问题描述

调用任务转交接口时，接口调用人的越权校验范围是什么？

校验范围和方案描述：

接口越权校验主要从以下几个方面对接口的调用人做校验。

在基础服务预置功能项角色：如：消息接口管理员角色，并且给该角色分配功能权限，如待办任务的查看和处理权限。

当接口被调用时，整个校验范围包括了一下三种，只需要满足一种即可调用成功：

1、 是否是流程服务管理员；

2、 是否具备功能权限；

3、 是否是任务的干系人（任务的参与人、流程的发起人等），根据实际的接口功能校验人员。

具体的校验逻辑如图所示：

• 解决方法要求清晰明了，问题回复完整（如有补丁辅助功能实现，需描述具体补丁信息）

• 对于操作类解决方法，要求详述操作与截图（格式：步骤1.... 步骤2....）

场景举例

背景：用户A不是流程服务管理员，且属于消息接口管理员角色，有任务处理权限，并且在接口调用时传入userid。

此时调用接口时的校验步骤：

Step1：校验用户A是否是流程服务管理员：

校验结果不是流程服务管理员则校验A是否具备任务处理权限

Step2：任务处理权限校验：如把消息接口管理员角色分配给用户