一种文档访问权限的处理方法、装置、介质和电子设备与流程

本发明涉及计算机技术领域，具体而言，涉及一种网络权限的控制方法、装置、介质和电子设备。

背景技术：

随着移动互联网技术的发展，互联网中的网络应用和网络访问越来越频繁，人们越来越习惯于在互联网中访问各种网站、应用等，有些网络为公开网络，面向所有用户都可以进行访问，有些网络为内部网络，只有具有权限才能访问。

原来企业的内部网络业务系统需要登录vpn(虚拟专用网络)才能进行访问，操作繁琐，如果业务应用直接在互联网上进行访问，将面临注入攻击漏洞、安全配置错误、失效的身份认证、跨站脚本、敏感信息泄露、使用含有已知漏洞的组件、失效的访问控制等安全威胁，导致业务系统被入侵，给企业带来重大损失。

此外，现有技术中，通常同一用户授权接入后，其权限对所有应用是固定的，这导致对不同安全级别不同的应用采用同一安全级别进行管理，不利于用户体验和资源节约。

技术实现要素：

本发明的目的在于提供一种网络权限的控制方法、装置、介质和电子设备，能够解决上述提到的至少一个技术问题。

本公开实施例具体公开了一种网络权限的控制方法，其中包括：

响应用户访问请求，获取所述用户的权限信息；

获取所述用户访问所述预设应用的权限；

分配给所述用户对应的访问预设应用的权限；以及

执行具有访问权限的用户对所述预设应用的访问。

进一步的，所述方法进一步包括：

所述代理收到加密数据后，进行解密并设置本地权限数据返回给客户端。

进一步的，所述应用的安全网关的访问入口控制是基于校验所述本地权限数据进行设置，接收来自安全网关发送的加密数据后，将域名的私钥进行解密获取用户信息，并设置本地权限信息返回客户端，客户端携带本地权限信息进行访问，判断所述本地权限信息的合法性，如果合法，则进行正常访问。

进一步的，所述方法进一步包括：

客户端携带合法的本地权限数据，访问代理后端的业务系统，进行正常访问。

进一步的，所述对用户访问的应用进行鉴权，包括：

读取所述预设应用的访问权限信息；

验证所述用户是否拥有访问预设应用的权限。

进一步的，所述预设应用的权限管理是基于角色的访问控制设计，所述用户的访问请求满足所述应用的角色权限，则进行相应角色权限的访问。

进一步的，所述用户的访问请求满足所述应用的一种或多种角色权限；

所述权限与角色进行关联，用户通过成为角色中的成员从而获得该角色所对应的权限。

进一步的，所述用户对不同预设应用具有不同的用户权限。

进一步的，所述响应具有访问权限的用户对所述应用进行对应权限的访问，包括：

将所述应用的域名录入到安全网关并自动生成相应的私钥；

将对应域名的私钥配置到代理，与安全网关进行关联；

在安全网关上分配业务系统的访问权限给用户；

用户访问业务域名，验证通过，进行正常访问，验证不通过，跳转至用户认证页面进行认证。

本公开实施例具体公开了一种网络权限的控制装置，其中包括：

接收单元，响应用户访问请求，获取所述用户的权限信息；

鉴权单元，获取所述用户访问所述预设应用的权限；

分配单元，分配给所述用户对应预设应用的访问权限；以及

执行单元，执行具有访问权限的用户对所述预设应用的访问。

进一步的，所述装置还包括：

数据单元，用于在代理收到加密数据后，进行解密并设置本地权限数据返回给客户端。

进一步的，所述权限与角色进行关联，用户通过成为角色中的成员从而获得该角色所对应的权限，一个用户可拥有多个角色及对应的的功能权限。

进一步的，所述用户对不同预设应用具有不同的用户权限。

通过本发明提出的技术方案，既可以解决在业务应用直接在互联网上进行访问安全性差的问题，还可以实现同一用户在不同的应用具有不同的访问权限，方便根据应用的安全级别进行用户角色管理，解决现有技术中，用户的访问权限对所有应用都相同而造成的安全控制难度高的问题。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1示出了根据本发明实施例的对文档访问权限的处理方法的流程图；

图2示出了根据本发明实施例的可编辑文档单元格被选中状态示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义，“多种”一般包含至少两种。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应当理解，尽管在本发明实施例中可能采用术语第一、第二、第三等来描述……，但这些……不应限于这些术语。这些术语仅用来将……区分开。例如，在不脱离本发明实施例范围的情况下，第一……也可以被称为第二……，类似地，第二……也可以被称为第一……。

取决于语境，如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的商品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种商品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的商品或者装置中还存在另外的相同要素。

主要解决现有的业务系统在互联网中的运行安全，实现网络隔离及鉴权，确保只有经过授权的用户才能访问业务系统，做到真正的零信任。

下面结合附图详细说明本发明的可选实施例。

实施例1

在服务器侧，实施如下步骤。

步骤s101，响应用户访问请求，获取所述用户的权限信息；具体的，用户在预设的应用中将访问请求发送给服务器，服务器基于用户的访问请求获取用户信息，具体地，服务器根据用户请求中的包括用户id，用户服务器地址，用户请求访问范围获取到预先存储在服务器中的对应的权限信息。

步骤s102，获取所述用户访问所述预设应用的权限。具体的，其中，应用中的网关包括与用户相关的访问权限信息。读取所述应用的访问权限信息，验证所述用户是否拥有访问应用的权限。所述应用的权限管理是基于角色的访问控制设计，所述用户的访问请求满足所述应用的角色权限，则进行相应角色权限的访问。所述用户的访问请求满足所述应用的一种或多种角色权限，所述权限与角色进行关联，用户通过成为角色中的成员从而获得该角色所对应的权限。其中应用的权限信息按照角色进行分类，例如具有管理员角色权限，具有圈圈控制的权限，可以读写、删除、设置参数等权限，控制角色权限，可以读写、删除等权限，访客权限，只具有读或读写权限。当然各角色的权限，管理员角色有权进行调整和控制。所述应用的权限管理是基于角色的访问控制设计，所述用户的访问请求满足所述应用的角色权限，则进行相应角色权限的访问。所述用户的访问请求满足所述应用的一种或多种角色权限。其中，不同的预设应用对同一用户的角色可以是不同的，如在应用1中，用户1是管理员而用户2是普通角色，在应用2中，用户2可以是管理员而用户1是普通角色。此外，还可以针对不同应用设置不同的安全访问权限，如对不包含敏感信息的应用，由于这类应用安全级别较低，可以对用户开放对应角色的权限，对于包含重要敏感信息的应用，对这类应用需要更加关注其安全性，因此只开放有关用户的权限，通过同一用户对不同应用而言分配不同的角色，方便根据应用的安全级别进行用户角色管理。

步骤s103，分配给所述用户对应的访问预设应用的权限。根据应用的权限信息判断所述用户是否有访问权限。当应用权限信息包括对应的所述用户的访问信息，则用户拥有相应权限的访问权限。例如，用户为管理员角色，则应用系统给分配管理员权限，如果用户为控制角色或访客角色，则应用系统给分配相应的控制权限或访客权限。

步骤s104，执行具有访问权限的用户对所述预设应用的访问。具体的，用户在访问应用的时候，需要对应用进行操作，不同权限的用户实施相应权限的操作。将所述应用的域名录入到安全网关并自动生成相应的私钥；将对应域名的私钥配置到代理，与安全网关进行关联；在安全网关上分配预设应用的访问权限给用户；用户访问业务域名，验证通过，进行正常访问，验证不通过，跳转至用户认证页面进行认证。

而应用的权限变更时，需要监听权限变更消息，如果所述应用权限信息有变更，将所述应用对应的权限信息记录到所述检索库中,每个权限记录信息是一个用户/群组id的集合，通过接受并提取所述变更消息，将其更新到网关中。

而当应用的角色和用户对应分配情况发生变更时，也可以在后台中及时通知到所述用户。

进一步的，所述网络的权限控制方法进一步包括：

代理收到加密数据后，进行解密并设置本地权限数据返回给客户端。所述应用的安全网关的访问入口控制是基于校验所述本地权限数据进行设置，接收来自安全网关发送的加密数据后，将域名的私钥进行解密获取用户信息，并设置本地权限信息返回客户端，客户端携带本地权限信息进行访问，判断所述本地权限信息的合法性，如果合法，则进行正常访问。

安全网关的权限管理是基于角色的访问控制设计。权限与角色进行关联，权限不与用户之间关联，用户通过成为角色中的成员从而获得该角色所对应的权限。所以，假如一个用户拥有多个角色，他就拥有多个角色的功能权限。在系统的应用程序层实现基于角色的权限管理方案，对系统的访问权限实现了简单、安全、高效的管理，极大地降低了系统权限管理的负担和代价，而且使系统权限管理更加符合应用系统的业务管理规范。

接下来，安全网关的访问入口控制是基于校验本地权限信息(cookie信息)进行设计，接收来自安全网关发送的加密数据，然后将域名的私钥进行解密获取用户信息，并设置本地权限信息返回客户端，客户端携带本地权限信息进行访问，判断本地权限信息的合法性，进行正常访问。

最后，将业务系统的域名录入到安全网关系统并自动生成相应的私钥(key，用于加解密认证)，然后将对应域名的私钥配置到代理，与安全网关进行关联，管理员在安全网关上分配业务系统的访问权限给用户，用户访问业务域名，验证通过，进行正常访问，验证不通过，跳转至用户认证页面进行认证。

通过上述方法，既可以解决在业务应用直接在互联网上进行访问安全性差的问题，还可以实现同一用户在不同的应用具有不同的访问权限，方便根据应用的安全级别进行用户角色管理，解决现有技术中，用户的访问权限对所有应用都相同而造成的安全控制难度高的问题。

实施例2

根据本发明的具体实施方式，第二方面，本发明提供一种文档访问权限的处理装置，在服务器端，服务器用于接收检索请求，并进行对用户信息的提取和记录，可以为企业或个人服务器，也可以为云端服务器。包括：

接收单元301，响应用户访问请求，获取所述用户的权限信息。

鉴权单元302，获取所述用户访问所述预设应用的权限。

分配单元303，分配给所述用户对应预设应用的访问权限。

执行单元304，执行具有访问权限的用户对所述预设应用的访问。

进一步的，所述装置还包括：

数据单元，用于在代理收到加密数据后，进行解密并设置本地权限数据返回给浏览器。

实施例3

本实施例提供一种电子设备，该设备用于文档访问权限的处理方法，所述电子设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

响应于从用户接收到检索文档的请求，确定所述用户的信息；

确定文档权限信息；

根据所述文档权限信息判断所述用户是否有访问权限；以及

将检索到的相对于所述用户有访问权限的文档进行显示。

具体处理方式可参见实施例1和实施例2。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

实施例4

本公开实施例提供了一种非易失性计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的网络权限的控制方法。

需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、rf(射频)等等，或者上述的任意合适的组合。

上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：获取至少两个网际协议地址；向节点评价设备发送包括所述至少两个网际协议地址的节点评价请求，其中，所述节点评价设备从所述至少两个网际协议地址中，选取网际协议地址并返回；接收所述节点评价设备返回的网际协议地址；其中，所获取的网际协议地址指示内容分发网络中的边缘节点。

或者，上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：接收包括至少两个网际协议地址的节点评价请求；从所述至少两个网际协议地址中，选取网际协议地址；返回选取出的网际协议地址；其中，接收到的网际协议地址指示内容分发网络中的边缘节点。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定，例如，第一获取单元还可以被描述为“获取至少两个网际协议地址的单元”。