訪問權(quán)限控制方法和反向代理服務(wù)器的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)應(yīng)用領(lǐng)域����,尤其涉及一種訪問權(quán)限控制方法和反向代理服務(wù)器�����。
【背景技術(shù)】
[0002]目前互聯(lián)網(wǎng)應(yīng)用系統(tǒng)主要是在應(yīng)用層對訪問進(jìn)行控制�����,這種方法也稱為“硬編碼”,即在系統(tǒng)功能應(yīng)用中實(shí)現(xiàn)權(quán)限控制功能�。這種在應(yīng)用層實(shí)現(xiàn)訪問控制的方法相對靈活,但是需要在每個(gè)應(yīng)用中都添加權(quán)限控制����,因此代碼冗余高。而且��,實(shí)現(xiàn)權(quán)限控制功能的代碼和應(yīng)用代碼高度耦合�����,因此�,在權(quán)限發(fā)生變化時(shí),需要修改應(yīng)用代碼��,維護(hù)難度高���。
【發(fā)明內(nèi)容】
[0003]技術(shù)問題
[0004]有鑒于此��,本發(fā)明要解決的技術(shù)問題是�,在應(yīng)用層進(jìn)行訪問控制時(shí)所面臨的管理復(fù)雜并且難以維護(hù)的問題���。
[0005]解決方案
[0006]為了解決上述技術(shù)問題���,根據(jù)本發(fā)明的一個(gè)方面����,提供了一種訪問權(quán)限控制方法�����,其中��,在網(wǎng)絡(luò)層設(shè)置反向代理服務(wù)器��,所述反向代理服務(wù)器被配置為控制用戶訪問應(yīng)用服務(wù)器中的資源的權(quán)限�,所述方法包括:所述反向代理服務(wù)器接收所述用戶發(fā)出的資源訪問請求�����,其中�����,所述資源訪問請求包括所述用戶要訪問的資源信息和所述用戶的用戶標(biāo)識(shí);根據(jù)所述用戶標(biāo)識(shí)確定所述用戶所歸屬的用戶組;確定所述用戶組能夠訪問的至少一個(gè)可訪問資源組;根據(jù)所述資源信息�����,確定所述用戶要訪問的資源所歸屬的待訪問資源組;以及在各所述可訪問資源組包括所述待訪問資源組的情況下����,判斷為所述用戶具有訪問所述資源的權(quán)限。
[0007]對于上述訪問權(quán)限控制方法�����,在一種可能的實(shí)現(xiàn)方式中����,還包括:在各所述可訪問資源組不包括所述待訪問資源組的情況下,判斷為所述用戶不具有訪問所述資源的權(quán)限��。
[0008]對于上述訪問權(quán)限控制方法��,在一種可能的實(shí)現(xiàn)方式中�,還包括:預(yù)先設(shè)置所述用戶的用戶標(biāo)識(shí)與所述用戶所歸屬的用戶組之間的第一對應(yīng)關(guān)系,其中�,一個(gè)用戶與至少一個(gè)用戶組相對應(yīng),根據(jù)所述用戶標(biāo)識(shí)確定所述用戶所歸屬的用戶組具體為���,根據(jù)所述第一對應(yīng)關(guān)系將與所述用戶標(biāo)識(shí)相對應(yīng)的用戶組確定為所述用戶所在的用戶組����。
[0009]對于上述訪問權(quán)限控制方法,在一種可能的實(shí)現(xiàn)方式中�����,還包括:預(yù)先設(shè)置所述資源與其所歸屬的資源組之間的第二對應(yīng)關(guān)系���,其中���,一個(gè)資源與一個(gè)資源組相對應(yīng)���,根據(jù)所述資源信息����,獲取所述用戶要訪問的資源所歸屬的待訪問資源組具體為��,根據(jù)所述第二對應(yīng)關(guān)系將與所述資源相對應(yīng)的資源組確定為所述待訪問資源組�。
[0010]對于上述訪問權(quán)限控制方法,在一種可能的實(shí)現(xiàn)方式中�,還包括:預(yù)先設(shè)置用戶組與其能夠訪問的資源組之間的第三對應(yīng)關(guān)系,其中�,一個(gè)用戶組與至少一個(gè)資源組相對應(yīng),根據(jù)所述用戶組確定所述用戶組能夠訪問的至少一個(gè)可訪問資源組具體為,根據(jù)所述第三對應(yīng)關(guān)系將與所述用戶組相對應(yīng)的資源組確定為所述可訪問資源組��。
[0011]為了解決上述技術(shù)問題�,根據(jù)本發(fā)明的另一個(gè)方面,提供了一種反向代理服務(wù)器�����,其中�,所述反向代理服務(wù)器設(shè)置在網(wǎng)絡(luò)層,被配置為控制用戶訪問應(yīng)用服務(wù)器中的資源的權(quán)限����,所述反向代理服務(wù)器包括:接收模塊,被配置為接收所述用戶發(fā)出的資源訪問請求��,其中�,所述資源訪問請求包括所述用戶要訪問的資源信息和所述用戶的用戶標(biāo)識(shí);第一確定模塊,與所述接收模塊連接����,被配置為根據(jù)所述用戶標(biāo)識(shí)確定所述用戶所歸屬的用戶組;第二確定模塊��,與所述接收模塊和所述第一確定模塊連接���,被配置為確定所述用戶組能夠訪問的至少一個(gè)可訪問資源組;第三確定模塊���,與所述接收模塊和所述第一確定模塊連接����,被配置為根據(jù)所述資源信息�����,確定所述用戶要訪問的資源所歸屬的待訪問資源組�;以及判斷模塊,與所述第二確定模塊和所述第三確定模塊連接����,被配置為判斷各所述可訪問資源組是否包括所述待訪問資源組���,并在各所述可訪問資源組包括所述待訪問資源組的情況下����,判斷為所述用戶具有訪問所述資源的權(quán)限�。
[0012]對于上述反向代理服務(wù)器,在一種可能的實(shí)現(xiàn)方式中����,在各所述可訪問資源組不包括所述待訪問資源組的情況下�,所述判斷模塊判斷為所述用戶不具有訪問所述資源的權(quán)限�。
[0013]對于上述反向代理服務(wù)器,在一種可能的實(shí)現(xiàn)方式中�����,還包括:第一預(yù)設(shè)模塊�����,與所述第一確定模塊連接��,被配置為預(yù)先設(shè)置所述用戶的用戶標(biāo)識(shí)與所述用戶所歸屬的用戶組之間的第一對應(yīng)關(guān)系����,其中,一個(gè)用戶與至少一個(gè)用戶組相對應(yīng)���,所述第一確定模塊具體被配置為���,根據(jù)所述第一對應(yīng)關(guān)系將與所述用戶標(biāo)識(shí)相對應(yīng)的用戶組確定為所述用戶所在的用戶組。
[0014]對于上述反向代理服務(wù)器����,在一種可能的實(shí)現(xiàn)方式中�,還包括:第二預(yù)設(shè)模塊���,與所述第二確定模塊連接�����,被配置為預(yù)先設(shè)置所述資源與其所歸屬的資源組之間的第二對應(yīng)關(guān)系���,其中,一個(gè)資源與一個(gè)資源組相對應(yīng)�,所述第二確定模塊具體被配置為,根據(jù)所述第二對應(yīng)關(guān)系將與所述資源相對應(yīng)的資源組確定為所述待訪問資源組���。
[0015]對于上述反向代理服務(wù)器��,在一種可能的實(shí)現(xiàn)方式中,還包括:第三預(yù)設(shè)模塊�����,與所述第三確定模塊連接����,被配置為預(yù)先設(shè)置用戶組與其能夠訪問的資源組之間的第三對應(yīng)關(guān)系����,其中��,一個(gè)用戶組與至少一個(gè)資源組相對應(yīng)���,所述第三確定模塊具體被配置為����,根據(jù)所述第三對應(yīng)關(guān)系將與所述用戶組相對應(yīng)的資源組確定為所述可訪問資源組�����。
[0016]有益效果
[0017]通過在網(wǎng)絡(luò)層設(shè)置反向代理服務(wù)器�����,來控制用戶訪問應(yīng)用服務(wù)器中的資源的權(quán)限�����,根據(jù)本發(fā)明實(shí)施例的訪問權(quán)限控制方法能夠靈活地進(jìn)行訪問權(quán)限控制的管理���,并且不需要高配置的服務(wù)器��,具有成本低�����、高可用性����、維護(hù)方便等優(yōu)點(diǎn)。
[0018]根據(jù)下面參考附圖對示例性實(shí)施例的詳細(xì)說明�����,本發(fā)明的其它特征及方面將變得清楚��。
【附圖說明】
[0019]包含在說明書中并且構(gòu)成說明書的一部分的附圖與說明書一起示出了本發(fā)明的示例性實(shí)施例�、特征和方面,并且用于解釋本發(fā)明的原理�。
[0020]圖1示出根據(jù)本發(fā)明一實(shí)施例的訪問權(quán)限控制方法的流程示意圖;
[0021]圖2示出根據(jù)本實(shí)施例所采用的角色訪問控制模型����;
[0022]圖3示出根據(jù)本發(fā)明另一實(shí)施例的訪問權(quán)限控制方法的流程示意圖��;
[0023I圖4示出使用Nginx做反向代理的網(wǎng)絡(luò)架構(gòu)的示意圖;
[0024]圖5示出根據(jù)本發(fā)明一實(shí)施例的反向代理服務(wù)器的框圖���。
【具體實(shí)施方式】
[0025]以下將參考附圖詳細(xì)說明本發(fā)明的各種示例性實(shí)施例���、特征和方面。附圖中相同的附圖標(biāo)記表示功能相同或相似的元件���。盡管在附圖中示出了實(shí)施例的各種方面��,但是除非特別指出���,不必按比例繪制附圖。
[0026]在這里專用的詞“示例性”意為“用作例子���、實(shí)施例或說明性”�����。這里作為“示例性”所說明的任何實(shí)施例不必解釋為優(yōu)于或好于其它實(shí)施例����。
[0027]另外����,為了更好的說明本發(fā)明�����,在下文的【具體實(shí)施方式】中給出了眾多的具體細(xì)節(jié)�����。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解�,沒有某些具體細(xì)節(jié)���,本發(fā)明同樣可以實(shí)施�����。在一些實(shí)例中�����,對于本領(lǐng)域技術(shù)人員熟知的方法����、手段、元件和電路未作詳細(xì)描述���,以便于凸顯本發(fā)明的主旨。
[0028]實(shí)施例1
[0029]圖1示出根據(jù)本發(fā)明一實(shí)施例的訪問權(quán)限控制方法的流程示意圖�。根據(jù)本實(shí)施例的訪問權(quán)限控制方法在網(wǎng)絡(luò)層設(shè)置有反向代理服務(wù)器,該反向代理服務(wù)器被配置為控制用戶訪問應(yīng)用服務(wù)器中的資源的權(quán)限�。如圖1所示,該訪問權(quán)限控制方法主要可以包括:
[0030]步驟S110��、反向代理服務(wù)器接收用戶發(fā)出的資源訪問請求����,其中,資源訪問請求可以包括用戶要訪問的資源信息和用戶的用戶標(biāo)識(shí)�;
[0031]步驟S120、根據(jù)用戶標(biāo)識(shí)確定用戶所歸屬的用戶組���;
[0032]步驟S130��、確定用戶組能夠訪問的至少一個(gè)可訪問資源組���;
[0033]步驟S140、根據(jù)資源信息�����,確定用戶要訪問的資源所歸屬的待訪問資源組;以及
[0034]步驟S150�、在各可訪問資源組包括待訪問資源組的情況下,判斷為所述用戶具有訪問所述資源的權(quán)限���。
[0035]在一種可能的實(shí)現(xiàn)方式中����,根據(jù)本實(shí)施例的訪問權(quán)限控制方法還可以包括步驟S160����、在各可訪問資源組不包括所述待訪問資源組的情況下,判斷為所述用戶不具有訪問所述資源的權(quán)限