问题描述

调用任务转交接口时，接口调用人的越权校验范围是什么？

校验范围和方案描述：

接口越权校验主要从以下几个方面对接口的调用人做校验。

在基础服务预置功能项角色：如：消息接口管理员角色，并且给该角色分配功能权限，如待办任务的查看和处理权限。

当接口被调用时，整个校验范围包括了一下三种，只需要满足一种即可调用成功：

1、 是否是流程服务管理员；

2、 是否具备功能权限；

3、 是否是任务的干系人（任务的参与人、流程的发起人等），根据实际的接口功能校验人员。

具体的校验逻辑如图所示：

• 解决方法要求清晰明了，问题回复完整（如有补丁辅助功能实现，需描述具体补丁信息）

• 对于操作类解决方法，要求详述操作与截图（格式：步骤1.... 步骤2....）

场景举例

背景：用户A不是流程服务管理员，且属于消息接口管理员角色，有任务处理权限，并且在接口调用时传入userid。

此时调用接口时的校验步骤：

Step1：校验用户A是否是流程服务管理员：

校验结果不是流程服务管理员则校验A是否具备任务处理权限

Step2：任务处理权限校验：如把消息接口管理员角色分配给用户A，在A用户调用接口时传入userid：

校验结果A具备任务处理权限，则继续校验是否是用户授权组织（即接口入参的user所在的组织要和接口调用人的组织匹配）：

如果消息接口管理员角色具备了消息处理权限，则当A用户调用接口时，还需要判断是否是用户授权组织，匹配成功才能够成功调用。

如果A用户所在的组织为a，传入的user为B ,B所在的组织为b，虽然A用户具备功能处理权限，但是A用户和B用户的组织不匹配，也不能调用接口处理b组织下的任务。此时接着校验A用户是否是任务参与人。

 Step3：校验是否是任务的参与人：

如A用户没有处理任务的权限，此时需要获取当前任务的参与人，如果A是任务的参与人，则能成功调用接口，如果不是则提示: