资源管理方法、装置、服务器及存储介质与流程

1.本技术实施例涉及计算机技术领域，特别涉及一种资源管理方法、装置、服务器及存储介质。


背景技术：

2.身份识别与访问管理(identity and access management，iam)是一种网页服务，用于提供集中式的数字身份管理、认证、授权、审计的模式和平台。
3.现有技术中，一个应用程序通常由多个服务组成，各个服务对应各自的资源，iam服务管理平台通过与应用程序绑定的方式管理用户的资源管理权限。
4.然而将应用与平台绑定的方式只限于将各种资源提供给单一的iam服务管理平台使用，用户只能通过该平台使用应用提供的各种资源。


技术实现要素：

5.本技术实施例提供了一种资源管理方法、装置、服务器及存储介质。所述技术方案如下：
6.一方面，本技术实施例提供了一种资源管理方法，所述方法用于资源管理系统中的代理服务器，所述资源管理系统由所述代理服务器、资源服务器、权限网关以及身份识别与访问管理iam服务器构成，所述方法包括：
7.接收资源管理请求，获取所述资源管理请求中包含的终端帐号以及iam标识；
8.基于所述iam标识确定目标iam服务器，向所述目标iam服务器发送身份验证请求，所述iam服务器中存储有所述资源服务器中对应资源的管理权限与所述终端帐号之间的对应关系；
9.响应于所述目标iam服务器对所述身份验证请求反馈的授权令牌token，将所述授权token发送至所述权限网关，便于所述权限网关将所述授权token转发至所述资源服务器，用于所述资源服务器确定所述终端管理的目标资源。
10.另一方面，本技术实施例提供了一种资源管理方法，所述方法用于资源管理系统中的资源服务器，所述资源管理系统由所述资源服务器、代理服务器、权限网关以及身份识别与访问管理iam服务器构成，所述方法包括：
11.基于接收到的资源管理请求以及授权token确定终端管理的目标资源，所述授权token由目标iam服务器基于所述代理服务器发送的身份验证请求生成，所述目标iam服务器由所述资源管理请求中的iam标识确定；
12.向所述权限网关反馈所述终端的资源管理信息，所述资源管理信息用于指示所述终端具备管理权限的所述目标资源，便于所述终端对所述目标资源进行资源管理。
13.另一方面，本技术实施例提供了一种资源管理装置，所述资源管理系统由所述代理服务器、资源服务器、权限网关以及身份识别与访问管理iam服务器构成，所述装置包括：
14.第一接收模块，用于接收资源管理请求，获取所述资源管理请求中包含的终端帐
号以及iam标识；
15.第一确定模块，用于基于所述iam标识确定目标iam服务器，向所述目标iam服务器发送身份验证请求，所述iam服务器中存储有资源服务器中对应资源的管理权限与所述终端帐号之间的对应关系；
16.第一发送模块，用于响应于所述目标iam服务器对所述身份验证请求反馈的授权令牌token，将所述授权token发送至权限网关，便于所述权限网关将所述授权token转发至资源服务器，用于所述资源服务器确定所述终端管理的目标资源。
17.另一方面，本技术实施例提供了一种资源管理装置，所述装置用于资源管理系统中的资源服务器，所述资源管理系统由所述资源服务器、代理服务器、权限网关以及身份识别与访问管理iam服务器构成，所述装置包括：
18.第二确定模块，用于基于接收到的资源管理请求以及授权token确定终端管理的目标资源，所述授权token由目标iam服务器基于代理服务器发送的身份验证请求生成，所述目标iam服务器由所述资源管理请求中的iam标识确定；
19.反馈模块，用于向所述权限网关反馈所述终端的资源管理信息，所述资源管理信息用于指示所述终端具备管理权限的所述目标资源，便于所述终端对所述目标资源进行资源管理。
20.本技术实施例提供的技术方案带来的有益效果至少包括：
21.本技术实施例中，为了实现多平台共享资源服务器中的不同资源，通过引入代理服务器来接收终端的资源管理请求，进而根据资源管理请求中的iam标识来确定终端需要访问的目标iam服务器。由于目标iam服务器中存储有对应资源的管理权限与终端帐号之间的对应关系，所以需要从目标iam服务器中获取到授权token；便于在获取到授权token后，将授权token转发至资源服务器中，由资源服务器确定出目标资源，进而实现终端对目标资源进行资源管理。本方案相比于现有技术中资源服务器和iam服务器建立捆绑关系的资源管理方式，可以将同一应用程序的不同服务分别授权给不同的iam服务管理平台，实现了多个iam服务管理平台共享和管理资源服务器中的不同资源，提高资源的利用率和管理效率。
附图说明
22.图1是本技术一个示例性实施例提供的现有技术中终端获取目标资源的流程图；
23.图2是本技术一个示例性实施例提供的计算机系统的示意图；
24.图3是本技术一个示例性实施例提供的资源管理方法的流程图；
25.图4是本技术一个示例性实施例提供的多平台分别管理应用程序中不同服务的示意图；
26.图5是本技术一个示例性实施例提供的资源管理方法的流程图；
27.图6是本技术一个示例性实施例提供的权限网关、代理服务器、目标iam服务器和资源服务器之间进行数据交互的流程图；
28.图7是本技术另一个示例性实施例提供的权限网关、代理服务器、目标iam服务器和资源服务器之间进行数据交互的流程图；
29.图8是本技术另一个示例性实施例提供的资源管理系统进行数据交互的示意图；
30.图9是本技术一个示例性实施例提供的终端对目标资源的管理权限进行注册的流
程图；
31.图10是本技术一个示例性实施例提供的资源管理装置的结构框图；
32.图11是本技术一个示例性实施例提供的资源管理装置的结构框图；
33.图12示出了本技术一个示例性实施例提供的服务器的结构框图。
具体实施方式
34.为使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术实施方式作进一步地详细描述。
35.在本文中提及的“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
36.相关技术中，资源服务器与iam服务器采用集中式管理的方式。如应用程序或产品由iam服务管理平台提供，对应的iam服务器中则存储有终端对资源服务器中所有资源的管理权限。当终端在需要对目标资源进行相关操作时，需要先通过iam服务器进行确认，然后才能对资源服务器中的目标资源进行管理。
37.在一个示意性的例子中，资源服务器用于提供应用程序的相关功能以及保存相应的资源，iam服务器是用于管理资源服务器中相应资源的服务器，其存储有终端帐号和资源服务器中目标资源的管理权限的对应关系。终端获取目标资源的方法包括如下步骤：
38.步骤101，终端向iam服务器发送资源管理请求。
39.步骤102，iam服务器基于资源管理请求反馈授权token。
40.由于iam服务器和资源服务器属于捆绑关系，即资源服务器中的所有资源和服务只能由唯一的iam服务管理平台进行管理。所以终端发送的资源管理请求只能通过唯一的iam服务器进行验证。当iam服务器对终端的身份验证通过后，会向终端反馈授权token，用于终端进行步骤103的操作。
41.步骤103，终端基于授权token访问目标资源。
42.终端获取到iam服务器反馈的授权token后，根据授权token向资源服务器发送指令，以访问具备管理权限的目标资源。对于资源服务器来说，在接收到终端的授权token后，确定出终端具备管理权限的目标资源。
43.步骤104，资源服务器反馈资源管理结果。
44.对于上述终端访问资源的资源管理方式，资源服务器中的所有资源和服务仅能提供给单一的iam服务管理平台进行管理，而无法将不同资源和服务分别授权给不同的iam服务管理平台，所以无法实现资源的高效利用和高效管理。
45.本技术实施例提供的方案中，通过使用代理服务器接收资源管理请求，代理服务器可以同时接入多个iam服务器，由于代理服务器接入多个iam服务管理平台，其本身并不储存终端对资源服务器中目标资源的管理权限，而是由iam服务器存储。因此，代理服务器通过调用令牌端点以及协议端点的方式访问目标iam服务器，进而根据目标iam服务器反馈的授权token确定终端需要管理的目标资源。从而实现多个iam服务管理平台共享和管理资源服务器中的不同资源，提高资源的利用率以及管理效率。
46.图2示出了本技术一个实施例提供的计算机系统的示意图。该计算机系统包括：终
端210、权限网关220、代理服务器230、资源服务器240和iam服务器250。
47.终端210中运行有支持资源管理的应用程序或网页。该终端210可以是诸如手机、台式电脑、平板电脑、多媒体播放设备和膝上型便携计算机等电子设备，本实施例对此不作限定。其中，应用程序可以是通讯类或社交类以及资源管理类应用程序，终端210可以通过应用程序或网页向权限网关220发送资源管理请求。此外，终端210还可以通过运行的在线小程序向权限网关220发送资源管理请求。本实施例中以终端210安装的应用程序为例进行说明，用户可以通过该终端210与资源服务器240建立连接，实现对目标资源的管理。
48.权限网关220是用于接收和转发终端210发送的资源管理请求，此外，权限网关220还用于接收代理服务器230发送的授权token，以及将该授权token转发至资源服务器240。此外，权限网关220还用于接收和转发资源服务器240以及终端210发送的指令。
49.代理服务器230包括一台服务器、多台服务器、云计算平台和虚拟化中心中的至少一种。示意性的，代理服务器230用于接收资源管理请求，根据资源管理请求确定出终端iam服务器250。示意性的，代理服务器230中安装有iam协议适配插件，代理服务器230通过协议适配插件的token endpoint和protocol endpoint向iam服务器250发送身份验证请求，以及接收iam服务器250反馈的授权token。此外，代理服务器230还用于通过resource registration endpoint接收资源注册指令，生成资源注册请求。可选的，代理服务器还用于将接收到的授权token转发至权限网关220。
50.资源服务器240包括一台服务器、多台服务器、云计算平台和虚拟化中心中的至少一种。示意性的，资源服务器240提供应用程序或产品的各种资源服务，不同的资源服务分别对应各自的资源。资源服务器240还用于接收权限网关220发送的授权token以及资源管理请求。此外，资源服务器240还用于向代理服务器230发送资源注册请求，将待注册资源注册到iam服务器250中。
51.iam服务器250包括一台服务器、多台服务器、云计算平台和虚拟化中心中的至少一种。iam服务器对应iam服务管理平台，且iam服务器250是独立于代理服务器230的，属于第三方管理平台，可以管存储和管理终端对资源服务器240中相应资源的管理权限。iam服务器250根据代理服务器230发送的身份验证请求，对终端210的身份以及用户权限进行验证，向代理服务器230反馈终端210的授权token。此外，iam服务器250还可以根据代理服务器230发送的资源注册请求进行资源注册。
52.图3是本技术一个示例性实施例提供的资源管理方法的流程图，本实施例以该方法用于图2所示的代理服务器为例进行说明。该方法包括：
53.步骤301，接收资源管理请求，获取资源管理请求中包含的终端帐号以及iam标识。
54.资源管理系统中的代理服务器在接收到资源管理请求后，需要获取资源管理请求中包含的终端帐号和iam标识。资源管理请求由终端发送至权限网关，并通过权限网关转发至代理服务器。其中，终端帐号是用于访问资源服务器的帐号，iam标识用于确定终端需要访问的目标iam服务器。
55.步骤302，基于iam标识确定目标iam服务器，向目标iam服务器发送身份验证请求，iam服务器中存储有资源服务器中对应资源的管理权限与终端帐号之间的对应关系。
56.从现有技术中可以看出，直接将应用程序和唯一iam管理平台绑定的方式无法实现利益最大化，且对资源的管理和利用率也不高。因此，本实施例引入代理服务器，由代理
服务器接收终端的资源管理请求，将应用程序的不同服务分别与多个iam管理平台进行绑定，不同的iam服务管理平台对应各自的iam服务器，不同的iam服务器中存储各自平台对应资源的管理权限与终端帐号之间的对应关系。
57.示意性的，以应用程序为例，如图4所示，应用程序包含有服务a、服务b、服务c和服务d。其中，不同的服务用于实现不同的功能，且不同的服务对应各自的iam服务器，分别是iam服务器a、iam服务器b、iam服务器c以及iam服务器d，不同iam服务器通过相应的iam服务管理平台进行管理。代理服务器在获取到资源管理请求中的iam标识后，根据iam标识确定出终端需要访问的目标iam服务器。例如将应用程序的服务a授权给平台a，代理服务器根据iam标识确定出目标iam服务器为iam服务器a，对应的是应用程序的服务a。
58.进一步地，代理服务器在确定出目标iam服务器后，再根据终端的终端帐号向目标iam标识发送身份验证请求。
59.在一种可能的实施方式中，为了实现多平台共享资源服务器提供的资源服务，且不同的iam管理平台遵循各自的服务协议，代理服务器提前保存有用于接入不同iam管理平台的服务协议。当代理服务器获取并识别出iam标识后，选择相应的服务协议向目标iam服务器发送身份验证请求。
60.步骤303，响应于目标iam服务器对身份验证请求反馈的授权令牌token，将授权token发送至权限网关，便于权限网关将授权token转发至资源服务器，用于资源服务器确定终端管理的目标资源。
61.目标iam服务器作为第三方管理平台的服务器，且存储有该平台用户的终端帐号和目标资源的对应关系。如终端帐号对特定服务的访问权限、编辑权限以及上传和下载权限等。
62.当代理服务器接收到目标iam服务器基于身份访问请求反馈的授权token时，表示目标iam服务器对身份验证请求的验证通过。授权token中包含终端具备管理权限的目标资源的资源标识。
63.进一步地，代理服务器在接收到授权token后，将授权token发送至权限网关中，便于权限网关将授权token转发到资源服务器中。资源服务器在接收到授权token后，可以从所有资源中确定出当前终端具备管理权限的目标资源。
64.综上所述，本技术实施例提供的技术方案中，为了实现多平台共享资源服务器中的不同资源，通过引入代理服务器来接收终端的资源管理请求，进而根据资源管理请求中的iam标识来确定终端需要访问的目标iam服务器。由于目标iam服务器中存储有对应资源的管理权限与终端帐号之间的对应关系，所以需要从目标iam服务器中获取到授权token；便于在获取到授权token后，将授权token转发至资源服务器中，由资源服务器确定出目标资源，进而实现终端对目标资源进行资源管理。本方案相比于现有技术中资源服务器和iam服务器建立捆绑关系的资源管理方式，可以将同一应用程序的不同服务分别授权给不同的iam服务管理平台，实现了多个iam服务管理平台共享和管理资源服务器中的不同资源，提高资源的利用率和管理效率。
65.图5是本技术一个示例性实施例提供的资源管理方法的流程图，本实施例以该方法用于图2所示的资源服务器为例进行说明。该方法包括：
66.步骤501，基于接收到的资源管理请求以及授权token，确定终端管理的目标资源，
授权token由目标iam服务器基于代理服务器发送的身份验证请求生成，目标iam服务器由资源管理请求中的iam标识确定。
67.资源服务器用于提供应用程序或产品的各种服务及其对应的资源。当资源服务器接收到权限网关转发的资源管理请求和授权token时，会根据资源管理请求和授权token确定出终端管理的目标资源。其中，授权token是代理服务器向目标iam服务器发送身份验证请求后，由目标iam服务器反馈获得。而资源管理请求由终端发送，其中包含有iam标识，用于代理服务器基于该iam标识确定出目标iam服务器。
68.步骤502，向权限网关反馈终端的资源管理信息，资源管理信息用于指示终端具备管理权限的目标资源，便于终端对目标资源进行资源管理。
69.进一步地，资源服务器在确定出终端管理的目标资源后，向权限网关发送资源管理信息，进而权限网关会将资源管理信息下发到终端，以便终端进行资源管理。
70.综上所述，本技术实施例提供的技术方案中，资源服务器可以基于权限网关转发的资源管理请求和授权token确定出目标资源，进而向终端下发资源管理信息。由于目标iam服务器是代理服务器基于iam标识确定的，且基于代理服务器发送的身份验证请求生成授权token，因此可以实现将同一应用程序的不同服务分别授权给不同的iam服务管理平台，实现多平台的资源管理。
71.图6是本技术另一个示例性实施例提供的资源管理方法的流程图。该方法包括如下步骤：
72.步骤601，代理服务器接收资源管理请求，获取资源管理请求中包含的终端帐号以及iam标识。
73.代理服务器接收到的资源管理请求由终端发送至权限网关，进而由权限网关转发至代理服务器。资源管理请求中包含终端的终端帐号以及iam标识，且iam标识是代理服务器确定目标iam服务器的凭证，用于后续获取终端管理目标资源的授权token。
74.步骤602，基于iam标识，从配置中心获取已接入代理服务器的候选iam服务器的候选iam标识。
75.由于应用程序或产品的不同服务授权给不同的iam服务管理平台，因此，代理服务器的配置中心中存储有已接入资源管理系统的候选iam服务器的候选iam标识，不同的候选iam标识对应各自的iam服务器和iam服务管理平台。代理服务器在获取到iam标识后，从配置中心中获取所有iam服务器的候选iam标识。在一种可能的实施方式中，配置中心中可以存储iam服务器列表，列表中的候选iam标识与iam服务器一一对应。
76.需要说明的是，iam服务管理平台可以作为第三方管理平台，具有应用程序或产品的各种服务的管理权限，如服务的更新和使用权限等。此外，还包括管理终端帐号对资源服务器中对应资源的管理权限。例如，终端帐号对资源服务器中某一资源的浏览权限、使用权限、编辑权限或下载权限等。
77.步骤603，将iam标识与候选iam服务标识匹配，确定终端需要访问的目标iam服务器。
78.在一种可能的实施方式中，以应用程序用于智能家居管理系统为例，该应用程序可以实现投影仪、灯具以及电脑的使用和管理。iam服务器列表如表1所示。从资源管理请求中获取到的iam标识为“typea”，该标识标识终端需要对投影仪进行控制，对应iam服务器a。
79.表1
[0080][0081][0082]
需要说明的是，由于只能管理家居管理系统中针对不同设备的服务或功能模块分别授权给不同的第三方管理平台，所以不同的设备分别对应各自的iam服务器。
[0083]
步骤604，基于终端帐号，向目标iam服务器发送身份验证请求。
[0084]
在代理服务器确定出目标iam服务器后，进而需要向目标iam服务器发送身份验证请求。由于代理服务器接入多个iam服务器，且对应的iam服务管理平台采用各自的服务协议，所以代理服务器需要根据不同的协议参数来接入相应的iam服务器。
[0085]
在一种可能的实施方式中，可以在代理服务器中安装iam协议适配插件，iam协议适配插件中保存有接入各种iam服务器的端点信息，包括令牌端点token endpoint以及协议端点protocol endpoint。通过令牌端点和协议端点接入目标iam服务器，实现向目标iam服务器发送身份验证请求。如图7所示，该过程包括如下步骤：
[0086]
步骤604a，通过调用令牌端点生成访问目标iam服务器的身份验证请求，身份验证请求中包含终端的终端帐号以及iam标识。
[0087]
代理服务器接收到的资源管理请求中还包括有终端帐号，终端帐号用于对资源服务器进行身份验证。代理服务器通过调用令牌端点生成访问目标iam服务器的身份验证请求，且身份验证请求中包含有终端帐号以及iam标识。
[0088]
以上述智能家居管理系统为例，如图8所示，资源服务器810中的资源服务对应为楼层内的投影仪，代理服务器820接收权限网关830转发的资源管理请求，通过调用协议适配插件821的令牌端点生成身份验证请求。图中列出了a平台投影仪、b品牌投影仪以及各个投影仪的标识信息，如r201表示201房间的a品牌投影仪。假设每个楼层的同一品牌的投影仪为一个终端帐号所能控制的投影仪，即帐号a具有一楼a品牌投影仪的管理权限，帐号b具有一楼b品牌投影仪的管理权限。在一种可能的实施方式中，通过调用令牌端点生成的身份验证请求的参数可以表示如下：
[0089][0090][0091]
其中的admin a用于表示终端帐号，typea用于表示终端需要控制的资源类型以及需要访问的目标iam服务器。
[0092]
步骤604b，代理服务器通过调用协议端点向目标iam服务器发送身份验证请求。
[0093]
上述说到，不同的iam服务管理平台遵循不同的服务协议，而代理服务器只有通过相应的服务协议才能访问iam服务器。所以协议适配插件中包含所有已接入iam服务器的服务协议，不同的服务协议对应各自的访问端口，当代理服务器根据iam标识确定出目标iam服务器后，其对应的服务协议也随之确定。代理服务器正是通过指定服务协议的协议端点访问目标iam服务器，将身份验证请求发送至目标iam服务器。
[0094]
以keycloak平台为例，keycloak基于标准协议构建，可以创建和管理应用程序和服务，并定义细粒度的授权策略。如registration指令可以实现创建资源、更新资源、删除资源、查询资源等api；permission指令可以实现创建权限票单、更新权限票单、删除权限票单等api。
[0095]
资源服务器作为iam服务管理平台的服务器，其中保存有资源注册表，用于指示资源服务器中对应资源的管理权限与终端帐号之间的对应关系。在资源服务器接收到身份验证请求后，首先需要基于iam标识进行资源类型确认，以防止服务器出现恶意攻击导致数据泄露。以typea表示投影仪为例进行说明，目标iam服务器中相应存储的是关于投影仪的管理权限，若iam匹配错误，则不对其进行解析。当资源类型匹配正确时，则进一步对终端帐号进行验证，只有在终端帐号验证成功的情况下才能允许终端访问资源服务器。
[0096]
需要说明的是，验证成功的前提是终端已对资源服务器中目标资源的管理权限进行注册，验证过程就是资源服务器根据终端帐号对资源注册表中的权限进行匹配的过程，当匹配到资源服务器中的资源时，则匹配成功，并根据匹配到的资源生成授权token。
[0097]
步骤605，代理服务器基于目标iam服务器对身份验证请求反馈的授权token，将授权token发送至权限网关。
[0098]
代理服务器在发送身份验证请求后，同样通过调用协议端点接收目标iam服务器的反馈信息，且只有目标iam服务器匹配成功的情况下才会反馈授权token，当匹配未成功时，表示终端不具备对资源的管理权限，需要反馈错误结果。该过程包括如下步骤：
[0099]
步骤605a，代理服务器通过调用令牌端点接收目标iam服务器反馈的授权token。
[0100]
以图8中的投影仪为例，当目标iam服务器匹配成功并反馈授权token时，代理服务器820通过iam协议适配插件821的令牌端点接收到反馈的授权token。需要说明的是，目标iam服务器反馈的授权token中包含有终端具备管理权限的目标资源的资源标识。在一种可能的实施方式中，通过调用令牌端点接收的授权token的参数可以表示如下：
[0101][0102]
其中，r1，r3，r4表示帐号b具备管理权限的投影仪的资源标识，在图8中对应为一楼b品牌的投影仪。需要说明的是，本技术实施例以投影仪为例进行说明，在一些实施例中，资源服务器中还可以存储文件资源，如目标资源为资源服务器中特定文件的下载权限或编辑权限等。
[0103]
步骤605b，通过调用令牌端点将授权token转发至权限网关。
[0104]
代理服务器在接收到授权token后，进一步通过令牌端点将授权token转发到权限
网关，权限网关收到授权token后，将资源管理请求和授权token一并发送至资源服务器，用于资源服务器确定出终端管理的目标资源。
[0105]
步骤606，资源服务器基于接收到的资源管理请求以及授权token确定终端管理的目标资源。
[0106]
资源服务器接收到权限网关转发的资源管理请求和授权token后，需要对授权token进行校验，进而确定出目标资源。该过程包括如下步骤：
[0107]
步骤606a，资源服务器接收授权token以及资源管理请求，对授权token的时效性进行校验。
[0108]
目标iam服务器为防止数据泄露，反馈至代理服务器的授权token往往具有时效性，如设置时效为2小时，在资源服务器获取到授权token的两个小时内允许终端对目标资源进行资源管理，当资源服务器检测到授权token的授权时间超过2小时后，认定该授权token无效，禁止终端访问资源服务器。
[0109]
步骤606b，响应于对授权token的时效性校验通过，基于授权token以及资源管理指令确定终端管理的目标资源。
[0110]
为了提高数据安全性，在资源服务器对授权token的时效性校验通过后，还需要进一步对授权token中包含的终端标识以及资源管理请求中包含的终端标识进行匹配，在匹配成功的情况下再根据资源标识确定出目标资源。引入该匹配过程不仅可以防止多终端同时发送资源管理请求时因时差导致分配紊乱，还可以防止程序恶意攻击造成数据泄露。
[0111]
步骤607，向权限网关反馈终端的资源管理信息。
[0112]
在一种可能的实施方式中，如图8所示，资源服务器根据授权token确定出资源服务器中终端具备管理权限的投影仪为r101、r103和r104房间内的投影仪，进而开启对该类投影仪的使用权限，并向权限网关反馈资源管理信息，资源管理信息用于指示终端具备管理权限的投影仪，便于用户使用对应房间的投影仪。
[0113]
本技术实施例中，通过引入代理服务器接收并识别资源管理请求，以根据资源管理请求中的iam标识确定出终端需要访问的目标iam服务器；进而代理服务器根据令牌端点生成访问目标iam服务器的身份验证请求，并选择对应服务协议的协议端点向目标iam服务器发送身份验证请求，以便于目标iam服务器基于终端具备管理权限的目标资源生成授权密钥；
[0114]
代理服务器在通过令牌端点接收到目标iam服务器反馈的授权token后，进一步向权限网关发送该权限网关，权限网关在接收到授权token后，将授权token和资源管理请求转发至资源服务器；
[0115]
资源服务器在接收到权限网关转发的授权token后，通过对授权token进行时效性校验并根据授权token确定出终端具备管理权限的目标资源，进而向权限网关反馈终端的资源管理信息。相比于现有技术中资源服务器和iam服务器采用捆绑方式的资源管理方式，本方案可以将同一应用程序的不同服务分别授权给不同的iam服务管理平台，实现多个iam服务管理平台共享资源服务器中的不同资源，
[0116]
在上述实施中，目标iam服务器中存储有资源服务器中对应资源的管理权限与终端帐号之间的对应关系，也就是终端已完成对资源服务器中目标资源的管理权限进行注册，进而才能访问资源服务器并对目标资源进行管理。所以，在终端发送资源管理请求前，
还需要对目标资源的管理权限进行注册。
[0117]
图9示出了终端对目标资源的管理权限进行注册的流程图。该过程包括如下步骤：
[0118]
步骤901，资源服务器基于待注册资源的资源标识以及目标iam服务器的iam标识生成资源注册请求。
[0119]
在一种可能的实施方式中，当应用程序或产品需要添加新的功能服务或资源时，需要将对应的服务或资源注册到对应的iam服务器中，然后终端才能针对新添加资源的管理权限进行注册。
[0120]
资源服务基于待注册资源的资源标识以及需要注册到目标iam服务器的iam标识生成资源注册请求。如图8所示，当资源服务器中需要对二楼各个房间内的投影仪进行注册时，需要根据投影仪的资源标识和iam标识生成资源注册请求。r5，r6即为待注册投影仪的资源标识，“typea”即表示投影仪标识，用于代理服务器确定目标iam服务器。
[0121]
步骤902，向代理服务器发送资源注册请求。
[0122]
步骤903，代理服务器通过调用资源注册端点接收资源注册请求。
[0123]
iam协议适配插件中还包括资源注册端点resource registration endpoint，资源注册端点用于进行资源注册。在一种可能的实施方式中，通过调用资源注册端点生成的资源注册请求的参数可以表示如下：
[0124][0125][0126]
其中，identity_type表示需要注册的iam服务器的标识，resource_id表示待注册投影仪的资源标识，brand用于表示投影仪的品牌。
[0127]
步骤904，通过调用协议端点向目标iam服务器发送资源注册请求，资源注册请求用于目标iam服务器将待注册资源注册到资源注册表中。
[0128]
当代理服务器获取到资源注册请求后，根据资源注册请求中的iam标识确定出目标iam服务器，该过程参考步骤602至步骤604，本实施例在此不做赘述。
[0129]
在代理服务器确定出目标iam服务器后，进一步通过调用协议端点访问目标iam服务器，并将资源注册请求发送至目标iam服务器，该过程参考步骤604b，本实施例在此不做赘述。
[0130]
目标iam服务器在接收到资源注册请求后，获取注册资源请求中待注册资源的资
endpoint；所述第一发送单元，还用于：
[0147]
通过调用所述令牌端点生成访问所述目标iam服务器的所述身份验证请求，所述身份验证请求中包含所述终端的所述终端帐号以及所述iam标识；
[0148]
通过调用所述协议端点向所述目标iam服务器发送所述身份验证请求；其中，不同的iam服务器对应不同的服务协议以及访问端口。
[0149]
可选的，所述第一发送模块1003，包括：
[0150]
第一接收单元，用于通过调用所述令牌端点接收所述目标iam服务器反馈的所述授权token；
[0151]
第二发送单元，用于将所述授权token转发至所述权限网关，以便所述权限网关将所述授权token发送至所述资源服务器，用于所述资源服务器确定出所述终端管理的所述目标资源。
[0152]
可选的，所述代理服务器还包括资源注册端点resource registration endpoint；所述装置还包括：
[0153]
第二接收模块，用于通过调用所述资源注册端点接收资源注册请求，所述资源注册请求中包含待注册资源的资源标识以及目标iam服务器的iam标识；
[0154]
第二发送模块，用于通过调用协议端点向所述目标iam服务器发送所述资源注册请求，所述资源注册请求用于所述目标iam服务器将所述待注册资源注册到资源注册表中，所述资源注册表中存储有对已注册资源的管理权限与终端帐号之间的对应关系。
[0155]
可选的，所述装置还包括：
[0156]
第一生成模块，用于通过调用所述资源注册端点生成用户权限注册请求，所述用户权限注册请求中包含终端的终端帐号、目标资源的资源标识以及所述目标iam服务器的所述iam标识；
[0157]
第三发送模块，用于通过调用所述协议端点向所述目标iam服务器发送所述用户权限注册请求，便于所述目标iam服务器为所述终端分配所述目标资源的管理权限。
[0158]
图11是本技术一个示例性实施例提供的资源管理装置的结构框图。
[0159]
所述装置用于资源管理系统中的资源服务器，所述资源管理系统由所述资源服务器、代理服务器、权限网关以及身份识别与访问管理iam服务器构成，所述装置包括：
[0160]
第二确定模块1101，用于基于接收到的资源管理请求以及授权token确定终端管理的目标资源，所述授权token由目标iam服务器基于代理服务器发送的身份验证请求生成，所述目标iam服务器由所述资源管理请求中的iam标识确定；
[0161]
反馈模块1102，用于向所述权限网关反馈所述终端的资源管理信息，所述资源管理信息用于指示所述终端具备管理权限的所述目标资源，便于所述终端对所述目标资源进行资源管理。
[0162]
可选的，所述第二确定模块1101，包括：
[0163]
校验单元，用于对所述授权token的时效性进行校验；
[0164]
第二确定单元，用于响应于对所述授权token的时效性校验通过，基于所述授权token以及所述资源管理指令确定所述终端管理的所述目标资源。
[0165]
可选的，所述装置还包括：
[0166]
第二生成模块，用于基于待注册资源的资源标识以及目标iam服务器的iam标识生
成资源注册请求；
[0167]
第四发送模块，用于向所述代理服务器发送所述资源注册请求。
[0168]
请参考图12，其示出了本技术一个实施例提供的服务器的结构示意图。所述服务器1200包括中央处理单元(cpu，central processing unit)1201、包括随机存取存储器(ram，random access memory)1202和只读存储器(rom，read-only memory)1203的系统存储器1204，以及连接系统存储器1204和中央处理单元1201的系统总线1205。所述服务器1200还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(i/o，input/output)1206，和用于存储操作系统1213、应用程序1214和其他程序模块1215的大容量存储设备1207。
[0169]
所述基本输入/输出系统1206包括有用于显示信息的显示器1208和用于用户输入信息的诸如鼠标、键盘之类的输入设备1209。其中所述显示器1208和输入设备1209都通过连接到系统总线1205的输入/输出控制器1210连接到中央处理单元1201。所述基本输入/输出系统1206还可以包括输入/输出控制器1210以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地，输入/输出控制器1210还提供输出到显示屏、打印机或其他类型的输出设备。
[0170]
所述大容量存储设备1207通过连接到系统总线1205的大容量存储控制器(未示出)连接到中央处理单元1201。所述大容量存储设备1207及其相关联的计算机可读介质为服务器1200提供非易失性存储。也就是说，所述大容量存储设备1207可以包括诸如硬盘或者cd-rom(compact disc read-only memory，只读光盘)驱动器之类的计算机可读介质(未示出)。
[0171]
不失一般性，所述计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括ram、rom、eprom(erasable programmable read-only memory，可擦除可编程只读存储器)、eeprom(electrically erasable programmable read-only memory，带电可擦除可编程只读存储器)、闪存或其他固态存储其技术，cd-rom、dvd(digital video disc，高密度数字视频光盘)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然，本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的系统存储器1204和大容量存储设备1207可以统称为存储器。
[0172]
根据本技术的各种实施例，所述服务器1200还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即服务器1200可以通过连接在所述系统总线1205上的网络接口单元1211连接到网络1212，或者说，也可以使用网络接口单元1211来连接到其他类型的网络或远程计算机系统(未示出)。
[0173]
所述存储器还包括一个或者一个以上的程序，所述一个或者一个以上程序存储于存储器中，且经配置以由一个或者一个以上中央处理单元1201执行。
[0174]
所述存储器还包括至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、至少一段程序、代码集或指令集存储于存储器中，且经配置以由一个或者一个以上处理器执行，以实现上述实施例提供的资源管理方法。
[0175]
本技术提供了一种计算机可读存储介质，存储介质中存储有至少一条指令，至少
一条指令由处理器加载并执行以实现上述各个方法实施例提供的照片传输方法。
[0176]
本技术还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述实施例提供的资源管理方法。
[0177]
上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。
[0178]
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
[0179]
以上仅为本技术的可选实施例，并不用以限制本技术，凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。