一种云平台服务的权限管理方法、装置和系统的制作方法

文档序号:7997226阅读:188来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种云平台服务的权限管理方法、装置和系统的制作方法
【专利摘要】本发明实施例公开了一种云平台服务的权限管理方法、装置及系统,其中所述权限管理方法包括:目标云平台服务获取调用方的操作访问请求,所述操作访问请求中包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息中包括本次会话信息;目标云平台服务确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效;目标云平台服务根据所述调用方的会话信息对所述操作访问请求进行权限校验。采用本发明,可确保云平台服务的操作访问的合法性,保证云平台服务安全。
【专利说明】一种云平台服务的权限管理方法、装置和系统

【技术领域】
[0001]本发明涉及互联网【技术领域】,尤其涉及一种云平台服务的权限管理方法、装置和系统。

【背景技术】
[0002]云平台(云计算):一种按使用量付费的互联网服务模式,这种模式提供可用的、便捷的、按需的网络访问进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。现有云平台服务里的账户管理和权限控制大部分都是针对服务直接调用方进行管理和控制的,而对于引发直接调用方的最初发起者,则基本不加以鉴别。小部分系统考虑到最初发起者的区别,但也只是通过直接调用方指定最初发起者的方式来鉴别,而对所指定的最初发起者是否合法,则不加以进一步确认。
[0003]现有的帐号管理和权限控制模式,在面对错综复杂的云平台环境时,由于大部分只对直接调用方进行鉴权,极有可能出现由于一个短板系统发生安全漏洞被利用,从而出现多个云平台服务和组件发生操作非法目的资源的情况,最终导致某非法最初发起者通过云服务和组件操作不属于其自身资源的情况,造成云平台敏感资源被篡改或者泄露,损害平台或者相关第三方服务商的利益和声誉。


【发明内容】

[0004]本发明实施例所要解决的技术问题在于,提供一种云平台服务的权限管理方法、装置和系统,可确保云平台服务的操作访问的合法性,保证云平台服务安全。
[0005]为了解决上述技术问题,本发明实施例提供了一种云平台服务的权限管理方法,所述方法包括:
[0006]目标云平台服务获取调用方的操作访问请求,所述操作访问请求中包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息中包括本次会话信息;
[0007]目标云平台服务确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效;
[0008]目标云平台服务对所述操作访问请求进行权限校验,所述权限校验包括:
[0009]确认所述会话信息是否合法;
[0010]分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;
[0011]根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;
[0012]根据所述初始用户的权限信息确认所述操作访问请求的目标信息是否合法。
[0013]相应地,本发明实施例还提供了一种云平台服务的权限管理装置,所述权限管理装置包括:
[0014]操作访问获取模块,用于获取调用方的操作访问请求,所述操作访问请求中包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息中包括本次会话信息;
[0015]会话判断模块,用于确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效;
[0016]权限校验模块,用于对所述操作访问请求进行权限校验,其中若会话判断模块确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效,则所述权限校验包括:
[0017]确认所述会话信息是否合法;
[0018]分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;
[0019]根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;
[0020]根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法。
[0021]相应的,本发明实施例还提供了一种云平台服务的调用装置,所述调用装置包括:
[0022]间接操作请求模块,用于向目标云平台服务发送操作访问请求,所述操作访问请求中包括操作信息、目标信息和调用方的会话信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始初始会话信息,以使所述目标云平台服务根据所述调用方的会话信息对所述操作访问请求进行权限校验。
[0023]相应的,本发明实施例还提供了一种云平台服务的账户鉴权系统,所述账户鉴权系统包括:
[0024]权限校验获取模块,用于从目标云平台服务获取间接服务鉴权请求,所述间接服务鉴权请求包括调用方的操作访问请求和所述调用方的会话信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息;
[0025]间接服务鉴权模块,对所述调用方的操作访问请求和所述调用方的会话信息进行权限校验,所述权限校验包括:
[0026]确认所述会话信息是否合法;
[0027]分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;
[0028]根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;
[0029]根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法;
[0030]权限校验返回模块,用于向所述目标云平台服务返回所述权限校验的结果。
[0031]相应的,本发明实施例还提供了一种云平台服务的权限管理系统,其特征在于,所述权限管理系统包括如前文所述的云平台服务的权限管理装置和云平台服务的调用装置,其中:
[0032]所述云平台服务的调用装置用于向目标云平台服务发送操作访问请求,所述操作访问请求中包括操作信息、目标信息和调用方的会话信息,所述调用方的会话信息中包括本次会话信息;
[0033]所述云平台服务的权限管理装置用于获取所述云平台服务的调用装置发送的操作访问请求,确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效;对所述操作访问请求进行权限校验,所述权限校验包括:确认所述会话信息是否合法;分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法。
[0034]本发明实施例通过在发送间接调用目标云平台服务资源的操作访问请求时携带调用方的初始会话信息,目标云平台服务从而可以通过对直接调用方和初始用户的两方面校验,确保操作访问请求在合法权限范围之内,保证了在错综复杂的云平台环境中,云平台服务和第三方资源的整体安全。

【专利附图】

【附图说明】
[0035]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0036]图1是本发明第一实施例中的一种云平台服务的权限管理方法的流程示意图;
[0037]图2是本发明第二实施例中的云平台服务的权限管理方法的流程示意图;
[0038]图3是本发明第三实施例中的云平台服务的权限管理方法的流程示意图;
[0039]图4是本发明第四实施例中的云平台服务的权限管理方法的流程示意图;
[0040]图5是本发明实施例中的云平台服务的权限管理装置的结构示意图;
[0041]图6是本发明实施例中的云平台服务的调用装置的结构示意图;
[0042]图7是本发明实施例中的云平台服务的账户鉴权系统的结构示意图;
[0043]图8是本发明实施例中的云平台服务的权限管理系统的结构示意图。

【具体实施方式】
[0044]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0045]图1是本发明第一实施例中的一种云平台服务的权限管理方法的流程示意图,本实施例中的方法流程可以在目标云平台服务即被调用的云平台服务上实现,如图所示本实施例中的方法流程至少包括:
[0046]S101,目标云平台服务获取调用方的操作访问请求,所述操作访问请求中包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息中包括本次会话信息。具体的,本实施例中的所述调用方可以为所述目标云平台服务的直接用户,也可以为调用目标云平台服务的另一云平台服务,这里作为调用方的云平台服务的登陆账户作为目标云平台服务的直接用户,而作为调用方的云平台服务的用户在本发明中称之为初始用户,对于调用方为直接用户的,直接用户与初始用户为同一对象。所述操作访问请求中的操作信息可以包括操作类型,所述操作访问请求中的目标信息可以包括操作目的服务信息(例如操作访问需调用的 appid, applicat1n identificat1n)和操作目的 IP (InternetProtocol,网络协议,这里指操作访问的目标网络协议地址),所述调用方的会话信息为所述调用方预先在目标云平台服务登陆成功后目标云平台服务向其返回的会话信息,用于登陆后调用方与目标云平台服务之间的通信会话,所述本次会话信息可以包括调用方的用户信息、会话标识、会话源IP、会话目的IP等。
[0047]S102,目标云平台服务确认所述会话信息中是否包括所述调用方的初始会话信息并且所述初始会话信息有效。本发明实施例中,若所述调用方的会话信息中不包括调用方的初始会话信息或所述初始会话信息无效,则表示所述调用方为直接用户,反之若所述调用方的会话信息中包括调用方的初始会话信息,则表示所述调用方为间接用户,所述初始用户的初始会话信息为初始用户在所述调用方所属的初始云平台服务进行登陆过程中获取到的会话信息,与前文所述本次会话信息类似可以包括所述初始用户的用户信息、会话标识、会话源IP、会话目的IP等,用于登陆成功后初始用户与初始云平台服务之间的通信会话。其中判断所述初始会话信息是否有效,可以通过判断所述初始会话信息中的会话标识是否有效,例如会话标识为O或为空则为无效,进而可以判断初始会话信息无效,否则为有效,也可以通过判断初始会话信息信息是否与所述调用方的本次会话信息的内容一致,若一致则可以确认初始会话信息无效,反之为有效。若所述会话信息中包括所述调用方的初始会话信息并且有效,则表示调用方发送的操作访问请求为间接调用,执行S103?S105的权限校验过程,否则执行S106?S107的权限校验过程。需要指出的是,上述两种的权限校验过程均可以在所述目标云平台服务中执行,也可以为目标云平台服务通过将包括调用方的会话信息和操作访问请求的间接服务鉴权请求或直接服务鉴权请求交由账户鉴权系统进行S103?S105或S106?S107的权限校验过程,目标云平台服务再从账户鉴权系统获取权限校验结果。
[0048]S103,确认所述会话信息是否合法。具体实现中,可以通过判断所述操作访问请求中的会话信息是否与在所述调用方登陆时建立的会话信息一致,若是,则确认所述会话信息合法,反之为不合法。需要指出的是,在其他可选实施例中,可以先执行S103或S107后再执行S102,完全不影响本发明的实现。
[0049]S104,分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息。所述调用方的权限信息和所述初始用户的权限信息可以为目标云平台服务为调用方本次登陆确认的权限信息列表,例如可以为在调用方向目标云平台服务的登陆过程中目标云平台服务从账户鉴权系统处连同调用方的会话信息和登陆鉴权结果一齐获取到的,内容包括调用方和初始用户各自对应的操作类型权限、多个可操作的目的服务(如appid)以及各操作目的服务的可操作范围(如采用IP代表)等。若目标云平台服务在本地保存了从账户鉴权系统获取到的调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息,则目标云平台服务可以在本地完成所述权限校验,否则可以将操作访问请求发送给账户鉴权系统进行所述权限校验。
[0050]S105,根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作信息是否在所述权限信息列表中,若是则确认所述操作信息为合法,例如合法的操作类型。
[0051]S106,根据所述初始用户的权限信息确认所述操作访问请求的目标信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作目的服务信息和操作目的IP是否在所述初始用户的权限信息列表中,进而还可以查询所述操作目的IP是否属于操作目的app的可访问接口,若均得到肯定判断结果则确认所述操作访问请求中的目标信息合法。在S103?S105均得到肯定的结果后,则确认所述调用方的操作访问请求合法,进而可以响应调用方的操作访问请求,进而将操作结果返回给所述调用方,若S103中发现调用方的会话信息不合法则可以向调用方返回会话超时或不存在的提示消息,若S104?S105发现操作访问请求中的操作信息或目标信息不合法,则向调用方返回操作失败的消息。
[0052]S107,确认所述会话信息是否合法。同S103,此处不再赘述。
[0053]S108,根据所述本次会话信息获取所述调用方的权限信息。与步骤S104类似,所述调用方的权限信息可以为目标云平台服务为调用方本次登陆确认的一个权限信息列表,例如可以为在调用方向目标云平台服务的登陆过程中目标云平台服务从账户鉴权系统处连同调用方的会话信息和登陆鉴权结果一齐获取到的,内容包括调用方的操作类型权限、多个可操作的目的服务(如appid)以及各操作目的服务的可操作范围(如采用IP代表)等。
[0054]S109,根据所述调用方的权限信息确认所述操作访问请求的操作信息和目标信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作信息和目标信息是否在所述调用方的权限信息列表中,若是则确认操作访问请求中的操作信息和目标信息合法。
[0055]图2是本发明第二实施例中的云平台服务的权限管理方法的流程示意图,本实施例描述的是直接调用云平台服务的权限管理过程,调用方与初始用户为同一对象,如图所示本实施例的方法流程包括:
[0056]S201,初始用户向初始云平台服务发送直接登陆请求,所述直接登陆请求包括所述初始用户的登陆验证信息,所述登陆验证信息可以包括所述初始用户的用户名和密码等。本发明实施例中的初始用户可以通过个人电脑、移动终端等互联网终端与所述云平台服务进行通信和获取服务。
[0057]S202,初始云平台服务将所述初始用户的登陆验证信息发送至账户鉴权系统。在其他可选实施例中,云平台服务也可以独立完成用户的登陆校验过程,无需通过账户鉴权系统的校验。
[0058]S203,账户鉴权系统对所述初始用户的登陆验证信息进行登陆校验,若登陆校验通过,则建立所述初始用户的初始会话信息。对所述初始用户的登陆验证信息进行登陆校验可以为与预存的登陆验证信息进行比较,若一致则登陆校验通过。所述初始会话信息可以包括所述初始用户的用户信息(如用户名、用户IP等)、会话ID (用于方便查找会话信息)等,所述初始会话信息的有效期限可以设置为当次登陆有效,或一天、一周等,当超过有效期限,所述初始会话信息失效。
[0059]S204,账户鉴权系统将所述初始会话信息返回给初始云平台服务。
[0060]S205,初始云平台服务将所述初始会话信息返回给所述初始用户。
[0061]S206,初始用户向初始云平台服务发送操作访问请求,所述操作访问请求中包括操作信息、目标信息以及所述初始用户的初始会话信息。
[0062]S207,初始云平台服务将所述操作访问请求发送给账户鉴权系统。在其他可选实施例中,云平台服务也可以独立完成用户的操作访问请求的权限的校验过程,无需通过账户鉴权系统的校验。
[0063]S208,账户鉴权系统对所述操作访问请求进行权限校验,包括确认所述初始会话信息是否合法,根据所述初始会话信息获取所述初始用户的权限信息以及根据所述初始用户的权限信息确认所述操作访问请求的操作信息和目标信息是否合法。其中确认所述初始会话是否合法即为确认所述初始会话信息是否与在所述初始用户登陆时建立的初始会话信息一致,若一致则为合法,进而可以通过判断所述操作访问请求中的操作信息和目标信息是否在所述初始用户的权限信息列表中,若是则确认操作访问请求中的操作信息和目标息合法。
[0064]S209,账户鉴权系统将权限校验结果返回给初始云平台服务。
[0065]S210,初始云平台服务将操作结果返回给所述初始用户。具体的,若权限校验结果确认所述初始用户的操作访问请求合法,则可以响应调用方的操作访问请求,进而将操作结果返回给所述调用方,即初始用户,若校验结果确定初始会话信息不合法则可以向初始用户返回会话超时或不存在的提示消息,若校验结果确认操作访问请求中的操作信息或目标信息不合法,则向初始用户返回操作失败的消息。
[0066]图3是本发明第三实施例中的云平台服务的权限管理方法的流程示意图,本实施例描述的是间接调用云平台服务的权限管理过程,初始用户通过登陆另一云平台服务作为调用方,如图所示本实施例的方法流程包括:
[0067]S301,初始用户向初始云平台服务发出发起间接服务的操作访问。具体实现中,所述初始用户已经预先完成到初始云平台服务的登陆过程,所述发起间接服务的操作访问携带所述初始用户的初始会话信息、操作信息以及目标信息,其中所述初始会话信息为初始用户在向初始云平台服务的登陆过程中获取到的,可以包括所述初始用户的用户信息、会话标识、会话源IP、会话目的IP等,所述操作信息和/或目标信息需要调用到目标云平台服务的资源。
[0068]S302,初始云平台服务根据初始用户的操作访问向目标云平台服务发出间接登陆请求,所述间接登陆请求包括调用方的登陆验证信息和所述初始会话信息,所述登陆验证信息可以为所述初始用户通过所述初始云平台服务输入的登陆用户名和密码等。
[0069]S303,目标云平台服务将所述调用方的登录验证信息和所述初始会话信息发送至账户鉴权系统。
[0070]S304,账户鉴权系统对所述调用方的登陆验证信息和初始会话信息进行登陆校验,其中可以将调用方的登陆验证信息和初始会话信息与预存的登陆验证信息和初始会话信息进比较,若一致则登陆校验通过,进而若所述初始会话信息不是保存在账户鉴权系统而是保存在外部系统,账户鉴权系统则可以去到保存所述初始会话信息的外部系统进行外部校验。若登陆校验成功,则生成所述调用方的会话信息,包括所述调用方的本次会话信息和初始会话信息,其中所述调用方的本次会话信息可以包括调用方的用户信息、会话标识、会话源IP、会话目的IP等。
[0071]S305,账户鉴权系统将所述调用方的会话信息返回给所述目标云平台服务。具体的,账户鉴权系统在对目标云平台服务发送的登录验证信息和初始会话信息进行登陆校验后,无论校验成功与否都可以将校验结果返回给目标云平台服务,若登陆校验成功则可以将校验结果携带调用方的会话信息返回给所述目标云平台服务,可选的同时还可以携带所述调用方的权限信息以及所述初始用户的权限信息。
[0072]S306,目标云平台服务将调用方的会话信息返回给初始云平台服务。具体的,目标云平台服务将间接登陆的校验结果返回给初始云平台服务,若登陆校验成功,则可以将获取到的调用方的会话信息一起返回给初始云平台服务。
[0073]S307,初始用户向初始云平台服务发出后续访问操作,所述后续访问操作同样携带所述初始用户的初始会话信息、操作信息以及目标信息,其中所述所述操作信息和/或目标信息需要调用到目标云平台服务的资源。
[0074]S308,初始云平台服务向目标云平台服务发出操作访问请求,所述操作访问请求包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息。
[0075]S309,目标云平台服务向账户鉴权系统发送间接服务鉴权请求,所述间接服务鉴权请求包括所述操作访问请求和所述调用方的会话信息。
[0076]S310,所述账户鉴权系统对所述操作访问请求和所述调用方的会话信息进行所述权限校验,本实施例中的权限校验进一步可以包括:
[0077]I)确认所述会话信息是否合法。具体实现中,可以通过判断所述操作访问请求中的会话信息是否与在所述调用方登陆时建立的会话信息一致,若是,则确认所述会话信息合法,反之为不合法。
[0078]2)分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息。其中所述调用方的权限信息和所述初始用户的权限信息可以为在调用方向目标云平台服务的登陆过程中账户鉴权系统分别根据调用方的用户信息和初始用户的用户信息确认的,内容包括调用方和初始用户各自对应的操作类型权限、多个可操作的目的服务(如appid)以及各操作目的服务的可操作范围(如采用IP代表)等。
[0079]3)根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作信息是否在所述调用方的的权限信息中的权限信息列表中,若是则确认所述操作信息为合法,例如合法的操作类型。
[0080]4)根据所述初始用户的权限信息确认所述操作访问请求的目标信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作目的服务信息和操作目的IP是否在所述初始用户的权限信息列表中,进而还可以查询所述操作目的IP是否属于操作目的app的可访问接口,若均得到肯定判断结果则确认所述操作访问请求中的目标信息合法。
[0081]若上述三步校验均通过,则账户鉴权系统通过对所述操作访问请求和所述调用方的会话信息进行的权限校验。
[0082]S311,账户鉴权系统将权限校验的结果返回给所述目标云平台服务。
[0083]S312,目标云平台服务根据账户鉴权系统返回的权限校验结果向初始云平台服务返回操作结果。具体的,若账户鉴权系统确认所述调用方的操作访问请求合法,则目标云平台服务可以响应调用方的操作访问请求,进而将操作结果返回给所述调用方,若账户鉴权系统返回的权限校验结果中确认调用方的会话信息不合法,目标云平台服务则可以向调用方返回会话超时或不存在的提示消息,若账户鉴权系统返回的权限校验结果中确认操作访问请求中的操作信息或目标信息不合法,目标云平台服务则向调用方返回操作失败的消肩、O
[0084]S313,初始云平台服务向初始用户返回操作结果。
[0085]图4是本发明第四实施例中的云平台服务的权限管理方法的流程示意图,本实施例描述的是另一个间接调用云平台服务的权限管理过程,初始用户通过登陆另一云平台服务作为调用方,如图所示本实施例的方法流程包括:
[0086]S401?S403与前一实施例中的S301?S303相同,本实施例中不再赘述。
[0087]S404,账户鉴权系统对所述调用方的登陆验证信息和初始会话信息进行登陆校验,其中可以将调用方的登陆验证信息和初始会话信息与预存的登陆验证信息和初始会话信息进比较,若一致则登陆校验通过,进而若所述初始会话信息不是保存在账户鉴权系统而是保存在外部系统,账户鉴权系统则可以去到保存所述初始会话信息的外部系统进行外部校验。若登陆校验成功,则生成所述调用方的会话信息,包括所述调用方的本次会话信息和初始会话信息,并分别根据调用方的本次会话信息和初始会话信息确认所述调用方的权限信息以及所述初始用户的权限信息。
[0088]S405,账户鉴权系统将所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息返回给所述目标云平台服务。具体的,账户鉴权系统在对目标云平台服务发送的登录验证信息和初始会话信息进行登陆校验后,无论校验成功与否都可以将校验结果返回给目标云平台服务,若登陆校验成功则可以将校验结果携带调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息返回给所述目标云平台服务。
[0089]S406,目标云平台服务将调用方的会话信息返回给初始云平台服务。具体的,目标云平台服务将间接登陆的校验结果返回给初始云平台服务,若登陆校验成功,则可以将获取到的调用方的会话信息一起返回给初始云平台服务。
[0090]S407,目标云平台服务保存账户鉴权系统返回的所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息。
[0091]S408?S409初始用户向初始云平台服务发出后续访问操作,初始云平台服务向目标云平台服务发出操作访问请求,与前一实施例中的S307和S308相同,本实施例中不再赘述。
[0092]S410,目标云平台服务对获取到的操作访问请求中的所述操作访问请求和所述调用方的会话信息进行所述权限校验,由于本实施例中S407目标云平台服务已将本次调用方登陆时获取到的调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息保存在本地,因此可以在本地实现对操作访问请求进行权限校验,本实施例中的权限校验进一步可以包括:
[0093]I)确认所述会话信息是否合法。具体实现中,目标云平台服务可以通过判断所述操作访问请求中的会话信息是否与在所述调用方登陆时建立的会话信息一致,若是,则确认所述会话信息合法,反之为不合法。
[0094]2)分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息。所述调用方的权限信息和所述初始用户的权限信息可以为目标云平台服务为调用方本次登陆确认的一个权限信息列表,本实施例中可以为在调用方向目标云平台服务的登陆过程中目标云平台服务从账户鉴权系统处连同调用方的会话信息和登陆鉴权结果一齐获取到的,内容包括调用方和初始用户各自对应的操作类型权限、多个可操作的目的服务(如appid)以及各操作目的服务的可操作范围(如采用IP代表)等。
[0095]3)根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法。具体实现中,目标云平台服务可以通过判断所述操作访问请求中的操作信息是否在所述调用方的的权限信息中的权限信息列表中,若是则确认所述操作信息为合法,例如合法的操作类型。
[0096]4)根据所述初始用户的权限信息确认所述操作访问请求的目标信息是否合法。具体实现中,目标云平台服务可以通过判断所述操作访问请求中的操作目的服务信息和操作目的IP是否在所述初始用户的权限信息列表中,进而还可以查询所述操作目的IP是否属于操作目的app的可访问接口,若均得到肯定判断结果则确认所述操作访问请求中的目标
息合法。
[0097]若上述三步校验均通过,则目标云平台服务通过对所述操作访问请求和所述调用方的会话信息进行的权限校验。
[0098]S411,目标云平台服务根据权限校验结果向初始云平台服务返回操作结果。具体的,若目标云平台服务经S410确认所述调用方的操作访问请求合法,则可以响应调用方的操作访问请求,进而将操作结果返回给所述调用方,若目标云平台服务经S410确认调用方的会话信息不合法,则可以向调用方返回会话超时或不存在的提示消息,若目标云平台服务经S410确认操作访问请求中的操作信息或目标信息不合法,则可以向调用方返回操作失败的消息。
[0099]S412,初始云平台服务向初始用户返回操作结果。
[0100]图5是本发明实施例中的云平台服务的权限管理装置的结构示意图,本发明实施例中的权限管理装置可以实现在被间接调用的目标云平台服务的后台,如图所示本发明实施例中的权限管理装置可以包括:
[0101]间接登陆获取模块510,用于获取所述调用方的间接登陆请求,所述间接登陆请求包括所述调用方的登陆验证信息和所述初始会话信息。具体实现中,可以为初始用户通过初始云平台服务作为所述发送间接登陆请求的调用方,所述登陆验证信息可以为所述初始用户通过初始云平台服务输入的用户名和密码等,所述初始会话信息为初始用户在所述调用方所属的初始云平台服务进行登陆过程中获取到的会话信息,可以包括所述初始用户的用户信息、会话标识、会话源IP、会话目的IP等,用于登陆成功后初始用户与初始云平台服务之间的通信会话,所述登陆验证信息可以为所述初始用户通过所述初始云平台服务输入的用于向目标云平台服务发起登陆的登陆用户名和密码等。
[0102]间接登陆校验模块520,用于对所述调用方的登陆验证信息和所述初始会话信息进行登陆校验,若登陆校验通过,则获取所述调用方的会话信息,还可以获取所述调用方的权限信息以及所述初始用户的权限信息。具体的,间接登陆校验模块520可以将调用方的登陆验证信息和初始会话信息与预存的登陆验证信息和初始会话信息进比较,若一致则登陆校验通过,进而若所述初始会话信息不是保存在账户鉴权系统而是保存在外部系统,间接登陆校验模块520则可以前往保存所述初始会话信息的外部系统进行外部校验。若登陆校验成功,则获取所述调用方的会话信息,进而还可以根据所述调用方的会话信息获取所述调用方的权限信息以及所述初始用户的权限信息。可选的,间接登陆校验模块520可以包括:
[0103]登陆校验请求单元,用于向账户鉴权系统发送所述调用方的登陆验证信息和所述初始会话信息,以使所述账户鉴权系统对所述调用方的登陆验证信息和所述初始会话信息进行校验,并且若校验通过,则所述账户鉴权系统建立所述调用方的会话信息。
[0104]会话信息获取单元,用于从所述账户鉴权系统获取所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息。即间接登陆校验模块520可以将登录校验交由账户鉴权系统完成,每次接收到调用方的间接登录请求时可以将调用方的登录验证信息和初始会话信息通过登录校验请求单元发送至账户鉴权系统进行登陆校验,然后通过会话信息获取单元从账户鉴权系统获取登录校验的结果,若校验成功,则可以从账户鉴权系统获取所述调用方的会话信息,进而还可以获取所述调用方的权限信息以及所述初始用户的权限信息。
[0105]登陆结果返回模块530,用于向所述调用方返回所述会话信息。具体的,登陆结果返回模块530可以将间接登陆的校验结果返回给调用方所在的初始云平台服务,若登陆校验成功,则可以将获取到的调用方的会话信息一起返回给初始云平台服务。
[0106]操作访问获取模块540,用于获取调用方的操作访问请求,所述操作访问请求中包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息包括本次会话信息,还可以包括调用方的初始会话信息。
[0107]会话判断模块550,用于确认所述会话信息中是否包括所述调用方的初始会话信息并且所述初始会话信息有效。本发明实施例中,若所述调用方的会话信息中不包括调用方的初始会话信息或所述初始会话信息无效,则表示所述调用方为初始用户,所述调用为直接调用,反之若所述调用方的会话信息中包括调用方的初始会话信息,则表示所述调用方为间接用户,例如初始用户通过初始云平台服务向目标云平台服务发出的操作访问请求,所述初始用户的初始会话信息为初始用户在所述调用方所属的初始云平台服务进行登陆过程中获取到的会话信息,用于进行在登陆后与初始云平台服务之间的通信会话,可以包括所述初始用户的用户信息、会话标识、会话源IP、会话目的IP等。其中判断所述初始会话信息是否有效,可以通过判断所述初始会话信息中的会话标识是否有效,例如会话标识为O或为空则为无效,进而可以判断初始会话信息无效,否则为有效,也可以通过判断初始会话信息信息是否与所述调用方的本次会话信息的内容一致,若一致则可以确认初始会话信息无效,反之为有效。
[0108]权限校验模块560,用于对所述操作访问请求进行权限校验。
[0109]具体实现中,若目标云平台服务在本地保存了获取到的调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息,则权限校验模块560可以在本地完成所述权限校验,反之则可以将操作访问请求发送给账户鉴权系统进行所述权限校验。其中若会话判断模块550判断所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效,则所述权限校验包括如下:
[0110]I)确认所述会话信息是否合法。具体实现中,可以通过判断所述操作访问请求中的会话信息是否与在所述调用方登陆时建立的会话信息一致,若是,则确认所述会话信息合法,反之为不合法。需要指出的是,在可选实施例中,可以先由权限校验模块560确认所述会话信息合法后再由会话判断模块550判断断所述会话信息中是否包括所述调用方的初始会话信息。
[0111]2)分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息。所述调用方的权限信息和所述初始用户的权限信息为在调用方向目标云平台服务的登陆过程中间接登陆校验模块520获取到的,内容包括调用方和初始用户各自对应的操作类型权限、多个可操作的目的服务(如appid)以及各操作目的服务的可操作范围(如采用IP代表)等。
[0112]3)根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作信息是否在所述权限信息列表中,若是则确认所述操作信息为合法,例如合法的操作类型。
[0113]4)根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法。具体实现中,可以通过判断所述操作访问请求中的操作目的服务信息和操作目的IP是否在所述初始用户的权限信息列表中,进而还可以查询所述操作目的IP是否属于操作目的app的可访问接口,若均得到肯定判断结果则确认所述操作访问请求中的目标信息合法。
[0114]另一方面,若会话判断模块550确认所述会话信息中不包括所述调用方的初始会话信息或所述初始会话信息无效,则权限校验模块560对所述操作访问请求进行的权限校验可以包括:
[0115]I)确认所述会话信息是否合法。具体实现中,可以通过判断所述操作访问请求中的会话信息是否与在所述调用方登陆时建立的会话信息一致,若是,则确认所述会话信息合法,反之为不合法。需要指出的是,在可选实施例中,可以先由权限校验模块560确认所述会话信息合法后再由会话判断模块550判断断所述会话信息中是否包括所述调用方的初始会话信息。
[0116]2)根据所述本次会话信息获取所述调用方的权限信息。所述调用方的权限信息为在调用方向目标云平台服务的登陆过程中间接登陆校验模块520获取到的,内容包括调用方的操作类型权限、多个可操作的目的服务(如appid)以及各操作目的服务的可操作范围(如采用IP代表)等。
[0117]3)根据所述调用方的权限信息确认所述操作访问请求的操作信息和目标信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作信息和目标信息是否在所述调用方的权限信息列表中,若是则确认操作访问请求中的操作信息和目标信息合法。
[0118]在可选实施例中,权限校验模块560可以进一步包括:
[0119]权限校验请求单元,用于向账户鉴权系统发送间接服务鉴权请求,所述间接服务鉴权请求包括所述操作访问请求和所述调用方的会话信息,以使所述账户鉴权系统对所述操作访问请求和所述调用方的会话信息进行所述权限校验。具体的,可以只在目标云平台服务未在本地保存所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息时,目标云平台服务的权限校验模块560由权限校验请求单元向账户鉴权系统发送间接服务鉴权请求,执行前文所述的权限校验。
[0120]权限校验获取单元,用于从所述账户鉴权系统获取所述权限校验的结果。
[0121]图6是本发明实施例中的云平台服务的调用装置的结构示意图,本实施例中的调用装置可以实现在根据已登录的初始用户的操作访问向目标云平台服务发起间接调用的初始云平台服务的后台,如图所示本发明实施例中的调用装置可以包括:
[0122]直接登陆获取模块610,用于获取初始用户的直接登陆请求,所述直接登陆请求包括所述初始用户的登陆验证信息,所述登陆验证信息可以包括所述初始用户的用户名和密码等。本发明实施例中的初始用户可以通过个人电脑、移动终端等互联网终端与所述云平台服务进行通信和获取服务。
[0123]直接登陆校验模块620,用于对所述初始用户的登陆验证信息进行登陆校验,若登陆校验通过,则获取所述初始用户的初始会话信息,可以包括所述初始用户的用户信息、会话标识、会话源IP、会话目的IP等,用于登陆成功后初始用户与初始云平台服务之间的通信会话。本实施例中的直接登陆校验模块620可以进一步包括登陆校验请求单元和初始会话获取单元,其中:
[0124]登陆校验请求单元用于向账户鉴权系统发送所述初始用户的登陆验证信息,以使所述账户鉴权系统对初始用户的登陆验证信息进行校验,并且若校验通过,则所述账户鉴权系统建立所述初始用户的初始会话信息。具体实现中,账户鉴权系统对所述初始用户的登陆验证信息进行登陆校验可以为与预存的登陆验证信息进行比较,若一致则登陆校验通过。所述初始会话信息可以包括所述初始用户的用户信息(如用户名、用户IP等)、会话ID(用于方便查找会话信息)等,所述初始会话信息的有效期限可以设置为当次登陆有效,或一天、一周等,当超过有效期限,所述初始会话信息失效。
[0125]初始会话获取单元用于在所述账户鉴权系统对所述初始用户的登陆验证信息校验通过后,从所述账户鉴权系统获取所述初始会话信息。
[0126]需要指出的是,在其他可选实施例中,直接登陆校验模块620也可以独立完成用户的登陆校验过程,无需通过账户鉴权系统进行登陆校验。
[0127]间接登陆请求模块630,用于向目标云平台服务发送间接登陆请求,所述间接登陆请求包括所述调用方的登陆验证信息和所述初始会话信息,以使所述目标云平台服务对所述调用方的登陆验证信息和所述初始会话信息进行登陆校验,所述登陆验证信息可以为所述初始用户通过所述初始云平台服务输入的登陆用户名和密码等。
[0128]登陆结果获取模块640,用于当所述目标云平台服务的登陆校验通过后从所述目标云平台服务获取所述调用方的会话信息。具体实现中,目标云平台服务对所述调用方的登陆验证信息和所述初始会话信息进行登陆校验后,若登陆校验成功,则会建立或从账户鉴权系统获取所述调用方的会话信息,并将间接登录校验结果返回给云平台服务的调用装置的登陆结果获取模块640,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息。
[0129]间接操作请求模块650,用于向目标云平台服务发送操作访问请求,所述操作访问请求中包括操作信息、目标信息和调用方的会话信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息,以使所述目标云平台服务根据所述调用方的会话信息对所述操作访问请求进行权限校验。具体实现中,初始用户在预先通过完成到初始云平台服务的登陆时从直接登陆校验模块620获取到所述初始会话信息,然后向初始云平台服务发送所述发起间接服务的操作访问,携带所述初始用户的初始会话信息、操作信息以及目标信息,所述操作信息和/或目标信息需要调用到目标云平台服务的资源,间接操作请求模块650根据所述初始用户发送的操作访问向目标云平台服务发送所述操作访问请求,所述操作访问请求中包括操作信息、目标信息和调用方的会话信息,进而所述目标云平台服务获取到所述操作访问请求后,可以确认所述会话信息是否合法,进而分别根据所述本次会话信息和初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息,然后根据所述根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法,以及根据所述初始用户的权限信息确认所述操作访问请求的目标信息是否合法。
[0130]图7是本发明实施例中的云平台服务的账户鉴权系统的结构示意图,如图所示本发明实施例中的账户鉴权系统可以包括:
[0131]直接登陆校验模块710,用于获取所述调用方所属云平台服务发送的所述调用方的初始用户的登陆验证信息,对所述初始用户的登陆验证信息进行校验,若校验通过,则建立所述初始用户的初始会话信息。具体实现中,对所述初始用户的登陆验证信息进行登陆校验可以为与预存的登陆验证信息进行比较,若一致则登陆校验通过。所述初始会话信息可以包括所述初始用户的用户信息(如用户名、用户IP等)、会话ID (随机生成,用于方便查找会话信息)等,所述初始会话信息的有效期限可以设置为当次登陆有效,或一天、一周等,当超过有效期限,所述初始会话信息失效。
[0132]初始会话返回模块720,用于向所述调用方所属云平台服务发送所述初始会话信肩、O
[0133]间接登陆校验模块730,用于从目标云平台服务获取调用方的登陆验证信息和初始会话信息,对所述调用方的登陆验证信息和所述初始会话信息进行校验,若校验通过,则建立所述调用方的会话信息,还可以根据所述调用方的会话信息确认所述调用方的权限信息和所述初始用户的权限信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息。具体实现中,可以将调用方的登陆验证信息和初始会话信息与账户鉴权系统预存的登陆验证信息和初始会话信息进比较,若一致则登陆校验通过,进而若所述初始会话信息不是保存在账户鉴权系统而是保存在外部系统,间接登陆校验模块730可以前往保存所述初始会话信息的外部系统进行外部校验。若登陆校验成功,则生成所述调用方的会话信息,其中本次会话信息用于登陆后调用方与目标云平台服务之间的通信会话,内容可以包括调用方的用户信息、会话标识、会话源IP、会话目的IP等,所述初始会话信息可以为初始用户在所述调用方所属的初始云平台服务进行登陆过程中获取到的会话信息,可以包括所述初始用户的用户信息、会话标识、会话源IP、会话目的IP等,用于登陆成功后初始用户与初始云平台服务之间的通信会话。
[0134]会话信息返回模块740,用于向所述目标云平台服务返回所述调用方的会话信息,进一步还可以向向所述目标云平台服务返回所述调用方的权限信息以及所述初始用户的权限信息。具体的,会话信息返回模块740在对目标云平台服务发送的登录验证信息和初始会话信息进行登陆校验后,无论校验成功与否都可以将校验结果返回给目标云平台服务,若登陆校验成功则可以将校验结果携带调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息返回给所述目标云平台服务。
[0135]权限校验获取模块750,用于从目标云平台服务获取间接服务鉴权请求,所述间接服务鉴权请求包括调用方的操作访问请求和所述调用方的会话信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息;
[0136]间接服务鉴权模块760,对所述调用方的操作访问请求和所述调用方的会话信息进行权限校验,所述权限校验包括:
[0137]I)确认所述会话信息是否合法。具体实现中,可以通过判断所述操作访问请求中的会话信息是否与在所述调用方登陆时建立的会话信息一致,若是,则确认所述会话信息合法,反之为不合法。
[0138]2)分别根据所述本次会话信息和初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息。所述调用方的权限信息和所述初始用户的权限信息的内容可以包括调用方和初始用户各自对应的操作类型权限、多个可操作的目的服务(如appid)以及各操作目的服务的可操作范围(如采用IP代表)等。
[0139]3)根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法。具体实现中,可以通过判断所述操作访问请求中的操作信息是否在所述调用方的的权限信息中的权限信息列表中,若是则确认所述操作信息为合法,例如合法的操作类型。
[0140]4)根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法。具体实现中,可以通过判断所述操作访问请求中的操作目的服务信息和操作目的IP是否在所述初始用户的权限信息列表中,进而还可以查询所述操作目的IP是否属于操作目的app的可访问接口,若均得到肯定判断结果则确认所述操作访问请求中的目标信息合法。
[0141]权限校验返回模块770,用于向所述目标云平台服务返回所述权限校验的结果。
[0142]图8是本发明实施例中的云平台服务的权限管理系统的结构示意图。如图所述本发明实施例中的云平台服务的权限管理系统至少可以包括云平台服务的权限管理装置810和云平台服务的调用装置820,其中:
[0143]所述云平台服务的调用装置810可以为如前文实施例结合图6所描述的云平台服务的调用装置,可以实现在根据已登录的初始用户的操作访问向目标云平台服务发起间接调用的初始云平台服务的后台,用于向目标云平台服务发送操作访问请求,所述操作访问请求中包括操作信息、目标信息和调用方的会话信息,所述调用方的会话信息中包括本次会话信息;
[0144]所述云平台服务的权限管理装置820可以如前文实施例结合图5所描述的云平台服务的权限管理装置,可以实现在被间接调用的目标云平台服务的后台,用于获取所述云平台服务的调用装置810发送的操作访问请求,确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效;对所述操作访问请求进行权限校验,所述权限校验包括:确认所述会话信息是否合法;分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法。
[0145]进一步可选的,本发明实施例中的云平台服务的权限管理系统还可以包括账户鉴权系统830,可以如前文实施例结合图7所描述的账户鉴权系统,用于从所述云平台服务的权限管理装置820获取间接服务鉴权请求,所述间接服务鉴权请求包括调用方的操作访问请求和所述调用方的会话信息,对所述调用方的操作访问请求和所述调用方的会话信息进行所述权限校验,并向所述云平台服务的权限管理装置820返回所述权限校验的结果。
[0146]本发明实施例通过在发送间接调用目标云平台服务资源的操作访问请求时携带调用方的初始会话信息,目标云平台服务从而可以通过对直接调用方和初始会话信息的两方面校验,确保操作访问请求在合法权限范围之内,保证了在错综复杂的云平台环境中,云平台服务和第三方资源的整体安全。
[0147]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random AccessMemory, RAM)等。
[0148]以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
【权利要求】
1.一种云平台服务的权限管理方法,其特征在于,所述方法包括: 目标云平台服务获取调用方的操作访问请求,所述操作访问请求中包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息中包括本次会话信息; 目标云平台服务确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效; 目标云平台服务对所述操作访问请求进行权限校验,所述权限校验包括: 确认所述会话信息是否合法; 分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息; 根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法; 根据所述初始用户的权限信息确认所述操作访问请求的目标信息是否合法。
2.如权利要求1所述的云平台服务的权限管理方法,其特征在于,所述获取调用方的服务访问请求之前还包括: 目标云平台服务获取所述调用方的间接登陆请求,所述间接登陆请求包括所述调用方的登陆验证信息和所述初始会话信息; 目标云平台服务对 所述调用方的登陆验证信息和所述初始会话信息进行登陆校验,若登陆校验通过,则获取所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息; 目标云平台服务向所述调用方返回所述会话信息。
3.如权利要求2所述的云平台服务的权限管理方法,其特征在于,所述目标云平台服务对所述调用方的登陆验证信息和所述初始会话信息进行登陆校验,若登陆校验通过,则获取所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息包括: 所述目标云平台服务向账户鉴权系统发送所述调用方的登陆验证信息和所述初始会话信息; 所述账户鉴权系统对所述调用方的登陆验证信息和所述初始会话信息进行校验,若校验通过,则建立所述调用方的会话信息并将所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息返回给所述目标云平台服务。
4.如权利要求1所述的云平台服务的权限管理方法,其特征在于,所述目标云平台服务对所述操作访问请求进行权限校验包括: 所述目标云平台服务向账户鉴权系统发送间接服务鉴权请求,所述间接服务鉴权请求包括所述操作访问请求和所述调用方的会话信息; 所述账户鉴权系统对所述操作访问请求和所述调用方的会话信息进行所述权限校验,并将权限校验的结果返回给所述目标云平台服务。
5.如权利要求1所述的云平台服务的权限管理方法,其特征在于,所述获取所述调用方的登陆请求之前还包括: 所述调用方所属的初始云平台服务获取所述初始用户的直接登陆请求,所述直接登陆请求包括所述初始用户的登陆验证信息; 所述调用方所属的初始云平台服务对所述初始用户的登陆验证信息进行登陆校验,若登陆校验通过,则获取所述初始会话信息。
6.如权利要求5所述的云平台服务的权限管理方法,其特征在于,所述调用方所属的初始云平台服务对所述初始用户的登陆验证信息进行登陆校验包括: 所述调用方所属的初始云平台服务向账户鉴权系统发送所述初始用户的登陆验证信息; 所述账户鉴权系统对初始用户的登陆验证信息进行校验,若校验通过,则建立所述初始用户的初始会话信息并将所述初始会话信息返回给所述调用方所属的初始云平台服务。
7.如权利要求1~6中任一项所述的云平台服务的权限管理方法,其特征在于,若目标云平台服务确认所述会话信息中不包括所述调用方的初始会话信息或所述初始会话信息无意义,则所述权限校验包括: 确认所述会话信息是否合法; 根据所述会话信息获取所述调用方的权限信息; 根据所述调用方的权限信息确认所述操作访问请求的操作信息和目标信息是否合法。
8.—种云平台服务的权限管理装置,其特征在于,所述权限管理装置包括: 操作访问获取模块,用于获取调用方的操作访问请求,所述操作访问请求中包括操作信息、目标信息和所述调用方的会话信息,所述调用方的会话信息中包括本次会话信息;会话判断模块,用于确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效; 权限校验模块,用于对所述操作访问请求进行权限校验,其中若会话判断模块确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效,则所述权限校验包括: 确认所述会话信息是否合法; 分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息; 根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法; 根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法。
9.如权利要求8所述的云平台服务的权限管理装置,其特征在于,所述权限管理装置还包括: 间接登陆获取模块,用于获取所述调用方的间接登陆请求,所述间接登陆请求包括所述调用方的登陆验证信息和所述初始会话信息; 间接登陆校验模块,用于对所述调用方的登陆验证信息和所述初始会话信息进行登陆校验,若登陆校验通过,则获取所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息; 登陆结果返回模块,用于向所述调用方返回所述会话信息。
10.如权利要求9所述的云平台服务的权限管理装置,其特征在于,所述间接登陆校验模块包括: 登陆校验请求单元,用于向账户鉴权系统发送所述调用方的登陆验证信息和所述初始会话信息,以使所述账户鉴权系统对所述调用方的登陆验证信息和所述初始会话信息进行校验,并且若校验通过,则所述账户鉴权系统建立所述调用方的会话信息; 会话信息获取单元,用于从所述账户鉴权系统获取所述调用方的会话信息、所述调用方的权限信息以及所述初始用户的权限信息。
11.如权利要求10所述的云平台服务的权限管理装置,其特征在于,所述权限校验模块包括: 权限校验请求单元,用于向账户鉴权系统发送间接服务鉴权请求,所述间接服务鉴权请求包括所述操作访问请求和所述调用方的会话信息,以使所述账户鉴权系统对所述操作访问请求和所述调用方的会话信息进行所述权限校验; 权限校验获取单元,用于从所述账户鉴权系统获取所述权限校验的结果。
12.如权利要求8中任一项所述的云平台服务的权限管理装置,其特征在于,若所述会话判断模块确认所述会话信息中不包括所述调用方的初始会话信息或所述初始会话信息无意义,则所述权限校验模块对所述操作访问请求进行的权限校验包括: 确认所述会话信息是否合法; 根据所述本次会话信息获取所述调用方的权限信息; 根据所述调用方的权限信息确认所述操作访问请求的操作信息和目标信息是否合法。
13.—种云平台服务的调用装置,其特征在于,所述调用装置包括: 间接操作请求模块,用于向目标云平台服务发送操作访问请求,所述操作访问请求中包括操作信息、目标信 息和调用方的会话信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息,以使所述目标云平台服务根据所述调用方的会话信息对所述操作访问请求进行权限校验。
14.如权利要求13所述的云平台服务的调用装置,其特征在于,所述调用装置还包括: 间接登陆请求模块,用于向目标云平台服务发送间接登陆请求,所述间接登陆请求包括所述调用方的登陆验证信息和所述初始会话信息,以使所述目标云平台服务对所述调用方的登陆验证信息和所述初始会话信息进行登陆校验; 登陆结果获取模块,用于当所述目标云平台服务的登陆校验通过后从所述目标云平台服务获取所述调用方的会话信息。
15.如权利要求13所述的云平台服务的调用装置,其特征在于,所述调用装置还包括: 直接登陆获取模块,用于获取初始用户的直接登陆请求,所述直接登陆请求包括所述初始用户的登陆验证信息; 直接登陆校验模块,用于对所述初始用户的登陆验证信息进行登陆校验,若登陆校验通过,则获取所述初始用户的初始会话信息。
16.如权利要求15所述的云平台服务的调用装置,其特征在于,所述直接登陆校验模块包括: 登陆校验请求单元,用于向账户鉴权系统发送所述初始用户的登陆验证信息,以使所述账户鉴权系统对初始用户的登陆验证信息进行校验,并且若校验通过,则所述账户鉴权系统建立所述初始用户的初始会话信息; 初始会话获取单元,用于在所述账户鉴权系统对所述初始用户的登陆验证信息校验通过后,从所述账户鉴权系统获取所述初始会话信息。
17.—种云平台服务的账户鉴权系统,其特征在于,所述账户鉴权系统包括:权限校验获取模块,用于从目标云平台服务获取间接服务鉴权请求,所述间接服务鉴权请求包括调用方的操作访问请求和所述调用方的会话信息,所述调用方的会话信息中包括所述调用方的本次会话信息和初始会话信息; 间接服务鉴权模块,对所述调用方的操作访问请求和所述调用方的会话信息进行权限校验,所述权限校验包括: 确认所述会话信息是否合法; 分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息; 根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法; 根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法; 权限校验返回模块,用于向所述目标云平台服务返回所述权限校验的结果。
18.如权利要求17所述的云平台服务的账户鉴权系统,其特征在于,所述账户鉴权系统还包括: 间接登陆校验模块,用于从目标云平台服务获取调用方的登陆验证信息和初始会话信息,对所述调用方的登陆验证信息和所述初始会话信息进行校验,若校验通过,则建立所述调用方的会话信息; 会话信息返回模 块,用于向所述目标云平台服务返回所述调用方的会话信息。
19.如权利要求18所述的云平台服务的账户鉴权系统,其特征在于,所述会话信息返回模块还用于向所述目标云平台服务返回所述调用方的权限信息以及所述初始用户的权限信息。
20.如权利要求17所述的云平台服务的账户鉴权系统,其特征在于,所述账户鉴权系统包括: 直接登陆校验模块,用于获取所述调用方所属云平台服务发送的所述调用方的初始用户的登陆验证信息,对所述初始用户的登陆验证信息进行校验,若校验通过,则建立所述初始用户的初始会话信息; 初始会话返回模块,用于向所述调用方所属云平台服务发送所述初始会话信息。
21.—种云平台服务的权限管理系统,其特征在于,所述权限管理系统包括如权利要求8~12中任一项所述的云平台服务的权限管理装置和如权利要求13~16中任一项所述的云平台服务的调用装置,其中: 所述云平台服务的调用装置用于向目标云平台服务发送操作访问请求,所述操作访问请求中包括操作信息、目标信息和调用方的会话信息,所述调用方的会话信息中包括本次会话信息; 所述云平台服务的权限管理装置用于获取所述云平台服务的调用装置发送的操作访问请求,确认所述会话信息中包括所述调用方的初始会话信息并且所述初始会话信息有效;对所述操作访问请求进行权限校验,所述权限校验包括:确认所述会话信息是否合法;分别根据所述本次会话信息和所述初始会话信息获取所述调用方的权限信息和所述初始用户的权限信息;根据所述调用方的权限信息确认所述操作访问请求的操作信息是否合法;根据所述初始用户的权限信息确认所述操作访问请求的目标信息合法。
22.如权利要求21所述的云平台服务的权限管理系统,其特征在于,所述权限管理系统还包括如权利要求17~20任一项所述的云平台服务的账户鉴权系统,用于从所述云平台服务的权限管理装置获取间接服务鉴权请求,所述间接服务鉴权请求包括调用方的操作访问请求和所述调用方的会话信息,对所述调用方的操作访问请求和所述调用方的会话信息进行所 述权限校验,并向所述云平台服务的权限管理装置返回所述权限校验的结果。
【文档编号】H04L29/08GK104052775SQ201310081876
【公开日】2014年9月17日 申请日期:2013年3月14日 优先权日:2013年3月14日
【发明者】徐东山 申请人:腾讯科技(深圳)有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:徐东山
  • 技术所有人:腾讯科技(深圳)有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
权限管理系统相关技术
java权限管理系统源码相关技术
java开源权限管理系统相关技术
javaweb权限管理系统相关技术
角色权限管理系统相关技术
shiro权限管理系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2