本申请的一些实施例提供了一种数据访问的方法、装置、存储介质及电子设备,该方法包括:接收客户端发送的业务请求,其中,所述业务请求携带有会话令牌、用户虚拟标识号和业务数据请求,其中,所述用户虚拟标识号是基于用户真实标识号随机生成的;通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过的情况下,获取与所述业务数据请求对应的原始业务数据;对所述原始业务数据进行处理得到目标业务数据,并向所述客户端发送所述目标业务数据。本申请的一些实施例可以防止数据越权访问,安全性较高。安全性较高。安全性较高。
【技术实现步骤摘要】
一种数据访问的方法、装置、存储介质及电子设备
[0001]本申请涉及数据访问
,具体而言,涉及一种数据访问的方法、装置、存储介质及电子设备。
技术介绍
[0002]越权访问(Broken Access Control,简称BAC)是Web应用程序中的一种常见的漏洞,由于其存在范围广、危害大,被列为Web应用中的十大安全隐患之一。
[0003]目前,为了防止数据越权访问的发生,Web层接收到用户的操作请求后,在执行操作请求对应的操作前,需要对请求的合法性进行校验。防御水平越权访问的方法是从令牌中获取用户信息,在执行数据操作前先验证用户是否具备操作数据的权限。防御垂直越权访问的方法是菜单通过数据库中对应角色和权限加载而成,每个页面加载前需进行用户的权限验证。但是,随着业务系统越来越复杂,对Web应用程序的操作请求的数量也越来越多,数据量越来越庞大,对操作请求进行逐一校验的方式效率较低且过程繁琐。
[0004]因此,如何提供一种高效且安全性较高的数据访问的方法的技术方案成为亟需解决的技术问题。
技术实现思路
[0005]本申请的一些实施例的目的在于提供一种数据访问的方法、装置、存储介质及电子设备,通过本申请的实施例的技术方案可以提升数据访问的安全性和效率,同时有效防止数据越权访问漏洞的出现。
[0006]第一方面,本申请的一些实施例提供了一种数据访问的方法,包括:接收客户端发送的业务请求,其中,所述业务请求携带有会话令牌、用户虚拟标识号和业务数据请求,其中,所述用户虚拟标识号是基于用户真实标识号随机生成的;通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过的情况下,获取与所述业务数据请求对应的原始业务数据;对所述原始业务数据进行处理得到目标业务数据,并向所述客户端发送所述目标业务数据。
[0007]本申请的一些实施例通过采用会话令牌和用户虚拟标识号的方式向客户端发送业务请求,并且在确认客户端的用户身份后,获取原始业务数据。在将原始业务数据处理后得到目标业务数据发送给客户端。该实施例可以在不暴露客户端的真实用户标识号和用户信息的情况下对业务数据进行访问,并且通过对原始业务数据的替换处理可以确保数据的安全性传输,防止重要数据信息暴露,在提升数据访问的安全性和效率的同时还可以有效防止数据越权访问漏洞的出现。
[0008]在一些实施例,所述通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过,包括:利用解密密钥对所述会话令牌进行解密,解密成功后获取所述会话令牌中的第一用户信息;查找与所述用户虚拟标识号对应的第二用户信息;若确认所述第一用户信息和所述第二用户信息一致,则所述用户身份的验证结果为通过。
[0009]本申请的一些实施例通过对会话令牌进行解密得到第一用户信息,通过用户虚拟标识号查找得到第二用户信息,在两者一致的情况下可以确认用户身份的验证结果为通过,可以实现对用户身份的准确校验,提升数据访问的安全性。
[0010]在一些实施例,所述方法还包括:若确认所述第一用户信息和所述第二用户信息不一致,则所述用户身份的验证结果为不通过;向所述客户端发送所述验证结果。
[0011]本申请的一些实施例通过在第一用户信息和第二用户信息不一致时,确定用户身份有误并告知客户端,可以确保数据访问的安全性。
[0012]在一些实施例,所述对所述原始业务数据进行处理得到目标业务数据,包括:获取所述原始业务数据中的业务标识号;随机生成并存储与所述业务标识号对应的所述业务虚拟标识号;将所述业务标识号替换为所述业务虚拟标识号,得到所述目标业务数据。
[0013]本申请的一些实施例通过将原始业务数据中的真实的业务标识号替换为随机生成的业务虚拟标识号,得到目标业务数据,可以实现对真实数据的替换隐藏式传输,安全性较高,有效防止数据越权访问的发生。
[0014]在一些实施例,在所述接收客户端发送的业务请求之前,所述方法还包括:接收所述客户端发送的登录认证操作,其中,所述登录认证操作携带有用户身份信息,所述用户身份信息包括登录名和密码;确认对所述用户身份信息的验证结果为通过时,利用加密密钥对所述用户身份信息进行加密,得到所述会话令牌;随机生成并存储与所述用户真实标识号对应的用户虚拟标识号;向所述客户端发送所述会话令牌和所述用户虚拟标识号。
[0015]本申请的一些实施例通过对客户端的登录认证操作验证通过后,对用户身份信息进行加密和替换得到会话令牌和用户虚拟标识号,并发送给客户端,可以实现对用户身份信息的隐藏式传输,安全性较高。
[0016]第二方面,本申请的一些实施例提供了一种数据访问的装置,包括:接收模块,被配置为接收客户端发送的业务请求,其中,所述业务请求携带有会话令牌、用户虚拟标识号和业务数据请求,其中,所述用户虚拟标识号是基于用户真实标识号随机生成的;确认模块,被配置为通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过的情况下,获取与所述业务数据请求对应的原始业务数据;发送模块,被配置为对所述原始业务数据进行处理得到目标业务数据,并向所述客户端发送所述目标业务数据。
[0017]在一些实施例,所述确认模块,被配置为:利用解密密钥对所述会话令牌进行解密,解密成功后获取所述会话令牌中的第一用户信息;查找与所述用户虚拟标识号对应的第二用户信息;若确认所述第一用户信息和所述第二用户信息一致,则所述用户身份的验证结果为通过。
[0018]在一些实施例,所述确认模块,被配置为:若确认所述第一用户信息和所述第二用户信息不一致,则所述用户身份的验证结果为不通过;向所述客户端发送所述验证结果。
[0019]在一些实施例,所述发送模块,被配置为:获取所述原始业务数据中的业务标识号;随机生成并存储与所述业务标识号对应的所述业务虚拟标识号;将所述业务标识号替换为所述业务虚拟标识号,得到所述目标业务数据。
[0020]在一些实施例,所述装置还包括:认证模块,被配置为:接收所述客户端发送的登录认证操作,其中,所述登录认证操作携带有用户身份信息,所述用户身份信息包括登录名
和密码;确认对所述用户身份信息的验证结果为通过时,利用加密密钥对所述用户身份信息进行加密,得到所述会话令牌;随机生成并存储与所述用户真实标识号对应的用户虚拟标识号;向所述客户端发送所述会话令牌和所述用户虚拟标识号。
[0021]第三方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如第一方面任一实施例所述的方法。
[0022]第四方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如第一方面任一实施例所述的方法。
[0023]第五方面,本申请的一些实施例提供一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据访问的方法,其特征在于,包括:接收客户端发送的业务请求,其中,所述业务请求携带有会话令牌、用户虚拟标识号和业务数据请求,其中,所述用户虚拟标识号是基于用户真实标识号随机生成的;通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过的情况下,获取与所述业务数据请求对应的原始业务数据;对所述原始业务数据进行处理得到目标业务数据,并向所述客户端发送所述目标业务数据。2.如权利要求1所述的方法,其特征在于,所述通过所述会话令牌和所述用户虚拟标识号,确认所述客户端的用户身份的验证结果为通过,包括:利用解密密钥对所述会话令牌进行解密,解密成功后获取所述会话令牌中的第一用户信息;查找与所述用户虚拟标识号对应的第二用户信息;若确认所述第一用户信息和所述第二用户信息一致,则所述用户身份的验证结果为通过。3.如权利要求2所述的方法,其特征在于,所述方法还包括:若确认所述第一用户信息和所述第二用户信息不一致,则所述用户身份的验证结果为不通过;向所述客户端发送所述验证结果。4.如权利要求1或2所述的方法,其特征在于,所述对所述原始业务数据进行处理得到目标业务数据,包括:获取所述原始业务数据中的业务标识号;随机生成并存储与所述业务标识号对应的所述业务虚拟标识号;将所述业务标识号替换为所述业务虚拟标识号,得到所述目标业务数据。5.如权利要求1或2所述的方法,其特征在于,在所述接收客户端发送的业务请求之前,所述方法还包括:接收所述客户端发送的登录认证操作,其中,所述登录认证操作携带有用户身份信息,所述用户身份信息包括登录名和密码;确认对所述用户身份信息的验证结果为通过时,利用加密密钥对所述用户身份信息进行加密,得到所述会话令牌;随机生成并存储与所述用户真实标识号对应的用户虚拟标识号;向所述客户端发送所述会话令牌和所述用户虚拟标识号。6.一种数据访问的装置,其特征在于,包括:接收模块,被配置为接收客户端发送的业务请求,其中,所述业务请求携带有会话令牌、用户虚拟标识号和业务数据请求,其中,所述用户虚拟标识号是基于用户真实标识号随机...
【专利技术属性】
技术研发人员:马会交,郭立春,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。