本申請涉及通信技術(shù)領(lǐng)域，尤其涉及一種訪問控制方法、裝置以及系統(tǒng)。

背景技術(shù)：

對于提供業(yè)務(wù)的網(wǎng)絡(luò)業(yè)務(wù)平臺而言，在網(wǎng)絡(luò)業(yè)務(wù)平臺的運營過程中，需要運營人員對網(wǎng)絡(luò)業(yè)務(wù)平臺進行管理，如，對于提供多媒體資源的網(wǎng)絡(luò)業(yè)務(wù)平臺而言，運營人員管理網(wǎng)絡(luò)業(yè)務(wù)平臺所能多媒體資源，修改多媒體資源的簡介等等。

通常情況下，網(wǎng)絡(luò)業(yè)務(wù)平臺可以由多個業(yè)務(wù)系統(tǒng)組成，且不同業(yè)務(wù)系統(tǒng)所提供的可操作的業(yè)務(wù)操作種類不同。而不同運營人員所具有的操作權(quán)限也不相同，只有當運營人員具有對某個業(yè)務(wù)系統(tǒng)中某些業(yè)務(wù)操作的操作管理權(quán)限時，該運營人員才可以在該業(yè)務(wù)系統(tǒng)中進行相應(yīng)的業(yè)務(wù)管理操作。而為了對運營人員進行權(quán)限驗證，每個業(yè)務(wù)系統(tǒng)的應(yīng)用服務(wù)器中都需要開發(fā)相應(yīng)的權(quán)限驗證功能，開發(fā)工作量較大，從而網(wǎng)頁業(yè)務(wù)平臺進行權(quán)限驗證的復(fù)雜度較高。

技術(shù)實現(xiàn)要素：

有鑒于此，本申請?zhí)峁┝艘环N訪問控制方法、裝置以及系統(tǒng)，以降低網(wǎng)頁業(yè)務(wù)平臺為了實現(xiàn)權(quán)限驗證所需的開發(fā)工作量，降低權(quán)限驗證的復(fù)雜度。

為實現(xiàn)上述目的，本申請?zhí)峁┝巳缦路桨福?/p>

一方面，本申請?zhí)峁┝艘环N訪問控制方法，該方法包括：

截獲終端的瀏覽器向業(yè)務(wù)系統(tǒng)的應(yīng)用服務(wù)器發(fā)送的業(yè)務(wù)操作請求，所述業(yè)務(wù)操作請求攜帶有所述瀏覽器緩存的目標用戶標識，以及請求操作的業(yè)務(wù)操作信息；

響應(yīng)于截獲到的所述業(yè)務(wù)操作請求，向鑒權(quán)服務(wù)器發(fā)送鑒權(quán)請求，所述鑒權(quán)請求攜帶有所述目標用戶標識以及所述業(yè)務(wù)操作信息；

當接收到所述鑒權(quán)服務(wù)器返回鑒權(quán)成功指示時，依據(jù)所述業(yè)務(wù)操作信息執(zhí)行業(yè)務(wù)操作，其中，所述鑒權(quán)成功指示為在所述鑒權(quán)服務(wù)器確認所述目標用戶標識為已登錄用戶的標識，且所述目標用戶標識對應(yīng)的目標操作權(quán)限集合中包括與所述業(yè)務(wù)操作信息相匹配的操作權(quán)限集合之后，生成的。

優(yōu)選的，所述當所述鑒權(quán)服務(wù)器返回鑒權(quán)成功指示時，依據(jù)所述業(yè)務(wù)操作信息執(zhí)行業(yè)務(wù)操作，包括：

當接收到所述鑒權(quán)服務(wù)器返回的鑒權(quán)成功指示時，將所述業(yè)務(wù)操作請求所請求操作的業(yè)務(wù)操作信息轉(zhuǎn)發(fā)給所述應(yīng)用服務(wù)器，以使得所述應(yīng)用服務(wù)器依據(jù)所述業(yè)務(wù)操作信息執(zhí)行業(yè)務(wù)操作。

優(yōu)選的，所述響應(yīng)于截獲到的所述業(yè)務(wù)操作請求，向鑒權(quán)服務(wù)器發(fā)送鑒權(quán)請求，包括：

響應(yīng)于截獲到的所述業(yè)務(wù)操作請求，根據(jù)業(yè)務(wù)操作請求攜帶的所述目標用戶標識以及業(yè)務(wù)操作信息，生成鑒權(quán)請求，所述鑒權(quán)請求攜帶有所述目標用戶標識以及所述業(yè)務(wù)操作信息；

向鑒權(quán)服務(wù)器發(fā)送所述鑒權(quán)請求。

另一方面，本申請還提供了又一種訪問控制方法，應(yīng)用于鑒權(quán)服務(wù)器，所述方法包括：

接收應(yīng)用服務(wù)器發(fā)送的鑒權(quán)請求，所述鑒權(quán)請求攜帶有目標用戶標識以及業(yè)務(wù)操作信息，其中，鑒權(quán)請求為所述應(yīng)用服務(wù)器截獲到終端的瀏覽器發(fā)送的業(yè)務(wù)操作請求之后，根據(jù)業(yè)務(wù)操作請求攜帶的所述目標用戶標識以及請求操作的所述業(yè)務(wù)操作信息生成的，且業(yè)務(wù)操作請求攜帶的所述目標用戶標識為緩存在所述瀏覽器中的目標用戶標識；

檢測是否所述目標用戶標識為已登錄用戶的目標用戶標識，且所述目標用戶標識對應(yīng)的目標操作權(quán)限集合中，存在與所述業(yè)務(wù)操作信息相匹配的目標操作權(quán)限；

當所述目標用戶標識為已登錄用戶的目標用戶標識，且所述目標用戶標識對應(yīng)的目標操作權(quán)限集合中存在與所述業(yè)務(wù)操作信息相匹配的目標操作權(quán)限，為所述應(yīng)用服務(wù)器返回鑒權(quán)成功指示，以使得所述應(yīng)用服務(wù)器依據(jù)所述業(yè)務(wù)操作信息執(zhí)行業(yè)務(wù)操作。

優(yōu)選的，在所述為所述應(yīng)用服務(wù)器返回鑒權(quán)成功指示的同時，還包括：

生成包含所述目標用戶標識以及所述業(yè)務(wù)操作信息的操作日志，并存儲所述操作日志。

優(yōu)選的，所述檢測是否所述目標用戶標識為已登錄用戶的目標用戶標識，且所述目標用戶標識對應(yīng)的目標操作權(quán)限集合中，存在與所述業(yè)務(wù)操作信息相匹配的目標操作權(quán)限，包括：

從存儲的已登錄用戶的用戶標識與操作權(quán)限集合的對應(yīng)關(guān)系中，查詢是否存在所述目標用戶標識對應(yīng)的目標操作權(quán)限集合；

當查詢到所述目標用戶標識對應(yīng)的目標操作權(quán)限集合時，檢測所述目標操作權(quán)限集合中是否存在與所述業(yè)務(wù)操作信息相匹配的目標操作權(quán)限。

優(yōu)選的，所述從存儲的已登錄用戶的目標用戶標識與操作權(quán)限集合的對應(yīng)關(guān)系中，查詢是否存在所述目標用戶標識對應(yīng)的目標操作權(quán)限集合，包括：

從遠程的內(nèi)存數(shù)據(jù)庫中存儲的已登錄用戶的目標用戶標識與操作權(quán)限集合的對應(yīng)關(guān)系中，查詢是否存在所述目標用戶標識對應(yīng)的目標操作權(quán)限集合。

優(yōu)選的，在所述接收應(yīng)用服務(wù)器發(fā)送的鑒權(quán)請求之前，還包括：

接收所述終端的瀏覽器發(fā)送的登錄請求，所述登錄請求攜帶有請求登錄的用戶的用戶名和登錄密碼；

當基于所述用戶名和登錄密碼驗證出所述用戶的身份合法時，依據(jù)所述用戶名，獲取所述用戶具有的所有操作權(quán)限，并將所述具有的所有操作權(quán)限組成目標操作權(quán)限集合；

生成唯一標識所述用戶的所述目標用戶標識，并存儲所述目標用戶標識與所述目標操作權(quán)限集合的對應(yīng)關(guān)系；

將所述目標用戶標識發(fā)送所述終端的瀏覽器，以在所述瀏覽器中緩存所述目標用戶標識。

優(yōu)選的，在所述將所述目標用戶標識發(fā)送所述終端的瀏覽器之后，還包括：

為所述瀏覽器返回權(quán)限選擇界面，所述權(quán)限選擇界面包括所述目標操作權(quán)限集合中的各項操作權(quán)限的菜單選項；

獲取瀏覽器返回的待處理操作權(quán)限的標識，所述待處理操作權(quán)限為用戶從所述權(quán)限選擇界面選擇的菜單選項所關(guān)聯(lián)的操作權(quán)限；

根據(jù)操作權(quán)限所關(guān)聯(lián)的頁面地址，為所述瀏覽器返回所述待處理操作權(quán)限所對應(yīng)的業(yè)務(wù)操作頁面的頁面地址，以使得所述瀏覽器根據(jù)所述業(yè)務(wù)操作頁面的業(yè)務(wù)地址，從所述應(yīng)用服務(wù)器獲取所述業(yè)務(wù)操作頁面，并基于用戶在所述業(yè)務(wù)操作頁面中的操作，生成所述業(yè)務(wù)操作請求。

另一方面，本申請實施例還提供了一種訪問控制裝置，包括：

請求截獲單元，用于截獲終端的瀏覽器向業(yè)務(wù)系統(tǒng)的應(yīng)用服務(wù)器發(fā)送的業(yè)務(wù)操作請求，所述業(yè)務(wù)操作請求攜帶有所述瀏覽器緩存的目標用戶標識，以及請求操作的業(yè)務(wù)操作信息；

鑒權(quán)請求單元，用于響應(yīng)于截獲到的所述業(yè)務(wù)操作請求，向鑒權(quán)服務(wù)器發(fā)送鑒權(quán)請求，所述鑒權(quán)請求攜帶有所述目標用戶標識以及所述業(yè)務(wù)操作信息；

業(yè)務(wù)執(zhí)行單元，用于當接收到所述鑒權(quán)服務(wù)器返回鑒權(quán)成功指示時，依據(jù)所述業(yè)務(wù)操作信息執(zhí)行業(yè)務(wù)操作，其中，所述鑒權(quán)成功指示為在所述鑒權(quán)服務(wù)器確認所述目標用戶標識為已登錄用戶的標識，且所述目標用戶標識對應(yīng)的目標操作權(quán)限集合中包括與所述業(yè)務(wù)操作信息相匹配的操作權(quán)限集合之后，生成的。

另一方面，本申請實施例還提供了一種訪問控制裝置，應(yīng)用于鑒權(quán)服務(wù)器，所述裝置包括：

請求接收單元，用于接收應(yīng)用服務(wù)器發(fā)送的鑒權(quán)請求，所述鑒權(quán)請求攜帶有目標用戶標識以及業(yè)務(wù)操作信息，其中，鑒權(quán)請求為所述應(yīng)用服務(wù)器截獲到終端的瀏覽器發(fā)送的業(yè)務(wù)操作請求之后，根據(jù)業(yè)務(wù)操作請求攜帶的所述目標用戶標識以及請求操作的所述業(yè)務(wù)操作信息生成的，且業(yè)務(wù)操作請求攜帶的所述目標用戶標識為緩存在所述瀏覽器中的目標用戶標識；

鑒權(quán)處理單元，用于檢測是否所述目標用戶標識為已登錄用戶的目標用戶標識，且所述目標用戶標識對應(yīng)的目標操作權(quán)限集合中，存在與所述業(yè)務(wù)操作信息相匹配的目標操作權(quán)限；

結(jié)果指示單元，用于當所述目標用戶標識為已登錄用戶的目標用戶標識，且所述目標用戶標識對應(yīng)的目標操作權(quán)限集合中存在與所述業(yè)務(wù)操作信息相匹配的目標操作權(quán)限，為所述應(yīng)用服務(wù)器返回鑒權(quán)成功指示，以使得所述應(yīng)用服務(wù)器依據(jù)所述業(yè)務(wù)操作信息執(zhí)行業(yè)務(wù)操作。

另一方面，本申請還提供了一種訪問控制系統(tǒng)，包括：

應(yīng)用服務(wù)器，用于截獲終端的瀏覽器向所述應(yīng)用服務(wù)器發(fā)送的業(yè)務(wù)操作請求，所述業(yè)務(wù)操作請求攜帶有所述瀏覽器緩存的目標用戶標識，以及請求操作的業(yè)務(wù)操作信息；響應(yīng)于截獲到的所述業(yè)務(wù)操作請求，向鑒權(quán)服務(wù)器發(fā)送鑒權(quán)請求，所述鑒權(quán)請求攜帶有所述目標用戶標識以及所述業(yè)務(wù)操作信息；當接收到所述鑒權(quán)服務(wù)器返回鑒權(quán)成功指示時，依據(jù)所述業(yè)務(wù)操作信息執(zhí)行業(yè)務(wù)操作；

鑒權(quán)服務(wù)器，用于響應(yīng)于所述鑒權(quán)請求，檢測是否所述目標用戶標識為已登錄用戶的目標用戶標識，且所述目標用戶標識對應(yīng)的目標操作權(quán)限集合中，存在與所述業(yè)務(wù)操作信息相匹配的目標操作權(quán)限；當所述目標用戶標識為已登錄用戶的目標用戶標識，且所述目標用戶標識對應(yīng)的目標操作權(quán)限集合中存在與所述業(yè)務(wù)操作信息相匹配的目標操作權(quán)限，為所述應(yīng)用服務(wù)器返回所述鑒權(quán)成功指示。

經(jīng)由上述的技術(shù)方案可知，在本申請實施例中，業(yè)務(wù)系統(tǒng)的應(yīng)用服務(wù)器會攔截終端發(fā)送的業(yè)務(wù)操作請求，并在應(yīng)用服務(wù)器處理該業(yè)務(wù)操作請求之前，向鑒權(quán)服務(wù)器發(fā)送鑒權(quán)請求，并通過鑒權(quán)服務(wù)器驗證該終端的用戶是否具備該業(yè)務(wù)操作請求中攜帶的業(yè)務(wù)操作信息對應(yīng)的操作權(quán)限，從而實現(xiàn)了通過鑒權(quán)服務(wù)器統(tǒng)一對業(yè)務(wù)系統(tǒng)中所有業(yè)務(wù)操作請求進行權(quán)限認證，避免了分別在每臺應(yīng)用服務(wù)器中單獨開發(fā)權(quán)限認證程序，降低了開發(fā)的工作量和復(fù)雜度，提高了權(quán)限認證的便捷性。

附圖說明

為了更清楚地說明本申請實施例的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本申請的實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)提供的附圖獲得其他的附圖。

圖1示出了本申請的訪問控制方法所適用的一種應(yīng)用場景的組成架構(gòu)示意圖；

圖2示出了本申請一種訪問控制方法一個實施例的流程示意圖；

圖3示出了本申請一種訪問控制裝置一個實施例的組成結(jié)構(gòu)示意圖；

圖4示出了本申請又一種訪問控制裝置一個實施例的組成結(jié)構(gòu)示意圖。

具體實施方式

為了便于理解，先對本申請實施例的方案所適用的一種應(yīng)用場景進行介紹，如圖1所示。在圖1的應(yīng)用場景中包括：網(wǎng)絡(luò)業(yè)務(wù)平臺10和運營人員所在的終端11。

其中，該網(wǎng)絡(luò)業(yè)務(wù)平臺可以包括多個業(yè)務(wù)系統(tǒng)101以及一個鑒權(quán)服務(wù)器102，業(yè)務(wù)系統(tǒng)與鑒權(quán)服務(wù)器通過網(wǎng)絡(luò)相連。

其中，每個業(yè)務(wù)系統(tǒng)101可以包括一個或多個應(yīng)用服務(wù)器1011，其中，當業(yè)務(wù)系統(tǒng)包括多個應(yīng)用服務(wù)器時，該多個應(yīng)用服務(wù)器可以構(gòu)成一個服務(wù)器集群。

當然，為了身份驗證與權(quán)限認證的速度以及可靠性，并避免由于鑒權(quán)服務(wù)器故障而導(dǎo)致無法進行身份以及權(quán)限驗證，該鑒權(quán)服務(wù)器同樣可以有多臺。如，可以根據(jù)負載均衡原則，從該多臺鑒權(quán)服務(wù)器中選擇一臺作為當前進行身份驗證與權(quán)限認證的鑒權(quán)服務(wù)器；又如，這多臺鑒權(quán)服務(wù)器中一臺作為主服務(wù)器，其他作為備用服務(wù)器，當作為主服務(wù)器的鑒權(quán)服務(wù)器出現(xiàn)故障時，則啟動作為備用服務(wù)器的鑒權(quán)服務(wù)器。

其中，鑒權(quán)服務(wù)器可以維護以下內(nèi)容：

權(quán)限的管理：各項操作權(quán)限的創(chuàng)建、修改、刪除以及查詢等等；

角色的管理：角色的創(chuàng)建、修改、刪除以及查詢等等，其中，一個角色可以具有一項或者多項操作權(quán)限；

用戶權(quán)限的管理：賦予或者收回用戶的一個或者多個角色。

其中，網(wǎng)頁業(yè)務(wù)平臺的管理員可以在鑒權(quán)中心的權(quán)限管理界面新增或者刪除各項操作權(quán)限對應(yīng)的選項，同時，針對每項操作權(quán)限，管理員會建立各項操作權(quán)限所關(guān)聯(lián)的可操作頁面的頁面地址以及每項操作權(quán)限對應(yīng)的匹配規(guī)則模板等等。其中，每項操作權(quán)限對應(yīng)的匹配規(guī)則模板為用于確定該項操作權(quán)限所可能匹配的操作內(nèi)容的規(guī)則，如，該匹配規(guī)則模板可以為一個正則表達式，基于正則表達式可以檢測運營人員所請求的操作內(nèi)容是否屬于該項操作權(quán)限所包含的權(quán)限范圍。

在一種實現(xiàn)方式中，該網(wǎng)頁業(yè)務(wù)平臺還可以包括數(shù)據(jù)庫103，該數(shù)據(jù)庫可以與該鑒權(quán)服務(wù)器通過網(wǎng)絡(luò)相連，該數(shù)據(jù)庫中可以存儲鑒權(quán)服務(wù)器所管理的權(quán)限、角色以及用戶權(quán)限等相關(guān)信息。

下面結(jié)合本申請的以上共性，對本申請實施例的訪問控制方法進行詳細介紹。

如，參見圖2，其示出了本申請一種訪問控制方法一個實施例的流程交互示意圖，本實施例的方法可以包括：

s201，終端通過瀏覽器向鑒權(quán)服務(wù)器發(fā)送登錄請求，該登錄請求攜帶有用戶的用戶名以及登錄密碼。

其中，鑒權(quán)服務(wù)器可以為向請求登錄網(wǎng)絡(luò)業(yè)務(wù)平臺所有終端提供統(tǒng)一的登錄頁面。相應(yīng)的，用戶在終端的瀏覽器中打開網(wǎng)絡(luò)業(yè)務(wù)平臺的登錄頁面，并在該登錄頁面填寫登錄該網(wǎng)絡(luò)業(yè)務(wù)平臺所需的用戶名和密碼之后，可以向該鑒權(quán)服務(wù)器發(fā)出登錄請求，則該登錄請求被定向發(fā)送給該鑒權(quán)服務(wù)器。

在本申請實施例中，該用戶可以為網(wǎng)絡(luò)業(yè)務(wù)平臺的運營人員，用戶的用戶名可以唯一標識一個用戶。

s202，鑒權(quán)服務(wù)器響應(yīng)于該登錄請求，基于該用戶名和登錄密碼，驗證該用戶的身份合法性。

如，鑒權(quán)服務(wù)器中可以存儲不同用戶名對應(yīng)的密碼，這樣，獲取到登錄請求所攜帶的用戶名之后，鑒權(quán)服務(wù)器檢測該登錄密碼與該鑒權(quán)服務(wù)器中存儲的與該用戶名對應(yīng)的密碼是否一致，如果一致，則確認該用戶為具有合法身份的用戶。

當然，基于用戶的用戶名和登錄密碼，驗證用戶身份合法性的方式可以有多種，對于采用哪種方式來驗證用戶身份的合法性，本申請實施例不加以限制。

需要說明的是，以上步驟s201和步驟s202為可選步驟，其屬于身份驗證的過程，而不屬于操作權(quán)限認證過程，其僅僅是為了能夠便于理解本申請方案的整個過程而進行描述。

s203，當鑒權(quán)服務(wù)器驗證出該用戶的身份合法時，從存儲的用戶名與角色集合的關(guān)聯(lián)關(guān)系中，查詢出與該用戶的用戶名關(guān)聯(lián)的目標角色集合。

其中，該目標角色集合中包括至少一個目標角色。為了便于區(qū)分，本申請實施例中，將該用戶關(guān)聯(lián)的角色稱為目標角色，并將用戶關(guān)聯(lián)的所有目標角色所組成的集合稱為目標角色集合。

如，如果在鑒權(quán)服務(wù)器中存儲有該用戶名與角色集合的關(guān)聯(lián)關(guān)系的情況下，可以從鑒權(quán)服務(wù)器中查詢出該目標角色集合；如果在數(shù)據(jù)庫中存儲有該用戶名與角色集合的關(guān)聯(lián)關(guān)系，則可以數(shù)據(jù)庫中查詢出該目標角色集合。

其中，角色用于表征用戶在運營過程中所承載的職責，如，角色可以為物流運輸、售前咨詢、售后維護等等。

可以理解的是，在鑒權(quán)服務(wù)器驗證出用戶身份合法時，則該用戶可以登錄該鑒權(quán)服務(wù)器；當鑒權(quán)服務(wù)器驗證出該用戶的身份不合法時，該鑒權(quán)服務(wù)器可以為瀏覽器返回相應(yīng)的錯誤提示，如密碼輸入操作，不具備登錄權(quán)限等等。

s204，鑒權(quán)服務(wù)器根據(jù)存儲的角色與操作權(quán)限的匹配關(guān)系，分別獲取目標角色集合中每個目標角色關(guān)聯(lián)的至少一項操作權(quán)限，得到與該目標角色集合中的至少一個目標角色關(guān)聯(lián)的操作權(quán)限集合。

其中，該操作權(quán)限集合中包括至少一項操作權(quán)限。

如，從鑒權(quán)服務(wù)器存儲的角色與操作權(quán)限的匹配關(guān)系中，獲取該目標角色集合中各個目標角色關(guān)聯(lián)的操作權(quán)限；或者是，從數(shù)據(jù)庫存儲的該角色與操作權(quán)限的匹配關(guān)系中，獲取該目標角色集合中各個目標角色關(guān)聯(lián)的操作權(quán)限。

在本申請實施例中，不同的角色具有不同的操作權(quán)限，根據(jù)業(yè)務(wù)系統(tǒng)的不同，不同角色所具有的操作權(quán)限可以完全不同，也可以存在部分操作權(quán)限的重合。

可選的，為了避免該用戶對應(yīng)的操作權(quán)限集合中存在重復(fù)的操作權(quán)限，在確定出該用戶的目標角色集合中每個目標角色關(guān)聯(lián)的各項操作權(quán)限之后，可以去除重復(fù)的操作權(quán)限，并將去重之后所得到的各項操作權(quán)限所組成的集合作為該用戶具有的操作權(quán)限集合。當然，在得到該操作權(quán)限集合之后，再對操作權(quán)限集合中的操作權(quán)限進行去重操作也同樣適用。

需要說明的是，在本申請實施例中，通過為不同用戶分配不同的角色，并未每個角色關(guān)聯(lián)有至少一項操作權(quán)限僅僅是一種確定用戶所具有的操作權(quán)限的方式。在實際應(yīng)用中，也可以預(yù)先在鑒權(quán)服務(wù)器中配置不同用戶所具有的操作權(quán)限集合，每個用戶所具有的操作權(quán)限集合中包括至少一項操作權(quán)限，在該種情況中，鑒權(quán)服務(wù)器可以依據(jù)用戶的用戶名，從數(shù)據(jù)庫或者該鑒權(quán)服務(wù)器中存儲的用戶名與操作權(quán)限的對應(yīng)關(guān)系中，獲取該用戶關(guān)聯(lián)的至少一項操作權(quán)限，從而得到該用戶所具有的至少一項操作權(quán)限所構(gòu)成的操作權(quán)限集合。

s205，鑒權(quán)服務(wù)器為該用戶生成唯一的用戶標識，并在遠程的內(nèi)存數(shù)據(jù)庫中緩存該用戶標識與該操作權(quán)限集合的對應(yīng)關(guān)系。

其中，該用戶標識用于唯一標識該用戶，該用戶標識可以由數(shù)字、字母或者其他字符中的一種或多種組成。當然，該鑒權(quán)服務(wù)器也可以直接將用戶的用戶名作為該用戶的用戶標識。

考慮到用戶的用戶名很容易被竊取，而被他人冒用，因此，為了保證后續(xù)權(quán)限認證的可靠性，鑒權(quán)服務(wù)器在確認用戶身份合法之后，可以為用戶生成一個唯一的用戶標識，該用戶標識由鑒權(quán)服務(wù)器隨機生成，且該用戶標識不同于該用戶的用戶名。

可以理解的是，在內(nèi)存數(shù)據(jù)庫中緩存該用戶標識與該操作權(quán)限集合的對應(yīng)關(guān)系，有利于后續(xù)鑒權(quán)服務(wù)器快速查詢出該用戶標識所表征的用戶具有哪些目標操作權(quán)限。

如，該內(nèi)存數(shù)據(jù)庫可以為存儲鍵(key)與鍵值(value)之間映射的數(shù)據(jù)庫，即redis數(shù)據(jù)庫。相應(yīng)的，可以將用戶標識作為鍵，將用戶對應(yīng)的操作權(quán)限集合作為鍵值，從而將該用戶的用戶標識與操作權(quán)限集合相對應(yīng)的緩存到該redis數(shù)據(jù)庫中。

可以理解的，在不同時刻，鑒權(quán)服務(wù)器可能會為多個不同的已登錄用戶生成用戶標識，為了便于區(qū)分，可以將當前時刻生成的該用戶標識稱為目標用戶標識，并將該目標用戶標識對應(yīng)的操作權(quán)限集合稱為目標操作權(quán)限集合。

需要說明的是，鑒權(quán)服務(wù)器在遠程的內(nèi)存數(shù)據(jù)庫中緩存該用戶標識與操作權(quán)限集合之間的對應(yīng)關(guān)系僅僅是一種實現(xiàn)方式。但是可以理解的是，鑒權(quán)服務(wù)器也可以將該對應(yīng)關(guān)系緩存到該鑒權(quán)服務(wù)器的存儲器或者內(nèi)存中，或者是將該對應(yīng)關(guān)系緩存到其他類型的數(shù)據(jù)庫中，在此不加以限制。

s206，鑒權(quán)服務(wù)器將該用戶標識發(fā)送給終端的瀏覽器，以在瀏覽器中存儲該用戶標識。

如，將該用戶標識寫入到瀏覽器的cookies中。

可以理解的是，鑒權(quán)服務(wù)器為已登錄的用戶生成一個唯一的用戶標識的目的是，通過該用戶標識表征該用戶為已成功登錄該鑒權(quán)服務(wù)器(或者說成功登錄網(wǎng)絡(luò)業(yè)務(wù)平臺)的已登錄用戶。相應(yīng)的，在瀏覽器發(fā)起對業(yè)務(wù)系統(tǒng)的業(yè)務(wù)操作請求時，瀏覽器可以將緩存的業(yè)務(wù)標識攜帶在該業(yè)務(wù)操作請求中，這樣，鑒權(quán)服務(wù)器可以檢測該用戶標識是否為該鑒權(quán)服務(wù)器為已登錄用戶生成的用戶標識。

需要說明的是，鑒權(quán)服務(wù)器通過為已登錄用戶生成用戶標識并存儲該用戶標識僅僅是鑒權(quán)服務(wù)器識別已登錄用戶的一種實現(xiàn)方式，在實際應(yīng)用中，鑒權(quán)服務(wù)器也可以將已登錄用戶的用戶名等信息存儲到遠程的內(nèi)存數(shù)據(jù)庫或者指定存儲空間，以區(qū)分出已登錄用戶。

另外，步驟s203到步驟s206僅僅是為了用戶請求登錄鑒權(quán)服務(wù)器(或者說請求登錄網(wǎng)絡(luò)業(yè)務(wù)平臺)的過程中，鑒權(quán)服務(wù)器對于登錄請求的一些處理，該部分不屬于鑒權(quán)服務(wù)器對于權(quán)限認證的過程，只不過是為了后續(xù)的權(quán)限驗證而做的一些準備操作。

s207，鑒權(quán)服務(wù)器向終端的瀏覽器返回權(quán)限選擇界面。

其中，該權(quán)限選擇界面展現(xiàn)有該用戶具備的該操作權(quán)限集合中的各項操作權(quán)限的選項。

如，在該權(quán)限選擇界面中可以以菜單的形式展現(xiàn)出該操作權(quán)限集合中包含的各項操作權(quán)限對應(yīng)的菜單選項，這樣，用戶可以通過點擊表征不同操作權(quán)限的菜單選項，來實現(xiàn)對某項操作權(quán)限的選擇。

s208，終端的瀏覽器將用戶從該權(quán)限選擇界面中選擇的待處理操作權(quán)限的選項標識發(fā)送給鑒權(quán)服務(wù)器。

為了便于區(qū)分，將該操作權(quán)限集合中，用戶選擇出的操作權(quán)限稱為待處理操作權(quán)限。

其中，該待處理操作權(quán)限的選項標識用于標識該待處理操作權(quán)限，如，該待處理操作權(quán)限的選項標識可以為該待處理操作權(quán)限的名稱或者其他標識等等。

舉例說明，權(quán)限選擇界面中展現(xiàn)出操作權(quán)限a的菜單選項a、操作權(quán)限b的菜單選項以及操作權(quán)限c的菜單選項c，假設(shè)用戶點擊了操作權(quán)限b的菜單選項b，則瀏覽器可以將菜單選項b的坐標位置或者標識序號等等發(fā)送給鑒權(quán)服務(wù)器，以使得鑒權(quán)服務(wù)器根據(jù)菜單選項b的坐標位置或者標識序號，確定出用戶點擊的菜單選項，進而確定該菜單選項關(guān)聯(lián)的操作權(quán)限為操作權(quán)限b。

s209，鑒權(quán)服務(wù)器基于該待處理操作權(quán)限關(guān)聯(lián)的業(yè)務(wù)操作頁面的頁面地址，在該權(quán)限選擇界面的頁面展現(xiàn)區(qū)域展現(xiàn)該業(yè)務(wù)操作頁面。

其中，業(yè)務(wù)操作頁面可以展現(xiàn)：可供用戶選擇的業(yè)務(wù)操作項目，以及可選擇配置的業(yè)務(wù)操作內(nèi)容，例如，業(yè)務(wù)操作頁面中可以展現(xiàn)有一些可供修改的電影信息，在該業(yè)務(wù)操作界面中，用戶可以針對某一個電影執(zhí)行修改或者刪除電影名稱等操作。

在鑒權(quán)服務(wù)器中存儲有不同操作權(quán)限與該操作權(quán)限可操作的業(yè)務(wù)操作頁面的頁面之間的關(guān)聯(lián)關(guān)系，鑒權(quán)服務(wù)器獲取到用戶選擇的待處理操作權(quán)限之后，可以獲取該待處理操作權(quán)限關(guān)聯(lián)的業(yè)務(wù)操作頁面的頁面地址，從而基于該業(yè)務(wù)操作頁面的頁面地址獲取該業(yè)務(wù)操作頁面。如，鑒權(quán)服務(wù)器可以將該待處理操作權(quán)限關(guān)聯(lián)的業(yè)務(wù)操作頁面的頁面地址發(fā)送給終端的瀏覽器，該瀏覽器可以基于該頁面地址，向該業(yè)務(wù)操作頁面所屬的業(yè)務(wù)系統(tǒng)的應(yīng)用服務(wù)器發(fā)送頁面請求，從而獲取到該業(yè)務(wù)操作頁面。

可以理解的是，終端的瀏覽器中展現(xiàn)該業(yè)務(wù)操作頁面的方式可以有多種。為了便于用戶在觀看或操作該業(yè)務(wù)操作頁面的同時，瀏覽器可以將業(yè)務(wù)操作頁面展現(xiàn)在該權(quán)限選擇界面中指定區(qū)域，該指定區(qū)域可以為用于展現(xiàn)業(yè)務(wù)操作頁面的頁面展現(xiàn)區(qū)域。相應(yīng)的，在該權(quán)限界面展現(xiàn)業(yè)務(wù)操作頁面的同時，用戶如果希望變更所選擇的操作權(quán)限，則仍可以選擇其他的操作權(quán)限的選項，從而重新加載其他操作權(quán)限對應(yīng)的業(yè)務(wù)操作頁面。

s210，終端的瀏覽器根據(jù)用戶在業(yè)務(wù)操作頁面中的操作，向應(yīng)用服務(wù)器發(fā)送業(yè)務(wù)操作請求。

其中，該業(yè)務(wù)操作請求攜帶有瀏覽器緩存的用戶標識，以及請求操作的業(yè)務(wù)操作信息。為了便于區(qū)分，該業(yè)務(wù)操作請求中攜帶的用戶標識也可以被稱為目標用戶標識。

如，瀏覽器根據(jù)用戶在該業(yè)務(wù)操作頁面所選擇的業(yè)務(wù)操作項目以及所選擇操作的內(nèi)容等信息，生成業(yè)務(wù)操作請求，并獲取cookies中緩存的該用戶標識，并將該用戶請求攜帶于該業(yè)務(wù)操作請求中。

可以理解的是，步驟s207至步驟s210僅僅是終端的瀏覽器向應(yīng)用服務(wù)器發(fā)出業(yè)務(wù)操作請求的一種實現(xiàn)方式，在實際應(yīng)用中，終端的瀏覽器還可以通過其他方式向業(yè)務(wù)系統(tǒng)的應(yīng)用服務(wù)器發(fā)送業(yè)務(wù)操作請求，對于本申請不加以限制。

s211，應(yīng)用服務(wù)器截獲該業(yè)務(wù)操作請求，并基于該業(yè)務(wù)操作請求攜帶的用戶標識以及業(yè)務(wù)操作信息，生成鑒權(quán)請求。

其中，該鑒權(quán)請求中包括該用戶標識以及業(yè)務(wù)操作信息。

在應(yīng)用服務(wù)器截獲自身接收到的業(yè)務(wù)操作請求，并在應(yīng)用服務(wù)器處理該業(yè)務(wù)操作請求之前，先對發(fā)送給業(yè)務(wù)操作請求的用戶進行鑒權(quán)。

如，在應(yīng)用服務(wù)器中可以安裝有攔截應(yīng)用，該攔截應(yīng)用可以看成是該鑒權(quán)服務(wù)器對應(yīng)的客戶端，該攔截應(yīng)用可以攔截到終端的瀏覽器向該應(yīng)用服務(wù)器發(fā)送的業(yè)務(wù)操作請求，這樣，在應(yīng)用服務(wù)器處理該業(yè)務(wù)操作請求之前，該攔截應(yīng)用會生成一個鑒權(quán)請求。

s212，應(yīng)用服務(wù)器向鑒權(quán)服務(wù)器發(fā)送給鑒權(quán)請求。

可以理解的是，步驟s211和步驟s212為應(yīng)用服務(wù)器或者說應(yīng)用服務(wù)器中的攔截應(yīng)用向鑒權(quán)服務(wù)器發(fā)送鑒權(quán)請求的一種實現(xiàn)方式。在實際應(yīng)用中，應(yīng)用服務(wù)器可以響應(yīng)于截獲到的該業(yè)務(wù)操作請求，向鑒權(quán)服務(wù)器發(fā)送鑒權(quán)請求，并將業(yè)務(wù)操作請求中攜帶的用戶標識以及業(yè)務(wù)操作信息與鑒權(quán)請求一并發(fā)送給鑒權(quán)服務(wù)器。

s213，鑒權(quán)服務(wù)器根據(jù)該用戶標識，從該遠程的內(nèi)存數(shù)據(jù)庫中存儲的已登錄用戶的用戶標識與操作權(quán)限集合的對應(yīng)關(guān)系中，查詢是否存在該用戶標識對應(yīng)的目標操作權(quán)限集合，如果是，則執(zhí)行步驟s214；如果否，則向應(yīng)用服務(wù)器返回鑒權(quán)失敗的提示；

可以理解的是，每個用戶登錄鑒權(quán)服務(wù)器之后，內(nèi)存數(shù)據(jù)庫中都會存儲該用戶的用戶標識與該用戶具有的操作權(quán)限集合之間的對應(yīng)關(guān)系，這樣，內(nèi)存數(shù)據(jù)庫中會存儲多組對應(yīng)關(guān)系。相應(yīng)的，如果內(nèi)存數(shù)據(jù)庫中存儲有該鑒權(quán)請求中攜帶的該用戶標識對應(yīng)的操作權(quán)限集合，則說明該業(yè)務(wù)操作請求中攜帶的用戶標識為鑒權(quán)服務(wù)器為已登錄用戶生成的用戶標識，同時也說明發(fā)起該業(yè)務(wù)操作請求的用戶為已登錄用戶。

為了便于區(qū)分，將與該鑒權(quán)請求中攜帶的用戶標識對應(yīng)的操作權(quán)限集合稱為目標操作權(quán)限集合。

可以理解的是，鑒權(quán)服務(wù)器將已登錄用戶的用戶標識與該已登錄用戶具有的操作權(quán)限集合存儲到該內(nèi)存數(shù)據(jù)庫中，這樣，在該已登錄用戶通過終端的瀏覽器發(fā)起業(yè)務(wù)操作請求，且應(yīng)用服務(wù)器基于該業(yè)務(wù)操作請求向鑒權(quán)服務(wù)器發(fā)起鑒權(quán)請求之后，鑒權(quán)服務(wù)器無需再實時查詢該已登錄用戶所具有的角色，以及各個角色所具有的權(quán)限，避免了查詢操作權(quán)限的復(fù)雜度；且將該用戶標識作為鍵值，從該內(nèi)存數(shù)據(jù)庫中便可以查詢到該用戶標識所對應(yīng)的目標操作權(quán)限集合，從而大大提高了確定該用戶標識所表征的用戶所具有的操作權(quán)限集合的效率。

當然，如果鑒權(quán)服務(wù)器在確定出該用戶標識為該鑒權(quán)服務(wù)器為已登錄用戶生成的標識之后，在從數(shù)據(jù)庫中實時匹配出該用戶標識所表征的用戶所具有的所有操作權(quán)限，也同樣適用于本申請實施例。

需要說明的是，在鑒權(quán)服務(wù)器將用戶標識與操作權(quán)限集合的對應(yīng)關(guān)系存儲到鑒權(quán)服務(wù)器、其他數(shù)據(jù)庫等存儲空間的情況下，鑒權(quán)服務(wù)器仍可以從相應(yīng)存儲空間中存儲的已登錄用戶的用戶標識與操作權(quán)限集合的對應(yīng)關(guān)系中，查詢是否存在該用戶標識對應(yīng)的目標操作權(quán)限集合，本申請對此不加以限制。

s214，鑒權(quán)服務(wù)器檢測該目標操作權(quán)限集合中，是否存在與該業(yè)務(wù)操作信息相匹配的至少一項目標操作權(quán)限，如果是，為應(yīng)用服務(wù)器返回鑒權(quán)成功指示，并執(zhí)行步驟s215；如果否，則向應(yīng)用服務(wù)器返回鑒權(quán)失敗的提示。

為了便于區(qū)分，將目標操作權(quán)限集合中所包括的至少一項操作權(quán)限中，與該業(yè)務(wù)操作信息匹配的操作權(quán)限稱為目標操作權(quán)限。

可以理解的是，如果該目標操作權(quán)限集合中存在與該業(yè)務(wù)操作信息相匹配的目標操作權(quán)限，則說明該終端的瀏覽器具有進行該業(yè)務(wù)操作信息相對應(yīng)的業(yè)務(wù)操作的權(quán)限，在該種情況下，鑒權(quán)服務(wù)器認為該用戶標識所表征的用戶具有執(zhí)行該業(yè)務(wù)操作信息對應(yīng)的業(yè)務(wù)操作的權(quán)限，并確認鑒權(quán)通過，從而向應(yīng)用服務(wù)器返回鑒權(quán)成功的指示。

其中，鑒權(quán)服務(wù)器從目標操作權(quán)限集合中，檢測與該業(yè)務(wù)操作信息匹配的目標操作權(quán)限的過程可以為：檢測各項操作權(quán)限所可能涉及到的業(yè)務(wù)操作內(nèi)容是否包括或者說涵蓋該業(yè)務(wù)操作信息，如果檢測到某項操作權(quán)限所涉及到的業(yè)務(wù)操作內(nèi)容涵蓋該業(yè)務(wù)操作信息，則確定該項業(yè)務(wù)操作權(quán)限為與該業(yè)務(wù)操作信息匹配的目標操作權(quán)限。

可以理解的是，考慮到如果鑒權(quán)服務(wù)器將每項操作權(quán)限所可能涉及到所有業(yè)務(wù)操作內(nèi)容均羅列出來，會導(dǎo)致數(shù)據(jù)存儲量過大以及匹配復(fù)雜度高等諸多問題，可選的，該鑒權(quán)服務(wù)器可以預(yù)先構(gòu)建每項操作權(quán)限所對應(yīng)的業(yè)務(wù)操作內(nèi)容所具有的基礎(chǔ)信息，這樣，基于該業(yè)務(wù)操作信息與該每項操作權(quán)限所對應(yīng)的業(yè)務(wù)操作具有的基礎(chǔ)信息進行匹配，從而確定業(yè)務(wù)操作信息匹配的操作權(quán)限。如，可以通過正則匹配的方式，確定業(yè)務(wù)操作信息所匹配的目標操作權(quán)限。

可以理解的是，步驟s213和步驟s214僅僅是一種檢測是否該用戶標識為已登錄用戶的目標用戶標識，且該目標用戶標識對應(yīng)的目標操作權(quán)限集合中，存在與該業(yè)務(wù)操作信息相匹配的目標操作權(quán)限的一種實現(xiàn)方式，對于通過其他方式檢測該用戶標識是否為鑒權(quán)服務(wù)器為已登錄用戶生成的標識，并分析該用戶標識所表征的用戶是否具有對該業(yè)務(wù)操作信息相關(guān)的操作權(quán)限的方式，也同樣適用于本申請實施例，在此不加以限制。

可以理解的是，在鑒權(quán)服務(wù)器向應(yīng)用服務(wù)器返回鑒權(quán)失敗的提示的情況下，應(yīng)用服務(wù)器可以丟棄該業(yè)務(wù)操作請求，而不執(zhí)行與該業(yè)務(wù)操作信息相關(guān)的業(yè)務(wù)操作。

s215，鑒權(quán)服務(wù)器生成包含該用戶標識以及該業(yè)務(wù)操作信息的操作日志，并存儲該操作日志。

通過操作日志可以了解到在運營過程中，不同用戶標識所表征的用戶進行了哪些業(yè)務(wù)操作。

當然，如果瀏覽器發(fā)送的業(yè)務(wù)操作請求攜帶有用戶的用戶名等信息，在該種情況下，操作日志中還可以記錄該用戶名等信息與該業(yè)務(wù)操作信息的對應(yīng)關(guān)系。

在本申請實施例中，由鑒權(quán)服務(wù)器在鑒權(quán)成功時，基于業(yè)務(wù)操作信息生成操作日志，這樣，所有的操作日志均由鑒權(quán)服務(wù)器來完成記錄，無需分別在各個業(yè)務(wù)系統(tǒng)的應(yīng)用服務(wù)器中單獨開發(fā)用于實現(xiàn)操作日志記錄的程序，大大減少了開發(fā)工作量，提高了操作日志記錄的便捷性。

需要說明的，鑒權(quán)服務(wù)器生成操作日志與發(fā)送鑒權(quán)成功指示的順序并不限于圖2所示，在實際應(yīng)用中，鑒權(quán)服務(wù)器也可以先生成操作日志，再發(fā)送鑒權(quán)成功指示，當然，鑒權(quán)服務(wù)器也可以在向應(yīng)用服務(wù)器發(fā)送鑒權(quán)成功指示的同時，生成該操作日志。

s216，應(yīng)用服務(wù)器依據(jù)該業(yè)務(wù)操作信息執(zhí)行業(yè)務(wù)操作。

如，該業(yè)務(wù)操作信息為針對某個電影名稱的修改，則應(yīng)用服務(wù)器可以執(zhí)行對該電影名稱的修改等操作。

在本申請實施例中，業(yè)務(wù)系統(tǒng)的應(yīng)用服務(wù)器會攔截終端發(fā)送的業(yè)務(wù)操作請求，并在應(yīng)用服務(wù)器處理該業(yè)務(wù)操作請求之前，向鑒權(quán)服務(wù)器發(fā)送鑒權(quán)請求，并通過鑒權(quán)服務(wù)器驗證該終端的用戶是否具備該業(yè)務(wù)操作請求中攜帶的業(yè)務(wù)操作信息對應(yīng)的操作權(quán)限，從而實現(xiàn)了通過鑒權(quán)服務(wù)器統(tǒng)一對業(yè)務(wù)系統(tǒng)中所有業(yè)務(wù)操作請求進行權(quán)限認證，避免了分別在每臺應(yīng)用服務(wù)器中單獨開發(fā)權(quán)限認證程序，降低了開發(fā)的工作量和復(fù)雜度，提高了權(quán)限認證的便捷性。

同時，通過鑒權(quán)服務(wù)器向用戶返回該用戶具備的操作權(quán)限的權(quán)限選擇界面，這樣，如果用戶不具備某項操作權(quán)限，則該權(quán)限選擇界面中不會顯示該操作權(quán)限，這樣，用戶也就無法在該權(quán)限選擇界面上通過鼠標或鍵盤來選擇相應(yīng)的操作權(quán)限，從而無法請求對該操作權(quán)限相關(guān)的業(yè)務(wù)操作。

另外，即使存在用戶惡意獲取到該用戶不具備操作權(quán)限的業(yè)務(wù)操作的頁面地址，并通過瀏覽器向業(yè)務(wù)系統(tǒng)的應(yīng)用服務(wù)器發(fā)送了對該頁面地址對應(yīng)的業(yè)務(wù)操作請求，而由于本申請中應(yīng)用服務(wù)器攔截到該業(yè)務(wù)操作請求之后，會基于該業(yè)務(wù)操作請求向鑒權(quán)服務(wù)器發(fā)送鑒權(quán)請求，這樣，如果鑒權(quán)服務(wù)器檢測到該用戶沒有登錄過鑒權(quán)服務(wù)器，或者不具備該業(yè)務(wù)操作請求所請求的業(yè)務(wù)操作信息的操作權(quán)限，鑒權(quán)服務(wù)器仍會向應(yīng)用服務(wù)器反饋鑒權(quán)失敗的提示，從而使得該用戶不可能在該應(yīng)用服務(wù)器中執(zhí)行該業(yè)務(wù)操作信息對應(yīng)的業(yè)務(wù)操作，進而提高了權(quán)限認證的可靠性。

對應(yīng)本申請的一種訪問控制方法，本申請還提供了一種訪問控制裝置，該訪問控制裝置可以應(yīng)用于應(yīng)用服務(wù)器，或者是部署于應(yīng)用服務(wù)器的前端，以攔截向應(yīng)用服務(wù)器發(fā)送的信息。

如，參見圖3，其示出了本申請一種訪問控制裝置一個實施例的組成結(jié)構(gòu)示意圖，本實施例的訪問控制裝置可以包括：

請求截獲單元301，用于截獲終端的瀏覽器向業(yè)務(wù)系統(tǒng)的應(yīng)用服務(wù)器發(fā)送的業(yè)務(wù)操作請求，所述業(yè)務(wù)操作請求攜帶有所述瀏覽器緩存的目標用戶標識，以及請求操作的業(yè)務(wù)操作信息；

鑒權(quán)請求單元302，用于響應(yīng)于截獲到的所述業(yè)務(wù)操作請求，向鑒權(quán)服務(wù)器發(fā)送鑒權(quán)請求，所述鑒權(quán)請求攜帶有所述目標用戶標識以及所述業(yè)務(wù)操作信息；

業(yè)務(wù)執(zhí)行單元303，用于當接收到所述鑒權(quán)服務(wù)器返回鑒權(quán)成功指示時，依據(jù)所述業(yè)務(wù)操作信息執(zhí)行業(yè)務(wù)操作，其中，所述鑒權(quán)成功指示為在所述鑒權(quán)服務(wù)器確認所述目標用戶標識為已登錄用戶的標識，且所述目標用戶標識對應(yīng)的目標操作權(quán)限集合中包括與所述業(yè)務(wù)操作信息相匹配的操作權(quán)限集合之后，生成的。

可選的，所述業(yè)務(wù)執(zhí)行單元，包括：

業(yè)務(wù)觸發(fā)執(zhí)行單元，用于當接收到所述鑒權(quán)服務(wù)器返回的鑒權(quán)成功指示時，將所述業(yè)務(wù)操作請求所請求操作的業(yè)務(wù)操作信息轉(zhuǎn)發(fā)給所述應(yīng)用服務(wù)器，以使得所述應(yīng)用服務(wù)器依據(jù)所述業(yè)務(wù)操作信息執(zhí)行業(yè)務(wù)操作。

可選的，所述鑒權(quán)請求單元，包括：

請求生成單元，用于響應(yīng)于截獲到的所述業(yè)務(wù)操作請求，根據(jù)業(yè)務(wù)操作請求攜帶的所述目標用戶標識以及業(yè)務(wù)操作信息，生成鑒權(quán)請求，所述鑒權(quán)請求攜帶有所述目標用戶標識以及所述業(yè)務(wù)操作信息；

鑒權(quán)請求發(fā)送單元，用于向鑒權(quán)服務(wù)器發(fā)送所述鑒權(quán)請求。

又一方面，本申請還提供了另外一種訪問控制方法，如，參見圖4，其示出了本申請又一種訪問控制裝置一個實施例的組成結(jié)構(gòu)示意圖，本實施例的裝置可以應(yīng)用于鑒權(quán)服務(wù)器，本實施例的裝置可以包括：

請求接收單元401，用于接收應(yīng)用服務(wù)器發(fā)送的鑒權(quán)請求，所述鑒權(quán)請求攜帶有目標用戶標識以及業(yè)務(wù)操作信息，其中，鑒權(quán)請求為所述應(yīng)用服務(wù)器截獲到終端的瀏覽器發(fā)送的業(yè)務(wù)操作請求之后，根據(jù)業(yè)務(wù)操作請求攜帶的所述目標用戶標識以及請求操作的所述業(yè)務(wù)操作信息生成的，且業(yè)務(wù)操作請求攜帶的所述目標用戶標識為緩存在所述瀏覽器中的目標用戶標識；

鑒權(quán)處理單元402，用于檢測是否所述目標用戶標識為已登錄用戶的目標用戶標識，且所述目標用戶標識對應(yīng)的目標操作權(quán)限集合中，存在與所述業(yè)務(wù)操作信息相匹配的目標操作權(quán)限；

結(jié)果指示單元403，用于當所述目標用戶標識為已登錄用戶的目標用戶標識，且所述目標用戶標識對應(yīng)的目標操作權(quán)限集合中存在與所述業(yè)務(wù)操作信息相匹配的目標操作權(quán)限，為所述應(yīng)用服務(wù)器返回鑒權(quán)成功指示，以使得所述應(yīng)用服務(wù)器依據(jù)所述業(yè)務(wù)操作信息執(zhí)行業(yè)務(wù)操作。

在一種可能的實現(xiàn)方式中，該裝置還可以包括：

日志生成單元404，用于在所述結(jié)果指示單元為所述應(yīng)用服務(wù)器返回鑒權(quán)成功指示的同時，生成包含所述目標用戶標識以及所述業(yè)務(wù)操作信息的操作日志，并存儲所述操作日志。

在一種可能的實現(xiàn)方式中，所述鑒權(quán)處理單元，可以包括：

信息查詢子單元，用于從存儲的已登錄用戶的用戶標識與操作權(quán)限集合的對應(yīng)關(guān)系中，查詢是否存在所述目標用戶標識對應(yīng)的目標操作權(quán)限集合；

權(quán)限匹配單元，用于當查詢到所述目標用戶標識對應(yīng)的目標操作權(quán)限集合時，檢測所述目標操作權(quán)限集合中是否存在與所述業(yè)務(wù)操作信息相匹配的目標操作權(quán)限。

在一種可能的實現(xiàn)方式中，所述信息查詢子單元，具體為，用于從遠程的內(nèi)存數(shù)據(jù)庫中存儲的已登錄用戶的目標用戶標識與操作權(quán)限集合的對應(yīng)關(guān)系中，查詢是否存在所述目標用戶標識對應(yīng)的目標操作權(quán)限集合。

在一種可能的實現(xiàn)方式中，所述裝置還可以包括：

登錄接收單元，用于在所述請求接收單元接收應(yīng)用服務(wù)器發(fā)送的鑒權(quán)請求之前，接收所述終端的瀏覽器發(fā)送的登錄請求，所述登錄請求攜帶有請求登錄的用戶的用戶名和登錄密碼；

權(quán)限獲取單元，用于當基于所述用戶名和登錄密碼驗證出所述用戶的身份合法時，依據(jù)所述用戶名，獲取所述用戶具有的所有操作權(quán)限，并將所述具有的所有操作權(quán)限組成目標操作權(quán)限集合；

標識生成單元，用于生成唯一標識所述用戶的所述目標用戶標識，并存儲所述目標用戶標識與所述目標操作權(quán)限集合的對應(yīng)關(guān)系；

標識返回單元，用于將所述目標用戶標識發(fā)送所述終端的瀏覽器，以在所述瀏覽器中緩存所述目標用戶標識。

在以上任意一個實施例的基礎(chǔ)上，該裝置還可以包括：

權(quán)限界面返回單元，用于為所述瀏覽器返回權(quán)限選擇界面，所述權(quán)限選擇界面包括所述目標操作權(quán)限集合中的各項操作權(quán)限的菜單選項；

操作權(quán)限確定單元，用于獲取瀏覽器返回的待處理操作權(quán)限的標識，所述待處理操作權(quán)限為用戶從所述權(quán)限選擇界面選擇的菜單選項所關(guān)聯(lián)的操作權(quán)限；

頁面返回單元，用于根據(jù)操作權(quán)限所關(guān)聯(lián)的頁面地址，為所述瀏覽器返回所述待處理操作權(quán)限所對應(yīng)的業(yè)務(wù)操作頁面的頁面地址，以使得所述瀏覽器根據(jù)所述業(yè)務(wù)操作頁面的業(yè)務(wù)地址，從所述應(yīng)用服務(wù)器獲取所述業(yè)務(wù)操作頁面，并基于用戶在所述業(yè)務(wù)操作頁面中的操作，生成所述業(yè)務(wù)操作請求。

需要說明的是，本說明書中的各個實施例均采用遞進的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同相似的部分互相參見即可。對于裝置類實施例而言，由于其與方法實施例基本相似，所以描述的比較簡單，相關(guān)之處參見方法實施例的部分說明即可。

最后，還需要說明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序。而且，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。

對所公開的實施例的上述說明，使本領(lǐng)域技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對這些實施例的多種修改對本領(lǐng)域技術(shù)人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實施例中實現(xiàn)。因此，本發(fā)明將不會被限制于本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。

以上僅是本發(fā)明的優(yōu)選實施方式，應(yīng)當指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍。