CN101593260B - 一种管理系统权限的应用方法和装置 - Google Patents
一种管理系统权限的应用方法和装置 Download PDFInfo
- Publication number
- CN101593260B CN101593260B CN 200910088497 CN200910088497A CN101593260B CN 101593260 B CN101593260 B CN 101593260B CN 200910088497 CN200910088497 CN 200910088497 CN 200910088497 A CN200910088497 A CN 200910088497A CN 101593260 B CN101593260 B CN 101593260B
- Authority
- CN
- China
- Prior art keywords
- user
- authority
- role
- sign
- system resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种管理系统权限的应用方法和装置,包括设置权限表,用于保存权限名称和该权限在权限授予标志中比特位置的对应关系。当接收到用户发送的操作请求命令,对用户鉴权并在鉴权的过程中获取权限授予标志,根据操作请求命令中的权限名称查询权限表以确定相应的比特位置,再利用确定的比特位置从获取的权限授予标志中判断授权情况,然后将鉴权结果返回给用户。应用本发明方案,由于用户本身的授权没有固定,在权限表增加一项定义,在权限授予标志中增加一个比特位置,以及为角色授予新权限等操作很容易实现,从而可以灵活地对权限进行扩展。
Description
技术领域
本发明涉及系统权限管理技术,特别是涉及一种管理系统权限的应用方法和装置。
背景技术
现有技术中,管理系统中的用户可以对系统中的资源进行操作。为了协调和管理用户对资源的操作,系统通常会针对不同的管理人员授予不同的权限。当某个管理人员发起对某个资源的操作时,管理系统就可以根据事先设置的权限进行鉴权,如果鉴权通过,就允许其进行操作,否则不允许对该资源进行操作。
比如,某个交通监控管理系统涉及省、市、区等各行政管理级别,还涉及针对不同交通岗位的角色以及归属于某种或某几种角色的交通管理员。为了体现各行政管理级别、各种角色以及各用户在系统中权限的区别,该交通监控管理系统可以为其设计不同的权限。例如省级交通部门可以对各市的摄像头、监视器进行操作,而某个市只能对辖区内的摄像头和监视器进行操作,而不能对其他市的摄像头、监视器进行操作。再例如某个交通管理员可以对某个区的摄像头、监视器进行操作,还可以对另外一个区的摄像头、监视器进行操作。具体如何设置权限则需要根据实际情况确定。
当然,实际应用中还存在其他管理系统,比如多媒体教学管理系统、银行交易管理系统等,也同样涉及不同级别、不同角色、不同用户的情况,这里不再一一列举。但不管是哪种管理系统,其权限的设计通常是按照自身管理系统的特点进行固定设置的。比如:上述交通监控管理系统包括3个摄像头,1个监视器,其中摄像头包括实况、回放、云台控制3种操作,监视器包括轮切配置1种操作。那么,该系统可能根据某个用户所属的级别、角色等情况直接对其赋予固定的权限。比如:用户A的权限=实况+云台控制;用户B的权限=实况+回放+轮切配置。此后,某用户发起对某资源的操作时,管理系统就可以直接根据事先设置的权限对其进行鉴权。
上述这种现有技术方法虽然简单易行,但如果系统中资源种类和数量非常庞大,角色和归属于角色的用户非常复杂,一旦设置的权限固定,就很难进行扩展。比如,系统增加一种新的资源,该新资源具备某种新的操作方式。在这种情况下,由于事先已经为各用户授予了固定的权限,如果系统中用户非常多,要对其中某些用户授予操作该新资源的权限就非常困难。
发明内容
有鉴于此,本发明的主要目的在于提供一种管理系统权限的应用方法,可以灵活地对权限进行扩展。
为了达到上述目的,本发明提出的技术方案为:
一种对管理系统权限进行应用的方法,该方法包括:
设置权限表,用于保存每一种权限名称和权限授予标志中指示该种权限授权情况的比特位置之间的对应关系,所述权限授予标志是指示针对系统资源为用户所属角色授权情况的标志;
当接收到用户发送的操作请求命令,根据操作请求命令对用户鉴权,并在鉴权的过程中获取针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志,根据操作请求命令中的权限名称查询权限表以确定相应的比特位置,再利用确定的比特位置从获取的权限授予标志中判断该权限的授权情况,然后将鉴权结果返回给用户。
上述方案中,所述接收到用户发送的操作请求命令之前,该方法进一步包括:设置角色授权表,该表中的记录用于保存被授权角色的名称、为角色授权针对的系统资源以及权限授予标志之间的对应关系。
上述方案中,所述操作请求命令包括用户名称和用户所要求操作的系统资源;所述接收到用户发送的操作请求命令之前,该方法进一步包括:设置用户角色对应表,用于保存用户名称和用户所属角色的角色名称之间的对应关系;
所述获取针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志的方法包括:
a1、根据操作请求命令中用户名称查询用户角色对应表,以确定用户所属角色的角色名称;
a2、利用确定的角色名称和用户要求操作的系统资源查询角色授权表,以获取对应的权限授予标志,作为针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志。
上述方案中,在对用户鉴权之前,该方法进一步包括:将所有的系统资源利用树结构进行组织,所述树结构中的每一个节点表示一个系统资源,并将所有节点保存在设置的资源表中,一个节点对应资源表中的一个记录;
所述步骤a1之前,该鉴权过程进一步包括:
a0、根据操作请求命令中用户所要求操作的系统资源查询资源表,确定包括用户所要求操作的系统资源的目标节点;根据目标节点查询资源表,确定目标节点到达根节点的路径,将该路径中的所有节点保存在路径列表中,并将确定的路径列表作为待处理路径列表;
所述步骤a2包括:
a21、利用待处理路径列表中节点对应的系统资源和确定的角色名称查询角色授权表,将查询结果中其系统资源位于树结构层次最深的作为待处理记录;
a22、获取待处理记录中权限授予标志,作为针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志。
本发明还提出一种对管理系统权限进行应用的装置,可以灵活地对权限进行扩展。
为了达到上述目的,本发明提出的技术方案为:
一种对管理系统权限进行应用的装置,该装置包括:
存储单元,用于保存权限表,该权限表用于保存每一种权限名称和权限授予标志中指示该种权限授权情况所在的比特位置之间的对应关系,所述权限授予标志是指示针对系统资源为用户所属角色授权情况的标志;
收发单元,用于接收到用户发送的操作请求命令,鉴权结果返回给用户;
权限管理单元,用于在存储单元中设置权限表;根据从收发单元接收到的操作请求命令对用户鉴权,并在鉴权的过程中获取针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志,根据操作请求命令中的权限名称查询权限表以确定相应的比特位置,再利用确定的比特位置从获取的权限授予标志中判断该权限的授权情况,并将授权情况通过收发单元发送给用户。
上述方案中,所述存储单元进一步用于保存角色授权表,该表中的记录用于保存被授权角色的名称、为角色授权针对的系统资源以及权限授予标志之间的对应关系;
所述权限管理单元进一步用于设置角色授权表。
上述方案中,所述存储单元进一步用于保存用户角色对应表,保存用户名称和用户所属角色的角色名称之间的对应关系;
所述权限管理单元包括:
设置单元,用于在存储单元中设置权限表、角色授权表、用户角色对应表;
权限授予标志获取单元,用于根据操作请求命令中的用户名称查询存储单元中的用户角色对应表,以确定用户所属角色的角色名称;利用确定的角色名称和用户要求操作的系统资源查询存储单元中的角色授权表,以获取对应的权限授予标志,作为针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志;
比特位置确定单元,用于根据操作请求命令中的权限名称查询存储单元中的权限表以确定相应的比特位置;
判别单元,用于根据权限利用比特位置确定单元确定的比特位置,和权限授予标志获取单元得到的权限授予标志判断权限的授权情况,并将授权情况通过收发单元发送给用户。
上述方案中,所述设置单元进一步用于在存储单元中设置资源表,将所有的系统资源利用树结构进行组织,所述树结构中的每一个节点表示一个系统资源,一个节点对应资源表中的一个记录;
所述权限管理单元进一步包括路径确定单元,用于根据操作请求命令中用户所要求操作的系统资源查询存储单元中的资源表,确定包括用户所要求操作的系统资源的目标节点;根据目标节点查询存储单元中的资源表,确定目标节点到达根节点的路径,将该路径中的所有节点保存在路径列表中,并将确定的路径列表作为待处理路径列表发送给待处理记录确定单元;
所述权限授予标志获取单元包括:
角色名称获取单元,用于根据操作请求命令中用户名称查询存储单元中的用户角色对应表,以确定用户所属角色的角色名称并发送给待处理记录确定单元;
待处理记录确定单元,利用待处理路径列表中节点对应的系统资源和确定的角色名称查询存储单元的角色授权表,将查询结果中其系统资源位于树结构层次最深的作为待处理记录并发送给权限授予标志查询单元;
权限授予标志确定单元,用于从待处理记录中获取权限授予标志,作为针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志。
综上所述,本发明提出的一种管理系统权限的应用方法和装置,用户本身的授权没有固定,如果对权限进行扩展,只需要在权限表增加一项定义,在权限授予标志中增加一个比特位,为角色授予新权限。而上述操作很容易实现,从而可以灵活地对权限进行扩展。
附图说明
图1是本发明方法流程图。
图2是应用本发明方案的方法实施例的流程图。
图3是方法实施例中体现系统资源归属关系的树结构示意图。
图4是方法实施例中为角色A授权的示意图。
图5是方法实施例中为角色B授权的示意图。
图6是本发明装置的基本结构示意图。
图7是图6中权限管理单元603的内部结构的示意图。
图8是应用本发明方案的装置实施例的基本结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步地详细描述。
本发明提出的技术方案如图1所示,该方法包括:
步骤101:设置权限表,用于保存每一种权限名称和权限授予标志中指示该种权限授权情况所在的比特位置之间的对应关系,所述权限授予标志是指示针对系统资源为用户所属角色授权情况的标志。
步骤102:当接收到用户发送的操作请求命令,根据操作请求命令对用户鉴权,并在鉴权的过程中获取针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志,根据操作请求命令中的权限名称查询权限表以确定相应的比特位置,再利用确定的比特位置从获取的权限授予标志中判断该权限的授权情况,然后将鉴权结果返回给用户。
也就是说,本发明并不为用户授予固定的权限,而是设置一种指示针对系统资源为用户所属角色授权情况的标志,并对系统资源的权限进行定义,以明确权限名称和权限授予标志中指示该种权限授权情况所在的比特位置之间的对应关系。比如:系统资源中共包含实况、回放、云台控制、轮切配置等4种权限,则可以用4个比特位的权限授予标志来表示针对系统资源为用户所属角色的授权情况。其中,可以在权限定义时规定指示上述各种权限授权情况的比特位分别位于权限授予标志中的第3位~第0位。如“1001”可以表示为某个角色授予实况和轮切配置权限,而不授予回放和云台控制的权限。相应的,由于用户总是归属于某个角色,可以继承该角色具备的权限。如果用户发起对某个系统资源进行操作的请求,就可以获取为用户所属角色授权的权限授予标志,再根据权限表定义的比特位置确定用户要求的权限是否授权。
按照本发明上述的技术方案实施,当需要对权限进行扩展时,可以在权限授予标志中新增加一个比特位来指示新权限,在权限表中增加新权限名称和其在权限授予标志中比特位置之间的对应关系,同时按照实际情况为角色授予该新权限。这样,由于上述操作与用户本身的授权没有直接关联,而且在角色数量比较少的情况下,在权限表增加一项定义,在权限授予标志中增加一个比特位,以及为角色授予新权限等操作很容易实现,从而可以灵活地对权限进行扩展。
上述为角色授权的方式在实施例中可以这样实现:设置角色授权表,用于保存被授权角色的名称、为角色授权针对的系统资源以及权限授予标志之间的对应关系。另外,为了体现用户和角色之间的对应关系,还可以设置一个用户角色对应表来保存其对应关系。相应地,上述获取针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志的方法可以包括以下步骤:
a1、根据操作请求命令中用户名称查询用户角色对应表,以确定用户所属角色的角色名称;
a2、利用确定的角色名称和用户要求操作的系统资源查询角色授权表,以获取对应的权限授予标志,作为针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志。
上述方案是通过设置角色授权表、用户和角色对应表等来实现获取权限授予标志的,而实际应用中,也可以不设置角色授权表、用户和角色对应表,只要能记录下为角色授权的情况,以及用户所属的角色即可。比如:如果用户只归属于一种角色,那么系统可以默认该用户所属的角色而不必设置用户和角色对应表。又比如,系统可以在为角色授权并保存其权限授予标志之后,用指针来指示该权限授予标志,而不必设置角色授权表。总之,实际应用中,只要可以明确用户和角色的对应关系,以及被授权角色、针对的系统资源、权限授予标志之间的对应关系即可,而不论采用何种方式来记录。
另外,实际应用中,由于管理系统通常存在某种级别关系,可以利用树结构将所有的系统资源组织起来,树结构中的每一个节点表示一个系统资源。在实施时,为了便于操作,可以将树结构中所有节点保存在设置的资源表中,一个节点对应资源表中的一个记录。另外,实际应用中,如果为某角色针对不同级别的系统资源进行了授权,为了防止各种授权情况的冲突,可以采用深度优先的顺序确定。比如:为某个角色针对树结构中第2层次的某系统资源进行了授权,又同时对该子节点即第3层次的某系统资源进行授权,则可以将第3层次的授权情况作为该角色的授权情况,从而避免冲突。例如“杭州市”是位于树结构中第2层次的系统资源,为角色A针对“杭州市”的授权情况为:授予实况和轮切配置权限,而不授予回放和云台控制的权限;而“西湖区”是位于树结构中第3层次的系统资源,并同时为角色A针对“西湖区”的授权情况为:授予回放和云台控制的权限,而不授予实况和轮切配置权限。为了避免这种冲突,则可以采用深度优先的策略,即确定为第3层次“西湖区”的授权情况是有效的。
如果采用深度优先策略,在上述步骤a1之前,该方法还可以进一步包括:
a0、根据操作请求命令中用户所要求操作的系统资源查询资源表,确定包括用户所要求操作的系统资源的目标节点;根据目标节点查询资源表,确定目标节点到达根节点的路径,将该路径中的所有节点保存在路径列表中,并将确定的路径列表作为待处理路径列表。
同时,所述步骤a2具体包括:
a21、利用待处理路径列表中节点对应的系统资源和确定的角色名称查询角色授权表,将查询结果中其系统资源位于树结构层次最深的作为待处理记录。
a22、获取待处理记录中权限授予标志,作为针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志。
以上描述了在采用深度优先的策略时如何查询和获取权限授予标志的方法。实际应用中,系统资源可以不采用树结构来组织,也可以不采用深度优先的策略来获取权限授予标志。比如,可以用一个简单的列表保存所有的系统资源,而不体现系统内的级别关系。如果利用简单的列表保存系统资源,在获取权限授权标志时,可以先从该列表第一项开始扫描,直到找到用户所要求操作的系统资源,然后再查询事先记录的针对该系统资源为用户所属角色的授权情况,以获取对应的权限授予标志。当然,由于这里没有考虑级别关系和深度优先的策略,如果存在针对某系统资源多次授权的情况,那么先查询到的权限授予标志就是有效的。
为了更好地说明本发明对管理系统权限进行应用的方法的实施,下面用实施例进行详细说明。
本实施例中,假设该管理系统为一个交通监控管理系统。为了便于描述方便,假设该系统包括浙江省、杭州市、滨江区和西湖区共三个级别,系统中可用的资源包括3个摄像头以及1个监视器,各级别和具体的设备都可以作为系统资源。其中,摄像头包括实况、回放、云台控制共3种可供使用的权限,监视器包括轮切配置这1种可供使用的权限。
另外,本实施例还假设用户userA归属于角色A和角色B两种角色。其中,为角色A针对杭州市授予实况和回放2种权限,针对西湖区授予实况和云台控制2种权限;为角色B针对滨江区授予实况和轮切配置2种权限,针对西湖区授予实况、云台控制和轮切配置3种权限。
图2是本实施例方法实现对管理系统权限进行应用的方法流程图。如图2所示,该方法包括:
步骤201:设置权限表,用于保存每一种权限名称和权限授予标志中指示该种权限授权情况所在的比特位置之间的对应关系。
假设本实施例中的权限授予标志为4个比特位,其中,第3位指示实况授权情况,第2位指示回放授权情况,第1位指示云台控制授权情况,第0位指示轮切配置授权情况,那么,本步骤设置的权限表如表一所示:
| 权限名称 | 资源类型 | 比特位置 |
| 实况 | 摄像头 | 3 |
| 回放 | 摄像头 | 2 |
| 云台控制 | 摄像头 | 1 |
| 轮切配置 | 监视器 | 0 |
表一
其中,资源类型是为了本实施例描述方便,在实际应用中可以省略。
步骤202:设置资源表,将所有的系统资源利用树结构进行组织,树结构中的每一个节点表示一个系统资源,一个节点对应资源表中的一个记录。
图3是本实施例中体现系统资源归属关系的树结构示意图,其对应的资源表如表二所示:
| 记录号 | 资源对象 | 资源编号 | 父节点记录号 | 所在层次 |
| 1 | 浙江省 | 001 | - | 1 |
| 2 | 杭州市 | 002 | 1 | 2 |
| 3 | 摄像头1 | 003 | 2 | 3 |
| ... | ... | ... | ... | ... |
| 6 | 西湖区 | 006 | 2 | 3 |
| ... | ... | ... | ... | ... |
| 9 | 摄像头1 | 009 | 6 | 4 |
| ... | ... | ... | ... | ... |
表二
其中,“资源对象”表示一种系统资源,“资源编号”是为了区分树结构中同一种系统资源而设置的,“父节点记录号”表示该节点的父节点在表二中对应的记录号,“所在层次”表示该节点自身在树结构中所在的层次。总之,表二是实践中根据实际情况构造的,其表现形式也可以不同,只要能够体现资源的归属关系以及便于系统操作即可。
步骤203:设置角色授权表,用于保存被授权角色的名称、为角色授权针对的系统资源以及权限授予标志之间的对应关系。
本实施例为角色A和角色B授权的示意图可以参见图4和图5,其角色授权表如表三所示:
| 角色名称 | 资源对象 | 资源编号 | 权限授予标志 |
| A | 杭州市 | 002 | 1100 |
| A | 西湖区 | 006 | 1010 |
| B | 滨江区 | 002 | 1001 |
| B | 西湖区 | 006 | 1011 |
表三
步骤204:设置用户角色对应表,用于保存用户名称和用户所属角色的角色名称之间的对应关系。
本实施例的用户角色对应表如表四所示:
| 用户名称 | 角色名称 |
| userA | A |
| userA | B |
表四
上述步骤201~204分别设置了权限表、资源表、角色授权表、用户角色对应表,其设置在实际应用中并没有严格的顺序。
步骤205:系统接收到用户发送的操作请求命令,该操作请求命令携带有用户名称、权限名称和要求操作的系统资源。比如:用户userA要求对摄像头1进行实况操作,那么,该请求命令可以携带userA、实况、摄像头1这三种参数。
步骤206:根据操作请求命令中用户所要求操作的系统资源查询资源表,确定包括用户所要求操作的系统资源的目标节点。
假设用户userA要求对摄像头1进行实况操作,那么资源表中记录号为3和9的记录都属于用户所针对的目标节点。
步骤207:根据目标节点查询资源表,确定目标节点到达根节点的路径,将该路径中的所有节点保存在路径列表中。
假设资源表中记录号为3和9的记录都属于用户所针对的目标节点,那么该资源表就存在两条可以到达根节点的路径,即:摄像头1--->杭州市--->浙江省,摄像头1--->西湖区--->杭州市--->浙江省。至于本步骤构成的路径列表可以用任何形式表示,只要将路径中所有节点的信息保存即可,此处不再赘述。
步骤208:从获得的路径列表确定一条作为待处理路径列表。
这里,假设将第一条路径即摄像头1--->杭州市--->浙江省作为待处理路径,其路径列表就是待处理路径列表。
步骤209:根据操作请求命令中用户名称查询用户角色对应表,以确定用户所属角色的角色名称。
本实施例中,假设用户名称为userA,则在本步骤查询出该用户对应的角色名称为角色A和角色B。
步骤210:利用待处理路径列表中节点对应的系统资源和确定的角色名称查询角色授权表,将查询结果中其系统资源位于树结构层次最深的作为待处理记录。
本实施例中,假设待处理路径为摄像头1--->杭州市--->浙江省,用户userA所属的角色为角色A和角色B,那么查询发现为角色A针对待处理路径中的“杭州市”这个系统资源授过权,并且没有为角色B针对待处理路径中的任何系统资源授过权。那么,本步骤将仅有的一个查询结果,即角色授权表中的第一条记录作为待处理记录。
实际应用中,如果查询发现为角色A针对待处理路径中的“摄像头1”和“杭州市”这两个系统资源都授过权;同时,为角色B针对待处理路径中的“杭州市”和“浙江省”这两个系统授过权。那么,对于角色A来说,由于“杭州市”在树结构中的层次为2,“摄像头1”在树结构中的层次为3,“摄像头1”是对于角色A中查询结果中位于树结构层次最深的,则将其在处理角色A时作为待处理记录。按照本实施例这种深度优先的策略,可以避免对资源的操作发生冲突。当然,实际应用中,也可以利用其它的策略来避免冲突,比如级别优先等,此处不再赘述。同样,对于角色B来说,由于“浙江省”在树结构中的层次为1,“杭州市”在树结构中的层次为2,“杭州市”是对于角色B查询结果中位于树结构层次最深的,将其在处理角色B时作为待处理记录。
步骤211:获取待处理记录中权限授予标志,作为针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志。
本实施例中,在处理摄像头1--->杭州市--->浙江省这条路径时,步骤110确定的待处理记录为角色授权表中的第一条记录,其中的权限授予标志为“1100”。即,将“1100”作为针对用户所要求操作的系统资源为用户所属角色A授权的权限授予标志。
步骤212:根据操作请求命令中的权限名称查询权限表以确定相应的比特位置。
假设本实施例中操作请求命令中的权限名称为实况,那么可以从权限表中查询到其在权限授予标志中相应的比特位置为第3位。
步骤213:利用确定的比特位置从获取的权限授予标志中判断该权限的授权情况。
本实施例中,根据步骤211和步骤212的结果可以确定在权限授予标志的第3位内容为“1”,表示已经授权,用户userA可以对摄像头1进行实况操作。这种情况下,用户userA被鉴权通过,可以执行步骤214将鉴权结果通知给用户userA并退出本流程。
实际应用中,如果在本步骤中鉴权没有通过,并且用户属于两种以上角色,步骤210确定出两个以上待处理记录。这种情况下,可以针对其他待处理记录重新执行步骤211~步骤213。也就是说,由于某个用户归属于一个或多个角色,该用户可以继承所属角色的所有权限,即用户的权限是所属角色的并集。这样,只要用户所属某个角色具备该用户要求的权限,该用户就可以视为已经被授权。
如果处理完所有角色对应的待处理记录,鉴权仍然没有通过,并且步骤207确定出两条以上路径。这种情况下,可以针对其他待处理路径重新执行步骤209~步骤213。也就是说,由于用户所要求的系统资源可能位于不同路径中,只要某个路径上的该系统资源被授予用户要求的权限,该用户也可视为已经被授权。当然,这里所述该系统资源被授予用户要求的权限是指针对用户所属角色进行的授权。
步骤214:将鉴权结果通知给用户。
应用本实施例方案,由于没有为用户设置固定的权限,在系统需要增加新的权限时,很容易对其进行扩展。
针对上述方法,本发明还提出一种装置。如图6所示,该装置包括:
存储单元601,用于保存权限表,该权限表用于保存每一种权限名称和权限授予标志中指示该种权限授权情况的比特位置之间的对应关系,所述权限授予标志是指示针对系统资源为用户所属角色授权情况的标志。
收发单元602,用于接收到用户发送的操作请求命令,并将鉴权结果返回给用户。
权限管理单元603,用于在存储单元601中设置权限表;根据从收发单元602接收到的操作请求命令对用户鉴权,并在鉴权的过程中获取针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志,根据操作请求命令中的权限名称查询权限表以确定相应的比特位置,再利用确定的比特位置从获取的权限授予标志中判断该权限的授权情况,并将授权情况通过收发单元602发送给用户。
由于用户的权限是通过对其所属角色授权获得的,那么存储单元601还可以进一步用于保存角色授权表,该表中的记录用于保存被授权角色的名称、为角色授权针对的系统资源以及权限授予标志之间的对应关系。相应地,权限管理单元603则可以进一步用于在存储单元中设置角色授权表。
由于用户可以归属一个或多个角色,那么存储单元601还可以进一步用于保存用户角色对应表,保存用户名称和用户所属角色的角色名称之间的对应关系。
相应的,上述权限管理单元603的内部结构可以如图7所示,包括:
设置单元6031,用于在存储单元601中设置权限表、角色授权表、用户角色对应表。
权限授予标志获取单元6032,用于根据操作请求命令中的用户名称查询存储单元601中的用户角色对应表,以确定用户所属角色的角色名称;利用确定的角色名称和用户要求操作的系统资源查询存储单元601中的角色授权表,以获取对应的权限授予标志,作为针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志。
比特位置确定单元6033,用于根据操作请求命令中的权限名称查询存储单元601中的权限表以确定相应的比特位置。
判别单元6034,利用比特位置确定单元6033确定的比特位置,和权限授予标志获取单元6032得到的权限授予标志判断权限的授权情况,并将授权情况通过收发单元602发送给用户。
图8是应用本发明方案的一个装置实施例。如图8所示,该装置包括:存储单元601、收发单元602、权限管理单元603中的设置单元6031、权限授予标志获取单元6032、比特位置确定单元6033、判别单元6034,上述各单元为图6和图7中相应单元的功能。另外,所述设置单元6031还可以进一步用于在存储单元601中设置资源表,将所有的系统资源利用树结构进行组织,所述树结构中的每一个节点表示一个系统资源,一个节点对应资源表中的一个记录。同时,所述权限管理单元603进一步包括:
路径确定单元6035,用于根据操作请求命令中用户所要求操作的系统资源查询存储单元601中的资源表,确定包括用户所要求操作的系统资源的目标节点;根据目标节点查询存储单元601中的资源表,确定目标节点到达根节点的路径,将该路径中的所有节点保存在路径列表中,并将确定的路径列表作为待处理路径列表发送给待处理记录确定单元6032b;
所述权限授予标志获取单元6032包括:
角色名称获取单元6032a,用于根据操作请求命令中用户名称查询存储单元601中的用户角色对应表,以确定用户所属角色的角色名称并发送给待处理记录确定单元6032b;
待处理记录确定单元6032b,利用待处理路径列表中节点对应的系统资源和确定的角色名称查询存储单元601的角色授权表,将查询结果中其系统资源位于树结构层次最深的作为待处理记录并发送给权限授予标志查询单元6032c;
权限授予标志查询单元6032c,用于从存储单元601角色授权表中待处理记录中获取权限授予标志,作为针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志。
也就是说,设置单元6031在存储单元601中设置权限表、角色授权表、用户角色对应表。其中,权限表用于保存每一种权限名称和权限授予标志中指示该种权限授权情况所在的比特位置之间的对应关系,所述权限授予标志是指示针对系统资源为用户所属角色授权情况的标志;角色授权表用于保存被授权角色的名称、为角色授权针对的系统资源以及权限授予标志之间的对应关系;用户角色对应表用于保存用户名称和用户所属角色的角色名称之间的对应关系;资源表用于将所有的系统资源利用树结构组织起来,树结构中的每一个节点表示一个系统资源,一个节点对应资源表中的一个记录。
这样,当收发单元602接收到用户发送的操作请求命令,路径确定单元6035根据操作请求命令中用户所要求操作的系统资源查询存储单元601中的资源表,确定包括用户所要求操作的系统资源的目标节点,再根据目标节点查询存储单元601中的资源表,确定目标节点到达根节点的路径,将该路径中的所有节点保存在路径列表中,并将确定的路径列表作为待处理路径列表发送给待处理记录确定单元6032b。角色名称获取单元6032a根据操作请求命令中用户名称查询存储单元601中的用户角色对应表,以确定用户所属角色的角色名称并发送给待处理记录确定单元6032b。待处理记录确定单元6032b利用待处理路径列表中节点对应的系统资源和确定的角色名称查询存储单元601的角色授权表,将查询结果中其系统资源位于树结构层次最深的作为待处理记录并发送给权限授予标志查询单元6032c。权限授予标志查询单元6032c从存储单元601角色授权表中待处理记录中获取权限授予标志,作为针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志。另一方面,比特位置确定单元6033根据操作请求命令中的权限名称查询存储单元601中的权限表以确定相应的比特位置。此时,权限授予标志获取单元6032中的权限授予标志查询单元6032c已经获取权限授予标志,比特位置确定单元6033已经获取用户所要求权限相应的位置,由判别单元6034利用确定的比特位置和权限授予标志判断权限的授权情况,并将授权情况通过收发单元602发送给用户。
执行本实施例方案,当需要对权限进行扩展时,可以由设置单元6031在权限授予标志中新增加一位来指示新权限,在权限表中增加新权限名称和其在权限授予标志中比特位置之间的对应关系,同时按照实际情况为角色授予该新权限。这样,由于上述操作与用户本身的授权没有直接关联,而且在角色数量比较少的情况下,在权限表增加一项定义,在权限授予标志中增加一个比特位,以及为角色授予新权限等操作很容易实现,从而灵活地对权限进行扩展。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种对管理系统权限进行应用的方法,其特征在于,该方法包括:
设置权限表,用于保存每一种权限名称和权限授予标志中指示该种权限授权情况所在的比特位置之间的对应关系,所述权限授予标志是指示针对系统资源为用户所属角色授权情况的标志;
当接收到用户发送的操作请求命令,根据操作请求命令对用户鉴权,并在鉴权的过程中获取针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志,根据操作请求命令中的权限名称查询权限表以确定相应的比特位置,再利用确定的比特位置从获取的权限授予标志中判断该权限的授权情况,然后将鉴权结果返回给用户。
2.根据权利要求1所述的方法,其特征在于,所述接收到用户发送的操作请求命令之前,该方法进一步包括:设置角色授权表,该表中的记录用于保存被授权角色的名称、为角色授权针对的系统资源以及权限授予标志之间的对应关系。
3.根据权利要求2所述的方法,其特征在于,所述操作请求命令包括用户名称和用户所要求操作的系统资源;所述接收到用户发送的操作请求命令之前,该方法进一步包括:设置用户角色对应表,用于保存用户名称和用户所属角色的角色名称之间的对应关系;
所述获取针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志的方法包括:
a1、根据操作请求命令中用户名称查询用户角色对应表,以确定用户所属角色的角色名称;
a2、利用确定的角色名称和用户要求操作的系统资源查询角色授权表,以获取对应的权限授予标志,作为针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志。
4.根据权利要求3所述的方法,其特征在于,在对用户鉴权之前,该方法进一步包括:将所有的系统资源利用树结构进行组织,所述树结构中的每一个节点表示一个系统资源,并将所有节点保存在设置的资源表中,一个节点对应资源表中的一个记录;
所述步骤a1之前,该鉴权过程进一步包括:
a0、根据操作请求命令中用户所要求操作的系统资源查询资源表,确定包括用户所要求操作的系统资源的目标节点;根据目标节点查询资源表,确定目标节点到达根节点的路径,将该路径中的所有节点保存在路径列表中,并将确定的路径列表作为待处理路径列表;
所述步骤a2包括:
a21、利用待处理路径列表中节点对应的系统资源和确定的角色名称查询角色授权表,将查询结果中其系统资源位于树结构层次最深的作为待处理记录;
a22、获取待处理记录中权限授予标志,作为针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志。
5.一种对管理系统权限进行应用的装置,其特征在于,该装置包括:
存储单元,用于保存权限表,该权限表用于保存每一种权限名称和权限授予标志中指示该种权限授权情况所在的比特位置之间的对应关系,所述权限授予标志是指示针对系统资源为用户所属角色授权情况的标志;
收发单元,用于接收到用户发送的操作请求命令,鉴权结果返回给用户;
权限管理单元,用于在存储单元中设置权限表;根据从收发单元接收到的操作请求命令对用户鉴权,并在鉴权的过程中获取针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志,根据操作请求命令中的权限名称查询权限表以确定相应的比特位置,再利用确定的比特位置从获取的权限授予标志中判断该权限的授权情况,并将授权情况通过收发单元发送给用户。
6.根据权利要求5所述的装置,其特征在于,所述存储单元进一步用于保存角色授权表,该表中的记录用于保存被授权角色的名称、为角色授权针对的系统资源以及权限授予标志之间的对应关系;
所述权限管理单元进一步用于设置角色授权表。
7.根据权利要求6所述的装置,其特征在于,所述存储单元进一步用于保存用户角色对应表,保存用户名称和用户所属角色的角色名称之间的对应关系;
所述权限管理单元包括:
设置单元,用于在存储单元中设置权限表、角色授权表、用户角色对应表;
权限授予标志获取单元,用于根据操作请求命令中的用户名称查询存储单元中的用户角色对应表,以确定用户所属角色的角色名称;利用确定的角色名称和用户要求操作的系统资源查询存储单元中的角色授权表,以获取对应的权限授予标志,作为针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志;
比特位置确定单元,用于根据操作请求命令中的权限名称查询存储单元中的权限表以确定相应的比特位置;
判别单元,用于根据权限利用比特位置确定单元确定的比特位置,和权限授予标志获取单元得到的权限授予标志判断权限的授权情况,并将授权情况通过收发单元发送给用户。
8.根据权利要求7所述的装置,其特征在于,所述设置单元进一步用于在存储单元中设置资源表,将所有的系统资源利用树结构进行组织,所述树结构中的每一个节点表示一个系统资源,一个节点对应资源表中的一个记录;
所述权限管理单元进一步包括路径确定单元,用于根据操作请求命令中用户所要求操作的系统资源查询存储单元中的资源表,确定包括用户所要求操作的系统资源的目标节点;根据目标节点查询存储单元中的资源表,确定目标节点到达根节点的路径,将该路径中的所有节点保存在路径列表中,并将确定的路径列表作为待处理路径列表发送给待处理记录确定单元;
所述权限授予标志获取单元包括:
角色名称获取单元,用于根据操作请求命令中用户名称查询存储单元中的用户角色对应表,以确定用户所属角色的角色名称并发送给待处理记录确定单元;
待处理记录确定单元,利用待处理路径列表中节点对应的系统资源和确定的角色名称查询存储单元的角色授权表,将查询结果中其系统资源位于树结构层次最深的作为待处理记录并发送给权限授予标志查询单元;
权限授予标志确定单元,用于从待处理记录中获取权限授予标志,作为针对用户所要求操作的系统资源为用户所属角色授权的权限授予标志。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910088497 CN101593260B (zh) | 2009-07-03 | 2009-07-03 | 一种管理系统权限的应用方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910088497 CN101593260B (zh) | 2009-07-03 | 2009-07-03 | 一种管理系统权限的应用方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101593260A CN101593260A (zh) | 2009-12-02 |
| CN101593260B true CN101593260B (zh) | 2011-08-10 |
Family
ID=41407911
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910088497 Active CN101593260B (zh) | 2009-07-03 | 2009-07-03 | 一种管理系统权限的应用方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101593260B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104519072A (zh) * | 2015-01-14 | 2015-04-15 | 浪潮(北京)电子信息产业有限公司 | 一种权限控制方法和装置 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103093140B (zh) * | 2011-10-31 | 2015-11-25 | 腾讯科技(深圳)有限公司 | 权限管理方法及系统 |
| CN103368765B (zh) * | 2012-04-10 | 2016-06-29 | 阿里巴巴集团控股有限公司 | 一种管理系统权限添加方法和装置 |
| CN104516888B (zh) * | 2013-09-27 | 2019-03-26 | 腾讯科技(北京)有限公司 | 多维数据的权限查询方法及装置 |
| CN105488366B (zh) * | 2014-10-13 | 2019-12-10 | 阿里巴巴集团控股有限公司 | 一种数据权限的控制方法和系统 |
| CN104506630B (zh) * | 2014-12-25 | 2019-04-16 | 深圳市华宝电子科技有限公司 | 基于用户角色的权限数据生成方法、服务器及系统 |
| CN105871577A (zh) * | 2015-01-22 | 2016-08-17 | 阿里巴巴集团控股有限公司 | 资源权限管理方法及装置 |
| CN104574185B (zh) * | 2015-02-09 | 2019-02-15 | 中国农业银行股份有限公司 | 一种业务操作方法及装置 |
| CN105303119A (zh) * | 2015-09-14 | 2016-02-03 | 浪潮集团有限公司 | 一种多数据中心权限管理方法及系统 |
| CN105243335A (zh) * | 2015-09-30 | 2016-01-13 | 浪潮集团有限公司 | 一种权限管理方法及装置 |
| CN108073823B (zh) * | 2016-11-18 | 2021-04-20 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及系统 |
| CN106789984A (zh) * | 2016-12-08 | 2017-05-31 | 浙江齐治科技股份有限公司 | 一种访问权限规范和可视化的方法及系统 |
| CN107465687B (zh) * | 2017-08-31 | 2020-06-16 | 深圳英飞拓科技股份有限公司 | 一种权限配置的实现方法、装置及终端 |
| CN107797545A (zh) * | 2017-10-18 | 2018-03-13 | 珠海格力电器股份有限公司 | 一种家用电器数据监控权限的动态分配方法 |
| CN109688086A (zh) | 2017-10-19 | 2019-04-26 | 北京京东尚科信息技术有限公司 | 用于终端设备的权限控制方法和装置 |
| CN108009408A (zh) * | 2017-12-04 | 2018-05-08 | 山东浪潮通软信息科技有限公司 | 一种权限管理方法、装置、可读介质及存储控制器 |
| CN108108634A (zh) * | 2017-12-27 | 2018-06-01 | 北京悦畅科技有限公司 | 数据权限分配方法及装置 |
| CN109740328B (zh) * | 2019-01-08 | 2021-07-02 | 广州虎牙信息科技有限公司 | 一种权限鉴定方法、装置、计算机设备和存储介质 |
| CN110781505B (zh) * | 2019-10-11 | 2020-09-25 | 南京医基云医疗数据研究院有限公司 | 系统构建方法及装置、检索方法及装置、介质和设备 |
| CN114205098B (zh) * | 2020-08-31 | 2023-12-15 | 北京华为数字技术有限公司 | 查询操作权限的方法、装置、设备及计算机可读存储介质 |
-
2009
- 2009-07-03 CN CN 200910088497 patent/CN101593260B/zh active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104519072A (zh) * | 2015-01-14 | 2015-04-15 | 浪潮(北京)电子信息产业有限公司 | 一种权限控制方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101593260A (zh) | 2009-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101593260B (zh) | 一种管理系统权限的应用方法和装置 | |
| CN104471585B (zh) | 用于数据访问控制实施的基于sql转换的优化方法和设备 | |
| CN101631116B (zh) | 一种分布式双重授权及访问控制方法和系统 | |
| US20160217013A1 (en) | Method and system for generating a virtual device resource accessible by an application | |
| US6697811B2 (en) | Method and system for information management and distribution | |
| CN106487763A (zh) | 一种基于云计算平台的数据访问方法及用户终端 | |
| US20100306393A1 (en) | External access and partner delegation | |
| CN104573478A (zh) | 一种Web应用的用户权限管理系统 | |
| CN102422298A (zh) | 分布式计算资源的访问控制系统和方法 | |
| CN103209223A (zh) | 分布式应用会话信息共享方法、系统和应用服务器 | |
| RU2011111936A (ru) | Методики управления доступом к организационной информации субъекта | |
| CN104301301B (zh) | 一种基于云存储系统间的数据迁移加密方法 | |
| CN1996834A (zh) | 获取域信息和与域相关的数据的方法和设备 | |
| GB2610144A (en) | Low trust privileged access management | |
| US20190297085A1 (en) | System and method for user authorization | |
| CN107659450A (zh) | 大数据集群资源的分配方法、分配装置及存储介质 | |
| CN113407929A (zh) | 一种研发设计资源的访问授权方法及系统 | |
| CN102542069A (zh) | Xml数据库系统的xml文档访问控制方法及系统 | |
| CN109543365A (zh) | 一种授权方法及装置 | |
| CN101378329A (zh) | 分布式业务运营支撑系统和分布式业务的实现方法 | |
| CN103049707B (zh) | 一种基于Android平台的GPS数据拦截控制方法 | |
| CN104391935A (zh) | 一种范围锁的实现方法及装置 | |
| KR101792357B1 (ko) | 사용자 정의 협업 워크스페이스 지원 시스템 | |
| CN104717206A (zh) | 一种物联网资源访问权限控制方法及系统 | |
| US20100071029A1 (en) | Method for Granting an Access Authorization for a Computer-Based Object in an Automation System, Computer Program and Automation System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: ZHEJIANG UNIVIEW TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: HUASAN COMMUNICATION TECHNOLOGY CO., LTD. Effective date: 20120220 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20120220 Address after: Hangzhou City, Zhejiang province 310053 Binjiang District Dongxin Road No. 66 building two or three layer A C Patentee after: Zhejiang Uniview Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |