(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210967626.4 (22)申请日 2022.08.12 (71)申请人 格尔软件股份有限公司 地址 200436 上海市 静安区江场西路2 99弄 5号601室 (72)发明人 游强　毛龙　卫杰　陈骁　 (74)专利代理 机构 上海天翔 知识产权代理有限 公司 312 24 专利代理师 陈骏键 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 访问权限判断方法、 装置、 计算机设备和存 储介质 (57)摘要 本发明公开的一种访问权限判断分析方法， 包括： 创建用户访问策略， 并对用户访问策略进 行结构转换处理， 以使 得用户访问策略转换成策 略表达式； 当用户访问应用系统时， 获取用户访 问请求， 并对用户访问请求进行校验； 对用户访 问请求的请求报文进行结构转换处理， 以使 得请 求报文转换为执行引擎上下文对象， 并对执行引 擎上下文对象进行编译处理， 以使得执行引擎上 下文对象编译为字节码文件； 将 字节码文件和策 略表达式交由执行引擎进行策略执行处理； 以及 对执行引擎生成的策略执行结果进行断言处理， 并根据断言结果返回响应。 还公开了实现上述访 问权限判断分析方法的装置、 计算机设备和存储 介质。 本发 明实现用户在多种场景下是否可以访 问应用系统。 权利要求书2页 说明书9页 附图3页 CN 115333832 A 2022.11.11 CN 115333832 A 1.一种访问权限判断分析 方法， 其特 征在于， 包括： 创建用户访 问策略， 并对所述用户访 问策略进行结构转换处理， 以使得所述用户访 问 策略转换成策略表达式； 当用户访问应用系统时， 获取用户访问请求， 并对所述用户访问请求进行 校验； 对所述用户访问请求的请求报文进行结构转换处理， 以使得所述请求报文转换为执行 引擎上下文对 象， 并对所述执行引擎上下文对 象进行编译处理， 以使得所述执行引擎上下 文对象编译为字节码文件； 将所述字节码文件和策略表达式交由执 行引擎进行 策略执行处理； 以及 对所述执 行引擎生成的策略执 行结果进行断言处 理， 并根据断言结果返回响应。 2.如权利要求1所述的访问权限判断分析方法， 其特征在于， 所述用户访问策略包括访 问时间段、 访问IP段、 访问地理位置范围以及 访问方式。 3.如权利要求1所述的访问权限判断分析方法， 其特征在于， 所述对所述用户访问策略 进行结构转换处 理， 包括： 获取用户访问策略的策略属性； 对用户访问策略的策略属性进行结构转换处理， 以使得所述策略属性转换成策略表达 式； 对所述策略表达式进行校验处理， 以判断所述策略表达式是否可执行， 同时判断执行 结果是否满足断言要求； 以及 将校验合格的策略表达式交于策略执 行点进行访问鉴权处 理。 4.如权利要求1所述的访问权限判断分析方法， 其特征在于， 所述对所述用户访问请求 进行校验， 包括： 判断所述用户访问请求中的各个参数 是否缺失； 判断所述用户访问请求中的各个参数 是否合法； 以及 判断所述用户访问请求中的各个参数 是否有效。 5.如权利要求1所述的访问权限判断分析 方法， 其特 征在于， 还 包括： 对所述执 行引擎的工作环境进行配置， 并对所述执 行引擎的默认参数进行设置 。 6.如权利要求1所述的访问权限判断分析方法， 其特征在于， 所述对所述用户访问请求 的请求报文进 行结构转换 处理的方式包括策略各属性表示式参数值转换处理、 默认参数至 拼装处理、 特殊场景参数值 拼装处理以及强制条件拼装处 理。 7.如权利要求1所述的访问权限判断分析方法， 其特征在于， 所述将所述字节码文件和 策略表达式交由执 行引擎进行 策略执行处理， 包括： 将所述字节码文件和策略表达式分别输入至执 行引擎中； 所述执行引擎将所述字节码文件与 策略表达 式进行逐项比对处理， 并处理得到执行结 果集； 以及 对所述执 行结果集按照优先级 进行整合处 理， 以获得最终的策略执 行结果。 8.一种访问权限判断分析装置， 其特 征在于， 包括： 策略创建处理模块， 所述策略创建处理模块用于创建用户访 问策略， 并对所述用户访 问策略进行 结构转换处 理， 以使得 所述用户访问策略转换成策略表达式； 请求获取处理模块， 所述请求获取处理模块用于当用户访 问应用系统时， 获取用户访权　利　要　求　书 1/2 页 2 CN 115333832 A 2问请求， 并对所述用户访问请求进行 校验； 请求报文处理模块， 所述请求报文处理模块用于对所述用户访问请求的请求报文进行 结构转换处理， 以使得所述请求报文转换为执行引擎上下文对 象， 并对所述执行引擎上下 文对象进行编译处 理， 以使得 所述执行引擎上 下文对象编译为字节码文件； 策略执行处理模块， 所述策略执行处理模块用于将所述字节码文件和策略表达 式交由 执行引擎进行 策略执行处理； 以及 断言响应模块， 所述断言响应模块用于对所述执行引擎生成的策略执行结果进行断言 处理， 并根据断言结果返回响应。 9.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处理器执行所述计算机程序时实现如权利要求 1至7中任一项 所述的访问权限判断 分析方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现如权利要求1至7中任一项所述的访问权限判断分析 方法的步骤。权　利　要　求　书 2/2 页 3 CN 115333832 A 3