTP协议中提供一个标准,来统一访问控制,提升管理***的兼容性的效果。
由此,本申请提供的上述实施例四的方案解决了现有技术通过代理或回源服务器进行访问控制,由于代理或回源服务器的配置不同,导致在互联网整个体系中没有统一的访问控制管理的技术问题。
实施例5
本申请的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行访问的控制方法中以下步骤的程序代码:接收访问请求;读取访问请求中携带的访问限制信息,其中,访问限制信息为限制访问目标对象时所需的内容;根据访问限制信息确定响应内容。
可选地,图16是根据本申请实施例的一种计算机终端的结构框图。如图16所示,该计算机终端A可以包括:一个或多个(图中仅示出一个)处理器161、存储器163、以及传输装置165。
其中,存储器可用于存储软件程序以及模块,如本申请实施例中的访问的控制方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的访问的控制方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:接收访问请求;读取访问请求中携带的访问限制信息,其中,访问限制信息为限制访问目标对象时所需的内容;根据访问限制信息确定响应内容。
可选的,上述处理器还可以执行如下步骤的程序代码:在接收访问请求之前,在访问请求的数据包的头部域中设置至少一个访问限制信息,其中,访问限制信息包括一组或多组待查询的限制规则,任意一组限制规则包括如下任意一个或多个信息:不同类型的参数和参数的取值。
可选的,上述处理器还可以执行如下步骤的程序代码:在访问请求的头部域中包括多个访问限制信息的情况下,将多个访问限制信息进行合并,其中,将多个访问限制信息进行合并包括:将多个访问限制信息中相同类型参数的相同取值合并为同一个值,相同类型参数的不同取值合并为并列的多个值。
可选的,上述处理器还可以执行如下步骤的程序代码:在访问请求中包括多个访问限制信息的情况下,如果存在任意两个或多个访问限制信息中包含的限制规则之间所限定的逻辑内容矛盾的情况下,提取优先级最高的限制规则。
可选的,上述处理器还可以执行如下步骤的程序代码:逐一查询限制规则中所包含的参数,其中,限制规则中的参数包括:访问用户的访问权限和/或返回给访问用户的访问内容;在任意一个或多个参数查询失败的情况下,响应内容为禁止访问;在参数查询成功的情况下,响应内容为允许访问,并按照每个参数与的关系确定返回给访问用户的访问权限和/或访问内容。
可选的,上述处理器还可以执行如下步骤的程序代码:在逐一查询限制规则中所包含的参数之前,验证访问限制信息的格式是否合法,其中,如果访问限制信息的格式合法,在继续执行逐一查询限制规则中所包含的参数的步骤;如果访问限制信息的格式不合法,则确定响应内容为禁止访问。
可选的,上述处理器还可以执行如下步骤的程序代码:在验证访问限制信息的格式是否合法之前,判断访问限制信息是否为空,其中,如果访问限制信息为空,则允许响应访问请求所请求的所有内容;如果访问限制信息不为空,则进入验证访问限制信息的格式的步骤,或者继续执行逐一查询限制规则中所包含的参数的步骤。
可选的,上述处理器还可以执行如下步骤的程序代码:在接收访问请求之后,判断访问请求中是否携带有访问限制信息,其中,在确定访问请求中携带访问限制信息的情况下,进入判断访问限制信息是否为空的步骤;在确定访问请求中未携带有访问限制信息的情况下,允许响应访问请求所请求的所有内容。
采用本申请实施例,可以在接收到访问请求之后,读取访问请求中的访问限制信息,并根据访问限制信息确定返回的响应内容。本方案可以通过读取访问请求中的访问限制信息确定对应的响应内容,实现对用户访问资源的控制管理的目的。
容易注意到,由于可以按照统一的规则,在访问请求中添加访问限制信息,各个代理或者回源服务器在接收到相同的访问请求之后,可以根据从访问请求中读取到的访问限制信息,确定相同的响应内容,因此,通过本申请实施例所提供的方案,可以实现通过自定义的方式,扩展多种管理控制类型,同时在HTTP协议中提供一个标准,来统一访问控制,提升管理***的兼容性的效果。
由此,本申请提供的方案解决了现有技术通过代理或回源服务器进行访问控制,由于代理或回源服务器的配置不同,导致在互联网整个体系中没有统一的访问控制管理的技术问题。
本领域普通技术人员可以理解,图16所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternetDevices,MID)、PAD等终端设备。图16其并不对上述电子装置的结构造成限定。例如,计算机终端A还可包括比图16中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图16所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例6
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的访问的控制方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:接收访问请求;读取访问请求中携带的访问限制信息,其中,访问限制信息为限制访问目标对象时所需的内容;根据访问限制信息确定响应内容。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:在接收访问请求之前,在访问请求的数据包的头部域中设置至少一个访问限制信息,其中,访问限制信息包括一组或多组待查询的限制规则,任意一组限制规则包括如下任意一个或多个信息:不同类型的参数和参数的取值。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:在访问请求的头部域中包括多个访问限制信息的情况下,将多个访问限制信息进行合并,其中,将多个访问限制信息进行合并包括:将多个访问限制信息中相同类型参数的相同取值合并为同一个值,相同类型参数的不同取值合并为并列的多个值。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:在访问请求中包括多个访问限制信息的情况下,如果存在任意两个或多个访问限制信息中包含的限制规则之间所限定的逻辑内容矛盾的情况下,提取优先级最高的限制规则。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:逐一查询限制规则中所包含的参数,其中,限制规则中的参数包括:访问用户的访问权限和/或返回给访问用户的访问内容;在任意一个或多个参数查询失败的情况下,响应内容为禁止访问;在参数查询成功的情况下,响应内容为允许访问,并按照每个参数与的关系确定返回给访问用户的访问权限和/或访问内容。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:在逐一查询限制规则中所包含的参数之前,验证访问限制信息的格式是否合法,其中,如果访问限制信息的格式合法,在继续执行逐一查询限制规则中所包含的参数的步骤;如果访问限制信息的格式不合法,则确定响应内容为禁止访问。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:在验证访问限制信息的格式是否合法之前,判断访问限制信息是否为空,其中,如果访问限制信息为空,则允许响应访问请求所请求的所有内容;如果访问限制信息不为空,则进入验证访问限制信息的格式的步骤,或者继续执行逐一查询限制规则中所包含的参数的步骤。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:在接收访问请求之后,判断访问请求中是否携带有访问限制信息,其中,在确定访问请求中携带访问限制信息的情况下,进入判断访问限制信息是否为空的步骤;在确定访问请求中未携带有访问限制信息的情况下,允许响应访问请求所请求的所有内容。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1.一种访问的控制方法,其特征在于,包括:
接收访问请求,其中,所述访问请求中包括用于执行访问控制的控制字段;
从所述控制字段中读取所述访问请求中携带的访问限制信息,其中,所述访问限制信息为限制访问目标对象时所需的内容,所述控制字段为所述访问请求头部中引入的新的头部字段,所述访问请求为超文本传输协议请求;
根据所述访问限制信息确定响应内容;
其中,根据所述访问限制信息对用户权限进行判定,如果用户满足所述访问限制信息中的所有内容,则确定所述响应内容为访问内容;如果用户不满足所述访问限制信息中的任意一项内容,则确定所述响应内容为错误信息。
2.根据权利要求1所述的方法,其特征在于,在接收访问请求之前,所述方法还包括:在所述访问请求的数据包的头部域中设置至少一个所述访问限制信息,其中,所述访问限制信息包括一组或多组待查询的限制规则,任意一组限制规则包括如下任意一个或多个信息:多种类型的参数和参数的取值。
3.根据权利要求2所述的方法,其特征在于,在所述访问请求的头部域中包括多个访问限制信息的情况下,将所述多个访问限制信息进行合并,其中,将所述多个访问限制信息进行合并包括:将所述多个访问限制信息中相同类型参数的相同取值合并为同一个值,相同类型参数的不同取值合并为并列的多个值。
4.根据权利要求2所述的方法,其特征在于,在所述访问请求中包括多个访问限制信息的情况下,如果存在任意两个或多个访问限制信息中包含的限制规则之间所限定的内容矛盾的情况下,提取优先级最高的限制规则。
5.根据权利要求2至4中任意一项所述的方法,其特征在于,根据所述访问限制信息确定响应内容,包括:
逐一查询所述限制规则中所包含的参数,其中,所述限制规则中的参数包括:访问用户的访问权限和/或返回给所述访问用户的访问内容;
在任意一个或多个参数查询失败的情况下,所述响应内容为禁止访问;
在所述参数查询成功的情况下,所述响应内容为允许访问,并按照每个参数与的关系确定返回给访问用户的访问权限和/或访问内容。
6.根据权利要求5所述的方法,其特征在于,在逐一查询所述限制规则中所包含的参数之前,所述方法还包括:
验证所述访问限制信息的格式是否合法,其中,
如果所述访问限制信息的格式合法,在继续执行逐一查询所述限制规则中所包含的参数的步骤;
如果所述访问限制信息的格式不合法,则确定所述响应内容为所述禁止访问。
7.根据权利要求6所述的方法,其特征在于,在验证所述访问限制信息的格式是否合法之前,所述方法还包括:
判断所述访问限制信息是否为空,其中,
如果所述访问限制信息为空,则允许响应所述访问请求所请求的所有内容;
如果所述访问限制信息不为空,则进入验证所述访问限制信息的格式的步骤,或者继续执行逐一查询所述限制规则中所包含的参数的步骤。
8.根据权利要求7所述的方法,其特征在于,在接收访问请求之后,所述方法还包括:
判断所述访问请求中是否携带有所述访问限制信息,其中,
在确定所述访问请求中携带所述访问限制信息的情况下,进入判断所述访问限制信息是否为空的步骤;
在确定所述访问请求中未携带有所述访问限制信息的情况下,允许响应所述访问请求所请求的所有内容。
9.一种访问的控制装置,其特征在于,包括:
接收模块,用于接收访问请求;
读取模块,用于读取所述访问请求中携带的访问限制信息,其中,所述访问限制信息为限制访问目标对象时所需的内容,所述访问限制信息设置在所述访问请求头部中引入的新的头部字段中,所述访问请求为超文本传输协议请求;
确定模块,用于根据所述访问限制信息确定响应内容;
其中,所述装置还用于根据所述访问限制信息对用户权限进行判定,如果用户满足所述访问限制信息中的所有内容,则确定所述响应内容为访问内容;如果用户不满足所述访问限制信息中的任意一项内容,则确定所述响应内容为错误信息。
10.一种访问的控制方法,其特征在于,包括:
客户终端发送访问请求,其中,所述访问请求中包括用于执行访问控制的控制字段,所述控制字段为所述访问请求头部中引入的新的头部字段,所述访问请求为超文本传输协议请求;
所述客户终端接收服务器响应所述访问请求而返回的响应信息,其中,所述服务器从所述控制字段中读取所述访问请求中携带的访问限制信息,并根据所述访问限制信息确定响应内容,其中,所述访问限制信息为限制访问目标对象时所需的内容;
其中,所述服务器还用于根据所述访问限制信息对用户权限进行判定,如果用户满足所述访问限制信息中的所有内容,则确定所述响应内容为访问内容;如果用户不满足所述访问限制信息中的任意一项内容,则确定所述响应内容为错误信息。
11.一种访问的控制***,其特征在于,包括:
客户端,用于发送访问请求;
服务器,与所述客户端具有通信关系,用于读取所述访问请求中携带的访问限制信息,并根据所述访问限制信息确定响应内容,其中,所述访问限制信息为限制访问目标对象时所需的内容,所述访问限制信息设置在所述访问请求头部中引入的新的头部字段中,所述访问请求为超文本传输协议请求;
其中,所述服务器还用于根据所述访问限制信息对用户权限进行判定,如果用户满足所述访问限制信息中的所有内容,则确定所述响应内容为访问内容;如果用户不满足所述访问限制信息中的任意一项内容,则确定所述响应内容为错误信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610559869.9A CN107623662B (zh) | 2016-07-15 | 2016-07-15 | 访问的控制方法,装置和*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610559869.9A CN107623662B (zh) | 2016-07-15 | 2016-07-15 | 访问的控制方法,装置和*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107623662A CN107623662A (zh) | 2018-01-23 |
CN107623662B true CN107623662B (zh) | 2021-06-01 |
Family
ID=61086613
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610559869.9A Active CN107623662B (zh) | 2016-07-15 | 2016-07-15 | 访问的控制方法,装置和*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107623662B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110324678B (zh) * | 2019-05-29 | 2021-10-19 | 视联动力信息技术股份有限公司 | 传输监控资源的方法、装置、电子设备及可读存储介质 |
CN110392061A (zh) * | 2019-08-06 | 2019-10-29 | 郑州信大捷安信息技术股份有限公司 | 一种网络接入控制***及方法 |
CN114520742A (zh) * | 2022-02-21 | 2022-05-20 | 中国农业银行股份有限公司 | 访问请求的处理方法、装置及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102082810A (zh) * | 2009-11-30 | 2011-06-01 | ***通信集团广西有限公司 | 一种用户终端访问互联网的方法、***及装置 |
CN103188208A (zh) * | 2011-12-27 | 2013-07-03 | 腾讯科技(北京)有限公司 | 网页访问的权限控制方法、***和呼叫中心 |
CN103870548A (zh) * | 2014-02-26 | 2014-06-18 | 浙江大学 | 空间数据库的访问控制方法 |
CN104683348A (zh) * | 2015-03-13 | 2015-06-03 | 河南理工大学 | 一种基于属性的访问控制策略合成方法 |
CN104967620A (zh) * | 2015-06-17 | 2015-10-07 | 中国科学院信息工程研究所 | 一种基于属性访问控制策略的访问控制方法 |
CN105635235A (zh) * | 2014-12-01 | 2016-06-01 | 阿里巴巴集团控股有限公司 | 访问控制方法和用于访问控制的网络节点 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102143186B (zh) * | 2011-04-01 | 2014-05-07 | 华为技术有限公司 | 访问控制方法、装置及*** |
CN102426555B (zh) * | 2011-10-31 | 2015-12-02 | 天地融科技股份有限公司 | 一种移动存储器、移动存储器的访问控制方法及*** |
US9088538B2 (en) * | 2013-03-15 | 2015-07-21 | Saife, Inc. | Secure network storage |
CN105302845B (zh) * | 2014-08-01 | 2018-11-30 | 华为技术有限公司 | 数据信息交易方法和*** |
US9384337B1 (en) * | 2015-04-27 | 2016-07-05 | Microsoft Technology Licensing, Llc | Item sharing based on information boundary and access control list settings |
CN105491072B (zh) * | 2016-01-19 | 2018-12-04 | 舟山大舟网络科技股份有限公司 | 一种基于位置的本***网站用户权限管理方法与*** |
-
2016
- 2016-07-15 CN CN201610559869.9A patent/CN107623662B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102082810A (zh) * | 2009-11-30 | 2011-06-01 | ***通信集团广西有限公司 | 一种用户终端访问互联网的方法、***及装置 |
CN103188208A (zh) * | 2011-12-27 | 2013-07-03 | 腾讯科技(北京)有限公司 | 网页访问的权限控制方法、***和呼叫中心 |
CN103870548A (zh) * | 2014-02-26 | 2014-06-18 | 浙江大学 | 空间数据库的访问控制方法 |
CN105635235A (zh) * | 2014-12-01 | 2016-06-01 | 阿里巴巴集团控股有限公司 | 访问控制方法和用于访问控制的网络节点 |
CN104683348A (zh) * | 2015-03-13 | 2015-06-03 | 河南理工大学 | 一种基于属性的访问控制策略合成方法 |
CN104967620A (zh) * | 2015-06-17 | 2015-10-07 | 中国科学院信息工程研究所 | 一种基于属性访问控制策略的访问控制方法 |
Non-Patent Citations (1)
Title |
---|
面向Web服务的基于属性的访问控制研究;沈海波,洪帆;《计算机科学》;20060425;第33卷(第4期);第92-96页 * |
Also Published As
Publication number | Publication date |
---|---|
CN107623662A (zh) | 2018-01-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7222036B2 (ja) | モデルトレーニングシステムおよび方法および記憶媒体 | |
CN108616490B (zh) | 一种网络访问控制方法、装置及*** | |
EP3905078A1 (en) | Identity verification method and system therefor | |
CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
US8825799B2 (en) | Redirection method for electronic content | |
WO2017129016A1 (zh) | 一种资源访问方法、装置及*** | |
US20080301766A1 (en) | Content processing system, method and program | |
WO2016101635A1 (zh) | 一种同步登录状态的方法、装置、设备和计算机存储介质 | |
US20130054611A1 (en) | Apparatus and method for processing partitioned data for securing content | |
CN109033857B (zh) | 一种访问数据的方法、装置、设备及可读存储介质 | |
US10693863B2 (en) | Methods and systems for single sign-on while protecting user privacy | |
CN105160269A (zh) | 一种Docker容器内数据的访问方法及装置 | |
US20140150055A1 (en) | Data reference system and application authentication method | |
CN113452780B (zh) | 针对客户端的访问请求处理方法、装置、设备及介质 | |
CN107623662B (zh) | 访问的控制方法,装置和*** | |
CN104348895A (zh) | 移动终端中程序间共享数据的方法及装置 | |
US9462459B2 (en) | Mobile device configuration system and method | |
CN109936575B (zh) | 页面访问方法、装置、存储介质及处理器 | |
CN113784354B (zh) | 基于网关的请求转换方法和装置 | |
CN112836148B (zh) | 报表显示方法和装置、存储介质及电子设备 | |
US10205679B2 (en) | Resource object resolution management | |
KR101700197B1 (ko) | 장치 관리를 위한 노드의 주소 표현 방법 및 이를 위한 장치 | |
CN106295366B (zh) | 敏感数据识别方法及装置 | |
US20140280335A1 (en) | System and method to allow a domain name server to process a natural language query and determine context | |
CN111324799A (zh) | 搜索请求的处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |