一种业务授权方法及装置与流程

文档序号:12694543阅读:223来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种业务授权方法及装置与流程

本发明涉及通信技术领域,具体涉及一种业务授权方法及装置。



背景技术:

数据访问控制(Access Control,AC)或者访问授权(Access Authorizatiion)有很多种策略(Policies),模型(Models)和机制(Mechanisms)。例如:强制访问控制(Mandatory access control,MAC),基于角色的访问控制(Role-based access control,RBAC),自主访问控制(Discretionary access control,DAC),基于上下文的访问控制(Context-based access control,CBAC)等等。

但是现有的数据访问授权机制依靠一定的业务场景,如果不依靠业务场景,就很难做到完善的业务数据访问控制,比如接收到第三方的业务授权请求时,需要解析获得该业务授权请求所针对的具体业务场景,才能确定是否具有业务数据访问权限。



技术实现要素:

本发明实施例提供一种业务授权方法及装置,可以在不依赖业务场景的情况下,完全基于业务授权请求本身的预设参数驱动,实现业务数据的访问授权。

本发明第一方面提供一种业务授权方法,可包括:

当接收到第三方的业务授权请求时,对所述业务授权请求进行解析,获得所述业务授权请求携带的目标参数的值;

根据所述目标参数中的特征参数,构建与所述业务授权请求对应的目标特征码;

根据所述目标特征码,确定所述业务授权请求映射的概念子网,所述概念子网中包括所述第三方的业务权限域中的概念实体与预访问的目标业务权限域的概念实体之间的关联关系;

将所述目标参数的值与所述概念子网中的数据进行校验,并根据校验结果确定是否能够访问所述目标业务权限域。

本发明第二方面提供一种业务授权装置,可包括:

解析模块,用于当接收到第三方的业务授权请求时,对所述业务授权请求进行解析,获得所述业务授权请求携带的目标参数的值;

构建模块,用于根据所述目标参数中的特征参数,构建与所述业务授权请求对应的目标特征码;

第一确定模块,用于根据所述目标特征码,确定所述业务授权请求映射的概念子网,所述概念子网中包括所述第三方的业务权限域中的概念实体与预访问的目标业务权限域的概念实体之间的关联关系;

第二确定模块,用于将所述目标参数的值与所述概念子网中的数据进行校验,并根据校验结果确定是否能够访问所述目标业务权限域。

实施本发明实施例,具有如下有益效果:

当接收到第三方的业务授权请求时,对业务授权请求进行解析,获得该业务授权请求携带的目标参数的值;根据目标参数中的预设参数,构建与业务授权请求对应的目标特征码,根据该目标特征码,确定业务授权请求映射的概念子网,该概念子网中包括第三方的业务权限域中的概念实体与预访问的目标业务权限域的概念实体之间的关联关系,将目标参数的值与概念子网中的数据进行校验,并根据校验结果确定是否能够访问该目标业务权限域,这种方式可以在不依赖业务场景的情况下,完全基于业务授权请求本身的预设参数驱动,实现业务数据的访问授权。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种业务授权方法的流程图;

图2为本发明实施例提供的另一种业务授权方法的流程图;

图3为本发明实施例提供的又一种业务授权方法的流程图;

图4为本发明实施例提供的一种授权域与权限域的关系;

图5为本发明实施例提供的一种概念图的结构示意图;

图6为本发明实施例提供的一种实体元的结构示意图;

图7为本发明实施例提供的一种业务授权请求的抽象描述;

图8为本发明实施例提供的一种数据授权的策略匹配流程图;

图9为本发明实施例提供的一种结果集的处理流程图;

图10为本发明实施例提供的一种业务授权装置的结构示意图;

图11为本发明实施例提供的一种第二确定模块的结构示意图;

图12为本发明实施例提供的一种确定单元的结构示意图;

图13为本发明实施例提供的一种第一确定模块的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

下面将结合附图1-附图9,对本发明实施例提供的业务授权方法进行详细介绍。

请参照图1,为本发明实施例提供的一种业务授权方法的流程图;该方法可包括以下步骤S100-步骤S103。

S100,当接收到第三方的业务授权请求时,对所述业务授权请求进行解析,获得所述业务授权请求携带的目标参数的值;

S101,根据所述目标参数中的特征参数,构建与所述业务授权请求对应的目标特征码;

本发明实施例中,数据访问授权通常限定在一定的权限域内部,当需要跨权限域进行访问时,需要采用一定的策略进行授权。比如,第三方需要对服务器的某一个目标业务权限域的数据进行访问时,需要得到该目标业务权限域的授权,这里以第三方为广告公司,该广告公司的业务即是制作各种属性的广告,而目标业务权限域即是广告投放的广告位业务方,该权限域定义广告位的各种属性以及配置投放广告的各种策略,当第三方的广告公司需要向目标业务权限域的广告位上播放广告,需要得到该目标业务权限域的授权。

下面结合附图4对权限域和授权域进行说明,各个业务权限域指的是相对独立的业务数据隐含的数据访问关系或者策略树,比如上述的广告公司制作的各种广告形成一个权限域,而广告投放的广告位形成一个权限域;服务器所有的权限域组合形成授权域,权限域实现业务数据的一般访问授权,系统权限域实现系统级别的配置策略以及数据授权结果集中出现冲突时的仲裁策略。

本发明实施例的业务授权采用业务无关的,全数据项驱动的,基于策略配置树和支持冲突仲裁的数据访问授权模型。具体的说,授权服务器不用关心业务场景或者业务细节,依据概念,实体(概念主体),关系(概念主体和主体间的依赖关系),概念图(一个或者多个相近概念实体形成的概念包),概念层(多个互相协作的概念图形成的概念层级),概念网(多层概念形成的立体概念网络),结合系统的策略配置树和冲突仲裁机制来实现业务数据的访问授权。

由于采用全数据项驱动,因此服务器不关心业务授权请求所关联的业务,只关心该业务授权请求所携带的数据,因此当服务器接收到第三方的业务授权请求时,对该业务授权请求进行解析,获得该业务授权请求携带的目标参数的值,目标参数可以包括特征参数和非特征参数,其中特征参数用于表示该业务授权请求对于数据的访问方式以及访问对象,如图7所示,即描述了业务授权请求的具体构成形式,可以对该业务授权请求进行逐步解析获得目标参数的值。

具体可选的,服务器对于业务授权请求的解析过程是,根据业务授权请求中的协议类型,以及业务授权请求的描述(特征参数集合配置,业务授权请求特征配置),对业务授权请求进行解析;其中,解析获得的目标参数包括特征参数的值和非特征参数的值,具体包括以下步骤:

1)根据业务授权请求上文的格式,确定业务授权请求的具体格式;

2)根据预设的特征参数集合配置,解析业务授权请求中的特征参数,特征参数定义了业务授权请求对于数据的访问方式(读/写/更新/删除等),访问的是什么对象等信息;

3)根据预设的业务授权请求特征配置,即预先设定的特征参数与特征码的对应关系,构造出与该业务授权请求对应的特征码(即是业务授权请求到概念映射的名称);

4)解析其它非特征参数。

举例说明如下:

例如,特征参数集合的定义如下:

上述程序中分别定义了三种特征参数,分别是"mod"、"act"以及"type"。

例如,业务授权请求特征配置定义如下:

上述程序定义了两种特征码,以及该两种特征码所对应的特征码的名称name,比如,有下面的特征参数:

url:"mod=order&act=del&g_tk=1455764208&d_p=0.9010524866093179"

body:"owner=1000&cost_type=1&cost_price=2.08&aid=13"

解析如下:

a)根据请求中url参数的值以及协议格式(key/value),在url中扫描解析key为“mod”,“act”以及“type”的特征参数;

b)url:"mod=order&act=del&g_tk=1455764208&d_p=0.9010524866093179"中解析出“mod=order”和“act=del”;

c)然后根据业务授权请求特征“service_request”集合中的定义,构造出业务授权请求的特征码“mod=order&act=del”;根据请求的特征码匹配到特征码的名称“order_del”;特征码的名称是业务授权请求到概念网络的映射桥梁;

d)最后,解析其它的非特征参数:owner,cost_type,cost_price和aid。

S102,根据所述目标特征码,确定所述业务授权请求映射的概念子网,所述概念子网中包括所述第三方的业务权限域中的概念实体与预访问的目标业务权限域的概念实体之间的关联关系;

本发明实施例中,目标特征码即是业务授权请求对应的特征码,根据该目标特征码确定该业务授权请求映射的概念子网,该概念子网是复杂的概念体系中的一部分,服务器中预先设置了多种特征码的名称与各个概念子网之间的映射关系。复杂的概念体系用于表示各个业务权限域之间的复杂关联关系。

具体可选的,概念体系包括,实体(概念主体),关系(概念主体和主体间的依赖关系),概念图(一个或者多个相近概念主体形成的概念包),概念层(多个互相协作的概念图形成的概念层级),概念网(多层概念形成的立体概念网络)等。下面的图5即描述了概念图的内容,概念图中定义了源实体和目的实体之间的关联关系,比如依赖关系。

图6描述了实体的构成(实体元),其中,实体元数据描述了实体的属性以及实体包含的域。根据目标特征码描述的概念子网即包括第三方的业务权限域中的概念实体与预访问的目标业务权限域的概念实体之间的关联关系,比如,若第三方是广告公司,广告公司的权限域包括各种广告的属性,目标权限域为提供广告位进行广告播放的业务方,预先定义了该两个权限域的实体之间需要进行访问时的一些策略,比如,提供广告位的业务方可以定义所播放广告的领域,以及还可以定义广告位的长和宽等等,而广告公司所提供的各种广告属性需要满足广告位业务方的各种属性要求才能进行授权播放,于是广告公司的各种广告属性的实体与广告位的各种属性实体之间存在一定的关联关系,该关联关系即构成概念子网。

具体可选的,把业务授权请求解析出来的数据对象映射到概念子网的详细描述如下:

1)根据业务授权请求解析构造出来的特征码的名称“order_del”,查询业务授权请求映射到的具体概念子网;

2)根据映射到的具体概念子网,依次将业务授权请求中解析出来的目标参数的值(键值对或者对象)映射到概念子网中的域(权限),数据库,实体,域(字段),以及值。可能,有些目标参数映射不到概念子网。

3)映射不到的目标参数,系统可以记录,智能学习。

例如:概念映射集合定义如下,即是特征码的名称到概念子网的映射关系:

继续以上述特征码的名称为例说明概念映射:

a)根据概念映射的定义,把特征码的名称“order_del”匹配到request_name为"order_del"的概念子网;

b)然后依次把键值对的键“aid”和“owner”映射到概念子网的实体对象为"Tbl_AdGroup_"的“FUId”和“FAId”。

S103,将所述目标参数的值与所述概念子网中的数据进行校验,并根据校验结果确定是否能够访问所述目标业务权限域。

本发明实施例中,当确定了该业务授权请求映射的概念子网后,即将目标参数也映射到了概念子网上,进一步将目标参数的值与概念子网中的数据进行检验,根据校验结果确定是否能够访问目标业务权限域。

具体可选的,校验过程可以是,遍历概念子网,判定生成授权结果集,通常校验一次,即产生一个校验结果,所有校验结果组成结果集。详细流程描述如图8所示:

1)在经过业务授权请求的概念映射后,已经确定出第三方对数据的访问方式,所在权限域,以及概念子网等。

2)根据映射后生成的概念子网,依据概念图和实体元,结合数据项及其值,从概念子网中的某个概念图开始,根据概念图中定义涉及到的实体,以及实体之间的关系,依次从概念子网中读取相关的数据和目标参数的值进行比对校验。

3)如果数据校验一致,则校验结果为通过(Y),数据校验有冲突时,校验结果为不通过(N),其它可能的结果为灰度待定(G),比如,在匹配广告位时,若广告位的长度与概念子网中预先设定的长度相同,则校验结果为通过,若不同,则校验结果为不通过。

4)概念子网遍历校验过程中,每一步遍历都可能形成一个校验结果(Y/N/G);校验结果暂时存入结果集中;

5)概念子网遍历完成后,形成一个结果集;

6)最后,对于结果集综合判断,结合系统权限域以及仲裁机制,得出最终的授权结果(Y/N)。

具体的,对结果集进行处理的方式请参照图9所示,结果集处理即是对于多个校验结果综合判定,形成最终的业务请求授权结果。

具体的处理方法如下:

1)如果结果集中的所有校验结果(Y/N)都是是一致的(Y/N),则形成最终授权结果(Y/N);

2)如果结果集中的校验结果中存在有冲突的两个或者多个校验结果存在(即校验结果不同),则判断存在冲突的校验结果是否属于概念子网的同一级别,如果是同一级别,则依据优先级对于冲突的校验结果进行聚合,聚合后的结果再依据1)的描述,确定最终授权结果(Y/N),比如广告位的长与概念子网中预先设定的值存在冲突,即不通过,而宽没有存在冲突,即通过,则可以根据优先级来判断,比如,长的优先级高于宽,即长是更加重要的,那么聚合结果为不通过;

3)如果结果集中的校验结果中有冲突的两个或者多个校验结果存在,并且冲突的校验结果不属于概念子网的同一级别,则由系统根据系统的授权策略做进一步仲裁,系统授权策略即是系统预先设定的规则,比如系统设定只要广告位的长度不相同,即不通过,那整个授权结果为不通过;

4)如果系统仲裁成功,形成最终授权结果(Y/N),否则,产生告警或者预警。

当接收到第三方的业务授权请求时,对业务授权请求进行解析,获得该业务授权请求携带的目标参数的值;根据目标参数中的预设参数,构建与业务授权请求对应的目标特征码,根据该目标特征码,确定业务授权请求映射的概念子网,该概念子网中包括第三方的业务权限域中的概念实体与预访问的目标业务权限域的概念实体之间的关联关系,将目标参数的值与概念子网中的数据进行校验,并根据校验结果确定是否能够访问该目标业务权限域,这种方式可以在不依赖业务场景的情况下,完全基于业务授权请求本身的预设参数驱动,实现业务数据的访问授权。

请参照图2,为本发明实施例提供的另一种业务授权方法的流程图;该方法可包括以下步骤S200-步骤S204。

S200,当接收到第三方的业务授权请求时,对所述业务授权请求进行解析,获得所述业务授权请求携带的目标参数的值;

S201,根据所述目标参数中的特征参数,构建与所述业务授权请求对应的目标特征码;

S202,根据所述目标特征码,确定所述业务授权请求映射的概念子网,所述概念子网中包括所述第三方的业务权限域中的概念实体与预访问的目标业务权限域的概念实体之间的关联关系;

本发明实施例步骤S200~S202请参照图1的实施例步骤S100~S102,在此不再赘述。

S203,遍历所述概念子网,将所述目标参数的值与所述概念子网中的数据进行校验,生成结果集,所述结果集包括至少一个校验结果;

本发明实施例中,在确定了业务授权请求映射的概念子网后,即遍历该概念子网,即将目标参数的值与概念子网中的数据进行校验,生成结果集,需要说明的是,每遍历一步即产生一个校验结果,结果集中包括至少一个校验结果。

可选的,所述将所述目标参数的值与所述概念子网中的数据进行校验,生成结果集,包括以下步骤:

步骤一、若所述目标参数的值与所述概念子网中的数据校验一致,则生成具有第一标识的校验结果;

步骤二、若所述目标参数的值与所述概念子网中的数据校验不一致,则生成具有第二标识的校验结果;

步骤三、将所有所述目标参数的值与所述概念子网中的数据的校验结果生成结果集。

本发明实施例中,目标参数包括多个特征参数以及多个非特征参数,在对概念子网进行遍历之前,将该多个特征参数以及非特征参数映射至概念子网对应的域(权限),数据库,实体,域(字段),以及值,然后将目标参数的值与该目标参数所映射的概念子网中数据进行校验,校验一致,则生成第一标识的校验结果,第一标识可以是Y,即通过校验,若校验不一致,则生成第二标识的校验结果,第二标识可以是N,即不通过校验,每一步遍历即产生一个校验结果,所有校验结果即生成结果集。

S204,根据所述结果集中的所述至少一个校验结果,确定是否能够访问所述目标业务权限域。

所述根据所述结果集中的所述至少一个校验结果,确定是否能够访问所述目标业务权限域,包括以下步骤:

步骤一、若所述结果集中的所有校验结果均具有所述第一标识,则确定能够访问所述目标业务权限域;

步骤二、若所述结果集中的所有校验结果均具有所述第二标识,则确定不能够访问所述目标业务权限域;

步骤三、若所述结果集中的所有校验结果中既存在具有所述第一标识的校验结果,又存在具有所述第二标识的校验结果,则根据预设冲突策略确定是否能够访问所述目标业务权限域。

具体可选的,所述根据预设冲突策略确定是否能够访问所述目标业务权限域,包括:

判断所述具有所述第一标识的校验结果和具有所述第二标识的校验结果是否在所述概念子网中的同一层级;

若是同一层级,则根据预设优先级策略确定是否能够访问所述目标业务权限域;

若不是同一层级,则根据预设系统授权策略确定是否能够访问所述目标业务授权域。

本发明实施例中,请参照图9所示,如果结果集中的所有校验结果(第一标识为Y/第二标识为N)都是是一致的(Y/N),则形成最终授权结果(Y/N);如果结果集中的校验结果中存在有冲突的两个或者多个,则判断冲突的校验结果是否属于概念子网的同一级别,如果是同一级别,则依据优先级对于冲突的结果进行聚合。再依据聚合后的结果确定最终授权结果(Y/N)。

如果结果集的校验结果中存在有冲突的两个或者多个,并且冲突的校验结果不属于同一级别,则由系统根据系统的授权策略做进一步仲裁;如果系统仲裁成功,形成最终授权结果(Y/N),否则,产生告警或者预警。

当接收到第三方的业务授权请求时,对业务授权请求进行解析,获得该业务授权请求携带的目标参数的值;根据目标参数中的预设参数,构建与业务授权请求对应的目标特征码,根据该目标特征码,确定业务授权请求映射的概念子网,该概念子网中包括第三方的业务权限域中的概念实体与预访问的目标业务权限域的概念实体之间的关联关系,将目标参数的值与概念子网中的数据进行校验,并根据校验结果确定是否能够访问该目标业务权限域,这种方式可以在不依赖业务场景的情况下,完全基于业务授权请求本身的预设参数驱动,实现业务数据的访问授权。

请参照图3,为本发明实施例提供的又一种业务授权方法的流程图;该方法可包括以下步骤S300-步骤S304。

S300,当接收到第三方的业务授权请求时,对所述业务授权请求进行解析,获得所述业务授权请求携带的目标参数的值;

S301,根据所述目标参数中的特征参数,构建与所述业务授权请求对应的目标特征码;

本发明实施例中步骤S300~S301请参照图1的实施例步骤S100~S101,在此不再赘述。

S302,查询与所述目标特征码对应的目标特征码的名称,一个特征码对应一个特征码的名称;

本发明实施例中,一种特征参数组合对应一种特征码,根据目标参数中的特征参数,可以构建与业务授权请求对应的目标特征码,一种特征码对应一种特征码的名称,因此可以查询与目标特征码对应的目标特征码的名称。

S303,查询与所述目标特征码的名称对应的概念子网,一个特征码的名称对应一个概念子网。

S304,将所述目标参数的值与所述概念子网中的数据进行校验,并根据校验结果确定是否能够访问所述目标业务权限域。

本发明实施例步骤S304请参照图1的实施例步骤S103,在此不再赘述。

当接收到第三方的业务授权请求时,对业务授权请求进行解析,获得该业务授权请求携带的目标参数的值;根据目标参数中的预设参数,构建与业务授权请求对应的目标特征码,根据该目标特征码,确定业务授权请求映射的概念子网,该概念子网中包括第三方的业务权限域中的概念实体与预访问的目标业务权限域的概念实体之间的关联关系,将目标参数的值与概念子网中的数据进行校验,并根据校验结果确定是否能够访问该目标业务权限域,这种方式可以在不依赖业务场景的情况下,完全基于业务授权请求本身的预设参数驱动,实现业务数据的访问授权。

下面将结合附图10-附图13,对本发明实施例提供的一种业务授权装置进行详细介绍。

请参照图10,为本发明实施例提供的一种业务授权装置的结构示意图,如图所示,该业务授权装置包括解析模块100、构建模块101、第一确定模块102以及第二确定模块103;

解析模块100,用于当接收到第三方的业务授权请求时,对所述业务授权请求进行解析,获得所述业务授权请求携带的目标参数的值;

构建模块101,用于根据所述目标参数中的特征参数,构建与所述业务授权请求对应的目标特征码;

本发明实施例中,数据访问授权通常限定在一定的权限域内部,当需要跨权限域进行访问时,需要采用一定的策略进行授权。比如,第三方需要对服务器的某一个目标业务权限域的数据进行访问时,需要得到该目标业务权限域的授权,这里以第三方为广告公司,该广告公司的业务即是制作各种属性的广告,而目标业务权限域即是广告投放的广告位业务方,该权限域定义广告位的各种属性以及配置投放广告的各种策略,当第三方的广告公司需要向目标业务权限域的广告位上播放广告,需要得到该目标业务权限域的授权。

下面结合附图4对权限域和授权域进行说明,各个业务权限域指的是相对独立的业务数据隐含的数据访问关系或者策略树,比如上述的广告公司制作的各种广告形成一个权限域,而广告投放的广告位形成一个权限域;服务器所有的权限域组合形成授权域,权限域实现业务数据的一般访问授权,系统权限域实现系统级别的配置策略以及数据授权结果集中出现冲突时的仲裁策略。

本发明实施例的业务授权采用业务无关的,全数据项驱动的,基于策略配置树和支持冲突仲裁的数据访问授权模型。具体的说,授权服务器不用关心业务场景或者业务细节,依据概念,实体(概念主体),关系(概念主体和主体间的依赖关系),概念图(一个或者多个相近概念实体形成的概念包),概念层(多个互相协作的概念图形成的概念层级),概念网(多层概念形成的立体概念网络),结合系统的策略配置树和冲突仲裁机制来实现业务数据的访问授权。

由于采用全数据项驱动,因此服务器不关心业务授权请求所关联的业务,只关心该业务授权请求所携带的数据,因此当服务器接收到第三方的业务授权请求时,对该业务授权请求进行解析,获得该业务授权请求携带的目标参数的值,目标参数可以包括特征参数和非特征参数,其中特征参数用于表示该业务授权请求对于数据的访问方式以及访问对象,如图7所示,即描述了业务授权请求的具体构成形式,可以对该业务授权请求进行逐步解析获得目标参数的值。

具体可选的,服务器对于业务授权请求的解析过程是,根据业务授权请求中的协议类型,以及业务授权请求的描述(特征参数集合配置,业务授权请求特征配置),对业务授权请求进行解析;其中,解析获得的目标参数包括特征参数的值和非特征参数的值,具体包括以下步骤:

1)根据业务授权请求上文的格式,确定业务授权请求的具体格式;

2)根据预设的特征参数集合配置,解析业务授权请求中的特征参数,特征参数定义了业务授权请求对于数据的访问方式(读/写/更新/删除等),访问的是什么对象等信息;

3)根据预设的业务授权请求特征配置,即预先设定的特征参数与特征码的对应关系,构造出与该业务授权请求对应的特征码(即是业务授权请求到概念映射的名称);

4)解析其它非特征参数。

举例说明如下:

例如,特征参数集合的定义如下:

上述程序中分别定义了三种特征参数,分别是"mod"、"act"以及"type"。

例如,业务授权请求特征配置定义如下:

上述程序定义了两种特征码,以及该两种特征码所对应的特征码的名称name,比如,有下面的特征参数:

url:"mod=order&act=del&g_tk=1455764208&d_p=0.9010524866093179"

body:"owner=1000&cost_type=1&cost_price=2.08&aid=13"

解析如下:

a)根据请求中url参数的值以及协议格式(key/value),在url中扫描解析key为“mod”,“act”以及“type”的特征参数;

b)url:"mod=order&act=del&g_tk=1455764208&d_p=0.9010524866093179"中解析出“mod=order”和“act=del”;

c)然后根据业务授权请求特征“service_request”集合中的定义,构造出业务授权请求的特征码“mod=order&act=del”;根据请求的特征码匹配到特征码的名称“order_del”;特征码的名称是业务授权请求到概念网络的映射桥梁;

d)最后,解析其它的非特征参数:owner,cost_type,cost_price和aid。

第一确定模块102,用于根据所述目标特征码,确定所述业务授权请求映射的概念子网,所述概念子网中包括所述第三方的业务权限域中的概念实体与预访问的目标业务权限域的概念实体之间的关联关系;

本发明实施例中,目标特征码即是业务授权请求对应的特征码,根据该目标特征码确定该业务授权请求映射的概念子网,该概念子网是复杂的概念体系中的一部分,服务器中预先设置了多种特征码的名称与各个概念子网之间的映射关系。复杂的概念体系用于表示各个业务权限域之间的复杂关联关系。

具体可选的,概念体系包括,实体(概念主体),关系(概念主体和主体间的依赖关系),概念图(一个或者多个相近概念主体形成的概念包),概念层(多个互相协作的概念图形成的概念层级),概念网(多层概念形成的立体概念网络)等。下面的图5即描述了概念图的内容,概念图中定义了源实体和目的实体之间的关联关系,比如依赖关系。

图6描述了实体的构成(实体元),其中,实体元数据描述了实体的属性以及实体包含的域。根据目标特征码描述的概念子网即包括第三方的业务权限域中的概念实体与预访问的目标业务权限域的概念实体之间的关联关系,比如,若第三方是广告公司,广告公司的权限域包括各种广告的属性,目标权限域为提供广告位进行广告播放的业务方,预先定义了该两个权限域的实体之间需要进行访问时的一些策略,比如,提供广告位的业务方可以定义所播放广告的领域,以及还可以定义广告位的长和宽等等,而广告公司所提供的各种广告属性需要满足广告位业务方的各种属性要求才能进行授权播放,于是广告公司的各种广告属性的实体与广告位的各种属性实体之间存在一定的关联关系,该关联关系即构成概念子网。

具体可选的,把业务授权请求解析出来的数据对象映射到概念子网的详细描述如下:

1)根据业务授权请求解析构造出来的特征码的名称“order_del”,查询业务授权请求映射到的具体概念子网;

2)根据映射到的具体概念子网,依次将业务授权请求中解析出来的目标参数的值(键值对或者对象)映射到概念子网中的域(权限),数据库,实体,域(字段),以及值。可能,有些目标参数映射不到概念子网。

3)映射不到的目标参数,系统可以记录,智能学习。

例如:概念映射集合定义如下,即是特征码的名称到概念子网的映射关系:

继续以上述特征码的名称为例说明概念映射:

a)根据概念映射的定义,把特征码的名称“order_del”匹配到request_name为"order_del"的概念子网;

b)然后依次把键值对的键“aid”和“owner”映射到概念子网的实体对象为"Tbl_AdGroup_"的“FUId”和“FAId”。

第二确定模块103,用于将所述目标参数的值与所述概念子网中的数据进行校验,并根据校验结果确定是否能够访问所述目标业务权限域。

本发明实施例中,当确定了该业务授权请求映射的概念子网后,即将目标参数也映射到了概念子网上,进一步将目标参数的值与概念子网中的数据进行检验,根据校验结果确定是否能够访问目标业务权限域。

具体可选的,校验过程可以是,遍历概念子网,判定生成授权结果集,通常校验一次,即产生一个校验结果,所有校验结果组成结果集。详细流程描述如图8所示:

1)在经过业务授权请求的概念映射后,已经确定出第三方对数据的访问方式,所在权限域,以及概念子网等。

2)根据映射后生成的概念子网,依据概念图和实体元,结合数据项及其值,从概念子网中的某个概念图开始,根据概念图中定义涉及到的实体,以及实体之间的关系,依次从概念子网中读取相关的数据和目标参数的值进行比对校验。

3)如果数据校验一致,则校验结果为通过(Y),数据校验有冲突时,校验结果为不通过(N),其它可能的结果为灰度待定(G),比如,在匹配广告位时,若广告位的长度与概念子网中预先设定的长度相同,则校验结果为通过,若不同,则校验结果为不通过。

4)概念子网遍历校验过程中,每一步遍历都可能形成一个校验结果(Y/N/G);校验结果暂时存入结果集中;

5)概念子网遍历完成后,形成一个结果集;

6)最后,对于结果集综合判断,结合系统权限域以及仲裁机制,得出最终的授权结果(Y/N)。

具体的,对结果集进行处理的方式请参照图9所示,结果集处理即是对于多个校验结果综合判定,形成最终的业务请求授权结果。

具体的处理方法如下:

1)如果结果集中的所有校验结果(Y/N)都是是一致的(Y/N),则形成最终授权结果(Y/N);

2)如果结果集中的校验结果中存在有冲突的两个或者多个校验结果存在(即校验结果不同),则判断存在冲突的校验结果是否属于概念子网的同一级别,如果是同一级别,则依据优先级对于冲突的校验结果进行聚合,聚合后的结果再依据1)的描述,确定最终授权结果(Y/N),比如广告位的长与概念子网中预先设定的值存在冲突,即不通过,而宽没有存在冲突,即通过,则可以根据优先级来判断,比如,长的优先级高于宽,即长是更加重要的,那么聚合结果为不通过;

3)如果结果集中的校验结果中有冲突的两个或者多个校验结果存在,并且冲突的校验结果不属于概念子网的同一级别,则由系统根据系统的授权策略做进一步仲裁,系统授权策略即是系统预先设定的规则,比如系统设定只要广告位的长度不相同,即不通过,那整个授权结果为不通过;

4)如果系统仲裁成功,形成最终授权结果(Y/N),否则,产生告警或者预警。

当接收到第三方的业务授权请求时,对业务授权请求进行解析,获得该业务授权请求携带的目标参数的值;根据目标参数中的预设参数,构建与业务授权请求对应的目标特征码,根据该目标特征码,确定业务授权请求映射的概念子网,该概念子网中包括第三方的业务权限域中的概念实体与预访问的目标业务权限域的概念实体之间的关联关系,将目标参数的值与概念子网中的数据进行校验,并根据校验结果确定是否能够访问该目标业务权限域,这种方式可以在不依赖业务场景的情况下,完全基于业务授权请求本身的预设参数驱动,实现业务数据的访问授权。

请参照图11,为本发明实施例提供的一种第二确定模块的结构示意图,如图所示,本发明实施例的第二确定模块103包括校验单元1030和确定单元1031;

校验单元1030,用于遍历所述概念子网,将所述目标参数的值与所述概念子网中的数据进行校验,生成结果集,所述结果集包括至少一个校验结果;

本发明实施例中,在确定了业务授权请求映射的概念子网后,即遍历该概念子网,即将目标参数的值与概念子网中的数据进行校验,生成结果集,需要说明的是,每遍历一步即产生一个校验结果,结果集中包括至少一个校验结果。

具体可选的,所述校验单元1030具体用于

若所述目标参数的值与所述概念子网中的数据校验一致,则生成具有第一标识的校验结果;

若所述目标参数的值与所述概念子网中的数据校验不一致,则生成具有第二标识的校验结果;

将所有所述目标参数的值与所述概念子网中的数据的校验结果生成结果集。

本发明实施例中,目标参数包括多个特征参数以及多个非特征参数,在对概念子网进行遍历之前,将该多个特征参数以及非特征参数映射至概念子网对应的域(权限),数据库,实体,域(字段),以及值,然后将目标参数的值与该目标参数所映射的概念子网中数据进行校验,校验一致,则生成第一标识的校验结果,第一标识可以是Y,即通过校验,若校验不一致,则生成第二标识的校验结果,第二标识可以是N,即不通过校验,每一步遍历即产生一个校验结果,所有校验结果即生成结果集。

确定单元1031,用于根据所述结果集中的所述至少一个校验结果,确定是否能够访问所述目标业务权限域。

具体可选的,请参照图12,为本发明实施例提供的一种确定单元的结构示意图,如图所示,本发明实施例的确定单元1031可以包括第一确定子单元10310、第二确定子单元10311以及第三确定子单元10312;

第一确定子单元10310,用于若所述结果集中的所有校验结果均具有所述第一标识,则确定能够访问所述目标业务权限域;

第二确定子单元10311,用于若所述结果集中的所有校验结果均具有所述第二标识,则确定不能够访问所述目标业务权限域;

第三确定子单元10312,用于若所述结果集中的所有校验结果中既存在具有所述第一标识的校验结果,又存在具有所述第二标识的校验结果,则根据预设冲突策略确定是否能够访问所述目标业务权限域。

所述第三确定子单元10312具体用于若所述结果集中的所有校验结果中既存在具有所述第一标识的校验结果,又存在具有所述第二标识的校验结果,判断所述具有所述第一标识的校验结果和具有所述第二标识的校验结果是否在所述概念子网中的同一层级;

若是同一层级,则根据预设优先级策略确定是否能够访问所述目标业务权限域;

若不是同一层级,则根据预设系统授权策略确定是否能够访问所述目标业务授权域。

本发明实施例中,请参照图9所示,如果结果集中的所有校验结果(第一标识为Y/第二标识为N)都是是一致的(Y/N),则形成最终授权结果(Y/N);如果结果集中的校验结果中存在有冲突的两个或者多个,则判断冲突的校验结果是否属于概念子网的同一级别,如果是同一级别,则依据优先级对于冲突的结果进行聚合。再依据聚合后的结果确定最终授权结果(Y/N)。

如果结果集的校验结果中存在有冲突的两个或者多个,并且冲突的校验结果不属于同一级别,则由系统根据系统的授权策略做进一步仲裁;如果系统仲裁成功,形成最终授权结果(Y/N),否则,产生告警或者预警。

当接收到第三方的业务授权请求时,对业务授权请求进行解析,获得该业务授权请求携带的目标参数的值;根据目标参数中的预设参数,构建与业务授权请求对应的目标特征码,根据该目标特征码,确定业务授权请求映射的概念子网,该概念子网中包括第三方的业务权限域中的概念实体与预访问的目标业务权限域的概念实体之间的关联关系,将目标参数的值与概念子网中的数据进行校验,并根据校验结果确定是否能够访问该目标业务权限域,这种方式可以在不依赖业务场景的情况下,完全基于业务授权请求本身的预设参数驱动,实现业务数据的访问授权。

请参照图13,为本发明实施例提供的一种第一确定模块的结构示意图,如图所示,本发明实施例的第一确定模块102包括第一查询单元1020和第二查询单元1021;

第一查询单元1020,用于查询与所述目标特征码对应的目标特征码的名称,一个特征码对应一个特征码的名称;

本发明实施例中,一种特征参数组合对应一种特征码,根据目标参数中的特征参数,可以构建与业务授权请求对应的目标特征码,一种特征码对应一种特征码的名称,因此可以查询与目标特征码对应的目标特征码的名称。

第二查询单元1021,用于查询与所述目标特征码的名称对应的概念子网,一个特征码的名称对应一个概念子网。

当接收到第三方的业务授权请求时,对业务授权请求进行解析,获得该业务授权请求携带的目标参数的值;根据目标参数中的预设参数,构建与业务授权请求对应的目标特征码,根据该目标特征码,确定业务授权请求映射的概念子网,该概念子网中包括第三方的业务权限域中的概念实体与预访问的目标业务权限域的概念实体之间的关联关系,将目标参数的值与概念子网中的数据进行校验,并根据校验结果确定是否能够访问该目标业务权限域,这种方式可以在不依赖业务场景的情况下,完全基于业务授权请求本身的预设参数驱动,实现业务数据的访问授权。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,附图10-附图13所示业务授权装置对应的程序可存储在服务器的可读存储介质内,并被该服务器中的至少一个处理器执行,以实现上述业务授权方法,该方法包括图1-图3中方法实施例所述的流程。其中,所述的存储介质可为磁盘、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。

以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

完整全部详细技术资料下载
当前第1页1 2 3 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:徐雄;杨亚鹏
  • 技术所有人:腾讯科技(深圳)有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
业务授权书相关技术
机动车业务授权委托书相关技术
业务授权书范本相关技术
业务办理授权委托书相关技术
银行业务授权书相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2