【技术实现步骤摘要】
一种访问权限管理方法及终端
[0001]本专利技术涉及数据安全领域,尤其涉及一种访问权限管理方法及终端。
技术介绍
[0002]垂直越权是一种因URL的访问控制设计缺陷引起的漏洞,又叫做权限提升攻击。由于后台应用没有做具体的权限控制,或仅仅在菜单或者按钮上做了权限控制,而没有在应用的具体访问上做权限控制;导致恶意用户只要能够猜测到其他接口的地址或者一些敏感的参数信息,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的。现有的解决方案大部分是通过在各应用系统上设计用户、角色、后端接口地址的关系,再通过配置拦截器过滤该角色允许操作的按钮对应的后端接口地址。
[0003]这样虽然能够解决后端应用垂直越权问题,但是由于公司每套应用系统都需要进行防越权攻击的设置,那么需要在每套应用系统的后端的应用接口都配置拦截器过滤允许访问的地址,导致代码重复,使其可重复性、可用性差;同时,现有技术中通常是控制角色对应的页面菜单或可操作按钮的URL来控制访问权限,但是实际使用中菜单或操作按钮对应的后端接口URL不止一个,会导致未配置...
【技术保护点】
【技术特征摘要】
1.一种访问权限管理方法,其特征在于,包括步骤:配置原子项,所述原子项包括权限控制的最小颗粒度操作对象;获取后端的访问接口地址,将所述访问接口地址与所述操作对象关联,得到原子项表,一个所述操作对象可以对应多个访问接口地址;关联用户标识及所述操作对象,得到用户权限表。2.根据权利要求1所述的一种访问权限管理方法,其特征在于,还包括:配置组件,所述组件包括拦截器以及权限过滤业务;配置所述访问接口地址与应用服务的关联关系;将所述组件添加到需进行权限管理的所述应用服务对应的所述访问接口的依赖中。3.根据权利要求1或2所述的一种访问权限管理方法,其特征在于,所述关联用户标识及所述操作对象之后包括:接收访问请求,所述访问请求包括用户标识及目标访问接口地址;根据所述目标访问接口地址匹配关联的目标操作对象;判断所述目标操作对象是否在所述用户标识对应的用户权限表中,若是,则判断所述目标访问接口地址是否与所述操作对象关联,若是,则根据所述访问请求访问所述目标访问接口地址;若所述目标操作对象不在所述用户标识对应的用户权限表中,或所述目标访问接口地址不与所述操作对象关联,则拒绝所述访问请求。4.根据权利要求1所述的一种访问权限管理方法,其特征在于,所述关联用户标识及所述操作对象,得到用户权限表包括:设置角色,每一角色通过角色标识唯一标识;关联角色标识及所述操作对象,得到角色权限表;接收配置信息,所述配置信息包括与用户标识对应的角色标识;存储所述用户标识与所述角色标识的对应关系。5.根据权利要求1所述的一种访问权限管理方法,其特征在于,所述配置原子项还包括:根据查询、新增、删除、编辑将操作对象分类存储。6.一种访问权限管理终端,包括存储器、处理器及存储在所述存储器上并在...
【专利技术属性】
技术研发人员:陈锦强,
申请(专利权)人:福建慧政通信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。