一种信息访问方法、装置、电子设备及计算机可读介质

技术领域

本申请涉及计算机技术领域，尤其涉及一种信息访问方法、装置、电子设备及计算机可读介质。

背景技术

目前，当用户想要登录系统，访问系统上的文件时，需要进行用户访问权限的判断。在进行用户访问权限的判断时需要分别查询多个本地文件，从而导致访问操作繁杂，访问效率低。

在实现本申请过程中，发明人发现现有技术中至少存在如下问题：

用户登录系统，访问系统上的文件时，访问操作繁杂，访问效率低。

发明内容

有鉴于此，本申请实施例提供一种信息访问方法、装置、电子设备及计算机可读介质，能够解决现有的用户访问系统上的文件时，访问操作繁杂，访问效率低的问题。

为实现上述目的，根据本申请实施例的一个方面，提供了一种信息访问方法，包括：

接收信息访问请求，获取信息访问请求中的地址标识、用户标识和角色标识；

调用服务接口，以从数据库中获取地址标识和角色标识对应的用户组标识；

确定用户组标识对应的用户标识列表，响应于确定用户标识不在用户标识列表中，添加用户标识至用户标识列表，基于用户组标识对应的预设权限访问相应信息。

可选地，在接收信息访问请求之前，方法还包括：

获取服务树，进而在服务树的预设应用下添加用户标识和角色标识列表；

确定预设应用对应的地址标识列表；

将添加的用户标识和角色标识列表与地址标识列表绑定，生成绑定信息，进而将绑定信息存储于数据库中。

可选地，在接收信息访问请求之前，方法还包括：

获取定时任务列表，响应于确定当前时间到达定时任务列表中的任一定时任务所对应的任务执行时间，执行到达的任务执行时间对应的定时任务，以获取角色标识列表变化信息；

基于角色标识列表变化信息，确定地址标识列表变化信息；

基于角色标识列表变化信息和地址标识列表变化信息更新绑定信息。

可选地，在基于用户组标识对应的预设权限访问相应信息之前，方法还包括：

基于地址标识确定对应的本地文件；

获取信息访问请求对应的访问参数，进而调用检查脚本，以检查本地文件中是否存在访问参数对应的信息；

响应于确定本地文件中不存在访问参数对应的信息，从数据库中获取访问参数对应的信息并更新至本地文件中。

可选地，在基于用户组标识对应的预设权限访问相应信息之前，方法还包括：

判断用户标识是否存在于本地文件中，响应于确定用户标识存在于本地文件中，获取用户输入的密码；

将用户标识和用户输入的密码传输至服务接口，以供服务接口基于预设的认证规则判断用户标识和用户输入的密码是否正确；

响应于确定用户标识和用户输入的密码正确，放行信息访问请求。

可选地，在基于用户组标识对应的预设权限访问相应信息之前，方法还包括：

响应于确定用户标识不存在于本地文件中，返回访问失败信息。

可选地，在基于用户组标识对应的预设权限访问相应信息之前，方法还包括：

响应于确定用户标识位于预设的拦截名单中，并响应于确定用户标识和用户输入的密码正确，拦截信息访问请求。

另外，本申请还提供了一种信息访问装置，包括：

接收单元，被配置成接收信息访问请求，获取信息访问请求中的地址标识、用户标识和角色标识；

获取单元，被配置成调用服务接口，以从数据库中获取地址标识和角色标识对应的用户组标识；

信息访问单元，被配置成确定用户组标识对应的用户标识列表，响应于确定用户标识不在用户标识列表中，添加用户标识至用户标识列表，基于用户组标识对应的预设权限访问相应信息。

可选地，信息访问装置还包括预处理单元，被配置成：

获取服务树，进而在服务树的预设应用下添加用户标识和角色标识列表；

确定预设应用对应的地址标识列表；

将添加的用户标识和角色标识列表与地址标识列表绑定，生成绑定信息，进而将绑定信息存储于数据库中。

可选地，信息访问装置还包括更新单元，被配置成：

获取定时任务列表，响应于确定当前时间到达定时任务列表中的任一定时任务所对应的任务执行时间，执行到达的任务执行时间对应的定时任务，以获取角色标识列表变化信息；

基于角色标识列表变化信息，确定地址标识列表变化信息；

基于角色标识列表变化信息和地址标识列表变化信息更新绑定信息。

可选地，信息访问单元进一步被配置成：

基于地址标识确定对应的本地文件；

获取信息访问请求对应的访问参数，进而调用检查脚本，以检查本地文件中是否存在访问参数对应的信息；

响应于确定本地文件中不存在访问参数对应的信息，从数据库中获取访问参数对应的信息并更新至本地文件中。

可选地，信息访问单元进一步被配置成：

判断用户标识是否存在于本地文件中，响应于确定用户标识存在于本地文件中，获取用户输入的密码；

将用户标识和用户输入的密码传输至服务接口，以供服务接口基于预设的认证规则判断用户标识和用户输入的密码是否正确；

响应于确定用户标识和用户输入的密码正确，放行信息访问请求。

可选地，信息访问单元进一步被配置成：

响应于确定用户标识不存在于本地文件中，返回访问失败信息。

可选地，信息访问单元进一步被配置成：

响应于确定用户标识位于预设的拦截名单中，并响应于确定用户标识和用户输入的密码正确，拦截信息访问请求。

另外，本申请还提供了一种信息访问电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如上述的信息访问方法。

另外，本申请还提供了一种计算机可读介质，其上存储有计算机程序，程序被处理器执行时实现如上述的信息访问方法。

上述发明中的一个实施例具有如下优点或有益效果：本申请通过接收信息访问请求，获取信息访问请求中的地址标识、用户标识和角色标识；调用服务接口，以从数据库中获取地址标识和角色标识对应的用户组标识；确定用户组标识对应的用户标识列表，响应于确定用户标识不在用户标识列表中，添加用户标识至用户标识列表，基于用户组标识对应的预设权限访问相应信息。实现了当用户登录系统，访问系统上的文件时，无需单独设置密码，通过对服务接口调用的方式接入用户访问权限认证系统，在用户访问权限认证通过后，根据预先设置的用户组的权限执行相应的访问操作，可以对接企业单点登录系统，降低了用户记忆密码的负担，无需查询多个本地文件，用户访问效率高。

上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

附图说明

附图用于更好地理解本申请，不构成对本申请的不当限定。其中：

图1是根据本申请第一实施例的信息访问方法的主要流程的示意图；

图2是根据本申请第二实施例的信息访问方法的主要流程的示意图；

图3是根据本申请第三实施例的信息访问方法的应用场景示意图；

图4是根据本申请实施例的信息访问装置的主要单元的示意图；

图5是本申请实施例可以应用于其中的示例性系统架构图；

图6是适于用来实现本申请实施例的终端设备或服务器的计算机系统的结构示意图。

具体实施方式

以下结合附图对本申请的示范性实施例做出说明，其中包括本申请实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本申请的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

图1是根据本申请第一实施例的信息访问方法的主要流程的示意图，如图1所示，信息访问方法包括：

步骤S101，接收信息访问请求，获取信息访问请求中的地址标识、用户标识和角色标识。

本实施例中，信息访问方法的执行主体(例如，可以是服务器)可以通过有线连接或无线连接的方式，接收用户通过终端设备发送的信息访问请求。信息访问请求具体可以是用户登录XX系统的请求，也可以是对XX系统中的文件进行查看或者修改的请求。执行主体在接收到信息访问请求后，可以获取信息访问请求中的地址标识、用户标识和角色标识。具体地，地址标识可以是电脑终端或者手机终端的IP地址。用户标识，可以是用户名，例如，Xiao ming。角色标识，是对用户身份的一种表示，例如可以是测试角色，对应的角色标识可以是CS；还可以是研发角色，对应的角色标识可以是YF；还可以是运营维护角色，对应的角色标识可以是YW。本申请对角色标识的具体内容和表现形式不做具体限定。

步骤S102，调用服务接口，以从数据库中获取地址标识和角色标识对应的用户组标识。

执行主体在获取信息访问请求中的地址标识、用户标识和角色标识后，可以调用服务接口，从数据库中获取地址标识和角色标识对应的用户组标识。具体地，服务接口可以是与服务树接口相连接的服务系统的核心应用程序编程接口模块，用于从服务树获取用户、电脑终端或者手机终端的IP地址和角色信息，提供用户认证的接口、提供获取其他信息(比如用户、用户组)的接口。服务树，是一种将业务映射成树形结构，与人员、机器资源对应起来的模型。服务树维护着，哪个业务线下有哪些机器、哪些角色和人员的信息。服务树接口，可以是执行主体将服务树对外提供的服务封装成一系列应用程序编程接口(Application Programming Interface，API)，并开放以供调用，第三方(例如上述提到的服务接口)通过调用这些接口获得第三方需要并且服务树有能力提供的内容。

在数据库中存储着用户的各个角色对应的角色标识与用户所属的用户组对应的用户组标识以及用户组可以访问的地址的各地址标识(例如可访问机器的IP)的关联关系。执行主体可以通过调用服务接口，以从数据库中根据角色标识和地址标识得到关联的用户组标识。

示例的，本实施例中，从数据库中将地址标识和角色标识共同对应的用户组标识确定出来。比如：要将角色标识为研发的用户且对应的地址标识为1.1.1.1(机器的IP)的用户组标识确定出来。目的是为确定出来的用户组标识所对应的用户组中的各用户(同一角色)统一赋予机器IP为1.1.1.1的相应资源的访问权限，以便于后续该用户组中的各用户无需进行验证即可访问机器IP为1.1.1.1的相应资源。如果只根据地址标识得到用户组标识，则得到的该用户组标识对应的用户组所包含的用户角色可以是多样的；如果只根据角色标识得到用户组标识，则得到的该用户组标识对应的用户组所对应的地址标识(即可访问机器IP)可以是多样的，无法得到具有无需经过验证即可访问特定地址标识(即可以是机器IP)上的资源的权限的用户组标识，且该用户组标识对应的用户组中各用户的角色标识相同。以达到通过对确定出的用户组标识对应的用户组进行授权，则该用户组中的所有用户(同一角色)均具有了与该用户组一样的权限的效果。

示例的，用户组是linux系统上具有相同特征用户的逻辑集合。简单的理解，有时执行主体需要让多个用户具有相同的权限，比如查看、修改某一个文件的权限，一种方法是分别对多个用户进行文件访问授权，如果有10个用户的话，就需要授权10次；如果有100、1000甚至更多的用户，最好的方式是建立一个组，让这个组具有查看、修改此文件的权限，然后将所有需要访问此文件的用户放入这个组中。那么，所有用户就具有了和组一样的权限，这就是用户组。用户组标识，就是表征这个用户组的ID，可以是一串数字或者是一串字母或者是数字和字母的组合。本申请对用户组标识的具体内容和表现形式不做限定。

步骤S103，确定用户组标识对应的用户标识列表，响应于确定用户标识不在用户标识列表中，添加用户标识至用户标识列表，基于用户组标识对应的预设权限访问相应信息。

执行主体在确定用户组标识后，可以进一步确定该用户组标识对应的各个用户所对应的用户标识，得到用户标识列表。然后，执行主体可以判断发送信息访问请求的用户对应的用户标识是否在该用户标识列表中，如果不在，则将该发送信息访问请求的用户添加至该用户标识列表中，则该发送信息访问请求的用户也具有了用户标识列表对应的用户组标识对应的用户组所具有的访问权限，进而可以基于用户组标识对应的预设权限访问所需要访问的相应信息，例如对信息的查询或者修改等。本申请对信息访问的具体内容不做限定。

本实施例中，具体地，在基于用户组标识对应的预设权限访问相应信息之前，方法还包括：

基于地址标识确定对应的本地文件。

具体地，地址标识可以是电脑终端或者手机终端的IP地址。执行主体可以根据该IP地址，查找到对应的终端的本地文件。本地文件，示例的，可以是电脑使用者在硬盘上或移动硬盘创建的文件夹中的文件，便于使用者分类存储文件、查找、调用等作用。使用者上网传输文件，可以直接调用本地文件夹内的文件。

获取信息访问请求对应的访问参数，进而调用检查脚本，以检查本地文件中是否存在访问参数对应的信息。

具体地，访问参数可以是查找、添加或者修改对应的参数，示例的，该访问参数例如可以CZ、TJ或者XG，用于表示访问的类型。该访问参数中还可以包括查找、添加或者修改的内容对应的参数以及目标访问地址(目标访问地址用于表征用户想要访问的具体位置)或者也可以包括要访问的目标文件名称，本申请对访问参数的具体表现形式不做限定。

响应于确定本地文件中不存在访问参数对应的信息，从数据库中获取访问参数对应的信息并更新至本地文件中。

具体地，执行主体确定本地文件中不存在访问参数对应的信息，例如不存在待访问的目标文件，则执行主体可以从数据库中根据访问参数中要访问的目标文件名称对目标文件进行定位并获取，进而更新至本地文件中，以供用户快速地进行访问。

示例的，执行主体可以通过定时任务，执行check脚本，更新本地文件。check脚本，具体是检查需要的文件或者程序是否存在，配置是否正确等，如果本地不存在需要的文件或者程序或者配置不正确，就根据访问参数更新本地文件。示例的，执行主体可以每n分钟获取与本机ip(本机就是用户想要访问的信息所在的终端机器)相关的用户组和用户列表，用户组包括用户组名称和用户组id，用户列表中的各用户包括用户名、用户id、用户所属的用户组id以及用户的家目录。家目录是在多用户操作系统上包含该系统的特定用户的文件的文件系统目录。如果把机器比作办公室，那么用户的家目录就可以看做是用户对应的工位。比如有个用户名是li，那么家目录就是/home/li。当用户的职责发生变化，对应的权限也会发生变化，相应的用户有权限访问的终端ip列表就会发生变化。原来没有权限访问的终端ip，现在有权限访问了，则执行主体可以更新终端上有权限可访问的用户组和用户列表。

从数据库中获取访问参数对应的信息并更新至本地文件中，示例的，可以是在本地文件中新建或者更新一个XX文件，将发送信息访问请求的用户的用户标识添加至XX文件中。进而，基于用户组标识对应的预设权限访问相应信息，示例的，可以是在该XX文件中设置：User_Alias BSOP＝user1(即发送信息访问请求的用户的用户标识)，表明user1与别名BSOP(例如可以是一个用户组的名称)的权限是一样的。并该XX文件中设置BSOP ALL＝(root，admin)NOPASSWD:ALL，表示属于BSOP这个用户组的用户直接切换到root权限，不用输入密码，也就是属于BSOP这个用户组的用户可以直接访问本地文件中的所有信息并且无需进行密码验证。由此可以实现对接企业单点登录系统，提升了操作便捷性，降低了用户使用门槛。以上仅为示例，不作为对本申请实施例的限定。

基于用户组标识对应的预设权限访问相应信息，还可以是对访问的信息进行修改。具体地，可以是在本地文件中添加一项自定义设置的认证规则，用于指示在判断用户名及密码时使用该自定义设置的认证规则进行用户权限认证。

具体地，在基于用户组标识对应的预设权限访问相应信息之前，方法还包括：

判断用户标识是否存在于本地文件中，响应于确定用户标识存在于本地文件中，获取用户输入的密码。

示例的，判断通过ssh username@ip登录linux机器时，用户名和密码是否正确匹配时，通过get_user_name获取用户名username，然后判断username是否在本地文件/etc/sudoer.d/bastion中，如果在则表示用户名存在，否则返回登录失败。其中，ssh username@ip是登录linux终端的方式，比如ssh root@1.1.1.1就代表要以用户名root登录1.1.1.1这台终端机器。输入上面的命令ssh root@1.1.1.1，然后当用户回车后，会弹窗提示用户输入密码，以便后面的程序验证密码是否正确。get_user_name为在程序中定义的一个函数，用来获取用户登录机器时输入的用户名。执行主体可以通过request_pass获取用户输入的密码password。request_pass为在程序中定义的一个函数，用来获取用户登录机器时输入的密码。

将用户标识和用户输入的密码传输至服务接口，以供服务接口基于预设的认证规则判断用户标识和用户输入的密码是否正确。预设的认证规则，即自定义设置的认证规则，例如可以是用户名和密码需要均与预存的一致。当然，自定义设置的认证规则也可以是首先判断用户标识，例如用户名username是否在具有访问本机的权限的用户组中，如果在，则直接授予通行权限，否则拦截该用户标识对应的用户对本机的访问。本机，可以是用户想要访问的信息所在的终端机器。本申请实施例对自定义设置的认证规则不做限定。

示例的，pam_sm_authenticate把username和password作为参数传给服务接口，例如可以是api-server。服务接口，例如可以是api-server按照自定义设置的认证规则(例如可以是用户名和密码需要均与预存的一致。当然，自定义设置的认证规则也可以是首先判断用户标识，例如用户名username是否在具有访问本机的权限的用户组中，如果在，则直接授予通行权限，否则拦截该用户标识对应的用户对本机的访问。本机，可以是用户想要访问的信息所在的终端机器。本申请实施例对自定义设置的认证规则不做限定)判断用户名对应的密码是否正确，并将结果返回。其中，pam_sm_authenticate为Linux系统上提供的一种认证管理方式，可以理解为系统自带的程序接口，用来验证用户的合法性，即验证用户输入的用户名和密码是否匹配。

响应于确定用户标识和用户输入的密码正确，放行信息访问请求。

具体地，执行主体在确定用户标识，例如用户名username和用户输入的密码password正确时，放行信息访问请求，允许发送该信息访问请求的用户进行对应终端上的信息的访问。当然，也可以判断该用户标识是否在具有访问权限的用户组中，如果在，则直接放行，无需进行密码校验认证，以便于用户的便捷访问，提高用户访问效率。

具体地，在基于用户组标识对应的预设权限访问相应信息之前，方法还包括：

响应于确定用户标识不存在于本地文件中，返回访问失败信息。

当执行主体确定用户标识不存在于本地文件中存储的具有访问权限的用户标识列表中，则表明用户标识没有更新至本地文件中，表明用户标识没有访问本地文件的权限，则执行主体可以向用户对应的终端返回访问失败的信息，已拦截用户对本地文件的访问。

具体地，在基于用户组标识对应的预设权限访问相应信息之前，方法还包括：

响应于确定用户标识位于预设的拦截名单中，并响应于确定用户标识和用户输入的密码正确，拦截信息访问请求。

具体地，执行主体如果想禁止某个用户登录(也就是该用户位于预设的拦截名单中，即该用户位于黑名单中)，则执行主体只需在判断密码时返回密码错误，认证失败(即使密码正确)，即可拦截用户的信息访问请求。

本实施例通过接收信息访问请求，获取信息访问请求中的地址标识、用户标识和角色标识；调用服务接口，以从数据库中获取地址标识和角色标识对应的用户组标识；确定用户组标识对应的用户标识列表，响应于确定用户标识不在用户标识列表中，添加用户标识至用户标识列表，进而基于用户组标识对应的预设权限访问相应信息。实现了当用户登录系统，访问系统上的文件时，无需单独设置密码，通过对服务接口调用的方式接入用户访问权限认证系统，在用户访问权限认证通过后，根据预先设置的用户组的权限执行相应的访问操作，可以对接企业单点登录系统，降低了用户记忆密码的负担，无需查询多个本地文件，用户访问效率高。

图2是根据本申请第二实施例的信息访问方法的主要流程示意图，如图2所示，信息访问方法包括：

步骤S201，获取服务树，进而在服务树的预设应用下添加用户标识和角色标识列表。

步骤S202，确定预设应用对应的地址标识列表。

步骤S203，将添加的用户标识和角色标识列表与地址标识列表绑定，生成绑定信息，进而将绑定信息存储于数据库中。

步骤S204，接收信息访问请求，获取信息访问请求中的地址标识、用户标识和角色标识。

具体地，在接收信息访问请求之前，方法还包括：

获取定时任务列表，响应于确定当前时间到达定时任务列表中的任一定时任务所对应的任务执行时间，执行到达的任务执行时间对应的定时任务，进而获取角色标识列表变化信息。

定时任务可以是定时以服务树上的数据变化为基准更新数据库的任务。定时任务列表可以是每隔n分钟调用服务接口执行一次更新任务的列表。当执行主体确认到达更新时间，则执行对应的更新任务，获取与之前任务相比较发生变化的用户的角色对应的角色标识，将发生变化的用户的角色标识进行列表表示，进而生成用户的角色标识列表变化信息，例如，将发生变化的角色标识进行符号标注，以供执行主体更快速、准确地确定用户的角色变化。具体地，符号可以是“R”，也可以是“0”或者“1”，本申请对符号不做具体限定。

具体地，服务树上会出现数据变化的原因可以是：当用户的职责发生变化，对应的权限也会发生变化，相应的用户有权限访问的终端机器的ip列表就会发生变化。原来没有权限访问的终端机器的ip，现在有权限访问了，就需要更新终端机器上的用户组和用户列表。具体为用户角色发生变化，从而导致服务树上的用户、用户角色、用户角色对应的终端机器的ip的对应关系发生变化，进而需要基于服务树更新数据库，以保证服务接口基于数据库确定的信息是准确的，便于更准确地进行用户访问权限的判定。

也即，当用户的职责发生变化，对应的权限也会发生变化，相应的用户有权限访问的终端机器的ip列表就会发生变化。原来没有权限访问的终端机器的ip，现在有权限访问了，就需要更新终端机器上有权限访问的用户组和用户列表。

示例的，执行主体可以调用服务接口，例如可以是api-server每5分钟调用服务树的openapi接口(服务树将自己对外提供的服务封装成一系列API(ApplicationProgramming Interface，应用程序编程接口)进行开放以供调用。服务接口通过调用这些开放的接口获得需要并且服务树有能力提供的内容)，获取当前所有的终端机器的ip，以及每个终端机器的ip对应的不同角色的用户列表，比如：ip1对应的op用户(运维用户)包括user1、user2，对应的rd用户包括user3，对应的qa用户包括user4；ip2对应的op用户包括user1，对应的rd用户(rd用户对应role为研发的用户，是对用户身份的一种表示)包括user2、user3、user4，对应的qa用户(qa用户对应角色是测试的用户)包括user5；将当前获取的信息进行处理，得到每个用户的不同角色对应的终端机器的ip列表(比如opHost、rdHost、qaHost)。处理后得到的用户及host ip列表对应信息(该对应信息是为了方便查询每个用户的不同角色对应的所有终端机器的ip列表，从而为auth-client提供某个终端机器的ip对应的所有不同角色的用户列表)为：

user1:opHost{ip1,ip2}，rdHost{}，qaHost{}

含义为：用户1对应的角色有运维、研发和测试。其中，运维角色对应的有权限访问的终端机器的地址有ip1,ip2。研发和测试角色，没有可以访问的终端机器。

user2：opHost{ip1}，rdHost{ip2}，qaHost{}

含义为：用户2对应的角色有运维、研发和测试。其中，运维角色对应的有权限访问的终端机器的地址为ip1。研发角色对应的有权限访问的终端机器的地址为ip2，测试角色没有可以访问的终端机器。

user3：opHost{}，rdHost{ip1,ip2}，qaHost{}

含义为：用户3对应的角色有运维、研发和测试。其中，运维角色没有可以访问的终端机器，研发角色对应的有权限访问的终端机器的地址有ip1,ip2。测试角色没有可以访问的终端机器。

user4：opHost{}，rdHost{ip2}，qaHost{ip1}

含义为：用户4对应的角色有运维、研发和测试。其中，运维角色没有可以访问的终端机器，研发角色对应的有权限访问的终端机器的地址为ip2，测试角色对应的有权限访问的终端机器的地址为ip1。

user5：opHost{}，rdHost{}，qaHost{ip2}

含义为：用户5对应的角色有运维、研发和测试。其中，运维角色没有可以访问的终端机器，研发角色没有可以访问的终端机器，测试角色对应的有权限访问的终端机器的地址为ip2。

其中，opHost即运营维护角色，简称运维角色；rdHost即研发角色；qaHost即测试角色。ip1,ip2分别为终端机器的ip1地址,ip2地址。

将得到的每个用户的不同角色对应的终端机器的ip列表进行序列化，更新数据库中各用户的各角色对应的各终端机器的ip列表记录。具体地，该更新数据库中各用户的各角色对应的各终端机器的ip列表记录的过程可以为：将从服务树获取的所有用户的各角色对应的终端机器的ip列表，与当前数据库中保存的各用户的各角色对应的各终端机器的ip列表作对比，以从服务树获取的数据为基础，新增、删除、修改当前数据库中的记录，保证数据库中的数据与服务树上的数据一致。以便于后续快速、准确地进行用户访问权限的判定。

基于角色标识列表变化信息，确定地址标识列表变化信息。

用户的角色不同，具有的终端机器的访问权限也不同。例如，不同的角色(role)对应的权限不一样，假如有3个role：测试、研发和运维，role为运维的用户拥有的权限更大，有些文件只有运维身份的人才有权限查看或修改。所以，需要根据用户的角色标识列表变化的信息，来进一步确定有权限可以访问的地址标识列表，从而确定出地址标识(即终端机器标识，本申请中，终端机器可以是电脑、手机等)列表变化信息。

基于角色标识列表变化信息和地址标识列表变化信息更新绑定信息。例如，用户由原来的运维和研发两个角色，增加到了运维、研发和测试三个角色。则执行主体可以确定在角色标识列表中增加了一个测试标识。执行主体可以基于该测试标识确定所对应的地址标识列表(也就是有权限访问的终端机器标识，例如测试标识对应的终端机器标识列表可以为ip1、ip2、ip4)，将该用户、该用户更新后的三个角色(运维、研发和测试)以及每个角色对应的终端机器标识重新绑定(即关联起来)，并以此替换之前的绑定信息。从而可以以数据库中最新的信息来更准确地对发送信息访问请求的用户的访问权限进行判定。

步骤S205，调用服务接口，以从数据库中获取地址标识和角色标识对应的用户组标识。

步骤S206，确定用户组标识对应的用户标识列表，响应于确定用户标识不在用户标识列表中，添加用户标识至用户标识列表，基于用户组标识对应的预设权限访问相应信息。

步骤S205～步骤S206的原理与步骤S102～步骤S103的原理类似，此处不再赘述。

图3是根据本申请第三实施例的信息访问方法的应用场景示意图。本申请实施例的信息访问方法，可以应用于用户访问系统文件的场景。如图3所示，服务器303接收用户301发送的信息访问请求302，获取信息访问请求302中的地址标识304、用户标识305和角色标识306。服务器303调用服务接口307，以从数据库308中获取地址标识304和角色标识306对应的用户组标识309。服务器303确定用户组标识309对应的用户标识列表310，响应于确定用户标识305不在用户标识列表310中，添加用户标识305至用户标识列表310，基于用户组标识309对应的预设权限311访问相应信息312。其中，执行主体可以预先在服务树313上添加用户(该用户可以是任意用户，不限定是用户301，也就是说该添加的用户可以不是用户301)和对应的角色标识306，然后将用户和对应的角色标识306配置所属的用户组标识309，进而将用户组标识309和角色标识306与对应的地址标识304绑定，进而将绑定后的信息(即角色标识306、用户组标识309和地址标识304之间的对应关系)存储至数据库308以供服务接口307查询调用。

图4是根据本申请实施例的信息访问装置的主要单元的示意图。如图4所示，信息访问装置包括接收单元401、获取单元402和信息访问单元403。

接收单元401，被配置成接收信息访问请求，获取信息访问请求中的地址标识、用户标识和角色标识。

获取单元402，被配置成调用服务接口，以从数据库中获取地址标识和角色标识对应的用户组标识。

信息访问单元403，被配置成确定用户组标识对应的用户标识列表，响应于确定用户标识不在用户标识列表中，添加用户标识至用户标识列表，基于用户组标识对应的预设权限访问相应信息。

在一些实施例中，信息访问装置还包括图4中未示出的预处理单元，被配置成：获取服务树，进而在服务树的预设应用下添加用户标识和角色标识列表；确定预设应用对应的地址标识列表；将添加的用户标识和角色标识列表与地址标识列表绑定，生成绑定信息，进而将绑定信息存储于数据库中。

在一些实施例中，信息访问装置还包括图4中未示出的更新单元，被配置成：获取定时任务列表，响应于确定当前时间到达定时任务列表中的任一定时任务所对应的任务执行时间，执行到达的任务执行时间对应的定时任务，以获取角色标识列表变化信息；基于角色标识列表变化信息，确定地址标识列表变化信息；基于角色标识列表变化信息和地址标识列表变化信息更新绑定信息。

在一些实施例中，信息访问单元403进一步被配置成：基于地址标识确定对应的本地文件；获取信息访问请求对应的访问参数，进而调用检查脚本，以检查本地文件中是否存在访问参数对应的信息；响应于确定本地文件中不存在访问参数对应的信息，从数据库中获取访问参数对应的信息并更新至本地文件中。

在一些实施例中，信息访问单元403进一步被配置成：判断用户标识是否存在于本地文件中，响应于确定用户标识存在于本地文件中，获取用户输入的密码；将用户标识和用户输入的密码传输至服务接口，以供服务接口基于预设的认证规则判断用户标识和用户输入的密码是否正确；响应于确定用户标识和用户输入的密码正确，放行信息访问请求。

在一些实施例中，信息访问单元403进一步被配置成：响应于确定用户标识不存在于本地文件中，返回访问失败信息。

在一些实施例中，信息访问单元403进一步被配置成：响应于确定用户标识位于预设的拦截名单中，并响应于确定用户标识和用户输入的密码正确，拦截信息访问请求。

需要说明的是，在本申请信息访问方法和信息访问装置在具体实施内容上具有相应关系，故重复内容不再说明。

图5示出了可以应用本申请实施例的信息访问方法或信息访问装置的示例性系统架构500。

如图5所示，系统架构500可以包括终端设备501、502、503，网络504和服务器505。网络504用以在终端设备501、502、503和服务器505之间提供通信链路的介质。网络504可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备501、502、503通过网络504与服务器505交互，以接收或发送消息等。终端设备501、502、503上可以安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。

终端设备501、502、503可以是具有信息访问屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

服务器505可以是提供各种服务的服务器，例如对用户利用终端设备501、502、503所提交的信息访问请求提供支持的后台管理服务器(仅为示例)。后台管理服务器可以接收信息访问请求，获取信息访问请求中的地址标识、用户标识和角色标识；调用服务接口，以从数据库中获取地址标识和角色标识对应的用户组标识；确定用户组标识对应的用户标识列表，响应于确定用户标识不在用户标识列表中，添加用户标识至用户标识列表，基于用户组标识对应的预设权限访问相应信息。实现了当用户登录系统，访问系统上的文件时，无需单独设置密码，通过对服务接口调用的方式接入用户访问权限认证系统，在用户访问权限认证通过后，根据预先设置的用户组的权限执行相应的访问操作，可以对接企业单点登录系统，降低了用户记忆密码的负担，无需查询多个本地文件，用户访问效率高。

需要说明的是，本申请实施例所提供的信息访问方法一般由服务器505执行，相应地，信息访问装置一般设置于服务器505中。

应该理解，图5中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

下面参考图6，其示出了适于用来实现本申请实施例的终端设备的计算机系统600的结构示意图。图6示出的终端设备仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图6所示，计算机系统600包括中央处理单元(CPU)601，其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM603中，还存储有计算机系统600操作所需的各种程序和数据。CPU601、ROM602以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。

以下部件连接至I/O接口605：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(CRT)、液晶征信授权查询处理器(LCD)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入存储部分608。

特别地，根据本申请公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本申请公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时，执行本申请的系统中限定的上述功能。

需要说明的是，本申请所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中，例如，可以描述为：一种处理器包括接收单元、获取单元和信息访问单元。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

作为另一方面，本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备接收信息访问请求，获取信息访问请求中的地址标识、用户标识和角色标识；调用服务接口，以从数据库中获取地址标识和角色标识对应的用户组标识；确定用户组标识对应的用户标识列表，响应于确定用户标识不在用户标识列表中，添加用户标识至用户标识列表，基于用户组标识对应的预设权限访问相应信息。

根据本申请实施例的技术方案，实现了当用户登录系统，访问系统上的文件时，无需单独设置密码，通过对服务接口调用的方式接入用户访问权限认证系统，在用户访问权限认证通过后，根据预先设置的用户组的权限执行相应的访问操作，可以对接企业单点登录系统，降低了用户记忆密码的负担，无需查询多个本地文件，用户访问效率高。

上述具体实施方式，并不构成对本申请保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等，均应包含在本申请保护范围之内。