CN114091099A - 一种针对业务系统的权限分级控制方法、设备及存储介质 - Google Patents

Abstract

本申请公开了一种针对业务系统的权限分级控制方法、设备及存储介质，解决了现有业务系统的权限分级控制功能，其包含的业务代码与权限校验代码耦合度高的技术问题。方法包括：响应于客户端的业务操作请求指令，服务器基于拦截器，获取客户端的用户权限信息；在待操作业务系统中，确定业务操作请求指令对应的数据端口，并将用户权限信息传入到数据端口的java注解中，以判断客户端是否有权限执行业务操作请求指令；在客户端有权限执行业务操作请求指令的情况下，待操作业务系统执行业务操作请求指令。本申请通过上述方法将用户权限信息及校验逻辑独立于业务代码之外，使其包含的业务代码与权限校验代码耦合度降低，从而易于后期对系统的维护。

Description

一种针对业务系统的权限分级控制方法、设备及存储介质

技术领域

本申请涉及权限管理技术领域，尤其涉及一种针对业务系统的权限分级控制方法、设备及存储介质。

背景技术

在有权限控制的业务系统中，例如信息管理系统，不同用户拥有不同的权限，可查询的数据范围不一样，那么在服务端中，不同的接口的数据保密级别也是不一样的。当用户请求接口时，在服务端就需要相应的权限校验逻辑来判断用户是否拥有相应的数据权限来调用此接口。

为了实现这种权限分级控制功能，现在常用的做法是在每个接口的业务代码中增加这种权限校验逻辑，但这样做很明显会增加代码之间的耦合度，业务代码与权限校验代码混杂在一起，不利于代码后期的维护和拓展。

发明内容

本申请实施例提供了一种针对业务系统的权限分级控制方法、设备及存储介质，解决了现有业务系统的权限分级控制功能，其包含的业务代码与权限校验代码耦合度高的技术问题。

第一方面，本申请实施例提供了一种针对业务系统的权限分级控制方法，其特征在于，方法包括：响应于客户端的业务操作请求指令，服务器基于拦截器，获取客户端的用户权限信息；其中，业务操作请求指令包含：客户端标识、业务类型标识及业务操作信息；在待操作业务系统中，确定业务操作请求指令对应的数据端口，并将用户权限信息传入到数据端口的java注解中，以判断客户端是否有权限在业务系统中执行业务操作请求指令；在客户端有权限在业务系统中执行业务操作请求指令的情况下，待操作业务系统执行业务操作请求指令。

本申请实施例提供的一种针对业务系统的权限分级控制方法，在对拦截器与java注解开发完成之后，通过拦截器对业务操作请求指令进行拦截分析，以获取客户端的用户权限信息；然后，将用户权限信息传入到数据端口的java注解中，完成对业务操作请求指令是否有权限在业务系统中执行的判断。本申请实施例通过上述方法将获取用户权限信息及校验用户权限的逻辑独立于业务代码之外，使其包含的业务代码与权限校验代码耦合度降低，从而易于后期对系统的维护。

在本申请的一种实现方式中，在服务器基于拦截器，获取客户端的用户权限信息之前，方法还包括：在服务器中设置拦截器；以及，在待操作业务系统的各数据端口中设置java注解，并基于预设的待操作业务系统权限规定，对各数据端口中的java注解配置权限注解；其中，权限注解用于判断用户权限信息是否符合待操作业务系统权限规定。

在本申请的一种实现方式中，服务器基于拦截器，获取客户端的用户权限信息，具体包括：通过拦截器，解析业务操作请求指令，以确定客户端的客户端标识；基于客户端标识，在数据库中识别并获取客户端的用户权限信息。

在本申请的一种实现方式中，在待操作业务系统中，确定业务操作请求指令对应的数据端口，具体包括：解析业务操作请求指令，以确定业务操作请求指令中包含的业务类型标识；基于业务类型标识，对待操作业务系统中的各数据端口进行匹配，以确定业务操作请求指令对应的数据端口。

在本申请的一种实现方式中，在服务器基于拦截器，获取客户端的用户权限信息之前，方法还包括：确定客户端的用户权限信息，并将用户权限信息存储于数据库中；其中，用户权限信息包括：权限类别信息与权限级别信息；权限类别信息用于描述待操作业务系统中存在权限的对应业务，权限级别信息用于描述客户端在存在权限的对应业务中的权限等级。

在本申请的一种实现方式中，待操作业务系统执行业务操作请求指令，具体包括：待操作业务系统解析并提取业务操作请求指令中的业务操作信息；基于业务操作信息执行业务操作，并将执行结果返回给客户端。

在本申请的一种实现方式中，方法还包括：在客户端无权限在业务系统中执行业务操作请求指令的情况下，java注解生成校验失败通知，并将校验失败通知返回给客户端；其中，校验失败通知包含用户权限信息及执行业务操作请求指令所需的权限信息。

在本申请的一种实现方式中，在服务器基于预设的拦截器，获取客户端的用户权限信息之后，方法还包括：将客户端的用户权限信息存放于预设的临时存储空间中；其中，临时存储空间为Session会话、TreadLocal以及Redis数据库中的任意一个。

第二方面，本申请实施例还提供了一种针对业务系统的权限分级控制设备，其特征在于，设备包括：处理器；及存储器，其上存储有可执行代码，当可执行代码被执行时，使得处理器执行如权利要求1-8任一项的一种方法。

第三方面，本申请实施例还提供了一种针对业务系统的权限分级控制的非易失性计算机存储介质，存储有计算机可执行指令，其特征在于，计算机可执行指令设置为：响应于客户端的业务操作请求指令，服务器基于拦截器，获取客户端的用户权限信息；其中，业务操作请求指令包含：客户端标识、业务类型标识及业务操作信息；在待操作业务系统中，确定业务操作请求指令对应的数据端口，并将用户权限信息传入到数据端口的java注解中，以判断客户端是否有权限在业务系统中执行业务操作请求指令；在客户端有权限在业务系统中执行业务操作请求指令的情况下，待操作业务系统执行业务操作请求指令。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例提供的一种针对业务系统的权限分级控制方法流程图；

图2为本申请实施例提供的一种针对业务系统的权限分级控制设备内部结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例提供了一种针对业务系统的权限分级控制方法、设备及存储介质，解决了现有业务系统的权限分级控制功能，其包含的业务代码与权限校验代码耦合度高的技术问题。

下面通过附图对本申请实施例提出的技术方案进行详细的说明。

图1为本申请实施例提供的一种针对业务系统的权限分级控制方法流程图。如图1所示，本申请实施例提供的一种针对业务系统的权限分级控制方法，主要包括以下步骤：

步骤101、响应于客户端的业务操作请求指令，服务器基于拦截器，获取客户端的用户权限信息。

在本申请的一个实施例中，在服务器基于拦截器，获取客户端的用户权限信息之前，需要确定客户端对于待操作业务系统的用户权限信息，并将用户权限信息存储于数据库中。需要说明的是，用户权限信息包括：权限类别信息与权限级别信息；权限类别信息用于描述待操作业务系统中存在权限的对应业务，权限级别信息用于描述客户端在存在权限的对应业务中的权限等级。

还需要说明的是，拦截器是动态拦截action调用的对象。它提供了一种机制可以使开发者定义在一个action执行的前后执行的内容，也可以在一个action执行前阻止其执行，同时也提供了一种可以提取action中可重用部分的方式。在AOP(Aspect-OrientedProgramming)中拦截器用于在某个方法或字段被访问之前进行拦截，然后在之前或之后加入某些操作。因此，在服务器基于拦截器，获取客户端的用户权限信息之前，需要在服务器中设置用于拦截客户端的业务操作请求指令，以及用于基于业务操作请求指令获取客户端的用户权限信息的拦截器。

可以理解的是，拦截器用于拦截客户端的业务操作请求指令的功能，以及用于基于业务操作请求指令的功能需要提前写入到拦截器中。

在本申请的一个实施例中，在客户端对于待操作业务系统的用户权限信息存储于数据库中，以及在服务器中设置了拦截器的前提下，当服务器接收到客户端发送的业务操作请求指令时，首先通过拦截器，解析业务操作请求指令，以确定业务操作请求指令中包含的客户端标识。然后，基于客户端标识，在数据库中识别并获取客户端的用户权限信息。

需要说明的是，本申请中的解析业务操作请求指令可以采用现有的任何一种方式，本申请在此不做限定；另外，本申请中的业务操作请求指令包含客户端标识、业务类型标识以及业务操作信息。可以理解的是，客户端标识用于描述业务操作请求指令的来处，业务类型标识用于描述业务操作请求指令的类型，业务操作信息用于描述业务操作请求指令的具体执行内容。还可以理解的是，业务操作请求指令并不包含用于判断客户端权限的校验的逻辑，也不包含用户权限信息。

在本申请的一个实施例中，在获取到客户端的用户权限信息之后，将客户端的用户权限信息存放于预设的临时存储空间中，以待后续应用。需要说明的是，本申请对用户权限信息临时存在方式，包括但不限于使用以下任意一种临时存储空间进行存储：Session会话、TreadLocal以及Redis数据库等。

步骤102、在待操作业务系统中，确定业务操作请求指令对应的数据端口，并将用户权限信息传入到数据端口的java注解中，以判断客户端是否有权限在业务系统中执行业务操作请求指令。

在本申请的一个实施例中，在获取客户端的用户权限信息，并存放于预设的临时存储空间中之后，再次对业务操作请求指令进行解析，以确定业务操作请求指令中包含的业务类型标识。需要说明的是，上述再次对业务操作请求指令进行解析，与步骤101中的解析过程可以相同也可以不同，可以根据具体使用环境本申请在此不做限定

在本申请的一个实施例中，在确定业务操作请求指令中包含的业务类型标识之后，首先根据解析得到的业务类型标识，对待操作业务系统中的各数据端口进行匹配，以确定业务操作请求指令对应的数据端口。然后，将存放于临时存储空间中的用户权限信息传入到数据端口的java注解中，以判断客户端是否有权限在业务系统中执行业务操作请求指令。

需要说明的是，java注解是java提供的一种元程序中的元素，能够关联任何信息和任何元数据(metadata)的途径和方法。通过java注解，程序可以通过反射来获取指定程序元素的Annotion对象，然后通过Annotion对象来获取注解里面的元数据。因此，在执行本申请实施例提供的方法之前，还需要在待操作业务系统的各数据端口中设置java注解，并基于预设的待操作业务系统权限规定，对各数据端口中的java注解配置权限注解；其中，权限注解用于判断用户权限信息是否符合待操作业务系统权限规定，至少包括：权限类别、权限级别以及校验失败返回类型。

步骤103、在客户端有权限在业务系统中执行业务操作请求指令的情况下，待操作业务系统执行业务操作请求指令。

在本申请的一个实施例中，在java注解中判断客户端有权限在业务系统中执行业务操作请求指令的情况下，待操作业务系统首先解析并提取业务操作请求指令中的业务操作信息。然后，基于业务操作信息执行相应的业务操作，并将执行结果返回给客户端。

在本申请的一个实施例中，在java注解中判断客户端无权限在业务系统中执行业务操作请求指令的情况下，基于校验失败返回类型生成校验失败通知，并将校验失败通知返回给客户端；其中，校验失败通知包含用户权限信息及执行业务操作请求指令所需的权限信息。

基于同样的发明构思，本申请实施例还提供了一种针对业务系统的权限分级控制设备，其内部结构如图2所示。

图2为本申请实施例提供的一种针对业务系统的权限分级控制设备内部结构示意图。如图2所示，设备包括：处理器201；存储器202，其上存储有可执行指令，当可执行指令被执行时，使得处理器201执行如上述的一种针对业务系统的权限分级控制方法。

在本申请的一个实施例中，处理器201用于响应于客户端的业务操作请求指令，服务器基于拦截器，获取客户端的用户权限信息；其中，业务操作请求指令包含：客户端标识、业务类型标识及业务操作信息；在待操作业务系统中，确定业务操作请求指令对应的数据端口，并将用户权限信息传入到数据端口的java注解中，以判断客户端是否有权限在业务系统中执行业务操作请求指令；在客户端有权限在业务系统中执行业务操作请求指令的情况下，待操作业务系统执行业务操作请求指令。

本申请的一些实施例提供的对应于图1的一种针对业务系统的权限分级控制的非易失性计算机存储介质，存储有计算机可执行指令，计算机可执行指令设置为：

响应于客户端的业务操作请求指令，服务器基于拦截器，获取客户端的用户权限信息；其中，业务操作请求指令包含：客户端标识、业务类型标识及业务操作信息；

在待操作业务系统中，确定业务操作请求指令对应的数据端口，并将用户权限信息传入到数据端口的java注解中，以判断客户端是否有权限在业务系统中执行业务操作请求指令；

在客户端有权限在业务系统中执行业务操作请求指令的情况下，待操作业务系统执行业务操作请求指令。

本申请中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于物联网设备和介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本申请实施例提供的系统和介质与方法是一一对应的，因此，系统和介质也具有与其对应的方法类似的有益技术效果，由于上面已经对方法的有益技术效果进行了详细说明，因此，这里不再赘述系统和介质的有益技术效果。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种针对业务系统的权限分级控制方法，其特征在于，所述方法包括：

响应于客户端的业务操作请求指令，服务器基于拦截器，获取所述客户端的用户权限信息；其中，所述业务操作请求指令包含：客户端标识、业务类型标识及业务操作信息；

在待操作业务系统中，确定所述业务操作请求指令对应的数据端口，并将所述用户权限信息传入到所述数据端口的java注解中，以判断所述客户端是否有权限在所述业务系统中执行所述业务操作请求指令；

在所述客户端有权限在所述业务系统中执行所述业务操作请求指令的情况下，所述待操作业务系统执行所述业务操作请求指令。

2.根据权利要求1所述的一种针对业务系统的权限分级控制方法，其特征在于，在服务器基于拦截器，获取所述客户端的用户权限信息之前，所述方法还包括：

在所述服务器中设置拦截器；以及，

在所述待操作业务系统的各数据端口中设置java注解，并基于预设的待操作业务系统权限规定，对各数据端口中的java注解配置权限注解；其中，所述权限注解用于判断所述用户权限信息是否符合待操作业务系统权限规定。

3.根据权利要求1所述的一种针对业务系统的权限分级控制方法，其特征在于，服务器基于拦截器，获取所述客户端的用户权限信息，具体包括：

通过所述拦截器，解析所述业务操作请求指令，以确定所述客户端的客户端标识；

基于所述客户端标识，在所述数据库中识别并获取所述客户端的用户权限信息。

4.根据权利要求3所述的一种针对业务系统的权限分级控制方法，其特征在于，在待操作业务系统中，确定所述业务操作请求指令对应的数据端口，具体包括：

解析所述业务操作请求指令，以确定所述业务操作请求指令中包含的业务类型标识；

基于所述业务类型标识，对所述待操作业务系统中的各数据端口进行匹配，以确定所述业务操作请求指令对应的数据端口。

5.根据权利要求1所述的一种针对业务系统的权限分级控制方法，其特征在于，在服务器基于拦截器，获取所述客户端的用户权限信息之前，所述方法还包括：

确定所述客户端的用户权限信息，并将所述用户权限信息存储于数据库中；其中，所述用户权限信息包括：权限类别信息与权限级别信息；所述权限类别信息用于描述所述待操作业务系统中存在权限的对应业务，所述权限级别信息用于描述所述客户端在所述存在权限的对应业务中的权限等级。

6.根据权利要求1所述的一种针对业务系统的权限分级控制方法，其特征在于，所述待操作业务系统执行所述业务操作请求指令，具体包括：

所述待操作业务系统解析并提取所述业务操作请求指令中的业务操作信息；

基于所述业务操作信息执行业务操作，并将执行结果返回给所述客户端。

7.根据权利要求1所述的一种针对业务系统的权限分级控制方法，其特征在于，所述方法还包括：

在所述客户端无权限在所述业务系统中执行所述业务操作请求指令的情况下，所述java注解生成校验失败通知，并将所述校验失败通知返回给所述客户端；其中，所述校验失败通知包含所述用户权限信息及执行所述业务操作请求指令所需的权限信息。

8.根据权利要求1所述的一种针对业务系统的权限分级控制方法，其特征在于，在服务器基于预设的拦截器，获取所述客户端的用户权限信息之后，所述方法还包括：

将所述客户端的用户权限信息存放于预设的临时存储空间中；其中，所述临时存储空间为Session会话、TreadLocal以及Redis数据库中的任意一个。

9.一种针对业务系统的权限分级控制设备，其特征在于，所述设备包括：

处理器；

及存储器，其上存储有可执行代码，当所述可执行代码被执行时，使得所述处理器执行如权利要求1-8任一项所述的一种方法。

10.一种针对业务系统的权限分级控制的非易失性计算机存储介质，存储有计算机可执行指令，其特征在于，所述计算机可执行指令设置为：

响应于客户端的业务操作请求指令，服务器基于拦截器，获取所述客户端的用户权限信息；其中，所述业务操作请求指令包含：客户端标识、业务类型标识及业务操作信息；

在待操作业务系统中，确定所述业务操作请求指令对应的数据端口，并将所述用户权限信息传入到所述数据端口的java注解中，以判断所述客户端是否有权限在所述业务系统中执行所述业务操作请求指令；

在所述客户端有权限在所述业务系统中执行所述业务操作请求指令的情况下，所述待操作业务系统执行所述业务操作请求指令。

Images