服务访问控制方法、装置、设备及计算机可读存储介质与流程

1.本公开涉及信息通信技术领域，尤其涉及一种服务访问控制方法、装置、设备及计算机可读存储介质。


背景技术：

2.随着信息通信技术的不断发展，信息系统的安全逐渐受到了人们的重视。其中，用户身份的认证与访问权限授权是信息系统安全最重要的一道防线。
3.通常情况下，不同用户对内部系统中服务资源的访问权限不同，并且内部系统中每个代理网关代理的内部系统的服务资源也不同。
4.但是，现有的用户访问授权控制方法需要分别管理每个代理网关所包含的用户身份信息与内部系统的服务资源，其系统维护难度高，易用性低。


技术实现要素：

5.为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种服务访问控制方法、装置、设备及计算机可读存储介质，以提高系统维护效率，从而提高系统的易用性。
6.第一方面，本公开实施例提供一种服务访问控制方法，包括：
7.配置系统信息；
8.接收用户终端发出的访问请求，识别用户身份，并更新所述系统信息；
9.根据更新后的系统信息，提供对应服务。
10.第二方面，本公开实施例提供一种服务访问控制装置，包括：
11.配置模块，用于配置系统信息；
12.认证模块，用于接收用户终端发出的访问请求，识别用户身份，并更新所述系统信息；
13.服务模块，用于根据更新后的系统信息，提供对应服务。
14.第三方面，本公开实施例提供一种服务访问控制设备，包括：
15.存储器；
16.处理器；以及
17.计算机程序；
18.其中，所述计算机程序存储在所述存储器中，并被配置为由所述处理器执行以实现如第一方面所述的方法。
19.第四方面，本公开实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行以实现第一方面所述的方法。
20.第五方面，本公开实施例还提供了一种计算机程序产品，该计算机程序产品包括计算机程序或指令，该计算机程序或指令被处理器执行时实现如上所述的服务访问控制方法。
21.本公开实施例提供的服务访问控制方法、装置、设备及计算机可读存储介质，通过对系统信息进行统一配置，避免了对每个代理网关的用户身份信息及权限信息单独进行维护，提高了系统维护效率，从而提高了系统的易用性。
附图说明
22.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
23.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
24.图1为本公开实施例提供的一种服务访问控制方法流程图；
25.图2为本公开实施例提供的一种应用场景的示意图；
26.图3为本公开另一实施例提供的服务访问控制方法流程图；
27.图4为本公开另一实施例提供的服务访问控制方法信令图；
28.图5为本公开实施例提供的一种服务访问控制装置结构示意图；
29.图6为本公开实施例提供的一种嵌入式设备的结构示意图；
具体实施方式
30.为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。
31.在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。
32.用户身份认证与鉴别是系统安全中最重要的一道防线，确认用户身份的合法性、唯一性，可以防止非法人员潜入系统，盗取系统中受保护的信息获取不正当利益，或恶意破坏系统中受保护信息的完整性。一般情况下，系统网络中存在多个代理网关，每个代理网关所代理的系统服务不同，不同用户对于系统服务的访问权限也不同，通常情况下，系统管理员对于每个网关所关联的合法用户信息及其访问权限信息进行单独设置与维护，例如系统中新增合法用户或部分系统服务后，需要在每个代理网关中分别设置新的合法用户列表以及新增用户具有的权限，其过程十分繁琐，容易出现身份认证与权限管理混乱的问题，使得系统易用性较差，并且用户访问不同网关所代理的不同系统服务时需要分别进行登录，效率较低，用户体验感差。针对该问题，本公开实施例提供了一种服务访问控制方法，下面结合具体的实施例对该方法进行介绍。
33.图1为本公开实施例提供的服务访问控制方法流程图。该方法可以应用于图2所示的应用场景，该应用场景中包括服务器21和设备22，待升级设备22具体可以是终端，例如，智能手机、掌上电脑、平板电脑、带显示屏的可穿戴设备、台式机、笔记本电脑、一体机、智能家居设备等。可以理解的是，本公开实施例提供的服务访问控制方法还可以应用在其他场景中。
34.下面结合图2所示的应用场景，对图1所示的服务访问控制方法进行介绍，该方法包括的具体步骤如下：
35.s101、配置系统信息。
36.可选的，所述系统信息包括合法用户身份信息和每个代理网关所代理的系统服务信息，以及每个合法用户身份对应的权限信息。
37.在服务器21中配置系统信息。其中，系统信息包括合法用户身份信息，用于确定用户是否是系统中认定的合法用户。系统信息还包括服务器21中每个代理网关所代理的系统服务信息。在一般的系统网络中，存在多个代理网关和多种系统服务，每个代理网关代理一种或多种不同的系统服务，每个代理网关所代理的系统服务是不同的。因此，需要配置每个代理网关所代理的系统服务信息，用于每个代理网关代理其各自对应的系统服务。系统信息还包括每个合法用户身份对应的权限信息。系统中会拥有多个合法用户，每个合法用户对于系统中服务的访问权限是不同的，例如一些合法用户只能访问系统中的部分服务，而另一些合法用户可以访问系统中所有的服务。因此需要配置每个合法用户身份对应的权限信息，根据该权限信息对合法用户提供其权限范围内的系统服务。在服务器21中将所述系统信息配置完成后，将所述系统信息同步至每个代理网关中。
38.s102、接收用户终端发出的访问请求，识别用户身份，并更新所述系统信息。
39.设备22向服务器21发出携带有用户身份信息的访问请求，服务器21接收到该访问请求后，将所述用户身份信息与s101中配置的合法用户身份信息进行比对，识别用户身份，并将所述系统信息进行更新。
40.s103、根据更新后的系统信息，提供对应的服务。
41.服务器21根据s102中获取的更新后的系统信息，为设备22提供相对应的系统服务。
42.本公开实施例通过配置系统信息；接收用户终端发出的访问请求，识别用户身份，并更新所述系统信息；根据更新后的系统信息，提供对应服务，由于对系统信息进行统一配置，避免了对每个代理网关的用户身份信息及权限信息单独进行维护，提高了系统维护效率，从而提高了系统的易用性。
43.在上述实施例的基础上，所述接收用户终端发出的访问请求，识别用户身份，并更新所述系统信息包括：若用户为合法用户，则允许用户请求，生成唯一的用户标识，其中，所述用户标识包括与合法用户身份信息的对应关系；或者，若用户为非法用户，则拒绝访问请求。
44.设备22向服务器21发出携带用户身份信息的访问请求，该用户身份信息可以是账号密码、口令或证书等任何可以证明用户身份的信息，本实施例对此不做限定。步骤s101中所配置的系统信息中包括合法用户身份信息，服务器21对请求中所携带的用户身份信息与配置的系统信息中的合法用户身份信息进行比对，可以判断当前发起请求的用户是否为合法用户。若经过比对，确认该用户为合法用户，则服务器21允许此次访问请求，同时生成一个唯一的用户标识，该用户标识中包含与该合法用户身份的对应关系。根据该对应关系，服务器21可以获取当前用户对系统中服务的访问权限，并将该用户标识以及可访问的系统服务同步至系统中相应代理网关，相应的代理网关将该用户标识存储于合法用户列表中。同时，服务器21将用户标识、每个代理网关所代理的系统服务信息同步至设备22。可以理解的
是，该用户标识是绝对唯一的，即使是同一合法用户，每次访问请求被允许后生成的用户标识也是不同的。若经过比对，该用户不是系统中的合法用户，则服务器21拒绝此次访问请求。
45.可选的，所述根据更新后的系统信息，提供对应服务包括：接收用户终端发出的服务请求，其中，所述服务请求中包括所述用户标识和目标服务信息；基于所述用户标识以及所述目标服务信息，提供对应的服务。
46.进一步地，基于所述用户标识以及所述目标服务信息，提供对应的服务包括：若所述用户标识以及所述目标服务信息符合所述权限信息，则提供所述目标服务信息对应的服务；或者，若所述用户标识以及所述目标服务信息不符合所述权限信息，则拒绝所述服务请求。
47.通过用户身份合法性检验后，终端22向服务器21发起获取系统服务的请求。具体地，终端22根据步骤s103中同步的每个代理网关所代理的系统服务信息，将用户服务请求发送至服务器21中相应的代理网关，该用户服务请求中包含用户标识以及代表该用户请求访问的系统服务的目标服务信息。相应的代理网关接收到该用户服务请求后，根据合法用户列表以及s101中同步的每个合法用户身份对应的权限信息，判断该用户是否有权限访问其所请求访问的系统服务。若目标服务在该合法用户的权限范围内，代理网关向相应的系统服务发起请求，并在接收到系统服务响应后，经过数据反向代理，将系统服务数据转发至设备22中，用户即可通过设备22对该数据进行处理；若目标服务不在该合法用户的权限范围内，则代理网关终止此次通信。
48.本公开实施例通过接收用户终端发出的访问请求，识别用户身份，并更新所述系统信息，包括：若用户为合法用户，则允许用户请求，生成唯一的用户标识，其中，所述用户标识包括与合法用户身份信息的对应关系；或者，若用户为非法用户，则拒绝访问请求。根据更新后的系统信息，提供对应服务，包括：接收用户终端发出的服务请求，其中，所述服务请求中包括所述用户标识和目标服务信息；基于所述用户标识以及所述目标服务信息，提供对应的服务。其中，基于所述用户标识以及所述目标服务信息，提供对应的服务包括：若所述用户标识以及所述目标服务信息符合所述权限信息，则提供所述目标服务信息对应的服务；或者，若所述用户标识以及所述目标服务信息不符合所述权限信息，则拒绝所述服务请求，在用户通过身份合法性检验后，由代理网关对用户所发起的服务请求以及该用户权限进行第二次检验，在保证了系统安全性的前提下，无需用户再次进行身份验证操作，即可访问符合其权限的所有系统服务，提高了工作效率，保证用户体验良好。
49.图3为本公开另一实施例提供的服务访问控制方法流程图。如图3所示，该方法包括：
50.s301、配置系统信息。
51.s302、接收用户终端发出的访问请求，识别用户身份，并更新所述系统信息。
52.s303、根据更新后的系统信息，提供对应服务。
53.具体的，s301～s303和s101～s103的实现过程和原理一致，此处不再赘述。
54.s304、接收用户终端发出的下线请求，其中，所述下线请求中包括用户标识。
55.用户对系统服务数据处理完成后，通过设备22向服务器21发出下线请求，该下线请求中包含s302中生成并同步至设备22的用户标识。可以理解的是，用户主动点击下线、直
接关闭应用程序或网页或其他关闭服务进程的操作都会触发设备22向服务器21发出下线请求。
56.s305、将所述用户标识从系统信息中删除。
57.服务器21接收到设备22发出的下线请求后，识别该请求中所包含的用户标识，并将该用户标识从合法用户列表中删除。
58.本公开实施例通过配置系统信息；接收用户终端发出的访问请求，识别用户身份，并更新所述系统信息；根据更新后的系统信息，提供对应服务；接收用户终端发出的下线请求，其中，所述下线请求中包括用户标识；将所述用户标识从系统信息中删除，用户只需通过一次校验即可访问其权限内所有系统服务，在服务完成后下线，服务器将此次访问中使用的用户标识删除，由于该用户标识的唯一性，用户每次登录系统请求系统服务时服务器均会对当前访问时生成的用户标识及其权限信息进行校验，并且不需要用户进行操作，在保证用户体验和效率的前提下进一步提高了系统的安全性。
59.图4为本公开另一实施例提供的服务访问控制方法信令图。服务器21中包括认证网关、多个代理网关以及系统服务。可以理解的是，图4中代理网关1和代理网关2代表两个代理不同系统服务的代理网关，在本实施例中仅用作示例，在实际使用过程中根据系统需要可以存在任意数量的代理网关。如图4所示，该方法包括：
60.s401、认证网关配置系统信息。
61.具体地，系统信息包括合法用户身份信息，用于确定用户是否是系统中认定的合法用户。系统信息还包括服务器21中每个代理网关所代理的系统服务信息。在一般的系统网络中，存在多个代理网关和多种系统服务，每个代理网关代理一种或多种不同的系统服务，每个代理网关所代理的系统服务是不同的。因此，需要配置每个代理网关所代理的系统服务信息，用于每个代理网关代理其各自对应的系统服务。系统信息还包括每个合法用户身份对应的权限信息。系统中会拥有多个合法用户，每个合法用户对于系统中服务的访问权限是不同的，例如一些合法用户只能访问系统中的部分服务，而另一些合法用户可以访问系统中所有的服务。因此需要配置每个合法用户身份对应的权限信息，从而对合法用户提供其权限内的系统服务。
62.s402、认证网关将系统信息同步至代理网关1。
63.s403、认证网关将系统信息同步至代理网关2。
64.将所述系统信息配置完成后，认证网关将所述系统信息同步至每个代理网关中。需要说明的是，s402和s403可以是同时执行的，或者也可以是有先后顺序的，本实施例不对该先后顺序进行具体限定，例如可以是s402先执行，或者也可以是s403先执行。
65.s404、用户通过用户终端发起访问请求。
66.s405、用户端发送访问请求到认证网关。
67.s406、认证网关接收用户终端发出的访问请求，识别用户身份，并更新所述系统信息。其中系统信息包括用户标识。
68.具体地，若用户为合法用户，则允许用户请求，生成唯一的用户标识，其中，所述用户标识包括与合法用户身份信息的对应关系；或者，若用户为非法用户，则拒绝访问请求。
69.用户通过用户终端向认证网关发送访问请求，认证网关在接收到用户终端发出的访问请求后，认证网关对请求中所携带的用户身份信息与s401配置的系统信息中的合法用
户身份信息进行比对，可以判断当前发起请求的用户是否为合法用户。若经过比对，确认该用户为合法用户，则认证网关允许此次访问请求，同时生成一个唯一的用户标识，该用户标识中包含与该合法用户身份的对应关系。可以理解的是，该用户标识是绝对唯一的，即使是同一合法用户，每次访问请求被允许后生成的用户标识也是不同的。若经过比对，该用户不是系统中的合法用户，则认证网关拒绝此次访问请求。
70.s407、认证网关将更新后的系统信息同步至用户终端。
71.认证网关将用户标识、每个代理网关所代理的系统服务信息同步至用户终端。
72.s408、认证网关将用户标识同步至代理网关1。
73.由于用户标识中包含与该合法用户身份的对应关系，认证网关可以获取当前用户对系统中服务的访问权限，并将该用户标识同步至系统中相应代理网关1。
74.s409、代理网关1将用户标识存储至合法用户列表。
75.代理网关1接收到用户标识后，将该用户标识存储至合法用户列表中。
76.s410、认证网关将用户标识同步至代理网关2。
77.由于用户标识中包含与该合法用户身份的对应关系，认证网关可以获取当前用户对系统中服务的访问权限，并将该用户标识同步至系统中相应代理网关2。
78.s411、代理网关2将用户标识存储至合法用户列表。
79.代理网关2接收到用户标识后，将该用户标识存储至合法用户列表中。
80.可以理解的是，s408和s410可以是同时执行的，或者也可以是有先后顺序的，本实施例不对该先后顺序进行具体限定，例如可以是s408先执行，或者也可以是s410先执行。
81.s412、用户通过用户终端发起服务请求。
82.通过身份信息认证后，用户通过用户终端发起系统服务请求。
83.s413、用户终端发送服务请求到相应代理网关。
84.用户终端根据s407中同步的每个代理网关所代理的系统服务信息，将用户服务请求发送至相应的代理网关。在本实施例中，所述相应的代理网关为代理网关1。该用户服务请求中包含用户标识以及代表该用户请求访问的系统服务的目标服务信息。
85.s414、代理网关1基于服务请求中用户标识以及目标服务信息，提供对应的服务。
86.代理网关1接收到该用户服务请求后，根据合法用户列表以及s402中同步的每个合法用户身份对应的权限信息，判断该用户是否有权限访问其所请求访问的系统服务。若目标服务在该合法用户的权限范围内，代理网关1提供对应的服务；若目标服务不在该合法用户的权限范围内，则代理网关1终止此次通信。
87.s415、代理网关1将服务请求发送至系统服务。
88.s416、系统服务对服务请求进行响应。
89.s417、系统服务返回用户服务请求相应。
90.s418、代理网关1对服务请求响应进行数据反向代理。
91.s419、代理网关1将系统服务数据发送至用户终端。
92.s420、用户通过用户终端进行数据处理。
93.代理网关1向相应的系统服务发起请求，并在接收到系统服务响应后，经过数据反向代理，将系统服务数据转发至用户终端中，用户即可通过用户终端对该数据进行处理。
94.s421、用户通过用户终端发起下线请求。
95.用户对系统服务数据处理完成后，通过用户终端向认证网关发出下线请求。
96.s422、用户终端发送下线请求到认证网关。
97.s423、认证网关接收用户终端发出的下线请求，其中所述下线请求中包括用户标识。
98.认证网关接收到用户终端发出的下线请求后，识别该请求中所包含的用户标识，并将其发送至系统中相应的代理网关中，例如代理网关1和代理网关2。
99.s424、认证网关将下线请求中用户标识发送至代理网关1。
100.s425、代理网关1从合法用户列表中删除该用户标识。
101.s426、认证网关将下线请求中用户标识发送至代理网关2。
102.s427、代理网关2从合法用户列表中删除该用户标识。
103.代理网关1和代理网关2接收到认证网关发送的用户标识后，将该用户标识从各自的合法用户列表中删除。可以理解的是，s424和s426可以是同时执行的，或者也可以是有先后顺序的，本实施例不对该先后顺序进行具体限定，例如可以是s424先执行，或者也可以是s426先执行。
104.本公开实施例通过配置系统信息；接收用户终端发出的访问请求，识别用户身份，并更新所述系统信息，其中系统信息包括用户标识；基于所述用户标识以及目标服务信息，提供相应的服务；接收用户终端发出的下线请求，其中，所述下线请求中包括用户标识，用户通过认证网关的身份合法性检验后，由代理网关对用户所发起的服务请求以及该用户权限进行第二次检验，在保证了系统安全性的前提下，无需用户再次进行身份验证操作，即可访问符合其权限的所有系统服务，提高了工作效率，保证用户体验良好。另外，在用户发起下线请求后，代理网关将此次访问中使用的用户标识删除，由于该用户标识的唯一性，用户每次登录系统请求系统服务时代理网关均会对当前访问用户的用户标识及其权限信息进行校验，并且该过程不需要用户进行操作，在保证用户体验和效率的前提下进一步提高了系统的安全性。
105.图5为本公开实施例提供的服务访问控制装置的结构示意图。该服务访问控制装置可以执行服务访问控制方法实施例提供的处理流程，如图5所述，服务访问控制装置500包括：配置模块510、认证模块520、服务模块530；其中，所述配置模块510用于配置系统信息，所述认证模块520用于接收用户终端发出的访问请求，识别用户身份，并更新所述系统信息，所述服务模块530用于根据更新后的系统信息，提供对应服务。
106.可选的，所述配置模块510具体用于：配置合法用户身份信息和每个代理网关所代理的系统服务信息，以及每个合法用户身份对应的权限信息。
107.可选的，所述认证模块520用于：确定用户为合法用户，则允许用户请求，生成唯一的用户标识，其中，所述用户标识包括与合法用户身份信息的对应关系；或者，确定用户为非法用户，则拒绝访问请求。
108.可选的，所述服务模块530还包括：接收单元531，用于接收用户终端发出的服务请求，其中，所述服务请求中包括所述用户标识和目标服务信息；服务单元532，用于基于所述用户标识以及所述目标服务信息，提供对应的服务。
109.可选的，所述服务单元532还用于：确认所述用户标识以及所述目标服务信息符合所述权限信息，提供所述目标服务信息对应的服务；或者，确认所述用户标识以及所述目标
服务信息不符合所述权限信息，拒绝所述服务请求。
110.可选的，所述服务访问控制装置还包括注销模块540，用于：接收用户终端发出的下线请求，其中，所述下线请求中包括用户标识；将所述用户标识从系统信息中删除。
111.图5所示实施例的服务访问控制装置可用于执行上述服务访问控制方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
112.图6为本公开实施例提供的嵌入式设备的结构示意图。该嵌入式设备可以执行服务访问控制方法实施例提供的处理流程，如图6所示，设备60包括：存储器61、处理器62、计算机程序和通讯接口63；其中，计算机程序存储在存储器61中，并被配置为由处理器62执行如上所述的服务访问控制方法。
113.另外，本公开实施例还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行以实现上述实施例所述的服务访问控制方法。
114.此外，本公开实施例还提供了一种计算机程序产品，该计算机程序产品包括计算机程序或指令，该计算机程序或指令被处理器执行时实现如上所述的服务访问控制方法。
115.需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
116.以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。