用户权限管理方法、系统、设备和计算机可读存储介质与流程

本发明涉及信息安全技术领域，特别是涉及一种用户权限管理方法、系统、装置、计算设备和计算机可读存储介质。

背景技术：

一般地，在一个系统或应用平台中可能会有多个应用接入，这多个应用可能分别有各自的权限管理系统，且管理方式多种多样。

本申请的发明人意识到，一个系统或应用平台中的多个应用的权限管理方式不一样会导致安全风险，因此，存在对各应用的用户权限进行集中管理的需要。

技术实现要素：

为解决以上问题中的一个或多个，本发明实施例提供了一种用户权限管理方法、系统、装置、计算设备和计算机可读存储介质。

根据本申请的第一方面，提供一种用户权限管理方法，其包括：

对于一个或多个应用中的每个应用，通过反向代理平台拦截用户对该应用的用户请求；

由鉴权中心根据所述用户请求对所述用户的用户权限进行鉴定；

根据用户权限的鉴定结果，通过反向代理平台对用户请求进行反馈。

根据一示例性实施例，所述由鉴权中心根据所述用户请求对所述用户的用户权限进行鉴定包括：

根据所述用户请求生成所述用户请求对应的权限编号；

查询所述权限编号是否是所述用户具有的权限编号；

在所述权限编号是所述用户具有的权限编号的情况下，判定所述用户具有满足所述用户请求的用户权限。

根据一示例性实施例，在查询所述权限编号是否是所述用户具有的权限编号之前，所述用户权限管理方法还包括：

从所述用户请求中获取token信息；

根据所述token信息得到所述用户的用户名。

根据一示例性实施例，所述根据用户权限的鉴定结果，通过反向代理平台对用户请求进行反馈，包括如下中的任一个：

在判定所述用户具有满足所述用户请求的用户权限的情况下，由所述反向代理平台通过反向代理将所述用户连接到该应用；

在判定所述用户不具有满足所述用户请求的用户权限的情况下，通过反向代理平台向用户返回没有权限的提示和/或将用户重定向到登录页面。

根据一示例性实施例，所述权限编号包括如下项中的一个或多个：所请求的应用的应用编号、所述用户请求涉及的菜单编号和角色编号。

根据一示例性实施例，在所述权限编号是所述用户具有的权限编号的情况下，判定所述用户具有满足所述用户请求的用户权限，包括：

在所述权限编号是所述用户具有的权限编号的情况下，根据所述用户的用户名以及实时时间进行双因素认证；以及

在通过了双因素认证的情况下，判定所述用户具有满足所述用户请求的用户权限。

根据一示例性实施例，在所述用户请求为登录请求的情况下，所述由鉴权中心根据所述用户请求对所述用户的用户权限进行鉴定包括：

对登录请求中的用户帐号和密码进行验证。

根据一示例性实施例，所述根据用户权限的鉴定结果，通过反向代理平台对用户请求进行反馈，包括如下中的任一个：

在用户帐号和密码被验证通过的情况下，通过反向代理平台向用户返回登录成功的提示；

在用户帐号和密码未被验证通过的情况下，通过反向代理平台向用户返回用户登录失败的提示。

根据本申请的第二方面，提供一种用户权限管理系统，所述用户权限管理系统用于一个或多个应用，所述用户权限管理系统包括反向代理平台和鉴权中心，其中：

反向代理平台被配置为：

通过反向代理平台拦截用户对所述一个或多个应用中的每个应用的用户请求；

根据鉴权中心返回的用户权限的鉴定结果，对用户请求进行反馈；

鉴权中心被配置为：

根据所述用户请求对所述用户的用户权限进行鉴定，并向反向代理平台返回用户权限的鉴定结果。

根据本申请的第三方面，提供一种用户权限管理装置，其特征在于，包括：

拦截模块，其被配置为：对于一个或多个应用中的每个应用，通过反向代理拦截用户对该应用的用户请求；

鉴权模块，其被配置为：根据所述用户请求对所述用户的用户权限进行鉴定；

反馈模块，其被配置为：根据用户权限的鉴定结果，通过反向代理对用户请求进行反馈。

根据一示例性实施例，所述鉴权模块包括：

权限编号生成单元，其被配置为：根据所述用户请求生成所述用户请求对应的权限编号；

查询单元，其被配置为：查询所述权限编号是否是所述用户具有的权限编号；

判断单元，其被配置为：在所述权限编号是所述用户具有的权限编号的情况下，判定所述用户具有满足所述用户请求的用户权限。

根据一示例性实施例，所述用户权限管理装置还包括：

用户名获取模块，其被配置为：从所述用户请求中获取token信息，并根据所述token信息得到所述用户的用户名。

根据一示例性实施例，所述反馈模块包括：

连接单元，其被配置为：在判定所述用户具有满足所述用户请求的用户权限的情况下，通过反向代理将所述用户连接到该应用；

失败反馈单元，其被配置为：在判定所述用户不具有满足所述用户请求的用户权限的情况下，通过反向代理向用户返回没有权限的提示和/或将用户重定向到登录页面。

根据一示例性实施例，所述鉴权模块包括：

登录验证单元，其被配置为：在所述用户请求为登录请求的情况下，对登录请求中的用户帐号和密码进行验证。

根据一示例性实施例，所述反馈模块包括：

登录成功单元，其被配置为：在用户帐号和密码被验证通过的情况下，通过反向代理向用户返回登录成功的提示；

登录失败单元，其被配置为：在用户帐号和密码未被验证通过的情况下，通过反向代理向用户返回用户登录失败的提示。

根据本申请的第四方面，提供一种计算设备，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令在被所述处理器执行时，使得所述计算设备执行如上所述的方法实施例中的任一个。

根据本申请的第五方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序在被一个或多个处理器执行时实现如上所述的方法实施例中的任一个。

本申请的实施例提供的技术方案可以包括以下有益效果：

通过本申请如上所述以及如下所述的各实施例，可以实现对系统中多个应用的用户权限的集中管理，降低了安全风险。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。

附图说明

图1是根据一示例性实施例示出的本申请所涉及的实施环境的示意简图。

图2是根据本申请一示例性实施例示出的用户权限管理方法的示意流程图。

图3是根据本申请一示例性实施例示出的用户权限管理方法中的步骤s220的具体实现方式的示意流程图。

图4是根据图3对应实施例示出的用户权限管理方法中步骤s330之前的步骤的示意流程图。

图5是根据本申请一示例性实施例示出的用户权限管理装置的示意组成框图。

图6是根据本申请一示例性实施例示出的计算设备的示意组成框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明的示例性实施例进行进一步详细说明。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。应当理解，此处所描述的具体实施例仅仅用于解释本发明，并不用于限定本发明。

图1是根据一示例性实施例示出的本申请所涉及的实施环境的示意简图。如图1所示，本申请实施例的用户权限管理系统可以包括由系统或应用平台中的一个或多个应用(图1中以应用1、应用2、应用3为例)共用的反向代理平台110和鉴权中心120。所述一个或多个应用的用户权限由反向代理平台110和鉴权中心120来统一地集中式管理。用户可以通过客户端(例如客户端上的浏览器或app)访问应用，向应用发送用户请求。反向代理平台110拦截用户针对每个应用的用户请求，由鉴权中心120来统一鉴权并将鉴权结果返回给反向代理平台110，反向代理平台110根据鉴权结果对用户请求进行反馈。这样，所有的应用都由反向代理平台110进行反向代理，而不允许对它们的直接访问，从而实现了由反向代理平台110和鉴权中心120进行集中式权限管理，可以实现对系统中多个应用的用户权限的集中管理，降低了安全风险。图1及以上描述只是本申请所涉及的实施环境的示例性实施例，可以理解的是，适用于本申请的实施环境存在多种变形。

图2是根据本申请的一示例性实施例示出的用户权限管理方法的示意流程图。如图2的示例性实施例所示，该方法可以包括步骤：

s210，对于一个或多个应用中的每个应用，通过反向代理平台拦截用户对该应用的用户请求。

为了进行集中式权限管理，通过共用的反向代理平台来对所有用户请求执行统一的拦截。在一个实施例中，反向代理平台为通过nginx+lua实现的openrestyweb平台。nginx把基于用户请求的、用户与所请求的应用之间的会话分成了很多阶段，其中两个阶段一个为access_by_lua，另一个为content_by_lua。在一个实施例中，反向代理平台在access_by_lua阶段进行拦截。在另一实施例中，反向代理平台在content_by_lua阶段进行拦截。

s220，由鉴权中心根据所述用户请求对所述用户的用户权限进行鉴定。

要实现用户请求，需要用户具有该用户请求对应的用户权限。因此，需要对用户的用户权限进行鉴定。在现有技术中，每个应用分别具有自己的鉴权模块和权限管理方式。在本申请的实施例中，通过共用的鉴权中心来对每个应用的用户请求进行统一的鉴权处理，并将鉴权结果返回给反向代理平台。

s230，根据用户权限的鉴定结果，通过反向代理平台对用户请求进行反馈。

收到鉴权结果后，反向代理平台根据鉴权结果对用户请求进行反馈处理，例如，在用户具有用户请求所对应的用户权限的情况下，通过反向代理将用户连接到所请求的应用，或者在用户不具有用户请求所对应的用户权限的情况下，向用户返回错误提示，等等。

图3是根据本申请一示例性实施例示出的用户权限管理方法中的步骤s220的具体实现方式的示意流程图。如图3所示，步骤s220可以包括步骤：

s310，根据所述用户请求生成所述用户请求对应的权限编号。

在一个示例中，用户请求是由于用户例如点击了某应用的用户操作界面上的某个菜单选项而引起的。在用户请求中会携带这些信息。在鉴权中心预存有每个应用的应用编号、菜单编号以及角色编号(例如，管理员角色，普通用户角色等等)。鉴权中心根据用户请求查找对应的应用编号、菜单编号以及角色编号并据此生成该用户请求对应的权限编号。在一个示例中，权限编号包括如下项：所请求的应用的应用编号、所述用户请求涉及的菜单编号、角色编号或者它们的组合。

在另一个示例中，当用户例如点击了某应用的用户操作界面上的某个菜单选项时，应用所生成的用户请求中会包括有所请求的应用的应用编号、所述用户请求涉及的菜单编号、角色编号等信息，鉴权中心可以根据这些信息直接生成权限编号，或者应用在生成用户请求时会自动包括该用户请求对应的权限编号，无需鉴权中心生成。

在又一示例中，权限编号不是由鉴权中心、而是由反向代理平台生成并将其发送给鉴权中心。

s320，查询所述权限编号是否为所述用户所具有的权限编号。

在一个示例中，在鉴权中心保存有每个用户所具有的权限编号列表，所述权限编号的形式与在步骤s310的上述描述中提到的一样。可以通过查询发送用户请求的用户的权限编号列表看用户请求对应的权限编号是否在该权限编号列表中，由此判断用户请求对应的权限编号是否为该用户所具有的权限编号。

在另一示例中，在鉴权中心保存有每个权限编号列表所对应的用户名清单，所述权限编号的形式与在步骤s310的上述描述中提到的一样。可以通过查询用户请求所对应的权限编号的用户名清单，看发送用户请求的用户的用户名是否在该清单中，由此判断用户请求对应的权限编号是否为该用户所具有的权限编号。

在一个实施例中，在判断权限编号是否为该用户所具有的权限编号之前，还可以包括获取发送用户请求的用户的用户名的步骤，以便根据用户名获取该用户的权限编号列表，从而查询根据用户请求所生成的权限编号是否在该用户的权限编号列表中。获取用户的用户名的方式可以是多种多样的，例如，可以在用户请求中直接包括用户的用户名，以便鉴权中心从中获取，也可以从其他信息例如token信息中获取，等等。图4示出了根据一示例性实施例的获取用户名的示意流程图。如图4所示，该流程包括步骤：

s410，从所述用户请求中获取token信息；

s420，根据所述token信息得到所述用户的用户名。

在一个示例中，步骤s420包括解密token信息的步骤，然后从解密的token信息中获取用户名。

在一个示例中，上述步骤s410和s420由反向代理平台来执行并将用户名提供给鉴权中心。在另一示例中，上述步骤s410和s420由鉴权中心来执行。

下面返回图3的步骤s330：

s330，在所述权限编号为所述用户所具有的权限编号的情况下，判定所述用户具有满足所述用户请求的用户权限。

如果用户请求对应的权限编号在用户的权限编号列表中，则表明用户具有满足该用户请求的用户权限，否则，说明其不具有该权限。

在一个实施例中，在步骤s330中进一步引入了双因素认证来进行鉴权，即，在所述权限编号是用户具有的权限编号的情况下，还根据用户名以及实时时间进行双因素认证，在通过了双因素认证的情况下，才判定所述用户具有满足所述用户请求的用户权限。

双因素认证是一种采用时间同步技术的系统，采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥，该密钥同时存放在服务器端，每次认证时动态密码卡与服务器分别根据同样的密钥，同样的随机参数(时间、事件)和同样的算法计算认证的动态密码，从而确保密码的一致性，从而实现了用户的认证。因每次认证时的随机参数不同，所以每次产生的动态密码也不同。由于每次计算时参数的随机性保证了每次密码的不可预测性，从而在最基本的密码认证这一环节保证了系统的安全性。解决因口令欺诈而导致的重大损失，防止恶意入侵者或人为破坏，解决由口令泄密导致的入侵问题。在上面所述的示例中，在所述权限编号是用户具有的权限编号的情况下，还要求用户输入由其他途径(比如手机、ukey等)收到的口令，如果是在规定时间内输入的正确口令，则认为通过双因素认证，否则认为不通过。

在判定所述用户具有满足所述用户请求的用户权限的情况下，步骤s230可以包括：由所述反向代理平台通过反向代理将所述用户连接到该应用；

在判定所述用户不具有满足所述用户请求的用户权限的情况下，步骤s230可以包括：通过反向代理平台向用户返回没有权限的提示和/或将用户重定向到登录页面。

在以上所述的各实施例中，用户请求为一般的访问请求，而登录请求为一种特别的用户请求。在用户请求为登录请求的情况下，步骤s220包括：由鉴权中心对登录请求中的用户帐号和密码进行验证。在用户帐号和密码被验证通过的情况下，步骤s230可以包括：通过反向代理平台向用户返回登录成功的提示。在用户帐号和密码未被验证通过的情况下，步骤s230可以包括：通过反向代理平台向用户返回用户登录失败的提示。

图5是根据本申请一示例性实施例示出的用户权限管理装置的示意组成框图。该装置501用于执行如上所述的用户权限管理方法的各实施例。该装置501被配置为实现如上所述的反向代理平台和鉴权中心二者的功能。如图5所示，示例用户权限管理装置501包括：

拦截模块510，其被配置为：对于一个或多个应用中的每个应用，通过反向代理拦截用户对该应用的用户请求；

鉴权模块520，其被配置为：根据所述用户请求对所述用户的用户权限进行鉴定；

反馈模块530，其被配置为：根据用户权限的鉴定结果，通过反向代理对用户请求进行反馈。

根据图5所示的实施例，鉴权模块520进一步包括：

权限编号生成单元521，其被配置为：根据所述用户请求生成所述用户请求所需的权限编号；

查询单元522，其被配置为：查询所述权限编号是否是所述用户具有的权限编号；

判断单元523，其被配置为：在所述权限编号是所述用户具有的权限编号的情况下，判定所述用户具有满足所述用户请求的用户权限。

根据图5所示的实施例，该装置还包括：

用户名获取模块540，其被配置为：从所述用户请求中获取token信息，并根据所述token信息得到所述用户的用户名。

根据图5所示的实施例，反馈模块530进一步包括：

连接单元531，其被配置为：在判定所述用户具有满足所述用户请求的用户权限的情况下，通过反向代理将所述用户连接到该应用；

失败反馈单元532，其被配置为：在判定所述用户不具有满足所述用户请求的用户权限的情况下，通过反向代理向用户返回没有权限的提示和/或将用户重定向到登录页面。

根据图5所示的实施例，鉴权模块520还包括：

登录验证单元524，其被配置为：在所述用户请求为登录请求的情况下，对登录请求中的用户帐号和密码进行验证。

根据图5所示的实施例，反馈模块530还包括：

登录成功单元533，其被配置为：在用户帐号和密码被验证通过的情况下，通过反向代理向用户返回登录成功的提示；

登录失败单元534，其被配置为：在用户帐号和密码未被验证通过的情况下，通过反向代理向用户返回用户登录失败的提示。

上述装置中各个单元/模块的功能和作用的实现过程以及相关细节具体详见上述方法实施例中对应步骤的实现过程，在此不再赘述。

以上各实施例中的装置实施例可以通过硬件、软件、固件或其组合的方式来实现，并且其可以被实现为一个单独的装置，也可以被实现为各组成单元/模块分散在一个或多个计算设备中并分别执行相应功能的逻辑集成系统。

以上各实施例中组成该装置的各单元/模块是根据逻辑功能而划分的，它们可以根据逻辑功能被重新划分，例如可以通过更多或更少的单元/模块来实现该装置。这些组成单元/模块分别可以通过硬件、软件、固件或其组合的方式来实现，它们可以是分别的独立部件，也可以是多个组件组合起来执行相应的逻辑功能的集成单元/模块。所述硬件、软件、固件或其组合的方式可以包括：分离的硬件组件，通过编程方式实现的功能模块、通过可编程逻辑器件实现的功能模块，等等，或者以上方式的组合。

根据一个示例性实施例，该装置可被实现为一种计算设备，该计算设备包括存储器和处理器，所述存储器中存储有计算机程序，所述计算机程序在被所述处理器执行时，使得所述处理器执行如上所述的各方法实施例中的任一个，或者，所述计算机程序在被所述处理器执行时使得该计算设备实现如上所述的用户权限管理装置各实施例的组成单元/模块所实现的功能。

上面的实施例中所述的处理器可以指单个的处理单元，如中央处理单元cpu，也可以是包括多个分散的处理单元的分布式处理器系统。

上面的实施例中所述的存储器可以包括一个或多个存储器，其可以是计算设备的内部存储器，例如暂态或非暂态的各种存储器，也可以是通过存储器接口连接到计算设备的外部存储装置。

图6示出了这样的计算设备601的一个示例性实施例的示意组成框图。如图6所示，计算设备601可以包括：处理器610、通信接口620、存储器630和总线640。存储器630内存储有可被处理器610执行的计算机程序。处理器610执行所述计算机程序时实现上述实施例中的方法及装置的功能。存储器630和处理器610的数量分别可以为一个或多个。通信接口620用于处理器610与外部设备之间的通信。

其中，处理器610可以是中央处理单元、通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的流程步骤、功能单元/模块和/或电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合、数字信号处理器等等。

存储器630可以包括易失性存储器和/或非易失性存储器，例如非易失性动态随机存取存储器、相变随机存取存储器、磁阻式随机存取存储器、磁盘存储器、电子可擦除可编程只读存储器、闪存器件、半导体器件(例如固态硬盘)等。存储器630可选地还可以是外部远程存储装置。

总线640可以是工业标准体系结构(isa，industrystandardarchitecture)总线、外部设备互连(pci，peripheralcomponent)总线或扩展工业标准体系结构(eisa，extendedindustrystandardcomponent)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。可选地，如果存储器630、处理器610及通信接口620集成在一块芯片上，则存储器630、处理器610及通信接口620可以通过内部接口完成相互间的通信。

以上各方法和装置实施例还可以被实现为计算机程序的形式，被存储在存储介质上，并且可被分发。因此，根据本公开的另一方面，还提供一种计算机程序产品，该计算机程序产品被存储在计算机可读存储介质上，并且在被处理器执行时实现如上所述的各方法和装置实施例中的任一个。根据本公开的又一方面，还提供一种计算机可读存储介质，其上存储有可供处理器执行的计算机程序，所述计算机程序在被处理器执行时实现如上所述的各方法和装置实施例中的任一个。

该计算机可读存储介质可以是任何可以保持和存储可由指令执行设备使用的指令的有形设备。例如，其可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、静态随机存取存储器(sram)、便携式压缩盘只读存储器(cd-rom)、数字多功能盘(dvd)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。

这里所描述的计算机程序/计算机指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

本公开中所述的计算机程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如smalltalk、c++等，以及常规的过程式编程语言—诸如“c”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla)，该电子电路可以执行计算机可读程序指令，从而实现本发明的各个方面。

这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。对于本领域技术人员来说公知的是，通过硬件方式实现、通过软件方式实现以及通过软件和硬件结合的方式实现都是等价的。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。但本领域技术人员应当清楚的是，上述各实施例可以根据需要单独使用或者相互结合使用。另外，对于装置实施例而言，由于其是与方法实施例相对应，所以描述得比较简单，相关之处参见方法实施例的对应部分的说明即可。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。