CN115277095A - 一种基于api网关的数据安全访问方法及装置 - Google Patents

一种基于api网关的数据安全访问方法及装置 Download PDF

Info

Publication number
CN115277095A
CN115277095A CN202210736729.XA CN202210736729A CN115277095A CN 115277095 A CN115277095 A CN 115277095A CN 202210736729 A CN202210736729 A CN 202210736729A CN 115277095 A CN115277095 A CN 115277095A
Authority
CN
China
Prior art keywords
api
user
data
gateway
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210736729.XA
Other languages
English (en)
Inventor
王广清
方铁城
申彦龙
刘颖
陈宇翀
周树杰
李昕
郝堃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Gas Group Co Ltd
Original Assignee
Beijing Gas Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Gas Group Co Ltd filed Critical Beijing Gas Group Co Ltd
Priority to CN202210736729.XA priority Critical patent/CN115277095A/zh
Publication of CN115277095A publication Critical patent/CN115277095A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种基于API网关的数据安全访问方法及装置。所述方法包括:进行API注册或修改时,网关管理后台记录用户的属性信息,并为用户配置数据访问权限,同时将所述数据访问权限同步到API网关;用户向API网关发送API请求时,API网关接收所述API请求,并从中解析出用户的属性信息,根据所述属性信息确定用户的数据访问权限;API网关根据用户的数据访问权限向用户返回数据。本发明通过设置API网关和网关管理后台,由网关管理后台为注册用户配置数据访问权限,并同时将所述数据访问权限同步到API网关,无需停止服务重新上线,可避免服务中断的情况发生。

Description

一种基于API网关的数据安全访问方法及装置
技术领域
本发明属于数据安全技术领域,具体涉及一种基于API网关的数据安全访问方法及装置。
背景技术
应用编程接口API(ApplicationProgramming Interface)由一组定义和协议组合而成。通过API,一方以特定方式发送远程请求,而无需了解对方内部***的逻辑,即可访问对方开放的资源,实现企业内外部产品和服务的互动。API已成为企业内外部***集成的重要手段。
随着越来越多的企业将自身数据、能力等以API的形式对外开放,当前接口的标准化、数据的安全性、应用的规范化和管理的体系化面临着前所未有的风险与挑战。近年来,面向API的攻击事件层出不穷,恶意黑客窃取敏感数据,甚至恶意引发大范围业务中断。接口数据安全也是尤为重要,企业需要有技术手段能够针对每个接口进行授权的能力,即最小化授权,防止未授权访问。通过调用同一个API,看到可以看的数据列,不可以看的看不见。即“可用可见,可用部分可见,不可用不可见”,保证数据安全。
在API开放的过程中,对于不同的消费者,尤其是敏感数据的接口,需要返回消费者可被授权访问的字段数据;对于没有授权的字段数据,不能够提供给消费者。当然,服务提供者可以针对不同的消费者开发不同的API接口,但这样处理不仅增加了大量的研发与测试的工作量,而且对于大量的类似接口,在管理过程中很容易出现不同版本造成业务输出的数据不一致的问题。为此,本发明提供一种数据安全访问方法,利用API网关,在网关的代理转发过程中,对拥有不同访问权限的消费者返回不一样的数据,从而保证数据的安全访问。
发明内容
为了解决现有技术中存在的上述问题,本发明提供一种基于API网关的数据安全访问方法及装置。
为了实现上述目的,本发明采用以下技术方案。
第一方面,本发明提供一种基于API网关的数据安全访问方法,包括以下步骤:
进行API注册或修改时,网关管理后台记录用户的属性信息,并为用户配置数据访问权限,同时将所述数据访问权限同步到API网关;
用户向API网关发送API请求时,API网关接收所述API请求,并从中解析出用户的属性信息,根据所述属性信息确定用户的数据访问权限;
API网关根据用户的数据访问权限向用户返回数据。
进一步地,用户的属性信息包括:用户ID,所属机构,用户名,密码,姓名,邮箱,手机号码,性别,出生日期,民族,身份证号码。
进一步地,所述网关管理后台可以针对同一API为不同用户配置不同的数据访问权限。
进一步地,所述网关管理后台为用户配置数据访问权限的方法包括:
网关管理后台向服务提供平台请求权限属性数据;
服务提供平台接收所述请求,并向网关管理后台返回所述权限属性数据。
更进一步地,所述API网关根据用户的数据访问权限向用户返回数据,包括:
API网关针对用户有权限访问的API,向服务提供平台发起API访问请求;
服务提供平台接收所述API访问请求,并将请求数据返回给API网关;
API网关接收服务提供平台返回的数据,并根据用户的权限属性对数据进行过滤,将过滤后的数据返回给用户。
第二方面,本发明提供一种基于API网关的数据安全访问装置,包括:
权限配置模块,用于进行API注册或修改时,网关管理后台记录用户的属性信息,并为用户配置数据访问权限,同时将所述数据访问权限同步到API网关;
权限确定模块,用于用户向API网关发送API请求时,API网关接收所述API请求,并从中解析出用户的属性信息,根据所述属性信息确定用户的数据访问权限;
数据返回模块,用于API网关根据用户的数据访问权限向用户返回数据。
进一步地,用户的属性信息包括:用户ID,所属机构,用户名,密码,姓名,邮箱,手机号码,性别,出生日期,民族,身份证号码。
进一步地,所述网关管理后台可以针对同一API为不同用户配置不同的数据访问权限。
进一步地,所述网关管理后台为用户配置数据访问权限的方法包括:
网关管理后台向服务提供平台请求权限属性数据;
服务提供平台接收所述请求,并向网关管理后台返回所述权限属性数据。
更进一步地,所述数据返回模块具体用于:
API网关针对用户有权限访问的API,向服务提供平台发起API访问请求;
服务提供平台接收所述API访问请求,并将请求数据返回给API网关;
API网关接收服务提供平台返回的数据,并根据用户的权限属性对数据进行过滤,将过滤后的数据返回给用户。
与现有技术相比,本发明具有以下有益效果。
本发明通过在进行API注册或修改时,网关管理后台记录用户的属性信息,并为用户配置数据访问权限,同时将所述数据访问权限同步到API网关,用户向API网关发送API请求时,API网关接收所述API请求,并从中解析出用户的属性信息,根据所述属性信息确定用户的数据访问权限,API网关根据用户的数据访问权限向用户返回数据,实现了基于API网关的数据安全访问控制。本发明通过设置API网关和网关管理后台,由网关管理后台为注册用户配置数据访问权限,并同时将所述数据访问权限同步到API网关,无需停止服务重新上线,可避免服务中断的情况发生。本发明可实现同一个API接口对不同权限的消费者提供不同的响应数据;同时还可以保证API接口的统一,减少类似接口的重复性开发,保证了接口版本的一致性。
附图说明
图1为本发明实施例一种基于API网关的数据安全访问方法的流程图。
图2为本发明实施例硬件结构示意图。
图3为本发明实施例一种基于API网关的数据安全访问装置的方框图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚、明白,以下结合附图及具体实施方式对本发明作进一步说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例一种基于API网关的数据安全访问方法的流程图,包括以下步骤:
步骤101,进行API注册或修改时,网关管理后台记录用户的属性信息,并为用户配置数据访问权限,同时将所述数据访问权限同步到API网关;
步骤102,用户向API网关发送API请求时,API网关接收所述API请求,并从中解析出用户的属性信息,根据所述属性信息确定用户的数据访问权限;
步骤103,API网关根据用户的数据访问权限向用户返回数据。
本实施例提出一种基于API网关的数据安全访问方法,涉及的硬件结构如图2所示,主要包括通过互联网相连的API网关、网关管理后台、用户终端和服务提供平台。用户(消费者)通过操作用户终端与API网关进行数据通信,API网关提供对外的API访问和代理等功能。网关管理后台实现用户API注册和向服务提供平台申请数据访问权限等功能。服务提供平台是指API能力的输出方,能够对外提供API接口服务。
本实施例中,步骤101主要用于实现用户数据访问权限配置。在新增API或修改API时,网关管理后台对API接口进行响应报文中的数据属性信息进行登记记录,这里记录了该API所拥有的所有的属性信息,如姓名、手机号码等。在用户(消费者)授权操作的时候,可以设置API是否允许用户访问,并且可以对该API的属性信息进行更细粒度的授权操作,支持配置该消费者可允许访问的属性信息。网关管理后台配置完成后,将所有的配置数据保存到数据存储的中间件中,通过该中间件的发布/订阅功能,监听数据状态的变化。当数据的自身状态发生变化后,API网关则会收到数据状态变更的消息,API网关即对该数据进行更新,从而实现数据的同步。由于网关管理后台在为用户配置数据访问权限的同时,将所述数据访问权限同步到API网关,因此无需重启服务即可获取到最新的配置数据,可减少因***升级等因素造成***服务暂停的情况,保证了对用户提供服务的稳定性。
本实施例中,步骤102主要用于基于用户发送的API请求确定用户的数据访问权限。当用户要访问API时,会向API网关发送API请求。API网关接收所述API请求,并从中解析出用户的属性信息。由于步骤101中,网关管理后台在为用户配置数据访问权限的同时,已将所述数据访问权限同步到了API网关,因此API网关可根据解析出的用户属性信息匹配对应的访问规则,从而确定用户的数据访问权限,即允许访问的属性信息。
本实施例中,步骤103主要用于根据用户的数据访问权限向用户返回数据。API网关根据步骤102确定的数据访问权限,对没有权限的字段进行过滤,只保留有权限的数据。数据处理完后,将最终的结果返回给消费者。如表1所示,表1给出了4个不同用户请求访问时返回的数据集即结果集,其中打“√”的字段数据为允许访问的数据,即过滤后返回用户的字段数据。
表1
Figure BDA0003716167660000051
Figure BDA0003716167660000061
作为一可选实施例,用户的属性信息包括:用户ID,所属机构,用户名,密码,姓名,邮箱,手机号码,性别,出生日期,民族,身份证号码。
本实施例给出了用户属性信息的具体内容。不同的用户(消费者)或者用户在不同的应用场景下,所需要的用户属性信息是不一样的,本实施例给出了常用的几种用户属性信息,如表1所示。值得说明的是,本实施例只是给出一种较佳的实施方式,并不否定和排斥其它可行的实施方式,比如不同于上述属性信息的属性信息。
作为一可选实施例,所述网关管理后台可以针对同一API为不同用户配置不同的数据访问权限。
本实施例给出了数据访问权限多样化配置的一种技术方案。本实施例通过设置API网关和网关管理后台,可以很容易实现针对同一API为不同的用户配置不同的数据访问权限,比如可以访问不同的字段。当然,也可以为不同的用户配置相同的数据访问权限。
作为一可选实施例,所述网关管理后台为用户配置数据访问权限的方法包括:
网关管理后台向服务提供平台请求权限属性数据;
服务提供平台接收所述请求,并向网关管理后台返回所述权限属性数据。
本实施例给出了网关管理后台为用户配置数据访问权限的一种技术方案。本实施例通过网关管理后台与服务提供平台之间的交互实现为用户配置数据访问权限。网关管理后台向服务提供平台发起http请求,向服务提供平台申请权限属性数据;服务提供平台收到所述请求后,利用预置程序进行处理后,将所述权限属性数据返回网关管理后台。
作为一可选实施例,所述API网关根据用户的数据访问权限向用户返回数据,包括:
API网关针对用户有权限访问的API,向服务提供平台发起API访问请求;
服务提供平台接收所述API访问请求,并将请求数据返回给API网关;
API网关接收服务提供平台返回的数据,并根据用户的权限属性对数据进行过滤,将过滤后的数据返回给用户。
本实施例给出了API网关根据用户的数据访问权限向用户返回数据的一种技术方案。本实施例通过API网关与服务提供平台之间的交互实现根据用户的数据访问权限向用户返回数据。首先,API网关针对用户有权限访问的API,向服务提供平台发送API访问请求;服务提供平台接收到所述API访问请求后,将请求数据返回给API网关;API网关接收服务提供平台返回的数据,然后,根据用户的权限属性对数据进行过滤,过滤掉没有权限的字段,只保留有权限的数据。数据处理完后,将最终的结果返回给用户。如表1所示。
图3为本发明实施例一种基于API网关的数据安全访问装置的组成示意图,所述装置包括:
权限配置模块11,用于进行API注册或修改时,网关管理后台记录用户的属性信息,并为用户配置数据访问权限,同时将所述数据访问权限同步到API网关;
权限确定模块12,用于用户向API网关发送API请求时,API网关接收所述API请求,并从中解析出用户的属性信息,根据所述属性信息确定用户的数据访问权限;
数据返回模块13,用于API网关根据用户的数据访问权限向用户返回数据。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。后面的实施例也是如此,均不再展开说明。
作为一可选实施例,用户的属性信息包括:用户ID,所属机构,用户名,密码,姓名,邮箱,手机号码,性别,出生日期,民族,身份证号码。
作为一可选实施例,所述网关管理后台可以针对同一API为不同用户配置不同的数据访问权限。
作为一可选实施例,所述网关管理后台为用户配置数据访问权限的方法包括:
网关管理后台向服务提供平台请求权限属性数据;
服务提供平台接收所述请求,并向网关管理后台返回所述权限属性数据。
作为一可选实施例,所述数据返回模块具体用于:
API网关针对用户有权限访问的API,向服务提供平台发起API访问请求;
服务提供平台接收所述API访问请求,并将请求数据返回给API网关;
API网关接收服务提供平台返回的数据,并根据用户的权限属性对数据进行过滤,将过滤后的数据返回给用户。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种基于API网关的数据安全访问方法,其特征在于,包括以下步骤:
进行API注册或修改时,网关管理后台记录用户的属性信息,并为用户配置数据访问权限,同时将所述数据访问权限同步到API网关;
用户向API网关发送API请求时,API网关接收所述API请求,并从中解析出用户的属性信息,根据所述属性信息确定用户的数据访问权限;
API网关根据用户的数据访问权限向用户返回数据。
2.根据权利要求1所述的基于API网关的数据安全访问方法,其特征在于,用户的属性信息包括:用户ID,所属机构,用户名,密码,姓名,邮箱,手机号码,性别,出生日期,民族,身份证号码。
3.根据权利要求1所述的基于API网关的数据安全访问方法,其特征在于,所述网关管理后台可以针对同一API为不同用户配置不同的数据访问权限。
4.根据权利要求1所述的基于API网关的数据安全访问方法,其特征在于,所述网关管理后台为用户配置数据访问权限的方法包括:
网关管理后台向服务提供平台请求权限属性数据;
服务提供平台接收所述请求,并向网关管理后台返回所述权限属性数据。
5.根据权利要求4所述的基于API网关的数据安全访问方法,其特征在于,所述API网关根据用户的数据访问权限向用户返回数据,包括:
API网关针对用户有权限访问的API,向服务提供平台发起API访问请求;
服务提供平台接收所述API访问请求,并将请求数据返回给API网关;
API网关接收服务提供平台返回的数据,并根据用户的权限属性对数据进行过滤,将过滤后的数据返回给用户。
6.一种基于API网关的数据安全访问装置,其特征在于,包括:
权限配置模块,用于进行API注册或修改时,网关管理后台记录用户的属性信息,并为用户配置数据访问权限,同时将所述数据访问权限同步到API网关;
权限确定模块,用于用户向API网关发送API请求时,API网关接收所述API请求,并从中解析出用户的属性信息,根据所述属性信息确定用户的数据访问权限;
数据返回模块,用于API网关根据用户的数据访问权限向用户返回数据。
7.根据权利要求6所述的基于API网关的数据安全访问装置,其特征在于,用户的属性信息包括:用户ID,所属机构,用户名,密码,姓名,邮箱,手机号码,性别,出生日期,民族,身份证号码。
8.根据权利要求6所述的基于API网关的数据安全访问装置,其特征在于,所述网关管理后台可以针对同一API为不同用户配置不同的数据访问权限。
9.根据权利要求6所述的基于API网关的数据安全访问装置,其特征在于,所述网关管理后台为用户配置数据访问权限的方法包括:
网关管理后台向服务提供平台请求权限属性数据;
服务提供平台接收所述请求,并向网关管理后台返回所述权限属性数据。
10.根据权利要求9所述的基于API网关的数据安全访问装置,其特征在于,所述数据返回模块具体用于:
API网关针对用户有权限访问的API,向服务提供平台发起API访问请求;
服务提供平台接收所述API访问请求,并将请求数据返回给API网关;
API网关接收服务提供平台返回的数据,并根据用户的权限属性对数据进行过滤,将过滤后的数据返回给用户。
CN202210736729.XA 2022-06-27 2022-06-27 一种基于api网关的数据安全访问方法及装置 Pending CN115277095A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210736729.XA CN115277095A (zh) 2022-06-27 2022-06-27 一种基于api网关的数据安全访问方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210736729.XA CN115277095A (zh) 2022-06-27 2022-06-27 一种基于api网关的数据安全访问方法及装置

Publications (1)

Publication Number Publication Date
CN115277095A true CN115277095A (zh) 2022-11-01

Family

ID=83764796

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210736729.XA Pending CN115277095A (zh) 2022-06-27 2022-06-27 一种基于api网关的数据安全访问方法及装置

Country Status (1)

Country Link
CN (1) CN115277095A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109039880A (zh) * 2018-09-05 2018-12-18 四川长虹电器股份有限公司 一种利用api网关实现简单认证授权的方法
CN111488595A (zh) * 2020-03-27 2020-08-04 腾讯科技(深圳)有限公司 用于实现权限控制的方法及相关设备
JP6750063B1 (ja) * 2019-03-29 2020-09-02 みずほ情報総研株式会社 サービス管理システム及びサービス管理方法
CN112953745A (zh) * 2019-12-10 2021-06-11 顺丰科技有限公司 服务调用方法、***、计算机设备和存储介质
CN113098695A (zh) * 2021-04-21 2021-07-09 金陵科技学院 一种基于用户属性的微服务统一权限控制方法与***
US20210336788A1 (en) * 2020-04-24 2021-10-28 Netapp, Inc. Management services api gateway

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109039880A (zh) * 2018-09-05 2018-12-18 四川长虹电器股份有限公司 一种利用api网关实现简单认证授权的方法
JP6750063B1 (ja) * 2019-03-29 2020-09-02 みずほ情報総研株式会社 サービス管理システム及びサービス管理方法
CN112953745A (zh) * 2019-12-10 2021-06-11 顺丰科技有限公司 服务调用方法、***、计算机设备和存储介质
CN111488595A (zh) * 2020-03-27 2020-08-04 腾讯科技(深圳)有限公司 用于实现权限控制的方法及相关设备
US20210336788A1 (en) * 2020-04-24 2021-10-28 Netapp, Inc. Management services api gateway
CN113098695A (zh) * 2021-04-21 2021-07-09 金陵科技学院 一种基于用户属性的微服务统一权限控制方法与***

Similar Documents

Publication Publication Date Title
US9465953B2 (en) Secure virtual file management system
EP3531662B1 (en) Providing mobile device management functionalities
EP2979416B1 (en) Data management for an application with multiple operation modes
CN108701175B (zh) 将用户账户与企业工作空间相关联
US10148637B2 (en) Secure authentication to provide mobile access to shared network resources
US20140108649A1 (en) Configuring and providing profiles that manage execution of mobile applications
CN107924431B (zh) 匿名应用程序包装
CN111585880B (zh) 业务***中的网关控制方法、装置及电子设备
CN114928460A (zh) 一种基于微服务架构的多租户应用集成框架***
WO2024006135A1 (en) Quorum-based authorization to secure sensitive cloud assets
US20240031356A1 (en) A smart password implementation method, apparatus, electronic device and computer-readable medium
KR101730984B1 (ko) 다수의 동작 모드들을 가진 애플리케이션용 데이터 관리
CN115277095A (zh) 一种基于api网关的数据安全访问方法及装置
US11647017B2 (en) Subscriber identity management
CN113133072B (zh) 控制终端的方法、装置、终端及存储介质
CN115001777A (zh) 跨业务门户***管理方法
CN118019002A (zh) 一种远程访问校园网的方法、装置、设备以及存储介质
CN117424726A (zh) 一种整合keycloak和ladon进行权限管理的方法
KR20190006633A (ko) 보안 관리 시스템 및 방법과 이를 수행하기 위한 서버

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination