[发明专利]为插件运行创建沙箱环境的方法和装置以及计算设备

说明书

本发明公开了一种为插件运行创建沙箱环境的方法和装置以及计算设备。本发明的为插件运行创建沙箱环境的方法，包括：创建沙箱环境，将针对每个插件的本地目录映射到所述沙箱环境中，将宿主机的设备管理目录映射到所述沙箱环境中；对不同沙箱环境增加不同的资源限制；加载插件进程管理；接收前端传送的消息，所述消息包含插件的ID、插件的版本，并传递给所述插件进程管理；通过所述插件进程管理加载对应的插件，其中在一个沙箱环境中仅加载一个主插件及所述主插件依赖的从插件。本发明的方案，实现了插件进程资源的模块化管控，在沙箱的整个生命周期都可以实现完整的管控，且使得能够动态访问硬件资源，对磁盘读写速度和网络上下行速率进行了限制。

本申请是2021年12月24日提交的发明专利申请2021115938518的分案申请。

技术领域

本发明涉及计算机浏览器插件运行技术领域，尤其是一种为插件运行创建沙箱环境的方法和装置、计算设备和可读存储介质。

背景技术

在目前的实践中，需要保证插件进程管理与插件的安全及资源的隔离。现有的技术方案是通过Docker隔离插件进程。Docker起源于Linux Container(LXC)技术，是目前主流的虚拟化容器方案。其提供了一套标准化的容器解决方案，设计图如图1所示。如图1所示，宿主机可以管理插件，docker提供管理插件的接口。本地资源管理器负责管理本地资源和docker容器之间的关系。插件管理及插件服务调用部分都是运行在Docker容器中。在实际开发项目中，后端插件服务器、插件进程管理及插件在编译打包后是直接部署在Docker容器中，暴露相关服务接口，前端通过服务接口来进行连接通信。

因为所有插件以及插件服务都是运行在Docker容器内，使插件仅能影响容器，不会对操作系统产生影响。但以上Docker方案带来三个问题：

1，项目作为一个通用的浏览器插件解决方案，不同插件厂商、插件开发者需要的资源、权限、环境都不相同，但Docker创建出来的容器环境无法在容器创建后进行修改，因此，Docker方案在此背景下就显得不灵活。

2，插件进程管理及所有加载的插件都是运行在一个容器环境中，虽然与宿主机进行了环境的隔离，但没有实现每个插件之间完全的环境隔离。

3，无法实现硬件的热拔插，动态读取硬件资源(以银行客户为例，插件系统会对U盾热拔插有需求)。

发明内容

为此，本发明提供了一种为插件运行创建沙箱环境的方法和装置、计算设备和可读存储介质，以力图解决或者至少缓解上面存在的至少一个问题。

根据本发明的一个方面，提供了一种为插件运行创建沙箱环境的方法，包括：创建沙箱环境，将针对每个插件的本地目录映射到所述沙箱环境中，，将宿主机的设备管理目录映射到所述沙箱环境中；对不同沙箱环境增加不同的资源限制；加载插件进程管理；接收前端传送的消息，所述消息包含插件的ID、插件的版本，并传递给所述插件进程管理；通过所述插件进程管理加载对应的插件，其中在一个沙箱环境中仅加载一个主插件及所述主插件依赖的从插件。

根据本发明另一方面，提供一种为插件运行创建沙箱环境的装置，包括：创建模块，用于创建沙箱环境，将针对每个插件的本地目录映射到所述沙箱环境中，将宿主机的设备管理目录映射到所述沙箱环境中；资源限制模块，用于对不同沙箱环境增加不同的资源限制；加载模块，用于加载插件进程管理；接收模块，用于接收前端传送的消息，所述消息包含插件的ID、插件的版本，并传递给所述插件进程管理；插件加载模块，用于通过所述插件进程管理加载对应的插件，其中在一个沙箱环境中仅加载一个主插件及所述主插件依赖的从插件。

根据本发明另一方面，提供一种计算设备，包括：至少一个处理器和存储有程序指令的存储器；当所述程序指令被所述处理器读取并执行时，使得所述计算设备执行上述为插件运行创建沙箱环境的方法。