(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210066705.8 (22)申请日 2022.01.20 (71)申请人 杭萧钢构股份有限公司 地址 310000 浙江省杭州市萧 山经济技 术 开发区萧清大道 2826号 (72)发明人 张智超　王振众　张哲　王泽群　 陈勇达　 (74)专利代理 机构 北京辰权知识产权代理有限 公司 11619 代理人 李小朋 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种多租户权限控制方法和系统 (57)摘要 本申请实施例公开了一种多租户权限控制 方法和系统， 所述方法包括： 根据客户端发送的 用户账号信息判断用户的用户类型， 并将用户类 型令牌和用户信息发送至所述客户端， 以使 得用 户根据所述用户信息进行操作； 根据所述客户端 发送的用户操作请求， 调用多租户权限控制模型 在数据库中判断用户的角色和租户关系标识是 否具有操作标识的权限， 并将判断结果返回所述 客户端； 根据所述客户端发送的数据调用请求， 调用多租户权限控制模型在数据库中判断用户 的角色和租户关系标识是否具有数据标识的权 限， 若有权限， 调取对应的数据返回所述客户端。 在客户端以及服务端会对用户需求进行多重权 限检验， 防止越权操作， 提升安全性的同时， 减少 数据库的数据冗余。 权利要求书2页 说明书9页 附图3页 CN 114301714 A 2022.04.08 CN 114301714 A 1.一种多租户权限控制方法， 其特 征在于， 所述方法包括： 根据客户端发送的用户账号信 息判断用户的用户类型， 并将用户类型令牌和用户信 息 发送至所述客户端， 以使得用户根据所述用户信息进行操作； 所述用户信息包括用户基本 信息、 用户菜单范围和用户权限范围； 所述用户基本信息包括用户与角色和租户的对应关 系； 根据所述客户端发送的用户操作请求， 调用多租户权限控制模型在数据库中判断用户 的角色和租户关系标识是否具有操作标识的权限， 并将判断结果返回所述 客户端； 根据所述客户端发送的数据调用请求， 调用多租户权限控制模型在数据库中判断用户 的角色和租户关系 标识是否具有数据标识的权限， 若有权限， 调取对应的数据返回所述客 户端。 2.如权利要求1所述的方法， 其特征在于， 根据所述客户端发送的用户操作请求， 调用 多租户权限控制模型在数据库中判断用户的角色和租户关系标识是否具有操作标识的权 限， 包括： 根据所述用户操作请求携带的令牌进行验证， 若所述令牌在缓存中存在对应的用户信 息， 则从缓存中取 出所述用户信息； 根据用户标识和租户标识， 调用多租户权限控制模型从数据库查询角色和租户关系标 识以及操作权限标识； 在数据库中查询所述操作权限标识是否与用户操作请求的目标操作对应的权限标识 相同， 若相同， 则具有操作标识的权限； 若不同， 则不具有操作标识的权限。 3.如权利要求1所述的方法， 其特征在于， 根据所述客户端发送的数据调用请求， 调用 多租户权限控制模型在数据库中判断用户的角色和租户关系标识是否具有数据标识的权 限， 包括： 根据所述数据调用请求携带的令牌进行验证， 若所述令牌在缓存中存在对应的用户信 息， 则从缓存中取 出所述用户信息； 根据用户标识和租户标识， 调用多租户权限控制模型从数据库查询角色和租户关系标 识以及数据权限标识； 在数据库中查询所述数据权限标识是否与数据调用请求的目标数据对应的权限标识 相同， 若相同， 则具有数据标识的权限； 若不同， 则不具有数据标识的权限。 4.如权利要求1所述的方法， 其特征在于， 根据客户端发送的用户账号信 息判断用户的 用户类型， 并将用户类型令牌和用户信息发送至所述 客户端， 包括： 根据用户账号信息判断用户的用户类型为单租户用户， 则生成单租户令牌， 将单租户 令牌和用户信息以key和valu e的形式存入缓存， 并将所述单租户令牌和用户信息返回客户 端； 或者 根据用户账号信息判断用户的用户类型为多租户用户， 则生成临时令牌， 将租户列表 以及临时令牌发送至客户端， 以使得客户端的用户选择租户后， 通过临时令牌验证用户信 息， 再删除临时令牌， 并生成新的多租户令牌， 将所述多租户令牌以及用户信息以key和 value的形式存 入缓存， 并将所述多租户令牌和用户信息返回客户端。 5.如权利要求1所述的方法， 其特征在于， 所述数据库包括实体类数据表、 关系表和权 限表；权　利　要　求　书 1/2 页 2 CN 114301714 A 2所述实体 类数据表包括用户表、 租户表、 角色表和资源表； 所述关系表包括用户与租户关系表、 用户与角色 关系表， 角色与租户关系表。 6.如权利要求5所述的方法， 其特征在于， 用户与租户关系表用于对用户与租户进行绑 定， 表中每一行存 储一个主键关系标识、 用户表示和租户表示； 所述用户与角色关系表用于对用户与角色进行绑定， 表中每一行存储一个主键关系标 识、 用户标识和角色标识； 所述角色与租户关系表用于对角色与租户进行绑定， 表中每一行存储一个关系标识、 角色标识和租户标识； 所述权限表用于对资源和角色与租户关系 进行绑定， 表中每一行存储一个主键权限标 识、 资源标识和角色与租户关系标识。 7.如权利要求1所述的方法， 其特征在于， 所述将用户类型令牌和用户信 息发送至所述 客户端， 以使得用户根据所述用户信息进行操作， 所述方法包括： 将用户类型令牌和用户信 息发送至所述客户端， 以使得所述客户端根据 所述用户菜单 范围和用户权限范围对用户的操作进行权限判断， 若用户进行的操作具有权限， 则继续。 8.一种多租户权限控制系统， 其特 征在于， 所述系统包括： 类型判定模块， 用于根据客户端发送的用户账号信息判断用户的用户类型， 并将用户 类型令牌和用户信息发送至所述客户端， 以使得用户根据所述用户信息进行操作； 所述用 户信息包括用户基本信息、 用户菜单范围和用户权限范围； 所述用户基本信息包括用户与 角色和租户的对应关系； 操作权限判断模块， 用于根据所述客户端发送的用户操作请求， 调用多租户权限控制 模型在数据库中判断用户的角色和租户关系标识是否具有操作标识的权限， 并将判断结果 返回所述 客户端； 数据权限判断模块， 用于根据所述客户端发送的数据调用请求， 调用多租户权限控制 模型在数据库中判断用户的角色和租户关系标识是否具有数据标识的权限， 若有权限， 调 取对应的数据返回所述 客户端。 9.一种电子设备， 包括： 存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器运行所述计算机程序时执行以实现如权利要求 1‑7任一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 其上存储有计算机可读指令， 所述计算机 可读指令可被处 理器执行以实现如权利要求1 ‑7任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114301714 A 3