[发明专利]一种基于角色权限控制的鉴权方法

权利要求书

1.一种基于角色权限控制的鉴权方法，其特征在于，包括以下步骤：

S1、在为用户分配角色时定义出与角色适配的数据范围；

S2、获取用户的所有角色并确定不同角色所对应的数据范围及鉴权信息；

S3、接收用户发起的访问请求，并仅在用户发起的访问请求中所包含的当前角色所对应的数据范围与鉴权信息所对应的数据范围匹配时，响应用户发起的访问请求。

2.根据权利要求1所述的鉴权方法，其特征在于，所述步骤S2还包括：对不同角色所对应的鉴权信息执行缓存操作，所述鉴权信息被保存至存储介质中。

3.根据权利要求2所述的鉴权方法，其特征在于，所述步骤S2还包括：判断是否存在与不同角色所对应的鉴权信息；

若是，则直接调用被执行缓存操作所对应的鉴权信息；

若否，则为用户从新定义角色所对应的数据范围及鉴权信息。

4.根据权利要求2所述的鉴权方法，其特征在于，所述存储介质为Redis缓存、数据中心、数据库、内存、文件系统、分布式存储系统、机械磁盘或者闪存。

5.根据权利要求1至4中任一项所述的鉴权方法，其特征在于，所述角色适配的数据范围包括：角色所对应的数据操作类型及角色所对应的数据范围的实例集；其中，

所述数据操作类型包括：Query请求或者Command请求；

所述数据范围的实例集包括：Self数据范围的实例集、Project数据范围的实例集、Vdc数据范围的实例集或者Syetem数据范围的实例集。

6.根据权利要求1所述的鉴权方法，其特征在于，所述步骤S3中的“接收用户发起的访问请求”具体为：

判断用户发起的访问请求的类型并确定用户属性集合；

根据用户发起的访问请求的类型查询API定义，以通过查询到的API定义确定用户发起的访问请求中所包含的当前角色所对应的数据范围。

7.根据权利要求6所述的鉴权方法，其特征在于，所述用户属性集合由用户类型、用户ID、用户名称、用户隶属关系中的一种或者几种共同描述；

其中，所述用户类型区分为管理员、注册用户或者临时用户。

8.根据权利要求5所述的鉴权方法，其特征在于，所述步骤S3还包括：

根据用户发起的访问请求的类型所确定的API定义，获取计算数据范围的转化规则，计算数据范围实例ID，并判断角色所对应的数据操作类型；

当数据操作类型是Query请求时，判断访问请求所对应的数据范围中是否存在数据范围实例ID；

若是，则进一步判断访问请求中所包含的当前角色所对应的鉴权信息是否存在数据范围实例ID，若存在数据范围实例ID，则通过鉴权认证，若不存在数据范围实例ID，则拒绝鉴权认证；

若否，则从鉴权信息中获取当前角色所对应的数据范围实例ID；

当数据操作类型是Command请求时，判断访问请求所对应的鉴权信息中是否存在相互匹配的数据范围；

若否，则拒绝鉴权认证；

若是，则进一步判断访问请求是否存在数据范围实例ID，

若存在数据范围实例ID，则进一步判断鉴权信息所关联的数据操作类型是否与用户发起的访问请求所对应的数据范围实例ID相匹配，若是，则通过鉴权认证，若否，则拒绝鉴权认证；

若不存在数据范围实例ID，则拒绝鉴权认证。

9.根据权利要求8所述的鉴权方法，其特征在于，所述数据范围实例ID由Self数据范围ID、Project数据范围ID、Vdc数据范围ID或者Syetem数据范围ID中的一种或者几种共同描述。

10.根据权利要求8所述的鉴权方法，其特征在于，从鉴权信息中获取当前角色所对应的数据范围实例ID之后，还包括：对当前角色所对应的数据范围实例ID执行补充过滤数据范围实例条件参数。

11.根据权利要求8所述的鉴权方法，其特征在于，所述鉴权信息为令牌Token、HTTP摘要鉴权信息或者AKA鉴权信息。