一种Web应用权限管理方法、系统、设备及存储介质与流程

本发明涉及web权限管理技术领域，具体涉及一种web应用权限管理方法、系统、设备及存储介质。

背景技术：

web是一种基于超文本和http的、全球性的、动态交互的、跨平台的分布式图形信息系统，是建立在internet上的一种网络服务，为浏览者在internet上查找和浏览信息提供了图形化的、易于访问的直观界面，其中的文档及超级链接将internet上的信息节点组织成一个互为关联的网状结构。web应用管理包括web权限管理。

传统的web权限管理在操作和控制上还存在着一些显著的问题：一、基于浏览器实现的传统权限系统管理无独立的权限信息交流通道，权限信息、业务信息、认证信息均使用相同的通道完成请求、响应；二、基于浏览器实现的传统权限系统管理都是将账户认证作为了唯一的前提，权限本身并没有任何安全保护，可以轻松获得；三、基于浏览器实现的传统权限系统管理都是基于点对点的认证请求响应模式，无可信任的授信端进行干预，同样导致了权限的不可信。四、基于浏览器实现的传统权限系统管理都是基于管理员的acl权限配置模式，没办法做到在业务场景下进行权限的控制，加大了使用难度。

技术实现要素：

针对现有技术存在的不足，本发明提供了一种web应用权限管理方法、系统、设备及存储介质，其应用时，可以在web业务场景下实现业务权限的单独控制，提高了权限管理的安全性和高效性。

第一方面，本发明提供一种web应用权限管理方法，包括：

接收用户端发起的创建权限通信信道的请求；

获取用户端的认证信息，根据认证信息对用户端进行权限认证；

认证通过后，建立与用户端对接的权限通信信道；

接收用户端通过权限通信信道发送的权限修订请求，并将权限修订请求发送至授信设备端；

接收授信设备端的授信结果，并根据授信结果对用户端进行相应权限授权。

基于上述发明内容，通过构建专门的权限通信信道可以在不脱离用户端web业务场景的同时实现业务权限控制，且使web的权限管理作为一种独立服务，提高了权限管理的安全性和高效性，同时通过授信设备端的授信干预，有效提高了web应用权限管理的可信度。

在一个可能的设计中，在接收用户端发起的创建权限通信信道的请求之前，所述方法还包括：

获取用户端的身份信息；

根据用户端的身份信息对用户端进行身份认证。

在一个可能的设计中，所述认证信息包括用户端信道tickets、用户端的sessionid及对应密钥，所述获取用户端的认证信息，根据认证信息对用户端进行权限认证，包括：获取用户端信道tickets、用户端的sessionid及对应密钥，利用用户端的sessionid及对应密钥来对用户端信道tickets进行认证。

在一个可能的设计中，所述建立与用户端对接的权限通信信道，包括：使用认证后的信道tickets作为信道标记，并根据标签传播算法构建用户端、信道tickets和sessionid的对应关系，形成权限通信信道。

在一个可能的设计中，所述建立与用户端对接的权限通信信道，包括：获取用户端标记和随机id，将用户端标记+随机id作为信道标记，并根据标签传播算法构建用户端、信道tickets和sessionid的对应关系，形成权限通信信道。

在一个可能的设计中，所述权限修订请求包括业务权限修订请求和/或成员权限修订请求。

第二方面，本发明提供一种web应用权限管理系统，包括：

接收单元，用于接收用户端发起的创建权限通信信道的请求；

第一认证单元，用于获取用户端的认证信息，根据认证信息对用户端进行权限认证；

构建单元，用于在认证通过后，建立与用户端对接的权限通信信道；

转送单元，用于接收用户端通过权限通信信道发送的权限修订请求，并将权限修订请求发送至授信设备端；

授权单元，用于接收授信设备端的授信结果，并根据授信结果对用户端进行相应权限授权。

在一个可能的设计中，所述系统还包括：

获取单元，用于获取用户端的身份信息；

第二认证单元，用于根据用户端的身份信息对用户端进行身份认证。

第三方面，本发明提供一种计算机设备，包括：

存储器，用于存储指令；

处理器，用于读取所述存储器中存储的指令，并根据指令执行第一方面中任意一种所述的方法。

第四方面，本发明提供一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行第一方面中任意一种所述的方法。

第五方面，本发明提供一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使所述计算机执行上述第一方面中任意一种所述的方法。

本发明的有益效果为：

本发明通过构建专门的权限通信信道可以在不脱离用户端web业务场景的同时实现业务权限控制，且使web的权限管理作为一种独立服务，提高了权限管理的安全性和高效性，同时通过授信设备端的授信干预，有效提高了web应用权限管理的可信度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的方法流程示意图；

图2为本发明的系统结构示意图；

图3为本发明的计算机设备结构示意图。

具体实施方式

下面结合附图及具体实施例对本发明作进一步阐述。在此需要说明的是，对于这些实施例方式的说明用于帮助理解本发明，但并不构成对本发明的限定。本文公开的特定结构和功能细节仅用于描述本发明的示例实施例。然而，可用很多备选的形式来体现本发明，并且不应当理解为本发明限制在本文阐述的实施例中。

应当理解，术语第一、第二等仅用于区分描述，而不能理解为指示或暗示相对重要性。尽管本文可以使用术语第一、第二等等来描述各种单元，这些单元不应当受到这些术语的限制。这些术语仅用于区分一个单元和另一个单元。例如可以将第一单元称作第二单元，并且类似地可以将第二单元称作第一单元，同时不脱离本发明的示例实施例的范围。

应当理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，单独存在b，同时存在a和b三种情况，本文中术语“/和”是描述另一种关联对象关系，表示可以存在两种关系，例如，a/和b，可以表示：单独存在a，单独存在a和b两种情况，另外，本文中字符“/”，一般表示前后关联对象是一种“或”关系。

应当理解，在本发明的描述中，术语“上”、“竖直”、“内”、“外”等指示的方位或位置关系，是该发明产品使用时惯常摆放的方位或位置关系，或者是本领域技术人员惯常理解的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

应当理解，当将单元称作与另一个单元“连接”、“相连”或“耦合”时，它可以与另一个单元直相连接或耦合，或中间单元可以存在。相対地，当将单元称作与另一个单元“直接相连”或“直接耦合”时，不存在中间单元。应当以类似方式来解释用于描述单元之间的关系的其他单词（例如，“在……之间”对“直接在……之间”，“相邻”对“直接相邻”等等）。

在本发明的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设置”、“安装”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

本文使用的术语仅用于描述特定实施例，并且不意在限制本发明的示例实施例。如本文所使用的，单数形式“一”、“一个”以及“该”意在包括复数形式，除非上下文明确指示相反意思。还应当理解术语“包括”、“包括了”、“包含”、和/或“包含了”当在本文中使用时，指定所声明的特征、整数、步骤、操作、单元和/或组件的存在性，并且不排除一个或多个其他特征、数量、步骤、操作、单元、组件和/或他们的组合存在性或增加。

还应当注意到在一些备选实施例中，所出现的功能/动作可能与附图出现的顺序不同。例如，取决于所涉及的功能/动作，实际上可以实质上并发地执行，或者有时可以以相反的顺序来执行连续示出的两个图。

在下面的描述中提供了特定的细节，以便于对示例实施例的完全理解。然而，本领域普通技术人员应当理解可以在没有这些特定细节的情况下实现示例实施例。例如可以在框图中示出系统，以避免用不必要的细节来使得示例不清楚。在其他实施例中，可以不以非必要的细节来示出众所周知的过程、结构和技术，以避免使得示例实施例不清楚。

实施例1：

本实施例提供一种web应用权限管理方法，如图1所示，包括以下步骤：

s101.接收用户端发起的创建权限通信信道的请求。

在接收用户端发起的创建权限通信信道的请求之前，可先获取用户端的身份信息，然后根据用户端的身份信息对用户端进行身份认证，身份认证作为权限信道创建的前置条件，该前置条件可作为可选择项目存在。如果完成了用户身份认证，那么后续创建权限通信信道的时候里面含有用户端身份信息，如果没有用户端身份信息，那么可获取随机的id+客户端标记来作为后续创建权限通信信道的信道标记。

s102.获取用户端的认证信息，根据认证信息对用户端进行权限认证。

所述认证信息包括用户端信道tickets、用户端的sessionid及对应密钥，所述获取用户端的认证信息，根据认证信息对用户端进行权限认证的过程包括：获取用户端信道tickets、用户端的sessionid及对应密钥，利用用户端的sessionid及对应密钥来对用户端信道tickets进行认证。

s103.认证通过后，建立与用户端对接的权限通信信道。

所述建立与用户端对接的权限通信信道的过程包括：使用认证后的信道tickets作为信道标记，并根据标签传播算法构建用户端、信道tickets和sessionid的对应关系，形成权限通信信道。或者获取用户端标记和随机id，将用户端标记+随机id作为信道标记，并根据标签传播算法构建用户端、信道tickets和sessionid的对应关系，形成权限通信信道。

标签传播算法如下：

令(x1，y1)…(xl，yl)是已标注数据，yl={y1…yl}∈{1…c}是类别标签，类别数c已知，且均存在于标签数据中。令(xl+1，yl+1)…(xl+u，yl+u)为未标注数据，yu={yl+1…yl+u}不可观测，l远小于u，令数据集x={x1…xl+u}∈r。问题转换为:从数据集x中，利用yl的学习，为未标注数据集yu的每个数据找到对应的标签。

将所有数据作为节点(包括已标注和未标注数据)，创建一个完全连接图，其边的权重计算式如下：

其中:dij表示任意两个节点的欧氏距离，权重wij受控于参数σ。

为衡量一个节点的标注通过边传播到其他节点的概率，在此定义一个(l+u)×(l+u)概率传递矩阵t如下所示：

其中：tij是节点j到i的传播概率。

标签传播算法描述如下：

步骤1、所有节点向下一节点传播标签；

步骤2、行标准化矩阵来维持类别的概率；

步骤3、夹逼标注数据，重复步骤2直到行标准化矩阵收敛。

s104.接收用户端通过权限通信信道发送的权限修订请求，并将权限修订请求发送至授信设备端。

有权限的用户端进入相应web页面，可以在页面插件上看到该页面对应的权限控制信息及操作、使用记录信息；并可对自己权限范围的该页面功能、成员进行权限修订，以满足业务需要。

s105.接收授信设备端的授信结果，并根据授信结果对用户端进行相应权限授权。

用户端在相应的业务界面发送权限修订请求后，权限的生效与否需要相应的管理人员在授信设备端进行确认，这样就确保了权限授予的可信度，保障了带外的授权生效模式。

实施例2：

本实施例提供一种web应用权限管理系统，如图2所示，包括：

接收单元，用于接收用户端发起的创建权限通信信道的请求；

第一认证单元，用于获取用户端的认证信息，根据认证信息对用户端进行权限认证；

构建单元，用于在认证通过后，建立与用户端对接的权限通信信道；

转送单元，用于接收用户端通过权限通信信道发送的权限修订请求，并将权限修订请求发送至授信设备端；

授权单元，用于接收授信设备端的授信结果，并根据授信结果对用户端进行相应权限授权。

在一个可能的设计中，所述系统还包括：

获取单元，用于获取用户端的身份信息；

第二认证单元，用于根据用户端的身份信息对用户端进行身份认证。

在一个可能的设计中，所述认证信息包括用户端信道tickets、用户端的sessionid及对应密钥，所述第一认证单元在获取用户端的认证信息，根据认证信息对用户端进行权限认证时，具体用于：获取用户端信道tickets、用户端的sessionid及对应密钥，利用用户端的sessionid及对应密钥来对用户端信道tickets进行认证。

在一个可能的设计中，所述构建单元在建立与用户端对接的权限通信信道时，具体用于：使用认证后的信道tickets作为信道标记，并根据标签传播算法构建用户端、信道tickets和sessionid的对应关系，形成权限通信信道。或者获取用户端标记和随机id，将用户端标记+随机id作为信道标记，并根据标签传播算法构建用户端、信道tickets和sessionid的对应关系，形成权限通信信道。

实施例3：

本实施例提供一种计算机设备，如图3所示，包括：

存储器，用于存储指令；

处理器，用于读取所述存储器中存储的指令，并根据指令执行实施例1中所述的web应用权限管理方法。

所述存储器可以但不限于包括随机存取存储器（randomaccessmemory，ram）、只读存储器（readonlymemory,rom）、闪存（flashmemory）、先进先出存储器（firstinputfirstoutput,fifo）和/或先进后出存储器（firstinlastout,filo）等；所述处理器可以但不限于包括单片机、arm处理器等。

实施例4：

本实施例提供一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行实施例1中所述的web应用权限管理方法。其中，所述计算机可读存储介质是指存储数据的载体，可以但不限于包括软盘、光盘、硬盘、闪存、优盘和/或记忆棒（memorystick）等，所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。

实施例5：

本实施例提供一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使所述计算机执行实施例1中所述的web应用权限管理方法。其中，所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤，而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照实施例的方法、装置、设备和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明不局限于上述可选的实施方式，任何人在本发明的启示下都可得出其他各种形式的产品。上述具体实施方式不应理解成对本发明的保护范围的限制，本发明的保护范围应当以权利要求书中界定的为准，并且说明书可以用于解释权利要求书。