本申請實施例公開了一種多租戶權限控制方法和系統，所述方法包括：根據客戶端發送的用戶賬號信息判斷用戶的用戶類型，并將用戶類型令牌和用戶信息發送至所述客戶端，以使得用戶根據所述用戶信息進行操作；根據所述客戶端發送的用戶操作請求，調用多租戶權限控制模型在數據庫中判斷用戶的角色和租戶關系標識是否具有操作標識的權限，并將判斷結果返回所述客戶端；根據所述客戶端發送的數據調用請求，調用多租戶權限控制模型在數據庫中判斷用戶的角色和租戶關系標識是否具有數據標識的權限，若有權限，調取對應的數據返回所述客戶端。在客戶端以及服務端會對用戶需求進行多重權限檢驗，防止越權操作，提升安全性的同時，減少數據庫的數據冗余。

技術領域

本申請實施例涉及計算機技術領域，具體涉及一種多租戶權限控制方法和系統。

背景技術

隨著工業信息化發展，權限控制以及用戶訪問安全問題愈發重要。

通常，對于一般的業務系統來說，權限模型一般采用傳統的RBAC(Role-BasedAccess Control，基于角色的訪問控制)模型，而對于多租戶形式的工業系統來說，傳統的RBAC模型設計的權限系統會使角色表數據冗余，并且數據隔離范圍有限，無法實現同一個用戶在不同租戶中的數據隔離。而現有的工業系統只通過服務端鑒定用戶的權限。這種鑒權方式過于單一，容易被越權操作，存在安全隱患。

發明內容

為此，本申請實施例提供一種多租戶權限控制方法和系統，在客戶端以及服務端會對用戶需求進行多重權限檢驗，防止越權操作，提升安全性的同時，減少數據庫的數據冗余。

為了實現上述目的，本申請實施例提供如下技術方案：

根據本申請實施例的第一方面，提供了一種多租戶權限控制方法，所述方法包括：

根據客戶端發送的用戶賬號信息判斷用戶的用戶類型，并將用戶類型令牌和用戶信息發送至所述客戶端，以使得用戶根據所述用戶信息進行操作；所述用戶信息包括用戶基本信息、用戶菜單范圍和用戶權限范圍；所述用戶基本信息包括用戶與角色和租戶的對應關系；

根據所述客戶端發送的用戶操作請求，調用多租戶權限控制模型在數據庫中判斷用戶的角色和租戶關系標識是否具有操作標識的權限，并將判斷結果返回所述客戶端；

根據所述客戶端發送的數據調用請求，調用多租戶權限控制模型在數據庫中判斷用戶的角色和租戶關系標識是否具有數據標識的權限，若有權限，調取對應的數據返回所述客戶端。

可選地，根據所述客戶端發送的用戶操作請求，調用多租戶權限控制模型在數據庫中判斷用戶的角色和租戶關系標識是否具有操作標識的權限，包括：

根據所述用戶操作請求攜帶的令牌進行驗證，若所述令牌在緩存中存在對應的用戶信息，則從緩存中取出所述用戶信息；

根據用戶標識和租戶標識，調用多租戶權限控制模型從數據庫查詢角色和租戶關系標識以及操作權限標識；

在數據庫中查詢所述操作權限標識是否與用戶操作請求的目標操作對應的權限標識相同，若相同，則具有操作標識的權限；若不同，則不具有操作標識的權限。

可選地，根據所述客戶端發送的數據調用請求，調用多租戶權限控制模型在數據庫中判斷用戶的角色和租戶關系標識是否具有數據標識的權限，包括：

根據所述數據調用請求攜帶的令牌進行驗證，若所述令牌在緩存中存在對應的用戶信息，則從緩存中取出所述用戶信息；

根據用戶標識和租戶標識，調用多租戶權限控制模型從數據庫查詢角色和租戶關系標識以及數據權限標識；

在數據庫中查詢所述數據權限標識是否與數據調用請求的目標數據對應的權限標識相同，若相同，則具有數據標識的權限；若不同，則不具有數據標識的權限。