[发明专利]一种访问控制方法和装置

说明书

本申请提供了一种访问控制方法和装置，其中，该方法包括：接收目标用户的访问请求，其中，所述访问请求中携带有令牌；根据所述令牌匹配到所述目标用户的用户数据；根据所述用户数据，确定所述目标用户所属的用户角色；调取请求规则库，获取所述请求规则库中所述用户角色关联的请求规则；确定所述访问请求与所述关联的请求规则是否适配，在确定适配的情况下，确定访问验证通过。通过上述方案解决了现有的访问控制过程中，安全程度低，数据负荷过大的问题，达到了准确进行安全控制，且数据负荷较低的技术效果。

技术领域

本申请属于互联网技术领域，尤其涉及一种访问控制方法和装置。

背景技术

越权(Privilege Escalation，权限提升)是指攻击者能够执行其本身没有资格执行的一些操作，属于“访问控制”的问题。越权访问分为垂直越权访问和水平越权访问。垂直越权是指不同用户级别之间的越权，如普通用户执行管理员用户的权限。水平越权是指相同级别用户之间的越权操作。对于一个正常的web请求而言，一般的流程是：登录-提交请求-验证权限-数据库查询-返回结果。如果对于前端请求过于相信又没有有效的验证，那么就会导致越权行为的产生，常见的程序都会认为通过登录后即可验证用户的身份，从而不会做下一步验证，最后导致越权。

目前常有的越权访问一般存在如下几种攻击方式：

1)通过隐藏URL，这种越权方式通过访问控制只有管理员权限的url，但是url泄漏会导致恶意攻击或者被攻击者猜测到，从而导致越权；

2)直接对象引用，这种攻击方式通过修改请求的参数，比如查询用户的id从低权限id换成高权限id，从而产生越权；

3)上传下载文件，这种攻击方式是攻击网址下载功能，很多网址有付费的vip下载通道，如果被攻击者知道后，则会被越权下载；

4)多阶段功能，一个功能如果有多个交易阶段。比如重置密码功能，第一步交易需要验证用户信息，验证成功后第二步重置密码，如果第二步重置密码操作并不进行身份验证，攻击者可以重放请求，绕过第一步验证后，再重置新的密码，从而导致攻击成功。

针对如何对上述这些越权行为进行防范控制，目前尚未提出有效的解决方案。

发明内容

本申请目的在于提供一种访问控制方法和装置，可以避免越权访问。

本申请提供一种访问控制方法和装置是这样实现的：

一种访问控制方法，所述方法包括：

接收目标用户的访问请求，其中，所述访问请求中携带有令牌；

根据所述令牌匹配到所述目标用户的用户数据；

根据所述用户数据，确定所述目标用户所属的用户角色；

调取请求规则库，获取所述请求规则库中所述用户角色关联的请求规则；

确定所述访问请求与所述关联的请求规则是否适配，在确定适配的情况下，确定访问验证通过。

在一个实施方式中，所述访问请求中还携带有：请求参数和请求路径，相应的，确定所述访问请求与所述关联的请求规则是否适配，包括：

确定所述关联的请求规则中是否存在所述请求参数和所述请求路径；

在确定存在所述请求参数和所述请求路径的情况下，确定适配；

在确定不存在所述请求参数和所述请求路径的情况下，确定不适配。

在一个实施方式中，调取请求规则库之前还包括：

确定目标缓存中是否存储有所述请求规则库；