鉴权方法、装置、电子设备和存储介质制造方法及图纸

本申请公开了一种鉴权方法、装置、电子设备和存储介质。其中，该方法包括：接收用户请求访问目标资源的访问请求，所述访问请求包括用户信息和所述目标资源对应的资源属性，所述资源属性用于表征所述目标资源的目标权限点及所述目标权限点的目标权限等级，所述目标权限等级用于标识所述目标权限点的目标权限范围；根据所述用户信息和所述资源属性，确定所述用户的权限范围与所述目标权限范围之间的关系；基于所述用户的权限范围和所述目标权限范围之间的关系，判定所述访问请求鉴权是否通过。本申请实施例可以解决鉴权模块和应用模块之间耦合度较高，易产生数据差异导致鉴权不准确的技术问题。的技术问题。的技术问题。

【技术实现步骤摘要】
鉴权方法、装置、电子设备和存储介质


[0001]本申请涉及权限管控
，具体涉及一种鉴权方法、装置、电子设备和存储介质。

技术介绍

[0002]在企业实际的生产环境中，每个员工都有不同的职责，也就意味有着不同的权限范围。在对各成员的权限管控过程中，通常采用基于属性的访问控制(Attribute
‑
Based Access Control，ABAC)模型来管控各成员的权限，ABAC模型对请求者、被请求资源通过属性来描述，限制条件同样也使用环境属性来描述，被请求资源通常被赋予环境级别属性。ABAC模型通常基于请求者属性、被请求资源和环境属性来确定一个操作是否被允许执行；当被请求资源的环境级别发生变化，需要同步修改服务器中鉴权模块的环境对象的属性。当鉴权模块中的环境对象的属性未及时更新时易产生数据差异导致鉴权失败，鉴权模块和应用模块之间耦合度较高。

技术实现思路

[0003]鉴于上述问题，本申请提供一种鉴权方法、装置、电子设备和存储介质，以至少解决鉴权模块和应用模块之间耦合度较高，且易产生数据差异导致鉴权不准确的技术问题。
[0004]根据本申请实施例的第一方面，提供了一种鉴权方法，包括：接收用户请求访问目标资源的访问请求，上述访问请求包括用户信息和上述目标资源对应的资源属性，上述资源属性用于表征上述目标资源的目标权限点及上述目标权限点的目标权限等级，上述目标权限等级用于标识上述目标权限点的目标权限范围；根据所述用户信息和所述资源属性，确定所述用户的权限范围与所述目标权限范围之间的关系；基于所述用户的权限范围和所述目标权限范围之间的关系，判定所述访问请求鉴权是否通过。
[0005]根据本申请实施例的第二方面，提供了一种鉴权装置，包括：接收单元，用于接收用户请求访问目标资源的访问请求，上述访问请求包括用户信息和上述目标资源对应的资源属性，上述资源属性用于表征上述目标资源的目标权限点及上述目标权限点的目标权限等级，上述权限等级用于标识上述目标权限点的目标权限范围；确定单元，用于根据所述用户信息和所述资源属性，确定所述用户的权限范围与所述目标权限范围之间的关系；鉴权单元，用于基于所述用户的权限范围和所述目标权限范围之间的关系，判定所述访问请求鉴权是否通过。
[0006]根据本申请实施例的第三方面，还提供了一种电子设备，包括存储器和处理器，上述存储器中存储有计算机程序，上述处理器被设置为通过上述计算机程序执行上述第一方面的鉴权方法。
[0007]根据本申请实施例的第四方面，还提供了一种计算机可读的存储介质，该计算机可读的存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述第一方面的鉴权方法。
[0008]在本申请实施例中，通过将用户的访问请求设置目标资源对应的资源属性，上述资源属性用于表征上述目标资源的目标权限点及上述目标权限点的目标权限等级，上述目标权限等级用于标识上述目标权限点的目标权限范围；鉴权模块根据上述用户信息和上述资源属性，确定上述用户的权限范围与所述目标权限范围之间的关系；并根据该关系来判定上述访问请求鉴权是否通过。与ABAC模型相比，本申请将目标资源的属性信息设置在用户请求中，鉴权模块无需存储且实时同步目标资源的属性信息，不仅减少了属性信息的同步操作，降低了鉴权模块和应用模块之间耦合度，而且能提高鉴权的准确性。
附图说明
[0009]通过阅读对下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本申请的限制。而且在全部附图中，用相同的附图标号表示相同的部件。在附图中：
[0010]图1是根据本申请实施例的一种可选的鉴权方法的应用环境的示意图；
[0011]图2是根据本申请实施例的一种可选的鉴权方法的流程示意图；
[0012]图3是根据本申请实施例的另一种可选的鉴权方法的流程示意图；
[0013]图4是根据本申请实施例的另一种可选的鉴权方法的流程示意图；
[0014]图5是根据本申请实施例的又一种可选的鉴权方法的流程示意图；
[0015]图6是根据本申请实施例的另一种可选的鉴权方法的流程示意图；
[0016]图7是根据本申请实施例的另一种可选的鉴权方法的流程示意图；
[0017]图8是根据本申请实施例的另一种可选的鉴权方法的流程示意图；
[0018]图9是根据本申请实施例的另一种可选的鉴权方法的流程示意图；
[0019]图10是本申请实施例提供的一种鉴权装置的结构示意图；
[0020]图11为是本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
[0021]为了使本
的人员更好地理解本专利技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分的实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本专利技术保护的范围。
[0022]需要说明的是，本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0023]可选地，根据本申请实施例的一个方面，提供了一种鉴权方法，作为一种可选的实施方式，上述鉴权方法可以但不限于应用于如图1所示的应用环境中。该应用环境可以包括
但不限于：与用户进行人机交互的终端设备102、网络110、服务器112。终端设备102中运行有鉴权应用客户端。上述终端设备102中包括显示器108、处理器106和存储器104。显示器108用于呈现目标资源的访问入口。处理器106用于接收用户请求访问目标资源的访问请求。存储器104用于存储用户信息、用户对目标资源的访问请求。此外，服务器112中包括数据库114及处理引擎116，数据库用于存储用户信息、用户对目标资源的访问请求和目标资源。处理引擎116用于根据上述用户信息和上述资源属性，确定上述用户的权限范围与上述目标权限范围之间的关系，基于上述用户的权限范围和上述目标权限范围之间的关系，判定上述访问请求鉴权是否通过。
[0024]具体过程如下步骤：假设如图1所示终端设备102中运行有鉴权应用客户端，如步骤S102，发送用户请求访问目标资源的访问请求至服务器112，访问请求包括用户信息和上述目标资源对应的资源属性，上述资源属性用于表征上述目标资源的目标权限点及上述目标权限点的目标权限等级，上述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种鉴权方法，其特征在于，包括：接收用户请求访问目标资源的访问请求，所述访问请求包括用户信息和所述目标资源对应的资源属性，所述资源属性用于表征所述目标资源的目标权限点及所述目标权限点的目标权限等级，所述目标权限等级用于标识所述目标权限点的目标权限范围；根据所述用户信息和所述资源属性，确定所述用户的权限范围与所述目标权限范围之间的关系；基于所述用户的权限范围和所述目标权限范围之间的关系，判定所述访问请求鉴权是否通过。2.根据权利要求1所述的方法，其特征在于，所述根据所述用户信息和所述资源属性，确定所述用户的权限范围与所述目标权限范围之间的关系，包括：根据所述用户信息确定所述用户对应的角色信息，所述角色信息用于标识所述用户在其所属团体中的角色和角色等级，所述角色等级用于表征所述角色的权限范围；根据所述资源属性以及所述用户的角色信息，确定所述用户的权限范围是否包含所述目标权限范围的权限点。3.根据权利要求2所述的方法，其特征在于，所述根据所述资源属性以及所述用户的角色信息，确定所述用户的权限范围是否包含所述目标权限范围的权限点，包括：根据所述资源属性，确定有权限访问所述目标资源的角色所属的目标团体以及所述目标团体中的最低角色等级；根据所述用户的角色属于所述目标团体且所述用户的角色等级高于所述最低角色等级，确定所述用户的权限范围包含所述目标权限范围的权限点。4.根据权利要求3所述的方法，其特征在于，所述根据所述资源属性以及所述用户的角色信息，确定所述用户的权限范围是否包含所述目标权限范围的权限点，还包括：根据所述用户的角色属于所述目标团体且所述用户的角色等级等于所述最低角色等级，获取所述用户的角色对应的权限集合，所述权限集合中包括所述用户的角色具有的各权限点；根据所述权限集合包括所述目标权限点，确定所述用户的权限范围包含所述目标权限范围的权限点。5.根据权利要求1所述的方法，其特征在于，所述根据所述用户信息和所述资源属性，确定所述用户的权限范围与所述目标权限范围之间的关系，包括：根据所述用户信息，获取所述用户对应的权限集合，所述权限集合包括所述用户具有的各权限点及各权限点的权限等级；根据所述资源属性及所述权限集合，确定所述用户的权限范围是否包含所述目标权限范围的权限点。6.根据权利要求5所述的方法，其特征在于，所述根据所述用户信息，获取所述用户对应的权限集合，包括：根据所述用户信息确定所述用户对应的角色信息，所述角色信息用于标识所述用户在其所属团体中的角色；将所述角色信息对应的各权限点及各权限点的权限等级，确定为所述用户对应的权限集合。
7.根据权利要求5或6所述的方法，...

【专利技术属性】
技术研发人员：仝智勇，
申请(专利权)人：阿里云计算有限公司，
类型：发明
国别省市：