[发明专利]访问控制方法、装置、终端设备和存储介质

说明书

本申请适用于计算机技术领域，提供了一种访问控制方法、装置、终端设备和存储介质。该方法包括：在接收到访问方发送的访问被访问方的请求信息时，判断所述请求信息中是否携带有目标令牌，所述目标令牌是在确定所述访问方具备访问所述被访问方的权限时，从预先构建的令牌资源池中查找并分配给所述访问方的；若所述请求信息中携带有目标令牌，则对所述目标令牌进行合法性验证；在所述合法性验证通过后，允许所述访问方对所述被访问方进行访问。通过这样设置，即便应用主体在访问客体资源时篡改相应的权限信息，该应用主体仍然需要一个合法的令牌才可以对客体资源进行访问，故能够有效减少应用对各种服务或资源的非法访问，提高访问控制的安全性。

技术领域

本申请属于计算机技术领域，尤其涉及一种访问控制方法、装置、终端设备和存储介质。

背景技术

Android应用一般会在Manifest文件里定义好用户身份证明(UserIdentification，UID)和权限列表，应用安装时或使用资源时授予对应的权限。

当应用主体访问客体资源的时候，通常会通过该应用主体的UID，从权限列表中查找相应的权限，从而决策是否允许该应用主体对客体资源进行访问，以实现访问控制。

然而，如果应用篡改自己的UID，或者篡改UID对应的权限，则很可能产生越权访问的问题，故采用这种方式进行访问控制的安全性较低。

发明内容

有鉴于此，本申请实施例提供了一种访问控制方法、装置、终端设备和存储介质，可以提高访问控制的安全性。

第一方面，本申请实施例提供了一种访问控制方法，包括：

在接收到访问方发送的访问被访问方的请求信息时，判断所述请求信息中是否携带有目标令牌，所述目标令牌是在确定所述访问方具备访问所述被访问方的权限时，从预先构建的令牌资源池中查找并分配给所述访问方的；

若所述请求信息中携带有目标令牌，则对所述目标令牌进行合法性验证；

在所述合法性验证通过后，允许所述访问方对所述被访问方进行访问。

在访问方访问被访问方之前，会根据访问方的权限给访问方分配相应的令牌，之后当访问方访问被访问方的时候，只需对访问方携带的令牌进行合法性验证即可，从而实现基于令牌的访问控制。通过这样设置，即便应用主体(访问方)在访问客体资源(被访问方)时篡改相应的权限信息，该应用主体仍然需要一个合法的令牌才可以对客体资源进行访问，故能够有效减少应用对各种服务或资源的非法访问，提高访问控制的安全性。

进一步的，在判断所述请求信息中是否携带有目标令牌之后，还可以包括：

若所述请求信息中未携带有目标令牌，则从所述令牌资源池中查找目标令牌，并将查找到的目标令牌分配给所述访问方。

所述请求信息中未携带有目标令牌，可能是由于该访问方首次访问该被访问方，尚未申请到目标令牌。此时可以从所述令牌资源池中查找目标令牌，并将查找到的目标令牌分配给所述访问方。根据设定的访问控制权限策略，如果该访问方具备访问权限，则可以从该令牌资源池中查找到相应的目标令牌；如果该访问方不具备访问权限，则无法从该令牌资源池中查找到相应的目标令牌。

进一步的，在对所述目标令牌进行合法性验证之前，还可以包括：

检验所述目标令牌是否失效；

若所述目标令牌已失效，则从所述令牌资源池中查找新的目标令牌替换所述失效的目标令牌。

很多令牌都是具有时效性的，故在对令牌进行合法性验证之前，可以先检验该访问方携带的目标令牌是否已失效，从而确定是否需要获取新的目标令牌。

可选的，所述目标令牌可以通过以下方式生成，并添加到所述令牌资源池中：