CN109976914A - 用于控制资源访问的方法和装置 - Google Patents
用于控制资源访问的方法和装置 Download PDFInfo
- Publication number
- CN109976914A CN109976914A CN201910257142.9A CN201910257142A CN109976914A CN 109976914 A CN109976914 A CN 109976914A CN 201910257142 A CN201910257142 A CN 201910257142A CN 109976914 A CN109976914 A CN 109976914A
- Authority
- CN
- China
- Prior art keywords
- information
- access
- resource
- identification information
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例公开了用于控制资源访问的方法和装置。该方法的一具体实施方式包括:获取用户发送的访问请求,访问请求包括用户标识信息、资源标识信息;根据预先设置的资源标识信息与标签信息的关联关系,确定与访问请求包括的资源标识信息关联的标签信息;获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息;根据所获取的访问控制信息确定是否拒绝访问请求。该实施方式提供了一种基于标签信息的访问控制机制,提高了控制资源访问的效率。
Description
技术领域
本申请实施例涉及计算机技术领域,尤其涉及用于控制资源访问的方法和装置。
背景技术
随着大中小企业等用户群体的庞大及其业务的复杂,其对互联网主机应用的需求日益增加,用户在采用传统的服务器时,由于成本、运营商选择等诸多因素,不得不面对各种棘手的问题。云服务器由于具有集中化的远程管理平台、多级业务备份、快速的业务部署与配置、规模的弹性扩展能力等有点,能够有效地解决传统服务器的缺陷。
私有云环境下有两种租户模型:单租户、多租户。单租户场景下,所有公司的员工都是租户下的子用户,通过给每个子用户分配不同的角色和权限来控制子用户对资源的使用。由于整个私有云的资源都在一个租户中,资源数量较多。
发明内容
本申请实施例提出了用于控制资源访问的方法和装置。
第一方面,本申请的一些实施例提供了一种用于控制资源访问的方法,该方法包括:获取用户发送的访问请求,访问请求包括用户标识信息、资源标识信息;根据预先设置的资源标识信息与标签信息的关联关系,确定与访问请求包括的资源标识信息关联的标签信息;获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息;根据所获取的访问控制信息确定是否拒绝访问请求。
在一些实施例中,访问控制信息还包括第一操作标识信息;以及根据所获取的访问控制信息确定是否拒绝访问请求,包括:获取访问请求中包括的第二操作标识信息;根据第二操作标识信息与所获取的访问控制信息包括的第一操作标识信息是否匹配确定是否拒绝访问请求。
在一些实施例中,访问控制信息包括指示是否拒绝访问请求的指示信息;以及根据所获取的访问控制信息确定是否拒绝访问请求,包括:根据所获取的访问控制信息包括的指示信息确定是否拒绝访问请求。
在一些实施例中,资源标识信息包括以下至少一项:资源标识符、资源所属产品的信息、资源所在区域的信息。
在一些实施例中,获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息,包括:获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息或访问请求包括的资源标识信息的访问控制信息。
在一些实施例中,获取用户发送的访问请求,包括:在权限验证的方法和/或处理请求地址映射的方法中通过预先定义的切面拦截用户发送的访问请求;在切面中通过反射机制获取访问请求中预先定义的字段。
在一些实施例中,预先定义的字段包括操作标识信息字段和资源标识符字段;以及在切面中通过反射机制获取访问请求中预先定义的字段,包括:响应于获取到操作标识信息字段指示请求的操作类型为创建类操作,将资源标识符字段的值设置为预设字符。
第二方面,本申请的一些实施例提供了一种用于控制资源访问的装置,该装置包括:第一获取单元,被配置成获取用户发送的访问请求,访问请求包括用户标识信息、资源标识信息;第一确定单元,被配置成根据预先设置的资源标识信息与标签信息的关联关系,确定与访问请求包括的资源标识信息关联的标签信息;第二获取单元,被配置成获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息;第二确定单元,被配置成根据所获取的访问控制信息确定是否拒绝访问请求。
在一些实施例中,访问控制信息还包括第一操作标识信息;以及第二确定单元,包括:第一获取子单元,被配置成获取访问请求中包括的第二操作标识信息;第一确定子单元,被配置成根据第二操作标识信息与所获取的访问控制信息包括的第一操作标识信息是否匹配确定是否拒绝访问请求。
在一些实施例中,其中,访问控制信息包括指示是否拒绝访问请求的指示信息;以及第二确定单元,包括:第二确定子单元,被配置成根据所获取的访问控制信息包括的指示信息确定是否拒绝访问请求。
在一些实施例中,资源标识信息包括以下至少一项:资源标识符、资源所属产品的信息、资源所在区域的信息。
在一些实施例中,第二获取单元,包括:第二获取子单元,被配置成获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息或访问请求包括的资源标识信息的访问控制信息。
在一些实施例中,第一获取单元,包括:拦截子单元,被配置成在权限验证的装置和/或处理请求地址映射的方法中通过预先定义的切面拦截用户发送的访问请求;第三获取子单元,被配置成在切面中通过反射机制获取访问请求中预先定义的字段。
在一些实施例中,预先定义的字段包括操作标识信息字段和资源标识符字段;以及第三获取子单元,进一步被配置成:响应于获取到操作标识信息字段指示请求的操作类型为创建类操作,将资源标识符字段的值设置为预设字符。
第三方面,本申请的一些实施例提供了一种设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序,当上述一个或多个程序被上述一个或多个处理器执行,使得上述一个或多个处理器实现如第一方面上述的方法。
第四方面,本申请的一些实施例提供了一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面上述的方法。
本申请实施例提供的用于控制资源访问的方法和装置,通过获取用户发送的访问请求,并根据预先设置的资源标识信息与标签信息的关联关系,确定与访问请求包括的资源标识信息关联的标签信息,而后获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息,最后根据所获取的访问控制信息确定是否拒绝访问请求,提供了一种基于标签信息的访问控制机制,提高了控制资源访问的效率。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请的一些可以应用于其中的示例性***架构图;
图2是根据本申请的用于控制资源访问的方法的一个实施例的流程图;
图3是根据本申请的用于控制资源访问的方法的应用场景的一个示意图;
图4是根据本申请的用于控制资源访问的方法的又一个实施例的流程图;
图5是根据本申请的用于控制资源访问的装置的一个实施例的结构示意图;
图6是适于用来实现本申请的一些实施例的服务器或终端的计算机***的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请的用于控制资源访问的方法或用于控制资源访问的装置的实施例的示例性***架构100。
如图1所示,***架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种客户端应用,例如云服务类应用、数据管理类应用、图像处理类应用、电子商务类应用、搜索类应用等。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、102、103为硬件时,可以是具有显示屏的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。终端设备101、102、103可以获取用户通过其他设备发送的访问请求,访问请求包括用户标识信息、资源标识信息;根据预先设置的资源标识信息与标签信息的关联关系,确定与访问请求包括的资源标识信息关联的标签信息;获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息;根据所获取的访问控制信息确定是否拒绝访问请求。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上安装的应用提供支持的后台服务器,服务器105可以获取用户通过终端设备101、102、103发送的访问请求,访问请求包括用户标识信息、资源标识信息;根据预先设置的资源标识信息与标签信息的关联关系,确定与访问请求包括的资源标识信息关联的标签信息;获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息;根据所获取的访问控制信息确定是否拒绝访问请求。
需要说明的是,本申请实施例所提供的用于控制资源访问的方法可以由服务器105执行,也可以由终端设备101、102、103执行,相应地,用于控制资源访问的装置可以设置于服务器105中,也可以设置于终端设备101、102、103中。
需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务),也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
继续参考图2,示出了根据本申请的用于控制资源访问的方法的一个实施例的流程200。该用于控制资源访问的方法,包括以下步骤:
步骤201,获取用户发送的访问请求。
在本实施例中,用于控制资源访问的方法执行主体(例如图1所示的服务器或终端)可以首先获取用户发送的访问请求,访问请求包括用户标识信息、资源标识信息。用户标识信息可以包括任何可以标识用户的信息,例如用户ID,用户ID的生成规则可以根据实际需要进行设置。资源标识信息可以包括任何可以标识资源的信息,例如资源ID,资源ID的生成规则可以根据实际需要进行设置。
在本实施例的一些可选实现方式中,资源标识信息包括以下至少一项:资源标识符、资源所属产品的信息、资源所在区域的信息。资源标识符可以用于标识具体的资源,资源所属产品的信息可以包括指示资源哪个云产品的业务的信息,资源所在区域的信息可以包括资源所在区域(region)的名称或地址等。
在本实施例的一些可选实现方式中,获取用户发送的访问请求,包括:在权限验证的方法和/或处理请求地址映射的方法中通过预先定义的切面拦截用户发送的访问请求;在切面中通过反射机制获取访问请求中预先定义的字段。上述执行主体可以通过定义方法级注解,例如@RequestMapping(权限验证)、@PermissionVertify(处理请求地址映射)和一个切面,在所有@RequestMapping和@PermissionVertify注解的方法上进行方法拦截。反射机制指的是程序在运行时能够获取自身的信息。例如在java中,只要给定类的名字,那么就可以通过反射机制来获得类的所有信息。在以上被拦截的操作接口的方法参数上可以加一个被配置成标识方法的参数注解,如果参数是一个对象,可以指定资源ID的字段名。以此,用户通过控制台或API(Application Programming Interface,应用程序编程接口)访问相应业务模块的时候,请求到达接口之后,会有一个切面拦截用户的访问请求,从访问请求中获取相关信息。
在本实施例的一些可选实现方式中,预先定义的字段包括操作标识信息字段和资源标识符字段;以及在切面中通过反射机制获取访问请求中预先定义的字段,包括:响应于获取到操作标识信息字段指示请求的操作类型为创建类操作,将资源标识符字段的值设置为预设字符。字符可以根据实际需要进行设置,例如可以使用“*”号。
步骤202,根据预先设置的资源标识信息与标签信息的关联关系,确定与访问请求包括的资源标识信息关联的标签信息。
在本实施例中,上述执行主体可以根据预先设置的资源标识信息与标签信息的关联关系,确定与步骤201中获取的访问请求包括的资源标识信息关联的标签信息,标签信息可以是一个全局信息,不分区域,不分项目的全局概念,可以是一个键/值对表示的唯一标识,一个资源可以关联多个标签信息。资源标识信息与标签信息的关联关系可以是用户通过控制台建立的,通过标签信息进行权限管理,相对于单独对某个资源进行授权,可以达到批量授权的效果,很大程度减少用户的操作压力;在基于项目授权的场景下,通过标签信息进行权限管理,可以起到单纯项目管理无法达到的灵活性,如跨项目的资源访问权限控制,对于普通的基于角色的访问控制,可以更精细的实现资源的访问控制。
步骤203,获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息。
在本实施例中,上述执行主体可以获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括步骤202中确定出的标签信息的访问控制信息。用户可以通过IAM(Identity and Access Management,身份识别与访问管理)创建子用户,同时创建一个基于标签信息的访问控制策略,然后为用户关联一个或多个访问控制策略,一个访问控制策略可以包括一组访问控制信息。
在本实施例的一些可选实现方式中,获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息,包括:获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息或访问请求包括的资源标识信息的访问控制信息。在本实现方式中,同时通过标签信息与资源标识信息进行权限管理,进一步丰富了资源访问控制方法。
步骤204,根据所获取的访问控制信息确定是否拒绝访问请求。
在本实施例中,上述执行主体可以根据步骤203中获取的访问控制信息确定是否拒绝访问请求。上述执行主体可以响应于获取到了预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息,拒绝或允许该访问请求,也可以响应于获取到的预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息为空,拒绝或允许该访问请求,具体的规则可以根据用户需要进行设置。IAM可以将是否拒绝访问请求的鉴权结果返回给业务端。
在本实施例的一些可选实现方式中,访问控制信息包括指示是否拒绝访问请求的指示信息;以及根据所获取的访问控制信息确定是否拒绝访问请求,包括:根据所获取的访问控制信息包括的指示信息确定是否拒绝访问请求。例如,访问控制信息中可以包括Allow(允许)或Deny(拒绝),用于指定符合此策略控制的资源是允许访问,还是不允许访问。
继续参见图3,图3是根据本实施例的用于控制资源访问的方法的应用场景的一个示意图。在图3的应用场景中,服务器301获取用户通过设备302发送的访问请求303,访问请求303包括用户标识信息、资源标识信息,服务器301根据预先设置的资源标识信息与标签信息的关联关系,确定与访问请求303包括的资源标识信息关联的标签信息304,而后服务器301获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息305,最后根据所获取的访问控制信息305确定拒绝访问请求的结果306。
本申请的上述实施例提供的方法通过获取用户发送的访问请求,访问请求包括用户标识信息、资源标识信息;根据预先设置的资源标识信息与标签信息的关联关系,确定与访问请求包括的资源标识信息关联的标签信息;获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息;根据所获取的访问控制信息确定是否拒绝访问请求,提供了一种基于标签信息的访问控制机制,提高了控制资源访问的效率。
进一步参考图4,其示出了用于控制资源访问的方法的又一个实施例的流程400。该用于控制资源访问的方法的流程400,包括以下步骤:
步骤401,获取用户发送的访问请求。
在本实施例中,用于控制资源访问的方法执行主体(例如图1所示的服务器或终端)可以首先获取用户发送的访问请求,访问请求包括用户标识信息、资源标识信息。
步骤402,根据预先设置的资源标识信息与标签信息的关联关系,确定与访问请求包括的资源标识信息关联的标签信息。
在本实施例中,上述执行主体可以根据预先设置的资源标识信息与标签信息的关联关系,确定与步骤401中获取的访问请求包括的资源标识信息关联的标签信息。
步骤403,获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息。
在本实施例中,上述执行主体可以获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括步骤402中确定出的标签信息的访问控制信息。
步骤404,获取访问请求中包括的第二操作标识信息。
在本实施例中,上述执行主体可以获取访问请求中包括的第二操作标识信息。操作标识信息可以指示操作类型,作为示例,可以包括重启虚拟机(RebootVM)、创建虚拟机(CreateVM)、获取虚拟机列表(ListVM)。
步骤405,根据第二操作标识信息与所获取的访问控制信息包括的第一操作标识信息是否匹配确定是否拒绝访问请求。
在本实施例中,上述执行主体可以根据步骤404中获取的第二操作标识信息与所获取的访问控制信息包括的第一操作标识信息是否匹配确定是否拒绝访问请求。第二操作标识信息与第一操作标识信息是否匹配可以包括第二操作标识信息与第一操作标识信息指示的操作类型是否相符,例如,指示的操作类型均为重启虚拟机,则匹配。
在本实施例中,步骤401、步骤402、步骤403的操作与步骤201、步骤202、步骤203的操作基本相同,在此不再赘述。
从图4中可以看出,与图2对应的实施例相比,本实施例中的用于控制资源访问的方法的流程400中在确定是否拒绝访问请求时,进一步对访问请求中包括的操作标识信息与访问控制信息包括的操作标识信息进行了匹配,由此,本实施例描述的方案中对资源访问的控制更加精准。
进一步参考图5,作为对上述各图所示方法的实现,本申请提供了一种用于控制资源访问的装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图5所示,本实施例的用于控制资源访问的装置500包括:第一获取单元501、第一确定单元502、第二获取单元503和第二确定单元504。其中,第一获取单元,被配置成获取用户发送的访问请求,访问请求包括用户标识信息、资源标识信息;第一确定单元,被配置成根据预先设置的资源标识信息与标签信息的关联关系,确定与访问请求包括的资源标识信息关联的标签信息;第二获取单元,被配置成获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息;第二确定单元,被配置成根据所获取的访问控制信息确定是否拒绝访问请求。
在本实施例中,用于控制资源访问的装置500的第一获取单元501、第一确定单元502、第二获取单元503和第二确定单元504的具体处理可以参考图2对应实施例中的步骤201、步骤202、步骤203和步骤204。
在本实施例的一些可选实现方式中,访问控制信息还包括第一操作标识信息;以及第二确定单元,包括:第一获取子单元,被配置成获取访问请求中包括的第二操作标识信息;第一确定子单元,被配置成根据第二操作标识信息与所获取的访问控制信息包括的第一操作标识信息是否匹配确定是否拒绝访问请求。
在本实施例的一些可选实现方式中,其中,访问控制信息包括指示是否拒绝访问请求的指示信息;以及第二确定单元,包括:第二确定子单元,被配置成根据所获取的访问控制信息包括的指示信息确定是否拒绝访问请求。
在本实施例的一些可选实现方式中,资源标识信息包括以下至少一项:资源标识符、资源所属产品的信息、资源所在区域的信息。
在本实施例的一些可选实现方式中,第二获取单元,包括:第二获取子单元,被配置成获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息或访问请求包括的资源标识信息的访问控制信息。
在本实施例的一些可选实现方式中,第一获取单元,包括:拦截子单元,被配置成在权限验证的装置和/或处理请求地址映射的方法中通过预先定义的切面拦截用户发送的访问请求;第三获取子单元,被配置成在切面中通过反射机制获取访问请求中预先定义的字段。
在本实施例的一些可选实现方式中,预先定义的字段包括操作标识信息字段和资源标识符字段;以及第三获取子单元,进一步被配置成:响应于获取到操作标识信息字段指示请求的操作类型为创建类操作,将资源标识符字段的值设置为预设字符。
本申请的上述实施例提供的装置,通过获取用户发送的访问请求,访问请求包括用户标识信息、资源标识信息;根据预先设置的资源标识信息与标签信息的关联关系,确定与访问请求包括的资源标识信息关联的标签信息;获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息;根据所获取的访问控制信息确定是否拒绝访问请求,提供了一种基于标签信息的访问控制机制,提高了控制资源访问的效率。
下面参考图6,其示出了适于用来实现本申请实施例的服务器或终端的计算机***600的结构示意图。图6示出的服务器或终端仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图6所示,计算机***600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有***600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件可以连接至I/O接口605:包括诸如键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读介质或者是上述两者的任意组合。计算机可读介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如C语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括第一获取单元、第一确定单元、第二获取单元和第二确定单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,第一获取单元还可以被描述为“被配置成获取用户发送的访问请求的单元”。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的装置中所包含的;也可以是单独存在,而未装配入该装置中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该装置执行时,使得该装置:获取用户发送的访问请求,访问请求包括用户标识信息、资源标识信息;根据预先设置的资源标识信息与标签信息的关联关系,确定与访问请求包括的资源标识信息关联的标签信息;获取预先设置的与用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息;根据所获取的访问控制信息确定是否拒绝访问请求。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (16)
1.一种用于控制资源访问的方法,包括:
获取用户发送的访问请求,所述访问请求包括用户标识信息、资源标识信息;
根据预先设置的资源标识信息与标签信息的关联关系,确定与所述访问请求包括的资源标识信息关联的标签信息;
获取预先设置的与所述用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息;
根据所获取的访问控制信息确定是否拒绝所述访问请求。
2.根据权利要求1所述的方法,其中,所述访问控制信息还包括第一操作标识信息;以及
所述根据所获取的访问控制信息确定是否拒绝所述访问请求,包括:
获取所述访问请求中包括的第二操作标识信息;
根据所述第二操作标识信息与所获取的访问控制信息包括的第一操作标识信息是否匹配确定是否拒绝所述访问请求。
3.根据权利要求1所述的方法,其中,所述访问控制信息包括指示是否拒绝所述访问请求的指示信息;以及
所述根据所获取的访问控制信息确定是否拒绝所述访问请求,包括:
根据所获取的访问控制信息包括的指示信息确定是否拒绝所述访问请求。
4.根据权利要求1所述的方法,其中,所述资源标识信息包括以下至少一项:
资源标识符、资源所属产品的信息、资源所在区域的信息。
5.根据权利要求1所述的方法,其中,所述获取预先设置的与所述用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息,包括:
获取预先设置的与所述用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息或所述访问请求包括的资源标识信息的访问控制信息。
6.根据权利要求1-5中任一项所述的方法,其中,所述获取用户发送的访问请求,包括:
在权限验证的方法和/或处理请求地址映射的方法中通过预先定义的切面拦截用户发送的访问请求;
在所述切面中通过反射机制获取所述访问请求中预先定义的字段。
7.根据权利要求6所述的方法,其中,所述预先定义的字段包括操作标识信息字段和资源标识符字段;以及
所述在所述切面中通过反射机制获取所述访问请求中预先定义的字段,包括:
响应于获取到所述操作标识信息字段指示请求的操作类型为创建类操作,将所述资源标识符字段的值设置为预设字符。
8.一种用于控制资源访问的装置,包括:
第一获取单元,被配置成获取用户发送的访问请求,所述访问请求包括用户标识信息、资源标识信息;
第一确定单元,被配置成根据预先设置的资源标识信息与标签信息的关联关系,确定与所述访问请求包括的资源标识信息关联的标签信息;
第二获取单元,被配置成获取预先设置的与所述用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息的访问控制信息;
第二确定单元,被配置成根据所获取的访问控制信息确定是否拒绝所述访问请求。
9.根据权利要求8所述的装置,其中,所述访问控制信息还包括第一操作标识信息;以及
所述第二确定单元,包括:
第一获取子单元,被配置成获取所述访问请求中包括的第二操作标识信息;
第一确定子单元,被配置成根据所述第二操作标识信息与所获取的访问控制信息包括的第一操作标识信息是否匹配确定是否拒绝所述访问请求。
10.根据权利要求8所述的装置,其中,所述访问控制信息包括指示是否拒绝所述访问请求的指示信息;以及
所述第二确定单元,包括:
第二确定子单元,被配置成根据所获取的访问控制信息包括的指示信息确定是否拒绝所述访问请求。
11.根据权利要求8所述的装置,其中,所述资源标识信息包括以下至少一项:
资源标识符、资源所属产品的信息、资源所在区域的信息。
12.根据权利要求8所述的装置,其中,所述第二获取单元,包括:
第二获取子单元,被配置成获取预先设置的与所述用户标识信息关联的至少一组访问控制信息中包括确定出的标签信息或所述访问请求包括的资源标识信息的访问控制信息。
13.根据权利要求8-12中任一项所述的装置,其中,所述第一获取单元,包括:
拦截子单元,被配置成在权限验证的装置和/或处理请求地址映射的方法中通过预先定义的切面拦截用户发送的访问请求;
第三获取子单元,被配置成在所述切面中通过反射机制获取所述访问请求中预先定义的字段。
14.根据权利要求13所述的装置,其中,所述预先定义的字段包括操作标识信息字段和资源标识符字段;以及
所述第三获取子单元,进一步被配置成:
响应于获取到所述操作标识信息字段指示请求的操作类型为创建类操作,将所述资源标识符字段的值设置为预设字符。
15.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
16.一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如权利要求1-7中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910257142.9A CN109976914A (zh) | 2019-04-01 | 2019-04-01 | 用于控制资源访问的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910257142.9A CN109976914A (zh) | 2019-04-01 | 2019-04-01 | 用于控制资源访问的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109976914A true CN109976914A (zh) | 2019-07-05 |
Family
ID=67082163
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910257142.9A Pending CN109976914A (zh) | 2019-04-01 | 2019-04-01 | 用于控制资源访问的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109976914A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110661863A (zh) * | 2019-09-20 | 2020-01-07 | 政采云有限公司 | 一种请求处理方法、装置及电子设备和存储介质 |
| CN111181983A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 内生访问控制方法、装置、计算设备以及介质 |
| CN111831453A (zh) * | 2020-07-24 | 2020-10-27 | 中国工商银行股份有限公司 | 信息处理方法、装置、电子设备和介质 |
| CN112232771A (zh) * | 2020-10-17 | 2021-01-15 | 严怀华 | 应用于智慧政企云服务的大数据分析方法及大数据云平台 |
| CN112882838A (zh) * | 2019-11-29 | 2021-06-01 | 北京百度网讯科技有限公司 | 用于腾退资源实例的方法和装置 |
| CN112995166A (zh) * | 2021-02-10 | 2021-06-18 | 北京金山云网络技术有限公司 | 资源访问的鉴权方法及装置、存储介质、电子设备 |
| CN113254924A (zh) * | 2020-02-13 | 2021-08-13 | 斑马智行网络(香港)有限公司 | 数据处理方法、资源访问方法、装置和设备 |
| CN114520742A (zh) * | 2022-02-21 | 2022-05-20 | 中国农业银行股份有限公司 | 访问请求的处理方法、装置及存储介质 |
| CN115102720A (zh) * | 2022-05-31 | 2022-09-23 | 苏州浪潮智能科技有限公司 | 虚拟机安全管理方法、***和计算机设备 |
| CN117424764A (zh) * | 2023-12-19 | 2024-01-19 | 中关村科学城城市大脑股份有限公司 | ***资源访问请求信息处理方法、装置、电子设备和介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101441688A (zh) * | 2007-11-20 | 2009-05-27 | 阿里巴巴集团控股有限公司 | 一种用户权限分配方法和一种用户权限控制方法 |
| CN103049684A (zh) * | 2012-12-21 | 2013-04-17 | 大唐软件技术股份有限公司 | 一种基于rbac模型扩展的数据权限控制方法和*** |
| CN103716326A (zh) * | 2013-12-31 | 2014-04-09 | 华为技术有限公司 | 一种资源访问方法及用户资源网关 |
| CN106506521A (zh) * | 2016-11-28 | 2017-03-15 | 腾讯科技(深圳)有限公司 | 资源访问控制方法和装置 |
| CN109033774A (zh) * | 2018-08-31 | 2018-12-18 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
| CN109522751A (zh) * | 2018-12-17 | 2019-03-26 | 泰康保险集团股份有限公司 | 访问权限控制方法、装置、电子设备及计算机可读介质 |
-
2019
- 2019-04-01 CN CN201910257142.9A patent/CN109976914A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101441688A (zh) * | 2007-11-20 | 2009-05-27 | 阿里巴巴集团控股有限公司 | 一种用户权限分配方法和一种用户权限控制方法 |
| CN103049684A (zh) * | 2012-12-21 | 2013-04-17 | 大唐软件技术股份有限公司 | 一种基于rbac模型扩展的数据权限控制方法和*** |
| CN103716326A (zh) * | 2013-12-31 | 2014-04-09 | 华为技术有限公司 | 一种资源访问方法及用户资源网关 |
| CN106506521A (zh) * | 2016-11-28 | 2017-03-15 | 腾讯科技(深圳)有限公司 | 资源访问控制方法和装置 |
| CN109033774A (zh) * | 2018-08-31 | 2018-12-18 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
| CN109522751A (zh) * | 2018-12-17 | 2019-03-26 | 泰康保险集团股份有限公司 | 访问权限控制方法、装置、电子设备及计算机可读介质 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110661863A (zh) * | 2019-09-20 | 2020-01-07 | 政采云有限公司 | 一种请求处理方法、装置及电子设备和存储介质 |
| CN112882838A (zh) * | 2019-11-29 | 2021-06-01 | 北京百度网讯科技有限公司 | 用于腾退资源实例的方法和装置 |
| CN111181983B (zh) * | 2019-12-31 | 2023-09-08 | 奇安信科技集团股份有限公司 | 内生访问控制方法、装置、计算设备以及介质 |
| CN111181983A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 内生访问控制方法、装置、计算设备以及介质 |
| CN113254924A (zh) * | 2020-02-13 | 2021-08-13 | 斑马智行网络(香港)有限公司 | 数据处理方法、资源访问方法、装置和设备 |
| CN111831453A (zh) * | 2020-07-24 | 2020-10-27 | 中国工商银行股份有限公司 | 信息处理方法、装置、电子设备和介质 |
| CN111831453B (zh) * | 2020-07-24 | 2024-02-06 | 中国工商银行股份有限公司 | 信息处理方法、装置、电子设备和介质 |
| CN112232771A (zh) * | 2020-10-17 | 2021-01-15 | 严怀华 | 应用于智慧政企云服务的大数据分析方法及大数据云平台 |
| CN112995166B (zh) * | 2021-02-10 | 2023-05-05 | 北京金山云网络技术有限公司 | 资源访问的鉴权方法及装置、存储介质、电子设备 |
| CN112995166A (zh) * | 2021-02-10 | 2021-06-18 | 北京金山云网络技术有限公司 | 资源访问的鉴权方法及装置、存储介质、电子设备 |
| CN114520742A (zh) * | 2022-02-21 | 2022-05-20 | 中国农业银行股份有限公司 | 访问请求的处理方法、装置及存储介质 |
| CN115102720A (zh) * | 2022-05-31 | 2022-09-23 | 苏州浪潮智能科技有限公司 | 虚拟机安全管理方法、***和计算机设备 |
| CN115102720B (zh) * | 2022-05-31 | 2023-08-11 | 苏州浪潮智能科技有限公司 | 虚拟机安全管理方法、***和计算机设备 |
| CN117424764A (zh) * | 2023-12-19 | 2024-01-19 | 中关村科学城城市大脑股份有限公司 | ***资源访问请求信息处理方法、装置、电子设备和介质 |
| CN117424764B (zh) * | 2023-12-19 | 2024-02-23 | 中关村科学城城市大脑股份有限公司 | ***资源访问请求信息处理方法、装置、电子设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109976914A (zh) | 用于控制资源访问的方法和装置 | |
| US10880287B2 (en) | Out of box experience application API integration | |
| US11489671B2 (en) | Serverless connected app design | |
| CN108305072B (zh) | 部署区块链网络的方法、设备和计算机存储介质 | |
| CN109981619A (zh) | 数据获取方法、装置、介质及电子设备 | |
| KR20230005308A (ko) | 클러스터에서의 미승인된 패키지 배치 금지 | |
| US20200293514A1 (en) | Managing access by third parties to data in a network | |
| US20180196647A1 (en) | Application Programming Interface Discovery Using Pattern Recognition | |
| US11924210B2 (en) | Protected resource authorization using autogenerated aliases | |
| US9948631B2 (en) | Implementing single sign-on in a transaction processing system | |
| JP2021503118A (ja) | 自動ユニバーサルコネクタパッケージを使用してクラウドアプリケーションをクラウドサービスブローカプラットフォームに統合するためのシステムおよび方法 | |
| CN110659100B (zh) | 容器管理方法、装置和设备 | |
| AU2020426828B2 (en) | Reserving one or more security modules for secure guest | |
| CN109766708A (zh) | 数据资源的访问方法、***、计算机***及存储介质 | |
| US20210281555A1 (en) | Api key access authorization | |
| CN112035282A (zh) | 应用于云平台的api管理方法、装置、设备以及存储介质 | |
| CN103415847A (zh) | 用于访问服务的***和方法 | |
| CN112395568A (zh) | 一种接口权限配置方法、装置、设备和存储介质 | |
| CN112764943B (zh) | 信息处理方法、***、电子设备和计算机可读存储介质 | |
| US8544107B2 (en) | Information processing system, information processing apparatus, and computer-readable storage medium | |
| CN110113176A (zh) | 用于配置服务器的信息同步方法及装置 | |
| CN108763881A (zh) | 用于控制用户权限的方法和设备 | |
| CN116305217A (zh) | 多租户管理方法、装置、计算机设备及存储介质 | |
| CN109635558A (zh) | 访问控制方法、装置和*** | |
| CN115622732A (zh) | 基于多应用的应用权限控制方法、***、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190705 |
|
| RJ01 | Rejection of invention patent application after publication |