[发明专利]一种细粒度分布式接口访问控制方法及装置

说明书

本发明提供一种细粒度分布式接口访问控制方法及装置，本发明从用户组及单个用户两个级别上，使用访问间隔时间及访问频率两种控制方式，结合用户身份认证及安全地址列表多种安全机制，通过可动态更新的控制参数，实现动态的细粒度的分布式接口访问控制，从而增强了分布式接口的安全性，减轻了分布式接口服务器的负载，提高了系统安全控制的灵活性。

技术领域

本发明涉及有线及无线通信技术领域，尤其涉及一种细粒度分布式接口访问控制方法及装置。

背景技术

随着Internet互联网和分布式计算技术的飞速发展和普遍应用，出现了越来越多的分布式应用系统。这些应用系统之间的协同通信也变的非常普遍，随着应用系统规模变得越来越大，各个系统之间的访问也变得越来越频繁。

万维网WEB服务是一种崭新的分布式接口技术，基于一系列开放的标准协议，其松散耦合性、平台和语言无关性以及开放性使得它成为现在企业级应用系统流行的服务框架。但是由于网络的开放性使得WEB服务非常易于受到安全方面的威胁，因此防止WEB服务被非法地访问以及恶意的调用的需求变的非常迫切和重要。

发明内容

有鉴于此，为防止分布式接口的非法访问以及恶意调用，本发明提出了一种细粒度分布式接口访问控制方法及装置。

具体地，本发明是通过如下技术方案实现的：

基于本发明实施例的一方面，本发明提供一种细粒度分布式接口访问控制方法，所述方法包括：

接收到用户发送的接口访问请求后，判断该用户的本次接口访问请求与前一次接口访问请求的时间间隔是否小于预设的访问间隔时间阈值，若小于则拦截本次接口访问请求；

接收到用户发送的接口访问请求后，判断在预设的周期内与该用户相关的接口访问次数配额是否使用完，若使用完则拦截本次接口访问请求，

当两次接口访问请求的时间间隔不小于预设的访问间隔时间阈值且在预设的周期内与该用户相关的接口访问次数配额未使用完时，对该接口访问请求进行处理，记录接收到该用户本次接口访问请求的时间戳，执行周期内与该用户相关的接口访问次数配额记录值的递减操作。

进一步地，所述的访问间隔时间阈值包括用户组访问间隔时间阈值和单用户访问间隔时间阈值；

所述判断该用户的本次接口访问请求与前一次接口访问请求的时间间隔是否小于预设的访问间隔时间阈值的步骤具体为：

判断该用户本次请求与前一次的请求的时间间隔是否小于该用户所属用户组的访问间隔时间阈值，若小于则拦截本次接口访问请求；

判断该用户本次请求与前一次的请求的时间间隔是否小于该用户对应的单用户访问间隔时间阈值，若小于则拦截本次接口访问请求。

进一步地，所述与用户相关的接口访问次数配额包括：用户组访问次数配额和单用户访问次数配额；

所述判断在预设的周期内与该用户相关的接口访问次数配额是否使用完的步骤具体为：

判断在当前周期内用户组访问次数配额是否用完，若用完则拦截本次接口访问请求；

判断在当前周期内单用户访问次数配额是否用完，若用完则拦截本次接口访问请求。

进一步地，在执行所述判断步骤之前，所述方法还包括：

在接收到用户发送的接口访问请求时，从请求中获取用于用户身份认证的信息，对用户身份进行合法性验证，若未通过用户身份认证，则拦截本次接口访问请求；和/或

在接收到用户发送的接口访问请求时，根据预设的安全地址列表判断请求报文的源地址是否为所述安全地址列表中的地址，若不在所述安全地址列表内，则拦截本次接口访问请求。