(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210299220.3 (22)申请日 2022.03.25 (71)申请人 中国建设银行股份有限公司 地址 100033 北京市西城区金融大街25号 (72)发明人 袁翠芳　陈勇　 (74)专利代理 机构 华进联合专利商标代理有限 公司 44224 专利代理师 姜晓云 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 权限认证方法、 装置、 计算机设备和存储介 质 (57)摘要 本申请公开了一种权限认证方法、 装置、 计 算机设备、 存储介质和计算机程序产品， 涉及云 计算安全服务技术领域。 所述方法包括： 接收请 求端发送的初始化请求， 初始化请求携带有请求 端标识和目标产品标识， 根据请求端标识进行请 求端身份验证； 当请求端身份验证成功时， 获取 请求端标识和目标产品标识对应的以产品为粒 度的第一权限信息， 并生 成对应请求端标识的第 一访问令牌， 将第一访问令牌与第一权限信息关 联存储， 并将第一访问令牌发送给请求端； 接收 请求端发送的业务处理请求， 业务处理请求携带 有第二访问令牌与第二权限信息， 基于第二访问 令牌、 第一访问令牌、 第一权限信息和与第二权 限信息进行权限认证。 采用本方法能够以产品为 粒度控制接口权限。 权利要求书2页 说明书11页 附图5页 CN 114785553 A 2022.07.22 CN 114785553 A 1.一种权限认证方法， 其特 征在于， 所述方法包括： 接收请求端发送 的初始化请求， 所述初始化请求携带有请求端标识和目标产品标识， 根据所述请求端标识进行请求端 身份验证； 当所述请求端身份验证成功时， 获取所述请求端标识和所述目标产品标识对应的以产 品为粒度的第一权限信息， 并生成对应所述请求端标识的第一访问令牌， 将所述第一访问 令牌与所述第一权限信息关联存 储， 并将所述第一访问令牌发送给 所述请求端； 接收所述请求端发送的业务处理请求， 所述业务处理请求携带有第 二访问令牌与第 二 权限信息， 基于所述第二访问令牌、 所述第一访问令牌、 所述第一权限信息和与所述第二权 限信息进行权限认证。 2.根据权利要求1所述的方法， 其特征在于， 所述初始化请求还携带时间戳标识； 所述 根据所述请求端标识进行请求端 身份验证之前， 还 包括： 根据所述 时间戳对所述初始化请求的时效进行验证， 当所述初始化请求的时效验证通 过， 则获取与所述请求端标识对应的公钥， 基于所述公钥对所述初始化请求进行解密得到 目标产品标识， 当所述初始化请求的时效验证失败， 反馈请求失败的信息 。 3.根据权利要求1所述的方法， 其特征在于， 所述获取所述请求端标识和所述目标产品 标识对应的以产品为粒度的第一权限信息， 包括： 获取所述请求端标识对应的产品信息； 通过预设产品授权数据库， 查询所述产品信息对应的授权产品标识， 得到所述请求端 标识对应的多个授权产品标识， 将所述授权产品标识对应的产品接口作为所述请求端标识 和所述目标产品标识对应的以产品为粒度的第一权限信息 。 4.根据权利要求3所述的方法， 其特征在于， 所述第二权限信息携带目标授权产品标 识， 所述基于所述第二访问令牌、 所述第一访问令牌、 所述第一权限信息和与所述第二权限 信息进行权限认证， 包括： 将所述第二访问令牌与存 储的所述第一访问令牌进行比对； 当存储的所述第 一访问令牌与所述第 二访问令牌比对成功时， 基于关联存储的所述第 一访问令牌与所述第一权限信息， 获取 所述第一访问令牌对应的第一权限信息； 获取所述第二权限信息， 当所述第二权限信息包含于所述第一权限信息时， 将所述第 一权限信息中与所述第二权限信息对应的产品接口 的接口权限开 放给所述请求端。 5.根据权利要求3所述的方法， 其特征在于， 所述将所述第 一访问令牌与所述第 一权限 信息关联存 储， 包括： 将所述第一访问令牌、 所述第一权限信息关联存 储至共享缓存。 6.根据权利要求5所述的方法， 其特 征在于， 所述方法还 包括： 对所述共享缓存中存 储的数据按照预设存 储时间进行删除。 7.一种权限认证装置， 其特 征在于， 所述装置包括： 初始化模块， 用于接收请求端发送的初始化请求， 所述初始化请求携带有请求端标识 和目标产品标识， 根据所述请求端标识进行请求端 身份验证； 令牌与权限关联模块， 用于当所述请求端身份验证成功时， 获取所述请求端标识和所 述目标产品标识对应的以产品为粒度的第一权限信息， 并生成对应所述请求端标识的第一 访问令牌， 将所述第一访问令牌与所述第一权限信息关联存储， 并将所述第一访问令牌发权　利　要　求　书 1/2 页 2 CN 114785553 A 2送给所述请求端； 权限认证模块， 用于接收所述请求端发送的业务处理请求， 所述业务处理请求携带有 第二访问令牌与第二权限信息， 基于所述第二访问令牌、 所述第一访问令牌、 第一权限信息 和与所述第二权限信息进行权限认证。 8.根据权利要求7所述的装置， 其特征在于， 所述初始化请求还携带时间戳标识； 初始 化模块还 包括： 时效验证子模块， 用于根据所述时间戳对所述初始化请求的时效进行验证， 当所述初 始化请求的时效验证通过， 则获取与所述请求端标识对应的公钥， 基于所述公钥对所述初 始化请求进行解密得到目标产品标识， 当所述初始化请求的时效验证失败， 反馈请求失败 的信息。 9.根据权利要求7 所述的装置， 其特 征在于， 所述令牌与权限关联模块包括： 产品信息获取子模块， 用于获取 所述请求端标识对应的产品信息； 授权产品标识获取子模块， 用于通过预设产品授权数据库， 查询所述产品信息对应的 授权产品标识， 得到所述请求端标识对应的多个授权产品标识， 将所述授权产品标识对应 的产品接口作为所述请求端标识和所述目标产品标识对应的以产品为粒度的第一权限信 息。 10.根据权利要求9所述的装置， 其特征在于， 所述第二权限信息携带目标授权产品标 识； 所述权限认证模块包括： 令牌比对子模块， 用于将所述第二访问令牌与存 储的所述第一访问令牌进行比对； 权限信息获取子模块， 用于当存储的所述第 一访问令牌与所述第 二访问令牌比对成功 时， 基于关联存储的所述第一访问令牌与所述第一权限信息， 获取所述第一访问令牌对应 的第一权限信息； 权限开放子模块， 用于获取所述第二权限信息， 当所述第二权限信息包含于所述第一 权限信息时， 将所述第一权限信息中与所述第二权限信息对应的产品接口的接口权限开放 给所述请求端。 11.根据权利要求9所述的装置， 其特 征在于， 所述令牌与权限关联模块包括： 共享缓存子模块， 用于将所述第一访问令牌、 所述第一权限信息关联存 储至共享缓存。 12.根据权利要求1 1所述的装置， 其特 征在于， 所述装置还 包括： 缓存删除模块， 用于对所述共享缓存中存 储的数据按照预设存 储时间进行删除。 13.一种计算机设备， 包括存储器和 处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至 6中任一项所述的方法的步骤。 14.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至 6中任一项所述的方法的步骤。 15.一种计算机程序产品， 包括计算机程序， 其特征在于， 该计算机程序被处理器执行 时实现权利要求1至 6中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114785553 A 3