本发明涉及网络通讯领域,尤其涉及一种web安全存储的方法。
背景技术:
目前,随着通信技术的不断发展,一系列的增值业务不断被开发出来。业务开发系统为业务人员提供了一个开发和发布增值业务的平台,业务开发系统可以包括web服务器和web客户端,在业务开发过程中,需要使用到web存储功能。
现在的web存储存在几个问题,一、很容易发生用户之间、系统之间的文件位置错误;二、文件乱上传,易导致病毒入侵存储系统;三、没有对文件的来源用户进行分析与限制,可能会发生个别用户故意破坏存储业务。
技术实现要素:
本发明的目的在于提出一种web安全存储的方法,通过利用用户身份跟用户来源双重验证,来限定用户的文件上传路径,防止文件位置错误,并且通过对用户的行为进行分析,限制用户乱上传文件和蓄意破坏存储服务。
为达此目的,本发明采用以下技术方案:
一种web安全存储的方法,包括用户模块、存储模块和安全分析模块,所述用户模块用于验证用户身份和存储用户信息,所述安全分析模块用于分析检测存储过程,所述存储模块用于存储通过用户模块和安全分析模块验证的文件,包括了实现web安全存储的过程:
步骤a:用户在发起存储请求前向所述用户模块验证身份,并且获取用户的动态令牌;
步骤b:用户发起存储请求,所述安全分析模块获取用户的域名、动态令牌、所要存储的文件和要求存储的路径;
步骤c:所述安全分析模块分析并检测所获取到的用户的域名、动态令牌、所要存储的文件和要求存储的路径,检验是否符合存储要求,若符合存储要求则文件发送至所述存储模块;
步骤d:所述存储模块收到所要存储的文件,将文件进行存储。
优选的,包括安全分析模块分析检测的过程:
步骤c1:所述安全分析模块通过用户的动态令牌向所述用户模块获取该用户的信息;
步骤c2:所述安全分析模块按照预先设定的规则对用户行为进行分析,检测用户是否为危险用户,若检测到该用户为危险用户则不允许该用户执行存储需求;
步骤c3:若检测到该用户不是危险用户,则接着检测用户所要存储的文件是否属于允许上传的文件类型,若不符合要求则不予执行存储需求并且记录到所述用户模块;若符合要求则检测所要上传的文件的大小是否符合要求,若不符合要求,则不予执行存储需求并且记录到所述用户模块;
步骤c4:若检测到用户所要上传的文件的大小和类型符合要求,则接着检测用户的动态令牌是否可用,若不可用则不予执行存储需求并且记录到所述用户模块;
步骤c5:若检测到用户的动态令牌可用,则所述安全分析模块接着检测用户是否对所要上传的文件有上传权限,若检测到用户没有上传权限,则不予执行存储需求,且记录到所述用户模块;
步骤c6:若检测到用户对所要上传的文件有上传权限,则所述安全分析模块接着检测用户的域名是否对存储路径有操作权限,若检测到用户的域名对存储路径没有操作权限,则不予执行存储需求,且记录到所述用户模块;
步骤c7:若检测到用户的域名对存储路径有操作权限,则所述安全分析模块接着检测该用户是否对存储路径有操作权限,若检测到用户对存储路径没有操作权限,则不予执行存储需求,且记录到所述用户模块;
步骤c8:若检测到用户对存储路径有操作权限,则所述安全分析模块接着检测所要上传的文件是否对存储路径有操作权限,若检测到所要上传的文件对存储路径没有操作权限,则不予执行存储需求并且记录到所述用户模块。
优选的,若所述安全分析模块检测到所要上传的文件对存储路径有操作权限,则所述存储模块接着检测当前存储路径是否有文件重复,若有则将所要上传的文件覆盖当前存储路径上的原文件并返回文件专属id,若没有则直接将所要上传的文件保存在当前存储路径,并返回文件专属id。
优选的,所述用户模块设置有独立的api接口。
优选的,所述安全分析模块设置有独立的api接口。
优选的,所述存储模块设置有独立的api接口。
附图说明
图1是本发明的框架图;
图2是本发明的web实现安全存储的流程图;
图3是本发明的安全分析模块检测分析的流程图。
具体实施方式
下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。
本实施例的一种web安全存储的方法,包括用户模块、存储模块和安全分析模块,所述用户模块用于验证用户身份和存储用户信息,所述安全分析模块用于分析检测存储过程,所述存储模块用于存储通过用户模块和安全分析模块验证的文件,如图1和图2所示,包括了实现web安全存储的过程:
步骤a:用户在发起存储请求前向所述用户模块验证身份,并且获取用户的动态令牌;
步骤b:用户发起存储请求,所述安全分析模块获取用户的域名、动态令牌、所要存储的文件和要求存储的路径;
步骤c:所述安全分析模块分析并检测所获取到的用户的域名、动态令牌、所要存储的文件和要求存储的路径,检验是否符合存储要求,若符合存储要求则文件发送至所述存储模块;
步骤d:所述存储模块收到所要存储的文件,将文件进行存储。
本技术方案通过利用用户身份和用户来源的双重验证,来限定用户的文件上传路径,首先在发起存储请求前,先验证身份,从而获取动态令牌,接着用户发起存储请求,安全分析模块获取用户的域名或者ip地址、动态令牌、文件和存储路径,并对所获取的信息进行检测分析,即检测分析用户来源,实现用户身份和用户来源双重验证,确保不会出现文件位置错乱的现象。
优选的,如图3所示,包括安全分析模块分析检测的过程:
步骤c1:所述安全分析模块通过用户的动态令牌向所述用户模块获取该用户的信息;
步骤c2:所述安全分析模块按照预先设定的规则对用户行为进行分析,检测用户是否为危险用户,若检测到该用户为危险用户则不允许该用户执行存储需求;
步骤c3:若检测到该用户不是危险用户,则接着检测用户所要存储的文件是否属于允许上传的文件类型,若不符合要求则不予执行存储需求并且记录到所述用户模块;若符合要求则检测所要上传的文件的大小是否符合要求,若不符合要求,则不予执行存储需求并且记录到所述用户模块;
步骤c4:若检测到用户所要上传的文件的大小和类型符合要求,则接着检测用户的动态令牌是否可用,若不可用则不予执行存储需求并且记录到所述用户模块;
步骤c5:若检测到用户的动态令牌可用,则所述安全分析模块接着检测用户是否对所要上传的文件有上传权限,若检测到用户没有上传权限,则不予执行存储需求,且记录到所述用户模块;
步骤c6:若检测到用户对所要上传的文件有上传权限,则所述安全分析模块接着检测用户的域名是否对存储路径有操作权限,若检测到用户的域名对存储路径没有操作权限,则不予执行存储需求,且记录到所述用户模块;
步骤c7:若检测到用户的域名对存储路径有操作权限,则所述安全分析模块接着检测该用户是否对存储路径有操作权限,若检测到用户对存储路径没有操作权限,则不予执行存储需求,且记录到所述用户模块;
步骤c8:若检测到用户对存储路径有操作权限,则所述安全分析模块接着检测所要上传的文件是否对存储路径有操作权限,若检测到所要上传的文件对存储路径没有操作权限,则不予执行存储需求并且记录到所述用户模块。
本技术方案通过安全分析模块和用户模块之间的配合,实现对用户身份和用户来源的多层次验证,首先对用户的行为进行分析,确保用户不是危险用户,确保不会发生个别用户存在故意破坏存储服务的现象,然后接着对所要存储的文件的类型和大小进行分析检测,确保该文件属于可上传的类型及文件大小不会超出限制,保证不会出现乱上传文件的现象,然后再对动态令牌的可用性进行检测,确保动态令牌可用,可利用动态令牌获取到用户的信息,最后再确保文件上传的权限,包括对文件路径的限定,确保不会出现用户之间、系统之间的文件位置错乱。
优选的,若所述安全分析模块检测到所要上传的文件对存储路径有操作权限,则所述存储模块接着检测当前存储路径是否有文件重复,若有则将所要上传的文件覆盖当前存储路径上的原文件并返回文件专属id,若没有则直接将所要上传的文件保存在当前存储路径,并返回文件专属id。
优选的,所述用户模块设置有独立的api接口。
优选的,所述安全分析模块设置有独立的api接口。
优选的,所述存储模块设置有独立的api接口。
所述用户模块、存储模块和安全分析模块均设置有独立的api接口,从而实现业务和存储的解耦,存储系统具备可扩展性,可针对不同业务场景进行接口的扩展,减少开发成本。
以上结合具体实施例描述了本发明的技术原理。这些描述只是为了解释本发明的原理,而不能以任何方式解释为对本发明保护范围的限制。基于此处的解释,本领域的技术人员不需要付出创造性的劳动即可联想到本发明的其它具体实施方式,这些方式都将落入本发明的保护范围之内。