CN111767558B - 数据访问监控方法、装置及*** - Google Patents

数据访问监控方法、装置及*** Download PDF

Info

Publication number
CN111767558B
CN111767558B CN202010580596.2A CN202010580596A CN111767558B CN 111767558 B CN111767558 B CN 111767558B CN 202010580596 A CN202010580596 A CN 202010580596A CN 111767558 B CN111767558 B CN 111767558B
Authority
CN
China
Prior art keywords
access
access request
application server
list
judging
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010580596.2A
Other languages
English (en)
Other versions
CN111767558A (zh
Inventor
黄镜澄
刘慕雨
王泽洋
曹辉健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202010580596.2A priority Critical patent/CN111767558B/zh
Publication of CN111767558A publication Critical patent/CN111767558A/zh
Application granted granted Critical
Publication of CN111767558B publication Critical patent/CN111767558B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供一种数据访问监控方法、装置及***,方法包括:接收客户端发送的访问请求,并从应用服务器端获取访问限制规则;根据所述访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作,并将所述访问权限判定操作的结果和所述访问请求发送至所述应用服务器端,以使所述应用服务器端根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作;本申请能够在不侵入后端应用服务器的情况下,灵活、准确和可靠地对接收到的访问请求进行监控处理。

Description

数据访问监控方法、装置及***
技术领域
本申请涉及数据处理领域,具体涉及一种数据访问监控方法、装置及***。
背景技术
WEB接入层主要负责反向代理工作,通常在这一层进行负载均衡,分担并发压力,常见的WEB接入层产品有NGINX、HAPROXY、F5等。传统的WEB服务器支持简单的黑白名单控制,如对IP地址进行访问限制,无法满足复杂的权限控制场景。
而在应用服务器进行访问控制,意味着接口访问控制逻辑需要侵入应用侧的代码,如果访问控制逻辑频繁调整,则需要频繁的重新部署应用节点,通常需要通过停机重启的方式进行,影响***的整体连续性。并且在应用侧统计并发数据事实上并不准确,因为在WEB接入层往往已经做过一层接口过滤。
发明内容
针对现有技术中的问题,本申请提供一种数据访问监控方法、装置及***,能够在不侵入后端应用服务器的情况下,灵活、准确和可靠地对接收到的访问请求进行监控处理。
为了解决上述问题中的至少一个,本申请提供以下技术方案:
第一方面,本申请提供一种数据访问监控方法,包括:
接收客户端发送的访问请求,并从应用服务器端获取访问限制规则;
根据所述访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作,并将所述访问权限判定操作的结果和所述访问请求发送至所述应用服务器端,以使所述应用服务器端根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
进一步地,所述根据所述访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作,包括:
判断所述访问请求中的用户标识是否与预设用户黑名单匹配,若匹配,则判定所述访问请求不具备访问权限,否则判定所述访问请求具备访问权限。
第二方面,本申请还提供一种数据访问监控方法,包括:
接收网站服务器端发送的访问请求和对应的访问权限判定操作的结果,其中,所述访问请求是由客户端发送至所述网站服务器端,所述访问权限判定操作的结果是由所述网站服务器端根据访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作得到,所述访问限制规则存储于本地数据库中;
根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
进一步地,所述根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作,包括:
判断在设定时间周期内接收到的不具备访问权限的所述访问请求的数量是否超过预设失败访问阈值,若是,则向所述客户端发送限制访问指令,以使所述客户端根据所述限制访问指令执行访问请求限制发送操作。
第三方面,本申请提供一种数据访问监控装置,包括:
网站服务器数据接收模块,用于接收客户端发送的访问请求,并从应用服务器端获取访问限制规则;
权限判定模块,用于根据所述访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作,并将所述访问权限判定操作的结果和所述访问请求发送至所述应用服务器端,以使所述应用服务器端根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
进一步地,所述权限判定模块包括:
黑名单匹配单元,用于判断所述访问请求中的用户标识是否与预设用户黑名单匹配,若匹配,则判定所述访问请求不具备访问权限,否则判定所述访问请求具备访问权限。
第四方面,本申请还提供一种数据访问监控装置,包括:
应用服务器数据接收模块,用于接收网站服务器端发送的访问请求和对应的访问权限判定操作的结果,其中,所述访问请求是由客户端发送至所述网站服务器端,所述访问权限判定操作的结果是由所述网站服务器端根据访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作得到,所述访问限制规则存储于本地数据库中;
操作执行模块,用于根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
进一步地,所述操作执行模块包括:
限制访问单元,用于判断在设定时间周期内接收到的不具备访问权限的所述访问请求的数量是否超过预设失败访问阈值,若是,则向所述客户端发送限制访问指令,以使所述客户端根据所述限制访问指令执行访问请求限制发送操作。
第五方面,本申请提供一种数据访问监控***,包括客户端、网站服务器端以及应用服务器端;
所述网站服务器端包括:
网站服务器数据接收模块,用于接收所述客户端发送的访问请求,并从所述应用服务器端获取访问限制规则;
权限判定模块,用于根据所述访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作,并将所述访问权限判定操作的结果和所述访问请求发送至所述应用服务器端;
所述应用服务器端包括:
应用服务器数据接收模块,用于接收网站服务器端发送的访问请求和对应的访问权限判定操作的结果;
操作执行模块,用于根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
第六方面,本申请提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的数据访问监控方法的步骤。
第七方面,本申请提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的数据访问监控方法的步骤。
由上述技术方案可知,本申请提供一种数据访问监控方法、装置及***,通过在网站服务器端(也即web接入层)获取应用服务器端配置并存储的访问限制规则,以对客户端发送的访问请求在网站服务器端及时进行准确的访问权限判定,以此实现访问权限判定的前置处理,避免不具备访问权限的访问请求侵入到后续的应用服务器端,保障***的平稳运行。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中的数据访问监控方法的流程示意图之一;
图2为本申请实施例中的数据访问监控方法的流程示意图之二;
图3为本申请实施例中的数据访问监控装置的结构图之一;
图4为本申请实施例中的数据访问监控装置的结构图之二;
图5为本申请实施例中的数据访问监控装置的结构图之三;
图6为本申请实施例中的数据访问监控装置的结构图之四;
图7为本申请实施例中的数据访问监控***的结构图;
图8为本申请实施例中的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
考虑到现有技术无法满足复杂的权限控制场景的问题,本申请提供一种数据访问监控方法、装置及***,通过在网站服务器端(也即web接入层)获取应用服务器端配置并存储的访问限制规则,以对客户端发送的访问请求在网站服务器端及时进行准确的访问权限判定,以此实现访问权限判定的前置处理,避免不具备访问权限的访问请求侵入到后续的应用服务器端,保障***的平稳运行。
为了能够在不侵入后端应用服务器的情况下,灵活、准确和可靠地对接收到的访问请求进行监控处理,本申请提供一种数据访问监控方法的实施例,执行主体为网站服务器端,也即web接入层,参见图1,所述数据访问监控方法具体包含有如下内容:
步骤S101:接收客户端发送的访问请求,并从应用服务器端获取访问限制规则。
可选地,网站服务器端在接收到客户端(例如PC端)发送的访问请求时,可以即时或定时从后续具有关联关系的应用服务器端获取访问限制规则,所述访问限制规则可以由管理员人为设置,也可以从第三方***中获取,并存储于应用服务器端本地数据库中以供调用。
可选地,所述访问限制规则可以为一预先设置的接口访问控制黑白名单,该名单可以具体为接口列表名单、参数列表名单或用户标识列表名单,也可根据实际业务需要为包含其他特征信息的名单或文件。
可选地,从应用服务器端获取所述访问限制规则的操作可以由网站服务器端中设置的由轻量级脚本语言LUA编写的脚本程序执行。
具体地,可以利用web接入层Nginx的set_by_lua_file命令,将脚本嵌入web服务器,脚本更新时,Nginx无需停机重启,只需重新加载即可。脚本非常轻量,通常为kb级别。访问控制脚本可以通过预先设置的定时器定时得获取应用服务器的接口访问黑白名单。
步骤S102:根据所述访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作,并将所述访问权限判定操作的结果和所述访问请求发送至所述应用服务器端,以使所述应用服务器端根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
可选地,在网站服务器端执行所述访问权限判定操作可以由通过轻量级脚本语言LUA编写的脚本文件执行,并嵌入至具体的网站服务器(例如NGINX服务器),以实现对访问请求的筛选过滤。
可选地,所述访问限制规则存储于应用服务器端本地数据库中,其可以由管理员人为设置,也可以从第三方***中获取,当该访问限制规则可以根据管理员的编辑指令进行实时更新,以确保网站服务器端能够获取到最新的访问限制规则。
可选地,网站服务器端在接收到所述访问请求后首先对该访问请求进行解析,得到业务特征信息,也即业务参数,所述业务特征信息可以从该访问请求URI、http header或cookie中获取。
可选地,所述业务特征信息包括但不限于:用户标识、目标访问接口及客户端标识。
可选地,网站服务器端根据解析得到的业务特征信息和从应用服务器端获取到的访问限制规则进行访问限制判定操作,以判断该访问请求是否具备向后传输(向应用服务器端传输)的权限,若不具备访问权限,则拒绝本次访问,但仍可以将该访问请求和访问权限判定的结果传输至后续应用服务器端,以供该应用服务器端执行访问失败限制操作;若具备访问权限,则应用服务器端执行预设的业务处理操作。
具体地,可以利用web接入层Nginx的access_by_lua_file命令,对业务参数接口黑名单中的用户发出的接口请求实施拒绝,对业务参数接口白名单中的用户发出的接口请求放行。
在本申请的一些实施例中,管理员可以根据应用服务器端接收到的访问权限判定的结果的可视化统计展示,及时调整访问限制规则。
从上述描述可知,本申请实施例提供的数据访问监控方法,能够通过在网站服务器端(也即web接入层)获取应用服务器端配置并存储的访问限制规则,以对客户端发送的访问请求在网站服务器端及时进行准确的访问权限判定,以此实现访问权限判定的前置处理,避免不具备访问权限的访问请求侵入到后续的应用服务器端,保障***的平稳运行。
为了能够在网站服务器端准确执行复杂的访问权限判定操作,在本申请的数据访问监控方法的一实施例中,上述步骤S102还可以具体包含如下内容:
判断所述访问请求中的用户标识是否与预设用户黑名单匹配,若匹配,则判定所述访问请求不具备访问权限,否则判定所述访问请求具备访问权限。
可选地,所述访问限制规则可以为一预先设置的接口访问控制黑白名单,该名单可以具体为接口列表名单、参数列表名单或用户标识列表名单,也可根据实际业务需要为包含其他特征信息的名单或文件。
具体地,可以利用web接入层Nginx的access_by_lua_file命令,对业务参数接口黑名单中的用户发出的接口请求实施拒绝,对业务参数接口白名单中的用户发出的接口请求放行。
为了能够在不侵入后端应用服务器的情况下,灵活、准确和可靠地对接收到的访问请求进行监控处理,本申请提供一种数据访问监控方法的实施例,执行主体为应用服务器端,参见图2,所述数据访问监控方法具体包含有如下内容:
步骤S201:接收网站服务器端发送的访问请求和对应的访问权限判定操作的结果,其中,所述访问请求是由客户端发送至所述网站服务器端,所述访问权限判定操作的结果是由所述网站服务器端根据访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作得到,所述访问限制规则存储于本地数据库中。
步骤S202:根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
从上述描述可知,本申请实施例提供的数据访问监控方法,能够通过在网站服务器端(也即web接入层)获取应用服务器端配置并存储的访问限制规则,以对客户端发送的访问请求在网站服务器端及时进行准确的访问权限判定,以此实现访问权限判定的前置处理,避免不具备访问权限的访问请求侵入到后续的应用服务器端,保障***的平稳运行。
为了能够有效对持续发送失败的访问请求的客户端执行访问限制操作,确保***稳定性,在本申请的数据访问监控方法的一实施例中,上述步骤S202还可以具体包含如下内容:
判断在设定时间周期内接收到的不具备访问权限的所述访问请求的数量是否超过预设失败访问阈值,若是,则向所述客户端发送限制访问指令,以使所述客户端根据所述限制访问指令执行访问请求限制发送操作。
可选地,应用服务器端能够持续接收到网站服务器端传输来的访问权限判定的结果,若在一设定时间周期内持续收到同一用户(或满足同一访问限制规则)的不具备访问权限的访问请求,即持续收到无权限用户发送的失败的访问请求,则为了节省***运算资源,确保***平稳运行,所述应用服务器端可以主动向对应的客户端发送限制访问指令,以使所述客户端根据所述限制访问指令在一设定时间内停止访问请求的发送操作。
为了能够在不侵入后端应用服务器的情况下,灵活、准确和可靠地对接收到的访问请求进行监控处理,本申请提供一种用于实现所述数据访问监控方法的全部或部分内容的数据访问监控装置的实施例,该装置可以设置于网站服务器端,参见图3,所述数据访问监控装置具体包含有如下内容:
网站服务器数据接收模块10,用于接收客户端发送的访问请求,并从应用服务器端获取访问限制规则。
权限判定模块20,用于根据所述访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作,并将所述访问权限判定操作的结果和所述访问请求发送至所述应用服务器端,以使所述应用服务器端根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
从上述描述可知,本申请实施例提供的数据访问监控装置,能够通过在网站服务器端(也即web接入层)获取应用服务器端配置并存储的访问限制规则,以对客户端发送的访问请求在网站服务器端及时进行准确的访问权限判定,以此实现访问权限判定的前置处理,避免不具备访问权限的访问请求侵入到后续的应用服务器端,保障***的平稳运行。
为了能够在网站服务器端准确执行复杂的访问权限判定操作,在本申请的数据访问监控装置的一实施例中,参见图4,所述权限判定模块20包括:
黑名单匹配单元21,用于判断所述访问请求中的用户标识是否与预设用户黑名单匹配,若匹配,则判定所述访问请求不具备访问权限,否则判定所述访问请求具备访问权限。
为了能够在不侵入后端应用服务器的情况下,灵活、准确和可靠地对接收到的访问请求进行监控处理,本申请提供一种用于实现所述数据访问监控方法的全部或部分内容的数据访问监控装置的实施例,该装置可以设置在应用服务器端,参见图5,所述数据访问监控装置具体包含有如下内容:
应用服务器数据接收模块30,用于接收网站服务器端发送的访问请求和对应的访问权限判定操作的结果,其中,所述访问请求是由客户端发送至所述网站服务器端,所述访问权限判定操作的结果是由所述网站服务器端根据访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作得到,所述访问限制规则存储于本地数据库中。
操作执行模块40,用于根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
从上述描述可知,本申请实施例提供的数据访问监控装置,能够通过在网站服务器端(也即web接入层)获取应用服务器端配置并存储的访问限制规则,以对客户端发送的访问请求在网站服务器端及时进行准确的访问权限判定,以此实现访问权限判定的前置处理,避免不具备访问权限的访问请求侵入到后续的应用服务器端,保障***的平稳运行。
为了能够有效对持续发送失败的访问请求的客户端执行访问限制操作,确保***稳定性,在本申请的数据访问监控装置的一实施例中,参见图6,所述操作执行模块40包括:
限制访问单元41,用于判断在设定时间周期内接收到的不具备访问权限的所述访问请求的数量是否超过预设失败访问阈值,若是,则向所述客户端发送限制访问指令,以使所述客户端根据所述限制访问指令执行访问请求限制发送操作。
为了更进一步说明本方案,本申请还提供一种应用上述数据访问监控装置实现数据访问监控方法的数据访问监控***的具体应用实例,参见图7,具体包含有客户端、网站服务器端以及应用服务器端。
所述网站服务器端包括:
网站服务器数据接收模块,用于接收所述客户端发送的访问请求,并从所述应用服务器端获取访问限制规则。
权限判定模块,用于根据所述访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作,并将所述访问权限判定操作的结果和所述访问请求发送至所述应用服务器端。
所述应用服务器端包括:
应用服务器数据接收模块,用于接收网站服务器端发送的访问请求和对应的访问权限判定操作的结果。
操作执行模块,用于根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
可以理解的是,本申请的数据访问监控***弥补了现有流量监控方案在侵入性、连续性、合理性方面的不足,访问控制逻辑通过轻量级脚本方式提供,对后端应用服务器无侵入,业务无感;问控制逻辑调整无需重启服务器,实时生效。
从硬件层面来说,为了能够在不侵入后端应用服务器的情况下,灵活、准确和可靠地对接收到的访问请求进行监控处理,本申请提供一种用于实现所述数据访问监控方法中的全部或部分内容的电子设备的实施例,所述电子设备具体包含有如下内容:
处理器(processor)、存储器(memory)、通信接口(Communications Interface)和总线;其中,所述处理器、存储器、通信接口通过所述总线完成相互间的通信;所述通信接口用于实现数据访问监控装置与核心业务***、用户终端以及相关数据库等相关设备之间的信息传输;该逻辑控制器可以是台式计算机、平板电脑及移动终端等,本实施例不限于此。在本实施例中,该逻辑控制器可以参照实施例中的数据访问监控方法的实施例,以及数据访问监控装置的实施例进行实施,其内容被合并于此,重复之处不再赘述。
可以理解的是,所述用户终端可以包括智能手机、平板电子设备、网络机顶盒、便携式计算机、台式电脑、个人数字助理(PDA)、车载设备、智能穿戴设备等。其中,所述智能穿戴设备可以包括智能眼镜、智能手表、智能手环等。
在实际应用中,数据访问监控方法的部分可以在如上述内容所述的电子设备侧执行,也可以所有的操作都在所述客户端设备中完成。具体可以根据所述客户端设备的处理能力,以及用户使用场景的限制等进行选择。本申请对此不作限定。若所有的操作都在所述客户端设备中完成,所述客户端设备还可以包括处理器。
上述的客户端设备可以具有通信模块(即通信单元),可以与远程的服务器进行通信连接,实现与所述服务器的数据传输。所述服务器可以包括任务调度中心一侧的服务器,其他的实施场景中也可以包括中间平台的服务器,例如与任务调度中心服务器有通信链接的第三方服务器平台的服务器。所述的服务器可以包括单台计算机设备,也可以包括多个服务器组成的服务器集群,或者分布式装置的服务器结构。
图8为本申请实施例的电子设备9600的***构成的示意框图。如图8所示,该电子设备9600可以包括中央处理器9100和存储器9140;存储器9140耦合到中央处理器9100。值得注意的是,该图8是示例性的;还可以使用其他类型的结构,来补充或代替该结构,以实现电信功能或其他功能。
一实施例中,数据访问监控方法功能可以被集成到中央处理器9100中。其中,中央处理器9100可以被配置为进行如下控制:
步骤S101:接收客户端发送的访问请求,并从应用服务器端获取访问限制规则。
步骤S102:根据所述访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作,并将所述访问权限判定操作的结果和所述访问请求发送至所述应用服务器端,以使所述应用服务器端根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
从上述描述可知,本申请实施例提供的电子设备,通过在网站服务器端(也即web接入层)获取应用服务器端配置并存储的访问限制规则,以对客户端发送的访问请求在网站服务器端及时进行准确的访问权限判定,以此实现访问权限判定的前置处理,避免不具备访问权限的访问请求侵入到后续的应用服务器端,保障***的平稳运行。
在另一个实施方式中,数据访问监控装置可以与中央处理器9100分开配置,例如可以将数据访问监控装置配置为与中央处理器9100连接的芯片,通过中央处理器的控制来实现数据访问监控方法功能。
如图8所示,该电子设备9600还可以包括:通信模块9110、输入单元9120、音频处理器9130、显示器9160、电源9170。值得注意的是,电子设备9600也并不是必须要包括图8中所示的所有部件;此外,电子设备9600还可以包括图8中没有示出的部件,可以参考现有技术。
如图8所示,中央处理器9100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器9100接收输入并控制电子设备9600的各个部件的操作。
其中,存储器9140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器9100可执行该存储器9140存储的该程序,以实现信息存储或处理等。
输入单元9120向中央处理器9100提供输入。该输入单元9120例如为按键或触摸输入装置。电源9170用于向电子设备9600提供电力。显示器9160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器9140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器9140还可以是某种其它类型的装置。存储器9140包括缓冲存储器9141(有时被称为缓冲器)。存储器9140可以包括应用/功能存储部9142,该应用/功能存储部9142用于存储应用程序和功能程序或用于通过中央处理器9100执行电子设备9600的操作的流程。
存储器9140还可以包括数据存储部9143,该数据存储部9143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器9140的驱动程序存储部9144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块9110即为经由天线9111发送和接收信号的发送机/接收机9110。通信模块(发送机/接收机)9110耦合到中央处理器9100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块9110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)9110还经由音频处理器9130耦合到扬声器9131和麦克风9132,以经由扬声器9131提供音频输出,并接收来自麦克风9132的音频输入,从而实现通常的电信功能。音频处理器9130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器9130还耦合到中央处理器9100,从而使得可以通过麦克风9132能够在本机上录音,且使得可以通过扬声器9131来播放本机上存储的声音。
本申请的实施例还提供能够实现上述实施例中的执行主体为服务器或客户端的数据访问监控方法中全部步骤的一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的执行主体为服务器或客户端的数据访问监控方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
步骤S101:接收客户端发送的访问请求,并从应用服务器端获取访问限制规则。
步骤S102:根据所述访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作,并将所述访问权限判定操作的结果和所述访问请求发送至所述应用服务器端,以使所述应用服务器端根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
从上述描述可知,本申请实施例提供的计算机可读存储介质,通过在网站服务器端(也即web接入层)获取应用服务器端配置并存储的访问限制规则,以对客户端发送的访问请求在网站服务器端及时进行准确的访问权限判定,以此实现访问权限判定的前置处理,避免不具备访问权限的访问请求侵入到后续的应用服务器端,保障***的平稳运行。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (11)

1.一种数据访问监控方法,其特征在于,应用于网站服务器端,所述方法包括:
接收客户端发送的访问请求,并从应用服务器端获取访问限制规则,其中,所述访问限制规则可以由管理员人为设置,也可以从第三方***中获取,并存储于应用服务器端本地数据库中以供调用,所述访问限制规则为一预先设置的接口访问控制黑白名单,该名单可以具体为接口列表名单、参数列表名单或用户标识列表名单,或根据实际业务需要为包含其他特征信息的名单或文件;
根据所述访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作,并将所述访问权限判定操作的结果和所述访问请求发送至所述应用服务器端,以使所述应用服务器端根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
2.根据权利要求1所述的数据访问监控方法,其特征在于,所述根据所述访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作,包括:
判断所述访问请求中的用户标识是否与预设用户黑名单匹配,若匹配,则判定所述访问请求不具备访问权限,否则判定所述访问请求具备访问权限。
3.一种数据访问监控方法,其特征在于,应用于应用服务器端,所述方法包括:
接收网站服务器端发送的访问请求和对应的访问权限判定操作的结果,其中,所述访问请求是由客户端发送至所述网站服务器端,所述访问权限判定操作的结果是由所述网站服务器端根据访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作得到,所述访问限制规则存储于本地数据库中,其中,所述访问限制规则可以由管理员人为设置,也可以从第三方***中获取,并存储于应用服务器端本地数据库中以供调用,所述访问限制规则为一预先设置的接口访问控制黑白名单,该名单可以具体为接口列表名单、参数列表名单或用户标识列表名单,或根据实际业务需要为包含其他特征信息的名单或文件;
根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
4.根据权利要求3所述的数据访问监控方法,其特征在于,所述根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作,包括:
判断在设定时间周期内接收到的不具备访问权限的所述访问请求的数量是否超过预设失败访问阈值,若是,则向所述客户端发送限制访问指令,以使所述客户端根据所述限制访问指令执行访问请求限制发送操作。
5.一种数据访问监控装置,其特征在于,包括:
网站服务器数据接收模块,用于接收客户端发送的访问请求,并从应用服务器端获取访问限制规则,其中,所述访问限制规则可以由管理员人为设置,也可以从第三方***中获取,并存储于应用服务器端本地数据库中以供调用,所述访问限制规则为一预先设置的接口访问控制黑白名单,该名单可以具体为接口列表名单、参数列表名单或用户标识列表名单,或根据实际业务需要为包含其他特征信息的名单或文件;
权限判定模块,用于根据所述访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作,并将所述访问权限判定操作的结果和所述访问请求发送至所述应用服务器端,以使所述应用服务器端根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
6.根据权利要求5所述的数据访问监控装置,其特征在于,所述权限判定模块包括:
黑名单匹配单元,用于判断所述访问请求中的用户标识是否与预设用户黑名单匹配,若匹配,则判定所述访问请求不具备访问权限,否则判定所述访问请求具备访问权限。
7.一种数据访问监控装置,其特征在于,包括:
应用服务器数据接收模块,用于接收网站服务器端发送的访问请求和对应的访问权限判定操作的结果,其中,所述访问请求是由客户端发送至所述网站服务器端,所述访问权限判定操作的结果是由所述网站服务器端根据访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作得到,所述访问限制规则存储于本地数据库中,其中,所述访问限制规则可以由管理员人为设置,也可以从第三方***中获取,并存储于应用服务器端本地数据库中以供调用,所述访问限制规则为一预先设置的接口访问控制黑白名单,该名单可以具体为接口列表名单、参数列表名单或用户标识列表名单,或根据实际业务需要为包含其他特征信息的名单或文件;
操作执行模块,用于根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
8.根据权利要求7所述的数据访问监控装置,其特征在于,所述操作执行模块包括:
限制访问单元,用于判断在设定时间周期内接收到的不具备访问权限的所述访问请求的数量是否超过预设失败访问阈值,若是,则向所述客户端发送限制访问指令,以使所述客户端根据所述限制访问指令执行访问请求限制发送操作。
9.一种数据访问监控***,其特征在于,包括客户端、网站服务器端以及应用服务器端;
所述网站服务器端包括:
网站服务器数据接收模块,用于接收所述客户端发送的访问请求,并从所述应用服务器端获取访问限制规则,其中,所述访问限制规则可以由管理员人为设置,也可以从第三方***中获取,并存储于应用服务器端本地数据库中以供调用,所述访问限制规则为一预先设置的接口访问控制黑白名单,该名单可以具体为接口列表名单、参数列表名单或用户标识列表名单,或根据实际业务需要为包含其他特征信息的名单或文件;
权限判定模块,用于根据所述访问限制规则和所述访问请求中的业务特征信息进行访问权限判定操作,并将所述访问权限判定操作的结果和所述访问请求发送至所述应用服务器端;
所述应用服务器端包括:
应用服务器数据接收模块,用于接收网站服务器端发送的访问请求和对应的访问权限判定操作的结果;
操作执行模块,用于根据所述访问权限判定操作的结果和所述访问请求进行对应的访问失败限制操作或访问成功业务处理操作。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至4任一项所述的数据访问监控方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至4任一项所述的数据访问监控方法的步骤。
CN202010580596.2A 2020-06-23 2020-06-23 数据访问监控方法、装置及*** Active CN111767558B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010580596.2A CN111767558B (zh) 2020-06-23 2020-06-23 数据访问监控方法、装置及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010580596.2A CN111767558B (zh) 2020-06-23 2020-06-23 数据访问监控方法、装置及***

Publications (2)

Publication Number Publication Date
CN111767558A CN111767558A (zh) 2020-10-13
CN111767558B true CN111767558B (zh) 2024-02-20

Family

ID=72722842

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010580596.2A Active CN111767558B (zh) 2020-06-23 2020-06-23 数据访问监控方法、装置及***

Country Status (1)

Country Link
CN (1) CN111767558B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112417402B (zh) * 2020-11-27 2024-04-12 亿企赢网络科技有限公司 权限控制方法、权限控制装置、权限控制设备及存储介质
CN112817833A (zh) * 2021-01-20 2021-05-18 ***股份有限公司 一种监测数据库的方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106657258A (zh) * 2016-11-04 2017-05-10 成都视达科信息技术有限公司 一种基于nginx+lua的安全加速中间件实现方法及装置
CN107784221A (zh) * 2016-08-30 2018-03-09 阿里巴巴集团控股有限公司 权限控制方法、服务提供方法、装置、***及电子设备
CN110069941A (zh) * 2019-03-15 2019-07-30 深圳市买买提信息科技有限公司 一种接口访问鉴权方法、装置及计算机可读介质
CN110287694A (zh) * 2019-06-26 2019-09-27 维沃移动通信有限公司 应用程序管理方法、移动终端及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1962197A1 (en) * 2005-12-15 2008-08-27 Netstar, Inc. Web access monitoring method and its program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107784221A (zh) * 2016-08-30 2018-03-09 阿里巴巴集团控股有限公司 权限控制方法、服务提供方法、装置、***及电子设备
CN106657258A (zh) * 2016-11-04 2017-05-10 成都视达科信息技术有限公司 一种基于nginx+lua的安全加速中间件实现方法及装置
CN110069941A (zh) * 2019-03-15 2019-07-30 深圳市买买提信息科技有限公司 一种接口访问鉴权方法、装置及计算机可读介质
CN110287694A (zh) * 2019-06-26 2019-09-27 维沃移动通信有限公司 应用程序管理方法、移动终端及存储介质

Also Published As

Publication number Publication date
CN111767558A (zh) 2020-10-13

Similar Documents

Publication Publication Date Title
CN111031058A (zh) 基于WebSocket的分布式服务器集***互方法及装置
US9686506B2 (en) Method, apparatus, system, and storage medium for video call and video call control
CN110908875B (zh) 基于操作终端的巡检方法及装置
CN105657479B (zh) 一种视频处理方法及装置
CN111767558B (zh) 数据访问监控方法、装置及***
EP4047471A1 (en) Audio data processing method, server, and storage medium
CN110764881A (zh) 分布式***后台重试方法及装置
CN113435989A (zh) 金融数据处理方法及装置
CN112689012A (zh) 跨网络的代理通讯方法及装置
CN112615753A (zh) 一种链路异常追踪方法、第一节点、第二节点以及链路
CN114257532B (zh) 服务端状态探测方法及装置
CN111953668B (zh) 网络安全信息处理方法及装置
CN112953908A (zh) 网络隔离配置方法、装置及***
CN112312057A (zh) 多媒体会议数据处理方法、装置和电子设备
CN109729582B (zh) 信息交互方法、装置及计算机可读存储介质
CN113301135A (zh) 一种数据共享方法
CN107395493B (zh) 一种基于意图Intent分享消息的方法及装置
CN114285657B (zh) 防火墙安全策略变更验证方法及装置
CN116185755A (zh) 分布式负载均衡***数据处理方法及装置
CN113553152A (zh) 作业调度方法及装置
CN114697339A (zh) 集中式架构下的负载均衡方法及装置
CN115099930A (zh) 金融业务数据处理方法及装置
CN111782366A (zh) 一种分布式任务调度方法及装置
CN113645151A (zh) Dup设备消息管理方法及装置
CN113342501B (zh) ***故障处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant