一种防止越权访问的方法、装置和设备制造方法及图纸

本说明书实施例公开了一种防止越权访问的方法、装置和设备，所述方法包括：第一应用接收用户通过第二应用发起的针对目标数据的访问请求，其中，所述第一应用是管理所述目标数据的应用，所述第二应用是链接至所述第一应用的边界应用，所述访问请求中携带有所述访问请求对应的业务场景的标识；所述第一应用基于所述业务场景的标识调用所述第二应用提供的目标鉴权微服务，其中，所述目标鉴权微服务用于按照目标鉴权策略对所述用户进行鉴权，所述目标鉴权策略是根据所述业务场景下的业务逻辑确定的；所述第一应用通过所述目标鉴权微服务对所述用户进行鉴权，得到鉴权结果；所述第一应用根据所述鉴权结果处理所述访问请求。应用根据所述鉴权结果处理所述访问请求。应用根据所述鉴权结果处理所述访问请求。

【技术实现步骤摘要】
一种防止越权访问的方法、装置和设备


[0001]本文件涉及计算机
，尤其涉及一种防止越权访问的方法、装置和设备。

技术介绍

[0002]越权访问漏洞(简称越权漏洞)是一种逻辑漏洞，具体是指攻击者利用权限控制设计缺陷访问未经授权的功能或数据的安全漏洞。
[0003]由于越权漏洞与业务逻辑存在强耦合，因此越权访问很难防范，传统方案都是在发现漏洞后通过修复漏洞来解决越权访问风险，然而这种通过修复越权漏洞来防止越权访问的方案，覆盖场景单一，通用性很差。

技术实现思路

[0004]本说明书实施例提供了一种防止越权访问的方法、装置和设备，以解决相关技术中的越权访问防范方案通用性差的问题。
[0005]为解决上述技术问题，本说明书实施例是这样实现的：
[0006]第一方面，提出了一种防止越权访问的方法，包括：
[0007]第一应用接收用户通过第二应用发起的针对目标数据的访问请求，其中，所述第一应用是管理所述目标数据的应用，所述第二应用是链接至所述第一应用的边界应用，所述访问请求中携带有所述访问请求对应的业本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防止越权访问的方法，包括：第一应用接收用户通过第二应用发起的针对目标数据的访问请求，其中，所述第一应用是管理所述目标数据的应用，所述第二应用是链接至所述第一应用的边界应用，所述访问请求中携带有所述访问请求对应的业务场景的标识；所述第一应用基于所述业务场景的标识调用所述第二应用提供的目标鉴权微服务，其中，所述目标鉴权微服务用于按照目标鉴权策略对所述用户进行鉴权，所述目标鉴权策略是根据所述业务场景下的业务逻辑确定的；所述第一应用通过所述目标鉴权微服务对所述用户进行鉴权，得到鉴权结果；所述第一应用根据所述鉴权结果处理所述访问请求。2.根据权利要求1所述的方法，链接至所述第一应用的边界应用的数量为多个，所述第二应用是链接至所述第一应用的多个边界应用中的任意一个。3.根据权利要求2所述的方法，链接至所述第一应用的一个边界应用提供至少一个鉴权微服务，一个鉴权微服务对应提供至少一种鉴权策略，一种鉴权策略对应一种业务场景下的一种业务逻辑。4.根据权利要求3所述的方法，链接至所述第一应用的不同边界应用提供的鉴权微服务符合相同的规范。5.根据权利要求1所述的方法，在所述第一应用基于所述业务场景的标识调用所述第二应用提供的目标鉴权微服务之前，所述方法还包括：所述第一应用通过预设测试用例对所述目标鉴权微服务进行测试，以确认所述目标鉴权策略是否存在漏洞；所述第一应用在确认所述目标鉴权策略存在漏洞的情况下，向所述第二应用发送提示信息，所述提示信息用于提示所述第二应用对所述目标鉴权策略存在的漏洞进行修复。6.根据权利要求5所述的方法，所述第一应用在确认所述目标鉴权策略不存在漏洞的情况下，再执行基于所述业务场景的标识调用所述第二应用提供的目标鉴权微服务的步骤。7.根据权利要求1
‑
6任一项所述的方法，所述访问请求是所述用户登录所述第二应用后发送的。8.根据权利要求7所述的方法，所述访问请求中还携带有所述用户的登录状态，其中，所述第一应用基于所述业务场景的标识调用所述第二应用提供的目标鉴权微服务，包括：所述第一应用在所述用户的登录状态为已登录的情况下，基于所述业务场景的标识调用所述第二应用提供的目标鉴权微服务。9.根据权利要求1
‑
6任一项所述的方法，所述第一应用根据所述鉴权结果处理所述访问请求，包括：所述第一应用在所述鉴权结果为通过的情况下，响应所述访问请求；所述第一应用在所述鉴权结果为不通过的情况下，拒绝所述访问请求。10.一种防止越权访问的方法，包括：第二应用接收用户发起的针对目标数据的访问请求，其中，所述第二应用是链接至第一应用的边界应用，所述第一应用是管理所述目标数据的应用，所述访问请求中携带有所
述访问请求对应的业务场景的标识；所述第二应用向所述第一应用发送所述访问请求，以使所述第一应用基于所述业务场景的标识调用所述第二应用提供的目标鉴权微服务对所述用户进行鉴权，得到鉴权结果，并根据所述鉴权结果处理所述访问请求，其中，所述目标鉴权微服务用于按照目标鉴权策略对所述用户进行鉴权，所述目标鉴权策略是根据所述业务场景下的业务逻辑确定的。11.根据权利要求10所述的方法，链接至所述第一应用的边界应用的数量为多个，所述第二应用是链接至所述第一应用的多个边界应用中的任意一个。12.根据权利要求11所述的方法，链接至所述第一应用的一个边界应用提供至少一个鉴权微服务，一个鉴权微服务对应提供至少一种鉴权策略，一种鉴权策略对应一种业务场景下的一种业务逻辑。13.根据权利要求12所述的方法，链接至所述第一应用的不同边界应用提供的鉴权微服务符合相同的规范。14.根据权利要求10
‑
13任一项所述的方法，所述访问请求是所述用户登录所述第二应用后发送的。15.根据权利要求10
‑
13任一项所述的方法，还包括：所述第二应用接收所述第一应用发送的提示信息，其中，所述提示信息是所述第一应用根据预设测试用例对所述目标鉴权微服务进行测试，并确认所述目标鉴权策略存在漏洞的情况下发送的；所述第二应用对所述目标鉴权策略存在的漏洞进行修复。16.一种防止越权访问的装置...

【专利技术属性】
技术研发人员：陈明，张园超，
申请(专利权)人：浙江网商银行股份有限公司，
类型：发明
国别省市：