防垂直越权方法、装置、设备、介质及程序产品与流程

本技术涉及系统安全，尤其涉及一种防垂直越权方法、装置、设备、介质及程序产品。

背景技术：

1、联机系统是指通过计算机网络将多个计算机或设备连接在一起，以实现数据共享、资源共享以及协同工作的系统。在联机系统对外提供联机交易时，攻击者可以利用联机系统中低权限用户的认证信息，访问和/或调用高权限用户的接口或页面，以此对联机系统中的关键数据进行篡改和访问，给联机系统的运行安全带来极大的危害。

2、相关技术中，通过对用户角色的菜单页面进行权限设计，控制不同角色的用户访问不同的页面，以实现不同角色的页面访问。但该方式下，联机系统运行的安全性较低。

技术实现思路

1、本技术提供一种防垂直越权方法、装置、设备、介质及程序产品，用以解决现有技术中存在基于用户角色菜单权限防垂直越权时联机系统运行的安全性较低的问题。

2、第一方面，本技术提供一种防垂直越权方法，包括：接收目标用户的页面访问请求，该页面访问请求携带访问接口；响应访问接口不在开放接口列表中，确定目标用户是否为公域用户；若目标用户为公域用户，则确定访问接口是否在公域接口匹配白名单内；若访问接口不在公域接口匹配白名单内，则拒绝页面访问请求。

3、在一种可能的设计中，该防垂直越权方法还包括：若访问接口在公域接口匹配白名单内，则允许页面访问请求。

4、在一种可能的设计中，确定目标用户是否为公域用户，包括：确定页面访问请求是否携带目标用户的认证标识；若未携带认证标识，则确定目标用户为公域用户；若携带认证标识，则根据认证标识，确定目标用户是否为公域用户。

5、在一种可能的设计中，该防垂直越权方法还包括：若目标用户为私域用户，则确定认证标识是否有效；若认证标识有效，则获取目标用户对应的第一角色权限集合，以及访问接口对应的页面关联集合；确定页面关联集合中的关联页面是否在第一角色权限集合对应的菜单页面集合中；若在第一角色权限集合对应的菜单页面集合中不存在关联页面，则拒绝页面访问请求；若在第一角色权限集合对应的菜单页面集合中存在至少一个关联页面，则允许页面访问请求。

6、在一种可能的设计中，该防垂直越权方法还包括：若认证标识有效，则根据认证标识，获取目标用户的第二角色权限集合；基于接口与角色之间的映射关系，获取访问接口的第三角色权限集合；确定第三角色权限集合中是否存在第二角色权限集合中的角色；若存在，则允许页面访问请求；若不存在，则拒绝页面访问请求。

7、在一种可能的设计中，该防垂直越权方法还包括：响应访问接口在开放接口列表中，基于自定义系统级认证校验逻辑对访问接口进行校验，并在校验未通过时，拒绝页面访问请求，在校验通过时，允许页面访问请求。

8、在一种可能的设计中，该防垂直越权方法还包括：获取接口环境配置清单；确定访问接口是否在接口环境配置清单内；若访问接口在接口环境配置清单内，则根据接口环境配置清单内访问接口配置的第一环境参数，对访问接口的来源标识中的第二环境参数进行校验；若校验未通过，则拒绝页面访问请求；若校验通过，则确定访问接口是否在开放接口列表中。

9、在一种可能的设计中，该防垂直越权方法还包括：若访问接口不在接口环境配置清单内，则确定访问接口是否在开放接口列表中。

10、第二方面，本技术提供一种防垂直越权装置，包括：

11、接收模块，用于接收目标用户的页面访问请求，该页面访问请求携带访问接口；

12、第一确定模块，用于响应访问接口不在开放接口列表中，确定目标用户是否为公域用户；

13、第二确定模块，用于在目标用户为公域用户时，确定访问接口是否在公域接口匹配白名单内；

14、拒绝模块，用于在访问接口不在公域接口匹配白名单内时，拒绝页面访问请求。

15、在一种可能的设计中，该防垂直越权装置还包括允许模块（未图示），该允许模块用于：在访问接口在公域接口匹配白名单内时，允许页面访问请求。

16、在一种可能的设计中，第一确定模块具体用于：确定页面访问请求是否携带目标用户的认证标识；若未携带认证标识，则确定目标用户为公域用户；若携带认证标识，则根据认证标识，确定目标用户是否为公域用户。

17、在一种可能的设计中，该防垂直越权装置还包括第三确定模块（未图示），该第三确定模块用于：在目标用户为私域用户时，确定认证标识是否有效；若认证标识有效，则获取目标用户对应的第一角色权限集合，以及访问接口对应的页面关联集合；确定页面关联集合中的关联页面是否在第一角色权限集合对应的菜单页面集合中；若在第一角色权限集合对应的菜单页面集合中不存在关联页面，则拒绝页面访问请求；若在第一角色权限集合对应的菜单页面集合中存在至少一个关联页面，则允许页面访问请求。

18、在一种可能的设计中，第三确定模块还用于：在认证标识有效时，根据认证标识，获取目标用户的第二角色权限集合；基于接口与角色之间的映射关系，获取访问接口的第三角色权限集合；确定第三角色权限集合中是否存在第二角色权限集合中的角色；若存在，则允许页面访问请求；若不存在，则拒绝页面访问请求。

19、在一种可能的设计中，该防垂直越权装置还包括校验模块（未图示），该校验模块用于：响应访问接口在开放接口列表中，基于自定义系统级认证校验逻辑对访问接口进行校验，并在校验未通过时，拒绝页面访问请求，在校验通过时，允许页面访问请求。

20、在一种可能的设计中，校验模块还用于：获取接口环境配置清单；确定访问接口是否在接口环境配置清单内；若访问接口在接口环境配置清单内，则根据接口环境配置清单内访问接口配置的第一环境参数，对访问接口的来源标识中的第二环境参数进行校验；若校验未通过，则拒绝页面访问请求；若校验通过，则确定访问接口是否在开放接口列表中。

21、在一种可能的设计中，该防垂直越权装置还包括第四确定模块（未图示），该第四确定模块用于：在访问接口不在接口环境配置清单内时，确定访问接口是否在开放接口列表中。

22、第三方面，本技术实施例提供一种电子设备，包括：至少一个处理器和存储器；存储器存储计算机执行指令；至少一个处理器执行存储器存储的计算机执行指令，使得至少一个处理器执行如上第一方面以及第一方面各种可能的设计的防垂直越权方法。

23、第四方面，本技术实施例提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机执行指令，当处理器执行计算机执行指令时，实现如上第一方面以及第一方面各种可能的设计的防垂直越权方法。

24、第五方面，本技术实施例提供一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时，实现如上第一方面以及第一方面各种可能的设计的防垂直越权方法。

25、本技术提供的防垂直越权方法、装置、设备、介质及程序产品，通过接收携带访问接口的目标用户的页面访问请求，响应访问接口不在开放接口列表中，确定目标用户是否为公域用户，并在目标用户为公域用户时，确定访问接口是否在公域接口匹配白名单内，进一步在访问接口不在公域接口匹配白名单内时，拒绝页面访问请求。本技术，通过对页面访问请求中携带的访问接口进行权限校验，以提高联机系统运行的安全性。