CN112100590A - 一种旅游大数据云平台及其用户权限管理的方法 - Google Patents

Abstract

本申请属于计算机技术领域，具体涉及一种旅游大数据云平台及其用户权限管理的方法，其中该方法包括：接收并拦截浏览器发送的用户访问请求，判断用户是否登录，如果否，则重新定向至用户权限管理系统的统一登录入口；判断用户是否登录成功，如果是，则将用户拥有的角色和所在系统的类别数据与Session绑定，并将Session存储至Redis集群中；将所述Session的ID存储至浏览器的cookie中，并将cookie的domain设置为云平台的一级域名。本申请实施例实现了旅游大数据云平台多个应用系统之间用户的单点登录。

Description

一种旅游大数据云平台及其用户权限管理的方法

技术领域

本申请属于计算机技术领域，尤其涉及一种旅游大数据云平台及其用户权限管理的方法。

背景技术

现有的旅游大数据云平台通常为智慧景区提供一整套解决方案，包含多个应用系统，但系统间相互独立，缺乏统一管理，且独立维护各自的用户权限模块，导致权限数据不共享，权限管理功能复杂且冗余，不利于实现用户在多系统间的单点登录。

发明内容

本申请的目的在于提供一种旅游大数据云平台及其用户权限管理的方法，实现旅游大数据云平台多个应用系统之间用户的单点登录。

第一方面，本申请实施例提供了一种旅游大数据云平台用户权限管理的方法，包括：接收并拦截浏览器发送的用户访问请求，判断用户是否登录，如果否，则重新定向至用户权限管理系统的统一登录入口；判断用户是否登录成功，如果是，则将用户拥有的角色和所在系统的类别数据与Session绑定，并将 Session存储至Redis集群中；将所述Session的ID存储至浏览器的cookie 中，并将cookie的domain设置为云平台的一级域名。

一种可能的实施方式中，每个用户在所述用户权限管理系统中只拥有一个角色。

一种可能的实施方式中，所述用户的角色及权限划分为四个等级，从高到低依次为：开发者、景区管理员、子系统管理员、普通角色，等级较低的角色无法获取等级较高的权限。

一种可能的实施方式中，所述Redis集群采用一主多从的部署模式。

第二方面，本申请实施例还提供了一种旅游大数据云平台，包括用户权限管理系统，该用户权限管理系统具体包括：

拦截单元，用于拦截用户的访问请求，判断用户是否登录，如果否，则重新定向至用户权限管理系统的统一登录入口；

第一处理单元，用于判断用户是否登录成功，如果是，则将用户拥有的角色和所在系统的类别数据与Session绑定，并将Session存储至Redis集群中；

第二处理单元，用于将所述Session的ID存储至浏览器的cookie中，并将cookie的domain设置为云平台的一级域名。

一种可能的实施方式中，每个用户在所述用户权限管理系统中只拥有一个角色。

一种可能的实施方式中，所述用户的角色及权限划分为四个等级，从高到低依次为：开发者、景区管理员、子系统管理员、普通角色，等级较低的角色无法获取等级较高的权限。

一种可能的实施方式中，所述Redis集群采用一主多从的部署模式。

第三方面，本申请实施例还公开了一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面任一项所述的用户权限管理的方法。

第四方面，本申请实施例还公开了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序当被处理器执行时使所述处理器执行如第一方面任一项所述的用户权限管理的方法。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种单点登录系统原理示意图；

图2为本申请实施例提供的一种旅游大数据云平台系统的示意图；

图3为本申请实施例提供的一种用户权限管理办法的流程图；

图4为本申请实施例提供的一种用户权限管理的方法的流程图；

图5为本申请实施例提供的一种单点登录装置的结构框图；

图6为本申请实施例提供的一种电子装置的结构框图；

图7是本申请实施例提供的一种用于实现上述单点登录的方法的计算机可读存储介质。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

单点登录(Single Sign On，SSO)是目前比较流行的企业业务，比如旅游大数据云平台整合的解决方案之一。SSO的定义是在相互信任的多个应用系统或服务中，用户只需要登录一次即可访问所有应用系统或服务。在用户第一次访问一个应用程序、例如服务1时，会被引导到认证系统进行登录操作，认证系统对用户进行身份验证之后，返回给用户一个令牌(token)或票据(ticket) 作为认证凭据，这样，用户再访问其他应用程序、例如服务2的时候，带上这个令牌，服务2在收到来自的用户请求之后，把用户提供的令牌送到认证系统进行验证，检查令牌的合法性。如果通过验证，则用户无需再次登录即可访问服务2或其他服务。

如图1所示，采用身份票据(ticket)的形式。具体而言，用户请求访问 CAS(Central Authentication Service，中央认证服务)客户端即应用系统的服务资源；CAS客户端重定向到CAS服务器，通过CAS服务器对用户的身份进行认证；CAS服务器随机生成一个身份票据ticket传递给CAS客户端；CAS客户端将身份票据ticket传递给CAS服务器进行验证；CAS服务器在验证成功后将认证结果返回至CAS客户端。基于这种方式，若要实现单点退出，可将CAS服务器和应用系统置于同一个域中，当一个应用系统退出时，则会清除同域名下的所有cookie，从而达到统一退出的目的，但是这种方式无法做到跨域的单点退出。若要实现跨域的单点退出，CAS服务器需要记录各个应用系统的注册信息，使得所有接入的子系统都同步退出当前登录会话，但这种方式对于应用系统的改造量较大，需要开放接口给CAS服务器以备通知调用。

如图2所示，图2为本申请实施例实现旅游大数据云平台系统示意图。用户权限管理系统为云平台上所有应用系统的基石，统一管理云平台上所有系统的用户、角色、权限模块，各系统采用同一套Session(会话)管理机制，将Session 存储至Redis(RemoteDictionary Server，远程字典服务)集群中，用以实现云平台上多系统的用户单点登录。

在用户权限管理系统中，创建一张系统表，用以维护云平台上所有应用系统的元信息，包括：系统类别、访问域名、系统图标等，其中，系统类别作为每个应用系统的唯一标识。SQL如下：

CREATE TABLE`system`(

`id`bigint(20)NOT NULL AUTO_INCREMENT COMMENT'主键id',

`num`int(11)NOT NULL COMMENT'系统类别',

`name`varchar(100)NOT NULL COMMENT'系统名称',

`url`varchar(100)NOT NULL COMMENT'系统url',

`logo`varchar(255)DEFAULT NULL COMMENT'系统图标',

PRIMARY KEY(`id`)

)ENGINE＝InnoDB AUTO_INCREMENT＝1DEFAULT CHARSET＝utf8 COMMENT＝'景区系统表'；

为用户权限管理系统中的角色、权限表添加两个字段：系统类别sys_type 及角色/权限等级rank，系统类别用以区分云平台上的不同系统，角色/权限等级用以辅助管理用户权限，具体规则如下：

1、每个用户在用户权限管理系统中只拥有一个角色。

2、将用户的角色及权限划分为4个等级，从高到低依次为：开发者、景区管理员、子系统管理员、普通角色，等级较低的角色无法获取等级较高的权限。

其他系统通过RPC(Remote Procedure Call，远程过程调用)从用户管理系统中获取用户、角色、权限信息，也可通过iframe直接加载用户权限管理系统的角色管理、个人中心页面。

用户权限管理系统为云平台提供统一登录的入口，初次访问云平台的任一系统，均会重定向至该入口。统一登录的URL(uniform resource locator，统一资源定位系统)格式为：https://domain/login/sysType/，其中，domain为用户权限管理系统的域名，/login/{sysType}为登录接口，sysType表示系统类别，由系统表维护，用以区分所访问的系统，分别写在各系统的配置文件中。

云平台上所有系统的访问地址采用相同的一级域名。用户登录成功后，将用户拥有的角色与系统类别等数据与Session绑定，并将Session存储至Redis 集群中(Redis集群采用一主多从的部署模式)，Session ID存储至浏览器Cookie 中，Cookie的domain设置为云平台的一级域名，其他各系统也将Session及 Cookie的配置与用户权限管理系统设置成一致，实现用户在多系统间的单点登录。

为云平台上所有的应用系统添加同一个拦截器，调用接口时判断用户是否登录，若未登录，重定向至用户管理系统的统一登录入口，执行登录逻辑，若已登录，进一步校验用户在当前系统中是否拥有相应的角色，若拥有，允许访问接口，否则，重定向至主页。部署时，将云平台上的用户权限管理系统复制N (例如N＝3)份，利用Nginx做负载均衡，提高系统的高可用，也减轻系统的访问压力。

如3所示，图3为本申请提供的一种旅游大数据云平台用户单点登录的方法流程图。该方法包括步骤S310～S340。

S310、接收并拦截浏览器发送的用户访问请求。

在本实施例中，具体的应用场景为旅游大数据云平台各业务之间通过单点登录系统实现多系统统一登录、登出，同一用户管理，其中，用户：发起请求的用户，如使用Android、IOS、桌面客户端等请求访问；操作用户端(如智能手机、平板电脑等)在线上通过用户端页面操作，浏览器发送用户请求至服务器，其中，所述用户请求包括登录请求和登出请求，所述登录请求是用户请求登录进入公司业务系统，所述登出请求是用户请求从公司业务系统中退出。在服务器接收了所述用户端发送的用户请求之后，SSO客户端拦截器会将所述用户请求拦截以进行下步骤的认证。

S320、判断用户是否登录，如果否，则重新定向至用户权限管理系统的统一登录入口。

在本实施例中，当SSO客户端拦截器拦截所述用户请求之后，会读取所述用户请求，若所述用户请求为登录请求，SSO服务器会对该用户请求进行登录认证，首先SSO客户端会验证所述用户请求中Cookie文件包括的会话ID是否有效，即检查本域Cookie是否携带key为lls_sso_sessionid，其中会话ID的有效值是预先设定以提供SSO客户端进行判断。若判断所述用户请求中Cookie文件包括的会话ID不是有效，验证不通过；若判断所述用户请求中Cookie文件包括的会话ID是有效，验证通过放行。其中，Cookie的域设置为云平台的一级域名，云平台上所有系统的访问地址采用相同的一级域名。

在本实施例中，因为该单点登录系统是通过后端提供restful接口，前端根据后端返回状态码做跳转的形式向认证服务器SSO SERVER请求验证，其中，认证服务器SSOSERVER为认证中心，提供用户登陆、注销以及登陆状态校验等功能，所以若在SSO客户端会验证所述用户请求中Cookie文件包括的会话ID 不是有效的情况下，服务器将与所述用户请求对应的错误发送至浏览器，前端会根据错误码请求认证中心SSO SERVER验证对应用户请求的相同用户在其他域是否已登录。

S330、判断用户是否登录成功，如果是，则将用户拥有的角色和所在系统的类别数据与Session绑定，并将Session存储至Redis集群中。

在本实施例中，返回同一登录界面之后，用户需要填写用户名对应的密码，前端将调用认证服务器登录接口，若登录成功，返回lls_sso_sessionid,前端跳转回当前请求页，回写本域cookie，服务器会接收根据统一登录页面链接所反馈的会话ID，回写本域的会话ID，作为更新后会话ID，根据所述更新后会话 ID作为当前会话ID与所述用户请求对应的目标地址建立连接。其中，所述认证服务器登录接口为SSO Client,Client应用受SSO保护的Client端Web应用，为用户请求提供接口服务。

如图4所示，上述两个步骤中用户是否登录成功系统不同权限下的区分操作。

S340、将所述Session的ID存储至浏览器的cookie中，并将cookie的 domain设置为云平台的一级域名。

云平台上的所有应用系统均采用同一套Session管理方案，访问地址也采用相同的一级域名。由用户权限管理系统为云平台提供统一登录的入口，登录 URL中包含系统类别，用以区分所访问的系统，分别写在各系统的配置文件中。

用户登录成功后，将Session存储至Redis集群中，Redis集群采用一主多从的部署模式，并将Cookie的domain设置为云平台的一级域名，其他各系统也将Session及Cookie的配置与用户权限管理系统保持一致，用以实现用户在多系统间的单点登录。

进一步，将云平台上的用户权限管理系统部署N份(比如N＝3)，利用Nginx 做负载均衡，提高系统的高可用，也减轻系统的访问压力。

如图5所示，本申请实施例还提供了一种旅游大数据云平台，该旅游大数据云平台包括用户权限管理系统，该用户权限管理系统包括：

拦截单元501，用于拦截用户的访问请求，并判断用户是否登录，如果否，则重新定向至用户权限管理系统的统一登录入口。

在本实施例中，当接收到所述用户的用户请求之后，SSO客户端拦截器拦截所述用户请求，若所述用户请求是登录公司系统，SSO客户端拦截器会进行验证，通过判断所述用户请求中会话ID是否有效来验证所述用户请求是否可以通过放行。

本实施例中，若所述用户请求在SSO客户端拦截器会进行验证时，判断所述用户请求中会话ID不是有效，验证不通过，返回前端错误码，将与所述用户请求对应的错误码发送至浏览器。

本实施例中，读取所述获取与所述用户请求对应的相同用户的其他域登录历史信息，进入该单点登录系统中的第二次判断，通过判断所述其他域登录历史信息是否为空来验证所述用户请求对应的相同用户在其他域是否已登录。

本实施例中，在旅游大数据云平台中布置该单点登录系统，要实现多系统统一登录、登出，同一用户管理，发起登录或者登出请求的客户可以使用 Android、IOS、桌面客户端等请求访问，在线上通过用户端页面操作，浏览器发送用户请求至服务器，在人机交互的各种情况中服务器需要实时接收用户请求及用户会话信息。

第一处理单元502，用于判断用户是否登录成功，如果是，则将用户拥有的角色和所在系统的类别数据与Session绑定，并将所述Session存储至Redis 集群中。

第二处理单元503，用于将所述Session的ID存储至浏览器的cookie中，并将cookie的domain设置为云平台的一级域名。

在本实施例中，当认证服务器SSO SEVER验证判断所述其他域登录历史信息为空的时候，即不能获取所述其他域登录历史信息对应的历史会话ID，需要回到统一登录界面进行用户的登录，发送统一登录页面链接至浏览器，前端会根据认证服务器返回错误码跳至统一登录界面。

在本实施例中，在统一登录界面中用户填写正确的登录密码，登录成功后会返回lls_sso_sessionid,前端跳转回当前请求页，回写本域cookie，服务器会接收根据统一登录页面链接所反馈的会话ID，回写本域的会话ID，作为更新后会话ID，根据所述更新后会话ID作为当前会话ID与所述用户请求对应的目标地址建立连接。

在本实施例中，当所述用户请求得到该单点登录系统登录的当前会话ID或者所述用户请求中Cookie文件包括有效的会话ID的时候，系统可以根据当前会话ID与所述用户请求对应的目标地址建立连接。

下面参照图6来描述根据本发明的这种实施方式的电子设备600。图6显示的电子设备600仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图6所示，电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于：上述至少一个处理单元610、上述至少一个存储单元620、连接不同系统组件(包括存储单元620和处理单元610)的总线630。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元 610执行，使得所述处理单元610执行本说明书上述“实施例方法”部分中描述的根据本发明各种示例性实施方式的步骤。

存储单元620可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(RAM)621和/或高速缓存存储单元622，还可以进一步包括只读存储单元(ROM)623。

存储单元620还可以包括具有一组(至少一个)程序模块625的程序/实用工具624，这样的程序模块625包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线630可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备600交互的设备通信，和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出 (I/O)接口650进行。并且，电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器660通过总线630与电子设备600的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备600使用其它硬件和/ 或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等) 中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。

本申请还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。

参考图7所示，描述了根据本发明的实施方式的用于实现上述方法的程序产品700，其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++ 等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的设备、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的几个实施例中，应该理解到，所揭露的设备、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为逻辑功能划分，实际实现时可以有另外的划分方式，也可以将具有相同功能的单元集合成一个单元，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等) 执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U 盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种旅游大数据云平台用户权限管理方法，其特征在于，包括：

接收并拦截浏览器发送的用户访问请求，判断用户是否登录，如果否，则重新定向至用户权限管理系统的统一登录入口；

判断用户是否登录成功，如果是，则将用户拥有的角色和所在系统的类别数据与Session绑定，并将Session存储至Redis集群中；

将所述Session的ID存储至浏览器的cookie中，并将cookie的domain设置为云平台的一级域名。

2.根据权利要求1所述的用户权限管理方法，其特征在于，每个用户在所述用户权限管理系统中只拥有一个角色。

3.根据权利要求2所述的用户权限管理方法，其特征在于，所述用户的角色及权限划分为四个等级，从高到低依次为：开发者、景区管理员、子系统管理员、普通角色，等级较低的角色无法获取等级较高的权限。

4.根据权利要求1所述的用户权限管理方法，其特征在于，所述Redis集群采用一主多从的部署模式。

5.一种旅游大数据云平台，包括用户权限管理系统，其特征在于，包括：

拦截单元，用于拦截用户的访问请求，判断用户是否登录，如果否，则重新定向至用户权限管理系统的统一登录入口；

第一处理单元，用于判断用户是否登录成功，如果是，则将用户拥有的角色和所在系统的类别数据与Session绑定，并将Session存储至Redis集群中；

第二处理单元，用于将所述Session的ID存储至浏览器的cookie中，并将cookie的domain设置为云平台的一级域名。

6.根据权利要求5所述的旅游大数据云平台，其特征在于，每个用户在所述用户权限管理系统中只拥有一个角色。

7.根据权利要求5所述的旅游大数据云平台，其特征在于，所述用户的角色及权限划分为四个等级，从高到低依次为：开发者、景区管理员、子系统管理员、普通角色，等级较低的角色无法获取等级较高的权限。

8.根据权利要求5所述的旅游大数据云平台，其特征在于，所述Redis集群采用一主多从的部署模式。

9.一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至4中任一项所述的用户权限管理方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序当被处理器执行时使所述处理器执行如权利要求1至4任一项所述的用户权限管理方法。

Images