CN114297598A - 用户权限处理方法及装置 - Google Patents
用户权限处理方法及装置 Download PDFInfo
- Publication number
- CN114297598A CN114297598A CN202210165735.4A CN202210165735A CN114297598A CN 114297598 A CN114297598 A CN 114297598A CN 202210165735 A CN202210165735 A CN 202210165735A CN 114297598 A CN114297598 A CN 114297598A
- Authority
- CN
- China
- Prior art keywords
- user
- target
- login
- application system
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本说明书实施例提供了用户权限处理方法及装置,该方法可以应用于用户权限***,用户权限***接入多个应用***,该方法包括:从第一应用***接收针对用户的登录认证请求,其由第一应用***在根据用户针对目标对象的操作请求,对用户登录认证失败后发送;根据登录认证请求,确定用户是否关联有效的目标登录标记,其由用户权限***在用户利用目标用户账号成功登陆第二应用***后生成;响应于确定结果为是,将目标登录标记发送至第一应用***,使得第一应用***基于目标登录标记生成并保存第一文件,以用于登录认证。
Description
技术领域
本说明书实施例涉及计算机技术领域,具体地,涉及用户权限处理方法及装置。
背景技术
在现有的多***多应用场景中,例如面向AI(Artificial Intelligence,人工智能)和边缘等云边一体场景,多个应用***通常具有用户权限相关功能。目前,该多个应用***中的至少部分应用***通常由不同的开发团队开发,该至少部分应用***的用户权限相关功能存在重复开发维护的问题,会造成人力、资源浪费。
因此,迫切需要一种合理、可靠的用户权限处理方案,能较好的适配多***多应用场景,避免用户权限相关功能的重复开发维护,进而减少人力、资源的浪费。
发明内容
本说明书实施例提供了用户权限处理方法及装置,能较好的适配多***多应用场景,避免用户权限相关功能的重复开发维护,进而减少人力、资源的浪费。
第一方面,本说明书实施例提供了一种用户权限处理方法,应用于用户权限***,所述用户权限***接入多个应用***,所述方法包括:从所述多个应用***中的第一应用***接收针对用户的登录认证请求,其由所述第一应用***在根据所述用户针对目标对象的操作请求,对所述用户登录认证失败后发送;根据所述登录认证请求,确定所述用户是否关联有效的目标登录标记,其由所述用户权限***在所述用户利用目标用户账号成功登陆所述多个应用***中的第二应用***后生成;响应于确定结果为是,将所述目标登录标记发送至所述第一应用***,使得所述第一应用***基于所述目标登录标记生成并保存第一文件,以用于登录认证。
在一些实施例中,在所述从所述多个应用***中的第一应用***接收针对用户的登录认证请求之前,还包括:从目标浏览器接收所述用户针对所述第二应用***的登录请求,其中包括所述目标用户账号;根据所述登录请求,对所述用户进行登录认证;响应于所述用户通过登录认证,为所述用户生成所述目标登录标记,并将所述目标登录标记发送至所述第二应用***,使得所述第二应用***基于所述目标登录标记生成并保存第二文件,以用于登录认证。
在一些实施例中,所述第一文件包括第一登录凭证,所述第一登录凭证通过对所述目标登录标记进行加密而获得。所述第二文件包括第二登录凭证,所述第二登录凭证通过对所述目标登录标记进行加密而获得。
在一些实施例中,所述第一文件为第一cookie文件,所述第二文件为第二cookie文件。
在一些实施例中,在所述将所述目标登录标记发送至所述第一应用***之后,还包括:建立所述目标用户账号和所述第一应用***之间的关联关系;在所述将所述目标登录标记发送至所述第二应用***之后,还包括:建立所述第二应用***和所述目标登录标记各自与所述目标用户账号的关联关系。
在一些实施例中,所述目标用户账号为第三方账号;以及所述对所述用户进行登录认证,包括:向所述第三方账号所归属的第三方服务平台发送针对所述用户的登录认证请求; 接收所述第三方服务平台返回的登录认证结果。
在一些实施例中,所述操作请求包括所述目标对象的对象标识和操作方式;以及所述方法还包括:从所述第一应用***接收与所述目标对象有关的权限验证请求,其中包括所述对象标识、所述操作方式和所述目标用户账号,并且由所述第一应用***在生成所述第一文件后根据所述操作请求生成;获取所述目标用户账号关联的目标用户角色;获取所述目标用户角色关联的目标权限;根据所述目标权限,确定所述用户是否具有针对所述目标对象执行所述操作方式指示的操作的权限;若确定结果为是,则生成并返回权限验证通过结果。
在一些实施例中,所述目标用户账号已加入若干个用户组,所述若干个用户组分别关联用户角色;以及所述获取所述目标用户账号关联的目标用户角色,包括:获取所述若干个用户组分别关联的用户角色作为所述目标用户角色。
在一些实施例中,所述用户权限***建立有第一关系表和第二关系表,所述第一关系表用于表征用户账号和用户角色之间的关联关系,所述第二关系表用于表征用户角色和权限之间的关联关系;以及所述获取所述目标用户账号关联的目标用户角色,包括:从所述第一关系表中获取所述目标用户角色;所述获取所述目标用户角色关联的目标权限,包括:从所述第二关系表中获取所述目标权限。
在一些实施例中,所述目标对象为目标页面,所述对象标识为页面标识,且所述操作方式为浏览;以及所述权限验证通过结果还包括,所述目标权限中关联于所述页面标识的页面权限,其中,所述页面权限包括菜单权限和/或页面元素权限,用于页面渲染控制。
在一些实施例中,所述方法还包括:接收与所述第一应用***有关的用户权限数据同步请求,其中包括目标存储地址,所述目标存储地址指示的存储位置存放有所述第一应用***的用户权限数据;根据所述目标存储地址,从所述存储位置获取所述用户权限数据,并根据所述用户权限数据对所述第一关系表和/或所述第二关系表进行更新。
在一些实施例中,所述用户权限***配置有与所述第一应用***有关的用户通知策略;以及在对所述第一关系表和/或所述第二关系表进行更新后,还包括:若所述第一关系表和/或所述第二关系表中原有的数据发生变更,则根据所述用户通知策略,向所述第一应用***的相关用户推送数据变更通知消息。
第二方面,本说明书实施例提供了一种用户权限处理方法,包括:第一应用***在根据用户针对目标对象的操作请求对所述用户登录认证失败后,向用户权限***发送针对所述用户的登录认证请求,其中,所述第一应用***为所述用户权限***已接入的多个应用***之一;所述用户权限***根据所述登录认证请求,确定所述用户是否关联有效的目标登录标记,其由所述用户权限***在所述用户利用目标用户账号成功登陆所述多个应用***中的第二应用***后生成;所述用户权限***响应于确定结果为是,将所述目标登录标记发送至所述第一应用***;所述第一应用***基于所述目标登录标记生成并保存第一文件。
在一些实施例中,所述基于所述目标登录标记生成并保存第一文件,包括:对所述目标登录标记进行加密,并将加密结果作为第一登录凭证;生成并保存包括所述第一登录凭证的第一文件。
在一些实施例中,所述第一文件为第一cookie文件。
在一些实施例中,在所述将所述目标登录标记发送至所述第一应用***之后,还包括:建立所述目标用户账号和所述第一应用***之间的关联关系。
第三方面,本说明书实施例提供了一种用户权限处理装置,应用于用户权限***,所述用户权限***接入多个应用***,所述装置包括:接收单元,被配置成从所述多个应用***中的第一应用***接收针对用户的登录认证请求,其由所述第一应用***在根据所述用户针对目标对象的操作请求,对所述用户登录认证失败后发送;登录认证单元,被配置成根据所述登录认证请求,确定所述用户是否关联有效的目标登录标记,其由所述用户权限***在所述用户利用目标用户账号成功登录所述多个应用***中的第二应用***后生成;发送单元,被配置成响应于所述登录认证单元的确定结果为是,将所述目标登录标记发送至所述第一应用***,使得所述第一应用***基于所述目标登录标记生成并保存第一文件,以用于登录认证。
在一些实施例中,所述装置还包括:***注册单元,被配置成建立所述目标用户账号和所述第一应用***之间的关联关系。
在一些实施例中,所述第一文件为第一cookie文件。进一步地,所述第一文件包括第一登录凭证,所述第一登录凭证通过对所述目标登录标记进行加密而获得。
第四方面,本说明书实施例提供了一种计算机可读存储介质,其上存储有计算机程序,其中,当该计算机程序在计算机中执行时,令该计算机执行如第一方面中任一实现方式描述的方法。
第五方面,本说明书实施例提供了一种计算设备,包括存储器和处理器,其中,该存储器中存储有可执行代码,该处理器执行该可执行代码时,实现如第一方面中任一实现方式描述的方法。
第六方面,本说明书实施例提供了一种计算机程序,其中,当该计算机程序在计算机中执行时,令该计算机执行如第一方面中任一实现方式描述的方法。
本说明书的上述实施例提供的方案,可以支持多个应用***接入同一个用户权限***,并由该用户权限***进行统一的用户权限处理,这样可以避免用户权限相关功能的重复开发维护,进而减少人力、资源的浪费。另外,该方案还支持该多个应用***通过共享目标登录标记的方式来共享登录状态,以及通过基于目标登录标记生成并保存文件(例如cookie文件),用于局部的登录认证。
附图说明
为了更清楚地说明本说明书披露的多个实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书披露的多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本说明书的一些实施例可以应用于其中的一个示例性***架构图;
图2是用户权限处理方法的一个实施例的流程图;
图3是登录认证过程的一个示意图;
图4是访问控制过程的一个示意图;
图5是权限申请过程的一个示意图;
图6是用户权限处理装置的一个结构示意图。
具体实施方式
下面结合附图和实施例对本说明书作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。在不冲突的情况下,本说明书中的实施例及实施例中的特征可以相互组合。另外,本说明书实施例中的第一、第二等词,仅用于信息区分,不起任何限定作用。
如前所述,在现有的多***多应用场景中,多个应用***中的至少部分应用***通常由不同的开发团队开发,该至少部分应用***的用户权限相关功能存在重复开发维护的问题,会造成人力、资源浪费。
基于此,本说明书的一些实施例提供了用户权限处理方法,能较好的适配多***多应用场景,避免用户权限相关功能的重复开发维护,进而减少人力、资源的浪费。具体地,图1示出了适用于这些实施例的示例性***架构图。
如图1所示,***架构可以包括用户权限***,以及用户权限***接入的多个应用***,例如图1中示出的应用***A,应用***B,等等。
实践中,用户权限***可以具有各种用户权限处理能力,例如具有用户登录认证能力,访问控制能力,权限授权能力,用户权限数据同步能力,等等。访问控制能力例如可以包括对页面、API(Application Programming Interface,应用程序编程接口)和/或数据的访问控制。
上述多个应用***可以是相互信任的***。另外,上述多个应用***可以具体为web(World Wide Web,万维网)应用***。而且,上述多个应用***可以包括各种类型的应用***,例如用于提供AI服务的应用***,用于提供边缘服务的应用***,用于提供数据存储服务的应用***,等等。
以用户登录认证能力为例,假设用户User1已具有能登录上述多个应用***的用户账号C。在User1未成功登陆上述多个应用***中的任意应用***的情况下,当User1利用用户设备上安装的目标浏览器访问应用***A时,应用***A会响应于User1处于未登陆状态,而请求用户权限***向目标浏览器提供针对应用***A的登录页面。
之后,User1可以在登录页面利用用户账号C进行登录,例如,User1可以通过在登录页面上输入用户账号C和相应的登录密码的方式进行登录。基于此,目标浏览器可以根据User1的登录操作,向用户权限***发送包括用户账号C的登录请求。应该理解,登录请求还可以包括其他登录信息,该其他登录信息包括但不限于该登录密码。
接着,用户权限***可以根据登录请求,对User1进行登录认证。具体地,可以验证登录请求中的登录信息(例如用户账号C和登录密码)的合法性。若验证登录请求中的登录信息合法,则可以确定登录认证成功,从而User1便可以成功登录。
在登录认证成功后,用户权限***可以为User1生成登录标记F(也可称为token),并将登录标记F发送至应用***A。其中,登录标记F可以表示已成功登录。登录标记F例如可以通过对登录请求中的登录信息进行加密而获得,或者,登录标记F可以是随机生成的字符串,等等,在此不做具体限定。
接着,用户权限***可以注册应用***A,例如建立应用***A和登录标记F各自与用户账号C的关联关系,所建立的关联关系可以用于表示用户账号C已成功登录应用***A。另外,应用***A可以基于登录标记F生成并保存文件,例如cookie文件,以用于登录认证。其中,该cookie文件例如可以包括登录标记F。
进一步地,为了确保登录标记F的安全性,应用***A可以将登录标记F加密为登录凭证F1(也可称为ticket),例如,应用***A可以利用自有的用于加密的秘钥对登录标记F进行加密,并将加密结果作为登录凭证F1。之后,应用***A可以生成并保存包括登录凭证F1的cookie文件。
需要指出,应用***A可以包括客户端和服务端,该客户端和服务端可以均保存该cookie文件。这样,当User1再次利用目标浏览器访问应用***A时,目标浏览器可以获取该cookie文件,并在User1对应用***A的访问请求中携带该cookie文件。由此,应用***A的服务端,可以根据自己保存的该cookie文件中的登录标记F或登录凭证F1,对访问请求中携带的该cookie文件中的登录标记F或登录凭证F1进行校验,并响应于校验成功而确定User1已成功登录。
在应用***A成功注册后,当User1想要访问应用***B时,例如想要浏览应用***B中的目标页面时,User1可以在目标浏览器中执行对目标页面的浏览操作。基于此,目标浏览器可以向应用***B发送对目标页面的浏览请求。接着,应用***B可以根据浏览请求,对User1进行登录认证。由于在此之前应用***B未曾从用户权限***接收登录标记F,因而此时应用***B的登录认证结果为登录认证失败。
在登录认证失败后,应用***B可以向用户权限***发送针对User1的登录认证请求。接着,用户权限***可以根据已生成的登录标记F,确定User1已成功登录。之后,用户权限***可以将登录标记F发送至应用***B。然后,用户权限***可以注册应用***B,例如建立应用***B和用户账号C之间的关联关系。另外,应用***B可以基于登录标记F生成并保存文件,例如cookie文件,以用于登录认证。应该理解,应用***B可以包括客户端和服务端,该客户端和服务端可以均保存该cookie文件。
采用以上描述的登录认证过程,上述多个应用***可以接入同一个用户权限***,并由该用户权限***进行统一的用户权限处理,这样可以避免用户权限相关功能的重复开发维护,进而减少人力、资源的浪费。另外,上述多个应用***,例如应用***A和应用***B,可以通过共享登录标记F的方式来共享登录状态,以及通过基于登录标记F生成并保存文件(例如cookie文件),用于局部的登录认证。
下面,结合具体的实施例,描述上述方法的具体实施步骤。
参看图2,其为用户权限处理方法的一个实施例的示意图。该方法涉及用户权限***,用户权限***接入多个应用***。该方法包括以下步骤:
步骤218,第一应用***在根据用户针对目标对象的操作请求对用户登录认证失败后,向用户权限***发送针对用户的登录认证请求;
步骤220,用户权限***根据登录认证请求,确定用户是否关联有效的目标登录标记;
步骤222,用户权限***响应于确定结果为是,将目标登录标记发送至第一应用***;
步骤226,第一应用***基于目标登录标记生成并保存第一文件,以用于登录认证。
下面,对以上各步骤做进一步说明。
在步骤218中,上述多个应用***中的第一应用***(例如图1中示出的应用***B),在根据用户针对目标对象的操作请求对用户登录认证失败后,可以向用户权限***发送针对用户的登录认证请求。
具体地,第一应用***对操作请求的接收和对用户的登录认证,可以通过图2示出的步骤214和步骤216执行。
在步骤214中,第一应用***可以实时接收用户通过目标浏览器发送的针对目标对象的操作请求。其中,目标浏览器可以是任意的网页浏览器。操作请求例如可以包括目标对象的对象标识和操作方式。目标对象例如可以为目标页面、目标API或目标数据等。当目标对象为目标页面时,对象标识可以为页面标识,操作方式可以为浏览等。当目标对象为目标API时,对象标识可以为API标识,操作方式例如可以为获取(get),发送(post或put),或删除(delete),等等。当目标对象为目标数据时,对象标识可以为数据标识,操作方式例如可以为查看、编辑或删除等。
在一个实施例中,若在步骤214之前,用户已利用目标用户账号成功登陆上述多个应用***中的第二应用***(例如图1中示出的应用***A),则操作请求还可以包括目标用户账号。其中,目标用户账号可以是用户在任意的应用***中的注册账号,或者也可以是第三方账号,在此不做具体限定。
接着,在步骤216中,第一应用***可以根据操作请求,对用户进行登录认证。例如,可以响应于确定操作请求未携带任何登录标记,或者该操作请求中携带的登录标记无效等,而确定登录认证失败。其中,登录标记可以用于表示已成功登录。
需要指出,本说明书实施例提供的方案,可以支持应用***进行局部的登录认证,当应用***登录认证失败后,可以转入用户权限***接着进行登录认证。
基于此,当步骤216的登录认证结果为登录认证失败时,第一应用***可以接着执行步骤218,向用户权限***发送针对用户的登录认证请求。 在一个实施例中,在操作请求包括目标用户账号的情况下,该登录认证请求也可以包括目标用户账号。
接着,在步骤220中,用户权限***可以根据登录认证请求,确定用户是否关联有效的目标登录标记。其中,目标登录标记可以由用户权限***在用户利用目标用户账号成功登录如前所述的第二应用***后生成。实践中,用户权限***在为用户生成目标登录标记后,可以注册第二应用***,例如建立第二应用***和目标登录标记各自与目标用户账号的关联关系。
在一个实施例中,当登录认证请求包括目标用户账号时,在步骤220中,用户权限***可以确定本地是否存储有,关联于目标用户账号且处于有效状态的目标登录标记。
在一个实施例中,用户权限***可以包括权限客户端,用户权限***可以在权限客户端侧存储登录标记,或者对用户账号和登录标记进行对应存储,以使得登录认证在权限客户端侧执行。基于此,在步骤220中,用户使用的权限客户端,可以确定本地是否存储有关联于目标用户账号且处于有效状态的目标登录标记,或者确定本地是否存储有处于有效状态的目标登录标记。
若步骤220的确定结果为是,则用户权限***可以接着执行步骤222,将目标登录标记发送至第一应用***,以向第一应用***授予目标登录标记。
在一个实施例中,在步骤220之后,还可以包括:步骤224,用户权限***建立目标用户账号和第一应用***之间的关联关系,以对第一应用***进行注册。具体地,用户权限***可以建立目标用户账号和第一应用***的应用标识之间的关联关系。
在步骤226中,第一应用***可以基于目标登录标记生成并保存第一文件,以用于登录认证。在一个例子中,第一文件可以包括目标登录标记。在另一个例子中,为了加强目标登录标记的安全性,第一应用***可以对目标登录标记进行加密,并将加密结果作为第一登录凭证,以及生成并保存包括第一登录凭证的第一文件。
需要说明,第一文件可以具体为第一cookie文件。第一应用***可以包括第一客户端和第一服务端,第一应用***可以在客户端侧和服务端侧均保存第一cookie文件。这样,当用户再次利用目标浏览器访问第一应用***时,目标浏览器可以获取第一cookie文件,并在用户对第一应用***的访问请求中携带第一cookie文件。由此,第一服务端可以根据自己保存的第一cookie文件中的目标登录标记或第一登录凭证,对访问请求中携带的第一cookie文件中的目标登录标记或第一登录凭证进行校验,并响应于校验成功而确定用户已成功登录。
需要指出,步骤214、216、218、226可以具体由第一服务端执行。而且,在步骤222中,用户权限***可以将目标登录标记发送至第一服务端。
在一个实施例中,用户权限***可以包括权限客户端和权限服务端。在步骤218中,第一应用***可以向权限客户端发送针对用户的登录认证请求。另外,步骤220、222可以具体由权限客户端执行,步骤224可以具体由权限服务端执行。
在一个实施例中,为了进一步确保第一应用***接收到的目标登录标记的有效性,在步骤222之后,步骤224之前,还可以包括:第一应用***(例如第一服务端)向用户权限***(例如权限服务端),发送针对目标登录标记的校验请求;用户权限***根据校验请求,对目标登录标记进行校验。
进一步地,在步骤224中,可以响应于目标登录标记通过校验,建立目标用户账号和第一应用***之间的关联关系。进一步地,在步骤224之后,步骤226之前,用户权限***(例如权限服务端)还可以向第一应用***(例如第一服务端)返回用户信息,该用户信息例如可以包括用户名,目标用户账号,等等。
在一个实施例中,在步骤214之前,用户已利用目标用户账号成功登陆如前所述的第二应用***。其中,与第二应用***有关的用户登录认证过程可以包括图2中的步骤202-212。
实践中,在用户未成功登陆上述多个应用***中的任意应用***的情况下,当用户利用用户设备上安装的目标浏览器访问第二应用***时,第二应用***会响应于用户处于未登陆状态,而请求用户权限***向目标浏览器提供针对第二应用***的登录页面。而后,用户权限***可以响应于用户处于未登陆状态,而向目标浏览器提供登录页面。
当用户具有能登录上述多个应用***的用户账号时,例如具有如前所述的目标用户账号时,可以在登录页面上利用目标用户账号进行登录。例如,用户可以通过在登录页面上输入目标用户账号和相应的登录密码的方式进行登录。
基于此,目标浏览器可以根据用户的登录操作,向用户权限***发送包括目标用户账号的登录请求。应该理解,登录请求还可以包括其他登录信息,该其他登录信息包括但不限于该登录密码。由此,用户权限***可以通过执行步骤202,从目标浏览器接收用户针对第二应用***的登录请求。
接着,在步骤204中,用户权限***可以根据登录请求,对用户进行登录认证。
在一个实施例中,目标用户账号为用户在任意的应用***中的注册账号,用户权限***保存有目标用户账号的注册信息。用户权限***可以根据该注册信息,对用户进行登录认证。
在另一个实施例中,目标用户账号为第三方账号,用户权限***可以执行如图3所示的登录认证过程。该登录认证过程包括:步骤2042,用户权限***向该第三方账号所归属的第三方服务平台发送针对用户的登录认证请求;步骤2044,用户权限***接收第三方服务平台返回的登录认证结果。由此,用户权限***可以根据该登录认证结果确定用户是否通过登录认证。
在一个实施例中,当登录认证结果指示登录认证成功时,登录认证结果还可以包括用户在第三方服务平台中的用户信息。该用户信息例如可以包括用户的用户名,组织信息,和/或分组信息,等等。该组织信息和分组信息例如可以示出用户通过第三方服务平台加入的组织和分组。该组织可以是企业或社团等。该分组例如可以是群聊、部门或团队等。
当步骤204的登录认证结果为登录认证成功时,用户权限***可以确定用户成功登录,并接着执行步骤206。
在步骤206中,用户权限***可以为用户生成目标登录标记。例如,用户权限***可以对登录请求中的登录信息进行加密,并将加密结果作为目标登录标记。再例如,用户权限***可以随机生成字符串,并将该字符串作为目标登录标记。
接着,在步骤208中,用户权限***可以将目标登录标记发送至第二应用***,以向第二应用***授予目标登录标记。
接着,在步骤210中,用户权限***可以建立第二应用***和目标登录标记各自与目标用户账号的关联关系,以对第二应用***进行注册。
在步骤212中,第二应用***可以基于目标登录标记生成并保存第二文件,以用于登录认证。在一个例子中,第二文件可以包括目标登录标记。在另一个例子中,为了加强目标登录标记的安全性,第二应用***可以对目标登录标记进行加密,例如采用自有的用于加密的秘钥对目标登录标记,并将加密结果作为第二登录凭证,以及生成并保存包括第二登录凭证的第二文件。需要指出,第二文件可以具体为第二cookie文件。这里,第二cookie文件的具体保存方法和用途,可参考第一cookie文件的相关说明,在此不再赘述。
在一个实施例中,步骤202、204、206、208、210可以具体由权限服务端执行,步骤212可以具体由第二应用***中的第二服务端执行。
进一步地,在步骤208中,权限服务端可以经由权限客户端,将目标登录标记发送至第二服务端。例如,第二应用***还包括第二客户端,权限客户端可以将目标登录标记发送至第二客户端,由第二客户端将目标登录标记发送至第二服务端。
在一个实施例中,权限客户端在接收到目标登录标记后,可以保存目标登录标记。例如,为了确保目标登录标记的安全性,权限客户端可以将目标登录标记保存至本地存储(local storage)。后续在需要对用户进行登录认证时,可以从本地存储获取目标登录标记。
在一个实施例中,权限服务端可以将目标用户账号和目标登录标记同时返回给权限客户端,基于此,权限客户端可以对目标用户账号和目标登录标记进行对应存储。
在一个实施例中,用户权限***可以预先配置有关联于第三方服务平台的用户角色。该用户角色例如可以预先关联权限,该权限可以理解为拥有该用户角色的用户所具有的权限。当目标用户账号为第三方账号时,在步骤206之后,用户权限***可以建立该用户角色和第三方账号之间的关联关系。另外,当步骤2044中的登录认证结果包括用户信息时,用户权限***还可以对该用户信息和第三方账号进行对应存储。
图2对应的实施例提供的方案,可以支持多个应用***接入同一个用户权限***,并由该用户权限***进行统一的用户权限处理,这样可以避免用户权限相关功能的重复开发维护,进而减少人力、资源的浪费。另外,该方案还支持该多个应用***通过共享目标登录标记的方式来共享登录状态,以及通过基于目标登录标记生成并保存文件(例如cookie文件),用于局部的登录认证。需要说明,通过将目标登录标记加密为登录凭证存放到cookie文件中,可以加强登录状态共享的安全性。
以上主要介绍了用户权限***的登录认证能力。实践中,用户权限***还可以具有访问控制能力。下面,在图2对应的实施例的基础上,进一步介绍该访问控制能力。
在一个实施例中,当上述操作请求包括目标对象的对象标识和操作方式时,在第一应用***通过执行步骤226生成第一cookie文件后,还可以执行如图4所示的访问控制过程。该访问控制过程包括以下步骤:
步骤402,第一应用***向用户权限***发送与目标对象有关的权限验证请求,其中包括对象标识、操作方式和目标用户账号;
步骤404,用户权限***获取目标用户账号关联的目标用户角色;
步骤406,用户权限***获取目标用户角色关联的目标权限;
步骤408,用户权限***根据目标权限,确定用户是否具有针对目标对象执行操作方式指示的操作的权限;
步骤410,用户权限***响应于确定结果为是,生成权限验证通过结果;
步骤412,用户权限***向第一应用***返回权限验证通过结果。
其中,权限验证请求中的对象标识和操作方式,可以来源于上述操作请求,关于该对象标识和操作方式的解释,可参考前文中的相关说明,在此不再赘述。
实践中,用户权限***可以建立有第一关系表和第二关系表。第一关系表可以用于表征用户账号和用户角色之间的关联关系。第二关系表可以用于表征用户角色和权限之间的关联关系。在步骤404中,可以具体从第一关系表中获取目标用户角色。在步骤406中,可以具体从第二关系表中获取目标权限。
需要指出,一个用户账号,也即一个用户,可以拥有一个或多个用户角色。用户角色可以具有等级属性,等级越大,则用户角色的权限越大,例如等级低的用户角色无法编辑等级高的用户角色。另外,用户角色也可以有优先级、互斥、基数限制和先决条件约束等属性。一个用户如果拥有多个用户角色,则以最高等级的用户角色作为该用户的最大权利。
用户角色所关联的权限可以包括页面权限、API权限和/或数据权限。页面权限可以包括菜单权限和/或页面元素权限。需要说明,一个菜单可以理解为一个结点,多个结点可以组成一个树状结构,一个菜单权限可以对应一个结点,也可以对应多个结点,拥有子菜单权限必然拥有父菜单的权限,因此,一个用户拥有的各种菜单权限最终必然能够组合成一棵完整的菜单目录树,这棵菜单目录树可以提供给前端用于页面渲染控制。每个页面菜单都有页面元素,如按钮、图片、输入框等,可以对其进行管理。每个页面元素有可视性的取值,例如none(不可见),read(仅可见),write(可见、可点击、可输入、可编辑)。页面元素权限例如可以包括页面元素标识,和该标识对应的取值。
API权限例如可以包括API标识和操作方式(method),该操作方式例如可以为前文中描述的获取(get),发送(post或put),或删除(delete),等等。数据权限例如可以包括数据标识和操作方式,该操作方式例如可以为查看、编辑或删除等。需要说明,该数据标识指示的数据可以是任意类型的数据,例如可以是报表,人员信息,数据库中的数据表,数据表中的某些记录,或者数据表中的某些字段,等等。
在一个实施例中,用户权限***支持建立用户组和用户角色之间的关联关系,而且支持将用户账号加入用户组。基于此,在目标用户账号已加入若干个用户组,且该若干个用户组分别关联用户角色时,用户权限***可以获取该若干个用户组分别关联的用户角色作为目标用户角色。
进一步地,第一关系表还可以用于表征用户组和用户角色之间的关联关系。用户权限***可以从第一关系表中获取上述若干个用户组分别关联的用户角色,并将所获取的用户角色作为目标用户角色。
需要说明,用户组例如可以为部门或团队等。用户组之间可以有层级关系,树状结构。对用户组的命名、分级结构、权限方向(继承,即父组与子组之间的权限关系)等,均可以由使用者来决定。其中,权限方向可以有多个取值,例如第一值(如isolation)、第二值(如ascent)和第三值(如descent)。其中,第一值可以用于表示,每个用户组的权限独立不相关。第二值可以用于表示,父组默认包含子组的权限。第三值可以用于表示,子组拥有父组的权限但不能拥有兄弟组的权限。
基于此,在一个实施例中,对于上述若干个用户组中的每个用户组,当该用户组的权限方向的取值包括第二值时,用户权限***还可以获取该用户组的子组的用户角色,作为目标用户角色。另外,当该取值包括第三值时,用户权限***还可以获取该用户组的父组的用户角色,作为目标用户角色。
在一个实施例中,当目标对象为目标页面,对象标识为页面标识,操作方式为浏览时,权限验证通过结果还可以包括,目标权限中关联于该页面标识的页面权限。该页面权限包括菜单权限和/或页面元素权限,用于页面渲染控制。具体地,该页面权限可以用于第一应用***中的第一客户端进行页面渲染控制。
实践中,用户权限***还可以具有权限授权能力。具体地,用户权限***可以支持手动授权和权限申请。
对于手动授权,可以利用具有授权权限的第一用户账号,登录到用户权限***提供的用户管理页面,并在该用户管理页面上添加用户,例如第二用户账号,以及选择第二用户账号要加入的用户组或用户角色,之后点击授权选项。而后,用户权限***可以校验第一用户账号是否具有将第二用户账号加入该用户组或用户角色的权限。若校验通过,则授权成功。具体地,在校验通过后,用户权限***可以建立第二用户账号和所加入的用户组之间的关联关系,或者建立第二用户账号和所加入的用户角色之间的关联关系,例如将第二用户账号和该用户角色对应存储到前文中的第一关系表。
对于权限申请,结合图5的图示,在想要将某个用户,例如第二用户账号,加入用户组或用户角色时,可以通过目标浏览器利用具有授权权限的第一用户账号,登录到用户权限***提供的权限申请界面,并通过该权限申请界面向用户权限***提交权限申请请求,其中包括第一用户账号,第二用户账号,以及第二用户账号将要加入的用户组或用户角色。之后,用户权限***可以根据权限申请请求,向工作流引擎发起审批流程。例如,用户权限***可以向工作流引擎发送权限申请审批请求,其中包括第一用户账号,第二用户账号,以及第二用户账号将要加入的用户组或用户角色。接着,工作流引擎可以创建审批工单,并将该审批工单提交给相应的负责人,由该负责人进行审批。接着,工作流引擎可以响应于接收到负责人返回的审批结果,将审批结果发送至用户权限***。接着,用户权限***可以根据审批结果确定审批是否通过。若审批未通过,用户权限***可以向目标浏览器返回申请失败信息。若审批通过,用户权限***可以将用户,也即第二用户账号,添加到该用户组或该用户角色,并向目标浏览器返回申请成功信息。
实践中,用户权限***还可以具有用户权限数据同步能力。例如,用户权限***可以接收与第一应用***有关的用户权限数据同步请求,其中包括目标存储地址,目标存储地址指示的存储位置(例如某个云存储位置)存放有第一应用***的用户权限数据。而后,用户权限***可以根据目标存储地址,从该存储位置获取用户权限数据,并对该用户权限数据进行本地存储。进一步地,用户权限***可以根据该用户权限数据,对前文中描述的第一关系表和/或第二关系表进行更新。
可选地,在获取到用户权限数据后,可以对用户权限数据进行转换、校验等处理,以确保用户权限数据的可用性。
需要说明,用户权限***可以支持手动同步和定时同步。上述用户权限数据同步请求可以是手动触发的,也可以是定时触发的,在此不做具体限定。另外,用户权限***支持自定义配置,定时任务可以是使用者根据实际同步需求配置的。
在一个实施例中,使用者还可以根据实际通知需求,配置用户通知策略。这样,在数据同步过程中,如果出现数据异常等情况,用户权限***可以根据用户通知策略,通知相应的用户。其中,用户通知策略例如可以包括用于接收通知消息的用户账号,以及通知方式,该通知方式例如可以包括邮件、短信、和/或站内消息,等等。
作为示例,用户权限***可以配置有与第一应用***有关的用户通知策略。在执行根据用户权限数据对前文中描述的第一关系表和/或第二关系表进行更新的操作后,若第一关系表和/或第二关系表中原有的数据发生变更,用户权限***可以根据该用户通知策略,向第一应用***的相关用户推送数据变更通知消息。
在一个实施例中,用户权限***可以提供高度可配置化的插件中心和/或规则中心。通过提供插件中心,可以方便使用者自定义开发服务插件,来完成服务定制的逻辑。通过提供规则中心,可以方便使用者自定义各种规则来完成服务定制的逻辑。
根据前文中描述的内容,本说明书实施例提供的方案中的用户权限***可以具有多种用户权限处理能力,例如用户登录认证能力,访问控制能力,权限授权能力,用户权限数据同步能力,自定义配置能力,用户通知能力,等等。可见,该用户权限***具有较为完整的用户权限处理能力,以及具有通用、灵活、简单等特性,能很好的适配多***多应用场景。
另外,用户权限***的实现方案,可以全面采用面向云原生的开源技术栈进行开发。基于此,该用户权限***不仅能满足AI和边缘的场景,还能适用于所有面向云原生的web应用场景。此外,该用户权限***较为轻量,接入使用成本低,基于云原生技术开发,能支持单独部署在客户机房。
进一步参考图6,本说明书提供了一种用户权限处理装置的一个实施例,该装置可以应用于如图1所示的用户权限***,用户权限***接入多个应用***。
如图6所示,本实施例的用户权限处理装置600包括:接收单元601、登录认证单元602和发送单元603。其中,接收单元601被配置成从上述多个应用***中的第一应用***接收针对用户的登录认证请求,其由第一应用***在根据用户针对目标对象的操作请求,对用户登录认证失败后发送;登录认证单元602被配置成根据登录认证请求,确定用户是否关联有效的目标登录标记,其由用户权限***在用户利用目标用户账号成功登录上述多个应用***中的第二应用***后生成;发送单元603被配置成响应于登录认证单元的确定结果为是,将目标登录标记发送至第一应用***,使得第一应用***基于目标登录标记生成并保存第一文件,以用于登录认证。
在一些实施例中,上述装置600还可以包括:***注册单元604,被配置成建立目标用户账号和第一应用***之间的关联关系。
在一些实施例中,上述装置600还可以包括:第一接收单元(图中未示出),被配置成在接收单元601从上述多个应用***中的第一应用***接收针对用户的登录认证请求之前,从目标浏览器接收用户针对第二应用***的登录请求,其中包括目标用户账号;第一登录认证单元(图中未示出),被配置成根据登录请求,对用户进行登录认证;第一生成单元(图中未示出),被配置成响应于用户通过登录认证,为用户生成目标登录标记,并将目标登录标记发送至第二应用***,使得第二应用***基于目标登录标记生成并保存第二文件,以用于登录认证。
在一些实施例中,***注册单元604还可以被配置成:建立第二应用***和目标登录标记各自与目标用户账号的关联关系。
在一些实施例中,第一文件包括第一登录凭证,第一登录凭证通过对目标登录标记进行加密而获得。第二文件包括第二登录凭证,第二登录凭证通过对目标登录标记进行加密而获得。
在一些实施例中,第一文件为第一cookie文件,第二文件为第二cookie文件。
在一些实施例中,目标用户账号可以为第三方账号;以及第一登录认证单元可以进一步被配置成:向第三方账号所归属的第三方服务平台发送针对用户的登录认证请求;第一接收单元可以进一步被配置成:接收第三方服务平台返回的登录认证结果。
在一些实施例中,用户权限***可以包括权限客户端和权限服务端,接收单元601、登录认证单元602和发送单元603可以具体应用于权限客户端,***注册单元604可以具体应用于权限服务端。另外,第一接收单元、第一登录认证单元和第一生成单元可以具体应用于权限服务端。
在一些实施例中,上述操作请求可以包括目标对象的对象标识和操作方式;以及上述装置600还可以包括:第二接收单元(图中未示出),被配置成从第一应用***接收与目标对象有关的权限验证请求,其中包括对象标识、操作方式和目标用户账号,并且由第一应用***在生成第一文件后根据上述操作请求生成;第一获取单元(图中未示出),被配置成获取目标用户账号关联的目标用户角色;第二获取单元(图中未示出),被配置成获取目标用户角色关联的目标权限;权限验证单元(图中未示出),被配置成根据目标权限,确定用户是否具有针对目标对象执行操作方式指示的操作的权限;第二生成单元(图中未示出),被配置成响应于权限验证单元的确定结果为是,生成并返回权限验证通过结果。
在一些实施例中,目标用户账号已加入若干个用户组,该若干个用户组分别关联用户角色;以及第一获取单元可以进一步被配置成:获取该若干个用户组分别关联的用户角色作为目标用户角色。
在一些实施例中,用户权限***可以建立有第一关系表和第二关系表,第一关系表用于表征用户账号和用户角色之间的关联关系,第二关系表用于表征用户角色和权限之间的关联关系;以及第一获取单元可以进一步被配置成:从第一关系表中获取目标用户角色;第二获取单元可以进一步被配置成:从第二关系表中获取目标权限。
在一些实施例中,目标对象为目标页面,对象标识为页面标识,且操作方式为浏览;以及权限验证通过结果还包括,目标权限中关联于页面标识的页面权限,其中,页面权限包括菜单权限和/或页面元素权限,用于页面渲染控制。
在一些实施例中,上述装置600还可以包括:第三接收单元(图中未示出),被配置成接收与第一应用***有关的用户权限数据同步请求,其中包括目标存储地址,目标存储地址指示的存储位置存放有第一应用***的用户权限数据;第三获取单元(图中未示出),被配置成根据目标存储地址,从该存储位置获取用户权限数据;数据更新单元(图中未示出),被配置成根据该用户权限数据对第一关系表和/或第二关系表进行更新。
在一些实施例中,用户权限***可以配置有与第一应用***有关的用户通知策略;以及上述装置600还可以包括:通知单元(图中未示出),被配置成在数据更新单元对第一关系表和/或第二关系表进行更新后,若第一关系表和/或第二关系表中原有的数据发生变更,则根据该用户通知策略,向第一应用***的相关用户推送数据变更通知消息。
在图6对应的装置实施例中,各单元的具体处理及其带来的技术效果可参考前文中方法实施例的相关说明,在此不再赘述。
本说明书实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,其中,当该计算机程序在计算机中执行时,令计算机执行以上各方法实施例分别描述的用户权限处理方法。
本说明书实施例还提供了一种计算设备,包括存储器和处理器,其中,该存储器中存储有可执行代码,该处理器执行该可执行代码时,实现以上各方法实施例分别描述的用户权限处理方法。
本说明书实施例还提供了一种计算机程序,其中,当该计算机程序在计算机中执行时,令计算机执行以上各方法实施例分别描述的用户权限处理方法。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本说明书披露的多个实施例所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
以上所述的具体实施方式,对本说明书披露的多个实施例的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本说明书披露的多个实施例的具体实施方式而已,并不用于限定本说明书披露的多个实施例的保护范围,凡在本说明书披露的多个实施例的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本说明书披露的多个实施例的保护范围之内。
Claims (14)
1.一种用户权限处理方法,应用于用户权限***,所述用户权限***接入多个应用***,所述方法包括:
从所述多个应用***中的第一应用***接收针对用户的登录认证请求,其由所述第一应用***在根据所述用户针对目标对象的操作请求,对所述用户登录认证失败后发送;
根据所述登录认证请求,确定所述用户是否关联有效的目标登录标记,其由所述用户权限***在所述用户利用目标用户账号成功登陆所述多个应用***中的第二应用***后生成;
响应于确定结果为是,将所述目标登录标记发送至所述第一应用***,使得所述第一应用***基于所述目标登录标记生成并保存第一文件,以用于登录认证。
2.根据权利要求1所述的方法,其中,在所述从所述多个应用***中的第一应用***接收针对用户的登录认证请求之前,还包括:
从目标浏览器接收所述用户针对所述第二应用***的登录请求,其中包括所述目标用户账号;
根据所述登录请求,对所述用户进行登录认证;
响应于所述用户通过登录认证,为所述用户生成所述目标登录标记,并将所述目标登录标记发送至所述第二应用***,使得所述第二应用***基于所述目标登录标记生成并保存第二文件,以用于登录认证。
3.根据权利要求2所述的方法,其中,所述目标用户账号为第三方账号;以及
所述对所述用户进行登录认证,包括:
向所述第三方账号所归属的第三方服务平台发送针对所述用户的登录认证请求;
接收所述第三方服务平台返回的登录认证结果。
4.根据权利要求1所述的方法,其中,所述操作请求包括所述目标对象的对象标识和操作方式;以及
所述方法还包括:
从所述第一应用***接收与所述目标对象有关的权限验证请求,其中包括所述对象标识、所述操作方式和所述目标用户账号,并且由所述第一应用***在生成所述第一文件后根据所述操作请求生成;
获取所述目标用户账号关联的目标用户角色;
获取所述目标用户角色关联的目标权限;
根据所述目标权限,确定所述用户是否具有针对所述目标对象执行所述操作方式指示的操作的权限;
若确定结果为是,则生成并返回权限验证通过结果。
5.根据权利要求4所述的方法,其中,所述目标用户账号已加入若干个用户组,所述若干个用户组分别关联用户角色;以及
所述获取所述目标用户账号关联的目标用户角色,包括:
获取所述若干个用户组分别关联的用户角色作为所述目标用户角色。
6.根据权利要求4所述的方法,其中,所述用户权限***建立有第一关系表和第二关系表,所述第一关系表用于表征用户账号和用户角色之间的关联关系,所述第二关系表用于表征用户角色和权限之间的关联关系;以及
所述获取所述目标用户账号关联的目标用户角色,包括:
从所述第一关系表中获取所述目标用户角色;
所述获取所述目标用户角色关联的目标权限,包括:
从所述第二关系表中获取所述目标权限。
7.根据权利要求6所述的方法,还包括:
接收与所述第一应用***有关的用户权限数据同步请求,其中包括目标存储地址,所述目标存储地址指示的存储位置存放有所述第一应用***的用户权限数据;
根据所述目标存储地址,从所述存储位置获取所述用户权限数据,并根据所述用户权限数据对所述第一关系表和/或所述第二关系表进行更新。
8.根据权利要求7所述的方法,其中,所述用户权限***配置有与所述第一应用***有关的用户通知策略;以及
在对所述第一关系表和/或所述第二关系表进行更新后,还包括:
若所述第一关系表和/或所述第二关系表中原有的数据发生变更,则根据所述用户通知策略,向所述第一应用***的相关用户推送数据变更通知消息。
9.根据权利要求2所述的方法,其中,所述第一文件为第一cookie文件,所述第二文件为第二cookie文件。
10.根据权利要求2所述的方法,其中,在所述将所述目标登录标记发送至所述第一应用***之后,还包括:
建立所述目标用户账号和所述第一应用***之间的关联关系;
在所述将所述目标登录标记发送至所述第二应用***之后,还包括:
建立所述第二应用***和所述目标登录标记各自与所述目标用户账号的关联关系。
11.一种用户权限处理方法,包括:
第一应用***在根据用户针对目标对象的操作请求对所述用户登录认证失败后,向用户权限***发送针对所述用户的登录认证请求,其中,所述第一应用***为所述用户权限***接入的多个应用***之一;
所述用户权限***根据所述登录认证请求,确定所述用户是否关联有效的目标登录标记,其由所述用户权限***在所述用户利用目标用户账号成功登陆所述多个应用***中的第二应用***后生成;
所述用户权限***响应于确定结果为是,将所述目标登录标记发送至所述第一应用***;
所述第一应用***基于所述目标登录标记生成并保存第一文件。
12.根据权利要求11所述的方法,其中,所述基于所述目标登录标记生成并保存第一文件,包括:
对所述目标登录标记进行加密,并将加密结果作为第一登录凭证;
生成并保存包括所述第一登录凭证的第一文件。
13.一种用户权限处理装置,应用于用户权限***,所述用户权限***接入多个应用***,所述装置包括:
接收单元,被配置成从所述多个应用***中的第一应用***接收针对用户的登录认证请求,其由所述第一应用***在根据所述用户针对目标对象的操作请求,对所述用户登录认证失败后发送;
登录认证单元,被配置成根据所述登录认证请求,确定所述用户是否关联有效的目标登录标记,其由所述用户权限***在所述用户利用目标用户账号成功登录所述多个应用***中的第二应用***后生成;
发送单元,被配置成响应于所述登录认证单元的确定结果为是,将所述目标登录标记发送至所述第一应用***,使得所述第一应用***基于所述目标登录标记生成并保存第一文件,以用于登录认证。
14.一种计算设备,包括存储器和处理器,其中,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1-10中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210165735.4A CN114297598B (zh) | 2022-02-23 | 2022-02-23 | 用户权限处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210165735.4A CN114297598B (zh) | 2022-02-23 | 2022-02-23 | 用户权限处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114297598A true CN114297598A (zh) | 2022-04-08 |
| CN114297598B CN114297598B (zh) | 2022-07-05 |
Family
ID=80978245
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210165735.4A Active CN114297598B (zh) | 2022-02-23 | 2022-02-23 | 用户权限处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114297598B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114745203A (zh) * | 2022-05-13 | 2022-07-12 | 长扬科技(北京)有限公司 | 一种用户账号全生命周期的监控方法及装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030163733A1 (en) * | 2002-02-28 | 2003-08-28 | Ericsson Telefon Ab L M | System, method and apparatus for federated single sign-on services |
| CN101114327A (zh) * | 2006-07-28 | 2008-01-30 | 佳能株式会社 | 权限管理设备、权限管理***和权限管理方法 |
| CN102868704A (zh) * | 2012-10-11 | 2013-01-09 | 北京新媒传信科技有限公司 | 一种单点登录的方法和*** |
| US20140068702A1 (en) * | 2012-08-31 | 2014-03-06 | Avaya Inc. | Single sign-on system and method |
| CN106330829A (zh) * | 2015-06-26 | 2017-01-11 | 东方电气集团东方电机有限公司 | 一种采用中间件实现单点登录的方法和*** |
| US10069812B1 (en) * | 2014-03-14 | 2018-09-04 | Intuit Inc. | Technique for facilitating auto login to a website |
| CN110784433A (zh) * | 2018-07-31 | 2020-02-11 | 阿里巴巴集团控股有限公司 | 一种用户访问处理方法、装置及设备 |
| CN112995131A (zh) * | 2021-02-01 | 2021-06-18 | 北京拉勾网络技术有限公司 | 一种页面登录方法、***及计算设备 |
| CN113239344A (zh) * | 2021-05-12 | 2021-08-10 | 建信金融科技有限责任公司 | 一种访问权限控制方法和装置 |
| CN113821784A (zh) * | 2021-10-13 | 2021-12-21 | 鼎道智联(北京)科技有限公司 | 多***单点登录方法、装置及计算机可读存储介质 |
-
2022
- 2022-02-23 CN CN202210165735.4A patent/CN114297598B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030163733A1 (en) * | 2002-02-28 | 2003-08-28 | Ericsson Telefon Ab L M | System, method and apparatus for federated single sign-on services |
| CN101114327A (zh) * | 2006-07-28 | 2008-01-30 | 佳能株式会社 | 权限管理设备、权限管理***和权限管理方法 |
| US20140068702A1 (en) * | 2012-08-31 | 2014-03-06 | Avaya Inc. | Single sign-on system and method |
| CN102868704A (zh) * | 2012-10-11 | 2013-01-09 | 北京新媒传信科技有限公司 | 一种单点登录的方法和*** |
| US10069812B1 (en) * | 2014-03-14 | 2018-09-04 | Intuit Inc. | Technique for facilitating auto login to a website |
| CN106330829A (zh) * | 2015-06-26 | 2017-01-11 | 东方电气集团东方电机有限公司 | 一种采用中间件实现单点登录的方法和*** |
| CN110784433A (zh) * | 2018-07-31 | 2020-02-11 | 阿里巴巴集团控股有限公司 | 一种用户访问处理方法、装置及设备 |
| CN112995131A (zh) * | 2021-02-01 | 2021-06-18 | 北京拉勾网络技术有限公司 | 一种页面登录方法、***及计算设备 |
| CN113239344A (zh) * | 2021-05-12 | 2021-08-10 | 建信金融科技有限责任公司 | 一种访问权限控制方法和装置 |
| CN113821784A (zh) * | 2021-10-13 | 2021-12-21 | 鼎道智联(北京)科技有限公司 | 多***单点登录方法、装置及计算机可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 向伟等: "统一权限管理***单点登录的实现", 《武汉理工大学学报(信息与管理工程版)》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114745203A (zh) * | 2022-05-13 | 2022-07-12 | 长扬科技(北京)有限公司 | 一种用户账号全生命周期的监控方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114297598B (zh) | 2022-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11824970B2 (en) | Systems, methods, and apparatuses for implementing user access controls in a metadata driven blockchain operating via distributed ledger technology (DLT) using granular access objects and ALFA/XACML visibility rules | |
| JP7451565B2 (ja) | 共有の秘密及び読み取りの合意を用いてメタデータ駆動型ブロックチェーン上で忘れられる権利を実施するシステム又は方法 | |
| US11899817B2 (en) | Systems, methods, and apparatuses for storing PII information via a metadata driven blockchain using distributed and decentralized storage for sensitive user information | |
| US11743137B2 (en) | Systems, methods, and apparatuses for implementing a metadata driven rules engine on blockchain using distributed ledger technology (DLT) | |
| US11611560B2 (en) | Systems, methods, and apparatuses for implementing consensus on read via a consensus on write smart contract trigger for a distributed ledger technology (DLT) platform | |
| US11418510B2 (en) | Systems, methods, and apparatuses for implementing a role based access control and authorization validator via blockchain smart contract execution using distributed ledger technology (DLT) | |
| US20220021711A1 (en) | Security Platform and Method for Efficient Access and Discovery | |
| US11928233B2 (en) | Distributed data rights management for peer data pools | |
| US9053302B2 (en) | Obligation system for enterprise environments | |
| US7640429B2 (en) | Cryptographically enforced, multiple-role, policy-enabled object dissemination control mechanism | |
| US11888856B2 (en) | Secure resource authorization for external identities using remote principal objects | |
| JP2004164600A (ja) | オンライン識別の同意ポリシーを適用する方法およびシステム | |
| CN103095720B (zh) | 一种基于会话管理服务器的云存储***的安全管理方法 | |
| US11233800B2 (en) | Secure resource authorization for external identities using remote principal objects | |
| CN114297598B (zh) | 用户权限处理方法及装置 | |
| JP2020038438A (ja) | 管理装置、管理システム及びプログラム | |
| CN115699003A (zh) | 文件验证***和方法 | |
| Fossen | Exploring Capability-based security in software design with Rust | |
| Guerrero et al. | Security model in XSA | |
| Peterkin et al. | Role based access control for uddi inquiries | |
| Agoda-Koussema | Study on the highly reliable and secure data management system under weak ICT environment by blockchain technology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |