本發明公開了一種訪問權限的驗證方法和裝置，涉及計算機技術領域。該方法的一具體實施方式包括：獲取權限驗證請求，所述權限驗證請求包括待訪問的資源標識和參數信息；根據所述資源標識獲取資源對應的訪問條件表達式，所述訪問條件表達式是根據資源的權限驗證配置信息生成的，所述權限驗證配置信息包括待驗證的參數、每個參數的驗證規則，以及不同參數之間的邏輯關系；使用表達式計算工具，根據所述參數信息對所述訪問條件表達式進行計算，得到權限驗證結果。該實施方式節約了維護成本，解決了現有的權限驗證方式維護成本高且不夠靈活，以及不支持對多個屬性的復雜運算來進行權限驗證的技術問題。

技術領域

本發明涉及計算機技術領域，尤其涉及一種訪問權限的驗證方法和裝置。

背景技術

當用戶需要對業務系統中的資源進行訪問時，業務系統會調用權限系統對用戶進行訪問權限的驗證，在權限驗證通過后，授權用戶進行資源訪問，可以保護業務系統資源的安全。目前比較常用的權限驗證方法是基于屬性的訪問控制(簡稱是ABAC)驗證。ABAC是通過動態的計算一個或者一組屬性，來驗證當前主體是否有權限訪問某個資源。其核心是表達式的動態計算，目前關于ABAC權限表達式的判斷有以下兩種方式：

1、根據權限系統約定驗證的場景及對象，業務系統按約定傳入屬性，權限系統讀取指定的屬性進行判斷；

2、業務系統在權限系統配置驗證某個屬性值，在需要權限驗證時，調用權限系統的服務，通過反射的方式取出特定的值進行計算判斷。

在實現本發明過程中，發明人發現現有技術中至少存在如下問題：

第一種方式，權限系統需要為業務系統定制化開發，后期維護成本高且不夠靈活；第二種方式，無法支持對多個屬性的計算進行權限驗證和基于復雜的組合運算方式進行權限驗證。

發明內容

有鑒于此，本發明實施例提供一種訪問權限的驗證方法和裝置，能夠節約維護成本，解決了現有的權限驗證方式維護成本高且不夠靈活，以及不支持對多個屬性的復雜運算來進行權限驗證的技術問題。

為實現上述目的，根據本發明實施例的一個方面，提供了一種訪問權限的驗證方法，包括：獲取權限驗證請求，所述權限驗證請求包括待訪問的資源標識和參數信息；根據所述資源標識獲取資源對應的訪問條件表達式，所述訪問條件表達式是根據資源的權限驗證配置信息生成的，所述權限驗證配置信息包括待驗證的參數、每個參數的驗證規則，以及不同參數之間的邏輯關系；使用表達式計算工具，根據所述參數信息對所述訪問條件表達式進行計算，得到權限驗證結果。

可選地，所述參數的驗證規則包括基于自定義函數實現的驗證規則。

可選地，所述不同參數之間的邏輯關系基于具有不同優先級的運算符來進行表示。

可選地，使用表達式計算工具，根據所述參數信息對所述訪問條件表達式進行計算，包括：根據預定義的獨立元素的類型，對所述訪問條件表達式進行拆分得到獨立元素集合；根據所述獨立元素的類型，將所述獨立元素集合轉換成后綴表達式；根據所述參數信息計算所述后綴表達式以對所述訪問條件表達式進行計算。