CN110222524A - 统一资源定位符请求的权限校验方法、装置及终端设备 - Google Patents
统一资源定位符请求的权限校验方法、装置及终端设备 Download PDFInfo
- Publication number
- CN110222524A CN110222524A CN201910374367.2A CN201910374367A CN110222524A CN 110222524 A CN110222524 A CN 110222524A CN 201910374367 A CN201910374367 A CN 201910374367A CN 110222524 A CN110222524 A CN 110222524A
- Authority
- CN
- China
- Prior art keywords
- role
- resource locator
- uniform resource
- request
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000013475 authorization Methods 0.000 title claims abstract description 29
- 230000014509 gene expression Effects 0.000 claims abstract description 54
- 238000012795 verification Methods 0.000 claims abstract description 8
- 238000004590 computer program Methods 0.000 claims description 15
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 8
- 238000003860 storage Methods 0.000 claims description 8
- 238000012937 correction Methods 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims description 4
- 230000004044 response Effects 0.000 abstract description 8
- 238000012545 processing Methods 0.000 abstract description 6
- 230000006870 function Effects 0.000 description 15
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
- G06F16/9566—URL specific, e.g. using aliases, detecting broken or misspelled links
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Bioethics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种统一资源定位符请求的权限校验方法、装置及终端设备,适用于数据处理技术领域,该方法包括:当接收到用户的统一资源定位符请求时,获取用户对应的N个角色标签,其中,N为正整数;查找统一资源定位符请求指向的统一资源定位符,获取统一资源定位符对应的角色正则表达式,并判断N个角色标签中是否存在满足角色正则表达式的角色标签组合;若N个角色标签中存在满足角色正则表达式的角色标签组合,响应统一资源定位符请求。明实施例可以通过配置每个用户实际具有的角色以及每个URL对应角色访问权限,实现对URL访问权限的灵活控制,同时相对对每个用户直接设置一个固定权限而言,正则表达式校验的安全性也更高。
Description
技术领域
本发明属于数据处理技术领域,尤其涉及统一资源定位符请求的权限校验方法及终端设备。
背景技术
目前的统一资源定位符(Uniform Resource Locator,URL)权限控制,都是由每个接口中独立的代码进行用户权限校验,校验的方法一般都是给每个用户设定一个固定的URL访问权限,当用户需要进行URL访问时,再查询用户是否具有对应的URL访问权限,这样做虽然能一定程度上实现对不同用户的URL访问权限控制,但控制方式过于单一,难以满足越来越复杂的用户实际环境,因此使得现在的URL权限控制校验方法不够灵活安全,无法满足实际应用中的需求。
发明内容
有鉴于此,本发明实施例提供了统一资源定位符请求的统一资源定位符请求的权限校验方法、装置及终端设备,以解决现有技术中统一资源定位符权限校验方法安全性和灵活性较低的问题。
本发明实施例的第一方面提供了一种统一资源定位符请求的权限校验方法,包括:
当接收到用户的统一资源定位符请求时,获取所述用户对应的N个角色标签,其中,N为正整数;
查找所述统一资源定位符请求指向的统一资源定位符,获取所述统一资源定位符对应的角色正则表达式,并判断N个所述角色标签中是否存在满足所述角色正则表达式的角色标签组合;
若N个所述角色标签中存在满足所述角色正则表达式的角色标签组合,响应所述统一资源定位符请求。
本发明实施例的第二方面提供了一种统一资源定位符请求的权限校验装置,包括:
角色获取模块,用于当接收到用户的统一资源定位符请求时,获取所述用户对应的N个角色标签,其中,N为正整数;
角色校验模块,用于查找所述统一资源定位符请求指向的统一资源定位符,获取所述统一资源定位符对应的角色正则表达式,并判断N个所述角色标签中是否存在满足所述角色正则表达式的角色标签组合;
请求响应模块,用于若N个所述角色标签中存在满足所述角色正则表达式的角色标签组合,响应所述统一资源定位符请求。
本发明实施例的第三方面提供了一种终端设备,所述终端设备包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上所述的统一资源定位符请求的权限校验方法的步骤。
本发明实施例的第四方面提供了一种计算机可读存储介质,包括:存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如上所述的统一资源定位符请求的权限校验方法的步骤。
本发明实施例与现有技术相比存在的有益效果是:对每个用户设置一个或多个对应角色,同时根据URL的实际指向对象内容不同,设置对应的角色正则表达式,以记录具有URL访问权限的角色组合,最后根据用户实际具有的角色以及其请求访问的URL的角色正则表达式来判断是否响应该用户的请求,由于实际应用中,每个用户可能同时具有一个或多个不同的角色,同时每个URL可以访问的角色也各异,本发明实施例可以通过配置每个用户实际具有的角色以及每个URL对应角色访问权限,实现对URL访问权限的灵活控制,同时相对对每个用户直接设置一个固定权限而言,正则表达式校验的安全性也更高。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的统一资源定位符请求的权限校验方法的实现流程示意图;
图2是本发明实施例二提供的统一资源定位符请求的权限校验方法的实现流程示意图;
图3是本发明实施例三提供的统一资源定位符请求的权限校验方法的实现流程示意图;
图4是本发明实施例四提供的统一资源定位符请求的权限校验方法的实现流程示意图;
图5是本发明实施例五提供的统一资源定位符请求的权限校验装置的结构示意图;
图6是本发明实施例六提供的终端设备的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定***结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的***、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
为了便于理解本发明,此处先对本发明实施例进行简要说明:由于实际应用中每个用户所具有的URL访问权限是即为复杂的,既受到用户实际身份的影响,也受到URL本身指向对象内容的限制,因此若仅是对每一个用户设置固定的URL访问权限,一方面每次有新用户的加入,都需要全面考虑新用户和已有所有的URL的情况来设置权限,操作极其复杂繁琐且易出错,另一方面,若有新的URL接入,则需要分别考虑每一个已有用户和新URL的情况,来对所有已有用户的URL访问权限进行修改,同样需要极其繁琐的操作,因此现有的URL权限控制方法灵活度极低且安全性不高。为了提升对URL权限控制的灵活度,避免如上述的每次有新的用户或URL加入都需要过于繁琐的权限设定操作,本发明实施例一方面从用户实际身份出发为每个用户设定满足其实际身份的一个或多个角色,另一方面从URL实际指向对象内容不同,设置对应的角色正则表达式,以记录具有URL访问权限的角色组合,最后根据用户实际具有的角色以及其请求访问的URL的角色正则表达式来判断是否响应该用户的请求,从而使得即使有新用户或URL加入,也只需要对新加入的用户或URL进行对应的角色或角色正则表达式进行设置即可,而无需对已有的用户和URL数据进行修改,因此对每个用户可访问的URL权限控制变得更加灵活安全,详述如下:
图1示出了本发明实施例一提供的统一资源定位符请求的权限校验方法的实现流程图,详述如下:
S101,当接收到用户的统一资源定位符请求时,获取用户对应的N个角色标签,其中,N为正整数。
其中角色标签,可以由技术人员根据实际应用场景中可能存在的所有权限角色以及用户实际身份,确定出用户对应的一个或多个角色,再将这些角色的标签与用户进行关联,或者由技术人员预先设置好实际应用场景中用户身份与角色的对应的关系,再根据用户的实际身份来自动为用户分配对应的角色标签。
作为本发明一个实施例,包括:获取用户的身份信息,并为用户分配身份信息对应的N个角色标签。
在本发明实施例中,技术人员会预先设置好应用场景中用户身份与角色的对应关系,例如对于产险***而言其可能存在许多不同的角色,例如询价角色、报价角色、***管理员以及产品管理员等,实际应用中一个用户身份往往对应着不止一种角色,例如假设用户身份是产品经理,那其既可以是产险产品价格管理员,同时也可以是进行产险产品价格的查询用户,因此用户就同时对应着询价角色+产品管理员两种角色,同理当用户身份为***开发员时,可以为其配置询价角色+***管理员。在预先设置好了用户身份与角色的对应关系基础上,本发明实施例会根据用户的身份信息来识别其对应的角色,并为用户分配对应的一个或多个角色标签。
S102,查找统一资源定位符请求指向的统一资源定位符,获取统一资源定位符对应的角色正则表达式,并判断N个角色标签中是否存在满足角色正则表达式的角色标签组合。
其中,角色正则表达式中记录有每个URL对应的具有访问权限的角色标签的组合,由技术人员根据实际应用中的URL访问权限情况来设定。由于每个URL指向的对象内容是不同的,例如可能是不同的功能或者资源等,而不同的对象内容并非所有角色都可以访问的,以对象内容为产险***的***功能为例,有查询产险产品价格、修改产品价格以及管理产品上架下架等***功能,每个不同的这些***功能只有一些对应的角色才能使用,如实际应用中对于查询产险产品价格的***功能,所有角色都可以使用,对于修改价格功能,只有产品管理员可以使用,而对于产品的上下架只有同时是***管理员+产品管理员双重角色才能使用,因此为了实现对URL使用权限的灵活配置,本方案中会采用角色正则表达式来记录每个URL对应的可使用角色组合。
在本发明实施例中,角色正则表达式包含两种组合格式:a or b和a and b,其中,or连接的角色代表只要是其中一个角色就可以访问对应URL,and连接的角色,代表着需要同时是其中所有的角色才能访问对应的URL。例如,对于上述产险***的查询功能,所有角色都可以使用,此时可以使用a or b or…or z的形式将所有角色用or连接起来,对于产品上下架功能,则使用***管理员and产品管理员的形式得到对应的角色正则表达式。
S103,若N个角色标签中存在满足角色正则表达式的角色标签组合,响应统一资源定位符请求。
若用户的角色标签中有满足角色正则表达式的组合,则说明该用户具有访问对应URL的权限,例如假设用户请求的是产品上下架功能的URL,此时得到了对应的角色正则表达式为***管理员and产品管理员,且读取到用户对应的角色中,同时包含***管理员和产品管理员,此时可以判断用户是满足角色正则表达式的,因此本发明实施例会正常响应用户的URL请求。
作为本发明的另一个实施例,若N个角色标签中不存在满足角色正则表达式的角色标签组合,则拒绝用户的URL请求。
若用户对应的角色标签中缺少角色正则表达式中所需任意角色,均说明用户是不具有对应的URL访问权限的,因此本发明实施例会直接拒绝用户的URL请求。其中,不满足角色正则表达式的意思是对于a or b格式的组合方式而言,a or b组合方式中的角色标签用户一个都不包含,对于a and b格式的组合方式而言,用户对应的角色标签中不包含其中任意一个或多个角色标签。
作为本发明的一个实施例,为了实现对每个URL角色正则表达式的有效记录,本发明实施例中会以元数据的形式来储存角色正则表达式,并在本发明实施例一需要获取角色正则表达式时对元数据进行读取,以查找所需的角色正则表达式,包括:
获取统一资源定位符对应的元数据,并从元数据中提取角色正则表达式。
元数据是一种代码级别的说明,它是JDK1.5及以后版本引入的一个特性,与类、接口和枚举是在同一个层次,它可以声明在包、类、字段、方法、局部变量和方法参数等的前面,用来对这些元素进行说明注释。在本发明实施例中,以元数据的形式来注释每个URL的角色正则表达式,即针对每条URL只需要在增加一行元数据的注释标识即可,由于本方案在进行权限控制时,是根据URL注释的角色正则表达式来进行操作,因此,在本方案之中,若需要对一条URL进行权限控制设置,只需要增加为URL一行元数据的注释即可,相对现有技术中对每个接口进行代码设置而言操作更加简便灵活,而在进行角色正则表达式提取时,也只需要直接读取元数据中包含的角色正则表达式数据即可。
作为本发明实施例一中响应用户URL请求的一种具体实现方式,考虑到实际情况中URL指向对象内容可能具有一定的安全级别限定,即不同URL对应的安全级别可能具有较大的差异,因此,为了适应实际应用中不同URL的安全需求,如图2所示,本发明实施例二,包括:
S201,若N个角色标签中存在满足角色正则表达式的角色标签组合,获取统一资源定位符的安全级别,并判断统一资源定位符的安全级别是否低于预设级别阈值。
其中每个URL对应的安全级别需要由技术人员根据实际URL指向对象内容来预先设定,例如对于一些重要功能和资源,或者一些敏感资源等,可以设置较高的URL安全级别,而对于一些普通的功能和资源,则可以设置较低的URL安全级别,具体安全级别设置规则此处不予限定。级别阈值用于区分URL安全级别是否达到本发明实施例安全级别划分需求,级别阈值具体值大小可由技术人员根据实际需求设定。
S202,若统一资源定位符对应的安全级别低于预设级别阈值,响应统一资源定位符请求。
当用户所需访问的URL安全级别较低时,说明其访问安全性要求不高,因此只需要用户角色满足URL的角色正则表达式需求,本发明实施例即会对用户URL请求进行正常响应。
作为本发明实施例二中响应用户URL请求的一种具体实现方式,考虑到当用户所需访问的URL安全级别较高时,直接对请求进行访问极有可能导致URL的安全隐患,为了保证URL访问的安全管理,本发明实施例会在URL安全级别较高的时候对用户的安全级别进行自动评估,并尽在用户安全级别大于URL的安全级别的情况,才响应用户的请求,如图3所示,本发明实施例三,包括:
S301,若统一资源定位符对应的安全级别高于或等于预设级别阈值,获取用户发送统一资源定位符请求的终端设备的互联网协议地址和物理地址,以及发送统一资源定位符请求的接口类型以及发送时间。
S302,基于互联网协议地址、物理地址、接口类型以及发送时间,计算用户的安全级别,并判断用户的安全级别是否高于统一资源定位符的安全级别。
为了实现对用户安全级别的准确评估,本发明实施例会从互联网协议地址、物理地址、接口类型以及发送时间四个维度来进行综合评估,详述如下:
接口类型,主要是指用户是通过何种途径接口发送的URL请求,如是通过客户端、网页还是小程序,由于不同的途径接口下安全隐患存在较大差异,如安全隐患一般网页隐患较大,其次小程序,最后客户端,因此本方案会从发送的接口类型来评价隐患的安全性如何。
同样,对于互联网协议地址而言,如公司内部网络安全性势必大于普通网络,而普通网络的安全性又会大于一些异常网络,因此,通过互联网协议地址,也可以一定程度上识别用户的安全性。对于访问终端(通过物理地址识别不同的访问终端)而言也是一样的,一些公司内部终端安全性势必更高。对于请求的发送时间而言,由于一些URL使用正常情况下是具有一定的时间规律的,如一般对产品的改价和上下架,都不会在客户流量较大的工作时间段进行,因此一定程度上也可以实现对用户的安全评价。
在获取到四个维度的数据之后,本发明实施例会对各个维度数据进行量化,以确定出用户对应的安全级别,其中,具体的量化规则此处不予限定,可由技术人员根据实际应用的需求自行设定,包括但不限于如对每个维度设置对应的分类评分表,表中记录好可能出现的维度数据以及对应的安全分数,再基于查表法和预设的维度权重值计算四个维度数据对应的安全分数总和,最后根据预设的安全级别和分数和对应关系,来确定出用户最终的安全级别,例如对于互联网协议地址,可以划分为内部网络、普通网络和异常网络,并为每种网络设置对应的识别规则(这里可以设置一些内部网络和异常网络的库来识别,再将所有非内部网络和异常网络均识别为普通网络即可)和安全分数,再查询用户实际对应的是何种网络,并确定出对应的安全分数即可。
S303,若用户的安全级别高于统一资源定位符的安全级别,响应统一资源定位符请求。
当用户的安全级别高于URL的安全级别时,说明用户具有访问该URL的权限,因此此时本发明实施例会正常响应用户的URL请求。
作为本发明实施例三中获取用户四个维度数据的一种具体实现方式,考虑到实际情况中有些不法分子可能会冒充普通用户来进行非法URL请求,例如常见的DDoS攻击就是冒充普通用户对服务器进行大量的访问请求,因此,为例防止非法请求对正常的用户URL访问造成干扰,如图4所示,本发明实施例四,包括:
S401,若统一资源定位符对应的安全级别高于或等于预设级别阈值,获取在预设时间段内接收到的用户对统一资源定位符的历史请求数据。
S402,基于历史请求数据识别用户是否存在请求异常行为。
在本发明实施例中,历史请求数据包括但不限于用户历史URL请求的互联网协议地址、物理地址、接口类型以及发送时间等。由于本发明实施例三在URL安全级别较高时会对用户的安全级别进行分析和比较,但实际情况中,若URL请求是不法分子冒充普通用户发出的,每次进行用户安全级别分析不仅没有意义还会带来大量的工作负荷。为例保证对URL的正常响应,本发明实施例中会在URL安全级别较高时对用户进行异常识别,判断用户是否存在异常的。
其中,具体的异常识别方法此处不予限定,包括但不限于如根据历史请求数据判断用户是否存在高频请求行为(即某一时间段内发送URL请求的频率高于预设频率阈值),互联网协议地址、物理地址和接口类型是否高频变换,URL请求的发送时间是否包含大量的非正常时段时间等。
S403,若用户不存在请求异常行为,获取用户发送统一资源定位符请求的终端设备的互联网协议地址和物理地址,以及发送统一资源定位符请求的接口类型以及发送时间。
当用户不存在请求异常行为时,本发明实施例才会继续执行本发明实施例三中对用户的安全级别进行分析比较的相关操作,以实现对URL请求的安全正常请求。
作为本发明的一个实施例,若用户存在请求异常行为,本发明实施例会直接拒绝用户的URL请求,以保证URL请求响应的安全性。
对应于上文实施例的方法,图5示出了本发明实施例提供的统一资源定位符请求的权限校验装置的结构框图,为了便于说明,仅示出了与本发明实施例相关的部分。图5示例的统一资源定位符请求的权限校验装置可以是前述实施例一提供的统一资源定位符请求的权限校验方法的执行主体。
参照图5,该统一资源定位符请求的权限校验装置包括:
角色获取模块51,用于当接收到用户的统一资源定位符请求时,获取所述用户对应的N个角色标签,其中,N为正整数。
角色校验模块52,用于查找所述统一资源定位符请求指向的统一资源定位符,获取所述统一资源定位符对应的角色正则表达式,并判断N个所述角色标签中是否存在满足所述角色正则表达式的角色标签组合。
请求响应模块53,用于若N个所述角色标签中存在满足所述角色正则表达式的角色标签组合,响应所述统一资源定位符请求。
进一步地,角色获取模块51,包括:
获取所述用户的身份信息,并为所述用户分配所述身份信息对应的N个角色标签。
进一步地,角色校验模块52,包括:
获取所述统一资源定位符对应的元数据,并从所述元数据中提取所述角色正则表达式。
进一步地,请求响应模块53,用于:
若N个所述角色标签中存在满足所述角色正则表达式的角色标签组合,获取所述统一资源定位符的安全级别,并判断所述统一资源定位符的安全级别是否低于预设级别阈值。
若所述统一资源定位符对应的安全级别低于所述预设级别阈值,响应所述统一资源定位符请求。
进一步地,该统一资源定位符请求的权限校验装置还包括:
数据获取模块,用于若所述统一资源定位符对应的安全级别高于或等于所述预设级别阈值,获取所述用户发送所述统一资源定位符请求的终端设备的互联网协议地址和物理地址,以及发送所述统一资源定位符请求的接口类型以及发送时间。
安全级别计算模块,用于基于所述互联网协议地址、所述物理地址、所述接口类型以及所述发送时间,计算所述用户的安全级别,并判断所述用户的安全级别是否高于所述统一资源定位符的安全级别。
安全响应模块,用于若所述用户的安全级别高于所述统一资源定位符的安全级别,响应所述统一资源定位符请求。
进一步地,数据获取模块,包括:
若所述统一资源定位符对应的安全级别高于或等于所述预设级别阈值,获取在预设时间段内接收到的所述用户对统一资源定位符的历史请求数据。
基于所述历史请求数据识别所述用户是否存在请求异常行为。
若所述用户不存在所述请求异常行为,获取所述用户发送所述统一资源定位符请求的终端设备的互联网协议地址和物理地址,以及发送所述统一资源定位符请求的接口类型以及发送时间。
本发明实施例提供的统一资源定位符请求的权限校验装置中各模块实现各自功能的过程,具体可参考前述图1所示实施例一的描述,此处不再赘述。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
还应理解的是,虽然术语“第一”、“第二”等在文本中在一些本发明实施例中用来描述各种元素,但是这些元素不应该受到这些术语的限制。这些术语只是用来将一个元素与另一元素区分开。例如,第一表格可以被命名为第二表格,并且类似地,第二表格可以被命名为第一表格,而不背离各种所描述的实施例的范围。第一表格和第二表格都是表格,但是它们不是同一表格。
图6是本发明一实施例提供的终端设备的示意图。如图6所示,该实施例的终端设备6包括:处理器60、存储器61,所述存储器61中存储有可在所述处理器60上运行的计算机程序62。所述处理器60执行所述计算机程序62时实现上述各个统一资源定位符请求的权限校验方法实施例中的步骤,例如图1所示的步骤101至103。或者,所述处理器60执行所述计算机程序62时实现上述各装置实施例中各模块/单元的功能,例如图5所示模块51至53的功能。
所述终端设备6可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括,但不仅限于,处理器60、存储器61。本领域技术人员可以理解,图6仅仅是终端设备6的示例,并不构成对终端设备6的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备还可以包括输入发送设备、网络接入设备、总线等。
所称处理器60可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器61可以是所述终端设备6的内部存储单元,例如终端设备6的硬盘或内存。所述存储器61也可以是所述终端设备6的外部存储设备,例如所述终端设备6上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器61还可以既包括所述终端设备6的内部存储单元也包括外部存储设备。所述存储器61用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器61还可以用于暂时地存储已经发送或者将要发送的数据。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、电载波信号、电信信号以及软件分发介质等。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使对应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种统一资源定位符请求的权限校验方法,其特征在于,包括:
当接收到用户的统一资源定位符请求时,获取所述用户对应的N个角色标签,其中,N为正整数;
查找所述统一资源定位符请求指向的统一资源定位符,获取所述统一资源定位符对应的角色正则表达式,并判断N个所述角色标签中是否存在满足所述角色正则表达式的角色标签组合;
若N个所述角色标签中存在满足所述角色正则表达式的角色标签组合,响应所述统一资源定位符请求。
2.如权利要求1所述的统一资源定位符请求的权限校验方法,其特征在于,所述获取所述用户对应的N个角色标签,包括:
获取所述用户的身份信息,并为所述用户分配所述身份信息对应的N个角色标签。
3.如权利要求1所述的统一资源定位符请求的权限校验方法,其特征在于,所述获取所述统一资源定位符对应的角色正则表达式,包括:
获取所述统一资源定位符对应的元数据,并从所述元数据中提取所述角色正则表达式。
4.如权利要求1所述的统一资源定位符请求的权限校验方法,其特征在于,所述若N个所述角色标签中存在满足所述角色正则表达式的角色标签组合,响应所述统一资源定位符请求,包括:
若N个所述角色标签中存在满足所述角色正则表达式的角色标签组合,获取所述统一资源定位符的安全级别,并判断所述统一资源定位符的安全级别是否低于预设级别阈值;
若所述统一资源定位符对应的安全级别低于所述预设级别阈值,响应所述统一资源定位符请求。
5.如权利要求4所述的统一资源定位符请求的权限校验方法,其特征在于,还包括:
若所述统一资源定位符对应的安全级别高于或等于所述预设级别阈值,获取所述用户发送所述统一资源定位符请求的终端设备的互联网协议地址和物理地址,以及发送所述统一资源定位符请求的接口类型以及发送时间;
基于所述互联网协议地址、所述物理地址、所述接口类型以及所述发送时间,计算所述用户的安全级别,并判断所述用户的安全级别是否高于所述统一资源定位符的安全级别;
若所述用户的安全级别高于所述统一资源定位符的安全级别,响应所述统一资源定位符请求。
6.如权利要求5所述的统一资源定位符请求的权限校验方法,其特征在于,所述若所述统一资源定位符对应的安全级别高于或等于所述预设级别阈值,获取所述用户发送所述统一资源定位符请求的终端设备的互联网协议地址和物理地址,以及发送所述统一资源定位符请求的接口类型以及发送时间,包括:
若所述统一资源定位符对应的安全级别高于或等于所述预设级别阈值,获取在预设时间段内接收到的所述用户对统一资源定位符的历史请求数据;
基于所述历史请求数据识别所述用户是否存在请求异常行为;
若所述用户不存在所述请求异常行为,获取所述用户发送所述统一资源定位符请求的终端设备的互联网协议地址和物理地址,以及发送所述统一资源定位符请求的接口类型以及发送时间。
7.一种统一资源定位符请求的权限校验装置,其特征在于,包括:
角色获取模块,用于当接收到用户的统一资源定位符请求时,获取所述用户对应的N个角色标签,其中,N为正整数;
角色校验模块,用于查找所述统一资源定位符请求指向的统一资源定位符,获取所述统一资源定位符对应的角色正则表达式,并判断N个所述角色标签中是否存在满足所述角色正则表达式的角色标签组合;
请求响应模块,用于若N个所述角色标签中存在满足所述角色正则表达式的角色标签组合,响应所述统一资源定位符请求。
8.如权利要求1所述的统一资源定位符请求的权限校验装置,其特征在于,所述请求响应模块,包括:
若N个所述角色标签中存在满足所述角色正则表达式的角色标签组合,获取所述统一资源定位符的安全级别,并判断所述统一资源定位符的安全级别是否低于预设级别阈值;
若所述统一资源定位符对应的安全级别低于所述预设级别阈值,响应所述统一资源定位符请求。
9.一种终端设备,其特征在于,所述终端设备包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910374367.2A CN110222524A (zh) | 2019-05-07 | 2019-05-07 | 统一资源定位符请求的权限校验方法、装置及终端设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910374367.2A CN110222524A (zh) | 2019-05-07 | 2019-05-07 | 统一资源定位符请求的权限校验方法、装置及终端设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110222524A true CN110222524A (zh) | 2019-09-10 |
Family
ID=67820575
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910374367.2A Pending CN110222524A (zh) | 2019-05-07 | 2019-05-07 | 统一资源定位符请求的权限校验方法、装置及终端设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110222524A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110781505A (zh) * | 2019-10-11 | 2020-02-11 | 南京医基云医疗数据研究院有限公司 | ***构建方法及装置、检索方法及装置、介质和设备 |
CN111062028A (zh) * | 2019-12-13 | 2020-04-24 | 腾讯科技(深圳)有限公司 | 权限管理方法及装置、存储介质、电子设备 |
CN112596812A (zh) * | 2020-12-22 | 2021-04-02 | 深圳集智数字科技有限公司 | 一种操作请求的响应方法、装置、设备及存储介质 |
CN113486382A (zh) * | 2021-07-27 | 2021-10-08 | 中国银行股份有限公司 | 一种权限控制方法及*** |
CN116821879A (zh) * | 2023-08-31 | 2023-09-29 | 四川集鲜数智供应链科技有限公司 | 一种可视化的***角色管理*** |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101441688A (zh) * | 2007-11-20 | 2009-05-27 | 阿里巴巴集团控股有限公司 | 一种用户权限分配方法和一种用户权限控制方法 |
CN106375794A (zh) * | 2016-08-30 | 2017-02-01 | 浙江宇视科技有限公司 | 视频点播的方法及装置 |
CN107612880A (zh) * | 2017-07-28 | 2018-01-19 | 深圳竹云科技有限公司 | 一种应用访问方法和装置 |
CN108664811A (zh) * | 2018-05-11 | 2018-10-16 | 北京汉能光伏投资有限公司 | 一种权限管理方法及装置 |
-
2019
- 2019-05-07 CN CN201910374367.2A patent/CN110222524A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101441688A (zh) * | 2007-11-20 | 2009-05-27 | 阿里巴巴集团控股有限公司 | 一种用户权限分配方法和一种用户权限控制方法 |
CN106375794A (zh) * | 2016-08-30 | 2017-02-01 | 浙江宇视科技有限公司 | 视频点播的方法及装置 |
CN107612880A (zh) * | 2017-07-28 | 2018-01-19 | 深圳竹云科技有限公司 | 一种应用访问方法和装置 |
CN108664811A (zh) * | 2018-05-11 | 2018-10-16 | 北京汉能光伏投资有限公司 | 一种权限管理方法及装置 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110781505A (zh) * | 2019-10-11 | 2020-02-11 | 南京医基云医疗数据研究院有限公司 | ***构建方法及装置、检索方法及装置、介质和设备 |
CN111062028A (zh) * | 2019-12-13 | 2020-04-24 | 腾讯科技(深圳)有限公司 | 权限管理方法及装置、存储介质、电子设备 |
CN111062028B (zh) * | 2019-12-13 | 2023-11-24 | 腾讯科技(深圳)有限公司 | 权限管理方法及装置、存储介质、电子设备 |
CN112596812A (zh) * | 2020-12-22 | 2021-04-02 | 深圳集智数字科技有限公司 | 一种操作请求的响应方法、装置、设备及存储介质 |
CN112596812B (zh) * | 2020-12-22 | 2024-05-31 | 深圳集智数字科技有限公司 | 一种操作请求的响应方法、装置、设备及存储介质 |
CN113486382A (zh) * | 2021-07-27 | 2021-10-08 | 中国银行股份有限公司 | 一种权限控制方法及*** |
CN116821879A (zh) * | 2023-08-31 | 2023-09-29 | 四川集鲜数智供应链科技有限公司 | 一种可视化的***角色管理*** |
CN116821879B (zh) * | 2023-08-31 | 2023-11-07 | 四川集鲜数智供应链科技有限公司 | 一种可视化的***角色管理*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110222524A (zh) | 统一资源定位符请求的权限校验方法、装置及终端设备 | |
US11711374B2 (en) | Systems and methods for understanding identity and organizational access to applications within an enterprise environment | |
Rathee et al. | A secure communicating things network framework for industrial IoT using blockchain technology | |
Hu et al. | A review on cloud computing: Design challenges in architecture and security | |
US9088575B2 (en) | System and method for hand-offs in cloud environments | |
JP5961638B2 (ja) | アプリケーション証明のためのシステムおよび方法 | |
US9386033B1 (en) | Security recommendation engine | |
CN110222518B (zh) | 基于区块链的可信权能访问控制方法 | |
Kim et al. | Data governance framework for big data implementation with a case of Korea | |
WO2015168203A1 (en) | Characterizing user behavior via intelligent identity analytics | |
US10296750B1 (en) | Robust data tagging | |
CN101102259A (zh) | 网络访问控制***及方法 | |
CN112202708A (zh) | 身份认证方法、装置、电子设备及存储介质 | |
CN113114632A (zh) | 一种可插配式智能财务审核平台 | |
CN110348725A (zh) | 基于区域社会环境信息的风险策略调整方法、装置和电子设备 | |
Soleymani et al. | Fuzzy Rule‐Based Trust Management Model for the Security of Cloud Computing | |
CN110189440A (zh) | 一种基于区块链的智能锁监管设备及其方法 | |
CN112615808B (zh) | 智能变电站过程层报文白名单的表示方法、设备及介质 | |
Liu et al. | Application of blockchain technology in electric vehicle charging piles based on electricity Internet of Things | |
Damera et al. | Trust evaluation models for cloud computing | |
CN113347042A (zh) | 基于数字化和人工智能的数据安全防护方法及服务器 | |
US20180307810A1 (en) | Analysis of output files | |
Empl et al. | Digital Twins for IoT Security Management | |
CN115604103A (zh) | 云计算***的配置方法、装置、存储介质以及电子设备 | |
AU2022200807A1 (en) | Systems and Methods for Understanding Identity and Organizational Access to Applications within an Enterprise Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |