云平台登录方法、装置、计算机设备及存储介质与流程

1.本发明涉及云平台管理技术领域，具体涉及云平台登录方法、装置、计算机设备及存储介质。


背景技术：

2.云计算平台(cloud computing platform，也称为云平台)，是一种能够基于硬件资源和软件资源，提供计算、网络和存储能力的服务平台。
3.用户访问云平台时，是基于账号和密码进行登录认证。但当同一用户在多个云平台使用相同的密码作为认证码时，若其中一个云平台的密码被泄露，则会殃及到其他云平台账号的安全。并且设置过多的密码也会引发用户难以记忆的问题。
4.相关技术中，为解决上述问题，云平台可以通过授权登陆的方式进行安全认证，但若授权码泄露，则会影响用户的账号安全。


技术实现要素：

5.有鉴于此，本发明提供了一种云平台登录方法、装置、计算机设备及存储介质，以解决授权码易被泄露的问题。
6.第一方面，本发明提供了一种云平台登录方法，方法包括：
7.响应接收到用户发送的授权登录请求，获取用户当前登录的当前环境信息；
8.基于当前环境信息，对用户的当前登录环境进行安全检测，确定当前登录风险系数；
9.若当前登录风险系数大于指定系数阈值，则基于当前登录风险系数，从多个待执行的身份认证方式中确定目标认证方式；
10.若用户通过目标认证方式对应的身份认证，则对用户进行授权码认证，得到认证结果；
11.若认证结果为通过，则向用户发送访问令牌，以使用户通过访问令牌登录云平台。
12.在一种可选的实施方式中，基于当前环境信息，对用户的当前登录环境进行安全检测，确定当前登录风险系数，包括：
13.基于用户的历史登录日志数据，确定用户的惯用登录环境信息；
14.基于当前环境信息与惯用登录环境信息之间的比较结果，对用户的当前登录环境进行安全检测，确定当前登录风险系数。
15.在一种可选的实施方式中，当前环境信息包括：当前登录时间、当前登录区域、当前互联网协议地址以及用户当前登录使用的当前设备型号；
16.惯用登录环境信息包括：惯用登录时段、历史登录区域、历史互联网协议地址、历史设备型号以及历史登录方式；
17.基于当前环境信息与惯用登录环境信息之间的比较结果，对用户的当前登录环境进行安全检测，确定当前登录风险系数，包括：
18.基于当前登录时间与惯用登录时段之间的第一对比结果，确定第一检测值；
19.分别确定当前登录区域与历史登录区域之间的第二对比结果，以及确定当前互联网协议地址与历史互联网协议地址之间的第三对比结果；
20.根据第二对比结果和第三对比结果，确定第二检测值；
21.基于当前设备型号与历史设备型号之间的第四对比结果，确定第三检测值；
22.基于历史登录方式与目标登录方式之间的第五对比结果，确定第四检测值；
23.将第一检测值、第二检测值、第三检测值和第四检测输入预置的安全风险模型，以对用户的当前登录环境进行安全检测，并将安全风险模型的输出结果作为当前登录风险系数。
24.在一种可选的实施方式中，基于当前登录风险系数，从多个待执行的身份认证方式中确定目标认证方式，包括：
25.将当前登录风险系数与预置的多个登录风险系数区间进行匹配，确定目标登录风险系数区间，其中，目标登录风险系数区间为多个登录风险系数区间中包括当前登录风险系数的登录风险系数区间，不同登录风险系数区间对应不同身份认证方式；
26.将目标登录风险系数区间对应的身份认证方式确定为目标认证方式。
27.在一种可选的实施方式中，方法还包括：
28.若当前登录风险系数小于或者等于指定系数阈值，则禁止用户登录。
29.在一种可选的实施方式中，授权登录请求包括：待资源访问的第一网域名称转址、目标加密方式以及目标交换码参数；对用户进行授权码认证，得到认证结果，包括：
30.向用户发送第一网域名称转址对应的第一授权码；
31.接收用户发送的令牌访问请求，令牌访问请求包括：第二授权码、随机校验字符串以及待资源访问的第一网域名称转址；
32.对随机校验字符串采用目标加密方式进行加密处理，生成本次交换码参数；
33.若本次交换码参数与目标交换码参数相同，且第二授权码与第一授权码相同，则判定认证结果为通过；
34.若本次交换码参数与目标交换码参数不同，和/或第二授权码与第一授权码不同，则判定认证结果为未通过。
35.在一种可选的实施方式中，方法还包括：
36.响应接收到用户通过访问令牌发送的资源访问请求，确定用户待资源访问的目标资源；
37.获取用户的用户信息；
38.基于预置的权限管理配置文件和用户信息，确定用户对应的资源访问权限；
39.若用户对应的资源访问权限能够访问目标资源，则允许用户登录云平台；
40.若用户对应的资源访问权限不能访问目标资源，则拒绝用户登录云平台。
41.在一种可选的实施方式中，方法还包括：
42.若用户登录云平台成功，则保存当前登录风险系数。
43.在一种可选的实施方式中，方法还包括：
44.将当前环境信息存入用户的历史登录日志数据中，以更新历史登录日志数据。
45.第二方面，本发明提供了一种云平台登录装置，装置包括：
46.获取模块，用于响应接收到用户发送的授权登录请求，获取用户当前登录的当前环境信息；
47.环境监测模块，用于基于当前环境信息，对用户的当前登录环境进行安全检测，确定当前登录风险系数；
48.筛选模块，用于若当前登录风险系数大于指定系数阈值，则基于当前登录风险系数，从多个待执行的身份认证方式中确定目标认证方式；
49.第一认证执行模块，用于若用户通过目标认证方式对应的身份认证，则对用户进行授权码认证，得到认证结果；
50.发送模块，用于若认证结果为通过，则向用户发送访问令牌，以使用户通过访问令牌登录云平台。
51.第三方面，本发明提供了一种计算机设备，包括：存储器和处理器，存储器和处理器之间互相通信连接，存储器中存储有计算机指令，处理器通过执行计算机指令，从而执行上述第一方面或其对应的任一实施方式的云平台登录方法。
52.第四方面，本发明提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机指令，计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的云平台登录方法。
53.在本发明提供的云平台登录方法中，能够在进行授权码认证之前，针对用户的当前登录环境进行安全检测，以在当前登录环境处于相对安全的状态下进行授权码认证，进而保障登录用户的身份合法性，从而能够有效避免授权码被非法泄露的情况发生，从而有利于保护用户的账号安全。
附图说明
54.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
55.图1是根据本发明实施例提供的云平台登录方法的流程示意图；
56.图2是根据本发明实施例提供的另一云平台登录方法的流程示意图；
57.图3是根据本发明实施例提供的又一云平台登录方法的流程示意图；
58.图4是根据本发明实施例提供的再一云平台登录方法的流程示意图；
59.图5是根据本发明实施例提供的授权码认证时序交互图；
60.图6是根据本发明实施例提供的云平台登录装置的结构框图；
61.图7是本发明实施例的计算机设备的硬件结构示意图。
具体实施方式
62.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
63.在实际应用中，同一个用户在多个云平台会使用相同的密码作为认证码，但当其中一个云平台的密码被泄露时，会殃及其他云平台账号的使用安全。但若用户在不同云平台分别设置不同的密码，也会导致用户难以记忆多个密码。
64.相关技术中，为解决上述问题，云平台可以通过授权登录的方式进行安全认证，以便用户快速登录。但若授权码被泄露，则会危及用户的账号安全。
65.鉴于此，在本发明中提供一种云平台登录方法，方法包括：响应接收到用户发送的授权登录请求，获取用户当前登录的当前环境信息；基于当前环境信息，对用户的当前登录环境进行安全检测，确定当前登录风险系数；若当前登录风险系数大于指定系数阈值，则基于当前登录风险系数，从多个待执行的身份认证方式中确定目标认证方式；若用户通过目标认证方式对应的身份认证，则对用户进行授权码认证，得到认证结果；若认证结果为通过，则向用户发送访问令牌，以使用户通过访问令牌登录云平台。通过本发明提供的云平台登录方法，能够在用户登录云平台之前，针对用户当前登录的当前环境信息进行安全检测，进而采用对应的身份认证方式校验用户身份，以避免用户的访问令牌被非法获取的情况发生，从而降低授权码被泄露的风险，有助于保障用户的账号安全。
66.根据本发明实施例，提供了一种云平台登录方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
67.在本实施例中提供了一种云平台登录方法，可用于上述的移动终端，如手机、平板电脑等(结合实际情况描述执行主体)，图1是根据本发明实施例提供的云平台登录方法的流程图，如图1所示，该流程包括如下步骤：
68.步骤s101，响应接收到用户发送的授权登录请求，获取用户当前登录的当前环境信息。
69.在本发明实施例中，当接受到用户发送的授权登录请求，表征当前用户需要登录云平台。为避免用户被冒充的情况发生，则获取用户当前登录的当前环境信息，以通过当前环境信息校验用户当前登录是否安全。
70.步骤s102，基于当前环境信息，对用户的当前登录环境进行安全检测，确定当前登录风险系数。
71.在本发明实施例中，当前登录风险系数用于表征当前登录环境的风险情况。其中，当前登录风险系数越高，则表征当前登录环境越安全；反之，当前登录风险系数越低，则表征当前登录环境越危险。
72.步骤s103，若当前登录风险系数大于指定系数阈值，则基于当前登录风险系数，从多个待执行的身份认证方式中确定目标认证方式。
73.在本发明实施例中，指定系数阈值为确定当前登录环境有风险的最大预警值。若当前登录风险系数大于指定系数阈值，则表征当前登录环境相对安全，可以通过身份验证的方式进行身份校验。但若当前登录风险系数小于或者等于指定系数阈值，则表征当前登录环境不安全。
74.因此，当确定当前登录风险系数大于指定系数阈值，则基于当前登录风险系数，从多个待执行的身份认证方式中确定目标认证方式。即，在本发明中，预先设置多种可用于进
行身份认证的身份认证方式，例如：生物特征识别认证、短信认证等。生物特征识别认证可以包括：人脸认证、指纹认证、虹膜认证、声音认证等。针对不同当前登录风险系数，可以采用不同的身份认证方式进行认证，进而可以在确定当前登录风险系数后，从多个待执行的身份认证方式中确定目标认证方式。其中，目标认证方式为多个待执行的身份认证方式中与当前登录风险系数对应的身份认证方式。
75.步骤s104，若用户通过目标认证方式对应的身份认证，则对用户进行授权码认证，得到认证结果。
76.在本发明实施例中，若用户通过目标认证方式对应身份认证，则表明当前请求登录的用户为合法用户。因此，对用户进行授权码认证，以确定是否可以将授权码发送给该用户，进而得到认证结果。
77.步骤s105，若认证结果为通过，则向用户发送访问令牌，以使用户通过访问令牌登录云平台。
78.在本发明实施例中，若认证结果为通过，则表征用户可以访问云平台，因此，向用户发送访问令牌，以使用户能够通过该访问令牌登录云平台进行资源访问。
79.本实施例提供的云平台登录方法，能够在进行授权码认证之前，针对用户的当前登录环境进行安全检测，以在当前登录环境处于相对安全的状态下进行授权码认证，进而保障登录用户的身份合法性，从而能够有效避免授权码被非法泄露的情况发生，从而有利于保护用户的账号安全。
80.在本实施例中提供了一种云平台登录方法，可用于上述的移动终端，如手机、平板电脑等，图2是根据本发明实施例提供的云平台登录方法的流程图，如图2所示，该流程包括如下步骤：
81.步骤s201，响应接收到用户发送的授权登录请求，获取用户当前登录的当前环境信息。详细请参见图1所示实施例的步骤s101，在此不再赘述。
82.步骤s202，基于当前环境信息，对用户的当前登录环境进行安全检测，确定当前登录风险系数。
83.具体地，上述步骤s202包括：
84.步骤s2021，基于用户的历史登录日志数据，确定用户的惯用登录环境信息。
85.在本发明实施例中，基于用户的历史登录日志数据，可以刻画用户登录云平台的登录习惯，进而可以确定用户的惯用登录环境信息。
86.步骤s2022，基于当前环境信息与惯用登录环境信息之间的比较结果，对用户的当前登录环境进行安全检测，确定当前登录风险系数。
87.在本发明实施例中，将当前环境信息与惯用登录环境信息比较，可以明确用户当前登录环境与该用户历史登录环境之间的差异，进而基于比较结果进行安全检测，以校验当前登录环境是否安全，从而得到当前登录风险系数。
88.在一些可选的实施方式中，当前环境信息包括：当前登录时间、当前登录区域、当前互联网协议地址以及用户当前登录使用的当前设备型号；惯用登录环境信息包括：惯用登录时段、历史登录区域、历史互联网协议地址、历史设备型号以及历史登录方式。上述步骤s2022包括：
89.步骤a1，基于当前登录时间与惯用登录时段之间的第一对比结果，确定第一检测
值。
90.在该方式中，为检测当前用户是否为合法用户，则先从惯用登录时段校验当前登录时间是否为用户惯用的登录时间。具体地，可以基于用户的历史登录日志数据，可以确定用户的惯用登录时段，进而将当前登录时间与该惯用登录时段进行，确定当前登录时间是否属于惯用登录时段，从而得到第一对比结果。预先针对不同的第一对比结果分配不同的第一检测值，进而根据得到的第一对比文件结果，从多个第一检测值中确定当前登录时间对应的第一检测值。
91.在一示例中，可以根据惯用登录时段，确定惯用登录时段的时长。根据惯用登录时段、惯用登录时段的时长以及指定时间区间，将指定时间区间划分为多个待匹配时段，不同待匹配时段对应不同的第一待检测值。其中，待匹配时段与惯用登录时段之间的时间差越短，则对应的第一待检测值越高；待匹配时段与惯用登录时段之间的时间差越长，则对应的第一待检测值越低。惯用登录时段对应的第一待检测值与各待匹配时段对应的第一待检测差值之间的排序为降序的等差数列。惯用登录时段对应的第一待检测值为最大值，与惯用登录时段之间的时间差最长的待匹配时段，对应的第一待检测值为最小值。惯用登录时段对应的第一待检测值可以预先设定。
92.例如：在一实施场景中，惯用登录时段的时长为3小时，指定时间区间为24小时，进而结合惯用登录时段、惯用登录时段的时长以及指定时间区间，将指定时间区间划分为7个待匹配时段，其中一个待匹配时段为惯用登录时段。以惯用时段为[a,b)为例，7个待匹配时段分别为：[a-9,b-9)、[a-6,b-6)、[a-3,b-3)、[a,b)、[a+3,b+3)、[a+6,b+6)、[a+9,b+9)、[a-12,b-12)/[a+12,b+12)。其中，[a-12,b-12)与[a+12,b+12)为同一时段，故以下统一采用[a-12,b-12)代述。[a-3,b-3)和[a+3,b+3)与[a,b)之间的时间差均为3小时内，[a-6,b-6)和[a+6,b+6)与[a,b)之间的时间差均为3-6小时内，[a-9,b-9)和[a+9,b+9)与[a,b)之间的时间差均为6-9小时内，[a-12,b-12)与[a,b)之间的时间差为9-12小时内。若为[a,b)分配的第一待检测值为5，则[a-3,b-3)和[a+3,b+3)对应的第一待检测值为4，[a-6,b-6)和[a+6,b+6)对应的第一待检测值为3，[a-9,b-9)和[a+9,b+9)对应的第一待检测值为2，[a-12,b-12)对应的第一待检测值为1。
[0093]
若当前登录时间属于[a,b)之间，则确定第一检测值为5。若当前登录时间属于[a-3,b-3)或[a+3,b+3)之间，则确定第一检测值为4。若当前登录时间属于[a-6,b-6)或[a+6,b+6)之间，则确定第一检测值为3。若当前登录时间属于[a-9,b-9)或[a+9,b+9)之间，则确定第一检测值为2。若当前登录时间属于[a-12,b-12)，则确定第一检测值为1。
[0094]
步骤a2，分别确定当前登录区域与历史登录区域之间的第二对比结果，以及确定当前互联网协议地址与历史互联网协议地址之间的第三对比结果。
[0095]
在该方式中，为检测用户当前登录是否属于异地登录，则基于当前登录区域与历史登录区域之间的第二对比结果，以及当前互联网协议地址(internet protocol address，ip地址)与历史ip地址之间的第三对比结果进行共同校验，以确定用户是否在短时间内在不同地区和/或网络环境下进行登录。其中，历史登录区域包括多个子历史登录区域，不同子历史登录区域对应不同的登录时间。
[0096]
将当前登录区域与历史登录区域进行对比，得到的第二对比结果可以确定用户当前登录云平台所在的当前登录区域是否与历史登录区域存在不同，以及在不同登录区域下
登录该云平台的第一时间间隔。
[0097]
将当前互联网协议地址与历史互联网协议地址进行对比，得到的第三对比结果可以确定用户当前登录云平台所在的当前ip地址是否与历史ip地址不同，以及当采用不同ip地址登录该云平台的第二时间间隔。
[0098]
步骤a3，根据第二对比结果和第三对比结果，确定第二检测值。
[0099]
在该方式中，若登录区域发生改变，则ip地址必然发生改变。因此，当通过第二对比结果确定用户登录云平台的登录区域发生改变，且该用户在短时间(例如：1小时内)内在不同登录区域下登录该云平台，则可以确定用户当前登录环境危险，进而确定第二检测值为0。若采用不同登录区域的ip地址之间的时间间隔属于第一区间时，则可以确定第二检测值为1。若采用不同登录区域的ip地址之间的时间间隔属于第二区间时，则可以确定第二检测值为3。若采用不同登录区域的ip地址之间的时间间隔属于第三区间时，则可以确定第二检测值为5。若根据第二对比结果和第三对比结果，确定用户登录云平台的登录区域和ip地址均为发生改变时，则可以直接确定第二检测值为5。其中，第二区间内的时间长度大于第一区间内的时间长度，第三区间内的时间长度大于第二区间内的时间长度。例如：第一区间可以是在24小时内，第二区间则可以是24～72小时之间，第三区间则为大于72小时。
[0100]
步骤a4，基于当前设备型号与历史设备型号之间的第四对比结果，确定第三检测值。
[0101]
在该方式中，将当前设备型号与历史设备型号进行对比，可以确定用户登录云平台时是否采用不同的设备进行登录，进而得到第四对比结果。通过历史登录日志数据可以确定用户采用不同历史设备型号进行登录的历史登录时间，进而在当前设备型号与历史设备型号不同的情况下，可以基于当前登录时间与历史登录时间之间的时间差，确定第三检测值。
[0102]
例如：在短时间内(例如：1小时内)存在3个或3个以上的不同设备型号登录云平台，则确定用户当前登录环境危险，进而确定第三检测值为0。若存在3个或3个以上的不同设备型号之间的时间差小于第一时间阈值，则确定第三检测值为1。若存在3个或3个以上的不同设备型号之间的时间差大于或者等于第一时间阈值，且小于第二时间阈值，则确定第三检测值为3。若存在3个或3个以上的不同设备型号之间的时间差大于或者等于第二时间阈值，则确定第三检测值为5。在一示例中，第一时间阈值可以是24小时，第一时间阈值可以是72小时。
[0103]
步骤a5，基于历史登录方式与目标登录方式之间的第五对比结果，确定第四检测值。
[0104]
在该方式中，用户当前登录云平台的当前登录方式取决于历史登录方式。若历史登录方式为目标登录方式，则用户当前登录云平台的当前登录方式为目标登录方式；若历史登录方式为其他登录方式，则当前登录方式为其他登录方式。预先针对不同的登录方式预先配置不同的第四检测值。若登录方式为目标登录方式，则对应的第四检测值为1；若登录方式为其他登录方式，则对应的第四检测值为0。例如：以目标登录方式为授权码登录为例。若历史登录方式为授权码登录，则对应的第四检测值为1。若历史登录方式为其他登录方式，则对应的第四检测值为0。
[0105]
步骤a6，将第一检测值、第二检测值、第三检测值和第四检测输入预置的安全风险
模型，以对用户的当前登录环境进行安全检测，并将安全风险模型的输出结果作为当前登录风险系数。
[0106]
在该方式中，预先构建安全风险模型，以通过该安全风险模型对当前登录环境进行针对性检测，进而保障得到的当前登录风险系数更客观，更合理。其中，安全风险模型对应的目标函数可以采用下述公式确定：
[0107]
b1＝(a1*a2*a3*a4)/3；
[0108]
a1表示第一检测值，a2表示第二检测值，a3表示第三检测值，a4表示第四检测值，b1表示当前登录风险系数。
[0109]
通过上述方式，能够基于当前环境信息和惯用登录环境信息，对当前登录环境进行多维度的数据分析，以对当前登录环境进行充分检测，从而有助于保障安全检测的有效性和可靠性。其中，需注意的是，上述实施例中各数据均为示例，可根据需求或者自行设定，在本发明中不进行限制。
[0110]
步骤s203，若当前登录风险系数大于指定系数阈值，则基于当前登录风险系数，从多个待执行的身份认证方式中确定目标认证方式。
[0111]
在一些可选的实施方式中，上述步骤s203包括：
[0112]
步骤b1，将当前登录风险系数与预置的多个登录风险系数区间进行匹配，确定目标登录风险系数区间；
[0113]
步骤b2，将目标登录风险系数区间对应的身份认证方式确定为目标认证方式。
[0114]
具体的，预先建立多个登录风险系数区间与身份认证方式之间的对应关系。当确定当前登录风险系数后，将当前风险系数与预置的多个登录风险系数区间进行匹配，确定多个登录风险系数区间中包括当前登录风险系数的登录风险系数区间，并将其作为目标登录风险系数区间。由于不同登录风险系数区间对应不同身份认证方式，因此，将目标登录风险系数区间对应的身份认证方式确定为目标认证方式，以便后续通过该目标认证方式进行身份认证。
[0115]
例如：多个登录风险系数区间分别为(0,3)、[3,5)、[5]。(0,3)对应的身份认证方式为面部识别或者短信认证。[3,5)对应的身份认证方式为弹出验证人为操作验证码。[5]为无需进行身份认证。
[0116]
在另一些可选的实施方式中，可以预先建立多个登录风险系数与身份认证方式之间的对应关系，进而根据当前登录风险系数确定目标认证方式。或者，根据当前登录风险系数，确定当前登录环境安全等级，进而根据当前登录环境安全等级确定与该等级相匹配的身份认证方式，从而将其确定为目标认证方式。例如：安全等级越高，身份认证方式越简单。
[0117]
步骤s204，若用户通过目标认证方式对应的身份认证，则对用户进行授权码认证，得到认证结果。详细请参见图1所示实施例的步骤s104，在此不再赘述。
[0118]
步骤s205，若认证结果为通过，则向用户发送访问令牌，以使用户通过访问令牌登录云平台。详细请参见图1所示实施例的步骤s105，在此不再赘述。
[0119]
本实施例提供的云平台登录方法，能够根据检测到当前登录风险系数，从多个身份标认证方式中，确定本次需要进行认证的目标认证方式，进而当目标认证方式对应的身份认证通过时，为用户进行授权码认证，有助于降低授权码被泄露的风险，能够增强登录过程的安全性，从而能够有效保护用户的登录安全。
[0120]
在一些可选的实施方式中，上述云平台登录方法还包括：
[0121]
步骤s206，若当前登录风险系数小于或者等于指定系数阈值，则禁止用户登录。指定系数阈值可以为0。即，若当前登录风险系数为0，则表征可以确定当前登录环境危险，因此，为保障用户的账号安全，则禁止用户登录。
[0122]
在本实施例中提供了一种云平台登录方法，可用于上述的移动终端，如手机、平板电脑等，图3是根据本发明实施例提供的云平台登录方法的流程图，如图3所示，该流程包括如下步骤：
[0123]
步骤s301，响应接收到用户发送的授权登录请求，获取用户当前登录的当前环境信息。详细说明参见上述实施例对应步骤的相关描述，此处不再赘述。
[0124]
步骤s302，基于当前环境信息，对用户的当前登录环境进行安全检测，确定当前登录风险系数。详细说明参见上述实施例对应步骤的相关描述，此处不再赘述。
[0125]
步骤s303，若当前登录风险系数大于指定系数阈值，则基于当前登录风险系数，从多个待执行的身份认证方式中确定目标认证方式。详细说明参见上述实施例对应步骤的相关描述，此处不再赘述。
[0126]
步骤s304，若用户通过目标认证方式对应的身份认证，则对用户进行授权码认证，得到认证结果。
[0127]
具体地，授权登录请求包括：待资源访问的第一网域名称转址、目标加密方式以及目标交换码参数，上述步骤s304包括：
[0128]
步骤s3041，向用户发送第一网域名称转址对应的第一授权码。
[0129]
在本发明实施例中，当用户通过目标认证方式对应的身份认证，则表征用户为合法用户，因此，向用户发送第一网域名称转址对应的第一授权码，以使用户可以通过该第一授权码访问第一网域名称转址上的资源。
[0130]
步骤s3042，接收用户发送的令牌访问请求。
[0131]
在本发明实施例中，令牌访问请求包括但不限于：第二授权码、随机校验字符串(code_verifier)以及待资源访问的第一网域名称转址。第二授权码为用户发送的用于访问第一网域名称转址的授权码。随机校验字符串为用于校验本次授权是否发生泄漏的校验数据。
[0132]
在一示例中，授权登录请求还包括连接状态参数(state)。令牌访问请求还包括：连接状态参数和当前设备凭证。
[0133]
步骤s3043，对随机校验字符串采用目标加密方式进行加密处理，生成本次交换码参数。
[0134]
步骤s3044，若本次交换码参数与预存的目标交换码参数相同，且第二授权码与第一授权码相同，则判定认证结果为通过。
[0135]
在本发明实施例中，目标交换码参数可以理解为是合法用户采用目标加密方式对随机校验字符串进行加密处理后生成的交换码参数。若本次交换码参数与目标交换码参数相同，则表征当前等于云平台的用户是合法用户，且未被仿冒。第二授权码与第一授权码相同，则表征用户在于云平台交互的过程中，授权码未被替换，因此，可以判定认证结果为通过。
[0136]
步骤s3045，若本次交换码参数与目标交换码参数不同，和/或第二授权码与第一
授权码不同，则判定认证结果为未通过。
[0137]
在本发明实施例中，若本次交换码参数与目标交换码参数不同，则表征随机校验字符串存在异常，授权码可能被泄露。若第二授权码与第一授权码不同，则表征用户可能为仿冒用户。因此，当出现以下任意一种或者组合情况时，则可以判定认证结果为未通过：本次交换码参数与目标交换码参数不同，第二授权码与第一授权码不同。
[0138]
步骤s305，若认证结果为通过，则向用户发送访问令牌，以使用户通过访问令牌登录云平台。详细说明参见上述实施例对应步骤的相关描述，此处不再赘述。
[0139]
本实施例提供的云平台登录方法，通过对交换码参数和授权码进行双重校验，能够有效拦截攻击，进而有助于提高授权过程的安全性。
[0140]
在本实施例中提供了一种云平台登录方法，可用于上述的移动终端，如手机、平板电脑等，图4是根据本发明实施例提供的云平台登录方法的流程图，如图4所示，该流程包括如下步骤：
[0141]
步骤s401，响应接收到用户发送的授权登录请求，获取用户当前登录的当前环境信息。详细说明参见上述实施例对应步骤的相关描述，此处不再赘述。
[0142]
步骤s402，基于当前环境信息，对用户的当前登录环境进行安全检测，确定当前登录风险系数。详细说明参见上述实施例对应步骤的相关描述，此处不再赘述。
[0143]
步骤s403，若当前登录风险系数大于指定系数阈值，则基于当前登录风险系数，从多个待执行的身份认证方式中确定目标认证方式。详细说明参见上述实施例对应步骤的相关描述，此处不再赘述。
[0144]
步骤s404，若用户通过目标认证方式对应的身份认证，则对用户进行授权码认证，得到认证结果。详细说明参见上述实施例对应步骤的相关描述，此处不再赘述。
[0145]
步骤s405，若认证结果为通过，则向用户发送访问令牌，以使用户通过访问令牌登录云平台。详细说明参见上述实施例对应步骤的相关描述，此处不再赘述。
[0146]
步骤s406，响应接收到用户通过访问令牌发送的资源访问请求，确定用户待资源访问的目标资源。
[0147]
步骤s407，获取用户的用户信息。
[0148]
在本发明实施例中，同一用户可以对应多种角色，且不同角色对应的资源访问权限可以不同，进而导致用户在与云平台交互时，可以访问多种资源。
[0149]
因此，为明确当前用户是否可以访问目标资源，则获取用户的用户信息，以通过用户信息，确定该用户的资源访问权限。
[0150]
步骤s408，基于预置的权限管理配置文件和用户信息，确定用户对应的资源访问权限。
[0151]
在本发明实施例中，预置的权限管理配置文件中包括多个用户与角色和资源访问权限之间的对应关系。通过用户信息可以明确用户身份，进而在明确当前用户的情况下，将当前登录云平台的用户与预置的权限管理配置文件中的多个用户进行匹配，进而确定用户对应的资源访问权限。
[0152]
步骤s409，若用户对应的资源访问权限能够访问目标资源，则允许用户登录云平台。
[0153]
步骤s410，若用户对应的资源访问权限不能访问目标资源，则拒绝用户登录云平
台。
[0154]
本实施例提供的云平台登录方法，针对用户对应的资源访问权限控制用户是否可以登录云平台，有助于保障不同资源访问权限之间的隔离性，进而易于扩展和维护，从而有助于保障云平台内的资源安全。
[0155]
在一些可选的实施例中，若用户登录云平台成功，则保存当前登录风险系数，以便云平台的管理员能够明确当前用户的登录云平台时的登录环境情况，进而更好地进行系统管理。
[0156]
在另一些可选的实施例中，将当前环境信息存入用户的历史登录日志数据中，以更新历史登录日志数据，进而保障对登录环境进行安全检测的有效性和准确性。
[0157]
在一些可选的实施场景中，授权码认证过程可以如图5所示。图5是根据本发明实施例提供的授权码认证时序交互图，包括：用户当前登录使用的当前设备和云平台所在服务端。
[0158]
用户通过当前设备向云平台所在服务端发送授权登录请求。授权登录请求包括：待资源访问的第一网域名称转址、目标加密方式、目标交换码参数以及访问状态参数。
[0159]
云平台所在服务端对用户的当前登录环境进行安全检测，确定当前登录风险系数。当当前登录风险系数大于指定系数阈值，则采用目标认证方式对用户进行身份认证。当身份认证通过后，同意对用户授权，进而向当前设备发送第一网域名称转址对应的第一授权码。
[0160]
当前设备通过第二授权码、随机校验字符串、第一网域名称转址、访问状态参数以及当前设备凭证，向云平台所在服务端发送令牌访问请求。
[0161]
云平台所在服务端校验第二授权码和随机校验字符串是否有效，进而当确定有效时，判定认证结果通过，并向当前设备发送访问令牌。
[0162]
当前设备通过访问令牌向云平台所在服务端发送资源访问请求。
[0163]
云平台所在服务端在确定用户对应的资源访问权限能够访问目标资源时，允许用户登录云平台，并将用户所需访问的资源发送至当前设备。
[0164]
通过本发明提供的云平台登录方法，将登录环境检测与授权码方式结合，能够在增强安全性的同时，带给用户更便捷地授权方式进行登录。其中，利用独特的登录环境检测算法进行建模分析用户环境，有助于提高登录安全性，且采取pkce(proof key for code exchange)+授权码的方式发放访问令牌，能够消除传统授权码中存在的令牌泄露风险，进而增强登录便利性。
[0165]
在本实施例中还提供了一种云平台登录装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
[0166]
本实施例提供一种云平台登录装置，如图6所示，包括：
[0167]
获取模块601，用于响应接收到用户发送的授权登录请求，获取用户当前登录的当前环境信息。
[0168]
环境监测模块602，用于基于当前环境信息，对用户的当前登录环境进行安全检测，确定当前登录风险系数。
[0169]
筛选模块603，用于若当前登录风险系数大于指定系数阈值，则基于当前登录风险系数，从多个待执行的身份认证方式中确定目标认证方式。
[0170]
第一认证执行模块604，用于若用户通过目标认证方式对应的身份认证，则对用户进行授权码认证，得到认证结果。
[0171]
发送模块605，用于若认证结果为通过，则向用户发送访问令牌，以使用户通过访问令牌登录云平台。
[0172]
在一些可选的实施方式中，环境监测模块602，包括：第一信息确定单元，用于基于用户的历史登录日志数据，确定用户的惯用登录环境信息；检测单元，用于基于当前环境信息与惯用登录环境信息之间的比较结果，对用户的当前登录环境进行安全检测，确定当前登录风险系数。
[0173]
在一些可选的实施方式中，当前环境信息包括：当前登录时间、当前登录区域、当前互联网协议地址以及用户当前登录使用的当前设备型号；惯用登录环境信息包括：惯用登录时段、历史登录区域、历史互联网协议地址、历史设备型号以及历史登录方式；检测单元，包括：第一确定单元，用于基于当前登录时间与惯用登录时段之间的第一对比结果，确定第一检测值；第二确定单元，用于分别确定当前登录区域与历史登录区域之间的第二对比结果，以及确定当前互联网协议地址与历史互联网协议地址之间的第三对比结果；第三确定单元，用于根据第二对比结果和第三对比结果，确定第二检测值；第四确定单元，用于基于当前设备型号与历史设备型号之间的第四对比结果，确定第三检测值；第五确定单元，用于基于历史登录方式与目标登录方式之间的第五对比结果，确定第四检测值；检测子单元，用于将第一检测值、第二检测值、第三检测值和第四检测输入预置的安全风险模型，以对用户的当前登录环境进行安全检测，并将安全风险模型的输出结果作为当前登录风险系数。
[0174]
在一些可选的实施方式中，筛选模块603，包括：匹配单元，用于将当前登录风险系数与预置的多个登录风险系数区间进行匹配，确定目标登录风险系数区间，其中，目标登录风险系数区间为多个登录风险系数区间中包括当前登录风险系数的登录风险系数区间，不同登录风险系数区间对应不同身份认证方式；第六确定单元，用于将目标登录风险系数区间对应的身份认证方式确定为目标认证方式。
[0175]
在一些可选的实施方式中，装置还包括：第二认证执行模块，用于若当前登录风险系数小于或者等于指定系数阈值，则禁止用户登录。
[0176]
在一些可选的实施方式中，授权登录请求包括：待资源访问的第一网域名称转址、目标加密方式以及目标交换码参数；第一认证执行模块604，包括：第一发送单元，用于向用户发送第一网域名称转址对应的第一授权码；接收单元，用于接收用户发送的令牌访问请求，令牌访问请求包括：第二授权码、随机校验字符串以及待资源访问的第一网域名称转址；加密单元，用于对随机校验字符串采用目标加密方式进行加密处理，生成本次交换码参数；第七确定单元，用于第一执行单元，用于若本次交换码参数与目标交换码参数相同，且第二授权码与第一授权码相同，则判定认证结果为通过；第二执行单元，用若本次交换码参数与目标交换码参数不同，和/或第二授权码与第一授权码不同，则判定认证结果为未通过。
[0177]
在一些可选的实施方式中，装置还包括：资源确定模块，用于响应接收到用户通过
访问令牌发送的资源访问请求，确定用户待资源访问的目标资源；信息获取模块，用于获取用户的用户信息；权限确定单元，用于基于预置的权限管理配置文件和用户信息，确定用户对应的资源访问权限；第一登录控制模块，用于若用户对应的资源访问权限能够访问目标资源，则允许用户登录云平台；第二登录控制模块，用于若用户对应的资源访问权限不能访问目标资源，则拒绝用户登录云平台。
[0178]
在一些可选的实施方式中，装置还包括：第一存储模块，用于若用户登录云平台成功，则保存当前登录风险系数。
[0179]
在一些可选的实施方式中，装置还包括：第二存储模块，用于将当前环境信息存入用户的历史登录日志数据中，以更新历史登录日志数据。
[0180]
上述各个模块和单元的更进一步的功能描述与上述对应实施例相同，在此不再赘述。
[0181]
本实施例中的云平台登录装置是以功能单元的形式来呈现，这里的单元是指asic(application specific integrated circuit，专用集成电路)电路，执行一个或多个软件或固定程序的处理器和存储器，和/或其他可以提供上述功能的器件。
[0182]
本发明实施例还提供一种计算机设备，具有上述图6所示的云平台登录装置。
[0183]
请参阅图7，图7是本发明可选实施例提供的一种计算机设备的结构示意图，如图7所示，该计算机设备包括：一个或多个处理器10、存储器20，以及用于连接各部件的接口，包括高速接口和低速接口。各个部件利用不同的总线互相通信连接，并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在计算机设备内执行的指令进行处理，包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如，耦合至接口的显示设备)上显示gui的图形信息的指令。在一些可选的实施方式中，若需要，可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样，可以连接多个计算机设备，各个设备提供部分必要的操作(例如，作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图7中以一个处理器10为例。
[0184]
处理器10可以是中央处理器，网络处理器或其组合。其中，处理器10还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路，可编程逻辑器件或其组合。上述可编程逻辑器件可以是复杂可编程逻辑器件，现场可编程逻辑门阵列，通用阵列逻辑或其任意组合。
[0185]
其中，所述存储器20存储有可由至少一个处理器10执行的指令，以使所述至少一个处理器10执行实现上述实施例示出的方法。
[0186]
存储器20可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据计算机设备的使用所创建的数据等。此外，存储器20可以包括高速随机存取存储器，还可以包括非瞬时存储器，例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些可选的实施方式中，存储器20可选包括相对于处理器10远程设置的存储器，这些远程存储器可以通过网络连接至该计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
[0187]
存储器20可以包括易失性存储器，例如，随机存取存储器；存储器也可以包括非易失性存储器，例如，快闪存储器，硬盘或固态硬盘；存储器20还可以包括上述种类的存储器
的组合。
[0188]
该计算机设备还包括输入装置30和输出装置40。处理器10、存储器20、输入装置30和输出装置40可以通过总线或者其他方式连接，图7中以通过总线连接为例。
[0189]
输入装置30可接收输入的数字或字符信息，以及产生与该计算机设备的用户设置以及功能控制有关的键信号输入，例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等。输出装置40可以包括显示设备、辅助照明装置(例如，led)和触觉反馈装置(例如，振动电机)等。上述显示设备包括但不限于液晶显示器，发光二极管，显示器和等离子体显示器。在一些可选的实施方式中，显示设备可以是触摸屏。
[0190]
本发明实施例还提供了一种计算机可读存储介质，上述根据本发明实施例提供的方法可在硬件、固件中实现，或者被实现为可记录在存储介质，或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码，从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中，存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等；进一步地，存储介质还可以包括上述种类的存储器的组合。可以理解，计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件，当软件或计算机代码被计算机、处理器或硬件访问且执行时，实现上述实施例示出的方法。
[0191]
虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。

技术特征：
1.一种云平台登录方法，其特征在于，所述方法包括：响应接收到用户发送的授权登录请求，获取所述用户当前登录的当前环境信息；基于所述当前环境信息，对所述用户的当前登录环境进行安全检测，确定当前登录风险系数；若所述当前登录风险系数大于指定系数阈值，则基于所述当前登录风险系数，从多个待执行的身份认证方式中确定目标认证方式；若所述用户通过所述目标认证方式对应的身份认证，则对所述用户进行授权码认证，得到认证结果；若所述认证结果为通过，则向所述用户发送访问令牌，以使所述用户通过所述访问令牌登录所述云平台。2.根据权利要求1所述的方法，其特征在于，所述基于所述当前环境信息，对所述用户的当前登录环境进行安全检测，确定当前登录风险系数，包括：基于所述用户的历史登录日志数据，确定所述用户的惯用登录环境信息；基于所述当前环境信息与所述惯用登录环境信息之间的比较结果，对所述用户的当前登录环境进行安全检测，确定当前登录风险系数。3.根据权利要求2所述的方法，其特征在于，所述当前环境信息包括：当前登录时间、当前登录区域、当前互联网协议地址以及所述用户当前登录使用的当前设备型号；所述惯用登录环境信息包括：惯用登录时段、历史登录区域、历史互联网协议地址、历史设备型号以及历史登录方式；所述基于所述当前环境信息与所述惯用登录环境信息之间的比较结果，对所述用户的当前登录环境进行安全检测，确定当前登录风险系数，包括：基于所述当前登录时间与所述惯用登录时段之间的第一对比结果，确定第一检测值；分别确定所述当前登录区域与所述历史登录区域之间的第二对比结果，以及确定所述当前互联网协议地址与所述历史互联网协议地址之间的第三对比结果；根据所述第二对比结果和所述第三对比结果，确定第二检测值；基于所述当前设备型号与所述历史设备型号之间的第四对比结果，确定第三检测值；基于所述历史登录方式与目标登录方式之间的第五对比结果，确定第四检测值；将所述第一检测值、所述第二检测值、所述第三检测值和所述第四检测输入预置的安全风险模型，以对所述用户的当前登录环境进行安全检测，并将所述安全风险模型的输出结果作为所述当前登录风险系数。4.根据权利要求1至3中任一项所述的方法，其特征在于，所述基于所述当前登录风险系数，从多个待执行的身份认证方式中确定目标认证方式，包括：将所述当前登录风险系数与预置的多个登录风险系数区间进行匹配，确定目标登录风险系数区间，其中，所述目标登录风险系数区间为所述多个登录风险系数区间中包括所述当前登录风险系数的登录风险系数区间，不同登录风险系数区间对应不同身份认证方式；将所述目标登录风险系数区间对应的身份认证方式确定为目标认证方式。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：若所述当前登录风险系数小于或者等于所述指定系数阈值，则禁止所述用户登录。
6.根据权利要求1所述的方法，其特征在于，所述授权登录请求包括：待资源访问的第一网域名称转址、目标加密方式以及目标交换码参数；所述对所述用户进行授权码认证，得到认证结果，包括：向所述用户发送所述第一网域名称转址对应的第一授权码；接收所述用户发送的令牌访问请求，所述令牌访问请求包括：第二授权码、随机校验字符串以及待资源访问的第一网域名称转址；对所述随机校验字符串采用所述目标加密方式进行加密处理，生成本次交换码参数；若所述本次交换码参数与所述目标交换码参数相同，且所述第二授权码与所述第一授权码相同，则判定所述认证结果为通过；若所述本次交换码参数与所述目标交换码参数不同，和/或所述第二授权码与所述第一授权码不同，则判定所述认证结果为未通过。7.根据权利要求1所述的方法，其特征在于，所述方法还包括：响应接收到所述用户通过所述访问令牌发送的资源访问请求，确定所述用户待资源访问的目标资源；获取所述用户的用户信息；基于预置的权限管理配置文件和所述用户信息，确定所述用户对应的资源访问权限；若所述用户对应的资源访问权限能够访问所述目标资源，则允许所述用户登录所述云平台；若所述用户对应的资源访问权限不能访问所述目标资源，则拒绝所述用户登录所述云平台。8.根据权利要求7所述的方法，其特征在于，所述方法还包括：若所述用户登录所述云平台成功，则保存所述当前登录风险系数。9.根据权利要求7或8所述的方法，其特征在于，所述方法还包括：将所述当前环境信息存入所述用户的历史登录日志数据中，以更新所述历史登录日志数据。10.一种云平台登录装置，其特征在于，所述装置包括：获取模块，用于响应接收到用户发送的授权登录请求，获取所述用户当前登录的当前环境信息；环境监测模块，用于基于所述当前环境信息，对所述用户的当前登录环境进行安全检测，确定当前登录风险系数；筛选模块，用于若所述当前登录风险系数大于指定系数阈值，则基于所述当前登录风险系数，从多个待执行的身份认证方式中确定目标认证方式；第一认证执行模块，用于若所述用户通过所述目标认证方式对应的身份认证，则对所述用户进行授权码认证，得到认证结果；发送模块，用于若所述认证结果为通过，则向所述用户发送访问令牌，以使所述用户通过所述访问令牌登录所述云平台。11.一种计算机设备，其特征在于，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有
计算机指令，所述处理器通过执行所述计算机指令，从而执行权利要求1至9中任一项所述的云平台登录方法。12.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机指令，所述计算机指令用于使计算机执行权利要求1至9中任一项所述的云平台登录方法。

技术总结
本发明涉及云平台管理技术领域，公开了云平台登录方法、装置、计算机设备及存储介质。云平台登录方法包括：响应接收到用户发送的授权登录请求，获取用户当前登录的当前环境信息；基于当前环境信息，对用户的当前登录环境进行安全检测，确定当前登录风险系数；若当前登录风险系数大于指定系数阈值，则基于当前登录风险系数，从多个待执行的身份认证方式中确定目标认证方式；若用户通过目标认证方式对应的身份认证，则对用户进行授权码认证，得到认证结果；若认证结果为通过，则向用户发送访问令牌，以使用户通过访问令牌登录云平台。将登录环境检测与授权码认证相结合，能够有效避免授权码被非法泄露的情况发生，从而有利于保护用户的账号安全。账号安全。账号安全。


技术研发人员：牛少杰
受保护的技术使用者：济南浪潮数据技术有限公司
技术研发日：2023.07.24
技术公布日：2023/9/20