CN115208693A - 一种基于微服务的安全访问控制方法及装置 - Google Patents
一种基于微服务的安全访问控制方法及装置 Download PDFInfo
- Publication number
- CN115208693A CN115208693A CN202211098463.7A CN202211098463A CN115208693A CN 115208693 A CN115208693 A CN 115208693A CN 202211098463 A CN202211098463 A CN 202211098463A CN 115208693 A CN115208693 A CN 115208693A
- Authority
- CN
- China
- Prior art keywords
- access
- service
- micro
- user
- microservice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种基于微服务的安全访问控制方法及装置,还公开一种电子设备及一种非暂态计算机可读存储介质,涉及数据访问技术领域,该方法包括:基于用户信息获取用户针对不同微服务的访问角色,并基于访问角色获取用户针对不同微服务拥有的访问权限;基于访问权限分别响应用户针对不同微服务的访问动作;微服务携带有效访问时间段,在有效访问时间段内,微服务可被执行访问动作;否则,微服务无法被执行访问动作。本发明提供的基于微服务的安全访问控制方法及装置,使用户摆脱了针对某一程序上不同进程只能拥有单一访问权限的限制,实现了同一用户在不同进程上的独立访问与数据获取,提高了访问效率和访问安全度。
Description
技术领域
本发明涉及数据访问技术领域,尤其涉及一种基于微服务的安全访问控制方法及装置。
背景技术
随着互联网行业的迅速发展,应用***需要使用大量数据资源,数据服务就是通过数据接口为应用***提供数据的一种方式。当用户访问应用***时,需要对访问权限进行控制,其中如何对应用***中的数据服务进行安全访问控制成为一项重要内容。
目前数据服务访问控制技术主要存在以下几种:1)自主访问控制方法(DAC,Discretionary Access Control),2)强制访问控制方法(MAC,Mandatory AccessControl)以及3)基于角色的访问控制方法(RBAC,Role-Based Access Control),但是上述方法都存在各自的缺点导致对数据服务的访问控制无法满足既高效又安全的目的。
发明内容
本发明意在提供一种基于微服务的安全访问控制方法及装置,以解决现有技术中存在的不足,本发明要解决的技术问题通过以下技术方案来实现。
本发明提供一种基于微服务的安全访问控制方法,应用于内部***,包括:
基于用户信息获取用户针对不同微服务的访问角色,并基于所述访问角色获取所述用户针对不同微服务拥有的访问权限,其中,所述微服务为来自至少一个程序的进程;
基于所述访问权限分别响应所述用户针对不同微服务的访问动作;
所述微服务携带有效访问时间段,在所述有效访问时间段内,所述微服务可被执行访问动作;否则,所述微服务无法被执行访问动作。
根据本发明提供的一种基于微服务的安全访问控制方法,所述程序操作权限包括数据保存权限,数据删除权限,数据修改权限以及数据查找权限中的至少一种。
本发明提供一种基于微服务的安全访问控制方法,应用于外部***,包括:
当应用于单一微服务时,接收用户发来的post请求;
读取url中的服务代码和请求体中的用户信息;
验证所述服务代码、所述用户信息是否与预设信息匹配,若匹配,则允许所述用户对所述微服务执行访问动作;若不匹配,则反馈匹配失败。
根据本发明提供的一种基于微服务的安全访问控制方法,所述请求体中还包括数据查询时间信息,验证所述服务代码、所述用户信息、所述数据查询时间信息是否与预设信息匹配,若匹配,则允许所述用户对所述微服务执行访问动作;若不匹配,则反馈匹配失败。
根据本发明提供的一种基于微服务的安全访问控制方法,所述方法还包括:
当应用于多个微服务时,基于用户信息获取用户针对微服务组的访问权限,所述微服务组为将多个所述微服务按预设顺序组合而成,当所述访问权限不存在时,反馈所述微服务组访问失败;
当所述访问权限存在时,依次访问所述微服务组内部的多个所述微服务,当所述微服务访问成功时,反馈访问数据,当所述微服务访问失败时,反馈所述微服务访问失败并跳转执行所述微服务组中下一个所述微服务的访问进程。
本发明还提供一种基于微服务的安全访问控制装置,应用于内部***,包括:
权限获取模块,用于基于用户信息获取用户针对不同微服务的访问角色,并基于所述访问角色获取所述用户针对不同微服务拥有的访问权限,其中,所述微服务为来自至少一个程序的进程;
访问执行模块,用于基于所述访问权限分别响应所述用户针对不同微服务的访问动作;所述微服务携带有效访问时间段,在所述有效访问时间段内,所述微服务可被执行访问动作;否则,所述微服务无法被执行访问动作。
本发明还提供一种基于微服务的安全访问控制装置,应用于外部***,包括:
接收模块,用于接收用户发来的post请求;
读取模块,用于读取url中的服务代码和请求体中的用户信息;
验证模块,用于验证所述用户信息是否与预设信息匹配,若匹配,则允许所述用户对所述微服务执行访问动作;若不匹配,则反馈匹配失败。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述基于微服务的安全访问控制方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述基于微服务的安全访问控制方法的步骤。
本发明还提供一种计算机程序产品,包括计算机程序/指令,所述计算机程序/指令被处理器执行时实现如上述任一种所述基于微服务的安全访问控制方法的步骤。
本发明实施例包括以下优点:
通过根据用户信息获取用户的访问角色,访问角色表达了用户对不同微服务的访问权限大小,进而使同一用户在不同微服务上基于不同的访问角色对其进行访问;基于此,使用户摆脱了针对某一程序上不同进程只能拥有单一访问权限的限制,实现了同一用户在不同进程上的独立访问与数据获取,提高了访问效率和访问安全度;与此同时,通过在服务发布时设置有效时段,使用户在特定时段具备服务访问权限,服务提供者可在有效时段外进行数据服务维护操作,保证数据服务的时效性,可进行定期更新维护。
附图说明
图1是本发明提供的基于微服务的安全访问控制方法流程示意图之一;
图2是本发明提供的基于微服务的安全访问控制方法的流程示意图之二;
图3是本发明提供的基于微服务的安全访问控制方法的流程示意图之三;
图4是本发明提供的基于微服务的安全访问控制方法的流程示意图之四;
图5是本发明提供的基于微服务的安全访问控制方法的流程示意图之五;
图6是本发明提供的基于微服务的安全访问控制方法的流程示意图之六;
图7是本发明提供的基于微服务的安全访问控制方法的流程示意图之七;
图8是本发明提供的基于微服务的安全访问控制装置的结构示意图之一;
图9是本发明提供的基于微服务的安全访问控制装置的结构示意图之二;
图10是本发明提供的电子设备的结构示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
应该指出,上述详细说明都是示例性的,旨在对本申请提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语均具有与本申请所属技术领域的普通技术人员的通常理解所相同的含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式。此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,以便这里描述的本申请的实施方式能够以除了在这里图示或描述的那些以外的顺序实施。
此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
图1是本发明提供的基于微服务的安全访问控制方法的流程示意图之一,应用于内部***,如图1所示,所述方法包括:
步骤S110,基于用户信息获取用户针对不同微服务的访问角色,并基于所述访问角色获取所述用户针对不同微服务拥有的访问权限,其中,所述微服务为来自至少一个程序的进程;
步骤S120,基于所述访问权限分别响应所述用户针对不同微服务的访问动作;所述微服务携带有效访问时间段,在所述有效访问时间段内,所述微服务可被执行访问动作;否则,所述微服务无法被执行访问动作。
需要说明的是,访问角色表达了用户对微服务的访问权限大小,即用户对程序中某个进程的访问权限大小,具体的访问角色包括:超级管理员、服务管理员、服务测试员,上述角色的访问权限依次减小,具体的访问权限内容可以按需预先设置;与此同时,针对某个固定微服务中的内容不是一成不变的,当微服务内容变更后需要对***平台上的微服务进行更新,本发明可限制有效时段访问微服务,在非访问时间对微服务进行定期更新。
例如,用户可在有效时间内对目标微服务进行访问,保证微服务的时效性,微服务提供者通过在服务发布页面设置有效时段,规定用户可以访问的具体时间。
本发明提供的基于微服务的安全访问控制方法,通过根据用户信息获取用户的访问角色,进而使同一用户在不同微服务上基于不同的访问角色对其进行访问;基于此,使用户摆脱了针对某一程序上不同进程只能拥有单一访问权限的限制,实现了同一用户在不同进程上的独立访问与数据获取,提高了访问效率和访问安全度;与此同时,通过在服务发布时设置有效时段,使用户在特定时段具备服务访问权限,服务提供者可在有效时段外进行数据服务维护操作,保证数据服务的时效性,可进行定期更新维护。
根据本发明提供的基于微服务的安全访问控制方法,在本发明中,所述访问权限包括数据保存权限,数据删除权限,数据修改权限以及数据查找权限中的至少一种。
需要说明的是,本发明对微服务的分类、微服务本身、微服务的增删改查的操作进行了原子级别的细分,将其转换为相应的分段字符串,例如微服务分类1的权限为ser:service1、微服务分类2为ser:service2,而更细致的微服务1的保存权限为ser:service1:save、删除权限为ser:service1:delete。为角色分配好权限并且和用户绑定后,该用户进入到***页面中会首先判断用户是否用于ser权限,如果没有则看不到整个服务模块,用户ser权限后会检查用户拥有哪些服务分类权限,例如仅拥有ser:service1,那***后台会从数据库中的所有服务里筛选出分类为service1的服务,并返回给用户,用户如未拥有save与delete权限,页面将会根据用户权限,将相应操作选项处置于禁用状态,即使用户篡改了页面,在操作提交后,后台也会对用户权限进行校验,校验失败就会返回错误信息。
本发明提供的基于微服务的安全访问控制方法,通过对访问权限的细化分类,使用户实现了对微服务的精细化访问与精准访问。
图2是本发明提供的基于微服务的安全访问控制方法的流程示意图之二,应用于外部***,如图2所示,所述方法包括:
步骤S210,接收用户发来的post请求;
步骤S220,读取url中的服务代码和请求体中的用户信息;
步骤S230,验证所述服务代码、所述用户信息是否与预设信息匹配,若匹配,则允许所述用户对所述微服务执行访问动作;若不匹配,则反馈匹配失败。
根据本发明提供的基于微服务的安全访问控制方法,在本发明中,所述请求体中还包括数据查询时间信息,验证所述服务代码、所述用户信息、所述数据查询时间信息是否与预设信息匹配,若匹配,则允许所述用户对所述微服务执行访问动作;若不匹配,则反馈匹配失败。
需要说明的是,应用于外部***和内部***的基于微服务的安全访问控制方法分属于不同的控制权限,相互独立,互不干扰,保证了安全性。
在创建远程服务时,可以设置服务代码选择授权日期、授权时间、授权用户以及内容过滤甚至访问次数等设置,而远程调用的功能则是基于http协议,由用户发送post请求,在url中设定访问的服务代码,同时在请求体中携带访问的用户信息,数据查询条件等信息。
在后台接收到用户请求后会从数据库中拉取需要访问的服务信息,检查用户身份信息以及服务授权情况,即使核对通过后也会对日期和时间进行校验,有任意信息不一致则服务无法访问,确保了数据的安全性。即便是第三方非登录用户,也可使用已授权用户的授权码,用作身份校验的凭证,提高了服务的可用性。由于日期及时间的限制,保证了服务有充足的更新修改时间,防止用户获取到错误的数据,保证了服务数据的可靠性。
本发明提供的基于微服务的安全访问控制方法,通过读取url中的服务代码和请求体中的用户信息以及数据查询时间信息,并利用数据库中的预设信息与上述信息进行一一比对,只有上述所有信息均比对成功后方可实现用户对微服务的访问,基于此,引入多条件判断逻辑,充分实现用户对微服务的安全访问过程,进一步提高访问的安全度与可靠度。
根据本发明提供的基于微服务的安全访问控制方法,在本发明中,所述方法还包括:
当应用于多个微服务时,基于用户信息获取用户针对微服务组的访问权限,所述微服务组为将多个所述微服务按预设顺序组合而成,当所述访问权限不存在时,反馈所述微服务组访问失败;
当所述访问权限存在时,依次访问所述微服务组内部的多个所述微服务,当所述微服务访问成功时,反馈访问数据,当所述微服务访问失败时,反馈所述微服务访问失败并跳转执行所述微服务组中下一个所述微服务的访问进程。
需要说明的是,将多个微服务编排成的微服务组本质上也是一种服务,它能够像普通微服务一样进行授权和远程调用,但是其能够容纳多个微服务并对容纳的微服务进行排序。微服务组的授权和普通微服务的授权存在些许不同,用户若想要访问微服务组,除了需要有微服务组的授权外,也需要有微服务组所容纳的所有微服务的授权,否则执行会中止。
当用户访问该微服务组时,***会按照预先设置好的顺序逐个检查微服务的授权情况并执行访问,返回所有微服务的数据信息,如任意微服务步骤发生错误,则记录异常信息,允许用户查看微服务运行状况,并显示具体哪一步发生了异常,如成功则返回各微服务数据结果。
本发明提供的基于微服务的安全访问控制方法,通过将多个微服务打包成组,得到微服务组,并使用户基于微服务组的访问权限以及微服务组中各个微服务的访问权限进行依次访问,基于该微服务组实现了对组中微服务的有序访问,满足了用户对不同微服务按照预设顺序进行访问的需求,提升了访问的可操作性。
根据本发明提供的基于微服务的安全访问控制方法,在本发明中,所述微服务携带有效访问时间段,在所述有效访问时间段内,所述微服务可被执行访问动作;否则,所述微服务无法被执行访问动作。
图3是本发明提供的基于微服务的安全访问控制方法的流程示意图之三,如图3所示,
Step1,用户进入***;
Step2,基于服务数据库中的数据检查用户拥有服务分类的权限;
Step3,返回服务分类1。
图4是本发明提供的基于微服务的安全访问控制方法的流程示意图之四,如图4所示,
Step1,用户修改服务信息;
Step2,基于服务数据库中的数据信息检查用户是否拥有该服务的权限;若是,则修改服务信息并返回成功信息,同时将修改后的服务信息保存至服务数据库;若否,则返回失败信息并终止流程。
图5是本发明提供的基于微服务的安全访问控制方法的流程示意图之五,如图5所示,
Step1,用户访问远程服务,该用户携带有用户信息或用户凭证,同时将用户访问信息保存至服务数据库。
Step2,检查用户与服务权限信息,并同时接收来自服务数据库的服务授权;若检查失败,则返回失败信息。
Step3,若检查通过,则检查访问日期时间,若访问日期时间检查通过,则返回数据信息;若访问日期时间检查失败,则返回失败信息。
图6是本发明提供的基于微服务的安全访问控制方法的流程示意图之六,如图6所示,
Step1,用户访问服务编排,并将用户访问信息保存至服务数据库,同时该用户携带有用户信息。
Step2,基于服务数据库中的数据信息检查用户是否拥有服务编排授权,若是,则拆解服务编排依次访问服务;若否,则返回失败信息。
Step3,基于服务数据库检查服务1授权与日期,若是,则检查服务2授权与日期,若是,则返回数据信息;检查服务2授权与日期,若否,则返回失败信息。
图7是本发明提供的基于微服务的安全访问控制方法的流程示意图之七,如图7所示,
***人员进行服务细粒度访问控制,在上述细粒度访问控制完成后进行对单一服务或者服务编排的访问操作;
外部***基于服务代码对单一服务进行远程调用,且多个单一服务组合形成服务编排。
图8是本发明提供的基于微服务的安全访问控制装置的结构示意图之一,如图8所示,所述安全访问控制装置800包括:
权限获取模块810,用于基于用户信息获取用户针对不同微服务的访问角色,并基于所述访问角色获取所述用户针对不同微服务拥有的访问权限,其中,所述微服务为来自至少一个程序的进程;
访问执行模块820,用于基于所述访问权限分别响应所述用户针对不同微服务的访问动作;所述微服务携带有效访问时间段,在所述有效访问时间段内,所述微服务可被执行访问动作;否则,所述微服务无法被执行访问动作。
本发明提供的基于微服务的安全访问控制装置,通过根据用户信息获取用户的访问角色,访问角色表达了用户对不同微服务的访问权限大小,进而使同一用户在不同微服务上基于不同的访问角色对其进行访问;基于此,使用户摆脱了针对某一程序上不同进程只能拥有单一访问权限的限制,实现了同一用户在不同进程上的独立访问与数据获取,提高了访问效率和访问安全度;与此同时,通过在服务发布时设置有效时段,使用户在特定时段具备服务访问权限,服务提供者可在有效时段外进行数据服务维护操作,保证数据服务的时效性,可进行定期更新维护。
图9是本发明提供的基于微服务的安全访问控制装置的结构示意图之二,如图9所示,所述安全访问控制装置900包括:
接收模块910,用于接收用户发来的post请求;
读取模块920,用于读取url中的服务代码和请求体中的用户信息;
验证模块930,用于验证所述用户信息是否与预设信息匹配,若匹配,则允许所述用户对所述微服务执行访问动作;若不匹配,则反馈匹配失败。
本发明提供的基于微服务的安全访问控制装置,通过读取url中的服务代码和请求体中的用户信息以及数据查询时间信息,并利用数据库中的预设信息与上述信息进行一一比对,只有上述所有信息均比对成功后方可实现用户对微服务的访问,基于此,引入多条件判断逻辑,充分实现用户对微服务的安全访问过程,进一步提高访问的安全度与可靠度。
图10示例了一种电子设备的实体结构示意图,如图10所示,该电子设备可以包括:处理器(processor)1010、通信接口(Communications Interface)1020、存储器(memory)630和通信总线1040,其中,处理器1010,通信接口1020,存储器1030通过通信总线1040完成相互间的通信。处理器1010可以调用存储器1030中的逻辑指令,以执行基于微服务的安全访问控制方法,应用于内部***,该方法包括:基于用户信息获取用户针对不同微服务的访问角色,并基于所述访问角色获取所述用户针对不同微服务拥有的访问权限,其中,所述微服务为来自至少一个程序的进程;基于所述访问权限分别响应所述用户针对不同微服务的访问动作;所述微服务携带有效访问时间段,在所述有效访问时间段内,所述微服务可被执行访问动作;否则,所述微服务无法被执行访问动作。
或,执行基于微服务的安全访问控制方法,应用于外部***,该方法包括:当应用于单一微服务时,接收用户发来的post请求;读取url中的服务代码和请求体中的用户信息;验证所述服务代码、所述用户信息是否与预设信息匹配,若匹配,则允许所述用户对所述微服务执行访问动作;若不匹配,则反馈匹配失败。
此外,上述的存储器1030中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的基于微服务的安全访问控制方法,应用于内部***,该方法包括:基于用户信息获取用户针对不同微服务的访问角色,并基于所述访问角色获取所述用户针对不同微服务拥有的访问权限,其中,所述微服务为来自至少一个程序的进程;基于所述访问权限分别响应所述用户针对不同微服务的访问动作;所述微服务携带有效访问时间段,在所述有效访问时间段内,所述微服务可被执行访问动作;否则,所述微服务无法被执行访问动作。
或执行上述各方法所提供的基于微服务的安全访问控制方法,应用于外部***,该方法包括:当应用于单一微服务时,接收用户发来的post请求;读取url中的服务代码和请求体中的用户信息;验证所述服务代码、所述用户信息是否与预设信息匹配,若匹配,则允许所述用户对所述微服务执行访问动作;若不匹配,则反馈匹配失败。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的基于微服务的安全访问控制方法,应用于内部***,该方法包括:基于用户信息获取用户针对不同微服务的访问角色,并基于所述访问角色获取所述用户针对不同微服务拥有的访问权限,其中,所述微服务为来自至少一个程序的进程;基于所述访问权限分别响应所述用户针对不同微服务的访问动作;所述微服务携带有效访问时间段,在所述有效访问时间段内,所述微服务可被执行访问动作;否则,所述微服务无法被执行访问动作。
或执行上述各方法所提供的基于微服务的安全访问控制方法,应用于外部***,该方法包括:当应用于单一微服务时,接收用户发来的post请求;读取url中的服务代码和请求体中的用户信息;验证所述服务代码、所述用户信息是否与预设信息匹配,若匹配,则允许所述用户对所述微服务执行访问动作;若不匹配,则反馈匹配失败。
在上面详细的说明中,参考了附图,附图形成本文的一部分。在附图中,类似的符号典型地确定类似的部件,除非上下文以其他方式指明。在详细的说明书、附图及权利要求书中所描述的图示说明的实施方案不意味是限制性的。在不脱离本文所呈现的主题的精神或范围下,其他实施方案可以被使用,并且可以作其他改变。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于微服务的安全访问控制方法,应用于内部***,其特征在于,包括:
基于用户信息获取用户针对不同微服务的访问角色,并基于所述访问角色获取所述用户针对不同微服务拥有的访问权限,其中,所述微服务为来自至少一个程序的进程;
基于所述访问权限分别响应所述用户针对不同微服务的访问动作;
所述微服务携带有效访问时间段,在所述有效访问时间段内,所述微服务可被执行访问动作;否则,所述微服务无法被执行访问动作。
2.根据权利要求1所述的基于微服务的安全访问控制方法,其特征在于,所述访问权限包括数据保存权限,数据删除权限,数据修改权限以及数据查找权限中的至少一种。
3.一种基于微服务的安全访问控制方法,应用于外部***,其特征在于,包括:
当应用于单一微服务时,接收用户发来的post请求;
读取url中的服务代码和请求体中的用户信息;
验证所述服务代码、所述用户信息是否与预设信息匹配,若匹配,则允许所述用户对所述微服务执行访问动作;若不匹配,则反馈匹配失败。
4.根据权利要求3所述的基于微服务的安全访问控制方法,其特征在于,所述请求体中还包括数据查询时间信息,验证所述服务代码、所述用户信息、所述数据查询时间信息是否与预设信息匹配,若匹配,则允许所述用户对所述微服务执行访问动作;若不匹配,则反馈匹配失败。
5.根据权利要求3所述的基于微服务的安全访问控制方法,其特征在于,所述方法还包括:
当应用于多个微服务时,基于用户信息获取用户针对微服务组的访问权限,所述微服务组为将多个所述微服务按预设顺序组合而成,当所述访问权限不存在时,反馈所述微服务组访问失败;
当所述访问权限存在时,依次访问所述微服务组内部的多个所述微服务,当所述微服务访问成功时,反馈访问数据,当所述微服务访问失败时,反馈所述微服务访问失败并跳转执行所述微服务组中下一个所述微服务的访问进程。
6.一种基于微服务的安全访问控制装置,应用于内部***,其特征在于,包括:
权限获取模块,用于基于用户信息获取用户针对不同微服务的访问角色,并基于所述访问角色获取所述用户针对不同微服务拥有的访问权限,其中,所述微服务为来自至少一个程序的进程;
访问执行模块,用于基于所述访问权限分别响应所述用户针对不同微服务的访问动作;所述微服务携带有效访问时间段,在所述有效访问时间段内,所述微服务可被执行访问动作;否则,所述微服务无法被执行访问动作。
7.一种基于微服务的安全访问控制装置,应用于外部***,其特征在于,包括:
接收模块,用于接收用户发来的post请求;
读取模块,用于读取url中的服务代码和请求体中的用户信息;
验证模块,用于验证所述用户信息是否与预设信息匹配,若匹配,则允许所述用户对所述微服务执行访问动作;若不匹配,则反馈匹配失败。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述基于微服务的安全访问控制方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述基于微服务的安全访问控制方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211098463.7A CN115208693B (zh) | 2022-09-09 | 2022-09-09 | 一种基于微服务的安全访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211098463.7A CN115208693B (zh) | 2022-09-09 | 2022-09-09 | 一种基于微服务的安全访问控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115208693A true CN115208693A (zh) | 2022-10-18 |
| CN115208693B CN115208693B (zh) | 2022-12-20 |
Family
ID=83571986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211098463.7A Active CN115208693B (zh) | 2022-09-09 | 2022-09-09 | 一种基于微服务的安全访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115208693B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116702180A (zh) * | 2023-08-02 | 2023-09-05 | 北京智芯微电子科技有限公司 | 微内核操作***及其访问控制方法、芯片、设备和介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790001A (zh) * | 2016-12-12 | 2017-05-31 | 中电科华云信息技术有限公司 | 基于统一界面的多***角色权限管理方法及*** |
| CN108306877A (zh) * | 2018-01-30 | 2018-07-20 | 泰康保险集团股份有限公司 | 基于node js的用户身份信息的验证方法、装置和存储介质 |
| US20190102567A1 (en) * | 2017-09-29 | 2019-04-04 | Intel Corporation | Crypto-enforced capabilities for isolation |
| CN109981716A (zh) * | 2017-12-28 | 2019-07-05 | 北京奇虎科技有限公司 | 一种微服务调用方法及装置 |
| CN110069941A (zh) * | 2019-03-15 | 2019-07-30 | 深圳市买买提信息科技有限公司 | 一种接口访问鉴权方法、装置及计算机可读介质 |
| CN110781476A (zh) * | 2019-10-15 | 2020-02-11 | 南京南瑞信息通信科技有限公司 | 一种柔性微服务安全访问控制方法及*** |
| CN111600899A (zh) * | 2020-05-25 | 2020-08-28 | 华人运通(上海)云计算科技有限公司 | 微服务访问控制方法、装置、电子设备及存储介质 |
| CN112560014A (zh) * | 2021-01-05 | 2021-03-26 | 广州华资软件技术有限公司 | 一种设置开放时间和限制请求次数的服务开放控制方案 |
| CN114143069A (zh) * | 2021-11-26 | 2022-03-04 | 联奕科技股份有限公司 | 一种应用于微服务的权限管理***及方法 |
| CN114692172A (zh) * | 2020-12-25 | 2022-07-01 | 北京千里日成科技有限公司 | 用户请求的处理方法及装置 |
| CN114826749A (zh) * | 2022-04-30 | 2022-07-29 | 济南浪潮数据技术有限公司 | 一种接口访问控制方法、装置、介质 |
-
2022
- 2022-09-09 CN CN202211098463.7A patent/CN115208693B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790001A (zh) * | 2016-12-12 | 2017-05-31 | 中电科华云信息技术有限公司 | 基于统一界面的多***角色权限管理方法及*** |
| US20190102567A1 (en) * | 2017-09-29 | 2019-04-04 | Intel Corporation | Crypto-enforced capabilities for isolation |
| CN109583152A (zh) * | 2017-09-29 | 2019-04-05 | 英特尔公司 | 用于隔离的密码强制执行能力 |
| CN109981716A (zh) * | 2017-12-28 | 2019-07-05 | 北京奇虎科技有限公司 | 一种微服务调用方法及装置 |
| CN108306877A (zh) * | 2018-01-30 | 2018-07-20 | 泰康保险集团股份有限公司 | 基于node js的用户身份信息的验证方法、装置和存储介质 |
| CN110069941A (zh) * | 2019-03-15 | 2019-07-30 | 深圳市买买提信息科技有限公司 | 一种接口访问鉴权方法、装置及计算机可读介质 |
| CN110781476A (zh) * | 2019-10-15 | 2020-02-11 | 南京南瑞信息通信科技有限公司 | 一种柔性微服务安全访问控制方法及*** |
| CN111600899A (zh) * | 2020-05-25 | 2020-08-28 | 华人运通(上海)云计算科技有限公司 | 微服务访问控制方法、装置、电子设备及存储介质 |
| CN114692172A (zh) * | 2020-12-25 | 2022-07-01 | 北京千里日成科技有限公司 | 用户请求的处理方法及装置 |
| CN112560014A (zh) * | 2021-01-05 | 2021-03-26 | 广州华资软件技术有限公司 | 一种设置开放时间和限制请求次数的服务开放控制方案 |
| CN114143069A (zh) * | 2021-11-26 | 2022-03-04 | 联奕科技股份有限公司 | 一种应用于微服务的权限管理***及方法 |
| CN114826749A (zh) * | 2022-04-30 | 2022-07-29 | 济南浪潮数据技术有限公司 | 一种接口访问控制方法、装置、介质 |
Non-Patent Citations (1)
| Title |
|---|
| 沙鋆杰: "基于RBAC模型的云计算平台访问控制***设计研究", 《信息与电脑》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116702180A (zh) * | 2023-08-02 | 2023-09-05 | 北京智芯微电子科技有限公司 | 微内核操作***及其访问控制方法、芯片、设备和介质 |
| CN116702180B (zh) * | 2023-08-02 | 2024-04-05 | 北京智芯微电子科技有限公司 | 微内核操作***及其访问控制方法、芯片、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115208693B (zh) | 2022-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107403106B (zh) | 基于终端用户的数据库细粒度访问控制方法 | |
| CN106506521B (zh) | 资源访问控制方法和装置 | |
| US10511632B2 (en) | Incremental security policy development for an enterprise network | |
| CN109104412B (zh) | 账户权限管理方法、管理***及计算机可读存储介质 | |
| US8839354B2 (en) | Mobile enterprise server and client device interaction | |
| CN102447677B (zh) | 资源访问控制方法、***和设备 | |
| US7702693B1 (en) | Role-based access control enforced by filesystem of an operating system | |
| CN106487744B (zh) | 一种基于Redis存储的Shiro验证方法 | |
| US9848001B2 (en) | Secure access to mobile applications | |
| CN108289098B (zh) | 分布式文件***的权限管理方法和装置、服务器、介质 | |
| US20150326529A1 (en) | Gateway device, and service providing system | |
| US8719950B2 (en) | Access control apparatus and storage medium | |
| CN106936835A (zh) | 设备接入的方法及*** | |
| CN109740333B (zh) | 集成***和子***的权限管理方法、服务器及存储介质 | |
| US9280674B2 (en) | Information processing apparatus and method of controlling same | |
| CN115208693B (zh) | 一种基于微服务的安全访问控制方法及装置 | |
| CN107566375B (zh) | 访问控制方法和装置 | |
| CN104348616B (zh) | 一种访问终端安全组件的方法、装置及*** | |
| CN114357498A (zh) | 一种数据脱敏方法及装置 | |
| CN110889108B (zh) | spark任务的提交方法、装置和服务器 | |
| KR101345959B1 (ko) | 단일 사용자용 모바일 단말기 플랫폼을 위한 다중 사용자 권한 관리 방법 및 이를 이용한 모바일 단말기 | |
| CN108494749A (zh) | Ip地址禁用的方法、装置、设备及计算机可读存储介质 | |
| CN111045725A (zh) | 代码管理***的控制方法、装置及存储介质 | |
| CN111881475B (zh) | 一种基于权限关联选择角色权限的方法 | |
| CN112733165B (zh) | 一种文件访问控制方法、装置及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |