CN116982042A - 灵活授权的访问控制方法、相关装置及系统 - Google Patents

Abstract

本申请提供了灵活授权的访问控制方法、相关装置及系统。在该方法中，接收到访问请求的电子设备如果不具备授权条件，或者，当前不适合授权，或者，当前不能及时得到用户的授权，则该电子设备可以在分布式系统中选择其中一个电子设备作为授权设备。该授权设备获取到用户授予的该访问请求所要求的权限后，通知该电子设备，之后该电子设备可以响应该访问请求。实施本申请提供的技术方案，可以在不干扰用户、保证用户体验的情况下，使得电子设备能够快速、便捷地获取访问请求所需的权限并响应该访问请求，从而保证电子设备中的数据安全，并满足用户需求。

Description

灵活授权的访问控制方法、相关装置及系统

本申请要求于2021年03月12日提交中国专利局、申请号为202110268814.3、申请名称为“灵活授权的访问控制方法、相关装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机及通信技术领域，尤其涉及灵活授权的访问控制方法、相关装置及系统。

背景技术

随着智能终端的发展，用户生活中的设备种类及数量也越来越多，各个设备互通互联的分布式场景正在逐渐实现。在分布式场景中，设备之间互相共享资源，例如共享计算能力、存储资源、网络资源等等，将成为未来的趋势。

为了保护用户隐私，相关技术要求电子设备中的应用程序在访问用户的敏感信息时，必须显式地获取用户的授权。在分布式场景中，一个设备访问另一个设备中的资源时，需要用户在被访问的设备上进行授权。

但是，在被访问的设备不具备授权条件，或者不在用户旁边时，用户不能及时对该设备进行授权，影响设备间的资源共享。此外，如果被访问的设备正在执行第一任务时，用户授权可能会中断该任务，影响用户体验。

发明内容

本申请提供了灵活授权的访问控制方法、相关装置及系统，可以在不干扰用户、保证用户体验的情况下，使得电子设备能够快速、便捷地获取访问请求所需的权限并响应该访问请求。

第一方面，本申请实施例提供了一种灵活授权的访问控制方法，该方法应用于包含多个电子设备的通信系统，多个电子设备包括第一设备，第一设备中安装有被调用者，被调用者为应用程序APP或功能组件，APP为实现多个功能的程序实体，功能组件为实现单一功能的程序实体。

第一方面的方法包括：第一设备获取访问请求，访问请求用于调用第一设备中的被调用者以访问第一设备中的第一资源；在以下一种或多种情况下，第一设备在多个电子设备中确定第二设备：第一设备未配置用于接收第一操作的第一模块、第一设备配置有第一模块且使用第一模块执行第一任务、第一设备处于锁屏状态，或，第一设备和用户之间的距离大于第一值；第一设备向第二设备发送授权请求，授权请求用于请求用户授予第一权限，第一权限包括调用第一设备中的被调用者的权限，和/或，访问第一设备中第一资源的权限；第二设备响应于授权请求输出提示信息，提示信息用于提示第一权限；第二设备接收到第一操作，并响应于第一操作向第一设备发送授权结果，授权结果指示用户授予了第一权限；第一设备响应于授权结果，调用被调用者以访问第一资源。

在第一方面的方法中：

第一模块包括电子设备实际具备的硬件和/或软件。电子设备可利用该第一模块提供授权 方式以获取用户的授权。该第一模块例如可包括但不限于以下一项或多项：显示屏、指纹传感器、摄像头、人脸识别算法、拾音设备或按键。一个电子设备具备的第一模块可以有多个。不同电子设备具备的第一模块可以相同，也可以不同。

第一设备未配置用于接收第一操作的第一模块，说明该第一设备不具备授权条件。

电子设备在提供授权方式以供用户授权时，该电子设备中会被中断或者被暂停的任务，可以称为第一任务。一方面，第一任务和电子设备支持的授权方式相关。电子设备执行第一任务时所使用的资源，和该电子设备支持的授权方式所需的资源相同。另一方面，该第一任务可以和用户体验相关，第一任务被中断或者暂停后会影响用户体验的任务，该第一任务是用户不希望被中断或者暂停的任务。不同的电子设备对应的第一任务可以相同，也可以不同，这里不做限制。

示例性地，第一任务可以包括以下一项或多项：全屏运行游戏类应用，或者，全屏观看视频。

第一设备配置有第一模块且使用第一模块执行第一任务，说明如果该第一设备提供授权方式则会干扰用户，影响用户体验。

第一设备处于锁屏状态时，需要用户对该电子设备执行解锁操作后，该电子设备才能提供授权方式以供用户授权，操作繁琐。

第一设备和用户之间的距离大于第一值时，电子设备不能在预设时间内得到用户的授权。

因此，实施第一方面提供的方法，第一设备可以在不干扰用户、保证用户体验的情况下，快速、便捷地获取访问请求所需的权限并响应该访问请求，满足用户的实际需求。

结合第一方面，在一些实施方式中，通信系统中的多个电子设备还包括第三设备，第三设备安装有调用者，调用者为APP或功能组件。第一设备获取到的访问请求可以是第三设备向第一设备发送的，该访问请求具体用于第三设备中的调用者调用第一设备中的被调用者并访问第一资源。

通过上一实施方式，如果电子设备接收到其他电子设备发送的访问请求，则可以在不干扰用户、保证用户体验的情况下，使得接收到访问请求的电子设备能够获取该访问请求所需的权限，从而保证分布式系统中的电子设备可以跨设备访问另一电子设备中的资源，使得电子设备之间可以互相共享资源，满足用户的实际需求。

结合上一实施方式，第一权限可以包括以下一项或多项：

1，第三设备调用第一设备中的被调用者的权限，和/或，第三设备访问第一设备中第一资源的权限。

2，调用者调用第一设备中的被调用者的权限，和/或，调用者访问第一设备中第一资源的权限。

当第一权限涉及第三设备和/或调用者时，用户可以获知关于第一设备获取到的访问请求所需的权限的更加细致、详细的信息，从而决定是否授予该权限给第一设备。这样可以保证用户在充分了解访问请求所需的权限的情况下，再执行授权操作，可以避免用户误操作或者误授权，保证第一设备中的数据安全。

结合上一实施方式，第三设备向第一设备发送访问请求之前，第一设备可以向第三设备发送第一能力信息，第一能力信息指示第一设备将第二权限开放给第三设备，第二权限包括调用第一设备中的被调用者和/或访问第一资源的权限。

第一设备向第三设备发送第一能力信息之后，第三设备可以将第二权限授予给调用者。这样，第三设备中的调用者就具备了调用第一设备中的被调用者和/或访问第一资源的权限， 并可以向第一设备发送访问请求。

结合第一方面，在一些实施方式中，第一设备中还安装有调用者，调用者为APP或功能组件。第一设备可以生成访问请求，访问请求具体用于第一设备中的调用者调用被调用者并访问第一资源。

结合第一方面以及上述任意一种实施方式，在一些实施方式中，第一设备和第二设备可以通过登录相同账号、绑定设备、扫描二维码等方式来建立通信连接等。这里对第一设备和第二设备之间建立的通信连接的类型不做限定，例如可包括有线连接、无线连接例如蓝牙连接、Wi-Fi P2P连接、NFC连接，IR连接，以及远程连接等等。

结合第一方面以及上述任意一种实施方式，在一些实施方式中，第一设备可以通过以下策略来选择第二设备：

1，如果第一设备为瘦设备，则选择该瘦设备的控制设备作为授权设备，或者，选择分布式系统中的富设备作为授权设备，或者，选择和该第一设备保持通信连接超过预设时长的电子设备。

2，在通信系统除第一设备外的其他电子设备中，根据各个电子设备的以下一项或多项来选择授权设备：是否配置第一模块、配置的第一模块的数量、屏幕状态、运行状态，或者，和用户之间的距离。

例如，第一设备可以选择配置有第一模块的电子设备作为第二设备。又例如，第一设备可以选择符合以下一项或多项的电子设备作为第二设备：屏幕状态为解锁状态、运行状态指示未执行第一任务，或者，和用户之间的距离小于第二值。

结合第一方面以及上述任意一种实施方式，在一些实施方式中，第一操作包括以下一项或多项：作用于显示屏的用户操作、预设的人脸图像、预设的指纹、预设的语音指令，或者，作用于按键的用户操作。

结合第一方面以及上述任意一种实施方式，在一些实施方式中，第二设备可以响应于授权请求，显示第一用户界面，第一用户界面中显示有提示信息和第一控件；第一操作包括作用于第一控件的用户操作。也即是说，第二设备可以通过弹框授权的方式，获取用户授予的第一权限。

结合第一方面以及上述任意一种实施方式，在一些实施方式中，第一设备获取访问请求之后，还可以确定第二模块，并向第二设备发送第二模块的指示信息。第二设备使用第二模块接收到第一操作。

在一个具体的示例中，第一设备可以预先对各类授权方式进行优先级排序，例如弹框授权、人脸验证授权、指纹验证授权、语音指令授权、按键授权的优先级依次降低，并且将第二设备具备的优先级最高的授权方式所对应的第一模块，确定为第二模块。

结合第一方面以及上述任意一种实施方式，在一些实施方式中，可以是敏感资源。敏感资源可以是指，被泄露后会对用户隐私造成较大风险的资源，例如隐私程度高于阈值的资源。敏感资源可以包括电子设备中的硬件资源、软件资源以及存储的数据。这样可以保证第一设备中的敏感资源被访问时，可以显示地获取用户的授权，从而保证用户数据的安全。

第二方面，本申请提供了一种灵活授权的访问控制方法，该方法应用于第一设备，第一设备中安装有被调用者，被调用者为应用程序APP或功能组件，APP为实现多个功能的程序实体，功能组件为实现单一功能的程序实体。该方法包括：第一设备获取访问请求，访问请求用于调用第一设备中的被调用者以访问第一设备中的第一资源；在以下一种或多种情况下，第一设备在多个电子设备中确定第二设备：第一设备未配置用于接收第一操作的第一模块、 第一设备配置有第一模块且使用第一模块执行第一任务、第一设备处于锁屏状态，或，第一设备和用户之间的距离大于第一值；第一设备向第二设备发送授权请求，授权请求用于请求用户授予第一权限，第一权限包括调用第一设备中的被调用者的权限，和/或，访问第一设备中第一资源的权限；第一设备接收到授权设备发送的授权结果，授权结果指示用户授予了第一权限；第一设备响应于授权结果，调用被调用者以访问第一资源。

在第二方面提供的方法中，第一设备所执行的各个操作的具体实现，可参考第一方面或第二方面任意一种实施方式中，关于第一设备侧的相关描述，这里不再赘述。

第三方面，本申请提供了一种灵活授权的访问控制方法，应用于第二设备，该方法包括：第二设备接收到第一设备发送的授权请求，授权请求用于请求用户授予第一权限，第一权限包括调用第一设备中的被调用者的权限，和/或，访问第一设备中第一资源的权限；第一设备中安装有被调用者，被调用者为应用程序APP或功能组件，APP为实现多个功能的程序实体，功能组件为实现单一功能的程序实体；第二设备响应于授权请求输出提示信息，提示信息用于提示第一权限；第二设备接收到第一操作，并响应于第一操作向第一设备发送授权结果，授权结果指示用户授予了第一权限。

在第三方面提供的方法中，第二设备所执行的各个操作的具体实现，可参考第一方面或第二方面任意一种实施方式中，关于第二设备侧的相关描述，这里不再赘述。

第四方面，本申请实施例提供了一种电子设备，包括：存储器、一个或多个处理器；存储器与一个或多个处理器耦合，存储器用于存储计算机程序代码，计算机程序代码包括计算机指令，一个或多个处理器调用计算机指令以使得电子设备执行如第二方面或第二方面任意一种实施方式的方法。

第五方面，本申请实施例提供了一种电子设备，包括：存储器、一个或多个处理器；存储器与一个或多个处理器耦合，存储器用于存储计算机程序代码，计算机程序代码包括计算机指令，一个或多个处理器调用计算机指令以使得电子设备执行如第三方面或第三方面任意一种实施方式的方法。

第六方面，本申请实施例提供了通信系统，包括第一设备、第二设备，第一设备用于执行如第二方面或第二方面任意一种实施方式的方法，第二设备用于执行如第三方面或第三方面任意一种实施方式的方法。

第七方面，本申请实施例提供了一种计算机可读存储介质，包括指令，当指令在电子设备上运行时，使得电子设备执行如第二方面或第二方面任意一种实施方式、第三方面或第三方面任意一种实施方式的方法。

第八方面，本申请实施例提供了一种计算机程序产品，当计算机程序产品在计算机上运行时，使得计算机执行如第二方面或第二方面任意一种实施方式、第三方面或第三方面任意一种实施方式的方法。

实施本申请提供的技术方案，接收到访问请求的电子设备如果不具备授权条件，或者，当前不适合授权，或者，当前不能及时得到用户的授权，则该电子设备可以在分布式系统中选择其中一个电子设备作为授权设备。该授权设备可以请求用户授予该访问请求所要求的权限后，并将授权成功的授权结果发送给该电子设备，之后该电子设备可以响应该访问请求。本申请提供的技术方案，可以在不干扰用户、保证用户体验的情况下，使得电子设备能够快速、便捷地获取访问请求所需的权限并响应该访问请求，从而保证电子设备中的数据安全，并满足用户需求。

附图说明

图1本申请实施例提供的通信系统10的结构示意图；

图2为本申请实施例提供的一种分布式场景；

图3A为本申请实施例提供的电子设备的硬件结构图；

图3B为本申请实施例提供的电子设备的软件结构图；

图3C为本申请实施例提供的主体设备的软件结构图；

图3D为本申请实施例提供的客体设备的软件结构图；

图4为本申请实施例提供的灵活授权的访问控制方法的流程图；

图5A-图5B为本申请实施例提供的在客体设备上实现的一组用户界面；

图6A-图6C为本申请实施例提供的在主体设备上实现的一组用户界面；

图7A-图7D为本申请实施例提供的授权设备请求授权的场景；

图8为本申请实施例提供的在客体设备上实现的用户界面。

具体实施方式

下面将结合附图对本申请实施例中的技术方案进行清楚、详尽地描述。其中，在本申请实施例的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B；文本中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，另外，在本申请实施例的描述中，“多个”是指两个或多于两个。

以下，术语“第一”、“第二”仅用于描述目的，而不能理解为暗示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征，在本申请实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。

本申请以下实施例中的术语“用户界面(user interface，UI)”，是应用程序或操作系统与用户之间进行交互和信息交换的介质接口，它实现信息的内部形式与用户可以接受形式之间的转换。用户界面是通过java、可扩展标记语言(extensible markup language，XML)等特定计算机语言编写的源代码，界面源代码在电子设备上经过解析，渲染，最终呈现为用户可以识别的内容。用户界面常用的表现形式是图形用户界面(graphic user interface，GUI)，是指采用图形方式显示的与计算机操作相关的用户界面。它可以是在电子设备的显示屏中显示的文本、图标、按钮、菜单、选项卡、文本框、对话框、状态栏、导航栏、Widget等可视的界面元素。

本申请以下实施例提供了灵活授权的访问控制方法、相关装置及系统。该方法可以应用于包含多个电子设备的分布式系统。

在该方法中，电子设备获取到用于访问第一资源的访问请求之后，如果该电子设备不具备授权条件，或者，该电子设备当前正在执行第一任务，或者，该电子设备不能及时得到用户的授权，则该电子设备可以在分布式系统中选择其中一个电子设备作为授权设备。该授权设备请求用户授予该访问请求所要求的权限后，可以将授权结果发送给该电子设备。如果该授权结果表示用户允许授予该访问请求所要求的权限，则该电子设备获取到该访问请求所需的权限，并可以响应该访问请求访问第一资源。

其中，该电子设备获取到的访问请求，可以是分布式系统中的其他电子设备发送给该电子设备的，也可以是该电子设备自身生成的，这里不做限制。

实施本申请实施例提供的访问控制方法，如果电子设备接收到其他电子设备发送的访问请求，则可以在不干扰用户、保证用户体验的情况下，使得接收到访问请求的电子设备能够快速、便捷地获取该访问请求所需的权限，从而保证分布式系统中的电子设备可以跨设备访问另一电子设备中的资源，使得电子设备之间可以互相共享资源，满足用户的实际需求。

实施本申请实施例提供的访问控制方法，如果电子设备自身生成访问请求，则可以在保证用户体验的情况下，使得该电子设备能够获取该访问请求所需的权限，从而保证该电子设备可以访问自身的资源，满足用户的实际需求。

在本申请一些实施例中，第一资源可以是敏感资源。敏感资源可以是指，被泄露后会对用户隐私造成较大风险的资源，例如隐私程度高于阈值的资源。敏感资源可以包括电子设备中的硬件资源、软件资源以及存储的数据。硬件资源例如可包括摄像头、音频设备、显示屏等等。软件资源例如可包括内存资源、计算能力(例如美颜算法能力、音视频编解码能力)、网络能力、定位功能、高机密性的APP(例如银行类APP)等等。存储的数据例如可包括存储的用户信息、照片、视频、用户登录到应用程序的密码等等。

授权是指，用户授予电子设备执行某个操作的权限。

当电子设备支持一种或多种授权方式以供用户授权时，该电子设备具备授权条件。授权方式可包括但不限于：弹框授权、指纹验证授权、人脸验证授权、语音指令授权、按键授权等等，这里不做限制。授权方式的具体描述，可参考后文方法实施例。

电子设备是否具备授权条件以及支持的授权方式的种类，取决于该电子设备的硬件和/或软件配置。例如，支持弹框授权需要电子设备配置显示屏。支持指纹验证授权，需要电子设备配置指纹传感器。支持人脸验证授权，需要电子设备配置摄像头以及人脸识别算法。支持语音指令授权，需要电子设备配置麦克风或其他拾音设备。支持按键授权，需要电子设备配置物理按键。

在本申请实施例中，电子设备提供授权方式所需的硬件和/或软件可以被称为第一模块。该第一模块例如可包括但不限于以下一项或多项：显示屏、指纹传感器、摄像头、人脸识别算法、拾音设备或按键。

电子设备在提供授权方式以供用户授权时，该电子设备中会被中断或者被暂停的任务，可以称为第一任务。一方面，第一任务和电子设备支持的授权方式相关。电子设备执行第一任务时所使用的资源，和该电子设备支持的授权方式所需的资源相同。该资源可以为同一时间只能被一个应用访问的独占式资源。因此，电子设备在提供授权方式以供用户授权时，该电子设备会中断或者暂停正在执行的第一任务。另一方面，该第一任务可以和用户体验相关，第一任务被中断或者暂停后会影响用户体验的任务，该第一任务是用户不希望被中断或者暂停的任务。

例如，电子设备支持的授权方式为弹框授权时，该第一任务可包括全屏运行游戏类应用、全屏播放视频等等。弹框授权、全屏运行游戏类应用/视频类应用均需要使用电子设备的显示屏，并且，中断全屏运行游戏类应用/视频类应用是用户不愿意发生的情况，会影响用户体验。

又例如，电子设备支持的授权方式为人脸验证授权时，该第一任务可包括运行拍照类应用。人脸验证授权和拍照类应用均需要使用电子设备的摄像头，并且，中断拍照会影响用户体验。

又例如，电子设备为智能耳机时，可支持语音指令授权，该第一任务可以不包括该智能耳机播放音乐或游戏音效。智能耳机在播放音乐或游戏音效时，可以同时播放提示信息并接收用户输入的语音指令，并且不会对用户造成干扰，不影响用户体验。

在本申请实施例中，不同的电子设备对应的第一任务可以相同，也可以不同，这里不做限制。

电子设备不能及时得到用户的授权可以包括以下两种情况：1，电子设备在当前所处的场景中不能直接提供授权方式以供用户授权，而需要用户执行更多的操作。例如，当电子设备锁屏时，需要用户对该电子设备执行解锁操作后，该电子设备才能提供授权方式以供用户授权。2，用户不在电子设备附近时，电子设备不能在预设时间内得到用户的授权。具体的，当用户和电子设备之间的距离大于第一值时，电子设备不能在预设时间内得到用户的授权。例如，当该电子设备未被用户携带或者距离用户较远时，该电子设备提供授权方式后，不能在预设时间内获取到用户的授权。

电子设备在分布式系统中各个电子设备中选择一个电子设备作为授权设备时所使用的策略，可参考后文方法实施例的相关描述，这里暂不赘述。

在本申请以下实施例中，授权设备具备授权条件，并且用于请求用户授予上述提及的访问请求所要求的权限。也就是说，该授权设备仅仅是电子设备访问资源时所借助的中间设备，其并不属于资源访问过程直接涉及的设备。

下面，首先介绍本申请实施例提供的通信系统。

如图1所示，本申请实施例提供了通信系统10。通信系统10包括：多个电子设备。通信系统10也可以称为分布式系统10。

分布式系统10中包含的多个电子设备均为智能终端设备，可以为各种类型，本申请实施例对该多个电子设备的具体类型不作限制。例如，该多个电子设备包括手机，还可以包括平板电脑、桌面型计算机、膝上型计算机、手持计算机、笔记本电脑、智慧屏、可穿戴式设备、增强现实(augmented reality，AR)设备、虚拟现实(virtual reality，VR)设备、人工智能(artificial intelligence,AI)设备、车机、智能耳机，游戏机，还可以包括物联网(internet of things，IOT)设备或智能家居设备如智能热水器、智能灯具、智能空调等等。不限于此，分布式系统10中的多个设备还可以包括具有触敏表面或触控面板的膝上型计算机(laptop)、具有触敏表面或触控面板的台式计算机等非便携式终端设备等等。

分布式系统10中的多个电子设备均为部署在家庭中的设备时，分布式系统10也可被称为家庭分布式系统。

分布式系统10中的多个电子设备之间可以通过登录相同的账号进行连接。例如，多个电子设备可以登录同一华为账号，并通过服务器来远程连接并通信。

分布式系统10中的多个电子设备也可以登录不同账号，但通过绑定的方式进行连接。一个电子设备登录账号后，可以在设备管理应用中，绑定登录不同账号或未登录的其他电子设备，之后这些电子设备之间可以通过该设备管理应用通信。

分布式系统10中的多个电子设备还可以通过扫描二维码、近场通信(near field communication，NFC)碰一碰、搜索蓝牙设备等方式建立连接，这里不做限制。

总的来说，分布式系统10中的多个电子设备之间建立的通信连接可包括但不限于：有线连接、无线连接例如蓝牙(bluetooth，BT)连接、无线局域网(wireless local area networks，WLAN)例如无线保真点对点(wireless fidelity point to point，Wi-Fi P2P)连接、近距离无线通信(near field communication，NFC)连接，红外技术(infrared，IR)连接，以及远程连接(例如通过服务器建立的连接)等等。

此外，分布式系统中的多个电子设备也可以结合上述任意几种方式来连接并通信，本申 请实施例对此不做限制。

分布式系统10中的电子设备按照设备类型，还可分为瘦设备和富设备。在本申请实施例中，富设备可以是指具备授权条件的电子设备，瘦设备可以是指不具备授权条件的电子设备。授权条件的定义可参考前文相关描述。

当分布式系统10中包括富设备和瘦设备时，富设备和瘦设备之间可以通过绑定的方式建立连接。例如，富设备中安装有设备管理应用，并可以通过账号登录到该设备管理应用。之后，该富设备可以通过扫描二维码、NFC、蓝牙等方式发现附近的瘦设备(例如电子设备200)后，然后根据用户操作，将该瘦设备绑定到富设备登录该设备管理应用所使用的账号中。

瘦设备和富设备登录设备管理应用的账号绑定后，该富设备可以通过该设备管理应用来管理该瘦设备，例如向瘦设备发送各类指令以指示瘦设备执行对应的操作等等。该富设备可以称为该瘦设备的控制设备或管理设备。

瘦设备和富设备登录设备管理应用的账号绑定后，该瘦设备可以将该账号作为自己的主(owner)账号，并使用该主账号加入分布式系统，进而和分布式系统中的其他电子设备通信。

在一些实施例中，瘦设备可以直接和其他设备建立连接，并和其他电子设备通信，瘦设备每次和其他设备通信时都携带自己的主账号。其他电子设备通过该主账号，即可获知该设备为瘦设备，并可以查询到该瘦设备的控制设备。

在另一些实施例中，瘦设备可以通过富设备和其他电子设备通信。例如，瘦设备可以将自身想要发送给其他电子设备的消息发送给富设备，然后由富设备转发给其他电子设备。

分布式系统10中的多个电子设备可以配置不同的软件操作系统(operating system，OS)，包括但不限于 等等。其中， 为华为的鸿蒙系统。

该多个电子设备也可以都配置相同的软件操作系统，例如可以均配置 在多个电子设备的软件系统均为 时，分布式系统10可以看作一个超级终端。

在本申请实施例中，分布式系统10中的各个设备可以安装传统的应用程序(application，APP)，例如相机应用、图库应用、设置应用等等。后续实施例中，传统APP可以简称为APP。

此外，本申请实施例提供的分布式系统10可以安装分布式应用(distributed application)。该分布式应用可以为系统应用，也可以为第三方应用，这里不做限制。

与包含多种能力(ability)的APP不同，分布式应用支持以单一能力(ability)为单位进行部署。一个分布式应用包括一个或多个功能组件。

功能组件是电子设备中可独立运行的最小能力单元，是对单一能力进行抽象封装的概念。APP将多个功能集合在一起，而功能组件将各个功能作为单独的服务化基础能力，独立存在。即，功能组件是实现单一功能的程序实体。

每个功能组件都可以独立下载、安装并运行。组成同一个分布式应用的多个功能组件，可以部署在分布式系统10中的同一个电子设备中，也可以部署在不同电子设备中。

功能组件只是本实施例中所使用的一个词语，其代表的含义在本实施例中已经记载，其名称并不能对本实施例构成任何限制。另外，在本申请其他一些实施例中，功能组件也可以称为系统组件、系统服务、业务功能等其他名词。本申请后续实施例统一以“功能组件”进行描述。

以 为例， 中的功能组件可以包括以下两种类别：

(1)feature ability，FA。

FA是包含一组或若干组UI的功能组件，可以提供与用户交互的能力。例如，地图应用 中的导航界面、即时通讯应用中的视频通话界面等，可以实现为FA。

在一些实施例中，FA基于MVVM(model-view-view-model)模式开发，将视图UI和业务逻辑分离，业务逻辑代码和视图UI代码分开部署。例如，一个电子设备可以将业务逻辑代码和其他APP集成在一起安装，而视图UI代码则可以安装到其他电子设备中。视图UI代码所在设备，可以和业务逻辑代码所在设备通信，以获取到展示UI所需要的数据。

FA支持page模板的能力，例如Empty Ability，Login Ability，Setting Ability等。FA采用脚本语言(java script，JS)提供声明式开发模式，采用类HTML和层叠样式表(cascading style sheet，CSS)声明式编程语言作为页面布局和页面样式的开发语言，并支持ECMAScript规范的JS语言提供页面业务逻辑。

FA具有免安装、独立运行、跨设备UI迁移、跨设备二进制迁移等能力。FA还具有多端部署、分布执行的特性。

FA可以调用AA或APP，实现更多、更复杂的功能。

(2)particle ability，PA。

PA是无UI的功能组件，可以为FA提供支持，例如PA可以作为后台服务提供计算能力，或作为数据仓库提供数据访问能力。例如，美颜功能、定位功能、音视频编解码功能等，可以封装为PA。

PA同样具有多端部署、分布式执行等特性。PA仅对系统服务有依赖关系，和其他PA之间不存在依赖关系。

PA实际上将远程虚拟化、远程调用、PA管理、跨平台兼容、安全等实现做封装，对开发者开放跨设备的服务使能和唤起，以供其他设备调用本设备的计算能力，协同其他设备完成计算工作。PA支持Service Ability，Data Ability等。Service Ability用于提供后台运行任务的能力。Data Ability用于对外部提供统一的数据访问抽象。

PA可以调用FA或APP，实现更多、更复杂的功能。

可以理解的是，“FA”、“PA”只是本实施例中所使用的一个词语，在本申请其他一些实施例中，其还可以被称为其他名词。例如，“PA”、“FA”也可以被称为例如原子能力(atomic ability，AA)、原子应用、元能力、原子化服务、特性能力等其他名词。

组成一个分布式应用的多个功能组件可以由同一个开发者来开发或提供，可以由多个开发者分别开发或提供，这里不做限制。不同开发者共同开发功能组件，可以提高分布式应用的开发效率。

在本申请实施例中，功能组件对外提供标准化的接口，以供调用。APP可调用功能组件。在一些情况下，功能组件也可以调用其他功能组件或APP。此外，被调用的功能组件也可以继续调用另外的功能组件或APP，这样多级调用的方式可称为链式调用。

参考图2，图2示例性示出了一种可能的分布式的远程教学业务场景。

如图2所示，分布式系统包含智能手机、平板电脑、智慧屏等电子设备。分布式系统中的各个设备两两相互连接。智能手机、平板电脑、智慧屏可以配置不同的软件操作系统(operating system，OS)，例如智能手机和平板电脑可以配置 系统，智慧屏可以配置 系统。

智能手机中安装有“在线课堂”。“在线课堂”是一款安装于电子设备中、为老师和学生提供远程上课所需的各项功能的应用程序，本申请实施例对其名称不做限制。“在线课堂”可以包括以下几个功能组件：黑板功能组件、白板功能组件、音视频编解码功能组件、网络连接功能组件。其中，黑板功能组件、白板功能组件属于FA，音视频编解码功能组件、网络连接 功能组件属于PA。黑板功能组件提供远程讲解课程的功能。白板功能组件提供远程回答问题的功能。音视频编解码功能组件提供视频音编解码功能。

在老师侧，老师在智能手机上使用“在线课堂”时，可以将黑板功能组件迁移或切换到智慧屏上，从而在智慧屏上讲解课程。

在学生侧，学生在智能手机上使用“在线课堂”时，可以将白板功能组件迁移或切换到平板电脑上，从而在平板电脑上回答问题。

将功能组件由一个设备A迁移或切换至另一设备B，可以包括以下两种：1，UI迁移。在FA的视图UI和业务逻辑分离时，设备A可以运行业务逻辑代码时，可以触发设备B运行该视图UI的代码，用户看来就好像是将功能组件从设备A迁移到了设备B中。2，整体迁移。整体迁移是指设备B从设备A处或者从网络中下载并安装该功能组件后，运行该功能组件并提供相应的功能。

在该远程教学业务场景中，“在线课堂”为调用者，平板电脑中的白板功能组件、智慧屏中的黑板功能组件为被调用者。

图2还示出了另一种可能的分布式视频通话业务场景。

如图2所示，智能手机还可以安装有其他分布式应用，例如即时通讯应用。即时通讯应用可以提供视频通话、语音通话及其他通信功能。即时通信应用可以包括以下功能组件：视频通话功能组件、音视频编解码功能组件、网络连接功能组件。

用户在智能手机上使用即时通讯应用时，可以将该应用的视频通话功能组件迁移或者切换到智慧屏上，从而利用智慧屏的摄像头和显示屏来进行视频通话。

上述“在线课堂”中的黑板功能组件，和，即时通讯应用中的视频通话功能组件，可以是同一个功能组件。也就是说，智慧屏中的该功能组件可以被智能手机上安装的“在线课堂”和即时通讯应用分别调用。

在该视频通话业务场景中，即时通讯应用为调用者，智慧屏中的视频通话功能组件(即视频通话功能组件)为被调用者。

需要说明的是，如图2所示的业务场景仅用于辅助描述本申请实施例的技术方案。在实际业务场景中，图2所示的分布式系统可以包括更多的终端设备，各个设备中可以部署更多或更少的功能组件，各分布式应用可以包括更多或更少的功能组件。

通过图1所示的分布式系统10，以及，图2所示的分布式场景，可以整合不同设备的软硬件能力，实现智慧化的全场景体验。

在一些实施例中，分布式系统10中的各个设备建立通信连接后，各个设备将同步分布式系统中其他设备的功能组件信息以及APP信息。具体的，各个设备可以将自身安装的功能组件及APP的名称同步给其他设备，以供后续在分布式系统10中调用其他设备的APP、功能组件等等。

在本申请后续实施例中：发起调用功能组件或APP的一方，可以称为调用者。调用者例如可以为APP、服务、FA或PA。整个调用链的初始发起者，可以称为首调者。首调者例如可以为APP或FA。举例来说，调用链为：APP1调用PA1，PA1调用PA2，PA2调用FA1，则APP1为首调者。再举例来说，调用链为：FA1调用PA1，PA1调用PA2，则FA1为首调者。

在整个调用链中，中间被调用的一方以及最后被调用的一方，都可以称为被调用者。被调用者例如可以为APP、FA或PA。

在本申请一些实施例中，调用者也可以称为主体应用，被调用者还可以称为客体应用。

在调用链中，调用者，以及，被调用者，可以部署在同一个电子设备中，也可以部署在不同的电子设备中。

调用者所在设备称为主体设备，被调用者所在设备为客体设备。

本申请以下实施例所称的应用，可以包括APP，也可以包括功能组件。

在本申请实施例提供的分布式系统10中：

各个电子设备之间建立通信连接后，各个设备将相互同步自身开放给其他设备的能力信息，以及，各自的设备属性。

其中，电子设备开放给其他设备的能力包括可供调用的APP、功能组件或者标识等等。电子设备开放给其他设备的能力信息用于指示上述能力，例如可包括：该电子设备开放给其他设备以供调用的APP以及功能组件的标识、该电子设备开放给其他设备以供访问的资源的标识等等。

一个电子设备开放给其他设备的能力，可以由该电子设备预先设定，也可以由用户设置，这里不做限制。例如，电子设备可以将机密性较低或敏感度较低的APP或功能组件开放给其他设备，如电子设备可以将相机应用、图库应用等开放给其他设备，而不将银行类应用开放给其他设备。

同一个电子设备开放给不同的其他电子设备的能力，可以相同，也可以不同，这里不做限制。

电子设备将自身开放给其他设备的能力信息同步给其他设备后，后续分布式系统10中的其他设备可以根据该能力信息来调用该电子设备中的APP或功能组件。

电子设备的属性可包括以下一项或多项：该电子设备是否具备授权条件，该电子设备支持的授权方式、该电子设备的屏幕状态、该电子设备的运行状态、该电子设备和用户之间的距离等等。

由于电子设备的屏幕状态、该电子设备的运行状态、该电子设备和用户之间的距离可能会随着时间的变化而更改，因此，分布式系统中的各个设备可以周期性同步这些信息。

在一些实施例中，分布式系统10中的主体设备向客体设备发送用于访问第一资源的访问请求之后，如果客体设备不具备授权条件，或者，该客体设备当前正在执行第一任务，或者，该客体设备不能及时得到用户的授权，则该客体设备可以在分布式系统中选择一个电子设备作为授权设备。该授权设备用于请求用户授予该访问请求所要求的权限后，将授权结果发送给该客体设备。如果该授权结果表示用户允许授予该访问请求所要求的权限，则该客体设备获取到该访问请求所需的权限，并可以响应该访问请求访问第一资源。

在一些实施例中，分布式系统10中的主体设备和客体设备为同一个电子设备时，该电子设备生成用于访问第一资源的访问请求之后，如果电子设备不具备授权条件，或者，该电子设备当前正在执行第一任务，或者，该电子设备不能及时得到用户的授权，则该电子设备可以在分布式系统中选择一个电子设备作为授权设备。该授权设备用于请求用户授予该访问请求所要求的权限后，将授权结果发送给该电子设备。如果该授权结果表示用户允许授予该访问请求所要求的权限，则该电子设备获取到该访问请求所需的权限，并可以响应该访问请求访问第一资源。

关于分布式系统10中的各个电子设备所执行的操作的具体实现，可参考后续方法实施例的相关描述，这里不赘述。

参考图3A，图3A为本申请实施例提供的电子设备的硬件结构示意图。该电子设备可以为图1所示分布式系统10中的任意一个电子设备。该电子设备可以为主体设备，也可以为客体设备，还可以同时为主体设备和客体设备，还可以为授权设备。

如图3A所示，该电子设备可以包括处理器110，外部存储器接口120，内部存储器121，通用串行总线(universal serial bus，USB)接口130，充电管理模块140，电源管理模块141，电池142，天线1，天线2，移动通信模块150，无线通信模块160，音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，传感器模块180，按键190，马达191，指示器192，摄像头193，显示屏194，以及用户标识模块(subscriber identification module，SIM)卡接口195等。其中传感器模块180可以包括压力传感器180A，陀螺仪传感器180B，气压传感器180C，磁传感器180D，加速度传感器180E，距离传感器180F，接近光传感器180G，指纹传感器180H，温度传感器180J，触摸传感器180K，环境光传感器180L，骨传导传感器180M等。

可以理解的是，本发明实施例示意的结构并不构成对电子设备的具体限定。在本申请另一些实施例中，电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

处理器110可以包括一个或多个处理单元，例如：处理器110可以包括应用处理器(application processor，AP)，调制解调处理器，图形处理器(graphics processing unit，GPU)，图像信号处理器(image signal processor，ISP)，控制器，视频编解码器，数字信号处理器(digital signal processor，DSP)，基带处理器，和/或神经网络处理器(neural-network processing unit，NPU)等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。

控制器可以根据指令操作码和时序信号，产生操作控制信号，完成取指令和执行指令的控制。

处理器110中还可以设置存储器，用于存储指令和数据。在一些实施例中，处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据，可从所述存储器中直接调用。避免了重复存取，减少了处理器110的等待时间，因而提高了系统的效率。

电子设备的无线通信功能可以通过天线1，天线2，移动通信模块150，无线通信模块160，调制解调处理器以及基带处理器等实现。

天线1和天线2用于发射和接收电磁波信号。电子设备中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用，以提高天线的利用率。例如：可以将天线1复用为无线局域网的分集天线。在另外一些实施例中，天线可以和调谐开关结合使用。

移动通信模块150可以提供应用在电子设备上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块150可以包括至少一个滤波器，开关，功率放大器，低噪声放大器(low noise amplifier，LNA)等。移动通信模块150可以由天线1接收电磁波，并对接收的电磁波进行滤波，放大等处理，传送至调制解调处理器进行解调。移动通信模块150还可以对经调制解调处理器调制后的信号放大，经天线1转为电磁波辐射出去。在一些实施例中，移动通信模块150的至少部分功能模块可以被设置于处理器110中。在一些实施例中，移动通信模块150的至少部分功能模块可以与处理器110的至少部分模块被设置在同一个器件中。

调制解调处理器可以包括调制器和解调器。其中，调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后，被传递 给应用处理器。应用处理器通过音频设备(不限于扬声器170A，受话器170B等)输出声音信号，或通过显示屏194显示图像或视频。在一些实施例中，调制解调处理器可以是独立的器件。在另一些实施例中，调制解调处理器可以独立于处理器110，与移动通信模块150或其他功能模块设置在同一个器件中。

无线通信模块160可以提供应用在电子设备上的包括无线局域网(wireless local area networks，WLAN)(如无线保真(wireless fidelity，Wi-Fi)网络)，蓝牙(bluetooth，BT)，全球导航卫星系统(global navigation satellite system，GNSS)，调频(frequency modulation，FM)，近距离无线通信技术(near field communication，NFC)，红外技术(infrared，IR)等无线通信的解决方案。无线通信模块160可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块160经由天线2接收电磁波，将电磁波信号解调以及滤波处理，将处理后的信号发送到处理器110。无线通信模块160还可以从处理器110接收待发送的信号，对其进行调频，放大，经天线2转为电磁波辐射出去。

在一些实施例中，电子设备的天线1和移动通信模块150耦合，天线2和无线通信模块160耦合，使得电子设备可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统(global system for mobile communications，GSM)，通用分组无线服务(general packet radio service，GPRS)，码分多址接入(code division multiple access，CDMA)，宽带码分多址(wideband code division multiple access，WCDMA)，时分码分多址(time-division code division multiple access，TD-SCDMA)，长期演进(long term evolution，LTE)，BT，GNSS，WLAN，NFC，FM，和/或IR技术等。所述GNSS可以包括全球卫星定位系统(global positioning system，GPS)，全球导航卫星系统(global navigation satellite system，GLONASS)，北斗卫星导航系统(beidou navigation satellite system，BDS)，准天顶卫星系统(quasi-zenith satellite system，QZSS)和/或星基增强系统(satellite based augmentation systems，SBAS)。

电子设备通过GPU，显示屏194，以及应用处理器等实现显示功能。GPU为图像处理的微处理器，连接显示屏194和应用处理器。GPU用于执行数学和几何计算，用于图形渲染。处理器110可包括一个或多个GPU，其执行程序指令以生成或改变显示信息。

显示屏194用于显示图像，视频等。显示屏194包括显示面板。显示面板可以采用液晶显示屏(liquid crystal display，LCD)，有机发光二极管(organic light-emitting diode，OLED)，有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrix organic light emitting diode的，AMOLED)，柔性发光二极管(flex light-emitting diode，FLED)，Miniled，MicroLed，Micro-oLed，量子点发光二极管(quantum dot light emitting diodes，QLED)等。在一些实施例中，电子设备可以包括1个或N个显示屏194，N为大于1的正整数。

电子设备可以通过ISP，摄像头193，视频编解码器，GPU，显示屏194以及应用处理器等实现拍摄功能。

ISP用于处理摄像头193反馈的数据。例如，拍照时，打开快门，光线通过镜头被传递到摄像头感光元件上，光信号转换为电信号，摄像头感光元件将所述电信号传递给ISP处理，转化为肉眼可见的图像。ISP还可以对图像的噪点，亮度，肤色进行算法优化。ISP还可以对拍摄场景的曝光，色温等参数优化。在一些实施例中，ISP可以设置在摄像头193中。

摄像头193用于捕获静态图像或视频。物体通过镜头生成光学图像投射到感光元件。感光元件可以是电荷耦合器件(charge coupled device，CCD)或互补金属氧化物半导体(complementary metal-oxide-semiconductor，CMOS)光电晶体管。感光元件把光信号转换成电 信号，之后将电信号传递给ISP转换成数字图像信号。ISP将数字图像信号输出到DSP加工处理。DSP将数字图像信号转换成标准的RGB，YUV等格式的图像信号。在一些实施例中，电子设备可以包括1个或N个摄像头193，N为大于1的正整数。

数字信号处理器用于处理数字信号，除了可以处理数字图像信号，还可以处理其他数字信号。例如，当电子设备在频点选择时，数字信号处理器用于对频点能量进行傅里叶变换等。

视频编解码器用于对数字视频压缩或解压缩。电子设备可以支持一种或多种视频编解码器。这样，电子设备可以播放或录制多种编码格式的视频，例如：动态图像专家组(moving picture experts group，MPEG)1，MPEG2，MPEG3，MPEG4等。

NPU为神经网络(neural-network，NN)计算处理器，通过借鉴生物神经网络结构，例如借鉴人脑神经元之间传递模式，对输入信息快速处理，还可以不断的自学习。通过NPU可以实现电子设备的智能认知等应用，例如：图像识别，人脸识别，语音识别，文本理解等。

内部存储器121可以包括一个或多个随机存取存储器(random access memory，RAM)和一个或多个非易失性存储器(non-volatile memory，NVM)。

随机存取存储器可以包括静态随机存储器(static random-access memory，SRAM)、动态随机存储器(dynamic random access memory，DRAM)、同步动态随机存储器(synchronous dynamic random access memory,SDRAM)、双倍资料率同步动态随机存取存储器(double data rate synchronous dynamic random access memory,DDR SDRAM，例如第五代DDR SDRAM一般称为DDR5SDRAM)等；非易失性存储器可以包括磁盘存储器件、快闪存储器(flash memory)。

随机存取存储器可以由处理器110直接进行读写，可以用于存储操作系统或其他正在运行中的程序的可执行程序(例如机器指令)，还可以用于存储用户及应用程序的数据等。

非易失性存储器也可以存储可执行程序和存储用户及应用程序的数据等，可以提前加载到随机存取存储器中，用于处理器110直接进行读写。

外部存储器接口120可以用于连接外部的非易失性存储器，实现扩展电子设备的存储能力。外部的非易失性存储器通过外部存储器接口120与处理器110通信，实现数据存储功能。例如将音乐，视频等文件保存在外部的非易失性存储器中。

电子设备可以通过音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，以及应用处理器等实现音频功能。例如音乐播放，录音等。

音频模块170用于将数字音频信息转换成模拟音频信号输出，也用于将模拟音频输入转换为数字音频信号。音频模块170还可以用于对音频信号编码和解码。在一些实施例中，音频模块170可以设置于处理器110中，或将音频模块170的部分功能模块设置于处理器110中。

扬声器170A，也称“喇叭”，用于将音频电信号转换为声音信号。电子设备100可以通过扬声器170A收听音乐，或收听免提通话。

受话器170B，也称“听筒”，用于将音频电信号转换成声音信号。当电子设备100接听电话或语音信息时，可以通过将受话器170B靠近人耳接听语音。

麦克风170C，也称“话筒”，“传声器”，用于将声音信号转换为电信号。当拨打电话或发送语音信息时，用户可以通过人嘴靠近麦克风170C发声，将声音信号输入到麦克风170C。电子设备100可以设置至少一个麦克风170C。在另一些实施例中，电子设备100可以设置两个麦克风170C，除了采集声音信号，还可以实现降噪功能。在另一些实施例中，电子设备100还可以设置三个，四个或更多麦克风170C，实现采集声音信号，降噪，还可以识别声音 来源，实现定向录音功能等。

指纹传感器180H用于采集指纹。电子设备100可以利用采集的指纹特性实现指纹解锁，访问应用锁，指纹拍照，指纹接听来电等。

按键190包括开机键，音量键等。按键190可以是机械按键。也可以是触摸式按键。电子设备100可以接收按键输入，产生与电子设备100的用户设置以及功能控制有关的键信号输入。

马达191可以产生振动提示。

指示器192可以是指示灯，可以用于指示充电状态，电量变化，也可以用于指示消息，未接来电，通知等。

压力传感器180A用于感受压力信号，可以将压力信号转换成电信号。在一些实施例中，压力传感器180A可以设置于显示屏194。

触摸传感器180K，也称“触控器件”。触摸传感器180K可以设置于显示屏194，由触摸传感器180K与显示屏194组成触摸屏，也称“触控屏”。触摸传感器180K用于检测作用于其上或附近的触摸操作。触摸传感器可以将检测到的触摸操作传递给应用处理器，以确定触摸事件类型。可以通过显示屏194提供与触摸操作相关的视觉输出。在另一些实施例中，触摸传感器180K也可以设置于电子设备的表面，与显示屏194所处的位置不同。

当图3A所示的电子设备为主体设备时：

移动通信模块150或无线通信模块160，可用于和分布式系统10中的其他电子设备建立通信连接，建立通信连接的具体方式可参考图2相关描述。

移动通信模块150或无线通信模块160，还可用于在和其他电子设备建立通信连接后，接收其他电子设备同步的开放给该主体设备的能力信息。

移动通信模块150或无线通信模块160，还可用于向客体设备发送用于访问第一资源的访问请求，该访问请求所要访问的被调用者以及资源均在客体设备开放的能力之内。

显示屏194可用于显示后续实施例提供的在主体设备上显示的用户界面。

内部存储器121可以用于存储分布式系统10中其他电子设备同步过来的开放的能力信息。

当图3A所示的电子设备为客体设备时：

移动通信模块150或无线通信模块160，可用于和分布式系统10中的其他电子设备建立通信连接，建立通信连接的具体方式可参考图2相关描述。

移动通信模块150或无线通信模块160，还可用于和其他电子设备建立通信连接后，向其他电子设备同步开放给其他电子设备的能力信息。

移动通信模块150或无线通信模块160，还可用于接收到主体设备发送的用于访问第一资源的访问请求，该访问请求所要访问的被调用者以及资源均在客体设备开放给该主体设备的能力之内。

处理器110可用于判定客体设备是否具备授权条件，或者，客体设备当前是否正在执行第一任务，或者，客体设备是否能及时得到用户的授权。处理器110还用于确定客体设备不具备授权条件，或者，该客体设备当前正在执行第一任务，或者，该客体设备不能及时得到用户的授权时，在分布式系统中选择一个电子设备作为授权设备。处理器110选择授权设备时所使用的策略，可参考后续方法实施例的相关描述。

移动通信模块150或无线通信模块160，还可用于接收到授权设备发送的该授权设备请求用户授予该访问请求所要求的权限的授权结果。

处理器110可以用于在该授权结果表示用户允许授予该访问请求所要求的权限时，调用客体设备中的各个模块，响应该访问请求访问第一资源。处理器110响应该访问请求的方式，具体可参考后续方法实施例的描述。

当图3A所示的电子设备同时为主体设备和客体设备时，上述主体设备以及客体设备中各个模块执行的操作均由该电子设备执行，并且，主体设备和客体设备之间的通信步骤可以省略。该电子设备中各个模块所执行的操作，可参考前文相关描述，这里不赘述。

当图3A所示的电子设备为授权设备时：

移动通信模块150或无线通信模块160，可用于和分布式系统10中的其他电子设备建立通信连接，建立通信连接的具体方式可参考图2相关描述。

移动通信模块150或无线通信模块160，还可用于接收客体设备发送的用于请求用户授予访问请求所要求的权限的消息。处理器110可响应于该消息，调用授权设备中的各个模块(例如显示屏194、指纹传感器180H、摄像头193、音频模块170、按键190等)，提供相应的授权方式，请求用户授予访问请求所要求的权限。

显示屏194、指纹传感器180H、摄像头193、音频模块170、按键190等模块，可用于提供各类授权方式，以请求用户授予访问请求所要求的权限。处理器110可响应于上述几个模块接收到的用户操作，确定授权结果。

移动通信模块150或无线通信模块160，还可用于将该授权结果发送给客体设备。

参考图3B，图3B为本申请实施例提供的电子设备的软件结构示意图。该电子设备可以为图1所示分布式系统10中的任意一个电子设备。该电子设备可以为主体设备，也可以为客体设备，还可以同时为主体设备和客体设备，还可以为授权设备。

电子设备的软件系统均可以采用分层架构，事件驱动架构，微核架构，微服务架构，或云架构等。示例性地，电子设备的软件系统包括但不限于 Linux或者其它操作系统。

分层架构将软件分成若干个层，每一层都有清晰的角色和分工。层与层之间通过软件接口通信。在一些实施例中，将Android系统分为四层，从上至下分别为应用程序层，应用程序框架层，安卓运行时(Android runtime)和系统库，以及内核层。

应用程序层可以包括一系列应用程序包。

如图3B所示，应用程序包可以包括APP，例如相机，图库，日历，通话，地图，导航，WLAN，蓝牙，音乐，视频，短信息等应用程序。应用程序层还可包括功能组件，例如FA、PA等等。

应用程序框架层为应用程序层的应用程序提供应用编程接口(application programming interface，API)和编程框架。应用程序框架层包括一些预先定义的函数。

如图3B所示，应用程序框架层可以包括窗口管理器，内容提供器，视图系统，电话管理器，资源管理器，通知管理器等。

窗口管理器用于管理窗口程序。窗口管理器可以获取显示屏大小，判断是否有状态栏，锁定屏幕，截取屏幕等。

内容提供器用来存放和获取数据，并使这些数据可以被应用程序访问。所述数据可以包括视频，图像，音频，拨打和接听的电话，浏览历史和书签，电话簿等。

视图系统包括可视控件，例如显示文字的控件，显示图片的控件等。视图系统可用于构建应用程序。显示界面可以由一个或多个视图组成的。例如，包括短信通知图标的显示界面，可以包括显示文字的视图以及显示图片的视图。

电话管理器用于提供电子设备的通信功能。例如通话状态的管理(包括接通，挂断等)。

资源管理器为应用程序提供各种资源，比如本地化字符串，图标，图片，布局文件，视频文件等等。

通知管理器使应用程序可以在状态栏中显示通知信息，可以用于传达告知类型的消息，可以短暂停留后自动消失，无需用户交互。比如通知管理器被用于告知下载完成，消息提醒等。通知管理器还可以是以图表或者滚动条文本形式出现在系统顶部状态栏的通知，例如后台运行的应用程序的通知，还可以是以对话窗口形式出现在屏幕上的通知。例如在状态栏提示文本信息，发出提示音，电子设备振动，指示灯闪烁等。

Android Runtime包括核心库和虚拟机。Android runtime负责安卓系统的调度和管理。

核心库包含两部分：一部分是java语言需要调用的功能函数，另一部分是安卓的核心库。

应用程序层和应用程序框架层运行在虚拟机中。虚拟机将应用程序层和应用程序框架层的java文件执行为二进制文件。虚拟机用于执行对象生命周期的管理，堆栈管理，线程管理，安全和异常的管理，以及垃圾回收等功能。

系统库可以包括多个功能模块。例如：表面管理器(surface manager)，媒体库(Media Libraries)，三维图形处理库(例如：OpenGL ES)，2D图形引擎(例如：SGL)等。

表面管理器用于对显示子系统进行管理，并且为多个应用程序提供了2D和3D图层的融合。

媒体库支持多种常用的音频，视频格式回放和录制，以及静态图像文件等。媒体库可以支持多种音视频编码格式，例如:MPEG4，H.264，MP3，AAC，AMR，JPG，PNG等。

三维图形处理库用于实现三维图形绘图，图像渲染，合成，和图层处理等。

2D图形引擎是2D绘图的绘图引擎。

内核层是硬件和软件之间的层。内核层至少包含显示驱动，摄像头驱动，音频驱动，传感器驱动。

参考图3C，图3C为本申请实施例提供的主体设备的软件结构示意图。

如图3C所示，主体设备可包括如下几个模块：分布式应用权限管理模块、本地应用权限管理模块、分布式权限信息库、本地权限信息库、访问控制模块、设备属性管理模块、设备属性库。其中：

分布式应用权限管理模块，用于同步分布式系统10中其他设备(例如客体设备)开放给主体设备的能力信息，还可用于将主体设备开放给其他设备的能力信息同步到其他电子设备中。

分布式权限信息库，用于存储分布式系统10中其他设备(例如客体设备)开放给主体设备的能力信息，还可用于存储主体设备开放给其他设备的能力信息。

本地应用权限管理模块，用于管理主体设备中的各个应用(包括APP和功能组件)对分布式系统10中的其他设备开放给主体设备的能力的使用权限。主体设备中的各个应用对其他设备开放的能力的使用权限，具体可参考后文方法实施例的相关描述，这里暂不赘述。

本地权限信息库，用于存储主体设备中的各个应用(包括APP和功能组件)对分布式系统10中的其他设备开放给主体设备的能力的权限信息。

访问控制模块，用于在主体设备向客体设备发起访问请求时，首先通过分布式应用权限管理模块查询客体设备是否开放了该访问请求所需的权限给主体设备，然后通过本地应用权限管理查询发起该访问请求的调用者是否具有该访问请求所需的权限。在通过上述两次查询结果均为是时，访问控制模块确认主体设备向该客体设备可以发起该访问请求。

设备属性管理模块，用于将主体设备的属性同步到分布式系统中的其他设备(例如客体设备)中，还用于将其他设备的设备属性同步到主体设备中。电子设备的属性的具体内容，可参考前文及后续方法实施例的相关描述。

设备属性库，用于存储、维护主体设备的属性，以及，分布式系统中的其他设备同步过来的属性。

图3C仅为示意性举例，本申请实施例提供的主体设备还可以包括更多或更少的模块，这里不做限制。

图3C提及的主体设备中的各个模块，可以位于图3B所示的电子设备中的应用程序层、应用程序框架层、系统服务层、内核层等等，这里不做限制。

参考图3D，图3D为本申请实施例提供的客体设备的软件结构示意图。

如图3D所示，客体设备可包括如下几个模块：分布式应用权限管理模块、本地应用权限管理模块、分布式权限信息库、本地权限信息库、设备属性管理模块、设备属性库、授权模块、授权决策模块、访问控制模块。其中：

分布式应用权限管理模块，用于将客体设备开放给其他设备(例如主体设备)的能力信息同步到其他电子设备中，还用于同步分布式系统10中其他设备(例如主体设备)开放给客体设备的能力信息。

分布式权限信息库，用于存储客体设备开放给其他设备的能力信息，还可用于存储分布式系统10中其他设备(例如主体设备)开放给客体设备的能力信息。

本地应用权限管理模块，用于管理客体设备中的各个应用(包括APP和功能组件)对自身资源的使用权限。客体设备中的各个应用对自身资源的使用权限，具体可参考后文方法实施例的相关描述，这里暂不赘述。

本地权限信息库，用于存储客体设备中的各个应用(包括APP和功能组件)对自身资源的使用权限信息。

设备属性管理模块，用于将其他设备的属性同步到客体设备中，还可用于将客体设备的属性同步到分布式系统中的其他设备中。电子设备的属性的具体内容，可参考前文及后续方法实施例的相关描述。

设备属性库，用于存储、维护客体设备的属性，以及，分布式系统中的其他设备同步过来的属性。

访问控制模块，用于在接收到主体设备向客体设备发起的访问请求时，首先通过分布式应用权限管理模块查询客体设备是否开放了该访问请求所需的权限给该主体设备。在客体设备开放了权限给该主体设备时，访问控制模块可以检查用户是否授予了该访问请求所要求的权限。在用户授予了该访问请求所要求的权限时，访问控制模块确认该客体设备可以响应该访问请求。

授权模块，用于确认客体设备是否具备授权条件，或者，该客体设备当前是否正在执行 第一任务，或者，该客体设备是否能及时得到用户的授权。

若客体设备不具备授权条件，或者，该客体设备当前正在执行第一任务，或者，该客体设备不能及时得到用户的授权，则授权模块可以通过授权决策模块来选择授权设备。并向授权设备发送授权请求，以及，接收该授权设备返回的授权结果。当该授权结果表示用户允许授予该访问请求所要求的权限时，授权模块获取到该访问请求所需的权限。

若客体设备具备授权条件，并且，该客体设备当前并未执行第一任务，并且，该客体设备当前能及时得到用户的授权，则授权模块可以调用客体设备的软硬件资源，提供授权方式，以获取用户授予的该访问请求所要求的权限。

授权决策模块，用于根据客体设备的类型、分布式系统中其他电子设备的属性，选择分布式系统中的一个电子设备作为授权设备。在一些实施例中，授权决策模块还可用于确认授权设备所使用的授权方式。

图3D仅为示意性举例，本申请实施例提供的客体设备还可以包括更多或更少的模块，这里不做限制。

图3D提及的客体设备中的各个模块，可以位于图3B所示的电子设备中的应用程序层、应用程序框架层、系统服务层、内核层等等，这里不做限制。

基于图1所示的分布式系统10，图3A所示的电子设备的硬件结构，图3B所示的电子设备的软件结构，以及图3C所示的主体设备的软件结构，图3D所示的客体设备的软件结构，下面详细介绍本申请实施例提供的访问控制方法。

参考图4，图4为本申请实施例提供的灵活授权的访问控制方法的流程示意图。图4所示的方法以主体设备调用客体设备中的资源为例进行说明。

如图4所示，该方法可包括如下步骤：

S101，主体设备和客体设备建立连接。

本申请实施例对主体设备和客体设备建立通信连接的方式不做限定，例如可通过登录相同账号、绑定设备、扫描二维码等方式来建立通信连接等。本申请实施例对主体设备和客体设备之间建立的通信连接的类型不做限定，例如可包括有线连接、无线连接例如蓝牙连接、Wi-Fi P2P连接、NFC连接，IR连接，以及远程连接等等。具体可参考图1中的相关描述。

可选步骤S102，客体设备向主体设备发送第一能力信息，该第一能力信息指示了客体设备开放给主体设备以供调用的APP、功能组件、资源。

第一能力信息可以包括以下一项或多项：客体设备开放给主体设备以供调用的APP的标识、功能组件的标识或资源的标识。

在一些实施例中，客体设备开放给主体设备的能力，可以由该客体设备预先设定。例如，客体设备可以将机密性较低或敏感度较低的APP、功能组件或资源开放给该主体设备。例如，客体设备可以将相机应用、图库应用等开放给其他设备，而不将银行类应用、存储的密码等开放给其他设备。

在另一些实施例中，客体设备开放给主体设备的能力，也可以由用户设置。客体设备可以接收到用于设置开放给主体设备的能力的用户操作，并响应于该用户操作确定开放给该主体设备的能力。

参考图5A-图5B，其示例性示出了用户设置客体设备开放给主体设备的能力的一种方式。

在图5A-图5B的示例中，客体设备可以为智慧屏，主体设备可以为手机。

图5A示出了客体设备中的设置应用提供的用户界面51。设置应用是一款安装于电子设 备中，用于设置电子设备中的各项功能的应用程序，本申请实施例对其名称不做限制。

如图5A所示，用户界面51中显示有：状态栏501、页面指示符502、返回键503、一个或多个设备选项504。

其中，状态栏501可包括：Wi-Fi信号的一个或多个信号强度指示符，天气指示符、时间指示符等等。

页面指示符502用于指示当前页面用于设置客体设备开放给分布式系统中其他设备的能力。页面指示符502可以实现为文本例如文本“开放能力”、图标或者其他形式。

返回键503用于返回设置应用提供的上一级页面。

一个或多个设备选项504对应于分布式系统10中除了该客体设备之外的其他电子设备。设备选项504可以实现为图像、图标、文本等等，这里不做限制。

如图5A所示，客体设备可以检测到作用于主体设备(例如手机)对应的设备选项504的用户操作，例如用户通过遥控器选中该设备选项504的用户操作，并响应于该用户操作，显示图5B所示的用于设置开放给该主体设备的能力的用户界面52。

如图5B所示，用户界面52中显示有：状态栏501、页面指示符505、返回键506、一个或多个用于开放/停止开放给主体设备的能力的选项507。

状态栏501、返回键506可参考用户界面51中的相关描述。

页面指示符505用于指示当前页面用于设置客体设备开放给主体设备(例如手机)的能力。

一个或多个能力选项507可对应于客体设备中可供调用的一个或多个能力，例如APP、功能组件或资源等等，一个能力选项可以对应一个或多个能力。客体设备可以检测到作用于能力选项507上的用户操作，并响应于该用户操作开放该能力选项507对应的能力给主体设备，或者停止开放该能力选项507对应的能力给主体设备。

如图5B所示，客体设备可以检测到作用于能力选项507的用户操作，并响应于该用户操作，将该能力选项507对应的能力开放给主体设备，即将客体设备的相机应用、摄像头资源开放给主体设备。

不限于图5A-图5B所示的方式，具体实现中，用户还可以通过其他方式设置客体设备开放给主体设备的能力，例如可以在APP提供的界面中将该APP开放给主体设备调用等等，这里不做限定。

可选步骤S103，主体设备根据第一能力信息，将客体设备开放给主体设备的能力授权给安装的各个应用(包括APP和功能组件)。

主体设备接收到第一能力信息后，可以获知客体设备开放给主体设备的能力。

在一些实施例中，主体设备可以自主将客体设备开放给主体设备的能力，授权给主体设备中安装的各个应用(包括APP和功能组件)。例如，主体设备可以在客体设备开放给主体设备的能力中，根据安装的各个应用的特性，将其在调用客体设备时可能会使用到的能力授权给各个应用。例如，主体设备可以安装有即时通讯应用，主体设备可以将客体设备开放给该主体设备的摄像头资源，授权给该即时通讯应用。

在另一些实施例中，可以由用户将客体设备开放给主体设备的能力，授权给主体设备中安装的各个应用(包括APP和功能组件)。主体设备可以接收到用于授权给主体设备中安装的各个应用的用户操作，并响应于该用户操作确定主体设备中安装的各个应用能够调用的客体设备的能力。

参考图6A-图6B，其示例性示出了用户将客体设备开放给主体设备的能力，授权给主体 设备中安装的各个应用的一种方式。

在图6A-图6B的示例中，客体设备可以为智慧屏，主体设备可以为手机。

图6A示出了主体设备中的设置应用提供的用户界面61。如图6A所示，用户界面61中显示有：状态栏601、页面指示符602、返回键603、一个或多个能力选项604。

其中，状态栏601、返回键604可参考图5A中的相关描述。

页面指示符602用于指示当前页面用于将客体设备开放给主体设备的能力，授权给主体设备中安装的各个应用。

如图6A所示，主体设备可以检测到作用于能力选项604的用户操作(例如点击操作、触摸操作等等)，并响应于该用户操作，显示图6B所示的用户界面62。

用户界面62中显示有一个或多个应用选项605。该一个或多个应用选项605可以对应于主体设备中安装的全部或部分应用，例如可对应于主体设备中可能调用接收到用户操作的能力选项604对应的能力的应用。例如，主体设备检测到图6A所示的用户操作时，可以在图6B所示的用户界面62中显示主体设备中安装的可能会调用摄像头资源的一系列应用，例如即时通讯应用、拍照类应用、购物类应用等等。

如图6B所示，主体设备可以检测到作用于应用选项605的用户操作(例如点击操作、触摸操作等等)，并响应于该用户操作，将接收到用户操作的能力选项604对应的能力，授权给该应用选项605对应的应用。例如，主体设备将客体设备开放给主体设备的摄像头资源，授权给即时通讯应用使用。

不限于图6A-图6B所示的方式，具体实现中，用户还可以通过其他方式将客体设备开放给主体设备的能力，授权给主体设备中安装的各个应用，例如可以语音指令来授权等等，这里不做限定。

S104，主体设备生成访问请求，并向客体设备发送该访问请求，该访问请求用于主体设备中的调用者调用客体设备中的被调用者，以访问第一资源。

在本申请实施例中，主体设备中安装有调用者，客体设备中安装有被调用者。调用者、被调用者均可以为APP或功能组件。APP、功能组件的定义可参考前文相关描述。

主体设备生成的访问请求可以包括：调用者的标识、被调用者的标识以及第一资源的标识。在一些实施例中，该访问请求还可以包括：主体设备的标识、客体设备的标识。

主体设备或客体设备的标识可以为设备类型、设备型号、设备名称等等，本申请实施例对此不做限制。这里的设备类型可以从设备功能来看，例如可包括手机、平板电脑、只能耳机、IOT设备或智能家居设备等等。

调用者的标识、被调用者的标识，可以为应用标识(APP ID)。

在本申请实施例中，第一资源可以为软件资源或硬件资源。硬件资源例如可包括该设备具备的摄像头、指纹传感器、音频设备、显示屏、马达、闪光灯等等。软件资源例如可包括该设备具备的内存资源、计算能力(例如美颜算法能力、音视频编解码能力)、网络能力、定位功能等等。第一资源可以包括一个或多个资源，这里不做限定。

在一些情况下，被调用者的标识和第一资源的标识可以相同。例如，第一资源为摄像头时，该被调用者的标识也可以是该摄像头的标识，用于指示该被调用者为相机应用。

在一些实施例中，主体设备可以响应于接收到的用户操作，生成该访问请求。

示例性地，参考图6C，图6C展示了主体设备(例如手机)在运行即时通讯应用时展示的一个用户界面63，该用户界面63为视频通话界面。

如图6C所示，用户界面63中显示有：主体设备端用户的图像，和主体设备端用户进行 视频通话的其他用户的图像，一个或多个设备选项606。该一个或多个设备选项606可对应于主体设备在分布式系统10中，可以提供摄像头资源来满足主体设备的视频通话需求的设备，例如智慧屏、平板电脑等等。

如图6C所示，主体设备可以检测到作用于设备选项606的用户操作，并响应于该用户操作，生成一个访问请求，该访问请求用于主体设备中的即时通讯应用调用该设备选项606对应的智慧屏(即客体设备)中的相机应用和摄像头资源。

在另一些实施例中，主体设备也可以在一些情况下自主地向客体设备发起该访问请求。例如，主体设备可以在每次进行视频通话时，都默认生成用于主体设备中的即时通讯应用调用智慧屏(即客体设备)中的相机应用和摄像头资源的访问请求。

在一些实施例中，主体设备在生成访问请求之后，可以首先查询客体设备是否开放了该访问请求所需的权限给主体设备，即查询S102中第一能力信息所指示的内容中是否包含该访问请求中的被调用者以及第一资源。然后，主体设备查询调用者是否具有该访问请求所需的权限，即查询S103中调用者是否被授予调用该访问请求中的被调用者和/或访问第一资源的权限。并在两次查询结果均为是的情况下，主体设备才向客体设备发送给访问请求。当然，主体设备也可以仅执行第一次查询，并在第一次查询结果为是的情况下，向客体设备发送该访问请求。

执行上述实施例中的第一次查询操作，可以保证主体设备在客体设备开放给该主体设备的能力中，发起的访问请求，而不会在该开放能力范围外发起访问请求，可以提高该访问请求被响应的概率，降低设备之间的无效沟通。

执行上述实施例中的第二次查询操作，可以保证主体设备在自身授予各个应用的权限范围内发起访问请求，可以保证整个调用过程的安全性。

在另一些实施例中，主体设备也可以在生成访问请求之后，直接向客体设备发送该访问请求。

在一些实施例中，客体设备接收到访问请求后，可以直接执行后续的S105-S110，在获取该访问权限所需的权限后响应该访问请求。

在另一些实施例中，客体设备接收到访问请求后，可以在确认被调用者和/或第一资源为敏感资源的前提下，执行后续的S105-S110，在获取该访问权限所需的权限后响应该访问请求。敏感资源的定义可参考前文相关描述。这样可以保证客体设备中的敏感资源被访问时，可以显示地获取用户的授权，从而保证用户数据的安全。

S105，客体设备判断以下一项或多项：客体设备是否具备授权条件，客体设备当前是否在执行第一任务，或者，客体设备当前是否能及时得到用户的授权。

客体设备是否具备授权条件和该客体设备的软硬件配置相关，客体设备可根据自身的软硬件配置，判定自身是否具备授权条件。关于授权条件的详细描述，可参考前文相关描述。示例性的，比如配置有摄像头和人脸识别算法的客体设备支持人脸授权，配置有指纹传感器的客体设备支持指纹授权，配置有拾音设备的客体设备支持语音指令授权，配置有按键的客体设备支持案件授权。

第一任务的定义可参考前文相关描述。具体实现中客体设备可以首先获取自身的运行状态，然后根据该运行状态判定当前是否在执行第一任务。其中，客体设备的运行状态可包括：客体设备当前运行的应用，以及，该应用的运行状态等等。应用的运行状态可包括前台运行、后台运行以及全屏运行等等。示例性地，如果客体设备在全屏播放视频，且该客体设备仅支持弹框授权，则该客体设备当前在执行第一任务，此时客体设备弹框授权会中断视频的播放， 并且会影响用户体验。又例如，如果客体设备为智能耳机，且该智能耳机在播放游戏音效，由于该智能耳机可以同时接收用户的语音指令，该智能耳机当前并未执行第一任务，此时智能耳机提供语音指令授权方式不会中断正在播放的游戏音效，且不会影响用户体验。

客体设备不能及时得到用户的授权的情况可以包括以下两种：

1，客体设备在当前所处的场景中不能直接提供授权方式以供用户授权，而需要用户执行更多的操作。例如，当客体设备锁屏时，需要用户对该客体设备执行解锁操作后，该客体设备才能提供授权方式以供用户授权。

2，用户不在客体设备附近时，客体设备不能在预设时间内得到用户的授权。具体的，当用户和客体设备之间的距离大于第一值时，客体设备不能在预设时间内得到用户的授权。例如，当该客体设备未被用户携带或者距离用户较远时，该客体设备提供授权方式后，不能在预设时间内获取到用户的授权。示例性地，例如用户位于卧室，而客体设备位于客厅等。

因此，客体设备可以获取自身的屏幕状态，并根据屏幕状态判断是否处于上述第1种不能及时得到用户的授权的情况。屏幕状态可包括：锁屏状态，解锁状态。电子设备处于锁屏状态时，需要用户输入验证信息，才能够解锁并进入解锁状态。电子设备处于解锁状态时所能够提供的功能，比电子设备处于锁屏状态时能够提供的功能多。

此外，客体设备还可以获取自身和用户之间的距离，并根据距离判断是否处于上述第1种不能及时得到用户的授权的情况。本申请实施例对客体设备获取自身和用户之间距离的方式不做限制。例如，分布式系统10中的各个设备之间可以共享状态，如果某个设备当前正在被用户操控(例如该设备在10s内接收到了用户操作)，则该设备可以发送信号，客体设备可以接收该信号，并可以根据接收信号强度指示(received signal strength indication，RSSI)测定客体设备与该设备的距离，即客体设备和用户之间的距离。又例如，在家庭分布式系统中，各个设备可以被用户设定在固定位置，例如智能台灯可以设置在卧室，智能音箱和智慧屏可以设置在客厅，设备之间的距离可以预存在各个设备中，如果某个设备当前正在被用户操控(例如该设备在10s内接收到了用户操作)，则该设备可以将该状态共享给系统中的其他设备，客体设备可以根据该共享状态以及预存的距离，获知自身和客户之间的距离。

S106，如果S105中的一项或多项的判断结果为否，客体设备在分布式系统10除客体设备外的其他电子设备中，选择一个电子设备作为授权设备。

在S105中，如果客体设备不具备授权条件，则客体设备本身无法请求用户授予访问请求所需要的权限。如果客体设备当前在执行第一任务，则客体设备请求用户授予访问请求所需要的权限，会干扰用户，影响用户体验。如果客体设备当前不能及时得到用户的授权，会影响客体设备响应访问请求的效率，也会影响用户体验。

因此，如果S105中的一项或多项的判断结果为否，客体设备可以选择分布式系统10中的其他电子设备作为授权设备。

在本申请实施例中，客体设备在分布式系统10除客体设备外的其他电子设备中，选择一个电子设备作为授权设备时所使用的策略可包括以下一项或多项：

1，如果客体设备为瘦设备，则选择该瘦设备的控制设备作为授权设备，或者，选择分布式系统中的富设备作为授权设备，或者，选择和该客体设备保持通信连接超过预设时长的电子设备。

2，在分布式系统10除客体设备外的其他电子设备中，根据各个电子设备的以下一项或多项来选择授权设备：电子设备是否具备授权条件、电子设备支持的授权方式、电子设备的屏幕状态、该电子设备的运行状态、该电子设备和用户之间的距离等等。

例如，客体设备可以选择具备授权条件的电子设备作为授权设备。

又例如，客体设备可以选择支持的授权方式较多的电子设备作为授权设备。

又例如，客体设备可以选择屏幕状态为解锁状态的电子设备作为授权设备。这样可以保证用户可以方便快捷地在授权设备上授予访问请求所需要的权限，提高客体设备响应该访问请求的效率，从而提升用户体验。

又例如，客体设备可以选择当前未执行第一任务的电子设备作为授权设备。这样可以在获取访问请求所需要的权限时，避免干扰用户，不影响用户体验。

又例如，客体设备可以选择距离用户最近或较近的电子设备作为授权设备。具体的，客体设备可以选择和用户之间的距离小于第二值的电子设备作为授权设备。这样可以尽快获取访问请求所需要的权限，提高客体设备响应该访问请求的效率，从而提升用户体验。

电子设备在分布式系统中各个电子设备中，选择一个电子设备作为授权设备时所使用的策略，可参考后文方法实施例的相关描述，这里暂不赘述。

在上述第2项策略中，电子设备是否具备授权条件、电子设备支持的授权方式可以在客体设备和分布式系统10中的其他电子设备建立连接后，从其他电子设备处同步得到。

电子设备的屏幕状态、该电子设备的运行状态、该电子设备和用户之间的距离，可以由客体设备和其他电子设备建立连接后，同步得到或者周期性更新得到，还可以由客体设备在S105中的一项或多项的判断结果为否时主动向其他电子设备询问得到。分布式系统中各个电子设备获取自身和用户之间的距离的实现方式，可参考S105中客体设备获取自身和用户之间距离的方式，这里不再赘述。

上述提及的客体设备选择授权设备时所使用的策略仅为示例，具体实现中，还可以有更多的选择授权设备的策略，本申请实施例对此不做限制。

客体设备选择授权设备时所使用的策略，可以由客体设备默认设置，也可以由用户自主设置，这里不做限制。

在本申请实施例中，客体设备选择的授权设备，可能和主体设备是同一个设备，这里不做限制。

在一些实施例中，客体设备选定授权设备后，还可以选择该授权设备后续所使用的授权方式。本申请实施例对客体设备选择的授权设备的授权方式时所使用的策略不做限定。例如，客体设备可以在授权设备支持的授权方式中选择任意一种作为后续使用的授权方式。又例如，客体设备可以预先对各类授权方式进行优先级排序，例如弹框授权、人脸验证授权、指纹验证授权、语音指令授权、按键授权的优先级依次降低，并且客体设备选择优先级最高的授权方式作为授权设备后续使用的授权方式。

在一些实施例中，客体设备还可以先选定授权方式，然后再选择授权设备，这里不做限定。

S107，客体设备向授权设备发送授权请求，该授权请求用于请求该授权设备向用户申请调用客体设备中的被调用者的权限，和/或，向用户申请访问客体设备中第一资源的权限。

该授权请求携带有客体设备的标识，还携带有被调用者的标识或第一资源的标识中的任意一个。这样，该授权请求用于向用户申请调用客体设备中的被调用者的权限，和/或，向用户申请访问客体设备中第一资源的权限。

在一些实施例中，该授权请求还可以携带有以下一项或多项：主体设备的标识、调用者的标识。该授权请求携带主体设备的标识时，该授权请求可以进一步向用户申请该主体设备调用客体设备中被调用者和/或访问第一资源的权限。该授权请求携带调用者的标识时，该授 权请求可以进一步向用户申请该调用者调用客体设备中被调用者和/或访问第一资源的权限。

当授权设备中携带有主体设备的标识和/或调用者的标识时，用户可以获知关于当前客体设备接收到的访问请求所需的权限的更加细致、详细的信息，从而决定是否授予该权限给客体设备。这样可以保证用户在充分了解访问请求所需的权限的情况下，再执行授权操作，可以避免用户误操作或者误授权，保证客体设备中的数据安全。

S108，授权设备请求用户授予该授权请求所请求的权限。

授权设备可以使用自身支持的授权方式，来请求用户授予该授权请求所请求的权限。下面对不同的授权方式分别进行介绍。

授权设备支持弹框授权时，可以在显示屏上输出提示信息，该提示信息用于提示该授权请求所请求的权限。之后，授权设备可以检测到作用于显示屏的用户操作，并响应于该用户操作，获取到该授权请求所请求的权限。

参考图7A，图7A示例性示出了授权设备为主体设备，即图5A-图5B、图6A-图6B示出的手机时，该手机使用弹框授权的方式来请求用户授权时，所显示的用户界面71。

用户界面71显示有：窗口701，提示信息701a，控件701b，控件701c。提示信息701a用于提示用户授予主体设备中的调用者调用客体设备中的被调用者，以访问第一资源的权限。提示信息701a例如可以为文本“是否同意手机中的即时通讯应用调用智慧屏中的摄像头？”，其中，文本“手机”指示了主体设备，“即时通讯应用”指示了调用者，“智慧屏”指示了客体应用，“摄像头”指示了被调用者为相机应用，以及第一资源为摄像头资源。控件701b可用于监听用户操作，授权设备响应于该用户操作，成功获取到手机中的即时通讯应用调用智慧屏中的摄像头的权限。控件701c可用于监听用户操作，授权设备响应于该用户操作，获知当前未能获取到手机中的即时通讯应用调用智慧屏中的摄像头的权限。

参考图7B，图7B示例性示出了授权设备为智能手表时，该智能手表使用弹框授权的方式来请求用户授权时，所显示的用户界面72。用户界面72可参考图7A所示的用户界面71，这里不赘述。

图7A所示的用户界面71，或，图7B所示的用户界面72可以称为第一用户界面。用户界面71中的控件701b可以称为第一控件。

授权设备支持指纹验证授权时，可以通过指纹传感器采集用户的指纹，并将采集到的指纹和预置的指纹进行比对，若两个指纹一致，则授权设备获取到授权请求所请求的权限。

授权设备支持人脸验证授权时，可以通过摄像头采集用户的人脸图像，并将采集到的人脸图像和预置的人脸图像进行比对，若两者一致，则授权设备获取到授权请求所请求的权限。

授权设备支持语音指令授权时，可以通过麦克风、受话器或者其他拾音设备来采集用户输入的语音指令，并将采集到的语音指令和预置的语音指令进行比对，若两者一致，则授权设备获取到授权请求所请求的权限。

参考图7C，图7C示例性示出了授权设备为智能音箱时，该授权设备使用语音指令授权的方式来请求用户授权时的场景。

如图7C所示，智能音箱可以先播放提示语音，提示用户输入特定的语音指令来授予上述权限。例如，该提示语音可以为“手机中的即时通讯应用请求调用智慧屏中的摄像头，是否同意该调用？”。之后，如果智能音箱采集到了用户输入的语音指令“是”，则智能音箱获取到了手机中的即时通讯应用调用智慧屏中的摄像头的权限。

授权设备支持按键授权时，可以通过物理按键采集用户的按压操作，如果在物理按键上采集到了预设的按压操作(例如一次按压操作、长按操作、连续两次按压操作等等)，则授权 设备获取到授权请求所请求的权限。

参考图7D，图7D示例性示出了授权设备为智能耳机时，该授权设备使用按键授权的方式来请求用户授权时的场景。

如图7D所示，智能耳机可以先播放提示语音，提示用户输入特定的语音指令来授予上述权限。例如，该提示语音可以为“手机中的即时通讯应用请求调用智慧屏中的摄像头，是否同意该调用？”。之后，如果智能耳机的物理按键接收到了用户输入的按压操作，则智能耳机获取到了手机中的即时通讯应用调用智慧屏中的摄像头的权限。

在一些实施例中，授权设备可以使用自身支持的任意一种授权方式来请求获取上述权限。

在另一些实施例中，如果S106中客体设备选定了授权设备所使用的授权方式，则授权设备可以使用该授权方式来请求获取上述权限。

在S108中，授权设备向用户申请权限的结果，可以称为授权结果。如果授权设备获取到该授权请求所请求的权限，则授权结果为授权成功。如果授权设备未能获取到该授权请求所请求的权限，则授权结果为授权失败。

S109，授权设备将授权结果发送给客体设备。

在其他一些实施例中，授权设备也可以直接将获取到的权限信息发送给客体设备。

S110，客体设备根据授权结果决定是否响应该访问请求。

如果授权结果为授权失败，则客体设备将拒绝响应主体设备发送的访问请求。

如果授权结果为授权成功，在一些实施例中，客体设备可以直接响应该访问请求。在其他一些实施例中，客体设备还可以查询访问被调用者和/或访问第一资源的权限是否开放给主体设备，在是的情况下，才会响应该访问请求。

在一些实施例中，客体设备响应访问请求具体可包括以下一项或多项：

1，客体设备调用第一资源执行一系列操作，例如通过显示屏显示视频通话界面、通过摄像头采集图像、执行计算操作、获取位置信息等等。

2，客体设备将访问第一资源的访问结果发送给主体设备，例如将摄像头采集的图像发送给主体设备，以供主体设备发送给和其进行视频通话的另一端设备，又例如将计算结果、获取到的位置信息发送给主体设备等等。

3，客体设备接收主体设备发送的数据，并利用该数据来访问第一资源，例如客体设备可以接收主体设备发送的其进行视频通话的另一端设备采集的图像，将该图像显示在显示屏的视频通话界面中。

参考图8，图8为本申请示例性示出的客体设备响应访问请求时所显示的用户界面81。用户界面81为视频通话界面，显示有：客体设备采集的用户的图像，和主体设备端用户进行视频通话的其他用户的图像。和主体设备端用户进行视频通话的其他用户的图像，可以有主体设备发送给该客体设备。该用户界面81还可以显示有提示信息801，用于提示当前客体设备正在响应该访问请求。由于主体设备和客体设备显示屏尺寸的不同，和主体设备上展示的视频通话界面61相比，图8中视频通话界面的各个元素的布局可以有变化。

不限于图8所示的场景，具体实现中，客体设备响应访问请求的形式可以有其他类型，这取决于访问请求的具体内容，本申请实施例对此不做限制。

实施图4所示的访问控制方法，客体设备接收到主体设备发送的访问请求时，可以在不干扰用户、保证用户体验的情况下，灵活地选取授权设备，并且快速、便捷地获取该访问请求所需的权限，从而保证分布式系统中的电子设备可以跨设备访问另一电子设备中的资源，使得电子设备之间可以互相共享资源，满足用户的实际需求。

不限于上述示例性列举的分布式系统，图4所示的方法还可以应用于单个电子设备中。例如，该电子设备中安装有调用者和被调用者，该电子设备既是主体设备，也是客体设备。该电子设备可以生成访问请求，该访问请求用于客体设备中的调用者调用被调用者以访问该电子设备中的第一资源，该访问请求的生成时机以及方式，可参考图4的S104中客体设备生成访问请求的相关描述。该电子设备生成访问请求之后，可以执行图4所示方法中的S105-S110。单个电子设备如何执行本申请实施例提供的访问控制方法，可参考图4的相关描述，这里不再赘述。

单个电子设备执行本申请实施例提供的访问控制方法，可以在不干扰用户、保证用户体验的情况下，灵活地选取授权设备，并且快速、便捷地获取该电子设备生成的访问请求所需的权限，从而该电子设备访问自身的资源。例如，该单个电子设备可以为手机，当手机全屏运行游戏类应用时，若后台运行的地图类应用想要访问该手机的定位能力，则该手机可以在分布式系统中选择授权设备，并通过授权设备获取地图类应用访问定位能力的权限，然后运行地图类应用访问定位能力。这样可以在不干扰用户的情况下，保证手机中的地图类应用访问定位能力。

在本申请上述实施例中：

客体设备可以称为第一设备，授权设备可以称为第二设备，主体设备可以称为第三设备。

S107中，客体设备向授权设备发送的授权请求所请求的权限，可以称为第一权限，该第一权限的具体内容可参考图4中S107中的相关描述。

S108中，授权设备接收到的用于授予第一权限的操作，可以称为第一操作。该第一操作的示例例如可包括：作用于显示屏所显示的如图7A的用户界面71中的控件701b的用户操作、摄像头采集到的预设的人脸图像、指纹传感器采集到的预设的指纹、拾音设备采集到的预设的语音指令，或者，作用于按键的用户操作。该第一操作的具体实现可参考图4中S108的相关描述。

S102中，客体设备开放给主体设备的能力，可称为第二权限。第二权限的具体内容可参考S102的相关描述。

S108中，授权设备请求用户授予授权请求所请求的权限时，所使用的授权方式所需的软件和/或硬件，可以称为第二模块。

本申请的各实施方式可以任意进行组合，以实现不同的技术效果。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，该流程可以由 计算机程序来指令相关的硬件完成，该程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法实施例的流程。而前述的存储介质包括：ROM或随机存储记忆体RAM、磁碟或者光盘等各种可存储程序代码的介质。

总之，以上所述仅为本发明技术方案的实施例而已，并非用于限定本发明的保护范围。凡根据本发明的揭露，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (57)

1. 一种灵活授权的访问控制方法，其特征在于，所述方法应用于包含多个电子设备的通信系统，所述多个电子设备包括第一设备，所述第一设备中安装有被调用者，所述被调用者为应用程序APP或功能组件，所述APP为实现多个功能的程序实体，所述功能组件为实现单一功能的程序实体；

   所述方法包括：

   所述第一设备获取访问请求，所述访问请求用于调用所述第一设备中的所述被调用者以访问所述第一设备中的第一资源；

   在以下一种或多种情况下，所述第一设备在所述多个电子设备中确定第二设备：所述第一设备未配置用于接收第一操作的第一模块、所述第一设备配置有所述第一模块且使用所述第一模块执行第一任务、所述第一设备处于锁屏状态，或，所述第一设备和用户之间的距离大于第一值；

   所述第一设备向所述第二设备发送授权请求，所述授权请求用于请求用户授予第一权限，所述第一权限包括调用所述第一设备中的所述被调用者的权限，和/或，访问所述第一设备中所述第一资源的权限；

   所述第二设备响应于所述授权请求输出提示信息，所述提示信息用于提示所述第一权限；

   所述第二设备接收到所述第一操作，并响应于所述第一操作向所述第一设备发送授权结果，所述授权结果指示用户授予了所述第一权限；

   所述第一设备响应于所述授权结果，调用所述被调用者以访问所述第一资源。
2. 根据权利要求1所述的方法，其特征在于，所述多个电子设备还包括第三设备，所述第三设备安装有调用者，所述调用者为所述APP或所述功能组件；

   所述第一设备获取访问请求，具体包括：所述第三设备向所述第一设备发送访问请求；

   其中，所述访问请求具体用于所述第三设备中的所述调用者调用所述第一设备中的所述被调用者并访问所述第一资源。
3. 根据权利要求2所述的方法，其特征在于，所述第一权限具体包括：

   所述第三设备调用所述第一设备中的所述被调用者的权限，和/或，所述第三设备访问所述第一设备中所述第一资源的权限；

   和/或，

   所述调用者调用所述第一设备中的所述被调用者的权限，和/或，所述调用者访问所述第一设备中所述第一资源的权限。
4. 根据权利要求2或3所述的方法，其特征在于，所述第三设备向所述第一设备发送访问请求之前，所述方法还包括：

   所述第一设备向所述第三设备发送第一能力信息，所述第一能力信息指示所述第一设备将第二权限开放给所述第三设备，所述第二权限包括调用所述第一设备中的所述被调用者和/或访问所述第一资源的权限。
5. 根据权利要求4所述的方法，其特征在于，所述第一设备向所述第三设备发送第一能 力信息之后，所述方法还包括：

   所述第三设备将所述第二权限授予给所述调用者。
6. 根据权利要求1所述的方法，其特征在于，所述第一设备中还安装有调用者，所述调用者为所述APP或所述功能组件；

   所述第一设备获取访问请求，具体包括：所述第一设备生成访问请求，所述访问请求具体用于所述第一设备中的所述调用者调用所述被调用者并访问所述第一资源。
7. 根据权利要求1-6任一项所述的方法，其特征在于，所述第一设备和所述第二设备登录同一账号。
8. 根据权利要求1-7任一项所述的方法，其特征在于，所述第二设备为所述第一设备的控制设备，或者，所述第二设备为富设备，或者，所述第二设备为和所述第一设备保持通信连接超过预设时长的电子设备。
9. 根据权利要求1-8任一项所述的方法，其特征在于，所述第一设备在所述多个电子设备中确定第二设备，具体包括：

   所述第一设备根据所述多个电子设备的以下一项或多项确定所述第二设备：是否配置所述第一模块、配置的所述第一模块的数量、屏幕状态、运行状态，或者，和用户之间的距离。
10. 根据权利要求9所述的方法，其特征在于，

    所述第二设备配置有所述第一模块；

    和/或，

    所述第二设备符合以下一项或多项：所述屏幕状态为解锁状态、所述运行状态指示未执行所述第一任务，或者，和用户之间的距离小于第二值。
11. 根据权利要求1-10任一项所述的方法，其特征在于，

    所述第一模块包括以下一项或多项：显示屏、摄像头、指纹传感器、拾音设备或按键。
12. 根据权利要求1-11任一项所述的方法，其特征在于，

    所述第一操作包括以下一项或多项：作用于显示屏的用户操作、预设的人脸图像、预设的指纹、预设的语音指令，或者，作用于按键的用户操作。
13. 根据权利要求1-12任一项所述的方法，其特征在于，所述第二设备响应于所述授权请求输出提示信息，具体包括：

    所述第二设备响应于所述授权请求，显示第一用户界面，所述第一用户界面中显示有提示信息和第一控件；所述第一操作包括作用于所述第一控件的用户操作。
14. 根据权利要求1-13任一项所述的方法，其特征在于，

    所述第一设备获取访问请求之后，所述方法还包括：所述第一设备确定第二模块，并向所述第二设备发送所述第二模块的指示信息；

    所述第二设备接收到所述第一操作，具体包括；所述第二设备使用所述第二模块接收到所述第一操作。
15. 根据权利要求1-14任一项所述的方法，其特征在于，

    所述第一资源包括：隐私程度高于阈值的资源。
16. 根据权利要求1-15任一项所述的方法，其特征在于，所述第一任务包括以下一项或多项：全屏运行游戏类应用，或者，全屏观看视频。
17. 一种灵活授权的访问控制方法，其特征在于，所述方法应用于第一设备，所述第一设备中安装有被调用者，所述被调用者为应用程序APP或功能组件，所述APP为实现多个功能的程序实体，所述功能组件为实现单一功能的程序实体；

    所述方法包括：

    所述第一设备获取访问请求，所述访问请求用于调用所述第一设备中的所述被调用者以访问所述第一设备中的第一资源；

    在以下一种或多种情况下，所述第一设备在多个电子设备中确定第二设备：所述第一设备未配置用于接收第一操作的第一模块、所述第一设备配置有所述第一模块且使用所述第一模块执行第一任务、所述第一设备处于锁屏状态，或，所述第一设备和用户之间的距离大于第一值；

    所述第一设备向所述第二设备发送授权请求，所述授权请求用于请求用户授予第一权限，所述第一权限包括调用所述第一设备中的所述被调用者的权限，和/或，访问所述第一设备中所述第一资源的权限；

    所述第一设备接收到所述授权设备发送的授权结果，所述授权结果指示用户授予了所述第一权限；

    所述第一设备响应于所述授权结果，调用所述被调用者以访问所述第一资源。
18. 根据权利要求17所述的方法，其特征在于，所述第一设备获取访问请求，具体包括：

    所述第一设备接收到所述第三设备向发送的访问请求；所述第三设备安装有调用者，所述调用者为所述APP或所述功能组件；

    其中，所述访问请求具体用于所述第三设备中的所述调用者调用所述第一设备中的所述被调用者并访问所述第一资源。
19. 根据权利要求18所述的方法，其特征在于，所述第一权限具体包括：

    所述第三设备调用所述第一设备中的所述被调用者的权限，和/或，所述第三设备访问所述第一设备中所述第一资源的权限；

    和/或，

    所述调用者调用所述第一设备中的所述被调用者的权限，和/或，所述调用者访问所述第一设备中所述第一资源的权限。
20. 根据权利要求18或19所述的方法，其特征在于，所述第一设备接收到所述第三设 备向发送的访问请求之前，所述方法还包括：

    所述第一设备向所述第三设备发送第一能力信息，所述第一能力信息指示所述第一设备将第二权限开放给所述第三设备，所述第二权限包括调用所述第一设备中的所述被调用者和/或访问所述第一资源的权限。
21. 根据权利要求17所述的方法，其特征在于，所述第一设备中还安装有调用者，所述调用者为所述APP或所述功能组件；

    所述第一设备获取访问请求，具体包括：所述第一设备生成访问请求，所述访问请求具体用于所述第一设备中的所述调用者调用所述被调用者并访问所述第一资源。
22. 根据权利要求17-21任一项所述的方法，其特征在于，所述第一设备和所述第二设备登录同一账号。
23. 根据权利要求17-22任一项所述的方法，其特征在于，所述第二设备为所述第一设备的控制设备，或者，所述第二设备为富设备，或者，所述第二设备为和所述第一设备保持通信连接超过预设时长的电子设备。
24. 根据权利要求17-23任一项所述的方法，其特征在于，所述第一设备在多个电子设备中确定第二设备，具体包括：

    所述第一设备根据多个电子设备的以下一项或多项确定所述第二设备：是否配置所述第一模块、配置的所述第一模块的数量、屏幕状态、运行状态，或者，和用户之间的距离。
25. 根据权利要求24所述的方法，其特征在于，

    所述第二设备配置有所述第一模块；

    和/或，

    所述第二设备符合以下一项或多项：所述屏幕状态为解锁状态、所述运行状态指示未执行所述第一任务，或者，和用户之间的距离小于第二值。
26. 根据权利要求17-25任一项所述的方法，其特征在于，

    所述第一模块包括以下一项或多项：显示屏、摄像头、指纹传感器、拾音设备或按键。
27. 根据权利要求17-26任一项所述的方法，其特征在于，

    所述第一操作包括以下一项或多项：作用于显示屏的用户操作、预设的人脸图像、预设的指纹、预设的语音指令，或者，作用于按键的用户操作。
28. 根据权利要求17-27任一项所述的方法，其特征在于，

    所述第一设备获取访问请求之后，所述方法还包括：所述第一设备确定第二模块，并向所述第二设备发送所述第二模块的指示信息。
29. 根据权利要求17-28任一项所述的方法，其特征在于，所述第一资源包括：隐私程度高于阈值的资源。
30. 根据权利要求17-29任一项所述的方法，其特征在于，所述第一任务包括以下一项或多项：全屏运行游戏类应用，或者，全屏观看视频。
31. 一种灵活授权的访问控制方法，其特征在于，所述方法应用于第二设备，所述方法包括：

    所述第二设备接收到第一设备发送的授权请求，所述授权请求用于请求用户授予第一权限，所述第一权限包括调用所述第一设备中的被调用者的权限，和/或，访问所述第一设备中第一资源的权限；所述第一设备中安装有所述被调用者，所述被调用者为应用程序APP或功能组件，所述APP为实现多个功能的程序实体，所述功能组件为实现单一功能的程序实体；

    所述第二设备响应于所述授权请求输出提示信息，所述提示信息用于提示所述第一权限；

    所述第二设备接收到第一操作，并响应于所述第一操作向所述第一设备发送授权结果，所述授权结果指示用户授予了所述第一权限。
32. 根据权利要求31所述的方法，其特征在于，所述第一设备和所述第二设备登录同一账号。
33. 根据权利要求31或32所述的方法，其特征在于，

    所述第一操作包括以下一项或多项：作用于显示屏的用户操作、预设的人脸图像、预设的指纹、预设的语音指令，或者，作用于按键的用户操作。
34. 根据权利要求31-33任一项所述的方法，其特征在于，所述第二设备响应于所述授权请求输出提示信息，具体包括：

    所述第二设备响应于所述授权请求，显示第一用户界面，所述第一用户界面中显示有提示信息和第一控件；所述第一操作包括作用于所述第一控件的用户操作。
35. 根据权利要求31-34任一项所述的方法，其特征在于，

    所述第二设备接收到第一操作之前，所述方法还包括：所述第二设备接收到所述第一设备发送的第二模块的指示信息；

    所述第二设备接收到第一操作，具体包括；所述第二设备使用所述第二模块接收到所述第一操作。
36. 一种电子设备，其特征在于，包括：存储器、一个或多个处理器；所述存储器与所述一个或多个处理器耦合，所述存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令，所述一个或多个处理器调用所述计算机指令以使得所述电子设备执行：

    获取访问请求，所述访问请求用于调用所述电子设备中的被调用者以访问所述电子设备中的第一资源；所述电子设备中安装有所述被调用者，所述被调用者为应用程序APP或功能组件，所述APP为实现多个功能的程序实体，所述功能组件为实现单一功能的程序实体；

    在以下一种或多种情况下，在多个电子设备中确定第二设备：所述电子设备未配置用于 接收第一操作的第一模块、所述电子设备配置有所述第一模块且使用所述第一模块执行第一任务、所述电子设备处于锁屏状态，或，所述电子设备和用户之间的距离大于第一值；

    向所述第二设备发送授权请求，所述授权请求用于请求用户授予第一权限，所述第一权限包括调用所述电子设备中的所述被调用者的权限，和/或，访问所述电子设备中所述第一资源的权限；

    接收到所述授权设备发送的授权结果，所述授权结果指示用户授予了所述第一权限；

    响应于所述授权结果，调用所述被调用者以访问所述第一资源。
37. 根据权利要求36所述的电子设备，其特征在于，所述一个或多个处理器具体用于调用所述计算机指令以使得所述电子设备执行：

    接收到所述第三设备向发送的访问请求；所述第三设备安装有调用者，所述调用者为所述APP或所述功能组件；

    其中，所述访问请求具体用于所述第三设备中的所述调用者调用所述电子设备中的所述被调用者并访问所述第一资源。
38. 根据权利要求37所述的电子设备，其特征在于，所述第一权限具体包括：

    所述第三设备调用所述电子设备中的所述被调用者的权限，和/或，所述第三设备访问所述电子设备中所述第一资源的权限；

    和/或，

    所述调用者调用所述电子设备中的所述被调用者的权限，和/或，所述调用者访问所述电子设备中所述第一资源的权限。
39. 根据权利要求37或38所述的电子设备，其特征在于，所述一个或多个处理器还用于调用所述计算机指令以使得所述电子设备执行：

    在接收到所述第三设备向发送的访问请求之前，向所述第三设备发送第一能力信息，所述第一能力信息指示所述电子设备将第二权限开放给所述第三设备，所述第二权限包括调用所述电子设备中的所述被调用者和/或访问所述第一资源的权限。
40. 根据权利要求36所述的电子设备，其特征在于，所述电子设备中还安装有调用者，所述调用者为所述APP或所述功能组件，所述一个或多个处理器具体用于调用所述计算机指令以使得所述电子设备执行：

    生成访问请求，所述访问请求具体用于所述电子设备中的所述调用者调用所述被调用者并访问所述第一资源。
41. 根据权利要求36-40任一项所述的电子设备，其特征在于，所述电子设备和所述第二设备登录同一账号。
42. 根据权利要求36-41任一项所述的电子设备，其特征在于，所述第二设备为所述电子设备的控制设备，或者，所述第二设备为富设备，或者，所述第二设备为和所述电子设备保持通信连接超过预设时长的电子设备。
43. 根据权利要求36-42任一项所述的电子设备，其特征在于，所述一个或多个处理器具体用于调用所述计算机指令以使得所述电子设备执行：

    根据多个电子设备的以下一项或多项确定所述第二设备：是否配置所述第一模块、配置的所述第一模块的数量、屏幕状态、运行状态，或者，和用户之间的距离。
44. 根据权利要求43所述的电子设备，其特征在于，

    所述第二设备配置有所述第一模块；

    和/或，

    所述第二设备符合以下一项或多项：所述屏幕状态为解锁状态、所述运行状态指示未执行所述第一任务，或者，和用户之间的距离小于第二值。
45. 根据权利要求36-44任一项所述的电子设备，其特征在于，

    所述第一模块包括以下一项或多项：显示屏、摄像头、指纹传感器、拾音设备或按键。
46. 根据权利要求36-45任一项所述的电子设备，其特征在于，

    所述第一操作包括以下一项或多项：作用于显示屏的用户操作、预设的人脸图像、预设的指纹、预设的语音指令，或者，作用于按键的用户操作。
47. 根据权利要求36-46任一项所述的电子设备，其特征在于，所述一个或多个处理器还用于调用所述计算机指令以使得所述电子设备执行：

    获取访问请求之后，确定第二模块，并向所述第二设备发送所述第二模块的指示信息。
48. 根据权利要求36-47任一项所述的电子设备，其特征在于，所述第一资源包括：隐私程度高于阈值的资源。
49. 根据权利要求36-48任一项所述的电子设备，其特征在于，所述第一任务包括以下一项或多项：全屏运行游戏类应用，或者，全屏观看视频。
50. 一种电子设备，其特征在于，包括：存储器、一个或多个处理器；所述存储器与所述一个或多个处理器耦合，所述存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令，所述一个或多个处理器调用所述计算机指令以使得所述电子设备执行：

    接收到第一设备发送的授权请求，所述授权请求用于请求用户授予第一权限，所述第一权限包括调用所述第一设备中的被调用者的权限，和/或，访问所述第一设备中第一资源的权限；所述第一设备中安装有所述被调用者，所述被调用者为应用程序APP或功能组件，所述APP为实现多个功能的程序实体，所述功能组件为实现单一功能的程序实体；

    响应于所述授权请求输出提示信息，所述提示信息用于提示所述第一权限；

    接收到第一操作，并响应于所述第一操作向所述第一设备发送授权结果，所述授权结果指示用户授予了所述第一权限。
51. 根据权利要求50所述的电子设备，其特征在于，所述第一设备和所述电子设备登录 同一账号。
52. 根据权利要求50或51所述的电子设备，其特征在于，

    所述第一操作包括以下一项或多项：作用于显示屏的用户操作、预设的人脸图像、预设的指纹、预设的语音指令，或者，作用于按键的用户操作。
53. 根据权利要求50-52任一项所述的电子设备，其特征在于，所述一个或多个处理器具体用于调用所述计算机指令以使得所述电子设备执行：

    响应于所述授权请求，显示第一用户界面，所述第一用户界面中显示有提示信息和第一控件；所述第一操作包括作用于所述第一控件的用户操作。
54. 根据权利要求50-53任一项所述的电子设备，其特征在于，

    所述一个或多个处理器还用于调用所述计算机指令以使得所述电子设备执行：接收到第一操作之前，接收到所述第一设备发送的第二模块的指示信息；

    所述一个或多个处理器具体用于调用所述计算机指令以使得所述电子设备执行：使用所述第二模块接收到所述第一操作。
55. 一种计算机可读存储介质，包括指令，其特征在于，当所述指令在电子设备上运行时，使得所述电子设备执行如权利要求17-30或31-35中任一项所述的方法。
56. 一种计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得计算机执行如权利要求17-30或31-35中任一项所述的方法。
57. 一种通信系统，包括：第一设备和第二设备，所述第一设备用于执行如权利要求17-30，所述第二设备用于执行如权利要求31-35中任一项所述的方法。