应用权限的控制方法、装置、设备及存储介质制造方法及图纸

本申请涉及一种应用权限的控制方法、装置、设备及存储介质。方法包括：接收目标应用的授权请求，授权请求用于请求将目标应用对应的资源的操作权限赋予给目标用户；获取目标应用的权限控制模型的配置信息，配置信息中包含有目标应用的多级权限校验信息和目标应用的授权有效期信息；根据多级权限校验信息、目标用户的标识信息和授权请求的发起对象的标识信息，对目标应用的授权请求的有效性进行多级校验；若目标应用的授权请求校验为有效，则根据目标应用的授权有效期信息，确定目标用户的权限有效期信息；根据目标用户的权限有效期信息，为目标用户赋予目标应用对应的资源的操作权限。采用本方法能够避免权限回收不及时。权限。采用本方法能够避免权限回收不及时。权限。采用本方法能够避免权限回收不及时。

【技术实现步骤摘要】
应用权限的控制方法、装置、设备及存储介质


[0001]本申请涉及计算机
，特别是涉及一种应用权限的控制方法、装置、设备及存储介质。

技术介绍

[0002]随着信息技术的发展，越来越多的业务通过应用程序来实现，相应的，对于应用程序的权限管理也越来越重要。权限管理用于实现用户对访问应用程序的资源的的控制，从而使得按照安全规则或者安全策略控制用户只能访问自己被授权的资源。
[0003]相关技术中，应用程序的权限管理可以通过权限控制模型来实现，常见的权限控制模型可以包括访问策略控制（Access Control Lists，ACL）模型和基于角色的访问控制（Role
‑
Based Access Control，RBAC）模型。ACL模型可以对用户、权限对象直接授予应用权限。RBAC模型可以为应用对应的角色授予应用权限，再对用户和权限对象赋予角色，从而实现权限控制。
[0004]然而，通过ACL模型和RBAC模型进行的权限控制，在权限回收时，往往需要管理员再次发送权限回收请求，当授权的用户较多时，管理员可能会遗漏个别用户的权限回收，从而造成权限回收不及时的问题。

技术实现思路

[0005]基于此，有必要针对上述技术问题，提供一种能够避免权限回收不及时的应用权限的控制方法、装置、设备及存储介质。
[0006]第一方面，本申请提供了一种应用权限的控制方法。所述方法包括：接收目标应用的授权请求，所述授权请求用于请求将所述目标应用对应的资源的操作权限赋予给目标用户，所述授权请求中包含所述目标用户的标识信息和所述授权请求的发起对象的标识信息；获取所述目标应用的权限控制模型的配置信息，所述配置信息中包含有所述目标应用的多级权限校验信息和所述目标应用的授权有效期信息，所述权限控制模型用于管理所述目标应用对应的资源的操作权限；根据所述多级权限校验信息、所述目标用户的标识信息和所述授权请求的发起对象的标识信息，对所述目标应用的授权请求的有效性进行多级校验；若所述目标应用的授权请求校验为有效，则根据所述目标应用的授权有效期信息，确定所述目标用户的权限有效期信息；根据所述目标用户的权限有效期信息，为所述目标用户赋予所述目标应用对应的资源的操作权限。
[0007]在其中一个实施例中，所述授权有效期信息中包含有默认授权时间和所述授权请求的发起对象对应的上限授权时间。
[0008]在其中一个实施例中，所述根据所述目标应用的授权有效期，确定所述目标用户
的权限有效期信息，包括：若所述授权请求中不存在所述目标用户的授权请求时间，则根据所述默认授权时间，确定所述目标用户的权限有效期信息；若所述授权请求中存在所述目标用户的授权请求时间，则根据所述目标用户的授权请求时间和所述授权请求的发起对象对应的上限授权时间，确定所述目标用户的权限有效期信息。
[0009]在其中一个实施例中，所述多级权限校验信息中包括请求对象列表和授权对象列表；所述根据所述多级权限校验信息、所述目标用户的标识信息和所述授权请求的发起对象的标识信息，对所述目标应用的授权请求的有效性进行多级校验，包括：根据所述授权请求的发起对象的标识信息，确定所述授权请求的发起对象对应的角色信息；根据所述目标用户的标识信息，确定所述目标用户对应的角色信息；若所述授权请求的发起对象对应的角色信息在所述请求对象列表中且所述目标用户对应的角色信息在所述授权对象列表中，则确定所述目标应用的授权请求有效；若所述授权请求的发起对象对应的角色信息不在所述请求对象列表中或所述目标用户对应的角色信息不在所述授权对象列表中，则确定所述目标应用的授权请求无效。
[0010]在其中一个实施例中，在所述获取所述目标应用的权限控制模型的配置信息之前，所述方法还包括：接收所述目标应用的配置请求，所述配置请求用于请求开启所述目标应用的权限有效期配置，所述配置请求中包含有所述目标应用的授权有效期信息；在所述目标应用的权限控制模型的配置信息中，添加所述目标应用的授权有效期信息。
[0011]在其中一个实施例中，在所述根据所述目标用户的权限有效期信息，为所述目标用户赋予所述目标应用对应的资源的操作权限之后，所述方法还包括：将所述目标应用的授权请求对应的授权信息添加至所述目标应用对应的权限回收队列中；根据所述权限回收队列中的授权信息的排序，依次对所述权限回收队列中的授权信息的权限有效期进行检测；若检测到存在生效时间大于权限有效期的授权信息，则撤销所述授权信息对应的目标用户对所述目标应用对应的资源的操作权限。
[0012]在其中一个实施例中，所述授权信息包括所述目标用户的标识信息、所述目标应用中的授权资源的标识和所述目标用户的权限有效期信息。
[0013]第二方面，本申请还提供了一种应用权限的控制装置。所述装置包括：接收模块，接收目标应用的授权请求，所述授权请求用于请求将所述目标应用对应的资源的操作权限赋予给目标用户，所述授权请求中包含所述目标用户的标识信息和所述授权请求的发起对象的标识信息；获取模块，用于获取所述目标应用的权限控制模型的配置信息，所述配置信息中包含有所述目标应用的多级权限校验信息和所述目标应用的授权有效期信息，所述权限控
制模型用于管理所述目标应用对应的资源的操作权限；校验模块，用于根据所述多级权限校验信息、所述目标用户的标识信息和所述授权请求的发起对象的标识信息，对所述目标应用的授权请求的有效性进行多级校验；赋权模块，用于若所述目标应用的授权请求有效，则根据所述目标应用的授权有效期信息，确定所述目标用户的权限有效期信息；根据所述目标用户的权限有效期信息，为所述目标用户赋予所述目标应用对应的资源的操作权限。
[0014]在其中一个实施例中，所述授权有效期信息中包含有默认授权时间和所述授权请求的发起对象对应的上限授权时间。
[0015]在其中一个实施例中，所述赋权模块，具体用于若所述授权请求中不存在所述目标用户的授权请求时间，则根据所述默认授权时间，确定所述目标用户的权限有效期信息；若所述授权请求中存在所述目标用户的授权请求时间，则根据所述目标用户的授权请求时间和所述授权请求的发起对象对应的上限授权时间，确定所述目标用户的权限有效期信息。
[0016]在其中一个实施例中，所述多级权限校验信息中包括请求对象列表和授权对象列表；所述校验模块，具体用于根据所述授权请求的发起对象的标识信息，确定所述授权请求的发起对象对应的角色信息；根据所述目标用户的标识信息，确定所述目标用户对应的角色信息；若所述授权请求的发起对象对应的角色信息在所述请求对象列表中且所述目标用户对应的角色信息在所述授权对象列表中，则确定所述目标应用的授权请求有效；若所述授权请求的发起对象对应的角色信息不在所述请求对象列表中或所述目标用户对应的角色信息不在所述授权对象列表中，则确定所述目标应用的授权请求无效。
[0017]在其中一个实施例中，所述获取模块，还用于接收所述目标应用的配置请求，所述配置请求用于请求开启所述目标应用的权限有效期配置，所述配本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种应用权限的控制方法，其特征在于，所述方法包括：接收目标应用的授权请求，所述授权请求用于请求将所述目标应用对应的资源的操作权限赋予给目标用户，所述授权请求中包含所述目标用户的标识信息和所述授权请求的发起对象的标识信息；获取所述目标应用的权限控制模型的配置信息，所述配置信息中包含有所述目标应用的多级权限校验信息和所述目标应用的授权有效期信息，所述权限控制模型用于管理所述目标应用对应的资源的操作权限；根据所述多级权限校验信息、所述目标用户的标识信息和所述授权请求的发起对象的标识信息，对所述目标应用的授权请求的有效性进行多级校验；若所述目标应用的授权请求校验为有效，则根据所述目标应用的授权有效期信息，确定所述目标用户的权限有效期信息；根据所述目标用户的权限有效期信息，为所述目标用户赋予所述目标应用对应的资源的操作权限。2.根据权利要求1所述的方法，其特征在于，所述授权有效期信息中包含有默认授权时间和所述授权请求的发起对象对应的上限授权时间。3.根据权利要求2所述的方法，其特征在于，所述根据所述目标应用的授权有效期，确定所述目标用户的权限有效期信息，包括：若所述授权请求中不存在所述目标用户的授权请求时间，则根据所述默认授权时间，确定所述目标用户的权限有效期信息；若所述授权请求中存在所述目标用户的授权请求时间，则根据所述目标用户的授权请求时间和所述授权请求的发起对象对应的上限授权时间，确定所述目标用户的权限有效期信息。4.根据权利要求1所述的方法，其特征在于，所述多级权限校验信息中包括请求对象列表和授权对象列表；所述根据所述多级权限校验信息、所述目标用户的标识信息和所述授权请求的发起对象的标识信息，对所述目标应用的授权请求的有效性进行多级校验，包括：根据所述授权请求的发起对象的标识信息，确定所述授权请求的发起对象对应的角色信息；根据所述目标用户的标识信息，确定所述目标用户对应的角色信息；若所述授权请求的发起对象对应的角色信息在所述请求对象列表中且所述目标用户对应的角色信息在所述授权对象列表中，则确定所述目标应用的授权请求有效；若所述授权请求的发起对象对应的角色信息不在所述请求对象列表中或所述目标用户对应的角色信息不在所述授权对象列表中，则确定所述目标应用的授权请求无效。5.根据权利要求1
‑
4任一项所述的方法，...

【专利技术属性】
技术研发人员：王国庆，刘可，曾明，宋静波，章书焓，
申请(专利权)人：深圳竹云科技股份有限公司，
类型：发明
国别省市：