CN105718812A - 基于用户的双向权限管理机制 - Google Patents
基于用户的双向权限管理机制 Download PDFInfo
- Publication number
- CN105718812A CN105718812A CN201410733780.0A CN201410733780A CN105718812A CN 105718812 A CN105718812 A CN 105718812A CN 201410733780 A CN201410733780 A CN 201410733780A CN 105718812 A CN105718812 A CN 105718812A
- Authority
- CN
- China
- Prior art keywords
- user
- authority
- database
- management mechanism
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
一种基于应用程序安全控制对系统模块的操作权限加以限制,同时又充分利用DBMS提供的完善用户权限管理机制,采用多个不同权限的数据库用户登录数据库的双向权限管理机制。本发明的实施例提供一种当用户进行系统登录时,通过用户信息表进行用户身份验证和权限审核,并通过用户所属组对应的数据库用户重新登录数据库,而系统管理员可以通过用户管理模块添加新用户.每个系统用户对系统中统时根据用户表权限进行权限审查,对于没有授权的模块,用户则不能进入。一方面为系统管理员提供了灵活、方便的操作界面,另一方面又充分利用DBMS本身的安全管理机制,具有安全性好、操作方便、实现容易等优点。
Description
技术领域
本发明涉及数据库应用系统开发技术领域,尤其涉及开发过程中用户的权限管理。
背景技术
权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。企业IT管理员一般都能为系统定义角色,给用户分配角色。这就是最常见的基于角色访问控制。从控制力度来看,可以将权限管理分为两大类:1,功能级权限管理;2,数据级权限管理。从控制方向来看,也可以将权限管理分为两大类:1,从系统获取数据,比如查询订单、查询客户资料;2,向系统提交数据,比如删除订单、修改客户资料。
在数据库应用系统开发中,系统安全性是整个系统设计中的一个关键环节.要进行用户身份验证、操作权限控制,必须首先分析用户是如何进入系统并访问数据的.一个典型的数据库系统一般由数据库、数据库管理系统(及其开发工具)、应用系统、数据库管理员和用户构成.在实际应用系统开发中,一般通过两种途径来实现用户权限管理:直接采用DBMS提供的用户管理机制.(1)应用系统直接利用DBMS的用户管理机制进行用户权限管理,而且现在大型数据库系统如Oracle等使用角色的方法也提供了完善的用户权限管理机制.但在实际应用中,如果系统情况允许,可以为每一个系统用户建立一个数据库用户(账号),并对所有账号进行严密的权限管理.但是,如果用户的数量不确定,而且可能有上百个,就增加了管理的复杂度及难度,所以在一般的应用系统中,很少直接采用DBMS提供的用户管理机制.(2)由应用程序自身来实现.由于数据库用户的权限是唯一固定的,这样应用程序安全控制非常复杂,存在安全机制不完善、不灵活、开发工作量大等缺点,而且有时非法用户会跳过前台应用程序直接访问后台数据,所以这种方法也不是一种高效、安全的方法.
系统实施基于用户的双向权限管理机制所带来的好处:双重用户权限管理机制一方面为系统管理员提供了灵活、方便的操作界面,另一方面又充分利用DBMS本身的安全管理机制,具有安全性好、操作方便、实现容易等优点,
发明内容
为了克服现有的权限管理机制的不足,本发明提供一种应用程序安全控制对系统模块的操作权限加以限制,同时又充分利用DBMS提供的完善用户权限管理机制,采用多个不同权限的数据库用户登录数据库,对于应用程序不能控制的安全性可以通过DBMS进行控制.这样一方面可以减少应用程序安全控制的复杂度和难度,另一方面又可充分利用DBMS的安全管理机制进行安全控制
本发明解决其技术问题所采用的技术方案是:当用户进行系统登录时,通过用户信息表进行用户身份验证和权限审核,并通过用户所属组对应的数据库用户重新登录数据库,而系统管理员可以通过用户管理模块添加新用户.每个系统用户对系统中统时根据用户表权限进行权限审查,对于没有授权的模块,用户则不能进入.对于已经具有某模块权限的用户不一定具有对该模块中所有数据操作的全部操作权限,这还需要审查该用户是否具有相应的数据操作权限.根据对系统使用人员实际情况分析,将系统用户根据使用权限划分为几个用户组,为每一个用户组建立一个数据库登录用户,这样每个系统用户就可以通过所属用户组对应的数据库用户身份进行数据库登录,当然该应用系统用户对数据库的操作权限也就限制在该数据库用户的操作权限范围之内.
本发明的有益效果是,一个应用系统用户必须对应某一DBMS用户,才能利用这个DBMS用户进行数据库登录,否则无法访问数据.一个DBMS可以对应多个系统用户,这样当系统使用人员增加时,只需把人员归属某一DBMS用户,而不必为每个用户的数据操作权限进行设置.而DBMS用户是事先根据情况在DBMS上新建并对数据库操作权限进行相应的控制.其安全性可以到表级、列级、行级,这样既可以充分利用DBMS本身的安全管理机制,又可通过应用程序为系统管理员提供灵活、方便的操作界面,实现从前台应用程序和后台DBMS两个方面对用户进行双重权限控制.
附图说明
下面结合附图和实施例对本发明进一步说明。
图1为本发明实例应用系统用户访问数据库。
图2为本发明实例用户关系结构图。
图3为本发明实例用户关系主支结构图。
图4为本发明实例用系统用户登录的关键类程序图。
图5为本发明实例用户登录流程图。
具体实施方式
在图2中,表示了基于用户的双向权限管理机制用户关系结构图。(1)用户身份验证.应用系统中维护一个用户信息表,其中包括用户名、用户口令、用户模块权限、用户分组等信息.当用户进行系统登录时,通过该表进行用户身份验证和权限审核,并通过用户所属组对应的数据库用户重新登录数据库,而系统管理员可以通过用户管理模块添加新用户.
(2)用户模块权限管理.每个系统用户对系统中统时根据用户表权限进行权限审查,对于没有授权的模块,用户则不能进入.当然系统中可以有多级模块,用户对某一模块无权时,对相应该模块的子模块也无权.但对于已经具有某模块权限的用户不一定具有对该模块中所有数据操作的全部操作权限,这还需要审查该用户是否具有相应的数据操作权限.
(3)数据库操作权限控制.数据库操作权限是指以某一数据库用户身份登录数据库时该用户所具有操作数据的权限.一个数据库可以有多个数据库用户登录,这多个数据库用户可以利用DBMS用户管理机制进行灵活、安全设定,其安全性机制包括系统权限和数据库对象权限设定.为了充分利用DBMS提供的这种安全机制,在应用系统设计时,根据对系统使用人员实际情况分析,将系统用户根据使用权限划分为几个用户组,为每一个用户组建立一个数据库登录用户,这样每个系统用户就可以通过所属用户组对应的数据库用户身份进行数据库登录,当然该应用系统用户对数据库的操作权限也就限制在该数据库用户的操作权限范围之内.因此,通过系统用户与数据库这种对应关系可以实现系统用户对数据库操作权限的控制,而且这样也可以防止非法用户跳过应用程序直接访问数据.所有模块的操作都受一定的限制.
Claims (3)
1.基于用户的双向权限管理机制,其特征是:基于应用程序安全控制对系统模块的操作权限加以限制,同时又充分利用DBMS提供的完善用户权限管理机制,采用多个不同权限的数据库用户登录数据库。
2.根据权利要求1所述的基于应用程序安全控制对系统模块的操作权限加以限制,其特征是:当用户进行系统登录时,通过用户信息表进行用户身份验证和权限审核,并通过用户所属组对应的数据库用户重新登录数据库,而系统管理员可以通过用户管理模块添加新用户.每个系统用户对系统中统时根据用户表权限进行权限审查,对于没有授权的模块,用户则不能进入.对于已经具有某模块权限的用户不一定具有对该模块中所有数据操作的全部操作权限,这还需要审查该用户是否具有相应的数据操作权限。
3.根据权利要求1所述的利用DBMS提供的完善用户权限管理机制,采用多个不同权限的数据库用户登录数据库,其特征是:根据对系统使用人员实际情况分析,将系统用户根据使用权限划分为几个用户组,为每一个用户组建立一个数据库登录用户,这样每个系统用户就可以通过所属用户组对应的数据库用户身份进行数据库登录,当然该应用系统用户对数据库的操作权限也就限制在该数据库用户的操作权限范围之内。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410733780.0A CN105718812A (zh) | 2014-12-05 | 2014-12-05 | 基于用户的双向权限管理机制 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410733780.0A CN105718812A (zh) | 2014-12-05 | 2014-12-05 | 基于用户的双向权限管理机制 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105718812A true CN105718812A (zh) | 2016-06-29 |
Family
ID=56143881
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410733780.0A Pending CN105718812A (zh) | 2014-12-05 | 2014-12-05 | 基于用户的双向权限管理机制 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105718812A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112199700A (zh) * | 2020-10-14 | 2021-01-08 | 北京理工大学 | 一种mes数据系统的安全管理方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101860436A (zh) * | 2009-04-08 | 2010-10-13 | 北京博越世纪科技有限公司 | 一项精准控制系统用户数据权限的技术 |
| CN102402663A (zh) * | 2011-12-01 | 2012-04-04 | 浪潮电子信息产业股份有限公司 | 一种管理信息系统中自定义角色权限的方法 |
| CN103593602A (zh) * | 2012-08-14 | 2014-02-19 | 深圳中兴网信科技有限公司 | 一种用户权限管理方法和系统 |
| CN103632082A (zh) * | 2013-12-10 | 2014-03-12 | 惠州华阳通用电子有限公司 | 一种通用权限管理系统及方法 |
| CN104052747A (zh) * | 2014-06-23 | 2014-09-17 | 桂林长海科技有限责任公司 | 一种基于rbac的权限管理系统 |
-
2014
- 2014-12-05 CN CN201410733780.0A patent/CN105718812A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101860436A (zh) * | 2009-04-08 | 2010-10-13 | 北京博越世纪科技有限公司 | 一项精准控制系统用户数据权限的技术 |
| CN102402663A (zh) * | 2011-12-01 | 2012-04-04 | 浪潮电子信息产业股份有限公司 | 一种管理信息系统中自定义角色权限的方法 |
| CN103593602A (zh) * | 2012-08-14 | 2014-02-19 | 深圳中兴网信科技有限公司 | 一种用户权限管理方法和系统 |
| CN103632082A (zh) * | 2013-12-10 | 2014-03-12 | 惠州华阳通用电子有限公司 | 一种通用权限管理系统及方法 |
| CN104052747A (zh) * | 2014-06-23 | 2014-09-17 | 桂林长海科技有限责任公司 | 一种基于rbac的权限管理系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112199700A (zh) * | 2020-10-14 | 2021-01-08 | 北京理工大学 | 一种mes数据系统的安全管理方法及系统 |
| CN112199700B (zh) * | 2020-10-14 | 2022-07-19 | 北京理工大学 | 一种mes数据系统的安全管理方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106411857B (zh) | 一种基于虚拟隔离机制的私有云gis服务访问控制方法 | |
| CN108259422B (zh) | 一种多租户访问控制方法和装置 | |
| US8844015B2 (en) | Application-access authentication agent | |
| US9298933B2 (en) | Autonomous role-based security for database management systems | |
| CN105184144A (zh) | 一种多系统权限管理方法 | |
| CN108092945B (zh) | 访问权限的确定方法和装置、终端 | |
| CN107066867A (zh) | 一种大数据集群资源分配方法及装置 | |
| CN105550590A (zh) | 基于角色的权限控制机制 | |
| CN104506514A (zh) | 一种基于hdfs的云存储访问控制方法 | |
| CN103379089A (zh) | 基于安全域隔离的访问控制方法及其系统 | |
| US8763095B2 (en) | Authorization sharing | |
| CN107659450A (zh) | 大数据集群资源的分配方法、分配装置及存储介质 | |
| CN102904877A (zh) | 一种基于云存储的二进制序列化角色权限管理方法 | |
| US20190354395A1 (en) | Limiting folder and link sharing | |
| CN106534202A (zh) | 一种权限处理方法及装置 | |
| CN110557406A (zh) | 一种基于Keycloak角色权限控制系统的方法 | |
| CN105653962B (zh) | 一种面向对象的用户角色资源权限模型管理方法 | |
| CN102411689B (zh) | 一种对数据库管理员权限进行控制的方法 | |
| CN104994086B (zh) | 一种数据库集群权限的控制方法及装置 | |
| CN109033861A (zh) | 系统中对授权操作者进行授权的方法 | |
| CN102801743B (zh) | 基于多方授权和动态密码的sap安全敏感信息系统 | |
| CN108830565A (zh) | 基于角色的菜单授权方法 | |
| CN108268782A (zh) | 基于角色权限控制的会议机制 | |
| CN105718812A (zh) | 基于用户的双向权限管理机制 | |
| CN101860436A (zh) | 一项精准控制系统用户数据权限的技术 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160629 |
|
| WD01 | Invention patent application deemed withdrawn after publication |