本發(fā)明涉及網(wǎng)絡(luò)安全，具體為一種基于黑白名單的url權(quán)限控制方法及系統(tǒng)。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)應(yīng)用的多樣化和復(fù)雜化使得url訪問權(quán)限的管理成為了一個亟待解決的重要問題。傳統(tǒng)的黑白名單控制方案在網(wǎng)絡(luò)安全領(lǐng)域占據(jù)了一席之地，通過明確列出允許或拒絕的url列表，來限制用戶的訪問權(quán)限。然而，在面對現(xiàn)代網(wǎng)絡(luò)環(huán)境中復(fù)雜多變的授權(quán)需求時，傳統(tǒng)方案顯得力不從心。

2、具體而言，傳統(tǒng)黑白名單控制方案在處理復(fù)雜權(quán)限配置時存在顯著不足。它通常只能簡單地根據(jù)url是否存在于黑名單或白名單中來決定訪問權(quán)限，缺乏靈活性來處理同時允許和拒絕特定url訪問的復(fù)雜場景。

3、例如，允許用戶a訪問所有url(用白名單/**表示)，但同時不希望用戶a訪問/users/下的所有內(nèi)容(用黑名單/users/**表示)。然而，為了特殊需求，又需要允許用戶a訪問/users/{id}這樣的特定url。在傳統(tǒng)的黑白名單方案中，這樣的需求往往無法實現(xiàn)，因為黑名單會無條件地覆蓋白名單的允許規(guī)則。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的在于提供一種基于黑白名單的url權(quán)限控制方法及系統(tǒng)，通過引入優(yōu)先級機(jī)制，實現(xiàn)了對訪問控制策略的靈活配置和精細(xì)管理，從而滿足了現(xiàn)代網(wǎng)絡(luò)環(huán)境對復(fù)雜授權(quán)需求的迫切要求，以解決上述背景技術(shù)中提出的問題。

2、為實現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：一種基于黑白名單的url權(quán)限控制方法，包括黑白名單創(chuàng)建與維護(hù)步驟，具體為：

3、管理員通過界面或api接口創(chuàng)建黑白名單，并動態(tài)更新維護(hù)；

4、黑白名單信息采用關(guān)系型數(shù)據(jù)庫的數(shù)據(jù)表存儲，數(shù)據(jù)表字段包括id、user_id、type、method、url_template、priority，其中id為主鍵，user_id為用戶id，type為枚舉類型，值black表示黑名單，值white表示白名單，method為請求方法，包括post/get/delete/put/patch/all，all可匹配所有類型的請求方法，url_template為支持通配符的url模版，？匹配單個字符，*匹配除路徑標(biāo)識符“/”之外的任意長度的字符串，**匹配任意長度的字符串，priority為數(shù)值類型，值越小優(yōu)先級越高，值越大優(yōu)先級越低；

5、提供創(chuàng)建、刪除、修改、查詢指定用戶的黑白名單列表的接口，創(chuàng)建黑白名單請求方法為post，請求uri為/admin/url-permissions，請求body包含type、userid、method、url_template、priority字段；刪除黑白名單請求方法為delete，請求uri為/admin/url-permissions/{id}；修改黑白名單請求方法為put，請求uri為/admin/url-permissions/{id}，請求body包含type、method、url_template、priority字段；查詢指定用戶的黑白名單列表請求方法為get，請求uri為/admin/url-permissions？userid＝{userid}。

6、優(yōu)選的，還包括請求攔截步驟：

7、請求攔截模塊位于所有請求進(jìn)入后端服務(wù)之前，通過配置http服務(wù)器的攔截規(guī)則，或利用框架的攔截器功能，攔截所有請求；

8、從http請求中提取url信息，并進(jìn)行必要的預(yù)處理，如url解碼、去除查詢參數(shù)；

9、根據(jù)系統(tǒng)的認(rèn)證機(jī)制，從請求中提取當(dāng)前用戶的身份信息，包括從http頭部、cookie、session或token中解析出用戶id、用戶名信息。

10、優(yōu)選的，還包括優(yōu)先級比對與決策步驟：

11、優(yōu)先級比對與決策模塊從請求攔截模塊接收url信息和當(dāng)前用戶信息；

12、從數(shù)據(jù)庫中查詢出當(dāng)前用戶的所有黑白名單列表，并按照優(yōu)先級從高到低進(jìn)行升序排序；

13、遍歷排序后的黑白名單條目列表，如果首先遇到白名單條目且其優(yōu)先級高于所有可能沖突的黑名單條目，則允許訪問；如果遇到黑名單條目且其優(yōu)先級高于所有可能覆蓋它的白名單條目，則拒絕訪問；如果同時遇到優(yōu)先級相同的多個條目，則根據(jù)預(yù)設(shè)規(guī)則進(jìn)行決策；

14、根據(jù)決策結(jié)果，允許或拒絕當(dāng)前url請求訪問。

15、優(yōu)選的，還包括日志審計步驟：

16、日志審計模塊在請求處理流程的關(guān)鍵節(jié)點記錄相關(guān)信息，日志信息包括請求時間、用戶id、請求url、請求方法、認(rèn)證結(jié)果、黑白名單比對結(jié)果、訪問控制決策；

17、使用日志框架將日志信息輸出到指定的存儲介質(zhì)，采用統(tǒng)一的日志格式，包括時間戳、日志級別、日志內(nèi)容字段；

18、提供restfulapi或web界面等形式的審計接口，允許管理員根據(jù)時間范圍、用戶id、請求url條件查詢?nèi)罩居涗洠С址猪摵团判蚬δ?，對敏感信息進(jìn)行脫敏處理。

19、一種基于黑白名單的url權(quán)限控制方法的控制系統(tǒng)，包括黑白名單管理模塊，用于實現(xiàn)黑白名單的創(chuàng)建、刪除、修改和查詢功能；

20、所述黑白名單管理模塊中，黑白名單信息采用關(guān)系型數(shù)據(jù)庫的數(shù)據(jù)表存儲，數(shù)據(jù)表字段包括id、user_id、type、method、url_template、priority，其中id為主鍵，user_id為用戶id，type為枚舉類型，值black表示黑名單，值white表示白名單，method為請求方法，包括post/get/delete/put/patch/all，all可匹配所有類型的請求方法，url_template為支持通配符的url模版，？匹配單個字符，*匹配除路徑標(biāo)識符“/”之外的任意長度的字符串，**匹配任意長度的字符串，priority為數(shù)值類型，值越小優(yōu)先級越高，值越大優(yōu)先級越低；

21、提供創(chuàng)建、刪除、修改、查詢指定用戶的黑白名單列表的接口，創(chuàng)建黑白名單請求方法為post，請求uri為/admin/url-permissions，請求body包含type、userid、method、url_template、priority字段；刪除黑白名單請求方法為delete，請求uri為/admin/url-permissions/{id}；修改黑白名單請求方法為put，請求uri為/admin/url-permissions/{id}，請求body包含type、method、url_template、priority字段；查詢指定用戶的黑白名單列表請求方法為get，請求uri為/admin/url-permissions？userid＝{userid}。

22、優(yōu)選的，還包括請求攔截模塊，位于所有請求進(jìn)入后端服務(wù)之前；

23、所述請求攔截模塊通過配置http服務(wù)器的攔截規(guī)則，或利用框架的攔截器功能，攔截所有請求；

24、從http請求中提取url信息，并進(jìn)行必要的預(yù)處理，如url解碼、去除查詢參數(shù)；

25、根據(jù)系統(tǒng)的認(rèn)證機(jī)制，從請求中提取當(dāng)前用戶的身份信息，包括從http頭部、cookie、session或token中解析出用戶id、用戶名信息，并將提取的url信息和用戶信息轉(zhuǎn)發(fā)給優(yōu)先級比對與決策模塊。

26、優(yōu)選的，還包括優(yōu)先級比對與決策模塊；

27、所述優(yōu)先級比對與決策模塊接收請求攔截模塊轉(zhuǎn)發(fā)的url信息和當(dāng)前用戶信息；

28、從數(shù)據(jù)庫中查詢出當(dāng)前用戶的所有黑白名單列表，并按照優(yōu)先級從高到低進(jìn)行升序排序；

29、遍歷排序后的黑白名單條目列表，如果首先遇到白名單條目且其優(yōu)先級高于所有可能沖突的黑名單條目，則允許訪問；如果遇到黑名單條目且其優(yōu)先級高于所有可能覆蓋它的白名單條目，則拒絕訪問；如果同時遇到優(yōu)先級相同的多個條目，則根據(jù)預(yù)設(shè)規(guī)則進(jìn)行決策；

30、根據(jù)決策結(jié)果，允許或拒絕當(dāng)前url請求訪問。

31、優(yōu)選的，還包括日志審計模塊；

32、所述日志審計模塊在請求處理流程的關(guān)鍵節(jié)點記錄相關(guān)信息，日志信息包括請求時間、用戶id、請求url、請求方法、認(rèn)證結(jié)果、黑白名單比對結(jié)果、訪問控制決策；

33、使用日志框架將日志信息輸出到指定的存儲介質(zhì)，采用統(tǒng)一的日志格式，包括時間戳、日志級別、日志內(nèi)容字段；

34、提供restfulapi或web界面等形式的審計接口，允許管理員根據(jù)時間范圍、用戶id、請求url條件查詢?nèi)罩居涗?，支持分頁和排序功能，對敏感信息進(jìn)行脫敏處理。

35、與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：

36、本發(fā)明提出的基于黑白名單的url權(quán)限控制方法及系統(tǒng)，通過允許管理員為不同的黑白名單項設(shè)置優(yōu)先級，本發(fā)明實現(xiàn)了前所未有的權(quán)限配置靈活性。這一特性使得系統(tǒng)能夠輕松應(yīng)對各種復(fù)雜多變的授權(quán)需求，包括但不限于同時允許和拒絕特定url訪問的場景，從而極大地擴(kuò)展了黑白名單控制策略的應(yīng)用范圍。

37、優(yōu)先級機(jī)制的引入確保了系統(tǒng)在處理權(quán)限沖突時能夠依據(jù)明確的優(yōu)先級規(guī)則進(jìn)行決策，從而避免了傳統(tǒng)方案中可能出現(xiàn)的權(quán)限誤判或遺漏問題。這種精確性的提升對于保障網(wǎng)絡(luò)訪問的安全性和合規(guī)性至關(guān)重要。