CN115622732A - 基于多应用的应用权限控制方法、系统、电子设备及介质 - Google Patents
基于多应用的应用权限控制方法、系统、电子设备及介质 Download PDFInfo
- Publication number
- CN115622732A CN115622732A CN202211073340.8A CN202211073340A CN115622732A CN 115622732 A CN115622732 A CN 115622732A CN 202211073340 A CN202211073340 A CN 202211073340A CN 115622732 A CN115622732 A CN 115622732A
- Authority
- CN
- China
- Prior art keywords
- application
- account
- login
- interface
- permission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及应用管理技术领域,公开了一种基于多应用的应用权限控制方法、系统、电子设备及介质,该方法获取多个原始应用以及账户权限关系表,通过提取客户端的登录标识使得目标应用确定客户端对应的登录账户,并生成登录账户对应的登录令牌,再通过账户权限关系表确定登录账户映射于目标应用的当前权限信息,从而通过当前权限信息使得目标应用确定应用指令的执行允许状态,通过账户权限关系表统一管理注册用户与原始应用之间的权限信息,目标应用通过登录标识登录账户,从而根据账户权限关系表确定登录账户与目标应用之间的权限,从而确定应用指令的执行允许状态,实现在存在大量应用的情况下对应用的权限进行统一管理,统一鉴权,从而提高应用使用效率以及用户使用体验。
Description
技术领域
本发明涉及应用管理技术领域,尤其涉及一种基于多应用的应用权限控制方法、系统、电子设备及介质。
背景技术
目前,随着公司业务的不断壮大,公司所使用的互联网服务应用也逐渐增多,其中,由于每个应用都单独管理自身的应用体系(包括菜单、角色、数据、接口等),因此,每个应用也都管理自身的权限,没有统一的权限管理。同时,当公司将部分应用部署到租户环境中时,又因为租户的环境不同、体系不同,不得不使得应用适配租户体系,进行再次开发。
因此,需要一种新的应用权限管理方式,实现在存在大量应用的情况下对应用的权限进行统一管理,统一鉴权,从而提高应用使用效率以及用户使用体验。
发明内容
为了对披露的实施例的一些方面有基本的理解,下面给出了简单的概括。所述概括不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围,而是作为后面的详细说明的序言。
鉴于以上所述现有技术的缺点,本发明公开了一种基于多应用的应用权限控制方法、系统、电子设备及介质,以提高应用使用效率。
本发明公开了一种基于多应用的应用权限控制方法,包括:获取多个原始应用,并获取账户权限关系表,其中,所述账户权限关系表包括至少一个注册账户以及所述注册账户映射于各所述原始应用的应用权限信息;将任一原始应用确定为目标应用,响应于所述目标应用接收到客户端发送的访问请求,确定所述客户端对应的登录标识,使得所述目标应用根据所述登录标识从所述注册账户中确定所述客户端对应的登录账户,并生成所述登录账户对应的登录令牌;响应于所述目标应用接收到所述客户端发送的应用指令,若所述客户端具有所述目标应用对应的登录令牌,则根据所述账户权限关系表对所述登录账户和所述目标应用进行匹配,得到所述登录账户映射于所述目标应用的当前权限信息;将所述当前权限信息发送至所述目标应用,使得所述目标应用根据所述当前权限信息确定所述应用指令的执行允许状态。
可选地,确定所述客户端对应的登录标识,包括:查询所述客户端的账户登录状态;若所述账户登录状态包括已登录状态,则对所述客户端进行信息提取,得到登录信息,并根据预设编码算法对所述登录信息进行编码,得到登录标识;若所述账户登录状态包括未登录状态,则将预设登录页面发送至所述客户端,接收所述客户端反馈的登录信息,并根据预设编码算法对接收到的登录信息进行编码,得到登录标识,其中,所述客户端用于展示所述预设登录页面,并通过所述预设登录页面接收登录信息。
可选地,所述方法还包括:建立跳转登录接口、退出登录接口、第一获取接口和第二获取接口中的至少一种,其中,所述第一获取接口用于根据登录标识从任一原始应用中调取对应的登录令牌,所述第二获取接口用于根据登录令牌从任一原始应用中调取对应的登录账户;将所述跳转登录接口、所述退出登录接口、所述第一获取接口或所述第二获取接口与所述预设登录页面关联,使得所述客户端通过所述预设登录页面调用所述跳转登录接口、所述退出登录接口、所述第一获取接口或所述第二获取接口。
可选地,通过以下方法获取账户权限关系表,包括:将任一原始应用确定为待配置应用,其中,所述待配置应用包括应用数据、应用接口、应用菜单中的至少一种;确定所述待配置应用对应的权限配置信息,其中,所述第一配置信息包括至少一个角色信息以及所述应用数据对应的数据权限信息、所述应用接口对应的接口权限信息、所述应用菜单对应的菜单权限信息;分别根据各所述角色信息对所述数据权限信息、所述接口权限信息和所述菜单权限信息进行选择,得到各所述角色信息对应的角色权限信息;获取至少一个注册账户,根据所述注册账户对各所述角色信息进行选择,得到所述注册账户对应的目标角色,并将所述目标角色和所述目标角色对应的角色权限信息确定为所述注册账户映射于所述待配置应用的应用权限信息。
可选地,通过以下方法确定所述应用数据对应的数据权限信息:获取多个数据类型以及各数据类型对应的数据范围,并获取多个数据操作类型;分别根据各所述数据类型从所述应用数据中进行选择,得到各所述数据类型对应的数据集合;将任一数据集合确定为目标集合,分别根据所述目标集合对应的各数据范围从所述目标集合的应用数据中进行选择,得到各所述数据范围对应的数据组合;分别确定各所述数据集合对应的集合权限、各所述数据组合对应的分组权限、各所述数据操作类型对应的操作权限;将所述集合权限、所述分组权限、所述操作权限中的至少一种确定为所述应用数据对应的数据权限信息。
可选地,根据所述账户权限关系表对所述登录账户和所述目标应用进行匹配,得到所述登录账户映射于所述目标应用的当前权限信息,包括:所述应用指令包括数据操作指令、菜单请求指令、接口调用指令中的一种或多种:若所述应用指令包括数据操作指令,则接收所述目标应用发送的数据权限请求,根据所述账户权限关系表对所述数据权限请求进行匹配,得到所述登录账户映射于所述目标应用的数据权限信息,其中,所述数据权限请求包括数据权限请求标识、所述目标应用对应的预设应用标识、所述登录账户;若所述应用指令包括菜单请求指令,则接收所述目标应用发送的菜单权限请求,根据所述账户权限关系表对所述菜单权限请求进行匹配,得到所述登录账户映射于所述目标应用的菜单权限信息,其中,所述菜单权限请求包括菜单权限请求标识、所述目标应用对应的预设应用标识、所述登录账户;若所述应用指令包括接口请求指令,则接收所述目标应用发送的接口权限请求以及目标接口路径,根据所述账户权限关系表对所述接口权限请求进行匹配,得到所述登录账户映射于所述目标应用的接口权限信息,并根据所述目标接口路径对所述接口权限信息进行匹配,得到所述目标接口路径对应的接口权限子信息,其中,所述接口权限请求包括所述目标应用对应的预设应用标识、所述登录账户。
可选地,所述方法还包括:建立用户管理接口和租户管理接口,同时,注册账户包括管理员账户、用户账户和租户账户中的至少一种;若所述客户端具有管理员账户,则通过所述客户端调用所述用户管理接口和所述租户管理接口,其中,所述用户管理接口用于对所述用户账户进行增加、删除、编辑以及修改密码,所述租户管理接口用于对所述租户账户进行增加、删除以及编辑。
本发明公开了一种基于多应用的应用权限控制系统,包括:获取模块,用于获取多个原始应用,并获取账户权限关系表,其中,所述账户权限关系表包括至少一个注册账户以及所述注册账户映射于各所述原始应用的应用权限信息;确定模块,用于将任一原始应用确定为目标应用,响应于所述目标应用接收到客户端发送的访问请求,确定所述客户端对应的登录标识,使得所述目标应用根据所述登录标识从所述注册账户中确定所述客户端对应的登录账户,并生成所述登录账户对应的登录令牌;匹配模块,用于响应于所述目标应用接收到所述客户端发送的应用指令,若所述客户端具有所述目标应用对应的登录令牌,则根据所述账户权限关系表对所述登录账户和所述目标应用进行匹配,得到所述登录账户映射于所述目标应用的当前权限信息;发送模块,用于将所述当前权限信息发送至所述目标应用,使得所述目标应用根据所述当前权限信息确定所述应用指令的执行允许状态。
本发明公开了一种电子设备,包括:处理器及存储器;所述存储器用于存储计算机程序,所述处理器用于执行所述存储器存储的计算机程序,以使所述电子设备执行上述的方法。
本发明公开了一种计算机可读存储介质,其上存储有计算机程序:所述计算机程序被处理器执行时实现上述的方法。
本发明的有益效果:
获取多个原始应用以及账户权限关系表,通过提取客户端的登录标识使得目标应用确定客户端对应的登录账户,并生成登录账户对应的登录令牌,再通过账户权限关系表确定登录账户映射于目标应用的当前权限信息,从而通过当前权限信息使得目标应用确定应用指令的执行允许状态。这样,通过账户权限关系表统一管理注册用户与原始应用之间的权限信息,目标应用通过登录标识登录账户,从而根据账户权限关系表确定登录账户与目标应用之间的权限,从而确定应用指令的执行允许状态,实现在存在大量应用的情况下对应用的权限进行统一管理,统一鉴权,从而提高应用使用效率以及用户使用体验,实现在存在大量应用的情况下对应用的权限进行统一管理,统一鉴权,从而提高应用使用效率以及用户使用体验。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术者来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明实施例中一个基于多应用的应用权限控制方法的流程示意图;
图2是本发明实施例中一个实施应用权限控制方法的应用权限控制系统的结构示意图;
图3是本发明实施例中一个客户端登录方法的流程示意图;
图4是本发明实施例中一个认证中心的结构示意图;
图5是本发明实施例中一个数据权限信息的结构示意图;
图6是本发明实施例中一个当前权限信息匹配方法的流程示意图;
图7是本发明实施例中一个基于多应用的应用权限控制系统的结构示意图;
图8是本发明实施例中一个电子设备的结构示意图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的子样本可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
在下文描述中,探讨了大量细节,以提供对本发明实施例的更透彻的解释,然而,对本领域技术人员来说,可以在没有这些具体细节的情况下实施本发明的实施例是显而易见的,在其他实施例中,以方框图的形式而不是以细节的形式来示出公知的结构和设备,以避免使本发明的实施例难以理解。
本公开实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开实施例的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。
除非另有说明,术语“多个”表示两个或两个以上。
本公开实施例中,字符“/”表示前后对象是一种“或”的关系。例如,A/B表示:A或B。
术语“和/或”是一种描述对象的关联关系,表示可以存在三种关系。例如,A和/或B,表示:A或B,或,A和B这三种关系。
结合图1所示,本公开实施例提供了一种基于多应用的应用权限控制方法,包括:
步骤S101,获取多个原始应用,并获取账户权限关系表;
其中,账户权限关系表包括至少一个注册账户以及注册账户映射于各原始应用的应用权限信息;
其中,将任一原始应用确定为目标应用;
步骤S102,响应于目标应用接收到客户端发送的访问请求,确定客户端对应的登录标识,使得目标应用根据登录标识从注册账户中确定客户端对应的登录账户,并生成登录账户对应的登录令牌;
步骤S103,响应于目标应用接收到客户端发送的应用指令,若客户端具有目标应用对应的登录令牌,则根据账户权限关系表对登录账户和目标应用进行匹配,得到登录账户映射于目标应用的当前权限信息;
步骤S104,将当前权限信息发送至目标应用,使得目标应用根据当前权限信息确定应用指令的执行允许状态。
采用本公开实施例提供的基于多应用的应用权限控制方法,获取多个原始应用以及账户权限关系表,通过提取客户端的登录标识使得目标应用确定客户端对应的登录账户,并生成登录账户对应的登录令牌,再通过账户权限关系表确定登录账户映射于目标应用的当前权限信息,从而通过当前权限信息使得目标应用确定应用指令的执行允许状态。这样,通过账户权限关系表统一管理注册用户与原始应用之间的权限信息,目标应用通过登录标识登录账户,从而根据账户权限关系表确定登录账户与目标应用之间的权限,从而确定应用指令的执行允许状态,实现在存在大量应用的情况下对应用的权限进行统一管理,统一鉴权,从而提高应用使用效率以及用户使用体验。
可选地,执行允许状态包括允许执行和拒绝执行,其中,若应用指令的执行允许状态包括允许执行,则通过所述目标应用执行所述应用指令。
结合图2所示,本公开实施例提供了一种用于实施上述应用权限控制方法的应用权限控制系统,包括客户端201和服务器端202,其中,服务器端202包括多个原始应用2021、用户中心2022、认证中心2023和IAM(Identity and Access Management,身份识别与访问管理)服务2024。客户端用于向任一原始应用发送访问请求和应用指令;用户中心用于响应于目标应用接收到客户端发送的访问请求,确定客户端对应的登录标识;认证中心用于根据账户权限关系表对登录账户和目标应用进行匹配,得到登录账户映射于目标应用的当前权限信息,将当前权限信息发送至目标应用;原始应用用于根据登录标识从注册账户中确定客户端对应的登录账户,生成登录账户对应的登录令牌,并根据当前权限信息确定应用指令的执行允许状态;IAM服务用于管理注册用户。
采用本公开实施例提供的施上述应用权限控制方法的应用权限控制系统,获取多个原始应用以及账户权限关系表,通过提取客户端的登录标识使得目标应用确定客户端对应的登录账户,并生成登录账户对应的登录令牌,再通过账户权限关系表确定登录账户映射于目标应用的当前权限信息,从而通过当前权限信息使得目标应用确定应用指令的执行允许状态。这样,通过账户权限关系表统一管理注册用户与原始应用之间的权限信息,目标应用通过登录标识登录账户,从而根据账户权限关系表确定登录账户与目标应用之间的权限,从而确定应用指令的执行允许状态,实现在存在大量应用的情况下对应用的权限进行统一管理,统一鉴权,从而提高应用使用效率以及用户使用体验,实现在存在大量应用的情况下对应用的权限进行统一管理,统一鉴权,从而提高应用使用效率以及用户使用体验。
可选地,确定客户端对应的登录标识,包括:查询客户端的账户登录状态;若账户登录状态包括已登录状态,则对客户端进行信息提取,得到登录信息,并根据预设编码算法对登录信息进行编码,得到登录标识;若账户登录状态包括未登录状态,则将预设登录页面发送至客户端,接收客户端反馈的登录信息,并根据预设编码算法对接收到的登录信息进行编码,得到登录标识,其中,客户端用于展示预设登录页面,并通过预设登录页面接收登录信息。
在一些实施例中,登录标识为临时授权码(Authorization code),通过客户端的登录信息生成临时授权码,使得目标应用生成登录账户对应的登录令牌(Token)。
结合图3所示,本公开实施例提供了一种客户端登录方法,包括:
步骤S301,客户端向目标应用发送访问请求;
步骤S302,目标应用向用户中心请求临时授权码;
步骤S303,用户中心查询客户端的账户登录状态;
步骤S304,若账户登录状态为已登录,则用户中心对客户端进行信息提取,得到登录信息;
步骤S305,若账户登录状态为未登录,则IAM服务将预设登录页面发送至客户端;
步骤S306,客户端展示预设登录页面,并通过预设登录页面接收登录信息;
步骤S307,客户端向IAM服务发送登录信息;
步骤S308,IAM服务向用户中心发送登录信息;
步骤S309,用户中心根据预设编码算法对接收到的登录信息进行编码,得到临时授权码;
步骤S310,用户中心向目标应用发送临时授权码;
步骤S311,目标应用根据临时授权码生成登录账户对应的登录令牌。
可选地,方法还包括:建立跳转登录接口、退出登录接口、第一获取接口和第二获取接口中的至少一种,其中,第一获取接口用于根据登录标识从任一原始应用中调取对应的登录令牌,第二获取接口用于根据登录令牌从任一原始应用中调取对应的登录账户;将跳转登录接口、退出登录接口、第一获取接口或第二获取接口与预设登录页面关联,使得客户端通过预设登录页面调用跳转登录接口、退出登录接口、第一获取接口或第二获取接口。
可选地,通过以下方法获取账户权限关系表,包括:将任一原始应用确定为待配置应用,其中,待配置应用包括应用数据、应用接口、应用菜单中的至少一种;确定待配置应用对应的权限配置信息,其中,第一配置信息包括至少一个角色信息以及应用数据对应的数据权限信息、应用接口对应的接口权限信息、应用菜单对应的菜单权限信息;分别根据各角色信息对数据权限信息、接口权限信息和菜单权限信息进行选择,得到各角色信息对应的角色权限信息;获取至少一个注册账户,根据注册账户对各角色信息进行选择,得到注册账户对应的目标角色,并将目标角色和目标角色对应的角色权限信息确定为注册账户映射于待配置应用的应用权限信息。
在一些实施例中,应用接口的接口包括接口名称、接口路径、接口地址、请求方式等中的一种或多种。
在一些实施例中,应用菜单的结构包括菜单名称、菜单路由、菜单路径、菜单类型、是否显示等中的一种或多种。
结合图4所示,通过认证中心获取账户权限关系表,其中,认证中心用于管理各原始应用的应用权限信息,其中,应用权限信息包括数据权限、菜单权限、角色信息、接口权限等。
可选地,通过以下方法确定应用数据对应的数据权限信息:获取多个数据类型以及各数据类型对应的数据范围,并获取多个数据操作类型;分别根据各数据类型从应用数据中进行选择,得到各数据类型对应的数据集合;将任一数据集合确定为目标集合,分别根据目标集合对应的各数据范围从目标集合的应用数据中进行选择,得到各数据范围对应的数据组合;分别确定各数据集合对应的集合权限、各数据组合对应的分组权限、各数据操作类型对应的操作权限;将集合权限、分组权限、操作权限中的至少一种确定为应用数据对应的数据权限信息。
在一些实施例中,数据类型包括用户、组织、应用等中的一种或多种;数据范围包括当前组织、所有组织、已关联应用等中的一种或多种;数据操作类型包括用户编辑、用户新增、组织编辑、组织新增等;数据权限信息以表格样式呈现,表格的层级结构如图5所示。
可选地,根据账户权限关系表对登录账户和目标应用进行匹配,得到登录账户映射于目标应用的当前权限信息,包括:应用指令包括数据操作指令、菜单请求指令、接口调用指令中的一种或多种:若应用指令包括数据操作指令,则接收目标应用发送的数据权限请求,根据账户权限关系表对数据权限请求进行匹配,得到登录账户映射于目标应用的数据权限信息,其中,数据权限请求包括数据权限请求标识、目标应用对应的预设应用标识、登录账户;若应用指令包括菜单请求指令,则接收目标应用发送的菜单权限请求,根据账户权限关系表对菜单权限请求进行匹配,得到登录账户映射于目标应用的菜单权限信息,其中,菜单权限请求包括菜单权限请求标识、目标应用对应的预设应用标识、登录账户;若应用指令包括接口请求指令,则接收目标应用发送的接口权限请求以及目标接口路径,根据账户权限关系表对接口权限请求进行匹配,得到登录账户映射于目标应用的接口权限信息,并根据目标接口路径对接口权限信息进行匹配,得到目标接口路径对应的接口权限子信息,其中,接口权限请求包括目标应用对应的预设应用标识、登录账户。
结合图6所示,利用认证中心根据账户权限关系表对登录账户和目标应用进行匹配,得到登录账户映射于目标应用的当前权限信息,其中,通过预设应用标识、登录账户确定数据权限请求,通过预设应用标识、登录账户确定菜单权限请求,通过预设应用标识、登录账户、目标接口路径确定接口权限请求。
可选地,方法还包括:建立用户管理接口和租户管理接口,同时,注册账户包括管理员账户、用户账户和租户账户中的至少一种;若客户端具有管理员账户,则通过客户端调用用户管理接口和租户管理接口,其中,用户管理接口用于对用户账户进行增加、删除、编辑以及修改密码,租户管理接口用于对租户账户进行增加、删除以及编辑。
在一些实施例中,在IAM服务中建立用户管理接口、租户管理接口、跳转登录接口、退出登录接口、第一获取接口和第二获取接口等。
结合图7所示,本公开实施例提供了一种基于多应用的应用权限控制系统,包括获取模块701、确定模块702、匹配模块703和发送模块704。获取模块701用于获取多个原始应用,并获取账户权限关系表,其中,账户权限关系表包括至少一个注册账户以及注册账户映射于各原始应用的应用权限信息;确定模块702用于将任一原始应用确定为目标应用,响应于目标应用接收到客户端发送的访问请求,确定客户端对应的登录标识,使得目标应用根据登录标识从注册账户中确定客户端对应的登录账户,并生成登录账户对应的登录令牌;匹配模块703用于响应于目标应用接收到客户端发送的应用指令,若客户端具有目标应用对应的登录令牌,则根据账户权限关系表对登录账户和目标应用进行匹配,得到登录账户映射于目标应用的当前权限信息;发送模块704用于将当前权限信息发送至目标应用,使得目标应用根据当前权限信息确定应用指令的执行允许状态。
采用本公开实施例提供的基于多应用的应用权限控制系统,获取多个原始应用以及账户权限关系表,通过提取客户端的登录标识使得目标应用确定客户端对应的登录账户,并生成登录账户对应的登录令牌,再通过账户权限关系表确定登录账户映射于目标应用的当前权限信息,从而通过当前权限信息使得目标应用确定应用指令的执行允许状态。这样,通过账户权限关系表统一管理注册用户与原始应用之间的权限信息,目标应用通过登录标识登录账户,从而根据账户权限关系表确定登录账户与目标应用之间的权限,从而确定应用指令的执行允许状态,实现在存在大量应用的情况下对应用的权限进行统一管理,统一鉴权,从而提高应用使用效率以及用户使用体验。
图8示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。需要说明的是,图8示出的电子设备的计算机系统800仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图8所示,计算机系统800包括中央处理单元(Central Processing Unit,CPU)801,其可以根据存储在只读存储器(Read-Only Memory,ROM)802中的程序或者从储存部分808加载到随机访问存储器(Random Access Memory,RAM)803中的程序而执行各种适当的动作和处理,例如执行上述实施例中的方法。在RAM 803中,还存储有系统操作所需的各种程序和数据。CPU 801、ROM 802以及RAM 803通过总线804彼此相连。输入/输出(Input/Output,I/O)接口805也连接至总线804。
以下部件连接至I/O接口805:包括键盘、鼠标等的输入部分806;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分807;包括硬盘等的储存部分808;以及包括诸如LAN(Local Area Network,局域网)卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器810上,以便于从其上读出的计算机程序根据需要被安装入储存部分808。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中,该计算机程序可以通过通信部分809从网络上被下载和安装,和/或从可拆卸介质811被安装。在该计算机程序被中央处理单元(CPU)801执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
本公开实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本实施例中的任一项方法。
本公开实施例中的计算机可读存储介质,本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过计算机程序相关的硬件来完成。前述的计算机程序可以存储于一计算机可读存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本实施例公开的电子设备,包括处理器、存储器、收发器和通信接口,存储器和通信接口与处理器和收发器连接并完成相互间的通信,存储器用于存储计算机程序,通信接口用于进行通信,处理器和收发器用于运行计算机程序,使电子设备执行如上方法的各个步骤。
在本实施例中,存储器可能包含随机存取存储器(Random Access Memory,简称RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、图形处理器(Graphics Processing Unit,简称GPU),网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
以上描述和附图充分地示出了本公开的实施例,以使本领域的技术人员能够实践它们。其他实施例可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求,否则单独的部件和功能是可选地,并且操作的顺序可以变化。一些实施例的部分和子样本可以被包括在或替换其他实施例的部分和子样本。而且,本申请中使用的用词仅用于描述实施例并且不用于限制权利要求。如在实施例以及权利要求的描述中使用的,除非上下文清楚地表明,否则单数形式的“一个”(a)、“一个”(an)和“”(the)旨在同样包括复数形式。类似地,如在本申请中所使用的术语“和/或”是指包含一个或一个以上相关联的列出的任何以及所有可能的组合。另外,当用于本申请中时,术语“包括”(comprise)及其变型“包括”(comprises)和/或包括(comprising)等指陈述的子样本、整体、步骤、操作、元素,和/或组件的存在,但不排除一个或一个以上其它子样本、整体、步骤、操作、元素、组件和/或这些的分组的存在或添加。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括要素的过程、方法或者设备中还存在另外的相同要素。本文中,每个实施例重点说明的可以是与其他实施例的不同之处,各个实施例之间相同相似部分可以互相参见。对于实施例公开的方法、产品等而言,如果其与实施例公开的方法部分相对应,那么相关之处可以参见方法部分的描述。
本领域技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,可以取决于技术方案的特定应用和设计约束条件。技术人员可以对每个特定的应用来使用不同方法以实现所描述的功能,但是这种实现不应认为超出本公开实施例的范围。技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本文所披露的实施例中,所揭露的方法、产品(包括但不限于装置、设备等),可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,可以仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些子样本可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例。另外,在本公开实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
附图中的流程图和框图显示了根据本公开实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这可以依所涉及的功能而定。在附图中的流程图和框图所对应的描述中,不同的方框所对应的操作或步骤也可以以不同于描述中所披露的顺序发生,有时不同的操作或步骤之间不存在特定的顺序。例如,两个连续的操作或步骤实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这可以依所涉及的功能而定。框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
Claims (10)
1.一种基于多应用的应用权限控制方法,其特征在于,包括:
获取多个原始应用,并获取账户权限关系表,其中,所述账户权限关系表包括至少一个注册账户以及所述注册账户映射于各所述原始应用的应用权限信息;
将任一原始应用确定为目标应用,响应于所述目标应用接收到客户端发送的访问请求,确定所述客户端对应的登录标识,使得所述目标应用根据所述登录标识从所述注册账户中确定所述客户端对应的登录账户,并生成所述登录账户对应的登录令牌;
响应于所述目标应用接收到所述客户端发送的应用指令,若所述客户端具有所述目标应用对应的登录令牌,则根据所述账户权限关系表对所述登录账户和所述目标应用进行匹配,得到所述登录账户映射于所述目标应用的当前权限信息;
将所述当前权限信息发送至所述目标应用,使得所述目标应用根据所述当前权限信息确定所述应用指令的执行允许状态。
2.根据权利要求1所述的方法,其特征在于,确定所述客户端对应的登录标识,包括:
查询所述客户端的账户登录状态;
若所述账户登录状态包括已登录状态,则对所述客户端进行信息提取,得到登录信息,并根据预设编码算法对所述登录信息进行编码,得到登录标识;
若所述账户登录状态包括未登录状态,则将预设登录页面发送至所述客户端,接收所述客户端反馈的登录信息,并根据预设编码算法对接收到的登录信息进行编码,得到登录标识,其中,所述客户端用于展示所述预设登录页面,并通过所述预设登录页面接收登录信息。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
建立跳转登录接口、退出登录接口、第一获取接口和第二获取接口中的至少一种,其中,所述第一获取接口用于根据登录标识从任一原始应用中调取对应的登录令牌,所述第二获取接口用于根据登录令牌从任一原始应用中调取对应的登录账户;
将所述跳转登录接口、所述退出登录接口、所述第一获取接口或所述第二获取接口与所述预设登录页面关联,使得所述客户端通过所述预设登录页面调用所述跳转登录接口、所述退出登录接口、所述第一获取接口或所述第二获取接口。
4.根据权利要求1所述的方法,其特征在于,通过以下方法获取账户权限关系表,包括:
将任一原始应用确定为待配置应用,其中,所述待配置应用包括应用数据、应用接口、应用菜单中的至少一种;
确定所述待配置应用对应的权限配置信息,其中,所述第一配置信息包括至少一个角色信息以及所述应用数据对应的数据权限信息、所述应用接口对应的接口权限信息、所述应用菜单对应的菜单权限信息;
分别根据各所述角色信息对所述数据权限信息、所述接口权限信息和所述菜单权限信息进行选择,得到各所述角色信息对应的角色权限信息;
获取至少一个注册账户,根据所述注册账户对各所述角色信息进行选择,得到所述注册账户对应的目标角色,并将所述目标角色和所述目标角色对应的角色权限信息确定为所述注册账户映射于所述待配置应用的应用权限信息。
5.根据权利要求4所述的方法,其特征在于,通过以下方法确定所述应用数据对应的数据权限信息:
获取多个数据类型以及各数据类型对应的数据范围,并获取多个数据操作类型;
分别根据各所述数据类型从所述应用数据中进行选择,得到各所述数据类型对应的数据集合;
将任一数据集合确定为目标集合,分别根据所述目标集合对应的各数据范围从所述目标集合的应用数据中进行选择,得到各所述数据范围对应的数据组合;
分别确定各所述数据集合对应的集合权限、各所述数据组合对应的分组权限、各所述数据操作类型对应的操作权限;
将所述集合权限、所述分组权限、所述操作权限中的至少一种确定为所述应用数据对应的数据权限信息。
6.根据权利要求4所述的方法,其特征在于,根据所述账户权限关系表对所述登录账户和所述目标应用进行匹配,得到所述登录账户映射于所述目标应用的当前权限信息,包括:
所述应用指令包括数据操作指令、菜单请求指令、接口调用指令中的一种或多种:
若所述应用指令包括数据操作指令,则接收所述目标应用发送的数据权限请求,根据所述账户权限关系表对所述数据权限请求进行匹配,得到所述登录账户映射于所述目标应用的数据权限信息,其中,所述数据权限请求包括数据权限请求标识、所述目标应用对应的预设应用标识、所述登录账户;
若所述应用指令包括菜单请求指令,则接收所述目标应用发送的菜单权限请求,根据所述账户权限关系表对所述菜单权限请求进行匹配,得到所述登录账户映射于所述目标应用的菜单权限信息,其中,所述菜单权限请求包括菜单权限请求标识、所述目标应用对应的预设应用标识、所述登录账户;
若所述应用指令包括接口请求指令,则接收所述目标应用发送的接口权限请求以及目标接口路径,根据所述账户权限关系表对所述接口权限请求进行匹配,得到所述登录账户映射于所述目标应用的接口权限信息,并根据所述目标接口路径对所述接口权限信息进行匹配,得到所述目标接口路径对应的接口权限子信息,其中,所述接口权限请求包括所述目标应用对应的预设应用标识、所述登录账户。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述方法还包括:
建立用户管理接口和租户管理接口,同时,注册账户包括管理员账户、用户账户和租户账户中的至少一种;
若所述客户端具有管理员账户,则通过所述客户端调用所述用户管理接口和所述租户管理接口,其中,所述用户管理接口用于对所述用户账户进行增加、删除、编辑以及修改密码,所述租户管理接口用于对所述租户账户进行增加、删除以及编辑。
8.一种基于多应用的应用权限控制系统,其特征在于,包括:
获取模块,用于获取多个原始应用,并获取账户权限关系表,其中,所述账户权限关系表包括至少一个注册账户以及所述注册账户映射于各所述原始应用的应用权限信息;
确定模块,用于将任一原始应用确定为目标应用,响应于所述目标应用接收到客户端发送的访问请求,确定所述客户端对应的登录标识,使得所述目标应用根据所述登录标识从所述注册账户中确定所述客户端对应的登录账户,并生成所述登录账户对应的登录令牌;
匹配模块,用于响应于所述目标应用接收到所述客户端发送的应用指令,若所述客户端具有所述目标应用对应的登录令牌,则根据所述账户权限关系表对所述登录账户和所述目标应用进行匹配,得到所述登录账户映射于所述目标应用的当前权限信息;
发送模块,用于将所述当前权限信息发送至所述目标应用,使得所述目标应用根据所述当前权限信息确定所述应用指令的执行允许状态。
9.一种电子设备,其特征在于,包括:处理器及存储器;
所述存储器用于存储计算机程序,所述处理器用于执行所述存储器存储的计算机程序,以使所述电子设备执行如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211073340.8A CN115622732A (zh) | 2022-09-02 | 2022-09-02 | 基于多应用的应用权限控制方法、系统、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211073340.8A CN115622732A (zh) | 2022-09-02 | 2022-09-02 | 基于多应用的应用权限控制方法、系统、电子设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115622732A true CN115622732A (zh) | 2023-01-17 |
Family
ID=84858014
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211073340.8A Pending CN115622732A (zh) | 2022-09-02 | 2022-09-02 | 基于多应用的应用权限控制方法、系统、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115622732A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115935330A (zh) * | 2023-02-24 | 2023-04-07 | 华谱科仪(北京)科技有限公司 | 色谱分析系统软件的功能授权方法、装置、设备和介质 |
-
2022
- 2022-09-02 CN CN202211073340.8A patent/CN115622732A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115935330A (zh) * | 2023-02-24 | 2023-04-07 | 华谱科仪(北京)科技有限公司 | 色谱分析系统软件的功能授权方法、装置、设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113239344B (zh) | 一种访问权限控制方法和装置 | |
| US9288213B2 (en) | System and service providing apparatus | |
| EP3231133B1 (en) | Providing selective access to resources | |
| CN108551437B (zh) | 用于认证信息的方法和装置 | |
| CN111580820B (zh) | 一种小程序生成方法和装置 | |
| CN112039826B (zh) | 应用于小程序端的登录方法和装置,电子设备,可读介质 | |
| US10582348B2 (en) | Message-based management service enrollment | |
| US20140089466A1 (en) | Method for providing data to a user | |
| CN104753892A (zh) | 一种网络资源传输方法、装置和系统 | |
| CN113361838A (zh) | 业务风控方法、装置、电子设备和存储介质 | |
| CN115622732A (zh) | 基于多应用的应用权限控制方法、系统、电子设备及介质 | |
| CN105075174A (zh) | 服务关系和通信管理 | |
| CN113572763B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN112580065A (zh) | 一种数据查询方法和装置 | |
| CN113765866B (zh) | 一种登录远程主机的方法和装置 | |
| CN110765445B (zh) | 处理请求的方法和装置 | |
| CN114417318A (zh) | 第三方页面的跳转方法、装置和电子设备 | |
| CN113468487B (zh) | 界面水印渲染方法、装置、电子设备和计算机可读介质 | |
| EP4022471B1 (en) | System and method for implementing market data rights enforcement | |
| CN114745164B (zh) | 一种业务处理方法、装置、电子设备及计算机可读介质 | |
| CN115904601B (zh) | 用于生成因用户而异的应用首页的方法、设备和介质 | |
| CN111177767B (zh) | 跨区域机检任务信息处理系统及方法 | |
| CN114189365A (zh) | 基于字段映射的通用多租户业务授权方法和装置 | |
| CN117041959A (zh) | 一种业务处理方法、装置、电子设备及计算机可读介质 | |
| CN115774501A (zh) | 交互方法、装置和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |