跨系统的权限管理方法、装置、电子设备和存储介质与流程

技术特征：
1.一种跨系统的权限管理方法，其特征在于，包括：接收用户的业务请求，所述业务请求中包括所述用户构建的请求参数和能力信息，其中，所述能力信息用于记载所述用户分别对当前系统和外部系统授权执行的权限；根据所述请求参数和能力信息处理所述业务请求；响应于处理所述业务请求过程中对所述外部系统的调用需求，将生成的调用请求发送至所述外部系统，其中，所述调用请求中包括所述能力信息；接收所述外部系统根据所述能力信息对所述调用请求进行处理的返回结果，并根据所述返回结果完成对所述业务请求的处理。2.根据权利要求1所述的方法，其特征在于，所述能力信息中包括用户标识、权限内容和用户对所述权限内容的签名；其中，所述权限内容中包括所述当前系统和外部系统各自对应的系统标识、权限编号列表、token以及根据所述系统标识、权限编号列表和token计算出的哈希值。3.根据权利要求2所述的方法，其特征在于，所述对所述权限内容的签名是利用所述用户的私钥，对所述权限内容中所述当前系统和外部系统各自对应的哈希值的拼接字符串计算得到。4.根据权利要求2所述的方法，其特征在于，在处理所述业务请求之前，所述方法还包括：获取所述用户标识对应的公钥，并利用所述公钥对所述签名进行验签。5.根据权利要求4所述的方法，其特征在于，所述利用所述公钥对所述签名进行验签，包括：根据所述签名和公钥计算所述权限内容的第一哈希值；将所述权限内容中所述当前系统和外部系统各自对应的哈希值进行拼接，得到拼接字符串，并根据所述拼接字符串计算第二哈希值；比较所述第一哈希值和第二哈希值，如果比较结果为相等，则验签通过。6.根据权利要求2所述的方法，其特征在于，在处理所述业务请求之前，所述方法还包括：根据所述能力信息的权限内容中所述当前系统的系统标识、权限编号列表和token计算出第三哈希值；比较所述第三哈希值和所述能力信息的权限内容中所述当前系统对应的哈希值是否相等，并根据比较结果确定所述能力信息是否被篡改。7.根据权利要求2所述的方法，其特征在于，在处理所述业务请求之前，所述方法还包括：将所述能力信息的权限内容中所述当前系统对应的token，在所述当前系统的token管理信息中进行匹配；根据所述匹配的结果，确定所述权限内容中的token是否失效，以及与所述用户标识是否相对应。8.根据权利要求2所述的方法，其特征在于，在处理所述业务请求之前，所述方法还包括：获取当前系统存储的所述用户标识对应的系统配置权限；
将所述能力信息的权限内容中所述当前系统对应的权限编号列表，与所述系统配置权限进行比对；如果所述权限编号列表中出现所述系统配置权限中不存在的权限编号，则报错。9.根据权利要求1所述的方法，其特征在于，所述能力信息为json格式。10.一种跨系统的权限管理装置，其特征在于，包括：业务请求接收模块，用于接收用户的业务请求，所述业务请求中包括所述用户构建的请求参数和能力信息，其中，所述能力信息用于记载所述用户分别对当前系统和外部系统授权执行的权限；业务请求处理模块，用于根据所述请求参数和能力信息处理所述业务请求；调用请求发送模块，用于响应于处理所述业务请求过程中对所述外部系统的调用需求，将生成的调用请求发送至所述外部系统，其中，所述调用请求中包括所述能力信息；所述业务请求处理模块，还用于接收所述外部系统根据所述能力信息对所述调用请求进行处理的返回结果，并根据所述返回结果完成对所述业务请求的处理。11.根据权利要求10所述的装置，其特征在于，所述能力信息中包括用户标识、权限内容和用户对所述权限内容的签名；其中，所述权限内容中包括所述当前系统和外部系统各自对应的系统标识、权限编号列表、token以及根据所述系统标识、权限编号列表和token计算出的哈希值。12.根据权利要求11所述的装置，其特征在于，所述装置还包括：签名验签模块，用于在所述业务请求处理模块处理所述业务请求之前，获取所述用户标识对应的公钥，并利用所述公钥对所述签名进行验签。13.根据权利要求11所述的装置，其特征在于，所述装置还包括：能力信息验证模块，用于在所述业务请求处理模块处理所述业务请求之前，执行如下操作：根据所述能力信息的权限内容中所述当前系统的系统标识、权限编号列表和token计算出第三哈希值；比较所述第三哈希值和所述能力信息的权限内容中所述当前系统对应的哈希值是否相等，并根据比较结果确定所述能力信息是否被篡改。14.根据权利要求11所述的装置，其特征在于，所述装置还包括：凭证校验模块，用于在所述业务请求处理模块处理所述业务请求之前，执行如下操作：将所述能力信息的权限内容中所述当前系统对应的token，在所述当前系统的token管理信息中进行匹配；根据所述匹配的结果，确定所述权限内容中的token是否失效，以及与所述用户标识是否相对应。15.根据权利要求11所述的装置，其特征在于，所述装置还包括：能力校验模块，用于在所述业务请求处理模块处理所述业务请求之前，执行如下操作：获取当前系统存储的所述用户标识对应的系统配置权限；将所述能力信息的权限内容中所述当前系统对应的权限编号列表，与所述系统配置权限进行比对；如果所述权限编号列表中出现所述系统配置权限中不存在的权限编号，则报错。
16.一种电子设备，其特征在于，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如权利要求1-9中任一所述的跨系统的权限管理方法。17.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-9中任一所述的跨系统的权限管理方法。

技术总结
本申请公开了一种跨系统的权限管理方法、装置、电子设备和存储介质，涉及移动互联技术领域。方法包括：接收用户的业务请求，业务请求中包括用户构建的请求参数和能力信息，其中，能力信息用于记载用户分别对当前系统和外部系统授权执行的权限；根据请求参数和能力信息处理业务请求；响应于处理业务请求过程中对外部系统的调用需求，将生成的调用请求发送至外部系统，其中，调用请求中包括能力信息；接收外部系统根据能力信息对调用请求进行处理的返回结果，并根据返回结果完成对业务请求的处理。本申请通过在请求中附加能力信息，并使其在服务调用链中能被跨系统传递，能够实现为每个请求附加更细粒度的权限控制，提高了跨系统授权访问的安全性。授权访问的安全性。授权访问的安全性。


技术研发人员：林子杰
受保护的技术使用者：中国建设银行股份有限公司
技术研发日：2021.10.28
技术公布日：2022/2/6