CN111526143A - 一种crm系统防越权的实现方法及其装置和存储介质 - Google Patents

一种crm系统防越权的实现方法及其装置和存储介质 Download PDF

Info

Publication number
CN111526143A
CN111526143A CN202010317165.7A CN202010317165A CN111526143A CN 111526143 A CN111526143 A CN 111526143A CN 202010317165 A CN202010317165 A CN 202010317165A CN 111526143 A CN111526143 A CN 111526143A
Authority
CN
China
Prior art keywords
service
called
module
configuration table
crm system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010317165.7A
Other languages
English (en)
Other versions
CN111526143B (zh
Inventor
陈大民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Si Tech Information Technology Co Ltd
Original Assignee
Beijing Si Tech Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Si Tech Information Technology Co Ltd filed Critical Beijing Si Tech Information Technology Co Ltd
Priority to CN202010317165.7A priority Critical patent/CN111526143B/zh
Publication of CN111526143A publication Critical patent/CN111526143A/zh
Application granted granted Critical
Publication of CN111526143B publication Critical patent/CN111526143B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/18Delegation of network management function, e.g. customer network management [CNM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5061Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the interaction between service providers and their network customers, e.g. customer relationship management
    • H04L41/5064Customer relationship management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种CRM系统防越权的实现方法及其装置和存储介质,获取CRM系统中待调用服务的服务名称,根据服务名称获取待调用服务对应的服务配置表;根据服务配置表获取待调用服务对应的授权模块代码集,根据授权模块代码集判断操作工号是否具有模块权限,若是,再根据服务配置表判断待调用服务是否具有身份认证防绕行标识,若是,则获取待调用服务对应的用户号码,判断用户号码是否通过身份认证,若是,则调用待调用服务,若否,则不允许调用待调用服务。本发明对CRM系统进行了双重安全加固,避免了无功能模块权限的服务被非法调用,避免了绕过客户身份认证进行非法办理业务,防止越权非法访问,大大提升了CRM系统的安全性。

Description

一种CRM系统防越权的实现方法及其装置和存储介质
技术领域
本发明涉及CRM业务办理技术领域,尤其涉及一种CRM系统防越权的实现方法及其装置和存储介质。
背景技术
在电信/移动/联通行业中,CRM系统(即客户关系管理系统)为国内比较复杂的IT支撑系统,因此CRM系统对于权限的管理要求很高,其中,比较常见的绕过权限管理功能的有:模块权限越权和用户身份认证越权。
模块权限越权是指,每个CRM系统的工号都有对应的模块功能集,工号只能访问自己权限集合中的功能模块,低权限的工号不能访问高权限工号的模块。该问题在常规的系统中都已经得到很好的解决,但是可以引申更为严重的问题,假设低权限工号A不具备查询客户资料的功能,查询客户资料为某高级权限模块b的一个查询服务s返回的信息,黑客人员可以通过A工号登录系统,再抓取服务s的服务名,传入对应的参数,就可以非法获取客户资料。因此,对于模块权限的防越权管理不仅仅需要管理到模块级别,更需要深入管控到每一个服务才能防止系统信息非法泄露。
用户身份认证越权是指,在CRM系统中,操作员为客户办理业务,必须通过客户的身份认证,一般认证方式为用户的密码、随机短信验证码、身份证件或者用户手机通话记录等信息,只有身份认证通过之后,才能继续办理后续的业务。还是以客户资料信息查询为例,假设必须通过客户身份认证才能查询客户的资料信息,然而当黑客具有查询客户资料信息的权限,不用通过用户身份认证,可以直接调用客户资料信息查询服务非法获取客户资料信息。因为对于B/S结构(即Browser/Server架构,浏览器/服务器架构)的CRM系统,目前存在很多工具都可以拦截上行请求和下行报文,可以修改服务端给客户端返回的值,例如:在客户身份认证中,使用短信随机码验证,但是随机码验证失败,修改服务端返回的信息,把失败修改为成功,在返回给客户端,客户端会认为验证通过。因此,对于用户身份认证的防越权管理,必须增加防绕行校验,避免服务调用未通过用户身份认证而造成系统数据泄露及业务的越权办理。
发明内容
本发明所要解决的技术问题是针对上述现有技术的不足,提供一种CRM系统防越权的实现方法及其装置和存储介质,解决了现有技术中工号无服务执行权限以及服务调用未通过用户身份认证的越权问题,保证CRM系统数据的安全性,防止越权非法访问。
本发明解决上述技术问题的技术方案如下:
一种CRM系统防越权的实现方法,包括以下步骤:
步骤1:获取CRM系统中待调用服务的服务名称,根据所述服务名称获取所述待调用服务对应的服务配置表;
步骤2:根据所述服务配置表获取所述待调用服务对应的授权模块代码集,根据所述授权模块代码集判断调用所述待调用服务的操作工号是否具有模块权限,若是,则执行步骤3,若否,则结束防越权验证并不允许调用所述待调用服务;
步骤3:根据所述服务配置表判断所述待调用服务是否具有身份认证防绕行标识,若是,则执行步骤4,若否,则结束防越权验证并不允许调用所述待调用服务;
步骤4:获取所述待调用服务对应的用户号码,判断所述用户号码是否通过身份认证,若是,则调用所述待调用服务,若否,则结束防越权验证并不允许调用所述待调用服务。
本发明的有益效果是:在电信或移动或联通CRM系统中,通过将待调用服务的防越权规则(即包括授权模块代码集和身份认证防绕行标识等)配置在服务配置表中,一方面配置了待调用服务的归属模块集合,即对于该待调用服务,当前台在调用时,只有有权限的操作工号才能调用该待调用服务,无权限侧工号不能调用;另一方面还实现了用户号码的身份认证,在操作工号具有模块权限时,只有身份认证通过的用户号码才能由操作工号进行该用户号码对应的待调用服务;
本发明的CRM系统防越权的实现方法,当客服或第三方用户通过操作工号在调用待调用服务时,通过防越权规则的校验(即包括授权模块代码集的校验和身份认证防绕行标识的校验等),解决了现有技术中工号无服务执行权限以及服务调用未通过用户身份认证的越权问题,对CRM系统进行了双重安全加固,避免了无功能模块权限的服务被非法调用,避免了绕过客户身份认证进行非法办理业务,防止越权非法访问,大大提升了CRM系统的安全性。
在上述技术方案的基础上,本发明还有如下改进:
进一步:在所述步骤1之前还包括以下步骤:
步骤0:预先配置服务网关配置表和所述服务配置表;
其中,所述服务网关配置表和所述服务配置表中均包括所述服务名称,且所述服务网关配置表与所述服务配置表通过所述服务名称关联;
所述服务网关配置表中还包括服务网关ID,所述服务配置表中还包括所述授权模块代码集。
上述进一步技术方案的有益效果是:通过预先配置的服务网关配置表,便于后续关联到待调用服务对应的服务配置表,通过预先配置的服务配置表,便于获取其中的授权模块代码集和身份认证防绕行标识,便于对操作工号的模块权限进行验证以及对用户号码的身份认证,进而提高CRM系统的安全性。
进一步:所述步骤1具体包括:
步骤11:获取所述操作工号在调用所述待调用服务时的所述服务网关ID,根据所述服务网关ID查询所述服务网关配置表中所述待调用服务对应的所述服务名称;
步骤12:根据所述服务名称获取所述待调用服务对应的服务配置表。
上述进一步技术方案的有益效果是:客服或第三方在通过操作工号调用待调用服务时,CRM系统会分配一个对应的服务网关ID(即WSGID),通过服务网关ID,便于获取到对应的服务网关配置表以及其中的服务名称,进而便于关联到对应的服务配置表。
进一步:所述步骤2具体包括:
步骤21:根据所述服务配置表获取所述待调用服务对应的所述授权模块代码集,并判断所述授权模块代码集是否为预设的公共服务模块代码集,若是,则判定所述操作工号具有模块权限,并执行所述步骤3;若否,则执行步骤22;
步骤22:获取所述操作工号在调用所述待调用服务时的入参报文,根据所述入参报文获取所述待调用服务的模块代码;
步骤23:将所述模块代码与所述授权模块代码集中的每个授权模块代码进行对比,若所述授权模块代码集中存在一个授权模块代码与所述模块代码一致,则判定所述操作工号具有模块权限,并执行所述步骤3;若所有授权模块代码与所述模块代码均不一致,则判定所述操作工号不具有模块权限,结束防越权验证并不允许调用所述待调用服务。
上述进一步技术方案的有益效果是:当预先配置的服务配置表中的授权模块代码集为预设的公共服务模块代码集(例如“9999”),说明该服务为公共服务,即该服务可以被所有功能模块调用,是具有模块权限的;因此首先通过授权模块代码集与公共服务模块代码集的对比,可以简化模块权限的验证过程并提高验证效率;若不为公共服务模块代码集,再通过操作工号在调用服务时的入参报文(即输入参数报文)获取到对应的模块代码,通过模块代码与每个授权模块代码进行对比,只要模块代码与其中一个授权模块代码一致,则该操作工号即具有模块权限的,可以进行后续的身份认证;本发明通过上述验证方法,能准确地对操作工号的模块权限进行验证,避免了无功能模块权限的服务被非法调用,进行非法办理业务,提高CRM系统的安全性。
进一步:所述服务配置表中还包括工号开关标识,则在所述步骤2之前还包括以下步骤:
步骤20:获取所述工号开关标识,根据所述工号开关标识判断所述操作工号是否进行模块权限的验证,若是,则执行所述步骤21,若否,则执行所述步骤3。
上述进一步技术方案的有益效果是:当服务配置表中还包括工号开关标识,通过工号开关标识(例如“K”)可以对操作工号是否进行后续的模块权限的验证进行判断,若该标识表示开启时,则进行后续的模块权限的验证,若该标识表示关闭时,则不进行后续的模块权限的验证,直接进入用户号码的身份认证,通过该工号开关标识,能简化安全性要求较低的CRM系统的安全验证过程,符合多种类型的CRM系统,通用性更强。
进一步:所述服务配置表中还包括用户号码取值路径;
则在所述步骤4中,所述获取所述待调用服务对应的用户号码具体包括:
根据所述用户号码取值路径获取所述待调用服务对应的所述用户号码。
上述进一步技术方案的有益效果是:当根据服务配置表判断待调用服务具有身份认证防绕行标识时,服务配置表中的用户号码取值路径不为空,根据该用户号码取值路径即可获取到对应的用户号码,通过该用户号码取值路径以及身份认证防绕行标识(例如“Y”)便于对用户号码的身份认证进行验证,解决了服务调用未通过用户身份认证的越权问题,实现了对CRM系统进行了双重安全加固,避免了绕过客户身份认证进行非法办理业务,防止越权非法访问,进一步大大提升了CRM系统的安全性。
依据本发明的另一方面,还提供了一种CRM系统防越权的实现装置,包括数据获取模块、第一判断模块、第二判断模块、第三判断模块和服务调用模块;
所述数据获取模块,用于获取CRM系统中待调用服务的服务名称,根据所述服务名称获取所述待调用服务对应的服务配置表;还用于根据所述服务配置表获取所述待调用服务对应的授权模块代码集;
所述第一判断模块,用于根据所述授权模块代码集判断调用所述待调用服务的操作工号是否具有模块权限;
所述第二判断模块,用于当所述第一判断模块判断所述操作工号具有模块权限时,根据所述服务配置表判断所述待调用服务是否具有身份认证防绕行标识;
所述数据获取模块,还用于获取所述待调用服务对应的用户号码;
所述第三判断模块,用于判断所述用户号码是否通过身份认证;
所述服务调用模块,用于当所述第三判断模块判断所述用户号码通过身份认证时,调用所述待调用服务。
本发明的有益效果是:当客服或第三方用户通过操作工号在调用待调用服务时,通过第一判断模块、第二判断模块和第三判断模块对防越权规则的校验(即包括授权模块代码集的校验和身份认证防绕行标识的校验等),解决了现有技术中工号无服务执行权限以及服务调用未通过用户身份认证的越权问题,对CRM系统进行了双重安全加固,避免了无功能模块权限的服务被非法调用,避免了绕过客户身份认证进行非法办理业务,防止越权非法访问,大大提升了CRM系统的安全性。
在上述技术方案的基础上,本发明还有如下改进:
进一步:还包括配置模块;
所述配置模块,用于预先配置服务网关配置表和所述服务配置表;
其中,所述服务网关配置表和所述服务配置表中均包括所述服务名称,且所述服务网关配置表与所述服务配置表通过所述服务名称关联;
所述服务网关配置表中还包括服务网关ID,所述服务配置表中还包括所述授权模块代码集。
进一步:所述数据获取模块具体用于:
获取所述操作工号在调用所述待调用服务时的所述服务网关ID,根据所述服务网关ID查询所述服务网关配置表中所述待调用服务对应的所述服务名称;
根据所述服务名称获取所述待调用服务对应的服务配置表。
进一步:所述第一判断模块具体用于:
判断所述授权模块代码集是否为预设的公共服务模块代码集,若是,则判定所述操作工号具有模块权限;
获取所述操作工号在调用所述待调用服务时的入参报文,根据所述入参报文获取所述待调用服务的模块代码;
将所述模块代码与所述授权模块代码集中的每个授权模块代码进行对比,若所述授权模块代码集中存在一个授权模块代码与所述模块代码一致,则判定所述操作工号具有模块权限;若所有授权模块代码与所述模块代码均不一致,则判定所述操作工号不具有模块权限,结束防越权验证并不允许调用所述待调用服务。
进一步:所述服务配置表中还包括工号开关标识,则:
所述数据获取模块,还具体用于获取所述工号开关标识;
所述第一判断模块,还具体用于根据所述工号开关标识判断所述操作工号是否进行模块权限的验证。
进一步:所述服务配置表中还包括用户号码取值路径;
则所述数据获取模块还具体用于:
根据所述用户号码取值路径获取所述待调用服务对应的所述用户号码。
依据本发明的另一方面,提供了一种CRM系统防越权的实现装置,包括处理器、存储器和存储在所述存储器中且可运行在所述处理器上的计算机程序,所述计算机程序运行时实现本发明的一种CRM系统防越权的实现方法中的步骤。
本发明的有益效果是:通过存储在存储器上的计算机程序,并运行在处理器上,实现本发明的CRM系统的防越权,解决了现有技术中工号无服务执行权限以及服务调用未通过用户身份认证的越权问题,对CRM系统进行了双重安全加固,避免了无功能模块权限的服务被非法调用,避免了绕过客户身份认证进行非法办理业务,防止越权非法访问,大大提升了CRM系统的安全性。
依据本发明的另一方面,提供了一种计算机存储介质,所述计算机存储介质包括:至少一个指令,在所述指令被执行时实现本发明的一种CRM系统防越权的实现方法中的步骤。
本发明的有益效果是:通过执行包含至少一个指令的计算机存储介质,实现本发明的CRM系统的防越权,解决了现有技术中工号无服务执行权限以及服务调用未通过用户身份认证的越权问题,对CRM系统进行了双重安全加固,避免了无功能模块权限的服务被非法调用,避免了绕过客户身份认证进行非法办理业务,防止越权非法访问,大大提升了CRM系统的安全性。
附图说明
图1为本发明实施例一中一种CRM系统防越权的实现方法的流程示意图;
图2为本发明实施例一中另一种CRM系统防越权的实现方法的流程示意图;
图3为本发明实施例一中获取服务配置表的流程示意图;
图4为本发明实施例一中一种判断操作工号是否具有模块权限的流程示意图;
图5为本发明实施例一中另一种判断操作工号是否具有模块权限的流程示意图;
图6为本发明实施例二中一种CRM系统防越权的实现装置的结构示意图;
图7为本发明实施例二中另一种CRM系统防越权的实现装置的结构示意图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
下面结合附图,对本发明进行说明。
实施例一、如图1所示,一种CRM系统防越权的实现方法,包括以下步骤:
S1:获取CRM系统中待调用服务的服务名称,根据所述服务名称获取所述待调用服务对应的服务配置表;
S2:根据所述服务配置表获取所述待调用服务对应的授权模块代码集,根据所述授权模块代码集判断调用所述待调用服务的操作工号是否具有模块权限,若是,则执行S3,若否,则结束防越权验证并不允许调用所述待调用服务;
S3:根据所述服务配置表判断所述待调用服务是否具有身份认证防绕行标识,若是,则执行S4,若否,则结束防越权验证并不允许调用所述待调用服务;
S4:获取所述待调用服务对应的用户号码,判断所述用户号码是否通过身份认证,若是,则调用所述待调用服务,若否,则结束防越权验证并不允许调用所述待调用服务。
在电信或移动或联通CRM系统中,通过将待调用服务的防越权规则(即包括授权模块代码集和身份认证防绕行标识等)配置在服务配置表中,一方面配置了待调用服务的归属模块集合(即授权模块代码集),即对于该待调用服务,当前台在调用时,只有有权限的操作工号才能调用该待调用服务,无权限侧工号不能调用;另一方面还实现了用户号码的身份认证,在操作工号具有模块权限时,只有身份认证通过的用户号码才能由操作工号进行该用户号码对应的待调用服务;
本实施例的CRM系统防越权的实现方法,当客服或第三方用户通过操作工号在调用待调用服务时,通过防越权规则的校验(即包括授权模块代码集的校验和身份认证防绕行标识的校验等),解决了现有技术中工号无服务执行权限以及服务调用未通过用户身份认证的越权问题,对CRM系统进行了双重安全加固,避免了无功能模块权限的服务被非法调用,避免了绕过客户身份认证进行非法办理业务,防止越权非法访问,大大提升了CRM系统的安全性。
优选地,如图2所示,在S1之前还包括以下步骤:
S0:预先配置服务网关配置表和所述服务配置表;
其中,所述服务网关配置表和所述服务配置表中均包括所述服务名称,且所述服务网关配置表与所述服务配置表通过所述服务名称关联;
所述服务网关配置表中还包括服务网关ID,所述服务配置表中还包括所述授权模块代码集。
通过预先配置的服务网关配置表,便于后续关联到待调用服务对应的服务配置表,通过预先配置的服务配置表,便于获取其中的授权模块代码集和身份认证防绕行标识,便于对操作工号的模块权限进行验证以及对用户号码的身份认证,进而提高CRM系统的安全性。
具体地,本实施例中的服务网关配置表即为WSG配置表,如表1所示,服务配置表如表2所示。
表1本实施例的服务网关配置表
Figure BDA0002459860480000111
表2本实施例的服务配置表
Figure BDA0002459860480000112
Figure BDA0002459860480000121
其中,表1中的SVC_ID所表示的WSGID即为本实施例所述的服务网关ID,表1和表2中的SVC_NAME所表示的ESB服务名称即为本实施例所述的服务名称,且表1通过SVC_NAME与表2进行关联,表2中的OP_CODE所表示的授权模块代码集即为本实施例所述的授权模块代码集,表2中的PASS_FLAG所表示的身份认证防绕行标识即为本实施例所述的身份认证防绕行标识。
优选地,如图3所示,S1具体包括:
S11:获取所述操作工号在调用所述待调用服务时的所述服务网关ID,根据所述服务网关ID查询所述服务网关配置表中所述待调用服务对应的所述服务名称;
S12:根据所述服务名称获取所述待调用服务对应的服务配置表。
客服或第三方在通过操作工号调用待调用服务时,CRM系统会分配一个对应的服务网关ID(即WSGID),通过服务网关ID,便于获取到对应的服务网关配置表以及其中的服务名称,进而便于关联到对应的服务配置表。
优选地,如图4所示,S2具体包括:
S21:根据所述服务配置表获取所述待调用服务对应的所述授权模块代码集,并判断所述授权模块代码集是否为预设的公共服务模块代码集,若是,则判定所述操作工号具有模块权限,并执行S3;若否,则执行S22;
S22:获取所述操作工号在调用所述待调用服务时的入参报文,根据所述入参报文获取所述待调用服务的模块代码;
S23:将所述模块代码与所述授权模块代码集中的每个授权模块代码进行对比,若所述授权模块代码集中存在一个授权模块代码与所述模块代码一致,则判定所述操作工号具有模块权限,并执行S3;若所有授权模块代码与所述模块代码均不一致,则判定所述操作工号不具有模块权限,结束防越权验证并不允许调用所述待调用服务。
当预先配置的服务配置表中的授权模块代码集为预设的公共服务模块代码集(例如“9999”),说明该服务为公共服务,即该服务可以被所有功能模块调用,是具有模块权限的;因此首先通过授权模块代码集与公共服务模块代码集的对比,可以简化模块权限的验证过程并提高验证效率;若不为公共服务模块代码集,再通过操作工号在调用服务时的入参报文(即输入参数报文)获取到对应的模块代码,通过模块代码与每个授权模块代码进行对比,只要模块代码与其中一个授权模块代码一致,则该操作工号即具有模块权限的,可以进行后续的身份认证;本实施例通过上述验证方法,能准确地对操作工号的模块权限进行验证,避免了无功能模块权限的服务被非法调用,进行非法办理业务,提高CRM系统的安全性。
具体地,本实施例中的公共服务模块代码集设为“9999”,若表2中的OP_CODE为“9999”,则标识待调用服务为公共服务,具有模块权限;若表2中的OP_CODE不为“9999”,则从操作工号在调用待调用服务时的入参报文AUTHEN_INFO.AUTHEN_OP_CODE取authen_op_code模块代码,检查authen_op_code模块代码是否在表2中的授权模块代码集OP_CODE中,即若表2中的授权模块代码集OP_CODE中存在一个授权模块代码与authen_op_code模块代码一致,则表示操作工号具备一个功能模块的模块权限,则可以进行后续的用户号码身份认证,否则不允许调用服务。
优选地,如图5所示,所述服务配置表中还包括工号开关标识,则在S2之前还包括以下步骤:
S20:获取所述工号开关标识,根据所述工号开关标识判断所述操作工号是否进行模块权限的验证,若是,则执行S21,若否,则执行S3。
当服务配置表中还包括工号开关标识,通过工号开关标识(例如“K”)可以对操作工号是否进行后续的模块权限的验证进行判断,若该标识表示开启时,则进行后续的模块权限的验证,若该标识表示关闭时,则不进行后续的模块权限的验证,直接进入用户号码的身份认证,通过该工号开关标识,能简化安全性要求较低的CRM系统的安全验证过程,符合多种类型的CRM系统,通用性更强。
优选地,所述服务配置表中还包括用户号码取值路径;
则在S4中,所述获取所述待调用服务对应的用户号码具体包括:
根据所述用户号码取值路径获取所述待调用服务对应的所述用户号码。
当根据服务配置表判断待调用服务具有身份认证防绕行标识时,服务配置表中的用户号码取值路径不为空,根据该用户号码取值路径即可获取到对应的用户号码,通过该用户号码取值路径以及身份认证防绕行标识(例如“Y”)便于对用户号码的身份认证进行验证,解决了服务调用未通过用户身份认证的越权问题,实现了对CRM系统进行了双重安全加固,避免了绕过客户身份认证进行非法办理业务,防止越权非法访问,进一步大大提升了CRM系统的安全性。
具体地,本实施例中身份认证防绕行标识设置为“Y”,当服务配置表中包含身份认证防绕行标识,即表2中的PASS_FLAG为“Y”时,即进行后续用户号码的身份认证,否则未进行用户号码的身份认证,不允许调用服务;并且,当PASS_FLAG为“Y”时,此时的用户号码取值路径PASS_PHONE_PATH不为空,可以根据该路径取出用户号码,对用户号码进行身份认证,若通过,则说明可以进行该用户号码的服务调用,对该用户号码进行业务办理,否则不允许调用服务。
实施例二、如图6所示,一种CRM系统防越权的实现装置,包括数据获取模块、第一判断模块、第二判断模块、第三判断模块和服务调用模块;
所述数据获取模块,用于获取CRM系统中待调用服务的服务名称,根据所述服务名称获取所述待调用服务对应的服务配置表;还用于根据所述服务配置表获取所述待调用服务对应的授权模块代码集;
所述第一判断模块,用于根据所述授权模块代码集判断调用所述待调用服务的操作工号是否具有模块权限;
所述第二判断模块,用于当所述第一判断模块判断所述操作工号具有模块权限时,根据所述服务配置表判断所述待调用服务是否具有身份认证防绕行标识;
所述数据获取模块,还用于获取所述待调用服务对应的用户号码;
所述第三判断模块,用于判断所述用户号码是否通过身份认证;
所述服务调用模块,用于当所述第三判断模块判断所述用户号码通过身份认证时,调用所述待调用服务。
当客服或第三方用户通过操作工号在调用待调用服务时,通过第一判断模块、第二判断模块和第三判断模块对防越权规则的校验(即包括授权模块代码集的校验和身份认证防绕行标识的校验等),解决了现有技术中工号无服务执行权限以及服务调用未通过用户身份认证的越权问题,对CRM系统进行了双重安全加固,避免了无功能模块权限的服务被非法调用,避免了绕过客户身份认证进行非法办理业务,防止越权非法访问,大大提升了CRM系统的安全性。
优选地,如图7所示,还包括配置模块;
所述配置模块,用于预先配置服务网关配置表和所述服务配置表;
其中,所述服务网关配置表和所述服务配置表中均包括所述服务名称,且所述服务网关配置表与所述服务配置表通过所述服务名称关联;
所述服务网关配置表中还包括服务网关ID,所述服务配置表中还包括所述授权模块代码集。
通过配置模块预先配置的服务网关配置表,便于后续关联到待调用服务对应的服务配置表,通过配置模块预先配置的服务配置表,便于获取其中的授权模块代码集和身份认证防绕行标识,便于对操作工号的模块权限进行验证以及对用户号码的身份认证,进而提高CRM系统的安全性。
优选地,所述数据获取模块具体用于:
获取所述操作工号在调用所述待调用服务时的所述服务网关ID,根据所述服务网关ID查询所述服务网关配置表中所述待调用服务对应的所述服务名称;
根据所述服务名称获取所述待调用服务对应的服务配置表。
通过上述数据获取模块,便于获取到对应的服务网关配置表以及其中的服务名称,进而便于关联到对应的服务配置表。
优选地,所述第一判断模块具体用于:
判断所述授权模块代码集是否为预设的公共服务模块代码集,若是,则判定所述操作工号具有模块权限;
获取所述操作工号在调用所述待调用服务时的入参报文,根据所述入参报文获取所述待调用服务的模块代码;
将所述模块代码与所述授权模块代码集中的每个授权模块代码进行对比,若所述授权模块代码集中存在一个授权模块代码与所述模块代码一致,则判定所述操作工号具有模块权限;若所有授权模块代码与所述模块代码均不一致,则判定所述操作工号不具有模块权限,结束防越权验证并不允许调用所述待调用服务。
上述第一判断模块首先通过授权模块代码集与公共服务模块代码集的对比,可以简化模块权限的验证过程并提高验证效率;若不为公共服务模块代码集,再通过操作工号在调用服务时的入参报文(即输入参数报文)获取到对应的模块代码,通过模块代码与每个授权模块代码进行对比,只要模块代码与其中一个授权模块代码一致,则该操作工号即具有模块权限的,可以进行后续的身份认证;本实施例通过上述第一判断模块,能准确地对操作工号的模块权限进行验证,避免了无功能模块权限的服务被非法调用,进行非法办理业务,提高CRM系统的安全性。
优选地,所述服务配置表中还包括工号开关标识,则:
所述数据获取模块,还具体用于获取所述工号开关标识;
所述第一判断模块,还具体用于根据所述工号开关标识判断所述操作工号是否进行模块权限的验证。
通过上述数据获取模块所获取的工号开关标识,能简化安全性要求较低的CRM系统的安全验证过程,符合多种类型的CRM系统,通用性更强。
优选地,所述服务配置表中还包括用户号码取值路径;
则所述数据获取模块还具体用于:
根据所述用户号码取值路径获取所述待调用服务对应的所述用户号码。
通过上述数据获取模块获取的用户号码,便于对用户号码的身份认证进行验证,解决了服务调用未通过用户身份认证的越权问题,实现了对CRM系统进行了双重安全加固,避免了绕过客户身份认证进行非法办理业务,防止越权非法访问,进一步大大提升了CRM系统的安全性。
实施例三、基于实施例一和实施例二,本实施例还公开了一种CRM系统防越权的实现装置,包括处理器、存储器和存储在所述存储器中且可运行在所述处理器上的计算机程序,所述计算机程序运行时实现如图1所示的S1至S4的具体步骤。
通过存储在存储器上的计算机程序,并运行在处理器上,实现本发明的CRM系统的防越权,解决了现有技术中工号无服务执行权限以及服务调用未通过用户身份认证的越权问题,对CRM系统进行了双重安全加固,避免了无功能模块权限的服务被非法调用,避免了绕过客户身份认证进行非法办理业务,防止越权非法访问,大大提升了CRM系统的安全性。
本实施例还提供一种计算机存储介质,所述计算机存储介质上存储有至少一个指令,所述指令被执行时实现所述S1至S4的具体步骤。
通过执行包含至少一个指令的计算机存储介质,实现本发明的CRM系统的防越权,解决了现有技术中工号无服务执行权限以及服务调用未通过用户身份认证的越权问题,对CRM系统进行了双重安全加固,避免了无功能模块权限的服务被非法调用,避免了绕过客户身份认证进行非法办理业务,防止越权非法访问,大大提升了CRM系统的安全性。
本实施例中S1至S4的未尽细节,详见实施例一以及图1至图5的具体描述内容,此处不再赘述。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种CRM系统防越权的实现方法,其特征在于,包括以下步骤:
步骤1:获取CRM系统中待调用服务的服务名称,根据所述服务名称获取所述待调用服务对应的服务配置表;
步骤2:根据所述服务配置表获取所述待调用服务对应的授权模块代码集,根据所述授权模块代码集判断调用所述待调用服务的操作工号是否具有模块权限,若是,则执行步骤3,若否,则结束防越权验证并不允许调用所述待调用服务;
步骤3:根据所述服务配置表判断所述待调用服务是否具有身份认证防绕行标识,若是,则执行步骤4,若否,则结束防越权验证并不允许调用所述待调用服务;
步骤4:获取所述待调用服务对应的用户号码,判断所述用户号码是否通过身份认证,若是,则调用所述待调用服务,若否,则结束防越权验证并不允许调用所述待调用服务。
2.根据权利要求1所述的CRM系统防越权的实现方法,其特征在于,在所述步骤1之前还包括以下步骤:
步骤0:预先配置服务网关配置表和所述服务配置表;
其中,所述服务网关配置表和所述服务配置表中均包括所述服务名称,且所述服务网关配置表与所述服务配置表通过所述服务名称关联;
所述服务网关配置表中还包括服务网关ID,所述服务配置表中还包括所述授权模块代码集。
3.根据权利要求2所述的CRM系统防越权的实现方法,其特征在于,所述步骤1具体包括:
步骤11:获取所述操作工号在调用所述待调用服务时的所述服务网关ID,根据所述服务网关ID查询所述服务网关配置表中所述待调用服务对应的所述服务名称;
步骤12:根据所述服务名称获取所述待调用服务对应的服务配置表。
4.根据权利要求3所述的CRM系统防越权的实现方法,其特征在于,所述步骤2具体包括:
步骤21:根据所述服务配置表获取所述待调用服务对应的所述授权模块代码集,并判断所述授权模块代码集是否为预设的公共服务模块代码集,若是,则判定所述操作工号具有模块权限,并执行所述步骤3;若否,则执行步骤22;
步骤22:获取所述操作工号在调用所述待调用服务时的入参报文,根据所述入参报文获取所述待调用服务的模块代码;
步骤23:将所述模块代码与所述授权模块代码集中的每个授权模块代码进行对比,若所述授权模块代码集中存在一个授权模块代码与所述模块代码一致,则判定所述操作工号具有模块权限,并执行所述步骤3;若所有授权模块代码与所述模块代码均不一致,则判定所述操作工号不具有模块权限,结束防越权验证并不允许调用所述待调用服务。
5.根据权利要求4所述的CRM系统防越权的实现方法,其特征在于,所述服务配置表中还包括工号开关标识,则在所述步骤2之前还包括以下步骤:
步骤20:获取所述工号开关标识,根据所述工号开关标识判断所述操作工号是否进行模块权限的验证,若是,则执行所述步骤21,若否,则执行所述步骤3。
6.根据权利要求2所述的CRM系统防越权的实现方法,其特征在于,所述服务配置表中还包括用户号码取值路径;
则在所述步骤4中,所述获取所述待调用服务对应的用户号码具体包括:
根据所述用户号码取值路径获取所述待调用服务对应的所述用户号码。
7.一种CRM系统防越权的实现装置,其特征在于,包括数据获取模块、第一判断模块、第二判断模块、第三判断模块和服务调用模块;
所述数据获取模块,用于获取CRM系统中待调用服务的服务名称,根据所述服务名称获取所述待调用服务对应的服务配置表;还用于根据所述服务配置表获取所述待调用服务对应的授权模块代码集;
所述第一判断模块,用于根据所述授权模块代码集判断调用所述待调用服务的操作工号是否具有模块权限;
所述第二判断模块,用于当所述第一判断模块判断所述操作工号具有模块权限时,根据所述服务配置表判断所述待调用服务是否具有身份认证防绕行标识;
所述数据获取模块,还用于获取所述待调用服务对应的用户号码;
所述第三判断模块,用于判断所述用户号码是否通过身份认证;
所述服务调用模块,用于当所述第三判断模块判断所述用户号码通过身份认证时,调用所述待调用服务。
8.根据权利要求7所述的CRM系统防越权的实现装置,其特征在于,还包括配置模块;
所述配置模块,用于预先配置服务网关配置表和所述服务配置表;
其中,所述服务网关配置表和所述服务配置表中均包括所述服务名称,且所述服务网关配置表与所述服务配置表通过所述服务名称关联;
所述服务网关配置表中还包括服务网关ID,所述服务配置表中还包括所述授权模块代码集。
9.一种CRM系统防越权的实现装置,其特征在于,包括处理器、存储器和存储在所述存储器中且可运行在所述处理器上的计算机程序,所述计算机程序运行时实现如权利要求1至6任一项权利要求所述的方法步骤。
10.一种计算机存储介质,其特征在于,所述计算机存储介质包括:至少一个指令,在所述指令被执行时实现如权利要求1至6任一项所述的方法步骤。
CN202010317165.7A 2020-04-21 2020-04-21 一种crm系统防越权的实现方法及其装置和存储介质 Active CN111526143B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010317165.7A CN111526143B (zh) 2020-04-21 2020-04-21 一种crm系统防越权的实现方法及其装置和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010317165.7A CN111526143B (zh) 2020-04-21 2020-04-21 一种crm系统防越权的实现方法及其装置和存储介质

Publications (2)

Publication Number Publication Date
CN111526143A true CN111526143A (zh) 2020-08-11
CN111526143B CN111526143B (zh) 2022-04-19

Family

ID=71904212

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010317165.7A Active CN111526143B (zh) 2020-04-21 2020-04-21 一种crm系统防越权的实现方法及其装置和存储介质

Country Status (1)

Country Link
CN (1) CN111526143B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112699367A (zh) * 2021-01-14 2021-04-23 南京林洋电力科技有限公司 一种基于双硬件安全模块的安全认证方法
CN114548904A (zh) * 2022-01-17 2022-05-27 北京思特奇信息技术股份有限公司 一种在用户知情下的crm业务办理方法及系统
CN116346488A (zh) * 2023-04-13 2023-06-27 贝壳找房(北京)科技有限公司 一种越权访问的检测方法、装置及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080184258A1 (en) * 2007-01-30 2008-07-31 Keisuke Toyama Data processing system
CN105528556A (zh) * 2015-12-03 2016-04-27 中国人民解放军信息工程大学 一种混合的SQLite3安全访问方法
CN107342992A (zh) * 2017-06-27 2017-11-10 努比亚技术有限公司 一种系统权限管理方法、装置及计算机可读存储介质
CN107528853A (zh) * 2017-09-12 2017-12-29 上海艾融软件股份有限公司 微服务权限控制的实现方法
CN108334758A (zh) * 2017-01-20 2018-07-27 中国移动通信集团山西有限公司 一种用户越权行为的检测方法、装置及设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080184258A1 (en) * 2007-01-30 2008-07-31 Keisuke Toyama Data processing system
CN105528556A (zh) * 2015-12-03 2016-04-27 中国人民解放军信息工程大学 一种混合的SQLite3安全访问方法
CN108334758A (zh) * 2017-01-20 2018-07-27 中国移动通信集团山西有限公司 一种用户越权行为的检测方法、装置及设备
CN107342992A (zh) * 2017-06-27 2017-11-10 努比亚技术有限公司 一种系统权限管理方法、装置及计算机可读存储介质
CN107528853A (zh) * 2017-09-12 2017-12-29 上海艾融软件股份有限公司 微服务权限控制的实现方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112699367A (zh) * 2021-01-14 2021-04-23 南京林洋电力科技有限公司 一种基于双硬件安全模块的安全认证方法
CN114548904A (zh) * 2022-01-17 2022-05-27 北京思特奇信息技术股份有限公司 一种在用户知情下的crm业务办理方法及系统
CN116346488A (zh) * 2023-04-13 2023-06-27 贝壳找房(北京)科技有限公司 一种越权访问的检测方法、装置及存储介质
CN116346488B (zh) * 2023-04-13 2024-05-17 贝壳找房(北京)科技有限公司 一种越权访问的检测方法及装置

Also Published As

Publication number Publication date
CN111526143B (zh) 2022-04-19

Similar Documents

Publication Publication Date Title
CN111526143B (zh) 一种crm系统防越权的实现方法及其装置和存储介质
CN112165454B (zh) 访问控制方法、装置、网关和控制台
CN112532653B (zh) 一种管理第三方账号的方法及装置
JP2019510316A (ja) アカウントリンキング及びサービス処理提供の方法及びデバイス
CN110795174A (zh) 一种应用程序接口调用方法、装置、设备及可读存储介质
CN113038451A (zh) 机卡绑定方法、装置、通信模组和存储介质
CN114173341A (zh) 一种一键安全登录的方法、系统及第三方平台
EP3407241B1 (en) User authentication and authorization system for a mobile application
CN104009850A (zh) 一种用户身份认证方法及系统
CN110516427B (zh) 终端用户的身份验证方法、装置、存储介质及计算机设备
CN111581616A (zh) 一种多端登录控制的方法及装置
CN116155538A (zh) 隐私保护方法、装置、电子设备及计算机存储介质
CN109088854B (zh) 共享应用的访问方法、装置及可读存储介质
CN113127845A (zh) 应用权限的验证方法、装置、设备和存储介质
CN112905984A (zh) 权限控制方法、装置及电子设备
CN111709803A (zh) 一种防止越权办理业务的方法和系统
CN114579951A (zh) 业务访问方法、电子设备及存储介质
CN107809758B (zh) 一种sim卡信息保护方法及装置
CN111444483A (zh) 一种鉴权方法、装置及设备
CN115412916B (zh) 一种基于超级sim卡授权的app认证方法及系统
CN111465004B (zh) 设备激活启用
CN111835701B (zh) 账号管理方法、装置、设备及计算机可读存储介质
CN110535957B (zh) 业务应用平台的数据调取方法及业务应用平台系统
CN115277085B (zh) 一种云计算平台身份认证和权限管理的方法及相关设备
CN113300852B (zh) 服务管理方法及平台、计算机设备及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant