[发明专利]一种基于微服务应用于业务系统的管理权限分离方法

说明书

发明特别涉及一种基于微服务应用于业务系统的管理权限分离方法。该基于微服务应用于业务系统的管理权限分离方法，为了隔离敏感信息，对单体结构的服务进行业务拆分，将不同层面的服务分别以微服务上线；将管理员角色按照服务拆分的维度做职责的区分，每一类拆分的管理员角色负责各自服务所处理的服务，对应负责的服务实施操作，不与其它服务所在的微服务产生直接交互，无法控制或影响其它服务所在的微服务。该基于微服务应用于业务系统的管理权限分离方法，大大简化了操作流程，降低了运维成本，不仅能够避免权限集中在一个管理员身上的弊端，让不同的管理员角色互相牵制，还有助于敏感信息的隔离，从物理上杜绝信息泄露的可能。

技术领域

本发明涉及云服务技术领域，特别涉及一种基于微服务应用于业务系统的管理权限分离方法。

背景技术

虽然当今多层、单体的架构是大多数服务运行的标准，但是多层、单体架构并不适合上云的复杂系统。简单地把原本的系统迁移到云服务器不能满足对于灵活性的需求，其中最重要的问题是延续使用原系统的单体架构阻碍了目标的实现。

一个单体架构的应用以一个独立的可部署的单元构建而成，比如Java的一个单独的WAR文件，也有可能是.NET的一个单独的Web应用或Web站点。这样的架构服务通常由三个部分组成：一个数据库包含大量关系型数据，一个用户接口层实现的客户端(包括HTML页面或浏览器运行的JavaScript)和一个服务端应用。服务端应用处理HTTP请求，执行一些特定的业务逻辑，根据需要从数据库获取或者更新数据，生成HTML页面作为响应发送给客户端浏览器。单体架构的开发遵循面向对象的原则，服务上线后通常持续运行，对于商业的健康发展至关重要。由于所要处理业务的复杂性，这些服务有广泛而深层次的类结构，各个层次之间有许多互相依赖的关系。

得益于相关标准的建立和业界对安全问题的重视，实施三权分立已经成为各类计算机软件服务的基本要求。但是常见的三权分立体系在实现时，各类用户普遍使用统一的入口连接，不同的管理员角色和普通用户的上下文难以明确分离，使用时有超出该用户权限暴露信息的可能性。同时，对于管理员超级权限的划分存在主观性，导致使用过程中管理员角色的具体权限无法做到完全的互斥，也难以实现最小权限原则，常常有某一类管理员的权限过多，其他类型的管理员权限过少的问题。同时，职责分离也并不像三权分立字面意思所表达的一样只限于将管理员权限集中地分为三部分。事实上，对于现代的许多复杂系统，如果只是三种管理员仍然会有权限过于集中的问题。

综上所述，在实现职责分离的时候主要面临以下问题：服务上云后面临更为复杂的网络环境，大量普通用户的连接使用，不规范的职责分离设计都会让服务中原本不明显的权限问题成倍增大。

基于此，本发明提出了一种基于微服务应用于业务系统的管理权限分离方法。

发明内容

本发明为了弥补现有技术的缺陷，提供了一种简单高效的基于微服务应用于业务系统的管理权限分离方法。

本发明是通过如下技术方案实现的：

一种基于微服务应用于业务系统的管理权限分离方法，其特征在于：为了隔离敏感信息，对单体结构的服务进行业务拆分，将不同层面的服务分别以微服务上线；将管理员角色按照服务拆分的维度做职责的区分，每一类拆分的管理员角色负责各自服务所处理的服务，对应负责的服务实施操作，不与其它服务所在的微服务产生直接交互，无法控制或影响其它服务所在的微服务。

将待处理的完整的服务系统分离为主业务服务、业务审计服务和业务安全服务三类服务，并分别部署为微服务；其中，主业务服务完成原有业务的逻辑功能实现，且可以根据业务逻辑进一步进行分割；业务审计服务完成主业务服务系统的审计，业务安全服务完成主业务服务系统的安全管理；