專利名稱:訪問業(yè)務的安全控制方法�、裝置及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及信息安全技術,尤其涉及一種訪問業(yè)務的安全控制方法�����、裝置及系統(tǒng)�。
背景技術:
隨著計算機和網(wǎng)絡技術的發(fā)展,信息化已成為各行業(yè)發(fā)展的重要方向���,例如金融�、 交通�����、電力、電信����、保險及政務等行業(yè),均已進行了信息化建設��。信息化建設為各行業(yè)發(fā)展帶 來了便利��,提高了行業(yè)的管理和工作效率���,其中,信息化系統(tǒng)的安全性非常重要�,例如在金 融、電力��、交通等行業(yè)���,信息化系統(tǒng)的安全性是確保信息化系統(tǒng)應用的關鍵���。信息化系統(tǒng)是一個復雜的系統(tǒng),包括多種業(yè)務的應用�,其中每項業(yè)務通常是相對 獨立設置,且每項業(yè)務一般是通過設置相應的業(yè)務訪問接口���,提供給用戶����,供用戶訪問。目 前���,信息化系統(tǒng)一般是通過對用戶進行授權的方式�,對用戶訪問業(yè)務的權限進行控制��,以提 高系統(tǒng)的安全性�����,其中���,系統(tǒng)一般是將用戶訪問系統(tǒng)的權限信息����、訪問各種業(yè)務的權限信息 存儲在系統(tǒng)數(shù)據(jù)庫中����,這樣,用戶登錄系統(tǒng)���,或者訪問業(yè)務時���,就會通過讀取系統(tǒng)數(shù)據(jù)庫內 存儲的用戶的權限信息�,確認用戶是否有相應的權限����,以實現(xiàn)對用戶的授權。現(xiàn)有技術中對 用戶的授權方式一般是通過以下方式進行��,當用戶登錄系統(tǒng)后��,會通過調取系統(tǒng)數(shù)據(jù)庫中 的權限信息����,對用戶的登錄權限進行驗證��;用戶登錄系統(tǒng)后���,訪問業(yè)務時�,業(yè)務模塊接收到 用戶的訪問請求后��,會訪問系統(tǒng)數(shù)據(jù)庫的權限信息��,以對用戶的訪問業(yè)務的權限進行驗證, 當用戶滿足要求后�����,才可實現(xiàn)對用戶訪問業(yè)務的授權����,用戶即可訪問業(yè)務,實現(xiàn)對業(yè)務的處 理�����。但是�,現(xiàn)有用戶訪問業(yè)務的控制方式中,用戶每次訪問業(yè)務�,均需要對系統(tǒng)數(shù)據(jù)庫進行 訪問,而這些數(shù)據(jù)庫通常是存儲于特定的存儲設備上��,使得訪問系統(tǒng)數(shù)據(jù)庫耗費時間較長����, 影響用戶訪問業(yè)務效率;而且���,由于系統(tǒng)數(shù)據(jù)庫中存儲的用戶的權限信息一般是固定的����,使 得系統(tǒng)無法動態(tài)改變用戶授權,或者動態(tài)改變用戶授權非常困難����,這也影響著訪問業(yè)務的 安全性,例如���,對于一些正在使用系統(tǒng)的可疑用戶���,系統(tǒng)需要限制其業(yè)務的訪問權限時,必 須修改系統(tǒng)數(shù)據(jù)庫中的數(shù)據(jù)����;此外,現(xiàn)有信息化系統(tǒng)一般根據(jù)用戶的權限�����,控制用戶界面 (User Interface,UI)操作按鈕����、表格���、內容等展現(xiàn)���,缺少對系統(tǒng)中業(yè)務權限的精細化控制�����, 無法精細控制用戶權限����。例如�����,Java EE應用服務器應用平臺是一種重要的開發(fā)工具��,Java EE中間件已廣泛應用于信息化系統(tǒng)建設中�,而Java EE應用服務器中標準的EJB 3. 0安全 模型設計是給予元數(shù)據(jù)和可擴展標記語言(Extensible Markup Language, XML)配置文件 方式,而系統(tǒng)實際運行過程中其安全控制是會發(fā)生變化的���,而采用元數(shù)據(jù)和XML數(shù)據(jù)就缺 乏靈活性���,在系統(tǒng)運行過程中無法動態(tài)改變對用戶的授權。綜上,現(xiàn)有信息化系統(tǒng)的用戶訪問業(yè)務的權限控制時����,需要頻繁的訪問系統(tǒng)數(shù)據(jù) 庫以對用戶進行授權,導致用戶訪問業(yè)務的效率較低���,資源消耗較多����;而且�,由于系統(tǒng)數(shù)據(jù) 庫信息一般固定,系統(tǒng)運行中無法對用戶的授權進行動態(tài)改變�,導致系統(tǒng)運行存在安全隱患。
發(fā)明內容
本發(fā)明提供一種訪問業(yè)務的安全控制方法���、裝置及系統(tǒng)���,可有效實現(xiàn)對用戶訪問 業(yè)務的安全控制,提高用戶訪問業(yè)務的效率����。本發(fā)明提供一種訪問業(yè)務的安全控制方法,包括獲取用戶發(fā)起的業(yè)務請求信息中的用戶會話標識�����;根據(jù)所述用戶會話標識��,從緩存容器中讀取與所述用戶會話標識對應的用戶權限 信息�,所述緩存容器中緩存有用戶權限信息;根據(jù)所述用戶權限信息����,對所述用戶的業(yè)務請求進行授權。上述的訪問業(yè)務的安全控制方法中�,所述用戶權限信息包括用戶調用業(yè)務功能權 限信息,以及用戶使用數(shù)據(jù)權限信息�����;所述根據(jù)所述用戶權限信息�,對所述用戶的業(yè)務請求進行授權包括根據(jù)所述用戶調用業(yè)務功能權限信息和用戶使用數(shù)據(jù)權限信息,確定所述用戶有 權調用請求的業(yè)務�,以及有權使用數(shù)據(jù)時,授權所述用戶使用請求的業(yè)務�。上述的訪問業(yè)務的安全控制方法中,所述獲取用戶發(fā)起的業(yè)務請求信息中的用戶 會話標識之前還包括為用戶創(chuàng)建會話標識���,并生成用戶會話信息���,將所述用戶會話信息及用戶權限信 息加載到所述緩存容器中�����。上述的訪問業(yè)務的安全控制方法中�����,所述緩存容器內還緩存有用戶會話信息�;所述訪問業(yè)務的安全控制方法還包括根據(jù)所述用戶會話標識���,從所述緩存容器中讀取與所述用戶會話標識對應的用戶 會話{曰息�����;所述根據(jù)所述用戶權限信息���,對所述用戶的業(yè)務請求進行授權之前還包括根據(jù)所述用戶會話信息,判斷所述用戶的會話是否有效��,是則根據(jù)所述用戶權限 信息����,對所述用戶的業(yè)務請求進行授權��。上述的訪問業(yè)務的安全控制方法中��,所述緩存容器位于緩存服務器或者本地內存 中����。且所述用戶權限信息以對象的方式緩存于所述緩存容器中��。本發(fā)明提供一種訪問業(yè)務的安全控制裝置�����,包括會話標識獲取模塊��,用于獲取用戶發(fā)起的業(yè)務請求信息中的用戶會話標識�����;權限信息獲取模塊�,用于根據(jù)所述用戶會話標識��,從緩存容器中讀取與所述用戶 會話標識對應的用戶權限信息,所述緩存容器中緩存有用戶權限信息�����;業(yè)務授權模塊����,用于根據(jù)所述用戶權限信息,對所述用戶的業(yè)務請求進行授權��。上述的訪問業(yè)務的安全控制裝置中��,所述用戶權限信息包括用戶調用業(yè)務功能權 限信息����,以及用戶使用數(shù)據(jù)權限信息;所述業(yè)務授權模塊包括第一判斷單元�,用于根據(jù)所述用戶調用業(yè)務功能權限信息,判斷所述用戶是否有 權限調用請求的業(yè)務�����;第二判斷單元,用于根據(jù)所述用戶使用數(shù)據(jù)權限信息�����,判斷所述用戶是否有權限 使用數(shù)據(jù)�����;業(yè)務授權單元����,用于確定所述用戶有權調用請求的業(yè)務��,以及有權使用數(shù)據(jù)時,授權所述用戶使用請求的業(yè)務����。上述的訪問業(yè)務的安全控制裝置,還可包括會話信息獲取模塊����,用于根據(jù)所述用戶會話標識,從緩存容器中讀取與所述用戶 會話標識對應的用戶會話信息��,所述緩存容器中存儲有用戶會話信息���;會話有效判斷模塊����,用于根據(jù)所述用戶會話信息��,判斷所述用戶的會話是否有效��;所述業(yè)務授權模塊�,具體用于所述用戶的會話有效時,根據(jù)所述用戶權限信息,對 所述用戶的業(yè)務請求進行授權����。上述的訪問業(yè)務的安全控制裝置還可包括會話標識創(chuàng)建模塊,用于為用戶創(chuàng)建會話標識�����,并生成用戶會話信息�,將所述用戶 會話信息及用戶權限信息加載到所述緩存容器中。上述的訪問業(yè)務的安全控制裝置中���,所述緩存容器位于緩存服務器或者本體內存 中����。本發(fā)明提供一種訪問業(yè)務的安全控制系統(tǒng)�����,包括客戶端���,用于用戶發(fā)起業(yè)務請求;安全控制裝置���,用于獲取用戶發(fā)起的業(yè)務請求信息中的用戶會話標識��,并根據(jù)所 述用戶會話標識��,從緩存容器中讀取與所述用戶會話標識對應的用戶權限信息�����,對所述用 戶的業(yè)務請求進行授權����;業(yè)務提供模塊,用于在用戶的業(yè)務請求被授權后�����,為所述用戶提供業(yè)務本發(fā)明提供的訪問業(yè)務的安全控制方法��、裝置及系統(tǒng)��,通過直接從緩存在緩存容 器中獲取用戶的用戶權限信息對用戶進行授權����,可有效提高用戶授權的效率,提高用戶訪 問業(yè)務的效率���;同時�,通過采用緩存用戶權限信息的方式,可便于對用戶權限信息進行動態(tài) 修改�,可進一步地提高訪問業(yè)務控制的安全性和可靠性。
圖1為本發(fā)明訪問業(yè)務的安全控制方法實施例一的流程示意圖����;圖2為本發(fā)明訪問業(yè)務的安全控制方法實施例二的流程示意圖;圖3為本發(fā)明訪問業(yè)務的安全控制方法實施例三的流程示意圖���;圖4為本發(fā)明訪問業(yè)務的安全控制裝置實施例一的結構示意圖��;圖5為本發(fā)明訪問業(yè)務的安全控制裝置實施例二的結構示意圖���;圖6為本發(fā)明實施例中業(yè)務授權模塊的結構示意圖;圖7為本發(fā)明訪問業(yè)務的安全控制系統(tǒng)實施例的結構示意圖�����。
具體實施例方式為使本發(fā)明實施例的目的��、技術方案和優(yōu)點更加清楚��,下面將結合本發(fā)明實施例 中的附圖���,對本發(fā)明實施例中的技術方案進行清楚���、完整地描述,顯然�,所描述的實施例是 本發(fā)明一部分實施例,而不是全部的實施例�����?����;诒景l(fā)明中的實施例�,本領域普通技術人員 在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍��。圖1為本發(fā)明訪問業(yè)務的安全控制方法實施例一的流程示意圖�����。如圖1所示����,本 實施例安全控制方法包括
步驟101���、獲取用戶發(fā)起的業(yè)務請求信息中的用戶會話標識;步驟102��、根據(jù)用戶會話標識���,從緩存容器中讀取與用戶會話標識對應的用戶權限 信息�����,其中�,緩存容器中緩存有用戶權限信息��;步驟103��、根據(jù)用戶權限信息�,對用戶的業(yè)務請求進行授權。本實施例可應用于信息化系統(tǒng)中用戶訪問業(yè)務的安全控制中����,實現(xiàn)對業(yè)務訪問的 安全控制,提高信息化系統(tǒng)的安全性���。具體地��,用戶登錄系統(tǒng)后�,會將用戶的用戶權限信息 緩存在緩存容器中���,且每一個用戶的用戶權限信息是與用戶的會話標識相對應的�,當用戶 在訪問某一業(yè)務時�����,可直接從緩存在緩存容器中讀取用戶權限信息��,對用戶訪問業(yè)務的權 限進行驗證���,以實現(xiàn)對用戶的業(yè)務請求進行授權���。本實施例中,當用戶訪問業(yè)務對用戶進行授權時���,避免了現(xiàn)有技術中需要從系統(tǒng) 數(shù)據(jù)庫中讀取用戶權限信息而產生的效率低下問題���;同時,由于采用緩存容器對用戶權限 信息進行緩存�����,當系統(tǒng)需要臨時調整當前使用系統(tǒng)的用戶的權限時,可直接更換緩存容器 中的用戶權限信息即可�����,便于對用戶的授權的動態(tài)實時調整����,提高系統(tǒng)的安全性和可靠性。綜上����,本發(fā)明實施例訪問業(yè)務的安全控制方法,通過直接從緩存在緩存容器中獲 取用戶的用戶權限信息對用戶進行授權���,可有效提高用戶授權的效率����,提高用戶訪問業(yè)務 的效率��;同時�,通過采用緩存用戶權限信息的方式,可便于對用戶權限信息進行動態(tài)修改, 可進一步地提高訪問業(yè)務控制的安全性和可靠性�����。圖2為本發(fā)明訪問業(yè)務的安全控制方法實施例二的流程示意圖���。如圖2所示,本 實施例訪問業(yè)務的安全控制方法包括以下步驟步驟201����、接收用戶的發(fā)起的業(yè)務請求;步驟202����、從用戶發(fā)起的業(yè)務請求信息中,獲取用戶會話標識�����;步驟203�����、根據(jù)用戶會話標識���,從緩存容器中讀取與用戶會話標識對應的用戶權限 信息和用戶會話信息�;步驟204、根據(jù)用戶會話信息����,判斷用戶的會話是否有效,是則執(zhí)行步驟205�,否 則,結束業(yè)務請求����;步驟205、根據(jù)用戶權限信息�����,判斷用戶是否有權限調用所請求的業(yè)務��,是則執(zhí)行 步驟206�,否則,結束業(yè)務請求��,通知用戶無權限調用請求的業(yè)務�;步驟206、將業(yè)務提供給用戶使用���。本實施例中�����,緩存容器中緩存有與用戶標識對應的用戶權限信息���,以及用戶會話 信息�,這樣��,在用戶請求業(yè)務時�����,即可根據(jù)該緩存的用戶權限信息及用戶會話信息��,對用戶 是否有權限訪問業(yè)務進行控制�����。其中�����,用戶會話標識可以是用戶登錄系統(tǒng)時�,系統(tǒng)為用戶創(chuàng) 建的標識,且在為用戶創(chuàng)建用戶會話標識時��,可生成用戶會話信息����,并將用戶會話信息與用 戶權限信息一起載入緩存容器中進行緩存。本領域技術人員可以理解的是�����,上述的用戶會話信息具體可包括用戶的登錄時 間�����、最后操作時間以及身份信息等�����,這樣�,在用戶請求業(yè)務時,可根據(jù)該會話信息確定用戶 的會話是否有效����,例如,若用戶登錄后���,長時間無任何操作���,則默認用戶已經退出系統(tǒng)�����,用戶 的會話無效��,以防止用戶忘記關閉登錄而導致其它非法用戶盜用系統(tǒng)����?����?梢钥闯?���,在上述本發(fā)明方法實施例一技術方案的基礎上��,本實施例通過獲取用 戶會話信息�,在對用戶進行業(yè)務授權前,首先根據(jù)用戶會話信息判斷用戶的會話是否有效�����,進一步地提高了業(yè)務控制的安全性。圖3為本發(fā)明訪問業(yè)務的安全控制方法實施例三的流程示意圖��。如圖3所示��,本 實施例安全控制方法包括以下步驟步驟301�����、用戶調用業(yè)務�����,發(fā)起業(yè)務調用請求�;步驟302、判斷業(yè)務請求信息中是否有用戶會話標識�����,是則執(zhí)行步驟305����,否則執(zhí) 行步驟303 ;步驟303��、提示用戶需要登錄系統(tǒng),并在用戶登錄系統(tǒng)時���,創(chuàng)建用戶會話標識�,并生 成用戶會話信息�����;步驟304�����、將用戶會話信息���,以及用戶權限信息加載到緩存容器中���;步驟305、根據(jù)用戶會話標識����,從緩存容器中獲取用戶會話信息及用戶權限信息��;步驟306���、根據(jù)用戶會話信息中用戶最后一次操作時間是否超過預設時間范圍�, 是則說明用戶的會話無效,調用業(yè)務請求失敗��,結束���,否則��,說明用戶的會話有效�����,執(zhí)行步驟 307 ���;步驟307、根據(jù)用戶會話信息中用戶的身份信息��,判斷用戶是否被禁用�,是則說明 用戶不合法或無效,調用業(yè)務請求失敗�,結束,否則�����,說明用戶為合法用戶,執(zhí)行步驟308 �����;步驟308����、根據(jù)用戶權限信息中用戶調用業(yè)務功能權限信息,判定用戶是否有權限 調用請求的業(yè)務�,是則,執(zhí)行步驟309�,否則,調用業(yè)務請求失敗���,結束��;步驟309����、根據(jù)用戶權限信息中用戶使用數(shù)據(jù)權限信息�����,判定用戶是否有權限使用 數(shù)據(jù)���,是則����,執(zhí)行步驟310��,否則�,調用業(yè)務請求失敗,結束�����;步驟310�、授權用戶使用請求的業(yè)務,允許用戶調用業(yè)務���。本實施例中�����,緩存容器中緩存的用戶的用戶會話信息具體可包括登錄時間���、最后 一次操作時間、身份信息等,以便系統(tǒng)可根據(jù)用戶會話信息判斷用戶是否有效�����。具體地���,當 用戶登錄時間過長���,且長時間無任何操作時,即可默認用戶已經離開系統(tǒng)����,此時即可認定用 戶的會話無效;或者�����,偽造其它身份登陸的用戶�,因身份信息不符合也可以認定用戶無效。本實施例中�,緩存容器中緩存的用戶的用戶權限信息具體可包括用戶調用業(yè)務功 能權限信息以及用戶使用數(shù)據(jù)權限信息,根據(jù)用戶調用業(yè)務功能權限信息及用戶使用數(shù)據(jù) 權限信息�����,即可判斷用戶是否可以有權使用相應的業(yè)務,并是否有權使用系統(tǒng)中的數(shù)據(jù)���,以 提高控制用戶使用業(yè)務的安全性。本領域技術人員可以理解的是����,用戶的權限信息也可以 是業(yè)務功能定義、用戶操作數(shù)據(jù)范圍以及其它權限信息等���,根據(jù)這些信息可有效判斷用戶 是否可以有權使用業(yè)務���,并對業(yè)務進行處理。上述本發(fā)明方法各實施例中��,用于緩存信息的緩存容器可設置與緩存服務器或本 地內存中���,且用戶權限信息以及用戶會話信息可以對象的方式緩存于緩存容器中���。其中,本 實施例緩存架構可采用插件化架構設計方法,支持緩存類型的可插拔��,且緩存容器可支持 文件、內存等���,即可存儲于本地內存����,也可以存儲于某一緩存服務器中�����。本領域技術人員可以理解的�����,本發(fā)明通過采用緩存技術來保存用戶權限信息以及 用戶會話信息�,可有效提高業(yè)務安全控制的便利性,提高業(yè)務安全控制的效率��。上述本發(fā)明方法各實施例具體可應用于基于Java EE平臺實現(xiàn)的信息化系統(tǒng)中, 以在用戶調用系統(tǒng)中的EJB業(yè)務組件對外接口時���,對調用業(yè)務的安全性進行控制。具體地��, 本發(fā)明可集成在業(yè)務層的EJB業(yè)務組件中�,實現(xiàn)對系統(tǒng)業(yè)務層權限的控制。
實際應用中��,本發(fā)明可通過業(yè)務層緩存技術和面向切面編程(Aspect Oriented Programming, A0P)設計模式來實現(xiàn)����,可在改善信息化系統(tǒng)運行性能的同時,提高系統(tǒng)的安 全性��,通過本發(fā)明實現(xiàn)的訪問業(yè)務的安全控制裝置可作為攔截器,在不改變現(xiàn)有信息化系 統(tǒng)代碼的情況下�,實現(xiàn)對現(xiàn)有系統(tǒng)代碼功能增加,例如安全控制�����、日志處理、事務處理等�����;同 時����,利用本發(fā)明實現(xiàn)的攔截器,可以監(jiān)聽程序的一個或所有方法�����,可對方法調用提供細粒度 控制��,可在無狀態(tài)會話組件��、有狀態(tài)會話組件和消息驅動組件使用����,且該攔截器可以是同一 組件類中的方法或一個外部類�;此外,通過本發(fā)明實現(xiàn)的該攔截器�,對于開發(fā)者而言是透明 的,開發(fā)者在對具體業(yè)務模塊開發(fā)時��,可不用考慮該攔截器,可有效提高整個信息化系統(tǒng)開 發(fā)的有效性����,提高信息化系統(tǒng)開發(fā)效率��。圖4為本發(fā)明訪問業(yè)務的安全控制裝置實施例一的結構示意圖����。如圖4所示�,本 實施例控制裝置包括會話標識獲取模塊1、權限信息獲取模塊2和業(yè)務授權模塊3�,其中會話標識獲取模塊1,用于獲取用戶發(fā)起的業(yè)務請求信息中的用戶會話標識���;權限信息獲取模塊2,用于根據(jù)用戶會話標識�,從緩存容器中讀取與用戶會話標識 對應的用戶權限信息,緩存容器中緩存有用戶權限信息��;業(yè)務授權模塊3����,用于根據(jù)用戶權限信息,對用戶的業(yè)務請求進行授權�。本實施例可應用于信息化系統(tǒng)中用戶訪問業(yè)務的安全控制中,提高信息化系統(tǒng)的 安全性�����,提高業(yè)務訪問效率����,其具體實現(xiàn)過程可參考上述本發(fā)明方法實施例的說明,在此不 再贅述�。圖5為本發(fā)明訪問業(yè)務的安全控制裝置實施例二的結構示意圖。在上述圖4所示 實施例技術方案的基礎上�,如圖5所示,本實施例安全控制裝置還包括會話信息獲取模塊4 和會話有效判斷模塊5����,其中會話信息獲取模塊4,用于根據(jù)用戶會話標識���,從緩存容器中讀取與用戶會話標識 對應的用戶會話信息��,緩存容器中存儲有用戶會話信息�;會話有效判斷模塊5�,用于根據(jù)用戶會話信息,判斷用戶的會話是否有效�;業(yè)務授權模塊3具體可用于在用戶的會話有效時,根據(jù)用戶權限信息��,對用戶的 業(yè)務請求進行授權�����。本實施例通過設置會話信息獲取模塊和會話有效判斷模塊,在對業(yè)務進行授權 前�����,可對用戶的會話的有效性進行判斷����,可進一步地提高用戶訪問業(yè)務控制的安全性。圖6為本發(fā)明實施例中業(yè)務授權模塊的結構示意圖��。本實施例中��,用戶權限信息 具體可包括用戶調用業(yè)務功能權限信息�,以及用戶使用數(shù)據(jù)權限信息,上述的業(yè)務授權模 塊3具體可包括第一判斷單元31����、第二判斷單元32和業(yè)務授權單元33,其中第一判斷單元31���,用于根據(jù)用戶調用業(yè)務功能權限信息��,判斷用戶是否有權限調 用請求的業(yè)務�;第二判斷單元32���,用于根據(jù)用戶使用數(shù)據(jù)權限信息�,判斷用戶是否有權限使用數(shù) 據(jù)�;業(yè)務授權單元33,用于確定用戶有權調用請求的業(yè)務�,以及有權使用數(shù)據(jù)時,授權 用戶使用請求的業(yè)務���。如圖5所示���,本實施例安全控制裝置還可包括會話標識創(chuàng)建模塊6,用于為用戶 創(chuàng)建會話標識���,并生成用戶會話信息�,將用戶會話信息及用戶權限信息加載到所述緩存容器中�。本發(fā)明訪問業(yè)務的安全控制裝置可通過上述本發(fā)明方法實施例所述的步驟實現(xiàn) 對用戶訪問業(yè)務的控制,提高系統(tǒng)的安全性�����,其具體實現(xiàn)過程可參考上述本發(fā)明方法實施 例的說明����,在此不在贅述����。圖7為本發(fā)明訪問業(yè)務的安全控制系統(tǒng)實施例的結構示意圖����。如圖7所示,本實 施例安全控制系統(tǒng)可包括客戶端10����、安全控制裝置20和業(yè)務提供模塊30,其中客戶端10���,用于用戶發(fā)起業(yè)務請求����;安全控制裝置20�,用于獲取用戶發(fā)起的業(yè)務請求信息中的用戶會話標識,并根據(jù) 用戶會話標識�����,從緩存容器中讀取與用戶會話標識對應的用戶權限信息���,對用戶的業(yè)務請 求進行授權�;業(yè)務提供模塊30,用于在用戶的業(yè)務請求被授權后�����,為用戶提供業(yè)務���。本實施例系統(tǒng)中,安全控制裝置20可以對用戶通過客戶端10發(fā)送的業(yè)務請求進 行處理�����,以獲取業(yè)務請求中的用戶會話標識���,并根據(jù)用戶會話標識從緩存在緩存容器中的 用戶權限信息���,以對用戶使用請求的業(yè)務進行授權,以便業(yè)務提供模塊30對用戶授權后�, 將業(yè)務提供給用戶使用。其中�����,所述的安全控制裝置20具體可以為上述本發(fā)明訪問業(yè)務的 安全控制裝置實施例�����,具體結構可參見上述本發(fā)明實施例的說明,在此不再贅述�����。本領域普通技術人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過 程序指令相關的硬件來完成���,前述的程序可以存儲于一計算機可讀取存儲介質中��,該程序 在執(zhí)行時��,執(zhí)行包括上述方法實施例的步驟�����;而前述的存儲介質包括R0M��、RAM�����、磁碟或者 光盤等各種可以存儲程序代碼的介質���。最后應說明的是以上實施例僅用以說明本發(fā)明的技術方案�����,而非對其限制�;盡 管參照前述實施例對本發(fā)明進行了詳細的說明�,本領域的普通技術人員應當理解其依然 可以對前述各實施例所記載的技術方案進行修改,或者對其中部分技術特征進行等同替 換�����;而這些修改或者替換�����,并不使相應技術方案的本質脫離本發(fā)明各實施例技術方案的精 神和范圍����。
權利要求
1.一種訪問業(yè)務的安全控制方法����,其特征在于,包括獲取用戶發(fā)起的業(yè)務請求信息中的用戶會話標識�����;根據(jù)所述用戶會話標識,從緩存容器中讀取與所述用戶會話標識對應的用戶權限信 息���,所述緩存容器中緩存有用戶權限信息�����;根據(jù)所述用戶權限信息��,對所述用戶的業(yè)務請求進行授權���。
2.根據(jù)權利要求1所述的訪問業(yè)務的安全控制方法,其特征在于���,所述用戶權限信息 包括用戶調用業(yè)務功能權限信息�,以及用戶使用數(shù)據(jù)權限信息�����;所述根據(jù)所述用戶權限信息���,對所述用戶的業(yè)務請求進行授權包括根據(jù)所述用戶調用業(yè)務功能權限信息和用戶使用數(shù)據(jù)權限信息�����,確定所述用戶有權調 用請求的業(yè)務���,以及有權使用數(shù)據(jù)時��,授權所述用戶使用請求的業(yè)務���。
3.根據(jù)權利要求1所述的訪問業(yè)務的安全控制方法,其特征在于����,所述獲取用戶發(fā)起 的業(yè)務請求信息中的用戶會話標識之前還包括為用戶創(chuàng)建會話標識����,并生成用戶會話信息,將所述用戶會話信息及用戶權限信息加 載到所述緩存容器中����。
4.根據(jù)權利要求1所述的訪問業(yè)務的安全控制方法,其特征在于���,所述緩存容器內還 緩存有用戶會話信息����;所述訪問業(yè)務的安全控制方法還包括根據(jù)所述用戶會話標識,從所述緩存容器中讀取與所述用戶會話標識對應的用戶會話 fn息�����;所述根據(jù)所述用戶權限信息�,對所述用戶的業(yè)務請求進行授權之前還包括根據(jù)所述用戶會話信息,判斷所述用戶的會話是否有效�����,是則根據(jù)所述用戶權限信息���, 對所述用戶的業(yè)務請求進行授權����。
5.根據(jù)權利要求1所述的訪問業(yè)務的安全控制方法�,其特征在于,所述緩存容器位于 緩存服務器或者本地內存中�����。
6.根據(jù)權利要求1所述的訪問業(yè)務的安全控制方法����,其特征在于��,所述用戶權限信息 以對象的方式緩存于所述緩存容器中���。
7.一種訪問業(yè)務的安全控制裝置,其特征在于�����,包括會話標識獲取模塊�����,用于獲取用戶發(fā)起的業(yè)務請求信息中的用戶會話標識����;權限信息獲取模塊����,用于根據(jù)所述用戶會話標識,從緩存容器中讀取與所述用戶會話 標識對應的用戶權限信息����,所述緩存容器中緩存有用戶權限信息��;業(yè)務授權模塊�����,用于根據(jù)所述用戶權限信息�,對所述用戶的業(yè)務請求進行授權��。
8.根據(jù)權利要求7所述的訪問業(yè)務的安全控制裝置��,其特征在于�,所述用戶權限信息 包括用戶調用業(yè)務功能權限信息,以及用戶使用數(shù)據(jù)權限信息�;所述業(yè)務授權模塊包括第一判斷單元�,用于根據(jù)所述用戶調用業(yè)務功能權限信息���,判斷所述用戶是否有權限 調用請求的業(yè)務��;第二判斷單元����,用于根據(jù)所述用戶使用數(shù)據(jù)權限信息�,判斷所述用戶是否有權限使用 數(shù)據(jù);業(yè)務授權單元�����,用于確定所述用戶有權調用請求的業(yè)務,以及有權使用數(shù)據(jù)時��,授權所述用戶使用請求的業(yè)務��。
9.根據(jù)權利要求7所述的訪問業(yè)務的安全控制裝置����,其特征在于,還包括會話信息獲取模塊����,用于根據(jù)所述用戶會話標識,從緩存容器中讀取與所述用戶會話 標識對應的用戶會話信息�,所述緩存容器中存儲有用戶會話信息;會話有效判斷模塊����,用于根據(jù)所述用戶會話信息,判斷所述用戶的會話是否有效�;所述業(yè)務授權模塊�����,具體用于所述用戶的會話有效時,根據(jù)所述用戶權限信息��,對所述 用戶的業(yè)務請求進行授權���。
10.根據(jù)權利要求7所述的訪問業(yè)務的安全控制裝置��,其特征在于,還包括會話標識創(chuàng)建模塊��,用于為用戶創(chuàng)建會話標識�����,并生成用戶會話信息,將所述用戶會話 信息及用戶權限信息加載到所述緩存容器中�����。
11.根據(jù)權利要求7所述的訪問業(yè)務的安全控制裝置����,其特征在于,所述緩存容器位于 緩存服務器或者本體內存中���。
12.—種訪問業(yè)務的安全控制系統(tǒng)�����,其特征在于,包括客戶端�����,用于用戶發(fā)起業(yè)務請求��;安全控制裝置���,用于獲取用戶發(fā)起的業(yè)務請求信息中的用戶會話標識���,并根據(jù)所述用 戶會話標識����,從緩存容器中讀取與所述用戶會話標識對應的用戶權限信息�����,對所述用戶的 業(yè)務請求進行授權�����;業(yè)務提供模塊�,用于在用戶的業(yè)務請求被授權后,為所述用戶提供業(yè)務�。
全文摘要
本發(fā)明公開了一種訪問業(yè)務的安全控制方法���、裝置及系統(tǒng)����。該方法包括獲取用戶發(fā)起的業(yè)務請求信息中的用戶會話標識���;根據(jù)所述用戶會話標識��,從緩存容器中讀取與所述用戶會話標識對應的用戶權限信息�����,所述緩存容器中緩存有用戶權限信息����;根據(jù)所述用戶權限信息�����,對所述用戶的業(yè)務請求進行授權��。本發(fā)明技術方案通過緩存技術�����,可以有效提高用戶訪問業(yè)務的安全性,提高業(yè)務訪問效率��。
文檔編號H04L29/06GK102104607SQ201110058120
公開日2011年6月22日 申請日期2011年3月10日 優(yōu)先權日2011年3月10日
發(fā)明者孟憲宇, 李吉生, 李良文, 王云, 范茂洋, 蔣斌, 蔡偉, 邵曉風 申請人:易程(蘇州)軟件股份有限公司