[发明专利]访问控制方法和用于访问控制的网络节点

权利要求书

1.一种访问控制方法，其特征在于，包括：

网络节点接收客户端发来的HTTP接入请求，识别所述HTTP接入请求中的referer字段，所述referer字段中包括请求访问的资源标识；

所述网络节点根据所述请求访问的资源标识在一组或多组访问控制列表中进行匹配，其中，所述一组或多组访问控制列表被添加在源站向所述网络节点下发的所述访问控制列表响应的扩展头域中，对于任一组访问控制列表包括被控资源标识及所述被控资源标识的允许/拒绝标识位；

当所述请求访问的资源标识匹配到被控资源标识时，所述网络节点获取所述被控资源标识的允许/拒绝标识位，根据所述被控资源标识的允许/拒绝标识位对发出所述HTTP接入请求的客户端发出允许/拒绝访问的HTTP接入响应。

2.如权利要求1所述的访问控制方法，其特征在于，

对于任一组访问控制列表还包括所述被控资源标识的匹配标识位；

其中，任一组访问控制列表内，所述被控资源标识的匹配标识位被设置为标准匹配标识位时，所述被控资源标识包括：域名为被控资源标识的所有资源标识；所述被控资源标识的匹配标识位被设置为扩展匹配标识位时，所述被控资源标识包括：主机名包含有被控资源标识的所有资源标识；所述被控资源标识的匹配标识位被设置为全部匹配标识位时，被控资源标识为默认缺省状态，被控资源标识包括：所有资源标识。

3.如权利要求1所述的访问控制方法，其特征在于，所述网络节点根据所述请求访问的资源标识在一组或多组访问控制列表中进行匹配，进一步包括：

当所述访问控制列表为多组时，所述网络节点根据所述多组访问控制列表的排列顺序逐一进行匹配，并以首次匹配到的被控资源标识的允许/拒绝标识位作为匹配结果从而对发出所述HTTP接入请求的客户端发出允许/拒绝访问的HTTP接入响应。

4.如权利要求1所述的访问控制方法，其特征在于，

多组所述访问控制列表被添加在源站向所述网络节点下发的所述访问控制列表响应的扩展头域中时，将多组所述访问控制列表中被控资源标识及所述被控资源标识的允许/拒绝标识位都相同的部分进行合并。

5.如权利要求1所述的访问控制方法，其特征在于，

当所述请求访问的资源标识匹配不到被控资源标识或者识别所述访问控制列表为空时，判定对于客户端针对所述源站向所述网络节点发来的HTTP接入请求，发出允许访问的HTTP接入响应。

6.如权利要求1所述的访问控制方法，其特征在于，所述网络节点识别所述HTTP接入请求中的referer字段，进一步包括：

所述网络节点识别不到所述HTTP接入请求中的referer字段或识别所述referer字段为空，则直接判定向所述客户端发出允许访问的HTTP接入响应。

7.如权利要求1所述的访问控制方法，其特征在于，所述网络节点识别所述HTTP接入请求中的referer字段，进一步包括：

所述网络节点识别到所述HTTP接入请求中的referer字段内携带的请求访问的资源标识不是有效文法格式的资源标识，向所述客户端发出拒绝访问的HTTP接入响应；

有效文法格式的资源标识，包括以HTTP或者HTTPS开头的通用资源标识符。

8.如权利要求1所述的访问控制方法，其特征在于，

所述允许访问的HTTP接入响应，包括状态信息200OK；

所述拒绝访问的HTTP接入响应，包括状态信息403forbidden。