用户访问控制方法、装置、设备及存储介质与流程

本申请涉及通信，尤其涉及一种用户访问控制方法、装置、设备及存储介质。

背景技术：

1、随着计算机技术的不断发展，软件运营服务(software as a service，saas)平台的规模也在不断的增长，同时对于saas平台中的服务(即业务应用)进行访问控制的精度需求也越来越迫切。当前可以通过基于角色的访问控制(role-based access control，rbac)权限控制模型为不同的用户赋予不同的角色，以实现不同的用户在进行访问控制时拥有不用的操作权限。

2、在上述方法中，rbac权限控制模型只支持接口维度的访问控制，不支持多种维度的访问控制需求，具体的，当从数据权限维度或环境维度(例如服务运行所属环境、请求来源、请求时间段、访问资源)对用户进行访问控制时，需要修改saas平台中部署服务的源代码或更改上游的服务配置，并重新发布修改后的服务。从而，对用户进行访问控制的效率较差。

技术实现思路

1、本申请提供一种用户访问控制方法、装置、设备及存储介质，用于解决基于rbac权限控制模型对用户进行访问控制时，不支持多种维度的访问控制需求的问题，从而提高对用户进行访问控制的效率。

2、为达到上述目的，本申请采用如下技术方案：

3、第一方面，提供了一种用户访问控制方法，方法包括：通过授权服务获取目标用户的目标访问请求，目标访问请求用于请求访问目标软件服务；基于目标访问请求，确定目标用户对应的策略语句，策略语句包括以下至少一项：授权结果、操作权限、授权资源、授权条件、授权用户；基于目标用户对应的策略语句，确定是否允许目标用户访问目标软件服务。

4、在一种可能的实现方式中，基于目标访问请求，确定目标用户对应的策略语句，包括：基于目标访问请求，通过授权服务从策略存储中心获取目标用户对应的目标策略模型，策略存储中心存储有多个策略模型，每个策略模型包括以下至少一项：策略权限域、策略版本号、策略名称、策略语句、策略用户、策略状态标识；基于目标用户对应的策略模型，确定目标用户对应的策略语句。

5、在一种可能的实现方式中，基于目标用户对应的策略语句，确定是否允许目标用户访问目标软件服务，包括：基于目标用户对应的策略语句包括的授权条件，确定目标软件服务对应的上下文信息；基于目标用户对应的策略语句和目标软件服务对应的上下文信息，确定是否允许目标用户访问目标软件服务。

6、在一种可能的实现方式中，基于目标用户对应的策略语句，确定是否允许目标用户访问目标软件服务，包括：基于目标用户对应的策略语句，确定允许目标用户访问目标软件服务，并通过授权服务将目标访问请求发送至目标软件服务；或者，基于目标用户对应的策略语句，确定拒绝目标用户访问目标软件服务，并通过授权服务拦截目标访问请求。

7、在一种可能的实现方式中，方法还包括：确定目标用户的访问需求，并基于目标用户的访问需求，对目标用户对应的策略语句进行修改，目标用户的访问需求包括以下至少一项：请求数据类型、请求服务运行所属环境、请求时间段、请求资源。

8、第二方面，提供了一种用户访问控制装置，用户访问控制装置包括：传输单元、确定单元以及处理单元；传输单元，用于通过授权服务获取目标用户的目标访问请求，目标访问请求用于请求访问目标软件服务；确定单元，用于基于目标访问请求，确定目标用户对应的策略语句，策略语句包括以下至少一项：授权结果、操作权限、授权资源、授权条件、授权用户；确定单元，还用于基于目标用户对应的策略语句，确定是否允许目标用户访问目标软件服务。

9、在一种可能的实现方式中，传输单元，还用于基于目标访问请求，通过授权服务从策略存储中心获取目标用户对应的目标策略模型，策略存储中心存储有多个策略模型，每个策略模型包括以下至少一项：策略权限域、策略版本号、策略名称、策略语句、策略用户、策略状态标识；确定单元，还用于基于目标用户对应的策略模型，确定目标用户对应的策略语句。

10、在一种可能的实现方式中，确定单元，还用于基于目标用户对应的策略语句包括的授权条件，确定目标软件服务对应的上下文信息；确定单元，还用于基于目标用户对应的策略语句和目标软件服务对应的上下文信息，确定是否允许目标用户访问目标软件服务。

11、在一种可能的实现方式中，确定单元，还用于基于目标用户对应的策略语句，确定允许目标用户访问目标软件服务；传输单元，还用于通过授权服务将目标访问请求发送至目标软件服务；确定单元，还用于基于目标用户对应的策略语句，确定拒绝目标用户访问目标软件服务；处理单元，用于通过授权服务拦截目标访问请求。

12、在一种可能的实现方式中，确定单元，还用于确定目标用户的访问需求；处理单元，还用于基于目标用户的访问需求，对目标用户对应的策略语句进行修改，目标用户的访问需求包括以下至少一项：请求数据类型、请求服务运行所属环境、请求时间段、请求资源。

13、第三方面，一种电子设备，包括：处理器以及存储器；其中，存储器用于存储一个或多个程序，一个或多个程序包括计算机执行指令，当电子设备运行时，处理器执行存储器存储的计算机执行指令，以使电子设备执行如第一方面的一种用户访问控制方法。

14、第四方面，提供了一种存储一个或多个程序的计算机可读存储介质，该一个或多个程序包括指令，上述指令当被计算机执行时使计算机执行如第一方面的一种用户访问控制方法。

15、本申请提供了一种用户访问控制方法、装置、设备及存储介质，应用于用户访问控制的场景中。在需要对用户进行访问控制时，可以通过授权服务获取目标用户用于请求访问目标软件服务的目标访问请求，并基于目标访问请求确定目标用户对应的包括授权结果、操作权限、授权资源、授权条件、授权用户中至少一项的策略语句，以基于目标用户对应的策略语句，确定是否允许目标用户访问目标软件服务，即可以将目标用户和目标软件服务与目标用户对应的策略语句进行匹配，根据策略语句确定是否允许目标用户访问目标软件服务。通过上述方法，可以通过授权服务确定能够从多种维度对用户进行访问控制的策略语句，以基于策略语句从多种维度对用户进行访问控制，从而解决了现有技术中基于rbac权限控制模型对用户进行访问控制时，不支持多种维度的访问控制需求的问题，提高了对用户进行访问控制的效率。

技术特征：

1.一种用户访问控制方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述基于所述目标访问请求，确定所述目标用户对应的策略语句，包括：

3.根据权利要求1或2所述的方法，其特征在于，所述基于所述目标用户对应的策略语句，确定是否允许所述目标用户访问所述目标软件服务，包括：

4.根据权利要求3所述的方法，其特征在于，所述基于所述目标用户对应的策略语句，确定是否允许所述目标用户访问所述目标软件服务，包括：

5.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

6.一种用户访问控制装置，其特征在于，所述用户访问控制装置包括：传输单元、确定单元以及处理单元；

7.根据权利要求6所述的用户访问控制装置，其特征在于，所述传输单元，还用于基于所述目标访问请求，通过所述授权服务从策略存储中心获取所述目标用户对应的目标策略模型，所述策略存储中心存储有多个策略模型，每个策略模型包括以下至少一项：策略权限域、策略版本号、策略名称、策略语句、策略用户、策略状态标识；

8.根据权利要求6或7所述的用户访问控制装置，其特征在于，所述确定单元，还用于基于所述目标用户对应的策略语句包括的所述授权条件，确定所述目标软件服务对应的上下文信息；

9.根据权利要求8所述的用户访问控制装置，其特征在于，所述确定单元，还用于基于所述目标用户对应的策略语句，确定允许所述目标用户访问所述目标软件服务；

10.根据权利要求6或7所述的用户访问控制装置，其特征在于，所述确定单元，还用于确定所述目标用户的访问需求；

11.一种电子设备，其特征在于，包括：处理器以及存储器；其中，所述存储器用于存储一个或多个程序，所述一个或多个程序包括计算机执行指令，当所述电子设备运行时，处理器执行所述存储器存储的所述计算机执行指令，以使所述电子设备执行权利要求1-5中任一项所述的一种用户访问控制方法。

12.一种存储一个或多个程序的计算机可读存储介质，其特征在于，所述一个或多个程序包括指令，所述指令当被计算机执行时使所述计算机执行如权利要求1-5中任一项所述的一种用户访问控制方法。

技术总结
本申请公开了一种用户访问控制方法、装置、设备及存储介质，涉及通信技术领域，用于提高对用户进行访问控制的效率。方法包括：通过授权服务获取目标用户的目标访问请求，目标访问请求用于请求访问目标软件服务；基于目标访问请求，确定目标用户对应的策略语句，策略语句包括以下至少一项：授权结果、操作权限、授权资源、授权条件、授权用户；基于目标用户对应的策略语句，确定是否允许目标用户访问目标软件服务。本申请应用于对用户进行访问控制的场景中。

技术研发人员：刘坤,江青松,陈坚,陈丽燕
受保护的技术使用者：中国联合网络通信集团有限公司
技术研发日：
技术公布日：2024/1/14