本发明专利技术公开了跨租户授权方法、装置、计算机设备及存储介质。基于RBAC模型设计的功能权限和数据权限控制系统,包括:获取用户a的用户信息,当前操作用户身份为租户A的用户a;获取可切换租户列表;向租户B切换;以当前用户b的身份进行业务操作;恢复租户A的用户a;以当前用户a的身份进行业务操作。通过实施本发明专利技术方法可针对多租户系统中有完整数据隔离的系统,在满足安全机制前提下进行可控的跨租户操作授权,满足多种实际业务场景的需要。租户间的授权切换不需要将授权方的用户账户提供给被授权方,只需要由被授权方指定的人员完成其身份认证即可,数据完全保持在授权方的控制下,过程安全可控。
Cross tenant authorization methods, devices, computer equipment and storage media
【技术实现步骤摘要】
跨租户授权方法、装置、计算机设备及存储介质
本专利技术涉及网络安全
,尤其涉及一种跨租户授权方法、装置、计算机设备及存储介质。
技术介绍
目前,在SaaS,PaaS以及其他类型的多用户信息系统中,为了保障各用户的数据安全性和独立性,通常采用多租户(用户企业)的形式控制系统中的数据访问,除公共数据和共享数据外,用户只能访问明确归属于当前租户的数据内容,以达到程序逻辑的统一和客户数据相对隔离的目的,格力的方式包括数据属性(如数据表特定字段)隔离和专属数据源(不同用户或指定用户使用专属数据源)隔离等多种方法。但是存在的问题是,在实际应用场景中,存在跨租户(用户企业)访问的实际需求,以达到临时授权,业务操作委托等业务的操作需要。这种跨租户(用户企业)的授权需要严格满足授权控制的安全标准,同时双向可控,操作过程和结果可跟踪,同时不能改变系统的数据权限控制方式和原则。操作授权便捷可控、可信任可追溯、逻辑无缺陷,对系统安全不会造成损害,不会影响系统的数据控制和权限控制逻辑,这是解决跨租户授权需要面临的问题的难点。公开于该
技术介绍
部分的信息仅仅旨在加深对本专利技术的总体
技术介绍
的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。
技术实现思路
本专利技术实施例提供了一种跨租户授权方法、装置、计算机设备及存储介质,基于现有的RBAC模型设计的功能权限和数据权限控制系统的基础上,旨在解决现有的跨租户授权中存在的问题。第一方面,本专利技术实施例提供了一种跨租户授权的方法,基于RBAC模型设计的功能权限和数据权限控制系统,所述跨租户授权的方法包括:获取用户a的用户信息,当前操作用户身份为租户A的用户a;获取可切换租户列表;向租户B切换;以当前用户b的身份进行业务操作;恢复租户A的用户a;以当前用户a的身份进行业务操作。其进一步技术方案为,所述步骤向租户B切换包括:验证是否存在有效的租户B的用户b给用户a的授权;获取用户b的用户信息;将用户a的可切换租户列表附加到用户信息;将用户信息覆盖到当前会话用户,当前用户名称为用户b+用户a。其进一步技术方案为,所述步骤恢复租户A的用户a包括:验证是否存在有效的租户B的用户b给用户a的授权;获取用户a的用户信息;将用户信息覆盖到当前会话用户,当前用户名称为用户a。其进一步技术方案为,所述步骤将用户a的可切换租户列表附加到用户信息中根据授权信息中指定的租户B的操作身份用户b为免密码登录,保持原会话。其进一步技术方案为,所述步骤将用户信息覆盖到当前会话用户,当前用户名称为用户b+用户a中还包括用于继续向其他租户进行切换。第二方面,本专利技术实施例还提供了一种跨租户授权装置,其包括:原始获取模块,用于获取用户a的用户信息;列表获取模块,用于获取可切换租户列表;租户切换模块,用于向租户B切换;业务操作模块,用于以当前用户b的身份进行业务操作;租户恢复模块,用于恢复租户A的用户a;业务操作模块,用于以当前用户a的身份进行业务操作。第三方面,本专利技术实施例还提供了一种计算机设备,其包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法。第四方面,本专利技术实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时可实现上述方法。本专利技术实施例提供了一种跨租户授权方法、装置、计算机设备及存储介质。其中,所述方法包括:租户A的用户a使用账号密码登陆系统;获取用户a的用户信息,当前操作用户身份为租户A的用户a;获取可切换的租户列表;切换租户B;确定当前操作用户身份为租户B的用户b;恢复原始租户身份;确定当前操作身份为租户A的用户a。本专利技术实施例由于针对多租户系统中有完整数据隔离的系统,在满足安全机制和前提下,进行可控的跨租户操作授权,满足多种实际业务场景的需要,此方法同时适用于单系统和基于同一OAuth2.0协议认证的多个系统。租户间的授权切换,不需要将授权方的用户账户提供给被授权方,只需要由被授权方指定的人员完成其身份认证即可,且实际操作过程有清晰的区分和标记,数据完全保持在授权方的控制下,过程安全可控。下面结合附图和具体实施例对本专利技术作进一步描述。附图说明为了更清楚地说明本专利技术实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的跨租户授权方法的流程示意图;图2为本专利技术实施例提供的跨租户授权方法的子流程示意图;图3为本专利技术实施例提供的跨租户授权方法的子流程示意图;图4为本专利技术实施例提供的跨租户授权装置的示意性框图;以及图5为本专利技术实施例提供的计算机设备的示意性框图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。还应当理解,在此本专利技术说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本专利技术。如在本专利技术说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。还应当进一步理解,在本专利技术说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。请参阅图1,图1是本专利技术实施例提供的跨租户授权方法的流程示意图。如图所示,该方法包括以下步骤S110-180。步骤S120:获取用户a的用户信息,当前操作用户身份为租户A的用户a;步骤S130:获取可切换租户列表;步骤S140:向租户B切换,即用户发起向租户B的切换请求;步骤S150:以当前用户b的身份进行业务操作;步骤S160:恢复租户A的用户a,即当用户需要恢复原始身份时,用户可向后台发起返回租户A用户a的切换请求;步骤S180:以当前用户a的身份进行业务操作。在一实施例中,如图2所示,所述步骤S140可包括步骤S141-S144。步骤S141:验证是否存在有效的租户B的用户b给用户a的授权,即后台检查租户本文档来自技高网...
【技术保护点】
1.一种跨租户授权的方法,其特征在于,基于RBAC模型设计的功能权限和数据权限控制系统,所述跨租户授权的方法包括:/n获取用户a的用户信息,当前操作用户身份为租户A的用户a;/n获取可切换租户列表;/n向租户B切换;/n以当前用户b的身份进行业务操作;/n恢复租户A的用户a;/n以当前用户a的身份进行业务操作。/n
【技术特征摘要】
1.一种跨租户授权的方法,其特征在于,基于RBAC模型设计的功能权限和数据权限控制系统,所述跨租户授权的方法包括:
获取用户a的用户信息,当前操作用户身份为租户A的用户a;
获取可切换租户列表;
向租户B切换;
以当前用户b的身份进行业务操作;
恢复租户A的用户a;
以当前用户a的身份进行业务操作。
2.根据权利要求1所述的跨租户授权的方法,其特征在于,所述步骤向租户B切换包括:
验证是否存在有效的租户B的用户b给用户a的授权;
获取用户b的用户信息;
将用户a的可切换租户列表附加到用户信息;
将用户信息覆盖到当前会话用户,当前用户名称为用户b+用户a。
3.根据权利要求1所述的跨租户授权的方法,其特征在于,所述步骤恢复租户A的用户a包括:
验证是否存在有效的租户B的用户b给用户a的授权;
获取用户a的用户信息;
将用户信息覆盖到当前会话用户,当前用户名称为用户a。
4.根据权利要求2所述的跨租户授权的方法,其特征在于,所述步骤将用户a的可切换租...
【专利技术属性】
技术研发人员:曾玄杰,陈嘉嘉,李云强,徐祥林,
申请(专利权)人:深圳市泰洲科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。