TWI716385B - 鑒權方法及鑒權裝置 - Google Patents

鑒權方法及鑒權裝置 Download PDF

Info

Publication number
TWI716385B
TWI716385B TW105107215A TW105107215A TWI716385B TW I716385 B TWI716385 B TW I716385B TW 105107215 A TW105107215 A TW 105107215A TW 105107215 A TW105107215 A TW 105107215A TW I716385 B TWI716385 B TW I716385B
Authority
TW
Taiwan
Prior art keywords
information
permission
authentication
role
user
Prior art date
Application number
TW105107215A
Other languages
English (en)
Other versions
TW201710944A (zh
Inventor
郭棟
原攀峰
劉鑫
陳廷梁
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201710944A publication Critical patent/TW201710944A/zh
Application granted granted Critical
Publication of TWI716385B publication Critical patent/TWI716385B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本案實施例揭露了一種鑒權方法及鑒權裝置,所述方法包括:接收終端發送的攜帶使用者資訊及待鑒權的許可權點資訊的鑒權請求;根據所述使用者資訊,獲取與該使用者資訊對應的包含至少一個許可權點資訊的第一集合;確定與所述使用者資訊相關聯的至少一個上層主體資訊;根據所述至少一個上層主體資訊,獲取與該上層主體資訊對應的包含至少一個許可權點資訊的第二集合;將所述第一集合與所述第二集合的交集確定為鑒權集合;判斷所述待鑒權的許可權點資訊是否在所述鑒權集合中;若是,則判定鑒權通過。本案實施例可以實現包含多個主體的應用的許可權管理。

Description

鑒權方法及鑒權裝置
本案涉及電腦技術領域,特別涉及一種鑒權方法及鑒權裝置。
許可權管理,一般指根據系統設置的安全規則或者安全性原則,使用者可以訪問而且只能訪問自己被授權的資源。許可權管理技術是管理應用系統中的主體訪問客體的許可權的技術,其可以應用與任何藉由使用者帳戶及密碼進行登陸的應用系統中。
現有技術中,上述主體可以是各個用戶,上述客體可以是系統中的各種資源,如:各個模組下的資源、資料服務資源等。應用系統藉由預先為每個使用者分配相應的許可權資訊,並將這些許可權資訊與各個使用者的ID進行映射並存儲,從而在系統鑒權的過程中,根據使用者登陸的ID查詢到該使用者所具備的許可權資訊,實現許可權管理。
在一些特殊的應用系統(如:大數據平台)中,一般還可以根據實際需求,系統中可以根據實際需求設置其他 的主體,比如:租戶、項目等。在這些包括多種主體的應用系統中,可以將各個用戶劃分到相應的專案或租戶中來實現管理,對於不同的專案、或租戶而言,訪問系統資源的許可權也不盡相同。
在實現本案的過程中,發明人發現現有技術至少存在以下問題:
目前還沒有實現包括多種主體的應用系統的許可權管理的技術。
本案實施例的目的是提供一種鑒權方法及鑒權裝置,以實現解決現有技術無法實現包括多種主體的應用系統的許可權管理的問題。
為解決上述技術問題,本案實施例提供的鑒權方法及裝置是這樣實現的:一種鑒權方法,包括:接收終端發送的攜帶使用者資訊及待鑒權的許可權點資訊的鑒權請求;確定與所述使用者資訊相關聯的至少一個上層主體資訊;根據所述使用者資訊,獲取與該使用者資訊對應的包含至少一個許可權點資訊的第一集合;根據所述至少一個上層主體資訊,獲取與該上層主體資訊對應的包含至少一個許可權點資訊的第二集合; 將所述第一集合與所述第二集合的交集確定為鑒權集合;判斷所述待鑒權的許可權點資訊是否在所述鑒權集合中;若是,則判定鑒權通過。
一種鑒權方法,包括:接收終端發送的攜帶使用者資訊及待鑒權資訊集合的鑒權請求;其中,所述待鑒權資訊集合包含至少一個待鑒權的許可權點資訊;確定與所述使用者資訊相關聯的至少一個上層主體資訊;根據所述使用者資訊,獲取與該使用者資訊對應的包含至少一個許可權點資訊的第一集合;根據所述至少一個上層主體資訊,獲取與該上層主體資訊對應的包含至少一個許可權點資訊的第二集合;將所述第一集合與所述第二集合的交集確定為鑒權集合;判斷所述待鑒權資訊集合與所述鑒權集合是否有交集;若是,將所述待鑒權資訊集合與所述鑒權集合的交集確定為與當前的鑒權請求對應的鑒權通過的許可權點資訊的集合。
一種鑒權裝置,包括:接收單元,用於接收終端發送的攜帶使用者資訊及待 鑒權的許可權點資訊的鑒權請求;第一確定單元,用於確定與所述使用者資訊相關聯的至少一個上層主體資訊;第一獲取單元,用於根據所述使用者資訊,獲取與該使用者資訊對應的包含至少一個許可權點資訊的第一集合;第二獲取單元,用於根據所述至少一個上層主體資訊,獲取與該上層主體資訊對應的包含至少一個許可權點資訊的第二集合;第二確定單元,用於將所述第一集合與所述第二集合的交集確定為鑒權集合;判斷單元,用於判斷所述待鑒權的許可權點資訊是否在所述鑒權集合中,若是,則判定鑒權通過。
一種鑒權裝置,包括:接收單元,用於接收終端發送的攜帶使用者資訊及待鑒權資訊集合的鑒權請求;其中,所述待鑒權資訊集合包含至少一個待鑒權的許可權點資訊;第一確定單元,用於確定與所述使用者資訊相關聯的至少一個上層主體資訊;第一獲取單元,用於根據所述使用者資訊,獲取與該使用者資訊對應的包含至少一個許可權點資訊的第一集合;第二獲取單元,用於根據所述至少一個上層主體資訊,獲取與該上層主體資訊對應的包含至少一個許可權點 資訊的第二集合;第二確定單元,用於將所述第一集合與所述第二集合的交集確定為鑒權集合;鑒權確定單元,用於判斷所述待鑒權資訊集合與所述鑒權集合是否有交集;若是,將所述待鑒權資訊集合與所述鑒權集合的交集確定為與當前的鑒權請求對應的鑒權通過的許可權點資訊的集合。
由以上本案實施例提供的技術方案可見,本案實施例藉由接收終端發送的包含使用者資訊的鑒權請求,根據使用者資訊獲取與該使用者資訊對應的包含至少一個許可權點資訊的第一集合;之後確定與上述使用者資訊相關聯的至少一個上層主體資訊,並獲取與該上層主體資訊對應的包含至少一個許可權點資訊的第二集合;最終,根據獲取到的第一集合和第二集合,將第一集合、第二集合的交集確定為鑒權集合,根據該鑒權集合來判定終端發送的鑒權請求是否通過。從而基於以上過程,本案實施例可以實現包含多個主體的應用的許可權管理。
301:接收單元
302:第一獲取單元
303:第一確定單元
304:第二獲取單元
305:第二確定單元
306:判斷單元
401:接收單元
402:第一獲取單元
403:第一確定單元
404:第二獲取單元
405:第二確定單元
406:鑒權確定單元
為了更清楚地說明本案實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本案中記載的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動性的前提下,還可以根據這些附圖獲 得其他的附圖。
圖1為示出了本案實施例中包含多個主體的應用系統的架構;圖2為本案一實施例中鑒權方法的流程圖;圖3為本案另一實施例中鑒權方法的流程圖;圖4為本案一實施例中鑒權裝置的模組圖;圖5為本案另一實施例中鑒權裝置的模組圖。
為了使本技術領域的人員更好地理解本案中的技術方案,下面將結合本案實施例中的附圖,對本案實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本案一部分實施例,而不是全部的實施例。基於本案中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都應當屬於本案保護的範圍。
圖1為示出了本案實施例中包含多個主體的應用系統的架構,該架構的主體可以包括用戶及與各個用戶對應的上層主體,這些上層主體可以是租戶、或項目。在系統架構中,還可以包括平台管理級的主體,比如:平台管理人員。一般地,這個應用系統可以包含一個或多個租戶,每個租戶下可以包含一個或多個專案,每個專案中又可以包含一個或多個用戶。其中,定義上述租戶是使用上述應用系統的資源(可以是存儲資源、運算資源、開發資源等) 的客戶群體(如:公司),定義上述項目是從屬於上述租戶的子群體,每個項目可以對應於一個項目空間,該項目空間可以定義為使用者對資料進行加工處理的場所,使用者可以按照不同的產品線來劃分不同的項目空間。
通常,應用系統可以為系統中的每個主體分配相應的角色。這些角色可以包括用戶的角色、專案的角色、租戶的角色及管理級成員的角色。其中,使用者的角色還可以根據該使用者所屬的專案和租戶,分為用戶在項目級的角色、用戶在租戶級的角色。舉例而言,在圖1中,每個租戶中的角色包括租戶的擁有者、管理員及各個成員,成員的角色可以包括租戶級經理、租戶級科長、租戶級工程師等,成員的角色可以由管理員來管理,租戶的擁有者可以添加/刪除管理員。每個租戶可以創建專案,每個專案中的角色也可以包括專案的擁有者、管理員及各個成員,成員的角色可以包括項目級經理、項目級科長、項目級工程師等,成員的角色可以由管理員來管理,租戶的擁有者可以添加/刪除管理員。此外,平台管理級的成員的角色可以包括平台管理員等,平台管理員可以管理平台級的角色和管理許可權點資訊。所謂許可權點資訊是由客體(資源)+操作組成,例如:管理員的創建操作、管理員列表的查看操作、項目的創建操作、SQL的發佈操作、使用者自訂函數的發佈操作、某個資料服務的使用操作等。
在上述應用系統中,每個租戶、項目作為一個群體,也具備相應的角色。比如:應用系統包括1000個租戶, 可以根據租戶的級別劃分租戶的角色,租戶的角色可以包括:{ZHRole 1、ZHRole 2、......、ZHRole n},那麼可以根據租戶的級別將上述1000個租戶分別與這n個租戶的角色:{ZHRole 1、ZHRole 2、......、ZHRole n}進行映射。同理,租戶也可以根據需要為其下的各個專案劃分相應的許可權。假設某個租戶包括100個項目,項目的角色可以包括:{XMRole 1、XMRole 2、......、XMRole m},那麼可以將上述100個項目分別與這m個項目的角色:{XMRole 1、XMRole 2、......、XMRole m}進行映射。當然,應用平台上的其他租戶下的項目也可以與上述項目的角色:{XMRole 1、XMRole 2、......、XMRole m}進行映射。
上述應用平台可以根據將角色資訊與相應的一個或多個許可權點資訊(本文可以稱包含至少一個許可權點資訊的集合)進行映射。對於各個租戶而言,應用系統的伺服器上可以存儲各個租戶資訊與相應的租戶角色資訊的映射關係,以及各個租戶角色資訊與一個或多個許可權點資訊的映射關係。對於各個專案而言,應用系統的伺服器上可以存儲各個專案資訊與相應的專案角色資訊的映射關係,以及各個專案角色資訊與一個或多個許可權點資訊的映射關係。對應各個使用者而言,應用系統的伺服器上可以存儲各個使用者資訊與使用者角色資訊的映射關係(包括用戶在專案級別的角色資訊、使用者在租戶級別的角色資訊),以及各個使用者角色資訊與一個或多個許可權點資 訊的映射關係。
值得提及的是,本案的上層主體並不限於上述實施例介紹的租戶或項目,還可以是其他形式的主體,如:集團、歸屬於該集團下的至少一個子公司、歸屬於上述至少一個子公司下的至少一個部門等,並且,該應用系統包括的主體的數目也不受限制,如:可以包括三層主體或三層以上的主體。本文將以兩層上層主體為例來介紹本案的技術方案。
圖2為本案一實施例中鑒權方法的流程圖。上述鑒權方法的執行主體可以是應用系統的伺服器。基於上述應用系統的架構,本實施例的鑒權方法包括:
S101:接收終端發送的攜帶使用者資訊及待鑒權的許可權點資訊的鑒權請求。
上述終端可以是訪問上述伺服器的電腦、或智慧無線終端、或伺服器等。
使用者可以藉由上述終端採用使用者資訊及密碼的形式進行登陸,登陸成功後,根據登陸的使用者資訊向伺服器發送包含該使用者資訊及待鑒權的許可權點資訊的鑒權請求。其中,待鑒權的許可權點資訊可以根據使用者資訊來確定,該許可權點資訊可以是一個或者多個。當然,待鑒權的許可權點資訊也可以根據使用者的具體操作來確定,如:登陸終端的使用者在嘗試執行某個操作時,需通過鑒權過程來確定當前用戶是否具備這樣操作的許可權。
S102:確定與使用者資訊相關聯的至少一個上層主體 資訊。
舉例而言,若所述上層主體資訊包括兩個,分別是租戶資訊、專案資訊,則上述步驟S102可以具體包括:確定與所述使用者資訊相關聯的租戶資訊;確定與所述使用者資訊相關聯的、且歸屬於所述租戶資訊下的專案資訊;在上述應用系統中,每個使用者會預先被劃分到相應的上層主體(租戶、專案)下。例如:使用者資訊可以是:“張三”,該使用者資訊“張三”所歸屬的上層主體資訊可以是:“X租戶”、“X租戶下的Y項目”。
S103:根據使用者資訊獲取與該使用者資訊對應的包含至少一個許可權點資訊的第一集合。
本實施例中,所述第一集合A所包含的許可權點資訊可以對應於各個使用者的許可權,即許可權主體的是用戶。
如上所述,該步驟S103可以具體包括:查詢與所述使用者資訊映射的第一角色資訊;其中,所述第一角色資訊用以標識所述使用者資訊對應的使用者在所述上層主體資訊對應的上層主體中的角色;查詢與所述第一角色資訊映射的包含至少一個許可權點資訊的第一集合A。
舉例而言,對於上述包括租戶、專案的應用系統而言,與使用者資訊相映射的第一角色資訊可以包括該使用者在租戶級的用戶角色、及該用戶在項目級的用戶角色。 假設根據使用者資訊:“張三”,確定到該用戶在租戶級的用戶角色例如是:“租戶級的經理”,確定到該用戶在專案級的用戶角色例如是:“項目總監”。根據上述使用者在不同的上層主體中的用戶角色:“租戶級的經理”和“項目總監”,可以分別藉由查詢得到與上述用戶角色對應的兩個包含至少一個許可權點資訊的集合A1和A2,也就是說,這兩個集合A1、A2分別表示該用戶在租戶級別、項目級別所擁有的許可權。其中,第一集合A可以是上述兩個集合A1和A2的交集。假設A1={許可權點Q1、許可權點Q2、許可權點Q3、許可權點Q4},A2={許可權點Q1、許可權點Q3、許可權點Q5、許可權點Q4},則藉由取交集,可以得到第一集合A=A1∩A2={許可權點Q1、許可權點Q3、許可權點Q4}。
值得述及的是,本案其他實施例中,應用系統中的上層主體可以只是租戶,而租戶下面沒有劃分項目,則只需獲取用戶在該租戶級別的角色資訊及其相應的許可權集合即可。另外,若應用系統包含較多數量的上層主體,當其中一個或多個上層主體空缺後,為確保最終得到的許可權交集不為空集,上述空缺的一個或多個上層主體所對應的許可權集合中可以包含所有可能擁有的許可權點。
S104:根據至少一個上層主體資訊,獲取與該上層主體資訊對應的包含至少一個許可權點資訊的第二集合。
如上所述,對於應用系統中的各個上層主體而言,其也具備相應的許可權。本案實施例中,若所述上層主體資 訊包括至少兩個,則上述步驟S104包括:分別獲取與各個上層主體資訊對應的包括至少一個許可權點資訊的許可權集合;並將與各個上層主體資訊對應的許可權集合的交集確定為所述第二集合。
本案實施例中,該步驟S104可以具體包括:查詢與所述上層主體資訊映射的第二角色資訊;其中,所述第二角色資訊用以標識該上層主體資訊對應的上層主體在應用系統中的角色;查詢與所述第二角色資訊映射的包含至少一個許可權點資訊的第二集合B。
對於包含租戶、專案的應用系統而言,上層主體資訊可以包括租戶資訊、專案資訊,則相應的第二角色資訊也包括該租戶在應用系統中角色資訊、及該專案在應用系統中角色資訊。則,獲取上述第二集合B的具體過程可以包括:獲取與所述租戶資訊對應的包含至少一個許可權點資訊的許可權集合B1;獲取與所述專案資訊對應的包含至少一個許可權點資訊的許可權集合B2;將許可權集合B1與許可權集合B2的交集確定為所述第二集合B。
舉例而言,對於使用者資訊:“張三”,藉由查詢用戶-上層主體映射表,可以得到其對應的專案資訊例如是:“X租戶下的Y專案”,其對應的租戶資訊例如 是:“X租戶”。藉由查詢上層主體-主體角色映射表,可以得到上述專案資訊:“X租戶下的Y專案”對應的角色資訊是:“XMRole 11”,得到上述租戶資訊:“X租戶”對應的角色資訊是:“ZHRole 12”。最終,藉由查詢主體角色資訊-許可權點資訊的映射表,可以得到上述角色資訊:“XMRole 11”對應的許可權集合B1={許可權點Q1、許可權點Q2、許可權點Q3、許可權點Q4、許可權點Q5、許可權點Q6、許可權點Q8、許可權點Q10},得到上述角色資訊“ZHRole 12”對應的許可權集合B2={許可權點Q2、許可權點Q3、許可權點Q4、許可權點Q5、許可權點Q6、許可權點Q9、許可權點Q10},則,藉由取交集,得到第二集合B=B1∩B2={許可權點Q2、許可權點Q3、許可權點Q4、許可權點Q5、許可權點Q6、許可權點Q10}。
S105:將第一集合A與第二集合B的交集A∩B確定為鑒權集合C。
本案實施例中,第一集合A表示使用者在各個上層主體中的許可權點資訊集合。第二集合B表示使用者所屬的各個上層主體所具備的許可權點資訊集合。由於在上述應用系統的許可權管理機制中,下層主體所對應的許可權點資訊集合可以是上層主體所對應的許可權點資訊集合的子集。舉例而言,用戶是專案、租戶的下層主體,專案、租戶是用戶的上層主體,則用戶所對應的許可權點資訊集合是各個租戶、專案所對應的許可權點資訊集合的子集。 故,需要藉由將第一集合A與第二集合B的交集A∩B確定為鑒權集合C,以確定該用戶最終能夠擁有的許可權。
S106:判斷待鑒權的許可權點資訊是否在鑒權集合C中。
繼續沿用上述例子,假設第一集合A={許可權點Q1、許可權點Q3、許可權點Q4},第二集合B={許可權點Q2、許可權點Q3、許可權點Q4、許可權點Q5、許可權點Q6、許可權點Q10},則確定的鑒權集合C=A∩B={許可權點Q3、許可權點Q4}。
若終端發送的鑒權請求中攜帶的待鑒權的許可權點資訊是:Q3、或Q4、或{Q3、Q4},由於這些許可權點資訊在鑒權集合C中,則判定鑒權通過,該終端的使用者具備相應的訪問應用系統的資源的許可權。相反地,若終端發送的鑒權資訊中攜帶的待鑒權的許可權點資訊不在上述鑒權集合C中,如:Q5,則判定鑒權不通過,該終端的使用者不具備相應的訪問應用系統的資源的許可權。
圖3為本案另一實施例中鑒權方法的流程圖。上述鑒權方法的執行主體可以是應用系統的伺服器。基於上述應用系統的架構,本實施例的鑒權方法包括:
S201:接收終端發送的攜帶使用者資訊及待鑒權資訊集合的鑒權請求;其中,所述待鑒權資訊集合包含至少一個待鑒權的許可權點資訊。
S202:根據使用者資訊,獲取與該使用者資訊對應的包含至少一個許可權點資訊的第一集合A。
S203:確定與使用者資訊相關聯的至少一個上層主體資訊。
S204:根據至少一個上層主體資訊,獲取與該上層主體資訊對應的包含至少一個許可權點資訊的第二集合B。
S205:將第一集合A與第二集合B的交集確定為鑒權集合C。
上述步驟S201~S205可以參照上述步驟S101~S105的內容,定義該待鑒權資訊集合D。
S206:判斷待鑒權資訊集合D與所述鑒權集合C是否有交集。
S207:若是,將所述待鑒權資訊集合D與所述鑒權集C合的交集確定為與當前的鑒權請求對應的鑒權通過的許可權點資訊的集合E。
本案實施例中,若集合E=D∩C=D,則表明待鑒權資訊集合D是鑒權集C的一個子集,也就是說,待鑒權資訊集合D包含的各個待鑒權的許可權點資訊全部落在最終確定的鑒權集合C中,可以判定鑒權完全通過;若集合E=D∩C=空集,則表明待鑒權資訊集合D包含的各個待鑒權的許可權點資訊沒有一個落在最終確定的鑒權集合C中,可以判定鑒權完全不通過;若集合E=D∩C不是空集,而是集合D的子集,則表明待鑒權資訊集合D包含的各個待鑒權的許可權點資訊部分落在最終確定的鑒權集合C中,可以判定鑒權部分通過。
藉由上述過程,可以根據集合E=D∩C所包含的許可 權點資訊,來確定使用終端的使用者最終鑒權通過的許可權。
圖4為本案一實施例中鑒權裝置的模組圖。本實施例的鑒權裝置,包括:接收單元301,用於接收終端發送的攜帶使用者資訊及待鑒權的許可權點資訊的鑒權請求;第一確定單元302,用於確定與所述使用者資訊相關聯的至少一個上層主體資訊;第一獲取單元303,用於根據所述使用者資訊,獲取與該使用者資訊對應的包含至少一個許可權點資訊的第一集合;第二獲取單元304,用於根據所述至少一個上層主體資訊,獲取與該上層主體資訊對應的包含至少一個許可權點資訊的第二集合;第二確定單元305,用於將所述第一集合與所述第二集合的交集確定為鑒權集合;判斷單元306,用於判斷所述待鑒權的許可權點資訊是否在所述鑒權集合中,若是,則判定鑒權通過。
本案實施例中,所述第二獲取單元304具體用於:若所述上層主體資訊包括至少兩個,則分別獲取與各個上層主體資訊對應的包括至少一個許可權點資訊的許可權集合;將與各個上層主體資訊對應的許可權集合的交集確定為所述第二集合。
本案實施例中,若所述上層主體資訊包括租戶資訊、專案資訊,則,所述第一確定單元302具體用於:確定與所述使用者資訊相關聯的租戶資訊;確定與所述使用者資訊相關聯的、且歸屬於所述租戶資訊下的專案資訊;則,所述第二獲取單元304具體用於:獲取與所述租戶資訊對應的包含至少一個許可權點資訊的許可權集合;獲取與所述專案資訊對應的包含至少一個許可權點資訊的許可權集合;將所述租戶資訊對應的的許可權集合與所述專案資訊對應的許可權集合的交集確定為所述第二集合。
本案實施例中,所述第一獲取單元302具體用於:查詢與所述使用者資訊映射的第一角色資訊;其中,所述第一角色資訊用以標識所述使用者資訊對應的使用者在所述上層主體資訊對應的上層主體中的角色;查詢與所述第一角色資訊映射的包含至少一個許可權點資訊的第一集合;所述第二獲取單元304具體用於:查詢與至少一個上層主體資訊映射的至少一個第二角色資訊;其中,所述第二角色資訊用以標識該上層主體資訊對應的上層主體在應用系統中的角色;查詢與至少一個第二角色資訊映射的包含至少一個許可權點資訊的第二集合。
圖5為本案另一實施例中鑒權裝置的模組圖。本實施例的鑒權裝置,包括:接收單元401,用於接收終端發送的攜帶使用者資訊及待鑒權資訊集合的鑒權請求;其中,所述待鑒權資訊集合包含至少一個待鑒權的許可權點資訊;第一確定單元402,用於確定與所述使用者資訊相關聯的至少一個上層主體資訊;第一獲取單元403,用於根據所述使用者資訊,獲取與該使用者資訊對應的包含至少一個許可權點資訊的第一集合;第二獲取單元404,用於根據所述至少一個上層主體資訊,獲取與該上層主體資訊對應的包含至少一個許可權點資訊的第二集合;第二確定單元405,用於將所述第一集合與所述第二集合的交集確定為鑒權集合;鑒權確定單元406,用於判斷所述待鑒權資訊集合與所述鑒權集合是否有交集;若是,將所述待鑒權資訊集合與所述鑒權集合的交集確定為與當前的鑒權請求對應的鑒權通過的許可權點資訊的集合。
本案實施例中,所述第二獲取單元304具體用於:若所述上層主體資訊包括至少兩個,則分別獲取與各個上層主體資訊對應的包括至少一個許可權點資訊的許可權集合;將與各個上層主體資訊對應的許可權集合的交集確定 為所述第二集合。
本案實施例中,若所述上層主體資訊包括租戶資訊、專案資訊,則,所述第一確定單元302具體用於:確定與所述使用者資訊相關聯的租戶資訊;確定與所述使用者資訊相關聯的、且歸屬於所述租戶資訊下的專案資訊;則,所述第二獲取單元304具體用於:獲取與所述租戶資訊對應的包含至少一個許可權點資訊的許可權集合;獲取與所述專案資訊對應的包含至少一個許可權點資訊的許可權集合;將所述租戶資訊對應的許可權集合與所述專案資訊對應的許可權集合的交集確定為所述第二集合。
本案實施例中,所述第一獲取單元302具體用於:查詢與所述使用者資訊映射的第一角色資訊;其中,所述第一角色資訊用以標識所述使用者資訊對應的使用者在所述上層主體資訊對應的上層主體中的角色;查詢與所述第一角色資訊映射的包含至少一個許可權點資訊的第一集合;所述第二獲取單元304具體用於:查詢與至少一個上層主體資訊映射的至少一個第二角色資訊;其中,所述第二角色資訊用以標識該上層主體資訊對應的上層主體在應用系統中的角色;查詢與至少一個第二角色資訊映射的包含至少一個許 可權點資訊的第二集合。
綜上,本案實施例藉由接收終端發送的包含使用者資訊的鑒權請求,根據使用者資訊獲取與該使用者資訊對應的包含至少一個許可權點資訊的第一集合;之後確定與上述使用者資訊相關聯的至少一個上層主體資訊,並獲取與該上層主體資訊對應的包含至少一個許可權點資訊的第二集合;最終,根據獲取到的第一集合和第二集合,將第一集合、第二集合的交集確定為鑒權集合,根據該鑒權集合來判定終端發送的鑒權請求是否通過。從而基於以上過程,本案實施例可以實現包含多個主體的應用的許可權管理。
為了描述的方便,描述以上裝置時以功能分為各種單元分別描述。當然,在實施本案時可以把各單元的功能在同一個或多個軟體和/或硬體中實現。
本領域內的技術人員應明白,本發明的實施例可提供為方法、系統、或電腦程式產品。因此,本發明可採用完全硬體實施例、完全軟體實施例、或結合軟體和硬體方面的實施例的形式。而且,本發明可採用在一個或多個其中包含有電腦可用程式碼的電腦可用存儲媒體(包括但不限於磁碟記憶體、CD-ROM、光學記憶體等)上實施的電腦程式產品的形式。
本發明是參照根據本發明實施例的方法、設備(系統)、和電腦程式產品的流程圖和/或方塊圖來描述的。應理解可由電腦程式指令實現流程圖和/或方塊圖中的每 一流程和/或方塊、以及流程圖和/或方塊圖中的流程和/或方塊的結合。可提供這些電腦程式指令到通用電腦、專用電腦、嵌入式處理機或其他可程式設計資料處理設備的處理器以產生一個機器,使得藉由電腦或其他可程式設計資料處理設備的處理器執行的指令產生用於實現在流程圖一個流程或多個流程和/或方塊圖一個方塊或多個方塊中指定的功能的裝置。
這些電腦程式指令也可存儲在能引導電腦或其他可程式設計資料處理設備以特定方式工作的電腦可讀記憶體中,使得存儲在該電腦可讀記憶體中的指令產生包括指令裝置的製造品,該指令裝置實現在流程圖一個流程或多個流程和/或方塊圖一個方塊或多個方塊中指定的功能。
這些電腦程式指令也可裝載到電腦或其他可程式設計資料處理設備上,使得在電腦或其他可程式設計設備上執行一系列操作步驟以產生電腦實現的處理,從而在電腦或其他可程式設計設備上執行的指令提供用於實現在流程圖一個流程或多個流程和/或方塊圖一個方塊或多個方塊中指定的功能的步驟。
還需要說明的是,術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、商品或者設備所固有的要素。在沒有更多限制的情況下,由語句“包括一個......”限定的要素,並不排除 在包括所述要素的過程、方法、商品或者設備中還存在另外的相同要素。
本領域技術人員應明白,本案的實施例可提供為方法、系統或電腦程式產品。因此,本案可採用完全硬體實施例、完全軟體實施例或結合軟體和硬體方面的實施例的形式。而且,本案可採用在一個或多個其中包含有電腦可用程式碼的電腦可用存儲媒體(包括但不限於磁碟記憶體、CD-ROM、光學記憶體等)上實施的電腦程式產品的形式。
本案可以在由電腦執行的電腦可執行指令的一般上下文中描述,例如程式模組。一般地,程式模組包括執行特定任務或實現特定抽象資料類型的常式、程式、物件、元件、資料結構等等。也可以在分散式運算環境中實踐本案,在這些分散式運算環境中,由通過通信網路而被連接的遠端處理設備來執行任務。在分散式運算環境中,程式模組可以位於包括存放裝置在內的本地和遠端電腦存儲媒體中。
本說明書中的各個實施例均採用漸進的方式描述,各個實施例之間相同相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對於系統實施例而言,由於其基本相似於方法實施例,所以描述的比較簡單,相關之處參見方法實施例的部分說明即可。
以上所述僅為本案的實施例而已,並不用於限制本案。對於本領域技術人員來說,本案可以有各種更改和變 化。凡在本案的精神和原理之內所作的任何修改、等同替換、改進等,均應包含在本案的申請專利範圍之內。

Claims (12)

  1. 一種鑒權方法,其特徵在於,包括:接收終端發送的攜帶使用者資訊及待鑒權的許可權點資訊的鑒權請求;確定與所述使用者資訊相關聯的至少一個上層主體資訊;查詢與所述使用者資訊映射的第一角色資訊;其中,所述第一角色資訊用以標識所述使用者資訊對應的使用者在所述上層主體資訊對應的上層主體中的角色;查詢與所述第一角色資訊映射的包含至少一個許可權點資訊的第一集合;查詢與至少一個所述上層主體資訊映射的至少一個第二角色資訊;其中,所述第二角色資訊用以標識各上層主體資訊對應的該上層主體在應用系統中的角色;查詢與至少一個所述第二角色資訊映射的包含至少一個許可權點資訊的第二集合;將所述第一集合與所述第二集合的交集確定為鑒權集合;判斷所述待鑒權的許可權點資訊是否在所述鑒權集合中;若是,則判定鑒權通過。
  2. 根據請求項1所述的方法,其中,根據所述至少一個上層主體資訊,獲取與該上層主體資訊對應的包含至少一個許可權點資訊的第二集合,包括: 若所述上層主體資訊包括至少兩個,則分別獲取與各個上層主體資訊對應的包括至少一個許可權點資訊的許可權集合;將與各個上層主體資訊對應的許可權集合的交集確定為所述第二集合。
  3. 根據請求項1或2所述的方法,其中,若所述上層主體資訊包括租戶資訊、專案資訊,則,所述確定與所述使用者資訊相關聯的至少一個上層主體資訊,包括:確定與所述使用者資訊相關聯的租戶資訊;確定與所述使用者資訊相關聯的、且歸屬於所述租戶資訊下的專案資訊;則,所述根據所述至少一個上層主體資訊,獲取與該上層主體資訊對應的包含至少一個許可權點資訊的第二集合,包括:獲取與所述租戶資訊對應的包含至少一個許可權點資訊的許可權集合;獲取與所述專案資訊對應的包含至少一個許可權點資訊的許可權集合;將所述租戶資訊對應的許可權集合與所述專案資訊對應的許可權集合的交集確定為所述第二集合。
  4. 一種鑒權方法,其特徵在於,包括:接收終端發送的攜帶使用者資訊及待鑒權資訊集合的鑒權請求;其中,所述待鑒權資訊集合包含至少一個待鑒權的許可權點資訊; 確定與所述使用者資訊相關聯的至少一個上層主體資訊;查詢與所述使用者資訊映射的第一角色資訊;其中,所述第一角色資訊用以標識所述使用者資訊對應的使用者在所述上層主體資訊對應的上層主體中的角色;查詢與所述第一角色資訊映射的包含至少一個許可權點資訊的第一集合;查詢與至少一個所述上層主體資訊映射的至少一個第二角色資訊;其中,所述第二角色資訊用以標識該上層主體資訊對應的上層主體在應用系統中的角色;查詢與至少一個所述第二角色資訊映射的包含至少一個許可權點資訊的第二集合;將所述第一集合與所述第二集合的交集確定為鑒權集合;判斷所述待鑒權資訊集合與所述鑒權集合是否有交集;若是,將所述待鑒權資訊集合與所述鑒權集合的交集確定為與當前的鑒權請求對應的鑒權通過的許可權點資訊的集合。
  5. 根據請求項4所述的方法,其中,根據所述至少一個上層主體資訊,獲取與該上層主體資訊對應的包含至少一個許可權點資訊的第二集合,包括:若所述上層主體資訊包括至少兩個,則分別獲取與各個上層主體資訊對應的包括至少一個許可權點資訊的許可 權集合;將與各個上層主體資訊對應的許可權集合的交集確定為所述第二集合。
  6. 根據請求項4或5所述的方法,其中,若所述上層主體資訊包括租戶資訊、專案資訊,則,所述確定與所述使用者資訊相關聯的至少一個上層主體資訊,包括:確定與所述使用者資訊相關聯的租戶資訊;確定與所述使用者資訊相關聯的、且歸屬於所述租戶資訊下的專案資訊;則,所述根據所述至少一個上層主體資訊,獲取與該上層主體資訊對應的包含至少一個許可權點資訊的第二集合,包括:獲取與所述租戶資訊對應的包含至少一個許可權點資訊的許可權集合;獲取與所述專案資訊對應的包含至少一個許可權點資訊的許可權集合;將所述租戶資訊對應的許可權集合與所述專案資訊對應的許可權集合的交集確定為所述第二集合。
  7. 一種鑒權裝置,其特徵在於,包括:接收單元,用於接收終端發送的攜帶使用者資訊及待鑒權的許可權點資訊的鑒權請求;第一確定單元,用於確定與所述使用者資訊相關聯的至少一個上層主體資訊;第一獲取單元,用於:查詢與所述使用者資訊映射的 第一角色資訊;其中,所述第一角色資訊用以標識所述使用者資訊對應的使用者在所述上層主體資訊對應的上層主體中的角色;查詢與所述第一角色資訊映射的包含至少一個許可權點資訊的第一集合;第二獲取單元,用於:查詢與至少一個所述上層主體資訊映射的至少一個第二角色資訊;其中,所述第二角色資訊用以標識該上層主體資訊對應的上層主體在應用系統中的角色;查詢與至少一個所述第二角色資訊映射的包含至少一個許可權點資訊的第二集合;第二確定單元,用於將所述第一集合與所述第二集合的交集確定為鑒權集合;判斷單元,用於判斷所述待鑒權的許可權點資訊是否在所述鑒權集合中,若是,則判定鑒權通過。
  8. 根據請求項7所述的裝置,其中,所述第二獲取單元具體用於:若所述上層主體資訊包括至少兩個,則分別獲取與各個上層主體資訊對應的包括至少一個許可權點資訊的許可權集合;將與各個上層主體資訊對應的許可權集合的交集確定為所述第二集合。
  9. 根據請求項7或8所述的裝置,其中,若所述上層主體資訊包括租戶資訊、專案資訊,則,所述第一確定單元具體用於:確定與所述使用者資訊相關聯的租戶資訊; 確定與所述使用者資訊相關聯的、且歸屬於所述租戶資訊下的專案資訊;則,所述第二獲取單元具體用於:獲取與所述租戶資訊對應的包含至少一個許可權點資訊的許可權集合;獲取與所述專案資訊對應的包含至少一個許可權點資訊的許可權集合;將所述租戶資訊對應的許可權集合與所述專案資訊對應的許可權集合的交集確定為所述第二集合。
  10. 一種鑒權裝置,其特徵在於,包括:接收單元,用於接收終端發送的攜帶使用者資訊及待鑒權資訊集合的鑒權請求;其中,所述待鑒權資訊集合包含至少一個待鑒權的許可權點資訊;第一確定單元,用於確定與所述使用者資訊相關聯的至少一個上層主體資訊;第一獲取單元,用於:查詢與所述使用者資訊映射的第一角色資訊;其中,所述第一角色資訊用以標識所述使用者資訊對應的使用者在所述上層主體資訊對應的上層主體中的角色;查詢與所述第一角色資訊映射的包含至少一個許可權點資訊的第一集合;第二獲取單元,用於:查詢與至少一個所述上層主體資訊映射的至少一個第二角色資訊;其中,所述第二角色資訊用以標識該上層主體資訊對應的上層主體在應用系統中的角色;查詢與至少一個所述第二角色資訊映射的包含 至少一個許可權點資訊的第二集合;第二確定單元,用於將所述第一集合與所述第二集合的交集確定為鑒權集合;鑒權確定單元,用於判斷所述待鑒權資訊集合與所述鑒權集合是否有交集;若是,將所述待鑒權資訊集合與所述鑒權集合的交集確定為與當前的鑒權請求對應的鑒權通過的許可權點資訊的集合。
  11. 根據請求項10所述的裝置,其中,所述第二獲取單元具體用於:若所述上層主體資訊包括至少兩個,則分別獲取與各個上層主體資訊對應的包括至少一個許可權點資訊的許可權集合;將與各個上層主體資訊對應的許可權集合的交集確定為所述第二集合。
  12. 根據請求項10或11所述的裝置,其中,若所述上層主體資訊包括租戶資訊、專案資訊,則,所述第一確定單元具體用於:確定與所述使用者資訊相關聯的租戶資訊;確定與所述使用者資訊相關聯的、且歸屬於所述租戶資訊下的專案資訊;則,所述第二獲取單元具體用於:獲取與所述租戶資訊對應的包含至少一個許可權點資訊的許可權集合;獲取與所述專案資訊對應的包含至少一個許可權點資 訊的許可權集合;將所述租戶資訊對應的許可權集合與所述專案資訊對應的許可權集合的交集確定為所述第二集合。
TW105107215A 2015-09-01 2016-03-09 鑒權方法及鑒權裝置 TWI716385B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510551943.8 2015-09-01
CN201510551943.8A CN106487770B (zh) 2015-09-01 2015-09-01 鉴权方法及鉴权装置

Publications (2)

Publication Number Publication Date
TW201710944A TW201710944A (zh) 2017-03-16
TWI716385B true TWI716385B (zh) 2021-01-21

Family

ID=58097051

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105107215A TWI716385B (zh) 2015-09-01 2016-03-09 鑒權方法及鑒權裝置

Country Status (5)

Country Link
US (1) US10333939B2 (zh)
EP (1) EP3345371A4 (zh)
CN (1) CN106487770B (zh)
TW (1) TWI716385B (zh)
WO (1) WO2017040570A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10311248B1 (en) * 2017-01-27 2019-06-04 Intuit Inc. Managing delegated access permissions
CN110968858B (zh) * 2018-09-30 2022-04-01 北京国双科技有限公司 一种用户权限控制方法及***
CN109039792A (zh) * 2018-10-30 2018-12-18 深信服科技股份有限公司 网络管理设备的管理方法、装置、设备及存储介质
CN113704285A (zh) * 2021-08-30 2021-11-26 北京达佳互联信息技术有限公司 基于权限的检索方法及装置、设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090064303A1 (en) * 2007-08-31 2009-03-05 Microsoft Corporation Transferable restricted security tokens
US20120311672A1 (en) * 2011-05-31 2012-12-06 Jason Lilaus Connor Resource-centric authorization schemes
CN104573430A (zh) * 2013-10-21 2015-04-29 华为技术有限公司 一种数据访问权限控制方法及装置
TW201528170A (zh) * 2014-01-09 2015-07-16 Mxtran Inc 授權伺服器、授權方法與電腦程式產品

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7231657B2 (en) 2002-02-14 2007-06-12 American Management Systems, Inc. User authentication system and methods thereof
US8447630B2 (en) 2004-02-26 2013-05-21 Payment Pathways, Inc. Systems and methods for managing permissions for information ownership in the cloud
US7664751B2 (en) * 2004-09-30 2010-02-16 Google Inc. Variable user interface based on document access privileges
US7644086B2 (en) * 2005-03-29 2010-01-05 Sas Institute Inc. Computer-implemented authorization systems and methods using associations
US20070083915A1 (en) * 2005-10-06 2007-04-12 Janani Janakiraman Method and system for dynamic adjustment of computer security based on personal proximity
US20070214364A1 (en) 2006-03-07 2007-09-13 Roberts Nicole A Dual layer authentication system for securing user access to remote systems and associated methods
CN100542140C (zh) * 2006-12-15 2009-09-16 华为技术有限公司 一种访问用户数据的方法及用户档案管理服务器
US8418222B2 (en) 2008-03-05 2013-04-09 Microsoft Corporation Flexible scalable application authorization for cloud computing environments
US8196175B2 (en) 2008-03-05 2012-06-05 Microsoft Corporation Self-describing authorization policy for accessing cloud-based resources
US20090249477A1 (en) 2008-03-28 2009-10-01 Yahoo! Inc. Method and system for determining whether a computer user is human
US8973154B2 (en) 2010-02-02 2015-03-03 Kazu Yanagihara Authentication using transient event data
CN102236750B (zh) 2010-04-29 2016-03-30 国际商业机器公司 在云存储***中进行权限控制的方法和装置
US8381285B2 (en) * 2010-06-25 2013-02-19 Sap Ag Systems and methods for generating constraints for use in access control
US8856954B1 (en) * 2010-12-29 2014-10-07 Emc Corporation Authenticating using organization based information
US9141410B2 (en) * 2011-03-08 2015-09-22 Rackspace Us, Inc. Pluggable allocation in a cloud computing system
US8769622B2 (en) 2011-06-30 2014-07-01 International Business Machines Corporation Authentication and authorization methods for cloud computing security
US20130074158A1 (en) * 2011-09-20 2013-03-21 Nokia Corporation Method and apparatus for domain-based data security
US8682958B2 (en) 2011-11-17 2014-03-25 Microsoft Corporation Decoupling cluster data from cloud deployment
US9483491B2 (en) 2011-11-29 2016-11-01 Egnyte, Inc. Flexible permission management framework for cloud attached file systems
US9460303B2 (en) 2012-03-06 2016-10-04 Microsoft Technology Licensing, Llc Operating large scale systems and cloud services with zero-standing elevated permissions
US9319286B2 (en) 2012-03-30 2016-04-19 Cognizant Business Services Limited Apparatus and methods for managing applications in multi-cloud environments
US8595799B2 (en) * 2012-04-18 2013-11-26 Hewlett-Packard Development Company, L.P. Access authorization
US9210178B1 (en) 2012-06-15 2015-12-08 Amazon Technologies, Inc. Mixed-mode authorization metadata manager for cloud computing environments
US9209973B2 (en) 2012-11-20 2015-12-08 Google Inc. Delegate authorization in cloud-based storage system
US10235383B2 (en) 2012-12-19 2019-03-19 Box, Inc. Method and apparatus for synchronization of items with read-only permissions in a cloud-based environment
US9027087B2 (en) * 2013-03-14 2015-05-05 Rackspace Us, Inc. Method and system for identity-based authentication of virtual machines
US8769644B1 (en) 2013-03-15 2014-07-01 Rightscale, Inc. Systems and methods for establishing cloud-based instances with independent permissions
TWI537850B (zh) 2013-03-27 2016-06-11 Cloud Control System and Method for Controlled Equipment
CN103312721B (zh) * 2013-07-04 2016-12-28 北京迈普华兴信息技术有限公司 一种云平台访问控制架构及其实现方法
CN103324487B (zh) * 2013-07-10 2014-09-10 浙江中新力合控股有限公司 一种流程引擎应用服务化的实现方法
WO2015013745A1 (en) 2013-07-29 2015-02-05 Berkeley Information Technology Pty Ltd Systems and methodologies for managing document access permissions
US9672261B2 (en) 2013-10-04 2017-06-06 Alfresco Software, Inc. Hybrid workflow synchronization between cloud and on-premise systems in a content management system
KR101583356B1 (ko) 2013-11-01 2016-01-07 주식회사 케이티 홈 게이트웨이를 통해 클라우드 스토리지를 이용하는 방법 및 이에 사용되는 홈 게이트웨이
US9397990B1 (en) 2013-11-08 2016-07-19 Google Inc. Methods and systems of generating and using authentication credentials for decentralized authorization in the cloud
US9386007B2 (en) 2013-12-27 2016-07-05 Sap Se Multi-domain applications with authorization and authentication in cloud environment
US9300660B1 (en) 2015-05-29 2016-03-29 Pure Storage, Inc. Providing authorization and authentication in a cloud for a user of a storage array

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090064303A1 (en) * 2007-08-31 2009-03-05 Microsoft Corporation Transferable restricted security tokens
US20120311672A1 (en) * 2011-05-31 2012-12-06 Jason Lilaus Connor Resource-centric authorization schemes
CN104573430A (zh) * 2013-10-21 2015-04-29 华为技术有限公司 一种数据访问权限控制方法及装置
TW201528170A (zh) * 2014-01-09 2015-07-16 Mxtran Inc 授權伺服器、授權方法與電腦程式產品

Also Published As

Publication number Publication date
EP3345371A4 (en) 2019-05-01
CN106487770B (zh) 2019-07-30
US20170063862A1 (en) 2017-03-02
US10333939B2 (en) 2019-06-25
EP3345371A1 (en) 2018-07-11
CN106487770A (zh) 2017-03-08
TW201710944A (zh) 2017-03-16
WO2017040570A1 (en) 2017-03-09

Similar Documents

Publication Publication Date Title
US9229997B1 (en) Embeddable cloud analytics
US8782762B2 (en) Building data security in a networked computing environment
JP6284617B2 (ja) リソース割り当てを計算するシステムおよび方法
US9595013B2 (en) Delegated and restricted asset-based permissions management for co-location facilities
CA3000176A1 (en) Policy enforcement system
US10432622B2 (en) Securing biometric data through template distribution
JP2016521385A (ja) 仮想デスクトップのアプリケーション市場
TWI716385B (zh) 鑒權方法及鑒權裝置
CN103823830A (zh) 用于销毁敏感信息的方法和***
US20220108031A1 (en) Cloud Core Architecture for Managing Data Privacy
US10162876B1 (en) Embeddable cloud analytics
CN114422197A (zh) 一种基于策略管理的权限访问控制方法及***
Barati et al. Privacy‐aware cloud ecosystems: Architecture and performance
US8990884B2 (en) Quantifying risk based on relationships and applying protections based on business rules
US9998498B2 (en) Cognitive authentication with employee onboarding
US11436349B2 (en) Method and system for implementing a cloud machine learning environment
CN112685778A (zh) 一种数据存储方法及装置
TWI818702B (zh) 條件式資料存取
US20230153457A1 (en) Privacy data management in distributed computing systems
US20230222240A1 (en) Governed database connectivity (gdbc) through and around data catalog to registered data sources
Kanak et al. BIMy Project: D2. 3 User/Authorization Model
CN114282195A (zh) 应用权限管理方法、装置、计算机设备、存储介质
CN118133254A (zh) 资源访问控制方法、装置、电子设备、存储介质及产品
Gele Study on the Security of the Databases in Cloud Computing Environment
Babu A Load Balancing Algorithm For Private Cloud Storage