一种多租户系统权限的防护与漏洞修复方法及系统与流程

本发明涉及云计算，具体为一种多租户系统权限的防护与漏洞修复方法及系统。

背景技术：

1、随着云计算与多租户技术的发展,多租户架构下不同用户间的应用与数据安全成为了云计算架构中的重要课题。

2、在云计算环境下,多个租户共享同一资源池,因此必须采取适当的权限管理与隔离措施,确保不同用户间的资源隔离；同时，云计算环境下，涉及大量子系统间的相互调用，各个子系统间架构与安全及权限管理措施多样，集成复杂，集成难度高，系统缝隙间，极易发生安全漏洞。

技术实现思路

1、本发明的目的在于提供一种多租户系统权限的防护与漏洞修复方法及系统，以解决上述背景技术中提出的问题。

2、为实现上述目的，本发明提供如下技术方案：一种多租户系统权限的防护与漏洞修复方法，所述方法包括：水平越权防护方法和垂直越权防护方法，用于增强多租户系统的安全性，防止未授权访问和权限滥用。

3、优选的，水平越权防护方法包括：

4、权限配置，提供authorization.uri配置项，支持url通配符模糊匹配及多项配置，每项由url地址和权限控制符组成；提供user.domain配置项，指定用户鉴权中心地址；通过数据库权限配置表管理权限控制符、名称及操作url，支持json格式存储；

5、用户权限鉴定，从请求头中提取并解析authorization属性以获取用户id，根据当前访问资源路径和请求协议，通过鉴权中心验证用户是否具有操作权限；

6、采用java语言，通过全局拦截器实现防护。

7、优选的，垂直越权防护方法包括：

8、权限配置，提供workspaceauthcheck.excludeurls配置项，允许配置不需拦截的url；workspaceauthcheck.enabled校验开关，控制是否进行校验；workspaceauthcheck.keys配置项，指定需校验的url参数或请求体属性；

9、租户隔离权限缓存加速，通过异步线程定时从用户鉴权中心加载用户与租户资源的访问对应关系，并使用内存优化的全局set集合存储简化后的对应关系；

10、用户id获取与校验值提取，从请求头解析authorization属性获取用户id，从url参数和请求体中提取待校验的属性值；

11、权限验证，将用户id与待校验的属性值组合，在租户隔离权限缓存中查找，确认用户是否有权访问特定租户资源；

12、采用java语言，通过全局拦截器实现防护。

13、优选的，所述方法还包括：

14、用户根据实际需求，单独部署水平越权防护方法或垂直越权防护方法，或同时部署两者，以适应不同的安全需求和多租户环境。

15、优选的，所述方法还包括：

16、日志与监控，集成日志记录和监控系统，记录权限验证过程中的关键信息和异常行为，便于后续审计和漏洞修复；

17、自动化修复，结合安全扫描工具，定期检测系统中的潜在漏洞，并自动或辅助管理员进行修复，确保系统安全性的持续提升；

18、可扩展性，支持通过插件或扩展模块增加新的鉴权策略和防护机制，以适应未来可能的安全威胁和业务发展需求。

19、一种多租户系统权限的防护与漏洞修复系统，所述系统包括：

20、系统集成水平越权防护方法和垂直越权防护方法，用于保障多租户系统中的数据安全和权限控制，防止未授权访问和数据泄露。

21、优选的，水平越权防护方法包括以下模块：

22、权限配置模块：提供authorization.uri配置项，允许用户配置需进行垂直鉴权的url，支持通配符和多项配置；同时提供user.domain配置项指定鉴权中心地址；以及基于数据库的权限配置表，用于存储权限控制符、名称和操作url的映射关系；

23、用户权限鉴定模块：从请求头中提取并解析authorization属性以获取用户id，根据当前访问的资源路径和请求协议，结合权限配置模块的信息，调用鉴权中心验证用户权限；

24、实现方式：采用java语言开发，通过全局拦截器自动执行防护逻辑。

25、优选的，垂直越权防护方法包括以下模块：

26、权限配置模块：提供workspaceauthcheck.excludeurls、workspaceauthcheck.enabled、workspaceauthcheck.keys等配置项，用于配置不需拦截的url、启用校验功能及指定需校验的url参数或请求体属性；

27、租户隔离权限缓存加速模块：通过异步线程定时从用户鉴权中心加载用户与租户资源的访问关系，并使用内存优化的数据结构存储，以提高权限验证效率；

28、用户id获取与校验值提取模块：从请求头中解析authorization属性获取用户id，同时从url参数和请求体中提取待校验的属性值；

29、权限验证模块：将用户id与待校验的属性值组合，在租户隔离权限缓存中查找，以确认用户是否有权访问特定租户资源；

30、实现方式：采用java语言开发，并集成全局拦截器实现自动防护。

31、优选的，所述系统支持单独部署水平越权防护方法或垂直越权防护方法，根据实际需求同时部署两者，以适应不同的安全策略和多租户环境。

32、优选的，所述系统还包括以下附加功能：

33、日志与监控：集成日志记录和监控系统，记录权限验证过程中的关键信息和异常行为，便于后续审计和漏洞修复；

34、自动化修复：结合安全扫描工具，定期检测系统中的潜在漏洞，并自动或辅助管理员进行修复，确保系统安全性的持续提升；

35、可扩展性：支持通过插件或扩展模块增加新的鉴权策略和防护机制，以适应未来可能的安全威胁和业务发展需求。

36、与现有技术相比，本发明的有益效果是：

37、本发明提出的多租户系统权限的防护与漏洞修复方法及系统，简单方便，实施时只需引入sdk包，并将拦截器进行注册即可，无额外工作量，相较于传统基于注解的方式，系统侵入性小，工作量低；可通过配置方式随时调整，针对重点资源进行额外二重加固防护；漏洞修复响应快，发现漏洞后，只需对泄露的资源调整配置，可立刻封堵漏洞，无需进行系统升级；具有良好的通用适配性，通过拦截器方式可应用于各类应用子系统；可同时满足对垂直与水平越权漏洞的防护与修复。

技术特征：

1.一种多租户系统权限的防护与漏洞修复方法，其特征在于：所述方法包括：水平越权防护方法和垂直越权防护方法，用于增强多租户系统的安全性，防止未授权访问和权限滥用。

2.根据权利要求1所述的一种多租户系统权限的防护与漏洞修复方法，其特征在于：水平越权防护方法包括：

3.根据权利要求1所述的一种多租户系统权限的防护与漏洞修复方法，其特征在于：垂直越权防护方法包括：

4.根据权利要求1所述的一种多租户系统权限的防护与漏洞修复方法，其特征在于：所述方法还包括：

5.根据权利要求1所述的一种多租户系统权限的防护与漏洞修复方法，其特征在于：所述方法还包括：

6.一种根据权利要求1-5任意一项所述的多租户系统权限的防护与漏洞修复方法的多租户系统权限的防护与漏洞修复系统，其特征在于：所述系统包括：

7.根据权利要求6所述的一种多租户系统权限的防护与漏洞修复方法及系统，其特征在于：水平越权防护方法包括以下模块：

8.根据权利要求6所述的一种多租户系统权限的防护与漏洞修复方法及系统，其特征在于：垂直越权防护方法包括以下模块：

9.根据权利要求6所述的一种多租户系统权限的防护与漏洞修复方法及系统，其特征在于：所述系统支持单独部署水平越权防护方法或垂直越权防护方法，根据实际需求同时部署两者，以适应不同的安全策略和多租户环境。

10.根据权利要求6所述的一种多租户系统权限的防护与漏洞修复方法及系统，其特征在于：所述系统还包括以下附加功能：

技术总结
本发明涉及云计算技术领域，具体为一种多租户系统权限的防护与漏洞修复方法及系统，包括：水平越权防护方法和垂直越权防护方法，用于增强多租户系统的安全性，防止未授权访问和权限滥用；有益效果为：本发明提出的多租户系统权限的防护与漏洞修复方法及系统，实施时只需引入sdk包，并将拦截器进行注册即可，无额外工作量，相较于传统基于注解的方式，系统侵入性小，工作量低；可通过配置方式随时调整，针对重点资源进行额外二重加固防护；漏洞修复响应快，发现漏洞后，只需对泄露的资源调整配置，可立刻封堵漏洞，无需进行系统升级；具有良好的通用适配性，通过拦截器方式可应用于各类应用子系统；可同时满足对垂直与水平越权漏洞的防护与修复。

技术研发人员：王东伟,张滨,武铁军,率为朋,朱亚静
受保护的技术使用者：浪潮云信息技术股份公司
技术研发日：
技术公布日：2025/2/13