[发明专利]访问控制方法、装置、计算机设备和存储介质

权利要求书

1.一种访问控制方法，其特征在于，所述方法包括：

接收终端的业务访问请求；

获取所述业务访问请求待访问的资源节点；所述资源节点对应的各权限规则包括接口级规则、模块级规则以及产品级规则；所述接口级规则是指所述资源节点的权限规则，所述模块级规则是指所述资源节点所属模块的权限规则，所述产品级规则是指所述资源节点所属产品的权限规则；所述资源节点对应的各权限规则采用分布式存储方式进行存储；

基于所述接口级规则、所述模块级规则以及所述产品级规则，对所述业务访问请求中携带的特征信息进行属性收集，分别得到与所述接口级规则、模块级规则以及产品级规则对应的信息，作为所述业务访问请求的上下文属性信息；所述上下文属性信息包括用户身份凭证、服务信息、环境上下文信息以及关系链信息，所述服务信息是指所述资源节点所属的模块的信息，所述环境上下文信息包括所述资源节点的操作类型；所述用户身份凭证是在所述终端的登录请求验证成功的情况下生成的；所述用户身份凭证包括权限信息；根据所述上下文属性信息与所述权限规则鉴权得到的鉴权结果，放行或拦截所述业务访问请求。

2.根据权利要求1所述的方法，其特征在于，在所述接收终端的业务访问请求之前，所述方法还包括：

接收所述终端的登录请求；

对发起所述登录请求的用户身份进行验证，得到验证结果；

若所述验证结果为成功，则生成用户身份凭证；

将所述用户身份凭证发送至所述终端，供所述终端发送携带有所述用户身份凭证的业务访问请求。

3.根据权利要求2所述的方法，其特征在于，所述将所述用户身份凭证发送至所述终端，包括：

通过AESGCM加密算法，生成加密后的用户身份凭证；

将所述加密后的用户身份凭证发送至所述终端。

4.根据权利要求1所述的方法，其特征在于，所述获取所述业务访问请求待访问的资源节点，包括：

通过AESGCM解密算法，对所述业务访问请求进行解密，得到解密结果；

若所述解密结果为成功，则获取所述业务访问请求待访问的资源节点。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若所述权限规则存在变更的情况，则获取变更后的所述接口级规则、所述模块级规则以及所述产品级规则，作为与所述资源节点对应的权限规则；

将所述资源节点对应的权限规则进行预解析处理，得到结构转换后的权限规则；所述结构转换后的权限规则用于获取所述上下文属性信息。

6.根据权利要求1所述的方法，其特征在于，所述根据所述上下文属性信息与所述权限规则鉴权得到的鉴权结果，放行或拦截所述业务访问请求，包括：

将所述上下文属性信息对应于所述权限规则进行鉴权，得到鉴权结果；

若所述鉴权结果为成功，则放行所述业务访问请求；所述业务访问请求用于请求对访问数据进行增加、删除、修改、查询中的任意一项控制；

若所述鉴权结果为失败，则将所述上下文属性信息作为恶意访问信息进行上报处理之后，拦截所述业务访问请求。

7.根据权利要求6所述的方法，其特征在于，所述上下文属性信息包括用户身份凭证，所述将所述上下文属性信息对应于所述权限规则进行鉴权，得到鉴权结果，包括：

通过AESGCM解密算法，对所述用户身份凭证进行解密，得到用户身份信息和权限信息；

将所述用户身份信息、所述权限信息，以及所述上下文属性信息中包含的服务信息、环境上下文信息、关系链信息分别对应于所述权限规则进行鉴权，得到鉴权结果。