鉴权方法、装置、电子设备及存储介质制造方法及图纸

本公开实施例关于一种鉴权方法、装置、电子设备及存储介质。该方法包括：接收目标鉴权请求，其请求参数包括用户标识、目标组标识和资源标识，目标组标识包括资源组标识和用户组标识中的至少一个；查询请求参数之间是否存在关联关系；关联关系的类型包括至少两个标识之间的正向关联，用户标识与资源标识之间的负向关联，及用户标识、目标组标识与资源标识之间的负向关联；基于鉴权判定规则，根据查询结果确定鉴权结果，目标鉴权请求用于请求鉴别目标用户是否全局具备目标资源权限，或者是否在目标资源组中或在目标用户组中局部具备目标资源权限。该方法提高了权限管理的灵活度和精细化度，降低了权限管理的维护成本。

【技术实现步骤摘要】
鉴权方法、装置、电子设备及存储介质
本公开实施例涉及计算机
，尤其涉及一种鉴权方法、装置、电子设备及存储介质。
技术介绍
权限管理，一般是指根据系统设置的安全规则或者安全策略，控制用户可以访问而且只能访问自己被授权的资源。相关技术中，一般通过RBAC(Role-BasedAccessControl，基于角色的访问控制)模型来实现权限管理。在RBAC模型中，将权限与角色相关联，用户通过成为相关角色的成员而获得对应角色的权限。相应的，在鉴权时，通过识别用户的角色来判断其是否具有相关资源的权限。但是，角色颗粒度过于粗糙，无法实现灵活且精细化地赋权。而且，随着系统用户大幅增加，服务、功能、数据等资源数量大幅增多，权限管理的颗粒度越来越细，在RBAC模型中只能通过大量增加角色来适应此变化，极端情况下需要对每个用户、每个资源权限以及各自的组合建立对应的角色，角色过多必然导致维护成本过高。
技术实现思路
本公开实施例提供一种鉴权方法、装置、电子设备及存储介质，以解决相关技术中权限管理维护成本过高的问题，提高权限管理的灵活度和精细化度。本公开的技术方案如下：根据本公开实施例的第一方面，提供一种鉴权方法，包括：接收目标鉴权请求，所述目标鉴权请求中的请求参数包括用户标识、目标组标识和资源标识，所述目标组标识包括资源组标识和用户组标识中的至少一个；查询所述请求参数之间是否存在关联关系；所述关联关系的类型包括用户标识、目标组标识与资源标识中至少两个之间的正向关联，用户标识与资源标识之间的负向关联，以及用户标识、目标组标识与资源标识之间的负向关联；其中，所述正向关联用于指示目标用户或目标用户组具备资源权限，或者目标用户或目标用户组关联目标资源组，或者目标用户与目标用户组存在归属关系，或者目标资源与目标资源组存在归属关系；所述负向关联用于指示目标用户全局不具备目标资源权限，或者目标用户在目标用户组中或在目标资源组中局部不具备目标资源权限；所述目标用户为与用户标识对应的用户，所述目标用户组为与用户组标识对应的用户组，所述目标资源组为与资源组标识对应的资源组，所述目标资源为与资源标识对应的资源；基于预设的鉴权判定规则，根据查询结果确定与所述目标鉴权请求对应的鉴权结果，其中，所述目标鉴权请求用于请求鉴别目标用户是否全局具备目标资源权限，或者用于请求鉴别目标用户是否在目标资源组中或在目标用户组中局部具备目标资源权限。根据本公开实施例的第二方面，提供一种鉴权装置，包括：接收单元，被配置为接收目标鉴权请求，所述目标鉴权请求中的请求参数包括用户标识、目标组标识和资源标识，所述目标组标识包括资源组标识和用户组标识中的至少一个；查询单元，被配置为查询所述请求参数之间是否存在关联关系；所述关联关系的类型包括用户标识、目标组标识与资源标识中至少两个之间的正向关联，用户标识与资源标识之间的负向关联，以及用户标识、目标组标识与资源标识之间的负向关联；其中，所述正向关联用于指示目标用户或目标用户组具备资源权限，或者目标用户或目标用户组关联目标资源组，或者目标用户与目标用户组存在归属关系，或者目标资源与目标资源组存在归属关系；所述负向关联用于指示目标用户全局不具备目标资源权限，或者目标用户在目标用户组中或在目标资源组中局部不具备目标资源权限；所述目标用户为与用户标识对应的用户，所述目标用户组为与用户组标识对应的用户组，所述目标资源组为与资源组标识对应的资源组，所述目标资源为与资源标识对应的资源；鉴权单元，被配置为基于预设的鉴权判定规则，根据查询结果确定与所述目标鉴权请求对应的鉴权结果，其中，所述目标鉴权请求用于请求鉴别目标用户是否全局具备目标资源权限，或者用于请求鉴别目标用户是否在目标资源组中或在目标用户组中局部具备目标资源权限。根据本公开实施例的第三方面，提供一种电子设备，包括：处理器；用于存储所述处理器可执行指令的存储器；其中，所述处理器被配置为执行所述指令，以实现如本公开任意实施例所述的鉴权方法。根据本公开实施例的第四方面，提供一种存储介质，所述存储介质中的指令由服务器的处理器执行时，使得服务器能够执行如公开任意实施例所述的鉴权方法。根据本公开实施例的第五方面，提供一种计算机应用程序产品，用于与电子设备结合使用，所述计算机应用程序产品包括计算机可读存储介质和内嵌于其中的计算机程序机制，经由计算机载入该程序并执行后能够实现如公开任意实施例所述的鉴权方法。本公开的实施例提供的技术方案至少带来以下有益效果：提高了权限管理的灵活度和精细化度，降低了权限管理的维护成本，同时也提高了权限管理的可扩展性，使其能够适用于绝大多数的鉴权场景。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理，并不构成对本公开的不当限定。图1是根据一示例性实施例示出的一种用于鉴权或赋权的基础模型示意图。图2是根据一示例性实施例示出的一种资源组划分示例图。图3是根据一示例性实施例示出的一种鉴权方法的流程图。图4是根据一示例性实施例示出的一种鉴权方法的流程图。图5是根据一示例性实施例示出的一种鉴权系统缓存的更新流程图。图6是根据一示例性实施例示出的一种鉴权装置的框图。图7是根据一示例性实施例示出的一种电子设备的结构示意图。图8是根据一示例性实施例示出的一种鉴权系统的结构示意图。具体实施方式为了使本领域普通人员更好地理解本公开的技术方案，下面将结合附图，对本公开实施例中的技术方案进行清楚、完整地描述。需要说明的是，本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。本公开实施例提供了一种用于鉴权或赋权的基础模型，该基础模型中包括几种元素，分别为用户User(可以简称为U)、目标组以及资源Resource(可以简称为R)，该基础模型中的任意多种元素之间均可以建立关联关系。在一种实施方式中，目标组可以是用户组Organization(可以简称为O)，也可以是资源组Package(可以简称为P)，还可以是用户组O和资源组P。在一种实施方式中，资源R可以是数据资源，也可以是权限资源，本公开实施对此不做具体限定。在一种实施方式中，用户组可以根据人员组织架构划分，资源组可以根据实际业务来划分，例如是根据业务场景、业务类型、业务范围来划分等。以基础模型中包括本文档来自技高网...

【技术保护点】
1.一种鉴权方法，其特征在于，包括：/n接收目标鉴权请求，所述目标鉴权请求中的请求参数包括用户标识、目标组标识和资源标识，所述目标组标识包括资源组标识和用户组标识中的至少一个；/n查询所述请求参数之间是否存在关联关系；所述关联关系的类型包括用户标识、目标组标识与资源标识中至少两个之间的正向关联，用户标识与资源标识之间的负向关联，以及用户标识、目标组标识与资源标识之间的负向关联；/n其中，所述正向关联用于指示目标用户或目标用户组具备资源权限，或者目标用户或目标用户组关联目标资源组，或者目标用户与目标用户组存在归属关系，或者目标资源与目标资源组存在归属关系；所述负向关联用于指示目标用户全局不具备目标资源权限，或者目标用户在目标用户组中或在目标资源组中局部不具备目标资源权限；所述目标用户为与用户标识对应的用户，所述目标用户组为与用户组标识对应的用户组，所述目标资源组为与资源组标识对应的资源组，所述目标资源为与资源标识对应的资源；/n基于预设的鉴权判定规则，根据查询结果确定与所述目标鉴权请求对应的鉴权结果，其中，所述目标鉴权请求用于请求鉴别目标用户是否全局具备目标资源权限，或者用于请求鉴别目标用户是否在目标资源组中或在目标用户组中局部具备目标资源权限。/n...

【技术特征摘要】
1.一种鉴权方法，其特征在于，包括：
接收目标鉴权请求，所述目标鉴权请求中的请求参数包括用户标识、目标组标识和资源标识，所述目标组标识包括资源组标识和用户组标识中的至少一个；
查询所述请求参数之间是否存在关联关系；所述关联关系的类型包括用户标识、目标组标识与资源标识中至少两个之间的正向关联，用户标识与资源标识之间的负向关联，以及用户标识、目标组标识与资源标识之间的负向关联；
其中，所述正向关联用于指示目标用户或目标用户组具备资源权限，或者目标用户或目标用户组关联目标资源组，或者目标用户与目标用户组存在归属关系，或者目标资源与目标资源组存在归属关系；所述负向关联用于指示目标用户全局不具备目标资源权限，或者目标用户在目标用户组中或在目标资源组中局部不具备目标资源权限；所述目标用户为与用户标识对应的用户，所述目标用户组为与用户组标识对应的用户组，所述目标资源组为与资源组标识对应的资源组，所述目标资源为与资源标识对应的资源；
基于预设的鉴权判定规则，根据查询结果确定与所述目标鉴权请求对应的鉴权结果，其中，所述目标鉴权请求用于请求鉴别目标用户是否全局具备目标资源权限，或者用于请求鉴别目标用户是否在目标资源组中或在目标用户组中局部具备目标资源权限。


2.根据权利要求1所述的方法，其特征在于，
当目标组包括目标子组时，所述用户标识和所述资源标识中的至少一个与所述目标子组标识之间是否存在关联关系，同所述用户标识和所述资源标识中的至少一个与所述目标组标识之间是否存在关联关系相互独立。


3.根据权利要求1所述的方法，其特征在于，所述基于预设的鉴权判定规则，根据查询结果确定与所述目标鉴权请求对应的鉴权结果步骤包括：
如果查询到所述用户标识与所述资源标识之间的负向关联，则确定与所述目标鉴权请求对应的鉴权结果为无权限；
或者，如果查询到所述用户标识与所述资源组标识之间的正向关联，以及所述用户标识、所述资源组标识与所述资源标识之间的负向关联，则确定与所述目标鉴权请求对应的鉴权结果为无权限；
或者，如果查询到所述用户标识与所述用户组标识之间的正向关联，以及所述用户标识、所述用户组标识与所述资源标识之间的负向关联，则确定与所述目标鉴权请求对应的鉴权结果为无权限；
或者，如果查询到所述用户标识与所述资源标识之间的正向关联、所述资源组标识与所述资源标识之间的正向关联，以及所述用户标识、所述资源组标识与所述资源标识之间的负向关联，则确定与所述目标鉴权请求对应的鉴权结果为无权限；
或者，如果查询到所述用户标识与所述用户组标识之间的正向关联、所述用户组标识与所述资源标识之间的正向关联，以及所述用户标识、所述用户组标识与所述资源标识之间的负向关联，则确定与所述目标鉴权请求对应的鉴权结果为无权限。


4.根据权利要求1所述的方法，其特征在于，所述基于预设的鉴权判定规则，根据查询结果确定与所述目标鉴权请求对应的鉴权结果步骤包括：
如果查询到所述用户标识与所述资源标识之间的正向关联，未查询所述用户标识与所述资源组标识之间的正向关联、所述用户标识与所述用户组标识之间的正向关联，以及未查询到任何负向关联，...

【专利技术属性】
技术研发人员：屈河清，卢俊华，
申请(专利权)人：北京达佳互联信息技术有限公司，
类型：发明
国别省市：北京;11