CN114564706A - 一种用户权限管理方法、装置、电子设备及存储介质 - Google Patents

一种用户权限管理方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN114564706A
CN114564706A CN202210178440.0A CN202210178440A CN114564706A CN 114564706 A CN114564706 A CN 114564706A CN 202210178440 A CN202210178440 A CN 202210178440A CN 114564706 A CN114564706 A CN 114564706A
Authority
CN
China
Prior art keywords
current user
hdfs cluster
operation command
user
hdfs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210178440.0A
Other languages
English (en)
Inventor
汤高蒙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN202210178440.0A priority Critical patent/CN114564706A/zh
Publication of CN114564706A publication Critical patent/CN114564706A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/182Distributed file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供一种用户权限管理方法、装置、电子设备及存储介质,该方法包括:获取当前用户的HDFS集群连接信息;根据HDFS集群连接信息,在当前用户与HDFS集群之间的通信路径上,拦截当前用户向HDFS集群发送的文件操作命令;按照当前权限列表,验证当前用户是否具备该文件操作命令的使用权限;在当前用户具备该文件操作命令的使用权限时,释放该文件操作命令,以使该文件操作命令通过通信路径传输到HDFS集群。上述方案提供的方法,通过验证用户针对HDFS资源目录或文件的具体操作的权限,实现了细粒度的用户权限管理,避免出现赋予用户过大权限的情况,提高了HDFS的安全性。

Description

一种用户权限管理方法、装置、电子设备及存储介质
技术领域
本申请涉及数据管理技术领域,尤其涉及一种用户权限管理方法、装置、电子设备及存储介质。
背景技术
分布式文件***(Hadoop Distributed File System,简称:HDFS)常常以集群的形式部署到多个服务器上,即以集群的形式提供服务器。当用户需要访问HDFS中的文件时,需要获取对应服务器和该文件的访问权限。
在现有技术中,HDFS权限与服务器***的文件和目录权限模型一致,具有可读、可写、可执行三种权限组合,例如当用户具备文件的可读和可执行两个权限组合的情况下,可以查看该文件。
但是,由于HDFS中的文件众多,且文件操作类型存在一定的多样性,若基于现有技术管理用户权限,往往会出现赋予用户过大权限的情况,无法保证HDFS的安全性。
发明内容
本申请提供一种用户权限管理方法、装置、电子设备及存储介质,以解决现有技术无法保证HDFS的安全性等缺陷。
本申请第一个方面提供一种用户权限管理方法,包括:
获取当前用户的HDFS集群连接信息;
根据所述HDFS集群连接信息,在所述当前用户与HDFS集群之间的通信路径上,拦截所述当前用户向所述HDFS集群发送的文件操作命令;
按照当前权限列表,验证所述当前用户是否具备该文件操作命令的使用权限;
在所述当前用户具备该文件操作命令的使用权限时,释放该文件操作命令,以使该文件操作命令通过所述通信路径传输到所述HDFS集群。
可选的,所述根据所述HDFS集群连接信息,在所述当前用户与HDFS集群之间的通信路径上,拦截所述当前用户向所述HDFS集群发送的文件操作命令,包括:
根据所述HDFS集群连接信息,在所述当前用户与HDFS集群之间的通信路径上部署监管插件;
基于所述监管插件,拦截所述当前用户向所述HDFS集群发送的文件操作命令。
可选的,所述根据所述HDFS集群连接信息,在所述当前用户与HDFS集群之间的通信路径上部署监管插件,包括:
根据所述HDFS集群连接信息,确定所述当前用户与HDFS集群之间的通信路径上的总节点;
将所述监管插件部署到所述总节点。
可选的,所述按照当前权限列表,验证所述当前用户是否具备该文件操作命令的使用权限,包括:
根据所述文件操作命令的组成信息,确定所述当前用户待操作的目标文件;
根据所述当前权限列表所表征的所述当前用户与目标文件之间操作权限,验证所述当前用户是否具备该文件操作命令的使用权限。
可选的,还包括:
在所述当前用户不具备该文件操作命令的使用权限时,生成异常提示信息。
可选的,在获取当前用户的HDFS集群连接信息之前,所述方法还包括:
获取所述当前用户的HDFS集群访问请求;
根据所述HDFS集群访问请求,在多个HDFS集群中定位待访问HDFS集群;
根据所述待访问HDFS集群的配置文件,建立用户端与所述待访问HDFS集群之间的连接。
可选的,所述文件操作命令包括用于访问所述HDFS集群的Linux命令。
本申请第二个方面提供一种用户权限管理装置,包括:
获取模块,用于获取当前用户的HDFS集群连接信息;
拦截模块,用于根据所述HDFS集群连接信息,在所述当前用户与HDFS集群之间的通信路径上,拦截所述当前用户向所述HDFS集群发送的文件操作命令;
权限验证模块,用于按照当前权限列表,验证所述当前用户是否具备该文件操作命令的使用权限;
管理模块,用于在所述当前用户具备该文件操作命令的使用权限时,释放该文件操作命令,以使该文件操作命令通过所述通信路径传输到所述HDFS集群。
可选的,所述拦截模块,具体用于:
根据所述HDFS集群连接信息,在所述当前用户与HDFS集群之间的通信路径上部署监管插件;
基于所述监管插件,拦截所述当前用户向所述HDFS集群发送的文件操作命令。
可选的,所述拦截模块,具体用于:
根据所述HDFS集群连接信息,确定所述当前用户与HDFS集群之间的通信路径上的总节点;
将所述监管插件部署到所述总节点。
可选的,所述权限验证模块,具体用于:
根据所述文件操作命令的组成信息,确定所述当前用户待操作的目标文件;
根据所述当前权限列表所表征的所述当前用户与目标文件之间操作权限,验证所述当前用户是否具备该文件操作命令的使用权限。
可选的,所述管理模块,还用于:
在所述当前用户不具备该文件操作命令的使用权限时,生成异常提示信息。
可选的,所述获取模块,还用于:
获取所述当前用户的HDFS集群访问请求;
根据所述HDFS集群访问请求,在多个HDFS集群中定位待访问HDFS集群;
根据所述待访问HDFS集群的配置文件,建立用户端与所述待访问HDFS集群之间的连接。
可选的,所述文件操作命令包括用于访问所述HDFS集群的Linux命令。
本申请第三个方面提供一种电子设备,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第一个方面以及第一个方面各种可能的设计所述的方法。
本申请第四个方面提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第一个方面以及第一个方面各种可能的设计所述的方法。
本申请技术方案,具有如下优点:
本申请提供一种用户权限管理方法、装置、电子设备及存储介质,该方法包括:获取当前用户的HDFS集群连接信息;根据HDFS集群连接信息,在当前用户与HDFS集群之间的通信路径上,拦截当前用户向HDFS集群发送的文件操作命令;按照当前权限列表,验证当前用户是否具备该文件操作命令的使用权限;在当前用户具备该文件操作命令的使用权限时,释放该文件操作命令,以使该文件操作命令通过通信路径传输到HDFS集群。上述方案提供的方法,通过验证用户针对HDFS资源目录或文件的具体操作的权限,实现了细粒度的用户权限管理,避免出现赋予用户过大权限的情况,提高了HDFS的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本申请实施例基于的用户权限管理***的结构示意图;
图2为本申请实施例提供的用户权限管理方法的流程示意图;
图3为本申请实施例提供的示例性的权限管理中心的界面示意图;
图4为本申请实施例提供的示例性的用户权限管理方法的应用平台结构示意图;
图5为本申请实施例提供的用户权限管理装置的结构示意图;
图6为本申请实施例提供的电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。在以下各实施例的描述中,“多个”的含义是两个以上,除非另有明确具体的限定。
在现有技术中,HDFS分布式文件***权限与Linux***的文件和目录权限模型一致具有:可读、可写和可执行三种权限组合,但是HDFS集群操作却有很多,例如:HDFS查询操作:“hdfsdfs-ls/test”,此命令ls需要当前用户对资源/test目录具有可读和可执行两个权限组合才可以执行,缺一不可。这就导致在HDFS操作众多命令中,与各式各样的权限组合是多对一的关系,导致对于HDFS操作权限粒度管理不足,权限容易扩大。也会容易导致HDFS的操作不知道需要什么权限组合。比如:HDFS的chmod操作,由于不知道需要可读或者可写,还是可执行权限或者三者任意混合权限,导致赋权失败,影响用户操作。
针对上述问题,本申请实施例提供的用户权限管理方法、装置、电子设备及存储介质,通过获取当前用户的HDFS集群连接信息;根据HDFS集群连接信息,在当前用户与HDFS集群之间的通信路径上,拦截当前用户向HDFS集群发送的文件操作命令;按照当前权限列表,验证当前用户是否具备该文件操作命令的使用权限;在当前用户具备该文件操作命令的使用权限时,释放该文件操作命令,以使该文件操作命令通过通信路径传输到HDFS集群。上述方案提供的方法,通过验证用户针对HDFS资源目录或文件的具体操作的权限,实现了细粒度的用户权限管理,避免出现赋予用户过大权限的情况,提高了HDFS的安全性。
下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本发明实施例进行描述。
首先,对本申请所基于的用户权限管理***的结构进行说明:
本申请实施例提供的用户权限管理方法、装置、电子设备及存储介质,适用于管理HDFS的用户访问权限。如图1所示,为本申请实施例基于的用户权限管理***的结构示意图,主要包括DHFS集群、客户端和用户权限管理装置。具体地,用户基于客户端向DHFC集群发送文件操作命令,该文件操作命令需要通过用户权限管理装置的权限验证,才能顺利到达DHFC集群。
本申请实施例提供了一种用户权限管理方法,用于对HDFS的用户操作权限进行管理和验证。本申请实施例的执行主体为电子设备,比如服务器、台式电脑、笔记本电脑、平板电脑及其他可用于HDFS的用户操作权限进行管理和验证的电子设备。
如图2所示,为本申请实施例提供的用户权限管理方法的流程示意图,该方法包括:
步骤201,获取当前用户的HDFS集群连接信息。
需要说明的是,HDFS集群连接信息具体指当前用户所基于的客户端与HDFS集群之间通信路径的节点连接信息。
步骤202,根据HDFS集群连接信息,在当前用户与HDFS集群之间的通信路径上,拦截当前用户向HDFS集群发送的文件操作命令。
其中,由于一个HDFS集群包括多个HDFS服务器,用户与不同HDFS服务器的通信路径不同,因此为了实现HDFS集群的统一,可以在每个HDFS服务器的通信路径均包含的公共节点设置文件操作命令拦截机制,以能够拦截当前用户向HDFS集群发送的所有文件操作命令。
步骤203,按照当前权限列表,验证当前用户是否具备该文件操作命令的使用权限。
需要说明的是,当前权限列表是当前用户待访问的HDFS集群的用户权限列表,至少记载有用户名称和具备使用权限的文件操作命令的名称。
其中,文件操作命令是包括用于访问HDFS集群的Linux命令,例如查看(ls)命令、创建目录(mkdir)命令和修改权限(chmod)等。
步骤204,在当前用户具备该文件操作命令的使用权限时,释放该文件操作命令,以使该文件操作命令通过通信路径传输到HDFS集群。
具体地,若当前权限列表记录内容,表征当前用户具备该文件操作命令的使用权限,则取消对该文件操作命令的拦截,即释放该文件操作命令,以使该文件操作命令能够通过通信路径正常传输到HDFS集群,并在HDFS集群实现文件操作命令的执行操作。
在上述实施例的基础上,作为一种可实施的方式,在一实施例中,根据HDFS集群连接信息,在当前用户与HDFS集群之间的通信路径上,拦截当前用户向HDFS集群发送的文件操作命令,包括:
步骤2021,根据HDFS集群连接信息,在当前用户与HDFS集群之间的通信路径上部署监管插件;
步骤2022,基于监管插件,拦截当前用户向HDFS集群发送的文件操作命令。
其中,该监管插件即为上述文件操作命令拦截机制的一种。
具体地,在一实施例中,可以根据HDFS集群连接信息,确定当前用户与HDFS集群之间的通信路径上的总节点;将监管插件部署到总节点。
需要说明的是,考虑到HDFS集群本身网络架构的特点,总节点可以是NameNode节点,NameNode节点维护着文件***树及整棵树内所有的文件和目录,是HDFS集群的任一文件操作命令都必经的节点。
示例性的,在监管插件部署工作中,不仅要考虑监管插件的安装位置,还需要确定监管插件连接信息、元数据存储配置和用户数据等。其中,监管插件可以从HDFS集群中调用过来的,连接信息具体可以是HDFS集群插件连接信息,即该监管插件在HDFS集群中的调用地址。元数据存储配置可以是HDFS集群元数据的存储配置,例如:Database Name:hdfs1;Database Username:hdfs1;DatabasePassword:hdfs1;JDBC:jdbc:mysql://manager.bigdata:3306/hdfs1。用户数据配置用于同步部署有HDFS集群的服务器的用户信息,同时提供用户筛选机制,以仅同步可能访问该HDFS集群的用户数据,例如:SyncSource:Linux;Minimum User ID:500;Password File:/etc/passwd;Group File:/etc/group,表示同步Linux***上用户ID大于500的用户/用户组及对应的密码。
在上述实施例的基础上,作为一种可实施的方式,在一实施例中,按照当前权限列表,验证当前用户是否具备该文件操作命令的使用权限,包括:
步骤2031,根据文件操作命令的组成信息,确定当前用户待操作的目标文件;
步骤2032,根据当前权限列表所表征的当前用户与目标文件之间操作权限,验证当前用户是否具备该文件操作命令的使用权限。
其中,文件操作命令的组成元素通常包括用户名、待操作的目标文件和操作类型。
具体地,可以在当前权限列表中定位该用户名和目标文件的数据项,该数据项中记载有当前用户可对该目标文件执行操作的类型,即体现了当前用户与目标文件之间操作权限。然后判断当前拦截的文件操作命令是否包含在该数据项中,若是,则确定当前用户是否具备该文件操作命令的使用权限;反之则确定当前用户不具备该文件操作命令的使用权限。
进一步地,在一实施例中,可以在当前用户不具备该文件操作命令的使用权限时,生成异常提示信息。
其中,该异常提示信息用于向相关权限管理人员提示该用户不具备该文件操作命令的使用权限,请赋予用户对该文件操作命令的使用权限。
示例性的,如图3所示,为本申请实施例提供的示例性的权限管理中心的界面示意图,若要在hdfs1集群中设定用户lisi对/person/user1目录有ls命令的使用权限,并且是递归操作,那么可以在权限管理中心设定为:hdfs1|/person/user1|lisi|-|ls|yes|allow,在完成设定后,用户lisi将具备对/person/user1目录进行ls命令操作的权限。其中,赋予递归操作权限的含义是在用户对某一文件具备ls命令操作的权限的情况下,该用户同样对该文件目录下的子文件具备ls命令操作的权限。其中,图3中的service表示HDFS集群,source表示HDFS资源(文件),users表示用户名,groups表示资源类型,permissions具备的操作权限,recursive递归,statue表示是否允许递归。
在上述实施例的基础上,为了适应多HDFS集群的应用场景,作为一种可实施的方式,在一实施例中,在获取当前用户的HDFS集群连接信息之前,该方法还包括:
步骤301,获取当前用户的HDFS集群访问请求;
步骤302,根据HDFS集群访问请求,在多个HDFS集群中定位待访问HDFS集群;
步骤303,根据待访问HDFS集群的配置文件,建立用户端与待访问HDFS集群之间的连接。
其中,当前用户的HDFS集群访问请求至少包括待访问HDFS集群的标识信息,待访问HDFS集群的配置文件至少包括待访问HDFS集群的网络地址,用于为后续的连接建立工作提供指导。
具体地,在实际应用中,建立用户端与待访问HDFS集群之间的连接的工作可以在用户端的可视化WebUI页面进行,具体可以通过对待访问HDFS集群配置文件进行补充填写,实现用户端与待访问HDFS集群之间连接的建立。与此同时,还可以通过对监管插件相关信息进行补充填写,实现监管插件的部署工作,例如创建插件的安装、配置、启停、修改、删除等操作;同时对HDFS资源拥有查看、上传、创建、删除、重命名、移动、复制、概述、压缩等操作;在管理用户方面,有同步集群用户、新建、删除、编辑、查看等操作;在权限管理方面,对HDFS资源进行用户权限设定、更新、删除操作。
示例性的,如图4所示,为本申请实施例提供的示例性的用户权限管理方法的应用平台结构示意图,该平台包括可视化WebUI页面、配置装置、插件装置、用户管理装置、资源管理装置、权限管理装置和存储装置。其中,可视化WebUI页面用于对插件(监管插件)进行配置创建、查看、暂停、修改和删除等操作;配置装置用于配置该插件,具体可以根据插件配置信息进行插件安装,以将该插件安装在对应服务所在的节点;插件装置用于拦截并解析用户发送的文件操作命令(用户请求),以验证当前用户是否具备当前发送的文件操作命令的使用权限,同时插件装置还用于在服务器用户与前端页面之间为创建用户的双向同步通道;用户管理装置用于管理集群同步的用户和平台创建的用户,对用户在操作HDFS集群时进行认证,同时管理员可以对用户分配相应的权限;资源管理装置用于管理HDFS集群中的所有资源,例如管理某个HDFS集群的资源、资源的用户、用户组、权限、大小和文件数等属性;权限管理装置用于管理每个用户所具备的权限;存储装置用于保存元数据信息、HDFS集群资源信息、用户信息、用户权限信息、操作日志等信息,也用来存储设定的权限条件,还保存同步的用户数据、操作日志和登录信息等元数据。在权限管理中心(权限管理装置)设定的权限列表也保存在存储装置。每次权限装置进行用户资源操作判定时,都会从存储装置中获取权限列表,并与其用户资源操作条件进行对比,判定该用户是否有权限进行资源操作,即是否具备当前请求的文件操作命令的使用权限。
本申请实施例提供用户权限管理方法,通过获取当前用户的HDFS集群连接信息;根据HDFS集群连接信息,在当前用户与HDFS集群之间的通信路径上,拦截当前用户向HDFS集群发送的文件操作命令;按照当前权限列表,验证当前用户是否具备该文件操作命令的使用权限;在当前用户具备该文件操作命令的使用权限时,释放该文件操作命令,以使该文件操作命令通过通信路径传输到HDFS集群。上述方案提供的方法,通过验证用户针对HDFS资源目录或文件的具体操作的权限,实现了细粒度的用户权限管理,避免出现赋予用户过大权限的情况,提高了HDFS的安全性。并且,通过赋予用户具体目录和文件更具体更细粒度的操作权限,避免出现用户权限管理混乱,进而避免影响用户的正常操作。
本申请实施例提供了一种用户权限管理装置,用于执行上述实施例提供的用户权限管理方法。
如图5所示,为本申请实施例提供的用户权限管理装置的结构示意图。该用户权限管理装置50包括:获取模块501、拦截模块502、权限验证模块503和管理模块504。
其中,获取模块,用于获取当前用户的HDFS集群连接信息;拦截模块,用于根据HDFS集群连接信息,在当前用户与HDFS集群之间的通信路径上,拦截当前用户向HDFS集群发送的文件操作命令;权限验证模块,用于按照当前权限列表,验证当前用户是否具备该文件操作命令的使用权限;管理模块,用于在当前用户具备该文件操作命令的使用权限时,释放该文件操作命令,以使该文件操作命令通过通信路径传输到HDFS集群。
具体地,在一实施例中,拦截模块,具体用于:
根据HDFS集群连接信息,在当前用户与HDFS集群之间的通信路径上部署监管插件;
基于监管插件,拦截当前用户向HDFS集群发送的文件操作命令。
具体地,在一实施例中,拦截模块,具体用于:
根据HDFS集群连接信息,确定当前用户与HDFS集群之间的通信路径上的总节点;
将监管插件部署到总节点。
具体地,在一实施例中,权限验证模块,具体用于:
根据文件操作命令的组成信息,确定当前用户待操作的目标文件;
根据当前权限列表所表征的当前用户与目标文件之间操作权限,验证当前用户是否具备该文件操作命令的使用权限。
具体地,在一实施例中,管理模块,还用于:
在当前用户不具备该文件操作命令的使用权限时,生成异常提示信息。
具体地,在一实施例中,获取模块,还用于:
获取当前用户的HDFS集群访问请求;
根据HDFS集群访问请求,在多个HDFS集群中定位待访问HDFS集群;
根据待访问HDFS集群的配置文件,建立用户端与待访问HDFS集群之间的连接。
具体地,在一实施例中,文件操作命令包括用于访问HDFS集群的Linux命令。
关于本实施例中的用户权限管理装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本申请实施例提供的用户权限管理装置,用于执行上述实施例提供的用户权限管理方法,其实现方式与原理相同,不再赘述。
本申请实施例提供了一种电子设备,用于执行上述实施例提供的用户权限管理方法。
如图6所示,为本申请实施例提供的电子设备的结构示意图。该电子设备60包括:至少一个处理器61和存储器62。
存储器存储计算机执行指令;至少一个处理器执行存储器存储的计算机执行指令,使得至少一个处理器执行如上实施例提供的用户权限管理方法。
本申请实施例提供的一种电子设备,用于执行上述实施例提供的用户权限管理方法,其实现方式与原理相同,不再赘述。
本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,当处理器执行计算机执行指令时,实现如上任一实施例提供的用户权限管理方法。
本申请实施例的包含计算机可执行指令的存储介质,可用于存储前述实施例中提供的用户权限管理方法的计算机执行指令,其实现方式与原理相同,不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (10)

1.一种用户权限管理方法,其特征在于,包括:
获取当前用户的HDFS集群连接信息;
根据所述HDFS集群连接信息,在所述当前用户与HDFS集群之间的通信路径上,拦截所述当前用户向所述HDFS集群发送的文件操作命令;
按照当前权限列表,验证所述当前用户是否具备该文件操作命令的使用权限;
在所述当前用户具备该文件操作命令的使用权限时,释放该文件操作命令,以使该文件操作命令通过所述通信路径传输到所述HDFS集群。
2.根据权利要求1所述的方法,其特征在于,所述根据所述HDFS集群连接信息,在所述当前用户与HDFS集群之间的通信路径上,拦截所述当前用户向所述HDFS集群发送的文件操作命令,包括:
根据所述HDFS集群连接信息,在所述当前用户与HDFS集群之间的通信路径上部署监管插件;
基于所述监管插件,拦截所述当前用户向所述HDFS集群发送的文件操作命令。
3.根据权利要求2所述的方法,其特征在于,所述根据所述HDFS集群连接信息,在所述当前用户与HDFS集群之间的通信路径上部署监管插件,包括:
根据所述HDFS集群连接信息,确定所述当前用户与HDFS集群之间的通信路径上的总节点;
将所述监管插件部署到所述总节点。
4.根据权利要求1所述的方法,其特征在于,所述按照当前权限列表,验证所述当前用户是否具备该文件操作命令的使用权限,包括:
根据所述文件操作命令的组成信息,确定所述当前用户待操作的目标文件;
根据所述当前权限列表所表征的所述当前用户与目标文件之间操作权限,验证所述当前用户是否具备该文件操作命令的使用权限。
5.根据权利要求1所述的方法,其特征在于,还包括:
在所述当前用户不具备该文件操作命令的使用权限时,生成异常提示信息。
6.根据权利要求1所述的方法,其特征在于,在获取当前用户的HDFS集群连接信息之前,所述方法还包括:
获取所述当前用户的HDFS集群访问请求;
根据所述HDFS集群访问请求,在多个HDFS集群中定位待访问HDFS集群;
根据所述待访问HDFS集群的配置文件,建立用户端与所述待访问HDFS集群之间的连接。
7.根据权利要求1所述的方法,其特征在于,所述文件操作命令包括用于访问所述HDFS集群的Linux命令。
8.一种用户权限管理装置,其特征在于,包括:
获取模块,用于获取当前用户的HDFS集群连接信息;
拦截模块,用于根据所述HDFS集群连接信息,在所述当前用户与HDFS集群之间的通信路径上,拦截所述当前用户向所述HDFS集群发送的文件操作命令;
权限验证模块,用于按照当前权限列表,验证所述当前用户是否具备该文件操作命令的使用权限;
管理模块,用于在所述当前用户具备该文件操作命令的使用权限时,释放该文件操作命令,以使该文件操作命令通过所述通信路径传输到所述HDFS集群。
9.一种电子设备,其特征在于,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如权利要求1至7任一项所述的方法。
CN202210178440.0A 2022-02-25 2022-02-25 一种用户权限管理方法、装置、电子设备及存储介质 Pending CN114564706A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210178440.0A CN114564706A (zh) 2022-02-25 2022-02-25 一种用户权限管理方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210178440.0A CN114564706A (zh) 2022-02-25 2022-02-25 一种用户权限管理方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN114564706A true CN114564706A (zh) 2022-05-31

Family

ID=81716627

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210178440.0A Pending CN114564706A (zh) 2022-02-25 2022-02-25 一种用户权限管理方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN114564706A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116743511A (zh) * 2023-08-15 2023-09-12 中移(苏州)软件技术有限公司 一种鉴权方法、装置、服务器及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116743511A (zh) * 2023-08-15 2023-09-12 中移(苏州)软件技术有限公司 一种鉴权方法、装置、服务器及存储介质
CN116743511B (zh) * 2023-08-15 2023-11-03 中移(苏州)软件技术有限公司 一种鉴权方法、装置、服务器及存储介质

Similar Documents

Publication Publication Date Title
US20230362165A1 (en) Identifying accounts having shared credentials
CN108280367B (zh) 数据操作权限的管理方法、装置、计算设备及存储介质
CN110414268B (zh) 访问控制方法、装置、设备及存储介质
US8839354B2 (en) Mobile enterprise server and client device interaction
RU2589852C2 (ru) Система и способ автоматической регулировки правил контроля приложений
CN110661831B (zh) 一种基于可信第三方的大数据试验场安全初始化方法
CN108289098B (zh) 分布式文件***的权限管理方法和装置、服务器、介质
CN107315950B (zh) 一种云计算平台管理员权限最小化的自动化划分方法及访问控制方法
US10333778B2 (en) Multiuser device staging
KR20140033056A (ko) 클라우드 서비스 재접속 자동화 방법
AU2014367176A1 (en) Pre-authorizing a client application to access a user account on a content management system
CN113626286A (zh) 多集群实例处理方法、装置、电子设备及存储介质
US20170048271A1 (en) Random identifier generation for offline database
US20140041053A1 (en) Data block access control
CN113312656B (zh) 数据轮转方法、装置、设备及***
CN114564706A (zh) 一种用户权限管理方法、装置、电子设备及存储介质
CN105183799B (zh) 一种权限管理的方法及客户端
CN109902497A (zh) 一种面向大数据集群的访问权限管理方法及***
US10951600B2 (en) Domain authentication
US11748511B2 (en) Protecting data based on context of data movement operation
CN115208689A (zh) 基于零信任的访问控制方法、装置及设备
US20220255970A1 (en) Deploying And Maintaining A Trust Store To Dynamically Manage Web Browser Extensions On End User Computing Devices
US10412586B2 (en) Limited-functionality accounts
CN111506893A (zh) 一种外部设备管理方法、装置、电子设备及存储介质
CN114070856A (zh) 数据处理方法、装置、***、运维审计设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination