基于签名的授权信息获取方法、获取装置和业务系统与流程

本发明涉及信息安全，具体而言，涉及一种基于签名的授权信息获取方法、获取装置、计算机可读存储介质和业务系统。

背景技术：

1、在当今数字化时代，web应用的安全性和用户权限管理变得愈发重要。随着互联网技术的快速发展，web应用不仅承载着信息的展示和交互，更融入了复杂的业务逻辑和数据处理功能，使得对用户的访问权限进行严格控制成为了必要。web应用中的受限功能，例如支付接口、数据访问权限等，其安全性直接关系到业务的顺利进行和用户数据的保密性。

2、然而，传统的授权机制存在明显的局限性。尤其是在授权信息更新和灵活性方面存在不足。具体来说，现有的受限功能授权主要有两种方法：本地白名单授权和后台白名单授权。本地白名单授权虽然实现了基本的权限控制，通过将授权信息硬编码在应用安装包中，实现权限的校验。这种方法虽然可以离线鉴权，但存在灵活性差、无法灵活取消授权等缺点，一旦需要更新授权信息，就必须重新发布应用版本，这不仅效率低下，也难以应对快速变化的业务需求。后台白名单授权通过将授权信息配置在后台服务器上，应用在需要时从后台获取授权信息进行权限校验，这种方法虽然在一定程度上提高了灵活性，但对网络的依赖性、授权信息更新的延迟以及对服务器资源的消耗等问题，同样限制了其在实际应用中的效能。

3、综上所述，现有技术中后台白名单授权的鉴权方式依赖后台与应用之间的网络连接，在网络波动的情况下会对鉴权产生干扰，甚至无法鉴权。

技术实现思路

1、本技术的主要目的在于提供一种基于签名的授权信息获取方法、获取装置、计算机可读存储介质和业务系统，以至少解决现有技术中采用后台白名单授权的方式，在终端与后端之间无法联网的情况下无法进行调用的问题。

2、为了实现上述目的，根据本技术的一个方面，提供了一种基于签名的授权信息获取方法，包括：在接收到第一申请信息的情况下，获取目标授权信息，所述目标授权信息为第一授权信息、第二授权信息和第三授权信息中的任意一个，所述第一申请信息为业务向应用发起的受限功能的权限申请，所述受限功能为仅在对应页面下允许运行的功能，所述第一授权信息为第四授权信息添加至页面meta元素得到，所述第二授权信息为所述第四授权信息存储至所述应用对应的域名根目录得到，所述第三授权信息为所述第四授权信息与目标接口进行关联得到，所述第四授权信息为权限管理系统下发的授权数据；根据所述目标授权信息中任意一个进行解析，得到授权认证信息和签名信息，基于目标公钥对所述签名信息进行验签操作；在验签通过的情况下，根据所述授权认证信息进行解析，得到授权域名列表、受限功能列表和授权时限信息；至少根据所述目标授权信息、所述授权域名列表、所述受限功能列表和所述授权时限信息进行鉴权操作；在鉴权通过的情况下，调用所述受限功能。

3、可选地，在获取目标授权信息之前，还包括：向所述权限管理系统发送第二申请信息，所述第二申请信息用于向权限管理系统申请授权认证，所述第二申请信息包括基础信息和补充信息，所述基础信息包括所述业务对应的所述域名、页面路径和所述受限功能，所述补充信息包括授权起始时间、授权终止时间和第一标识信息，所述第一标识信息用于表征是否进行在线校验和在线校验方式；在接收到第一反馈信息的情况下，对所述第一反馈信息进行解析，得到所述第四授权信息，所述第一反馈信息至少包括所述第四授权信息；将所述第四授权信息添加至所述页面meta元素，得到所述第一授权信息，和/或，将所述第四授权信息存储至所述应用对应的域名根目录，得到所述第二授权信息，将所述第四授权信息通过javascript调用方式配置到所述目标接口，得到所述第三授权信息。

4、可选地，基于目标公钥对所述签名信息进行验签操作，包括：基于公钥对授权信息中的认证信息和签名进行校验，认证信息和签名校验一致的情况下确定为验签通过，不一致的情况下确定为验签失败。

5、可选地，至少根据所述目标授权信息、所述授权域名列表、所述受限功能列表和所述授权时限信息进行鉴权操作，包括：根据所述第一申请信息，确定目标访问页面，基于所述目标访问页面与所述授权域名列表进行匹配，得到第一匹配结果；根据所述第一申请信息，确定目标受限功能，基于所述目标受限功能与所述受限功能列表进行匹配，得到第二匹配结果；根据所述第一申请信息，确定目标访问时间，基于所述目标访问时间与所述授权时限信息进行匹配，得到第三匹配结果；在所述第一匹配结果、所述第二匹配结果和所述第三匹配结果均通过的情况下，确定鉴权通过，在所述第一匹配结果、所述第二匹配结果和所述第三匹配结果中任意一个不通过的情况下，确定鉴权失败。

6、可选地，基于所述目标访问时间与所述授权时限信息进行匹配，得到第三匹配结果，包括：基于授权时限信息确定授权起始时间和授权终止时间，根据所述授权起始时间和所述授权终止时间确定授权时间区间；在所述目标访问时间在所述授权时间区间之内的情况下，确定所述第三匹配结果为匹配通过，在所述目标访问时间不在所述授权时间区间之内的情况下，确定所述第三匹配结果为匹配不通过。

7、可选地，基于所述目标访问页面与所述授权域名列表进行匹配，得到第一匹配结果包括：基于所述目标访问页面与所述授权域名列表进行匹配，在所述授权域名列表中存在满足所述目标访问页面的预设规则的所述域名的情况下，确定所述第一匹配结果为匹配通过，在所述授权域名列表中不存在满足所述目标访问页面的预设规则的所述域名的情况下，确定所述第一匹配结果为匹配不通过。

8、可选地，在调用所述受限功能之前，所述方法还包括：获取所述第一标识信息，在所述第一标识信息为进行线上校验的情况下，向所述权限管理系统发送第三请求信息，所述第三请求信息用于向所述权限管理系统验证所述应用存储的所述签名信息是否有效；接收第二反馈信息，在所述第二反馈信息为签名有效的情况下，允许调用所述受限功能；在所述第二反馈信息为签名无效的情况下，不允许调用所述受限功能。

9、根据本技术的另一方面，提供了一种基于签名的授权信息获取装置，所述装置包括：第一获取单元，用于在接收到第一申请信息的情况下，获取目标授权信息，所述目标授权信息为第一授权信息、第二授权信息和第三授权信息中的任意一个，所述第一申请信息为业务向应用发起的受限功能的权限申请，所述受限功能为仅在对应页面下允许运行的功能，所述第一授权信息为第四授权信息添加至页面meta元素得到，所述第二授权信息为所述第四授权信息存储至所述应用对应的域名根目录得到，所述第三授权信息为所述第四授权信息与目标接口进行关联得到，所述第四授权信息为权限管理系统下发的授权数据；第一解析单元，用于根据所述目标授权信息中任意一个进行解析，得到授权认证信息和签名信息，基于目标公钥对所述签名信息进行验签操作；第二解析单元，用于在验签通过的情况下，根据所述授权认证信息进行解析，得到授权域名列表、受限功能列表和授权时限信息；鉴权单元，用于至少根据所述目标授权信息、所述授权域名列表、所述受限功能列表和所述授权时限信息进行鉴权操作；控制单元，用于在鉴权通过的情况下，调用所述受限功能。

10、根据本技术的再一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的程序，其中，在所述程序运行时控制所述计算机可读存储介质所在设备中任意一种所述的方法。

11、根据本技术的又一方面，提供了一种业务系统，包括：一个或多个处理器，存储器，以及一个或多个程序，其中，所述一个或多个程序被存储在所述存储器中，并且被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行任意一种所述的方法。

12、应用本技术的技术方案，在上述一种基于签名的授权信息获取方法中，首先，在接收到第一申请信息的情况下，获取目标授权信息，上述目标授权信息为第一授权信息、第二授权信息和第三授权信息中的任意一个，上述第一申请信息为业务向应用发起的受限功能的权限申请，上述受限功能为仅在对应页面下允许运行的功能，上述第一授权信息为第四授权信息添加至页面meta元素得到，上述第二授权信息为上述第四授权信息存储至上述应用对应的域名根目录得到，上述第三授权信息为上述第四授权信息与目标接口进行关联得到，上述第四授权信息为权限管理系统下发的授权数据；然后，根据上述目标授权信息中任意一个进行解析，得到授权认证信息和签名信息，基于目标公钥对上述签名信息进行验签操作；之后，在验签通过的情况下，根据上述授权认证信息进行解析，得到授权域名列表、受限功能列表和授权时限信息；之后，至少根据上述目标授权信息、上述授权域名列表、上述受限功能列表和上述授权时限信息进行鉴权操作；最后，在鉴权通过的情况下，调用上述受限功能。本技术基于权限管理系统下发的授权信息，将授权信息通过配置到页面meta元素、将授权信息配置到对应页面的根目录以及通过特定的进程和接口与授权信息关联中的一种或多种方式，将授权信息与页面进行关联，将授权信息配置与前端系统，在业务进行访问时，进行验签以及鉴权，在通过的情况下，允许调用受限功能，该方法解决了现有技术中采用后台白名单授权的方式，在终端与后端之间无法联网的情况下无法进行调用的问题。