一种方法级权限的构建方法及装置与流程

1.本发明涉及系统权限管理技术领域，尤其涉及一种实现方法级权限控制的方法及装置。


背景技术：

2.系统权限管理一直是应用系统不可缺少的重要组成部分，不同用户对系统功能的需求不同。目前，比较流行的方法级权限框架spring security，对于新开发的系统能够简单、快速的构建出一套权限机制。但是有些经过了比较长时间业务发展的历史系统在设计阶段考虑不周全，并且随着本身业务的发展，之前的一些方法级权限设计无法满足当前业务需求。而引用新方法级权限框架spring security时，人工机械化操作频繁，需要升级spring的相关jar包，以及在每个方法上加上对应的权限注解，效率很低。同时，通过设计人员手动去统计各个模块的方法url，容易误操作、准确率低且效率低。
3.因此，如何快速、高效、准确的构建针对所有应用系统的方法级权限控制，是本领域亟待解决的技术问题。


技术实现要素：

4.本发明所要解决的技术问题在于，提供一种方法级权限的构建方法及装置，能够快速、高效、准确的构建针对所有应用系统的方法级权限控制。
5.为了解决上述技术问题，本发明第一方面公开了一种方法级权限的构建方法，所述方法包括：
6.基于业务开发平台的元数据规则，获取所述业务开发平台包含的请求方法信息，并将所有所述请求方法信息存入目标数据表，得到应用服务清单，其中，所述请求方法信息包括url路径；
7.对于所述应用服务清单中的任一所述请求方法，构建该请求方法包括的url路径与该请求方法对应的请求方法权限间的第一关联关系，得到该请求方法对应的第一关联关系；
8.获取多个请求方法权限与相应角色间的第二关联关系；
9.基于每个所述请求方法对应的第一关联关系以及所述第二关联关系，分别构建每个所述请求方法包括的url路径与所述第二关联关系中相匹配的角色之间的第一映射关系，并将所述第一映射关系存入目标数据库。
10.作为一种可选的实施方式，在本发明第一方面中，所述将所述第一映射关系存入目标数据库之后，所述方法还包括：
11.对于所述应用服务清单中的任一所述请求方法，确定该请求方法包括的url路径所属的url模式，建立该请求方法包括的url路径与相应url模式间的第三关联关系，得到该请求方法对应的第三关联关系；
12.基于每个所述请求方法包括的url路径与所述第二关联关系中相匹配的角色之间
的第一映射关系以及每个所述请求方法对应的第三关联关系，构建所述第三关联关系中的url模式与所述第二关联关系中相匹配的角色之间的第二映射关系，并将所述第二映射关系存入所述目标数据库。
13.作为一种可选的实施方式，在本发明第一方面中，所述对于所述应用服务清单中的任一所述请求方法，确定该请求方法包括的url路径所属的url模式，包括：
14.分析所述应用服务清单，得到至少一个url模式；
15.对于所述应用服务清单中的任一所述请求方法包括的url路径，分析该请求方法包括的url路径，确定该请求方法包括的url路径中包含的特征值；
16.根据所述特征值，确定该请求方法包括的url路径所属的url模式。
17.作为一种可选的实施方式，在本发明第一方面中，所述分析所述应用服务清单，得到至少一个url模式，包括：
18.获取所述应用服务清单中的所有所述请求方法包括的url路径；
19.分析并提取所有所述url路径的特征值，得到第一特征值集合；
20.合并所述第一特征值集合中相同的特征值，得到第二特征值集合；
21.确定所述第二特征值集合中每个特征值对应的url模式。
22.作为一种可选的实施方式，在本发明第一方面中，所述将所述第一映射关系存入目标数据库之后，所述方法还包括：
23.检测用户发送的操作请求，所述操作请求包括用户基础信息以及目标url路径；
24.根据所述用户基础信息确定用户角色，所述用户角色为一个或多个；
25.根据所述目标url路径，在所述目标数据库中查找与所述目标url路径对应的角色；
26.判断所述用户角色中是否存在所述目标url路径对应的角色；
27.若所述用户角色中存在所述目标url路径对应的角色，则执行所述用户发送的操作请求对应的操作；
28.若所述用户角色中不存在所述目标url路径对应的角色，则提示用户无操作权限。
29.作为一种可选的实施方式，在本发明第一方面中，所述方法还包括：
30.构建请求拦截器；
31.所述检测用户发送的操作请求之后，所述方法还包括：
32.通过所述请求拦截器对所述操作请求进行拦截，当拦截成功时，解析所述操作请求，得到所述操作请求所包括的所述用户基础信息，并基于filtersecurity过滤器提取所述操作请求中的所述目标url路径。
33.作为一种可选的实施方式，在本发明第一方面中，所述用户基础信息包括目标用户标识；
34.所述根据所述用户基础信息确定用户角色，包括：
35.获取预设的用户标识与角色间的第四关联关系；
36.基于所述第四关联关系，确定所述目标用户标识对应的用户角色。
37.本发明第二方面公开了一种方法级权限的构建装置，所述装置包括：
38.获取模块，用于基于业务开发平台的元数据规则，获取所述业务开发平台包含的请求方法信息，并将所有所述请求方法信息存入目标数据表，得到应用服务清单，其中，所
述请求方法信息包括url路径；
39.第一关联模块，用于对于所述应用服务清单中的任一所述请求方法，构建该请求方法包括的url路径与该请求方法对应的请求方法权限的第一关联关系，得到该请求方法对应的第一关联关系；
40.第二关联模块，用于获取多个请求方法权限与相应角色间的第二关联关系；
41.第一映射模块，用于基于每个所述请求方法对应的第一关联关系以及所述第二关联关系，分别构建每个所述请求方法包括的url路径与所述第二关联关系中相匹配的角色之间的第一映射关系，并将所述第一映射关系存入目标数据库。
42.作为一种可选的实施方式，在本发明第二方面中，所述装置还包括：
43.第三关联模块，用于对于所述应用服务清单中的任一所述请求方法，确定该请求方法包括的url路径所属的url模式，建立该请求方法包括的url路径与相应url模式间的第三关联关系，得到该请求方法对应的第三关联关系；
44.第二映射模块，用于基于每个所述请求方法包括的url路径与所述第二关联关系中相匹配的角色之间的第一映射关系以及每个所述请求方法对应的第三关联关系，构建所述第三关联关系中的url模式与所述第二关联关系中相匹配的角色之间的第二映射关系，并将所述第二映射关系存入所述目标数据库。
45.作为一种可选的实施方式，在本发明第二方面中，所述第三关联模块包括：
46.分析子模块，用于分析所述应用服务清单，得到至少一个url模式；
47.第一确定子模块，用于对于所述应用服务清单中的任一所述请求方法包括的url路径，分析该请求方法包括的url路径，确定该请求方法包括的url路径中包含的特征值；
48.第二确定子模块，用于根据任一请求方法包括的url路径中包含的特征值，确定该请求方法包括的url路径所属的url模式。
49.作为一种可选的实施方式，在本发明第二方面中，所述分析子模块分析所述应用服务清单，得到至少一个url模式的方式具体包括：
50.获取所述应用服务清单中的所有所述请求方法包括的url路径；
51.分析并提取所有所述url路径的特征值，得到第一特征值集合；
52.合并所述第一特征值集合中相同的特征值，得到第二特征值集合；
53.确定所述第二特征值集合中每个特征值对应的url模式。
54.作为一种可选的实施方式，在本发明第二方面中，所述装置还包括：
55.检测模块，用于检测用户发送的操作请求，所述操作请求包括用户基础信息以及目标url路径；
56.角色确定模块，用于根据所述用户基础信息确定用户角色，所述用户角色为一个或多个；
57.角色查找模块，用于根据所述目标url路径，在所述目标数据库中查找与所述目标url路径对应的角色；
58.判断模块，用于判断所述用户角色中是否存在所述目标url路径对应的角色；若所述用户角色中存在所述目标url路径对应的角色，则执行所述用户发送的操作请求对应的操作；若所述用户角色中不存在所述目标url路径对应的角色，则提示用户无操作权限。
59.作为一种可选的实施方式，在本发明第二方面中，所述装置还包括：
60.构建模块，用于构建请求拦截器；
61.所述装置还包括：
62.拦截模块，用于所述检测用户发送的操作请求之后，通过所述请求拦截器对所述操作请求进行拦截，当拦截成功时，解析所述操作请求，得到所述操作请求所包括的所述用户基础信息，并基于filtersecurity过滤器提取所述操作请求中的所述目标url路径。
63.作为一种可选的实施方式，在本发明第二方面中，所述用户基础信息包括目标用户标识；
64.所述角色确定模块根据所述用户基础信息确定用户角色，具体包括：
65.获取预设的用户标识与角色间的第四关联关系；
66.基于所述第四关联关系，确定所述目标用户标识对应的用户角色。
67.本发明第三方面公开了另一种方法级权限的构建装置，所述装置包括：
68.存储有可执行程序代码的存储器；
69.与所述存储器耦合的处理器；
70.所述处理器调用所述存储器中存储的所述可执行程序代码，执行本发明第一方面公开的方法级权限的构建方法。
71.本发明第四方面公开了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机指令，所述计算机指令被调用时，用于执行本发明第一方面公开的方法级权限的构建方法。
72.与现有技术相比，本发明实施例具有以下有益效果：
73.本发明实施例中，基于业务开发平台的元数据规则，获取所述业务开发平台包含的请求方法信息，所述请求方法信息包括url路径，并将所有所述请求方法信息存入目标数据表，得到应用服务清单；对于所述应用服务清单中的任一所述请求方法，构建该请求方法包括的url路径与该请求方法对应的请求方法权限间的第一关联关系，得到该请求方法对应的第一关联关系；获取多个请求方法权限与相应角色间的第二关联关系；基于每个所述请求方法对应的第一关联关系以及所述第二关联关系，分别构建每个所述请求方法包括的url路径与所述第二关联关系中相匹配的角色之间的第一映射关系，并将所述第一映射关系存入目标数据库。可见，实施本发明能够快速、高效、准确的构建针对所有应用系统的方法级权限控制。
附图说明
74.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
75.图1是本发明实施例公开的一种方法级权限的构建方法的流程示意图；
76.图2是本发明实施例公开的一种应用服务清单示意图；
77.图3是本发明实施例公开的另一种方法级权限的构建方法的流程示意图；
78.图4是本发明实施例公开的另一种方法级权限的构建方法中步骤s105的流程示意图；
79.图5是本发明实施例公开的后台领域模型图；
80.图6是本发明实施例公开的后台权限构建功能模块关系图；
81.图7是本发明实施例公开的又一种方法级权限的构建方法的流程示意图；
82.图8是本发明实施例公开的一种方法级权限的构建装置的结构示意图；
83.图9是本发明实施例公开的又一种方法级权限的构建装置的结构示意图；
84.图10是本发明实施例公开的又一种方法级权限的构建装置的结构示意图；
85.图11是本发明实施例公开的另一种方法级权限的构建装置的结构示意图。
具体实施方式
86.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
87.本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或端没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或端固有的其他步骤或单元。
88.在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。
89.本发明公开了一种方法级权限的构建方法及装置，能够快速、高效、准确的构建针对所有应用系统的方法级权限控制。以下分别进行详细说明。
90.实施例一
91.请参阅图1，图1是本发明实施例公开的一种方法级权限的构建方法的流程示意图。其中，图1所描述的方法级权限的构建方法可以应用于便携计算机，也可以应用于服务器，本发明实施例不做限定。如图1所示，该方法级权限的构建方法可以包括以下操作：
92.s101、基于业务开发平台的元数据规则，获取业务开发平台包含的请求方法信息，并将所有请求方法信息存入目标数据表，得到应用服务清单，其中，请求方法信息包括url路径。
93.本发明实施例中，可选的，业务开发平台可以是cap智能业务开发平台。cap平台是一个集建模开发、运行、监控、分析于一体的智能业务开发平台。业务开发平台也可以是基于cap平台实现且经过了比较长时间业务发展的历史系统。可以技术业务开发平台提供的导出api功能，快速获取业务开发平台包含的请求方法信息。
94.参阅图2，图2是本发明实施例公开的一种应用服务清单示意图。应用服务清单中包括多个请求方法，请求方法的请求方法信息包括实体类型、请求方法中文名、请求方法英文名、url路径/方法rest路径、方法描述等信息。
95.本发明实施例中，通过业务开发平台元数据规则，自动获取业务开发平台包含的
请求方法信息，避免了大量枯燥的人工机械操作，降低了人工误操作的可能性。
96.s102、对于应用服务清单中的任一请求方法，构建该请求方法包括的url路径与该请求方法对应的请求方法权限间的第一关联关系，得到该请求方法对应的第一关联关系。
97.本发明实施例中，可选的，对于任一请求方法，将该请求方法包括的url路径作为该请求方法对应的请求方法权限的权限数据值，构建出请求方法包括的url路径与该请求方法对应的请求方法权限之间的对应关系，从而得到该请求方法对应的第一关联关系。
98.s103、获取多个请求方法权限与相应角色间的第二关联关系。
99.本发明实施例中，可选的，一个请求方法权限可以对应一个角色，也可以对应多个角色。同样的，一个角色可以对应一个请求方法权限，也可以对应多个请求权限。另外，第二关联关系可以是开发人员预先配置的，也可以是根据历史系统已有权限-角色关系得到的，本发明实施例不做限定。
100.s104、基于每个请求方法对应的第一关联关系以及第二关联关系，分别构建每个请求方法包括的url路径与第二关联关系中相匹配的角色之间的第一映射关系，并将第一映射关系存入目标数据库。
101.本发明实施例中，根据步骤s102得到的请求方法包括的url路径与该请求方法对应的请求方法权限之间的对应关系，以及步骤s103得到的多个请求方法权限与相应角色间的关联关系，以请求方法权限为中间值，构建出每个请求方法包括的url路径与第二关联关系中相匹配的角色之间的映射关系，得到第一映射关系，也即得到了方法级的权限分配。在该实施例中，一个请求方法包括的url路径可以对应一个角色，也可以对应多个角色。同样的，一个角色可以对应一个请求方法包括的url路径，也可以对应多个请求方法包括的url路径。
102.可见，实施图1所描述的基于方法级权限的构建方法，通过业务开发平台的元数据规则，获取业务开发平台包含的请求方法信息，请求方法信息包括url路径，并将所有请求方法信息存入目标数据表，得到应用服务清单；对于应用服务清单中的任一请求方法，构建该请求方法包括的url路径与该请求方法对应的请求方法权限间的第一关联关系，得到该请求方法对应的第一关联关系；获取多个请求方法权限与相应角色间的第二关联关系；基于每个请求方法对应的第一关联关系以及第二关联关系，分别构建每个请求方法包括的url路径与第二关联关系中相匹配的角色之间的第一映射关系，并将第一映射关系存入目标数据库。能够快速、高效、准确的构建针对所有应用系统的方法级权限控制。
103.在一个可选的实施例中，参阅图3，图3是本发明实施例公开的另一种方法级权限的构建方法的流程示意图。如图3所示，该方法级权限的构建方法还包括以下操作：
104.s105、对于应用服务清单中的任一请求方法，确定该请求方法包括的url路径所属的url模式，建立该请求方法包括的url路径与相应url模式间的第三关联关系，得到该请求方法对应的第三关联关系。
105.本发明实施例中，可选的，业务系统可以基于应用服务清单做系统分析得到至少一个url模式(url pattern)。例如通过智能算法或人工分析的方法，对应该服务清单进行分析，确定出多个url pattern，其中，每个url pattern代表可以操作的资源集合。根据请求方法包括的url路径确定相应的url模式，建立该请求方法包括的url路径与相应url模式间的关联关系。在该实施例中，一个请求方法包括的url路径可以对应一个url模式，也可以
对应多个url模式。
106.在一个可选的实施例中，如图4所示，图4是另一种方法级权限的构建方法中步骤s105的流程示意图。步骤s105对于应用服务清单中的任一请求方法，确定该请求方法包括的url路径所属的url模式，具体包括以下步骤：
107.s1051、分析应用服务清单，得到至少一个url模式。
108.本发明实施例中，可选的，步骤s1051具体包括以下步骤：
109.第一步、获取应用服务清单中的所有请求方法包括的url路径。
110.第二步、分析并提取所有url路径的特征值，得到第一特征值集合。
111.第三步、合并第一特征值集合中相同的特征值，得到第二特征值集合。
112.第四步、确定第二特征值集合中每个特征值对应的url模式。
113.s1052、对于应用服务清单中的任一请求方法包括的url路径，分析该请求方法包括的url路径，确定该请求方法包括的url路径中包含的特征值。
114.本发明实施例中，请求方法包括的url路径中包含一个或多个特征值。
115.s1053、根据特征值，确定该请求方法包括的url路径所属的url模式。
116.本发明实施例中，根据请求方法包括的url路径中包含一个或多个特征值确定该请求方法包括的url路径所属的一个或多个url模式。
117.s106、基于每个请求方法包括的url路径与第二关联关系中相匹配的角色之间的第一映射关系以及每个请求方法对应的第三关联关系，构建第三关联关系中的url模式与第二关联关系中相匹配的角色之间的第二映射关系，并将第二映射关系存入目标数据库。
118.本发明实施例中，构建出了url模式与角色之间的映射关系。
119.如图5、图6所示，图5是本发明实施例公开的后台领域模型图、图6是本发明实施例公开的后台权限构建功能模块关系图。在一个可选的实施例中，构建用户-角色-权限-url pattern之间的领域模型。配置管理单元模块，对用户、角色、权限、授权进行管理，将操作权限授予角色。同时根据权限与url的引用关系，确定相应的url pattern。
120.可见，该可选的实施例能够创建url pattern与角色间的映射关系，实现针对所有应用系统的方法级权限控制。
121.实施例二
122.请参阅图7，图7是本发明实施例公开的一种方法级权限的构建方法的流程示意图。其中，图7所描述的方法级权限的构建方法可以应用于便携计算机，也可以应用于服务器，本发明实施例不做限定。如图7所示，该方法级权限的构建方法可以包括以下操作：
123.s701、基于业务开发平台的元数据规则，获取业务开发平台包含的请求方法信息，并将所有请求方法信息存入目标数据表，得到应用服务清单，其中，请求方法信息包括url路径。
124.s702、对于应用服务清单中的任一请求方法，构建该请求方法包括的url路径与该请求方法对应的请求方法权限间的第一关联关系，得到该请求方法对应的第一关联关系。
125.s703、获取多个请求方法权限与相应角色间的第二关联关系。
126.s704、基于每个请求方法对应的第一关联关系以及第二关联关系，分别构建每个请求方法包括的url路径与第二关联关系中相匹配的角色之间的第一映射关系，并将第一映射关系存入目标数据库。
127.s705、对于应用服务清单中的任一请求方法，确定该请求方法包括的url路径所属的url模式，建立该请求方法包括的url路径与相应url模式间的第三关联关系，得到该请求方法对应的第三关联关系。
128.s706、基于每个请求方法包括的url路径与第二关联关系中相匹配的角色之间的第一映射关系以及每个请求方法对应的第三关联关系，构建第三关联关系中的url模式与第二关联关系中相匹配的角色之间的第二映射关系，并将第二映射关系存入目标数据库。
129.本发明实施例中，针对步骤s701-s706的其他描述请参阅实施例一中针对步骤s101-s106的其他具体描述，本发明实施例不再赘述。
130.本发明实施例中，可选的，该方法级权限的构建方法还包括以下操作：
131.s707、检测用户发送的操作请求，操作请求包括用户基础信息以及目标url路径。
132.本发明实施例中，该方法级权限的构建方法还包括：构建请求拦截器。
133.本发明实施例中，可选的，步骤s707、检测用户发送的操作请求之后，该方法级权限的构建方法还包括：
134.通过请求拦截器对操作请求进行拦截，当拦截成功时，解析操作请求，得到操作请求所包括的用户基础信息，并基于filtersecurity过滤器提取操作请求中的目标url路径。
135.本发明实施例中，filtersecurity过滤器，该类的主要功能就是提取当前请求包括的url路径。
136.s708、根据用户基础信息确定用户角色，用户角色为一个或多个。其中，用户基础信息包括目标用户标识。
137.本发明实施例中，可选的，步骤s708、根据用户基础信息确定用户角色，具体包括：获取预设的用户标识与角色间的第四关联关系；基于第四关联关系，确定目标用户标识对应的用户角色。
138.在该实施例中，一个用户可以对应一个角色，也可以对应多个角色。同样的，一个角色可以对应一个用户，也可以对应多个用户。
139.s709、根据目标url路径，在目标数据库中查找与目标url路径对应的角色。
140.在该实施例中，根据过滤器提取出的目标url路径，在存储有第一映射关系和第二映射关系的目标数据库中直接查找与目标url路径对应的一个或多个角色。或者，在存储有第一映射关系和第二映射关系的目标数据库中，先获取与目标url路径对应url模式，再根据确定出的url模式查找对应的一个或多个角色。
141.s710、判断用户角色中是否存在目标url路径对应的角色；若用户角色中存在目标url路径对应的角色，则执行步骤s711；若用户角色中不存在目标url路径对应的角色，则执行步骤s712。
142.s711、执行用户发送的操作请求对应的操作。
143.s712、提示用户无操作权限。
144.可见，实施图7所描述的基于方法级权限的构建方法，通过构建方法级权限授权规则，获取用户的操作请求，根据用户的操作请求提取出操作请求包含的用户角色与目标url路径，根据目标url路径所需的角色权限与用户拥有的角色权限，实现对操作请求中请求的方法进行授权。能够快速、高效、准确的构建针对所有应用系统的方法级权限控制。
145.实施例三
146.请参阅图8，图8是本发明实施例公开的一种方法级权限的构建装置的结构示意图。其中，图8所描述的方法级权限的构建装置可以应用于便携计算机，也可以应用于服务器，本发明实施例不做限定。如图8所示，该方法级权限的构建装置可以包括：获取模块801、第一关联模块802、第二关联模块803、第一映射模块804，其中：
147.获取模块801，用于基于业务开发平台的元数据规则，获取业务开发平台包含的请求方法信息，并将所有请求方法信息存入目标数据表，得到应用服务清单，其中，请求方法信息包括url路径。
148.本发明实施例中，可选的，业务开发平台可以是cap智能业务开发平台。cap平台是一个集建模开发、运行、监控、分析于一体的智能业务开发平台。业务开发平台也可以是基于cap平台实现且经过了比较长时间业务发展的历史系统。可以技术业务开发平台提供的导出api功能，快速获取业务开发平台包含的请求方法信息。
149.参阅图2，图2是本发明实施例公开的一种应用服务清单示意图。应用服务清单中包括多个请求方法，请求方法的请求方法信息包括实体类型、请求方法中文名、请求方法英文名、url路径/方法rest路径、方法描述等信息。
150.本发明实施例中，通过业务开发平台元数据规则，自动获取业务开发平台包含的请求方法信息，避免了大量枯燥的人工机械操作，降低了人工误操作的可能性。
151.第一关联模块802，用于对于应用服务清单中的任一请求方法，构建该请求方法包括的url路径与该请求方法对应的请求方法权限的第一关联关系，得到该请求方法对应的第一关联关系。
152.本发明实施例中，可选的，对于任一请求方法，将该请求方法包括的url路径作为该请求方法对应的请求方法权限的权限数据值，构建出请求方法包括的url路径与该请求方法对应的请求方法权限之间的对应关系，从而得到该请求方法对应的第一关联关系。
153.第二关联模块803，用于获取多个请求方法权限与相应角色间的第二关联关系。
154.本发明实施例中，可选的，一个请求方法权限可以对应一个角色，也可以对应多个角色。同样的，一个角色可以对应一个请求方法权限，也可以对应多个请求权限。另外，第二关联关系可以是开发人员预先配置的，也可以是根据历史系统已有权限-角色关系得到的，本发明实施例不做限定。
155.第一映射模块804，用于基于每个请求方法对应的第一关联关系以及第二关联关系，分别构建每个请求方法包括的url路径与第二关联关系中相匹配的角色之间的第一映射关系，并将第一映射关系存入目标数据库。
156.本发明实施例中，根据第一关联模块802得到的请求方法包括的url路径与该请求方法对应的请求方法权限之间的对应关系，以及第二关联模块803得到的多个请求方法权限与相应角色间的关联关系，以请求方法权限为中间值，构建出每个请求方法包括的url路径与第二关联关系中相匹配的角色之间的映射关系，得到第一映射关系，也即得到了方法级的权限分配。在该实施例中，一个请求方法包括的url路径可以对应一个角色，也可以对应多个角色。同样的，一个角色可以对应一个请求方法包括的url路径，也可以对应多个请求方法包括的url路径。
157.可见，实施图8所描述的基于方法级权限的构建装置，通过业务开发平台的元数据规则，获取业务开发平台包含的请求方法信息，请求方法信息包括url路径，并将所有请求
方法信息存入目标数据表，得到应用服务清单；对于应用服务清单中的任一请求方法，构建该请求方法包括的url路径与该请求方法对应的请求方法权限间的第一关联关系，得到该请求方法对应的第一关联关系；获取多个请求方法权限与相应角色间的第二关联关系；基于每个请求方法对应的第一关联关系以及第二关联关系，分别构建每个请求方法包括的url路径与第二关联关系中相匹配的角色之间的第一映射关系，并将第一映射关系存入目标数据库。能够快速、高效、准确的构建针对所有应用系统的方法级权限控制。
158.在一个可选的实施例中，如图9所示，图9是本发明实施例公开的又一种方法级权限的构建装置的结构示意图。该方法级权限的构建装置还包括：第三关联模块805、第二映射模块806，其中：
159.第三关联模块805，用于对于应用服务清单中的任一请求方法，确定该请求方法包括的url路径所属的url模式，建立该请求方法包括的url路径与相应url模式间的第三关联关系，得到该请求方法对应的第三关联关系。
160.本发明实施例中，可选的，业务系统可以基于应用服务清单做系统分析得到至少一个url模式(url pattern)。例如通过智能算法或人工分析的方法，对应该服务清单进行分析，确定出多个url pattern，其中，每个url pattern代表可以操作的资源集合。根据请求方法包括的url路径确定相应的url模式，建立该请求方法包括的url路径与相应url模式间的关联关系。在该实施例中，一个请求方法包括的url路径可以对应一个url模式，也可以对应多个url模式。
161.本发明实施例中，可选的，第三关联模块805包括：分析子模块8051、第一确定子模块8052、第二确定子模块8053。
162.分析子模块8051，用于分析应用服务清单，得到至少一个url模式。
163.进一步可选的，分析子模块8051分析应用服务清单，得到至少一个url模式的方式具体包括：
164.获取应用服务清单中的所有请求方法包括的url路径。
165.分析并提取所有url路径的特征值，得到第一特征值集合。
166.合并第一特征值集合中相同的特征值，得到第二特征值集合。
167.确定第二特征值集合中每个特征值对应的url模式。
168.第一确定子模块8052，用于对于应用服务清单中的任一请求方法包括的url路径，分析该请求方法包括的url路径，确定该请求方法包括的url路径中包含的特征值。
169.本发明实施例中，请求方法包括的url路径中包含一个或多个特征值。
170.第二确定子模块8053，用于根据任一请求方法包括的url路径中包含的特征值，确定该请求方法包括的url路径所属的url模式。
171.本发明实施例中，根据请求方法包括的url路径中包含一个或多个特征值确定该请求方法包括的url路径所属的一个或多个url模式。
172.第二映射模块806，用于基于每个请求方法包括的url路径与第二关联关系中相匹配的角色之间的第一映射关系以及每个请求方法对应的第三关联关系，构建第三关联关系中的url模式与第二关联关系中相匹配的角色之间的第二映射关系，并将第二映射关系存入目标数据库。
173.可见，该可选的实施例能够创建url pattern与角色间的映射关系，实现针对所有
应用系统的方法级权限控制。
174.在一个可选的实施例中，如图10所示，图10是本发明实施例公开的又一种方法级权限的构建装置的结构示意图，该方法级权限的构建装置还包括检测模块807、角色确定模块808、角色查找模块809、判断模块810，其中：
175.检测模块807，用于检测用户发送的操作请求，操作请求包括用户基础信息以及目标url路径。
176.本发明实施例中，进一步可选的，该装置还包括：构建模块811、拦截模块812。其中：
177.构建模块811，用于构建请求拦截器。
178.拦截模块812，用于检测用户发送的操作请求之后，通过请求拦截器对操作请求进行拦截，当拦截成功时，解析操作请求，得到操作请求所包括的用户基础信息，并基于filtersecurity过滤器提取操作请求中的目标url路径。
179.本发明实施例中，filtersecurity过滤器，该类的主要功能就是提取当前请求包括的url路径。
180.角色确定模块808，用于根据用户基础信息确定用户角色，用户角色为一个或多个。其中，用户基础信息包括目标用户标识。
181.本发明实施例中，可选的，角色确定模块808根据用户基础信息确定用户角色，具体包括：获取预设的用户标识与角色间的第四关联关系；基于第四关联关系，确定目标用户标识对应的用户角色。
182.在该实施例中，一个用户可以对应一个角色，也可以对应多个角色。同样的，一个角色可以对应一个用户，也可以对应多个用户。
183.角色查找模块809，用于根据目标url路径，在目标数据库中查找与目标url路径对应的角色。
184.在该实施例中，根据过滤器提取出的目标url路径，在存储有第一映射关系和第二映射关系的目标数据库中直接查找与目标url路径对应的一个或多个角色。或者，在存储有第一映射关系和第二映射关系的目标数据库中，先获取与目标url路径对应url模式，再根据确定出的url模式查找对应的一个或多个角色。
185.判断模块810，用于判断用户角色中是否存在目标url路径对应的角色；若用户角色中存在目标url路径对应的角色，则执行用户发送的操作请求对应的操作；若用户角色中不存在目标url路径对应的角色，则提示用户无操作权限。
186.可见，实施图10所描述的基于方法级权限的构建方法，通过构建方法级权限授权规则，获取用户的操作请求，根据用户的操作请求提取出操作请求包含的用户角色与目标url路径，根据目标url路径所需的角色权限与用户拥有的角色权限，实现对操作请求中请求的方法进行授权。能够快速、高效、准确的构建针对所有应用系统的方法级权限控制。
187.实施例四
188.请参阅图11，图11是本发明实施例公开的另一种方法级权限的构建装置的结构示意图。如图11所示，该方法级权限的构建装置可以包括：
189.存储有可执行程序代码的存储器1101；
190.与存储器1101耦合的处理器1102；
191.处理器1102调用存储器1101中存储的可执行程序代码，执行本发明实施例一或本发明实施例二所描述的方法级权限的构建方法中的步骤。
192.实施例五
193.本发明实施例公开了一种计算机可存储介质，该计算机存储介质存储有计算机指令，该计算机指令被调用时，用于执行本发明实施例一或本发明实施例二所描述的方法级权限的构建方法中的步骤。
194.实施例六
195.本发明实施例公开了一种计算机程序产品，该计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质，且该计算机程序可操作来使计算机执行实施例一或实施例二中所描述的方法级权限的构建方法中的步骤。
196.以上所描述的装置实施例仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
197.通过以上的实施例的具体描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中,存储介质包括只读存储器(read-only memory，rom)、随机存储器(random access memory，ram)、可编程只读存储器(programmable read-only memory，prom)、可擦除可编程只读存储器(erasable programmable read only memory，eprom)、一次可编程只读存储器(one-time programmable read-only memory，otprom)、电子抹除式可复写只读存储器(electrically-erasable programmable read-only memory，eeprom)、只读光盘(compact disc read-only memory，cd-rom)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
198.最后应说明的是：本发明实施例公开的一种方法级权限的构建方法及装置所揭露的仅为本发明较佳实施例而已，仅用于说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解；其依然可以对前述各项实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或替换，并不使相应的技术方案的本质脱离本发明各项实施例技术方案的精神和范围。