[发明专利]一种页面静态资源访问方法、装置及系统

说明书

本申请实施例公开了一种页面静态资源访问方法、装置及系统。其中方法包括：接收客户端发送的针对目标页面的静态资源访问请求并根据静态资源访问请求返回目标页面对应的第一静态资源至客户端；接收客户端响应获取到第一静态资源发送的路由表请求并根据路由表请求在数据库中匹配到客户端关联用户对应的目标页面的第二静态资源的路由表后发送至客户端；接收客户端发送的针对第二静态资源的路由请求，并根据数据库中的权限信息对路由请求进行判断；若判断结果为具有权限时，发送第二静态资源至客户端；若判断结果为不具有返回权限时，发送访问失败信息至客户端。通过本申请提高了页面静态资源访问的安全性。

技术领域

本申请涉及页面开发访问领域，特别是涉及页面静态资源访问方法、装置及系统。

背景技术

web开发经过了前后端不分离到前后端分离的技术演进。不论是哪种技术，都要求对其中的资源如静态资源进行安全控制，以防止攻击者获得不具有查看权限的信息。在没有做前后端分离的技术中，几乎所有资源数据都发布在后端服务器上，从而可以直接通过后端服务器进行有力的权限控制。

而在前后端分离技术中，后端仅返回前端所需的动态数据，不再渲染HTML页面，不再控制前端的效果。至于前端用户看到什么效果，从后端请求的数据如何加载到前端中，都由前端代码自己决定，后端仅需开发一套逻辑对外如网页或APP提供数据即可。对应的数据交互如图1所示。

在这种情况下，现有技术提供了几种前端权限控制方式：

一、通过ajax调用后端接口获取权限信息，根据权限信息来判断哪些页面允许用户访问，哪些内容或信息可以展示给用户阅读查看，哪些功能可以提供用户进行操作，然后相对应的进行隐藏。

二、通过ajax调用后端接口获取权限信息，根据权限信息来判断哪些页面允许用户访问，哪些内容或信息可以展示给用户阅读查看，哪些功能可以提供用户进行操作，然后相对应的进行隐藏。增加路由守卫功能，再结合通过接口获取到的权限信息，来控制前端路由的跳转限制用户页面访问。

三、通过ajax调用后端接口获取权限信息，根据权限信息动态的添加路由来限制用户访问页面，根据权限信息来判断哪些内容或信息可以展示给用户阅读查看，哪些功能可以提供用户进行操作，然后相对应的进行隐藏。

第一种方法，是安全性最差的，尤其是页面访问，虽然入口进行了隐藏，但是攻击者在知道页面地址的情况下可以直接进行页面访问。第二种方法是对第一种方法进行了优化处理，用户虽然直接访问会被代码控制跳转出来，但是用户依然在短时间内可以访问到没有权限进行查看的页面，虽然时间非常短，但是如果用户是一名攻击者，在具备一定技术知识的条件下，可以在页面跳转前将跳转操作抹去或将页面进行卡顿。第三种方法，做到了更好的优化处理，但是依然存在安全隐患，只是增加了攻击者的攻击成本，而攻击者依然可以通过阅读静态资源文件，js文件，进行阅读源码获取相关业务信息，攻击者技术知识足够充分下，可以破解出前端路由表重新编写一份本地js文件，利用fiddler等工具可以把资源文件替换成自己写的本地js文件，就可以进行无差别的页面访问。

可见目前对于位于前端的静态资源的控制无法起到真正意义上安全控制。静态资源文件，尤其是js文件，即便前端代码做了权限控制进行了隐藏业务，但是攻击者可以轻而易举的在客户端进行查看源码从而获取相关有用信息，如果这些信息本身就静态信息也是机密的话，将是一种不可忽略的安全风险。

因此目前急需一种在前后端分离背景下，可以提高安全性的页面静态资源访问方法。

发明内容

本申请提供了一种页面静态资源访问方法、装置及系统，以解决现有技术中前后端分离背景下静态资源访问安全性低的问题。

本申请提供了如下方案：

第一方面公开了一种页面静态资源访问方法，所述方法包括：