一种控制访问的方法和装置与流程

1.本发明涉及资源管理领域，尤其涉及一种控制访问的方法和装置。


背景技术：

2.在多种业务类型的分布式系统中，需要系统在高并发的情况下保持稳定性、高可用性，目前通常可以通过控制访问请求的流量(限流)等方式实现系统稳定性、高可用性。
3.目前控制访问请求流量的方法通常利用设定配置文件或代码，针对设定用户信息(例如：用户标识、用户ip地址等)指定控制策略，当一些业务场景需要修改控制策略(例如：增加或修改控制参数)时，需要修改已经存在的设定配置文件或者代码，并且需要重新启动系统以使修改的控制策略生效；由此可见现有的方法存在配置控制策略的耦合性较高、灵活性较差的问题，同时存在对访问请求的控制流量的颗粒度较大，效率较低的问题。


技术实现要素：

4.有鉴于此，本发明实施例提供一种控制访问的方法和装置，能够接收客户端发送的访问请求，从自定义配置信息中查找与访问请求的访问资源定位标识相匹配的一个或多个第一流量配置参数值和/或一个或多个控制参数值；构建访问请求对应的控制流量策略；根据控制流量策略，放行或禁止所述访问请求。通过自定义配置信息，提高了确定配置参数的灵活性和管理控制访问颗粒度的灵活性；通过动态构建控制流量策略，克服了现有方法为了修改控制流量策略需要修改配置文件或代码导致的灵活性较差的问题，并克服了现有方法需要为修改配置信息而重新启动系统的问题，提高了控制流量的灵活性和效率。
5.为实现上述目的，根据本发明实施例的一个方面，提供了一种控制访问的方法，其特征在于，包括：接收客户端发送的访问请求，从自定义配置信息中查找与所述访问请求的访问资源定位标识相匹配的一个或多个第一流量配置参数值和/或一个或多个控制参数值；基于匹配出的所述第一流量配置参数值和/或所述控制参数值，构建所述访问请求对应的控制流量策略；根据所述控制流量策略，放行或禁止所述访问请求。
6.可选地，所述控制访问的方法，其特征在于，进一步包括：获取所述访问请求的用户标识；从自定义流量配置信息包括的所述访问资源定位标识所关联的用户信息项中，查找与所述用户标识相匹配的一个或多个第二流量配置参数值；在查找到任一所述第二流量配置参数值的情况下，执行所述根据所述控制流量策略，放行或禁止所述访问请求的步骤；如果未查找到，对所述访问请求放行。
7.可选地，所述控制访问的方法，其特征在于，进一步包括：
8.确定待配置用户标识；为所述待配置用户标识配置对应的用户访问信息，并保存所述用户标识与所述用户访问信息的对应关系；所述查找与所述用户标识相匹配的一个或多个第二流量配置参数值，包括：根据所述对应关系，查找与所述用户访问信息相匹配的一个或多个第二流量配置参数值。
9.可选地，所述控制访问的方法，其特征在于，进一步包括：
10.获取待配置访问资源定位标识；为所述待配置访问资源定位标识配置对应的一个或多个流量配置参数值和/或一个或多个控制参数值；并保存所述访问资源定位标识与一个或多个所述第一流量配置参数值和/或一个或多个控制参数值的对应关系，基于所述对应关系生成自定义配置信息。
11.可选地，所述控制访问的方法，其特征在于
12.所述基于所述对应关系生成自定义配置信息，包括：将所述访问资源定位标识与一个或多个所述第一流量配置参数值的对应关系存储到设置的自定义流量配置信息；和/或，将所述访问资源定位标识与一个或多个所述控制参数值的对应关系存储到设置的自定义控制信息；
13.可选地，所述控制访问的方法，其特征在于，进一步包括：
14.为所述待配置访问资源定位标识配置用户信息项，并将所述用户信息项添加到所述自定义配置信息。
15.可选地，所述控制访问的方法，其特征在于，
16.基于匹配出的所述第一流量配置参数值和/或所述控制参数值构建所述访问请求对应的控制流量策略，包括：将所述匹配出的所述第一流量配置参数值和/或所述控制参数值输入策略代码模块，利用所述策略代码模块组合所述第一流量配置参数值和/或所述控制参数值，输出所述控制流量策略对应的信息；并存储所述控制流量策略对应的信息。
17.可选地，所述控制访问的方法，其特征在于，
18.根据所述控制流量策略，放行或禁止所述访问请求，包括：如果所述访问请求的访问信息满足所述控制流量策略，禁止所述访问请求；否则，放行所述访问请求。
19.可选地，所述控制访问的方法，其特征在于，进一步包括：
20.针对所述控制参数值为时间范围控制参数值的情况，接收客户端发送的访问请求，保存所述访问请求以及所述访问请求的访问时间点；计算所述访问请求的访问时间范围；如果计算出的所述访问请求的访问时间范围在所述控制流量策略包含的时间范围控制参数值之内，则确定所述访问请求不满足所述控制流量策略。
21.可选地，所述控制访问的方法，其特征在于，进一步包括：
22.针对所述控制参数值为次数控制参数值的情况，统计所述访问请求的访问次数；如果统计出的所述访问请求的访问次数在所述控制流量策略包含的次数控制参数值之内，则确定所述访问请求不满足所述控制流量策略。
23.可选地，所述控制访问的方法，其特征在于：
24.针对所述控制参数值包括时间范围控制参数值和次数控制参数值的情况，判断所述访问请求的访问时间范围是否小于所述时间范围控制参数值，如果是，则获取所述访问请求的访问次数；在所述访问次数小于所述次数控制参数值的情况下，确定所述访问请求不满足所述流量控制策略。
25.可选地，所述控制访问的方法，其特征在于，进一步包括：从所述访问资源定位标识中解析所述访问请求对应的控制类别；基于所述控制类别为所述访问资源定位标识查找对应的自定义配置信息；构建所述访问请求对应的控制流量策略，包括：为所述控制类别构建所述访问请求对应的控制流量策略。
26.可选地，所述控制访问的方法，其特征在于，
27.所述自定义配置信息包含用于指示所述流量配置参数值是否生效的开关选项；还包括：确定所述自定义配置信息中对应于所述访问资源定位标识的所述开关选项的状态；在确定出所述开关选项的状态指示为开的情况下，执行从自定义配置信息中查找与所述访问请求的访问资源定位标识相匹配的一个或多个第一流量配置参数值的步骤。
28.可选地，所述控制访问的方法，其特征在于，进一步包括：
29.接收针对所述自定义配置信息的更新请求；根据所述更新请求包含的待更新访问资源定位标识、以及对应于待更新访问资源定位标识的一个或多个流量配置参数值和/或一个或多个控制参数值；更新所述自定义配置信息。
30.为实现上述目的，根据本发明实施例的第二方面，提供了一种控制访问的装置，其特征在于，包括：查找信息模块、构建策略模块和控制访问模块；其中，
31.所述查找信息模块，用于接收客户端发送的访问请求，从自定义配置信息中查找与所述访问请求的访问资源定位标识相匹配的一个或多个第一流量配置参数值和/或一个或多个控制参数值；
32.所述构建策略模块，用于基于匹配出的所述第一流量配置参数值和/或所述控制参数值，构建所述访问请求对应的控制流量策略；
33.所述控制访问模块，用于根据所述控制流量策略，放行或禁止所述访问请求。
34.为实现上述目的，根据本发明实施例的第三方面，提供了一种控制访问的电子设备，其特征在于，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如上述控制访问的方法中任一所述的方法。
35.为实现上述目的，根据本发明实施例的第四方面，提供了一种计算机可读介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如上述控制访问的方法中任一所述的方法。
36.为实现上述目的，根据本发明实施例的又一个方面，提供了一种计算机产品。本发明实施例的一种计算程序产品，包括计算机程序，所述程序被处理器执行时实现本发明实施例提供的控制访问方法。
37.上述发明中的一个实施例具有如下优点或有益效果：能够接收客户端发送的访问请求，从自定义配置信息中查找与访问请求的访问资源定位标识相匹配的一个或多个第一流量配置参数值和/或一个或多个控制参数值；构建访问请求对应的控制流量策略；根据控制流量策略，放行或禁止所述访问请求。通过自定义配置信息，提高了确定配置参数的灵活性和管理控制访问颗粒度的灵活性；通过动态构建控制流量策略，克服了现有方法为了修改控制流量策略需要修改配置文件或代码导致的灵活性较差的问题，并克服了现有方法需要为修改配置信息而重新启动系统的问题，提高了控制流量的灵活性和效率。
38.上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
39.附图用于更好地理解本发明，不构成对本发明的不当限定。其中：
40.图1是本发明一个实施例提供的一种控制访问的方法的流程示意图；
41.图2是本发明一个实施例提供的一种控制访问的流程示意图；
42.图3是本发明一个实施例提供的一种控制访问的装置的结构示意图；
43.图4是本发明实施例可以应用于其中的示例性系统架构图；
44.图5是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
45.以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
46.如图1所示，本发明实施例提供了一种控制访问的方法，该方法可以包括以下步骤：
47.步骤s101：接收客户端发送的访问请求，从自定义配置信息中查找与所述访问请求的访问资源定位标识相匹配的一个或多个第一流量配置参数值和/或一个或多个控制参数值。
48.具体地，访问请求可以为对基于微服务的业务系统(例如：金融类系统、公司管理类系统等)的访问请求，其中，业务系统例如为基于springcloud微服务框架所实现的微服务系统；接收客户端发送的访问请求的接收方可以为微服务系统中的服务网关，例如可以利用基于springcloud架构的微服务系统包含的zuul网关接收客户端发送的访问请求，以进一步对访问请求进行处理(例如：认证、控制等)。
49.进一步地，根据访问请求对应的访问资源定位标识(例如：uniform resource locator，统一资源定位器，url)从自定义配置信息中查找匹配参数，其中，自定义配置信息包括自定义流量配置信息、或者自定义控制信息、或者两者的结合。
50.具体地，自定义流量配置信息包括访问资源定位标识对应的一个或多个第一流量配置参数值；为访问资源定位标识配置第一流量配置参数值的方法为：获取待配置访问资源定位标识；为所述待配置访问资源定位标识配置对应的一个或多个流量配置参数值；保存所述访问资源定位标识与一个或多个所述第一流量配置参数值的对应关系，将所述访问资源定位标识与一个或多个所述第一流量配置参数值的对应关系存储到设置的自定义流量配置信息。
51.表1
52.访问资源定位标识权限角色区域编码开关选项url111130102trueurl2 1130102trueurl3
ꢀꢀ
130102true
53.表1为自定义流量配置信息的示例，其中，权限、角色、区域编码、开关选项为流量配置参数；对应于各个流量配置参数的值为流量配置参数值，如表1示例所示：访问资源定位标识url1对应的多个第一流量配置参数值分别为：权限为1、角色为1、区域编码为130102等；其中，流量配置参数以及对应的流量配置参数值为根据应用场景所设定，在表1的示例
中，权限可以代表访问某个访问资源定位标识对应的网页的权限设置，“1”代表禁止访问；角色可以代表发送该访问资源定位标识(url)的用户对应的角色(例如：管理员为1、普通用户为2、设定用户为3等)；区域编码可以代表发送该访问资源定位标识所归属的地理范围(例如：省级范围、市级范围、区级范围等)对应的编码。其中，为url1对应地设置各个第一配置流量参数值，即配置访问资源定位标识与一个或多个所述第一流量配置参数值的对应关系；如表1所示，表1存储了多个对应关系，即，将所述访问资源定位标识与一个或多个所述第一流量配置参数值的对应关系存储到设置的自定义流量配置信息。
54.进一步地，自定义控制信息包括访问资源定位标识对应的一个或多个控制参数值；为访问资源定位标识配置控制参数值的方法为：获取待配置访问资源定位标识；为所述待配置访问资源定位标识配置对应的一个或多个控制参数值；保存所述访问资源定位标识与一个或多个所述控制参数值的对应关系，将所述访问资源定位标识与一个或多个所述控制参数值的对应关系存储到设置的自定义控制信息。
55.表2
56.访问资源定位标识时间范围控制参数次数控制参数url1100秒50url260秒100url3200秒200
57.表2为自定义控制信息的示例，其中，时间范围控制参数、次数控制参数为控制参数，时间范围控制参数值(例如100秒)、次数控制参数值(例如100次)为控制参数对应的控制参数值，如表2的示例所示，访问资源定位标识url1对应的多个控制参数值分别为：时间范围控制参数值为100，次数控制参数值为50；代表对访问资源定位标识url1的访问控制的策略包括：在100秒范围内允许访问的最大次数为50次。如表2所示，利用表2对应的数据表可以存储访问资源定位标识与一个或多个所述控制参数值的对应关系，即，所述访问资源定位标识与一个或多个所述控制参数值的对应关系存储到设置的自定义控制信息。
58.即，获取待配置访问资源定位标识；为所述待配置访问资源定位标识配置对应的一个或多个流量配置参数值和/或一个或多个控制参数值；并保存所述访问资源定位标识与一个或多个所述第一流量配置参数值和/或一个或多个控制参数值的对应关系，基于所述对应关系生成自定义配置信息。进一步地，所述基于所述对应关系生成自定义配置信息，包括：将所述访问资源定位标识与一个或多个所述第一流量配置参数值的对应关系存储到设置的自定义流量配置信息；和/或，将所述访问资源定位标识与一个或多个所述控制参数值的对应关系存储到设置的自定义控制信息。其中，自定义流量配置信息或者自定义控制信息可以存储于数据表、文件等。
59.进一步地，获取所述访问请求的用户标识；其中，获取的方法可以从访问请求对应的用户会话(即，用户登录之后生成的用户会话session)中获取用户标识、以及为用户标识所配置的一个或多个用户访问信息(例如：用户权限、用户角色、区域代码、其他信息等)；其中，配置用户访问信息的方法为：确定待配置用户标识；为所述待配置用户标识配置对应的用户访问信息，并保存所述用户标识与所述用户访问信息的对应关系；其中，待配置用户标识可以是用户名、用户身份id、用户ip地址等。进一步地，为所述待配置访问资源定位标识配置用户信息项(例如包括：用户标识、用户权限、用户角色、区域代码、其他用户信息等)，
并将所述用户信息项添加到所述自定义配置信息。其中，用户信息项可以包含于多个自定义流量配置参数中。
60.进一步地，从自定义流量配置信息包括的所述访问资源定位标识所关联的用户信息项中，查找与所述用户标识相匹配的一个或多个第二流量配置参数值；在查找到任一所述第二流量配置参数值的情况下，执行所述根据所述控制流量策略，放行或禁止所述访问请求的步骤；如果未查找到，对所述访问请求放行。所述查找与所述用户标识相匹配的一个或多个第二流量配置参数值，包括：根据所述对应关系，查找与所述用户访问信息相匹配的一个或多个第二流量配置参数值。可以理解的是，访问请求的发送方可以为多个不同的用户，因此利用用户标识对应的用户访问信息进一步从自定义流量配置信息中所述访问资源定位标识所关联的用户信息项中查找与用户标识相匹配的一个或多个第二流量配置参数值(例如：用户权限、用户角色、区域代码等参数对应的值)，减少了判断访问的颗粒度(针对用户以及接口级别)。关于根据所述控制流量策略，放行或禁止所述访问请求的步骤与步骤s103的描述一致，在此不再赘述。可以理解的是，根据应用场景，第二流量配置参数值可以包含于第一流量配置参数值。
61.进一步地，所述自定义配置信息包含用于指示所述流量配置参数值是否生效的开关选项；还包括：确定所述自定义配置信息中对应于所述访问资源定位标识的开关选项的状态；在确定出所述开关选项的状态指示为开的情况下，执行从自定义配置信息中查找与所述访问请求的访问资源定位标识相匹配的一个或多个第一流量配置参数值的步骤。以表1为例，表1示出了“开关选项”的参数，通过开关选项的状态为“true”或“false”来指示是否使对应的配置参数值生效，在参数值是“true”的情况下，确定开关选项的状态指示为开；在“开”的情况下，执行从自定义配置信息中查找与所述访问请求的访问资源定位标识相匹配的一个或多个第一流量配置参数值的步骤。通过设置开关选项，进一步提高了通过自定义配置信息构建控制流量策略的灵活性。
62.进一步地，可以对自定义配置信息进行更新；具体地，接收针对所述自定义配置信息的更新请求；根据所述更新请求包含的待更新访问资源定位标识、以及对应于待更新访问资源定位标识的一个或多个流量配置参数值和/或一个或多个控制参数值；更新所述自定义流量配置信息。其中，待更新访问资源定位标识可以为已经存在的访问资源定位标识或者新增的访问资源定位标识，以及对应的待修改的(或增加)的一个或多个流量配置参数值和/或一个或多个控制参数值，从而更新所述自定义配置信息；由此可见，通过更新自定义配置信息，进一步提高了控制访问的灵活性和效率。
63.步骤s102：基于匹配出的所述第一流量配置参数值和/或所述控制参数值，构建所述访问请求对应的控制流量策略。
64.具体地，基于步骤s101所描述的匹配的第一流量配置参数值或控制参数值，或者第一流量配置参数值与控制参数值的结合，构建所述访问请求对应的控制流量策略。
65.下面以表1结合表2为例说明控制流量策略：
66.针对访问请求访问资源定位标识url1，所构建的控制流量策略1为；url1：对区域编码为130102、角色为1、权限为1的用户控制在100秒内可以访问50次；
67.针对访问请求访问资源定位标识url2，所构建的控制流量策略2为：url2，对区域编码为130102、角色为1的用户控制在60秒内可以访问100次等。
68.进一步地，基于匹配出的所述第一流量配置参数值和/或所述控制参数值构建所述访问请求对应的控制流量策略，包括：将所述匹配出的所述第一流量配置参数值和/或所述控制参数值输入策略代码模块，利用所述策略代码模块组合所述第一流量配置参数值和/或所述控制参数值，输出所述控制流量策略对应的信息；并存储所述控制流量策略对应的信息。
69.其中，策略代码模块可以是基于限流工具ratelimiter包含的自定义ratelimitkeygenerator组件所编写的代码，利用策略代码模块可以对输入策略代码模块的第一流量配置参数值和/或所述控制参数值与访问请求对应的访问资源定位标识进行组合(例如：字符串拼接、字符串组合等)处理后，输出控制流量策略对应的信息(例如指示控制流量策略1示例所包含信息的字符串或数据等)；进一步地，将针对所述访问资源定位标识的控制流量策略对应的信息存储于缓存中，以提高匹配控制流量策略的效率。
70.进一步地，从所述访问资源定位标识中解析所述访问请求对应的控制类别；基于所述控制类别为所述访问资源定位标识查找对应的自定义配置信息；构建所述访问请求对应的控制流量策略，包括：为所述控制类别构建所述访问请求对应的控制流量策略。其中，控制类别可以与业务场景相关，例如为：敏感信息的控制、手机短信交易、消息推送交易等控制类别；可以理解的是，针对不同的控制类别，可以配置对应于控制类别的自定义配置信息；并针对不同的控制类别构建对应的控制流量策略，进一步地提高了访问控制的精确度，提高管理访问控制的颗粒度的灵活性。
71.步骤s103：根据所述控制流量策略，放行或禁止所述访问请求。
72.具体地，根据所述控制流量策略，放行或禁止所述访问请求，包括：如果所述访问请求的访问信息满足所述控制流量策略，禁止所述访问请求；否则，放行所述访问请求。关于控制流量策略的描述与步骤s102的描述一致，在此不再赘述。可以理解的是，控制访问请求的目的除了控制访问请求的数量，还可以基于访问请求对应的信息进行判断后加以控制，以提高微服务系统的信息安全，提高系统的稳定性和可用性。
73.例如：发送访问资源定位标识url1的用户1配置的用户访问信息中包括角色1、权限1、区域编码130102中的任意一个，则满足根据url1构建的控制流量策略1，则对用户1发送的url1对应的访问请求进行禁止，禁止可以包括：等待、降速、阻止等；例如：发送url1的用户2配置的用户访问信息中不包括角色1、权限1、区域编码130102，则为不满足根据访问资源定位标识url1构建的控制流量策略1，则对访问资源定位标识url1对应的访问请求放行，以继续访问微服务系统的业务已得到反馈信息或数据。
74.进一步地，控制流量策略包含的控制参数对应的控制参数值包括：时间范围控制参数值和/或次数控制参数值：
75.针对所述控制参数值为时间范围控制参数值的情况，接收客户端发送的访问请求，保存所述访问请求以及所述访问请求的访问时间点；计算所述访问请求的访问时间范围；如果计算出的所述访问请求的访问时间范围在所述控制流量策略包含的时间范围控制参数值之内，则确定所述访问请求不满足所述控制流量策略。具体地，以表2为例，访问请求对应的访问资源定位标识url1的控制流量策略包含时间范围控制参数值(例如为100秒)，可以利用设定的key1的值保存各个访问资源定位标识url1的访问时间点，根据第一次接收url1访问的时间点，以及后续的接收url1访问的时间点，计算所述访问请求的访问时间范
围，如果计算出的所述访问请求的访问时间范围在所述控制流量策略包含的时间范围控制参数值(例如：100秒)之内，则确定所述访问请求不满足所述控制流量策略；即放行url1对应的访问请求。
76.针对所述控制参数值为次数控制参数值的情况，统计所述访问请求的访问次数；如果统计出的所述访问请求的访问次数在所述控制流量策略包含的次数控制参数值之内，则确定所述访问请求不满足所述控制流量策略。具体地，以表2为例，例如：访问请求对应的访问资源定位标识url1的控制流量策略包含次数控制参数值(例如50次)，可以利用设定的key2的值保存各个url1，以统计所述访问请求的访问次数，如果统计出的所述访问请求的访问次数在所述控制流量策略包含的次数控制参数值(例如50次)之内，则确定所述访问请求不满足所述控制流量策略；即放行url1对应的访问请求。
77.优选地，针对所述控制参数值包括时间范围控制参数值和次数控制参数值的情况，判断所述访问请求的访问时间范围是否小于所述时间范围控制参数值，如果是，则获取所述访问请求的访问次数；在所述访问次数小于所述次数控制参数值的情况下，确定所述访问请求不满足所述流量控制策略。具体地，以表2为例，例如：访问请求对应的url1的控制流量策略包含时间范围控制参数值(100秒)以及次数控制参数值(例如50次)；则在判断访问资源定位标识url1对应的访问请求的访问时间范围的基础上，统计访问资源定位标识url1对应的访问请求的访问次数，在所述访问次数小于所述次数控制参数值的情况下，确定所述访问请求不满足所述流量控制策略；例如：在100秒之内的访问次数小于50次，则确定所述访问请求不满足所述流量控制策略，即放行url1对应的访问请求，否则禁止所述访问请求。
78.如图2所示，本发明实施例提供了一种控制访问的方法，该方法可以包括以下步骤：
79.步骤s201：接收客户端发送的访问请求。
80.步骤s202：从自定义配置信息中查找与所述访问请求的访问资源定位标识相匹配的一个或多个第一流量配置参数值。
81.步骤s203：从自定义配置信息中查找与所述访问请求的访问资源定位标识相匹配的一个或多个控制参数值。
82.步骤s204：基于匹配出的所述第一流量配置参数值和所述控制参数值，构建所述访问请求对应的控制流量策略。
83.步骤s205：判断是否满足控制流量策略，如果是，执行步骤s207，否则执行步骤s206。
84.步骤s206：放行所述访问请求。
85.步骤s207：禁止所述访问请求。
86.具体地，步骤s201-步骤s207描述了自定义配置信息在访问资源定位标识对应配置了流量配置参数值以及控制参数值的情况下，针对该访问资源定位标识执行控制访问的流程。关于从自定义配置信息中查找与所述访问请求的访问资源定位标识相匹配的一个或多个第一流量配置参数值、从自定义配置信息中查找与所述访问请求的访问资源定位标识相匹配的一个或多个控制参数值的描述与步骤s101的描述一致，在此不再赘述。关于基于匹配出的所述第一流量配置参数值和所述控制参数值，构建所述访问请求对应的控制流量
策略的描述与步骤s102的描述一致，在此不再赘述。关于判断是否满足控制流量策略确定放行或禁止访问请求的描述与步骤s103的描述一致，在此不再赘述。
87.如图3所示，本发明实施例提供了一种控制访问的装置300，包括：查找信息模块301、构建策略模块302和控制访问模块303；其中，
88.所述查找信息模块301，用于接收客户端发送的访问请求，从自定义配置信息中查找与所述访问请求的访问资源定位标识相匹配的一个或多个第一流量配置参数值和/或一个或多个控制参数值；
89.所述构建策略模块302，用于基于匹配出的所述第一流量配置参数值和/或所述控制参数值，构建所述访问请求对应的控制流量策略；
90.所述控制访问模块303，用于根据所述控制流量策略，放行或禁止所述访问请求。
91.本发明实施例还提供了一种控制访问的电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述任一实施例提供的方法。
92.本发明实施例还提供了一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现上述任一实施例提供的方法。
93.本发明的计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现本发明实施例中的控制访问方法。
94.图4示出了可以应用本发明实施例的控制访问的方法或控制访问的装置的示例性系统架构400。
95.如图4所示，系统架构400可以包括终端设备401、402、403，网络404和服务器405。网络404用以在终端设备401、402、403和服务器405之间提供通信链路的介质。网络404可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
96.用户可以使用终端设备401、402、403通过网络404与服务器405交互，以接收或发送消息等。终端设备401、402、403上可以安装有各种客户端应用，例如电子商城客户端应用、电子银行客户端应用、金融应用客户端等。
97.终端设备401、402、403可以是具有显示屏并且支持各种客户端应用的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
98.服务器405可以是提供各种服务的服务器，例如对用户利用终端设备401、402、403所使用的客户端应用提供支持的后台管理服务器。后台管理服务器可以对接收到的访问请求进行处理，并将对访问请求放行或禁止的处理结果反馈给终端设备。
99.需要说明的是，本发明实施例所提供的访问控制的方法一般由服务器405执行，相应地，访问控制的装置一般设置于服务器405中。
100.应该理解，图4中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。
101.下面参考图5，其示出了适于用来实现本发明实施例的终端设备的计算机系统500的结构示意图。图5示出的终端设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
102.如图5所示，计算机系统500包括中央处理单元(cpu)501，其可以根据存储在只读存储器(rom)502中的程序或者从存储部分508加载到随机访问存储器(ram)503中的程序而
执行各种适当的动作和处理。在ram 503中，还存储有系统500操作所需的各种程序和数据。cpu 501、rom 502以及ram 503通过总线504彼此相连。输入/输出(i/o)接口505也连接至总线504。
103.以下部件连接至i/o接口505：包括键盘、鼠标等的输入部分506；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分507；包括硬盘等的存储部分508；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至i/o接口505。可拆卸介质511，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器510上，以便于从其上读出的计算机程序根据需要被安装入存储部分508。
104.特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分509从网络上被下载和安装，和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(cpu)501执行时，执行本发明的系统中限定的上述功能。
105.需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
106.附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
107.描述于本发明实施例中所涉及到的模块和/或单元可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块和/或单元也可以设置在处理器中，例如，可以描述为：一种处理器包括查找信息模块、构建策略模块和控制访问模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，控制访问模块还可以被描述为“根据所述控制流量策略，放行或禁止所述访问请求的模块”。
108.作为另一方面，本发明还提供了一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现本发明实施例中的控制访问方法。
109.作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：接收客户端发送的访问请求，从自定义配置信息中查找与所述访问请求的访问资源定位标识相匹配的一个或多个第一流量配置参数值和/或一个或多个控制参数值；基于匹配出的所述第一流量配置参数值和/或所述控制参数值，构建所述访问请求对应的控制流量策略；根据所述控制流量策略，放行或禁止所述访问请求。
110.本发明的实施例，本发明的实施例，能够接收客户端发送的访问请求，从自定义配置信息中查找与访问请求的访问资源定位标识相匹配的一个或多个第一流量配置参数值和/或一个或多个控制参数值；构建访问请求对应的控制流量策略；根据控制流量策略，放行或禁止所述访问请求。通过自定义配置信息，提高了确定配置参数的灵活性和管理控制访问颗粒度的灵活性；通过动态构建控制流量策略，克服了现有方法为了修改控制流量策略需要修改配置文件或代码导致的灵活性较差的问题，并克服了现有方法需要为修改配置信息而重新启动系统的问题，提高了控制流量的灵活性和效率。
111.上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。