一種鑒權方法及裝置與流程

本發明涉及信息安全
技術領域：
，尤其涉及一種鑒權方法及裝置。
背景技術：
：在云服務的鑒權體系中，用戶可以通過云服務管理平臺訪問云資源，然而并非各個用戶都具備訪問云資源的資格，云服務管理平臺需要對發送資源訪問請求的用戶進行鑒權，對于鑒權通過的用戶才可以訪問云資源。在鑒權過程中需要對用戶所訪問的資源和對所訪問資源的操作方式都進行鑒定，而在現有的技術方案中，對于用戶標識、用戶組、用戶標識對應的可訪問資源、可操作方式等之間的關系是分別存儲和管理的，例如，保存了用戶標識和用戶組的關系表、用戶組和策略組的關系表，策略組和可訪問資源的關系表、策略組和可操作方式的關系表等，這樣能夠直觀的體現出兩兩數據之間的關系，但是在鑒權過程中，需要從各個關系表中進行一一匹配，例如要先查看用戶所在的組，然后查找與用戶組相關的策略，在從策略對應的可訪問資源中查找是否包含用戶請求的資源；還需要從策略對應的可操作方式中確認是否包含用戶的操作。因此，現有技術方案需要從多個關系表中多次查找才可以確定鑒權結果，降低了對用戶訪問請求的鑒權效率。技術實現要素：本發明實施例提供一種鑒權方法及裝置，通過從一個按照用戶標識分類的策略表中查找到與資源訪問請求的相關數據，節省了相關數據的查找時間，進而提高了對資源訪問請求的鑒權效率。本發明實施例第一方面提供了一種鑒權方法，包括：接收用戶的目標資源訪問請求，所述目標資源訪問請求攜帶目標用戶標識、目標訪問資源和對所述目標訪問資源的目標操作方式；在緩存表中查找是否存在所述目標資源訪問請求的鑒權結果，所述緩存表包含接收到所述目標資源訪問請求之前的預設時間段內的多個資源訪問請求的鑒權結果；當所述緩存表中不存在所述目標資源訪問請求的鑒權結果時，采用第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果；其中，所述第一策略表為包含用戶標識、可訪問資源、對所述可訪問資源的可操作方式的關系表，所述第一策略表是以用戶標識進行分類的，每個用戶標識對應至少一個可訪問資源，以及每個可訪問資源對應至少一個可操作方式。本發明實施例第二方面提供了一種鑒權裝置，包括：請求接收單元，用于接收用戶的目標資源訪問請求，所述目標資源訪問請求攜帶目標用戶標識、目標訪問資源和對所述目標訪問資源的目標操作方式；結果查找單元，用于在緩存表中查找是否存在所述目標資源訪問請求的鑒權結果，所述緩存表包含接收到所述目標資源訪問請求之前的預設時間段內的多個資源訪問請求的鑒權結果；第一鑒權單元，用于當所述緩存表中不存在所述目標資源訪問請求的鑒權結果時，采用第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果；其中，所述第一策略表為包含用戶標識、可訪問資源、對所述可訪問資源的可操作方式的關系表，所述第一策略表是以用戶標識進行分類的，每個用戶標識對應至少一個可訪問資源，以及每個可訪問資源對應至少一個可操作方式。在本發明實施例中，當接收到用戶的攜帶目標用戶標識、目標訪問資源和對目標訪問資源的目標操作方式的目標資源訪問請求時，在緩存表中查找是否存在目標資源訪問請求的鑒權結果，當緩存表中不存在目標資源訪問請求的鑒權結果時，采用第一策略表對目標資源訪問請求進行鑒權，并將目標資源訪問請求的鑒權結果進行輸出。由于第一策略表是以用戶標識分類的且為包含用戶標識、可訪問資源、對可訪問資源的可操作方式的關系表，這樣能夠在一個關系表中查找相關數據，節省了查找目標資源訪問請求的相關數據的時間，進而提高了對資源訪問請求的鑒權效率。附圖說明為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖1是本發明實施例提供的一種鑒權方法的流程示意圖；圖2是本發明實施例提供的另一種鑒權方法的流程示意圖；圖3是本發明實施例提供的一種步驟205的流程示意圖；圖4是本發明實施例提供的一種鑒權裝置的結構示意圖；圖5是本發明實施例提供的另一種鑒權裝置的結構示意圖；圖6是本發明實施例提供的一種第一鑒權單元的結構示意圖；圖7是本發明實施例提供的一種策略表更新單元的結構示意圖；圖8是本發明實施例提供的另一種鑒權裝置的結構示意圖。具體實施方式下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有付出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。需要說明的是，在本發明實施例中使用的術語是僅僅出于描述特定實施例的目的，而非旨在限制本發明。在本發明實施例和所附權利要求書中所使用的單數形式的“一種”、“所述”和“該”也旨在包括多數形式，除非上下文清楚地表示其他含義。還應當理解，本文中使用的術語“和/或”是指并包含一個或多個相關聯的列出項目的任何或所有可能組合。另外，本發明的說明書和權利要求書及上述附圖中的術語“第一”、“第二”、“第三”和“第四”等是用于區別不同對象，而不是用于描述特定順序。此外，術語“包括”和“具有”以及它們任何變形，意圖在于覆蓋不排他的包含。例如包含了一系列步驟或單元的過程、方法、系統、產品或設備沒有限定于已列出的步驟或單元，而是可選地還包括沒有列出的步驟或單元，或可選地還包括對于這些過程、方法、產品或設備固有的其它步驟或單元。本發明實施例提供的鑒權方法可以應用于訪問云服務資源的場景中，例如，接收用戶的目標云資源訪問請求，所述目標云資源訪問請求攜帶目標用戶標識、目標訪問云資源和對所述目標訪問云資源的目標操作方式；在緩存表中查找是否存在所述目標云資源訪問請求的鑒權結果，所述緩存表包含接收到所述目標云資源訪問請求之前的預設時間段內的多個云資源訪問請求的鑒權結果；當所述緩存表中不存在所述目標云資源訪問請求的鑒權結果時，采用第一策略表對所述目標云資源訪問請求進行鑒權，并將所述目標云資源訪問請求的鑒權結果進行輸出；其中，所述第一策略表為包含用戶標識、可訪問云資源、對所述可訪問云資源的可操作方式的關系表，由于第一策略表是以用戶標識分類的且為包含用戶標識、可訪問云資源、對可訪問云資源的可操作方式的關系表，這樣能夠在一個關系表中查找相關數據，節省了查找目標云資源訪問請求的相關數據的時間，進而提高了對云資源訪問請求的鑒權效率。本發明實施例涉及的鑒權裝置可以是對資源訪問請求進行鑒權等的后臺設備，所述鑒權裝置可以為單獨設立的一臺物理機，本發明實施例對此不做限定。請參見圖1，為本發明實施例提供了一種鑒權方法的流程示意圖。如圖1所示，本發明實施例的所述方法是由鑒權裝置執行的，可以包括以下步驟101-步驟103。101，接收用戶的目標資源訪問請求。具體的，鑒權裝置接收用戶的目標資源訪問請求。其中，所述目標資源訪問請求攜帶目標用戶標識、目標訪問資源和對所述目標訪問資源的目標操作方式。舉例來說，用戶可以通過登陸資源管理平臺發起目標資源訪問請求。其中，用戶標識是用于標記對目標訪問資源執行目標操作方式的用戶的。例如，所述目標訪問資源可以為所述服務器中的某一個文件、數據等等，所述目標操作方式可以為讀取指令(read)、刪除指令(delete)、寫入指令(write)等等，本發明實施例對目標操作方式所包含的方式不做限定。102，在緩存表中查找是否存在所述目標資源訪問請求的鑒權結果。具體的，所述鑒權裝置在緩存表中查找是否存在所述目標資源訪問請求的鑒權結果，其中，鑒權結果包括鑒權通過和鑒權不通過，若為鑒權通過，表示所述鑒權裝置允許按照所述目標資源訪問請求對目標訪問資源執行目標操作方式，若為鑒權不通過，則表示所述鑒權裝置拒絕所述目標資源訪問請求。進一步，所述緩存表包含接收到所述目標資源訪問請求之前的預設時間段內的多個資源訪問請求的鑒權結果。預設時間段是所述鑒權裝置預先設定的，例如，對于資源訪問請求較為頻繁的，所述鑒權裝置可以設定為接收到目標資源訪問請求的時刻的前一小時的全部資源訪問請求的鑒權結果；對于資源訪問請求較為稀疏的，所述鑒權裝置可以設定為接收到目標資源訪問請求的時刻的前24小時的全部資源訪問請求的鑒權結果，本發明實施例對緩存表所緩存的鑒權結果的時長不做限定。可選的，所述緩存表包含多個資源訪問請求中每個資源訪問請求的用戶標識、訪問資源、操作方式、鑒權結果等等數據。通過將目標資源訪問請求中目標用戶標識、目標訪問資源和對所述目標資源訪問請求的目標操作方式與緩存表中的數據一一比對，進而確定該目標資源訪問請求的鑒權結果。103，當所述緩存表中不存在所述目標資源訪問請求的鑒權結果時，采用第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果。具體的，當所述緩存表中不存在所述目標資源訪問請求的鑒權結果時，采用第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果。其中，所述第一策略表為包含用戶標識、可訪問資源、對所述可訪問資源的可操作方式的關系表，所述第一策略表是以用戶標識進行分類的，每個用戶標識對應至少一個可訪問資源，以及每個可訪問資源對應至少一個可操作方式。例如，請參見上表，為一種形式下的策略表，包含用戶標識、可訪問資源、可操作方式，按照用戶標識進行分類，這樣在對目標資源訪問請求進行鑒權時，能夠快速從第一策略標識中查找到目標用戶標識對應的可訪問資源以及可操作方式，進而提高了對目標資源訪問請求的鑒權效率。進一步的，當所述緩存表中存在所述目標資源訪問請求的鑒權結果時，所述鑒權裝置將在所述緩存表查找到的鑒權結果進行輸出。可選的，若所述目標資源訪問請求的鑒權結果為鑒權通過，則所述鑒權裝置對所述目標資源訪問請求進行處理，即按照所述目標資源訪問請求中的目標操作方式對目標訪問資源進行處理，在處理完成之后，所述鑒權裝置可以將處理結果進行輸出。在本發明實施例中，當接收到用戶的攜帶目標用戶標識、目標訪問資源和對目標訪問資源的目標操作方式的目標資源訪問請求時，在緩存表中查找是否存在目標資源訪問請求的鑒權結果，當緩存表中不存在目標資源訪問請求的鑒權結果時，采用第一策略表對目標資源訪問請求進行鑒權，并將目標資源訪問請求的鑒權結果進行輸出。由于第一策略表是以用戶標識分類的且為包含用戶標識、可訪問資源、對可訪問資源的可操作方式的關系表，這樣能夠在一個關系表中查找相關數據，節省了查找目標資源訪問請求的相關數據的時間，進而提高了對資源訪問請求的鑒權效率。請參見圖2，為本發明實施例提供了另一種鑒權方法的流程示意圖。如圖2所示，本發明實施例的所述方法是由鑒權裝置執行的，可以包括以下步驟201-步驟207。201，接收用戶的目標資源訪問請求。具體的，鑒權裝置接收用戶的目標資源訪問請求。其中，所述目標資源訪問請求攜帶目標用戶標識、目標訪問資源和對所述目標訪問資源的目標操作方式。舉例來說，用戶可以通過登陸資源管理平臺發起目標資源訪問請求。其中，用戶標識是用于標記對目標訪問資源執行目標操作方式的用戶的。例如，所述目標訪問資源可以為所述服務器中的某一個文件、數據等等，所述目標操作方式可以為讀取指令(read)、刪除指令(delete)、寫入指令(write)等等，本發明實施例對目標操作方式所包含的方式不做限定。202，在緩存表中查找是否存在所述目標資源訪問請求的鑒權結果。具體的，所述鑒權裝置在緩存表中查找是否存在所述目標資源訪問請求的鑒權結果，其中，鑒權結果包括鑒權通過和鑒權不通過，若為鑒權通過，表示所述鑒權裝置允許按照所述目標資源訪問請求對目標訪問資源執行目標操作方式，若為鑒權不通過，則表示所述鑒權裝置拒絕所述目標資源訪問請求。進一步，所述緩存表包含接收到所述目標資源訪問請求之前的預設時間段內的多個資源訪問請求的鑒權結果。預設時間段是所述鑒權裝置預先設定的，例如，對于資源訪問請求較為頻繁的，所述鑒權裝置可以設定為接收到目標資源訪問請求的時刻的前一小時的全部資源訪問請求的鑒權結果；對于資源訪問請求較為稀疏的，所述鑒權裝置可以設定為接收到目標資源訪問請求的時刻的前24小時的全部資源訪問請求的鑒權結果，本發明實施例對緩存表所緩存的鑒權結果的時長不做限定。可選的，所述緩存表包含多個資源訪問請求中每個資源訪問請求的用戶標識、訪問資源、操作方式、鑒權結果等等數據。通過將目標資源訪問請求中目標用戶標識、目標訪問資源和對所述目標資源訪問請求的目標操作方式與緩存表中的數據一一比對，進而確定該目標資源訪問請求的鑒權結果。203，當所述緩存表中存在所述目標資源訪問請求的鑒權結果時，所述鑒權裝置將查找到的鑒權結果進行輸出。204，當所述緩存表中不存在所述目標資源訪問請求的鑒權結果時，檢測第二策略表的當前版本號是否高于所述第一策略表的當前版本號。具體的，緩存表中不存在所述目標資源訪問請求的鑒權結果時，檢測第二策略表的當前版本號是否高于所述第一策略表的當前版本號。其中，所述第一策略表為包含用戶標識、可訪問資源、對所述可訪問資源的可操作方式的關系表，所述第一策略表是以用戶標識進行分類的，每個用戶標識對應至少一個可訪問資源，以及每個可訪問資源對應至少一個可操作方式。進一步的，所述第二策略表包含用戶標識和用戶組的關系表、用戶組和策略標識的關系表、策略標識和可訪問資源的映射表以及策略標識和可操作方式的映射表。舉例來說，第二策略表中的策略標識用于對應由多個可訪問資源組成的資源組，或者，所述策略標識用于對應由多個可操作方式組成的權限組。進一步的，第一策略表的當前版本號和第二策略表的當前版本號可以通過最新更新時間表示，版本號可以指示所更新的數據，例如，變化的可訪問資源、變化的用戶標識、變化的可操作方式等等，對于第二策略列表而言，還可以包括變化的用戶組標識、變化的策略標識等等。可選的，由于第二策略表是通過各個策略標識進行區分的，當用戶標識或可訪問資源或可操作方式的增加、減少等發生變化時，可以先更新第二策略表，由于第二策略表包含了多個關系表，可以通過修改其中一個關系表就有可能完成數據的更新，能夠提高策略表的更新效率，并設置更新后的版本號。在第二策略表更新之后，在根據第二策略表更新第一策略表，以保證第一策略表的準確性，并在第一策略表更新之后，更新第一策略表的版本號。205，若否，則采用所述第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果。具體的，若所述第二策略表的當前版本號不高于所述第一策略表的當前版本號，則采用所述第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果。由于第一策略表為按照用戶標識分類關系表，且一個關系表中包含了多個數據，通過第一策略表對所述目標資源訪問請求進行鑒權，能夠提高鑒權效率。請一并參見圖3，為本發明實施例提供了步驟205的流程示意圖，如圖3所示，步驟205可以包括步驟2051至步驟2055。2051，從所述第一策略表中查找與所述用戶標識對應的可訪問資源和對所述可訪問資源的可操作方式。具體的，所述鑒權裝置從所述第一策略表中查找與所述用戶標識對應的可訪問資源和對所述可訪問資源的可操作方式。2052，判斷所述可訪問資源中是否存在所述目標訪問資源。具體的，所述鑒權裝置在與所述目標用戶標識對應的至少一個可訪問資源中查找是否存在所述目標訪問資源。若存在所述目標訪問資源，則執行步驟2053；若不存在所述目標訪問資源，則執行步驟2055。2053，若所述可訪問資源中存在所述目標訪問資源，則判斷對所述目標訪問資源的可操作方式中是否存在所述目標操作方式。具體的，所述鑒權裝置判斷所述可訪問資源中存在所述目標訪問資源，則進一步判斷對所述目標訪問資源的可操作方式中是否存在所述目標操作方式，若所述可操作方式中存在所述目標操作方式，則執行步驟2054，若所述可操作方式中不存在所述目標操作方式，則執行步驟2055。2054，若對所述目標訪問資源的可操作方式中存在所述目標操作方式，則確定所述資源訪問請求的鑒權結果為鑒權通過，并輸出所述目標資源訪問請求的鑒權結果。具體的，若對所述目標訪問資源的可操作方式中存在所述目標操作方式，則確定所述資源訪問請求的鑒權結果為鑒權通過，并輸出所述目標資源訪問請求的鑒權結果。可選的，若所述目標資源訪問請求的鑒權結果為鑒權通過，則所述鑒權裝置對所述目標資源訪問請求進行處理，即按照所述目標資源訪問請求中的目標操作方式對目標訪問資源進行處理，在處理完成之后，所述鑒權裝置可以將處理結果進行輸出。2055，確定所述資源訪問請求的鑒權結果為鑒權不通過。具體的，若所述可訪問資源中不存在所述目標訪問資源，或者，若所述可操作方式中不存在所述目標操作方式，則所述鑒權裝置確定所述資源訪問請求的鑒權結果為鑒權不通過，并將鑒權結果進行輸出，以使用戶了解鑒權結果。206，若所述第二策略表的當前版本號高于所述第一策略表的當前版本號，則采用所述第二策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果。具體的，若所述第二策略表的當前版本號高于所述第一策略表的當前版本號，則所述鑒權裝置采用所述第二策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果。所述鑒權裝置可以通過從多個關系表中查找是否存在所述目標資源訪問請求對應的數據，以完成鑒權。207，若所述第二策略表的當前版本號高于所述第一策略表的當前版本號，則根據所述第二策略表，更新所述第一策略表。具體的，當所述第二策略表的當前版本號高于所述第一策略表的當前版本號時，所述鑒權裝置根據所述第二策略表，更新所述第一策略表。根據所述第一策略表的當前版本號，與所述第二策略表的歷史版本信息進行對比，確定所述第一策略表的未更新數據。按照所述未更新數據，對所述第一策略表進行更新，并將所述第一策略表的當前版本號變更為所述第二策略表的當前版本號。舉例來說，對于一用戶標識而言，可能對應于兩個或者兩個以上的用戶組，不同用戶組對應不同的資源標識，不同資源標識對應的可操作資源不同或者可操作方式不同，例如下表：第二策略表包括以下表A、表B、表C、表D。表A：用戶組和用戶標識的關系表用戶組用戶標識G1ID-1；ID-2G2ID-1；ID-3；ID-4表B：用戶組和資源標識的關系表用戶組資源標識G1RID-1；RID-2；G2RID-3表C：資源標識和可訪問資源的關系表資源標識可訪問資源RID-1R-A、R-BRID-2R-CRID-3R-C；R-D表D：資源標識和可操作方式的關系表資源標識可操作方式RID-1O1；O3；RID-2O1；RID-3O2；而與當前的第二策略表對應的第一策略表為表E。表E：第一策略表可以看出，通過第二策略表對目標資源訪問請求進行鑒權時，需要通過多個關系表來確定，而通過第一策略表對目標資源訪問請求進行鑒權時，僅需要從一個關系表中就可以確定，大量了減少了打開關系表、關閉關系表、查找數據的時間，能夠提高鑒權效率。因此，在第二策略表的當前版本號不高于第一策略表的當前版本號的情況下，采用第一策略表進行鑒權，在第二策略表的當前版本號高于第一策略表的當前版本號的的情況下，采用第二策略表進行鑒權。進一步可選的，由于第二策略表直觀的體現了各個數據之間的關系，對于用戶組新增用戶標識時，可以通過第二策略表的用戶組和用戶標識的關系表直接且快速的進行更新，而對于第一策略表還需要更新新增用戶標識的可訪問資源和可操作方式，因此在有新的數據需要更新時，優先更新第二策略表，使得更新效率更高協，并更新第二策略表的版本號。進一步可選的，在更新第二策略表之后，可以根據第二策略表的更新內容更新第一策略表。進一步可選的，當接收到策略表的變更請求時，還可以采用優先更新第一策略表的方式，在更新第一策略標識之后，再根據更新之后的第一策略表更新第二策略表。或者，當接收到策略表的變更請求時，同步更新第一策略表和第二策略表，本發明實施例對此不做限定。在本發明實施例中，當接收到用戶的攜帶目標用戶標識、目標訪問資源和對目標訪問資源的目標操作方式的目標資源訪問請求時，當緩存表中不存在目標資源訪問請求的鑒權結果時，若第二策略表的版本號部不高于第一策略表的版本號，則采用第一策略表對目標資源訪問請求進行鑒權，若第二策略表的版本號部高于第一策略表的版本號，則采用第二策略表對目標資源訪問請求進行鑒權，并將目標資源訪問請求的鑒權結果進行輸出。由于第一策略表是以用戶標識分類的且為包含用戶標識、可訪問資源、對可訪問資源的可操作方式的關系表，這樣能夠在一個關系表中查找相關數據，節省了查找目標資源訪問請求的相關數據的時間，進而提高了對資源訪問請求的鑒權效率，另外，由于第二策略表包含多個關系表，能夠較快的完成更新，在第二策略表保存有最新數據且第一策略表未更新的情況下，可以通過第二策略表對目標資源請求進行鑒權，保證了鑒權的準確性。請參見圖4，為本發明實施例提供了一種鑒權裝置的結構示意圖。如圖4所示，本發明實施例的所述鑒權裝置1可以包括：請求接收單元11、結果查找單元12和第一鑒權單元13。請求接收單元11，用于接收用戶的目標資源訪問請求，所述目標資源訪問請求攜帶目標用戶標識、目標訪問資源和對所述目標訪問資源的目標操作方式。具體的，所述請求接收單元11接收用戶的目標資源訪問請求。其中，所述目標資源訪問請求攜帶目標用戶標識、目標訪問資源和對所述目標訪問資源的目標操作方式。舉例來說，用戶可以通過登陸資源管理平臺發起目標資源訪問請求。其中，用戶標識是用于標記對目標訪問資源執行目標操作方式的用戶的。例如，所述目標訪問資源可以為所述服務器中的某一個文件、數據等等，所述目標操作方式可以為讀取指令(read)、刪除指令(delete)、寫入指令(write)等等，本發明實施例對目標操作方式所包含的方式不做限定。結果查找單元12，用于在緩存表中查找是否存在所述目標資源訪問請求的鑒權結果，所述緩存表包含接收到所述目標資源訪問請求之前的預設時間段內的多個資源訪問請求的鑒權結果。具體的，所述結果查找單元12在緩存表中查找是否存在所述目標資源訪問請求的鑒權結果，其中，鑒權結果包括鑒權通過和鑒權不通過，若為鑒權通過，表示所述鑒權裝置1允許按照所述目標資源訪問請求對目標訪問資源執行目標操作方式，若為鑒權不通過，則表示所述鑒權裝置1拒絕所述目標資源訪問請求。進一步，所述緩存表包含接收到所述目標資源訪問請求之前的預設時間段內的多個資源訪問請求的鑒權結果。預設時間段是所述鑒權裝置1預先設定的，例如，對于資源訪問請求較為頻繁的，所述鑒權裝置1可以設定為接收到目標資源訪問請求的時刻的前一小時的全部資源訪問請求的鑒權結果；對于資源訪問請求較為稀疏的，所述鑒權裝置1可以設定為接收到目標資源訪問請求的時刻的前24小時的全部資源訪問請求的鑒權結果，本發明實施例對緩存表所緩存的鑒權結果的時長不做限定。可選的，所述緩存表包含多個資源訪問請求中每個資源訪問請求的用戶標識、訪問資源、操作方式、鑒權結果等等數據。通過將目標資源訪問請求中目標用戶標識、目標訪問資源和對所述目標資源訪問請求的目標操作方式與緩存表中的數據一一比對，進而確定是否存在該目標資源訪問請求的鑒權結果。第一鑒權單元13，用于當所述緩存表中不存在所述目標資源訪問請求的鑒權結果時，采用第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果。具體的，當所述緩存表中不存在所述目標資源訪問請求的鑒權結果時，所述第一鑒權單元13采用第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果。其中，所述第一策略表為包含用戶標識、可訪問資源、對所述可訪問資源的可操作方式的關系表，所述第一策略表是以用戶標識進行分類的，每個用戶標識對應至少一個可訪問資源，以及每個可訪問資源對應至少一個可操作方式。進一步的，當所述緩存表中存在所述目標資源訪問請求的鑒權結果時，所述鑒權裝置1將在所述緩存表查找到的鑒權結果進行輸出。可選的，若所述目標資源訪問請求的鑒權結果為鑒權通過，則所述鑒權裝置1對所述目標資源訪問請求進行處理，即按照所述目標資源訪問請求中的目標操作方式對目標訪問資源進行處理，在處理完成之后，所述鑒權裝置1可以將處理結果進行輸出。在本發明實施例中，當接收到用戶的攜帶目標用戶標識、目標訪問資源和對目標訪問資源的目標操作方式的目標資源訪問請求時，在緩存表中查找是否存在目標資源訪問請求的鑒權結果，當緩存表中不存在目標資源訪問請求的鑒權結果時，采用第一策略表對目標資源訪問請求進行鑒權，并將目標資源訪問請求的鑒權結果進行輸出。由于第一策略表是以用戶標識分類的且為包含用戶標識、可訪問資源、對可訪問資源的可操作方式的關系表，這樣能夠在一個關系表中查找相關數據，節省了查找目標資源訪問請求的相關數據的時間，進而提高了對資源訪問請求的鑒權效率。請參見圖5，為本發明實施例提供了一種鑒權裝置的結構示意圖。如圖5所示，本發明實施例的所述鑒權裝置1可以包括：請求接收單元11、結果查找單元12、第一鑒權單元13、版本號檢測單元14、第二鑒權單元15和策略表更新單元16。請求接收單元11，用于接收用戶的目標資源訪問請求，所述目標資源訪問請求攜帶目標用戶標識、目標訪問資源和對所述目標訪問資源的目標操作方式。具體的，所述請求接收單元11接收用戶的目標資源訪問請求。其中，所述目標資源訪問請求攜帶目標用戶標識、目標訪問資源和對所述目標訪問資源的目標操作方式。舉例來說，用戶可以通過登陸資源管理平臺發起目標資源訪問請求。其中，用戶標識是用于標記對目標訪問資源執行目標操作方式的用戶的。例如，所述目標訪問資源可以為所述服務器中的某一個文件、數據等等，所述目標操作方式可以為讀取指令(read)、刪除指令(delete)、寫入指令(write)等等，本發明實施例對目標操作方式所包含的方式不做限定。結果查找單元12，用于在緩存表中查找是否存在所述目標資源訪問請求的鑒權結果，所述緩存表包含接收到所述目標資源訪問請求之前的預設時間段內的多個資源訪問請求的鑒權結果。具體的，所述結果查找單元12在緩存表中查找是否存在所述目標資源訪問請求的鑒權結果，其中，鑒權結果包括鑒權通過和鑒權不通過，若為鑒權通過，表示所述鑒權裝置1允許按照所述目標資源訪問請求對目標訪問資源執行目標操作方式，若為鑒權不通過，則表示所述鑒權裝置1拒絕所述目標資源訪問請求。進一步，所述緩存表包含接收到所述目標資源訪問請求之前的預設時間段內的多個資源訪問請求的鑒權結果。預設時間段是所述鑒權裝置1預先設定的，例如，對于資源訪問請求較為頻繁的，所述鑒權裝置1可以設定為接收到目標資源訪問請求的時刻的前一小時的全部資源訪問請求的鑒權結果；對于資源訪問請求較為稀疏的，所述鑒權裝置1可以設定為接收到目標資源訪問請求的時刻的前24小時的全部資源訪問請求的鑒權結果，本發明實施例對緩存表所緩存的鑒權結果的時長不做限定。可選的，所述緩存表包含多個資源訪問請求中每個資源訪問請求的用戶標識、訪問資源、操作方式、鑒權結果等等數據。通過將目標資源訪問請求中目標用戶標識、目標訪問資源和對所述目標資源訪問請求的目標操作方式與緩存表中的數據一一比對，進而確定該目標資源訪問請求的鑒權結果。版本號檢測單元14，用于當所述緩存表中不存在所述目標資源訪問請求的鑒權結果時，檢測第二策略表的當前版本號是否高于所述第一策略表的當前版本號。具體的，若緩存表中不存在所述目標資源訪問請求的鑒權結果時，所述版本號檢測單元14檢測第二策略表的當前版本號是否高于所述第一策略表的當前版本號。其中，所述第一策略表為包含用戶標識、可訪問資源、對所述可訪問資源的可操作方式的關系表，所述第一策略表是以用戶標識進行分類的，每個用戶標識對應至少一個可訪問資源，以及每個可訪問資源對應至少一個可操作方式。進一步的，所述第二策略表包含用戶標識和用戶組的關系表、用戶組和策略標識的關系表、策略標識和可訪問資源的映射表以及策略標識和可操作方式的映射表。舉例來說，第二策略表中的策略標識用于對應由多個可訪問資源組成的資源組，或者，所述策略標識用于對應由多個可操作方式組成的權限組。進一步的，第一策略表的當前版本號和第二策略表的當前版本號可以通過最新更新時間表示，版本號可以指示所更新的數據，例如，變化的可訪問資源、變化的用戶標識、變化的可操作方式等等，對于第二策略列表而言，還可以包括變化的用戶組標識、變化的策略標識等等。可選的，由于第二策略表是通過各個策略標識進行區分的，當用戶標識或可訪問資源或可操作方式的增加、減少等發生變化時，可以先更新第二策略表，由于第二策略表包含了多個關系表，可以通過修改其中一個關系表就有可能完成數據的更新，能夠提高策略表的更新效率，并設置更新后的版本號。在第二策略表更新之后，在根據第二策略表更新第一策略表，以保證第一策略表的準確性，并在第一策略表更新之后，更新第一策略表的版本號。第一鑒權單元13，用于若所述版本號檢測單元檢測所述第二策略表的當前版本號不高于所述第一策略表的當前版本號，則采用所述第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果。具體的，請一并參見圖6，為本發明實施例提供了一種第一鑒權單元的結構示意圖，如圖6所示，所述第一鑒權單元13包括數據查找子單元131、第一判斷子單元132、第二判斷子單元133和結果確定子單元134。數據查找子單元131，用于從所述第一策略表中查找與所述用戶標識對應的可訪問資源和對所述可訪問資源的可操作方式。具體的，所述數據查找子單元131從所述第一策略表中查找與所述用戶標識對應的可訪問資源和對所述可訪問資源的可操作方式。第一判斷子單元132，用于判斷所述可訪問資源中是否存在所述目標訪問資源。具體的，所述第一判斷子單元132在與所述目標用戶標識對應的至少一個可訪問資源中查找是否存在所述目標訪問資源。若存在所述目標訪問資源，則執行第二判斷子單元133。第二判斷子單元133，用于若所述第一判斷子單元判斷所述可訪問資源中存在所述目標訪問資源，則判斷對所述目標訪問資源的可操作方式中是否存在所述目標操作方式。具體的，所述第二判斷子單元133判斷所述可訪問資源中存在所述目標訪問資源，則進一步判斷對所述目標訪問資源的可操作方式中是否存在所述目標操作方式，若所述可操作方式中存在所述目標操作方式，則執行結果確定子單元134。結果確定子單元134，用于若所述第二判斷子單元判斷對所述目標訪問資源的可操作方式中存在所述目標操作方式，則確定所述資源訪問請求的鑒權結果為鑒權通過，并輸出所述目標資源訪問請求的鑒權結果。具體的，若對所述目標訪問資源的可操作方式中存在所述目標操作方式，則所述結果確定子單元134確定所述資源訪問請求的鑒權結果為鑒權通過，并輸出所述目標資源訪問請求的鑒權結果。可選的，若所述目標資源訪問請求的鑒權結果為鑒權通過，則所述鑒權裝置1對所述目標資源訪問請求進行處理，即按照所述目標資源訪問請求中的目標操作方式對目標訪問資源進行處理，在處理完成之后，所述鑒權裝置1可以將處理結果進行輸出。第二鑒權單元15，用于若所述版本號檢測單元檢測所述第二策略表的當前版本號高于所述第一策略表的當前版本號，則采用所述第二策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果。具體的，若所述第二策略表的當前版本號高于所述第一策略表的當前版本號，則所述第二鑒權單元15采用所述第二策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果。所述第二鑒權單元15可以通過從多個關系表中查找是否存在所述目標資源訪問請求對應的數據，以完成鑒權。策略表更新單元16，用于若所述版本號檢測單元檢測所述第二策略表的當前版本號高于所述第一策略表的當前版本號，則根據所述第二策略表，更新所述第一策略表。具體的，請一并參見圖7，為本發明實施例提供了一種策略表更新單元的結構示意圖，如圖7所示，所述策略表更新單元16包括更新數據確定子單元161和策略表更新子單元162。更新數據確定子單元161，用于若所述版本號檢測單元檢測所述第二策略表的當前版本號高于所述第一策略表的當前版本號，根據所述第一策略表的當前版本號，與所述第二策略表的歷史版本信息進行對比，確定所述第一策略表的未更新數據。策略表更新子單元162，用于按照所述未更新數據，對所述第一策略表進行更新，并將所述第一策略表的當前版本號變更為所述第二策略表的當前版本號。在本發明實施例中，當接收到用戶的攜帶目標用戶標識、目標訪問資源和對目標訪問資源的目標操作方式的目標資源訪問請求時，當緩存表中不存在目標資源訪問請求的鑒權結果時，若第二策略表的版本號部不高于第一策略表的版本號，則采用第一策略表對目標資源訪問請求進行鑒權，若第二策略表的版本號部高于第一策略表的版本號，則采用第二策略表對目標資源訪問請求進行鑒權，并將目標資源訪問請求的鑒權結果進行輸出。由于第一策略表是以用戶標識分類的且為包含用戶標識、可訪問資源、對可訪問資源的可操作方式的關系表，這樣能夠在一個關系表中查找相關數據，節省了查找目標資源訪問請求的相關數據的時間，進而提高了對資源訪問請求的鑒權效率，另外，由于第二策略表包含多個關系表，能夠較快的完成更新，在第二策略表保存有最新數據且第一策略表未更新的情況下，可以通過第二策略表對目標資源請求進行鑒權，保證了鑒權的準確性。請參見圖8，為本發明實施例提供了另一種鑒權裝置的結構示意圖。如圖8所示，所述鑒權裝置1000可以包括：至少一個處理器1001，例如CPU，至少一個網絡接口1004，存儲器1005，至少一個通信總線1002。網絡接口1004可選的可以包括標準的有線接口、無線接口(如WI-FI接口)。存儲器1005可以是高速RAM存儲器，也可以是非不穩定的存儲器(non-volatilememory)，例如至少一個磁盤存儲器。存儲器1005可選的還可以是至少一個位于遠離前述處理器1001的存儲裝置。其中，通信總線1002用于實現這些組件之間的連接通信。可選的，所述鑒權裝置1000包括用戶接口1003，其中，用戶接口1003可以包括顯示屏(Display)、鍵盤(Keyboard)。如圖8所示，作為一種計算機存儲介質的存儲器1005中可以包括操作系統、網絡通信模塊、用戶接口模塊以及鑒權應用程序。在圖8所示的鑒權裝置1000中，用戶接口1003主要用于接收用戶發起的目標資源訪問請求等；而處理器1001可以用于調用存儲器1005中存儲的鑒權應用程序，并具體執行以下操作：接收用戶的目標資源訪問請求，所述目標資源訪問請求攜帶目標用戶標識、目標訪問資源和對所述目標訪問資源的目標操作方式；在緩存表中查找是否存在所述目標資源訪問請求的鑒權結果，所述緩存表包含接收到所述目標資源訪問請求之前的預設時間段內的多個資源訪問請求的鑒權結果；當所述緩存表中不存在所述目標資源訪問請求的鑒權結果時，采用第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果；其中，所述第一策略表為包含用戶標識、可訪問資源、對所述可訪問資源的可操作方式的關系表，所述第一策略表是以用戶標識進行分類的，每個用戶標識對應至少一個可訪問資源，以及每個可訪問資源對應至少一個可操作方式。在一個可能的實施例中，所述處理器1001執行采用第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果之前，還執行：檢測第二策略表的當前版本號是否高于所述第一策略表的當前版本號；若否，則執行采用所述第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果的步驟；其中，所述第二策略表包含用戶標識和用戶組的關系表、用戶組和策略標識的關系表、策略標識和可訪問資源的映射表以及策略標識和可操作方式的映射表。在一個可能的實施例中，所述處理器1001還執行：若所述第二策略表的當前版本號高于所述第一策略表的當前版本號，則采用所述第二策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果。在一個可能的實施例中，所述處理器1001還執行若所述第二策略表的當前版本號高于所述第一策略表的當前版本號，則根據所述第二策略表，更新所述第一策略表。在一個可能的實施例中，所述處理器1001執行根據所述第二策略表，更新所述第一策略表，具體執行：根據所述第一策略表的當前版本號，與所述第二策略表的歷史版本信息進行對比，確定所述第一策略表的未更新數據；按照所述未更新數據，對所述第一策略表進行更新，并將所述第一策略表的當前版本號變更為所述第二策略表的當前版本號。在一個可能的實施例中，所述處理器1001執行采用第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果，具體執行：從所述第一策略表中查找與所述用戶標識對應的可訪問資源和對所述可訪問資源的可操作方式；判斷所述可訪問資源中是否存在所述目標訪問資源；若所述可訪問資源中存在所述目標訪問資源，則判斷對所述目標訪問資源的可操作方式中是否存在所述目標操作方式；若對所述目標訪問資源的可操作方式中存在所述目標操作方式，則確定所述資源訪問請求的鑒權結果為鑒權通過，并輸出所述目標資源訪問請求的鑒權結果。需要說明的是，本發明實施例所描述的處理器1001所執行的步驟可根據上述圖1-至圖3所示方法實施例中的方法具體實現，此處不再贅述。在本發明實施例中，當接收到用戶的攜帶目標用戶標識、目標訪問資源和對目標訪問資源的目標操作方式的目標資源訪問請求時，在緩存表中查找是否存在目標資源訪問請求的鑒權結果，當緩存表中不存在目標資源訪問請求的鑒權結果時，采用第一策略表對目標資源訪問請求進行鑒權，并將目標資源訪問請求的鑒權結果進行輸出。由于第一策略表是以用戶標識分類的且為包含用戶標識、可訪問資源、對可訪問資源的可操作方式的關系表，這樣能夠在一個關系表中查找相關數據，節省了查找目標資源訪問請求的相關數據的時間，進而提高了對資源訪問請求的鑒權效率。本發明實施例中所述模塊或單元，可以通過通用集成電路，例如CPU(CentralProcessingUnit，中央處理器)，或通過ASIC(ApplicationSpecificIntegratedCircuit，專用集成電路)來實現。本發明實施例方法中的步驟可以根據實際需要進行順序調整、合并和刪減。本發明實施例終端中的模塊或單元可以根據實際需要進行合并、劃分和刪減。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分流程，是可以通過計算機程序來指令相關的硬件來完成，所述的程序可存儲于一計算機可讀取存儲介質中，該程序在執行時，可包括如上述各方法的實施例的流程。其中，所述的存儲介質可為磁碟、光盤、只讀存儲記憶體(Read-OnlyMemory，ROM)或隨機存儲記憶體(RandomAccessMemory，RAM)等。以上所揭露的僅為本發明較佳實施例而已，當然不能以此來限定本發明之權利范圍，因此依本發明權利要求所作的等同變化，仍屬本發明所涵蓋的范圍。以上所揭露的僅為本發明較佳實施例而已，當然不能以此來限定本發明之權利范圍，因此依本發明權利要求所作的等同變化，仍屬本發明所涵蓋的范圍。當前第1頁1 2 3