CN112187728A - 一种基于统一用户权限的网关代理管理方法及装置 - Google Patents

Abstract

本发明公开了一种基于统一用户权限的网关代理管理方法及装置，涉及网关控制代理技术领域；为了解决增加学习成本问题；该装置包括机构管理、用户管理模块、权限管理模块、角色管理模块、网关管理模块和接口聚合；该装置的管理方法，包括如下步骤：收到聚合请求参数；获取调用传入的参数，然后分析第二个参数；根据参数依赖关系计算调用依赖图，生成调用堆栈；生成调用堆栈正常，根据调用依赖顺序进行功能接口的调用；若某个功能接口的调用发生错误。本发明实现后端Http服务的集成代理转发、用户权限的统一管理控制、智能动态参数处理等目标，无需学习成本，直接鼠标操作即可完成，界面化配置简单，操作灵活。

Description

一种基于统一用户权限的网关代理管理方法及装置

技术领域

本发明涉及网关控制代理技术领域，尤其涉及一种基于统一用户权限的网关代理管理方法及装置。

背景技术

随着信息化技术的发展和普及，软件系统作为面向用户的终端产品越来越多样化，渗透到了各个业务层面；并且向着平台化方向发展。一个平台由多个子模块、或者多个子业务系统构成，现在的平台、子模块、子系统都由数量众多的前端系统和后端Http服务组成，很多时候，一个前端系统可能需要访问多个后端Http服务，另外后端Http服务为了提供给前端系统公开访问的能力，必须将这些后端Http服务都以公网IP或域名的形式进行绑定和公开，并且每个后端Http服务还都需要独立处理各自的限流、熔断、黑白名单等安全相关的逻辑，造成了重复工作和后期的维护复杂度。

经检索，中国专利申请号为CN200910151983.8的专利，公开了一种集中式移动代理服务器的管理方法及管理系统，包括移动代理服务器和移动代理服务器管理平台，所述移动代理服务器位于运营商侧，与移动代理服务器管理平台直接相连，并且通过广域网与提供商侧中一个或多个企业应用系统相连接；所述移动代理服务器，用于完成所述企业应用系统与移动终端的业务数据的传送及控制；所述移动代理服务器管理平台，用于对所述移动代理服务器的业务数据进行统一管理。上述专利中的集中式移动代理服务器的管理方法及管理系统存在以下不足：在实现过程中可以通过对业务的特殊处理或者引入第三方模块/工具进行解决，增加了学习和维护成本。

发明内容

本发明的目的是为了解决现有技术中存在的缺点，而提出的一种基于统一用户权限的网关代理管理方法及装置。

为了实现上述目的，本发明采用了如下技术方案：

一种基于统一用户权限的网关代理装置，包括机构管理、用户管理模块、权限管理模块、角色管理模块、网关管理模块和接口聚合，所述权限管理模块与角色管理模块存在有或没有的配置关系；所述网关代理服务的权限在角色管理模块上存在有、没有和动态参数的配置关系；所述机构管理包括企业、公司或其他组织单位；所述网关管理模块包括提供后端Http服务的代理转发配置。

优选地：所述代理转发配置指定对应代理转发是否需要用户登录状态；代理转发配置设置路由匹配规则，网关根据路由匹配规则来区分，用户调用的服务需要代理转发到不同后端Http服务，路由匹配规则不允许重复；代理转发配置指定代理转发到后端Http服务需要的签名方式，签名方式和后端Http服务的逻辑相匹配，网关支持需后端Http服务需要的签名方式。

优选地：所述权限管理模块包括页面权限、页面区域权限和网关代理服务的权限，页面区域权限和页面权限均包括权限名称和唯一key，网关代理服务的权限为针对网关的权限设置。

优选地：所述角色管理模块在为角色分配网关代理服务的权限时，可以同时配置其动态参数配置。

优选地：所述参数配置分为query参数和body参数，对应功能接口请求的query参数类型和body参数类型，参数配置采用json格式写法。

优选地：所述用户管理模块为所有平台系统提供用户账户服务，包括用户的基本信息、登录密码、是否为管理员、是否存在有效期、有效期时间，以及当前的状态是否正常，用户的基本信息包括账户名、真实姓名、手机、邮箱和职位。

优选地：所述用户管理模块中为用户设置权限的模式，包括如下方式：

S21：将明细权限直接设置绑定到用户上；

S22：将配置好的角色设置绑定到用户上。

优选地：所述接口聚合为前端系统传入适当的参数进行处理，参数包括执行模式和请求的聚合接口的数组。

优选地：所述执行模式包括普通模式和严格模式，请求的聚合接口的数组，数组内的每个功能接口均包括接口路径、请求方式、参数和请求名称，请求名称为用户自定义，数组内要保持唯一。

一种基于统一用户权限的网关代理装置的管理方法，包括如下步骤：

S1：收到聚合请求参数；

S2：获取调用传入的参数，然后分析第二个参数；

S3：根据参数依赖关系计算调用依赖图，生成调用堆栈；

S4：生成调用堆栈正常，根据调用依赖顺序进行功能接口的调用；

S5：若某个功能接口的调用发生错误，根据第一个参数的模式进行处理；

S6：普通模式时记录错误信息，在数组内的所有功能接口调用完成后，将所有功能接口调用的结果汇总，并返回给前端系统，严格模式时直接返回错误信息给前端系统。

本发明的有益效果为：

1.本发明集机构、用户、权限、角色进行统一管理，支持多平台、多系统同时使用，后端Http服务只需关注具体业务逻辑实现，化繁为简，具有统一灵活的用户权限管理，各个模块相互关联和作用，最终实现后端Http服务的集成代理转发、用户权限的统一管理控制、智能动态参数处理等目标，无需学习成本，直接鼠标操作即可完成，界面化配置简单，操作灵活。

2.基于用户统一管理的基础，多个平台和系统可以共用用户信息、共用用户状态，一次登录多系统通行，针对众多且不可预估的后端Http服务，可通过本发明的网关代理进行集成，并统一服务出口给前端系统，前端系统从一个域名入口进行访问，系统的网关自动根据配置逻辑代理到不同的后端Http服务。

3.通过角色分配权限的功能，可以为同一个后端Http服务根据角色设置不同的参数，并支持系统内置的模板参数，灵活支持同一个服务根据身份不同处理不同的需求。

4.系统内支持多机构的管理和处理逻辑，根据不同的机构自动区分数据范围和管理功能，让每个机构之间都相互隔离，互不影响。

5.将前端系统的请求转发给合适的后端Http服务，同时将后端Http服务的处理结果反馈给前端系统，操作简单，本发明所处的位置在于前端系统和后端Http服务之间，起到桥梁作用。

附图说明

图1为本发明提出的一种基于统一用户权限的网关代理装置的网关代理转发配置示意图；

图2为本发明提出的一种基于统一用户权限的网关代理装置的签名验证逻辑示意图；

图3为本发明提出的一种基于统一用户权限的网关代理装置的用户、角色、权限关系示意图；

图4为本发明提出的一种基于统一用户权限的网关代理装置的管理方法流程示意图。

具体实施方式

下面结合具体实施方式对本专利的技术方案作进一步详细地说明。

下面详细描述本专利的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本专利，而不能理解为对本专利的限制。

在本专利的描述中，需要理解的是，术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本专利和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本专利的限制。

在本专利的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“设置”应做广义理解，例如，可以是固定相连、设置，也可以是可拆卸连接、设置，或一体地连接、设置。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本专利中的具体含义。

实施例1：

一种基于统一用户权限的网关代理装置，如图1-3所示，包括机构管理、用户管理模块、权限管理模块、角色管理模块、网关管理模块和接口聚合，所述权限管理模块与角色管理模块存在有或者没有的配置关系；所述网关代理服务的权限在角色管理模块上存在有、没有和动态参数的配置关系；所述机构管理包括企业、公司或其他组织单位；如页面权限A设置到角色科长上面，角色科长就有页面权限A，而角色职员就没有页面权限A；各个模块相互关联和作用，最终实现后端Http服务的集成代理转发、用户权限的统一管理控制、智能动态参数处理等目标。

所述网关管理模块包括提供后端Http服务的代理转发配置，支持新增、编辑、删除、开启/冻结等功能，网关管理模块可以维护多套代理转发配置，在配置里需要指定后端Http服务的地址和端口，可以是多个地址，使用时网关会自动对有多个地址的后端Http服务做负载均衡处理。

进一步的，所述代理转发配置指定对应代理转发是否需要用户登录状态，如果选择是，用户在调用网关代理的后端Http服务时，必须先使用网关登录接口进行登录再使用，否则不能调用成功；如果选择否，则用户可以直接调用网关代理的后端Http服务，无需进行登录。

再进一步的，所述代理转发配置设置路由匹配规则，网关根据路由匹配规则来区分，用户调用的服务需要代理转发到不同后端Http服务，路由匹配规则不允许重复，如本发明的开放地址为http：//192.168.1.100：8000，此时用户调用http：//192.168.1.100：8000/service/a，网关会将用户的调用代理转发到后端Http服务A，具体后端Http服务中会提供多个功能接口，具体转发到某个功能接口，和用户的具体调用地址有关，如用户调用http：//192.168.1.100：8000/service/a/api/func1，则网关会把请求代理转发到后端Http服务的/api/func1功能接口。

所述代理转发配置指定代理转发到后端Http服务需要的签名方式，签名方式和后端Http服务的逻辑相匹配，网关支持需后端Http服务需要的签名方式，在为对应的后端Http服务配置代理转发逻辑时，需指定对应的签名方式，并配置好后端提供的appkey和appsecret按照后端Http服务的签名算法计算签名，并将签名附加在代理转发给后端Http服务的调用上，后端Http服务拿到调用参数后，对签名进行验证，验证合法，进行业务处理并返回处理结果；验证失败直接返回签名错误无权限；如果后端Http服务不需要进行签名，可配置签名方式为无，不进行签名验证。

所述权限管理模块包括页面权限、页面区域权限和网关代理服务的权限，页面权限为用户是否拥有某个页面的权限，页面区域权限和页面权限均包括权限名称和唯一key，如果没有某个页面的权限，用户在前端系统中看不到相应页面，如果有，则会正常看见相应页面；页面区域权限为用户是否有页面内某个显示区域的权限，如果没有，用户在页面内则看不到这块区域的内容，如果有，则会正常看见相应页面；页面权限和页面区域权限均属于显示权限，即某些内容是否显示和可见，需要前端系统配合使用，同时也可以灵活运用，不限于控制内容是否显示和可见，前端系统可根据业务需要自由使用。

进一步的，所述网关代理服务的权限为针对网关的权限设置，未设置权限时，默认网关代理的后端Http服务的所有功能接口都是允许直接调用的；如果网关代理的后端服务的某个功能接口需要通过权限进行是否可用的控制，可以通过新增一个网关代理服务的权限来实现，在新增的权限配置中需要指定权限属于哪个网关，功能接口的匹配路径、路径匹配方式如正则表达式、起始包含及结束包含、以及请求的方式如GET、POST、PUT及DELETE、积分消耗、有效期等内容，当前端调用对应功能接口时，会根据权限的配置内容进行判断过滤，如果符合权限，检验通过，返回正常处理结果；否则返回。

所述角色管理模块为一组权限的包装，代表一种身份，将不同岗位需要的权限设置到角色身上，这样就能把真正的用户和角色联系起来，清楚自己有什么角色就知道了自己有什么权限，便于理解和操作，对于角色来讲，因为身份的不同，即使调用同一个网关的功能接口，也会有不同的输入参数和不同的返回结果，可以通过配置动态参数来实现，在为角色分配网关代理服务的权限时，可以同时配置其动态参数配置。

进一步的，所述参数配置分为query参数和body参数，对应功能接口请求的query参数类型和body参数类型；参数配置采用json格式写法，并提供本发明内部的动态模板参数，能够灵活获取功能接口调用者的基本内容等信息，方便后端Http服务对调用者和调用环境的身份区分和区别处理。

所述用户管理模块为所有平台系统提供用户账户服务，包括用户的基本信息、登录密码、是否为管理员、是否存在有效期、有效期时间，以及当前的状态是否正常，其中，用户的基本信息包括账户名、真实姓名、手机、邮箱和职位等。

进一步的，所述用户管理模块中为用户设置权限的模式，包括如下方式：

S21：将明细权限直接设置绑定到用户上；

S22：将配置好的角色设置绑定到用户上；第一种方式足够灵活，随意组合匹配，第二种方式适合批量设置，统一管理。

所述机构管理中用户可以属于某个机构也可以不属于某个机构，属于可选项，机构管理功能是提供统一管理一批用户的一种媒介，例如某企业以机构名义注册一个账户，系统可以设置该机构下允许的用户数，以及为机构充值积分提供给机构内用户使用；并且一旦停用该机构账户，则该机构内的用户也全部冻结不可用。

所述接口聚合为减少前端系统和功能接口之间的调用次数，提高系统性能，接口聚合为前端系统传入适当的参数进行处理，参数包括执行模式和请求的聚合接口的数组。

进一步的，所述执行模式包括普通模式和严格模式，普通模式下，对于聚合调用的功能接口，无论成功失败都返回信息，成功的返回其处理结果，失败的返回错误信息；严格模式下，对于聚合调用的功能接口，只有全部成功，才返回处理结果，若有一个失败，就返回失败信息。

进一步的，所述请求的聚合接口的数组，数组内的每个功能接口均包括接口路径、请求方式、参数和请求名称，数组内可以有多个功能接口的定义，一个功能接口的参数可以依赖使用另一个功能接口的执行结果，通过上面用户自定义的请求名称进行引用，其中，请求名称为用户自定义，但数组内要保持唯一。

实施例2：

一种基于统一用户权限的实施例1所述网关代理装置的管理方法，如图4所示，包括如下步骤：

S1：收到聚合请求参数；

S2：获取调用传入的参数，然后分析第二个参数；

S3：根据参数依赖关系计算调用依赖图，生成调用堆栈；

S4：生成调用堆栈正常，根据调用依赖顺序进行功能接口的调用；

S5：若某个功能接口的调用发生错误，根据第一个参数的模式进行处理；

S6：普通模式时记录错误信息，在数组内的所有功能接口调用完成后，将所有功能接口调用的结果汇总，并返回给前端系统，严格模式时直接返回错误信息给前端系统。

所述生成调用堆栈具体包括存在循环引用，直接返回错误给前端系统。

本实施例在使用时，将前端系统的请求转发给合适的后端Http服务，同时将后端Http服务的处理结果反馈给前端系统，本发明所处的位置在于前端系统和后端Http服务之间，起到桥梁作用。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种基于统一用户权限的网关代理管理装置，包括机构管理、用户管理模块、权限管理模块、角色管理模块、网关管理模块和接口聚合，其特征在于，所述权限管理模块与角色管理模块存在有或没有的配置关系；所述网关代理服务的权限在角色管理模块上存在有、没有和动态参数的配置关系；所述机构管理包括企业、公司或其他组织单位；所述网关管理模块包括提供后端Http服务的代理转发配置。

2.根据权利要求1所述的一种基于统一用户权限的网关代理管理装置，其特征在于，所述代理转发配置指定对应代理转发是否需要用户登录状态；代理转发配置设置路由匹配规则，网关根据路由匹配规则来区分，用户调用的服务需要代理转发到不同后端Http服务，路由匹配规则不允许重复；代理转发配置指定代理转发到后端Http服务需要的签名方式，签名方式和后端Http服务的逻辑相匹配，网关支持需后端Http服务需要的签名方式。

3.根据权利要求2所述的一种基于统一用户权限的网关代理管理装置，其特征在于，所述权限管理模块包括页面权限、页面区域权限和网关代理服务的权限，页面区域权限和页面权限均包括权限名称和唯一key，网关代理服务的权限为针对网关的权限设置。

4.根据权利要求3所述的一种基于统一用户权限的网关代理管理装置，其特征在于，所述角色管理模块在为角色分配网关代理服务的权限时，可以同时配置其动态参数配置。

5.根据权利要求4所述的一种基于统一用户权限的网关代理管理装置，其特征在于，所述参数配置分为query参数和body参数，对应功能接口请求的query参数类型和body参数类型，参数配置采用json格式写法。

6.根据权利要求1所述的一种基于统一用户权限的网关代理管理装置，其特征在于，所述用户管理模块为所有平台系统提供用户账户服务，包括用户的基本信息、登录密码、是否为管理员、是否存在有效期、有效期时间，以及当前的状态是否正常，用户的基本信息包括账户名、真实姓名、手机、邮箱和职位。

7.根据权利要求6所述的一种基于统一用户权限的网关代理管理装置，其特征在于，所述用户管理模块中为用户设置权限的模式，包括如下方式：

S21：将明细权限直接设置绑定到用户上；

S22：将配置好的角色设置绑定到用户上。

8.根据权利要求7所述的一种基于统一用户权限的网关代理管理装置，其特征在于，所述接口聚合为前端系统传入适当的参数进行处理，参数包括执行模式和请求的聚合接口的数组。

9.根据权利要求8所述的一种基于统一用户权限的网关代理管理装置，其特征在于，所述执行模式包括普通模式和严格模式，请求的聚合接口的数组，数组内的每个功能接口均包括接口路径、请求方式、参数和请求名称，请求名称为用户自定义，数组内要保持唯一。

10.一种根据权利要求1-9任一所述的基于统一用户权限的网关代理管理装置的方法，其特征在于，包括如下步骤：

S1：收到聚合请求参数；

S2：获取调用传入的参数，然后分析第二个参数；

S3：根据参数依赖关系计算调用依赖图，生成调用堆栈；

S4：生成调用堆栈正常，根据调用依赖顺序进行功能接口的调用；

S5：若某个功能接口的调用发生错误，根据第一个参数的模式进行处理；

S6：普通模式时记录错误信息，在数组内的所有功能接口调用完成后，将所有功能接口调用的结果汇总，并返回给前端系统，严格模式时直接返回错误信息给前端系统。

Images