一种面向移动应用的数据资源跨域授权方法与流程

1.一种面向移动应用的数据资源跨域授权方法。


背景技术：

2.随着移动信息化发展，移动应用发展迅速。但由于数据资源分散在不同的部门和网域管理，移动应用和用户只能在所属网域和所属部门内调用有限的数据和服务资源，跨部门跨网域的数据资源融合共享一直是个难题。
3.现有移动应用的数据资源跨域授权技术主要围绕跨域用户身份认证和授权策略技术，授权的主体为目标域移动应用或用户，授权的客体源域为数据资源，数据资源直接授权给移动应用或用户。主要过程和步骤如下：
4.步骤1：目标域移动应用或用户向源域发起数据资源访问；
5.步骤2：源域验证移动应用或用户的身份信息；
6.步骤3：源域对移动应用或用户授权；
7.步骤4：目标域移动应用或用户发起对源域数据资的访问；
8.步骤5：源域根据对应应用或用户的授权，开放数据资源访问。
9.由于源域和目标域的管理方通常不同，目标域移动应用或用户不归属源域管理，在此情况下直接开通访问权限，一方面会对管理和运维带来难度，一方面会增加数据使用的安全风险。除此之外，还需要在两个域间建立用户身份共识认证机制，对于目标域用户身份敏感的应用系统不具有可行性。


技术实现要素：

10.针对现有技术的不足，本发明旨在提供一种面向移动应用的数据资源跨域授权方法。
11.为了实现上述目的，本发明采用如下技术方案：
12.一种面向移动应用的数据资源跨域授权方法，具体过程为：
13.一、建立三个层级的统一授权机制，包括面向服务接口api的授权、面向移动应用系统的授权以及面向移动应用用户的授权；
14.面向服务接口api的授权是api与数据资源之间的授权，授权的主体是api，授权的客体是数据资源；一个api可得到多个网域的多个数据资源授权，一个数据资源可被授权给多个网域多个api；
15.面向移动应用系统的授权是移动应用系统与服务接口api之间的授权，授权的主体是移动应用系统，授权的客体是api，授权主体和授权客体在同一个网域内，一个移动应用系统可得到多个api授权，一个api可被授权给多个移动应用系统；
16.面向用户的授权是移动应用用户与移动应用系统之间的授权，授权的主体是移动应用的用户，包括人或设备，授权的客体是移动应用系统的应用功能；
17.二、授权完成后，数据资源跨域访问的流程为：
18.2.1、移动应用用户向移动应用系统发起应用功能调用请求；
19.2.2、移动应用系统判定用户是否具有该应用功能的访问授权，如有授权则对应到一个或多个api；
20.2.3、移动应用系统向api的管理系统发起api调用请求；
21.2.4、api的管理系统判定该移动应用系统是否具有对应api的访问授权，如有授权则对应到一个或多个网域的数据资源；
22.2.5、api向对应网域的数据资源的管理系统发起调用请求；
23.2.6、数据资源的管理系统判定api是否具有数据资源的访问授权，如有授权则执行对应的数据资源服务；
24.2.7、授权的数据资源服务将执行结果返回至api；
25.2.8、授权的api将执行结果返回至移动应用系统；
26.2.9、授权的应用功能将执行结果返回至移动应用用户。
27.进一步地，面向服务接口api的授权中，授权主体api为同网域接口或跨网域接口。
28.进一步地，面向用户的授权中，不同用户在同一个移动应用系统中被授权的应用功能可以是不同的。
29.本发明的有益效果在于：本发明方法通过建立三个层级的统一授权机制，将数字资源到用户的授权过程分层级递进式完成，即跨网域面向api的授权、域内面向移动应用系统的授权和最终面向用户的授权。本发明依次将数据资源跨网域授权到api，再由api接口授权到移动应用系统，最终由移动应用系统授权到用户。多个移动应用系统和用户使用相同的数据资源时，只需要调用本网域同一个已授权api，而不需要逐一跨域申请授权。
30.本发明方法基于数据资源调用微服务化的思路，移动应用不直接访问数据资源，而是调用api，由api调用数据资源的方式，提出了分层级的数据资源跨域授权方法。对于数据资源管理方来说，向可访问数据资源的api授权；对于移动应用管理方来说，向可调用这些api的移动应用系统授权；对于用户的管理方来说，向可调用应用功能的用户授权。这种方法将授权与管理职责相匹配，分担了各方管理的复杂度，保证了数据资源跨网域支撑移动应用和用户的授权，并具备完整的、更细粒度的访问控制机制。
附图说明
31.图1为本发明实施例1方法的总体流程图；
32.图2为本发明实施例2的总体流程图；
33.图3为本发明实施例3的总体流程图。
具体实施方式
34.以下将结合附图对本发明作进一步的描述，需要说明的是，本实施例以本技术方案为前提，给出了详细的实施方式和具体的操作过程，但本发明的保护范围并不限于本实施例。
35.实施例1
36.本实施例提供一种面向移动应用的数据资源跨域授权方法，如图1所示，具体过程为：
37.一、建立三个层级的统一授权机制，包括面向服务接口api的授权、面向移动应用系统的授权以及面向移动应用用户的授权。
38.面向服务接口api的授权(即图1所示的授权1)是api与数据资源之间的授权，授权的主体是api，授权的客体是数据资源。授权主体api可以是同网域接口或跨网域接口。一个api可能需要得到多个网域的多个数据资源授权，一个数据资源可能被授权给多个网域多个api。通过这个层级的授权，将数据资源的服务能力提供到不同网域的api。
39.面向移动应用系统的授权(即图1所示的授权2)是移动应用系统与服务接口api之间的授权，授权的主体是移动应用系统，授权的客体是api，授权主体和授权客体通常在同一个网域内，一个移动应用系统可能需要得到多个api授权，一个api可能需要被授权给多个移动应用系统。通过这个层级的授权，将api，也就是数据资源的服务能力转化为移动应用系统的功能。
40.面向用户的授权(即图1所示的授权3)是移动应用用户与移动应用系统之间的授权，授权的主体是移动应用的用户，包括人或设备，授权的客体是移动应用系统的应用功能。不同用户在同一个移动应用系统中被授权的应用功能可以是不同的。通过这个层级的授权，将移动应用系统的应用功能，也就是数据资源的服务能力细粒度差异化提供给不同的人或设备。
41.二、授权完成后，数据资源跨域访问的流程为：
42.2.1、移动应用用户向移动应用系统发起应用功能调用请求；
43.2.2、移动应用系统判定用户是否具有该应用功能的访问授权，如有授权则对应到一个或多个api；
44.2.3、移动应用系统向api的管理系统发起api调用请求；
45.2.4、api的管理系统判定该移动应用系统是否具有对应api的访问授权，如有授权则对应到一个或多个网域的数据资源；
46.2.5、api向对应网域的数据资源的管理系统发起调用请求；
47.2.6、数据资源的管理系统判定api是否具有数据资源的访问授权，如有授权则执行对应的数据资源服务；
48.2.7、授权的数据资源服务将执行结果返回至api；
49.2.8、授权的api将执行结果返回至移动应用系统；
50.2.9、授权的应用功能将执行结果返回至移动应用用户。
51.实施例2
52.本实施例提供一种实施例1所述方法的应用实例。
53.本实施例以数据资源向标准查询app授权为例。在互联网网域有公开标准的数据资源，在工作网域有未公开标准和指导文件的数据资源，两个网域建有各自的数据资源管理系统。标准查询app部署在移动应用网域，通过数据服务总线对该网域api进行统一管理。如图2所示，本实施例中，三个层级的授权为：
54.面向服务接口api的授权：互联网网域和工作网域的数据资源管理系统分别将公开标准、未公开标准和指导文件数据资源授权给移动应用网域的三个api。授权主体为公开标准检索、未公开标准检索、指导文件检索三个api，授权客体为公开标准、未公开标准、指导文件数据资源。
55.面向应用的授权：移动应用网域的数据服务总线将三个api授权给标准查询app调用。授权主体为标准查询app，授权客体为公开标准检索、未公开标准检索、指导文件检索三个api。
56.面向用户的授权：标准查询app将应用功能授权给用户调用。授权主体为各个用户，授权客体为标准查询功能。对普通用户只授权公开标准检索功能，对高级用户授权公开标准检索、未公开标准检索、指导文件检索三个功能。
57.以未公开标准检索为例，移动应用数据资源跨域授权访问的流程为：
58.①
普通或高级用户向标准查询app发起标准检索请求；
59.②
标准查询app判定用户授权，对不具有授权的普通用户，拒绝该请求并返回给普通用户，结束流程；对有授权的高级用户对应到未公开标准检索api，并执行后续流程；
60.③
标准查询app向数据服务总线发起未公开标准检索api调用请求；
61.④
数据服务总线判定标准查询app具有未公开标准检索api的授权，对应到工作网域数据资源；
62.⑤
未公开标准检索api向工作网域数据资源管理系统发起未公开标准调用服务请求；
63.⑥
数据资源管理系统判定该api具有授权，执行调用服务；
64.⑦
未公开标准检索结果返回至api；
65.⑧
api将检索结果返回至移动应用系统；
66.⑨
移动应用系统将检索结果返回至发起请求的高级用户。
67.本实施例中，实现了互联网网域和工作网域的数据资源跨网域共享给移动应用网域的标准查询app，该app可对用户调用的功能和数据资源进行差异化细粒度访问控制。
68.实施例3
69.本实施例以数据资源向移动助手app授权为例。在云计算网域有云端数据资源，在边缘计算网域有前置数据资源，两个网域建有各自的数据资源管理系统。移动助手app部署在边缘计算网域，通过数据服务总线对该网域api进行统一管理。如图3所示，本实施例中，三个层级的授权为：
70.面向服务接口api的授权：云计算网域的数据资源管理系统跨网域将云端数据资源授权给边缘计算网域的云端数据api，边缘计算网域的数据资源管理系统将前置数据资源授权给本网域的前置数据api。授权主体为云端数据api和前置数据api，授权客体分别为两个网域的云端和前置数据资源。
71.面向应用的授权：边缘计算网域的数据服务总线将两个api授权给移动助手app调用。授权主体为移动助手app，授权客体为云端数据api和前置数据api。
72.面向用户的授权：移动助手app将应用功能授权给用户调用。授权主体为用户，授权客体为基础查询和深度分析功能。用户根据基础查询结果，有选择地调用深度分析功能。
73.以顺序执行基础查询和深度分析功能为例，移动应用数据资源授权访问流程为：
74.①
用户向移动助手app发起基础查询请求；
75.②
移动助手app判定用户具有授权，对应到前置数据api；
76.③
移动助手app向数据服务总线发起前置数据api调用请求；
77.④
数据服务总线判定移动助手app具有前置数据api的授权，对应到本网域前置数
据资源；
78.⑤
前置数据api向本网域数据资源管理系统发起调用服务请求；
79.⑥
本网域数据资源管理系统判定该api具有授权，执行调用服务；
80.⑦
前置数据执行结果返回至前置数据api；
81.⑧
前置数据api将该结果返回至移动应用系统；
82.⑨
移动应用系统将该结果返回至用户；
83.⑩
用户查看结果后认为需要进一步分析，向移动助手app发起深度分析请求；
84.移动助手app判定用户具有授权，对应到云端数据api；
85.移动助手app向数据服务总线发起云端数据api调用请求；数据服务总线判定移动助手app具有云端数据api授权，对应到云计算网域的云端数据资源；
86.云端数据api跨网域向云计算网域数据资源管理系统发起调用服务请求；
87.云计算网域数据资源管理系统判定该api具有授权，执行调用服务；
88.云端数据执行结果返回至云端数据api；
89.云端数据api将该结果返回至移动应用系统；
90.移动应用系统将该结果返回至发起请求的用户。
91.本实施例中，实现了云计算网域和边缘计算网域对移动助手app数据资源的边云共享和互助。
92.对于本领域的技术人员来说，可以根据以上的技术方案和构思，给出各种相应的改变和变形，而所有的这些改变和变形，都应该包括在本发明权利要求的保护范围之内。

技术特征：
1.一种面向移动应用的数据资源跨域授权方法，其特征在于，具体过程为：一、建立三个层级的统一授权机制，包括面向服务接口api的授权、面向移动应用系统的授权以及面向移动应用用户的授权；面向服务接口api的授权是api与数据资源之间的授权，授权的主体是api，授权的客体是数据资源；一个api可得到多个网域的多个数据资源授权，一个数据资源可被授权给多个网域多个api；面向移动应用系统的授权是移动应用系统与服务接口api之间的授权，授权的主体是移动应用系统，授权的客体是api，授权主体和授权客体在同一个网域内，一个移动应用系统可得到多个api授权，一个api可被授权给多个移动应用系统；面向用户的授权是移动应用用户与移动应用系统之间的授权，授权的主体是移动应用的用户，包括人或设备，授权的客体是移动应用系统的应用功能；二、授权完成后，数据资源跨域访问的流程为：2.1、移动应用用户向移动应用系统发起应用功能调用请求；2.2、移动应用系统判定用户是否具有该应用功能的访问授权，如有授权则对应到一个或多个api；2.3、移动应用系统向api的管理系统发起api调用请求；2.4、api的管理系统判定该移动应用系统是否具有对应api的访问授权，如有授权则对应到一个或多个网域的数据资源；2.5、api向对应网域的数据资源的管理系统发起调用请求；2.6、数据资源的管理系统判定api是否具有数据资源的访问授权，如有授权则执行对应的数据资源服务；2.7、授权的数据资源服务将执行结果返回至api；2.8、授权的api将执行结果返回至移动应用系统；2.9、授权的应用功能将执行结果返回至移动应用用户。2.根据权利要求1所述的方法，其特征在于，面向服务接口api的授权中，授权主体api为同网域接口或跨网域接口。3.根据权利要求1所述的方法，其特征在于，面向用户的授权中，不同用户在同一个移动应用系统中被授权的应用功能可以是不同的。

技术总结
本发明公开了一种面向移动应用的数据资源跨域授权方法，基于数据资源调用微服务化的思路，移动应用不直接访问数据资源，而是调用API，由API调用数据资源的方式，提出了分层级的数据资源跨域授权方法。对于数据资源管理方来说，向可访问数据资源的API授权；对于移动应用管理方来说，向可调用这些API的移动应用系统授权；对于用户的管理方来说，向可调用应用功能的用户授权。这种方法将授权与管理职责相匹配，分担了各方管理的复杂度，保证了数据资源跨网域支撑移动应用和用户的授权，且具备完整的、更细粒度的访问控制机制。更细粒度的访问控制机制。更细粒度的访问控制机制。


技术研发人员：卢煜 陈昌前 赵荣辉
受保护的技术使用者：公安部第一研究所
技术研发日：2023.03.06
技术公布日：2023/7/20