【技术实现步骤摘要】
访问控制方法、装置、计算机设备及存储介质
[0001]本申请涉及分布式系统的身份鉴权
,尤其涉及一种访问控制方法、装置、计算机设备及存储介质。
技术介绍
[0002]大型的分布式系统中存在着复数多个服务或者微服务,为了完成复杂的业务功能,各服务之间频繁地进行交互与协作,主要通过访问网络API(API全称是Application Programming Interface,表示应用程序接口)的形式。
[0003]由于功能职责以及存储数据敏感性的差异,每个服务对来自外部的访问都有特定的控制策略,所以IAM(IAM全称是Identity and Access Management,表示身份与访问管理,其为计算机安全与数据管理领域中一种识别、认证和授权个人使用IT资源的安全机制)成为了分布式系统中必不可少的基础组件。当前主流的公有云平台都具备大同小异的IAM服务,但仅服务于平台自身提供的功能,不支持用户自定义权限,也无法控制用户部署的服务的API访问。
[0004]目前,大型的分布式系统中采用的是Casbin这...
【技术保护点】
【技术特征摘要】
1.一种访问控制方法,应用于访问控制系统中的访问控制引擎,其特征在于,所述方法包括:接收订阅关系构建指令,构建与所述访问控制系统中配置中心平台的数据订阅关系;接收新增业务服务启动指令,基于所述数据订阅关系,获取与所述新增业务服务启动指令对应的权限定义配置数据;若确定所述权限定义配置数据通过合法性验证,将所述权限定义配置数据存储至对应的存储空间;接收访问请求,基于所述权限定义配置数据确定与所述访问请求对应的访问策略匹配;若确定所述访问策略匹配结果为匹配成功结果,则基于所述匹配成功结果将所述访问请求发送至与所述新增业务服务启动指令对应的服务或微服务。2.根据权利要求1所述的方法,其特征在于,所述基于所述数据订阅关系,获取与所述新增业务服务启动指令对应的权限定义配置数据,包括:在感知确定所述配置中心平台存在新增的权限定义配置数据,且确定当前系统时间与所述权限定义配置数据的新增时间之间的时间间隔未超出预设更新时间阈值,则基于数据订阅关系获取所述权限定义配置数据。3.根据权利要求2所述的方法,其特征在于,所述权限定义配置数据为基于应用程序接口的权限定义配置数据;所述基于应用程序接口的权限定义配置数据中至少包括权限配置数据和角色配置数据;其中,所述权限配置数据用于被所述访问控制引擎加载解析后与所述访问请求的目标应用程序接口进行匹配,且所述权限配置数据包括服务属性数据、资源属性数据和动作属性数据。4.根据权利要求3所述的方法,其特征在于,所述若确定所述权限定义配置数据通过合法性验证,将所述权限定义配置数据存储至对应的存储空间,包括:若确定所述权限定义配置数据中权限配置数据和角色配置数据均为非空值,则判定所述权限定义配置数据通过合法性验证,将所述权限定义配置数据存储至对应的存储空间。5.根据权利要求1所述的方法,其特征在于,在所述接收新增业务服务启动指令,获取与所述新增业务服务启动指令对应的权限定义配置数据之后,在所述接收访问请求,基于所述权限定义配置数据确定与所述访问请求对应的访问策略匹配之前,所述方法还包括:若检测到有新增的授权访问端角色数据,将所述授权访问端角色数据保存。6.根据权利要求5所述的方法,其特征在于,所述基于所述权限定义配置数据确定与所述...
【专利技术属性】
技术研发人员:詹凯,
申请(专利权)人:深圳前海环融联易信息科技服务有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。