本技術(shù)屬于電數(shù)字數(shù)據(jù)處理領(lǐng)域，尤其涉及一種支持權(quán)限繼承的多租戶用戶管理方法及系統(tǒng)。

背景技術(shù)：

1、隨著云計算技術(shù)的發(fā)展，多租戶平臺已經(jīng)成為企業(yè)信息化建設(shè)的重要基礎(chǔ)架構(gòu)，其中用戶管理和權(quán)限控制是確保平臺安全運行的關(guān)鍵環(huán)節(jié)。傳統(tǒng)的多租戶用戶管理系統(tǒng)通常采用獨立的權(quán)限分配機制，每個租戶需要單獨為其用戶配置訪問權(quán)限，這種方式在用戶數(shù)量龐大、組織結(jié)構(gòu)復(fù)雜的情況下，不僅增加了管理人員的工作負擔，還容易出現(xiàn)權(quán)限配置不一致或遺漏的問題。

2、在相關(guān)技術(shù)中，可以通過基于角色的訪問控制（rbac）模型來優(yōu)化多租戶用戶權(quán)限管理，該模型通過定義角色并將權(quán)限與角色關(guān)聯(lián)的方式，實現(xiàn)了權(quán)限的統(tǒng)一管理和批量分配。用戶被賦予特定角色后，即可自動獲得該角色所對應(yīng)的所有權(quán)限，簡化了權(quán)限配置過程，提高了管理效率。

3、然而，當某個租戶需要將其特定角色及相關(guān)權(quán)限授予其他租戶的用戶時，系統(tǒng)難以動態(tài)感知和自動維護這種授權(quán)關(guān)系，導(dǎo)致在源租戶的角色權(quán)限發(fā)生變更時，被授權(quán)租戶的用戶權(quán)限無法實時同步更新，降低了權(quán)限管理的實時性和準確性。

技術(shù)實現(xiàn)思路

1、本技術(shù)提供了一種支持權(quán)限繼承的多租戶用戶管理方法及系統(tǒng)，用于提高權(quán)限管理的實時性和準確性。

2、第一方面，本技術(shù)提供了一種支持權(quán)限繼承的多租戶用戶管理方法，接收源租戶的角色授權(quán)請求，角色授權(quán)請求包括目標租戶的標識信息和待授權(quán)的角色信息，角色信息包括角色標識和與角色標識關(guān)聯(lián)的操作權(quán)限；

3、根據(jù)角色授權(quán)請求創(chuàng)建權(quán)限繼承映射表，并在權(quán)限繼承映射表中寫入權(quán)限繼承關(guān)系，權(quán)限繼承關(guān)系包括發(fā)起授權(quán)的源租戶標識、接收授權(quán)的目標租戶標識、角色標識以及建立權(quán)限繼承關(guān)系的授權(quán)時間；

4、生成包含第一映射表和第二映射表的雙向映射緩存，第一映射表用于存儲源租戶角色到目標租戶用戶的映射關(guān)系，第二映射表用于存儲目標租戶用戶到源租戶角色的映射關(guān)系；

5、當檢測到源租戶角色的權(quán)限發(fā)生變更時，基于第一映射表查詢與源租戶角色關(guān)聯(lián)的目標租戶用戶集合；

6、針對目標租戶用戶集合構(gòu)建權(quán)限更新消息，并通過消息隊列將權(quán)限更新消息異步發(fā)送至目標租戶用戶集合中的每個用戶；

7、當接收到目標租戶用戶發(fā)送的權(quán)限驗證請求時，根據(jù)第二映射表獲取目標租戶用戶繼承的源租戶角色信息；

8、將源租戶角色信息對應(yīng)的源租戶角色的當前操作權(quán)限與目標租戶用戶的操作權(quán)限進行合并處理，得到目標租戶用戶的實時權(quán)限數(shù)據(jù)。

9、通過采用上述技術(shù)方案，通過建立權(quán)限繼承映射表記錄源租戶和目標租戶之間的權(quán)限繼承關(guān)系，并利用雙向映射緩存分別存儲源租戶角色到目標租戶用戶的映射關(guān)系以及目標租戶用戶到源租戶角色的映射關(guān)系。當源租戶角色的權(quán)限發(fā)生變更時，系統(tǒng)能夠基于第一映射表快速定位受影響的目標租戶用戶集合，并通過消息隊列異步推送權(quán)限更新消息。在目標租戶用戶發(fā)起權(quán)限驗證時，系統(tǒng)可以根據(jù)第二映射表快速獲取該用戶繼承的源租戶角色信息，并將源租戶角色的當前操作權(quán)限與目標租戶用戶自身的操作權(quán)限進行合并，從而得到準確的實時權(quán)限數(shù)據(jù)，提高了權(quán)限數(shù)據(jù)的實時性和準確性，降低了系統(tǒng)的響應(yīng)延遲，提高了權(quán)限管理的效率。

10、結(jié)合第一方面的一些實施例，在一些實施例中，根據(jù)角色授權(quán)請求創(chuàng)建權(quán)限繼承映射表，具體包括：

11、采集源租戶的關(guān)聯(lián)租戶信息，關(guān)聯(lián)租戶信息包括與源租戶存在直接權(quán)限繼承關(guān)系的租戶標識列表；

12、基于關(guān)聯(lián)租戶信息構(gòu)建租戶關(guān)系有向圖，租戶關(guān)系有向圖的節(jié)點表示租戶，節(jié)點之間的有向邊表示權(quán)限繼承關(guān)系；

13、在檢測到租戶關(guān)系有向圖中存在循環(huán)繼承路徑的情況下，生成告警信息；

14、在檢測到租戶關(guān)系有向圖中不存在循環(huán)繼承路徑的情況下，以源租戶與目標租戶之間的繼承關(guān)系為基礎(chǔ)構(gòu)建權(quán)限繼承映射表。

15、通過采用上述技術(shù)方案，通過采集源租戶的關(guān)聯(lián)租戶信息構(gòu)建租戶關(guān)系有向圖，并對圖中是否存在循環(huán)繼承路徑進行檢測，能夠在權(quán)限繼承關(guān)系建立之前發(fā)現(xiàn)潛在的循環(huán)繼承問題，提高了租戶權(quán)限繼承體系的穩(wěn)定性和可控性，同時也簡化了權(quán)限繼承關(guān)系的維護工作，降低了系統(tǒng)的運維成本。當確認租戶關(guān)系有向圖中不存在循環(huán)繼承路徑時，系統(tǒng)才會建立實際的權(quán)限繼承映射關(guān)系，提高了權(quán)限繼承體系的高效率運行。

16、結(jié)合第一方面的一些實施例，在一些實施例中，生成包含第一映射表和第二映射表的雙向映射緩存，具體包括：

17、從權(quán)限繼承映射表中讀取源租戶的全部權(quán)限繼承關(guān)系；

18、針對每條權(quán)限繼承關(guān)系提取目標租戶的用戶信息，用戶信息包括用戶標識和用戶權(quán)限；

19、根據(jù)源租戶角色與目標租戶用戶之間的對應(yīng)關(guān)系填充第一映射表；

20、基于第一映射表中的對應(yīng)關(guān)系，反向構(gòu)建第二映射表，得到包含第一映射表和第二映射表的雙向映射緩存。

21、通過采用上述技術(shù)方案，采用從權(quán)限繼承映射表讀取源租戶全部權(quán)限繼承關(guān)系，并提取目標租戶用戶信息的方式來構(gòu)建雙向映射緩存，使系統(tǒng)能夠在內(nèi)存中維護完整的源租戶角色到目標租戶用戶的映射關(guān)系，以及目標租戶用戶到源租戶角色的反向映射關(guān)系。雙向映射緩存的設(shè)計使得系統(tǒng)在處理權(quán)限變更和權(quán)限驗證時都能夠快速定位相關(guān)的數(shù)據(jù)，減少了數(shù)據(jù)庫查詢操作。由于映射關(guān)系被緩存在內(nèi)存中，系統(tǒng)在進行權(quán)限繼承相關(guān)操作時能夠?qū)崿F(xiàn)快速響應(yīng)，提升了系統(tǒng)的性能。

22、結(jié)合第一方面的一些實施例，在一些實施例中，在接收源租戶的角色授權(quán)請求之前，方法還包括：

23、獲取目標租戶的授權(quán)接收配置，授權(quán)接收配置包括允許接收權(quán)限繼承的源租戶白名單；

24、當源租戶位于源租戶白名單中時，校驗源租戶的授權(quán)資格；

25、僅在源租戶具備授權(quán)資格的情況下，執(zhí)行接收源租戶的角色授權(quán)請求的步驟。

26、通過采用上述技術(shù)方案，通過在接收角色授權(quán)請求前，引入授權(quán)接收配置和源租戶授權(quán)資格校驗機制，實現(xiàn)了對權(quán)限繼承來源的精確控制。系統(tǒng)通過白名單機制限定了允許接收權(quán)限繼承的源租戶范圍，并對源租戶的授權(quán)資格進行嚴格校驗，防止了未經(jīng)授權(quán)的租戶進行越權(quán)操作。通過在權(quán)限繼承之前進行資格審查，系統(tǒng)能夠從源頭上控制權(quán)限繼承的合法性，降低了權(quán)限泄露風險，在保證權(quán)限繼承靈活性的同時，也提高了權(quán)限繼承過程的安全性和可控性，增強了整個多租戶系統(tǒng)的安全防護能力。

27、結(jié)合第一方面的一些實施例，在一些實施例中，校驗源租戶的授權(quán)資格，具體包括：

28、讀取源租戶的資質(zhì)等級信息，資質(zhì)等級信息用于標識源租戶的授權(quán)能力范圍；

29、獲取角色授權(quán)請求中待授權(quán)的角色信息；

30、將角色信息與源租戶的資質(zhì)等級信息進行匹配；

31、當角色信息未超出資質(zhì)等級允許的授權(quán)范圍時，確定源租戶具備授權(quán)資格；

32、當角色信息超出資質(zhì)等級允許的授權(quán)范圍時，拒絕角色授權(quán)請求。

33、通過采用上述技術(shù)方案，通過讀取源租戶的資質(zhì)等級信息并與待授權(quán)的角色信息進行匹配，系統(tǒng)能夠在授權(quán)操作執(zhí)行前判斷源租戶是否具有相應(yīng)的授權(quán)能力。當角色信息超出資質(zhì)等級允許的授權(quán)范圍時，系統(tǒng)會直接拒絕角色授權(quán)請求，避免了越權(quán)授權(quán)的情況發(fā)生，能夠準確控制不同等級源租戶的授權(quán)范圍。通過實施嚴格的資質(zhì)等級管理和授權(quán)范圍控制，系統(tǒng)可以降低權(quán)限泄露和越權(quán)操作的風險，保障了多租戶環(huán)境下權(quán)限繼承機制的安全性和可控性。

34、結(jié)合第一方面的一些實施例，在一些實施例中，在校驗源租戶的授權(quán)資格之后，方法還包括：

35、記錄源租戶的授權(quán)請求時間、授權(quán)對象、授權(quán)內(nèi)容和校驗結(jié)果；

36、統(tǒng)計源租戶在預(yù)設(shè)時間窗口內(nèi)的授權(quán)次數(shù)和授權(quán)成功率；

37、當授權(quán)次數(shù)超過預(yù)設(shè)閾值或授權(quán)成功率低于預(yù)設(shè)標準時，降低源租戶的授權(quán)限額。

38、通過采用上述技術(shù)方案，當發(fā)現(xiàn)源租戶在預(yù)設(shè)時間窗口內(nèi)的授權(quán)行為異常時，系統(tǒng)會自動降低其授權(quán)限額，從而抑制潛在的濫用授權(quán)或惡意授權(quán)行為，能夠及時發(fā)現(xiàn)并處理異常的授權(quán)模式，降低因頻繁授權(quán)或低質(zhì)量授權(quán)導(dǎo)致的系統(tǒng)風險。系統(tǒng)通過量化分析源租戶的授權(quán)行為特征，實現(xiàn)了授權(quán)管理的智能化和自動化，減少了人工干預(yù)的需求，提高了系統(tǒng)的安全性和可靠性。

39、結(jié)合第一方面的一些實施例，在一些實施例中，降低源租戶的授權(quán)限額，具體包括：

40、讀取源租戶的當前授權(quán)限額；

41、根據(jù)授權(quán)次數(shù)和授權(quán)成功率計算授權(quán)限額的調(diào)整系數(shù)；

42、將當前授權(quán)限額乘以調(diào)整系數(shù)，得到新的授權(quán)限額。

43、通過采用上述技術(shù)方案，通過引入授權(quán)限額調(diào)整系數(shù)的計算方法，系統(tǒng)實現(xiàn)了對源租戶授權(quán)限額的精確調(diào)整。基于授權(quán)次數(shù)和授權(quán)成功率計算得到的調(diào)整系數(shù)，能夠客觀反映源租戶的授權(quán)行為質(zhì)量，并據(jù)此對授權(quán)限額進行相應(yīng)的動態(tài)調(diào)整。系統(tǒng)通過將當前授權(quán)限額與調(diào)整系數(shù)相乘得到新的授權(quán)限額，確保了限額調(diào)整的連續(xù)性和平滑性。

44、第二方面，本技術(shù)實施例提供了一種支持權(quán)限繼承的多租戶用戶管理系統(tǒng)，該支持權(quán)限繼承的多租戶用戶管理系統(tǒng)包括：一個或多個處理器和存儲器；存儲器與一個或多個處理器耦合，存儲器用于存儲計算機程序代碼，計算機程序代碼包括計算機指令，一個或多個處理器調(diào)用計算機指令以使得系統(tǒng)執(zhí)行如第一方面以及第一方面中任一可能的實現(xiàn)方式描述的方法。

45、第三方面，本技術(shù)實施例提供一種計算機可讀存儲介質(zhì)，包括指令，當上述指令在系統(tǒng)上運行時，使得上述系統(tǒng)執(zhí)行如第一方面以及第一方面中任一可能的實現(xiàn)方式描述的方法。

46、第四方面，本技術(shù)實施例提供一種計算機程序產(chǎn)品，當計算機程序產(chǎn)品在系統(tǒng)上運行時，使得系統(tǒng)執(zhí)行如第一方面中任一可能的實現(xiàn)方式描述的方法。

47、本技術(shù)實施例中提供的一個或多個技術(shù)方案，至少具有如下技術(shù)效果或優(yōu)點：

48、1、本技術(shù)提供了一種支持權(quán)限繼承的多租戶用戶管理方法，通過建立權(quán)限繼承映射表記錄源租戶和目標租戶之間的權(quán)限繼承關(guān)系，并利用雙向映射緩存分別存儲源租戶角色到目標租戶用戶的映射關(guān)系以及目標租戶用戶到源租戶角色的映射關(guān)系。當源租戶角色的權(quán)限發(fā)生變更時，系統(tǒng)能夠基于第一映射表快速定位受影響的目標租戶用戶集合，并通過消息隊列異步推送權(quán)限更新消息。在目標租戶用戶發(fā)起權(quán)限驗證時，系統(tǒng)可以根據(jù)第二映射表快速獲取該用戶繼承的源租戶角色信息，并將源租戶角色的當前操作權(quán)限與目標租戶用戶自身的操作權(quán)限進行合并，從而得到準確的實時權(quán)限數(shù)據(jù)，提高了權(quán)限數(shù)據(jù)的實時性和準確性，降低了系統(tǒng)的響應(yīng)延遲，提高了權(quán)限管理的效率。

49、2、本技術(shù)提供了一種支持權(quán)限繼承的多租戶用戶管理方法，通過在接收角色授權(quán)請求前，引入授權(quán)接收配置和源租戶授權(quán)資格校驗機制，實現(xiàn)了對權(quán)限繼承來源的精確控制。系統(tǒng)通過白名單機制限定了允許接收權(quán)限繼承的源租戶范圍，并對源租戶的授權(quán)資格進行嚴格校驗，防止了未經(jīng)授權(quán)的租戶進行越權(quán)操作。通過在權(quán)限繼承之前進行資格審查，系統(tǒng)能夠從源頭上控制權(quán)限繼承的合法性，降低了權(quán)限泄露風險，在保證權(quán)限繼承靈活性的同時，也提高了權(quán)限繼承過程的安全性和可控性，增強了整個多租戶系統(tǒng)的安全防護能力。

50、3、本技術(shù)提供了一種支持權(quán)限繼承的多租戶用戶管理方法，當發(fā)現(xiàn)源租戶在預(yù)設(shè)時間窗口內(nèi)的授權(quán)行為異常時，系統(tǒng)會自動降低其授權(quán)限額，從而抑制潛在的濫用授權(quán)或惡意授權(quán)行為，能夠及時發(fā)現(xiàn)并處理異常的授權(quán)模式，降低因頻繁授權(quán)或低質(zhì)量授權(quán)導(dǎo)致的系統(tǒng)風險。系統(tǒng)通過量化分析源租戶的授權(quán)行為特征，實現(xiàn)了授權(quán)管理的智能化和自動化，減少了人工干預(yù)的需求，提高了系統(tǒng)的安全性和可靠性。