[发明专利]资源访问控制方法、装置、设备及存储介质

说明书

本说明书实施例提供了一种资源访问控制方法、装置、设备及存储介质，该方法包括：获取携带访问令牌的访问请求；确定所述访问令牌的第一时效属性，并确定与所述访问令牌对应的刷新令牌的第二时效属性；根据所述第一时效属性、所述第二时效属性及预设的失效容限，确定针对所述访问请求的访问控制策略。本说明书实施例可以降低资源访问控制的成本，提高资源访问控制的效率。

技术领域

本说明书涉及网络权限控制技术领域，尤其是涉及一种资源访问控制方法、装置、设备及存储介质。

背景技术

在客户端与服务端的网络通信中，为了减少服务端频繁查询数据库，减轻服务端的压力，客户端在访问服务端的资源时，需要获得一个服务端生成的令牌(token)，并在向服务端发起的访问请求中携带该令牌。token是获取受保护资源的凭证，因此应具有生命周期。否则，一次登录便可永久使用，认证功能也就失去了其意义。

公开号为CN109787984A的专利申请公开了一种第三方授权token管理方法。其主站系统设置有效期，当token即将过期时对第三方接入系统进行刷新，并将刷新结果存入主站系统，进而使得token在主站系统可以自动刷新。然而，在CN109787984A中，每个用户的token授权时间都是统计独立的，不同用户的token授权时间一般不同，导致其即将过期的时间也存在差异性，如果存在10万个用户，就需要监测刷新10万个不同用户的即将过期的时间进行刷新处理，这样无论是在服务端通过短时间轮询的方式不停的查询-更新方式，还是在客户端增加新的进程和线程的方式进行处理，都需要耗费大量的服务端或者客户端系统的CPU和内存资源，性能较低。

公开号为CN110266703A的专利申请公开了一种令牌刷新方法。其针对token过期刷新问题进行了研究，解决了当大量的网络请求需要获取新的token时，目前无法有效地对并发地刷新过期token进行有效地处理的问题，解决思路是在客户端刷新操作加上同步锁，刷新操作成功发送已刷新token的网络请求，持续、有序地完成对网络请求token的刷新操作。然而，CN110266703A的处理逻辑局限于客户端，是在类似于基于android操作系统的终端上执行的java语言；如果在web页面，则需要JavaScript处理，如果要在基于ios操作系统的设备，则需要用objectC语言处理；加锁和同步的处理随着终端数目和接入平台的增加，每次都需要对相同的逻辑在不同异构差异化平台进行重新编码，代码量较大。不仅如此，CN110266703A中同步锁的并发和顺序执行处理，会影响系统并发性和吞吐率，从而影响了系统效率。

发明内容

本说明书实施例的目的在于提供一种资源访问控制方法、装置、设备及存储介质，以降低资源访问控制的成本，提高资源访问控制的效率。

为达到上述目的，一方面，本说明书实施例提供了一种资源访问控制方法，包括：

获取携带访问令牌的访问请求；

确定所述访问令牌的第一时效属性，并确定与所述访问令牌对应的刷新令牌的第二时效属性；

根据所述第一时效属性、所述第二时效属性及预设的失效容限，确定针对所述访问请求的访问控制策略。

本说明书一实施例的资源访问控制方法中，所述根据所述第一时效属性、所述第二时效属性及预设的失效容限，确定针对所述访问请求的访问控制策略，包括：

当所述访问令牌为对应用户当前的访问令牌，所述访问令牌已失效，且所述刷新令牌未失效时，向对应客户端返回对应令牌状态错误信息提示，以便所述客户端发起令牌刷新请求。

本说明书一实施例的资源访问控制方法中，所述方法还包括：

当接收到所述令牌刷新请求时，刷新所述访问令牌和所述刷新令牌，更新对应用户当前的访问令牌及上次失效的访问令牌，并向对应客户端返回刷新后形成的新访问令牌，以便所述客户端发起携带所述新访问令牌的访问请求。