基于多租户模式下的权限调度方法及调度系统

本发明实施例涉及通信技术领域，具体涉及一种基于多租户模式下的权限调度方法及调度系统。

在大型的组织架构中，权限调度是一项基础性的需求，对于一些需要临时、派遣或者耗时比较长的权限调度经常会被剥离出来单独处理，且还需要保留原有职位及权限职责，而随着权限调度的规模与复杂性的上升，权限调度服务框架需要具备可靠性及伸缩性，能够管理并监控任务的执行状态，提供稳定可靠的调度模式，以保证权限调度的正确执行。

当系统需要满足多组织架构的环境时，单组织架构的权限调度远远无法满足高并发和可扩展的需要。对于多组织架构的环境来说，多种类型权限调度必须要考虑调度申请方与调度接收方的权限部署情况，以及被调度的权限位于两个组织架构内的权限权限，导致数据混乱、资源权限混乱等情况的发生，因此需要一种能够兼顾多组织架构的权限调动且隔离各组织数据的技术。

为此，本发明实施例提供一种基于多租户模式下的权限调度方法及调度系统，以提供一种能够兼顾多组织架构的权限调动且隔离各组织数据的技术。

为了实现上述目的，本发明实施例提供如下技术方案：

本发明实施例具有如下优点：

一种基于多租户模式下的权限调度方法，包括以下步骤：

步骤S01、调度申请方发起权限调度请求给权限调度中心，所述权限调度请求包括调度申请方需要调配的应用权限集合、调度申请方的第一识别信息及调度接收方的第二识别信息；

步骤S02、权限调度中心分析应用权限集合，并针对应用权限集合进行权限调配，得到第一应用链接集；

步骤S03、权限调度中心将第一应用链接集的链接地址修改为权限调度中心的链接地址，得到第二应用链接集；

步骤S04、权限调度中心根据第二识别信息将第二应用链接集以消息的形式发送给调度接收方。

进一步的，将权限信息封装为权限单位，并配置对应的权限编号，存入系统权限数据库中；所述权限调度中心分析应用权限集合，并从系统权限数据库中调取对应的权限单元，并配置在一起，得到与权限单元关联的第一应用链接集。

进一步的，在生成第一应用链接集之前，权限调度中心根据第一识别信息与第二识别信息分别调取组织架构中调度申请方与调度接收方的位置信息，并根据二者的位置关系进行对权限调度请求的核实或审核，若核实通过或审核通过后，生成第一应用链接集。

进一步的，所述权限调度中心接收到权限调度请求后生成临时文件；若核实通过或审核通过后，权限调度中心将临时文件持久化到调度数据库中；若审核未通过，则权限调度中心删除该临时文件，向调度请求方反馈审核未通过的相关信息。

进一步的，所述调度接收方订阅第二应用链接集时，所述权限调度中心对订阅所述第二应用链接集的调度接收方进行审核，若审核通过，对审核通过的租户开放权限调度信息。

进一步的，若调度申请方使用第二应用链接集中的链接地址进入应用时，需要通过权限调度中心审核通过后，再转入与第二应用链接集对应的第一应用链接集的应用地址。

进一步的，若应用权限集合包含岗位单元内全部的权限单元，则可直接调取岗位单元；若应用权限集合包含岗位单元内部分的权限单元，则权限调度中心可创设新的岗位单元。

一种基于多租户模式下的权限调度系统，包括至少一个调度申请方、至少一个调度接收方、权限调度中心、组织架构管理模块及系统权限管理模块，所述权限调度中心分别连接调度申请方、调度接收方、组织架构管理模块及系统权限管理模块；所述权限调度中心设有消息列队、调度数据库及调度管理模块，所述调度管理模块分别连接消息列队与调度数据库，所述调度管理模块用于分析调度申请方发送的调度申请信息，从组织架构管理模块调取调度申请方与调度接收方之间的组织关系，并根据组织关系对调度申请信息进行审核或核准；或者用于根据调度申请信息从系统权限管理模块调取对应的权限单元，并生成第一应用链接集，再将第一应用链接集的地址信息修改为权限调度中心的链接地址，得到第二应用链接集，并以消息的方式将订阅信息发送给调度接收方。

进一步的，所述调度管理模块设有临时数据库。

本发明实施例所述的一种基于多租户模式下的权限调度方法及调度系统通过多租户基质的数据隔离功能结合消息基质灵活的数据传输功能，实现多组织之间多变的权限调动需求，在保证多组织数据隔离的情况下，实现被调动角在前后变化的两个系统中实现登录转换，以满足复杂的权限调动需求。具体的，其通过在多租户之间设置权限调度中心，权限调度中心以消息中间件为核心，通过消息机制，触发开放权限和订阅权限，并进行对开放权限的删、改、查管理。还能实现被调动的角在多租户之间的登录转换，并对该登录专利进行审核，经审核通过后方可进行登录转换，保证了数据的安全性。

为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其它的实施附图。

本说明书所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容得能涵盖的范围内。

图1为本发明实施例提供的一种基于多租户模式下的权限调度方法的方法流程图；

图2为图1的流程展开图；

图3为图2中权限调度中心审核或核实权限调度请求的流程展开图；

图4为本发明实施例提供的一种基于多租户模式下的权限调度系统的系统结构图。

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本技术从组织层、权限层和角层的三个维度对组织结构和角体系进行构建，即：组织层将组织信息封装为组织单元，组织单元包含组织的全部信息及组织配置的权限信息；所述权限层对权限进行分类细化且明确权限范围，并将功能上有逻辑关系的权限以集合的行使封装，得到权限单元，并配置对应的权限编号，存入系统权限数据库中；角层包含人员信息的集合，即角单元，角单元设有角识别信息。然后，根据实际情况将角单元与权限单元相关联，一个角至少对应一个权限；以及将组织单元与角单元相关联，形成组织结构及角体系模型。

如图1所示，本发明实施例所述的基于多租户模式下的权限调度方法，包括以下内容：

步骤S01、调度申请方发起权限调度请求给权限调度中心，所述权限调度请求包括调度申请方需要增设的应用权限集合、调度申请方的第一识别信息及调度接收方的第二识别信息。对于某些需要特定角配合的权限需求，如特定技术、特定人员，权限调度请求中还可包含推荐角信息。所述调度申请方与调度发起方均为组织层中的组织单元，所述调度申请方与调度接收方之间无论是上下级关系或平级关系，均落入本发明的保护范围之间。

步骤S02、权限调度中心分析应用权限集合，并针对应用权限集合进行权限调配，得到第一应用链接集。具体的，如图2所示，权限编号如A1,A2,A3.....A100。权限调度中心分析权限调度请求中应用权限集合所包含的权限编号，如15、16及28，则权限调度中心调取系统权限数据库中与权限编号15、16及28对应的权限单元A15、A16及A28，并配置在一起，得到包含权限单元A15、A16及A28的第一应用链接集。

为了使本技术与物理世界更加吻合，降低系统的理解难度及上手难度，将角层与权限层之间增加岗位层，岗位层是人员层和权限层之间的中间层，用于人员层与权限层的挂钩，解决了多对多的关联问题，提高了整体便利性。若应用权限集合中需要调取的权限单元满足某个岗位单元所包含的全部权限单元，则可直接调取所述岗位单元，便于使用者快速的获取变动权限的情况，以及数据的简化；若应用权限集合中需要调配的权限单元仅涉及岗位单元所包含的部分权限单元，则权限调度中心可创设新的岗位单元，便于之后的权限变动，形成权限配置的历史数据，为之后的智能化权限配置奠定了数据基础。岗位的设置能够提高权限的分配效率，即岗位为资源权限等级的集合，例如：公交车司机和小车司机虽然都属于司机的权限，但是两者的应聘条件和服务对象却是不同。

在生成第一应用链接集之前，权限调度中心根据第一识别信息与第二识别信息分别调取组织架构中调度申请方与调度接收方的位置信息，并根据二者的位置关系进行对权限调度请求的核实或审核，若核实通过或审核通过后，生成第一应用链接集。具体的，如图3所示，权限调度中心根据第一识别信息调取组织架构中的调度申请方的位置信息，根据第二识别信息调取组织架构中的调度接收方的位置信息，根据二者在组织架构中不同的位置关系，审核方法不同，具体如下：

若调度申请方的位置低于调度接收方的位置，即调度申请方为下级单位，调度接收方为上级单位，则权限调度中心将权限调度请求根据第二识别信息发送给调度接收方，调度接收方对权限调度请求进行审核，审核范围包括形式审核与实质审核，不仅审核信息是否全面，格式是否正确，还需要审核权限调度请求中具体调度的权限信息及相关人员信息；

若调度申请方的位置高于调度接收方的位置，即调度申请方为上级单位，调度接收方为下级单位，则权限调度中心对权限调度请求进行核实，核实范围仅限信息是否合规、完全等形式上的核实；

若调度申请方的位置与调度接收方的位置位于同级，即调度申请方与调度接收方为同级单位，则权限调度中心还会调取调度申请方与调度接收方的共同上级单位的地址信息，将权限调度请求发送给共同上级单位，共同上级单位对权限调度请求进行形式审核与实质审核。

所述权限调度中心刚接收到权限调度请求后生成临时文件，若核实通过或审核通过后，权限调度中心将临时文件持久化到调度数据库中；若审核未通过，则权限调度中心删除该临时文件，向调度请求方反馈审核未通过的相关信息。

步骤S03、权限调度中心将第一应用链接集的链接地址修改为权限调度中心的链接地址，得到第二应用链接集。本步骤中对应用链接集的地址重定向，即将被调度权限的系统地址关联到权限调度中心的地址，使被权限调度的角在应用新权限时需要先登录权限调度中心，权限调度中心进行权限审核，然后由权限调度中心将权限跳转到对应的链接，避免无关角得到第二应用链接后可洞悉调度接收方的资源信息或者其他内容的问题，提高权限调度的安全性。

步骤S04、权限调度中心根据第二识别信息将第二应用链接集以消息的形式发送给调度接收方。调度接收方订阅该第二应用链接集，权限调度中心对订阅所述第二应用链接集的调度接收方进行审核，审核方法为：审核所述调度接收方的组织识别信息是否与权限调度信息中第二识别信息是否相同，若相同，则审核通过，对审核通过的租户开放权限调度信息，这样可防止其他调度接收方重复订阅的问题，实现权限调配的针对性与准确性。

步骤S05、若调度申请方使用第二应用链接集中的链接地址进入应用，需要通过权限调度中心审核通过后，再转入第一应用链接集的应用地址。具体的，当调度申请方的角通过第二应用链接集登录应用时，需要先登录到权限调度中心，通过权限调度中心审核，审核方法为：登录角的角识别码与第二应用链接集关联的角识别码是否一致，若二者一致，则审核通过，若不一致，则不能登录。权限调度中心根据第二应用链接集调取关联的第一应用链接集，并根据第一应用链接集的地址响应调度申请方的登录，使调度申请方能够登录到被调配权限单元的系统位置。

步骤S06、权限调度中心对步骤S01-S05的操作均进行日志记录。

在实际工作中，经常因为突发状况需要进行岗位调配，即权限重组，用于满足当前突发状况的职能需求，这需要系统对权限配置的灵活性与准确性，本发明中包含至少1个调度申请方与调度接收方，调度申请方与调度接收方组成的多组织架构，配置权限调动中心，实现以多租户形式进行权限变动，权限调动中心以消息中间件为主要结构，实现数据传输的灵活性。

如图4所示，一种基于多租户模式下的临时权限调度系统，包括至少一个调度申请方1、至少一个调度接收方2及权限调度中心3，所述调度申请方1与调度接收方2均连接权限调度中心3。

所述权限调度中心3包括消息列队4，用于传输数据。

所述权限调度中心3包括调度数据库5，用于储存调度申请方与调度接收方的组织单元数据、应用权限集合、第一应用链接集、第二应用链接集角数据等。所述权限调度中心3还设有临时数据库6，用于储存权限调度中心接收到权限调度请求后生成的临时文件。

所述权限调度中心3设有调度管理模块7，所述调度管理模块7与组织架构管理模块8、系统权限管理模块9相连接，所述组织架构管理模块8设有组织架构数据库，所述系统权限管理模块9设有系统权限数据库。所述调度管理模块7用于分析权限调度请求，根据第一识别信息与第二识别信息从组织架构管理模块8内调取调度申请方与调度接收方的位置信息，并根据二者的位置信息进行对权限调度申请的审核或核准；所述调度管理模块7用于根据应用权限集合从系统权限管理模块9中调取对应的权限单元，并生成第一应用链接集，再将第一应用链接集的地址信息修改为权限调度中心的链接地址，得到第二应用链接集，并以消息的方式将订阅信息发送给调度接收方2；所述调度管理模块7对使用第二应用链接集中链接地址进入应用的调度接收方2进行审核，将审核通过的调度接收方2转入对应的应用地址。

虽然，上文中已经用一般性说明及具体实施例对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。