本申请提供一种访问控制方法、装置、电子设备及计算机可读存储介质,方法包括:在获取到访问请求时,获取所述访问请求对应的用户权限以及所述访问请求所请求的访问路径;获取所述用户权限对应的允许访问路径集合;所述允许访问路径集合表征所述用户权限所允许访问的所有访问路径;判断所述访问请求所请求的访问路径是否存在于所述允许访问路径集合中;若是,允许所述访问请求通过;若否,拒绝所述访问请求。本申请的方案只需预先为各用户权限配置好对应的允许访问路径集合即可,无需在针对每一服务单独配置复杂的调用查询用户权限的方法,也不再需要将用户权限设置到方法的参数中,实现更为简单,维护难度更低。维护难度更低。维护难度更低。
【技术实现步骤摘要】
访问控制方法、装置、电子设备及计算机可读存储介质
[0001]本申请涉及访问控制
,具体而言,涉及一种访问控制方法、装置、电子设备及计算机可读存储介质。
技术介绍
[0002]在计算机系统中,数据安全是系统可靠性的重要标准之一。目前随着计算机技术的不断发展,计算机系统中所提供的服务也越来越多样化,从而对于数据安全的挑战也越来越高。目前,出于数据安全性考虑,在许多系统中都会采用权限控制的方式,来为不同的用户分配不同的数据访问权限,从而使得不同的用户可访问不同的数据范围。
[0003]传统的权限管理方式是,为每系统中的一个服务单独配置一个调用查询用户权限的方法,并需要将用户权限设置到方法的参数中,实现方式复杂,且不易维护。
技术实现思路
[0004]本申请实施例的目的在于提供一种访问控制方法、装置、电子设备及计算机可读存储介质,用以解决相关技术存在着的实现方式复杂,且不易维护的问题。
[0005]本申请实施例提供了一种访问控制方法,包括:在获取到访问请求时,获取所述访问请求对应的用户权限以及所述访问请求所请求的访问路径;获取所述用户权限对应的允许访问路径集合;所述允许访问路径集合表征所述用户权限所允许访问的所有访问路径;判断所述访问请求所请求的访问路径是否存在于所述允许访问路径集合中;若是,允许所述访问请求通过;若否,拒绝所述访问请求。
[0006]在上述实现方式中,通过为各用户权限预先配置对应的允许访问路径集合,从而在获取到访问请求时,可以将该访问请求所请求的访问路径与该访问请求对应的用户权限的允许访问路径集合进行比较,快速确定出该访问请求是否允许通过。本申请的实现方式只需预先为各用户权限配置好对应的允许访问路径集合即可,无需在针对每一服务单独配置复杂的调用查询用户权限的方法,也不再需要将用户权限设置到方法的参数中,实现更为简单,且后续进行维护时,只需维护好各用户权限对应的允许访问路径集合即可,维护难度更低。
[0007]进一步地,获取所述访问请求的过程包括:监测是否存在访问请求进入网关服务;在监测到存在访问请求进入所述网关服务时,拦截所述访问请求。
[0008]在上述实现方式中,通过在网关服务处进行访问请求的监听,这就可以在访问请求进入系统的各服务之前,有效拦截到访问请求进而进行访问请求的权限判断(所谓权限判断是指判断访问请求是否允许通过),从而在网关服务处就统一对所有访问请求进行权限判断,避免不符合权限要求的访问请求进入到后续的系统服务中。同时,由于在网关服务处就统一对所有访问请求进行权限判断,也即各用户权限对应的允许访问路径集合会与网关服务相关联,从而通过对网关服务进行管理时,即可很容易地实现对于各用户权限对应的允许访问路径集合的维护,利于进行维护操作。
[0009]进一步地,获取所述访问请求对应的用户权限,包括:解析所述访问请求,以得到所述访问请求中的用户唯一标识;根据所述用户唯一标识确定所述用户权限。
[0010]在上述实现方式中,通过解析得到访问请求中的用户唯一标识,从而基于用户唯一标识即可快速定位出用户权限,实现方式简单可靠。
[0011]进一步地,根据所述用户唯一标识确定所述用户权限,包括:解析所述用户唯一标识,以得到所述用户唯一标识中的用户角色唯一标识;所述用户角色唯一标识表征所述用户权限。
[0012]在上述实现方式中,通过将用户角色唯一标识作为用户唯一标识的一部分携带于访问请求中,且通过使用用户角色唯一标识来表征用户权限,这就使得通过解析访问请求即可直接得到用户权限,从而无需再在系统中配置用户唯一标识与用户权限之间的对应关系表,无需再进行用户唯一标识与用户权限之间的查表操作,可以提高系统的执行效率。
[0013]进一步地,所述允许访问路径集合中包含有所述用户权限所允许访问的所有访问路径的哈希值;所述判断所述访问请求所请求的访问路径是否存在于所述允许访问路径集合中,包括:计算所述访问请求所请求的访问路径的哈希值;判断所述访问请求所请求的访问路径的哈希值是否存在于所述允许访问路径集合中。
[0014]在上述实现方式中,通过计算用户权限所允许访问的所有访问路径的哈希值,以该哈希值构成用户权限对应的允许访问路径集合,这样,由于哈希值的大小远小于访问路径本身的大小,因此可以有效降低允许访问路径集合的大小,可以节约系统的存储资源。此外,由于哈希计算具有确定性(即相同的内容通过哈希计算得到的哈希值必然相同)以及不可逆性(基于哈希值不能逆运算得到原内容),因此通过哈希值构成用户权限对应的允许访问路径集合,可以在保证对于用户权限所允许访问的所有访问路径的有效记录的同时,避免在允许访问路径集合被窃取后导致真实的访问路径被泄露,从而可以在一定程度上提高数据的安全性。
[0015]进一步地,所述允许访问路径集合存储于内存中。
[0016]在上述实现方式中,通过将允许访问路径集合存储于内存中,这就使得在进行访问请求的权限判断时,可以直接从内存中调取该访问请求对应的用户权限的允许访问路径集合,从而利用内存读取速度快的特点,有效提高系统的执行效率。此外,本申请直接从内存中调取该访问请求对应的用户权限的允许访问路径集合,也就无需对数据库等相关数据存储区进行操作,从而也利于数据安全。
[0017]进一步地,所述方法还包括:在接收到权限修改指令时,根据所述权限修改指令中的目标用户权限,获取所述目标用户权限对应的目标允许访问路径集合;根据所述权限修改指令中的需修改访问路径,更新所述目标允许访问路径集合。
[0018]在上述实现方式中,在用户权限所允许访问的访问路径有变更时,只需要通过下发权限修改指令,修改该用户权限对应的允许访问路径集合(即目标允许访问路径集合)即可,实现简单,无需进行复杂的方法实现程序的修改以及参数的修改等操作。
[0019]本申请实施例还提供了一种访问控制装置,包括:获取模块,用于在获取到访问请求时,获取所述访问请求对应的用户权限以及所述访问请求所请求的访问路径;所述获取模块,还用于获取所述用户权限对应的允许访问路径集合;所述允许访问路径集合表征所述用户权限所允许访问的所有访问路径;判断模块,用于判断所述访问请求所请求的访问
路径是否存在于所述允许访问路径集合中;若是,允许所述访问请求通过;若否,拒绝所述访问请求。
[0020]本申请实施例还提供了一种电子设备,包括处理器和存储器;所述处理器用于执行存储器中存储的一个或者多个程序,以实现上述任一种的访问控制方法。
[0021]本申请实施例中还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任一种的访问控制方法。
附图说明
[0022]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种访问控制方法,其特征在于,包括:在获取到访问请求时,获取所述访问请求对应的用户权限以及所述访问请求所请求的访问路径;获取所述用户权限对应的允许访问路径集合;所述允许访问路径集合表征所述用户权限所允许访问的所有访问路径;判断所述访问请求所请求的访问路径是否存在于所述允许访问路径集合中;若是,允许所述访问请求通过;若否,拒绝所述访问请求。2.如权利要求1所述的访问控制方法,其特征在于,获取所述访问请求的过程包括:监测是否存在访问请求进入网关服务;在监测到存在访问请求进入所述网关服务时,拦截所述访问请求。3.如权利要求1所述的访问控制方法,其特征在于,获取所述访问请求对应的用户权限,包括:解析所述访问请求,以得到所述访问请求中的用户唯一标识;根据所述用户唯一标识确定所述用户权限。4.如权利要求3所述的访问控制方法,其特征在于,根据所述用户唯一标识确定所述用户权限,包括:解析所述用户唯一标识,以得到所述用户唯一标识中的用户角色唯一标识;所述用户角色唯一标识表征所述用户权限。5.如权利要求1
‑
4任一项所述的访问控制方法,其特征在于,所述允许访问路径集合中包含有所述用户权限所允许访问的所有访问路径的哈希值;所述判断所述访问请求所请求的访问路径是否存在于所述允许访问路径集合中,包括:计算所述访问请求所请求的访问路径的哈希值;判断所述访问请求所请求的访问路径的哈希值是否存在于所述允许访问...
【专利技术属性】
技术研发人员:谈政扬,李勇,万志宇,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。