專利名稱:多業(yè)務平臺的資源訪問方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及通信技術領域��,特別是一種多業(yè)務平臺的資源訪問方法及系統(tǒng)。
背景技術:
多業(yè)務平臺是指可由管理人員對各個數(shù)據業(yè)務進行集中管理����,解決業(yè)務分散帶來 的各種問題,同時�����,用戶可以對數(shù)據進行集中的訪問��。通常���,對業(yè)務平臺中的資源進行訪問 需要實行控制�����。所述資源可以包括信息系統(tǒng)中用戶可見的各種內容��,如頁面����、頁面元素等���, 以及對各種內容進行的相應操作����,如點擊����、查看等。其中���,部分內容及其對應的操作通常以 功能(或稱權限)方式向用戶提供����。用戶根據其訪問權限訪問系統(tǒng)中不同范圍的內容以及 獲得相應的使用功能�����,從而有利于多業(yè)務平臺安全策略的實施�����。 通常���,多業(yè)務平臺中的資源都存在一定的層次結構�����,各層資源之間存在從屬關系�, 底層資源代表用戶實際可見的內容和可使用的功能,高層資源代表用戶獲取底層資源需要 經過的路徑����。 現(xiàn)有資源訪問技術雖然是發(fā)展較成熟的技術,如操作系統(tǒng)��、數(shù)據庫系統(tǒng)以及各種 應用系統(tǒng)中都會用到該技術��。但現(xiàn)有資源訪問技術在多業(yè)務平臺環(huán)境下進行資源訪問時需 要進行資源訪問控制����,目前主要采用兩種實現(xiàn)方式,一種是對高層資源的訪問進行控制��,對 于底層資源���,則需要通過對高層資源組成的路徑一層一層進行訪問獲取�,以實現(xiàn)對整個系 統(tǒng)資源的訪問控制�����;另一種是對底層資源進行訪問控制,而高層資源對所有用戶是可見的����。 發(fā)明人在實現(xiàn)本發(fā)明的過程中發(fā)現(xiàn)現(xiàn)有技術存在至少以下技術問題 前一種方式難以避免惡意用戶通過猜路徑的方式��,實現(xiàn)對底層資源的非法訪問�����; 后一種方式在暴露安全信息的同時�,不能給普通用戶獲得"所見即所得"的服務體驗,存在 用戶可見卻不允許用戶操作的資源���。 因此�,現(xiàn)有技術中兩種較極端的資源訪問的層次劃分較為簡單�,不適合于資源概 念廣泛、管理和應用并重的多業(yè)務平臺系統(tǒng)����。
發(fā)明內容
本發(fā)明實施例提供一種多業(yè)務平臺的資源訪問方法及系統(tǒng),以解決在現(xiàn)有技術中 存在的非法訪問���、影響用戶體驗的技術問題��。 為解決上述技術問題���,本發(fā)明的實施例提供一種多業(yè)務平臺的資源訪問方法����,所 述多業(yè)務平臺包括有業(yè)務服務器和認證服務器���,該方法包括 業(yè)務服務器攔截用戶發(fā)送的資源訪問請求�,該請求中包含按資源的層次�、從屬關 系統(tǒng)一編排的資源編碼信息; 認證服務器集中對用戶的身份進行識別����,并獲得識別結果; 若所述識別結果為用戶是合法用戶���,則業(yè)務服務器根據該合法用戶的身份識別信 息��,獲取該用戶的資源訪問控制信息�����; 業(yè)務服務器按照資源層次及從屬關系判斷該用戶的資源訪問控制信息中的資源
4編碼信息與所述請求中包含的資源編碼信息是否匹配�,并在匹配成功后執(zhí)行用戶訪問相應 資源的操作。 其中�����,認證服務器集中對用戶的身份進行識別�,并獲得識別結果包括 認證服務器獲取所述資源訪問請求中與用戶身份相關聯(lián)的票據信息; 認證服務器將所述票據信息與該服務器從數(shù)據庫中獲得的用戶身份識別信息作
匹配��,若匹配成功�����,則所述用戶為合法用戶��,否則為非法用戶���。 其中,認證服務器獲取所述資源訪問請求中與用戶身份相關聯(lián)的票據信息的步驟 包括 所述業(yè)務服務器判斷資源訪問請求中是否包含與用戶身份相關聯(lián)的票據信息���;
若判斷結果為請求中包含所述票據信息��,則由認證服務器從所述業(yè)務服務器中獲 取該請求中的票據信息�; 若判斷結果為請求中未包含所述票據信息�����,則在認證服務器接收到所述用戶成功
登錄的信息后,由認證服務器隨機產生票據信息并將該票據信息添加到資源訪問請求中發(fā)
送給業(yè)務服務器��,再由認證服務器從所述業(yè)務服務器中獲取該請求中的票據信息���。 其中��,所述資源編碼信息包含資源編號和對資源進行操作的操作編號��; 所述業(yè)務服務器按照資源層次及從屬關系判斷該用戶的資源訪問控制信息中的
資源編碼信息與所述請求中包含的資源編碼信息是否匹配包括 業(yè)務服務器查找所述資源訪問控制信息中是否包含所述請求中的資源編號和操 作編號�����,若查找結果為包含所述資源編號和操作編號���,則判斷結果為匹配成功,否則�,判斷 為不匹配。 其中����,所述請求中的資源編碼信息僅包含資源編號; 所述業(yè)務服務器按照資源層次及從屬關系判斷該用戶的資源訪問控制信息中的 資源編碼信息與所述請求中包含的資源編碼信息是否匹配包括 查找所述資源訪問控制信息內是否包含所述請求中的資源編號�����,若查找結果為包 含所述資源編號,則判斷結果為該請求格式不正確��,不匹配��,否則�����,進一步查找所述資源訪 問控制信息內是否包含所述請求中的資源編號的子編號�����,若查找結果為包含所述子編號�����, 則判斷結果為匹配成功��,否則����,判斷結果為不匹配�。 其中�,在業(yè)務服務器根據該合法用戶的身份識別信息����,獲取該用戶的資源訪問控 制信息的步驟之后還包括 業(yè)務服務器保存該用戶的資源訪問控制信息,以便在該用戶后續(xù)進行資源訪問 時���,可直接利用所述資源訪問控制信息進行訪問控制�。 相應地����,本發(fā)明還提供一種多業(yè)務平臺的資源訪問處理系統(tǒng),其包括有業(yè)務服務 器����、認證服務器和數(shù)據庫;其中 數(shù)據庫用于集中存儲各個用戶的身份識別信息���; 認證服務器用于訪問所述數(shù)據庫�,集中對用戶的身份進行識別���,獲得識別結果���,并 將所述識別結果通知業(yè)務服務器�����; 業(yè)務服務器用于攔截各業(yè)務用戶發(fā)送的資源訪問請求�����,該請求中包含按資源層 次��、從屬關系統(tǒng)一編排的資源編碼信息�����,并通知認證服務器對用戶身份進行識別�����,若認證服 務器的識別結果為用戶是合法用戶,則根據該合法用戶的身份識別信息����,獲取該用戶的資源訪問控制信息,然后按照資源層次及從屬關系判斷該用戶的資源訪問控制信息中的資源 編碼信息與所述請求中包含的資源編碼信息是否匹配��,并在匹配成功后執(zhí)行所述用戶訪問 相應資源的操作。
其中��,所述業(yè)務服務器可包括 訪問請求攔截器�����,用于攔截各業(yè)務用戶發(fā)送的資源訪問請求��,該請求中包含按資 源層次��、從屬關系統(tǒng)一編排的資源編碼信息���; 訪問控制處理器��,用于通知認證服務器對用戶身份進行識別��,若認證服務器的識 別結果為用戶是合法用戶���,則根據該合法用戶的身份識別信息,獲取該用戶的資源訪問控 制信息����,然后按照資源層次及從屬關系判斷該用戶的資源訪問控制信息中的資源編碼信息 與所述請求中包含的資源編碼信息是否匹配,并在匹配成功后執(zhí)行所述用戶訪問相應資源 的操作��。 相比較現(xiàn)有技術,本發(fā)明實施例提供的技術方案具有以下的有益效果 本發(fā)明提供的多業(yè)務平臺資源訪問控制方法及系統(tǒng)���,可基于集中式的認證服務�,
使得各種來源的用戶(如瀏覽器端��、手機客戶端)可通過同一個入口進入平臺中���,并且擁有
統(tǒng)一的身份標識��,為多業(yè)務集成管理提供支撐��。同時集中式認證服務使得業(yè)務本身不需考
慮與訪問控制相關的邏輯�,這樣用戶相關的安全信息就能單獨存放�,這些信息外部也不能
通過業(yè)務訪問; 另外���,按資源的層次��、從屬關系統(tǒng)一編排的資源編碼信息使得資源之間的層次關 系�����、從屬關系易于識別、獲取和判斷,使得系統(tǒng)根據底層資源的訪問信息就可對高層資源實 現(xiàn)訪問控制��; 再次����,通過面向請求的攔截方式,使得對資源的任何訪問都能得到驗證和控制��,防 止了猜路徑情況的出現(xiàn)����,有效避免非法訪問的同時,不影響用戶體驗����,且適合于資源概念廣 泛、管理和應用并重的信息系統(tǒng)如移動增值業(yè)務平臺�����。
圖1是本發(fā)明中多業(yè)務平臺的資源訪問方法的流程圖����; 圖2是本發(fā)明實施例中多業(yè)務平臺的資源訪問處理系統(tǒng)的組成框圖; 圖3是本發(fā)明實施例一中資源訪問處理流程圖��; 圖4是本發(fā)明實施例二中資源訪問處理流程圖。
具體實施例方式
參見圖1����,圖1是本發(fā)明中多業(yè)務平臺的資源訪問方法的流程圖,所述多業(yè)務平臺 包括有業(yè)務服務器及認證服務器��,該方法可包括以下步驟 步驟101���、業(yè)務服務器攔截用戶發(fā)送的資源訪問請求�,該請求中包含資源編碼信 息���,如�,該資源編碼信息包含用戶請求資源的資源編號�����,或者既包含資源編號��、又包含對請 求資源進行操作的操作編號��。實際應用中���,所述請求中還可以包含與用戶身份信息相關的 票據信息�����。 步驟102�����、認證服務器對所述用戶的身份進行識別���,并獲得識別結果,若識別結果 為所述用戶是非法用戶�,則執(zhí)行步驟104 ;若所述用戶是合法用戶,則執(zhí)行步驟103�����。
6
步驟103�、業(yè)務服務器根據所述合法用戶的身份識別信息,獲取合法用戶的資源訪問控制信息����,按照資源層次及從屬關系判斷資源訪問控制信息中的資源編碼信息與所述請求中包含的資源編碼信息是否匹配,若匹配����,則允許所述用戶訪問所述資源��,否則�����,執(zhí)行步驟104�����。 步驟104�、拒絕用戶的訪問請求�。 參考圖2,該圖是本發(fā)明多業(yè)務平臺中對應上述資源訪問方法的資源訪問處理系統(tǒng)���,具體的�,本實施例中多業(yè)務平臺的資源訪問處理系統(tǒng)可包括業(yè)務服務器1、認證服務器2和數(shù)據庫3;其中 數(shù)據庫3主要用于集中存儲各個用戶的身份識別信息; 認證服務器2主要用于集中對用戶的身份進行識別����,獲得識別結果�,并將所述識別結果通知業(yè)務服務器1,具體實現(xiàn)時���,其基于業(yè)務服務器1攔截到的請求����,從數(shù)據庫3獲取用戶相關信息,將用戶相關信息提供給業(yè)務服務器1 ; 業(yè)務服務器1主要用于攔截各業(yè)務用戶發(fā)送的資源訪問請求���,該請求中包含按資源層次、從屬關系統(tǒng)一編排的資源編碼信息��,并通知認證服務器2對用戶身份進行識別���,若認證服務器2的識別結果為用戶是合法用戶���,則根據該合法用戶的身份識別信息,獲取該用戶的資源訪問控制信息�,然后按照資源層次及從屬關系判斷該用戶的資源訪問控制信息中的資源編碼信息與所述請求中包含的資源編碼信息是否匹配,并在匹配成功后執(zhí)行所述用戶訪問相應資源的操作���,具體實現(xiàn)時���,作為一個具體實施例,所述業(yè)務服務器1可包括訪問請求攔截器�,用于攔截各業(yè)務用戶發(fā)送的資源訪問請求,該請求中包含按資源層次�、從屬關系統(tǒng)一編排的資源編碼信息��; 訪問控制處理器���,用于通知認證服務器對用戶身份進行識別,若認證服務器的識別結果為用戶是合法用戶���,則根據該合法用戶的身份識別信息�����,獲取該用戶的資源訪問控制信息�,然后按照資源層次及從屬關系判斷該用戶的資源訪問控制信息中的資源編碼信息與所述請求中包含的資源編碼信息是否匹配�����,并在匹配成功后執(zhí)行所述用戶訪問相應資源的操作�。由于在業(yè)務層面上,業(yè)務服務器1不能直接訪問數(shù)據庫3�,使業(yè)務本身不需考慮與訪問控制相關的邏輯,從而在實現(xiàn)對用戶身份與訪問權限進行驗證的同時����,有效保證數(shù)據庫中數(shù)據的安全性。 參見圖3,圖3是本發(fā)明實施例一中資源訪問處理流程圖�,該流程可包括以下步驟 步驟201、業(yè)務服務器收到客戶端發(fā)送的用戶要求訪問資源的請求�,該請求中包含資源編碼信息,判斷請求中未包含與用戶身份相關聯(lián)的票據信息�,要求用戶向認證服務器提供登錄信息。 本實施例中��,請求中未包含用戶身份票據信息�����,對于請求中包含用戶身份票據信
息的情況的具體處理����,詳見后續(xù)實施例二的具體說明���。 步驟202����、用戶通過客戶端將登錄信息發(fā)送給認證服務器���。 步驟203����、認證服務器收到登錄信息后,從數(shù)據庫獲取用戶身份識別信息����。 步驟204、認證服務器將獲取到的用戶身份識別信息與登錄信息做匹配�,匹配成
功,執(zhí)行步驟205 ;否則�����,執(zhí)行步驟211���。 步驟205����、認證服務器隨機產生該用戶的票據信息����,將該票據信息通過請求返回給業(yè)務服務器。如�,所述票據信息可為與所述用戶身份相關的代碼。 步驟206��、業(yè)務服務器保存票據信息,且通過加密通信將票據信息發(fā)送到認證服務器����。 步驟207、認證服務器對身份識別信息及票據信息進行匹配����,若匹配成功,執(zhí)行步驟208 ;否則�����,執(zhí)行步驟211�。 步驟208、業(yè)務服務器根據匹配成功的結果��,繼續(xù)攔截該請求�����,若判斷自身未存儲該用戶的資源訪問控制信息��,則要求認證服務器對訪問做驗證��。 步驟209��、認證服務器從數(shù)據庫獲取該用戶的資源訪問控制信息�,將資源訪問控制信息提供給業(yè)務服務器。 步驟210���、業(yè)務服務器存儲收到的資源訪問控制信息�����,將資源訪問控制信息與資源編碼信息做匹配���,若匹配成功,則允許用戶訪問該資源�����,執(zhí)行訪問資源的操作���,否則��,執(zhí)行步驟211���。 步驟211、業(yè)務服務器根據認證服務器匹配失敗的結果����,拒絕用戶的請求�����。
本發(fā)明的具體實現(xiàn)中����,資源訪問控制信息具體可為訪問控制列表(ACL����, AccessControl List),該列表可由包含用戶可訪問的多個資源編號以及對該資源可進行的操作編號的列表項組成�。資源訪問控制信息是用戶使用業(yè)務平臺的過程中產生的,如在有的增值業(yè)務平臺中��,用戶注冊某數(shù)據業(yè)務時���,必須通過定制來確定它想獲取的業(yè)務內容。每個用戶不管使用哪種平臺都必須通過類似的方式來產生資源訪問控制信息以供訪問控制時使用�����。業(yè)務服務器首次從認證服務器獲取該列表后將其保存��,使得以后針對該用戶的訪問控制不需要再次訪問認證服務器�,以加速訪問控制的驗證過程�。 需要說明的是,為方便業(yè)務服務器執(zhí)行上述比較操作�����,本發(fā)明的具體實現(xiàn)中,采用相同的編碼格式的資源編碼信息與資源訪問控制信息�����。例如,多業(yè)務平臺系統(tǒng)中所有的消費內容和管理功能都按照一種樹形結構進行編碼�����,該數(shù)形結構編碼的基本方法為采用一定位數(shù)的數(shù)字來表示系統(tǒng)中的資源,系統(tǒng)中的資源按照層次分布由高位到低位分配不同位數(shù)的字段�����,這樣對于某一層次的資源來說����,可以通過高位字段來獲知它的父資源編號����,達到了將到達該資源的訪問路徑信息存儲在該資源中的目的����。 另外���,資源訪問請求中的資源編號和資源訪問控制信息中的資源編號不僅按照一一對應來進行處理�����,同時也考慮它們的父子關系(或稱為從屬關系)進行處理����。具體為���,當請求中包含資源編號及操作編號時��,查ACL是否有包含這一資源編號和操作編號的列表項�,如有則允許訪問��,否則拒絕訪問;當請求中僅僅包含資源編號時���,查ACL是否有列表項的資源編號與其對應����,如有則表示該請求格式不正確�����,匹配不成功��,不允許訪問;否則進一步查找ACL表中是否有資源編號為請求中資源編號的子編號的列表項�,如有則表示請求的資源是訪問ACL中該子資源必須經過的路徑��,同意該訪問請求����,否則拒絕訪問����。通過這種方式,只要按照編碼規(guī)則����,不管是消費內容還是管理功能都能按照樹形結構,對處于訪問路徑上的高層資源以及表示實際內容和功能點的底層資源進行有效的訪問控制��。
參見圖4����,圖4是本發(fā)明實施例二中資源訪問處理流程圖,該流程可包括以下步驟 步驟301���、業(yè)務服務器收到客戶端發(fā)送的用戶要求訪問資源的請求,該請求中包含資源編碼信息����。
步驟302、業(yè)務服務器判斷自身存儲有用戶的票據信息��,通過加密通信將票據信息發(fā)送到認證服務器�。 步驟303、認證服務器從數(shù)據庫獲取用戶身份識別信息�����,將獲取到的用戶身份識別
信息與收到的票據信息做匹配����,若匹配成功,執(zhí)行步驟304 ;否則,執(zhí)行步驟306�。 步驟304、業(yè)務服務器根據匹配成功的結果���,繼續(xù)攔截該請求����。 步驟305�����、業(yè)務服務器判斷自身存儲有該用戶的資源訪問控制信息�,則將資源訪問
控制信息與資源編碼信息做比較,若兩者一致�,則允許用戶訪問該資源,執(zhí)行訪問資源的操作��,否則�,執(zhí)行步驟306。 步驟306�����、業(yè)務服務器拒絕用戶的請求�。 綜上����,本發(fā)明提供的多業(yè)務平臺的資源訪問方法及系統(tǒng)�,基于集中式的認證服務,使得各種來源的用戶(如瀏覽器端���、手機客戶端)可通過同一個入口進入平臺中,并且擁有統(tǒng)一的身份標識����,為多業(yè)務集成管理提供支撐。同時集中式認證服務使得業(yè)務本身不需考慮與訪問控制相關的邏輯�����,這樣用戶相關的安全信息就能單獨存放��,這些信息外部也不能通過業(yè)務訪問����;采用資源統(tǒng)一編碼使得資源之間的層次關系、從屬關系易于識別�����、獲取和判斷,使得系統(tǒng)根據底層資源的訪問信息就可對高層資源實現(xiàn)訪問控制�����;通過面向請求的攔截方式���,使得對資源的任何訪問都能得到驗證和控制��,防止了上述猜路徑情況的出現(xiàn)���。
以上所述僅是本發(fā)明的優(yōu)選實施方式,應當指出���,對于本技術領域的普通技術人員來說��,在不脫離本發(fā)明原理的前提下��,還可以作出若干改進和潤飾�����,這些改進和潤飾也應視為本發(fā)明的保護范圍�����。
權利要求
一種多業(yè)務平臺的資源訪問方法�����,所述多業(yè)務平臺包括有業(yè)務服務器和認證服務器�����,其特征在于�����,所述方法包括業(yè)務服務器攔截用戶發(fā)送的資源訪問請求�,該請求中包含按資源的層次����、從屬關系統(tǒng)一編排的資源編碼信息;認證服務器集中對用戶的身份進行識別�����,并獲得識別結果�;若所述識別結果為用戶是合法用戶,則業(yè)務服務器根據該合法用戶的身份識別信息�,獲取該用戶的資源訪問控制信息����;業(yè)務服務器按照資源層次及從屬關系判斷該用戶的資源訪問控制信息中的資源編碼信息與所述請求中包含的資源編碼信息是否匹配����,并在匹配成功后執(zhí)行用戶訪問相應資源的操作。
2. 根據權利要求1所述的方法����,其特征在于,認證服務器集中對用戶的身份進行識別��, 并獲得識別結果包括認證服務器獲取所述資源訪問請求中與用戶身份相關聯(lián)的票據信息�����; 認證服務器將所述票據信息與該服務器從數(shù)據庫中獲得的用戶身份識別信息作匹配�����, 若匹配成功���,則所述用戶為合法用戶�,否則為非法用戶����。
3. 根據權利要求2所述的方法�����,其特征在于����,認證服務器獲取所述資源訪問請求中與 用戶身份相關聯(lián)的票據信息的步驟包括所述業(yè)務服務器判斷資源訪問請求中是否包含與用戶身份相關聯(lián)的票據信息����; 若判斷結果為請求中包含所述票據信息,則由認證服務器從所述業(yè)務服務器中獲取該 請求中的票據信息�;若判斷結果為請求中未包含所述票據信息,則在認證服務器接收到所述用戶成功登錄 的信息后����,由認證服務器隨機產生票據信息并將該票據信息添加到資源訪問請求中發(fā)送給 業(yè)務服務器���,再由認證服務器從所述業(yè)務服務器中獲取該請求中的票據信息��。
4. 根據權利要求1所述的方法�����,其特征在于��,所述資源編碼信息包含資源編號和對資 源進行操作的操作編號���;所述業(yè)務服務器按照資源層次及從屬關系判斷該用戶的資源訪問控制信息中的資源 編碼信息與所述請求中包含的資源編碼信息是否匹配包括業(yè)務服務器查找所述資源訪問控制信息中是否包含所述請求中的資源編號和操作編 號�����,若查找結果為包含所述資源編號和操作編號����,則判斷結果為匹配成功���,否則�����,判斷為不 匹配��。
5. 根據權利要求1所述的方法���,其特征在于,所述請求中的資源編碼信息僅包含資源 編號;所述業(yè)務服務器按照資源層次及從屬關系判斷該用戶的資源訪問控制信息中的資源 編碼信息與所述請求中包含的資源編碼信息是否匹配包括查找所述資源訪問控制信息內是否包含所述請求中的資源編號��,若查找結果為包含所 述資源編號���,則判斷結果為該請求格式不正確��,不匹配����,否則�����,進一步查找所述資源訪問控 制信息內是否包含所述請求中的資源編號的子編號���,若查找結果為包含所述子編號���,則判 斷結果為匹配成功,否則�����,判斷結果為不匹配�。
6. 根據權利要求1所述的方法����,其特征在于�����,在業(yè)務服務器根據該合法用戶的身份識別信息���,獲取該用戶的資源訪問控制信息的步驟之后還包括業(yè)務服務器保存該用戶的資源訪問控制信息,以便在該用戶后續(xù)進行資源訪問時�,可 直接利用所述資源訪問控制信息進行訪問控制。
7. —種多業(yè)務平臺的資源訪問處理系統(tǒng)��,其特征在于���,包括業(yè)務服務器�、認證服務器 和數(shù)據庫���;其中數(shù)據庫用于集中存儲各個用戶的身份識別信息�;認證服務器用于訪問所述數(shù)據庫��,集中對用戶的身份進行識別����,獲得識別結果��,并將所 述識別結果通知業(yè)務服務器�;業(yè)務服務器用于攔截各業(yè)務用戶發(fā)送的資源訪問請求�,該請求中包含按資源層次、從 屬關系統(tǒng)一編排的資源編碼信息�,并通知認證服務器對用戶身份進行識別,若認證服務器 的識別結果為用戶是合法用戶����,則根據該合法用戶的身份識別信息,獲取該用戶的資源訪 問控制信息�,然后按照資源層次及從屬關系判斷該用戶的資源訪問控制信息中的資源編碼 信息與所述請求中包含的資源編碼信息是否匹配,并在匹配成功后執(zhí)行所述用戶訪問相應 資源的操作�����。
8. 根據權利要求7的系統(tǒng)����,其特征在于,所述業(yè)務服務器包括訪問請求攔截器�,用于攔截各業(yè)務用戶發(fā)送的資源訪問請求,該請求中包含按資源層 次��、從屬關系統(tǒng)一編排的資源編碼信息���;訪問控制處理器�,用于通知認證服務器對用戶身份進行識別�����,若認證服務器的識別結 果為用戶是合法用戶�����,則根據該合法用戶的身份識別信息�,獲取該用戶的資源訪問控制信 息,然后按照資源層次及從屬關系判斷該用戶的資源訪問控制信息中的資源編碼信息與所 述請求中包含的資源編碼信息是否匹配���,并在匹配成功后執(zhí)行所述用戶訪問相應資源的操 作���。
全文摘要
本發(fā)明提供一種多業(yè)務平臺的資源訪問方法及系統(tǒng),該方法包括業(yè)務服務器攔截用戶發(fā)送的資源訪問請求��,該請求中包含按資源的層次����、從屬關系統(tǒng)一編排的資源編碼信息����;認證服務器集中對用戶的身份進行識別�,并獲得識別結果;若所述識別結果為用戶是合法用戶�,則業(yè)務服務器根據該合法用戶的身份識別信息,獲取該用戶的資源訪問控制信息��;業(yè)務服務器按照資源層次及從屬關系判斷該用戶的資源訪問控制信息中的資源編碼信息與所述請求中包含的資源編碼信息是否匹配���,并在匹配成功后執(zhí)行用戶訪問相應資源的操作�。本發(fā)明提供的技術方案在有效避免多業(yè)務平臺系統(tǒng)中資源的非法訪問的同時��,不影響用戶體驗���。
文檔編號H04L9/32GK101729541SQ20091019419
公開日2010年6月9日 申請日期2009年11月26日 優(yōu)先權日2009年11月26日
發(fā)明者不公告發(fā)明人 申請人:廣東宇天信通通信科技有限公司;浙江宇天科技有限公司;夏陽