发明内容
基于此,有必要针对传统技术中,对账户权限的管理针对性差、账户权限设置不灵活的问题,提供一种权限设置灵活的账户权限管理的方法及系统。
为实现本发明目的提供的一种账户权限管理的方法,包括账户建立管理的步骤,所述账户建立管理的步骤具体包括以下步骤:
接收账户的权限设置信息,并根据所述权限设置信息确定当前设定账户的初步处理范围;
查看系统中是否存在隐私账户;
当系统中不存在隐私账户时,确定所述初步处理范围为所述账户的最终处理范围;
当所述系统中存在隐私账户时,确定所述隐私账户的隐私处理范围,去除所述初步处理范围中与所述隐私处理范围重叠的处理范围后作为所述账户的最终处理范围。
作为一种账户权限管理的方法的可实施方式,在进行账户权限设置之前还包括以下步骤:
根据系统覆盖范围内的组织结构构成和/或系统涵盖的所处理的产品种类和/或产品的子产品和/或子产品所具有的多个功能项设置多个预设处理权限范围;
所述权限设置信息为所包含的一个或者多个所述预设处理权限范围。
作为一种账户权限管理的方法的可实施方式,所述预设处理权限范围以选项的方式展示给使用者,所述使用者通过选择一个或者多个所述选项构成所述账户的权限设置信息。
作为一种账户权限管理的方法的可实施方式,还包括账户登录管理的步骤,所述账户登录管理包括以下步骤:
接收账户的所述账户权限设置信息和/或所述隐私账户的所述隐私处理范围的修改信息;
根据所述修改信息重新确定所述账户的新的所述最终处理范围。
作为一种账户权限管理的方法的可实施方式,所述账户登录管理的步骤还包括以下步骤:
根据所接收到的账户名和密码验证所登录账户是否合法,若是,则允许登录,并获取所述账户的最终处理范围;若否,则发出登录失败报警。
作为一种账户权限管理的方法的可实施方式,所述账户的账户信息存储在一个账户信息存储模块中,所述账户在多个地点登录时均调用所述账户信息存储模块中所存储的相应账户的账户信息。
基于同一发明构思的一种账户权限管理的系统,包括数据存储模块和权限处理模块,其中,
所述权限处理模块,被配置为在账户建立过程中根据所接收到的账户权限设置信息及隐私账户的隐私处理范围确定所述账户的最终处理范围;
所述数据存储模块,适用于存储所述账户的最终处理范围的处理权限标识对应表;
所述权限处理模块接收到账户的权限设置信息后,根据所述权限设置信息确定当前设定账户的初步处理范围;并查看系统中是否存在隐私账户,若否,则确定所述初步处理范围为所述账户的最终处理范围;若是,则确定所述隐私账户的隐私处理范围,去除所述初步处理范围中与所述隐私处理范围重叠的处理范围后作为所述账户的最终处理范围。
作为一种账户权限管理的系统的可实施方式,还包括权限缓存模块和权限验证模块,其中:
所述权限缓存模块,被配置为根据所述账户的唯一标识,开启一段存储空间来保存所述账户信息及所述账户的最终权限范围;
所述权限验证模块,被配置为根据接收到的账户操作请求从所述权限缓存模块存储的信息中验证所述账户是否拥有所要进行的操作的处理权限。
作为一种账户权限管理的系统的可实施方式,还包括用户登录验证模块,被配置为根据所接收到的账户名和密码验证所登录账户是否合法,若是,则允许登录,并获取所述账户的最终处理范围;若否,则发出登录失败报警。
作为一种账户权限管理的系统的可实施方式,还包括权限更新处理模块,被配置为接收账户的所述账户权限设置信息和/或所述隐私账户的所述隐私处理范围的修改信息,根据所述修改信息重新确定所述账户的新的最终权限范围,并根据所述新的最终权限范围对所述权限缓存模块中的所述最终权限范围进行修改。
作为一种账户权限管理的系统的可实施方式,还包括预设权限存储模块,被配置为根据系统覆盖范围内的组织结构构成、系统涵盖的所处理的产品种类、产品的子产品和子产品所具有的多个功能项设置多个预设处理权限范围;
所述权限设置信息为所包含的一个或者多个所述预设处理权限范围;
且所述组织结构构成中包含子管理范围的上一级管理范围具有继承属性,当所述继承属性开启时,则所述子管理范围对应的账户与其上一级管理范围对应的账户具有相同的所述最终处理范围。
本发明的有益效果包括:本发明的账户权限管理的方法及系统,通过设置隐私账户,能够保证企业或者管理区域范围内特殊文件或者功能的安全性,且通过隐私账户与其他管理账户相结合可实现多种管理范围各不相同的管理账户。而且可通过改变隐私账户的权限改变各账户的管理权限,使账户管理具有更好的可变性、灵活性。其改变了传统技术中单纯的三权分立的管理模式,使权限管理更加灵活,更能适应现代复杂企业结构的管理需求。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图对本发明的账户权限管理的方法及系统的具体实施方式进行说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明一实施例的账户权限管理的方法,适用于对企业级内部的资源进行管理,尤其是对各种账户的权限进行细化和处理。具体的,本实施例对企业内部进行账户权限管理过程中,包括账户建立管理的步骤,如图1所示,所述账户建立管理的步骤具体包括以下步骤:
S110,接收账户的权限设置信息,并根据所述权限设置信息确定当前设定账户的初步处理范围。本发明实施例的方法可应用相对应的系统实现,而某一账户建立过程中,权限设置信息可由用户通过所使用的系统提供,如从所使用的系统中提供的多种权限中进行选择等。而与传统的账户管理中类似,系统中原始默认的账户包括一个系统管理员,系统管理员账户的权限一般较大,只作为基础的建立其他账户之用,而不作为具体管理资源所用。
S120,查看系统中是否存在隐私账户。与传统的账户管理不同,本发明实施例中,设置有隐私账户这一个特殊用户。而且隐私账户在企业或者系统所使用的预定范围内在数据、资料管理方面具有最高的权限,即设置到隐私账户管理范围内的资料只有隐私账户才具有管理(包括读、写及修改等)权限,而其他用户均没有管理权限。因此,在步骤S110检查账户的设定权限后,还要检查当前的系统中是否存在隐私账户,以便保证隐私账户管理范围内资料的安全。
S130,当系统中不存在隐私账户时,确定所述初步处理范围为所述账户的最终处理范围。
此处需要说明的是,虽然本发明实施例的方法中可以设置隐私账户,但是,如果确实没有隐私文件的需求的话,则可不建立隐私账户。而在企业或者使用区域范围内有特殊需要保护的文件、资料或者某些特定的软件功能时,则采用建立隐私账户的方式保护特殊的数据或这功能。当然,可根据需要建立一个或者多个隐私账户。而在步骤S120中进行隐私账户检测时,应检测所有存在的隐私账户。而且隐私账户的管理权限可随时通过隐私账户的修改而改变。
当系统中确实不存在隐私账户时,则根据接收到的权限设置信息对应的初步处理范围作为所要建立的账户的最终处理范围。所述处理范围包括数据的读/写,产品功能的访问,文件的修改等等。
S140,当所述系统中存在隐私账户时,确定所述隐私账户的隐私处理范围,去除所述初步处理范围中与所述隐私处理范围重叠的处理范围后作为所述账户的最终处理范围。本步骤中,将隐私账户所涵盖的处理范围进行去除,从而能保证隐私账户所管理的范围内文件或者功能的安全性。
本发明实施例的账户权限管理的方法,通过设置隐私账户,能够保证企业或者管理区域范围内特殊文件或者功能的安全性,且通过隐私账户与其他管理账户相结合可实现多种管理范围各不相同的管理账户。而且可通过改变隐私账户的权限改变各账户的管理权限,使账户管理具有更好的可变性、灵活性。其改变了传统技术中单纯的三权分立的管理模式,使权限管理更加灵活,更能适应现代复杂企业结构的管理需求。
另外,在进行账户权限设置之前还包括以下步骤:
根据系统覆盖范围内的组织结构构成和/或系统涵盖的所处理的产品种类和/或产品的子产品和/或子产品所具有的多个功能项设置多个预设处理权限范围;而所述权限设置信息为所包含的一个或者多个所述预设处理权限范围。
此处需要说明的是,上述实施例的账户权限管理方法中,新建账户的权限设置信息可通过选择预设的多种或者3种类型账户确定初步的管理范围,再将初步权限处理范围与隐私账户的管理范围进行综合得到账户的最终处理范围。而在本发明实施例中,在建立新账户之前,首先确定所使用系统的覆盖范围。并按照覆盖范围内的组织结构构成进行划分,使每个组织结构构成一个预设处理权限范围,或者按照系统所涵盖的产品种类进行划分,从而使后续在进行账户权限设定时可通过选择某种产品而使账户具有产品的管理权限。也可更具体的对产品按照子产品进行细化,或者对子产品所具有的功能项进行权限范围的细化。当然也可对产品的功能进行权限范围的划分,得到多个预设处理权限范围。另外,也可按照操作类型如对文件的读和写类型进行权限划分。进行如此设定之后,在建立新账户时,可将多个预设处理权限范围进行显示,从而用户可通过选择合适的(一个或者多个)预设处理权限范围输入新建账户的权限设置信息。此种权限设定方法便于用户快速设定各账户所需要的权限,建立各种不同的权限账户,更好的对账户的权限进行管理。且前述的按照组织结构划分权限管理范围、按照产品或者产品功能进行权限划分及按照操作类型进行权限划分等,各种划分方式可相互结合进行,从而能够从多个维度对账户权限进行管理,实现多维度权限管理。
较佳地,当根据系统应用范围内的组织结构或者产品功能设定多个预设处理权限范围后,在建立新账户时,可通过系统将所述预设处理权限范围以选项的方式展示给使用者,所述使用者通过选择一个或者多个所述选项构成所述账户的权限设置信息,确定账户的权限管理范围。
本发明的账户权限管理的方法除了体现在新账户建立过程中权限管理外,还包括账户登录管理的步骤,在账户登录管理中涉及以下步骤:
S210,接收账户的所述账户权限设置信息和/或所述隐私账户的所述隐私处理范围的修改信息。
S220,根据所述修改信息重新确定所述账户的新的所述最终处理范围。
本发明实施例中,当管理员修改了某个账户的权限时,该方法会及时接收到所述修改信息,并根据修改信息重新确定账户的新的最终处理范围。需要说明的是,所述账户权限修改信息包括管理员直接对当前账户权限的修改还包括对隐私账户的权限的修改,因为隐私账户的权限对所有的账户都有影响,因此,在本方法中,当隐私账户的权限进行修改后,要检查所有的其他的账户的权限,将修改后的隐私账户的权限与账户的权限设置信息重新进行综合,得出账户的新的最终处理范围。当然,对某个账户来说,隐私账户变动及其自身账户的权限范围改变时都需要对其权限范围重新进行确定。而新的处理范围的确定可参照步骤S110~S140进行,此中处理方式更为准确。当然,对于权限变小的修改,可直接将最终处理范围缩小即可,而隐私账户没有变化时,可不用再与隐私账户进行综合。如此可提高账户权限修改的效率。还需要说明的是,如果对当前正在使用的账户进行权限修改,在修改后账户新的最终处理范围立即生效。而对于当前没有使用账户,账户修改后会在账户下次登录时进行更新,即,下次账户登录时会检查账户权限是否发生变化(账户权限设置是否辩护及隐私账户权限是否变化),并在发生变化时对账户权限进行重新确定。
更佳地,所述账户登录管理的步骤还包括以下步骤:
S020,根据所接收到的账户名和密码验证所登录账户是否合法,若是,则允许登录,并获取所述账户的最终处理范围;若否,则发出登录失败报警。
此处需要说明的是,步骤S140中确定账户的最终处理范围后,会将最终处理范围进行存储,以便在账户登录时调用,控制账户的权限。
作为一种可实施方式,在本发明一个实施例中,所述账户的账户信息存储在一个账户信息存储模块中,所述账户在多个地点登录时均调用所述账户信息存储模块中所存储的相应账户的账户信息。
所述账户信息,包括账户的唯一标识、账户名称、账户密码以及账户权限等。
本发明实施例中由一个统一的账户信息存储模块对登陆的账户进行实时创建、注销,以及实时存储更新后的基本信息和权限。因为登陆账户的信息都存储在一个账户信息存储模块中,所以很容易实现注销及重新登陆等操作。而且当同一个账户在多个地点登陆时,可以实时同步自己的基本信息(如果其中一个账户有修改自己的基本信息的话)。另外,账户信息统一到一个模块中存储管理能够减少资源占用。例如,一个账户登陆时需要1M的空间用来存储登陆信息,当这个账户在n个地点同时登陆时就需要使用n*1M的空间;但使用统一的账户信息存储模块进行登陆信息存储,无论这个账户在多少个地点登陆只会占用1M的空间。
本领域普通技术人员可以理解,实现上述实施例方法中的全部或部分流程可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
基于同一发明构思,本发明还提供一种账户权限管理的系统,由于此系统解决问题的原理与前述的账户权限管理的方法相似,因此,该系统的实施可以按照前述方法的具体步骤实现,重复之处不再赘述。
本发明其中一个实施例的账户权限管理的系统001,如图2所示,包括数据存储模块100和权限处理模块200。权限处理模块200,被配置为在账户建立过程中根据所接收到的账户权限设置信息及隐私账户的隐私处理范围确定所述账户的最终处理范围。数据存储模块100,适用于存储所述账户的最终处理范围的处理权限标识对应表。
其中,所述权限处理模块200按一下步骤确定账户的最终处理范围:接收到账户的权限设置信息后,根据所述权限设置信息确定当前设定账户的初步处理范围;并查看系统中是否存在隐私账户,若否,则确定所述初步处理范围为所述账户的最终处理范围;若是,则确定所述隐私账户的隐私处理范围,去除所述初步处理范围中与所述隐私处理范围重叠的处理范围后作为所述账户的最终处理范围。
与方法类似,在进行账户权限设置之前,可先根据系统覆盖范围内的组织结构构成和/或系统涵盖的所处理的产品种类和/或产品的子产品和/或子产品所具有的多个功能项设置多个预设处理权限范围;而账户权限设置信息为所包含的一个或者多个所述预设处理权限范围。
数据存储模块100所存储的数据可包括账户唯一标识、管理范围唯一标识、功能唯一标识、是否开启继承、权限精度的范围(域/组)以及访问类型(读/写)。此处所说的域是指系统在另外的区域使用的情况,组是只根据系统使用范围的组织结构构成分成的组。具体的,数据存储模块中的存储的账户的最终处理范围的处理权限标识对应表(简称用户权限表)可包括如下内容:
■UserID:用户唯一标识
■ObjectID:域/组唯一标识
■FuncGUID:功能唯一标识
■Contains:是否开启向下继承
■Type:权限精确到的组织结构范围
■Access:可访问类型(无/读/写)
另外,数据存储模块中还可以包括用户表,包括以下内容:
■UserID:用户唯一标识
域表:
■DomainID:域唯一标识
组表:
■GroupID:组唯一标识
隐私权限表:
■ObjectID:域/组唯一标识
■FuncGUID:功能唯一标识
其中,FuncGUID用来记录对应的子产品的功能项;Type用来记录更能精确到的范围,因为组织结构中分域和组,所以他们对应的功能各不相同,需要靠字段加以区分。
可通过用户权限表中的UserID来一条权限属于哪个用户,也可通过用户权限表中的ObjectID来对应这条权限属于哪个组织范围的,因此可得出:某个用户对某个组织范围有某个功能的访问权限。
对于隐私表,因为隐私表中的数据不单独针对某个用户,除了隐私账户之外所有的账户都会收到这个表中数据的约束。而对于对应的隐私账户的权限处理,可通过系统中的隐私处理模块进行,隐私处理模块获取或接受隐私账户配置的隐私权限(隐私处理范围),并将所确定的范围存储到所述数据存储模块中。
较佳地,在其中一个实施例中,如图3所示,还包括权限缓存模块300和权限验证模块400。其中:权限缓存模块300,被配置为根据所述账户的唯一标识,开启一段存储空间来保存所述账户信息及所述账户的最终权限范围;权限验证模块400,被配置为根据接收到的账户操作请求从所述权限缓存模块存储的信息中验证所述账户是否拥有所要进行的操作的处理权限。
需要说明的是,所述权限验证模块接收用户的唯一标识、管理范围唯一标识、功能唯一标识以及操作类型,根据接收到的数据从所述权限缓存模块中验证权限。限制账户进行超越权限的操作。所述唯一标识为账户建立时即产生的账户所对应的唯一标识,并存储在数据存储模块中。
较佳地,作为一种可实施方式,如图4所示,还包括用户登录验证模块010,其被配置为根据所接收到的账户名和密码验证所登录账户是否合法,若是,则允许登录,并获取所述账户的最终处理范围;若否,则发出登录失败报警。此为账户安全的基础保证,防止账户被盗用。
另外,账户权限管理的系统还包括可以包括权限更新处理模块,其被配置为接收账户的所述账户权限设置信息和/或所述隐私账户的所述隐私处理范围的修改信息,根据所述修改信息重新确定所述账户的新的最终权限范围,并根据所述新的最终权限范围对所述权限缓存模块中的所述最终权限范围进行修改。
作为一种可实施方式,所述账户权限管理的系统中还包括预设权限存储模块,其被配置为根据系统覆盖范围内的组织结构构成、系统涵盖的所处理的产品种类、产品的子产品和子产品所具有的多个功能项设置多个预设处理权限范围。设置多个预设处理权限范围后,在进行账户建立时,可选择组合多个预设处理权限范围构成账户的权限设置信息,通过多个预设处理权限范围的综合确定账户的最终处理范围。
更佳地,一个组织结构中可包括多个子组织结构,可称其为母组和子组,所述子组对应一个子管理范围,母组对应一个母管理范围,母管理范围作为子管理范围的上一级管理范围,其大于所述子管理范围。可在母组中设置继承属性,当所述继承属性开启时,则所述子管理范围对应的账户与其上一级管理范围对应的账户具有相同的所述最终处理范围。
相应的,可在系统中设置权限合并模块和权限展开模块。所述权限合并模块在收到账户的权限设置信息后,针对某个功能以及访问类型查找某个管理范围及以子管理范围是否具有相同的权限,有则只记录最高层管理范围的权限,将最高层管理范围的继承属性设置为开启,并将信息存储到所述数据存储模块100中。如此,合并具有逻辑管理的权限,可减少数据的存储量。所述权限展开模块的功能于所述权限合并模块的工相反,其接收某个账户的唯一标识后,看与其相关联的组织结构或者管理范围(尤其是上一级管理范围)是否开启了继承属性,如果开启了继承属性,则其子管理范围默认具有相同的权限。
下面结合各处理模块对账户登录时的权限初始化步骤进行说明。
如图5所示,首先用户由用户登录验证模块进行登录验证,验证成功后,再由权限缓存模块验证是否存在用户的登录信息,若存在就直接登录成功;若所述用户的登录信息验证失败,则交由权限展开模块展开和获取用户权限,然后将用户权限交由权限缓存模块,权限缓存模块再通过权限处理模块获取所有的隐私权限,并进行权限的合并(删除用户在隐私权限中相同的权限项)得到账户最终处理范围,并保存在缓存中。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。