访问请求处理方法、装置、计算机设备和存储介质

技术领域

本申请涉及信息安全技术领域，特别是涉及一种访问请求处理方法、装置、计算机设备、存储介质和计算机程序产品。

背景技术

随着信息安全技术的发展，出现了检测用户访问安全性的电力监控系统。

然而，现有的电力监控系统对用户访问行为的管控力度较小，并不能准确有效地验证用户的访问行为是否合法合规，导致经常出现越权访问资源、非有效期访问、越级访问等非法访问的安全问题，从而造成访问安全性的检测准确率较低。

发明内容

基于此，有必要针对上述技术问题，提供一种能够增强访问安全性的访问请求处理方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。

第一方面，本申请提供了一种访问请求处理方法。所述方法包括：

接收用户的资源访问请求，获取所述资源访问请求中的用户标识信息和目标资源标识信息；

获取与所述用户标识信息对应的用户安全标记信息，以及与所述目标资源标识信息对应的资源安全标记信息；所述用户安全标记信息包含用户预设指标，所述资源安全标记信息包含目标资源预设指标；

根据所述用户安全标记信息和所述资源安全标记信息，对所述资源访问请求进行安全标记信息判定，得到安全标记信息判定结果；

在所述安全标记信息判定结果为所述资源访问请求通过的情况下，将所述资源访问请求中的所述目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与所述目标资源路径对应的目标资源；

将所述目标资源针对所述资源访问请求的响应结果发送至所述用户。

在其中一个实施例中，所述根据所述用户安全标记信息和所述资源安全标记信息，对所述资源访问请求进行安全标记信息判定，得到安全标记信息判定结果包括：

将所述用户安全标记信息中各个所述用户预设指标与所述资源安全标记信息中的各个所述目标资源预设指标进行比较，得到各个所述用户预设指标对应的比较结果；

在各个所述用户预设指标对应的比较结果均为判定通过的情况下，确认所述安全标记信息判定结果为所述资源访问请求通过。

在其中一个实施例中，所述用户预设指标包括与所述用户对应的第一访问级别、第一机构、第一地域、第一角色、第一访问有效期和可访问资源列表，所述目标资源预设指标包括第二访问级别、第二机构、第二地域、第二角色和第二访问有效期；

所述在各个所述用户预设指标对应的比较结果均为判定通过的情况下，确认所述安全标记信息判定结果为所述资源访问请求通过，包括：

在所述第一访问级别大于或者等于所述第二访问级别，所述第一机构包含在所述第二机构内，所述第一地域包含在所述第二地域内，所述第一角色与所述第二角色相同，所述资源访问请求对应的访问时间在所述第一访问有效期和所述第二访问有效期内，且所述可访问资源列表包括所述目标资源标识信息的情况下，确认所述安全标记信息判定结果为所述资源访问请求通过。

在其中一个实施例中，在获取与所述用户标识信息对应的用户安全标记信息，以及与所述目标资源标识信息对应的资源安全标记信息之前，还包括：

对所述用户标识信息进行验证，得到所述用户的身份验证结果；

所述获取与所述用户标识信息对应的用户安全标记信息，以及与所述目标资源标识信息对应的资源安全标记信息，包括：

在所述身份验证结果为所述用户的身份验证通过的情况下，获取与所述用户标识信息对应的用户安全标记信息，以及与所述目标资源标识信息对应的资源安全标记信息。

在其中一个实施例中，所述对所述用户标识信息进行验证，得到所述用户的身份验证结果，包括：

获取所述用户标识信息中的第一用户身份信息和证书中的第二用户身份信息；

将所述第一用户身份信息和所述第二用户身份信息进行比较；

在所述第一用户身份信息和所述第二用户身份信息相同的情况下，确认所述身份验证结果为所述用户的身份验证通过。

在其中一个实施例中，在将所述目标资源针对所述资源访问请求的响应结果发送至所述用户之前，还包括：

记录所述用户对所述目标资源的访问行为；所述方法还包括：

在所述目标资源发生异常的情况下，根据记录的所述访问行为，从访问所述目标资源的用户中识别出异常用户。

第二方面，本申请还提供了一种访问请求处理装置。所述装置包括：

请求接收模块，用于接收用户的资源访问请求，获取所述资源访问请求中的用户标识信息和目标资源标识信息；

信息获取模块，用于获取与所述用户标识信息对应的用户安全标记信息，以及与所述目标资源标识信息对应的资源安全标记信息；所述用户安全标记信息包含针对所述用户的预设指标，所述资源安全标记信息包含针对目标资源的预设指标；

结果判定模块，用于根据所述用户安全标记信息和所述资源安全标记信息，对所述资源访问请求进行安全标记信息判定，得到安全标记信息判定结果；

请求转发模块，用于在所述安全标记信息判定结果为所述资源访问请求通过的情况下，将所述资源访问请求中的所述目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与所述目标资源路径对应的目标资源；

资源发送模块，用于将所述与所述目标资源路径对应的目标资源针对所述资源访问请求的响应结果发送至所述用户。

第三方面，本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

接收用户的资源访问请求，获取所述访问请求中的用户标识信息和目标资源标识信息；

获取与所述用户标识信息对应的用户安全标记信息，以及与所述目标资源标识信息对应的资源安全标记信息；所述用户安全标记信息包含用户预设指标，所述资源安全标记信息包含目标资源预设指标；

根据所述用户安全标记信息和所述资源安全标记信息，对所述资源访问请求进行安全标记信息判定，得到安全标记信息判定结果；

在所述安全标记信息判定结果为所述资源访问请求通过的情况下，将所述资源访问请求中的所述目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与所述目标资源路径对应的目标资源；

将所述目标资源针对所述资源访问请求的响应结果发送至所述用户。

第四方面，本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

接收用户的资源访问请求，获取所述访问请求中的用户标识信息和目标资源标识信息；

获取与所述用户标识信息对应的用户安全标记信息，以及与所述目标资源标识信息对应的资源安全标记信息；所述用户安全标记信息包含用户预设指标，所述资源安全标记信息包含目标资源预设指标；

根据所述用户安全标记信息和所述资源安全标记信息，对所述资源访问请求进行安全标记信息判定，得到安全标记信息判定结果；

在所述安全标记信息判定结果为所述资源访问请求通过的情况下，将所述资源访问请求中的所述目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与所述目标资源路径对应的目标资源；

将所述目标资源针对所述资源访问请求的响应结果发送至所述用户。

第五方面，本申请还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：

接收用户的资源访问请求，获取所述访问请求中的用户标识信息和目标资源标识信息；

获取与所述用户标识信息对应的用户安全标记信息，以及与所述目标资源标识信息对应的资源安全标记信息；所述用户安全标记信息包含用户预设指标，所述资源安全标记信息包含目标资源预设指标；

根据所述用户安全标记信息和所述资源安全标记信息，对所述资源访问请求进行安全标记信息判定，得到安全标记信息判定结果；

在所述安全标记信息判定结果为所述资源访问请求通过的情况下，将所述资源访问请求中的所述目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与所述目标资源路径对应的目标资源；

将所述目标资源针对所述资源访问请求的响应结果发送至所述用户。

上述访问请求处理方法、装置、计算机设备、存储介质和计算机程序产品，通过接收用户的资源访问请求，获取所述访问请求中的用户标识信息和目标资源标识信息；再获取与所述用户标识信息对应的用户安全标记信息，以及与所述目标资源标识信息对应的资源安全标记信息，所述用户安全标记信息包含用户预设指标，所述资源安全标记信息包含目标资源预设指标；然后根据所述用户安全标记信息和所述资源安全标记信息，对所述资源访问请求进行安全标记信息判定，得到安全标记信息判定结果；最后在所述安全标记信息判定结果为所述资源访问请求通过的情况下，将所述资源访问请求中的所述目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与所述目标资源路径对应的目标资源；将所述目标资源针对所述资源访问请求的响应结果发送至所述用户。这样，在验证用户访问行为的合法性时，采用多种指标综合验证，可以准确有效地验证用户的访问行为是否合法合规，并减少越权访问资源、非有效期访问、越级访问等非法访问现象的发生。

附图说明

图1为一个实施例中访问请求处理方法的应用环境图；

图2为一个实施例中访问请求处理方法的流程示意图；

图3为另一个实施例中访问请求处理方法的流程示意图；

图4为又一个实施例中访问请求处理方法的流程示意图；

图5为一个实施例中访问请求处理装置的结构框图；

图6为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请实施例提供的访问请求处理方法，可以应用于如图1所示的应用环境中。其中，动态评估系统102分别通过网络与用户终端101和目标资源103进行通信。具体的，参考图1，动态评估系统102接收用户终端101的资源访问请求，并获取资源访问请求中的用户标识信息和目标资源标识信息；动态评估系统102再获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息；动态评估系统102根据用户安全标记信息和资源安全标记信息，对资源访问请求进行安全标记信息判定，得到安全标记信息判定结果；在安全标记信息判定结果为资源访问请求通过的情况下，动态评估系统102将资源访问请求中的目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与目标资源路径对应的目标资源103；动态评估系统102最后将目标资源103针对资源访问请求的响应结果发送至用户终端101。其中，用户终端101可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备，物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。

在一个实施例中，如图2所示，提供了一种访问请求处理方法，以该方法应用于图1中的动态评估系统为例进行说明，包括以下步骤：

步骤S201，接收用户的资源访问请求，获取资源访问请求中的用户标识信息和目标资源标识信息。

其中，资源访问请求指的是用户通过网络向动态评估系统发起的访问目标资源的请求，资源泛指网络中的各种资源，例如一个应用系统、一张图片、一个文件或者一个网页都可以看作一个资源；用户标识信息包含用户身份信息和用户实际状态，状态包括但不限于访问有效期、可访问资源列表、历史访问记录和对应的角色权限等；目标资源标识信息包括目标资源实际状态，状态包括但不限于访问级别、访问有效期、所属机构和所属地域等。

具体地，动态评估系统响应于用户发起的资源访问请求，生成携带有待获取信息标识的信息获取指令，并根据指令获取资源访问请求中的用户标识信息和目标资源标识信息。

举例说明，用户需要访问的目标资源是一个网页，动态评估系统响应于用户发起的网页访问请求，生成携带有待获取信息标识的信息获取指令，并根据指令获取资源访问请求中的用户标识信息和目标资源标识信息。

步骤S202，获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息；用户安全标记信息包含用户预设指标，资源安全标记信息包含目标资源预设指标。

其中，用户预设指标包括机构、地域、角色、访问级别、有效期和可访问资源列表等内容；目标资源预设指标包括机构、地域、角色、访问级别和有效期等内容。

具体地，动态评估系统根据信息获取指令，获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息；用户安全标记信息包含用户预设指标，资源安全标记信息包含目标资源预设指标。

举例说明，动态评估系统根据信息获取指令，获取用户安全标记信息中的机构、地域、角色、访问级别、有效期和可访问资源列表，以及资源安全标记信息中的机构、地域、角色、访问级别和有效期。

步骤S203，根据用户安全标记信息和资源安全标记信息，对资源访问请求进行安全标记信息判定，得到安全标记信息判定结果。

其中，安全标记信息判定指的是，针对机构、地域、角色、访问级别、有效期和可访问资源列表等内容分别进行的判定操作。

具体地，动态评估系统接收到安全标记信息判定指令，并根据指令要求，对资源访问请求进行安全标记信息判定，得到安全标记信息判定结果。

举例说明，动态评估系统接收到安全标记信息判定指令，对资源访问请求进行安全标记信息判定，得到安全标记信息判定结果为资源访问请求通过。

步骤S204，在安全标记信息判定结果为资源访问请求通过的情况下，将资源访问请求中的目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与目标资源路径对应的目标资源。

其中，目标资源路径指的是服务地址，例如，我们需要访问一个网页、下载一个图都需要一个服务，这里的服务地址就是目标资源路径；目标资源泛指网络中的各种资源，例如一个应用系统、一张图片、一个文件或者一个网页都可以看作一个资源。

具体地，在安全标记信息判定结果为资源访问请求通过的情况下，动态评估系统接收到资源转发指令，根据指令要求，将资源访问请求中的目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与目标资源路径对应的目标资源。

举例说明，假如目标资源标识是：keymanagement，替换后的目标资源路径是：https://mbd.baidu.com，如果用户请求的地址为：https://keymanagement/newspage/data/landingsuper，那么动态评估系统需要转发的地址就是：https://mbd.baidu.com/newspage/data/landingsuper。

步骤S205，将目标资源针对资源访问请求的响应结果发送至用户。

具体地，动态评估系统接收到结果转发指令，根据指令要求，接收与目标资源路径对应的目标资源针对资源访问请求的响应结果；并将针对资源访问请求的响应结果转发至用户。

举例说明，动态评估系统接收到结果转发指令，接收与目标资源路径对应的目标资源针对资源访问请求的响应结果https://mbd.baidu.com/newspage/data/landingsuper；并将该响应结果转发至用户。

上述访问请求处理方法中，通过接收用户的资源访问请求，获取所述访问请求中的用户标识信息和目标资源标识信息；再获取与所述用户标识信息对应的用户安全标记信息，以及与所述目标资源标识信息对应的资源安全标记信息，所述用户安全标记信息包含用户预设指标，所述资源安全标记信息包含目标资源预设指标；然后根据所述用户安全标记信息和所述资源安全标记信息，对所述资源访问请求进行安全标记信息判定，得到安全标记信息判定结果；最后在所述安全标记信息判定结果为所述资源访问请求通过的情况下，将所述资源访问请求中的所述目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与所述目标资源路径对应的目标资源；将所述目标资源针对所述资源访问请求的响应结果发送至所述用户。这样，在验证用户访问行为的合法性时，采用多种指标综合验证可以准确有效地验证用户的访问行为是否合法合规，并减少越权访问资源、非有效期访问、越级访问等非法访问现象的发生。

在一个实施例中，上述步骤S203，根据用户安全标记信息和资源安全标记信息，对资源访问请求进行安全标记信息判定，得到安全标记信息判定结果，具体包括如下内容：将用户安全标记信息中各个用户预设指标与资源安全标记信息中的各个目标资源预设指标进行比较，得到各个用户预设指标对应的比较结果；在各个用户预设指标对应的比较结果均为判定通过的情况下，确认安全标记信息判定结果为资源访问请求通过。

其中，用户预设指标包括机构、地域、角色、访问级别、有效期和可访问资源列表等内容；目标资源预设指标包括机构、地域、角色、访问级别和有效期等内容。

具体地，动态评估系统接收到预设指标比较指令，根据指令要求，将用户安全标记信息中各个用户预设指标与资源安全标记信息中的各个目标资源预设指标进行比较，得到各个用户预设指标对应的比较结果；在各个用户预设指标对应的比较结果均为判定通过的情况下，确认安全标记信息判定结果为资源访问请求通过。

举例说明，动态评估系统接收到预设指标比较指令，根据指令要求，将用户安全标记信息中的机构、地域、角色、访问级别、有效期与资源安全标记信息中的机构、地域、角色、访问级别、有效期进行比较，得到各个用户预设指标对应的比较结果均为判定通过，并确认安全标记信息判定结果为资源访问请求通过。

本实施例中，通过将用户安全标记信息中各个用户预设指标与资源安全标记信息中的各个目标资源预设指标进行比较，得到各个用户预设指标对应的比较结果。这样，对资源访问请求进行安全标记信息判定时，采用多种指标综合进行比较可以准确有效地验证用户的访问行为是否合法合规。

在一个实施例中，用户预设指标包括与用户对应的第一访问级别、第一机构、第一地域、第一角色、第一访问有效期和可访问资源列表，目标资源预设指标包括第二访问级别、第二机构、第二地域、第二角色和第二访问有效期；上述步骤在各个用户预设指标对应的比较结果均为判定通过的情况下，确认安全标记信息判定结果为资源访问请求通过，具体还包括如下内容：在第一访问级别大于或者等于第二访问级别，第一机构包含在第二机构内，第一地域包含在第二地域内，第一角色与第二角色相同，资源访问请求对应的访问时间在第一访问有效期和第二访问有效期内，且可访问资源列表包括目标资源标识信息的情况下，确认安全标记信息判定结果为资源访问请求通过。

其中，第一机构和第一地域分别指的是用户的所属机构和所属地域；第二机构和第二地域分别指的是用户的所属机构和所属地域；可访问资源列表指的是该用户当前可以访问的资源的内容列表。

具体地，动态评估系统识别到，在第一访问级别大于或者等于第二访问级别，第一机构包含在第二机构内，第一地域包含在第二地域内，第一角色与第二角色相同，资源访问请求对应的访问时间在第一访问有效期和第二访问有效期内，且可访问资源列表包括目标资源标识信息的情况下，确认安全标记信息判定结果为资源访问请求通过。

本实施例中，通过将用户安全标记信息中各个用户预设指标与资源安全标记信息中的各个目标资源预设指标进行比较，得到各个用户预设指标对应的比较结果。这样，对资源访问请求进行安全标记信息判定时，采用多种指标综合进行比较可以准确有效地验证用户的访问行为是否合法合规，并减少越权访问资源、非有效期访问、越级访问等非法访问现象的发生。

在一个实施例中，上述步骤S202，获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息之前，还包括：对用户标识信息进行验证，得到用户的身份验证结果；获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息，包括：在身份验证结果为用户的身份验证通过的情况下，获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息。

其中，身份验证结果指的是，根据用户标识信息对用户进行身份信息验证而得到的结果。

具体地，动态评估系统接收到身份验证指令，根据指令要求，对用户标识信息进行验证，得到用户的身份验证结果。

举例说明，动态评估系统接收到身份验证指令，根据指令要求，对用户标识信息进行验证，得到用户的身份验证结果为用户的身份验证通过；然后获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息。

本实施例中，通过对用户标识信息进行验证，得到用户的身份验证结果；并在身份验证结果为用户的身份验证通过的情况下，获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息。这样，在获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息之前，对用户标识信息进行验证可以准确有效地验证用户的访问行为是否合法合规。

在一个实施例中，上述步骤对用户标识信息进行验证，得到用户的身份验证结果，具体包括如下内容：获取用户标识信息中的第一用户身份信息和证书中的第二用户身份信息；将第一用户身份信息和第二用户身份信息进行比较；在第一用户身份信息和第二用户身份信息相同的情况下，确认身份验证结果为用户的身份验证通过。

其中，证书存储身份信息和公钥，而用户拥有虚拟存储的私钥；证书身份验证使用证书颁发机构颁发的数字证书和公钥加密来验证用户身份。

具体地，动态评估系统接收到身份信息验证指令，根据指令要求，获取用户标识信息中的第一用户身份信息和证书中的第二用户身份信息；将第一用户身份信息和第二用户身份信息进行比较。

举例说明，动态评估系统接收到身份信息验证指令，根据指令要求，获取用户标识信息中的第一用户身份信息和证书中的第二用户身份信息；将第一用户身份信息和第二用户身份信息进行比较，得到的结果为第一用户身份信息和第二用户身份信息相同，然后确认身份验证结果为用户的身份验证通过。

本实施例中，通过获取用户标识信息中的第一用户身份信息和证书中的第二用户身份信息；将第一用户身份信息和第二用户身份信息进行比较；在第一用户身份信息和第二用户身份信息相同的情况下，确认身份验证结果为用户的身份验证通过。这样，以证书验证的方式来验证用户身份信息可以有效地验证用户的访问行为是否合法合规。

在一个实施例中，在将目标资源针对资源访问请求的响应结果发送至用户之前，具体还包括以下内容：记录用户对目标资源的访问行为；并在所述目标资源发生异常的情况下，根据记录的所述访问行为，从访问所述目标资源的用户中识别出异常用户。

其中，用户对目标资源访问行为的记录可供日后进行查询。

具体地，动态评估系统接收到访问行为记录指令，根据指令要求，记录用户对目标资源的访问行为。

本实施例中，通过记录用户对目标资源的访问行为，可以方便日后对该用户的访问行为进行查询。

在一个实施例中，如图3所示，提供了另一种访问请求处理方法，以该方法应用于图1中的动态评估系统为例进行说明，包括以下步骤：

步骤S301，接收用户的资源访问请求，获取访问请求中的用户标识信息和目标资源标识信息。

步骤S302，获取用户标识信息中的第一用户身份信息和证书中的第二用户身份信息；将第一用户身份信息和第二用户身份信息进行比较，并得到用户的身份验证结果。

步骤S303，在身份验证结果为用户的身份验证通过的情况下，获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息。

步骤S304，根据用户安全标记信息和资源安全标记信息，对资源访问请求进行安全标记信息判定，得到安全标记信息判定结果。

步骤S305，在安全标记信息判定结果为资源访问请求通过的情况下，将资源访问请求中的目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与目标资源路径对应的目标资源。

步骤S306，将目标资源针对资源访问请求的响应结果发送至用户。

上述访问请求处理方法，通过接收用户的资源访问请求，获取所述访问请求中的用户标识信息和目标资源标识信息；再获取与所述用户标识信息对应的用户安全标记信息，以及与所述目标资源标识信息对应的资源安全标记信息，所述用户安全标记信息包含用户预设指标，所述资源安全标记信息包含目标资源预设指标；然后根据所述用户安全标记信息和所述资源安全标记信息，对所述资源访问请求进行安全标记信息判定，得到安全标记信息判定结果；最后在所述安全标记信息判定结果为所述资源访问请求通过的情况下，将所述资源访问请求中的所述目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与所述目标资源路径对应的目标资源；将所述目标资源针对所述资源访问请求的响应结果发送至所述用户。这样，在验证用户访问行为的合法性时，采用多种指标综合验证可以准确有效地验证用户的访问行为是否合法合规，并减少越权访问资源、非有效期访问、越级访问等非法访问现象的发生。

为了更清晰阐明本申请实施例提供的访问请求处理方法，以下以一个具体的实施例对该访问请求处理方法进行具体说明。在一个实施例中，如图4所示，本申请还提供了又一种访问请求处理方法，具体包括以下步骤：

步骤1：用户发起访问资源请求，动态评估系统接收用户访问资源请求。

步骤2：通过证书验证用户身份合法性，并根据该用户的安全标记以及目标资源的安全标记进行分析，在分析该用户具备访问目标资源对应权限时，才允许用户访问对应的目标资源并执行对应操作。

步骤3：对该用户访问请求进行行为解析，从请求中获取该用户信息与访问目标资源信息，分析判断该用户的安全标记信息、该用户期望访问的目标资源安全标记信息，评估该用户的访问行为是否与该用户的权限相匹配。

步骤4：根据用户的安全标记与资源安全标记进行分析判断，通过安全标记的判定，综合评估用户身份。

步骤5：根据判定结果，从而判定该用户访问请求是否具有相应权限，进而综合评估本次接收到的用户访问请求是否合法。

步骤6：当认为用户访问合法时，将用户访问请求中的目标资源标识替换为目标资源路径，再将用户访问请求发送给对应的目标资源以进行访问。

上述访问请求处理方法，通过接收用户的资源访问请求，获取所述访问请求中的用户标识信息和目标资源标识信息；再获取与所述用户标识信息对应的用户安全标记信息，以及与所述目标资源标识信息对应的资源安全标记信息，所述用户安全标记信息包含用户预设指标，所述资源安全标记信息包含目标资源预设指标；然后根据所述用户安全标记信息和所述资源安全标记信息，对所述资源访问请求进行安全标记信息判定，得到安全标记信息判定结果；最后在所述安全标记信息判定结果为所述资源访问请求通过的情况下，将所述资源访问请求中的所述目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与所述目标资源路径对应的目标资源；将所述目标资源针对所述资源访问请求的响应结果发送至所述用户。这样，在验证用户访问行为的合法性时，采用多种指标综合验证可以准确有效地验证用户的访问行为是否合法合规，并减少越权访问资源、非有效期访问、越级访问等非法访问现象的发生。

应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

基于同样的发明构思，本申请实施例还提供了一种用于实现上述所涉及的访问请求处理方法的访问请求处理装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个访问请求处理装置实施例中的具体限定可以参见上文中对于访问请求处理方法的限定，在此不再赘述。

在一个实施例中，如图5所示，提供了一种访问请求处理装置，包括：请求接收模块501、信息获取模块502、结果判定模块503、请求转发模块504和资源发送模块505，其中：

请求接收模块501，用于接收用户的资源访问请求，获取资源访问请求中的用户标识信息和目标资源标识信息。

信息获取模块502，用于获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息；用户安全标记信息包含针对用户的预设指标，资源安全标记信息包含针对目标资源的预设指标。

结果判定模块503，用于根据用户安全标记信息和资源安全标记信息，对资源访问请求进行安全标记信息判定，得到安全标记信息判定结果。

请求转发模块504，用于在安全标记信息判定结果为资源访问请求通过的情况下，将资源访问请求中的目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与目标资源路径对应的目标资源。

资源发送模块505，用于将与目标资源路径对应的目标资源针对资源访问请求的响应结果发送至用户。

在一个实施例中，结果判定模块503，还用于将用户安全标记信息中各个用户预设指标与资源安全标记信息中的各个目标资源预设指标进行比较，得到各个用户预设指标对应的比较结果；在各个用户预设指标对应的比较结果均为判定通过的情况下，确认安全标记信息判定结果为资源访问请求通过。

在一个实施例中，结果判定模块503，还用于在第一访问级别大于或者等于第二访问级别，第一机构包含在第二机构内，第一地域包含在第二地域内，第一角色与第二角色相同，资源访问请求对应的访问时间在第一访问有效期和第二访问有效期内，且可访问资源列表包括目标资源标识信息的情况下，确认安全标记信息判定结果为资源访问请求通过。

在一个实施例中，信息获取模块502，还用于对用户标识信息进行验证，得到用户的身份验证结果。

在一个实施例中，信息获取模块502，还用于获取用户标识信息中的第一用户身份信息和证书中的第二用户身份信息；将第一用户身份信息和第二用户身份信息进行比较；在第一用户身份信息和第二用户身份信息相同的情况下，确认身份验证结果为用户的身份验证通过。

上述访问请求处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储用户标识信息、用户安全标记信息、目标资源标识信息和资源安全标记信息等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种访问请求处理方法。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种访问请求处理方法。

本领域技术人员可以理解，图6中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：

接收用户的资源访问请求，获取资源访问请求中的用户标识信息和目标资源标识信息；

获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息；用户安全标记信息包含用户预设指标，资源安全标记信息包含目标资源预设指标；

根据用户安全标记信息和资源安全标记信息，对资源访问请求进行安全标记信息判定，得到安全标记信息判定结果；

在安全标记信息判定结果为资源访问请求通过的情况下，将资源访问请求中的目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与目标资源路径对应的目标资源；

将目标资源针对资源访问请求的响应结果发送至用户。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：将用户安全标记信息中各个用户预设指标与资源安全标记信息中的各个目标资源预设指标进行比较，得到各个用户预设指标对应的比较结果；在各个用户预设指标对应的比较结果均为判定通过的情况下，确认安全标记信息判定结果为资源访问请求通过。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：在第一访问级别大于或者等于第二访问级别，第一机构包含在第二机构内，第一地域包含在第二地域内，第一角色与第二角色相同，资源访问请求对应的访问时间在第一访问有效期和第二访问有效期内，且可访问资源列表包括目标资源标识信息的情况下，确认安全标记信息判定结果为资源访问请求通过。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：对用户标识信息进行验证，得到用户的身份验证结果；获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息，包括：在身份验证结果为用户的身份验证通过的情况下，获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：获取用户标识信息中的第一用户身份信息和证书中的第二用户身份信息；将第一用户身份信息和第二用户身份信息进行比较；在第一用户身份信息和第二用户身份信息相同的情况下，确认身份验证结果为用户的身份验证通过。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：记录用户对目标资源的访问行为；在目标资源发生异常的情况下，根据记录的访问行为，从访问目标资源的用户中识别出异常用户。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以下步骤：

接收用户的资源访问请求，获取资源访问请求中的用户标识信息和目标资源标识信息；

获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息；用户安全标记信息包含用户预设指标，资源安全标记信息包含目标资源预设指标；

根据用户安全标记信息和资源安全标记信息，对资源访问请求进行安全标记信息判定，得到安全标记信息判定结果；

在安全标记信息判定结果为资源访问请求通过的情况下，将资源访问请求中的目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与目标资源路径对应的目标资源；

将目标资源针对资源访问请求的响应结果发送至用户。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：将用户安全标记信息中各个用户预设指标与资源安全标记信息中的各个目标资源预设指标进行比较，得到各个用户预设指标对应的比较结果；在各个用户预设指标对应的比较结果均为判定通过的情况下，确认安全标记信息判定结果为资源访问请求通过。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：在第一访问级别大于或者等于第二访问级别，第一机构包含在第二机构内，第一地域包含在第二地域内，第一角色与第二角色相同，资源访问请求对应的访问时间在第一访问有效期和第二访问有效期内，且可访问资源列表包括目标资源标识信息的情况下，确认安全标记信息判定结果为资源访问请求通过。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：对用户标识信息进行验证，得到用户的身份验证结果；获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息，包括：在身份验证结果为用户的身份验证通过的情况下，获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：获取用户标识信息中的第一用户身份信息和证书中的第二用户身份信息；将第一用户身份信息和第二用户身份信息进行比较；在第一用户身份信息和第二用户身份信息相同的情况下，确认身份验证结果为用户的身份验证通过。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：记录用户对目标资源的访问行为；在目标资源发生异常的情况下，根据记录的访问行为，从访问目标资源的用户中识别出异常用户。

在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：

接收用户的资源访问请求，获取资源访问请求中的用户标识信息和目标资源标识信息；

获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息；用户安全标记信息包含用户预设指标，资源安全标记信息包含目标资源预设指标；

根据用户安全标记信息和资源安全标记信息，对资源访问请求进行安全标记信息判定，得到安全标记信息判定结果；

在安全标记信息判定结果为资源访问请求通过的情况下，将资源访问请求中的目标资源标识信息替换为目标资源路径，并将替换后的资源访问请求转发至与目标资源路径对应的目标资源；

将目标资源针对资源访问请求的响应结果发送至用户。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：将用户安全标记信息中各个用户预设指标与资源安全标记信息中的各个目标资源预设指标进行比较，得到各个用户预设指标对应的比较结果；在各个用户预设指标对应的比较结果均为判定通过的情况下，确认安全标记信息判定结果为资源访问请求通过。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：在第一访问级别大于或者等于第二访问级别，第一机构包含在第二机构内，第一地域包含在第二地域内，第一角色与第二角色相同，资源访问请求对应的访问时间在第一访问有效期和第二访问有效期内，且可访问资源列表包括目标资源标识信息的情况下，确认安全标记信息判定结果为资源访问请求通过。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：对用户标识信息进行验证，得到用户的身份验证结果；获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息，包括：在身份验证结果为用户的身份验证通过的情况下，获取与用户标识信息对应的用户安全标记信息，以及与目标资源标识信息对应的资源安全标记信息。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：获取用户标识信息中的第一用户身份信息和证书中的第二用户身份信息；将第一用户身份信息和第二用户身份信息进行比较；在第一用户身份信息和第二用户身份信息相同的情况下，确认身份验证结果为用户的身份验证通过。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：记录用户对目标资源的访问行为；在目标资源发生异常的情况下，根据记录的访问行为，从访问目标资源的用户中识别出异常用户。需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory，ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory，MRAM)、铁电存储器(Ferroelectric Random Access Memory，FRAM)、相变存储器(Phase Change Memory，PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器等。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory，DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。