專利名稱:一種網(wǎng)絡(luò)資源訪問權(quán)限控制方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)應(yīng)用技術(shù)領(lǐng)域�,特別是涉及一種網(wǎng)絡(luò)資源訪問權(quán)限控制方法及
>J-U ρ α裝直。
背景技術(shù):
隨著互聯(lián)網(wǎng)的迅速發(fā)展�����,網(wǎng)絡(luò)上的資源類型和數(shù)量也不斷豐富�。盡管資源共享是互聯(lián)網(wǎng)的一個重要特征,但是從網(wǎng)站的角度而言�,出于對服務(wù)器訪問壓力、系統(tǒng)安全�、甚至用戶隱私等多方面因素考慮,未必希望自己的資源被毫無限制地共享����、傳播,因此需要采用 一定的策略對自身資源的使用權(quán)限進行控制��。以私有圖片的訪問權(quán)限控制為例進行說明����,對于擁有圖片資源的網(wǎng)站而言,為了保證用戶的隱私,對圖片的訪問權(quán)限的控制非常重要���。目前最常用的方案之一是從應(yīng)用的層面進行控制�����,例如���,對于“相冊”應(yīng)用,如果用戶沒有訪問該應(yīng)用的權(quán)限���,自然也無法看到相冊中的圖片���,但是這種方案存在的缺陷是從應(yīng)用的層面進行權(quán)限控制,本質(zhì)上并不能對圖片自身的訪問權(quán)限進行限制��。例如���,用戶A允許其好友用戶B訪問自己的相冊�����,后來由于某種原因,用戶A將用戶B從好友列表中刪除,這時用戶B應(yīng)該無法訪問用戶A的相冊了��,但事實上如果用戶B曾經(jīng)記錄了相冊中照片的URL��,那么即使沒有訪問用戶A相冊的權(quán)限���,用戶B也可以直接通過URL看到用戶A相冊中的照片�����。為解決上述問題��,現(xiàn)有技術(shù)所采用的另一種方案是�,在資源存儲系統(tǒng)中�,將每份資源的訪問權(quán)限控制信息分別寫入數(shù)據(jù)庫中,從而在根本上對資源的訪問權(quán)限進行控制�。然而這種方案的缺陷在于增加了存儲和維護成本,并且擴展性較差�����。例如對于擁有海量圖片的系統(tǒng)���,為每張圖片添加訪問權(quán)限控制信息需要占用大量的存儲資源��。而且資源存儲系統(tǒng)和應(yīng)用模塊之間的耦合性很強����,例如應(yīng)用模塊的一條私有規(guī)則是“允許好友訪問”,則需要將圖片擁有者的好友信息也一并存儲到數(shù)據(jù)庫�,如果應(yīng)用模塊中的好友關(guān)系發(fā)生變化,則需要對圖片系統(tǒng)的數(shù)據(jù)庫進行更新�����;如果要在應(yīng)用模塊中增加資源訪問的私有規(guī)則�����,例如“允許關(guān)注者訪問”�����,那么甚至可能需要重新構(gòu)建圖片系統(tǒng)數(shù)據(jù)庫中的數(shù)據(jù)結(jié)構(gòu)���。
發(fā)明內(nèi)容
為解決上述技術(shù)問題�����,本發(fā)明實施例提供一種網(wǎng)絡(luò)資源訪問權(quán)限控制方法及裝置�,技術(shù)方案如下本發(fā)明實施例提供一種網(wǎng)絡(luò)資源訪問權(quán)限控制方法,該方法包括接收對目標(biāo)資源的訪問請求�,所述訪問請求中包括目標(biāo)資源的用戶訪問地址��;從所述用戶訪問地址中解析出該目標(biāo)資源的原始地址信息和訪問權(quán)限信息��;獲取當(dāng)前訪問者的用戶標(biāo)識����,根據(jù)解析得到的訪問權(quán)限信息,判斷當(dāng)前訪問者是否具備對所述目標(biāo)資源的訪問權(quán)限��;根據(jù)判斷結(jié)果����,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源。
根據(jù)本發(fā)明的一種具體實施方式
�����,該方法還包括預(yù)先生成目標(biāo)資源的用戶訪問地址�,所述用戶訪問地址用于公開發(fā)布;所述用戶訪問地址中�����,至少攜帶有所述目標(biāo)資源的原始地址信息和訪問權(quán)限信息。根據(jù)本發(fā)明的一種具體實施方式
�,所述生成目標(biāo)資源的用戶訪問地址,包括對目標(biāo)資源的訪問權(quán)限信息進行加密��,將加密后的訪問權(quán)限信息攜帶于所述用戶訪問地址中����。根據(jù)本發(fā)明的一種具體實施方式
,所述用戶訪問地址中�,還攜帶有所述目標(biāo)資源的標(biāo)識信息。根據(jù)本發(fā)明的一種具體實施方式
���,所述生成目標(biāo)資源的用戶訪問地址���,還包括
·
對目標(biāo)資源的標(biāo)識信息進行加密,將加密后的標(biāo)識信息攜帶于所述用戶訪問地址中��。根據(jù)本發(fā)明的一種具體實施方式
��,在確定是否向當(dāng)前訪問者提供目標(biāo)資源之前����,還包括從所述用戶訪問地址中解析出該目標(biāo)資源的標(biāo)識信息;判斷解析得到的標(biāo)識信息是否與所述目標(biāo)資源的真實標(biāo)識信息一致��。根據(jù)本發(fā)明的一種具體實施方式
,所述根據(jù)判斷結(jié)果����,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源,具體為如果判斷結(jié)果為當(dāng)前訪問者具備對所述目標(biāo)資源的訪問權(quán)限�����,并且解析得到的標(biāo)識信息與所述目標(biāo)資源的真實標(biāo)識信息一致����,則利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源�。根據(jù)本發(fā)明的一種具體實施方式
,所述用戶訪問地址中�����,還攜帶有所述用戶訪問地址的有效時間信息����。根據(jù)本發(fā)明的一種具體實施方式
,所述生成目標(biāo)資源的用戶訪問地址�,還包括對用戶訪問地址的有效時間信息進行加密,將加密后的有效時間信息攜帶于所述用戶訪問地址中����。根據(jù)本發(fā)明的一種具體實施方式
�����,在確定是否向當(dāng)前訪問者提供目標(biāo)資源之前����,還包括從所述用戶訪問地址中解析出該用戶訪問地址的有效時間信息�,判斷所述用戶訪問地址是否超時。根據(jù)本發(fā)明的一種具體實施方式
�����,所述根據(jù)判斷結(jié)果����,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源,具體為如果判斷結(jié)果為當(dāng)前訪問者具備對所述目標(biāo)資源的訪問權(quán)限����,并且判斷所述用戶訪問地址未超時,則利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源����。本發(fā)明實施例還提供一種網(wǎng)絡(luò)資源訪問權(quán)限控制裝置��,該裝置包括訪問請求接收單元,用于接收對目標(biāo)資源的訪問請求����,所述訪問請求中包括目標(biāo)資源的用戶訪問地址���;
信息解析單元���,用于從所述用戶訪問地址中解析出該目標(biāo)資源的原始地址信息和訪問權(quán)限信息�;判斷單元,用于獲取當(dāng)前訪問者的用戶標(biāo)識���,根據(jù)解析得到的訪問權(quán)限信息��,判斷當(dāng)前訪問者是否具備對所述目標(biāo)資源的訪問權(quán)限�����;訪問請求響應(yīng)單元����,用于根據(jù)所述判斷單元判斷結(jié)果�����,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源。根據(jù)本發(fā)明的一種具體實施方式
�,該裝置還包括用戶訪問地址生成單元,用于預(yù)先生成目標(biāo)資源的用戶訪問地址��,所述用戶訪問地址用于公開發(fā)布����;所述用戶訪問地址中,至少攜帶有所述目標(biāo)資源的原始地址信息和訪問權(quán)限信息�。 根據(jù)本發(fā)明的一種具體實施方式
,所述用戶訪問地址生成單元����,具體用于對目標(biāo)資源的訪問權(quán)限信息進行加密,將加密后的訪問權(quán)限信息攜帶于所述用戶訪問地址中�����。根據(jù)本發(fā)明的一種具體實施方式
��,所述用戶訪問地址中�����,還攜帶有所述目標(biāo)資源的標(biāo)識信息。根據(jù)本發(fā)明的一種具體實施方式
����,所述用戶訪問地址生成單元,還用于對目標(biāo)資源的標(biāo)識信息進行加密����,將加密后的標(biāo)識信息攜帶于所述用戶訪問地址中。根據(jù)本發(fā)明的一種具體實施方式
�,所述信息解析單元,還用于從所述用戶訪問地址中解析出該目標(biāo)資源的標(biāo)識信息���;所述判斷單元����,還用于判斷解析得到的標(biāo)識信息是否與所述目標(biāo)資源的真實標(biāo)識
信息一致����。根據(jù)本發(fā)明的一種具體實施方式
����,所述訪問請求響應(yīng)單元,具體用于如果所述判斷單元的判斷結(jié)果為當(dāng)前訪問者具備對所述目標(biāo)資源的訪問權(quán)限,并且解析得到的標(biāo)識信息與所述目標(biāo)資源的真實標(biāo)識信息一致���,則利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源�����。根據(jù)本發(fā)明的一種具體實施方式
�����,所述用戶訪問地址中���,還攜帶有所述用戶訪問地址的有效時間信息。根據(jù)本發(fā)明的一種具體實施方式
�,所述用戶訪問地址生成單元,還用于對用戶訪問地址的有效時間信息進行加密��,將加密后的有效時間信息攜帶于所述用戶訪問地址中�。根據(jù)本發(fā)明的一種具體實施方式
,所述信息解析單元����,還用于從所述用戶訪問地址中解析出該用戶訪問地址的有效時間信息;所述判斷單元���,還用于判斷所述用戶訪問地址是否超時�。根據(jù)本發(fā)明的一種具體實施方式
,所述訪問請求響應(yīng)單元�����,具體用于如果所述判斷單元的判斷結(jié)果為
當(dāng)前訪問者具備對所述目標(biāo)資源的訪問權(quán)限�����,并且判斷所述用戶訪問地址未超時����,則利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源。與現(xiàn)有技術(shù)相比�����,本發(fā)明并不將訪問權(quán)限信息寫入資源數(shù)據(jù)庫中�,從而節(jié)約了存儲成本�。此外,用戶訪問地址可以由應(yīng)用模塊根據(jù)實際功能需求生成�����,一旦應(yīng)用功能需求發(fā)生變化,應(yīng)用模塊可以自行重新生成用戶訪問地址���,而不需要通知資源存儲系統(tǒng)���,有效地降低了應(yīng)用模塊與資源存儲系統(tǒng)之間的耦合度,即便對于存在多個應(yīng)用模塊�、多種權(quán)限控制需求的應(yīng)用場景,也不需要對資源存儲系統(tǒng)進行大幅度改動�����。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地�,下面描述中的附圖僅僅是本 發(fā)明中記載的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講���,還可以根據(jù)這些附圖獲得其他的附圖�����。圖I為本發(fā)明實施例的網(wǎng)站應(yīng)用架構(gòu)示意圖�����;圖2為本發(fā)明實施例網(wǎng)絡(luò)資源訪問權(quán)限控制方法的第一種流程圖���;圖3為本發(fā)明實施例網(wǎng)絡(luò)資源訪問權(quán)限控制方法的第二種流程圖�����;圖4為本發(fā)明實施例網(wǎng)絡(luò)資源訪問權(quán)限控制方法的第三種流程圖��;圖5為本發(fā)明實施例網(wǎng)絡(luò)資源訪問權(quán)限控制方法的第四種流程圖���;圖6為本發(fā)明實施例網(wǎng)絡(luò)資源訪問權(quán)限控制裝置的第一種結(jié)構(gòu)示意圖;圖7為本發(fā)明實施例網(wǎng)絡(luò)資源訪問權(quán)限控制裝置的第二種結(jié)構(gòu)示意圖�����。
具體實施例方式首先對本發(fā)明實施例所提供的一種網(wǎng)絡(luò)資源訪問權(quán)限控制方法進行說明����,該方法可以包括以下步驟接收對目標(biāo)資源的訪問請求,所述訪問請求中包括目標(biāo)資源的用戶訪問地址���;從所述用戶訪問地址中解析出該目標(biāo)資源的原始地址信息和訪問權(quán)限信息��;獲取當(dāng)前訪問者的用戶標(biāo)識�,根據(jù)解析得到的訪問權(quán)限信息����,判斷當(dāng)前訪問者是否具備對所述目標(biāo)資源的訪問權(quán)限;根據(jù)判斷結(jié)果�����,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源�����。本發(fā)明所提供的技術(shù)方案�����,可以適用于多種類型網(wǎng)絡(luò)資源的訪問權(quán)限控制��,例如圖片���、視頻��、音頻����、文檔等等。如圖I所示�����,在典型的網(wǎng)站應(yīng)用架構(gòu)中�����,網(wǎng)站的資源統(tǒng)一存儲于存儲系統(tǒng)中���,這些資源可以供一個或多個具體的應(yīng)用模塊調(diào)用��。例如在百度網(wǎng)站中����,大量的圖片數(shù)據(jù)統(tǒng)一存儲與圖片數(shù)據(jù)庫中�����,這些圖片可以供百度相冊����、百度文庫、百度貼吧等多個模塊調(diào)用。從網(wǎng)站本身來看��,一般要對自己資源的訪問權(quán)限進行限制��,但是具體到某些應(yīng)用模塊���,又可能有選擇性開放訪問權(quán)限的需求,例如��,在社交網(wǎng)絡(luò)中����,允許具有好友關(guān)系的用戶相互瀏覽對方的相冊,這就要求“百度相冊”應(yīng)用模塊能夠根據(jù)用戶好友關(guān)系開放訪問權(quán)限���,以保證好友之間可以互相瀏覽相冊��。針對上述需求����,本發(fā)明實施例所提供的技術(shù)方案��,利用訪問權(quán)限信息��,能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)資源訪問權(quán)限的靈活控制�����。上述方案中,首先利用資源在數(shù)據(jù)庫中的原始地址信息和訪問權(quán)限信息生成資源的用戶訪問地址��,然后僅將資源的用戶訪問地址公開��。當(dāng)其他用戶利用用戶訪問地址請求訪問資源時��,首先從用戶訪問地址中解析出訪問權(quán)限信息����,然后根據(jù)解析出的訪問權(quán)限信息,判斷是否允許當(dāng)前的訪問者對資源進行訪問�。與現(xiàn)有技術(shù)相比,本發(fā)明所提供的方案并不將訪問權(quán)限信息寫入資源數(shù)據(jù)庫中���,從而節(jié)約了存儲成本�。此外�,用戶訪問地址可以由應(yīng)用模塊根據(jù)實際功能需求生成,一旦應(yīng)用功能需求發(fā)生變化��,應(yīng)用模塊可以自行重新生成用戶訪問地址�,而不需要通知資源存儲系統(tǒng),有效地降低了應(yīng)用模塊與資源存儲系統(tǒng)之間的耦合度,即便對于存在多個應(yīng)用模塊�、多種權(quán)限控制需求的應(yīng)用場景,也不需要對資源存儲系統(tǒng)進行大幅度改動�。本發(fā)明實施所提供的網(wǎng)絡(luò)資源訪問權(quán)限控制方法,其執(zhí)行主體可以是一個網(wǎng)絡(luò)資源訪問權(quán)限控制裝置���,一般而言�,該裝置可以位于應(yīng)用模塊中��,例如位于各種應(yīng)用服務(wù)器 中��,當(dāng)然該裝置或者該裝置的部分功能單元可以與應(yīng)用模塊相對獨立���,甚至可以位于資源存儲系統(tǒng)中,但并不會在資源數(shù)據(jù)庫中寫入訪問權(quán)限控制信息�。為了使本領(lǐng)域技術(shù)人員更好地理解本發(fā)明中的技術(shù)方案,下面將結(jié)合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術(shù)方案進行詳細地描述����,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例����,而不是全部的實施例��?��;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實施例�����,都應(yīng)當(dāng)屬于本發(fā)明保護的范圍�����。對于網(wǎng)絡(luò)上的資源存儲系統(tǒng)�,其中的每個資源單位(例如一張圖片、一段音頻等等)具有一個原始地址��,該原始地址對應(yīng)于資源在網(wǎng)絡(luò)中的位置��,對于互聯(lián)網(wǎng)而言�����,資源地址通常表現(xiàn)為URL (Universal Resource Locator,統(tǒng)一資源定位符)的形式�。網(wǎng)絡(luò)中的任何用戶都可以通過URL直接定位到相應(yīng)的資源�����,當(dāng)然�,定位資源并不意味著對該資源有進一步使用權(quán)限��。例如����,目前大部分網(wǎng)站都是禁止匿名用戶任意訪問自身資源的,而這個權(quán)限一般由資源存儲系統(tǒng)統(tǒng)一控制�����。根據(jù)本發(fā)明實施例所提供的技術(shù)方案���,如果網(wǎng)站的應(yīng)用模塊需要對某些用戶開放一部分自身資源的訪問權(quán)限,則需要預(yù)先生成這部分目標(biāo)資源的用戶訪問地址�,對于互聯(lián)網(wǎng)而言,用戶訪問地址通常也表現(xiàn)為URL形式�。這個用戶訪問地址是從原始地址變化而來,與原始地址的主要區(qū)別在于在用戶訪問地址中�����,除了包含原始地址的內(nèi)容之外,還增加了訪問權(quán)限信息的內(nèi)容�����。相應(yīng)地�����,應(yīng)用模塊在對外發(fā)布資源時�,并不發(fā)布資源的原始地址,而是將用戶訪問地址對外發(fā)布�。也就是說,用戶只能通過用戶訪問地址進行訪問請求�,這樣,當(dāng)接收到對用戶對目標(biāo)資源的訪問請求時���,就可以根據(jù)用戶訪問地址中的訪問權(quán)限信息����,判斷是否允許該用戶對資源進行訪問�����。其中����,攜帶于用戶訪問地址中的訪問權(quán)限信息����,可以是直接信息的形式���,例如用戶黑名單�����、用戶白名單�、或者以上二者的結(jié)合��,通過讀取直接形式的訪問權(quán)限信息�,可以直接獲知允許/不允許哪些用戶對資源進行訪問。例如���,對于用戶A的私有資源,可以將用戶A的好友列表作為訪問權(quán)限信息攜帶于用戶訪問地址中�����。在本發(fā)明的另一種實施方式中����,訪問權(quán)限信息也可以是間接信息的形式���,與直接信息相比,在間接信息中并不記錄具體的黑/白名單內(nèi)容�����,而是記錄黑/白名單的存儲位置��。因此��,通過讀取間接形式的訪問權(quán)限信息�,需要進一步定位到實際的黑/白名單,然后進一步獲知允許/不允許哪些用戶訪問資源��。與直接形式的訪問權(quán)限信息相比��,間接形式的訪問權(quán)限信息更便于維護��,一旦功能模塊開放的整體訪問權(quán)限發(fā)生變化�,可以統(tǒng)一進行修改,而不需要逐一重新生成新的用戶訪問地址���。根據(jù)以上實施例提供的方案��,無論是直接形式的訪問權(quán)限信息���,還是間接形式的訪問權(quán)限信息�,如果僅是以明文的形式附加在原始地址信息之上��,可能會存在被偽造的風(fēng)險��,例如����,擁有相關(guān)經(jīng)驗的用戶在了解用戶訪問地址的構(gòu)成原理之后,可能會對訪問權(quán)限信息進行修改�����,偽造出新的用戶訪問地址���,從而實現(xiàn)對目標(biāo)資源的非法訪問���。為了避免這種情況出現(xiàn)�,在本發(fā)明的一種實施方式中,可以首先對訪問權(quán)限信息部分進行加密��,將密文部分附加在原始地址信息之上,這樣��,在不知道加密算法的情況下���,就無法偽造出合法的用戶訪問地址��。除了對訪問權(quán)限信息進行修改之外�����,如果將已知的資源a的訪問權(quán)限信息附加在資源b的原始地址上�,也可能偽造出合法形式的用戶訪問地址�,實現(xiàn)對資源b的非法訪問,為了避免這種情況出現(xiàn)���,在本發(fā)明的一種實施方式中���,可以對“原始地址信息”和“訪問權(quán)限 信息”兩部分內(nèi)容進行聯(lián)合加密,得到全密文形式的用戶訪問地址��。全密文形式用戶訪問地址盡管安全性較好���,但是存在無法在用戶訪問地址中體現(xiàn)出原始地址的問題�。在某些特定應(yīng)用環(huán)境中,如果希望在用戶訪問地址中體現(xiàn)出原始地址��,則可以進一步將目標(biāo)資源的標(biāo)識信息(例如圖片ID���、視頻ID��、文件名等等)加入到用戶訪問地址中��,由于用戶并不清楚資源對應(yīng)的內(nèi)部標(biāo)識信息����,因此無法對這部分進行偽造����。應(yīng)用模塊在接收到資源訪問請求后,通過判斷用戶訪問地址中的標(biāo)識信息和資源的實際標(biāo)識信息一致��,就可以判斷出該用戶訪問地址是否偽造����,從而避免對資源的非法訪問?�?梢岳斫獾氖牵c訪問權(quán)限信息部分類似���,標(biāo)識信息部分既可以以明文的形式附加在原始地址信息之上,也可以以密文的形式附加在原始地址信息之上�����。當(dāng)然��,也可以對訪問權(quán)限信息和標(biāo)識信息進行聯(lián)合加密后���,附加在原始地址信息之上�,生成用戶訪問地址����。對于用戶私有資源而言,在某些應(yīng)用需求中��,可能希望所生成的用戶訪問地址是臨時性的�����,例如用戶A想給用戶B看自己的照片�,但是并不希望用戶B能夠永遠看到自己的照片,為了滿足這種需求,可以在生成的用戶訪問地址中�����,加入用于表示該地址有效時間的信息����,有效時間信息的具體形式可以是絕對有效時間,例如某年某月某日�����,也可以是相對的有效時間����,例如I小時、I天等等�。當(dāng)然在實際應(yīng)用時,有效時間信息也可以允許設(shè)置為例如“永遠有效”等形式�����。應(yīng)用模塊在接收到資源訪問請求后����,根據(jù)用戶訪問地址中的有效時間信息�����,就可以判斷該臨時性的用戶訪問地址當(dāng)前是否已經(jīng)超時�����,進而決定是否允許當(dāng)前用戶訪問相應(yīng)的資源??梢岳斫獾氖牵c其他部分的信息類似�����,有效時間信息部分既可以以明文的形式附加在原始地址信息之上�,也可以以密文的形式附加在原始地址信息之上。在加密的情況下����,也可以與其他信息進行聯(lián)合加密。另外需要說明的是����,對于以上所涉及的任何加密操作,以及后續(xù)涉及的解密操作�,本發(fā)明對于具體的加密/解密算法均不需要進行限制��。以上提供了預(yù)先生成用戶訪問地址的方法����,針對需要開放的訪問權(quán)限���,分別生成用戶訪問地址并且將用戶訪問地址公開�,后續(xù)其就可以根據(jù)訪問請求中的用戶訪問地址�,對訪問者的訪問權(quán)限進行判斷。圖I所示��,為本發(fā)明實施例所提供的網(wǎng)絡(luò)資源訪問權(quán)限控制方法的一種流程圖����,該方法可以包括以下步驟S101,接收對目標(biāo)資源的訪問請求�,所述訪問請求中包括目標(biāo)資源的用戶訪問地址;假設(shè)用戶B要訪問用戶A的資源a����,那么用戶B可以通過直接輸入或者點擊鏈接等方式,向網(wǎng)站服務(wù)器發(fā)送訪問請求�����。S102,從所述用戶訪問地址中解析出該目標(biāo)資源的原始地址信息和訪問權(quán)限信 息��;根據(jù)本發(fā)明實施例所提供的方案�,在用戶訪問地址中,至少攜帶有以下兩部分內(nèi)容I)目標(biāo)資源的原始地址信息2)目標(biāo)資源的訪問權(quán)限信息根據(jù)生成用戶訪問地址時所用的算法/規(guī)則�,相應(yīng)可以從用戶訪問地址中解析出以上兩部分內(nèi)容。如果在生成用戶訪問地址的過程中進行了加密處理���,則在解析過程中也需要相應(yīng)的解密處理。在本實施例中�����,對于具體的解析過程不再進行詳細說明��。S103���,獲取當(dāng)前訪問者的用戶標(biāo)識�,根據(jù)解析得到的訪問權(quán)限信息���,判斷當(dāng)前訪問者是否具備對所述目標(biāo)資源的訪問權(quán)限���;根據(jù)前面實施例的說明����,利用解析得到的訪問權(quán)限信息���,可以直接或間接獲知允許/不允許哪些用戶對用戶A的資源a進行訪問����。另一方面���,根據(jù)SlOl中的訪問請求����,能夠得知當(dāng)前提交訪問請求的用戶身份���,例如通過cookie等方式,得到用戶B的用戶標(biāo)識���。根據(jù)解析得到的資源a的訪問權(quán)限信息,就可以判斷出是否允許用戶B訪問資源a���。一般而言�,數(shù)據(jù)庫的資源在默認情況下是禁止任意訪問的��,因此訪問權(quán)限信息可以以白名單的形式提供,例如好友列表����。在本實施例中,如果發(fā)現(xiàn)用戶B在用戶A的好友列表中�����,則說明用戶B具有對資源a的訪問權(quán)限�,否則判斷用戶B不具有對資源a的訪問權(quán)限。本領(lǐng)域技術(shù)人員可以理解的是���,在有些情況下,用戶A的私有資源也可能是在默認情況下是允許任意用戶訪問的�,但是不允許個別人(例如拉入黑名單的好友)訪問,那么也可以通過訪問權(quán)限黑名單的方式���,對特定的訪問者限定訪問權(quán)限����。此外��,利用通配符����,還可以采用黑名單與白名單結(jié)合的方式實現(xiàn)更為靈活的訪問權(quán)限規(guī)則�����,本發(fā)明實施例不再詳細進行說明�。S104���,根據(jù)判斷結(jié)果���,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源。通過S103��,如果判斷當(dāng)前訪問者具備對目標(biāo)資源的訪問權(quán)限���,則根據(jù)原始地址信息定位到相應(yīng)資源����,返回至當(dāng)前訪問者��。否則�,可以向當(dāng)前訪問者返回錯誤信息。圖2所示,為本發(fā)明實施例所提供的網(wǎng)絡(luò)資源訪問權(quán)限控制方法的另一種流程圖��,與上一實施例相比�,在該實施例中進一步利用資源標(biāo)識判斷用戶訪問地址是否偽造,從而增加安全性����。
S201,接收對目標(biāo)資源的訪問請求����,所述訪問請求中包括目標(biāo)資源的用戶訪問地址;本步驟與SlOl相同���,這里不再重復(fù)說明�����。S202,從所述用戶訪問地址中解析出該目標(biāo)資源的原始地址信息�����、訪問權(quán)限信息以及資源標(biāo)識信息��;根據(jù)本發(fā)明的一種實施方式,在用戶訪問地址中�����,可以攜帶有以下三部分內(nèi)容I)目標(biāo)資源的原始地址信息2)目標(biāo)資源的訪問權(quán)限信息3)目標(biāo)資源的標(biāo)識信息·根據(jù)生成用戶訪問地址時所用的算法/規(guī)則����,相應(yīng)可以從用戶訪問地址中解析出以上三部分內(nèi)容。如果在生成用戶訪問地址的過程中進行了加密處理��,則在解析過程中也需要相應(yīng)的解密處理��。在本實施例中��,對于具體的解析過程不再進行詳細說明���。S203a��,獲取當(dāng)前訪問者的用戶標(biāo)識����,根據(jù)解析得到的訪問權(quán)限信息��,判斷當(dāng)前訪問者是否具備對所述目標(biāo)資源的訪問權(quán)限���;本步驟與S103相同�����,這里不再重復(fù)說明����。S203b,判斷解析得到的標(biāo)識信息是否與所述目標(biāo)資源的真實標(biāo)識信息一致���;對于任意目標(biāo)資源����,在數(shù)據(jù)庫應(yīng)該具有某種標(biāo)識����,例如圖片ID、視頻ID����,當(dāng)然在某些情況下,資源的文件名稱本身也可以成為標(biāo)識����。如果在生成用戶訪問地址的過程中,采用了將資源標(biāo)識也攜帶于用戶訪問地址的方式����,那么在本步驟中,通過對比解析到的標(biāo)識信息與目標(biāo)資源的真實標(biāo)識信息是否一致����,就可以判斷出當(dāng)前訪問請求中的用戶訪問地址是否存在偽造的情況。S204�����,根據(jù)判斷結(jié)果��,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源�。在本實施例中�,如果S203a和S203b都滿足判斷條件����,則根據(jù)原始地址信息定位到相應(yīng)資源�����,將資源返回至當(dāng)前訪問者�����。如果有任一個條件不滿足,則說明當(dāng)前的訪問請求存在問題�,可以向當(dāng)前訪問者返回錯誤信息��。圖3所示���,為本發(fā)明實施例所提供的網(wǎng)絡(luò)資源訪問權(quán)限控制方法的另一種流程圖�,與前面實施例相比���,在該實施例中進一步增加了超時判斷的步驟�,以判斷臨時的用戶訪問地址是否有效。S301��,接收對目標(biāo)資源的訪問請求�����,所述訪問請求中包括目標(biāo)資源的用戶訪問地址��;本步驟與SlOl相同�,這里不再重復(fù)說明��。S302��,從所述用戶訪問地址中解析出該目標(biāo)資源的原始地址信息�����、訪問權(quán)限信息以及資源標(biāo)識信息��;根據(jù)本發(fā)明的一種實施方式�����,在用戶訪問地址中�,可以攜帶有以下三部分內(nèi)容I)目標(biāo)資源的原始地址信息2)目標(biāo)資源的訪問權(quán)限信息4)用戶訪問地址的有效時間信息根據(jù)生成用戶訪問地址時所用的算法/規(guī)則��,相應(yīng)可以從用戶訪問地址中解析出以上三部分內(nèi)容���。如果在生成用戶訪問地址的過程中進行了加密處理���,則在解析過程中也需要相應(yīng)的解密處理���。在本實施例中�,對于具體的解析過程不再進行詳細說明�����。S303a���,獲取當(dāng)前訪問者的用戶標(biāo)識�,根據(jù)解析得到的訪問權(quán)限信息��,判斷當(dāng)前訪問者是否具備對所述目標(biāo)資源的訪問權(quán)限;本步驟與S103相同���,這里不再重復(fù)說明。S303b����,根據(jù)有效時間信息�,判斷所述用戶訪問地址是否超時�。對于臨時性的用戶訪問地址,通過對比解析到的有效時間信息與當(dāng)前時間,就可以判斷用戶訪問地址是否超時,從而確定該用戶訪問地址是否依然有效���。S304����,根據(jù)判斷結(jié)果�����,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目 標(biāo)資源��。在本實施例中����,如果S303a和S303b都滿足判斷條件,則根據(jù)原始地址信息定位到相應(yīng)資源����,將資源返回至當(dāng)前訪問者。如果有任一個條件不滿足����,則說明當(dāng)前的訪問請求存在問題,可以向當(dāng)前訪問者返回錯誤信息��?��?梢岳斫獾氖牵部梢詫⑸厦鎯蓚€實施例結(jié)合�����,即同時利用資源標(biāo)識判斷用戶訪問地址是否偽造��、以及判斷用戶訪問地址是否超時,得到如圖4所示述的方法���,其中�,在S404中�����,根據(jù)三方面的判斷結(jié)果共同確定是否響應(yīng)訪問請求��。其他步驟的具體說明均可參見前面的實施例中的相應(yīng)步驟,這里不再重復(fù)描述����。S401��,接收對目標(biāo)資源的訪問請求���,所述訪問請求中包括目標(biāo)資源的用戶訪問地址�����;S402�,從所述用戶訪問地址中解析出該目標(biāo)資源的原始地址信息��、訪問權(quán)限信息以及資源標(biāo)識信息;根據(jù)生成用戶訪問地址時所用的算法/規(guī)則��,相應(yīng)可以從用戶訪問地址中解析出以上三部分內(nèi)容���。如果在生成用戶訪問地址的過程中進行了加密處理���,則在解析過程中也需要相應(yīng)的解密處理��。在本實施例中����,對于具體的解析過程不再進行詳細說明。S403a,獲取當(dāng)前訪問者的用戶標(biāo)識,根據(jù)解析得到的訪問權(quán)限信息,判斷當(dāng)前訪問者是否具備對所述目標(biāo)資源的訪問權(quán)限;S403b���,判斷解析得到的標(biāo)識信息是否與所述目標(biāo)資源的真實標(biāo)識信息一致;S403c,根據(jù)有效時間信息���,判斷所述用戶訪問地址是否超時��。S404���,根據(jù)判斷結(jié)果,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源�����。如果S403a、S403b、S403c都滿足判斷條件����,則根據(jù)原始地址信息定位到相應(yīng)資源,將資源返回至當(dāng)前訪問者。如果有任一個條件不滿足,則說明當(dāng)前的訪問請求存在問題�����,可以向當(dāng)前訪問者返回錯誤信息下面結(jié)合一個具體應(yīng)用實例,對本發(fā)明的方案進行說明例如,對于用戶A的某圖片資源,默認情況是禁止其他用戶訪問,現(xiàn)在希望開放該圖片對用戶B的訪問權(quán)限�。圖片的原始 URL 為http://priv. hiphotos. baidu. com/product_name/pic/item/b21bb051f8198618c3b7cd384aed2e738ad4e69e. jpg ����;圖片ID 為:2350370293 ;
允許訪問用戶(用戶B)的UID為332832348 �����;超時時間戳1233233434;將以上三部分內(nèi)容加密到原始URL中,得到用戶訪問地址為http://priv. hiphotos. baidu. com/product_name/pic/item/b21bb051f8198618c3b7cd384aed2e738ad4e69e. jpg psign=74062e57b6fd52668c88df37blbel662d40735fae4cdl607����。可見�����,該用戶訪問地址的前半部分就是原始地址�,后半部分的“psign=74062e57b6fd52668c88df37blbel662d40735fae4cdl607”,則是對圖片ID�����、允許訪問的用戶�、有效時間進行加密后得到的密文。假設(shè)用戶B要訪問上述圖片����,通過直接輸入或者點擊用戶訪問地址的方式,向應(yīng) 用服務(wù)器發(fā)送訪問請求���,應(yīng)用服務(wù)器接收到訪問請求后���,從用戶訪問地址的“psign=74062e57b6fd52668c88df37blbel662d40735fae4cdl607” 字段中解析出以下內(nèi)容資源標(biāo)識2350370293���;允許訪問用戶332832348 ;超時時間戳1233233434;一方面�����,根據(jù)用戶B的訪問請求�����,可以知道用戶B的用戶名等信息����,進一步定位該用戶的UID為332832348���,與解析出的白名單內(nèi)容相符����;另一方面����,利用文件名b21bb051f8198618c3b7cd384aed2e738ad4e69e. jpg 可以得知圖片的原始ID為2350370293,與解析出的資源標(biāo)識相同�。再一方面�,通過超時時間戳�����,判斷該用戶引用地址未超時�����。由于上述三個條件均滿足����,因此根據(jù)原始地址http://priv. hiphotos. baidu.com/product_name/pic/item/b21bb051f8198618c3b7cd384aed2e738ad4e69e. jpg,將相應(yīng)的圖片資源提供給用戶B��,從而實現(xiàn)用戶B對用戶A私有資源的訪問���。如果任一個條件不滿足�����,則向用戶B返回錯誤信息���。相應(yīng)于上面的方法實施例,本發(fā)明實施例還提供一種網(wǎng)絡(luò)資源訪問權(quán)限控制裝置�����,參見圖6所示,該裝置可以包括訪問請求接收單元110,用于接收對目標(biāo)資源的訪問請求,所述訪問請求中包括目標(biāo)資源的用戶訪問地址�;信息解析單元120,用于從所述用戶訪問地址中解析出該目標(biāo)資源的原始地址信息和訪問權(quán)限信息��;判斷單元130�,用于獲取當(dāng)前訪問者的用戶標(biāo)識,根據(jù)解析得到的訪問權(quán)限信息�����,判斷當(dāng)前訪問者是否具備對所述目標(biāo)資源的訪問權(quán)限��;訪問請求響應(yīng)單元140�,用于根據(jù)所述判斷單元判斷結(jié)果�����,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源���。參見圖7所示���,根據(jù)本發(fā)明的一種具體實施方式
���,該裝置還可以包括用戶訪問地址生成單元150,用于預(yù)先生成目標(biāo)資源的用戶訪問地址���,所述用戶訪問地址用于公開發(fā)布�����;所述用戶訪問地址中����,至少攜帶有所述目標(biāo)資源的原始地址信息和訪問權(quán)限信息��。根據(jù)本發(fā)明的一種具體實施方式
�����,所述用戶訪問地址生成單元�����,具體用于
對目標(biāo)資源的訪問權(quán)限信息進行加密��,將加密后的訪問權(quán)限信息攜帶于所述用戶訪問地址中����。根據(jù)本發(fā)明的一種具體實施方式
��, 所述用戶訪問地址中����,還攜帶有所述目標(biāo)資源的標(biāo)識信息���。根據(jù)本發(fā)明的一種具體實施方式
���,所述用戶訪問地址生成單元,還用于對目標(biāo)資源的標(biāo)識信息進行加密�����,將加密后的標(biāo)識信息攜帶于所述用戶訪問地址中�。根據(jù)本發(fā)明的一種具體實施方式
����,所述信息解析單元,還用于從所述用戶訪問地址中解析出該目標(biāo)資源的標(biāo)識信息���; 所述判斷單元����,還用于判斷解析得到的標(biāo)識信息是否與所述目標(biāo)資源的真實標(biāo)識
信息一致。根據(jù)本發(fā)明的一種具體實施方式
���,所述訪問請求響應(yīng)單元����,具體用于如果所述判斷單元的判斷結(jié)果為當(dāng)前訪問者具備對所述目標(biāo)資源的訪問權(quán)限�����,并且解析得到的標(biāo)識信息與所述目標(biāo)資源的真實標(biāo)識信息一致�����,則利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源��。根據(jù)本發(fā)明的一種具體實施方式
���,所述用戶訪問地址中�����,還攜帶有所述用戶訪問地址的有效時間信息��。根據(jù)本發(fā)明的一種具體實施方式
���,所述用戶訪問地址生成單元��,還用于對用戶訪問地址的有效時間信息進行加密�����,將加密后的有效時間信息攜帶于所述用戶訪問地址中�。根據(jù)本發(fā)明的一種具體實施方式
����,所述信息解析單元,還用于從所述用戶訪問地址中解析出該用戶訪問地址的有效時間信息����;所述判斷單元,還用于判斷所述用戶訪問地址是否超時����。根據(jù)本發(fā)明的一種具體實施方式
���,所述訪問請求響應(yīng)單元�,具體用于如果所述判斷單元的判斷結(jié)果為當(dāng)前訪問者具備對所述目標(biāo)資源的訪問權(quán)限,并且判斷所述用戶訪問地址未超時����,則 利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源。本發(fā)明實施例所提供的訪問權(quán)限控制裝置�,利用訪問權(quán)限信息,能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)資源訪問權(quán)限的靈活控制�。上述方案中,首先利用資源在數(shù)據(jù)庫中的原始地址信息和訪問權(quán)限信息生成資源的用戶訪問地址��,然后僅將資源的用戶訪問地址公開��。當(dāng)其他用戶利用用戶訪問地址請求訪問資源時���,首先從用戶訪問地址中解析出訪問權(quán)限信息���,然后根據(jù)解析出的訪問權(quán)限信息,判斷是否允許當(dāng)前的訪問者對資源進行訪問�。與現(xiàn)有技術(shù)相比,本發(fā)明所提供的方案并不將訪問權(quán)限信息寫入資源數(shù)據(jù)庫中��,從而節(jié)約了存儲成本���。此外��,用戶訪問地址可以由應(yīng)用模塊根據(jù)實際功能需求生成���,一旦應(yīng)用功能需求發(fā)生變化����,應(yīng)用模塊可以自行重新生成用戶訪問地址�����,而不需要通知資源存儲系統(tǒng)�,有效地降低了應(yīng)用模塊與資源存儲系統(tǒng)之間的耦合度,即便對于存在多個應(yīng)用模塊����、多種權(quán)限控制需求的應(yīng)用場景,也不需要對資源存儲系統(tǒng)進行大幅度改動�����。本發(fā)明實施所提供的網(wǎng)絡(luò)資源訪問權(quán)限控制裝置��,可以位于應(yīng)用模塊中�����,例如位于各種應(yīng)用服務(wù)器中���,當(dāng)然該裝置或者該裝置的部分功能單元也可以與應(yīng)用模塊相對獨立��,甚至可以位于資源存儲系統(tǒng)中���,但并不會在資源數(shù)據(jù)庫中寫入訪問權(quán)限控制信息。為了描述的方便����,描述以上裝置時以功能分為各種單元分別描述。當(dāng)然�����,在實施本發(fā)明時可以把各單元的功能在同一個或多個軟件和/或硬件中實現(xiàn)�����。通過以上的實施方式的描述可知���,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)�����?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�,該計算機軟件產(chǎn)品可以存儲在存儲介質(zhì)中,如R0M/RAM����、磁碟、光盤等����,包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機,服務(wù)器�,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些 部分所述的方法。 本說明書中的各個實施例均采用遞進的方式描述����,各個實施例之間相同相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處�����。尤其��,對于裝置實施例而言,由于其基本相似于方法實施例���,所以描述得比較簡單��,相關(guān)之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的��,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的���,作為單元顯示的部件可以是或者也可以不是物理單元�����,即可以位于一個地方�����,或者也可以分布到多個網(wǎng)絡(luò)單元上����?���?梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例方案的目的�����。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下�,即可以理解并實施���。以上所述僅是本發(fā)明的具體實施方式
��,應(yīng)當(dāng)指出�����,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說�,在不脫離本發(fā)明原理的前提下���,還可以做出若干改進和潤飾�����,這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍����。
權(quán)利要求
1.一種網(wǎng)絡(luò)資源訪問權(quán)限控制方法��,其特征在于,該方法包括 接收對目標(biāo)資源的訪問請求�,所述訪問請求中包括目標(biāo)資源的用戶訪問地址; 從所述用戶訪問地址中解析出該目標(biāo)資源的原始地址信息和訪問權(quán)限信息���; 獲取當(dāng)前訪問者的用戶標(biāo)識�,根據(jù)解析得到的訪問權(quán)限信息����,判斷當(dāng)前訪問者是否具備對所述目標(biāo)資源的訪問權(quán)限����; 根據(jù)判斷結(jié)果,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源��。
2.根據(jù)權(quán)利要求I所述的方法�����,其特征在于��,該方法還包括 預(yù)先生成目標(biāo)資源的用戶訪問地址�����,所述用戶訪問地址用于公開發(fā)布;所述用戶訪問地址中�����,至少攜帶有所述目標(biāo)資源的原始地址信息和訪問權(quán)限信息����。
3.根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述生成目標(biāo)資源的用戶訪問地址��,包括 對目標(biāo)資源的訪問權(quán)限信息進行加密���,將加密后的訪問權(quán)限信息攜帶于所述用戶訪問地址中。
4.根據(jù)權(quán)利要求2所述的方法�����,其特征在于���, 所述用戶訪問地址中,還攜帶有所述目標(biāo)資源的標(biāo)識信息����。
5.根據(jù)權(quán)利要求4所述的方法��,其特征在于�,所述生成目標(biāo)資源的用戶訪問地址�����,還包括 對目標(biāo)資源的標(biāo)識信息進行加密�����,將加密后的標(biāo)識信息攜帶于所述用戶訪問地址中。
6.根據(jù)權(quán)利要求4或5所述的方法��,其特征在于��,在確定是否向當(dāng)前訪問者提供目標(biāo)資源之前�����,還包括 從所述用戶訪問地址中解析出該目標(biāo)資源的標(biāo)識信息; 判斷解析得到的標(biāo)識信息是否與所述目標(biāo)資源的真實標(biāo)識信息一致���。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于���,所述根據(jù)判斷結(jié)果,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源�,具體為 如果判斷結(jié)果為 當(dāng)前訪問者具備對所述目標(biāo)資源的訪問權(quán)限�,并且解析得到的標(biāo)識信息與所述目標(biāo)資源的真實標(biāo)識信息一致���,則 利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源����。
8.根據(jù)權(quán)利要求2所述的方法,其特征在于���, 所述用戶訪問地址中,還攜帶有所述用戶訪問地址的有效時間信息���。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于����,所述生成目標(biāo)資源的用戶訪問地址����,還包括 對用戶訪問地址的有效時間信息進行加密��,將加密后的有效時間信息攜帶于所述用戶訪問地址中。
10.根據(jù)權(quán)利要求8或9所述的方法���,其特征在于,在確定是否向當(dāng)前訪問者提供目標(biāo)資源之前����,還包括 從所述用戶訪問地址中解析出該用戶訪問地址的有效時間信息��,判斷所述用戶訪問地址是否超時����。
11.根據(jù)權(quán)利要求10所述的方法��,其特征在于,所述根據(jù)判斷結(jié)果�,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源���,具體為 如果判斷結(jié)果為 當(dāng)前訪問者具備對所述目標(biāo)資源的訪問權(quán)限,并且判斷所述用戶訪問地址未超時����,則 利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源����。
12.—種網(wǎng)絡(luò)資源訪問權(quán)限控制裝置�����,其特征在于�����,該裝置包括 訪問請求接收單元,用于接收對目標(biāo)資源的訪問請求��,所述訪問請求中包括目標(biāo)資源的用戶訪問地址�; 信息解析單元�����,用于從所述用戶訪問地址中解析出該目標(biāo)資源的原始地址信息和訪問權(quán)限信息�����; 判斷單元,用于獲取當(dāng)前訪問者的用戶標(biāo)識���,根據(jù)解析得到的訪問權(quán)限信息�,判斷當(dāng)前訪問者是否具備對所述目標(biāo)資源的訪問權(quán)限; 訪問請求響應(yīng)單元�����,用于根據(jù)所述判斷單元判斷結(jié)果��,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源���。
13.根據(jù)權(quán)利要求12所述的裝置�,其特征在于���,該裝置還包括 用戶訪問地址生成單元�����,用于預(yù)先生成目標(biāo)資源的用戶訪問地址����,所述用戶訪問地址用于公開發(fā)布�;所述用戶訪問地址中,至少攜帶有所述目標(biāo)資源的原始地址信息和訪問權(quán)限信息��。
14.根據(jù)權(quán)利要求13所述的裝置�,其特征在于,所述用戶訪問地址生成單元�,具體用于 對目標(biāo)資源的訪問權(quán)限信息進行加密,將加密后的訪問權(quán)限信息攜帶于所述用戶訪問地址中�����。
15.根據(jù)權(quán)利要求13所述的裝置��,其特征在于, 所述用戶訪問地址中����,還攜帶有所述目標(biāo)資源的標(biāo)識信息�����。
16.根據(jù)權(quán)利要求15所述的裝置,其特征在于��,所述用戶訪問地址生成單元���,還用于 對目標(biāo)資源的標(biāo)識信息進行加密�,將加密后的標(biāo)識信息攜帶于所述用戶訪問地址中�。
17.根據(jù)權(quán)利要求15或16所述的裝置���,其特征在于�����, 所述信息解析單元�����,還用于從所述用戶訪問地址中解析出該目標(biāo)資源的標(biāo)識信息�; 所述判斷單元����,還用于判斷解析得到的標(biāo)識信息是否與所述目標(biāo)資源的真實標(biāo)識信息—致。
18.根據(jù)權(quán)利要求17所述的裝置�,其特征在于�,所述訪問請求響應(yīng)單元��,具體用于 如果所述判斷單元的判斷結(jié)果為 當(dāng)前訪問者具備對所述目標(biāo)資源的訪問權(quán)限,并且解析得到的標(biāo)識信息與所述目標(biāo)資源的真實標(biāo)識信息一致���,則 利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源�。
19.根據(jù)權(quán)利要求13所述的裝置����,其特征在于��, 所述用戶訪問地址中����,還攜帶有所述用戶訪問地址的有效時間信息。
20.根據(jù)權(quán)利要求19所述的裝置���,其特征在于�,所述用戶訪問地址生成單元�����,還用于 對用戶訪問地址的有效時間信息進行加密��,將加密后的有效時間信息攜帶于所述用戶訪問地址中��。
21.根據(jù)權(quán)利要求19或20所述的裝置����,其特征在于�����, 所述信息解析單元��,還用于從所述用戶訪問地址中解析出該用戶訪問地址的有效時間信息; 所述判斷單元�����,還用于判斷所述用戶訪問地址是否超時����。
22.根據(jù)權(quán)利要求21所述的裝置,其特征在于�����,所述訪問請求響應(yīng)單元��,具體用于 如果所述判斷單元的判斷結(jié)果為 當(dāng)前訪問者具備對所述目標(biāo)資源的訪問權(quán)限�����,并且判斷所述用戶訪問地址未超時���,則 利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源�。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)資源訪問權(quán)限控制方法及裝置。一種網(wǎng)絡(luò)資源訪問權(quán)限控制方法包括接收對目標(biāo)資源的訪問請求��,所述訪問請求中包括目標(biāo)資源的用戶訪問地址�;從所述用戶訪問地址中解析出該目標(biāo)資源的原始地址信息和訪問權(quán)限信息;獲取當(dāng)前訪問者的用戶標(biāo)識����,根據(jù)解析得到的訪問權(quán)限信息,判斷當(dāng)前訪問者是否具備對所述目標(biāo)資源的訪問權(quán)限�;根據(jù)判斷結(jié)果�,確定是否利用所述原始地址信息向當(dāng)前訪問者提供所述目標(biāo)資源。與現(xiàn)有技術(shù)相比����,本發(fā)明技術(shù)方案并不將訪問權(quán)限信息寫入資源數(shù)據(jù)庫中,從而節(jié)約了存儲成本��,并且有效地降低了應(yīng)用模塊與資源存儲系統(tǒng)之間的耦合度����。
文檔編號H04L29/06GK102843366SQ201210287558
公開日2012年12月26日 申請日期2012年8月13日 優(yōu)先權(quán)日2012年8月13日
發(fā)明者文維東, 李哲, 薛飛 申請人:北京百度網(wǎng)訊科技有限公司