一种鉴权方法及装置制造方法及图纸

本发明专利技术实施例提供一种鉴权方法及装置，其中方法包括如下步骤：接收用户的携带目标用户标识、目标访问资源和对目标访问资源的目标操作方式的目标资源访问请求；在缓存表中查找是否存在目标资源访问请求的鉴权结果；当缓存表中存在目标资源访问请求的鉴权结果时，采用第一策略表对目标资源访问请求进行鉴权，并将目标资源访问请求的鉴权结果进行输出；其中，第一策略表为包含用户标识、可访问资源、对可访问资源的可操作方式的关系表，第一策略表是以用户标识进行分类的。采用本申请，通过从一个按照用户标识分类的策略表中查找到与资源访问请求的相关数据，节省了相关数据的查找时间，进而提高了对资源访问请求的鉴权效率。

Authentication method and device

The embodiment of the invention provides an authentication method and device, wherein the method comprises the following steps: receiving user carrying target user identification, target access resources and access to resources to target target mode of operation of the target resource access request; the authentication result cache table to find whether there is a target resource access request; when authentication the target resource access request in the cache table, using the first strategy table access request for authenticating the target resource, and authentication target resource access request results output; the first strategy table contains the user identity, access to resources, the relationship of table operational mode can access resources. The first strategy form is based on user identification classification. With this application, through a search strategy according to user identification classification table and resource access request data, save the data searching time, and improve access to the resources requested authentication efficiency.

【技术实现步骤摘要】

本专利技术涉及信息安全
，尤其涉及一种鉴权方法及装置。
技术介绍
在云服务的鉴权体系中，用户可以通过云服务管理平台访问云资源，然而并非各个用户都具备访问云资源的资格，云服务管理平台需要对发送资源访问请求的用户进行鉴权，对于鉴权通过的用户才可以访问云资源。在鉴权过程中需要对用户所访问的资源和对所访问资源的操作方式都进行鉴定，而在现有的技术方案中，对于用户标识、用户组、用户标识对应的可访问资源、可操作方式等之间的关系是分别存储和管理的，例如，保存了用户标识和用户组的关系表、用户组和策略组的关系表，策略组和可访问资源的关系表、策略组和可操作方式的关系表等，这样能够直观的体现出两两数据之间的关系，但是在鉴权过程中，需要从各个关系表中进行一一匹配，例如要先查看用户所在的组，然后查找与用户组相关的策略，在从策略对应的可访问资源中查找是否包含用户请求的资源；还需要从策略对应的可操作方式中确认是否包含用户的操作。因此，现有技术方案需要从多个关系表中多次查找才可以确定鉴权结果，降低了对用户访问请求的鉴权效率。
技术实现思路
本专利技术实施例提供一种鉴权方法及装置，通过从一个按照用户标识分类的策略表中查找到与资源访问请求的相关数据，节省了相关数据的查找时间，进而提高了对资源访问请求的鉴权效率。本专利技术实施例第一方面提供了一种鉴权方法，包括：接收用户的目标资源访问请求，所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式；在缓存表中查找是否存在所述目标资源访问请求的鉴权结果，所述缓存表包含接收到所述目标资源访问请求之前的预设时间段内的多个资源访问请求的鉴权结果；当所述缓存表中不存在所述目标资源访问请求的鉴权结果时，采用第一策略表对所述目标资源访问请求进行鉴权，并输出所述目标资源访问请求的鉴权结果；其中，所述第一策略表为包含用户标识、可访问资源、对所述可访问资源的可操作方式的关系表，所述第一策略表是以用户标识进行分类的，每个用户标识对应至少一个可访问资源，以及每个可访问资源对应至少一个可操作方式。本专利技术实施例第二方面提供了一种鉴权装置，包括：请求接收单元，用于接收用户的目标资源访问请求，所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式；结果查找单元，用于在缓存表中查找是否存在所述目标资源访问请求的鉴权结果，所述缓存表包含接收到所述目标资源访问请求之前的预设时间段内的多个资源访问请求的鉴权结果；第一鉴权单元，用于当所述缓存表中不存在所述目标资源访问请求的鉴权结果时，采用第一策略表对所述目标资源访问请求进行鉴权，并输出所述目标资源访问请求的鉴权结果；其中，所述第一策略表为包含用户标识、可访问资源、对所述可访问资源的可操作方式的关系表，所述第一策略表是以用户标识进行分类的，每个用户标识对应至少一个可访问资源，以及每个可访问资源对应至少一个可操作方式。在本专利技术实施例中，当接收到用户的携带目标用户标识、目标访问资源和对目标访问资源的目标操作方式的目标资源访问请求时，在缓存表中查找是否存在目标资源访问请求的鉴权结果，当缓存表中不存在目标资源访问请求的鉴权结果时，采用第一策略表对目标资源访问请求进行鉴权，并将目标资源访问请求的鉴权结果进行输出。由于第一策略表是以用户标识分类的且为包含用户标识、可访问资源、对可访问资源的可操作方式的关系表，这样能够在一个关系表中查找相关数据，节省了查找目标资源访问请求的相关数据的时间，进而提高了对资源访问请求的鉴权效率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种鉴权方法的流程示意图；图2是本专利技术实施例提供的另一种鉴权方法的流程示意图；图3是本专利技术实施例提供的一种步骤205的流程示意图；图4是本专利技术实施例提供的一种鉴权装置的结构示意图；图5是本专利技术实施例提供的另一种鉴权装置的结构示意图；图6是本专利技术实施例提供的一种第一鉴权单元的结构示意图；图7是本专利技术实施例提供的一种策略表更新单元的结构示意图；图8是本专利技术实施例提供的另一种鉴权装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。需要说明的是，在本专利技术实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本专利技术。在本专利技术实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。另外，本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本专利技术实施例提供的鉴权方法可以应用于访问云服务资源的场景中，例如，接收用户的目标云资源访问请求，所述目标云资源访问请求携带目标用户标识、目标访问云资源和对所述目标访问云资源的目标操作方式；在缓存表中查找是否存在所述目标云资源访问请求的鉴权结果，所述缓存表包含接收到所述目标云资源访问请求之前的预设时间段内的多个云资源访问请求的鉴权结果；当所述缓存表中不存在所述目标云资源访问请求的鉴权结果时，采用第一策略表对所述目标云资源访问请求进行鉴权，并将所述目标云资源访问请求的鉴权结果进行输出；其中，所述第一策略表为包含用户标识、可访问云资源、对所述可访问云资源的可操作方式的关系表，由于第一策略表是以用户标识分类的且为包含用户标识、可访问云资源、对可访问云资源的可操作方式的关系表，这样能够在一个关系表中查找相关数据，节省了查找目标云资源访问请求的相关数据的时间，进而提高了对云资源访问请求的鉴权效率。本专利技术实施例涉及的鉴权装置可以是对资源访问请求进行鉴权等的后台设备，所述鉴权装置可以为单独设立的一台物理机，本专利技术实施例对此不做限定。请参见图1，为本专利技术实施例提供了一种鉴权方法的流程示意图。如图1所示，本专利技术实施例的所述方法是由鉴权装置执行的，可以包括以下步骤101-步骤103。101，接收用户的目标资源访问请求。具体的，鉴权装置接收用户的目标资源访问请求。其中，所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式。举例来说，用户可以通过登陆资源管理平台发起目标资源访问请求。其中，用户标识是用于标记对目标访问资源执行目标操作方式的用户的。例如，所述目标访问资源可以为所述本文档来自技高网...

【技术保护点】
一种鉴权方法，其特征在于，包括：接收用户的目标资源访问请求，所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式；在缓存表中查找是否存在所述目标资源访问请求的鉴权结果，所述缓存表包含接收到所述目标资源访问请求之前的预设时间段内的多个资源访问请求的鉴权结果；当所述缓存表中不存在所述目标资源访问请求的鉴权结果时，采用第一策略表对所述目标资源访问请求进行鉴权，并输出所述目标资源访问请求的鉴权结果；其中，所述第一策略表为包含用户标识、可访问资源、对所述可访问资源的可操作方式的关系表，所述第一策略表是以用户标识进行分类的，每个用户标识对应至少一个可访问资源，以及每个可访问资源对应至少一个可操作方式。

【技术特征摘要】
1.一种鉴权方法，其特征在于，包括：接收用户的目标资源访问请求，所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式；在缓存表中查找是否存在所述目标资源访问请求的鉴权结果，所述缓存表包含接收到所述目标资源访问请求之前的预设时间段内的多个资源访问请求的鉴权结果；当所述缓存表中不存在所述目标资源访问请求的鉴权结果时，采用第一策略表对所述目标资源访问请求进行鉴权，并输出所述目标资源访问请求的鉴权结果；其中，所述第一策略表为包含用户标识、可访问资源、对所述可访问资源的可操作方式的关系表，所述第一策略表是以用户标识进行分类的，每个用户标识对应至少一个可访问资源，以及每个可访问资源对应至少一个可操作方式。2.根据权利要求1所述的方法，其特征在于，所述采用第一策略表对所述目标资源访问请求进行鉴权，并输出所述目标资源访问请求的鉴权结果之前，还包括：检测第二策略表的当前版本号是否高于所述第一策略表的当前版本号；若否，则执行采用所述第一策略表对所述目标资源访问请求进行鉴权，并输出所述目标资源访问请求的鉴权结果的步骤；其中，所述第二策略表包含用户标识和用户组的关系表、用户组和策略标识的关系表、策略标识和可访问资源的映射表以及策略标识和可操作方式的映射表。3.根据权利要求2所述的方法，其特征在于，还包括：若所述第二策略表的当前版本号高于所述第一策略表的当前版本号，则采用所述第二策略表对所述目标资源访问请求进行鉴权，并输出所述目标资源访问请求的鉴权结果。4.根据权利要求2或3所述的方法，其特征在于，还包括：若所述第二策略表的当前版本号高于所述第一策略表的当前版本号，则根据所述第二策略表，更新所述第一策略表。5.根据权利要求4所述的方法，其特征在于，所述根据所述第二策略表，更新所述第一策略表，包括：根据所述第一策略表的当前版本号，与所述第二策略表的历史版本信息进行对比，确定所述第一策略表的未更新数据；按照所述未更新数据，对所述第一策略表进行更新，并将所述第一策略表的当前版本号变更为所述第二策略表的当前版本号。6.根据权利要求1-5任一项所述的方法，其特征在于，所述采用第一策略表对所述目标资源访问请求进行鉴权，并输出所述目标资源访问请求的鉴权结果，包括：从所述第一策略表中查找与所述用户标识对应的可访问资源和对所述可访问资源的可操作方式；判断所述可访问资源中是否存在所述目标访问资源；若所述可访问资源中存在所述目标访问资源，则判断对所述目标访问资源的可操作方式中是否存在所述目标操作方式；若对所述目标访问资源的可操作方式中存在所述目标操作方式，则确定所述资源访问请求的鉴权结果为鉴权通过，并输出所述目标资源访问请求的鉴权结果。7.一种鉴权装置，其特征在于，包括：请求接收单元，用于接收用户的目标资源访问请求，所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式；结果查找单元，用于在缓存...

【专利技术属性】
技术研发人员：袁哲，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东;44