WO2023024057A1

WO2023024057A1 - 跨域授权处理方法及跨域调用处理方法

Info

Publication number: WO2023024057A1
Application number: PCT/CN2021/114923
Authority: WO
Inventors: 李大维; 汤亚文; 吕欢; 窦丽莎; 徐浩; 岳占秋
Original assignee: 京东方科技集团股份有限公司
Priority date: 2021-08-27
Filing date: 2021-08-27
Publication date: 2023-03-02
Also published as: US20240193249A1; CN116034361A

Abstract

本公开提供了一种跨域授权处理方法，涉及互联网技术领域，本方法包括：响应于接收的策略部署请求，显示与目标应用关联的至少一个跨域授权选项，其中，所述目标应用为所述策略部署请求指示的待进行跨域授权配置的应用；获取用户针对所述至少一个跨域授权选项输入的策略描述数据；基于所述策略描述数据，生成针对所述目标应用的跨域授权策略；以及将所述跨域授权策略与所述目标应用的应用程序接口API对象进行关联，以便基于相关联的API对象和跨域授权策略，进行针对所述目标应用的跨域调用。本公开还提供了一种跨域调用处理方法、一种跨域控制处理平台、一种跨域调用实现系统、一种电子设备、一种计算机可读存储介质和一种计算机程序产品。

Description

跨域授权处理方法及跨域调用处理方法

技术领域

本公开涉及互联网技术领域，涉及一种跨域授权处理方法、跨域调用处理方法、跨域控制处理平台、跨域调用实现系统、电子设备、计算机可读存储介质和计算机程序产品。

背景技术

目前一些项目的产品研发或业务体系采用了前后端分离的技术架构。在该种技术架构模式下，不同终端或应用服务器间容易出现跨域调用服务的现象。针对共享资源制定的跨域授权策略的合理性和时效性，影响了跨域调用服务的安全性。

发明内容

本公开提供了一种跨域授权处理方法、跨域调用处理方法、跨域控制处理平台、跨域调用实现系统、电子设备、计算机可读存储介质和计算机程序产品。

根据第一方面，提供了一种跨域授权处理方法，该方法包括：响应于接收的策略部署请求，显示与目标应用关联的至少一个跨域授权选项，其中，所述目标应用为所述策略部署请求指示的待进行跨域授权配置的应用；获取用户针对所述至少一个跨域授权选项输入的策略描述数据；基于所述策略描述数据，生成针对所述目标应用的跨域授权策略；以及将所述跨域授权策略与所述目标应用的应用程序接口API对象进行关联，以便基于相关联的API对象和跨域授权策略，进行针对所述目标应用的跨域调用。

根据第二方面，提供了一种跨域调用处理方法，该方法包括：接收来自请求方的跨域调用请求，所述跨域调用请求指示所述请求方请求调用的目标应用，其中，所述请求方和所述目标应用归属于不同网络域；获取与所述目标应用的API对象关联的预设跨域授权策略，其中，所述API对象为用于供所述目标应用提供跨域调用服务的接口对象；基于所述跨域授权策略和所述跨域调用请求，确定所述请求方是否具有针对所述目标应用的跨域调用权限；以及在确定所述请求方具有针对所述目标应用的跨域调用权限的情况下，建立所述请求方与所述目标应用间的跨域路由，以使所述目标应用基于所述跨域路由获取所述跨域调用请求并响应。

根据第三方面，提供了一种跨域控制处理平台，该处理平台包括：显示模块，用于响应于接收的策略部署请求，显示与目标应用关联的至少一个跨域授权选项，其中，所述目标应用为所述策略部署请求指示的待进行跨域授权配置的应用；第一获取模块，用于获取用户针对所述至少一个跨域授权选项输入的策略描述数据；第一处理模块，用于基于所述策略描述数据，生成针对所述目标应用的跨域授权策略；以及第二处理模块，用于将所述跨域授权策略与所述目标应用的应用程序接口API对象进行关联，以便基于相关联的API对象和跨域授权策略，进行针对所述目标应用的跨域调用。

根据第四方面，提供了一种跨域控制处理平台，该处理平台包括：接收模块，用于接收来自请求方的跨域调用请求，所述跨域调用请求指示所述请求方请求调用的目标应用，其中，所述请求方和所述目标应用归属于不同网络域；第二获取模块，用于获取与所述目标应用的API对象关联的预设跨域授权策略，其中，所述API对象为用于供所述目标应用提供跨域调用服务的接口对象；第三处理模块，基于所述跨域授权策略和所述跨域调用请求，确定所述请求方是否具有针对所述目标应用的跨域调用权限；以及第四处理模块，用于在确定所述请求方具有针对所述目标应用的跨域调用权限的情况下，建立所述请求方与所述目标应用间的跨域路由，以使所述目标应用基于所述跨域路由获取所述跨域调用请求并响应。

根据第五方面，提供了一种跨域调用实现系统，该实现系统包括：根据本公开提供的跨域控制处理平台，和用于提供跨域调用服务的应用服务器。

根据第六方面，提供了一种电子设备，包括：至少一个处理器；以及与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行根据本公开提供的方法。

根据第七方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，该计算机指令用于使计算机执行根据本公开提供的方法。

根据第八方面，提供了一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现根据本公开提供的方法。

应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。

附图说明

附图用于更好地理解本方案，不构成对本公开的限定。其中：

图1示意性示出了根据本公开实施例的跨域调用处理方法和装置的示例性业务框架示意图；

图2示意性示出了根据本公开实施例的一种跨域授权处理方法的流程图；

图3示意性示出了根据本公开实施例的跨域授权选项的示意图；

图4示意性示出了根据本公开实施例的将跨域授权策略与目标应用的API对象进行关联的示意图；

图5示意性示出了根据本公开实施例的一种跨域调用处理方法；

图6示意性示出了根据本公开实施例的一种跨域调用实现流程的示意图；

图7示意性示出了根据本公开实施例的一种跨域调用实现系统的示意图；

图8示意性示出了根据本公开实施例的一种跨域控制处理平台的示意图；

图9示意性示出了根据本公开实施例的另一跨域控制处理平台的示意图；

图10示意性示出了根据本公开实施例的电子设备的示意性框图。

具体实施方式

以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

目前一些项目的产品研发或业务体系采用了前后端分离的技术架构，在该种技术架构模式下，不同终端或应用服务器间容易出现跨域调用服务的现象。例如，在该种技术架构模式下，前端发起的XML Http Request容易出现跨域调用服务的现象。当某一请求URL(Uniform Resource Locator，统一资源定位符)中的协议、域名、端口号的任一项与目标应用URL不同时，该请求相对于目标应用为跨域请求。

示例性地，目标网页地址为http：//www.example.com/dir/page.html，

其协议为http：//，域名为www.example.com，端口为80(默认端口可以省略)。

http：//v2.example.com/dir/page.html为与目标网页域名不同的非同源网页，

http：//www.example.com：81/dir/page.html为与目标网页端口不同的非同源网页。

跨域资源共享(Cross-Origin Resource sharing，CORS)属于一种浏览器技术规范，用于允许当前网络域的浏览器接收跨域服务器发出的XML Http Request请求，是一种允许当前网络域的资源被其他网络域中的应用共享访问的通信机制。针对共享资源(即各个域内允许其他域访问的资源)制定跨域授权策略，可以有效阻隔恶意跨域调用，保证跨域调用安全。跨域授权策略制定的合理性和时效性，影响跨域调用服务的安全性。

针对为实现一种跨域策略部署灵活、跨域调用安全性高的跨域调用服务，本公开提出一种跨域授权处理方法、一种跨域调用处理方法、一种跨域控制处理平台、一种跨域调用实现系统、一种电子设备、一种存储有计算机指令的非瞬时计算机可读存储介质及一种计算机程序产品。

图1示意性示出了根据本公开实施例的跨域调用处理方法和装置的示例性业务框架示意图。需要注意的是，图1所示仅为可以应用本公开实施例的业务系统架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。

如图1所示，本实施例的业务框架100可以包括请求方101、跨域控制处理平台102、应用服务器103和网络104。网络104为用于在请求方101、跨域控制处理平台102和应用服务器103之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等。应用服务器103可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或分布式系统，还可以是提供云服务、云计算、网络服务、中间件服务等基础云计算服务的云服务器。

跨域控制处理平台102接收来自请求方(如图1中的请求方101)的跨域调用请求，跨域调用请求指示请求方请求调用的目标应用(例如可以是由图1中的应用服务器103实现的应用)。请求方和目标应用可以归属于不同网络域，也即请求方101与应用服务器103可以归属于不同网络域。跨域控制处理平台102获取与目标应用的API(Application Programming Interface，应用程序接口)对象关联的预设跨域授权策略，API对象为用于供目标应用提供跨域调用服务的接口对象。跨域控制处理平台102基于跨域授权策略和跨域调用请求，确定请求方是否具有针对目标应用的跨域调用权限。在确定请求方具有针对目标应用的跨域调用权限的情况下，建立请求方与目标应用间的跨域路由，以使目标应用基于跨域路由获取跨域调用请求并进行响应。

图2示意性示出了根据本公开实施例的一种跨域授权处理方法的流程图。

如图2所示，跨域授权处理方法200可以包括操作S210～操作S240。

在操作S210，响应于接收的策略部署请求，显示与目标应用关联的至少一个跨域授权选项，其中，目标应用为策略部署请求指示的待进行跨域授权配置的应用。

接下来，在操作S220，获取用户针对至少一个跨域授权选项输入的策略描述数据。

接下来，在操作S230，基于策略描述数据，生成针对目标应用的跨域授权策略。

接下来，在操作S240，将跨域授权策略与目标应用的API对象进行关联，以便基于相关联的API对象和跨域授权策略，进行针对目标应用的跨域调用。

下面详细说明本实施例的跨域授权处理方法的各步骤的示例流程。

在本实施例中，接收来自请求方的策略部署请求，策略部署请求指示待进行跨域授权配置的目标应用。策略部署请求表征请求方请求部署针对目标应用的跨域授权策略，跨域授权策略描述了由其他网络域的应用跨域调用目标应用中的共享资源信息时的调用授权规则。发起策略部署请求的请求方可以是与目标应用关联的API对象的API管理用户，API对象为用于供目标应用提供跨域调用服务的应用程序编程接口对象，API对象中封装有底层的API函数与功能。

API对象包括调用类API对象和被调用类API对象，不同API对象可用于实现不同功能，例如可用于实现远程过程调用、文件传输、信息耦合、标准语言查询等功能，因此，目标应用可能对应不止一个API对象。基于预设的API对象功能与API对象调用关系，目标应用可以基于至少一个API对象向其他网络域中的应用提供跨域调用服务。

响应于接收的策略部署请求，显示与目标应用关联的至少一个跨域授权选项，跨域授权选项用于配置与目标应用关联的跨域调用权限。图3示意性示出了根据本公开实施例的跨域授权选项的示意图，如图3所示，跨域授权选项例如可以包括跨域策略名称、跨域策略描述、跨域传递选项、允许请求来源、允许请求方法、允许请求头、暴露请求头、预检时间等内容。

例如，跨域策略描述为非必填项，其用于指示跨域授权策略的作用。跨域传递选项指示跨域调用服务是否需要传递cookie内容，cookie为网站用于辨别用户身份，进行session(时域)追踪而存储在用户本地终端中的数据，cookie格式示例如下：

Set-cookie:“Name＝value；domain＝.domain.com；path＝/；expires＝time；Http Only；secure”

其中，Name指示唯一确定的cookie名称，value为存储于cookie中的字符串值；domain指示cookie生效的域对象，即向该域发送的请求中需要包含此cookie；path指示cookie的作用路径，浏览器可基于作用路径向指定域发送cookie消息；expires指示cookie的失效时间；secure构成cookie的安全标志。

根据本公开实施例，允许请求来源指示目标应用允许接入的跨域调用请求来源；允许请求方法指示目标应用提供的跨域调用服务所支持的HTTP请求类型；允许请求头指示允许由API对象传递给目标应用的请求头信息；暴露请求头指示允许由目标应用传递给API对象，并进一步由API对象传递给请求方的请求头信息；预检时间指示将接收的跨域调用请求传递给目标应用进行安全认证的时间周期信息。可以根据针对允许请求头选项的策略配置参数，确定请求方是否具有针对目标应用的跨域调用请求权限；根据针对暴露请求头选项的策略配置参数，确定目标应用是否具有针对请求方的跨域调用响应权限。此外，为简化跨域策略配置流程，跨域控制处理平台中集成有默认配置信息，默认配置信息为未对用户暴露的默认基础信息，例如包括默认的允许请求头信息和默认的暴露请求头信息。

在本实施例中，获取用户针对至少一个跨域授权选项输入的策略描述数据，即获取API管理用户针对各跨域授权选项输入的策略描述数据，策略描述数据为用于生成与目标应用关联的跨域授权策略的元数据。例如，目标应用所属网络域为www.qcloud.com，API管理用户针对“允许请求来源”选项输入的策略描述数据为apigw.qcloud.com，即允许源自“apigw.qcloud.com”网络域中的HTTP请求从“www.qcloud.com”网络域的目标应用中跨域调用资源。

API管理用户可以针对不同跨域授权选项配置策略描述数据，可以通过提交表单形式完成配置策略描述数据。通过对目标网络域中的资源信息进行统一灵活管理，该种设计有利于实现跨域授权策略配置的自主性与灵活性，有利于在满足资源管理自定义需求的基础上，保证跨域调用资源信息的安全性。

在本实施例中，基于获取的与各跨域授权选项关联的策略描述数据，生成针对目标应用的跨域授权策略，生成的跨域授权策略支持修改与删除操作。跨域授权策略的实体形式可以是xml文档形式的跨域授权策略文件，例如可以是crossdomain.xml文件，crossdomain.xml文件中包含cross-domain-policy根元素，根元素为跨域授权策略文件中的策略定义容器。

在本实施例中，图4示意性示出了根据本公开实施例的将跨域授权策略与目标应用的API对象进行关联的示意图，将跨域授权策略与目标应用的API对象进行关联，实现基于API对象级别管理针对目标应用的跨域授权策略。相比于相关技术中的基于应用级别管理跨域授权策略，本设计能够有效减小跨域授权策略管理的颗粒度，提升跨域调用控制的精细化程度。

根据本公开实施例，跨域控制处理平台可以提供API扫描功能，其可以根据用户设定的扫描条件展示与目标应用关联的API对象。与目标应用关联的跨域授权策略能够以插件的形式进行管理，在跨域调用控制过程中，可以根据实际跨域调用需要，将跨域授权策略与目标应用的特定API对象进行绑定，以此实现针对跨域授权策略与目标应用的API对象间的关联管理。在将跨域授权策略与目标应用的API对象进行关联时，跨域授权策略与API对象之间未进行功能耦合，二者底层数据可以不进行合并。跨域授权策略与API对象之间的解耦关联关系，有利于实现精细化程度更高、灵活性更完善的跨域调用控制，能够很好地适用于应用场景丰富的微服务应用环境。微服务应用是通过构建多个独立功能单元(即服务)来开发单个应用的实现形式，每个功能单元可以独立运行于各自进程中，不同功能单元间通过轻量级通信方式进行数据交互。微服务应用具有扩展性良好、可靠性高、维护成本低的优势。

在生成针对目标应用的跨域授权策略之后，执行跨域授权策略与目标应用的API对象间的绑定操作。与目标应用关联的API对象设置有预设调用属性，预设调用属性例如可以包括鉴权方式、接入协议类型、允许请求方法类型、请求格式、服务接口地址等信息。由于跨域授权策略与预设调用属性中都可能包含针对API对象的调用参数信息，因此，跨域授权策略与API对象的预设调用属性之间可能存在策略冲突。

在与目标应用关联的至少一个API对象中，可能包含预设调用属性与跨域授权策略不存在策略冲突的部分API对象，也可能包含预设调用属性与跨域授权策略存在策略冲突的部分API对象。在预设调用属性与跨域授权策略存在策略冲突的部分API对象中，还可能包含能够进行冲突消除处理的API对象。为表述方便，将预设调用属性与跨域授权策略不存在策略冲突的部分API对象表述为第一API对象，将预设调用属性与跨域授权策略存在策略冲突的部分API对象表述为第二API对象，将第二API对象中进行冲突消除处理后的API对象表述为第三API对象。

如图4所示，在将跨域授权策略与目标应用的API对象进行关联时，针对与目标应用关联的至少一个API对象，根据至少一个API对象中的各API对象的预设调用属性，确定跨域授权策略与各API对象的预设调用属性之间是否存在策略冲突。针对不存在策略冲突的至少一个第一API对象，执行跨域授权策略与各第一API对象的关联操作。针对存在策略冲突的至少一个第二API对象，确定是否能够针对各第二API对象的预设调用属性进行冲突消除处理；以及针对经冲突消除处理后的至少一个第三API对象，执行跨域授权策略与各第三API对象之间的关联操作。例如，冲突消除处理可以包括：在确定跨域授权策略与任一API对象的预设调用属性之间存在策略冲突的情况下，可以根据业务需求与API对象功能，重新制定API对象的预设调用属性，以实现消除策略冲突。本领域技术人员可以理解，可以使用其他方式来实现冲突消除，本公开实施例不对此进行限制。

针对目标应用的跨域授权策略支持修改与删除操作，响应于接收的针对目标应用的策略变更请求，显示与目标应用关联的至少一个跨域授权已配置项。然后，获取用户针对至少一个跨域授权已配置项输入的策略变更数据，以及基于策略变更数据，更新针对目标应用的跨域授权策略。将更新后的跨域授权策略与目标应用的API对象进行关联，以便基于相关联的API对象和已更新跨域授权策略，进行针对目标应用的跨域调用。相较于相关技术中的通过配置模板化代码的形式维护针对共享资源的跨域授权策略，本设计能够有效减少跨域授权策略的更新成本，改善跨域授权策略的修订便捷性，能够有效保证跨域授权策略配置的实时性与合理性。

可选地，为实现精细化控制跨域调用服务，配置与API对象关联的流量控制参数，以便基于流量控制参数和跨域授权策略进行针对目标应用的跨域调用。流量控制参数指示API对象允许在单位时长内接入的跨域调用请求阈值，流量控制参数例如包括对外调用限制(单位次/秒)和对内调用限制(单位次/秒)。另外，还可以配置与API对象关联的跨域启用参数，以便基于跨域启用参数和跨域授权策略进行针对目标应用的跨域调用，其中，跨域启用参数指示API对象是否允许启用跨域调用服务。

根据本公开实施例，响应于接收的策略部署请求，显示与目标应用关联的至少一个跨域授权选项，其中，目标应用为策略部署请求指示的待进行跨域授权配置的应用；获取用户针对至少一个跨域授权选项输入的策略描述数据；基于策略描述数据，生成针对目标应用的跨域授权策略；以及将跨域授权策略与目标应用的应用程序接口API对象进行关联，以便基于相关联的API对象和跨域授权策略，进行针对目标应用的跨域调用。通过显示与目标应用关联的至少一个跨域授权选项，获取用户针对至少一个跨域授权选项输入的策略描述数据，根据策略描述数据生成针对目标应用的跨域授权策略，并将跨域授权策略与目标应用的API对象进行关联。本设计能够有效控制跨域授权策略的配置成本与更新代价，提升跨域授权策略的合成效率及修订便捷性，有利于保证跨域授权策略的实时性与合理性。此外，基于API对象级别维护针对目标应用的跨域授权策略，有利于提高跨域调用控制的精细化程度，提高不同网络域间信息资源共享的安全性，有利于实现安全、高效的跨域资源共享机制。

图5示意性示出了根据本公开实施例的一种跨域调用处理方法。

如图5所示，跨域调用处理方法500可以包括操作S510～操作S540。

在操作S510，接收来自请求方的跨域调用请求，跨域调用请求指示请求方请求调用的目标应用，其中，请求方和目标应用归属于不同网络域。

接下来，在操作S520，获取与目标应用的API对象关联的预设跨域授权策略，其中，API对象为用于供目标应用提供跨域调用服务的接口对象。

接下来，在操作S530，基于跨域授权策略和跨域调用请求，确定请求方是否具有针对目标应用的跨域调用权限。

接下来，在操作S540，在确定请求方具有针对目标应用的跨域调用权限的情况下，建立请求方与目标应用间的跨域路由，以使目标应用基于跨域路由获取跨域调用请求并响应。

下面详细说明本实施例的跨域调用处理方法的各步骤的示例流程。

在本实施例中，接收来自请求方的跨域调用请求，跨域调用请求指示请求方请求跨域调用的目标应用。来自请求方的跨域调用请求可能是简单跨域请求，也可能是非简单跨域请求，简单跨域请求中的请求方法为HEAD、GET、POST方法之一，非简单跨域请求中的请求方法包括OPTIONS方法。OPTIONS方法用于在正式通信之前，请求通过增加一次HTTP请求，预检后续跨域调用实际请求可否安全送出。简单跨域请求和非简单跨域请求的区分方法可参考现有技术中的相关定义内容，本实施例在此不进行赘述。

跨域调用请求可以包含Origin字段，Origin字段用于指示跨域调用请求来源。示例性地，跨域调用请求中包含字段Host：qcloud.com，以及字段Origin:http://apigw.qcloud.com，跨域调用请求指示apigw.qcloud.com请求调用qcloud.com中的资源。

可选地，与跨域调用请求关联的请求方及目标应用可以是归属于不同网络域的浏览器，与目标应用关联的API对象可以封装在浏览器插件或浏览器组件，或内置于浏览器中。

在本实施例中，针对与目标应用关联的至少一个API对象，获取与各API对象关联的跨域启用参数，根据与各API对象关联的跨域启用参数，确定对应API对象是否允许启用跨域调用服务；以及针对允许启用跨域调用服务的至少一个API对象，获取与各API对象关联的跨域授权策略。可选地，从API数据库中获取与各API对象关联的跨域授权策略，并将跨域授权策略保存至Redis(Remote Dictionary Server，远程字典服务)缓存中，并针对缓存数据设置预设的生命周期时长。

作为一种可行的方式，在获取与目标应用的API对象关联的跨域授权策略之前，获取与请求方关联的用户属性证书，基于用户属性证书，确定请求方是否已订阅针对目标应用的跨域调用服务，以及在确定请求方已订阅针对目标应用的跨域调用服务的情况下，执行获取跨域授权策略的操作。请求方需要依据要求事先在管理平台中订阅跨域调用服务，以使管理平台生成针对请求方的系统令牌，和/或AK(Access Key，访问密钥)/SK(Secret Key，安全密钥)鉴权密钥。

此外，还可以获取与目标应用关联的服务签约数据，基于服务签约数据，确定目标应用是否已注册与跨域调用请求关联的跨域调用服务，以及在确定目标应用已注册与跨域调用请求关联的跨域调用服务的情况下，执行获取跨域授权策略的操作。目标应用需要依据要求事先在管理平台中注册其所提供的跨域调用服务，否则无法基于API调用实现跨域调用服务。本设计可以无需跨域调用服务提供方重复申请跨域调用服务，以及无需提供方自主进行跨域调用负载均衡的繁琐操作，有利于改善跨域调用服务API调用的便捷性。

在本实施例中，跨域调用请求包括与请求方关联的调用接口信息和调用类型信息，调用接口信息例如可以是由Origin字段指示的调用接口地址信息，调用类型信息例如可以是跨域调用请求中的请求方法类型信息，请求方法例如可以包括POST、GET、PUT、DELETE等方法类型。

在基于跨域授权策略和跨域调用请求，确定请求方是否具有针对目标应用的跨域调用权限时，可以根据与API对象关联的跨域授权策略，以及根据跨域调用请求中的调用接口信息和调用类型信息，确定请求方是否具有针对目标应用的跨域调用请求权限，并确定目标应用是否具有针对请求方的跨域调用响应权限。在确定请求方具有针对目标应用的跨域调用请求权限且目标应用具有针对请求方的跨域调用响应权限的情况下，确定请求方具有通过API对象跨域调用目标应用的权限。例如，可以根据跨域调用请求，以及根据跨域授权策略中的允许请求来源、允许请求方法、允许请求头信息，确定请求方是否具有针对目标应用的跨域调用请求权限；根据跨域授权策略中的暴露请求头信息，确定目标应用是否具有针对请求方的跨域调用响应权限。

在接收的跨域调用请求为非简单跨域请求的情况下，需要先将非简单跨域请求以预检请求的形式发送给目标应用进行预检校验，以及预检校验通过的情况下，将非简单跨域请求以正式请求的形式发送给目标应用进行响应处理。此外，在预检校验通过的情况下，根据跨域授权策略中的预检时间特征指示的时间周期，将对应时间周期内接收的来自同一请求方的非简单跨域请求，作为简单跨域请求直接处理。因此，作为一种可行的方式，在确定请求方具有通过API对象跨域调用目标应用的权限后，还可以根据跨域授权策略中的预检时间特征，确定是否要将跨域调用请求通过API对象传递给目标应用，以使目标应用基于跨域调用请求确定是否允许本次跨域调用。

在本实施例中，在确定请求方具有可通过M个API对象来跨域调用目标应用的权限的情况下，在建立请求方与目标应用间的跨域路由时，可以确定请求方与M个API对象中的各API对象构成的M个跨域路由的网络性能信息，网络性能信息指示对应跨域路由的网络性能，然后，选取M个跨域路由中网络性能最优的跨域路由，作为请求方与目标应用间的跨域路由，其中，M为大于1的整数，网络性能信息包括网络时延信息和/或网络带宽信息。

请求方与API对象构成的跨域路由的网络性能可由网络时延信息和/或网络带宽信息指示，网络性能与对应API对象的支持网络协议能力、线速转发能力等因素有关，也与对应API对象待处理的数据流大小、数据流量速率等因素有关。在请求方与各API对象构成的M个跨域路由中，选择网络性能最优的N个跨域路由，作为网络域间传输数据的路由路径，N为不小于1的整数。

建立请求方与目标应用间的跨域路由，以使目标应用基于跨域路由获取跨域调用请求并响应。作为一种可行的方式，将自请求方获取的跨域调用请求通过API对象传递给目标应用，和/或将自API对象获取的跨域调用响应信息传递给请求方，跨域调用响应信息是目标应用基于跨域调用请求响应得到的。

在将跨域调用请求通过API对象传递给目标应用时，可以将与API对象关联的跨域授权策略添加至跨域调用请求的请求头中，得到处理后的跨域调用请求。然后，将处理后的跨域调用请求通过API对象传递给目标应用，以使目标应用提取请求头中的跨域授权策略，并基于跨域授权策略决定是否允许本次跨域调用。

作为一种可行的方式，还可以获取与目标应用的API对象关联的流量控制参数，并将流量控制参数和跨域授权策略添加至跨域调用请求的请求头中，得到处理后的跨域调用请求。然后，将处理后的跨域调用请求通过API对象传递给目标应用，以使目标应用基于处理后的跨域调用请求确定是否允许本次跨域调用，例如，以使目标应用提取请求头中的流量控制参数和跨域授权策略，根据跨域授权策略以及根据流量控制参数中的对内调用限制信息和对外调用限制信息，决定是否允许通过对应API对象进行本次跨域调用。

根据本公开实施例，接收来自请求方的跨域调用请求，跨域调用请求指示请求方请求调用的目标应用，其中，请求方和目标应用归属于不同网络域；获取与目标应用的API对象关联的预设跨域授权策略，其中，API对象为用于供目标应用提供跨域调用服务的接口对象；基于跨域授权策略和跨域调用请求，确定请求方是否具有针对目标应用的跨域调用权限；以及在确定请求方具有针对目标应用的跨域调用权限的情况下，建立请求方与目标应用间的跨域路由，以使目标应用基于跨域路由获取跨域调用请求并响应。根据与目标应用的API对象关联的跨域授权策略，执行针对请求方与目标应用间的跨域调用控制操作，可以实现根据自定义资源管理需求，在满足业务需求的同时，提升跨域调用控制的精细化程度，保证不同网络域之间信息调用的安全性，有利于实现多网络域之间的资源共享，有利于实现针对不同网络域中的共享资源的统一灵活管理。

图6示意性示出了根据本公开实施例的一种跨域调用实现流程的示意图。

如图6所示，该跨域调用实现流程可以包括操作S601～操作S615。

由跨域调用控制平台执行跨域调用实现流程，跨域调用实现流程可以包括跨域策略配置流程和跨域调用处理流程，跨域调用控制平台可以包括微服务应用平台和微服务网关。由微服务应用平台执行跨域策略配置流程，跨域策略配置流程可以包括操作S601～操作S610。由微服务网关执行跨域调用处理流程，跨域调用处理流程可以包括操作S601～操作S615。

在跨域策略配置流程中，可以执行包括：

在操作S601，响应于接收的策略部署请求，触发跨域授权策略的创建事件。

在一个示例中，响应于接收的策略部署请求，显示与目标应用关联的至少一个跨域授权选项，并获取用户针对至少一个跨域授权选项输入的策略描述数据。目标应用为策略部署请求指示的待进行跨域授权配置的应用。

接下来，在操作S602，校验获取的策略描述数据中是否包含Origin(来源)字段，若是，继续执行操作S603，以及若否，将策略描述数据返回用户端进行修改，其中，Origin字段指示允许的跨域调用请求来源。

接下来，在操作S603，校验获取的策略描述数据中是否包含Credentials(资格证书)字段，若是，继续执行操作S604，以及若否，将策略描述数据返回用户端进行修改，其中，Credentials字段指示跨域调用服务是否需要传递cookie内容。

接下来，在操作S604，preflight(预检时间)修正，其中，预检时间指示将接收的跨域调用请求传递给目标应用进行安全认证的时间周期信息。

接下来，在操作S605，追加Request Header字段(要求头字段)默认值，其中，Request Header字段指示要求跨域调用请求中包含的请求头信息。

接下来，在操作S606，基于获取的策略描述数据生成跨域授权策略。

接下来，在操作S607，判断是否已将跨域授权策略与目标应用的API对象进行关联，若是，执行操作S608；以及若否，执行操作S608’。

在操作S608，查询与跨域授权策略关联的所有API对象。

在操作S608’，手动将跨域授权策略与目标应用的API对象进行关联。

在操作S608及操作S608’之后，执行操作S609，发布API对象信息。

接下来，在操作S610，将与API对象关联的跨域授权策略进行持久化保存。

在跨域调用处理流程中，可以执行包括：

在操作S611，响应于接收的来自请求方的跨域调用请求，进行针对请求方与目标应用间的路由匹配，确定可用于实现跨域调用服务的API对象，其中，跨域调用请求指示请求方请求调用的目标应用。

接下来，在操作S612，查询API对象配置信息，获取与API对象关联的跨域授权策略。

接下来，在操作S613，解析与API对象关联的跨域授权策略。

接下来，在操作S614，根据接收的跨域调用请求，以及根据与API对象关联的跨域授权策略，确定是否允许请求方的本次跨域调用，若是，执行操作S615，若否，向请求方返回请求失败的提示信息。

接下来，在操作S615，建立请求方与目标应用之间的跨域路由，以使目标应用基于跨域路由提供跨域调用服务。

图7示意性示出了根据本公开实施例的一种跨域调用实现系统的示意图。

如图7所示，跨域调用实现系统跨域可以包括为跨域控制处理平台701、消息服务集群702、缓存服务器703、存储服务器704、监控服务器705和故障切换服务器706。

跨域控制处理平台701包括微服务平台的各组件应用集群，其用于进行跨域授权策略配置和跨域调用服务中转，跨域控制处理平台701包括网关7011、注册中心7012、鉴权中心7013、微服务应用7014和配置中心7015。

由于跨域调用服务为未对请求方进行直接暴露的服务，请求方需要向网关7011发起跨域调用请求，网关7011记录跨域调用请求的详细信息，例如记录跨域调用请求中的请求头和请求体信息。网关7011通过自定义插件获取与目标应用的API对象关联的跨域授权策略，基于获取的跨域授权策略和跨域调用请求，确定是否允许请求方的本次跨域调用。在确定允许本次跨域调用的情况下，网关7011以中转平台的形式向目标应用传递跨域调用请求，和接收来自目标应用的跨域调用响应信息，并记录跨域调用响应信息中的响应头和响应体信息。

注册中心7012用于供目标应用注册其所提供的跨域调用服务。

鉴权中心7013用于根据请求方的用户属性证书，鉴定请求方是否已订阅与目标应用关联的跨域调用服务。

微服务应用7014用于实现跨域授权策略配置，策略配置功能可通过用户提交表单的形式完成。

配置中心7015用于提供跨域授权策略配置的默认基础信息，用户可方便将默认基础信息引入自身服务配置中，其可以免去大部分重复性的配置内容，使得策略配置功能线上透明且易维护。

消息服务集群702，用于采集并存储跨域调用过程中的日志记录。

缓存服务器703，可以是Redis服务器，用于缓存跨域调用过程中的部分不经常变化的数据，例如用于在获取与API对象关联的跨域授权策略后，将跨域授权策略进行暂时缓存。

存储服务器704，可以是MySQL(关系型数据库管理系统)服务器，用于持久化存储跨域调用过程中的数据。

监控服务器705，可以是Zabbix监控服务器，用于监控整个平台的虚机状态并进行异常告警。

故障切换服务器706，可以是MHA服务器，作为MySQL管理工具，用于维护支持MySQL的高可用架构。

图8示意性示出了根据本公开实施例的一种跨域控制处理平台的示意图。

如图8所示，跨域控制处理平台包括显示模块801、第一获取模块802、第一处理模块803以及第二处理模块804。

显示模块801，用于响应于接收的策略部署请求，显示与目标应用关联的至少一个跨域授权选项，其中，目标应用为策略部署请求指示的待进行跨域授权配置的应用。第一获取模块802，用于获取用户针对至少一个跨域授权选项输入的策略描述数据。第一处理模块803，用于基于策略描述数据，生成针对目标应用的跨域授权策略。第二处理模块804，用于将跨域授权策略与目标应用的应用程序接口API对象进行关联，以便基于相关联的API对象和跨域授权策略，进行针对目标应用的跨域调用。

根据本公开实施例，响应于接收的策略部署请求，显示与目标应用关联的至少一个跨域授权选项，其中，目标应用为策略部署请求指示的待进行跨域授权配置的应用；获取用户针对至少一个跨域授权选项输入的策略描述数据；基于策略描述数据，生成针对目标应用的跨域授权策略；以及将跨域授权策略与目标应用的应用程序接口API对象进行关联，以便基于相关联的API对象和跨域授权策略，进行针对目标应用的跨域调用。通过显示与目标应用关联的至少一个跨域授权选项，获取用户针对至少一个跨域授权选项输入的策略描述数据，根据策略描述数据生成针对目标应用的跨域授权策略，并将跨域授权策略与目标应用的API对象进行关联。本设计能够有效控制跨域授权策略的配置成本与更新代价，提升跨域授权策略的修订便捷性，有利于保证跨域授权策略的实时性与合理性。此外，基于API对象级别维护针对目标应用的跨域授权策略，有利于提高跨域调用控制的精细化程度，提高不同网络域间信息资源共享的安全性。

作为一种可行的方式，第二处理模块包括：第一处理子模块，用于针对与目标应用关联的至少一个API对象，根据至少一个API对象的预设调用属性，确定跨域授权策略与预设调用属性之间是否存在策略冲突；第二处理子模块，用于针对不存在策略冲突的至少一个第一API对象，执行跨域授权策略与各第一API对象的关联操作。

作为一种可行的方式，第二处理模块还包括：第三处理子模块，用于针对存在策略冲突的至少一个第二API对象，确定是否能够针对各第二API对象的预设调用属性进行冲突消除处理；以及第四处理子模块，用于针对经冲突消除处理后的至少一个第三API对象，执行跨域授权策略与各第三API对象之间的关联操作。

作为一种可行的方式，跨域控制处理平台还包括：第五处理模块，用于响应于接收的针对目标应用的策略变更请求，显示与目标应用关联的至少一个跨域授权已配置项；获取用户针对至少一个跨域授权已配置项输入的策略变更数据；基于策略变更数据，更新针对目标应用的跨域授权策略；将更新后的跨域授权策略与目标应用的API对象进行关联，以便基于相关联的API对象和已更新跨域授权策略，进行针对目标应用的跨域调用。

作为一种可行的方式，跨域控制处理平台还包括：第六处理模块，用于配置与API对象关联的流量控制参数，以便基于流量控制参数和跨域授权策略进行针对目标应用的跨域调用，其中，流量控制参数指示API对象允许在单位时长内接入的跨域调用请求阈值。

作为一种可行的方式，跨域控制处理平台还包括：第七处理模块，用于配置与API对象关联的跨域启用参数，以便基于跨域启用参数和跨域授权策略进行针对目标应用的跨域调用，其中，跨域启用参数指示API对象是否允许启用跨域调用服务。

图9示意性示出了根据本公开实施例的另一跨域控制处理平台的示意图。

如图9所示，跨域控制处理平台包括接收模块901、第二获取模块902、第三处理模块903以及第四处理模块904。

接收模块901，用于接收来自请求方的跨域调用请求，跨域调用请求指示请求方请求调用的目标应用，其中，请求方和目标应用归属于不同网络域。第二获取模块902，用于获取与目标应用的API对象关联的预设跨域授权策略，其中，API对象为用于供目标应用提供跨域调用服务的接口对象。第三处理模块903，基于跨域授权策略和跨域调用请求，确定请求方是否具有针对目标应用的跨域调用权限。第四处理模块904，用于在确定请求方具有针对目标应用的跨域调用权限的情况下，建立请求方与目标应用间的跨域路由，以使目标应用基于跨域路由获取跨域调用请求并响应。

作为一种可行的方式，第二获取模块包括：第一获取子模块，用于针对与目标应用关联的至少一个API对象，获取与各API对象关联的跨域启用参数；第五处理子模块，用于根据与各API对象关联的跨域启用参数，确定对应API对象是否允许启用跨域调用服务；以及第六处理子模块，用于针对允许启用跨域调用服务的至少一个API对象，获取与各API对象关联的跨域授权策略。

作为一种可行的方式，跨域调用请求包括与请求方关联的调用接口信息和调用类型信息；第三处理模块包括：第七处理子模块，用于根据与API对象关联的跨域授权策略、跨域调用请求中的调用接口信息和调用类型信息，确定请求方是否具有针对目标应用的跨域调用请求权限，并确定目标应用是否具有针对请求方的跨域调用响应权限；以及第八处理子模块，用于在确定请求方具有针对目标应用的跨域调用请求权限且目标应用具有针对请求方的跨域调用响应权限的情况下，确定请求方具有通过API对象跨域调用目标应用的权限。

作为一种可行的方式，在确定请求方具有可通过M个API对象来跨域调用目标应用的权限的情况下，第四处理模块包括：第九处理子模块，用于确定请求方与M个API对象中的各API对象构成的M个跨域路由的网络性能信息，网络性能信息指示对应跨域路由的网络性能；第十处理子模块，用于选取M个跨域路由中网络性能最优的跨域路由，作为请求方与目标应用间的跨域路由，其中，M为大于1的整数，网络性能信息包括网络时延信息和/或网络带宽信息。

作为一种可行的方式，第四处理模块还包括：第十一处理子模块，用于将跨域调用请求通过API对象传递给目标应用；第十二处理子模块，用于将自API对象获取的跨域调用响应信息传递给请求方，其中，跨域调用响应信息是目标应用基于跨域调用请求响应得到的。

作为一种可行的方式，第十一处理子模块包括：第一处理单元，用于将与API对象关联的跨域授权策略添加至跨域调用请求的请求头中，得到处理后的跨域调用请求；第二处理单元，用于将处理后的跨域调用请求通过API对象传递给目标应用，以使目标应用基于处理后的跨域调用请求确定是否允许本次跨域调用。

作为一种可行的方式，第十一处理子模块还包括：第三处理单元，用于获取与目标应用的API对象关联的流量控制参数，将与API对象关联的跨域授权策略和流量控制参数添加至跨域调用请求的请求头中，得到处理后的跨域调用请求；第四处理单元，用于将处理后的跨域调用请求通过API对象传递给目标应用，以使目标应用基于处理后的跨域调用请求确定是否允许本次跨域调用。

作为一种可行的方式，跨域控制处理平台还包括：第八处理模块，用于：获取与请求方关联的用户属性证书；基于用户属性证书，确定请求方是否已订阅针对目标应用的跨域调用服务；以及在确定请求方已订阅针对目标应用的跨域调用服务的情况下，触发第二获取模块执行获取跨域授权策略的操作。

作为一种可行的方式，跨域控制处理平台还包括：第九处理模块，用于：获取与目标应用关联的服务签约数据；基于服务签约数据，确定目标应用是否已注册与跨域调用请求关联的跨域调用服务；以及在确定目标应用已注册与跨域调用请求关联的跨域调用服务的情况下，触发第二获取模块执行获取跨域授权策略的操作。

作为一种可行的方式，跨域控制处理平台还包括：第十处理模块，用于：根据跨域授权策略中的预检时间特征，确定是否要将跨域调用请求通过API对象传递给目标应用，以使目标应用基于跨域调用请求确定是否允许本次跨域调用。

作为一种可行的方式，请求方和目标应用为归属于不同网络域的浏览器；API对象封装在浏览器插件或浏览器组件，或内置于浏览器中。

图10示意性示出了根据本公开实施例的电子设备的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。

如图10所示，设备1000包括计算单元1001，其可以根据存储在只读存储器(ROM)1002中的计算机程序或者从存储单元1008加载到随机访问存储器(RAM)1003中的计算机程序，来执行各种适当的动作和处理。在RAM 1003中，还可存储设备1000操作所需的各种程序和数据。计算单元1001、ROM 1002以及RAM 1003通过总线1004彼此相连。输入/输出(I/O)接口1005也连接至总线1004。

设备1000中的多个部件连接至I/O接口1005，包括：输入单元1006，例如键盘、鼠标等；输出单元1007，例如各种类型的显示器、扬声器等；存储单元1008，例如磁盘、光盘等；以及通信单元1009，例如网卡、调制解调器、无线通信收发机等。通信单元1009允许设备1000通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

计算单元1001可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元1001的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元1001执行上文所描述的各个方法和处理，例如跨域授权处理方法和跨域调用处理方法。例如，在一些实施例中，跨域授权处理方法和跨域调用处理方法可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元1008。在一些实施例中，计算机程序的部分或者全部可以经由ROM 1002和/或通信单元1009而被载入和/或安装到设备1000上。当计算机程序加载到RAM 1003并由计算单元1001执行时，可以执行上文描述的跨域授权处理方法和跨域调用处理方法的一个或多个步骤。备选地，在其他实施例中，计算单元1001可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行跨域授权处理方法和跨域调用处理方法。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)和互联网。

计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。

Claims

一种跨域授权处理方法，包括：

响应于接收的策略部署请求，显示与目标应用关联的至少一个跨域授权选项，其中，所述目标应用为所述策略部署请求指示的待进行跨域授权配置的应用；

获取用户针对所述至少一个跨域授权选项输入的策略描述数据；

基于所述策略描述数据，生成针对所述目标应用的跨域授权策略；以及

将所述跨域授权策略与所述目标应用的应用程序接口API对象进行关联，以便基于相关联的API对象和跨域授权策略，进行针对所述目标应用的跨域调用。
根据权利要求1所述的方法，其中，所述将所述跨域授权策略与所述目标应用的API对象进行关联，包括：

针对与所述目标应用关联的至少一个API对象，根据所述至少一个API对象的预设调用属性，确定所述跨域授权策略与所述预设调用属性之间是否存在策略冲突；

针对不存在策略冲突的至少一个第一API对象，执行所述跨域授权策略与各所述第一API对象的关联操作。
根据权利要求2所述的方法，还包括：

针对存在策略冲突的至少一个第二API对象，确定是否能够针对各所述第二API对象的预设调用属性进行冲突消除处理；以及

针对经冲突消除处理后的至少一个第三API对象，执行所述跨域授权策略与各所述第三API对象之间的关联操作。
根据权利要求1至3中任一项所述的方法，还包括：

响应于接收的针对所述目标应用的策略变更请求，显示与所述目标应用关联的至少一个跨域授权已配置项；

获取用户针对所述至少一个跨域授权已配置项输入的策略变更数据；

基于所述策略变更数据，更新针对所述目标应用的跨域授权策略；

将更新后的跨域授权策略与所述目标应用的API对象进行关联，以便基于相关联的API对象和已更新跨域授权策略，进行针对所述目标应用的跨域调用。
根据权利要求1所述的方法，还包括：

配置与所述API对象关联的流量控制参数，以便基于所述流量控制参数和所述跨域授权策略进行针对所述目标应用的跨域调用，

其中，所述流量控制参数指示所述API对象允许在单位时长内接入的跨域调用请求阈值。
根据权利要求1所述的方法，还包括：

配置与所述API对象关联的跨域启用参数，以便基于所述跨域启用参数和所述跨域授权策略进行针对所述目标应用的跨域调用，

其中，所述跨域启用参数指示所述API对象是否允许启用跨域调用服务。
一种跨域调用处理方法，包括：

接收来自请求方的跨域调用请求，所述跨域调用请求指示所述请求方请求调用的目标应用，其中，所述请求方和所述目标应用归属于不同网络域；

获取与所述目标应用的API对象关联的预设跨域授权策略，其中，所述API对象为用于供所述目标应用提供跨域调用服务的接口对象；

基于所述跨域授权策略和所述跨域调用请求，确定所述请求方是否具有针对所述目标应用的跨域调用权限；以及

在确定所述请求方具有针对所述目标应用的跨域调用权限的情况下，建立所述请求方与所述目标应用间的跨域路由，以使所述目标应用基于所述跨域路由获取所述跨域调用请求并响应。
根据权利要求7所述的方法，其中，所述获取与所述目标应用的API对象关联的预设跨域授权策略，包括：

针对与所述目标应用关联的至少一个API对象，获取与各所述API对象关联的跨域启用参数；

根据与各所述API对象关联的跨域启用参数，确定对应API对象是否允许启用跨域调用服务；以及

针对允许启用跨域调用服务的至少一个API对象，获取与各所述API对象关联的跨域授权策略。
根据权利要求7所述的方法，其中，

所述跨域调用请求包括与所述请求方关联的调用接口信息和调用类型信息；

所述基于所述跨域授权策略和所述跨域调用请求，确定所述请求方是否具有针对所述目标应用的跨域调用权限，包括：

根据与所述API对象关联的跨域授权策略、所述跨域调用请求中的调用接口信息和调用类型信息，确定所述请求方是否具有针对所述目标应用的跨域调用请求权限，并确定所述目标应用是否具有针对所述请求方的跨域调用响应权限；以及

在确定所述请求方具有针对所述目标应用的跨域调用请求权限且所述目标应用具有针对所述请求方的跨域调用响应权限的情况下，确定所述请求方具有通过所述API对象跨域调用所述目标应用的权限。
根据权利要求9所述的方法，其中，

在确定所述请求方具有可通过M个API对象来跨域调用所述目标应用的权限的情况下，所述建立所述请求方与所述目标应用间的跨域路由，包括：

确定所述请求方与所述M个API对象中的各API对象构成的M个跨域路由的网络性能信息，所述网络性能信息指示对应跨域路由的网络性能；

选取所述M个跨域路由中网络性能最优的跨域路由，作为所述请求方与所述目标应用间的跨域路由，

其中，M为大于1的整数，所述网络性能信息包括网络时延信息和/或网络带宽信息。
根据权利要求10所述的方法，其中，所述以使所述目标应用基于所述跨域路由获取所述跨域调用请求并响应，包括：

将所述跨域调用请求通过所述API对象传递给所述目标应用；和/或

将自所述API对象获取的跨域调用响应信息传递给所述请求方，其中，所述跨域调用响应信息是所述目标应用基于所述跨域调用请求响应得到的。
根据权利要求11所述的方法，其中，所述将所述跨域调用请求通过所述API对象传递给所述目标应用，包括：

将与所述API对象关联的跨域授权策略添加至所述跨域调用请求的请求头中，得到处理后的跨域调用请求；

将所述处理后的跨域调用请求通过所述API对象传递给所述目标应用，以使所述目标应用基于所述处理后的跨域调用请求确定是否允许本次跨域调用。
根据权利要求11所述的方法，还包括：

获取与所述目标应用的API对象关联的流量控制参数；

所述将所述跨域调用请求通过所述API对象传递给所述目标应用，包括：

将与所述API对象关联的跨域授权策略和流量控制参数添加至所述跨域调用请求的请求头中，得到处理后的跨域调用请求；

将所述处理后的跨域调用请求通过所述API对象传递给所述目标应用，以使所述目标应用基于所述处理后的跨域调用请求确定是否允许本次跨域调用。
根据权利要求7所述的方法，其中，在获取与所述目标应用的API对象关联的跨域授权策略之前，还包括：

获取与所述请求方关联的用户属性证书；

基于所述用户属性证书，确定所述请求方是否已订阅针对所述目标应用的跨域调用服务；以及

在确定所述请求方已订阅针对所述目标应用的跨域调用服务的情况下，执行获取所述跨域授权策略的操作。
根据权利要求7所述的方法，其中，在获取与所述目标应用的API对象关联的跨域授权策略之前，还包括：

获取与所述目标应用关联的服务签约数据；

基于所述服务签约数据，确定所述目标应用是否已注册与所述跨域调用请求关联的跨域调用服务；以及

在确定所述目标应用已注册与所述跨域调用请求关联的跨域调用服务的情况下，执行获取所述跨域授权策略的操作。
根据权利要求7所述的方法，其中，在建立所述请求方与所述目标应用间的跨域路由之前，还包括：

根据所述跨域授权策略中的预检时间特征，确定是否要将所述跨域调用请求通过所述API对象传递给所述目标应用，以使所述目标应用基于所述跨域调用请求确定是否允许本次跨域调用。
根据权利要求7至16中任一项所述的方法，其中，所述请求方和所述目标应用为归属于不同网络域的浏览器；所述API对象封装在浏览器插件或浏览器组件，或内置于浏览器中。
一种跨域控制处理平台，包括：

显示模块，用于响应于接收的策略部署请求，显示与目标应用关联的至少一个跨域授权选项，其中，所述目标应用为所述策略部署请求指示的待进行跨域授权配置的应用；

第一获取模块，用于获取用户针对所述至少一个跨域授权选项输入的策略描述数据；

第一处理模块，用于基于所述策略描述数据，生成针对所述目标应用的跨域授权策略；以及

第二处理模块，用于将所述跨域授权策略与所述目标应用的应用程序接口API对象进行关联，以便基于相关联的API对象和跨域授权策略，进行针对所述目标应用的跨域调用。
一种跨域控制处理平台，包括：

接收模块，用于接收来自请求方的跨域调用请求，所述跨域调用请求指示所述请求方请求调用的目标应用，其中，所述请求方和所述目标应用归属于不同网络域；

第二获取模块，用于获取与所述目标应用的API对象关联的预设跨域授权策略，其中，所述API对象为用于供所述目标应用提供跨域调用服务的接口对象；

第三处理模块，基于所述跨域授权策略和所述跨域调用请求，确定所述请求方是否具有针对所述目标应用的跨域调用权限；以及

第四处理模块，用于在确定所述请求方具有针对所述目标应用的跨域调用权限的情况下，建立所述请求方与所述目标应用间的跨域路由，以使所述目标应用基于所述跨域路由获取所述跨域调用请求并响应。
一种跨域调用实现系统，包括：权利要求18或19所述的跨域控制处理平台，和用于提供跨域调用服务的应用服务器。
一种电子设备，包括：

至少一个处理器；

以及与所述至少一个处理器通信连接的存储器；

其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1至6中任一项所述的方法，或实现权利要求7至17中任一项所述的方法。
一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器实现权利要求1至6中任一项所述的方法，或实现权利要求7至17中任一项所述的方法。
一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法，或实现权利要求7至17中任一项所述的方法。