CN108011862A - 镜像仓库授权、访问、管理方法及服务器和客户端 - Google Patents
镜像仓库授权、访问、管理方法及服务器和客户端 Download PDFInfo
- Publication number
- CN108011862A CN108011862A CN201610978489.9A CN201610978489A CN108011862A CN 108011862 A CN108011862 A CN 108011862A CN 201610978489 A CN201610978489 A CN 201610978489A CN 108011862 A CN108011862 A CN 108011862A
- Authority
- CN
- China
- Prior art keywords
- mirror
- authorization
- authentication
- user
- warehouse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种镜像仓库授权、访问、管理方法及服务器、镜像仓库客户端,镜像仓库客户端向镜像仓库授权服务器发送认证请求,镜像仓库授权服务器根据认证请求中的身份信息和预设身份信息与用户角色对应关系表对用户进行授权认证,其中不同用户角色对应不同的访问权限;并在所述用户授权认证成功后,反馈的授权令牌;镜像仓库客户端基于该授权令牌向镜像仓库服务器发送镜像资源访问请求,镜像仓库服务器判定该镜像资源访问请求为已授权请求时,才进一步对根据镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。本发明实现了根据不同用户角色对访问镜像仓库的不同用户的访问权限进行有效控制,能够给镜像仓库提供细粒度的访问控制。
Description
技术领域
本发明涉及通信领域,尤其涉及一种镜像仓库授权、访问、管理方法及服务器和客户端。
背景技术
Docker是一个开源的引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。Docker提供了一个公有仓库,称为Docker Hub,用于存储Docker镜像,任何上传到公用仓库的镜像资源都是用于公开免费使用。因此公有仓库不适用于企业项目等不完全对外开放的各种应用场景。因此私有镜像仓库的创建和管理使用就显得尤为重要。当前有很多私有镜像仓库的实现方式,比如Docker Registry。但是即使是私有镜像仓库,仍会涉及到不同用户角色的用户对其中存储的镜像资源进行访问,例如管理员或者研发人员或者是基础支持人员等等。而目前不管是私有镜像仓库还是公有镜像仓库,都缺少根据不同用户角色对不同用户的访问权限进行有效的管理方式,导致镜像仓库的管理缺少合理性,又存在一定的安全隐患。
发明内容
本发明实施例提供的一种镜像仓库授权、访问、管理方法及服务器和客户端,主解决的技术问题是:解决现有镜像仓库没有根据不同用户角色对不同用户的访问权限进行有效控制的问题。
为解决上述技术问题,本发明实施例提供一种镜像仓库授权方法,包括:
接收镜像仓库客户端发送的用于访问镜像仓库的认证请求,所述认证请求中至少包含用户的身份信息;
根据所述身份信息和预设身份信息与用户角色对应关系表,对所述用户进行授权认证,不同用户角色对应不同的访问权限;
授权认证成功时,向所述镜像仓库客户端反馈授权令牌,以供所述镜像仓库客户端基于所述授权令牌对所述镜像仓库进行访问。
为解决上述技术问题,本发明实施例提供一种镜像仓库访问方法,包括:
向镜像仓库授权服务器发送认证请求,所述认证请求中至少包含用户的身份信息;
接收所述镜像仓库授权服务器根据所述身份信息和预设身份信息与用户角色对应关系表对所述用户授权认证成功后,反馈的授权令牌;
基于所述授权令牌向镜像仓库服务器发送镜像资源访问请求。
为解决上述技术问题,本发明实施例提供一种镜像仓库管理方法,包括:
接收镜像仓库客户端发送的镜像资源访问请求;
判定该镜像资源访问请求为未授权请求时,向所述镜像仓库客户端发送授权认证指示通知,所述授权认证指示通知包含镜像仓库授权服务器地址信息;
判定该镜像资源访问请求为已授权请求时,根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。
为解决上述技术问题,本发明实施例提供一种镜像仓库授权服务器,包括:
认证接收模块,用于接收镜像仓库客户端发送的用于访问镜像仓库的认证请求,所述认证请求中至少包含用户的身份信息;
授权认证模块,用于根据所述身份信息和预设身份信息与用户角色对应关系表,对所述用户进行授权认证,不同用户角色对应不同的访问权限;
认证反馈模块,用于在授权认证成功时,向所述镜像仓库客户端反馈授权令牌,以供所述镜像仓库客户端基于所述授权令牌对所述镜像仓库进行访问。
为解决上述技术问题,本发明实施例提供一种镜像仓库客户端,包括:
认证处理模块,用于向镜像仓库授权服务器发送认证请求,所述认证请求中至少包含用户的身份信息,以及接收所述镜像仓库授权服务器根据所述身份信息和预设身份信息与用户角色对应关系表对所述用户授权认证成功后,反馈的授权令牌;
资源访问模块,用于基于所述授权令牌向镜像仓库服务器发送镜像资源访问请求。
为解决上述技术问题,本发明实施例提供一种镜像仓库服务器,包括:
访问接收模块,用于接收镜像仓库客户端发送的镜像资源访问请求;
控制模块,用于判定该镜像资源访问请求为未授权请求时,向所述镜像仓库客户端发送授权认证指示通知,所述授权认证指示通知包含镜像仓库授权服务器地址信息;以及用于判定该镜像资源访问请求为已授权请求时,根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。
本发明实施例还提供一种计算机存储介质,所述计算机存储介质中存储有计算机可执行指令,所述计算机可执行指令用于执行前述的镜像仓库授权、访问、管理方法。
本发明的有益效果是:
根据本发明实施例提供的镜像仓库授权、访问、管理方法及服务器、客户端及计算机存储介质,镜像仓库客户端向镜像仓库授权服务器发送认证请求,镜像仓库授权服务器根据认证请求中的身份信息和预设身份信息与用户角色对应关系表对用户进行授权认证,其中不同用户角色对应不同的访问权限;并在所述用户授权认证成功后,向镜像仓库客户端反馈的授权令牌;进而镜像仓库客户端基于该授权令牌向镜像仓库服务器发送镜像资源访问请求,镜像仓库服务器判定该镜像资源访问请求为已授权请求时,才进一步对根据镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。因此本发明实现了根据不同用户角色对访问镜像仓库的不同用户的访问权限进行有效控制,能够给镜像仓库提供细粒度的访问控制,提升了镜像仓库的实用性、安全性以及管理的合理性。
附图说明
图1为本发明实施例一中的镜像仓库访问方法流程示意图;
图2为本发明实施例一中的授权认证指示流程示意图;
图3为本发明实施例一中的镜像仓库授权方法流程示意图;
图4为本发明实施例一中的镜像仓库管理方法流程示意图;
图5为本发明实施例二中的镜像仓库客户端结构示意图;
图6为本发明实施例二中的镜像仓库授权服务器结构示意图;
图7为本发明实施例二中的镜像仓库服务器结构示意图;
图8-1为本发明实施例三中的身份认证方法示意图;
图8-2为本发明实施例三中的授权认证方法示意图;
图9为本发明实施例三中的授权认证流程示意图;
图10为本发明实施例三中的配置信息示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明中一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
本实施例中的镜像仓库客户端向镜像仓库授权服务器发送认证请求,镜像仓库授权服务器根据认证请求中的身份信息和预设身份信息与用户角色对应关系表对用户进行授权认证,其中不同用户角色对应不同的访问权限,并在用户授权认证成功后,向镜像仓库客户端反馈的授权令牌;进而镜像仓库客户端基于该授权令牌向镜像仓库服务器发送镜像资源访问请求,镜像仓库服务器判定该镜像资源访问请求为已授权请求时,才进一步对根据镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。实现了根据不同用户角色对访问镜像仓库的不同用户的访问权限进行有效控制,能够给镜像仓库提供细粒度的访问控制,提升了镜像仓库的实用性、安全性以及管理的合理性。为了更好的理解本发明,本实施例对镜像仓库客户端、镜像仓库服务器以及镜像仓库授权服务器三端分别进行示意说明。
对于镜像仓库客户端,其可以根据用户发送的命令请求向镜像仓库服务器发送镜像资源访问请求,并根据镜像仓库服务器反馈的镜像仓库服务向镜像仓库授权服务器发送认证请求;也可以在得知镜像仓库授权服务器的地址时,直接根据用户发送的命令请求向镜像仓库授权服务器发送认证请求。具体实现方式可以根据具体应用场景灵活选择使用。本实施例提供的一种镜像仓库访问方法参见图1所示,包括:
S101:镜像仓库客户端向镜像仓库授权服务器发送认证请求,该认证请求中至少包含用户的身份信息。
如上所述,本实施例中的认证请求可以是镜像仓库客户端根据镜像仓库服务器的指示发送的,也可以是镜像仓库客户端直接根据用户的指示发送的。
S102:镜像仓库客户端接收镜像仓库授权服务器根据认证请求中的身份信息和预设身份信息与用户角色对应关系表对用户授权认证成功后,反馈的授权令牌。
本实施例中身份信息和用户角色对应关系表可以是预先配置在镜像仓库授权服务器本地的,当然也可以是配置在其他镜像仓库授权服务器能够访问获取的数据库中。且本实施例中不同用户角色对应不同的访问权限,本实施例中用户角色以及对应的访问权限的设定可以根据具体应用场景灵活设定。
S103:镜像仓库客户端基于授权令牌向镜像仓库服务器发送镜像资源访问请求。
应当理解的是,本实施例中的镜像仓库客户端发送认证请求以及镜像资源访问请求的方式以及所采用的具体协议都可以根据具体需求灵活设定。且实施例中的镜像仓库包括但不限于Docker镜像仓库。
如上述分析,在本实施例中,镜像仓库客户端向镜像仓库服务器发送的认证之前,还可以包括图2所示的以下步骤:
S201:镜像仓库客户端向镜像仓库服务器发送镜像资源访问请求。
镜像仓库服务器接收到该镜像资源访问请求后,会先判断该镜像资源访问请求是否经授权认证过,如是,才执行后续访问步骤,否则提示镜像仓库客户端进行授权认证。
S202:镜像仓库客户端接收到镜像仓库服务器返回的授权认证指示通知时,根据授权认证指示通知中的镜像仓库授权服务器地址信息,向镜像仓库授权服务器发送所述认证请求。
本实施例中的镜像仓库授权服务器地址信息可以预先在镜像仓库服务器上配置。
本实施例中,镜像仓库客户端向镜像仓库授权服务器发送的认证请求可以包含不同的信息,下面以两种示例情况进行说明。
示例一:镜像仓库客户端发送的认证请求中可以仅包含用户的身份信息,以完成授权认证,此时的授权认证则是可以仅仅根据该身份信息是否合法进行认证,下发的授权令牌中可以包含该用户对应用户角色的所有访问权限(访问权限中包含但不限于用户角色允许访问的镜像资源范围以及允许的操作类型范围);为了进一步提升安全性,该认证请求中还可以包含用户密码,镜像仓库授权服务器根据认证请求对用户进行授权认证之前,还可先根据身份信息、用户密码和预设身份信息与用户密码对应关系配置文件,对该用户进行身份认证。
示例二:镜像仓库客户端发送的认证请求中可以包含用户的身份信息,当前访问的镜像资源信息(可以是当前访问的镜像资源地址,也可以是当前访问的镜像资源的类型及名称)以及当前访问请求的操作类型;此时的授权认证则是可以根据该身份信息是否合法,以及当前访问的镜像资源信息以及当前访问请求的操作类型是否在该用户的用户角色允许访问的镜像资源范围内(可以是镜像资源地址范围,也可以是镜像资源的类型范围及名称)和允许的操作类型范围内来进行授权认证。当然,为了进一步提升安全性,该认证请求中也可以包含用户密码,镜像仓库授权服务器根据认证请求对用户进行授权认证之前,还可先根据身份信息、用户密码和预设身份信息与用户密码对应关系配置文件,对该用户进行身份认证。
应当理解的是,本实施例中对用户进行的授权认证和身份认证的具体实现方式并不限于上述示例方式。
本实施例中,在对认证请求中的用户授权认证成功后,下发的授权令牌包含允许用户访问的镜像资源(可以是上述示例一中的该用户的用户角色对应的所有允许访问的镜像资源,也可以是上述示例二中的该用户的用户角色当前允许访问的镜像资源)、操作类型(可以是上述示例一中的该用户的用户角色对应的所有允许的操作类型,也可以是上述示例二中的该用户的用户角色当前允许的操作类型,还可进一步包括令牌有效时间,该令牌有效时间的设置可以根据具体需求灵活设定,例如设置为10分钟、30分钟等。
镜像仓库客户端基于授权令牌向镜像仓库服务器发送镜像资源访问请求可以采用以下方式中的任意一种方式:
方式一:先将获取到的授权令牌单独发送给镜像仓库服务器,再向镜像仓库服务器发送对应的镜像资源访问请求。
方式二:将包含允许用户访问的镜像资源、操作类型、以及令牌有效时间的授权令牌加入镜像资源访问请求中后,发给镜像仓库服务器。
本实施例中,镜像仓库授权服务器侧执行的镜像仓库授权方法过程参见图3所示,包括:
S301:接收镜像仓库客户端发送的用于访问镜像仓库的认证请求,该认证请求中至少包含用户的身份信息(包括但不限于用户名);
S302:根据认证请求中的身份信息和预设身份信息与用户角色对应关系表,对用户进行授权认证,不同用户角色对应不同的访问权限;
S303:授权认证成功时,向镜像仓库客户端反馈授权令牌,以供镜像仓库客户端基于所述授权令牌对所述镜像仓库进行访问。授权认证失败时,则可以向镜像仓库客户端反馈失败提示,或者不做任何反馈。
如上述分析,为了进一步提升安全性,本实施例中镜像仓库客户端发送的认证请求中还可以包含用户密码;镜像仓库授权服务器在对认证请求中的用户进行授权认证之前,还可以先根据身份信息以及用户密码,结合预先设置的身份信息与用户密码对应关系配置文件,对用户进行身份认证。只有在身份认证通过后,才执行后续的授权认证过程,否则不执行后续的授权认证过程,并向镜像仓库客户端反馈认证失败。
如上分析,本实施例中的授权认证方式可包括但不限于以下两种示例方式:
示例一:镜像仓库客户端发送的认证请求中可以仅包含用户的身份信息。此时镜像仓库服务器授权认证则可以仅仅根据该身份信息,结合预设身份信息与用户角色对应关系表对该用户进行授权认证,例如查看该身份信息在身份信息与用户角色对应关系表中是否存在,如是则授权认证成功,在授权认证成功后,向镜像仓库客户端下发的授权令牌中可以包含该用户对应用户角色的所有访问权限(访问权限中包含但不限于用户角色允许访问的镜像资源范围以及允许的操作类型范围)。
示例二:镜像仓库客户端发送的认证请求中可以包含用户的身份信息,当前访问的镜像资源信息(可以是当前访问的镜像资源地址,也可以是当前访问的镜像资源的类型及名称)以及当前访问请求的操作类型;此时镜像仓库服务器授权认证则是可以根据该身份信息是否合法,以及当前访问的镜像资源信息以及当前访问请求的操作类型是否在该用户的用户角色允许访问的镜像资源范围内(可以是镜像资源地址范围,也可以是镜像资源的类型范围及名称)和允许的操作类型范围内来进行授权认证。
本实施例中的访问权限中包括但不限于用户角色允许访问的镜像资源范围以及允许的操作类型范围,操作类型包括但不限于上传、下载、删除、查询,例如对于管理员来说,其还可具有设置用户角色以及对应的访问权限的权限。下面对用户角色对应的操作类型范围进行示例说明。参见下表1所示。
表1
| 身份信息 | 用户角色 | 操作类型范围 |
| 用户名1 | 管理员 | 所有操作类型 |
| 用户名2 | 管理员 | 所有操作类型 |
| 用户名3 | 第一用户角色 | 上传、下载、删除、查询 |
| 用户名4 | 第二用户角色 | 上传、下载、查询 |
| 用户名5 | 第一用户角色 | 上传、下载、删除、查询 |
| 用户名6 | 第三用户角色 | 上传、下载、删除 |
| 用户名7 | 第四用户角色 | 上传、下载 |
| 用户名8 | 第五用户角色 | 下载 |
| 用户名9 | 第六用户角色 | 查询 |
对于镜像资源范围,可以针对不同用户角色分别设定,该镜像资源范围在一种示例中可以通过限定镜像资源地址范围(例如哪个镜像仓库中的哪些地址)进行限定,也可以通过镜像资源的类型及名称进行限定,或者结合二者进行限定。
基于上述表1,假设以上述示例二的认证方式进行认证,此时的镜像仓库认证服务器进行授权认证的过程包括:根据认证请求中的身份信息在预设身份信息与用户角色对应关系表中查找到所述用户对应的用户角色,判断当前访问的镜像资源信息是否在该用户角色允许访问的镜像资源范围内,且当前访问请求的操作类型是否在允许的操作类型范围内,如是,授权认证成功;否则,授权认证失败。
例如,假设认证请求中的身份信息为用户名4,当前的操作类型的为下载,当前访问的镜像资源信息为资源类型为repository名称为test/my-app的镜像文件。此时镜像仓库认证服务器进行授权认证的过程包括:在表1中找到用户名4对应的角色第二用户角色,判定当前操作类型下载在允许的操作类型范围内,且当前访问的镜像资源在允许访问的范围内,授权认证成功。
又例如,假设认证请求中的身份信息为用户名7,当前的操作类型的为删除,当前访问的镜像资源信息为资源类型为repository名称为test/my-app的镜像文件。此时镜像仓库认证服务器进行授权认证的过程包括:在表1中找到用户名7对应的角色第四用户角色,判定当前操作类型删除不在允许的操作类型范围内,授权认证失败。
又例如,假设认证请求中的身份信息为用户名10,当前的操作类型的为查询,当前访问的镜像资源信息为资源类型为repository名称为test/my-app的镜像文件。此时镜像仓库认证服务器进行授权认证的过程包括:在表1中未找到用户名7,授权认证失败。
本实施例中,镜像仓库服务器侧执行的镜像仓库管理方法过程参见图4所示,包括:
S401:接收镜像仓库客户端发送的镜像资源访问请求。
S402:判定该镜像资源访问请求是否为授权请求,如否,转至S403;否则,转至S404。
本实施例中,镜像仓库服务器在接收到一个包含授权令牌的镜像资源访问请求时,处理完该镜像资源访问请求后,还将该授权令牌进行存储。这样在接收到后续的不包含授权令牌的镜像资源访问请求时,可以根据本地之前存储的授权令牌来判定该镜像资源访问请求是否为授权请求。
S403:向镜像仓库客户端发送授权认证指示通知,授权认证指示通知包含镜像仓库授权服务器地址信息,采用上述示例二进行授权认证时,还可进一步包括当前访问的镜像资源信息以及操作类型,以供镜像仓库客户端生成认证请求时添加这些信息。
S404:根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理,例如进行对应的下载、上传、删除及查询等。
对应上述两种示例认证方式,本实施例中根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理的方式也包括:
根据镜像资源访问请求对应的令牌有效时间判断该授权令牌当前是否有效,如无效,向镜像仓库客户端发送重新授权认证指示通知;如有效,判断镜像资源访问请求当前访问的镜像资源信息是否在允许访问的镜像资源范围内,且当前访问请求的操作类型是否在允许的操作类型范围内,如是,执行访问;否则,拒绝访问或向镜像仓库客户端发送重新授权认证指示通知。
应当理解的是,本实施例中镜像仓库客户端、镜像仓库服务器以及镜像仓库授权服务器之间各种消息的交互方式可以灵活设定。本实施例实现了根据不同用户角色对访问镜像仓库的不同用户的访问权限进行有效控制,能够给镜像仓库提供细粒度的访问控制,提升了镜像仓库的实用性、安全性以及管理的合理性。
实施例二:
本实施例提供了一种镜像仓库客户端,参见图5所示,包括:
认证处理模块51,用于向镜像仓库授权服务器发送认证请求,认证请求中至少包含用户的身份信息;以及用于接收镜像仓库授权服务器根据所述身份信息和预设身份信息与用户角色对应关系表对所述用户授权认证成功后,反馈的授权令牌;
认证处理模块51可以根据用户发送的命令请求向镜像仓库服务器发送镜像资源访问请求,并根据镜像仓库服务器反馈的镜像仓库服务向镜像仓库授权服务器发送认证请求;也可以在得知镜像仓库授权服务器的地址时,直接根据用户发送的命令请求向镜像仓库授权服务器发送认证请求。
本实施例中身份信息和用户角色对应关系表可以是预先配置在镜像仓库授权服务器本地的,当然也可以是配置在其他镜像仓库授权服务器能够访问获取的数据库中。且本实施例中不同用户角色对应不同的访问权限,本实施例中用户角色以及对应的访问权限的设定可以根据具体应用场景灵活设定。
资源访问模块52,用于基于授权令牌向镜像仓库服务器发送镜像资源访问请求。
认证处理模块51向镜像仓库授权服务器发送的认证请求可以包含不同的信息,下面以两种示例情况进行说明。
示例一:认证处理模块51发送的认证请求中可以仅包含用户的身份信息,以完成授权认证,此时的授权认证则是可以仅仅根据该身份信息是否合法进行认证,下发的授权令牌中可以包含该用户对应用户角色的所有访问权限(访问权限中包含但不限于用户角色允许访问的镜像资源范围以及允许的操作类型范围);
示例二:认证处理模块51发送的认证请求中可以包含用户的身份信息,当前访问的镜像资源信息(可以是当前访问的镜像资源地址,也可以是当前访问的镜像资源的类型及名称)以及当前访问请求的操作类型;此时的授权认证则是可以根据该身份信息是否合法,以及当前访问的镜像资源信息以及当前访问请求的操作类型是否在该用户的用户角色允许访问的镜像资源范围内(可以是镜像资源地址范围,也可以是镜像资源的类型范围及名称)和允许的操作类型范围内来进行授权认证。
为了进一步提升安全性,该认证请求中还可以包含用户密码,镜像仓库授权服务器根据认证请求对用户进行授权认证之前,还可先根据身份信息、用户密码和预设身份信息与用户密码对应关系配置文件,对该用户进行身份认证。
本实施例中,在对认证请求中的用户授权认证成功后,下发的授权令牌包含允许用户访问的镜像资源(可以是上述示例一中的该用户的用户角色对应的所有允许访问的镜像资源,也可以是上述示例二中的该用户的用户角色当前允许访问的镜像资源)、操作类型(可以是上述示例一中的该用户的用户角色对应的所有允许的操作类型,也可以是上述示例二中的该用户的用户角色当前允许的操作类型,还可进一步包括令牌有效时间,该令牌有效时间的设置可以根据具体需求灵活设定,例如设置为20分钟、30分钟等。
资源访问模块52基于授权令牌向镜像仓库服务器发送镜像资源访问请求可以采用以下方式中的任意一种方式:
方式一:资源访问模块52先将获取到的授权令牌单独发送给镜像仓库服务器,再向镜像仓库服务器发送对应的镜像资源访问请求。
方式二:资源访问模块52将包含允许用户访问的镜像资源、操作类型、以及令牌有效时间的授权令牌加入镜像资源访问请求中后,发给镜像仓库服务器。
本实施例还提供了一种镜像仓库授权服务器,参见图6所示,包括:
认证接收模块61,用于接收镜像仓库客户端发送的用于访问镜像仓库的认证请求,所述认证请求中至少包含用户的身份信息(包括但不限于用户名);
授权认证模块62,用于根据身份信息和预设身份信息与用户角色对应关系表,对所述用户进行授权认证,不同用户角色对应不同的访问权限;
认证反馈模块63,用于在授权认证成功时,向镜像仓库客户端反馈授权令牌,以供镜像仓库客户端基于授权令牌对所述镜像仓库进行访问。授权认证失败时,则可以向镜像仓库客户端反馈失败提示,或者不做任何反馈。
为了进一步提升安全性,本实施例中镜像仓库客户端发送的认证请求中还可以包含用户密码;参见图6所示,镜像仓库授权服务器还包括身份认证模块64,用于在对认证请求中的用户进行授权认证之前,还可以先根据身份信息以及用户密码,结合预先设置的身份信息与用户密码对应关系配置文件,对用户进行身份认证。只有在身份认证通过后,授权认证模块才执行后续的授权认证过程,否则不执行后续的授权认证过程,并向镜像仓库客户端反馈认证失败。
如上分析,本实施例中的授权认证方式可包括但不限于以下两种示例方式:
示例一:镜像仓库客户端发送的认证请求中可以仅包含用户的身份信息。此时授权认证模块62授权认证则可以仅仅根据该身份信息,结合预设身份信息与用户角色对应关系表对该用户进行授权认证,例如查看该身份信息在身份信息与用户角色对应关系表中是否存在,如是则授权认证成功,在授权认证成功后,向镜像仓库客户端下发的授权令牌中可以包含该用户对应用户角色的所有访问权限(访问权限中包含但不限于用户角色允许访问的镜像资源范围以及允许的操作类型范围)。
示例二:镜像仓库客户端发送的认证请求中可以包含用户的身份信息,当前访问的镜像资源信息(可以是当前访问的镜像资源地址,也可以是当前访问的镜像资源的类型及名称)以及当前访问请求的操作类型;此时授权认证模块62授权认证则是可以根据该身份信息是否合法,以及当前访问的镜像资源信息以及当前访问请求的操作类型是否在该用户的用户角色允许访问的镜像资源范围内(可以是镜像资源地址范围,也可以是镜像资源的类型范围及名称)和允许的操作类型范围内来进行授权认证。
本实施例中的访问权限中包括但不限于用户角色允许访问的镜像资源范围以及允许的操作类型范围,操作类型包括但不限于上传、下载、删除、查询,例如对于管理员来说,其还可具有设置用户角色以及对应的访问权限的权限。
本实施例还提供了一种镜像仓库服务器,参见图7所示,包括:
访问接收模块71,用于接收镜像仓库客户端发送的镜像资源访问请求;
控制模块72,用于判定该镜像资源访问请求为未授权请求时,向镜像仓库客户端发送授权认证指示通知,授权认证指示通知包含镜像仓库授权服务器地址信息,采用上述示例二进行授权认证时,还可进一步包括当前访问的镜像资源信息以及操作类型,以供镜像仓库客户端生成认证请求时添加这些信息;以及用于判定该镜像资源访问请求为已授权请求时,根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。
本实施例中,控制模块72在接收到一个包含授权令牌的镜像资源访问请求时,处理完该镜像资源访问请求后,还将该授权令牌进行存储。这样在接收到后续的不包含授权令牌的镜像资源访问请求时,可以根据本地之前存储的授权令牌来判定该镜像资源访问请求是否为授权请求。
控制模块72具体用于根据所述令牌有效时间判断所述授权令牌当前是否有效,如无效,向所述镜像仓库客户端发送重新授权认证指示通知;如有效,判断所述镜像资源访问请求当前访问的镜像资源信息是否在允许访问的镜像资源范围内,且所述当前访问请求的操作类型是否在允许的操作类型范围内,如是,执行访问;否则,拒绝访问或向所述镜像仓库客户端发送重新授权认证指示通知。
本实施例中的上述各模块的功能可以由微控制器内的电路或代码实现。且显然,也即本发明实施例的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在计算机存储介质(ROM/RAM、磁碟、光盘)中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。所以,本发明不限制于任何特定的硬件和软件结合。
实施例三:
为了更好的理解本发明,下面以镜像仓库为Docker镜像仓库为示例,结合上述示例二的方式进行说明。
本实施例中身份认证模块的功能是接收Docker的认证请求,通过指定的认证方法进行身份认证。本实施例中的认证请求可以使用HTTPS(Hyper Text Transfer Protocolover Secure Socket Layer),用于安全的HTTP(超文本传输协议,HyperText TransferProtocol)数据传输。
如图8-1所示,身份认证模块可以支持多种认证方法,例如包括但不限于:
静态文件配置;LDAP(轻量目录访问协议,Lightweight Directory AccessProtocol)以及多种数据库。其中:
静态文件配置方式即为把用户名和加密的密码放在配置的文件中,授权装置运行时载入该配置文件,配置文件配置了当前用户及密码,其中密码采用了Bcrypt(BlowfishFile Encryption,一个跨平台的文件加密工具)加密,该方式实施简单。
LDAP(Lightweight Directory Access Protocol,轻量目录访问协议),即以树状的层次结构来存储数据,需要启动一个运行LDAP服务器的容器,然后,授权装置通过配置文件方式,配置上述的LDAP服务器的地址及其他信息。
多种数据库,在授权装置启动时,载入了配置数据库的地址端口等信息的配置文件,镜像仓库的每一次操作,通过读取数据库存储的用户数据来进行认证。
本实施例中的授权认证模块的功能是当身份认证通过,根据发认证请求中的用户和所请求的授权范围(包括访问的资源类型、名称以及具体操作类型)下发token,该token通过JWT(JSON Web Token)认证方案生成,该token包含了token类型(即JWT),token使用的签名算法,token的发行方,token的有效期等。如图8-2所示,授权认证方法包括但不限于:ACL(访问控制列表,Access Control List),LDAP,以及多种数据库。其中:
ACL授权方法可同上面的静态文件配置配合使用,配置文件中,描述用户名和其具有的权限范围。
LDAP的授权可配合LDAP认证使用。
数据库的授权方法,可配同上面的数据库认证是一起使用的,通过数据库存储数据进行授权具有更丰富使用场景,使用者可以根据需要自行选择数据库类型。
图9展示了授权认证的完成过程,包括:
S901:镜像仓库客户端向镜像仓库服务器发起资源访问请求;
S902:镜像仓库服务器返回授权地址和根据请求的地址生成的授权范围;
S903:镜像仓库客户端携带用户名和密码向镜像仓库授权服务器发送认证请求;
S904:镜像仓库授权服务器首先对用户信息及请求范围进行认证,认证通过后,发送授权令牌token给镜像仓库客户端;
S905:镜像仓库客户端携带该token再次向镜像仓库服务器发起资源访问请求;
S906:镜像仓库服务器收到资源访问请求后对请求资源进行响应。
下面以镜像下载为例,介绍通用的Docker镜像仓库授权服务器对Docker镜像仓库服务器进行认证授权过程如下:
首先保证Docker镜像仓库服务器已经正常启动,其中启动载入了配置了镜像仓库授权服务器信息,如图10,包含下面的信息:包括镜像仓库授权服务器地址,镜像仓库的名称也可以称为服务名称,镜像仓库授权服务器名称即token的发行方,以及公钥的绝对路径(配合HTTPS使用)。镜像仓库授权服务器也要启动,载入包含token配置信息,其中授权装置的名称同上面Docker镜像仓库服务器配置的必须一致,还要配置token的有效期。
Docker镜像仓库镜像仓库客户端接收到用户发出的命令请求。比如以DockerRegistry镜像仓库为例,镜像仓库客户端使用用户名和密码登录Docker Registry,比如当前有用户test,使用命令docker login 10.11.21.22:5000,10.11.21.22:5000即DockerRegistry的地址,
登录成功后,执行了docker pull 10.11.21.22:5000:test/my-app命令把镜像从镜像仓库服务器下载到本地Docker。
Docker镜像仓库服务器因为该资源访问请求未经过授权服务器授权,返回一个状态码为401的HTTP响应,在响应头部包含了授权装置的地址,服务名称,对于DockerRegistry,服务端名称可以设置为DIS-Registry,同时,还包含了操作的范围,响应消息头里,WWW-Authenticate头域的值类似如下格式:Bearerrealm="https://ip:port/auth",service="Docker-Registry",scope="repository:test/my-app:pull"。具体的,realm即授权服务器的地址,service即服务名称,scope描述了请求的资源类型,资源名称和操作范围,当前资源类型为repository,开发者可以根据需要扩展资源类型,请求的资源名称,这里即要下载的镜像名称,为test/my-app,需要执行操作动作是下载,即pull。这里的操作包含三种类型:*(表示具有镜像操作的全部权限),push,pull(表示具有镜像上传下载权限),pull(表示具有镜像下载权限)。scope可以有多个,即能够同时对多个资源进行授权。
镜像仓库客户端根据上述的授权信息,发送认证请求到镜像仓库授权服务器,请求地址类似https://ip:port/auth?service=Docker-Registry&scope=repository:test/my-app:pull,同时使用HTTP基本认证输入用户名和密码,发送HTTPS请求到镜像仓库授权服务器,该镜像仓库授权服务器首先根据配置的认证方法对请求的用户名和密码进行认证,比如,认证方法使用PostgreSQL数据库,装置把请求的用户名和密码同数据库存储的用户名密码做对比,同时,对于scope里描述的资源类型,名称以及操作进行数据库内容的查询对比,一致就继续进行授权,如果不一致,即为认证不通过,返回状态码为401的响应信息,以及认证不通过的原因。
镜像仓库授权服务器根据上述所需的scope返回token,表示得到访问权限。通过HTTP返回响应消息体,包含生成的token。
镜像仓库客户端重试发送资源访问请求发送到Docker镜像仓库服务器,在发送的消息头里增加Authorization头域,即在token值的前面加上Bearer及一个空格。
Docker镜像仓库服务器收到含token的资源访问请求,执行镜像仓库客户端请求资源的所需操作,即下载镜像到本地Docker。
对于镜像仓库客户端相同的请求,在token有效期内,可以直接执行,无需重新认证在保证安全性的同时提高了操作的效率。
镜像仓库授权服务器可以快速方便的与Docker镜像仓库整合,Docker镜像仓库通过上述一系列的认证授权步骤达到了细粒度的访问控制。
综上所述,通用的Docker授权方法及装置实现了对Docker镜像仓库操作的访问控制,通过镜像方式方便的部署到Docker中,进一步提高了Docker镜像仓库开发的效率。
以上内容是结合具体的实施方式对本发明实施例所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (13)
1.一种镜像仓库授权方法,包括:
接收镜像仓库客户端发送的用于访问镜像仓库的认证请求,所述认证请求中至少包含用户的身份信息;
根据所述身份信息和预设身份信息与用户角色对应关系表,对所述用户进行授权认证,不同用户角色对应不同的访问权限;
授权认证成功时,向所述镜像仓库客户端反馈授权令牌,以供所述镜像仓库客户端基于所述授权令牌对所述镜像仓库进行访问。
2.如权利要求1所述的镜像仓库授权方法,其特征在于,所述认证请求中还包含用户密码;
根据预设身份信息与用户角色对应关系表对所述用户进行授权认证之前,还包括根据所述用户密码和预设身份信息与用户密码对应关系配置文件,对所述用户进行身份认证。
3.如权利要求1或2所述的镜像仓库授权方法,其特征在于,所述认证请求中还包括当前访问的镜像资源信息以及当前访问请求的操作类型;所述访问权限中包含用户角色允许访问的镜像资源范围以及允许的操作类型范围;所述操作类型包含上传、下载、删除、查询;
根据所述身份信息和预设身份信息与用户角色对应关系表,对所述用户进行授权认证包括:
根据所述身份信息在所述预设身份信息与用户角色对应关系表中查找到所述用户对应的用户角色,判断所述当前访问的镜像资源信息是否在该用户角色允许访问的镜像资源范围内,且所述当前访问请求的操作类型是否在允许的操作类型范围内,如是,授权认证成功;否则,授权认证失败。
4.一种镜像仓库访问方法,包括:
向镜像仓库授权服务器发送认证请求,所述认证请求中至少包含用户的身份信息;
接收所述镜像仓库授权服务器根据所述身份信息和预设身份信息与用户角色对应关系表对所述用户授权认证成功后,反馈的授权令牌;
基于所述授权令牌向镜像仓库服务器发送镜像资源访问请求。
5.如权利要求4所述的镜像仓库访问方法,其特征在于,向镜像仓库授权服务器发送认证请求之前,还包括:
向镜像仓库服务器发送镜像资源访问请求;
接收到所述镜像仓库服务器返回的授权认证指示通知时,根据所述授权认证指示通知中的镜像仓库授权服务器地址信息,向所述镜像仓库授权服务器发送所述认证请求。
6.如权利要求4或5所述的镜像仓库访问方法,其特征在于,所述授权令牌包含允许所述用户访问的镜像资源、操作类型、以及令牌有效时间;基于所述授权令牌向镜像仓库服务器发送镜像资源访问请求包括:
将所述包含允许所述用户访问的镜像资源、操作类型、以及令牌有效时间的授权令牌加入镜像资源访问请求中后,发给所述镜像仓库服务器。
7.一种镜像仓库管理方法,包括:
接收镜像仓库客户端发送的镜像资源访问请求;
判定该镜像资源访问请求为未授权请求时,向所述镜像仓库客户端发送授权认证指示通知,所述授权认证指示通知包含镜像仓库授权服务器地址信息;
判定该镜像资源访问请求为已授权请求时,根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。
8.如权利要求7所述的镜像仓库管理方法,其特征在于,所述授权令牌包含允许用户访问的镜像资源、操作类型、以及令牌有效时间;根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理包括:
根据所述令牌有效时间判断所述授权令牌当前是否有效,如无效,向所述镜像仓库客户端发送重新授权认证指示通知;
如有效,判断所述镜像资源访问请求当前访问的镜像资源信息是否在允许访问的镜像资源范围内,且所述当前访问请求的操作类型是否在允许的操作类型范围内,如是,执行访问;否则,拒绝访问或向所述镜像仓库客户端发送重新授权认证指示通知。
9.一种镜像仓库授权服务器,包括:
认证接收模块,用于接收镜像仓库客户端发送的用于访问镜像仓库的认证请求,所述认证请求中至少包含用户的身份信息;
授权认证模块,用于根据所述身份信息和预设身份信息与用户角色对应关系表,对所述用户进行授权认证,不同用户角色对应不同的访问权限;
认证反馈模块,用于在授权认证成功时,向所述镜像仓库客户端反馈授权令牌,以供所述镜像仓库客户端基于所述授权令牌对所述镜像仓库进行访问。
10.如权利要求9所述的镜像仓库授权服务器,其特征在于,所述认证请求中还包括当前访问的镜像资源信息以及当前访问请求的操作类型;所述访问权限中包含用户角色允许访问的镜像资源范围以及允许的操作类型范围;所述操作类型包含上传、下载、删除、查询;
所述授权认证模块用于根据所述身份信息在所述预设身份信息与用户角色对应关系表中查找到所述用户对应的用户角色,判断所述当前访问的镜像资源信息是否在该用户角色允许访问的镜像资源范围内,且所述当前访问请求的操作类型是否在允许的操作类型范围内,如是,授权认证成功;否则,授权认证失败。
11.一种镜像仓库客户端,包括:
认证处理模块,用于向镜像仓库授权服务器发送认证请求,所述认证请求中至少包含用户的身份信息,以及接收所述镜像仓库授权服务器根据所述身份信息和预设身份信息与用户角色对应关系表对所述用户授权认证成功后,反馈的授权令牌;
资源访问模块,用于基于所述授权令牌向镜像仓库服务器发送镜像资源访问请求。
12.一种镜像仓库服务器,包括:
访问接收模块,用于接收镜像仓库客户端发送的镜像资源访问请求;
控制模块,用于判定该镜像资源访问请求为未授权请求时,向所述镜像仓库客户端发送授权认证指示通知,所述授权认证指示通知包含镜像仓库授权服务器地址信息;以及用于判定该镜像资源访问请求为已授权请求时,根据该镜像资源访问请求对应的授权令牌对该镜像资源访问请求进行访问处理。
13.如权利要求12所述的镜像仓库服务器,其特征在于,所述授权令牌包含允许用户访问的镜像资源、操作类型、以及令牌有效时间;
所述控制模块用于根据所述令牌有效时间判断所述授权令牌当前是否有效,如无效,向所述镜像仓库客户端发送重新授权认证指示通知;如有效,判断所述镜像资源访问请求当前访问的镜像资源信息是否在允许访问的镜像资源范围内,且所述当前访问请求的操作类型是否在允许的操作类型范围内,如是,执行访问;否则,拒绝访问或向所述镜像仓库客户端发送重新授权认证指示通知。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610978489.9A CN108011862A (zh) | 2016-10-31 | 2016-10-31 | 镜像仓库授权、访问、管理方法及服务器和客户端 |
| PCT/CN2017/107525 WO2018077169A1 (zh) | 2016-10-31 | 2017-10-24 | 镜像仓库授权、访问、管理方法、服务器和客户端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610978489.9A CN108011862A (zh) | 2016-10-31 | 2016-10-31 | 镜像仓库授权、访问、管理方法及服务器和客户端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108011862A true CN108011862A (zh) | 2018-05-08 |
Family
ID=62024415
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610978489.9A Withdrawn CN108011862A (zh) | 2016-10-31 | 2016-10-31 | 镜像仓库授权、访问、管理方法及服务器和客户端 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108011862A (zh) |
| WO (1) | WO2018077169A1 (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108924101A (zh) * | 2018-06-20 | 2018-11-30 | 北京车和家信息技术有限公司 | 一种数据库的操作方法及相关设备 |
| CN109033774A (zh) * | 2018-08-31 | 2018-12-18 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
| WO2019001110A1 (zh) * | 2017-06-30 | 2019-01-03 | 平安科技(深圳)有限公司 | 权限认证方法、系统、设备及计算机可读存储介质 |
| CN109657429A (zh) * | 2018-09-27 | 2019-04-19 | 深圳壹账通智能科技有限公司 | 视频资源管理方法、设备、系统及计算机可读存储介质 |
| CN110022294A (zh) * | 2019-02-27 | 2019-07-16 | 广州虎牙信息科技有限公司 | 一种代理服务器、Docker系统及其权限管理方法、存储介质 |
| CN110120979A (zh) * | 2019-05-20 | 2019-08-13 | 华为技术有限公司 | 一种调度方法、装置及相关设备 |
| CN111190738A (zh) * | 2019-12-31 | 2020-05-22 | 北京仁科互动网络技术有限公司 | 多租户体系下的用户镜像方法、装置及系统 |
| CN111966868A (zh) * | 2020-09-07 | 2020-11-20 | 航天云网数据研究院(广东)有限公司 | 基于标识解析的数据治理方法及相关设备 |
| CN112182522A (zh) * | 2019-07-05 | 2021-01-05 | 北京地平线机器人技术研发有限公司 | 访问控制方法和装置 |
| CN112363806A (zh) * | 2020-11-23 | 2021-02-12 | 北京信安世纪科技股份有限公司 | 一种集群管理方法、装置、电子设备及存储介质 |
| CN112506613A (zh) * | 2020-12-11 | 2021-03-16 | 四川长虹电器股份有限公司 | Gitlab-ci自动识别Maven变更子模块并推送docker镜像的方法 |
| CN112639783A (zh) * | 2018-08-31 | 2021-04-09 | 美光科技公司 | 同时的镜像测量和执行 |
| CN112667998A (zh) * | 2020-12-08 | 2021-04-16 | 中国科学院信息工程研究所 | 一种容器镜像仓库的安全访问方法及系统 |
| CN113190609A (zh) * | 2021-05-28 | 2021-07-30 | 腾讯科技(深圳)有限公司 | 数据仓库管理方法及系统、装置、存储介质、电子设备 |
| CN113296875A (zh) * | 2020-05-29 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 镜像文件处理方法及系统 |
| CN113688409A (zh) * | 2021-08-05 | 2021-11-23 | 浪潮云信息技术股份公司 | 一种基于容器镜像权限细粒度分配方法 |
| CN115114608A (zh) * | 2021-03-23 | 2022-09-27 | 中移(苏州)软件技术有限公司 | 一种认证方法和系统,及存储介质 |
| CN115460022A (zh) * | 2022-11-11 | 2022-12-09 | 广州中长康达信息技术有限公司 | 一种对智能辅助平台的资源管理方法 |
| CN115987558A (zh) * | 2022-11-29 | 2023-04-18 | 北京淘友天下技术有限公司 | 请求处理方法及系统 |
| CN116318859A (zh) * | 2023-02-03 | 2023-06-23 | 深圳市联软科技股份有限公司 | 一种应用数据的安全访问系统及方法及系统 |
| CN117034233A (zh) * | 2023-10-09 | 2023-11-10 | 统信软件技术有限公司 | 基于权限的应用管理方法、装置、计算设备及存储介质 |
| CN117118751A (zh) * | 2023-10-23 | 2023-11-24 | 城云科技(中国)有限公司 | 基于OAuth2的访问控制模型的拓展方法及其应用 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109783076A (zh) * | 2018-12-14 | 2019-05-21 | 深圳壹账通智能科技有限公司 | 基于git的代码管理方法、装置、设备和存储介质 |
| CN111130852A (zh) * | 2019-12-04 | 2020-05-08 | 上海交通大学包头材料研究院 | 一种基于Docker的云应用网络自动化部署的方法 |
| CN111241503A (zh) * | 2020-01-16 | 2020-06-05 | 上海上实龙创智慧能源科技股份有限公司 | 一种基于Vue.js框架的页面按钮授权方法 |
| CN113452652A (zh) * | 2020-03-24 | 2021-09-28 | 深圳法大大网络科技有限公司 | 基于多系统的数据交互方法、装置、电子设备及存储介质 |
| CN115174162B (zh) * | 2022-06-17 | 2023-10-24 | 青岛海尔科技有限公司 | 基于OAuth协议的授权方法、装置、系统及存储介质 |
| CN115174174B (zh) * | 2022-06-24 | 2024-04-12 | 百融至信(北京)科技有限公司 | 控制电子管理平台的方法和装置 |
| CN117852005B (zh) * | 2024-03-08 | 2024-05-14 | 杭州悦数科技有限公司 | 一种图数据库与客户端之间的安全校验方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506628A (zh) * | 2014-12-25 | 2015-04-08 | 深圳市科漫达智能管理科技有限公司 | 一种插件仓库管理方法与系统 |
| US20160105402A1 (en) * | 2014-07-22 | 2016-04-14 | Harsh Kupwade-Patil | Homomorphic encryption in a healthcare network environment, system and methods |
| CN105653901A (zh) * | 2015-12-29 | 2016-06-08 | 深圳市科漫达智能管理科技有限公司 | 一种组件仓库管理的方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106845183A (zh) * | 2017-01-24 | 2017-06-13 | 郑州云海信息技术有限公司 | 一种应用容器引擎管理方法及系统 |
| CN107239688B (zh) * | 2017-06-30 | 2019-07-23 | 平安科技(深圳)有限公司 | Docker镜像仓库的权限认证方法和系统 |
-
2016
- 2016-10-31 CN CN201610978489.9A patent/CN108011862A/zh not_active Withdrawn
-
2017
- 2017-10-24 WO PCT/CN2017/107525 patent/WO2018077169A1/zh not_active Ceased
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160105402A1 (en) * | 2014-07-22 | 2016-04-14 | Harsh Kupwade-Patil | Homomorphic encryption in a healthcare network environment, system and methods |
| CN104506628A (zh) * | 2014-12-25 | 2015-04-08 | 深圳市科漫达智能管理科技有限公司 | 一种插件仓库管理方法与系统 |
| CN105653901A (zh) * | 2015-12-29 | 2016-06-08 | 深圳市科漫达智能管理科技有限公司 | 一种组件仓库管理的方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 杨霆: "隔离公共数据库及分级安全管理方法", 《微计算机应用(2006年04期)》 * |
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019001110A1 (zh) * | 2017-06-30 | 2019-01-03 | 平安科技(深圳)有限公司 | 权限认证方法、系统、设备及计算机可读存储介质 |
| CN108924101A (zh) * | 2018-06-20 | 2018-11-30 | 北京车和家信息技术有限公司 | 一种数据库的操作方法及相关设备 |
| CN109033774A (zh) * | 2018-08-31 | 2018-12-18 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
| CN109033774B (zh) * | 2018-08-31 | 2020-08-07 | 阿里巴巴集团控股有限公司 | 获取、反馈用户资源的方法、装置及电子设备 |
| CN112639783A (zh) * | 2018-08-31 | 2021-04-09 | 美光科技公司 | 同时的镜像测量和执行 |
| CN109657429A (zh) * | 2018-09-27 | 2019-04-19 | 深圳壹账通智能科技有限公司 | 视频资源管理方法、设备、系统及计算机可读存储介质 |
| CN110022294A (zh) * | 2019-02-27 | 2019-07-16 | 广州虎牙信息科技有限公司 | 一种代理服务器、Docker系统及其权限管理方法、存储介质 |
| US12536034B2 (en) | 2019-05-20 | 2026-01-27 | Huawei Cloud Computing Technologies Co., Ltd. | Scheduling method and apparatus, and related device |
| CN110120979A (zh) * | 2019-05-20 | 2019-08-13 | 华为技术有限公司 | 一种调度方法、装置及相关设备 |
| CN110120979B (zh) * | 2019-05-20 | 2023-03-10 | 华为云计算技术有限公司 | 一种调度方法、装置及相关设备 |
| CN112182522A (zh) * | 2019-07-05 | 2021-01-05 | 北京地平线机器人技术研发有限公司 | 访问控制方法和装置 |
| CN111190738B (zh) * | 2019-12-31 | 2023-09-08 | 北京仁科互动网络技术有限公司 | 多租户体系下的用户镜像方法、装置及系统 |
| CN111190738A (zh) * | 2019-12-31 | 2020-05-22 | 北京仁科互动网络技术有限公司 | 多租户体系下的用户镜像方法、装置及系统 |
| CN113296875A (zh) * | 2020-05-29 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 镜像文件处理方法及系统 |
| CN111966868A (zh) * | 2020-09-07 | 2020-11-20 | 航天云网数据研究院(广东)有限公司 | 基于标识解析的数据治理方法及相关设备 |
| CN112363806B (zh) * | 2020-11-23 | 2023-09-22 | 北京信安世纪科技股份有限公司 | 一种集群管理方法、装置、电子设备及存储介质 |
| CN112363806A (zh) * | 2020-11-23 | 2021-02-12 | 北京信安世纪科技股份有限公司 | 一种集群管理方法、装置、电子设备及存储介质 |
| CN112667998A (zh) * | 2020-12-08 | 2021-04-16 | 中国科学院信息工程研究所 | 一种容器镜像仓库的安全访问方法及系统 |
| CN112667998B (zh) * | 2020-12-08 | 2024-03-01 | 中国科学院信息工程研究所 | 一种容器镜像仓库的安全访问方法及系统 |
| CN112506613A (zh) * | 2020-12-11 | 2021-03-16 | 四川长虹电器股份有限公司 | Gitlab-ci自动识别Maven变更子模块并推送docker镜像的方法 |
| CN115114608A (zh) * | 2021-03-23 | 2022-09-27 | 中移(苏州)软件技术有限公司 | 一种认证方法和系统,及存储介质 |
| CN113190609A (zh) * | 2021-05-28 | 2021-07-30 | 腾讯科技(深圳)有限公司 | 数据仓库管理方法及系统、装置、存储介质、电子设备 |
| CN113190609B (zh) * | 2021-05-28 | 2023-11-03 | 腾讯科技(深圳)有限公司 | 数据仓库管理方法及系统、装置、存储介质、电子设备 |
| CN113688409A (zh) * | 2021-08-05 | 2021-11-23 | 浪潮云信息技术股份公司 | 一种基于容器镜像权限细粒度分配方法 |
| CN115460022B (zh) * | 2022-11-11 | 2023-03-07 | 广州中长康达信息技术有限公司 | 一种对智能辅助平台的资源管理方法 |
| CN115460022A (zh) * | 2022-11-11 | 2022-12-09 | 广州中长康达信息技术有限公司 | 一种对智能辅助平台的资源管理方法 |
| CN115987558A (zh) * | 2022-11-29 | 2023-04-18 | 北京淘友天下技术有限公司 | 请求处理方法及系统 |
| CN116318859A (zh) * | 2023-02-03 | 2023-06-23 | 深圳市联软科技股份有限公司 | 一种应用数据的安全访问系统及方法及系统 |
| CN117034233A (zh) * | 2023-10-09 | 2023-11-10 | 统信软件技术有限公司 | 基于权限的应用管理方法、装置、计算设备及存储介质 |
| CN117034233B (zh) * | 2023-10-09 | 2024-01-23 | 统信软件技术有限公司 | 基于权限的应用管理方法、装置、计算设备及存储介质 |
| CN117118751A (zh) * | 2023-10-23 | 2023-11-24 | 城云科技(中国)有限公司 | 基于OAuth2的访问控制模型的拓展方法及其应用 |
| CN117118751B (zh) * | 2023-10-23 | 2024-01-30 | 城云科技(中国)有限公司 | 基于OAuth2的访问控制模型的拓展方法及其应用 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018077169A1 (zh) | 2018-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108011862A (zh) | 镜像仓库授权、访问、管理方法及服务器和客户端 | |
| US10897464B2 (en) | Device registration, authentication, and authorization system and method | |
| US11362900B2 (en) | Systems, methods, and storage media for controlling identity information across multiple identity domains in a distributed identity infrastructure | |
| US11750609B2 (en) | Dynamic computing resource access authorization | |
| US8627409B2 (en) | Framework for automated dissemination of security metadata for distributed trust establishment | |
| JP6263537B2 (ja) | Ldapベースのマルチテナント・インクラウド・アイデンティティ管理システム | |
| US8387136B2 (en) | Role-based access control utilizing token profiles | |
| CA2904748C (en) | Systems and methods for identifying a secure application when connecting to a network | |
| US10362039B2 (en) | Permissions for hybrid distributed network resources | |
| US8387137B2 (en) | Role-based access control utilizing token profiles having predefined roles | |
| US9432353B2 (en) | Serialized authentication and authorization services | |
| CN112154639A (zh) | 在没有用户足迹的情况下的多因素认证 | |
| US11063930B1 (en) | Resource access provisioning for on-premises network client devices | |
| US20160269373A1 (en) | Systems and methods for organizing devices in a policy hierarchy | |
| US10375177B1 (en) | Identity mapping for federated user authentication | |
| US10681023B2 (en) | Self-service portal for provisioning passwordless access | |
| US9871778B1 (en) | Secure authentication to provide mobile access to shared network resources | |
| US11368462B2 (en) | Systems and method for hypertext transfer protocol requestor validation | |
| US20210392132A1 (en) | Systems, methods, and storage media for synchronizing identity information across identity domains in an identity infrastructure | |
| US11658957B2 (en) | Methods and apparatuses for temporary session authentication and governor limits management | |
| CN106170964A (zh) | 基于不同身份服务的用户虚拟身份 | |
| CN116707849A (zh) | 针对飞地实例的云服务访问权限设置方法和云管理平台 | |
| CN118159967A (zh) | 对在隔离环境中实现的计算资源的访问的控制 | |
| WO2023160632A1 (zh) | 针对飞地实例的云服务访问权限设置方法和云管理平台 | |
| US20130312068A1 (en) | Systems and methods for administrating access in an on-demand computing environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20180508 |