[发明专利]访问控制方法和装置

说明书

本申请实施例提供了一种访问控制方法、装置、电子设备和计算机可读存储介质，解决了现有访问控制方式不利于分布式扩展、安全性差以及通用性差的问题。该访问控制方法包括：基于用户提交的身份认证信息对所述用户进行身份认证；当身份验证通过时，从所述身份认证信息中获取用户角色信息；以及基于所述用户角色信息获取所述用户的操作权限。

技术领域

本申请涉及计算机通信技术领域，具体涉及一种访问控制方法、装置、电子设备和计算机可读存储介质。

背景技术

随着互联网技术的不断发展，各个公司和应用之间对于数据的开放需求日渐强烈。因此，各个公司都在寻求可以实现整合互联网中的各个服务的方案。在众多方案中，平台开放的方法脱颖而出。通过构建开放平台，开发者可以把自己的各种服务封装成对外开放的API(Application Programming Interface，应用程序编程接口)，资源访问者通过这套API可以使用服务器上的资源。开放平台的核心问题在于资源访问者的验证和授权上。出于安全性的考虑，在实现开放平台时必然涉及到权限控制的问题。包括资源的拥有者如何按照自己的意愿把接入访问的权限暴露给资源访问者。

现有技术中有一些实现访问控制的方法，例如采用cookie(缓存)－session(会话)模式。然而，该cookie－session模式是基于有状态服务器的验证，即服务器上保存用户的登录session，用户发送请求时附带服务器签发的cookie，服务器根据存储的session内容与cookie对比来验证用户的身份。在分布式服务器架构中，用户请求可能就会由不同服务器进行处理，就需要进行多服务器的session同步，这并不利于进行分布式扩展，限制了负载均衡的能力。此外，Cookie－session模式需要访问端向认证机构给出自己的一些高度私密的信息，诸如用户名，密码等。这容易造成访问端的信息的泄露，对于资源访问者和资源拥有者来说都是很不好的一种解决方案。

现有技术中还存在一些其他的基于身份认证实现的访问控制方式。这些控制方式虽然对用户身份做了认证，但并没有做权限的细粒度判定，比如并无法从资源对象角度上实现细粒度权限访问控制。权限细粒度验证方式是与用户的身份认证分离的，往往是通过用户标识去查表得到用户角色，再根据用户角色查表得到操作权限。这种访问控制方式的业务耦合度较高，访问权限验证流程复杂且需要定制化，通用性差。

发明内容

有鉴于此，本申请实施例提供了一种访问控制方法、装置、电子设备和计算机可读存储介质，解决了现有访问控制方式不利于分布式扩展、安全性差以及通用性差的问题。

根据本申请的一个方面，本申请一实施例提供一种访问控制方法包括：基于用户提交的身份认证信息对所述用户进行身份认证；当身份验证通过时，从所述身份认证信息中获取用户角色信息；以及基于所述用户角色信息获取所述用户的操作权限。

根据本申请的另一个方面，本申请一实施例提供一种访问控制装置包括：身份认证模块，配置为基于用户提交的身份认证信息对所述用户进行身份认证；角色获取模块，配置为当身份验证通过时，从所述身份认证信息中获取用户角色信息；以及鉴权模块，配置为基于所述用户角色信息获取所述用户的操作权限。

根据本申请的另一方面，提供了一种电子设备，包括：处理器；存储器；以及存储在存储器中的计算机程序指令，计算机程序指令在被处理器运行时使得处理器执行如上述任一项所述的访问控制方法。

根据本申请的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行如前任一所述的访问控制方法。

根据本申请的另一方面，提供了一种计算机程序产品，包括计算机程序指令，所述计算机程序指令在被处理器运行时使得处理器执行如上述任一所述的访问控制方法。