一种基于接口权限标签的权限管理方法及系统、存储介质技术方案

本发明专利技术提供一种基于接口权限标签的权限管理方法及系统、存储介质，其权限管理方法包括获取业务接口的业务信息，根据业务信息为业务接口定义接口权限分组策略。根据接口权限分组策略和业务信息提取业务接口对应的策略特征、按照接口权限分组策略将策略特征转换为接口标签，使同一个业务接口对应映射唯一的接口标签。根据接口权限分组策略将映射相同接口标签的业务接口分配到同一功能菜单的分组中，并将业务接口与功能菜单进行映射。根据用户的权限和业务需求，从相应的功能菜单选择相应的接口标签来进行接口权限分配和管理。本发明专利技术同时还提供一种基于接口权限标签的权限管理系统和可读存储介质，以解决可以从不同维度上动态的统一分配权限的问题。的统一分配权限的问题。的统一分配权限的问题。

【技术实现步骤摘要】
一种基于接口权限标签的权限管理方法及系统、存储介质


[0001]本专利技术涉及一种系统权限管理，特别是涉及一种基于接口权限标签的权限管理方法及系统、存储介质。

技术介绍

[0002]目前主流的权限管理方案基本采用RBAC(基于角色的访问控制模型)，这种模型的好处是将用户和权限通过角色进行解耦，不必为每个用户单独分配权限。而所谓权限可以分为操作权限和数据权限两大类，操作权限限制用户使用系统的功能，而一个成熟的系统，内部必然包含了大量操作接口，这些接口通过API的形式暴露在端口中供客户端进行访问和调用，操作权限因此需要与系统接口进行绑定。在权限管理中，目前有两种常见的接口策略。第一种是将所有接口都纳入到权限控制中，接口与权限一一对应，除管理员之外，所有用户需要具有这些接口的权限才可访问接口。这种策略在系统接口数量较少、操作功能简单的场景下比较常见。第二种则是只将部分重要的接口纳入到权限控制中(例如用户管理功能、权限管理、角色管理等接口)，而其他接口则只需要用户认证后即可访问。这种策略在系统功能复杂，接口数量过多的场景下较为常见。
[0003]对于现有的两种权限管理策略，是适用市场上大部分系统的，但是当面对庞大数量的接口时，也不免会暴露出各种各样的问题。首先是第一种策略，所有接口都被纳入到权限控制里面。当接口数量少时，管理员分配权限时还能轻松处理，但是当面对大量接口(在大系统中可能存在成千上万的接口)时，每一次分配权限都需要在庞大数量的接口中找到符合需求的几条，查找的过程对管理员来说无疑是一种巨大的折磨。第二种策略，则是将部分比较重要的接口纳入到权限控制，第二种策略能在一定程度上解决第一个策略造成的问题，不过也带来了新的问题。在接口数量比较少时，管理员可以精确管控到每个接口，但是在有大量接口的环境中，这种策略难免会出现某些重要的接口未被纳入到权限管控中的情况，也就是权限漏洞，这就会出现低权限用户能越权访问高权限接口问题，对系统来说无疑是一种巨大的安全隐患。所以如何提高权限管理的灵活性和可扩展性，使系统能够快速、准确地分配和调整用户的权限，以应对不断变化的业务需求和复杂的权限场景。

技术实现思路

[0004]鉴于以上所述现有技术的缺点，本专利技术的目的在于提供一种基于接口权限标签的权限管理方法及系统、存储介质，用于解决现有技术中当业务接口体量较多时，系统不能精确管控每个业务接口，容易产生用户越权访问等权限漏洞，也不利于系统在业务接口与用户权限之间在不同的功能菜单上从不同维度上动态的根据用户权限统一分配相应的业务接口的问题。
[0005]为实现上述目的及其他相关目的，本专利技术提供一种基于接口权限标签的权限管理方法，包括：
[0006]步骤S1：获取业务接口的业务信息，根据所述业务信息为所述业务接口定义接口
权限分组策略；
[0007]步骤S2：根据所述接口权限分组策略和所述业务信息提取所述业务接口对应的策略特征，按照所述接口权限分组策略将所述策略特征转换为接口标签使同一个所述业务接口对应映射唯一的所述接口标签；
[0008]步骤S3：根据所述接口权限分组策略将映射相同所述接口标签的所述业务接口分配到同一功能菜单的分组中，并将所述业务接口与所述功能菜单进行映射；
[0009]步骤S4：根据用户的权限和业务需求，从相应的所述功能菜单选择相应的所述接口标签来进行接口权限的管理。
[0010]于本专利技术的一实施例中，在所述步骤S1中，通过扫描所述业务接口来获取对应的所述业务信息，所述业务信息包括类信息、接口信息以及注解信息。
[0011]于本专利技术的一实施例中，所述步骤S1进一步包括解析所述注解信息，以从系统的策略数据库中查找并匹配到相应的所述接口权限分组策略。
[0012]于本专利技术的一实施例中，在所述步骤S2中，将所述业务接口的所述类信息和所述接口信息按照所述接口权限分组策略的相关规则进行提取生成所述策略特征。
[0013]于本专利技术的一实施例中，在所述步骤S2中，所述类信息包括所述业务接口对应的所述功能菜单；所述接口信息包括接口路径、访问方法和接口方法名；所述注解信息包括所述接口权限分组策略的策略名称。
[0014]于本专利技术的一实施例中，所述步骤S2还包括解析所述策略特征的方法特性和技术特征信息、并对应生成所述接口标签，以使得所述标签与所述业务接口相映射。
[0015]于本专利技术的一实施例中，所述步骤S3包括调用GroupBy(分组)函数对所述接口标签进行自动分组，将具有相同的所述接口标签的所述业务接口分配到同一所述功能菜单的同一个所述分组中。
[0016]于本专利技术的一实施例中，所述步骤S4包括在通过人机交互界面显示的所述功能菜单中勾选所述接口标签，赋予相应的所述接口权限。
[0017]于本专利技术的一实施例中，所述接口权限分组策略包括：基于增加、删除、修改和查询等操作行为的策略逻辑；基于所述业务接口的访问路径敏感度的策略逻辑；以及，基于权限范围的策略逻辑。
[0018]本专利技术还提供一种基于接口权限标签的权限管理系统，包括：
[0019]策略数据库，所述策略数据库存储有预设的接口权限分组策略；
[0020]策略定义模块，所述策略定义模块获取业务接口的业务信息、并根据所述业务信息从所述策略数据库中为所述业务接口匹配相应的接口权限分组策略；
[0021]接口标签映射模块，所述接口标签映射模块根据所述接口权限分组策略和所述业务信息提取所述业务接口对应的策略特征、并将所述策略特征的数据转换为相应的接口标签，将同一个所述业务接口对应映射唯一的所述接口标签；
[0022]接口权限分组模块，所述接口权限分组模块将具有相同所述接口标签的所述业务接口以分组形式分配到同一功能菜单，并将所述业务接口与所述功能菜单进行映射；
[0023]权限管理模块，所述权限管理模块通过人机界面获取、使用和管理所述策略数据库中标记有所述接口标签的功能菜单。
[0024]于本专利技术的一实施例中，所述权限管理模块中，所述接口标签与所述功能菜单、所
述业务接口与所述功能菜单之间通过对所述接口权限分组策略的解析实现多对多的映射，使得所述接口标签和所述功能菜单之间在不同维度上实现对所述业务接口的动态分组。
[0025]本专利技术还提供一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序被计算机的处理器执行时，使所述计算机执行上述任一项所述的基于接口权限标签的权限管理方法。
[0026]如上所述，本专利技术的一种基于接口权限标签的权限管理方法及系统、存储介质，具有以下有益效果：通过简化接口的行为，将权限特征、业务接口与所生成的接口标签一一相互映射。用户通过业务接口可以在若干个维度上进行权限策略的判断并分配到相应的分组中，使得同一个业务接口仅可属于一个功能菜单的分组目录下。系统管理员根据使用人的权限范围避免过度分配权限，业务系统通过权限策略进行动态(划分)分组的权限管理，这满足了业务系统的权限管控的安全需要。
附图说本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于接口权限标签的权限管理方法，其特征在于，包括：步骤S1：获取业务接口的业务信息，根据所述业务信息为所述业务接口定义接口权限分组策略；步骤S2：根据所述接口权限分组策略和所述业务信息提取所述业务接口对应的策略特征，按照所述接口权限分组策略将所述策略特征转换为接口标签使同一个所述业务接口对应映射唯一的所述接口标签；步骤S3：根据所述接口权限分组策略将映射相同所述接口标签的所述业务接口分配到同一功能菜单的分组中，并将所述业务接口与所述功能菜单进行映射；步骤S4：根据用户的权限和业务需求，从相应的所述功能菜单选择相应的所述接口标签来进行接口权限的管理。2.根据权利要求1所述的权限管理方法，其特征在于：在所述步骤S1中，通过扫描所述业务接口来获取对应的所述业务信息，所述业务信息包括类信息、接口信息以及注解信息。3.根据权利要求2所述的权限管理方法，其特征在于：所述步骤S1进一步包括解析所述注解信息，以从系统的策略数据库中查找并匹配到相应的所述接口权限分组策略。4.根据权利要求3所述的权限管理方法，其特征在于：在所述步骤S2中，将所述业务接口的所述类信息和所述接口信息按照所述接口权限分组策略的相关规则进行提取生成所述策略特征。5.根据权利要求4所述的权限管理方法，其特征在于：在所述步骤S2中，所述类信息包括所述业务接口对应的所述功能菜单；所述接口信息包括接口路径、访问方法和接口方法名；所述注解信息包括所述接口权限分组策略的策略名称。6.根据权利要求5所述的权限管理方法，其特征在于：所述步骤S2还包括解析所述策略特征的方法特性和技术特征信息、并对应生成所述接口标签，以使得所述标签与所述业务接口相映射。7.根据权利要求6所述的权限管理方法，其特征在于：所述步骤S3包括调用GroupBy(分组)函数对所述接口标签进行自动分组，将具有相同的所述接口...

【专利技术属性】
技术研发人员：李启凌，刘德备，颜元超，农政林，李红霞，褚瑞，刘元，姚红云，邹宇嘉，张宏亮，张焕欣，刘泽林，孙鑫，
申请(专利权)人：上海中广核工程科技有限公司，
类型：发明
国别省市：