如何控制接口访问权限

为什么要添加业务权限凭证

通过业务权限凭证，可以控制AstroZero的用户对于自定义公共接口的访问权限。如果用户权限中包含了某个业务权限凭证，该用户将能够调用配置了相应业务权限凭证的自定义公共接口。

什么是业务权限凭证

业务权限凭证用于控制接口的访问权限，AstroZero提供了配置权限脚本和配置API接口两种方式来控制API接口的访问权限。建议优先通过权限脚本进行权限验证，根据脚本的返回值判断下一步的操作。

• 对于配置了业务权限凭证的接口，需要在权限的“业务权限凭证”页签中接入相应的业务权限凭证，才可调用API接口。
  • 若用户（User）没有配置业务权限凭证，则继续校验Profile权限中的数据权限（例如执行服务编排、执行脚本、对象的增删改查、API读、API写权限）。
  • 若业务用户（PortalUser）没有配置业务权限凭证，调用接口直接报错，不会继续校验Profile权限中的数据权限。
• 对于未配置业务权限凭证的接口，则需要查看内置系统参数“bingo.permission.customapi.check”取值，该参数控制公共接口未绑定业务权限凭证时的逻辑。
  • 若该参数取值为“是”，公共接口未绑定业务权限凭证时，业务用户（PortalUser）无法访问该接口；对于用户（User），则继续校验Profile权限中的数据权限。
  • 若该参数取值为“否”，公共接口未绑定业务权限凭证时，业务用户（PortalUser）可直接访问该接口，无需鉴权；对于用户（User），则继续校验Profile权限中的数据权限。

  例如：内置参数bingo.permission.customapi.check配置为“是”，接口未绑定业务权限凭证，即使在权限设置中勾选“API读”与“API写”权限，业务用户也无法操作对象数据。若业务用户需要操作对象数据，请将该内置参数配置为“否”。

  查看和配置该系统参数的方法为：参考如何登录新版环境配置中操作登录新版环境配置，在“配置 > 系统设置 > 系统参数 > 内置系统参数”中，可查看和配置该参数。

  图1 内置系统参数
  

如何配置业务权限凭证

1. 参考如何登录新版应用设计器中操作，登录新版应用设计器。
2. 在左侧导航栏中，单击“设置”。
3. 在应用设置中，选择“权限设置”，进入业务权限凭证页面。
4. 单击“新建”，设置业务权限凭证标签和名称，单击“保存”。
   图2 新建业务权限凭证
   

5. 为API接口添加业务权限凭证。
   1. 参考如何登录新版环境配置中操作，登录新版环境配置。
   2. 在主菜单中，选择“维护”。
   3. 在左侧导航栏中，选择“全局元素 > 自定义接口”。
   4. 在自定义接口列表中，单击已创建接口的操作名称，进入接口详情页面。
   5. 单击业务权限凭证中的“编辑”，将相应的权限凭证添加到右侧选择框中，单击“保存”。
      图3 添加业务权限凭证
      

6. 在主菜单中，选择“配置”，在左侧导航栏中，选择“用户安全 > 权限”。
7. 在权限列表中，单击需要配置业务权限凭证的权限名称，进入权限详情页面。
8. 在“业务权限凭证”页签，单击。
9. 勾选对应业务权限凭证后的“可接入”，单击。
   图4 权限绑定业务权限凭证
   

10. 在左侧导航栏中，选择“用户安全 > 用户”。

    或者在主菜单中，选择“维护”，单击“全局元素 > 业务用户”。

11. 为用户或业务用户配置相应的权限，该用户即可获取调用相应API接口的权限，否则将无法通过API接口的业务权限凭证校验。
    图5 为用户或业务用户添加权限
    
    

    AstroZero对用户和业务用户，在业务权限凭证校验的处理有所不同。平台用户在业务权限凭证校验失败后，会进行下一步的权限校验。如果后续校验通过，仍可以调通API接口。业务用户则在业务权限凭证校验失败时，直接报错，终止操作。