[发明专利]一种权限控制方法、装置、电子设备和存储介质

说明书

本申请实施例提出了一种权限控制方法、装置、电子设备和计算机存储介质，该方法包括：接收用户针对目标API接口的业务访问请求，根据所述业务访问请求，获取权限标签和用户的角色信息；所述权限标签包括所述目标API接口的接口信息；将所述权限标签和用户的角色信息与预先确定的权限策略进行对比，确定所述用户针对目标API接口的访问权限；所述权限策略用于表征每种角色信息与至少一种权限标签的映射关系。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种权限控制方法、装置、电子设备和计算机存储介质。

背景技术

相关技术中，可以利用openstack社区提供的开源项目keystone实现对接口的权限控制，具体过程为keystone通过policy.json机制实现了统一的权限策略，在需要对接口进行权限控制时，首先需要在接口上定义@controller.protected()装饰器，然后在policy.json中配置对应接口的权限策略。然而，上述方案中keystone必须显式针对每个应用程序接口(Application Programming Interface，API)接口定义权限策略，并为其提供权限控制的装饰器，才能实现权限控制，使得开发人员需要深度感知权限控制的概念，不仅造成权限策略定义太过复杂，且需要开发人员手工编码实现权限控制，开发效率低、同时还容易引入权限漏洞。

发明内容

本申请提供一种权限控制方法、装置、电子设备和计算机存储介质。

本申请的技术方案是这样实现的：

本申请实施例提供了一种权限控制方法，所述方法包括：

接收用户针对目标API接口的业务访问请求，根据所述业务访问请求，获取权限标签和用户的角色信息；所述权限标签包括所述目标API接口的接口信息；

将所述权限标签和用户的角色信息与预先确定的权限策略进行对比，确定所述用户针对目标API接口的访问权限；所述权限策略用于表征每种角色信息与至少一种权限标签的映射关系。

在一些实施例中，所述方法还包括：

在确定所述用户拥有针对所述目标API接口的访问权限后，自动对所述业务访问请求需要访问的目标资源进行资源归属性检查，确定所述业务访问请求的合法性。

在一些实施例中，所述自动对所述业务访问请求需要访问的目标资源进行资源归属性检查，确定所述业务访问请求的合法性，包括：

从所述业务访问请求中获取资源访问参数，根据所述资源访问参数，确定需要访问的目标资源；

查询所述目标资源的归属信息，根据所述目标资源的归属信息与所述用户的身份信息的比对结果，确定所述业务访问请求的合法性。

在一些实施例中，所述方法还包括：

在确定所述业务访问请求合法时，确定所述用户拥有所述目标资源的操作权限；

在确定所述业务访问请求不合法时，确定执行预先设置的拦截策略。

在一些实施例中，所述接口信息包括接口名和接口路径，所述根据所述业务访问请求，获取权限标签，包括：

根据预先确定的权限策略中包括的接口路径和权限分组的映射关系，得到所述目标API接口的权限分组；根据所述目标API接口的权限分组和所述接口名，确定所述目标API接口的权限标签。

在一些实施例中，所述方法还包括：

在所述接收用户针对目标API接口的业务访问请求前，获取所述权限策略；所述权限策略是根据每个API接口的权限控制需求对应确定的；所述权限控制需求表示所述每种角色信息对于每个API接口的使用需求。