平台用户权限管理方法、装置、设备及存储介质与流程

1.本发明涉及大数据处理的技术领域，更具体地，涉及一种平台用户权限管理方法、装置、设备及存储介质。


背景技术：

2.随着大数据技术在教育领域的深入应用，越来越多的区域会搭建属于自己的教育区域平台以累积自己的教育数据，例如管理类数据、教学类数据、资源类数据、用户行为类等数据。区域平台下面还会搭建多个虚拟实体，这些虚拟实体会作为学校平台，在区域平台的框架下，以学校为单位，按照学校自己的具体情况，自定义用户角色及用户角色对应的权限。
3.然而，虽然来自于不同学校的用户都是属于同一个区域平台，但由于各个学校之间的用户角色及用户角色对应的权限不相同，所以不同学校之间的用户不能互相访问对方的学校平台，造成大量的教育数据无法在区域平台内流动，容易出现教育资源的浪费。


技术实现要素：

4.本发明为解决同一平台不同虚拟实体平台之间的用户在满足可以相互访问的基础上，用户访问非己虚拟实体平台时的权限管理问题，提供一种平台用户权限管理方法、装置、设备及存储介质，本发明采用的技术方案如下。
5.第一方面，本发明提供一种平台用户权限管理方法，包括步骤：
6.接收用户的已通过校验的token信息和所述用户当前访问的虚拟实体平台的标识，其中，所述token信息包括：所属虚拟实体平台信息、角色信息和角色权限信息；
7.比对所述所属虚拟实体平台信息和所述虚拟实体平台的标识，得到比对结果；
8.根据所述比对结果和所述token信息，生成临时token信息；
9.其中，在所述用户的所属虚拟实体平台信息和所述虚拟实体平台的标识不相同时，基于用户当前访问的虚拟实体平台的规则，对token信息中的所述角色信息和所述角色权限信息进行过滤处理。
10.在一种实施方式中，所述基于用户当前访问的虚拟实体平台的规则，对token信息中的所述角色信息和所述权限信息进行过滤处理的过程，包括步骤：
11.获取当前访问的虚拟实体平台的角色集合；
12.删除token信息中的不包含在所述角色集合中的角色。
13.在一种实施方式中，所述基于用户当前访问的虚拟实体平台的规则，对token信息中的所述角色信息和所述权限信息进行过滤处理的过程，包括步骤：
14.获取当前访问的虚拟实体平台的角色权限集合；
15.基于token信息中的角色信息，用所述角色权限集合中的角色权限信息替代token信息中的角色权限信息。
16.在一种实施方式中，所述基于用户当前访问的虚拟实体平台的规则，对token信息
中的所述角色信息和所述权限信息进行过滤处理的过程，包括步骤：
17.获取当前访问的虚拟实体平台的角色权限集合；
18.基于token信息中的角色信息，删除token信息中的不包含在所述角色权限集合中的的角色权限信息。
19.在一种实施方式中，所述根据所述比对结果和所述token信息，生成临时token信息的过程，还包括步骤：
20.获取用户当前访问的虚拟实体平台的游客角色权限；
21.在token信息中增加所述游客角色权限。
22.在一种实施方式中，所述根据所述比对结果和所述token信息，生成临时token信息的过程，还包括步骤：
23.在所述用户的所属虚拟实体平台信息和所述虚拟实体平台的标识相同时，不修改token信息。
24.在一种实施方式中，还包括步骤：
25.发送修改后的token信息到用户当前访问的虚拟实体平台的接口。
26.第二方面，本发明提供一种平台用户权限管理装置，包括：
27.接收模块模块，用于接收用户的已通过校验的token信息和所述用户当前访问的虚拟实体平台的标识；
28.其中，所述token信息包括：所属虚拟实体平台信息、角色信息和角色权限信息；
29.比对模块，用于比对所述所属虚拟实体平台信息和所述虚拟实体平台的标识，得到比对结果；
30.执行模块，用于根据所述比对结果和所述token信息，生成临时token信息；
31.其中，在所述用户的所属虚拟实体平台信息和所述虚拟实体平台的标识不相同时，基于用户当前访问的虚拟实体平台的规则，对token信息中的所述角色信息和所述角色权限信息进行过滤处理。
32.第三方面，本发明提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述任一实施方式的方法。
33.第四方面，本发明提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现上述任一实施方式的方法。
34.本发明通过对用户token信息进行修改并生成对应的临时token信息，让用户的临时token信息符合目标访问的虚拟实体平台的权限要求，使得在同一大平台下隶属于不同虚拟实体的用户能够访问其他虚拟实体，实现不同虚拟实体用户之间的互通。本方法不需要对不同虚拟实体中的内容进行增加或删除，减少了数据的处理，简单有效地实现了不同虚拟实体用户之间的互通。
附图说明
35.图1是本发明实施例一流程示意图。
36.图2是本发明实施例一一实施方式的流程示意图。
37.图3是本发明实施例一另一实施方式的流程示意图。
38.图4是本发明实施例一又一实施方式的流程示意图。
39.图5是本发明实施例一再一实施方式的流程示意图。
40.图6是本发明实施例二整体结构示意图。
具体实施方式
41.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
42.需要说明的是，本发明实施例所涉及的术语“第一\第二\
……”
仅仅是是区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二\
……”
在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二\
……”
区分的对象在适当情况下可以互换，以使这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
43.实施例一
44.请参见图1，图1为本发明实施例一提供的一种平台用户权限管理方法的流程示意图，该方法包括步骤s110、步骤s120和步骤s130。需要注意的是，步骤s110、步骤s120和步骤s130仅为附图标记，用于清晰解释实施例与附图1的对应关系，不代表对本实施例中判断网络状况的方法的各方法步骤的顺序限定。
45.通常，一个大平台下，会定义好本平台的角色以及角色权限。一个大平台有多个虚拟实体，各个虚拟实体都有自己的用户，各个虚拟实体会针对自己的用户选择平台中的角色以及这些角色对应的角色权限。以教育的区域平台为例(后续为了方便说明，也会继续用教育平台的例子来加以说明)，区域平台为大平台，大平台有多个虚拟实体——学校平台，区域平台定义好学校平台的角色，如包括：区域教研员、其他老师、区主管老师、其他学生；区域平台中也定义了所有的角色权限，如包括：a、b、c、d、e、f、g、h、i。对于第一学校来说，其定义的角色只包括：区域教研员、区主管老师、其他学生三种；其中，角色区域教研员包括：a、b、c、d四种权限。对于第二学校来说，其定义的角色包括：区域教研员、其他老师、区主管老师、其他学生四种；其中，角色区域教研员包括：a、b、c、d、e五种权限。显然，虽然同是区域平台上的用户，但是不同学校平台用户相互访问时需要限制访问时的权限。因此，第一学校定义的区域教研员的权限仅适用于第一学校的用户，而不适用于第二学校的用户。本方法正是针对这种情况，对平台用户权限进行管理，以达到第一、第二学校的用户之间能够互相访问且隔离不同学校权限的效果。
46.步骤s110，接收用户的已通过校验的token信息和所述用户当前访问的虚拟实体平台的标识，其中，所述token信息包括：所属虚拟实体平台信息、角色信息和角色权限信息。
47.一般来说，用户在前台通过账号及秘钥请求后台接口正常登录。后台接收登录请求并校验登录信息，校验通过后封装用户信息及用户账号平台信息于token信息中返回给用户。前台接收到token信息并保存。此时用户的token信息是已通过校验的，一般该token信息包括：用户的所属虚拟实体平台信息、角色信息和角色权限信息。
48.如前所述，例如第二学校的用户甲，甲可能拥有区域教研员和其他老师两种角色，其中的角色区域教研员有a、b、c、d、e五种权限，角色其他老师有c、f、g三种权限，此时甲的token信息就包括了第二学校，角色区域教研员及其对应的权限a、b、c、d、e，其他老师及其对应的权限c、f、g。
49.解释说明：jwt(json web token)，是为了在网络应用环境间传递声明而执行的一种基于json的开放标准(rfc7519)。该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录(sso)场景。
50.用户访问虚拟实体平台时，该虚拟实体平台的标识(例如平台id)及用户的token信息就会发送到后台，后台接收这两个信息。平台标识(平台id)作用是后台服务器拦截器采用何种方式拦截过滤token信息的判断依据。例如用户甲现在在访问第一学校，第一学校的标识也会发送至后台。
51.一般来说，不同的学校会有各自不同的域名，用户甲要在访问第一学校，要到第一学校的域名下面去访问，此时，服务器接收到请求，解析http请求头中的参数，就可以得知该虚拟实体平台的标识。
52.步骤s120，比对所述所属虚拟实体平台信息和所述虚拟实体平台的标识，得到比对结果。
53.对所属虚拟实体平台信息和访问的虚拟实体平台的标识进行比对，目的是为了判断用户目前访问的是自己的学校平台还是跨平台访问到其他学校的平台。
54.步骤s130，根据所述比对结果和所述token信息，生成临时token信息；
55.其中，在所述用户的所属虚拟实体平台信息和所述虚拟实体平台的标识不相同时，基于用户当前访问的虚拟实体平台的规则，对token信息中的所述角色信息和所述角色权限信息进行过滤处理。
56.比对访问的虚拟实体平台的标识及token中的所属虚拟实体平台信息后，得出相同或不相同的比对结果。根据比对结果，在结果不相同时，对token信息进行修改，修改后得到临时的token信息，用该临时token信息去访问目标虚拟实体平台，以使其符合目标访问的虚拟实体平台的要求，从而能够在该目标平台上登录。
57.如前所述，角色、角色权限是面对整个大平台系统的，但用户使用大平台是以虚拟实体平台为单位的，每个虚拟实体平台都有自己对应的一套角色和角色权限，不能为某个跨平台用户改变角色和角色权限，所以只能对用户的角色和角色权限进行修改，使其跟访问己平台的用户一致。而又由于token信息是包括了角色信息和角色权限信息的，只要修改token信息中的角色信息和角色权限信息，修改后的token信息中的内容就会与访问己平台的用户一致，目标访问的虚拟实体平台就可以像访问己平台的用户一样，根据该修改后的token信息为用户分配对应的资源。
58.至于基于用户当前访问的虚拟实体平台的规则，对token信息中的所述角色信息和所述角色权限信息进行过滤处理的过程，则是多种多样的。例如，删除本平台没有的角色或本平台禁止的角色、删除角色中包含的本平台对应的角色中没有的权限等。总之，经过过滤处理后的token信息要符合用户当前访问的虚拟实体平台的规则的要求。
59.这里需要指出的是，生成的是临时的token信息，该临时的token信息只用于访问接口，前台中的token信息实际上确定的没有被改变的。
60.本方法通过对用户token信息进行修改并生成对应的临时token信息，让用户的临时token信息符合目标访问的虚拟实体平台的权限要求，使得在同一大平台下隶属于不同虚拟实体的用户能够访问其他虚拟实体，实现不同虚拟实体用户之间的互通。本方法不需要对不同虚拟实体中的内容进行增加或删除，减少了数据的处理，简单有效地实现了不同虚拟实体用户之间的互通。
61.在一种实施方式中，如图2所示，所述基于用户当前访问的虚拟实体平台的规则，对token信息中的所述角色信息和所述权限信息进行过滤处理的过程，包括：步骤s210和步骤s220。
62.步骤s210，获取当前访问的虚拟实体平台的角色集合；
63.步骤s220，删除token信息中的不包含在所述角色集合中的角色。
64.如前所述，不同的虚拟实体都会针对自己的用户选择平台中的角色。例如在前面的例子中，第二学校的用户甲拥有区域教研员和其他老师两种角色，甲当前要访问第一学校，那么先获取第一学校的角色集合，发现第一学校中没有其他老师这个角色，此时清空token信息中的其他老师这个角色，使得修改后的token信息符合当前访问的虚拟实体平台的规则。
65.这里需要指出的是，由于角色权限是跟随于角色的，所以在删除角色的同时，角色权限也会跟随之而被删除。另外，这里的角色集合准确来说是供跨平台用户使用的角色集合，因为有可能部分角色只对本平台的用户开放，不对跨平台的用户开放。
66.这里需要说明的是，对于每一虚拟平台，其可以自定义属于自己平台内的角色及对应的权限，但由于这些角色不是大平台上的通用角色，所以不可能在角色集合上的，因而这些非通用角色通常是要被删除的。
67.在一种实施方式中，如图3所示，所述基于用户当前访问的虚拟实体平台的规则，对token信息中的所述角色信息和所述权限信息进行过滤处理的过程，包括：步骤s310和步骤s320。
68.步骤s310，获取当前访问的虚拟实体平台的角色权限集合；
69.步骤s320，基于token信息中的角色信息，用所述角色权限集合中的角色权限信息替代token信息中的角色权限信息。
70.如前所述，不同的虚拟实体都会针对自己的用户选择平台中的角色的权限。例如在前面的例子中，还有第三学校，第三学校中的角色其他老师拥有a、b、c、d四种权限，第二学校的甲现在要访问第三学校，那么先获取第三学校的角色集合，其中发现第三学校中的角色其他老师拥有a、b、c、d四种权限，而甲当前的token中的角色其他老师拥有的是c、f、g三种权限，此时就用a、b、c、d四种权限去替代token信息中的c、f、g三种权限，使得修改后的token信息符合当前访问的虚拟实体平台的规则。
71.这里需要指出的是，和之前的角色集合类似，角色权限集合准确来说是供跨平台用户使用的角色权限集合。
72.在一种实施方式中，如图4所示，所述基于用户当前访问的虚拟实体平台的规则，对token信息中的所述角色信息和所述权限信息进行过滤处理的过程，包括：步骤s410和步骤s420。
73.步骤s410，获取当前访问的虚拟实体平台的角色权限集合；
74.步骤s420，基于token信息中的角色信息，删除token信息中的不包含在所述角色权限集合中的的角色权限信息。
75.本实施方式也是对角色的权限集合进行修改，但与前一种实施方式稍有区别。继续以前一个实施方式中的例子进行介绍，甲的c、f、g三种权限中，只有权限c在第三学校的a、b、c、d四种权限权限当中，在本实施方式中，删除权限f、g，只保留权限c。
76.这里需要指出的是，不管是本实施方式还是前一种实施方式，都可以与关于角色集合的实施方式组合，即同时对角色和角色对应的权限进行过滤处理。
77.在一种实施方式中，所述根据所述比对结果和所述token信息，生成临时token信息的过程，还包括步骤：
78.在所述用户的所属虚拟实体平台信息和所述虚拟实体平台的标识相同时，不修改token信息。
79.即用户访问己平台的情形，这种情形下，可以沿用之前的token信息，不对token信息进行修改。
80.在一种实施方式中，所述根据所述比对结果和所述token信息，生成临时token信息的过程，还包括：步骤s510和步骤s520。
81.步骤s510，获取用户当前访问的虚拟实体平台的游客角色权限；
82.步骤s520，在token信息中增加所述游客角色权限。
83.对于每个虚拟实体平台，都有自己定义的游客角色权限，但对于不同的虚拟实体平台，游客角色权限会不相同，但对于跨平台的用户，本平台游客角色权限是需要被赋予的，所以在token信息中增加游客角色权限。
84.在一种实施方式中，所述的平台用户权限管理方法还包括步骤s140。
85.步骤s140，发送修改后的token信息到用户当前访问的虚拟实体平台的接口。
86.由于本方法是通过对用户token信息进行修改并生成对应的临时token信息，让用户的临时token信息符合目标访问的虚拟实体平台的权限要求，所以对于修改后的token信息要发送到当前访问的虚拟实体平台的接口，以使得用户能够访问目标的虚拟实体平台。
87.实施例二
88.与实施例一的方法相对应，如图5所示，本发明还提供一种平台用户权限管理装置6，包括：接收模块601、比对模块602、执行模块603。
89.接收模块601，用于接收用户的已通过校验的token信息和所述用户当前访问的虚拟实体平台的标识，其中，所述token信息包括：所属虚拟实体平台信息、角色信息和角色权限信息；
90.比对模块602，用于比对所述所属虚拟实体平台信息和所述虚拟实体平台的标识，得到比对结果；
91.执行模块603，用于根据所述比对结果和所述token信息，生成临时token信息；
92.其中，在所述用户的所属虚拟实体平台信息和所述虚拟实体平台的标识不相同时，基于用户当前访问的虚拟实体平台的规则，对token信息中的所述角色信息和所述角色权限信息进行过滤处理。
93.本装置通过对用户token信息进行修改并生成对应的临时token信息，让用户的临时token信息符合目标访问的虚拟实体平台的权限要求，使得在同一大平台下隶属于不同
虚拟实体的用户能够访问其他虚拟实体，实现不同虚拟实体用户之间的互通。本方法不需要对不同虚拟实体中的内容进行增加或删除，减少了数据的处理，简单有效地实现了不同虚拟实体用户之间的互通。
94.在一种实施方式中，执行模块在执行所述基于用户当前访问的虚拟实体平台的规则，对token信息中的所述角色信息和所述权限信息进行过滤处理的过程，包括步骤：
95.获取当前访问的虚拟实体平台的角色集合；
96.删除token信息中的不包含在所述角色集合中的角色。
97.在一种实施方式中，执行模块在执行所述基于用户当前访问的虚拟实体平台的规则，对token信息中的所述角色信息和所述权限信息进行过滤处理的过程，包括步骤：
98.获取当前访问的虚拟实体平台的角色权限集合；
99.基于token信息中的角色信息，用所述角色权限集合中的角色权限信息替代token信息中的角色权限信息。
100.在一种实施方式中，执行模块在执行所述基于用户当前访问的虚拟实体平台的规则，对token信息中的所述角色信息和所述权限信息进行过滤处理的过程，包括步骤：
101.获取当前访问的虚拟实体平台的角色权限集合；
102.基于token信息中的角色信息，删除token信息中的不包含在所述角色权限集合中的的角色权限信息。
103.在一种实施方式中，执行模块在执行所述根据所述比对结果和所述token信息，生成临时token信息的过程，还包括步骤：
104.在所述用户的所属虚拟实体平台信息和所述虚拟实体平台的标识相同时，不修改token信息。
105.在一种实施方式中，执行模块在执行所述根据所述比对结果和所述token信息，生成临时token信息的过程，还包括步骤：
106.获取用户当前访问的虚拟实体平台的游客角色权限；
107.在token信息中增加所述游客角色权限。
108.在一种实施方式中，所述平台用户权限管理装置还包括发送模块；
109.发送模块，用于发送修改后的token信息到用户当前访问的虚拟实体平台的接口。
110.实施例三
111.本发明实施例还提供了一种存储介质，其上存储有计算机指令，该指令被处理器执行时实现上述任一实施例的平台用户权限管理方法。
112.本领域的技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、随机存取存储器(ram，random access memory)、只读存储器(rom，read
‑
only memory)、磁碟或者光盘等各种可以存储程序代码的介质。
113.或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以
是个人计算机、终端、或者网络设备等)执行本发明各个实施例方法的全部或部分。而前述的存储介质包括：移动存储设备、ram、rom、磁碟或者光盘等各种可以存储程序代码的介质。
114.与上述的计算机存储介质对应的是，在一个实施例中还提供一种计算机设备，该计算机设备包括存储器、编码器及存储在存储器上并可在编码器上运行的计算机程序，其中，编码器执行程序时实现如上述各实施例中的任意一种平台用户权限管理方法。
115.上述计算机设备，通过对用户token信息进行修改并生成对应的临时token信息，让用户的临时token信息符合目标访问的虚拟实体平台的权限要求，使得在同一大平台下隶属于不同虚拟实体的用户能够访问其他虚拟实体，实现不同虚拟实体用户之间的互通。本方法不需要对不同虚拟实体中的内容进行增加或删除，减少了数据的处理，简单有效地实现了不同虚拟实体用户之间的互通。
116.以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
117.显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。