WO2021169112A1

WO2021169112A1 - 基于共享权限的业务数据处理方法、装置、设备和介质

Info

Publication number: WO2021169112A1
Application number: PCT/CN2020/098690
Authority: WO
Inventors: 翟献成; 王琛
Original assignee: 平安国际智慧城市科技股份有限公司
Priority date: 2020-02-28
Filing date: 2020-06-29
Publication date: 2021-09-02
Also published as: CN111400676A

Abstract

一种基于共享权限的业务数据处理方法，涉及大数据领域，包括：接收用户终端的登录请求，登录请求携带有用户标识（S202）；查询与用户标识对应的租户标识，并查询用户标识对应的用户在租户标识对应的租户中的用户权限信息，并根据用户权限信息生成授权信息（S204）；根据授权信息、用户权限信息、用户标识生成会话信息，并将授权信息发送给用户终端（S206）；接收用户终端发送的业务请求，业务请求携带有授权信息（S208）；查询与授权信息对应的已存储的会话信息，根据会话信息中的用户权限信息对业务请求进行权限控制后，得到与业务请求对应的响应数据（S210）；将响应数据返回给用户终端（S312）。

Description

基于共享权限的业务数据处理方法、装置、设备和介质

相关申请的交叉引用

本申请要求于2020年2月28日提交中国专利局，申请号为2020101309677，申请名称为“基于共享权限的业务数据处理方法、装置、设备和介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及大数据处理技术领域，特别是涉及一种基于共享权限的业务数据处理方法、装置、设备和介质。

背景技术

随着虚拟化和云计算技术的日益完善，SaaS(SoftwareasaService，即软件及服务)这种全新的应用模式逐步被广泛接收和使用。SaaS是一种通过Internet提供软件的模式，软件厂商将应用软件统一部署在自己的服务器上，客户可以根据自己实际需求，通过互联网向厂商定购所需的应用软件服务，按定购的服务多少和时间长短向软件厂商支付费用，并通过互联网获得软件厂商提供的服务。用户不用再购买软件，而改用向软件厂商租用基于Web的软件，来管理企业经营活动，且无需对软件进行维护。软件厂商会全权管理和维护软件，软件厂商在向客户提供互联网应用的同时，也提供软件的离线操作和本地数据存储，让用户随时随地都可以使用其定购的软件和服务。对于许多小型企业来说，SaaS是采用先进技术的最好途径，它消除了企业购买、构建和维护基础设施和应用程序的需要。

然而，发明人意识到，对于SaaS模式来说，大多都是基于传统RBAC模型的，传统RABC模型为单层管理模型，即针对平台层进行访问控制。平台角色分为规则角色和管理角色，规则角色用来执行平台的业务功能，管理角色用来管理平台中角色的创建、权限的分配。但是传统RBAC模型对整个平台资源的分配和角色划分都是全局性的，不能根据租户需求进行访问控制策略定制，也不能将各租户之间的规则、管理角色分开，进而无法将同一平台不同租户的数据进行隔离管理，导致不同租户之间的数据存在泄露的风险。

发明内容

根据本申请公开的各种实施例，提供一种基于共享权限的业务数据处理方法、装置、设备和介质。

一种基于共享权限的业务数据处理方法，包括：

接收用户终端的登录请求，所述登录请求携带有用户标识；

查询与所述用户标识对应的租户标识，并查询所述用户标识对应的用户在所述租户标识对应的租户中的用户权限信息，并根据所述用户权限信息生成授权信息；

根据所述授权信息、所述用户权限信息、所述用户标识生成会话信息，并将所述授权信息发送给所述用户终端；

接收用户终端发送的业务请求，所述业务请求携带有授权信息；

查询与所述授权信息对应的已存储的会话信息，根据所述会话信息中的用户权限信息对所述业务请求进行权限控制后，得到与所述业务请求对应的响应数据；及

将所述响应数据返回给用户终端。

一种基于共享权限的业务数据处理装置，包括：

第一接收模块，用于接收用户终端的登录请求，所述登录请求携带有用户标识；

第一查询模块，用于查询与所述用户标识对应的租户标识，并查询所述用户标识对应的用户在所述租户标识对应的租户中的用户权限信息，并根据所述用户权限信息生成授权信息；

会话信息生成模块，用于根据所述授权信息、所述用户权限信息、所述用户标识生成会话信息，并将所述授权信息发送给所述用户终端；

第二接收模块，用于接收用户终端发送的业务请求，所述业务请求携带有授权信息；

第二查询模块，用于查询与所述授权信息对应的已存储的会话信息，根据所述会话信息中的用户权限信息对所述业务请求进行权限控制后，得到与所述业务请求对应的响应数据；及

发送模块，用于将所述响应数据返回给用户终端。

一种计算机设备，包括存储器和一个或多个处理器，所述存储器中储存有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述一个或多个处理器执行以下步骤：

接收用户终端的登录请求，所述登录请求携带有用户标识；

将所述响应数据返回给用户终端。

一个或多个存储有计算机可读指令的计算机可读存储介质，计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行以下步骤：

接收用户终端的登录请求，所述登录请求携带有用户标识；

将所述响应数据返回给用户终端。

上述基于共享权限的业务数据处理方法、装置、设备和介质，在接收到用户终端发送的登录请求后，首先获取到用户标识对应的租户标识，进而可以查询到用户在租户中的权限信息，且根据权限信息生成授权信息，这样将授权信息、用户权限信息、用户标识生成会话信息后保存，当存在业务请求的时候，可以直接查询会话信息中对应的权限信息，这样通过权限信息对业务请求进行权限控制，可以保证不同的用户仅能获取到权限内的数据，不会造成数据泄露，且由于在登录的时候查询到了用户权限信息，后续在业务处理的时候直接使用该些用户权限信息即可，不需要多次查询，这样还可以提高处理的效率。

本申请的一个或多个实施例的细节在下面的附图和描述中提出。本申请的其它特征和优点将从说明书、附图以及权利要求书变得明显。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为根据一个或多个实施例中基于共享权限的业务数据处理方法的应用场景图。

图2为根据一个或多个实施例中基于共享权限的业务数据处理方法的流程示意图。

图3为根据一个或多个实施例中的七层模型实例图。

图4为根据一个或多个实施例中的权限配置化示意图。

图5为根据一个或多个实施例中的个性化租户功能适配示意图。

图6为根据一个或多个实施例中的领域管理示意图。

图7为根据一个或多个实施例中的基于共享权限的业务数据处理方法的时序图。

图8为根据一个或多个实施例中基于共享权限的业务数据处理装置的结构框图。

图9为根据一个或多个实施例中计算机设备的框图。

具体实施方式

为了使本申请的技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供的基于共享权限的业务数据处理方法，可以应用于如图1所示的应用环境中。其中，用户终端102与服务器104通过网络进行通信。用户终端102向服务器104发送登录请求，这样服务器104可以查询与用户标识对应的租户标识，并查询用户标识对应的用户在租户标识对应的租户中的用户权限信息，并根据用户权限信息生成授权信息，根据授权信息、用户权限信息、用户标识生成会话信息，并将授权信息发送给用户终端102。从而用户终端102向服务器104发送业务请求时，服务器104可以查询与授权信息对应的已存储的会话信息，根据会话信息中的用户权限信息对业务请求进行权限控制后，得到与业务请求对应的响应数据，并将所得到的响应数据104发送给用户终端102。这样通过权限信息对业务请求进行权限控制，可以保证不同的用户仅能获取到权限内的数据，不会造成数据泄露，且由于在登录的时候查询到了用户权限信息，后续在业务处理的时候直接使用该些用户权限信息即可，不需要多次查询，这样还可以提高处理的效率。终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。

在其中一个实施例中，如图2所示，提供了一种基于共享权限的业务数据处理方法，以该方法应用于图1中的服务器为例进行说明，包括以下步骤：

S202：接收用户终端的登录请求，登录请求携带有用户标识。

具体地，登录请求是用户终端生成的，其可以包括用户标识，例如账户和密码、list、map以及深层次参数等，用户终端将该些参数通过签名字符串**拼接，拼接完成后与header中固定参数进行拼接，为了保证唯一性，使用随机字符串+时间戳形式参数进行拼接，最后加上动态加密值共同组成参数签名字符串，先使用sha256对签名字符串进行加密，然后逆序使用md5加密获取签名值，最后根据该签名值生成登录请求。

S204：查询与用户标识对应的租户标识，并查询用户标识对应的用户在租户标识对应的租户中的用户权限信息，并根据用户权限信息生成授权信息。

具体地，租户标识是用于唯一确定租户的，租户是相对于平台来说的，是一个抽象的组织，平台中可以包括多个不同的产品，每个产品可以对应有不用的系统，每个系统可以包括多个不同的权限包，租户可以被配置多个不同的权限包。租户下可以设置多个不同的角色，每个角色可以配置有不同的用户。其中角色授权给租户下的用户；不同的租户可以根据各自管理的要求进行角色定义并授权给用户。这样当服务器接收到用户标识后，可以确定用户标识对应的租户标识，以确定用户是属于哪一个租户的，这样可以获取到租户下的用户对应的角色，从而可以得到角色对应的权限，也即为用户权限信息，当存在用户权限信息时，则说明用户是合法的，这样可以生成授权信息，以便于后续业务的处理。

可选地，服务器可以通过网关来接收到登录请求，并通过网关对登录请求中的签名信息进行验证，并在验证成功后，则通过用户账户和密码登录到用户中心，其中验证的过程与上述签名信息生成的过程相逆，在此不再赘述。

S206：根据授权信息、用户权限信息、用户标识生成会话信息，并将授权信息发送给用户终端。

具体地，服务器在生成授权信息后，将授权信息、用户权限信息以及用户标识生成会话信息并进行保存，以便于用户终端进行业务处理请求时，直接使用该会话信息。

具体地，如上，在登录到用户中心后，用户中心验证用户输入的账户和密码，然后进行鉴权。鉴权成功后，则生成会话信息，例如用户信息合法性验证通过后，会对本次登录颁发授权token及动态加密验证值，Token、动态验证值及用户信息会缓存在缓存服务器内，同时仅将授权的token信息及动态验证值信息返回至用户终端，以便于用户终端后续进行业务处理时，可以直接查询到对应的权限信息以及保持用户终端的登录状态。

上述的鉴权过程可以包括多种鉴权方式：例如多种鉴权策略(包括无鉴权、会话级鉴权、权限项鉴权以及非公网接口鉴权)、多重安全加密策略(包括：AccessToken与RefreshToken双重Token机制、会话级动态加密验证机制、接口鉴权机制)、自定义防篡改加密算法、等保三级安全级别设计(敏感数据的加密存储，会话与并发用户数的控制能力，双因素认证机制(在登陆时，用户输入个人的原有密码(静态密码)后，再输入令牌上显示的动态密码，实现安全的双因素身份认证保护。))等。

S208：接收用户终端发送的业务请求，业务请求携带有授权信息。

具体地，业务请求是用户终端申请服务器的服务的请求，其可以携带有上述的授权信息，这样保证了登录状态的同时，还可以方便权限信息的查询。

且可选地，服务器可以通过网关来接收到业务请求，然后通过网关来对该业务请求中的签名信息进行验证，具体地可以通过基于OAuth2.0协议的统一网关进行鉴权，且在鉴权成功后，从用户中心读取会话信息。

S210：查询与授权信息对应的已存储的会话信息，根据会话信息中的用户权限信息对业务请求进行权限控制后，得到与业务请求对应的响应数据。

具体地，服务器将鉴权成功的信息发送给用户中心，这样用户中心可以读取已存储的会话信息，并根据会话信息中的用户权限信息对业务请求进行权限控制，例如是否允许读取数据，是否允许写入数据等，以得到与业务请求对应的响应数据。

S212：将响应数据返回给用户终端。

具体地，在处理完成后，服务器将响应数据返回给用户终端，完成整个业务请求的处理。且若用户还对平台中的其他系统进行处理，则可以直接跳转到另一个系统，然后进行业务处理，具体地处理过程如上，不再赘述。

上述基于共享权限的业务数据处理方法，在接收到用户终端发送的登录请求后，首先获取到用户标识对应的租户标识，进而可以查询到用户在租户中的权限信息，且根据权限信息生成授权信息，这样将授权信息、用户权限信息、用户标识生成会话信息后保存，当存在业务请求的时候，可以直接查询会话信息中对应的权限信息，这样通过权限信息对业务请求进行权限控制，可以保证不同的用户仅能获取到权限内的数据，不会造成数据泄露，且由于在登录的时候查询到了用户权限信息，后续在业务处理的时候直接使用该些用户权限信息即可，不需要多次查询，这样还可以提高处理的效率。

具体地，请参阅图3至图5所示，图3为一个实施例中的七层模型实例图，图4为一个实施例中的权限配置化示意图，图5为一个实施例中的个性化租户功能适配示意图。

在其中一个实施例中，结合图3至图5，用户权限信息的生成包括：

首先，服务器接收租户终端发送的用户权限配置请求，创建与用户权限配置请求对应的角色以及与角色对应的多个用户账户。

具体地，角色是用于管理人的授权，租户是抽象的组织，其下有用户，角色授权给租户下的用户；不同的租户可以根据各自管理的要求进行角色定义并授权给用户。租户可以对用户进行配置，在配置时，服务器接收到租户发送的用户权限配置请求，然后根据该配置请求可以创建不同的角色和用户。

其次，服务器获取租户终端对应的租户权限信息，租户权限信息包括与平台中的若干产品对应的系统的系统权限包。

具体地，租户可以获取到多个系统的权限包，这样就得到了租户权限信息，租户权限信息中可以包括多个系统的权限包。

第三，服务器解析系统权限包得到多个初始权限信息；为角色配置对应的初始权限信息，以给用户账户进行授权生成用户权限信息。

具体地，服务器可以解析权限包得到多个初始权限信息，例如每一类数据对应的不同的权限信息，包括读取和写入权限，数据读取范围的权限等，服务器可以按照需要为每个角色配置对应的初始权限信息，这样再将角色授权给用户账户，从而完成对用户权限信息的配置。

上述实施例中，以角色为粒度对用户进行管理，且从平台、产品、系统、权限包、租户、角色以及用户层层为用户进行权限配置可以达到权限功能管理要求，方便对用户的管理。

在其中一个实施例中，请继续结合图3至图5所示，租户权限信息的生成方式包括：

首先，服务器接收租户终端发送的租户权限配置请求，租户权限配置请求携带有产品标识和系统标识。

租户权限配置请求是与产品和系统相对应的，每个产品可以设置有多个系统，租户可以租用不同的产品下的不同的系统，以完成对应的业务。

其次，服务器查询与产品标识对应的多个系统，并根据系统标识选取目标系统。

服务器首先查询产品标识对应的多个系统，并根据系统标识确定用户所租用的系统，即目标系统。

第三，服务器获取目标系统对应的系统权限信息，根据租户权限配置请求从系统权限信息中选取目标权限信息，并将目标权限信息打包得到租户权限包。

具体地，权限包的生成方式包括：元数据定义和数据规则定义，元数据主要是描述数据属性的信息，用来支持如指示存储位置、历史数据、资源查找、文件纪录等功能，数据规则是预先设置的数据处理规则，对数据规则，也就系统权限信息进行打包即可以得到对应的权限包。

第四，将租户权限包配置给租户得到租户权限信息。

服务器将权限包配置给不同的租户从而得到租户权限信息。

上述实施例中，以系统权限包为粒度，给租户配置权限信息，可以灵活满足不同租户个性化功能需求，通过配置化管理提高平台的适配能力和扩展能力。

在其中一个实施例中，查询与产品标识对应的多个系统，包括：查询租户终端对应的租户领域；从租户领域中查询与产品标识对应的多个系统。

具体地，请参见图6，图6为一个实施例中的领域管理示意图，在该实施例中，租户权限配置请求还包括租户领域，服务器在查询与所述产品标识对应的多个系统之前，还需要根据租户的领域查询到对应的领域，以从对应领域中查询与所述产品标识对应的多个系统，也就是说用户区分用户类型。租户是平台内核心的组成单元之一，代表不同的组织，如医院、公司、政府部门等，在平台内不同类型的组织会进行用户分类即领域，如分为A\B\G三个领域，平台服务提供商对应领域A，医院对应领域B，政府部门对应领域G。在对租户进行配置的时候，需要确定领域，以便于获取不同的权限包，这样当租户对其下的用户进行配置的时候可以对用户的类型进行标注，从而获取到与领域对应的权限。

在其中一个实施例中，查询与授权信息对应的已存储的会话信息，包括：查询缓存中是否存在与授权信息对应的已存储的会话信息；当缓存中不存在与授权信息对应的已存储的会话信息时，则查询数据库中是否存在与授权信息对应的已存储的会话信息；当数据库中存在与授权信息对应的已存储的会话信息时，则将会话信息读取至缓存中。

具体地，服务器在读取已存储的会话信息的时候，可以先读取缓存中是否存在与授权信息对应的会话信息，如果存在，则直接返回查询成功，否则则可以继续查询数据库中是否存在，如果存在，则将数据库中的会话信息读取至缓存中，这样服务器在处理业务请求时，直接查询缓存，然后得到用户权限信息，通过该用户权限信息对进行权限控制后，得到与业务请求对应的响应数据。

请参阅图7所示，图7为一个实施例中的基于共享权限的业务数据处理方法的时序图，在该实施例中，用户终端首先生成登录请求，然后对该登录请求进行签名后发送给网关，网关对该登录请求进行验签，验签完成后，将该登录认证发送给用户中心，用户中心认证并记录日志，查询到对应的用户权限信息，并生成授权信息和会话信息后，缓存至缓存管理数据库，然后通过用户中心、网关以向用户终端返回会话结果，也即授权信息，这样用户终端缓存该授权信息，并跳转至业务处理界面。

这样用户终端通过业务处理界面接收用户输入的业务请求，并将业务请求进行签名，且将签名后的业务请求发送给网关，网关进行验签后，将验签完成的业务请求发送给用户中心以进行接口鉴权，这样用户中心可以从缓存管理数据库中读取缓存，并返回会话信息和权限信息，且如果缓存中不存在，则读取数据库中的会话信息和权限信息以完成接口鉴权，并将鉴权结果返回给网关，这样网关在鉴权通过后，将业务请求发送给业务系统，从而业务系统从缓存管理数据库读取会话信息，并根据会话信息中的用户权限信息对业务请求进行权限控制后，得到与业务请求对应的响应数据，在业务系统得到响应数据后，将响应数据返回给用户终端。

应该理解的是，虽然图2和图7的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2和图7中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

在其中一个实施例中，如图8所示，提供了一种基于共享权限的业务数据处理装置，包括：第一接收模块100、第一查询模块200、会话信息生成模块300、第二接收模块400、第二查询模块500和发送模块600，其中：

第一接收模块100，用于接收用户终端的登录请求，登录请求携带有用户标识。

第一查询模块200，用于查询与用户标识对应的租户标识，并查询用户标识对应的用户在租户标识对应的租户中的用户权限信息，并根据用户权限信息生成授权信息。

会话信息生成模块300，用于根据授权信息、用户权限信息、用户标识生成会话信息，并将授权信息发送给用户终端。

第二接收模块400，用于接收用户终端发送的业务请求，业务请求携带有授权信息。

第二查询模块500，用于查询与授权信息对应的已存储的会话信息，根据会话信息中的用户权限信息对业务请求进行权限控制后，得到与业务请求对应的响应数据。

发送模块600，用于将响应数据返回给用户终端。

在其中一个实施例中，上述基于共享权限的业务数据处理装置还可以包括：

第三接收模块，用于接收租户终端发送的用户权限配置请求，创建与用户权限配置请求对应的角色以及与角色对应的多个用户账户。

系统权限包获取模块，用于获取租户终端对应的租户权限信息，租户权限信息包括与平台中的若干产品对应的系统的系统权限包。

解析模块，用于解析系统权限包得到多个初始权限信息。

用户权限信息生成模块，用于为角色配置对应的初始权限信息，以给用户账户进行授权生成用户权限信息。

第四接收模块，用于接收租户终端发送的租户权限配置请求，租户权限配置请求携带有产品标识和系统标识。

第三查询模块，用于查询与产品标识对应的多个系统，并根据系统标识选取目标系统。

租户权限包获取模块，用于获取目标系统对应的系统权限信息，根据租户权限配置请求从系统权限信息中选取目标权限信息，并将目标权限信息打包得到租户权限包。

租户权限信息配置模块，用于将租户权限包配置给租户得到租户权限信息。

在其中一个实施例中，上述第三查询模块可以包括：

领域查询单元，用于查询租户终端对应的租户领域。

系统查询单元，用于从租户领域中查询与产品标识对应的多个系统。

在其中一个实施例中，上述第二查询模块500可以包括：

缓存查询单元，用于查询缓存中是否存在与授权信息对应的已存储的会话信息。

数据库查询单元，用于当缓存中不存在与授权信息对应的已存储的会话信息时，则查询数据库中是否存在与授权信息对应的已存储的会话信息。

读取单元，用于当数据库中存在与授权信息对应的已存储的会话信息时，则将会话信息读取至缓存中。

关于基于共享权限的业务数据处理装置的具体限定可以参见上文中对于基于共享权限的业务数据处理方法的限定，在此不再赘述。上述基于共享权限的业务数据处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在其中一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机可读指令和数据库。该内存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。该计算机设备的数据库用于存储业务数据数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机可读指令被处理器执行时以实现一种基于共享权限的业务数据处理方法。

本领域技术人员可以理解，图9中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

一种计算机设备，包括存储器和一个或多个处理器，存储器中储存有计算机可读指令，计算机可读指令被处理器执行时，使得一个或多个处理器执行以下步骤：接收用户终端的登录请求，登录请求携带有用户标识；查询与用户标识对应的租户标识，并查询用户标识对应的用户在租户标识对应的租户中的用户权限信息，并根据用户权限信息生成授权信息；根据授权信息、用户权限信息、用户标识生成会话信息，并将授权信息发送给用户终端；接收用户终端发送的业务请求，业务请求携带有授权信息；及查询与授权信息对应的已存储的会话信息，根据会话信息中的用户权限信息对业务请求进行权限控制后，得到与业务请求对应的响应数据；将响应数据返回给用户终端。

在其中一个实施例中，处理器执行计算机可读指令时所涉及的用户权限信息的生成包括：接收租户终端发送的用户权限配置请求，创建与用户权限配置请求对应的角色以及与角色对应的多个用户账户；获取租户终端对应的租户权限信息，租户权限信息包括与平台中的若干产品对应的系统的系统权限包；解析系统权限包得到多个初始权限信息；及为角色配置对应的初始权限信息，以给用户账户进行授权生成用户权限信息。

在其中一个实施例中，处理器执行计算机可读指令时所涉及的租户权限信息的生成方式包括：接收租户终端发送的租户权限配置请求，租户权限配置请求携带有产品标识和系统标识；查询与产品标识对应的多个系统，并根据系统标识选取目标系统；获取目标系统对应的系统权限信息，根据租户权限配置请求从系统权限信息中选取目标权限信息，并将目标权限信息打包得到租户权限包；及将租户权限包配置给租户得到租户权限信息。

在其中一个实施例中，处理器执行计算机可读指令时所实现的查询与产品标识对应的多个系统，包括：查询租户终端对应的租户领域；及从租户领域中查询与产品标识对应的多个系统。

在其中一个实施例中，处理器执行计算机可读指令时所实现的查询与授权信息对应的已存储的会话信息，包括：查询缓存中是否存在与授权信息对应的已存储的会话信息；当缓存中不存在与授权信息对应的已存储的会话信息时，则查询数据库中是否存在与授权信息对应的已存储的会话信息；及当数据库中存在与授权信息对应的已存储的会话信息时，则将会话信息读取至缓存中。

一个或多个存储有计算机可读指令的计算机可读存储介质，计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行以下步骤：接收用户终端的登录请求，登录请求携带有用户标识；查询与用户标识对应的租户标识，并查询用户标识对应的用户在租户标识对应的租户中的用户权限信息，并根据用户权限信息生成授权信息；根据授权信息、用户权限信息、用户标识生成会话信息，并将授权信息发送给用户终端；接收用户终端发送的业务请求，业务请求携带有授权信息；查询与授权信息对应的已存储的会话信息，根据会话信息中的用户权限信息对业务请求进行权限控制后，得到与业务请求对应的响应数据；及将响应数据返回给用户终端。

其中，该计算机可读存储介质可以是非易失性，也可以是易失性的。

在其中一个实施例中，计算机可读指令被处理器执行时所涉及的用户权限信息的生成包括：接收租户终端发送的用户权限配置请求，创建与用户权限配置请求对应的角色以及与角色对应的多个用户账户；获取租户终端对应的租户权限信息，租户权限信息包括与平台中的若干产品对应的系统的系统权限包；解析系统权限包得到多个初始权限信息；及为角色配置对应的初始权限信息，以给用户账户进行授权生成用户权限信息。

在其中一个实施例中，计算机可读指令被处理器执行时所涉及的租户权限信息的生成方式包括：接收租户终端发送的租户权限配置请求，租户权限配置请求携带有产品标识和系统标识；查询与产品标识对应的多个系统，并根据系统标识选取目标系统；获取目标系统对应的系统权限信息，根据租户权限配置请求从系统权限信息中选取目标权限信息，并将目标权限信息打包得到租户权限包；及将租户权限包配置给租户得到租户权限信息。

在其中一个实施例中，计算机可读指令被处理器执行时所实现的查询与产品标识对应的多个系统，包括：查询租户终端对应的租户领域；及从租户领域中查询与产品标识对应的多个系统。

在其中一个实施例中，计算机可读指令被处理器执行时所实现的查询与授权信息对应的已存储的会话信息，包括：查询缓存中是否存在与授权信息对应的已存储的会话信息；当缓存中不存在与授权信息对应的已存储的会话信息时，则查询数据库中是否存在与授权信息对应的已存储的会话信息；及当数据库中存在与授权信息对应的已存储的会话信息时，则将会话信息读取至缓存中。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机可读指令来指令相关的硬件来完成，所述的计算机可读指令可存储于一计算机可读取存储介质中，该计算机可读指令在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

一种基于共享权限的业务数据处理方法，包括：

接收用户终端的登录请求，所述登录请求携带有用户标识；

查询与所述用户标识对应的租户标识，并查询所述用户标识对应的用户在所述租户标识对应的租户中的用户权限信息，并根据所述用户权限信息生成授权信息；

根据所述授权信息、所述用户权限信息、所述用户标识生成会话信息，并将所述授权信息发送给所述用户终端；

接收用户终端发送的业务请求，所述业务请求携带有授权信息；

查询与所述授权信息对应的已存储的会话信息，根据所述会话信息中的用户权限信息对所述业务请求进行权限控制后，得到与所述业务请求对应的响应数据；及

将所述响应数据返回给用户终端。
根据权利要求1所述的方法，其中，所述用户权限信息的生成方式包括：

接收租户终端发送的用户权限配置请求，创建与所述用户权限配置请求对应的角色以及与所述角色对应的多个用户账户；

获取所述租户终端对应的租户权限信息，所述租户权限信息包括与平台中的若干产品对应的系统的系统权限包；

解析所述系统权限包得到多个初始权限信息；及

为所述角色配置对应的初始权限信息，以给所述用户账户进行授权生成用户权限信息。
根据权利要求1所述的方法，其中，所述租户权限信息的生成方式包括：

接收租户终端发送的租户权限配置请求，所述租户权限配置请求携带有产品标识和系统标识；

查询与所述产品标识对应的多个系统，并根据所述系统标识选取目标系统；

获取目标系统对应的系统权限信息，根据所述租户权限配置请求从所述系统权限信息中选取目标权限信息，并将所述目标权限信息打包得到租户权限包；及

将所述租户权限包配置给所述租户得到租户权限信息。
根据权利要求3所述的方法，其中，所述查询与所述产品标识对应的多个系统，包括：

查询所述租户终端对应的租户领域；及

从所述租户领域中查询与所述产品标识对应的多个系统。
根据权利要求1至4任意一项所述的方法，其中，所述查询与所述授权信息对应的已存储的会话信息，包括：

查询缓存中是否存在与所述授权信息对应的已存储的会话信息；

当所述缓存中不存在与所述授权信息对应的已存储的会话信息时，则查询数据库中是否存在与所述授权信息对应的已存储的会话信息；及

当所述数据库中存在与所述授权信息对应的已存储的会话信息时，则将所述会话信息读取至缓存中。
一种基于共享权限的业务数据处理装置，包括：

第一接收模块，用于接收用户终端的登录请求，所述登录请求携带有用户标识；

第一查询模块，用于查询与所述用户标识对应的租户标识，并查询所述用户标识对应的用户在所述租户标识对应的租户中的用户权限信息，并根据所述用户权限信息生成授权信息；

会话信息生成模块，用于根据所述授权信息、所述用户权限信息、所述用户标识生成会话信息，并将所述授权信息发送给所述用户终端；

第二接收模块，用于接收用户终端发送的业务请求，所述业务请求携带有授权信息；

第二查询模块，用于查询与所述授权信息对应的已存储的会话信息，根据所述会话信息中的用户权限信息对所述业务请求进行权限控制后，得到与所述业务请求对应的响应数据；及

发送模块，用于将所述响应数据返回给用户终端。
一种计算机设备，包括存储器及一个或多个处理器，所述存储器中储存有计算机可读指令，所述计算机可读指令被所述一个或多个处理器执行时，使得所述一个或多个处理器执行以下步骤：

接收用户终端的登录请求，所述登录请求携带有用户标识；

查询与所述用户标识对应的租户标识，并查询所述用户标识对应的用户在所述租户标识对应的租户中的用户权限信息，并根据所述用户权限信息生成授权信息；

根据所述授权信息、所述用户权限信息、所述用户标识生成会话信息，并将所述授权信息发送给所述用户终端；

接收用户终端发送的业务请求，所述业务请求携带有授权信息；

查询与所述授权信息对应的已存储的会话信息，根据所述会话信息中的用户权限信息对所述业务请求进行权限控制后，得到与所述业务请求对应的响应数据；及

将所述响应数据返回给用户终端。
根据权利要求7所述的计算机设备，其中，所述处理器执行所述计算机可读指令时所涉及的所述用户权限信息的生成方式包括：

接收租户终端发送的用户权限配置请求，创建与所述用户权限配置请求对应的角色以及与所述角色对应的多个用户账户；

获取所述租户终端对应的租户权限信息，所述租户权限信息包括与平台中的若干产品对应的系统的系统权限包；

解析所述系统权限包得到多个初始权限信息；及

为所述角色配置对应的初始权限信息，以给所述用户账户进行授权生成用户权限信息。
根据权利要求7所述的计算机设备，其中，所述处理器执行所述计算机可读指令时所涉及的所述租户权限信息的生成方式包括：

接收租户终端发送的租户权限配置请求，所述租户权限配置请求携带有产品标识和系统标识；

查询与所述产品标识对应的多个系统，并根据所述系统标识选取目标系统；

获取目标系统对应的系统权限信息，根据所述租户权限配置请求从所述系统权限信息中选取目标权限信息，并将所述目标权限信息打包得到租户权限包；及

将所述租户权限包配置给所述租户得到租户权限信息。
根据权利要求9所述的计算机设备，其中，所述处理器执行所述计算机可读指令时所执行的所述查询与所述产品标识对应的多个系统，包括：

查询所述租户终端对应的租户领域；及

从所述租户领域中查询与所述产品标识对应的多个系统。
根据权利要求7至10任意一项所述的计算机设备，其中，所述处理器执行所述计算机可读指令时所执行的所述查询与所述授权信息对应的已存储的会话信息，包括：

查询缓存中是否存在与所述授权信息对应的已存储的会话信息；

当所述缓存中不存在与所述授权信息对应的已存储的会话信息时，则查询数据库中是否存在与所述授权信息对应的已存储的会话信息；及

当所述数据库中存在与所述授权信息对应的已存储的会话信息时，则将所述会话信息读取至缓存中。
一个或多个存储有计算机可读指令的计算机可读存储介质，所述计算机可读指令被一个或多个处理器执行时，使得所述一个或多个处理器执行以下步骤：

接收用户终端的登录请求，所述登录请求携带有用户标识；

查询与所述用户标识对应的租户标识，并查询所述用户标识对应的用户在所述租户标识对应的租户中的用户权限信息，并根据所述用户权限信息生成授权信息；

根据所述授权信息、所述用户权限信息、所述用户标识生成会话信息，并将所述授权信息发送给所述用户终端；

接收用户终端发送的业务请求，所述业务请求携带有授权信息；

查询与所述授权信息对应的已存储的会话信息，根据所述会话信息中的用户权限信息对所述业务请求进行权限控制后，得到与所述业务请求对应的响应数据；及

将所述响应数据返回给用户终端。
根据权利要求12所述的存储介质，其中，所述计算机可读指令被所述处理器执行时所涉及的所述用户权限信息的生成方式包括：

接收租户终端发送的用户权限配置请求，创建与所述用户权限配置请求对应的角色以及与所述角色对应的多个用户账户；

获取所述租户终端对应的租户权限信息，所述租户权限信息包括与平台中的若干产品对应的系统的系统权限包；

解析所述系统权限包得到多个初始权限信息；及

为所述角色配置对应的初始权限信息，以给所述用户账户进行授权生成用户权限信息。
根据权利要求12所述的存储介质，其中，所述计算机可读指令被所述处理器执行时所涉及的所述租户权限信息的生成方式包括：

接收租户终端发送的租户权限配置请求，所述租户权限配置请求携带有产品标识和系统标识；

查询与所述产品标识对应的多个系统，并根据所述系统标识选取目标系统；

获取目标系统对应的系统权限信息，根据所述租户权限配置请求从所述系统权限信息中选取目标权限信息，并将所述目标权限信息打包得到租户权限包；及

将所述租户权限包配置给所述租户得到租户权限信息。
根据权利要求14所述的存储介质，其中，所述计算机可读指令被所述处理器执行时所执行的所述查询与所述产品标识对应的多个系统，包括：

查询所述租户终端对应的租户领域；及

从所述租户领域中查询与所述产品标识对应的多个系统。
根据权利要求12至15任意一项所述的存储介质，其中，所述计算机可读指令被所述处理器执行时所执行的所述查询与所述授权信息对应的已存储的会话信息，包括：

查询缓存中是否存在与所述授权信息对应的已存储的会话信息；

当所述缓存中不存在与所述授权信息对应的已存储的会话信息时，则查询数据库中是否存在与所述授权信息对应的已存储的会话信息；及

当所述数据库中存在与所述授权信息对应的已存储的会话信息时，则将所述会话信息读取至缓存中。