本發(fā)明涉及用戶權(quán)限管理技術(shù)領(lǐng)域,具體涉及一種基于緩存的用戶權(quán)限管理方法以及一種基于緩存的用戶權(quán)限管理裝置。
背景技術(shù):
隨著互聯(lián)網(wǎng)信息及用戶的飛速增長,如何有效減少用戶訪問延時,提高網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)帶寬的利用率是一個迫切需要解決的難題。Web代理緩存技術(shù)是克服這些問題的最有效的方法。Web緩存服務(wù)器系統(tǒng)正在Internet及局域網(wǎng)上廣泛地應(yīng)用,對它所采用的技術(shù)做了較深入的討論,指出利用Web Cache技術(shù),可減少網(wǎng)絡(luò)流量,節(jié)約資金,提高帶寬利用率;同時在Cache服務(wù)器端進(jìn)行內(nèi)容分析過濾,可提高過濾質(zhì)量和效率,有效防止有害信息的進(jìn)一步傳播。
基于角色的訪問控制方法給用戶授權(quán)管理帶來了靈活性和簡單性,但是當(dāng)把其具體應(yīng)用到實際大中型應(yīng)用系統(tǒng)時,便發(fā)現(xiàn)會存在這樣的問題:由于應(yīng)用系統(tǒng)用戶、角色和權(quán)限數(shù)量很多,而且用戶和角色之問、角色與角色之間、角色和權(quán)限之間還存在很復(fù)雜的關(guān)系以及各種各樣的約束。判斷用戶是否具有某個操作權(quán)限可能是一個復(fù)雜的遞歸查找過程,需要連接數(shù)據(jù)庫,進(jìn)行大量比較耗時的數(shù)據(jù)查詢操作,而且即使用戶每次訪問相同的資源,也要重復(fù)同樣的查權(quán)過程,這將嚴(yán)重影響系統(tǒng)的查權(quán)速度。
因此,亟需要一種解決系統(tǒng)查權(quán)限速度慢的用戶權(quán)限管理的方法及裝置。
技術(shù)實現(xiàn)要素:
技術(shù)問題
有鑒于此,本發(fā)明實施例提供基于緩存的用戶權(quán)限管理方法及裝置,解決查權(quán)限速度慢的技術(shù)問題。
根據(jù)本發(fā)明的一個方面,公開了一種基于緩存的用戶權(quán)限管理方法。該方法包括如下步驟:
用戶進(jìn)行訪問時,查詢用戶權(quán)限緩存數(shù)據(jù)庫是否存在該用戶的訪問權(quán)限數(shù)據(jù)記錄;
如果沒有,則生成訪問權(quán)限數(shù)據(jù),并將所述訪問權(quán)限數(shù)據(jù)存儲到所述用戶權(quán)限緩存數(shù)據(jù)庫;
如果有,則根據(jù)所述用戶權(quán)限緩存數(shù)據(jù)庫中的該用戶的訪問權(quán)限數(shù)據(jù)記錄將該用戶的訪問權(quán)限數(shù)據(jù)載入內(nèi)存。
在其中一個實施例中,所述生成訪問權(quán)限數(shù)據(jù)的步驟為根據(jù)RBAC查權(quán)方法生成訪問權(quán)限數(shù)據(jù)。
在其中一個實施例中,所述用戶的訪問權(quán)限數(shù)據(jù)記錄包括用戶信息、用戶訪問資源信息、操作權(quán)限信息和資源訪問次數(shù)信息中的任意信息。
在其中一個實施例中,當(dāng)用戶權(quán)限緩存數(shù)據(jù)庫存在該用戶的訪問權(quán)限數(shù)據(jù)記錄時,累計資源訪問次數(shù)信息。
在其中一個實施例中,該方法還包括如下步驟:
根據(jù)預(yù)定資源訪問次數(shù),將超過所述預(yù)定資源訪問次數(shù)的資源的訪問權(quán)限數(shù)據(jù)直接載入內(nèi)存。
根據(jù)本發(fā)明的另一個方面,還提供了一種基于緩存的用戶權(quán)限管理裝置。該裝置包括:用戶權(quán)限緩存數(shù)據(jù)庫,用于存儲用戶訪問資源數(shù)據(jù)記錄,其中,針對不同的訪問資源設(shè)置相應(yīng)的訪問數(shù)據(jù)記錄;查詢判斷模塊,用于用戶進(jìn)行訪問時,查詢用戶權(quán)限緩存數(shù)據(jù)庫是否存在該用戶的訪問權(quán)限數(shù)據(jù)記錄;訪問權(quán)限數(shù)據(jù)生產(chǎn)模塊,用于用戶權(quán)限緩存數(shù)據(jù)庫并不存在該用戶的訪問權(quán)限數(shù)據(jù)記錄時,則生成訪問權(quán)限數(shù)據(jù),并將所述訪問權(quán)限數(shù)據(jù)存儲到所述用戶權(quán)限緩存數(shù)據(jù)庫;載入模塊,用于根據(jù)所述用戶權(quán)限緩存數(shù)據(jù)庫中的該用戶的訪問權(quán)限數(shù)據(jù)記錄將該用戶的訪問權(quán)限數(shù)據(jù)載入內(nèi)存。
在其中一個實施例中,訪問權(quán)限數(shù)據(jù)生產(chǎn)模塊根據(jù)RBAC查權(quán)方法生成訪問權(quán)限數(shù)據(jù)。
在其中一個實施例中,所述用戶的訪問權(quán)限數(shù)據(jù)記錄包括用戶信息、用戶訪問資源信息、操作權(quán)限信息和資源訪問次數(shù)信息中的任意信息。
在其中一個實施例中,該裝置還包括:
累計模塊,用于當(dāng)用戶權(quán)限緩存數(shù)據(jù)庫存在該用戶的訪問權(quán)限數(shù)據(jù)記錄時,累計用戶訪問資源數(shù)據(jù)記錄的資源訪問次數(shù)信息。
在其中一個實施例中,載入模塊還用于根據(jù)預(yù)定資源訪問次數(shù),將超過所述預(yù)定資源訪問次數(shù)的資源的訪問權(quán)限數(shù)據(jù)直接載入內(nèi)存。
采用上述技術(shù)方案,本發(fā)明至少可取得下述技術(shù)效果:
使用有緩存查權(quán)方法時,由于登錄驗證用戶身份環(huán)節(jié)需要查找用戶權(quán)限緩存表,所以登錄用時明顯比無緩存方法的要多一些;
登錄時只把該用戶最經(jīng)常使用的那些資源的緩存權(quán)限數(shù)據(jù)裝載到內(nèi)存中供查權(quán)使用,而其它不經(jīng)常使用的一些資源的緩存權(quán)限數(shù)據(jù),在使用到時才到數(shù)據(jù)庫中提取。從整體上來看,采用這樣的策略既可以避免用戶登錄時耗時較多,也可以提高系統(tǒng)的查權(quán)速度。
附圖說明
為了更清楚地說明本發(fā)明實施例中的技術(shù)方案,下面將對本發(fā)明實施例描述中所需要使用的附圖作簡單的介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)本發(fā)明實施例的內(nèi)容和這些附圖獲得其他的附圖。
圖1是本發(fā)明一實施例所述的基于緩存的用戶權(quán)限管理方法流程圖;
圖2是本發(fā)明一實施例所述的基于緩存的用戶權(quán)限管理裝置示意圖。
貫穿附圖,應(yīng)該注意的是,相似的標(biāo)號用于描繪相同或相似的元件、特征和結(jié)構(gòu)。
具體實施方式
提供以下參照附圖的描述來幫助全面理解由權(quán)利要求及其等同物限定的本公開的各種實施例。以下描述包括幫助理解的各種具體細(xì)節(jié),但是這些細(xì)節(jié)將被視為僅是示例性的。因此,本領(lǐng)域普通技術(shù)人員將認(rèn)識到,在不脫離本公開的范圍和精神的情況下,可對本文所述的各種實施例進(jìn)行各種改變和修改。另外,為了清晰和簡潔,公知功能和構(gòu)造的描述可被省略。
以下描述和權(quán)利要求書中所使用的術(shù)語和詞匯不限于文獻(xiàn)含義,而是僅由發(fā)明人用來使本公開能夠被清晰和一致地理解。因此,對于本領(lǐng)域技術(shù)人員而言應(yīng)該明顯的是,提供以下對本公開的各種實施例的描述僅是為了示例性目的,而非限制由所附權(quán)利要求及其等同物限定的本公開的目的。
應(yīng)該理解,除非上下文明確另外指示,否則單數(shù)形式也包括復(fù)數(shù)指代。因此,例如,對“組件表面”的引用包括對一個或更多個這樣的表面的引用。
傳統(tǒng)的基于角色的訪問控制是基于RBAC模型,當(dāng)判斷用戶是否具有某個操作權(quán)限P時,可以根據(jù)RBAC模型中的用戶角色指派關(guān)系(User Assignment,UA)、角色權(quán)限指派關(guān)系(Permission Assignment,PA)和角色間的層次關(guān)系(Role Hierarchy,RH)進(jìn)行具體判定。例如,判斷用戶U1是否具有權(quán)限P1,用戶角色指派關(guān)系中U1直接擁有角色R1,而R1具有權(quán)限P1。在RBAC中,用戶擁有某角色就擁有該角色的全部權(quán)限。因此,只要查詢角色R1是否包含有權(quán)限P1就可判定用戶U1是否具有權(quán)限P1了。又如,判斷用戶U2是否擁有權(quán)限Pm,用戶角色指派關(guān)系和角色層次關(guān)系中,U2擁有的直接角色是R2,而R2的直接下層角色是R5,R5的直接下層角色是R8,R8才直接擁有權(quán)限Pm。在具體查權(quán)操作時,必須逐層往下搜索,根據(jù)RBAC中的上層(父)角色擁有下層(子)角色的全部權(quán)限的原則,直到搜索到R8時才能根據(jù)R8中是否擁有權(quán)限Pm來判定用戶U2是否間接具有權(quán)限Pm。這里只是一個簡單實例,實際應(yīng)用系統(tǒng)的查權(quán)過程可能還要比這復(fù)雜得多。從傳統(tǒng)的RBAC查權(quán)過程中可以看到,判斷用戶是否具有某權(quán)限要靠查找存儲在數(shù)據(jù)庫中的RBAC的UA、RH和PA關(guān)系并生成相應(yīng)的權(quán)限數(shù)據(jù)以進(jìn)行判定。由于數(shù)據(jù)庫中沒有存儲任何用戶和權(quán)限問的直接關(guān)系,每次用戶訪問應(yīng)用系統(tǒng)進(jìn)行查權(quán)時生成的權(quán)限數(shù)據(jù)和判斷結(jié)果在當(dāng)次使用完后就丟棄了,當(dāng)該用戶下次再登錄時,即使是訪問跟上次完全相同的系統(tǒng)資源也要重新生成權(quán)限數(shù)據(jù)然后再進(jìn)行判定。這種查權(quán)方式對系統(tǒng)的運(yùn)行速度影響比較大。
本申請的基于緩存的用戶權(quán)限管理方法和裝置,使用有緩存查權(quán)方法,由于登錄驗證用戶身份環(huán)節(jié)需要查找用戶權(quán)限緩存表,所以登錄用時明顯比無緩存方法的要多一些;登錄時只把該用戶最經(jīng)常使用的那些資源的緩存權(quán)限數(shù)據(jù)裝載到內(nèi)存中供查權(quán)使用,而其它不經(jīng)常使用的一些資源的緩存權(quán)限數(shù)據(jù),在使用到時才到數(shù)據(jù)庫中提取。從整體上來看,采用這樣的策略既可以避免用戶登錄時耗時較多,也可以提高系統(tǒng)的查權(quán)速度
圖1是本發(fā)明一實施例所述的基于緩存的用戶權(quán)限管理方法流程圖。
參考圖1,本實施例所述的基于緩存的用戶權(quán)限管理方法100,該方法100包括如下步驟:
步驟S120:查詢用戶權(quán)限緩存數(shù)據(jù)庫是否存在該用戶的訪問權(quán)限數(shù)據(jù)記錄。用戶進(jìn)行訪問時,首先查詢用戶權(quán)限緩存數(shù)據(jù)庫是否存在該用戶的訪問權(quán)限數(shù)據(jù)記錄。
造成查權(quán)速度慢的主要原因就是每次登錄應(yīng)用系統(tǒng)時,都要搜索存儲在數(shù)據(jù)庫中的UA、RH和PA關(guān)系并且重新生產(chǎn)權(quán)限數(shù)據(jù)再進(jìn)行匹配判斷,即使是用戶以前訪問過的資源亦是如此。要解決這個造成查權(quán)速度慢的問題,就必須采取相應(yīng)的方法,盡量避免用戶每次錄系統(tǒng)時都要重新生成權(quán)限數(shù)據(jù)和進(jìn)行判斷。針對這個問題,本申請對傳統(tǒng)的RBAC查權(quán)方法進(jìn)行了一定的改進(jìn),采用直接緩存部分用戶常用權(quán)限數(shù)據(jù)的策略。
步驟S140,如果沒有,則生成訪問權(quán)限數(shù)據(jù),并將訪問權(quán)限數(shù)據(jù)存儲到所述用戶權(quán)限緩存數(shù)據(jù)庫。如果用戶權(quán)限緩存數(shù)據(jù)庫不存在該用戶的訪問權(quán)限數(shù)據(jù)記錄,則生成訪問權(quán)限數(shù)據(jù),并將訪問權(quán)限數(shù)據(jù)存儲到所述用戶權(quán)限緩存數(shù)據(jù)庫。用戶首次訪問或者訪問沒有記錄的新的應(yīng)用資源時,需要先生成訪問權(quán)限數(shù)據(jù),并將生成的訪問權(quán)限數(shù)據(jù)存儲至用戶權(quán)限緩存數(shù)據(jù)庫。這樣,用戶下次訪問后者再次訪問該資源時,用戶權(quán)限緩存數(shù)據(jù)庫會存在相應(yīng)的記錄。
具體的,上述生成訪問權(quán)限數(shù)據(jù)的步驟為根據(jù)RBAC查權(quán)方法生成訪問權(quán)限數(shù)據(jù)。其中,用戶的訪問權(quán)限數(shù)據(jù)記錄包括用戶信息、用戶訪問資源信息、操作權(quán)限信息和資源訪問次數(shù)信息中的任意信息。
用戶第一次訪問應(yīng)用系統(tǒng)時,由于數(shù)據(jù)庫中還沒有該戶訪問資源的權(quán)限數(shù)據(jù)記錄,這時必須使用數(shù)據(jù)庫中存儲的UA、RH和PA關(guān)系生成該用戶的本次訪問所需的權(quán)限數(shù)據(jù),并把權(quán)限數(shù)據(jù)裝載到速度很快的本地機(jī)內(nèi)存中,當(dāng)用戶需要查權(quán)時,直接到本機(jī)內(nèi)存中查找。
步驟S160:如果有,則根據(jù)用戶權(quán)限緩存數(shù)據(jù)庫中的該用戶的訪問權(quán)限數(shù)據(jù)記錄將該用戶的訪問權(quán)限數(shù)據(jù)載入內(nèi)存。如果用戶權(quán)限緩存數(shù)據(jù)庫已經(jīng)存在該用戶的訪問權(quán)限數(shù)據(jù)記錄,則直接根據(jù)數(shù)據(jù)庫中的記錄,將該用戶的訪問權(quán)限數(shù)據(jù)載入內(nèi)存。
并且,用戶權(quán)限緩存數(shù)據(jù)庫存在該用戶的訪問權(quán)限數(shù)據(jù)記錄時,累計資源訪問次數(shù)信息。用戶新訪問或者訪問新的資源時,在數(shù)據(jù)庫中針對該新的資源計數(shù)為1,以后按此累加。把本次該用戶的查權(quán)結(jié)果自動保存到數(shù)據(jù)庫的權(quán)限緩存表中。當(dāng)該用戶在下次再訪問時,先搜索數(shù)據(jù)庫的權(quán)限緩存表,把該用戶上次緩存的權(quán)限數(shù)據(jù)直接載人內(nèi)存中。如果用戶訪問的是上次訪問過的資源,則直接到本機(jī)內(nèi)存讀取其權(quán)限數(shù)據(jù)進(jìn)行相應(yīng)的控制;如果是該用戶沒有訪問過的資源,由于在本機(jī)內(nèi)存中沒有其緩存的權(quán)限數(shù)據(jù),這時才進(jìn)行比較耗時的連接和查詢數(shù)據(jù)庫操作,根據(jù)存儲的UA、RH和PA關(guān)系,按照傳統(tǒng)方法生成該用戶的權(quán)限數(shù)據(jù),載入內(nèi)存,并進(jìn)行緩存,除供本次查權(quán)使用之外,也為下次用戶的查權(quán)做好準(zhǔn)備。由于盡量減少了用戶每次查權(quán)時連接、查詢數(shù)據(jù)庫的次數(shù)以及生成權(quán)限數(shù)據(jù)的時間,所以查權(quán)速度也相應(yīng)得到了一定的提高。
上述基于緩存的用戶權(quán)限管理方法,還可以根據(jù)預(yù)定資源訪問次數(shù),將超過所述預(yù)定資源訪問次數(shù)的資源的訪問權(quán)限數(shù)據(jù)直接載入內(nèi)存。隨著用戶使用應(yīng)用系統(tǒng)的次數(shù)越來越多,數(shù)據(jù)庫中的用戶緩存權(quán)限數(shù)據(jù)也會越來越多。如果每次都把用戶所有的緩存數(shù)據(jù)都從數(shù)據(jù)庫查詢出來再載人內(nèi)存的話,也會花費(fèi)較長的時間??紤]到用戶工作具有一定的重復(fù)性和局部性的特點,雖然他們有權(quán)使用的資源可能很多,但是經(jīng)常使用的只是其中的一小部分。因此,根據(jù)用戶的這些特點,在上述改進(jìn)的基礎(chǔ)上再采取以下改進(jìn)方法:在數(shù)據(jù)庫中設(shè)置一個字段來記錄系統(tǒng)資源被訪問的次數(shù),每被訪問一次,其最近使用次數(shù)就自動加“1”,使用次數(shù)越大的資源,就是最近常被訪問的資源。登錄時只把該用戶最經(jīng)常使用的那些資源的緩存權(quán)限數(shù)據(jù)裝載到內(nèi)存中供查權(quán)使用,而其它不經(jīng)常使用的一些資源的緩存權(quán)限數(shù)據(jù),在使用到時才到數(shù)據(jù)庫中提取。從整體上來看,采用這樣的策略既可以避免用戶登錄時耗時較多,也可以提高系統(tǒng)的查權(quán)速度。
圖2是本發(fā)明一實施例所述的基于緩存的用戶權(quán)限管理裝置示意圖。
參考圖2,本公開提供了一種基于緩存的用戶權(quán)限管理裝置200,該裝置包括:用戶權(quán)限緩存數(shù)據(jù)庫210,查詢判斷模塊230,訪問權(quán)限數(shù)據(jù)生產(chǎn)模塊250,載入模塊270和累計模塊290。
用戶權(quán)限緩存數(shù)據(jù)庫210存儲用戶訪問資源數(shù)據(jù)記錄,其中,針對不同的訪問資源設(shè)置相應(yīng)的訪問數(shù)據(jù)記錄。當(dāng)用戶進(jìn)行訪問時,查詢判斷模塊230查詢用戶權(quán)限緩存數(shù)據(jù)庫是否存在該用戶的訪問權(quán)限數(shù)據(jù)記錄。用戶權(quán)限緩存數(shù)據(jù)庫并不存在該用戶的訪問權(quán)限數(shù)據(jù)記錄時,訪問權(quán)限數(shù)據(jù)生產(chǎn)模塊250生成訪問權(quán)限數(shù)據(jù),并將訪問權(quán)限數(shù)據(jù)存儲到用戶權(quán)限緩存數(shù)據(jù)庫210。載入模塊270根據(jù)所述用戶權(quán)限緩存數(shù)據(jù)庫中的該用戶的訪問權(quán)限數(shù)據(jù)記錄將該用戶的訪問權(quán)限數(shù)據(jù)載入內(nèi)存。當(dāng)用戶權(quán)限緩存數(shù)據(jù)庫存在該用戶的訪問權(quán)限數(shù)據(jù)記錄時,累計模塊290累計用戶訪問資源數(shù)據(jù)記錄的資源訪問次數(shù)信息,當(dāng)用戶第一次訪問后者訪問新的資源時,對該數(shù)據(jù)記錄標(biāo)記為1,并自此累加。
其中,訪問權(quán)限數(shù)據(jù)生產(chǎn)模塊250根據(jù)RBAC查權(quán)方法生成訪問權(quán)限數(shù)據(jù)。
其中,用戶的訪問權(quán)限數(shù)據(jù)記錄包括用戶信息、用戶訪問資源信息、操作權(quán)限信息和資源訪問次數(shù)信息中的任意信息。
其中,載入模塊270還用于根據(jù)預(yù)定資源訪問次數(shù),將超過所述預(yù)定資源訪問次數(shù)的資源的訪問權(quán)限數(shù)據(jù)直接載入內(nèi)存。
應(yīng)該注意的是,如上所述的本公開的各種實施例通常在一定程度上涉及輸入數(shù)據(jù)的處理和輸出數(shù)據(jù)的生成。此輸入數(shù)據(jù)處理和輸出數(shù)據(jù)生成可在硬件或者與硬件結(jié)合的軟件中實現(xiàn)。例如,可在移動裝置或者相似或相關(guān)的電路中采用特定電子組件以用于實現(xiàn)與如上所述本公開的各種實施例關(guān)聯(lián)的功能。另選地,依據(jù)所存儲的指令來操作的一個或更多個處理器可實現(xiàn)與如上所述本公開的各種實施例關(guān)聯(lián)的功能。如果是這樣,則這些指令可被存儲在一個或更多個非暫時性處理器可讀介質(zhì)上,這是在本公開的范圍內(nèi)。處理器可讀介質(zhì)的示例包括只讀存儲器(ROM)、隨機(jī)存取存儲器(RAM)、CD-ROM、磁帶、軟盤和光學(xué)數(shù)據(jù)存儲裝置。另外,用于實現(xiàn)本公開的功能計算機(jī)程序、指令和指令段可由本公開所屬領(lǐng)域的程序員容易地解釋。
盡管已參照本公開的各種實施例示出并描述了本公開,但是本領(lǐng)域技術(shù)人員將理解,在不脫離由所附權(quán)利要求及其等同物限定的本公開的精神和范圍的情況下,可對其進(jìn)行形式和細(xì)節(jié)上的各種改變。