[发明专利]访问权限的验证方法和装置

说明书

本发明公开了一种访问权限的验证方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：获取权限验证请求，所述权限验证请求包括待访问的资源标识和参数信息；根据所述资源标识获取资源对应的访问条件表达式，所述访问条件表达式是根据资源的权限验证配置信息生成的，所述权限验证配置信息包括待验证的参数、每个参数的验证规则，以及不同参数之间的逻辑关系；使用表达式计算工具，根据所述参数信息对所述访问条件表达式进行计算，得到权限验证结果。该实施方式节约了维护成本，解决了现有的权限验证方式维护成本高且不够灵活，以及不支持对多个属性的复杂运算来进行权限验证的技术问题。

技术领域

本发明涉及计算机技术领域，尤其涉及一种访问权限的验证方法和装置。

背景技术

当用户需要对业务系统中的资源进行访问时，业务系统会调用权限系统对用户进行访问权限的验证，在权限验证通过后，授权用户进行资源访问，可以保护业务系统资源的安全。目前比较常用的权限验证方法是基于属性的访问控制(简称是ABAC)验证。ABAC是通过动态的计算一个或者一组属性，来验证当前主体是否有权限访问某个资源。其核心是表达式的动态计算，目前关于ABAC权限表达式的判断有以下两种方式：

1、根据权限系统约定验证的场景及对象，业务系统按约定传入属性，权限系统读取指定的属性进行判断；

2、业务系统在权限系统配置验证某个属性值，在需要权限验证时，调用权限系统的服务，通过反射的方式取出特定的值进行计算判断。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

第一种方式，权限系统需要为业务系统定制化开发，后期维护成本高且不够灵活；第二种方式，无法支持对多个属性的计算进行权限验证和基于复杂的组合运算方式进行权限验证。

发明内容

有鉴于此，本发明实施例提供一种访问权限的验证方法和装置，能够节约维护成本，解决了现有的权限验证方式维护成本高且不够灵活，以及不支持对多个属性的复杂运算来进行权限验证的技术问题。

为实现上述目的，根据本发明实施例的一个方面，提供了一种访问权限的验证方法，包括：获取权限验证请求，所述权限验证请求包括待访问的资源标识和参数信息；根据所述资源标识获取资源对应的访问条件表达式，所述访问条件表达式是根据资源的权限验证配置信息生成的，所述权限验证配置信息包括待验证的参数、每个参数的验证规则，以及不同参数之间的逻辑关系；使用表达式计算工具，根据所述参数信息对所述访问条件表达式进行计算，得到权限验证结果。

可选地，所述参数的验证规则包括基于自定义函数实现的验证规则。

可选地，所述不同参数之间的逻辑关系基于具有不同优先级的运算符来进行表示。

可选地，使用表达式计算工具，根据所述参数信息对所述访问条件表达式进行计算，包括：根据预定义的独立元素的类型，对所述访问条件表达式进行拆分得到独立元素集合；根据所述独立元素的类型，将所述独立元素集合转换成后缀表达式；根据所述参数信息计算所述后缀表达式以对所述访问条件表达式进行计算。