一种访问权限校验方法及装置与流程

本申请涉及计算机技术领域，具体涉及一种访问权限校验方法及装置。

背景技术

随着云计算和大数据技术的飞速发展，信息数据以指数增加，同时也对数据安全性提出更高要求，如今，信息安全的重要性已被提升到国家战略。

面对越来越复杂的应用场景，高性能、视频监控等领域使得越来越多的用户访问数据文件，而仅通过校验访问对文件或者数据的用户或用户组权限已经远远不能满足数据安全要求，因此，如何能够更严格地校验访问文件或数据的用户权限是亟待解决的技术问题。

技术实现要素：

有鉴于此，本申请实施例提供一种访问权限校验方法及装置，以实现对访问用户进行双重校验，保证数据安全性。

为解决上述问题，本申请实施例提供的技术方案如下：

本申请实施例第一方面，提供了一种访问权限校验方法，所述方法应用于服务器，所述方法包括：

根据客户端发送的访问请求，获取所述客户端对应的ip地址；所述访问请求包括所述客户端的ip地址；

当权限校验模式为开启时，根据所述ip地址以及ip访问控制列表，判断所述客户端是否具有访问权限；所述ip访问控制列表包括允许访问所述服务器的所述客户端对应的ip地址；

如果是，获取所述客户端输入的用户信息；所述用户信息为所述客户端预先在所述服务器注册的信息；所述用户信息包括用户名、用户组成名以及密码；

根据所述用户信息以及用户访问控制列表，判断所述客户端是否具有读和/或写权限；所述用户访问列表包括允许访问所述服务器的所述用户信息。

在一种可能的实现方式中，所述方法还包括：

在接收所述客户端发送的访问请求之前，判断客户端校验功能是否开启；

如果是，当配置所述用户控制列表的功能已开启，向主客户端发送ip访问控制列表设置请求，以使得所述主客户端根据所述ip访问控制列表设置请求设置所述ip访问控制列表中每个所述ip地址的访问权限。

在一种可能的实现方式中，所述方法还包括：

对于任一注册在所述服务器中的客户端，获取每个所述客户端的ip地址；

将最小ip地址对应的客户端确定为所述主客户端；所述主客户端用于为所述服务器设置ip访问控制列表。

在一种可能的实现方式中，所述主客户端为所述服务器设置ip访问控制列表时，依次设置每个所述客户端的ip地址访问权限。

在一种可能的实现方式中，所述客户端的ip地址为ipv4地址。

本申请实施例第二方面，提供了一种访问权限校验装置，所述装置应用于服务器，所述装置包括：

第一获取单元，用于根据客户端发送的访问请求，获取所述客户端对应的ip地址；所述访问请求包括所述客户端的ip地址；

第一判断单元，用于当权限校验模式为开启时，根据所述ip地址以及ip访问控制列表，判断所述客户端是否具有访问权限；所述ip访问控制列表包括允许访问所述服务器的所述客户端对应的ip地址；

第二获取单元，用于当所述第一判断单元判断结果为是时，获取所述客户端输入的用户信息；所述用户信息为所述客户端预先在所述服务器注册的信息；所述用户信息包括用户名、用户组名和密码；

第二判断单元，用于根据所述用户信息以及用户访问控制列表，判断所述客户端是否具有读和/或写权限；所述用户访问列表包括允许访问所述服务器的所述用户信息。

在一种可能的实现方式中，所述装置还包括：

第三判断单元，用于在所述客户端发送的访问请求之前，判断客户端校验功能是否开启；

发送单元，用于当所述第三判断单元的判断结果为是且配置所述用户控制列表的功能已开启时，向主客户端发送ip访问控制列表设置请求，以使得所述主客户端根据所述ip访问控制列表请求设置所述ip访问控制列表中每个所述ip地址的访问权限。

在一种可能的实现方式中，所述装置还包括：

第三获取单元，用于对于任一注册在所述服务器中的客户端，获取每个所述客户端的ip地址；

确定单元，用于将最小ip地址对应的客户端确定为所述主客户端；所述主客户端用于为所述服务器设置ip访问控制列表。

在一种可能的实现方式中，所述主客户端为所述服务器设置ip访问控制列表时，依次设置每个所述客户端的ip地址访问权限。

在一种可能的实现方式中，所述客户端的ip地址为ipv4地址。

由此可见，本申请实施例具有如下有益效果：

本申请实施例当客户端需要访问服务器时，首先向服务器发送访问请求，服务器根据接收的访问请求，获取该客户端对应的ip地址，然后判断自身是否开启权限校验功能，当开启时，根据客户端的ip地址以及ip访问控制列表判断该客户端是否具有访问权限，如果客户端的ip地址与ip访问控制列表中所存储的ip地址不匹配，则拒绝该客户端继续访问服务器；如果客户端的ip地址与ip访问控制列表中所存储的ip地址匹配，则进一步进行判断，获取该客户端输入的用户信息，并根据用户信息以及用户访问控制列表，判断客户端是否具有读/写权限，如果用户信息以及用户访问控制列表中所存储的用户信息匹配，则允许客户端对服务器进行访问；如果用户信息与用于访问控制列表中所存储的用户信息不匹配，则拒绝客户端访问，可见，对客户端进行ip地址校验以及用户信息校验，实现了对客户端进行双重校验，避免了对于服务器的恶意攻击，提高数据安全性。

附图说明

图1为本申请实施例提供的示例性应用场景的框架示意图；

图2为本申请实施例提供的一种访问权限校验方法的流程图；

图3为本申请实施例提供的一种访问权限校验装置的结构图。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请实施例作进一步详细的说明。

为便于理解本申请提供的技术方案，下面将先对本申请的背景技术进行说明。

发明人在对传统的服务器校验客户端访问权限方法研究中发现，传统的访问权限校验方法通过校验登录在服务器中的用户和用户组是否具有访问权限，但是这种校验方式已经远远不能满足多用户同时访问的情况。

为解决多用户访问服务器时能够对每个用户进行访问权限校验，提出了利用客户端的ip地址进行访问权限校验，由于每个客户端的ip地址具有唯一性，当客户端访问服务器时，校验该客户端对应的ip地址是否具有访问权限。当出现恶意攻击时，可以通过客户端的ip地址进行快速定位，以保证服务器正常使用。

然而，由于配置用户访问控制列表和ip访问控制列表是独立的，二者通过特定开关隔离，导致以用户和用户组为校验条件和以ip地址为校验条件的两个校验方式相互排斥、无法兼容，用户必须进行二选一。

基于此，本申请实施例提供了一种访问权限校验方法，将校验ip地址的开关定义为总开关，当该总开关开启时，即权限校验模式为开始时，服务器可以进行ip地址以及用户信息双重校验，具体包括，服务器根据接收的访问请求，获取该客户端对应的ip地址，然后判断自身是否开启权限校验功能，当开启时，根据客户端的ip地址以及ip访问控制列表判断该客户端是否具有访问权限，如果客户端的ip地址与ip访问控制列表中所存储的ip地址不匹配，则拒绝该客户端继续访问服务器；如果客户端的ip地址与ip访问控制列表中所存储的ip地址匹配，则进一步进行判断，获取该客户端输入的用户信息，并根据用户信息以及用户访问控制列表，判断客户端是否具有读/写权限，如果用户信息以及用户访问控制列表中所存储的用户信息匹配，则允许客户端对服务器进行访问；如果用户信息与用于访问控制列表中所存储的用户信息不匹配，则拒绝客户端访问，可见，对客户端进行ip地址校验以及用户信息校验，实现了对客户端进行双重校验，避免了对于服务器的恶意攻击，提高数据安全性。

场景实施例

参见图1，该图为本申请实施例提供的示例性应用场景的框架示意图，其中，本申请实施例提供的实现数据显示的方法可以应用于服务器20中。在实际应用中，服务器20接收终客户端10发送的访问请求，并根据该访问请求获取客户端10的ip地址以及执行后续步骤。

本领域技术人员可以理解，图1所示的框架示意图仅是本申请的实施方式可以在其中得以实现的一个示例。本申请实施方式的适用范围不受到该框架任何方面的限制。

需要注意的是，本申请实施例中的客户端10可以是现有的、正在研发的或将来研发的、能够通过任何形式的有线和/或无线连接(例如，wi-fi、lan、蜂窝、同轴电缆等)实现与服务器20交互的任何用户设备，包括但不限于：现有的、正在研发的或将来研发的智能手机、非智能手机、平板电脑、膝上型个人计算机、桌面型个人计算机、小型计算机、中型计算机、大型计算机等。还需要注意的是，本申请实施例中服务器20可以是现有的、正在研发的或将来研发的、能够向用户提供信息推荐的应用服务的设备的一个示例，本申请的实施方式在此方面不受任何限制。

方法实施例

为便于理解本申请的技术方案，下面将结合附图对本申请提供的访问权限校验方法进行说明。

参见图2，该图为本申请实施例提供的一种访问权限校验方法的流程图，如图2所示，该方法可以应用于服务器，该方法可以包括：

s201：根据客户端发送的访问请求，获取所述客户端对应的ip地址。

本实施例中，当客户端需要访问服务器时，向服务器发送访问请求，该访问请求中携带该客户端的ip地址，当服务器接收到客户端发送的访问请求时，从访问请求中提取该客户端的ip地址。

可以理解的是，位于网络中的每个客户端均分配有唯一的ip地址，以使得客户端利用该ip地址访问服务器，在具体实现时，该ip地址为(internetprotocolversion4，ipv4)。另外，服务器在存储客户端的ip地址时，可以先将浮点型的ip地址转换成整型的ip地址，当需要进行ip地址匹配时，再将整型的ip地址转换为浮点型的ip地址，然后与获取的客户端对应的ip地址进行匹配。

s202：当权限校验模式为开启时，根据ip地址以及ip访问控制列表，判断客户端是否具有访问权限，如果是，执行s203。

在本实施例中，服务器预先配置了ip访问控制列表，该ip访问控制列表包括允许访问所述服务器的所述客户端对应的ip地址，当获取客户端的ip地址后，根据所获取的ip地址以及ip访问控制列表中所存储的ip地址判断该客户端是否具有访问某文件或目录的权限；如果该客户端的ip地址具有访问权限，则执行s203；如果该客户端的ip地址不具有访问权限，则拒绝该客户端继续对文件或目录的访问。

需要说明的是，根据客户端的ip地址以及ip访问控制列表判断客户端是否具有访问权限的前提是，服务器已经开启权限校验模式。如果服务器未开启权限校验模式，则服务器不执行ip地址访问权限的校验，仅执行s203和s204。

s203：获取客户端输入的用户信息。

本实例中，当判断出该客户端的ip地址具有访问权限时，服务器获取客户端输入预先注册的用户信息，该用户信息包括用户名、用户组成名以及密码。在具体实现时，客户端在服务器中进行注册，获得访问某文件或目录时所使用的用户名、该用户名所属用户组以及与用户名对应的密码，以便当用户通过客户端访问服务器中的文件或目录时，输入上述用户信息，以便服务器对上述用户信息进行校验。

s204：根据用户信息以及用户访问控制列表，判断客户端是否具有读/写权限。

本实例中，服务器根据用户输入的用户信息以及预先配置的用户访问控制列表，判断该客户端是否具有读/写某文件或目录的权限。如果用户输入的用户信息与用户访问控制列表所保存的用户信息相符，则该客户端具有对文件或目录进行读和/或写操作权限，其中，用户访问列表包括允许访问服务器的所述用户信息。

在实际应用中，可以预先配置客户端所具有的权限，可以仅为客户端配置读权限或者写权限，也可以为客户端配置读写权限。

通过上述描述可知，本申请实施例当客户端需要访问服务器时，首先向服务器发送访问请求，服务器根据接收的访问请求，获取该客户端对应的ip地址，然后判断自身是否开启权限校验功能，当开启时，根据客户端的ip地址以及ip访问控制列表判断该客户端是否具有访问权限，如果客户端的ip地址与ip访问控制列表中所存储的ip地址不匹配，则拒绝该客户端继续访问服务器；如果客户端的ip地址与ip访问控制列表中所存储的ip地址匹配，则进一步进行判断，获取该客户端输入的用户信息，并根据用户信息以及用户访问控制列表，判断客户端是否具有读/写权限，如果用户信息以及用户访问控制列表中所存储的用户信息匹配，则允许客户端对服务器进行访问；如果用户信息与用于访问控制列表中所存储的用户信息不匹配，则拒绝客户端访问，可见，对客户端进行ip地址校验以及用户信息校验，实现了对客户端进行双重校验，避免了对于服务器的恶意攻击，提高数据安全性。

上述实施例中，服务器根据客户端的ip地址以及ip访问控制列表判断客户端是否具有访问权限，其中，ip访问控制列表需要预先配置，而该配置工作由服务器所选出的主客户端进行，具体实现包括：在接收客户端发送的访问请求之前，判断客户端校验功能是否开启；如果是，当配置用户控制列表的功能已开启，向主客户端发送ip访问控制列表设置请求，以使得主客户端根据ip访问控制列表请求设置ip访问控制列表中每个ip地址的访问权限。

本实施例中，服务器在向主客户端发送ip访问控制列表设置请求之前，首先判断自身是否开启客户端校验功能，如果已开启客户端校验功能，则进一步判断配置用户控制列表的功能是否开启，如果配置功能已开启，则服务器向主客户端发送ip访问控制列表设置请求，以使得主客户端配置ip访问控制列表；如果服务器未开启客户端校验功能或者配置功能未开启，则结束配置过程，从而实现了用户控制列表和ip访问控制列表配置的归一化，使得用户可以同时设置用户控制列表以及ip访问控制列表，操作更加简洁便利。

其中，对于主客户端的选择，本申请实施例提供了一种选择方式，具体为，对于任一注册在服务器中的客户端，获取每个客户端的ip地址；将最小ip地址对应的客户端确定为主客户端；主客户端用于为服务器设置ip访问控制列表。

在具体实现时，服务器获取注册的所有客户端的ip地址，并从中选择最小的ip地址，将该最小ip地址对应的客户端确定为主客户端，以便服务器向该主客户端发送ip访问控制列表设置请求，使得主客户端根据上述请求设置ip访问控制列表。

需要说明的是，ip访问控制列表保存允许访问服务器的客户端的ip地址以及该客户端的访问权限，即读和/或写权限。例如，ip访问控制列表中ip地址为100.7.44.135，权限为读，则该ip地址对应的客户端可以对服务器中某文件或目录进行读操作。

在实际应用中，服务器可以为多个客户端提供访问服务，主客户端在为服务器设置ip访问控制列表时，可以逐个对客户端的ip地址的访问权限进行设置，在具体实现时，可以按照ip地址的从小到大的顺序依次设置。

装置实施例

基于上述方法实施例，本申请还提供了一种访问权限校验装置，下面将结合附图对该装置进行说明。

参见图3，该图为本申请实施例提供的一种访问权限校验装置，如图3所示，该装置可以包括：

第一获取单元301，用于根据客户端发送的访问请求，获取所述客户端对应的ip地址；所述访问请求包括所述客户端的ip地址；

第一判断单元302，用于当权限校验模式为开启时，根据所述ip地址以及ip访问控制列表，判断所述客户端是否具有访问权限；所述ip访问控制列表包括允许访问所述服务器的所述客户端对应的ip地址；

第二获取单元303，用于当所述第一判断单元判断结果为是时，获取所述客户端输入的用户信息；所述用户信息为所述客户端预先在所述服务器注册的信息；所述用户信息包括用户名、用户组名和密码；

第二判断单元304，用于根据所述用户信息以及用户访问控制列表，判断所述客户端是否具有读和/或写权限；所述用户访问列表包括允许访问所述服务器的所述用户信息。

在一种可能的实现方式中，所述装置还包括：

第三判断单元，用于在所述客户端发送的访问请求之前，判断客户端校验功能是否开启；

发送单元，用于当所述第三判断单元的判断结果为是且配置所述用户控制列表的功能已开启时，向主客户端发送ip访问控制列表设置请求，以使得所述主客户端根据所述ip访问控制列表请求设置所述ip访问控制列表中每个所述ip地址的访问权限。

在一种可能的实现方式中，所述装置还包括：

第三获取单元，用于对于任一注册在所述服务器中的客户端，获取每个所述客户端的ip地址；

确定单元，用于将最小ip地址对应的客户端确定为所述主客户端；所述主客户端用于为所述服务器设置ip访问控制列表。

在一种可能的实现方式中，所述主客户端为所述服务器设置ip访问控制列表时，依次设置每个所述客户端的ip地址访问权限。

在一种可能的实现方式中，所述客户端的ip地址为ipv4地址。

需要说明的是，本实施例中各模块或单元的具体实现可以参见图2所述方法的实现，本实施例在此不再赘述。

通过上述实施例，本申请实施例当客户端需要访问服务器时，首先向服务器发送访问请求，服务器根据接收的访问请求，获取该客户端对应的ip地址，然后判断自身是否开启权限校验功能，当开启时，根据客户端的ip地址以及ip访问控制列表判断该客户端是否具有访问权限，如果客户端的ip地址与ip访问控制列表中所存储的ip地址不匹配，则拒绝该客户端继续访问服务器；如果客户端的ip地址与ip访问控制列表中所存储的ip地址匹配，则进一步进行判断，获取该客户端输入的用户信息，并根据用户信息以及用户访问控制列表，判断客户端是否具有读/写权限，如果用户信息以及用户访问控制列表中所存储的用户信息匹配，则允许客户端对服务器进行访问；如果用户信息与用于访问控制列表中所存储的用户信息不匹配，则拒绝客户端访问，可见，对客户端进行ip地址校验以及用户信息校验，实现了对客户端进行双重校验，避免了对于服务器的恶意攻击，提高数据安全性。

需要说明的是，本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统或装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

应当理解，在本申请中，“至少一个(项)”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，用于描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：只存在a，只存在b以及同时存在a和b三种情况，其中a，b可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，“a和b”，“a和c”，“b和c”，或“a和b和c”，其中a，b，c可以是单个，也可以是多个。

还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。