[发明专利]一种分布式权限流程分离控制方法及装置

说明书

本发明提供一种分布式权限流程分离控制方法及装置，方法包括：步骤S100，客户端获取用户的身份认证信息，并确认身份认证信息匹配成功，身份认证信息包括授权用户ID；步骤S200，客户端根据所述身份认证信息从本地列表中获取硬件MAC加密后的请求接口指令，并通过本地MAC进行解密；步骤S300，所述客户端获取解密后的所述请求接口指令后，将权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内；步骤S400，服务器通过所述权限独立信道获取当前用户的权限访问控制清单，并根据当前所述授权用户ID寻址路由到的对应的所述权限访问控制清单响应服务。本发明建立了权限信息交互的权限独立信道，确保了权限信息的可靠性，提高了权限信息传输的安全性。

技术领域

本发明涉及计算机软件信息传递领域，具体而言，涉及一种分布式权限流程分离控制方法及一种分布式权限流程分离控制装置。

背景技术

传统权限控制在客户端与服务器之间的传输环节上，涉及到如下的明显问题：第一，权限请求无权限独立信道，传统权限请求与常规业务混合使用相同、非独立式的通道，而在业务信息中有安全等级较轻的信息，该类安全等级较轻的信息对应的安全措施也很弱，如分享类信息等，混用请求通道使得安全等级较高的权限信息容易获得，容易造成安全隐患；第二，权限请求无独立的认证机制，传统的权限请求使用的唯一前提是共同的唯一请求信道中的账户认证通过，即可请求权限相关的信息，权限使用并没有独立的认证机制；第三，传统的权限请求无独立连接，传统的权限请求响应模式遵循HTTP的无状态、无连接原则，导致服务端对客户端一无所知，容易导致客户端被伪造，从而引起一系列信息安全问题。

发明内容

本发明提出了一种新的分布式的权限流程分离控制方法及装置，要解决的技术问题是传统权限请求无权限独立信道，引起的通信安全度较低的问题。

有鉴于此，本发明提出了一种新的分布式权限流程分离控制方法，具体包括：步骤S100，客户端获取用户的身份认证信息，并确认所述身份认证信息匹配成功，所述身份认证信息包括授权用户ID；步骤S200，所述客户端根据所述身份认证信息从本地列表中获取硬件MAC加密后的请求接口指令，并通过本地MAC进行解密；步骤S300，所述客户端获取解密后的所述请求接口指令后，将权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内；步骤S400，服务器通过所述权限独立信道获取当前用户的权限访问控制清单，并根据当前所述授权用户ID寻址路由到的对应的所述权限访问控制清单响应服务。

在该技术方案中，客户端在确认用户的身份认证信息匹配成功后，即用户需要使用权限，必须要完成用户的身份认证作为前提条件，再进行步骤S200，通过用户的身份认证信息中作为当前用户的唯一标识的授权用户ID，从客户端的本地列表中获取请求接口指令，且只有获取通过本地MAC解密后的请求接口指令后，才能将权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内，以此提出一种权限传输独立于业务数据传输的方案，确保权限通信传输的安全性，另一方面，客户端与服务器之间建立权限独立信道成功后，服务器才能够在权限独立信道内获取当前用户的权限访问控制清单，构成了二次认证的方式，能够有效避免用户的身份认证信息成为唯一的请求信道中的认证机制，在该过程中，客户端与服务器一致保持长连接，直到用户登出或者关闭为止，使得权限信息的输入输出流程均受到既定的控制，确保权限信息的可靠性，有效提高了通信安全度。

在上述技术方案中，可选地，所述步骤S100之前还包括：步骤S001，服务器获取用户的会话ID作为双向通信端点的授权用户ID，所述授权用户ID同步当前客户端硬件ID及有效时间戳缓存至所述服务器的内存中，生成请求接口指令；步骤S002，客户端接收所述请求接口指令，并通过所述客户端的硬件MAC加密后存储至本地列表。