资源处理方法、装置和机器可读介质与流程

本申请涉及数据资源技术领域，特别是涉及一种资源处理方法、装置和机器可读介质。

背景技术：

目前，为了提高资源的安全性，资源处理系统可以向用户授权，并依据用户的资源操作请求，通过鉴权对该资源操作请求的合法性进行判断。

现有方案的一种授权过程可以为：依据资源id(标识，identity)等信息，为用户生成授权规则；在鉴权时，资源操作请求中可以携带用户标识、资源id及资源操作等信息，相应的鉴权过程可以为：依据该用户标识对应的授权规则，判断该用户标识是否具备针对该资源id执行该资源操作的操作权限。

发明人在实施本申请实施例的过程中发现，现有方案至少存在如下问题：在需要向一个用户授予多个资源的操作权限的情况下，需要按照多个资源的资源id逐个生成对应的多个授权规则，并针对多个授权规则逐个建立其与用户之间的关联，这导致授权过程较为繁琐，且授权效率较低。

技术实现要素：

本申请实施例公开了一种资源处理方法、装置和机器可读介质，可以简化授权过程，且可以提高授权效率。

一个方面，本申请实施例公开了一种资源处理方法，包括：获取资源操作请求、以及所述资源操作请求对应的请求用户标识和目标资源标签；依据授权规则与用户标识之间的关联关系，获取所述请求用户标识对应的目标授权规则；依据所述目标授权规则和所述目标资源标签，对所述资源操作请求进行鉴权，以得到所述资源操作请求对应的鉴权结果。

另一个方面，本申请实施例公开了一种资源处理方法，包括：根据资源标签生成授权规则；其中，一个所述资源标签对应至少一个资源，所述授权规则用于表征对于带有所述资源标签的资源的操作权限；建立所述授权规则与用户标识之间的关联关系，以向所述用户标识授予所述授权规则表征的操作权限。

再一个方面，本申请实施例公开了一种资源处理装置，包括：

请求信息获取模块，用于获取资源操作请求、以及所述资源操作请求对应的请求用户标识和目标资源标签；一个所述目标资源标签对应至少一个资源；

目标授权规则获取模块，用于依据授权规则与用户标识之间的关联关系，获取所述请求用户标识对应的目标授权规则；

鉴权模块，用于依据所述目标授权规则和所述目标资源标签，对所述资源操作请求进行鉴权，以得到所述资源操作请求对应的鉴权结果。

又一个方面，本申请实施例公开了一种资源处理装置，包括：

授权规则生成模块，用于根据资源标签生成授权规则；其中，一个所述资源标签对应至少一个资源，所述授权规则用于表征对于带有所述资源标签的资源的操作权限；以及

关联建立模块，用于建立所述授权规则与用户标识之间的关联关系，以向所述用户标识授予所述授权规则表征的操作权限。

另一个方面，本申请实施例公开了一种装置，包括：

一个或多个处理器；和

其上存储有指令的一个或多个机器可读介质，当由所述一个或多个处理器执行时，使得所述装置执行前述的方法。

再一个方面，本申请实施例公开了一个或多个机器可读介质，其上存储有指令，当由一个或多个处理器执行时，使得装置执行前述的方法。

又一个方面，本申请实施例公开了一种装置，包括：

一个或多个处理器；和

其上存储有指令的一个或多个机器可读介质，当由所述一个或多个处理器执行时，使得所述装置执行前述的方法。

又一个方面，本申请实施例公开了一个或多个机器可读介质，其上存储有指令，当由一个或多个处理器执行时，使得装置执行前述的方法。

与现有方案相比，本申请实施例包括以下优点：

本申请实施例的资源处理方法，可以通过资源标签赋予用户对于带有所述资源标签的资源的操作权限，具体地，可以根据资源标签生成授权规则；建立所述授权规则与用户标识之间的关联关系，以向所述用户标识授予所述授权规则表征的操作权限。由于一个所述资源标签可以对应至少一个资源，所述授权规则可用于表征对于带有所述资源标签的资源的操作权限，故本申请实施例可以通过一个授权规则向一个用户授予至少一个资源的操作权限，因此可以简化授权过程，且可以提高授权效率。

并且，本申请实施例的资源处理方法，可以针对资源操作请求对应的请求用户标识，获取所述请求用户标识对应的目标授权规则，并依据所述目标授权规则和所述目标资源标签，对所述资源操作请求进行鉴权，以得到所述资源操作请求对应的鉴权结果，因此能够提高资源的安全性。

附图说明

图1是本申请的一种资源处理方法的应用环境的示意图；

图2是本申请的一种资源处理方法实施例的流程图；

图3是本申请的另一种资源处理方法实施例的流程图；

图4是本申请的一种资源处理装置实施例的结构框图；

图5是本申请的另一种资源处理装置实施例的结构框图；以及

图6是本申请一实施例提供的装置的结构示意图。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。

本申请的构思易于进行各种修改和替代形式，其具体实施例已经通过附图的方式示出，并将在这里详细描述。然而，应该理解，上述内容并不是用来将本申请的构思限制为所公开的具体形式，相反地，本申请的说明书和附加权利要求书意欲覆盖所有的修改、等同和替代的形式。

本说明书中的“一个实施例”，“实施例”，“一个具体实施例”等，表示所描述的实施例可以包括特定特征、结构或特性，但是每个实施例可以包括或可以不必然包括该特定特征、结构或特性。此外，这样的短语不一定指的是同一实施例。另外，在联系一个实施例描述特定特征、结构或特性的情况下，无论是否明确描述，可以认为本领域技术人员所知的范围内，这样的特征、结构或特性也与其他实施例有关。另外，应该理解的是，“在a，b和c的至少一个”这种形式所包括的列表中的条目中，可以包括如下可能的项目：(a)；(b)；(c)；(a和b)；(a和c)；(b和c)；或(a，b和c)。同样，“a，b或c中的至少一个”这种形式列出的项目可能意味着(a)；(b)；(c)；(a和b)；(a和c)；(b和c)；或(a，b和c)。

在一些情况下，所公开的实施例可以被实施为硬件、固件、软件或其任意组合。所公开的实施例也可以实现为携带或存储在一个或多个暂时的或者非暂时的机器可读(例如计算机可读)存储介质中的指令，该指令可以被一个或多个处理器执行。机器可读存储介质可以实施为用于以能够被机器读取的形式存储或者传输信息的存储装置、机构或其他物理结构(例如易失性或非易失性存储器、介质盘、或其他媒体其它物理结构装置)。

在附图中，一些结构或方法特征可以以特定的安排和/或排序显示。然而，优选地，这样的具体安排和/或排序并不是必要的。相反，在一些实施方案中，这样的特征可以以不同的方式和/或顺序排列，而不是如附图中所示。此外，特定的附图中的结构或方法特征中所包含的内容，不意味着暗示这种特征是在所有实施例是必须的，并且在一些实施方案中，可能不包括这些特征，或者可能将这些特征与其它特征相结合。

本申请实施例提供了一种资源处理方案，该方案可以通过资源标签赋予用户对于带有所述资源标签的资源的操作权限，具体地，可以根据资源标签生成授权规则；建立所述授权规则与用户标识之间的关联关系，以向所述用户标识授予所述授权规则表征的操作权限。由于一个所述资源标签可以对应多个资源，所述授权规则可用于表征对于带有所述资源标签的资源的操作权限，故本申请实施例可以通过一个授权规则向一个用户授予多个资源的操作权限，因此可以简化授权过程，且可以提高授权效率。

本申请实施例可以对任意应用场景下的资源进行处理。上述应用场景的例子可以包括：云资源管理的场景、和/或企业资源管理的场景等。其中。在企业资源管理的场景中，假设一个企业具有多个员工，若存在通过一个员工管理至少一个资源的需求，则可以通过资源标签向一个员工授予至少一个资源的操作权限。可以理解，本申请实施例对于具体的应用场景不加以限制。

本申请实施例中，资源的例子可以包括：磁盘、实例、带宽、内存等。可选地，资源标签可以为资源的特征，根据一些实施例，可以为资源添加其特征对应的资源标签，这样，具有相同特征的资源可以对应有相同的资源标签。以资源为磁盘为例，可以依据磁盘的“容量”特征为磁盘添加对应的资源标签。例如，磁盘对应的资源标签可以包括：“大容量”、“中容量”、“小容量”等，则一个资源标签可以对应有至少一个磁盘。根据一些实施例，一个资源可以对应有一个或多个资源标签，但是同一资源的多个资源标签可以不同。并且，资源对应的资源标签具有可修改性，例如，可以针对资源增加、删除、修改对应的资源标签。

在实际应用中，可以采用所需的任意数据格式来描述上述资源标签。例如，上述资源标签的格式可以为键值对(key-value)格式、或者字符串格式。以key-value格式为例，key可以为资源标签的关键字，value可以为资源标签的关键字对应的数值。可以理解，本申请实施例对于资源标签的具体格式不加以限制。

本申请实施例提供的资源处理方法可应用于图1所示的应用环境中，如图1所示，客户端100与服务器200位于有线或无线网络中，通过该有线或无线网络，客户端100与服务器200进行数据交互。例如，在企业资源管理的场景中，客户端100可以运行在企业网的用户终端之上，服务器200可以运行在企业网的服务器之上，可以理解，本申请实施例对于具体的客户端100、服务器200以及本申请实施例的具体应用环境不加以限制。

例如，服务器200可以维护资源，为资源添加资源标签，其中，一个所述资源标签可以对应至少一个资源；并且，服务器200还可以通过资源标签赋予用户对于带有所述资源标签的资源的操作权限，具体地，可以根据资源标签生成授权规则，所述授权规则可用于表征对于带有所述资源标签的资源的操作权限；并建立所述授权规则与用户标识之间的关联关系，以向所述用户标识授予所述授权规则表征的操作权限。

在实际应用中，客户端100可由提供操作接口，以使用户通过该操作接口触发资源操作请求，并向服务器200发送该资源操作请求，以使服务器200对该资源操作请求进行鉴权。例如，得到的鉴权结果可以包括：成功或者失败，其中，在鉴权结果为成功时，可以允许该资源操作请求，例如，可以执行该资源操作请求对应的操作，并向客户端100返回对应的操作结果；或者，在鉴权结果为失败时，可以拒绝该资源操作请求，并向客户端100返回对应的拒绝提示。

本申请实施例提供了一种资源处理方法。

参照图2，示出了本申请的一种资源处理方法实施例的流程图，具体可以包括：

步骤201、根据资源标签生成授权规则；其中，一个所述资源标签可以对应至少一个资源，该授权规则可用于表征对于带有所述资源标签的资源的操作权限；

步骤202、建立所述授权规则与用户标识之间的关联关系，以向所述用户标识授予所述授权规则表征的操作权限。

本申请实施例中，授权规则可用于表征对于带有所述资源标签的资源的操作权限。可选地，为了表征操作权限，上述根据资源标签生成授权规则的过程还可以将操作标识作为依据。假设操作标识为opa，则授权规则可用于表征对于带有所述资源标签的资源的opa操作的操作权限，此种情况下，可以将资源标签和opa作为生成授权规则的依据。

在实际应用中，可以采用所需的任意数据格式来描述上述授权规则。例如，上述授权规则的数据格式可以包括：结构体(struct)格式，其中，结构体是由一系列具有相同类型或不同类型的数据构成的数据集合。具体到本申请实施例，授权规则对应的结构体可以包括：资源标签对应的资源和操作标识，或者，授权规则对应的结构体可以包括：资源标签及其对应的资源和操作标识等，可以理解，任意的能够表征对于带有所述资源标签的资源的操作权限的数据格式均在本申请实施例的授权规则的数据格式的保护范围之内。

在本申请的一种可选实施例中，授权规则对应的结构体可以包括：包含操作标识和所述资源标签的字符串。相应地，上述根据资源标签生成授权规则的过程可以包括：对资源标签和操作标识进行组合，并将得到的包含操作标识和所述资源标签的字符串作为授权规则。可以理解，本领域技术人员可以根据实际应用需求，确定上述组合对应的组合规则。可选地，一种授权规则可以为：操作标识、分隔符和资源标签对应的资源。其中，本领域技术人员可以根据根据实际应用需求，采用所需的任意分隔符，如分隔符的示例可以为“|”，此种情况下，授权规则可以为：操作标识|资源(资源标签)。并且，本领域技术人员可以根据根据实际应用需求，采用任意方式来描述资源标签对应的资源，例如，可以通过“*(资源标签)”表征资源标签对应的所有资源。一种授权规则的示例可以为：opa|*(ta2.key:ta2.value)，其中，opa表示操作标识，“ta2.key:ta2.value”表示一种资源标签，ta2.key表示资源标签的关键字，ta2.value表示资源标签的关键字对应的数值。可以理解，包含操作标识和所述资源标签的字符串只是作为授权规则对应的结构体的示例，实际上，授权规则对应的结构体可以被声明为变量、指针或数组等，用以实现较复杂的数据结构；结构体同时也是一些元素的集合，这些元素称为结构体的成员，且这些成员可以为不同的类型；本申请实施例对于授权规则对应的具体组合过程不加以限制。

步骤202可以建立步骤201得到的授权规则与用户标识之间的关联关系，以向所述用户标识授予所述授权规则表征的操作权限。进一步，本申请还可以保存授权规则与用户标识之间的关联关系，以在资源操作请求的过程中获取请求用户标识对应的目标授权规则。

在实际应用中，可以提供ui(用户界面，userface)，以使用户通过该ui建立授权规则与用户标识之间的关联关系。例如，该ui可以包括：当前用户标识及授权规则的触发接口，且可以响应于对于该触发接口的触发操作，显示授权规则的选择界面，该选择界面可以包括多个授权规则供选择；进一步，可以响应于对于该选择界面中某授权规则的授权规则的选择操作，建立该选择操作对应的授权规则与当前用户标识之间的关联关系。可以理解，一个用户标识可以关联有一个或多个授权规则，本申请实施例对于用户标识关联的授权规则的具体数量不加以限制。

综上，本申请实施例的资源处理方法，可以通过资源标签赋予用户对于带有所述资源标签的资源的操作权限，具体地，可以根据资源标签生成授权规则；建立所述授权规则与用户标识之间的关联关系，以向所述用户标识授予所述授权规则表征的操作权限。由于一个所述资源标签可以对应至少一个资源，所述授权规则可用于表征对于带有所述资源标签的资源的操作权限，故本申请实施例可以通过一个授权规则向一个用户授予至少一个资源的操作权限，因此可以简化授权过程，且可以提高授权效率。

参照图3，示出了本申请的另一种资源处理方法实施例的流程图，具体可以包括：

步骤301、获取资源操作请求、以及所述资源操作请求对应的请求用户标识和目标资源标签；一个所述目标资源标签可以对应至少一个资源；

步骤302、依据授权规则与用户标识之间的关联关系，获取所述请求用户标识对应的目标授权规则；

步骤303、依据所述目标授权规则和所述目标资源标签，对所述资源操作请求进行鉴权，以得到所述资源操作请求对应的鉴权结果。

在实际应用中，用户可以通过客户端触发资源操作请求，客户端则可以向服务器发送该资源操作请求，以使服务器处理该资源操作请求。

为了提高资源的安全性，服务器在处理该资源操作请求时，可以首先对该资源操作请求进行鉴权，以判断该资源操作请求对应的请求用户是否有权限操作对应资源。

在实际应用中，该资源操作请求可以涉及一个或者多个目标资源，则该目标资源标签可以为上述目标资源带有的资源标签。可选地，资源操作请求中可以携带有请求用户标识(请求用户的标识)和目标资源标签；或者，可以对资源操作请求中携带的信息进行分析，以得到对应的目标资源标识。可以理解，本申请实施例对于目标资源标识的具体获取过程不加以限制。

根据一些实施例，可以依据请求用户标识，在上述授权规则与用户标识之间的关联关系中进行查找，以得到所述请求用户标识对应的目标授权规则，可以理解，目标授权规则可以为一个或者多个。

本申请实施例可以通过该资源操作请求对应的目标资源标签，对该资源操作请求进行鉴权，以判断请求用户是否具备操作该目标资源标签对应资源的操作权限。

在本申请的一种可选实施例中，上述资源操作请求还可以对应有请求操作标识(请求操作的标识，如请求操作的名称、id等)，则上述依据所述目标授权规则和所述目标资源标签，对所述资源操作请求进行鉴权的过程可以包括：依据所述请求操作标识和所述目标资源标签，生成对应的鉴权规则；将所述目标授权规则和所述鉴权规则进行比对，并依据对应的比对结果得到所述资源操作请求对应的鉴权结果。

鉴权规则可用于表征请求操作标识和目标资源标签所对应的操作定义，该操作定义可用于表示根据可观察、可测量、可操作的特征来界定变量含义的方法。相应地，上述将所述目标授权规则和所述鉴权规则进行比对，可用于判断该操作定义是否在该目标授权规则的范围内，若是，则得到的鉴权结果可以为成功，否则，得到的鉴权结果可以为失败。

假设上述授权规则的数据格式为预置结构体格式，则可以依据所述请求操作标识和所述目标资源标签，得到符合上述预置结构体格式的鉴权规则，以实现所述目标授权规则和所述鉴权规则之间的比对。

进一步，若授权规则为包含操作标识和资源标签的字符串，则上述鉴权规则的生成过程可以包括：对请求操作标识和目标资源标签进行组合，并将得到的包含请求操作标识和目标资源标签的、可以描述操作的字符串作为鉴权规则。例如，鉴权规则的示例可以为：请求操作标识|目标资源(目标资源标签)。

在本申请的一种应用示例中，假设某请求操作标识opa对应的目标资源包括：资源a和资源b，假设资源a带有两组资源标签ta1.key:ta1.value,ta2.key:ta2.value，资源b带有一组资源标签ta2.key:ta2.value，假设请求用户对应的目标授权规则可以为：使用opa操作带有ta2.key:ta2.value资源标签的资源，假设该目标授权规则对应的字符串为：opa|*(ta2.key:ta2.value)，假设资源a对应的第一鉴权规则为opa|a(ta1.key:ta1.value&ta2.key:ta2.value)，资源b对应的第二鉴权规则为opa|b(ta2.key:ta2.value)，则该目标授权规则与该第一鉴权规则和第二鉴权规则的比对结果如下：

opa|*(ta2.key:ta2.value)>opa|a(ta1.key:ta1.value，ta2.key:ta2.value)(1)

opa|*(ta2.key:ta2.value)>opa|b(ta2.key:ta2.value)(2)

由于第一鉴权规则和第二鉴权规则对应的操作定义均在在该目标授权规则的范围内，故得到的鉴权结果可以为成功。

在实际应用，在鉴权结果为成功时，可以允许该资源操作请求，例如，可以执行该资源操作请求对应的操作，并向客户端返回对应的操作结果；或者，在鉴权结果为失败时，可以拒绝该资源操作请求，并向客户端返回对应的拒绝提示。

需要说明的是，上述操作标识|资源(资源标签)和请求操作标识|目标资源(目标资源标签)只是作为本申请的授权规则和鉴权规则的示例，实际上，本申请实施例对于授权规则和鉴权规则的具体数据格式不加以限制，例如，授权规则和鉴权规则的具体数据格式可以为除了字符串之外的其他结构体，可以理解，本申请实施例对于授权规则和鉴权规则的具体数据格式不加以限制。

本申请实施例可以针对不同的资源操作请求提供对应的如下处理方案：

处理方案1

处理方案1中，所述资源操作请求可以包括：资源编辑请求，所述资源编辑请求中可以携带有请求用户标识和待编辑资源标识，所述资源编辑请求对应的目标资源标签可以为所述待编辑资源标识带有的资源标签。

在实际应用中，上述资源编辑请求可用于进行资源的编辑操作，例如，上述编辑操作可以包括：删除资源、修改资源的属性等，其中，资源的属性可以为资源的名称等资源的固有属性。资源编辑请求可以携带有请求用户标识和待编辑资源标识，则该资源编辑请求对应的目标资源标签可以为该待编辑资源标识带有的资源标签。

在本申请的一种应用示例中，假设待编辑资源的信息为resourcea/ra1，其中，resourcea/ra1分别用于表示资源类型和资源标识，其中，resourcea可以为可选信息，也即，ra1可以唯一地标识待编辑资源。该待编辑资源带有的标签为：ta1.key:ta1.value,ta2.key:ta2.value……，则对应的鉴权规则可表示为：opa|resourcea/ra1(ta1.key:ta1.value,ta2.key:ta2.value……)。

处理方案2

处理方案2中，所述资源操作请求可以包括：资源标签修改请求，所述资源标签修改请求中可以携带有请求用户标识、待修改资源标识和标签修改信息，所述资源标签修改请求对应的目标资源标签可以包括：修改前资源标签、修改后资源标签和修改中资源标签中的至少一种。

上述资源标签修改请求可用于修改某资源的资源标签。在实际应用中，当某资源的特征发生变化、或者、某资源的权限所属者需要发生改变时，可以触发上述资源标签修改请求。某资源的权限所属者需要发生改变的例子可以包括：某资源a的权限所属者为用户a，当前用户b欲要获得该资源a的操作权限，则可以改变该资源a的资源标签，例如，可以为该资源a添加用户b有权限的资源标签，则用户b可以获得该资源a的操作权限。可以理解，本申请实施例对于上述资源标签修改请求的具体应用场景不加以限制。

本申请实施例中，资源标签修改请求的鉴权所涉及的目标资源标签范围可以包括：修改前资源标签、修改后资源标签和修改中资源标签中的至少一种。其中，修改前资源标签、修改后资源标签和修改中资源标签分别用于表示修改前、修改后和修改中状态下的资源标签。例如，上述目标资源标签可以包括：所述待修改资源标识带有的修改前资源标签，或者，上述目标资源标签可以包括：修改前资源标签和修改后资源标签，或者，上述目标资源标签可以包括：修改前资源标签、修改后资源标签和修改中资源标签。本申请实施例对带有修改前资源标签、修改后资源标签和修改中资源标签的资源的操作权限进行鉴权，能够提高资源的安全性。

在实际应用中，当资源标签的数据格式为字符串时，上述目标资源标签可以包括：所述待修改资源标识带有的修改前资源标签，由于修改后资源标签与修改前资源标签为不同的字符串，而修改后资源标签可以不对其他资源标签产生影响，故对修改前资源标签进行鉴权可以实现资源的安全性。

在本申请的一种可选实施例中，所述资源标签的格式可以为键值对key-value格式，则所述修改中资源标签可以包括：key及其对应的从修改前value到修改后value的路径所包括的中间value。例如，请求用户具备带有资源标签k1:v1的操作权限，然后请求用户操作将资源标签修改为k1:v2,k1:v1，对应的语义为：先修改成k1:v2，再修改成k1:v1，则修改中资源标签可以为k1:v2，上述针对同一key得到的修改中资源标签可以避免对资源状态带来影响。

在本申请的一种应用示例中，资源a带有资源标签ta1.key:ta1.value,ta2.key:ta2.value……，一种资源标签修改请求对资源a增加以下标签：ta1.key:ta1.value2,ta1.key:ta1.value,tax.key:tax.value,tay.key:tay.value……,则该资源标签修改请求的鉴权所涉及的目标资源标签范围可以包括：修改前资源标签(ta1.key:ta1.value,ta2.key:ta2.value……)、修改后资源标签(ta1.key:ta1.value,tax.key:tax.value,tay.key:tay.value……)和修改中资源标签(ta1.key:ta1.value2,tax.key:tax.value,tay.key:tay.value……)；其中，在资源标签的修改过程中，出现了将ta1.key:ta1.value改为ta1.key:ta1.value2/ta1.key:ta1.value，语义为：ta1.key对应的资源标签先将value修改为ta1.value2，再将value修改为ta1.value，故可以出现，修改中资源标签(ta1.key:ta1.value2,tax.key:tax.value,tay.key:tay.value……)。

上述示例中，资源标签修改请求对应的鉴权规则可以为：

opa|a(ta1.key:ta1.value,ta2.key:ta2.value……)&

opa|a(ta1.key:ta1.value2,tax.key:tax.value,tay.key:tay.value……)&(3)

opa|a(ta1.key:ta1.value,tax.key:tax.value,tay.key:tay.value……)

其中，“&”表示“和/与(and)”，也即，鉴权规则可以为被“&”分割的修改前资源标签、修改后资源标签和修改中资源标签对应的分鉴权规则的组合，在所有分鉴权规则的鉴权结果均为成功的情况下，可以认为资源标签修改请求的鉴权结果为成功。

需要说明的是，本申请实施例在资源标签修改请求的鉴权过程中，可以进行资源标签的模拟修改。具体地，可以通过模拟修改得到修改后资源标签和修改中资源标签，若请求用户不具备带有修改后资源标签和修改中资源标签的资源的操作权限，则鉴权失败，可以拒绝上述资源标签修改请求，因此可以避免请求用户不具备带有修改后资源标签的资源的标签的操作权限的情况，也即，可以避免对资源状态带来影响。

在本申请的一种可选实施例中，可以按照顺序执行修改前资源标签、修改后资源标签和修改中资源标签的鉴权，例如，可以首先执行修改前资源标签的鉴权，若得到的第一鉴权结果为失败，则资源标签修改请求的鉴权结果可以为失败；若得到的第二鉴权结果为成功，则可以执行修改后资源标签的鉴权，若得到的第二鉴权结果为失败，则资源标签修改请求的鉴权结果可以为失败；若得到的第二鉴权结果为成功，则可以执行修改中资源标签的鉴权，若得到的第三鉴权结果为失败，则资源标签修改请求的鉴权结果可以为失败，若得到的第三鉴权结果为成功，则资源标签修改请求的鉴权结果可以为成功。可以理解，本申请实施例对于修改前资源标签、修改后资源标签和修改中资源标签的鉴权顺序不加以限制。

处理方案3

处理方案3中，上述资源操作请求可以包括：资源创建请求，所述资源创建请求中携带有请求用户标识、待创建资源的资源标签和所述待创建资源对应的关联资源标识，上述资源创建请求对应的目标资源标签可以包括：上述关联资源标识带有的资源标签和上述待创建资源的资源标签。

上述资源创建请求可用于创建新的资源(以下简称为待创建资源)，例如，创建新的实例和/或新的磁盘等。本申请实施例在资源创建请求的鉴权过程中，可以判断请求用户是否具备待创建资源的操作权限；可选地，还可以判断请求用户是否具备待创建资源对应关联资源的操作权限，该关联资源可用于表示与待创建资源相关的资源，如待创建资源的创建需要使用的资源。在实际应用中，待创建资源的资源标签和该待创建资源对应的关联资源标识可被携带在资源创建请求中。

在本申请的一种应用示例中，假设待创建资源的资源标签为tb1.key:tb1.value,tb2.key:tb2.value……，则待创建资源可表示为resourceb/*(其中，resourceb表示待创建资源的类型，待创建资源被创建成功前没有资源id)；假设关联资源的信息为resourcea/ra1(资源类型/资源id)，假设该关联资源带有的资源标签为ta1.key:ta1.value,ta2.key:ta2.value……，则对应资源创建请求的鉴权规则可以为：

opa|resourcea/ra1(ta1.key:ta1.value,ta2.key:ta2.value……)&

opa|resourceb/*(tb1.key:tb1.value,tb2.key:tb2.value……)(4)

其中，在被“&”分割的两个分鉴权规则的鉴权结果均为成功的情况下，可以认为资源创建请求的鉴权结果为成功，此种情况下，可以执行该资源创建请求对应的操作；反之，在被“&”分割的两个分鉴权规则的鉴权结果中一者或者两者为失败的情况下，可以认为资源创建请求的鉴权结果为失败，此种情况下，可以拒绝该资源创建请求。

处理方案4

处理方案4中，上述资源操作请求可以包括：资源查询请求，上述资源查询请求中可以携带有请求用户标识、待查询资源的资源标签、或者待查询资源标识，所述资源查询请求对应的目标资源标签可以包括：所述待查询资源的资源标签、或者待查询资源标识带有的资源标签。

上述资源查询请求可用于资源的查询，以使用户通过上述资源查询请求获得所需资源的信息；以资源为实例为例，资源的信息可以包括：所在可用地区、ip地址、状态(如运行中、停止等)、网络类型、配置(cpu、内存和带宽的配置等)等，可以理解，本申请实施例对于资源的具体信息不加以限制。

在本申请的一种可选实施例中，上述资源查询请求中可以携带有待查询资源的资源标签，这样，可以使得用户通过资源标签进行资源的查询，查询结果可以为待查询资源的资源标签对应的所有资源。例如，待查询资源的资源标签为ta1.key:ta1.value,ta2.key:ta2.value……，则对应的鉴权规则可以为：opa|*(ta1.key:ta1.value,ta2.key:ta2.value……)。

在本申请的另一种可选实施例中，上述资源查询请求中可以携带有待查询资源标识，这样，可以使得用户通过待查询资源标识查询得到对应待查询资源。在实际应用中，可以首先获得待查询资源标识带有的资源标签，假设待查询资源标识rc1带有的资源标签为tc1.key:tc1.value,tc2.key:tc2.value……，则对应的鉴权规则可以为：opa|rc1(tc1.key:tc1.value,tc2.key:tc2.value……)。

可以理解，上述授权规则和鉴权规则中opa可以为操作标识，其可以代表一种或者多种操作，本申请实施例对于opa所代表的具体操作不加以限制。

以上通过处理方案1-处理方案4对资源编辑请求、资源标签修改请求、资源创建请求、资源查询请求等资源操作请求进行了详细介绍，可以理解，本领域技术人员可以根据实际应用需求，采用上述处理方案1-处理方案4中的任一或者组合，或者，还可以采用其他资源操作请求对应的其他处理方案，本申请实施例对于具体的资源操作请求及其对应的具体处理方案不加以限制。

综上，本申请实施例的资源处理方法，可以针对资源操作请求对应的请求用户标识，获取所述请求用户标识对应的目标授权规则，并依据所述目标授权规则和所述目标资源标签，对所述资源操作请求进行鉴权，以得到所述资源操作请求对应的鉴权结果，因此能够提高资源的安全性。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请实施例并不受所描述的动作顺序的限制，因为依据本申请实施例，某些方框可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本申请实施例所必须的。

本申请实施例还提供了一种资源处理装置。

参照图4，示出了本申请的一种资源处理装置实施例的结构框图，具体可以包括如下模块：

授权规则生成模块401，用于根据资源标签生成授权规则；其中，一个所述资源标签可以对应至少一个资源，所述授权规则可用于表征对于带有所述资源标签的资源的操作权限；以及

关联建立模块402，用于建立所述授权规则与用户标识之间的关联关系，以向所述用户标识授予所述授权规则表征的操作权限。

可选地，所述资源标签的格式可以为键值对key-value格式、或者字符串格式。

参照图5，示出了本申请的另一种资源处理装置实施例的结构框图，具体可以包括如下模块：

请求信息获取模块501，用于获取资源操作请求、以及所述资源操作请求对应的请求用户标识和目标资源标签；一个所述目标资源标签可以对应至少一个资源；

目标授权规则获取模块502，用于依据授权规则与用户标识之间的关联关系，获取所述请求用户标识对应的目标授权规则；

鉴权模块503，用于依据所述目标授权规则和所述目标资源标签，对所述资源操作请求进行鉴权，以得到所述资源操作请求对应的鉴权结果。

可选地，所述资源操作请求还可以对应有请求操作标识，则鉴权模块503可以包括：

鉴权规则生成子模块，用于依据所述请求操作标识和所述目标资源标签，生成对应的鉴权规则；以及

比对子模块，用于将所述目标授权规则和所述鉴权规则进行比对，并依据对应的比对结果得到所述资源操作请求对应的鉴权结果。

可选地，所述资源操作请求可以包括：资源编辑请求，所述资源编辑请求中携带可以有请求用户标识和待编辑资源标识，所述资源编辑请求对应的目标资源标签可以为所述待编辑资源标识带有的资源标签。

可选地，所述资源操作请求可以包括：资源标签修改请求，所述资源标签修改请求中可以携带有请求用户标识、待修改资源标识和标签修改信息，所述资源标签修改请求对应的目标资源标签可以包括：修改前资源标签、修改后资源标签和修改中资源标签中的至少一种。

可选地，所述资源标签的格式为键值对key-value格式，所述修改中资源标签可以包括：key及其对应的从修改前value到修改后value的路径所可以包括的中间value。

可选地，所述资源操作请求可以包括：资源创建请求，所述资源创建请求中携带有请求用户标识、待创建资源的资源标签和所述待创建资源对应的关联资源标识，所述资源创建请求对应的目标资源标签可以包括：所述关联资源标识带有的资源标签和所述待创建资源的资源标签。

可选地，所述资源操作请求可以包括：资源查询请求，所述资源查询请求中携带有请求用户标识、待查询资源的资源标签、或者待查询资源标识，所述资源查询请求对应的目标资源标签可以包括：所述待查询资源的资源标签、或者待查询资源标识带有的资源标签。

综上，本申请实施例的资源处理装置，可以通过资源标签赋予用户对于带有所述资源标签的资源的操作权限，具体地，可以根据资源标签生成授权规则；建立所述授权规则与用户标识之间的关联关系，以向所述用户标识授予所述授权规则表征的操作权限。由于一个所述资源标签可以对应至少一个资源，所述授权规则可用于表征对于带有所述资源标签的资源的操作权限，故本申请实施例可以通过一个授权规则向一个用户授予至少一个资源的操作权限，因此可以简化授权过程，且可以提高授权效率。

对于装置实施例而言，由于其与方法实施例基本相似，故描述的比较简单，相似的地方请相互参照即可。

本申请实施例的实施例可被实现为使用任意适当的硬件和/或软件进行想要的配置的系统或装置。图6示意性地示出了可被用于实现本申请中所述的各个实施例的示例性装置700。

对于一个实施例，图6示出了示例性装置700，该装置700可以包括：一个或多个处理器702、与处理器702中的至少一个耦合的系统控制模块(芯片组)704、与系统控制模块704耦合的系统存储器706、与系统控制模块704耦合的非易失性存储器(nvm)/存储装置708、与系统控制模块704耦合的一个或多个输入/输出设备710，以及与系统控制模块706耦合的网络接口712。该系统存储器706可以包括：指令762，该指令762可被一个或多个处理器702执行。

处理器702可包括一个或多个单核或多核处理器，处理器702可包括通用处理器或专用处理器(例如图形处理器、应用程序处理器、基带处理器等)的任意组合。在一些实施例中，装置700能够作为本申请实施例中所述的服务器、目标设备、无线设备等。

在一些实施例中，装置700可包括具有指令的一个或多个机器可读介质(例如，系统存储器706或nvm/存储装置708)以及与该一个或多个机器可读介质相合并被配置为执行指令、以实现前述装置包括的模块、从而执行本申请实施例中所述的动作的一个或多个处理器702。

一个实施例的系统控制模块704可包括任何适合的接口控制器，用于提供任何适合的接口给处理器702中的至少一个和/或与系统控制模块704通信的任意适合的装置或部件。

一个实施例的系统控制模块704可包括一个或多个存储器控制器，用于提供接口给系统存储器706。存储器控制器可以是硬件模块、软件模块和/或固件模块。

一个实施例的系统存储器706可被用于加载和存储数据和/或指令762。对于一个实施例，系统存储器706可包括任何适合的易失性存储器，例如，适合的dram(动态随机存取存储器)。在一些实施例中，系统存储器706可包括：双倍数据速率类型四同步动态随机存取存储器(ddr4sdram)。

一个实施例的系统控制模块704可包括一个或多个输入/输出控制器，以向nvm/存储装置708及(一个或多个)输入/输出设备710提供接口。

一个实施例的nvm/存储装置708可被用于存储数据和/或指令782。nvm/存储装置708可包括任何适合的非易失性存储器(例如闪存等)和/或可包括任何适合的(一个或多个)非易失性存储设备，例如，一个或多个硬盘驱动器(hdd)、一个或多个光盘(cd)驱动器和/或一个或多个数字通用光盘(dvd)驱动器等。

nvm/存储装置708可包括在物理上是装置700被安装在其上的装置的一部分的存储资源，或者其可被该装置访问而不必作为该装置的一部分。例如，nvm/存储装置708可经由网络接口712通过网络和/或通过输入/输出设备710进行访问。

一个实施例的(一个或多个)输入/输出设备710可为装置700提供接口以与任意其他适当的设备通信，输入/输出设备710可以包括通信组件、音频组件、传感器组件等。

一个实施例的网络接口712可为装置700提供接口以通过一个或多个网络和/或与任何其他适合的装置通信，装置700可根据一个或多个无线网络标准和/或协议中的任意标准和/或协议来与无线网络的一个或多个组件进行无线通信，例如接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合进行无线通信。

对于一个实施例，处理器702中的至少一个可与系统控制模块704的一个或多个控制器(例如，存储器控制器)的逻辑封装在一起。对于一个实施例，处理器702中的至少一个可与系统控制模块704的一个或多个控制器的逻辑封装在一起以形成系统级封装(sip)。对于一个实施例，处理器702中的至少一个可与系统控制模块704的一个或多个控制器的逻辑集成在同一新品上。对于一个实施例，处理器702中的至少一个可与系统控制模块704的一个或多个控制器的逻辑集成在同一芯片上以形成片上系统(soc)。

在各个实施例中，装置700可以包括但不限于：台式计算设备或移动计算设备(例如，膝上型计算设备、手持计算设备、平板电脑、上网本等)等计算设备。在各个实施例中，装置700可具有更多或更少的组件和/或不同的架构。例如，在一些实施例中，装置700可以包括一个或多个摄像机、键盘、液晶显示器(lcd)屏幕(包括触屏显示器)、非易失性存储器端口、多个天线、图形芯片、专用集成电路(asic)和扬声器。

其中，如果显示器包括触摸面板，显示屏可以被实现为触屏显示器，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。

本申请实施例还提供了一种非易失性可读存储介质，该存储介质中存储有一个或多个模块(programs)，该一个或多个模块被应用在装置时，可以使得该装置执行本申请实施例中各方法的指令(instructions)。

在一个示例中提供了一种装置，包括：一个或多个处理器；和，其上存储的一个或多个机器可读介质中的指令，由所述一个或多个处理器执行时，导致所述装置执行如本申请实施例中的方法，该方法可以包括：图2或者图3所示的方法。

在一个示例中还提供了一个或多个机器可读介质，其上存储有指令，当由一个或多个处理器执行时，使得装置执行如本申请实施例中的方法，该方法可以包括：图2或者图3所示的方法。

一种资源处理方法，所述方法包括：

获取资源操作请求、以及所述资源操作请求对应的请求用户标识和目标资源标签；一个所述目标资源标签对应至少一个资源；

依据授权规则与用户标识之间的关联关系，获取所述请求用户标识对应的目标授权规则；

依据所述目标授权规则和所述目标资源标签，对所述资源操作请求进行鉴权，以得到所述资源操作请求对应的鉴权结果。

可选地，所述资源操作请求还对应有请求操作标识，则所述依据所述目标授权规则和所述目标资源标签，对所述资源操作请求进行鉴权，包括：

依据所述请求操作标识和所述目标资源标签，生成对应的鉴权规则；

将所述目标授权规则和所述鉴权规则进行比对，并依据对应的比对结果得到所述资源操作请求对应的鉴权结果。

可选地，所述资源操作请求包括：资源编辑请求，所述资源编辑请求中携带有请求用户标识和待编辑资源标识，所述资源编辑请求对应的目标资源标签为所述待编辑资源标识带有的资源标签。

可选地，所述资源操作请求包括：资源标签修改请求，所述资源标签修改请求中携带有请求用户标识、待修改资源标识和标签修改信息，所述资源标签修改请求对应的目标资源标签包括：修改前资源标签、修改后资源标签和修改中资源标签中的至少一种。

可选地，所述资源标签的格式为键值对key-value格式，所述修改中资源标签包括：key及其对应的从修改前value到修改后value的路径所包括的中间value。

可选地，所述资源操作请求包括：资源创建请求，所述资源创建请求中携带有请求用户标识、待创建资源的资源标签和所述待创建资源对应的关联资源标识，所述资源创建请求对应的目标资源标签包括：所述关联资源标识带有的资源标签和所述待创建资源的资源标签。

可选地，所述资源操作请求包括：资源查询请求，所述资源查询请求中携带有请求用户标识、待查询资源的资源标签、或者待查询资源标识，所述资源查询请求对应的目标资源标签包括：所述待查询资源的资源标签、或者待查询资源标识带有的资源标签。

一种资源处理方法，包括：

根据资源标签生成授权规则；其中，一个所述资源标签对应至少一个资源，所述授权规则用于表征对于带有所述资源标签的资源的操作权限；

建立所述授权规则与用户标识之间的关联关系，以向所述用户标识授予所述授权规则表征的操作权限。

可选地，所述资源标签的格式为键值对key-value格式、或者字符串格式。

以上对本申请所提供的一种资源处理方法、一种资源处理装置、一种装置、以及一个或多个机器可读介质，进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。