本发明涉及信息安全
技术领域:
,尤其涉及一种鉴权方法及装置。
背景技术:
:在云服务的鉴权体系中,用户可以通过云服务管理平台访问云资源,然而并非各个用户都具备访问云资源的资格,云服务管理平台需要对发送资源访问请求的用户进行鉴权,对于鉴权通过的用户才可以访问云资源。在鉴权过程中需要对用户所访问的资源和对所访问资源的操作方式都进行鉴定,而在现有的技术方案中,对于用户标识、用户组、用户标识对应的可访问资源、可操作方式等之间的关系是分别存储和管理的,例如,保存了用户标识和用户组的关系表、用户组和策略组的关系表,策略组和可访问资源的关系表、策略组和可操作方式的关系表等,这样能够直观的体现出两两数据之间的关系,但是在鉴权过程中,需要从各个关系表中进行一一匹配,例如要先查看用户所在的组,然后查找与用户组相关的策略,在从策略对应的可访问资源中查找是否包含用户请求的资源;还需要从策略对应的可操作方式中确认是否包含用户的操作。因此,现有技术方案需要从多个关系表中多次查找才可以确定鉴权结果,降低了对用户访问请求的鉴权效率。技术实现要素:本发明实施例提供一种鉴权方法及装置,通过从一个按照用户标识分类的策略表中查找到与资源访问请求的相关数据,节省了相关数据的查找时间,进而提高了对资源访问请求的鉴权效率。本发明实施例第一方面提供了一种鉴权方法,包括:接收用户的目标资源访问请求,所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式;在缓存表中查找是否存在所述目标资源访问请求的鉴权结果,所述缓存表包含接收到所述目标资源访问请求之前的预设时间段内的多个资源访问请求的鉴权结果;当所述缓存表中不存在所述目标资源访问请求的鉴权结果时,采用第一策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果;其中,所述第一策略表为包含用户标识、可访问资源、对所述可访问资源的可操作方式的关系表,所述第一策略表是以用户标识进行分类的,每个用户标识对应至少一个可访问资源,以及每个可访问资源对应至少一个可操作方式。本发明实施例第二方面提供了一种鉴权装置,包括:请求接收单元,用于接收用户的目标资源访问请求,所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式;结果查找单元,用于在缓存表中查找是否存在所述目标资源访问请求的鉴权结果,所述缓存表包含接收到所述目标资源访问请求之前的预设时间段内的多个资源访问请求的鉴权结果;第一鉴权单元,用于当所述缓存表中不存在所述目标资源访问请求的鉴权结果时,采用第一策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果;其中,所述第一策略表为包含用户标识、可访问资源、对所述可访问资源的可操作方式的关系表,所述第一策略表是以用户标识进行分类的,每个用户标识对应至少一个可访问资源,以及每个可访问资源对应至少一个可操作方式。在本发明实施例中,当接收到用户的携带目标用户标识、目标访问资源和对目标访问资源的目标操作方式的目标资源访问请求时,在缓存表中查找是否存在目标资源访问请求的鉴权结果,当缓存表中不存在目标资源访问请求的鉴权结果时,采用第一策略表对目标资源访问请求进行鉴权,并将目标资源访问请求的鉴权结果进行输出。由于第一策略表是以用户标识分类的且为包含用户标识、可访问资源、对可访问资源的可操作方式的关系表,这样能够在一个关系表中查找相关数据,节省了查找目标资源访问请求的相关数据的时间,进而提高了对资源访问请求的鉴权效率。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本发明实施例提供的一种鉴权方法的流程示意图;图2是本发明实施例提供的另一种鉴权方法的流程示意图;图3是本发明实施例提供的一种步骤205的流程示意图;图4是本发明实施例提供的一种鉴权装置的结构示意图;图5是本发明实施例提供的另一种鉴权装置的结构示意图;图6是本发明实施例提供的一种第一鉴权单元的结构示意图;图7是本发明实施例提供的一种策略表更新单元的结构示意图;图8是本发明实施例提供的另一种鉴权装置的结构示意图。具体实施方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。另外,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本发明实施例提供的鉴权方法可以应用于访问云服务资源的场景中,例如,接收用户的目标云资源访问请求,所述目标云资源访问请求携带目标用户标识、目标访问云资源和对所述目标访问云资源的目标操作方式;在缓存表中查找是否存在所述目标云资源访问请求的鉴权结果,所述缓存表包含接收到所述目标云资源访问请求之前的预设时间段内的多个云资源访问请求的鉴权结果;当所述缓存表中不存在所述目标云资源访问请求的鉴权结果时,采用第一策略表对所述目标云资源访问请求进行鉴权,并将所述目标云资源访问请求的鉴权结果进行输出;其中,所述第一策略表为包含用户标识、可访问云资源、对所述可访问云资源的可操作方式的关系表,由于第一策略表是以用户标识分类的且为包含用户标识、可访问云资源、对可访问云资源的可操作方式的关系表,这样能够在一个关系表中查找相关数据,节省了查找目标云资源访问请求的相关数据的时间,进而提高了对云资源访问请求的鉴权效率。本发明实施例涉及的鉴权装置可以是对资源访问请求进行鉴权等的后台设备,所述鉴权装置可以为单独设立的一台物理机,本发明实施例对此不做限定。请参见图1,为本发明实施例提供了一种鉴权方法的流程示意图。如图1所示,本发明实施例的所述方法是由鉴权装置执行的,可以包括以下步骤101-步骤103。101,接收用户的目标资源访问请求。具体的,鉴权装置接收用户的目标资源访问请求。其中,所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式。举例来说,用户可以通过登陆资源管理平台发起目标资源访问请求。其中,用户标识是用于标记对目标访问资源执行目标操作方式的用户的。例如,所述目标访问资源可以为所述服务器中的某一个文件、数据等等,所述目标操作方式可以为读取指令(read)、删除指令(delete)、写入指令(write)等等,本发明实施例对目标操作方式所包含的方式不做限定。102,在缓存表中查找是否存在所述目标资源访问请求的鉴权结果。具体的,所述鉴权装置在缓存表中查找是否存在所述目标资源访问请求的鉴权结果,其中,鉴权结果包括鉴权通过和鉴权不通过,若为鉴权通过,表示所述鉴权装置允许按照所述目标资源访问请求对目标访问资源执行目标操作方式,若为鉴权不通过,则表示所述鉴权装置拒绝所述目标资源访问请求。进一步,所述缓存表包含接收到所述目标资源访问请求之前的预设时间段内的多个资源访问请求的鉴权结果。预设时间段是所述鉴权装置预先设定的,例如,对于资源访问请求较为频繁的,所述鉴权装置可以设定为接收到目标资源访问请求的时刻的前一小时的全部资源访问请求的鉴权结果;对于资源访问请求较为稀疏的,所述鉴权装置可以设定为接收到目标资源访问请求的时刻的前24小时的全部资源访问请求的鉴权结果,本发明实施例对缓存表所缓存的鉴权结果的时长不做限定。可选的,所述缓存表包含多个资源访问请求中每个资源访问请求的用户标识、访问资源、操作方式、鉴权结果等等数据。通过将目标资源访问请求中目标用户标识、目标访问资源和对所述目标资源访问请求的目标操作方式与缓存表中的数据一一比对,进而确定该目标资源访问请求的鉴权结果。103,当所述缓存表中不存在所述目标资源访问请求的鉴权结果时,采用第一策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果。具体的,当所述缓存表中不存在所述目标资源访问请求的鉴权结果时,采用第一策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果。其中,所述第一策略表为包含用户标识、可访问资源、对所述可访问资源的可操作方式的关系表,所述第一策略表是以用户标识进行分类的,每个用户标识对应至少一个可访问资源,以及每个可访问资源对应至少一个可操作方式。例如,请参见上表,为一种形式下的策略表,包含用户标识、可访问资源、可操作方式,按照用户标识进行分类,这样在对目标资源访问请求进行鉴权时,能够快速从第一策略标识中查找到目标用户标识对应的可访问资源以及可操作方式,进而提高了对目标资源访问请求的鉴权效率。进一步的,当所述缓存表中存在所述目标资源访问请求的鉴权结果时,所述鉴权装置将在所述缓存表查找到的鉴权结果进行输出。可选的,若所述目标资源访问请求的鉴权结果为鉴权通过,则所述鉴权装置对所述目标资源访问请求进行处理,即按照所述目标资源访问请求中的目标操作方式对目标访问资源进行处理,在处理完成之后,所述鉴权装置可以将处理结果进行输出。在本发明实施例中,当接收到用户的携带目标用户标识、目标访问资源和对目标访问资源的目标操作方式的目标资源访问请求时,在缓存表中查找是否存在目标资源访问请求的鉴权结果,当缓存表中不存在目标资源访问请求的鉴权结果时,采用第一策略表对目标资源访问请求进行鉴权,并将目标资源访问请求的鉴权结果进行输出。由于第一策略表是以用户标识分类的且为包含用户标识、可访问资源、对可访问资源的可操作方式的关系表,这样能够在一个关系表中查找相关数据,节省了查找目标资源访问请求的相关数据的时间,进而提高了对资源访问请求的鉴权效率。请参见图2,为本发明实施例提供了另一种鉴权方法的流程示意图。如图2所示,本发明实施例的所述方法是由鉴权装置执行的,可以包括以下步骤201-步骤207。201,接收用户的目标资源访问请求。具体的,鉴权装置接收用户的目标资源访问请求。其中,所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式。举例来说,用户可以通过登陆资源管理平台发起目标资源访问请求。其中,用户标识是用于标记对目标访问资源执行目标操作方式的用户的。例如,所述目标访问资源可以为所述服务器中的某一个文件、数据等等,所述目标操作方式可以为读取指令(read)、删除指令(delete)、写入指令(write)等等,本发明实施例对目标操作方式所包含的方式不做限定。202,在缓存表中查找是否存在所述目标资源访问请求的鉴权结果。具体的,所述鉴权装置在缓存表中查找是否存在所述目标资源访问请求的鉴权结果,其中,鉴权结果包括鉴权通过和鉴权不通过,若为鉴权通过,表示所述鉴权装置允许按照所述目标资源访问请求对目标访问资源执行目标操作方式,若为鉴权不通过,则表示所述鉴权装置拒绝所述目标资源访问请求。进一步,所述缓存表包含接收到所述目标资源访问请求之前的预设时间段内的多个资源访问请求的鉴权结果。预设时间段是所述鉴权装置预先设定的,例如,对于资源访问请求较为频繁的,所述鉴权装置可以设定为接收到目标资源访问请求的时刻的前一小时的全部资源访问请求的鉴权结果;对于资源访问请求较为稀疏的,所述鉴权装置可以设定为接收到目标资源访问请求的时刻的前24小时的全部资源访问请求的鉴权结果,本发明实施例对缓存表所缓存的鉴权结果的时长不做限定。可选的,所述缓存表包含多个资源访问请求中每个资源访问请求的用户标识、访问资源、操作方式、鉴权结果等等数据。通过将目标资源访问请求中目标用户标识、目标访问资源和对所述目标资源访问请求的目标操作方式与缓存表中的数据一一比对,进而确定该目标资源访问请求的鉴权结果。203,当所述缓存表中存在所述目标资源访问请求的鉴权结果时,所述鉴权装置将查找到的鉴权结果进行输出。204,当所述缓存表中不存在所述目标资源访问请求的鉴权结果时,检测第二策略表的当前版本号是否高于所述第一策略表的当前版本号。具体的,缓存表中不存在所述目标资源访问请求的鉴权结果时,检测第二策略表的当前版本号是否高于所述第一策略表的当前版本号。其中,所述第一策略表为包含用户标识、可访问资源、对所述可访问资源的可操作方式的关系表,所述第一策略表是以用户标识进行分类的,每个用户标识对应至少一个可访问资源,以及每个可访问资源对应至少一个可操作方式。进一步的,所述第二策略表包含用户标识和用户组的关系表、用户组和策略标识的关系表、策略标识和可访问资源的映射表以及策略标识和可操作方式的映射表。举例来说,第二策略表中的策略标识用于对应由多个可访问资源组成的资源组,或者,所述策略标识用于对应由多个可操作方式组成的权限组。进一步的,第一策略表的当前版本号和第二策略表的当前版本号可以通过最新更新时间表示,版本号可以指示所更新的数据,例如,变化的可访问资源、变化的用户标识、变化的可操作方式等等,对于第二策略列表而言,还可以包括变化的用户组标识、变化的策略标识等等。可选的,由于第二策略表是通过各个策略标识进行区分的,当用户标识或可访问资源或可操作方式的增加、减少等发生变化时,可以先更新第二策略表,由于第二策略表包含了多个关系表,可以通过修改其中一个关系表就有可能完成数据的更新,能够提高策略表的更新效率,并设置更新后的版本号。在第二策略表更新之后,在根据第二策略表更新第一策略表,以保证第一策略表的准确性,并在第一策略表更新之后,更新第一策略表的版本号。205,若否,则采用所述第一策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果。具体的,若所述第二策略表的当前版本号不高于所述第一策略表的当前版本号,则采用所述第一策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果。由于第一策略表为按照用户标识分类关系表,且一个关系表中包含了多个数据,通过第一策略表对所述目标资源访问请求进行鉴权,能够提高鉴权效率。请一并参见图3,为本发明实施例提供了步骤205的流程示意图,如图3所示,步骤205可以包括步骤2051至步骤2055。2051,从所述第一策略表中查找与所述用户标识对应的可访问资源和对所述可访问资源的可操作方式。具体的,所述鉴权装置从所述第一策略表中查找与所述用户标识对应的可访问资源和对所述可访问资源的可操作方式。2052,判断所述可访问资源中是否存在所述目标访问资源。具体的,所述鉴权装置在与所述目标用户标识对应的至少一个可访问资源中查找是否存在所述目标访问资源。若存在所述目标访问资源,则执行步骤2053;若不存在所述目标访问资源,则执行步骤2055。2053,若所述可访问资源中存在所述目标访问资源,则判断对所述目标访问资源的可操作方式中是否存在所述目标操作方式。具体的,所述鉴权装置判断所述可访问资源中存在所述目标访问资源,则进一步判断对所述目标访问资源的可操作方式中是否存在所述目标操作方式,若所述可操作方式中存在所述目标操作方式,则执行步骤2054,若所述可操作方式中不存在所述目标操作方式,则执行步骤2055。2054,若对所述目标访问资源的可操作方式中存在所述目标操作方式,则确定所述资源访问请求的鉴权结果为鉴权通过,并输出所述目标资源访问请求的鉴权结果。具体的,若对所述目标访问资源的可操作方式中存在所述目标操作方式,则确定所述资源访问请求的鉴权结果为鉴权通过,并输出所述目标资源访问请求的鉴权结果。可选的,若所述目标资源访问请求的鉴权结果为鉴权通过,则所述鉴权装置对所述目标资源访问请求进行处理,即按照所述目标资源访问请求中的目标操作方式对目标访问资源进行处理,在处理完成之后,所述鉴权装置可以将处理结果进行输出。2055,确定所述资源访问请求的鉴权结果为鉴权不通过。具体的,若所述可访问资源中不存在所述目标访问资源,或者,若所述可操作方式中不存在所述目标操作方式,则所述鉴权装置确定所述资源访问请求的鉴权结果为鉴权不通过,并将鉴权结果进行输出,以使用户了解鉴权结果。206,若所述第二策略表的当前版本号高于所述第一策略表的当前版本号,则采用所述第二策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果。具体的,若所述第二策略表的当前版本号高于所述第一策略表的当前版本号,则所述鉴权装置采用所述第二策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果。所述鉴权装置可以通过从多个关系表中查找是否存在所述目标资源访问请求对应的数据,以完成鉴权。207,若所述第二策略表的当前版本号高于所述第一策略表的当前版本号,则根据所述第二策略表,更新所述第一策略表。具体的,当所述第二策略表的当前版本号高于所述第一策略表的当前版本号时,所述鉴权装置根据所述第二策略表,更新所述第一策略表。根据所述第一策略表的当前版本号,与所述第二策略表的历史版本信息进行对比,确定所述第一策略表的未更新数据。按照所述未更新数据,对所述第一策略表进行更新,并将所述第一策略表的当前版本号变更为所述第二策略表的当前版本号。举例来说,对于一用户标识而言,可能对应于两个或者两个以上的用户组,不同用户组对应不同的资源标识,不同资源标识对应的可操作资源不同或者可操作方式不同,例如下表:第二策略表包括以下表A、表B、表C、表D。表A:用户组和用户标识的关系表用户组用户标识G1ID-1;ID-2G2ID-1;ID-3;ID-4表B:用户组和资源标识的关系表用户组资源标识G1RID-1;RID-2;G2RID-3表C:资源标识和可访问资源的关系表资源标识可访问资源RID-1R-A、R-BRID-2R-CRID-3R-C;R-D表D:资源标识和可操作方式的关系表资源标识可操作方式RID-1O1;O3;RID-2O1;RID-3O2;而与当前的第二策略表对应的第一策略表为表E。表E:第一策略表可以看出,通过第二策略表对目标资源访问请求进行鉴权时,需要通过多个关系表来确定,而通过第一策略表对目标资源访问请求进行鉴权时,仅需要从一个关系表中就可以确定,大量了减少了打开关系表、关闭关系表、查找数据的时间,能够提高鉴权效率。因此,在第二策略表的当前版本号不高于第一策略表的当前版本号的情况下,采用第一策略表进行鉴权,在第二策略表的当前版本号高于第一策略表的当前版本号的的情况下,采用第二策略表进行鉴权。进一步可选的,由于第二策略表直观的体现了各个数据之间的关系,对于用户组新增用户标识时,可以通过第二策略表的用户组和用户标识的关系表直接且快速的进行更新,而对于第一策略表还需要更新新增用户标识的可访问资源和可操作方式,因此在有新的数据需要更新时,优先更新第二策略表,使得更新效率更高协,并更新第二策略表的版本号。进一步可选的,在更新第二策略表之后,可以根据第二策略表的更新内容更新第一策略表。进一步可选的,当接收到策略表的变更请求时,还可以采用优先更新第一策略表的方式,在更新第一策略标识之后,再根据更新之后的第一策略表更新第二策略表。或者,当接收到策略表的变更请求时,同步更新第一策略表和第二策略表,本发明实施例对此不做限定。在本发明实施例中,当接收到用户的携带目标用户标识、目标访问资源和对目标访问资源的目标操作方式的目标资源访问请求时,当缓存表中不存在目标资源访问请求的鉴权结果时,若第二策略表的版本号部不高于第一策略表的版本号,则采用第一策略表对目标资源访问请求进行鉴权,若第二策略表的版本号部高于第一策略表的版本号,则采用第二策略表对目标资源访问请求进行鉴权,并将目标资源访问请求的鉴权结果进行输出。由于第一策略表是以用户标识分类的且为包含用户标识、可访问资源、对可访问资源的可操作方式的关系表,这样能够在一个关系表中查找相关数据,节省了查找目标资源访问请求的相关数据的时间,进而提高了对资源访问请求的鉴权效率,另外,由于第二策略表包含多个关系表,能够较快的完成更新,在第二策略表保存有最新数据且第一策略表未更新的情况下,可以通过第二策略表对目标资源请求进行鉴权,保证了鉴权的准确性。请参见图4,为本发明实施例提供了一种鉴权装置的结构示意图。如图4所示,本发明实施例的所述鉴权装置1可以包括:请求接收单元11、结果查找单元12和第一鉴权单元13。请求接收单元11,用于接收用户的目标资源访问请求,所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式。具体的,所述请求接收单元11接收用户的目标资源访问请求。其中,所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式。举例来说,用户可以通过登陆资源管理平台发起目标资源访问请求。其中,用户标识是用于标记对目标访问资源执行目标操作方式的用户的。例如,所述目标访问资源可以为所述服务器中的某一个文件、数据等等,所述目标操作方式可以为读取指令(read)、删除指令(delete)、写入指令(write)等等,本发明实施例对目标操作方式所包含的方式不做限定。结果查找单元12,用于在缓存表中查找是否存在所述目标资源访问请求的鉴权结果,所述缓存表包含接收到所述目标资源访问请求之前的预设时间段内的多个资源访问请求的鉴权结果。具体的,所述结果查找单元12在缓存表中查找是否存在所述目标资源访问请求的鉴权结果,其中,鉴权结果包括鉴权通过和鉴权不通过,若为鉴权通过,表示所述鉴权装置1允许按照所述目标资源访问请求对目标访问资源执行目标操作方式,若为鉴权不通过,则表示所述鉴权装置1拒绝所述目标资源访问请求。进一步,所述缓存表包含接收到所述目标资源访问请求之前的预设时间段内的多个资源访问请求的鉴权结果。预设时间段是所述鉴权装置1预先设定的,例如,对于资源访问请求较为频繁的,所述鉴权装置1可以设定为接收到目标资源访问请求的时刻的前一小时的全部资源访问请求的鉴权结果;对于资源访问请求较为稀疏的,所述鉴权装置1可以设定为接收到目标资源访问请求的时刻的前24小时的全部资源访问请求的鉴权结果,本发明实施例对缓存表所缓存的鉴权结果的时长不做限定。可选的,所述缓存表包含多个资源访问请求中每个资源访问请求的用户标识、访问资源、操作方式、鉴权结果等等数据。通过将目标资源访问请求中目标用户标识、目标访问资源和对所述目标资源访问请求的目标操作方式与缓存表中的数据一一比对,进而确定是否存在该目标资源访问请求的鉴权结果。第一鉴权单元13,用于当所述缓存表中不存在所述目标资源访问请求的鉴权结果时,采用第一策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果。具体的,当所述缓存表中不存在所述目标资源访问请求的鉴权结果时,所述第一鉴权单元13采用第一策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果。其中,所述第一策略表为包含用户标识、可访问资源、对所述可访问资源的可操作方式的关系表,所述第一策略表是以用户标识进行分类的,每个用户标识对应至少一个可访问资源,以及每个可访问资源对应至少一个可操作方式。进一步的,当所述缓存表中存在所述目标资源访问请求的鉴权结果时,所述鉴权装置1将在所述缓存表查找到的鉴权结果进行输出。可选的,若所述目标资源访问请求的鉴权结果为鉴权通过,则所述鉴权装置1对所述目标资源访问请求进行处理,即按照所述目标资源访问请求中的目标操作方式对目标访问资源进行处理,在处理完成之后,所述鉴权装置1可以将处理结果进行输出。在本发明实施例中,当接收到用户的携带目标用户标识、目标访问资源和对目标访问资源的目标操作方式的目标资源访问请求时,在缓存表中查找是否存在目标资源访问请求的鉴权结果,当缓存表中不存在目标资源访问请求的鉴权结果时,采用第一策略表对目标资源访问请求进行鉴权,并将目标资源访问请求的鉴权结果进行输出。由于第一策略表是以用户标识分类的且为包含用户标识、可访问资源、对可访问资源的可操作方式的关系表,这样能够在一个关系表中查找相关数据,节省了查找目标资源访问请求的相关数据的时间,进而提高了对资源访问请求的鉴权效率。请参见图5,为本发明实施例提供了一种鉴权装置的结构示意图。如图5所示,本发明实施例的所述鉴权装置1可以包括:请求接收单元11、结果查找单元12、第一鉴权单元13、版本号检测单元14、第二鉴权单元15和策略表更新单元16。请求接收单元11,用于接收用户的目标资源访问请求,所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式。具体的,所述请求接收单元11接收用户的目标资源访问请求。其中,所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式。举例来说,用户可以通过登陆资源管理平台发起目标资源访问请求。其中,用户标识是用于标记对目标访问资源执行目标操作方式的用户的。例如,所述目标访问资源可以为所述服务器中的某一个文件、数据等等,所述目标操作方式可以为读取指令(read)、删除指令(delete)、写入指令(write)等等,本发明实施例对目标操作方式所包含的方式不做限定。结果查找单元12,用于在缓存表中查找是否存在所述目标资源访问请求的鉴权结果,所述缓存表包含接收到所述目标资源访问请求之前的预设时间段内的多个资源访问请求的鉴权结果。具体的,所述结果查找单元12在缓存表中查找是否存在所述目标资源访问请求的鉴权结果,其中,鉴权结果包括鉴权通过和鉴权不通过,若为鉴权通过,表示所述鉴权装置1允许按照所述目标资源访问请求对目标访问资源执行目标操作方式,若为鉴权不通过,则表示所述鉴权装置1拒绝所述目标资源访问请求。进一步,所述缓存表包含接收到所述目标资源访问请求之前的预设时间段内的多个资源访问请求的鉴权结果。预设时间段是所述鉴权装置1预先设定的,例如,对于资源访问请求较为频繁的,所述鉴权装置1可以设定为接收到目标资源访问请求的时刻的前一小时的全部资源访问请求的鉴权结果;对于资源访问请求较为稀疏的,所述鉴权装置1可以设定为接收到目标资源访问请求的时刻的前24小时的全部资源访问请求的鉴权结果,本发明实施例对缓存表所缓存的鉴权结果的时长不做限定。可选的,所述缓存表包含多个资源访问请求中每个资源访问请求的用户标识、访问资源、操作方式、鉴权结果等等数据。通过将目标资源访问请求中目标用户标识、目标访问资源和对所述目标资源访问请求的目标操作方式与缓存表中的数据一一比对,进而确定该目标资源访问请求的鉴权结果。版本号检测单元14,用于当所述缓存表中不存在所述目标资源访问请求的鉴权结果时,检测第二策略表的当前版本号是否高于所述第一策略表的当前版本号。具体的,若缓存表中不存在所述目标资源访问请求的鉴权结果时,所述版本号检测单元14检测第二策略表的当前版本号是否高于所述第一策略表的当前版本号。其中,所述第一策略表为包含用户标识、可访问资源、对所述可访问资源的可操作方式的关系表,所述第一策略表是以用户标识进行分类的,每个用户标识对应至少一个可访问资源,以及每个可访问资源对应至少一个可操作方式。进一步的,所述第二策略表包含用户标识和用户组的关系表、用户组和策略标识的关系表、策略标识和可访问资源的映射表以及策略标识和可操作方式的映射表。举例来说,第二策略表中的策略标识用于对应由多个可访问资源组成的资源组,或者,所述策略标识用于对应由多个可操作方式组成的权限组。进一步的,第一策略表的当前版本号和第二策略表的当前版本号可以通过最新更新时间表示,版本号可以指示所更新的数据,例如,变化的可访问资源、变化的用户标识、变化的可操作方式等等,对于第二策略列表而言,还可以包括变化的用户组标识、变化的策略标识等等。可选的,由于第二策略表是通过各个策略标识进行区分的,当用户标识或可访问资源或可操作方式的增加、减少等发生变化时,可以先更新第二策略表,由于第二策略表包含了多个关系表,可以通过修改其中一个关系表就有可能完成数据的更新,能够提高策略表的更新效率,并设置更新后的版本号。在第二策略表更新之后,在根据第二策略表更新第一策略表,以保证第一策略表的准确性,并在第一策略表更新之后,更新第一策略表的版本号。第一鉴权单元13,用于若所述版本号检测单元检测所述第二策略表的当前版本号不高于所述第一策略表的当前版本号,则采用所述第一策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果。具体的,请一并参见图6,为本发明实施例提供了一种第一鉴权单元的结构示意图,如图6所示,所述第一鉴权单元13包括数据查找子单元131、第一判断子单元132、第二判断子单元133和结果确定子单元134。数据查找子单元131,用于从所述第一策略表中查找与所述用户标识对应的可访问资源和对所述可访问资源的可操作方式。具体的,所述数据查找子单元131从所述第一策略表中查找与所述用户标识对应的可访问资源和对所述可访问资源的可操作方式。第一判断子单元132,用于判断所述可访问资源中是否存在所述目标访问资源。具体的,所述第一判断子单元132在与所述目标用户标识对应的至少一个可访问资源中查找是否存在所述目标访问资源。若存在所述目标访问资源,则执行第二判断子单元133。第二判断子单元133,用于若所述第一判断子单元判断所述可访问资源中存在所述目标访问资源,则判断对所述目标访问资源的可操作方式中是否存在所述目标操作方式。具体的,所述第二判断子单元133判断所述可访问资源中存在所述目标访问资源,则进一步判断对所述目标访问资源的可操作方式中是否存在所述目标操作方式,若所述可操作方式中存在所述目标操作方式,则执行结果确定子单元134。结果确定子单元134,用于若所述第二判断子单元判断对所述目标访问资源的可操作方式中存在所述目标操作方式,则确定所述资源访问请求的鉴权结果为鉴权通过,并输出所述目标资源访问请求的鉴权结果。具体的,若对所述目标访问资源的可操作方式中存在所述目标操作方式,则所述结果确定子单元134确定所述资源访问请求的鉴权结果为鉴权通过,并输出所述目标资源访问请求的鉴权结果。可选的,若所述目标资源访问请求的鉴权结果为鉴权通过,则所述鉴权装置1对所述目标资源访问请求进行处理,即按照所述目标资源访问请求中的目标操作方式对目标访问资源进行处理,在处理完成之后,所述鉴权装置1可以将处理结果进行输出。第二鉴权单元15,用于若所述版本号检测单元检测所述第二策略表的当前版本号高于所述第一策略表的当前版本号,则采用所述第二策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果。具体的,若所述第二策略表的当前版本号高于所述第一策略表的当前版本号,则所述第二鉴权单元15采用所述第二策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果。所述第二鉴权单元15可以通过从多个关系表中查找是否存在所述目标资源访问请求对应的数据,以完成鉴权。策略表更新单元16,用于若所述版本号检测单元检测所述第二策略表的当前版本号高于所述第一策略表的当前版本号,则根据所述第二策略表,更新所述第一策略表。具体的,请一并参见图7,为本发明实施例提供了一种策略表更新单元的结构示意图,如图7所示,所述策略表更新单元16包括更新数据确定子单元161和策略表更新子单元162。更新数据确定子单元161,用于若所述版本号检测单元检测所述第二策略表的当前版本号高于所述第一策略表的当前版本号,根据所述第一策略表的当前版本号,与所述第二策略表的历史版本信息进行对比,确定所述第一策略表的未更新数据。策略表更新子单元162,用于按照所述未更新数据,对所述第一策略表进行更新,并将所述第一策略表的当前版本号变更为所述第二策略表的当前版本号。在本发明实施例中,当接收到用户的携带目标用户标识、目标访问资源和对目标访问资源的目标操作方式的目标资源访问请求时,当缓存表中不存在目标资源访问请求的鉴权结果时,若第二策略表的版本号部不高于第一策略表的版本号,则采用第一策略表对目标资源访问请求进行鉴权,若第二策略表的版本号部高于第一策略表的版本号,则采用第二策略表对目标资源访问请求进行鉴权,并将目标资源访问请求的鉴权结果进行输出。由于第一策略表是以用户标识分类的且为包含用户标识、可访问资源、对可访问资源的可操作方式的关系表,这样能够在一个关系表中查找相关数据,节省了查找目标资源访问请求的相关数据的时间,进而提高了对资源访问请求的鉴权效率,另外,由于第二策略表包含多个关系表,能够较快的完成更新,在第二策略表保存有最新数据且第一策略表未更新的情况下,可以通过第二策略表对目标资源请求进行鉴权,保证了鉴权的准确性。请参见图8,为本发明实施例提供了另一种鉴权装置的结构示意图。如图8所示,所述鉴权装置1000可以包括:至少一个处理器1001,例如CPU,至少一个网络接口1004,存储器1005,至少一个通信总线1002。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。其中,通信总线1002用于实现这些组件之间的连接通信。可选的,所述鉴权装置1000包括用户接口1003,其中,用户接口1003可以包括显示屏(Display)、键盘(Keyboard)。如图8所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及鉴权应用程序。在图8所示的鉴权装置1000中,用户接口1003主要用于接收用户发起的目标资源访问请求等;而处理器1001可以用于调用存储器1005中存储的鉴权应用程序,并具体执行以下操作:接收用户的目标资源访问请求,所述目标资源访问请求携带目标用户标识、目标访问资源和对所述目标访问资源的目标操作方式;在缓存表中查找是否存在所述目标资源访问请求的鉴权结果,所述缓存表包含接收到所述目标资源访问请求之前的预设时间段内的多个资源访问请求的鉴权结果;当所述缓存表中不存在所述目标资源访问请求的鉴权结果时,采用第一策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果;其中,所述第一策略表为包含用户标识、可访问资源、对所述可访问资源的可操作方式的关系表,所述第一策略表是以用户标识进行分类的,每个用户标识对应至少一个可访问资源,以及每个可访问资源对应至少一个可操作方式。在一个可能的实施例中,所述处理器1001执行采用第一策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果之前,还执行:检测第二策略表的当前版本号是否高于所述第一策略表的当前版本号;若否,则执行采用所述第一策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果的步骤;其中,所述第二策略表包含用户标识和用户组的关系表、用户组和策略标识的关系表、策略标识和可访问资源的映射表以及策略标识和可操作方式的映射表。在一个可能的实施例中,所述处理器1001还执行:若所述第二策略表的当前版本号高于所述第一策略表的当前版本号,则采用所述第二策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果。在一个可能的实施例中,所述处理器1001还执行若所述第二策略表的当前版本号高于所述第一策略表的当前版本号,则根据所述第二策略表,更新所述第一策略表。在一个可能的实施例中,所述处理器1001执行根据所述第二策略表,更新所述第一策略表,具体执行:根据所述第一策略表的当前版本号,与所述第二策略表的历史版本信息进行对比,确定所述第一策略表的未更新数据;按照所述未更新数据,对所述第一策略表进行更新,并将所述第一策略表的当前版本号变更为所述第二策略表的当前版本号。在一个可能的实施例中,所述处理器1001执行采用第一策略表对所述目标资源访问请求进行鉴权,并输出所述目标资源访问请求的鉴权结果,具体执行:从所述第一策略表中查找与所述用户标识对应的可访问资源和对所述可访问资源的可操作方式;判断所述可访问资源中是否存在所述目标访问资源;若所述可访问资源中存在所述目标访问资源,则判断对所述目标访问资源的可操作方式中是否存在所述目标操作方式;若对所述目标访问资源的可操作方式中存在所述目标操作方式,则确定所述资源访问请求的鉴权结果为鉴权通过,并输出所述目标资源访问请求的鉴权结果。需要说明的是,本发明实施例所描述的处理器1001所执行的步骤可根据上述图1-至图3所示方法实施例中的方法具体实现,此处不再赘述。在本发明实施例中,当接收到用户的携带目标用户标识、目标访问资源和对目标访问资源的目标操作方式的目标资源访问请求时,在缓存表中查找是否存在目标资源访问请求的鉴权结果,当缓存表中不存在目标资源访问请求的鉴权结果时,采用第一策略表对目标资源访问请求进行鉴权,并将目标资源访问请求的鉴权结果进行输出。由于第一策略表是以用户标识分类的且为包含用户标识、可访问资源、对可访问资源的可操作方式的关系表,这样能够在一个关系表中查找相关数据,节省了查找目标资源访问请求的相关数据的时间,进而提高了对资源访问请求的鉴权效率。本发明实施例中所述模块或单元,可以通过通用集成电路,例如CPU(CentralProcessingUnit,中央处理器),或通过ASIC(ApplicationSpecificIntegratedCircuit,专用集成电路)来实现。本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例终端中的模块或单元可以根据实际需要进行合并、划分和删减。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。当前第1页1 2 3