访问控制方法、装置、电子设备及存储介质制造方法及图纸

本申请公开了一种访问控制方法、装置、电子设备及存储介质，该方法包括：接收目标对象基于预设虚拟角色触发的访问请求；基于预设虚拟角色对应的预设授权操作，对目标操作进行角色授权验证，得到第一授权验证结果；在第一授权验证结果为授权验证通过，且目标操作具有依赖资源的情况下，获取目标资源的第一资源分类元素、目标操作对应的目标依赖资源的第二资源分类元素和目标对象对应的目标角色授权资源的第三资源分类元素；基于第二资源分类元素、第三资源分类元素和第一资源分类元素，对目标操作进行执行授权验证，得到第二授权验证结果；根据第二授权验证结果，控制目标操作的执行。利用本申请提供的技术方案可以实现动态授权更新和细粒度的访问控制。权更新和细粒度的访问控制。权更新和细粒度的访问控制。

【技术实现步骤摘要】
访问控制方法、装置、电子设备及存储介质


[0001]本申请涉及互联网
，尤其涉及一种访问控制方法、装置、电子设备及存储介质。

技术介绍

[0002]随着计算机技术的快速发展，现有的网络服务平台，对平台上的数据、资源的安全性要求比较高，非授权用户是不允许越权访问数据和资源的。
[0003]现有技术中的访问控制方法主要有RBAC(Role
‑
BasedAccess Control，基于角色的访问控制)和ABAC(Attribute
‑
based access control，基于属性的访问控制)，其中，RBAC通过角色关联用户，角色关联权限的方式间接赋予用户权限。但基于角色的访问控制，存在访问控制粒度粗，适用范围局限的问题；ABAC定义了访问控制范例，通过将用户属性(如用户年龄)，环境属性(如当前时间)，操作属性(如读取)和对象属性(如一篇文章，又称资源属性)等属性组合在一起的策略来向用户授予访问权限。但基于属性的访问控制虽然能够实现细粒度的访问控制，但属性组合列举的配置方式复杂，难于理解，且授权验证需要获取的信息过多，对业务系统依赖大，且授权验证过程存在暴露用户敏感信息等信息安全问题；因此，需要提供更可靠或更有效的方案。

技术实现思路

[0004]本申请提供了一种访问控制方法、装置、设备、存储介质及计算机程序产品，可以大大降低配置复杂度，实现动态授权更新和细粒度的访问控制，且授权验证过程无需获取用户信息等业务信息，对业务系统依赖小，也有效避免暴露用户敏感信息，大大提升访问控制过程中的信息安全性。
[0005]一方面，本申请提供了一种访问控制方法，所述方法包括：
[0006]接收目标对象基于预设虚拟角色触发的访问请求，所述访问请求为针对目标资源执行目标操作的请求；
[0007]基于所述预设虚拟角色对应的预设授权操作，对所述目标操作进行角色授权验证，得到第一授权验证结果；
[0008]在所述第一授权验证结果为授权验证通过，且所述目标操作具有依赖资源的情况下，获取所述目标资源的第一资源分类元素、所述目标操作对应的目标依赖资源的第二资源分类元素和所述目标对象对应的目标角色授权资源的第三资源分类元素；所述第一资源分类元素为所述目标资源的可配置分类元素；所述第二资源分类元素为所述目标依赖资源的可配置分类元素；所述第三资源分类元素为所述目标角色授权资源的可配置分类元素；
[0009]基于所述第二资源分类元素、所述第三资源分类元素和所述第一资源分类元素，对所述目标操作进行执行授权验证，得到第二授权验证结果；
[0010]根据所述第二授权验证结果，控制所述目标操作的执行。
[0011]另一方面提供了一种访问控制装置，所述装置包括：
[0012]访问请求接收模块，被配置为执行接收目标对象基于预设虚拟角色触发的访问请求，所述访问请求为针对目标资源执行目标操作的请求；
[0013]角色授权验证模块，被配置为执行基于所述预设虚拟角色对应的预设授权操作，对所述目标操作进行角色授权验证，得到第一授权验证结果；
[0014]资源分类元素获取模块，被配置为执行在所述第一授权验证结果为授权验证通过，且所述目标操作具有依赖资源的情况下，获取所述目标资源的第一资源分类元素、所述目标操作对应的目标依赖资源的第二资源分类元素和所述目标对象对应的目标角色授权资源的第三资源分类元素；所述第一资源分类元素为所述目标资源的可配置分类元素；所述第二资源分类元素为所述目标依赖资源的可配置分类元素；所述第三资源分类元素为所述目标角色授权资源的可配置分类元素；
[0015]执行授权验证模块，被配置为执行基于所述第二资源分类元素、所述第三资源分类元素和所述第一资源分类元素，对所述目标操作进行执行授权验证，得到第二授权验证结果；
[0016]操作执行控制模块，被配置为执行根据所述第二授权验证结果，控制所述目标操作的执行。
[0017]另一方面提供了一种电子设备，包括：处理器；
[0018]用于存储所述处理器可执行指令的存储器；
[0019]其中，所述处理器被配置为执行所述指令，以实现上述任一项所述的访问控制方法。
[0020]另一方面提供了一种计算机可读存储介质，当所述存储介质中的指令由电子设备的处理器执行时，使得所述电子设备能够执行上述任一访问控制方法。
[0021]另一方面提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各种可选实现方式中提供的访问控制方法。
[0022]本申请提供的访问控制方法、装置、设备、存储介质及计算机程序产品，具有如下技术效果：
[0023]本申请在目标对象基于预设虚拟角色触发针对目标资源执行目标操作的请求的情况下，可以基于预设虚拟角色对应的预设授权操作，对目标操作进行角色授权验证；在角色授权验证通过，且目标操作具有依赖资源的情况下，获取目标资源的可配置的第一资源分类元素、目标操作对应的目标依赖资源的可配置的第二资源分类元素和目标对象对应目标角色授权资源的可配置的第三资源分类元素；可以结合资源分类实现资源授权配置，大大降低配置复杂度，且结合了可配置的资源分类元素可以实现动态授权更新，提高了授权访问的灵活性；并基于第二资源分类元素、第三资源分类元素和第一资源分类元素，从操作的依赖资源和将角色授权给目标对象时，从角色的关联授权资源中授权给目标对象的资源两个维度对目标操作进行执行授权验证，可以结合资源分别与操作以及对象间的绑定关系，实现细粒度的访问控制，大大提升访问控制方法的适用范围；且授权验证过程无需获取用户信息等业务信息，对业务系统依赖小，也有效避免暴露用户敏感信息，大大提升访问控制过程中的信息安全性。
附图说明
[0024]为了更清楚地说明本申请实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。
[0025]图1是本申请实施例提供的一种访问控制方法的应用环境的示意图；
[0026]图2是本申请实施例提供的一种访问控制方法的流程示意图；
[0027]图3是本申请实施例提供的一种资源注册界面的示意图；
[0028]图4是本申请实施例提供的一种资源分类编辑界面的示意图；
[0029]图5是本申请实施例提供的一种操作注册界面的示意图；
[0030]图6是本申请实施例提供的一种为角色关联资源配置界面的示意图；
[0031]图7是本申请实施例提供的一种为角色授权操作界面的示意图；
[0032]图8是本申请实施例提供的一种用户授权配置界面的示意图；本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制方法，其特征在于，所述方法包括：接收目标对象基于预设虚拟角色触发的访问请求，所述访问请求为针对目标资源执行目标操作的请求；基于所述预设虚拟角色对应的预设授权操作，对所述目标操作进行角色授权验证，得到第一授权验证结果；在所述第一授权验证结果为授权验证通过，且所述目标操作具有依赖资源的情况下，获取所述目标资源的第一资源分类元素、所述目标操作对应的目标依赖资源的第二资源分类元素和所述目标对象对应的目标角色授权资源的第三资源分类元素；所述第一资源分类元素为所述目标资源的可配置分类元素；所述第二资源分类元素为所述目标依赖资源的可配置分类元素；所述第三资源分类元素为所述目标角色授权资源的可配置分类元素；基于所述第二资源分类元素、所述第三资源分类元素和所述第一资源分类元素，对所述目标操作进行执行授权验证，得到第二授权验证结果；根据所述第二授权验证结果，控制所述目标操作的执行。2.根据权利要求1所述的方法，其特征在于，所述基于所述第二资源分类元素、所述第三资源分类元素和所述第一资源分类元素，对所述目标操作进行执行授权验证，得到第二授权验证结果包括：对所述第一资源分类元素和所述第二资源分类元素进行元素匹配处理，得到第一元素匹配结果；对所述第一资源分类元素和所述第三资源分类元素进行元素匹配处理，得到第二元素匹配结果；根据所述第一元素匹配结果和所述第二元素匹配结果，生成所述第二授权验证结果。3.根据权利要求1所述的方法，其特征在于，所述在所述第一授权验证结果为授权验证通过，且所述目标操作具有依赖资源的情况下，获取所述目标资源的第一资源分类元素、所述目标操作对应的目标依赖资源的第二资源分类元素和所述目标对象对应的目标角色授权资源的第三资源分类元素包括：所述在所述第一授权验证结果为授权验证通过，且所述目标操作具有依赖资源的情况下，获取所述目标操作对应的操作执行信息和所述目标操作对应的预设执行约束条件；在所述操作执行信息满足所述预设执行约束条件的情况下，执行所述获取所述目标资源的第一资源分类元素、所述目标操作对应的目标依赖资源的第二资源分类元素和所述目标对象对应的目标角色授权资源的第三资源分类元素的步骤。4.根据权利要求1至3任一所述的方法，其特征在于，所述访问请求包括所述目标资源的目标资源标识，所述获取所述目标资源的第一资源分类元素包括：基于所述目标资源标识，从预设元素配置信息中，获取所述第一资源分类元素；其中，所述预设元素配置信息包括至少一个已注册资源的元素配置信息，所述至少一个已注册资源包括所述目标资源；任一已注册资源的元素配置信息包括存在对应关系的所述任一已注册资源的资源标识，和为所述任一已注册资源配置的资源分类元素。5.根据权利要求1至3任一所述的方法，其特征在于，所述访问请求包括所述目标操作的目标操作标识；所述第二资源分类元素采用下述方式获取：基于所述目标操作标识，从预设操作依赖信息中，获取所述第二资源分类元素；
其中，所述预设操作依赖信息包括至少一种已注册操作的操作依赖信息，所述至少一种已注册操作包括所述目标操作；任一已注册操作的操作依赖信息包括存在对应...

【专利技术属性】
技术研发人员：董鸿华，张胜利，曾新苗，何锐，
申请(专利权)人：深圳市腾讯网域计算机网络有限公司，
类型：发明
国别省市：