【技术实现步骤摘要】
本申请涉及计算机应用程序安全访问,特别地涉及一种应用程序访问控制方法、装置、存储介质、安全网关以及应用程序访问控制系统。
技术介绍
1、此处提供的
技术介绍
描述的目的是总体地给出本申请的背景,本部分的陈述仅仅是提供了与本申请相关的背景,并不必然构成现有技术。
2、访问控制是web(全球广域网world wide web,简称web)应用程序中的保障应用程序安全的重要功能,用于限制特定的人只能访问特定的功能。
3、当前技术下,一般的web应用程序访问控制由应用程序研发人员进行定制研发来实现,程序根据配置的权限对用户请求进行拦截验证,如果有权限访问直接放行,否则进行拦截和提示。
4、在当前的这种访问权限控制方法中,主要存在有以下不足和缺陷:
5、(1)web应用程序一直是网络攻击的主要目标,几乎所有的web应用程序都存在不同程度的安全风险。上述方法虽然实现了对应用程序访问的控制功能,但是用户请求报文可以直达应用程序的后端,应用程序直接对外暴露访问,因此被攻击的风险较高。
6、(2)所有的访问权限控制功能实现,都内嵌在应用程序的代码中,需要对应用程序的代码进行修改来实现对相关功能的扩展,对于一些无人运维或运维成本较高的应用程序来说,显然是存在一定困难的。
7、(3)如果要实现某种新增的访问控制功能,需要对每个应用程序做功能定制研发和测试,不仅功能复用性低,而且成本投入也非常大。
技术实现思路
1、针对上述问题,本申请提
2、本申请的第一个方面,提供了一种应用程序访问控制方法,应用于反向代理应用程序服务器的安全网关,所述方法包括:
3、响应于接收到网络请求,根据预设策略集合中的访问控制策略确定所述网络请求的处理方式;
4、根据所述处理方式处理所述网络请求。
5、进一步地,还包括:
6、接收根据个性化需求配置的所述访问控制策略。
7、进一步地,在所述预设策略集合中包括:
8、url访问策略,黑/白名单访问策略以及预设定制策略中的一项或多项。
9、进一步地,所述处理方式包括待响应处理和截断处理,所述根据预设策略集合中的访问控制策略确定所述网络请求的处理方式,包括:
10、在所述预设策略集合中每个访问控制策略均通过验证的情况下,将所述处理方式确定为待响应处理;
11、在所述预设策略集合中存在未通过验证的访问控制策略的情况下,将所述处理方式确定为截断处理。
12、进一步地,所述根据所述处理方式处理所述网络请求,包括:
13、在所述处理方式为待响应处理的情况下,将所述网络请求转发至应用程序服务器;
14、在所述处理方式为截断处理的情况下,不转发所述网络请求并根据所述未通过验证的访问控制策略确定错误响应消息,以及向所述网络请求的发送端反馈所述错误响应消息。
15、进一步地,还包括:
16、响应于接收到所述网络请求的响应数据,将所述响应数据转发至所述网络请求的发送端。
17、本申请的第二个方面,提供了一种应用程序访问控制装置,所述装置包括:
18、确定模块,用于响应于接收到网络请求,根据预设策略集合中的访问控制策略确定所述网络请求的处理方式;
19、处理模块,用于根据所述处理方式处理所述网络请求。
20、本申请的第三个方面,提供了一种计算机可读存储介质,该计算机可读存储介质存储的计算机程序,可被一个或多个处理器执行,用以实现如上所述方法的步骤。
21、本申请的第四个方面,提供了一种安全网关,包括存储器和一个或多个处理器,所述存储器上存储有计算机程序,所述存储器和所述一个或多个处理器之间互相通信连接,该计算机程序被所述一个或多个处理器执行时,实现如上所述方法的步骤。
22、本申请的第五个方面,提供了一种应用程序访问控制系统,包括:
23、如上所述的安全网关;
24、策略管理终端,与所述安全网关通信连接,用于根据个性化需求配置访问控制策略,并将所述访问控制策略发送至所述安全网关。
25、与现有技术相比,本申请的技术方案所具备的优点或有益效果包括:
26、(1)本申请将权限控制检查前置到安全网关,非法请求无法到达应用程序服务器,结合网关其他的安全能力。可有效提高应用程序内生安全并降低网络攻击风险。
27、(2)仅需通过网关策略配置即可实现精细化的权限控制,与应用程序代码无耦合,即使对于无法运维的应用程序,也能轻易实现访问控制功能升级。无需改造应用程序,降低了代码维护与安全防护的成本。
28、(3)可以根据业务需要对部署的安全网关进行功能扩展与完善,扩展之后的功能可以直接应用到多个应用程序,节约了成本并提高了效率。
本文档来自技高网...【技术保护点】
1.一种应用程序访问控制方法,其特征在于,应用于反向代理应用程序服务器的安全网关,所述方法包括:
2.根据权利要求1所述的应用程序访问控制方法,其特征在于,还包括:
3.根据权利要求1所述的应用程序访问控制方法,其特征在于,在所述预设策略集合中包括:
4.根据权利要求1所述的应用程序访问控制方法,其特征在于,所述处理方式包括待响应处理和截断处理,所述根据预设策略集合中的访问控制策略确定所述网络请求的处理方式,包括:
5.根据权利要求4所述的应用程序访问控制方法,其特征在于,所述根据所述处理方式处理所述网络请求,包括:
6.根据权利要求1所述的应用程序访问控制方法,其特征在于,还包括:
7.一种应用程序访问控制装置,其特征在于,包括:
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储的计算机程序,当被一个或多个处理器执行时,实现如权利要求1至6中任一项所述的应用程序访问控制方法。
9.一种安全网关,其特征在于,包括存储器和处理器,所述存储器上存储有计算机程序,当所述计算
10.一种应用程序访问控制系统,其特征在于,包括:
...【技术特征摘要】
1.一种应用程序访问控制方法,其特征在于,应用于反向代理应用程序服务器的安全网关,所述方法包括:
2.根据权利要求1所述的应用程序访问控制方法,其特征在于,还包括:
3.根据权利要求1所述的应用程序访问控制方法,其特征在于,在所述预设策略集合中包括:
4.根据权利要求1所述的应用程序访问控制方法,其特征在于,所述处理方式包括待响应处理和截断处理,所述根据预设策略集合中的访问控制策略确定所述网络请求的处理方式,包括:
5.根据权利要求4所述的应用程序访问控制方法,其特征在于,所述根据所述处理方式处理所述网络请求,包括:...
【专利技术属性】
技术研发人员:李想,张新民,冯小龙,孙跃,肖瑞国,索寒生,
申请(专利权)人:中国石油化工股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。