WO2020133292A1 - 业务访问的权限系统和方法 - Google Patents

Abstract

本发明实施例公开了一种业务访问的权限系统和方法，包括：用户系统、业务系统和身份认证系统；所述用户系统用于向所述业务系统发送业务请求，所述业务请求携带有令牌信息；所述业务系统用于从所述业务请求中获取到令牌信息，将获取到的令牌信息发送至所述身份认证系统；所述身份认证系统根据所述令牌信息判断所述用户系统是否具有访问所述业务系统的权限，将判断结果发送至所述业务系统；所述业务系统接收所述身份认证系统返回的判断结果，若判断结果为所述用户系统具有访问所述业务系统的权限，则执行所述业务请求对应的业务。通过上述方式，提高了用户访问多个业务的效率。

Description

业务访问的权限系统和方法

技术领域

[0001] 本发明涉及业务访问技术领域， 尤其涉及一种业务访问的权限系统和方法。

背景技术

[0002] 云平台能够提供很多服务， 比如推送服务、 文件存储服务和资源处理等， 但是 每个服务之间只关心自己的业务， 如果要进入不同的业务系统， 均需要输入账 号和密码， 这样在一定程度上保证了各个系统的独立与系统访问的安全性。 发明概述

技术问题

[0003] 但是， 如果用户每次使用一个业务的时候， 都需要输入账号和密码才能进入业 务系统， 那么将导致用户访问业务系统的效率低下。

问题的解决方案

技术解决方案

[0004] 基于此， 有必要针对上述问题， 提出一种效率高的业务访问的权限系统和方法

[0005] 一种业务访问的权限系统， 所述系统包括：

[0006] 用户系统、 业务系统和身份认证系统；

[0007] 所述用户系统用于向所述业务系统发送业务请求， 所述业务请求携带有令牌信 息；

[0008] 所述业务系统用于从所述业务请求中获取到令牌信息， 将获取到的令牌信息发 送至所述身份认证系统；

[0009] 所述身份认证系统根据所述令牌信息判断所述用户系统是否具有访问所述业务 系统的权限， 将判断结果发送至所述业务系统；

[0010] 所述业务系统接收所述身份认证系统返回的判断结果， 若判断结果为所述用户 系统具有访问所述业务系统的权限， 则执行所述业务请求对应的业务。

[0011] 在其中一个实施例中， 所述业务系统还用于从所述业务请求中获取到令牌信息 ， 根据所述令牌信息判断所述用户系统是否具有访问所述业务系统的权限， 若 判断结果为所述用户系统不具有访问所述业务系统的权限， 则将获取到的令牌 信息发送至所述身份认证系统。

[0012] 在其中一个实施例中， 所述用户系统还用于获取用户输入的多系统认证账号和 多系统认证密码， 将所述多系统认证账号和多系统认证密码发送至所述身份认 证系统； 所述身份认证系统根据所述多系统认证账号和所述多系统认证密码判 断所述用户系统是否具有访问预置的多个业务系统的权限， 若判断结果为所述 用户具有访问预置的多个业务系统的权限， 则向所述用户系统发送所述令牌信 息。

[0013] 在其中一个实施例中， 所述身份认证系统还用于若检测到所述令牌信息失效， 则向所述业务系统返回的判断结果为所述用户系统具有访问所述业务系统的权 限， 向所述用户系统发送更新的令牌信息。

[0014] 在其中一个实施例中， 所述业务请求包括业务类型信息和所述多系统认证账号 ， 所述业务系统中设置有账户权限表， 所述账户权限表记载了多系统认证账号 与业务权限的对应关系； 所述业务系统还用于若判断结果为所述用户系统具有 访问所述业务系统的权限， 则根据所述多系统认证账号和所述账号权限表判断 所述用户系统是否具有访问所述业务类型对应的目标业务的权限， 若判断结果 为所述用户系统具有访问所述目标业务的权限， 则执行所述业务请求对应的业 务。

[0015] 在其中一个实施例中， 所述业务请求包括业务类型信息， 所述业务系统中设置 有业务权限表； 所述业务系统还用于若判断结果为所述用户系统具有访问所述 业务系统的权限， 则根据所述业务权限表判断所述用户系统是否具有访问所述 业务类型对应的目标业务的权限， 若判断结果为所述用户系统具有访问所述目 标业务的权限， 则执行所述业务请求对应的业务。

[0016] 一种业务访问的权限方法， 所述方法包括：

[0017] 用户系统向业务系统发送业务请求， 所述业务请求携带有令牌信息；

[0018] 所述业务系统从所述业务请求中获取到令牌信息， 将获取到的令牌信息发送至 身份认证系统； [0019] 所述身份认证系统根据所述令牌信息判断所述用户系统是否具有访问所述业务 系统的权限， 将判断结果发送至所述业务系统；

[0020] 所述业务系统接收所述身份认证系统返回的判断结果， 若判断结果为所述用户 系统具有访问所述业务系统的权限， 则执行所述业务请求对应的业务。

[0021] 在其中一个实施例中， 所述业务系统从所述业务请求中获取到令牌信息， 将获 取到的令牌信息发送至身份认证系统， 包括： 所述业务系统从所述业务请求中 获取到令牌信息， 根据所述令牌信息判断所述用户系统是否具有访问所述业务 系统的权限， 若判断结果为所述用户系统不具有访问所述业务系统的权限， 则 将获取到的令牌信息发送至所述身份认证系统。

[0022] 在其中一个实施例中， 在所述用户系统向业务系统发送业务请求之前， 还包括 : 所述用户系统获取用户输入的多系统认证账号和多系统认证密码， 将所述多 系统认证账号和多系统认证密码发送至所述身份认证系统； 所述身份认证系统 根据所述多系统认证账号和所述多系统认证密码判断所述用户系统是否具有访 问预置的多个业务系统的权限， 若判断结果为所述用户具有访问预置的多个业 务系统的权限， 则向所述用户系统发送所述令牌信息。

[0023] 在其中一个实施例中， 所述业务请求包括所述多系统认证账号和所述多系统认 证密码， 所述业务系统中设置有多系统认证账号密码和单系统认证账号密码的 对照表； 在所述业务系统接收所述身份认证系统返回的判断结果之后， 还包括 : 若判断结果为所述令牌信息失效， 则所述业务系统根据所述多系统认证账号 、 所述多系统认证密码和所述对照表判断所述用户系统是否具有访问所述业务 系统的权限。

发明的有益效果

有益效果

[0024] 实施本发明实施例， 将具有如下有益效果：

[0025] 本发明提出了一种业务访问的权限系统和方法， 包括： 用户系统、 业务系统和 身份认证系统； 所述用户系统用于向所述业务系统发送业务请求， 所述业务请 求携带有令牌信息； 所述业务系统用于从所述业务请求中获取到令牌信息， 将 获取到的令牌信息发送至所述身份认证系统； 所述身份认证系统根据所述令牌 信息判断所述用户系统是否具有访问所述业务系统的权限， 将判断结果发送至 所述业务系统； 所述业务系统接收所述身份认证系统返回的判断结果， 若判断 结果为所述用户系统具有访问所述业务系统的权限， 则执行所述业务请求对应 的业务。 可见， 通过上述方式， 用户在访问不同的业务系统的时候， 不用再多 次输入账号和密码， 而只需要用一个令牌就可以直接访问不同的业务系统， 大 大的节省了用户进入不同业务系统输入账号和密码的时间， 同时， 身份认证系 统会对令牌进行验证， 使得在验证之后只有有权限的用户才能根据该令牌进入 到不同的业务系统， 也保证了系统的安全性。

对附图的简要说明

附图说明

[0026] 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实施例或 5见有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面描述中的 附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创 造性劳动的前提下， 还可以根据这些附图获得其他的附图。

[0027] 其中：

[0028] 图 1是一个实施例中业务访问的权限系统的结构示意图；

[0029] 图 2是一个实施例中业务访问的权限系统的结构示意图；

[0030] 图 3是一个实施例中业务访问的权限系统的结构示意图；

[0031] 图 4是一个实施例中业务访问的权限系统的结构示意图；

[0032] 图 5是一个实施例中业务访问的权限系统的结构示意图；

[0033] 图 6为一个实施例中业务访问的权限方法的实现流程示意图；

[0034] 图 7为一个实施例中业务访问的权限方法的实现流程示意图。

发明实施例

本发明的实施方式

[0035] 下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是全部 的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有作出创造性劳 动前提下所获得的所有其他实施例， 都属于本发明保护的范围。 [0036] 如图 1所示， 在一个实施例中， 提供了一种业务访问的权限系统， 包括：

[0037] 用户系统、 业务系统和身份认证系统；

[0038] 所述用户系统用于向所述业务系统发送业务请求， 所述业务请求携带有令牌信 息；

[0039] 所述业务系统用于从所述业务请求中获取到令牌信息， 将获取到的令牌信息发 送至所述身份认证系统；

[0040] 所述身份认证系统根据所述令牌信息判断所述用户系统是否具有访问所述业务 系统的权限， 将判断结果发送至所述业务系统；

[0041] 所述业务系统接收所述身份认证系统返回的判断结果， 若判断结果为所述用户 系统具有访问所述业务系统的权限， 则执行所述业务请求对应的业务。

[0042] 所述业务系统还用于若判断结果为所述用户系统不具有访问所述业务系统的权 限， 则拒绝执行所述业务请求对应的任务， 可选的， 业务系统向所述用户系统 发送提示信息， 例如， 提示信息为“您不具有访问权限”。

[0043] 上述业务访问的权限系统， 包括： 用户系统、 业务系统和身份认证系统； 所述 用户系统用于向所述业务系统发送业务请求， 所述业务请求携带有令牌信息； 所述业务系统用于从所述业务请求中获取到令牌信息， 将获取到的令牌信息发 送至所述身份认证系统； 所述身份认证系统根据所述令牌信息判断所述用户系 统是否具有访问所述业务系统的权限， 将判断结果发送至所述业务系统； 所述 业务系统接收所述身份认证系统返回的判断结果， 若判断结果为所述用户系统 具有访问所述业务系统的权限， 则执行所述业务请求对应的业务。 可见， 通过 上述方式， 用户在访问不同的业务系统的时候， 不用再多次输入账号和密码， 而只需要用一个令牌就可以直接访问不同的业务系统， 大大的节省了用户进入 不同业务系统输入账号和密码的时间， 同时， 身份认证系统会对令牌进行验证 ， 使得在验证之后只有有权限的用户才能根据该令牌进入到不同的业务系统， 也保证了系统的安全性。

[0044] 可选的， 所述用户系统设置于用户终端， 所述业务系统设置于业务服务器， 所 述身份认证系统设置于身份认证服务器， 如图 2所示； 可选的， 所述用户系统和 所述业务系统均设置于用户终端， 所述身份认证系统设置于身份认证服务器， 如图 3所示； 可选的， 所述用户系统设置于用户终端， 所述业务系统和所述身份 认证系统设置于业务服务器， 如图 4所示； 可选的， 所述用户系统、 业务系统和 所述身份验证系统均设置于同一服务器。

[0045] 在本发明实施例中， 若所述身份认证系统判断业务系统发送的令牌信息是历史 下发给用户系统的令牌信息， 则判断结果为所述用户系统具有访问所述业务系 统的权限； 若所述身份认证系统判断业务系统发送的令牌信息不是历史下发给 用户系统的令牌信息， 则判断结果为所述用户系统不具有访问所述业务系统的 权限。

[0046] 具体的， 如图 5所示， 所述用户系统还用于获取用户输入的多系统认证账号和 多系统认证密码， 将所述多系统认证账号和多系统认证密码发送至所述身份认 证系统； 所述身份认证系统根据所述多系统认证账号和所述多系统认证密码判 断所述用户系统是否具有访问预置的多个业务系统的权限， 若判断结果为所述 用户具有访问预置的多个业务系统的权限， 则向所述用户系统发送所述令牌信 息。

[0047] 为了对用户的身份进行验证， 用户需要通过用户系统提供的身份信息输入界面 输入多系统认证账号和多系统认证密码， 然后用户系统将身份信息发送至身份 认证系统， 身份认证系统对该身份信息认证通过之后， 会向用户系统下发令牌 信息， 这样， 后续用户在通过用户系统访问其他业务系统的时候， 就可以将令 牌信息发送至业务系统， 业务系统再将其转发至身份认证系统确认， 身份认证 系统确认之后业务系统即可执行对应的业务。

[0048] 所述多系统认证账号， 为能够通过一个账号访问多个需要账号和密码登录的业 务系统的账号； 所述多系统认证密码， 为与所述多系统认证账号对应的密码。

[0049] 所述多系统认证账号和所述多系统认证密码， 可以设置为一对， 当多系统认证 账号和多系统认证密码设置为一对的时候， 不同的用户使用该唯一的一对多系 统认证账号和多系统认证密码访问多个需要账号和密码登录的业务系统； 所述 多系统认证账号和所述多系统认证密码， 可以设置为多对， 即不同用户的多系 统认证账号和多系统认证密码设置为不同， 例如， 用户的多系统认证账号和多 系统认证密码是 QQ号或者微信号， 这样， 不同的用户可以使用不同的多系统认 证账号和多系统认证密码访问多个需要账号和密码登录的业务系统。

[0050] 身份认证系统会提前对多系统认证账号和多系统认证密码进行存储， 例如， 用 户使用一个账号和密码进行注册， 并提交其身份证明信息， 例如身份证明信息 为身份证电子照片、 工作单位等， 身份认证系统在接收到账号和密码之后对用 户的身份证明信息进行核验， 如果核验通过， 那么该用户注册成功， 身份认证 系统将用户注册时的账号和密码作为多系统认证账号和多系统认证密码进行存 储， 后续， 在接收到用户系统发送的身份信息的时候， 就能够将获取到的身份 信息与预先存储的身份信息 （多系统认证账号和多系统认证密码） 进行比对， 只有比对发现该身份信息是预先存储的身份信息时才向用户系统返回令牌信息

[0051] 身份认证系统预先对可以用多系统认证账号和多系统认证密码访问的业务系统 的信息 （例如， 业务系统标识信息， 用于唯一标识一个业务系统） 进行存储， 这样， 不可以用多系统认证账号和多系统认证密码访问的业务系统在向身份认 证系统发送令牌信息的时候， 身份认证系统可以根据预先存储的信息向业务系 统反馈对应的判断结果， 例如， 假设令牌信息是身份认证系统历史下发给用户 系统的令牌信息， 但是由于某一业务系统是不可以通过多系统认证账号和多系 统认证密码访问的业务系统， 此时返回的判断结果为所述用户系统不具有访问 所述业务系统的权限， 或者由于某一业务系统是可以通过多系统认证账号和多 系统认证密码访问的业务系统， 此时返回的判断结果为所述用户系统具有访问 所述业务系统的权限。

[0052] 需要说明的是， 正常情况下， 不可以用多系统认证账号和多系统认证密码访问 的业务系统在接收到不是其下发的令牌信息的时候会直接拒绝用户系统的访问 ， 只有可以用多系统认证账号和多系统认证密码访问的业务系统在接收到不是 其下发的令牌信息的时候才会将接收到的令牌信息发送至身份认证系统进行再 次认证， 所以为了防止不可以用多系统认证账号和多系统认证密码访问的业务 系统在接收到不是其下发的令牌信息的时候仍然向身份认证系统发送了令牌信 息进行验证的情况， 身份认证系统会通过预先存储的可以用多系统认证账号和 多系统认证密码访问的业务系统的信息会令牌信息的发送系统进行验证， 在令 牌信息确实是身份认证系统历史下发给用户系统的情况下， 如果验证发送系统 确实是可以用多系统认证账号和多系统认证密码访问的业务系统， 才返回用户 系统具有访问所述业务系统的权限的判断结果， 如果验证发送系统不是可以用 多系统认证账号和多系统认证密码访问的业务系统， 将返回用户系统不具有访 问所述业务系统的权限。

[0053] 作为一种可选的实施例， 当不同用户的多系统认证账号和多系统认证密码不同 时， 身份认证系统还可以给不同用户的多系统认证账号设置优先级， 这样， 在 向业务系统返回判断结果的同时， 向所述业务系统返回对应的优先级， 以使业 务系统根据优先级确定多个业务请求的处理顺序。 例如， 假设用户 1的多系统认 证账号的优先级是高级， 用户 2的多系统认证账号的优先级是低级， 用户 2在 10:2 3: 15向业务系统发送了业务请求 2, 业务系统在 10:23: 16将业务请求 2中的令牌信 息 2发送给了身份认证系统， 用户 1在 10:23: 16向业务系统发送了业务请求 1， 业 务系统在 10:23: 17将业务请求 1中的令牌信息 1发送给了身份认证系统， 身份认证 系统根据令牌信息 2, 确定令牌信息 2对应的多系统认证账号为用户 2的账号， 获 取用户 2的多系统认证账号的优先级： 低级， 并在 10:23: 18反馈给业务系统， 身 份认证系统根据令牌信息 1， 确定令牌信息 1对应的多系统认证账号为用户 1的账 号， 获取用户 1的多系统认证账号的优先级： 高级， 并在 10:23: 18反馈给业务系 统， 于是， 业务系统根据接收到的优先级判断先处理业务请求 1对应的业务。

[0054] 作为一种可选的实施例， 所述用户系统还用于获取用户输入的多系统认证账号 、 多系统认证密码和人脸图像， 将所述多系统认证账号、 多系统认证密码和所 述人脸图像发送至所述身份认证系统； 所述身份认证系统根据所述多系统认证 账号、 所述多系统认证密码和所述人脸图像判断所述用户系统是否具有访问预 置的多个业务系统的权限， 若判断结果为所述用户具有访问预置的多个业务系 统的权限， 则向所述用户系统发送所述令牌信息。

[0055] 具体的， 用户在使用一个账号和密码注册的时候， 身份证明信息中必须包含人 脸图像， 当注册成功之后， 身份认证系统将账号、 密码和人脸图像进行关联存 储， 这样， 后续就能同时对这三项进行验证。

[0056] 在这里， 为了进一步的提高系统的安全性， 在获取令牌信息的时候， 还必须对 输入的人脸图像进行验证， 即只有用户输入的多系统认证账号、 多系统认证密 码和人脸图像和身份认证系统中存储的多系统认证账号、 多系统认证密码和人 脸图像一一对应相同的时候， 才会给出该用户系统具有访问预置的多个业务系 统的权限。

[0057] 在其中一个实施例中， 所述业务系统还用于从所述业务请求中获取到令牌信息 ， 根据所述令牌信息判断所述用户系统是否具有访问所述业务系统的权限， 若 判断结果为所述用户系统不具有访问所述业务系统的权限， 则将获取到的令牌 信息发送至所述身份认证系统。

[0058] 在这里， 业务系统在获取到业务请求的时候， 首先从该业务请求中获取到令牌 信息， 以判断该令牌信息是不是该业务系统自己下发给用户系统的 （即用户输 入了账号和密码登录该业务系统， 然后该业务系统向用户系统下发了令牌） ， 若判断结果为该令牌信息是业务系统下发给用户系统的， 那么此时不用再向身 份认证系统发送该令牌信息再次验证， 若判断结果是该令牌信息不是业务系统 下发给用户系统的， 那么此时为了验证该令牌信息是不是能够统一登录各个业 务系统的令牌信息， 将该令牌信息发送至身份认证系统继续验证。

[0059] 在其中一个实施例中， 所述业务请求包括所述多系统认证账号和所述多系统认 证密码， 所述业务系统中设置有多系统认证账号密码和单系统认证账号密码的 对照表； 所述业务系统还用于若判断结果为所述令牌信息失效， 则根据所述多 系统认证账号、 所述多系统认证密码和所述对照表判断所述用户系统是否具有 访问所述业务系统的权限。

[0060] 由于令牌在一定时间之后就会失效， 如果要使用失效的令牌访问某个系统， 那 么将访问失败。 业务系统在接收到业务请求之后， 首先从业务请求中获取到令 牌信息， 然后将令牌信息发送至身份认证系统进行判断， 若判断结果为令牌信 息失效， 即令牌确实是身份认证系统历史下发给用户系统的令牌， 但是由于超 过了令牌的存活时间， 该令牌信息已经失效了， 于是， 向业务系统返回的判断 结果为所述令牌信息失效， 业务系统在接收到判断结果后， 知晓了该令牌信息 已经失效， 为了进一步的确保该用户系统确实具有访问该业务系统的权限， 保 证业务能够继续呗处理， 于是， 业务系统从业务请求中获取到多系统认证账号 和所述多系统认证密码， 然后将获取到的多系统认证账号、 多系统认证密码以 及对照表 （表 1） 中的信息进行比对， 若比对结果是获取到的多系统认证账号、 多系统认证密码存在于对照表中， 并且根据单系统认证账号和单系统认证密码 判断出该用户也确实有注册过该系统的使用账号和密码， 于是判断所述用户系 统具有访问所述业务系统的权限。 或者， 若判断结果为所述令牌信息失效， 于 是， 业务系统根据该判断结果向用户系统发送更新令牌获取请求， 用户系统在 接收到更新令牌获取请求之后， 知晓令牌信息已经失效， 于是向身份认证系统 发送获取更新令牌的请求 （包含失效的令牌信息） ， 身份认证系统在接收到获 取更新令牌的请求之后， 根据失效的令牌信息向用户系统下发更新的令牌信息 ， 并再次向业务系统发送判断结果， 此时发送的判断结果为用户系统具有访问 所述业务系统的权限。

[0061] 表 1

[] [表 1]

[0062] 作为一种可选的实施例， 所述身份认证系统还用于若检测到所述令牌信息失效 ， 则向所述业务系统返回的判断结果为所述用户系统具有访问所述业务系统的 权限， 向所述用户系统发送更新的令牌信息。

[0063] 身份认证系统在检测到业务系统发送的令牌信息是失效的令牌信息的时候， 向 用户系统发送更新的令牌信息， 并且向业务系统返回判断结果， 此时返回的判 断结果为用户系统具有访问所述业务系统的权限， 于是， 即使是令牌失效， 也 不影响用户系统继续访问当前的业务系统， 并且， 通过此次访问， 身份认证系 统也知道了用户系统的令牌信息失效了， 向用户系统发送了更新的令牌信息， 于是， 用户系统还能使用更新的令牌信息继续访问其他的业务系统。

[0064] 在其中一个实施例中， 所述业务请求包括业务类型信息和所述多系统认证账号 ， 所述业务系统中设置有账户权限表， 所述账户权限表记载了多系统认证账号 与业务权限的对应关系； 所述业务系统还用于若判断结果为所述用户系统具有 访问所述业务系统的权限， 则根据所述多系统认证账号和所述账号权限表判断 所述用户系统是否具有访问所述业务类型对应的目标业务的权限， 若判断结果 为所述用户系统具有访问所述目标业务的权限， 则执行所述业务请求对应的业 务。

[0065] 所述业务类型信息， 用于指示是哪个业务。 例如， 业务类型信息的内容为： ye wul , 用于指示业务 1。

[0066] 表 2

[]

[0067] 不同的业务系统为用户设置不同的账号权限表， 即不同的用户在访问不同的业 务系统的时候能够访问的业务不同， 例如对某一业务系统， 设置的账号权限表 如表 2。 从表 2可以看出， 多系统认证账号 1对应的用户能够访问的业务是业务 1 、 业务 2和业务 3 , 同样的对于该业务系统， 多系统认证账号 2对应的用户能够访 问的业务是业务 3、 业务 4和业务 5 , 它们能够访问的业务不同。

[0068] 在其中一个实施例中， 所述业务请求包括业务类型信息， 所述业务系统中设置 有业务权限表； 所述业务系统还用于若判断结果为所述用户系统具有访问所述 业务系统的权限， 则根据所述业务权限表判断所述用户系统是否具有访问所述 业务类型对应的目标业务的权限， 若判断结果为所述用户系统具有访问所述目 标业务的权限， 则执行所述业务请求对应的业务。

[0069] 所述业务权限表， 如表 3所示， 若访问业务系统 1， 业务类型信息为： yewul , 确定是业务 1， 此时业务 1即为目标业务， 于是通过业务权限表， 确定业务 1是开 放的业务， 即通过验证令牌信息后可以访问的业务， 于是， 执行与业务请求对 应的业务； 或者， 若访问业务系统 1， 业务类型信息为： yewu4, 确定是业务 4, 此时业务 4即为目标业务， 于是通过业务权限表， 确定业务 4是未开放的业务， 即使验证令牌信息后也不可以访问的业务， 于是， 拒绝执行与业务请求对应的 业务。

[0070] 表 3

[]

[0071] 如图 6所示， 在一个实施例中， 提供了一种业务访问的权限方法， 该业务访问 的权限方法， 具体包括如下步骤：

[0072] 步骤 602, 用户系统向业务系统发送业务请求， 所述业务请求携带有令牌信息

[0073] 步骤 604, 所述业务系统从所述业务请求中获取到令牌信息， 将获取到的令牌 信息发送至身份认证系统。

[0074] 步骤 606 , 所述身份认证系统根据所述令牌信息判断所述用户系统是否具有访 问所述业务系统的权限， 将判断结果发送至所述业务系统。

[0075] 步骤 608 , 所述业务系统接收所述身份认证系统返回的判断结果， 若判断结果 为所述用户系统具有访问所述业务系统的权限， 则执行所述业务请求对应的业 务。

[0076] 上述业务访问的权限方法， 所述用户系统用于向所述业务系统发送业务请求， 所述业务请求携带有令牌信息； 所述业务系统用于从所述业务请求中获取到令 牌信息， 将获取到的令牌信息发送至所述身份认证系统； 所述身份认证系统根 据所述令牌信息判断所述用户系统是否具有访问所述业务系统的权限， 将判断 结果发送至所述业务系统； 所述业务系统接收所述身份认证系统返回的判断结 果， 若判断结果为所述用户系统具有访问所述业务系统的权限， 则执行所述业 务请求对应的业务。 可见， 通过上述方式， 用户在访问不同的业务系统的时候 ， 不用再多次输入账号和密码， 而只需要用一个令牌就可以直接访问不同的业 务系统， 大大的节省了用户进入不同业务系统输入账号和密码的时间， 同时， 身份认证系统会对令牌进行验证， 使得在验证之后只有有权限的用户才能根据 该令牌进入到不同的业务系统， 也保证了系统的安全性。

[0077] 在其中一个实施例中， 步骤 604所述业务系统从所述业务请求中获取到令牌信 息， 将获取到的令牌信息发送至身份认证系统， 包括：

[0078] 所述业务系统从所述业务请求中获取到令牌信息；

[0079] 根据所述令牌信息判断所述用户系统是否具有访问所述业务系统的权限；

[0080] 若判断结果为所述用户系统不具有访问所述业务系统的权限， 则将获取到的令 牌信息发送至所述身份认证系统。

[0081] 在其中一个实施例中， 在步骤 602所述用户系统向业务系统发送业务请求之前

， 还包括：

[0082] 步骤 600, 所述用户系统获取用户输入的多系统认证账号和多系统认证密码， 将所述多系统认证账号和多系统认证密码发送至所述身份认证系统；

[0083] 步骤 601， 所述身份认证系统根据所述多系统认证账号和所述多系统认证密码 判断所述用户系统是否具有访问预置的多个业务系统的权限， 若判断结果为所 述用户具有访问预置的多个业务系统的权限， 则向所述用户系统发送所述令牌 信息。

[0084] 在其中一个实施例中， 步骤 606所述身份认证系统根据所述令牌信息判断所述 用户系统是否具有访问所述业务系统的权限， 将判断结果发送至所述业务系统 ， 包括：

[0085] 所述身份认证系统根据所述令牌信息检测所述令牌信息是否失效；

[0086] 若所述令牌信息失效， 则向所述业务系统返回的判断结果为所述用户系统具有 访问所述业务系统的权限， 向所述用户系统发送更新的令牌信息。

[0087] 在其中一个实施例中， 所述业务请求包括业务类型信息和所述多系统认证账号 ， 所述业务系统中设置有账户权限表， 所述账户权限表记载了多系统认证账号 与业务权限的对应关系； 所述若判断结果为所述用户系统具有访问所述业务系 统的权限， 则执行所述业务请求对应的业务， 包括：

[0088] 若判断结果为所述用户系统具有访问所述业务系统的权限， 则根据所述多系统 认证账号和所述账号权限表判断所述用户系统是否具有访问所述业务类型对应 的目标业务的权限， 若判断结果为所述用户系统具有访问所述目标业务的权限 ， 则执行所述业务请求对应的业务。

[0089] 在其中一个实施例中， 所述业务请求包括业务类型信息， 所述业务系统中设置 有业务权限表； 所述若判断结果为所述用户系统具有访问所述业务系统的权限 ， 则执行所述业务请求对应的业务， 包括：

[0090] 若判断结果为所述用户系统具有访问所述业务系统的权限， 则根据所述业务权 限表判断所述用户系统是否具有访问所述业务类型对应的目标业务的权限， 若 判断结果为所述用户系统具有访问所述目标业务的权限， 则执行所述业务请求 对应的业务。

[0091] 需要说明的是， 上述业务访问的权限系统和业务访问的权限方法属于一个总的 发明构思， 业务访问的权限系统和业务访问的权限方法实施例中的内容可相互 适用。

[0092] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程， 是可 以通过计算机程序来指令相关的硬件来完成， 所述的程序可存储于一非易失性 计算机可读取存储介质中， 该程序在执行时， 可包括如上述各方法的实施例的 流程。 其中， 本申请所提供的各实施例中所使用的对存储器、 存储、 数据库或 其它介质的任何引用， 均可包括非易失性和 /或易失性存储器。 非易失性存储器 可包括只读存储器 (ROM)、 可编程 ROM(PROM)、 电可编程 ROM(EPROM)、 电 可擦除可编程 ROM(EEPROM)或闪存。 易失性存储器可包括随机存取存储器 (RA M)或者外部高速缓冲存储器。 作为说明而非局限， RAM以多种形式可得， 诸如 静态 RAM(SRAM)、 动态 RAM(DRAM)、 同步 DRAM(SDRAM)、 双数据率 SDRA M(DDRSDRAM)、 增强型 SDRAM(ESDRAM)、 同步链路 (Synchlink)

DRAM(SLDRAM)、 存储器总线 (Rambus)直接 RAM(RDRAM)、 直接存储器总线 动态 RAM(DRDRAM)、 以及存储器总线动态 RAM(RDRAM)等。 [0093] 以上实施例的各技术特征可以进行任意的组合， 为使描述简洁， 未对上述实施 例中的各个技术特征所有可能的组合都进行描述， 然而， 只要这些技术特征的 组合不存在矛盾， 都应当认为是本说明书记载的范围。

[0094] 以上所述实施例仅表达了本申请的几种实施方式， 其描述较为具体和详细， 但 并不能因此而理解为对本申请专利范围的限制。 应当指出的是， 对于本领域的 普通技术人员来说， 在不脱离本申请构思的前提下， 还可以做出若干变形和改 进， 这些都属于本申请的保护范围。 因此， 本申请专利的保护范围应以所附权 利要求为准。

Claims

权利要求书

[权利要求 1] 一种业务访问的权限系统， 其特征在于， 包括：

用户系统、 业务系统和身份认证系统；

所述用户系统用于向所述业务系统发送业务请求， 所述业务请求携带 有令牌信息；

所述业务系统用于从所述业务请求中获取到令牌信息， 将获取到的令 牌信息发送至所述身份认证系统；

所述身份认证系统根据所述令牌信息判断所述用户系统是否具有访问 所述业务系统的权限， 将判断结果发送至所述业务系统；

所述业务系统接收所述身份认证系统返回的判断结果， 若判断结果为 所述用户系统具有访问所述业务系统的权限， 则执行所述业务请求对 应的业务。

[权利要求 2] 如权利要求 1所述的权限系统， 其特征在于， 所述业务系统还用于从 所述业务请求中获取到令牌信息， 根据所述令牌信息判断所述用户系 统是否具有访问所述业务系统的权限， 若判断结果为所述用户系统不 具有访问所述业务系统的权限， 则将获取到的令牌信息发送至所述身 份认证系统。

[权利要求 3] 如权利要求 1所述的权限系统， 其特征在于， 所述用户系统还用于获 取用户输入的多系统认证账号和多系统认证密码， 将所述多系统认证 账号和多系统认证密码发送至所述身份认证系统； 所述身份认证系统根据所述多系统认证账号和所述多系统认证密码判 断所述用户系统是否具有访问预置的多个业务系统的权限， 若判断结 果为所述用户具有访问预置的多个业务系统的权限， 则向所述用户系 统发送所述令牌信息。

[权利要求 4] 如权利要求 3所述的权限系统， 其特征在于， 所述身份认证系统还用 于若检测到所述令牌信息失效， 则向所述业务系统返回的判断结果为 所述用户系统具有访问所述业务系统的权限， 向所述用户系统发送更 新的令牌信息。

[权利要求 5] 如权利要求 3所述的权限系统， 其特征在于， 所述业务请求包括业务 类型信息和所述多系统认证账号， 所述业务系统中设置有账户权限表 ， 所述账户权限表记载了多系统认证账号与业务权限的对应关系； 所述业务系统还用于若判断结果为所述用户系统具有访问所述业务系 统的权限， 则根据所述多系统认证账号和所述账号权限表判断所述用 户系统是否具有访问所述业务类型对应的目标业务的权限， 若判断结 果为所述用户系统具有访问所述目标业务的权限， 则执行所述业务请 求对应的业务。

[权利要求 6] 如权利要求 1所述的权限系统， 其特征在于， 所述业务请求包括业务 类型信息， 所述业务系统中设置有业务权限表； 所述业务系统还用于若判断结果为所述用户系统具有访问所述业务系 统的权限， 则根据所述业务权限表判断所述用户系统是否具有访问所 述业务类型对应的目标业务的权限， 若判断结果为所述用户系统具有 访问所述目标业务的权限， 则执行所述业务请求对应的业务。

[权利要求 7] 一种业务访问的权限方法， 其特征在于， 包括：

用户系统向业务系统发送业务请求， 所述业务请求携带有令牌信息； 所述业务系统从所述业务请求中获取到令牌信息， 将获取到的令牌信 息发送至身份认证系统；

所述身份认证系统根据所述令牌信息判断所述用户系统是否具有访问 所述业务系统的权限， 将判断结果发送至所述业务系统；

所述业务系统接收所述身份认证系统返回的判断结果， 若判断结果为 所述用户系统具有访问所述业务系统的权限， 则执行所述业务请求对 应的业务。

[权利要求 8] 如权利要求 7所述的方法， 其特征在于， 所述业务系统从所述业务请 求中获取到令牌信息， 将获取到的令牌信息发送至身份认证系统， 包 括：

所述业务系统从所述业务请求中获取到令牌信息， 根据所述令牌信息 判断所述用户系统是否具有访问所述业务系统的权限， 若判断结果为 所述用户系统不具有访问所述业务系统的权限， 则将获取到的令牌信 息发送至所述身份认证系统。

[权利要求 9] 如权利要求 7所述的方法， 其特征在于， 在所述用户系统向业务系统 发送业务请求之前， 还包括：

所述用户系统获取用户输入的多系统认证账号和多系统认证密码， 将 所述多系统认证账号和多系统认证密码发送至所述身份认证系统； 所述身份认证系统根据所述多系统认证账号和所述多系统认证密码判 断所述用户系统是否具有访问预置的多个业务系统的权限， 若判断结 果为所述用户具有访问预置的多个业务系统的权限， 则向所述用户系 统发送所述令牌信息。

[权利要求 10] 如权利要求 9所述的方法， 其特征在于， 所述身份认证系统根据所述 令牌信息判断所述用户系统是否具有访问所述业务系统的权限， 将判 断结果发送至所述业务系统， 包括：

所述身份认证系统根据所述令牌信息检测所述令牌信息是否失效； 若所述令牌信息失效， 则向所述业务系统返回的判断结果为所述用户 系统具有访问所述业务系统的权限， 向所述用户系统发送更新的令牌 信息。