本發明實施例提供一種鑒權方法及裝置，其中方法包括如下步驟：接收用戶的攜帶目標用戶標識、目標訪問資源和對目標訪問資源的目標操作方式的目標資源訪問請求；在緩存表中查找是否存在目標資源訪問請求的鑒權結果；當緩存表中存在目標資源訪問請求的鑒權結果時，采用第一策略表對目標資源訪問請求進行鑒權，并將目標資源訪問請求的鑒權結果進行輸出；其中，第一策略表為包含用戶標識、可訪問資源、對可訪問資源的可操作方式的關系表，第一策略表是以用戶標識進行分類的。采用本申請，通過從一個按照用戶標識分類的策略表中查找到與資源訪問請求的相關數據，節省了相關數據的查找時間，進而提高了對資源訪問請求的鑒權效率。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種鑒權方法及裝置。

背景技術

在云服務的鑒權體系中，用戶可以通過云服務管理平臺訪問云資源，然而并非各個用戶都具備訪問云資源的資格，云服務管理平臺需要對發送資源訪問請求的用戶進行鑒權，對于鑒權通過的用戶才可以訪問云資源。

在鑒權過程中需要對用戶所訪問的資源和對所訪問資源的操作方式都進行鑒定，而在現有的技術方案中，對于用戶標識、用戶組、用戶標識對應的可訪問資源、可操作方式等之間的關系是分別存儲和管理的，例如，保存了用戶標識和用戶組的關系表、用戶組和策略組的關系表，策略組和可訪問資源的關系表、策略組和可操作方式的關系表等，這樣能夠直觀的體現出兩兩數據之間的關系，但是在鑒權過程中，需要從各個關系表中進行一一匹配，例如要先查看用戶所在的組，然后查找與用戶組相關的策略，在從策略對應的可訪問資源中查找是否包含用戶請求的資源；還需要從策略對應的可操作方式中確認是否包含用戶的操作。因此，現有技術方案需要從多個關系表中多次查找才可以確定鑒權結果，降低了對用戶訪問請求的鑒權效率。

發明內容

本發明實施例提供一種鑒權方法及裝置，通過從一個按照用戶標識分類的策略表中查找到與資源訪問請求的相關數據，節省了相關數據的查找時間，進而提高了對資源訪問請求的鑒權效率。

本發明實施例第一方面提供了一種鑒權方法，包括：

接收用戶的目標資源訪問請求，所述目標資源訪問請求攜帶目標用戶標識、目標訪問資源和對所述目標訪問資源的目標操作方式；

在緩存表中查找是否存在所述目標資源訪問請求的鑒權結果，所述緩存表包含接收到所述目標資源訪問請求之前的預設時間段內的多個資源訪問請求的鑒權結果；

當所述緩存表中不存在所述目標資源訪問請求的鑒權結果時，采用第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果；

其中，所述第一策略表為包含用戶標識、可訪問資源、對所述可訪問資源的可操作方式的關系表，所述第一策略表是以用戶標識進行分類的，每個用戶標識對應至少一個可訪問資源，以及每個可訪問資源對應至少一個可操作方式。

本發明實施例第二方面提供了一種鑒權裝置，包括：

請求接收單元，用于接收用戶的目標資源訪問請求，所述目標資源訪問請求攜帶目標用戶標識、目標訪問資源和對所述目標訪問資源的目標操作方式；

結果查找單元，用于在緩存表中查找是否存在所述目標資源訪問請求的鑒權結果，所述緩存表包含接收到所述目標資源訪問請求之前的預設時間段內的多個資源訪問請求的鑒權結果；

第一鑒權單元，用于當所述緩存表中不存在所述目標資源訪問請求的鑒權結果時，采用第一策略表對所述目標資源訪問請求進行鑒權，并輸出所述目標資源訪問請求的鑒權結果；

其中，所述第一策略表為包含用戶標識、可訪問資源、對所述可訪問資源的可操作方式的關系表，所述第一策略表是以用戶標識進行分類的，每個用戶標識對應至少一個可訪問資源，以及每個可訪問資源對應至少一個可操作方式。