專利名稱:基于web應用的資源驗證系統(tǒng)和方法
技術領域:
本發(fā)明涉及Web資源驗證技術��,更具體而言�,涉及基于Web應用的資源驗證系統(tǒng)和方法。
背景技術:
在大部分企業(yè)Web應用中都會涉及到對用戶的認證以及權限的控制����,且這部分內容都非常敏感。而用戶的身份經常會發(fā)生變化�����,那么其擁有的權限關系也會隨著發(fā)生變更����。所以對用戶請求的資源進行認證以及對用戶的權限關系進行實時的管理是非常重要的。傳統(tǒng)的基于Web應用資源的權限控制方法�����,一般都采用對用戶及資源做簡單的驗證���,驗證方式較為單一��,對用戶的角色或權限變更不能實時做出反應���。同時,傳統(tǒng)的基于Web應用資源的權限控制方法還存在驗證邏輯與業(yè)務部分耦合度太高的問題����。而實際上,無論何種進行資源驗證和權限控制的系統(tǒng)����,資源驗證和權限控制都不能過多影響實際業(yè)務操作的時長,特別是擁有龐大客戶訪問量的企業(yè)web應用�。如果占用實際業(yè)務操作時長過長,客戶滿意度降低�����,會大大影響企業(yè)業(yè)務。因此����,web應用的資源驗證和權限控制要高效、準確�����、同時不能對實際業(yè)務的處理時長有大的影響�。
發(fā)明內容
為解決現(xiàn)有技術中存在的以上問題,本發(fā)明提供一種基于web應用的資源驗證方法�,包括:步驟1:接收來自客 戶端的用戶對資源的業(yè)務請求;步驟2:判斷該資源是否需要驗證��;步驟3:響應于該資源需要驗證�,根據(jù)用戶信息生成用戶擁有資源集;步驟4:將該用戶擁有資源集放入資源驗證用的上下文數(shù)據(jù)中�;步驟5:讀取所述上下文數(shù)據(jù),將用戶請求的資源與所述用戶擁有資源集中的資源相匹配�����;步驟6:響應于匹配成功�����,則從所述上下文數(shù)據(jù)中讀取用戶請求的資源,執(zhí)行該資源對應的業(yè)務操作本發(fā)明還提供一種基于web應用的資源驗證系統(tǒng)�,包括:統(tǒng)一認證單元��,統(tǒng)一認證單元接收來自客戶端的用戶對資源的業(yè)務請求�����,如果該資源需要認證�,則根據(jù)用戶信息生成用戶擁有資源集,且將用戶擁有資源集放入資源驗證用的上下文數(shù)據(jù)中��;資源驗證單元���,資源驗證單元響應于該資源需要認證����,而讀取所述上下文數(shù)據(jù)�����,將用戶請求的資源與所述用戶擁有資源集中的資源相匹配�;以及用戶行為及業(yè)務執(zhí)行單元,用戶行為及業(yè)務執(zhí)行單元響應于資源匹配成功,而執(zhí)行該資源對應的業(yè)務操作��。本發(fā)明的系統(tǒng)和方法能夠準確地�����、統(tǒng)一地進行web資源驗證���,并對資源的權限進行精細化控制�����。本發(fā)明的系統(tǒng)和方法還能夠使得web資源驗證與web應用的實際業(yè)務耦合度降低�����,具有對實際業(yè)務操作的低侵入性�。
圖1為本發(fā)明的系統(tǒng)的結構圖�;圖2為本發(fā)明的方法的流程圖;以及圖3為本發(fā)明的方法的更詳細的流程圖��。
具體實施例方式下面參照圖1并結合“京東云存儲系統(tǒng)”為例���,對發(fā)明的系統(tǒng)做具體的描述���。圖1顯示了本發(fā)明的系統(tǒng)的結構圖��。本發(fā)明的系統(tǒng)包括:統(tǒng)一認證單元���,統(tǒng)一認證單元接收來自客戶端的用戶對資源的業(yè)務請求,如果該資源需要被驗證�,且用戶通過認證���,則根據(jù)用戶信息生成用戶擁有資源集����,且將用戶擁有資源集放入資源驗證用的上下文數(shù)據(jù)中��;資源驗證單元�,資源驗 證單元響應于該資源需要認證,而讀取所述上下文數(shù)據(jù)��,將用戶請求的資源與所述用戶擁有資源集中的資源相匹配���;以及用戶行為及業(yè)務執(zhí)行單元���,用戶行為及業(yè)務執(zhí)行單元響應于資源匹配成功�����,而執(zhí)行該資源對應的業(yè)務操作����。更具體而言�,統(tǒng)一認證單元可以包括攔截模塊和用戶認證模塊,當然����,這兩個模塊也可以合二為一。攔截模塊攔截來自客戶端的用戶的資源請求����,該請求中包括了用戶信息和請求的資源。攔截模塊攔截該請求����,將該請求的資源與預先設置的待驗證資源池中的資源相比較,比較方法為精確匹配�����。如果用戶請求的資源不在待驗證資源池中�,表明不需要進行資源驗證���,可以將該資源的請求直接傳輸至用戶行為及業(yè)務執(zhí)行單元,進行業(yè)務操作�,這種處理方式可以簡化對共用資源的驗證,提高系統(tǒng)性能�。如果攔截模塊判定用戶請求的資源在待驗證資源池中,則表明需要對該資源進行資源驗證�����。用戶認證模塊根據(jù)用戶身份信息生成用戶擁有資源集��,放入資源驗證用的上下文數(shù)據(jù)中���,并發(fā)送相應消息至資源驗證單元使得資源驗證單元開始進行資源驗證。資源驗證單元響應于自統(tǒng)一認證單元判斷所述資源需要驗證�����,讀取所述上下文數(shù)據(jù)���,將用戶請求的資源與所述用戶擁有資源集中的資源相匹配��,如果匹配失敗�����,則向客戶端發(fā)送匹配失敗信息��,如果匹配成功�,則發(fā)送相應消息至所述用戶行為及業(yè)務執(zhí)行單元。用戶行為及業(yè)務執(zhí)行單元響應于所述資源驗證單元的匹配成功��,從所述上下文數(shù)據(jù)中讀取用戶請求的資源���,執(zhí)行該請求對應的業(yè)務操作�����,將結果反饋至客戶端���。這樣就完成了一個完整地、統(tǒng)一地資源驗證�����。進一步���,為了增加資源驗證的準確性��,資源驗證單元采用了精確匹配和表達式匹配�����。所述資源驗證單元可以包括精確匹配模塊和表達式匹配模塊����。精確匹配模塊讀取用戶擁有資源集,并與用戶請求的資源(資源例如可以是URL)進行精確匹配�����,如匹配成功則請求合法�,發(fā)送相應消息給用戶行為及業(yè)務執(zhí)行單元以執(zhí)行業(yè)務操作。更進一步�����,如果匹配失敗�����,由表達式匹配模塊再進行表達式匹配�,例如利用正則表達式或自定義規(guī)則進行匹配���。如過表達式匹配失敗則返回結束信息至請求者����,反之則發(fā)送匹配成功消息給用戶行為及業(yè)務執(zhí)行單元以執(zhí)行業(yè)務操作。
進一步��,為了保證用戶的合法性�,在對資源驗證前先對用戶進行身份認證。具體為�,當攔截模塊將用戶的資源請求傳輸給用戶認證模塊后。用戶認證模塊根據(jù)所述請求的上下文或會話信息進行用戶身份認證����,認證方法有多種,如根據(jù)解密后的cookie或session中數(shù)據(jù)驗證(session或cookie為用戶登錄成功時賦值)�。身份認證通過后,用戶認證模塊根據(jù)用戶信息生成用戶擁有資源集����,放入資源驗證用的上下文數(shù)據(jù)中。更進一步�����,為了保證用戶與資源關系的實時及準確性,本發(fā)明的系統(tǒng)還包括初始化及動態(tài)維護單元�。所述初始化及動態(tài)維護單元在web應用初始化的時候從持久化數(shù)據(jù)中讀取并加載(例如,加載到內存中)用戶-角色基礎數(shù)據(jù)����、角色-資源關系數(shù)據(jù)。并且根據(jù)系統(tǒng)需求實時地配置用戶-角色基礎數(shù)據(jù)���、角色-資源關系數(shù)據(jù)���。例如,在“京東云存儲系統(tǒng)”中����,體現(xiàn)為初始化時加載用戶-角色基礎數(shù)據(jù)、角色-資源關系數(shù)據(jù)到內存�����,并通過“動態(tài)維護單元”在后臺維護以上數(shù)據(jù)�,并使其實時生效����。更具體地,所述初始化及動態(tài)維護單元給系統(tǒng)中的用戶分配角色,每個角色可擁有一定的資源����。用戶-角色、角色-資源之間的分配方法根據(jù)具體業(yè)務而設定�,角色-資源之間的對應關系可以根據(jù)業(yè)務需要而改變。每一個用戶可以擁有一個或多個角色��,每個角色可以擁有一個或多個資源���,且每個角色的資源可以重疊����。因此���,每一個用戶都可以擁有一個資源集�����。用戶-角色基礎數(shù)據(jù)�����、角色-資源關系數(shù)據(jù)作為持久化數(shù)據(jù)被存儲�。當然,也可以不采用角色為中介�,直接將用戶與資源進行關聯(lián)。進一步�����,所述初始化及動態(tài)維護單元可以包括初始化模塊和動態(tài)維護模塊��。初始化模塊在web應用初始化時從持久化數(shù)據(jù)庫中讀取并加載用戶-角色基礎數(shù)據(jù)����、角色-資源關系數(shù)據(jù)。加載可以理解為傳輸至統(tǒng)一認證單元中�,也可以加載至統(tǒng)一認證單元可以訪問的存儲器中,例如�����,加載到內存中���。動態(tài)維護模塊根據(jù)系統(tǒng)需求對用戶-角色基礎數(shù)據(jù)����、角色-資源關系數(shù)據(jù)進行實時的維護�,包括用戶角色變化時,更新用戶-角色基礎數(shù)據(jù)��,當角色對應的資源發(fā)生變化時����,更新角色-資源關系數(shù)據(jù)。對于通過身份認證的新用戶�����,初始化及動態(tài)維護單元給該新用戶分配角色���,在持久化數(shù)據(jù)中存儲該用戶的用戶-角色基礎數(shù)據(jù)和角色-資源關系數(shù)據(jù)�,將針對該新用戶的資源傳輸給統(tǒng)一認證單元����。所述初始化及動態(tài)維護單元在收到來自統(tǒng)一認證單元的用戶信息后,與持久化數(shù)據(jù)庫中存儲的用戶信息相比對����,根據(jù)持久化數(shù)據(jù)中的用戶-角色基礎數(shù)據(jù)和角色-資源關系數(shù)據(jù),遍歷該已有用戶擁有的角色�����,以及該角色擁有的資源,將該用戶擁有的資源傳輸給統(tǒng)一認證單元���。用戶認證模塊接收返回的針對該用戶的資源�����,去除重復的資源��,從而產生針對該用戶的用戶擁有資源集����。該用戶擁有資源集放入到所述請求的上下文中�,發(fā)送相應消息給資源驗證單元。如果身份認證沒有通過����,認證失敗后則統(tǒng)一認證單元反饋認證失敗信息給客戶端。優(yōu)選地����,本發(fā)明的系統(tǒng)還可以包括菜單生成單元,其與用戶行為及業(yè)務執(zhí)行單元通信����。菜單生成單元完成菜單的生成并反饋給用戶�。具體而言���,當菜單生成單元收到來自用戶行為和業(yè)務執(zhí)行單元的執(zhí)行完畢消息后,根據(jù)所述上下文中的用戶擁有資源集生成多樣化的菜單結構(樹���、列表)�,并響應給用戶��,達到所見即所得的效果�����。 更優(yōu)選地����,所述用戶行為及業(yè)務執(zhí)行單元執(zhí)行完畢用戶的資源請求的具體的行為或業(yè)務后,判斷該用戶的請求是否是同步請求�,如果不是同步請求,即為異步請求�����,則返回業(yè)務操作執(zhí)行結果給客戶端�����。如果是同步請求,則將執(zhí)行結果傳輸至菜單生成單元�。跟據(jù)本發(fā)明的優(yōu)選實施例的一個實例為:提供一個“京東云存儲系統(tǒng)”,該系統(tǒng)為用戶提供文件存儲�、備份的web服務。該系統(tǒng)包括如上所述的統(tǒng)一認證單元��、資源驗證單元����、業(yè)務執(zhí)行單元、菜單生成單元���。當“京東云存儲系統(tǒng)”接收到用戶的“備份文件”的資源請求后��,該系統(tǒng)的統(tǒng)一認證單元首先判斷請求的資源是否在待驗證資源池中���。如果不在,則直接執(zhí)行“備份文件”操作���,如果在�����,則對用戶攜帶過來的cookie信息解密�����,然后和預先存儲的用戶數(shù)據(jù)進行匹配��。如匹配成功則根據(jù)用戶-角色及角色-資源信息生成用戶特有的用戶擁有資源集�,并放入系統(tǒng)的上下文中��。然后�����,“京東云存儲系統(tǒng)”的資源驗證單元根據(jù)統(tǒng)一認證單元生成的上下文中的資源集���,與用戶“備份文件”請求對應的資源做精確匹配�,如果匹配成功則轉到業(yè)務執(zhí)行單元備份用戶上傳的文件�,如果匹配失敗,繼續(xù)和自定義的帶通配符的表達式進行匹配�����,如匹配成功亦轉到業(yè)務執(zhí)行單元�,如果匹配失敗�,則返回“備份失敗���,權限驗證失敗”的信息給請求者�。最后����,“京東云存儲系統(tǒng)”的業(yè)務執(zhí)行單元執(zhí)行完“備份文件”操作后,首先判斷“備份文件”是否為同步請求�����,如果不是則直接返回操作結果給客戶端�����,如果是則將轉到菜單生成單元��,其通過回溯算法生成用戶擁有的菜單結構����,并和業(yè)務執(zhí)行結果返回給客戶端的用戶。圖2顯示了本發(fā)明的基于Web應用的資源驗證與權限控制方法的流程圖����。所述方法包括:統(tǒng)一接收用戶對資源的請求���。判斷該請求的資源是否需要驗證。如果該請求的資源不需要驗證����,直接執(zhí)行該請求對應的業(yè)務操作并反饋給用戶。如果該資源需要驗證���,則根據(jù)用戶信息生成用戶擁有資源集���,將用戶請求的資源與用戶擁有資源集的資源相匹配����,如果匹配成功,則執(zhí)行該請求對應的業(yè) 務操作并反饋給用戶����。如圖3顯示了圖2的更詳細的流程圖,所述方法包括:步驟100:用戶發(fā)起對web資源的請求�����,接收用戶的請求,判斷資源的請求是否需要用戶認證��。如果請求的資源在待驗證資源池中����,則表示需要用戶認證,行進到步驟101���,否則直接跳轉到步驟108執(zhí)行業(yè)務操作����。步驟101:通過請求cookie數(shù)據(jù)或會話信息進行用戶身份認證�,并生成資源驗證時需要的上下文數(shù)據(jù),該上下文數(shù)據(jù)包括用戶信息�����,然后行進到步驟102�����。步驟102:如果身份認證通過�����,行進到步驟103。如果認證不通過���,則跳轉到步驟109�。步驟103:根據(jù)預先存儲的用戶-角色關系數(shù)據(jù)和角色-資源關系數(shù)據(jù)生成認證用戶擁有資源集�,放入所述上下文數(shù)據(jù)中。步驟104:根據(jù)用戶請求的資源地址(例如����,URL)與認證用戶擁有資源集進行精確匹配。步驟105:判斷匹配是否成功�����,如果匹配成功�,則表示通過驗證,跳轉到步驟108執(zhí)行業(yè)務操作���。如果匹配不成功,則轉到步驟106���。步驟106:進行表達式(可選用正則表達式或者自定義規(guī)則)匹配:根據(jù)用戶請求的資源地址與用戶擁有的帶表達式資源進行匹配����。
步驟107:判定步驟106的匹配是否成功,匹配成功則表示通過資源驗證�����,轉到步驟108執(zhí)行業(yè)務操作����,否則轉到步驟109。步驟108:執(zhí)行用戶行為及相關業(yè)務操作�,并轉到步驟109。步驟109:判定請求類型����,如果為同步請求,即發(fā)送方發(fā)出數(shù)據(jù)后�,等接收方發(fā)回響應以后才發(fā)下一個請求的通信方式,則行進到步驟110���,否則返回至用戶�,等待接收用戶的下一個請求�����。步驟110:根據(jù)所述上下文數(shù)據(jù)中存放的用戶擁有資源集合�����,用回朔等方法生成功能菜單結構,返回給用戶����。優(yōu)選地,在上述實施例中�����,在步驟100與110之間還增加了異常處理機制�,如果出現(xiàn)異常能夠保證捕獲到異常數(shù)據(jù),并作出反饋����。如果為同步請求,該方法還在步驟110之后加入了數(shù)據(jù)過濾器���,確保系統(tǒng)及用戶上下文����、常量數(shù)據(jù)的正常返回���,這是為了確保系統(tǒng)及用戶上下文�、常量數(shù)據(jù)的正常返回�����,降低異常對應用產生的影響��。下面以一個具體實例來描述本發(fā)明的一個具體應用�����。在一個項目管理系統(tǒng)中應用本發(fā)明��,該項目管理系統(tǒng)用于管理多個項目的生命周期�。首先,步驟100��,用戶請求“查看項目信息”���。則:根據(jù)待驗證資源池中的資源判斷“查看項目信息”是否需要驗證����。如果不需要驗證��,則直接轉到步驟108�,執(zhí)行“查詢項目信息”���,否則轉到步驟101生成驗證用的上下文數(shù)據(jù)。步驟101���,將請求攜帶到后臺的cookie信息(用戶登錄成功時種下)解密后����,生成用戶信息放入驗證用的上下文數(shù)據(jù)中�����,轉到步驟102�����。步驟102��,根據(jù)步驟101生成的上下文數(shù)據(jù)����,驗證此用戶信息是否存在且合法,如驗證通過則轉到步驟103生成“認證用戶擁有資源集”��,該資源集包括普通資源與表達式資源,否則轉到步驟109���。步驟103,遍歷用戶擁有的全部角色����,然后將角色對應的資源添加到“認證用戶擁有資源集”,并去掉重復的資源��,轉到步驟104����。步驟104,遍歷用戶擁有的普通資源集�����,并將資源集中的資源逐一地與“查看項目信息”進行精確比較��,如匹配成功則轉到步驟108����,執(zhí)行“查詢項目信息”,否則轉到步驟106進行正則表達式匹配����。步驟106�,遍歷用戶擁有的表達式資源集�,并將資源集中的資源逐一地與“查看項目信息”做正則匹配,如匹配成功則轉到步驟108�,執(zhí)行“查詢項目信息”。否則轉到步驟109���。步驟108�,執(zhí)行“查詢項目信息”操作�����,并獲得相應的結果數(shù)據(jù)��。步驟109��,判斷用戶的請求類型����,如果為同步請求,則轉到步驟110�。否則直接返回數(shù)據(jù)給請求者,然后等待用戶的下一個請求�����。步驟110,根據(jù)上下文中的用戶資源關系數(shù)據(jù)���,用回溯算法生成對應的被授權菜單結構���,和結果數(shù)據(jù)一并返回給用戶��,等待用戶的下一個請求�����。綜上所述�����,采用本發(fā)明的系統(tǒng)和方法實現(xiàn)Web應用的資源驗證與權限控制����,既能保證權限驗證與認證鏈的處理性能,也能保證權限驗證的準確性��。而且先資源驗證再進行業(yè)務處理����,且對業(yè)務模塊 零侵入�。本發(fā)明使web應用的統(tǒng)一資源驗證與權限控制的實時性�、安全性、穩(wěn)定性���、可擴展性大大提高�����。顯然����,本領域的技術人員可以對本申請中的實施例進行各種改動和變型而不脫離本申請的方法和范圍��。這樣,倘若本申請實施例中的這些修改和變型屬于本申請權利要求及其等同技術的范圍之 內�,則本申請的實施例也意圖包含這些改動和變型在內。
權利要求
1.一種基于web應用的資源驗證方法��,其特征在于�����,包括: 步驟1:接收來自客戶端的用戶對資源的業(yè)務請求���; 步驟2:判斷該資源是否需要驗證��; 步驟3:響應于該資源需要驗證�����,根據(jù)用戶信息生成用戶擁有資源集��; 步驟4:將該用戶擁有資源集放入資源驗證用的上下文數(shù)據(jù)中���; 步驟5:讀取所述上下文數(shù)據(jù),將用戶請求的資源與所述用戶擁有資源集中的資源相匹配���;以及 步驟6:響應于匹配成功�����,則從所述上下文數(shù)據(jù)中讀取用戶請求的資源��,執(zhí)行該資源對應的業(yè)務操作�����。
2.根據(jù)權利要求1所述的基于web應用的資源驗證方法���,其特征在于�����,所述步驟3還包括: 步驟3-1:響應于該資源需要驗證����,進一步對用戶身份進行認證�;以及 步驟3-2:響應于用戶身份認證成功,根據(jù)用戶信息生成用戶擁有資源集����。
3.根據(jù)權利要求2所述的基于web應用的資源驗證方法,其特征在于��,在所述步驟3-1中通過所述請 求攜帶的cookie或session信息來對用戶身份進行認證���。
4.根據(jù)權利要求1所述的基于web應用的資源驗證方法����,其特征在于��,所述步驟3還包括: 步驟3-3:響應于該資源需要驗證�,根據(jù)用戶信息且基于預先存儲的用戶-角色基礎數(shù)據(jù)和角色-資源關系數(shù)據(jù)�,獲取該用戶對應的資源集合��;以及 步驟3-4:去除該資源集合中的重復的資源�����,生成用戶擁有資源集�����。
5.根據(jù)權利要求1所述的基于web應用的資源驗證方法���,其特征在于���,所述步驟2還包括: 如果請求的所述資源在預先設置的待驗證資源池中���,則判定需要對該資源進行認證���。
6.根據(jù)權利要求1所述的基于web應用的資源驗證方法,其特征在于���,所述步驟5還包括: 步驟5-1:通過精確匹配來對用戶請求的資源與所述用戶擁有資源集中的資源進行匹配���。
7.根據(jù)權利要求6所述的基于web應用的資源驗證方法���,其特征在于,所述步驟5還包括: 步驟5-2:響應于精確匹配失敗���,進一步通過表達式匹配來對用戶請求的資源與所述用戶擁有資源集中的資源進行匹配����。
8.根據(jù)權利要求1所述的基于web應用的資源驗證方法�����,其特征在于�,在所述步驟6之后還包括: 步驟7:響應于所述業(yè)務操作操作執(zhí)行完畢,根據(jù)所述上下文數(shù)據(jù)中的用戶擁有資源集生成菜單結構��,并響應給客戶端�����。
9.根據(jù)權利要求8所述的基于web應用的資源驗證系統(tǒng)���,其特征在于�����,所述步驟7還包括: 步驟7-1:響應于所述業(yè)務操作執(zhí)行完畢�����,判斷所述請求是否為同步請求���; 步驟7-2:響應于判斷所述請求為異步請求���,發(fā)送執(zhí)行結果至所述客戶端;以及步驟7-3:響應于判斷所述請求為同步請求�����,根據(jù)所述上下文數(shù)據(jù)中的用戶擁有資源集生成菜單結構��,并響應給客戶端�。
10.一種基于web應用的資源驗證系統(tǒng)����,其特征在于,包括: 統(tǒng)一認證單元�����,統(tǒng)一認證單元接收來自客戶端的用戶對資源的業(yè)務請求,如果該資源需要認證����,則根據(jù)用戶信息生成用戶擁有資源集,且將用戶擁有資源集放入資源驗證用的上下文數(shù)據(jù)中�����; 資源驗證單元�����,資源驗證單元響應于該資源需要認證��,而讀取所述上下文數(shù)據(jù)����,將用戶請求的資源與所述用戶擁有資源集中的資源相匹配;以及 用戶行為及業(yè)務執(zhí)行單元�,用戶行為及業(yè)務執(zhí)行單元響應于資源匹配成功,而執(zhí)行該資源對應的業(yè)務操作�����。
11.根據(jù)權利要求10所述的基于web應用的資源驗證系統(tǒng),其特征在于���,所述統(tǒng)一認證單元進一步包括: 響應于該資源需要驗證��,進一步對用戶身份進行認證��;以及 響應于用戶身份認證成功��,根據(jù)用戶信息生成用戶擁有資源集�����。
12.根據(jù)權利要求11所述的基于web應用的資源驗證系統(tǒng)��,其特征在于��,所述統(tǒng)一認證單元通過所述請求攜帶的cookie或session信息來對用戶身份進行認證�����。
13.根據(jù)權利要求10所述的基于web應用的資源驗證系統(tǒng)�����,其特征在于��,進一步包括:存儲有預先設定的用戶-角色基礎數(shù)據(jù)和角色-資源關系數(shù)據(jù)的初始化及動態(tài)維護單元�, 其中����,所述統(tǒng)一認證單元進一步包括: 響應于該資源需要驗證,根據(jù)用戶信息����,從所述初始化及動態(tài)維護單元獲取針對該用戶的資源集合;以及 去除該資源集合中的重復的資源�,生成用戶擁有資源集。
14.根據(jù)權利要求10所述的基于web應用的資源驗證系統(tǒng)�����,其特征在于��,所述統(tǒng)一認證單元進一步包括: 如果請求的所述資源在預先設置的待驗證資源池中��,則判定需要對該資源進行認證����。
15.根據(jù)權利要求10所述的基于web應用的資源驗證系統(tǒng),其特征在于,所述資源驗證單元進一步包括: 通過精確匹配來對用戶請求的資源與所述用戶擁有資源集中的資源進行匹配���。
16.根據(jù)權利要求15所述的基于web應用的資源驗證系統(tǒng)���,其特征在于,所述資源驗證單元進一步包括: 響應于精確匹配失敗�����,進一步通過表達式匹配來對用戶請求的資源與所述用戶擁有資源集中的資源進行匹配�。
17.根據(jù)權利要求10所述的基于web應用的資源驗證系統(tǒng),其特征在于��,還包括菜單生成單元��,其中��, 所述菜單生成單元響應于所述業(yè)務操作操作執(zhí)行完畢�,根據(jù)所述上下文數(shù)據(jù)中的用戶擁有資源集生成菜單結構,并響應給客戶端���。
18.根據(jù)權利要求17所述的基于web應用的資源驗證系統(tǒng)��,其特征在于����,所述用戶行為和業(yè)務執(zhí)行單元進一步包括: 響應于所述業(yè)務操作執(zhí)行完畢,判斷所述請求是否為同步請求����;響應于判斷所述請求為異步請求��,發(fā)送執(zhí)行結果至所述客戶端���;以及響應于判斷所述請求為同步請求�,根據(jù)所述上下文數(shù)據(jù)中的用戶擁有資源集生成菜單結構���,并響應給 客戶端���。
全文摘要
一種基于web應用的資源驗證系統(tǒng)和方法,所述方法包括接收來自客戶端的用戶對資源的業(yè)務請求��;判斷該資源是否需要驗證�����;響應于該資源需要驗證��,根據(jù)用戶信息生成用戶擁有資源集;將該用戶擁有資源集放入資源驗證用的上下文數(shù)據(jù)中����;讀取所述上下文數(shù)據(jù),將用戶請求的資源與所述用戶擁有資源集中的資源相匹配�����;響應于匹配成功�����,則從所述上下文數(shù)據(jù)中讀取用戶請求的資源����,執(zhí)行該資源對應的業(yè)務操作。本發(fā)明能夠準確��、統(tǒng)一地進行web資源驗證�����,并對資源的權限進行精細化控制�。
文檔編號H04L29/06GK103220289SQ201310128360
公開日2013年7月24日 申請日期2013年4月15日 優(yōu)先權日2013年4月15日
發(fā)明者譚龍 申請人:北京京東尚科信息技術有限公司