CN106295265A - 一种用户权限管理的方法及装置 - Google Patents
一种用户权限管理的方法及装置 Download PDFInfo
- Publication number
- CN106295265A CN106295265A CN201510267031.8A CN201510267031A CN106295265A CN 106295265 A CN106295265 A CN 106295265A CN 201510267031 A CN201510267031 A CN 201510267031A CN 106295265 A CN106295265 A CN 106295265A
- Authority
- CN
- China
- Prior art keywords
- authority
- user
- role
- invalid
- corresponding relation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种用户权限管理的方法,包括:读取分配给用户的角色;根据该用户的角色,在预设的角色-权限对应关系中查询该用户的各个角色对应的权限;将该用户的各个角色对应的权限合并为该用户的用户角色权限集;在上述步骤执行前、执行后或者执行过程中,在预设的用户-无效权限对应关系中查询该用户的无效权限,获得该用户的无效权限集;对所述用户角色权限集中包含的权限分别进行检查,判断各个权限是否为所述无效权限集中包含的无效权限;若是,则将属于无效权限的所述权限从所述用户角色权限集中删除,获得用户实际权限集。该方法的实现方式简单,灵活性强,方便对用户权限进行精细化的管理。
Description
技术领域
本申请涉及权限管理领域,具体涉及一种用户权限管理的方法。本申请同时涉及一种用户权限管理的装置。
背景技术
RBAC(Role-Based Access Control,基于角色的访问控制),作为传统访问控制的替代得到了广泛的应用,在基于RBAC的权限体系中,用户是权限的拥有者,通过给用户赋予多个角色的操作,让用户获得对一组资源的操作许可,角色是权限的分配单位与载体,一个角色包含了多个权限,权限是对一个或一组资源操作所需要具备的许可条件,用户依据角色的责任和资格被赋予相应的角色,角色依据新的需求以及系统合并被赋予新的权限,用户通过成为适当角色的成员而得到这些角色的权限。在基于RBAC的权限体系中,权限管理往往依靠“权限管理员”来进行,如附图1所示的基于RBAC的权限体系,由“权限管理员”对用户、角色和权限进行设置,权限管理员的主要工作有两个,一是将各资源的访问权限,根据权限的业务属性组装成具有一定业务含义的角色,二是将设定的角色,根据用户的业务范围赋值给用户。
现有技术提供的用户权限管理方法,在一个组织中,根据用户、角色、权限,基于RBAC建立该组织的权限体系;当组织中有用户加入,如果分配用户的权限包含某个或者某些角色包含的全部权限,则将这些角色赋给用户;如果分配给用户的权限只是某个角色的部分权限时,新建一个角色,将用户的权限赋给新建角色的权限,并将角色赋给用户;当需要对权限体系中的权限进行管理,比如删除某个用户的权限或者开放某个用户的权限,需要分析用户的“角色-权限”以及“用户-角色”之间的对应关系。
上述现有技术提供的用户权限管理方法存在明显的缺陷。
上述现有技术提供的用户权限管理方法的缺点在于,在基于RBAC的权限体系中,随着时间的推移,用户越来越多,用户的角色之间的相似度也越来越高,很多相似的角色出现,并且出现很多单权限的角色,导致角色的业务含义越来越模糊,增加了权限管理的难度和风险;例如:权限体系中存在“安全审计员”这一角色,包含“发起审计”、“删除审计”和“关闭审计”的权限,临时加入一个外包人员,负责审计工作,但是该外包人员不具有“删除审计”的权限,则需创建一个“外包安全审计员”角色,“发起审计”、和“关闭审计”的权限;后续还可能出现“只能删除的安全审计员”、“只能关闭的安全审计员”、“实习安全审计员”的角色;
在对权限体现中的权限进行管理时,需要分析用户的“角色-权限”以及“用户-角色”之间的对应关系,操作复杂繁琐;并且,如果用户通过不同的角色获得了相同的权限,则需要调整多个角色的权限,导致权限体系中角色和权限之间的关系混乱,以及用户和角色的关系混乱。
发明内容
本申请提供一种用户权限管理的方法,以解决现有的用户权限管理方法存在的实现困难、操作复杂繁琐以及关系混乱的问题。本申请同时涉及一种用户权限管理的装置。
本申请提供一种用户权限管理的方法,包括:
读取分配给用户的角色;
根据该用户的角色,在预设的角色-权限对应关系中查询该用户的各个角色对应的权限;
将该用户的各个角色对应的权限合并为该用户的用户角色权限集;
在上述步骤执行前、执行后或者执行过程中,在预设的用户-无效权限对应关系中查询该用户的无效权限,获得该用户的无效权限集;
对所述用户角色权限集中包含的权限分别进行检查,判断各个权限是否为所述无效权限集中包含的无效权限;
若是,则将属于无效权限的所述权限从所述用户角色权限集中删除,获得用户实际权限集,所述用户实际权限集中记载的权限作为实际分配给该用户的权限。
可选的,所述角色-权限对应关系中,每个角色对应至少一个权限。
可选的,所述角色-权限对应关系中,各个角色对应的权限互不重复。
可选的,所述将该用户的各个角色对应的权限合并为该用户的用户角色权限集,采用以下方式:
根据该用户的各个角色对应的权限,生成该用户的各个角色分别对应的角色权限集;
对该用户的各个角色分别对应的角色权限集做或运算,生成所述用户角色权限集。
可选的,所述将所述权限从所述用户角色权限集中删除,采用以下方式:
将所述用户角色权限集与该用户的所述无效权限集做减运算。
可选的,所述用户-无效权限对应关系,通过如下方式获得:
接收用户输入的所述用户-无效权限对应关系。
可选的,所述用户-无效权限对应关系,通过如下方式获得:
判断所述用户角色权限集中包含的权限在所述用户实际权限集中是否存在;
若否,则将所述权限写入所述用户-无效权限对应关系中;
若是,则执行所述判断所述用户角色权限集中包含的权限在所述用户实际权限集中是否存在步骤,直至所述用户角色权限集中包含的权限全部判断完毕。
可选的,所述读取分配给用户的角色,采用以下方式:
从预设的用户-角色对应关系中查询该用户,从对应该用户的记录中读取该用户的各个角色。
可选的,该方法包括:
获取需要对设定用户屏蔽的至少一个权限;
判断所述用户-无效权限对应关系中,是否对应该用户记录有需要对该用户屏蔽的所述权限;
若否,则将所述权限写入所述用户-无效权限对应关系中。
可选的,所述获取对应设定用户的需要对该用户屏蔽的至少一个权限的步骤之前,执行如下步骤:
接收针对设定用户发出的权限屏蔽操作请求。
可选的,该方法包括:
获取需要对设定用户开放的至少一个权限;
判断所述用户-无效权限对应关系中,是否对应该用户记录有需要对该用户开放所述权限;
若是,则删除所述用户-无效权限对应关系中记录的需要对该用户开放所述权限。
可选的,所述获取对应设定用户的需要对该用户开放的至少一个权限的步骤之前,执行如下步骤:
接收针对设定用户发出的权限开放操作请求。
本申请还提供一种用户权限管理的装置,包括:
角色读取单元,用于读取分配给用户的角色;
权限查询单元,用于根据该用户的角色,在预设的角色-权限对应关系中查询该用户的各个角色对应的权限;
用户角色权限集合并单元,用于将该用户的各个角色对应的权限合并为该用户的用户角色权限集;
无效权限查询单元,用于在上述步骤执行前、执行后或者执行过程中,在预设的用户-无效权限对应关系中查询该用户的无效权限,获得该用户的无效权限集;
权限判断单元,用于对所述用户角色权限集中包含的权限分别进行检查,判断各个权限是否为所述无效权限集中包含的无效权限;
若是,则进入权限删除单元;
所述权限删除单元,用于将属于无效权限的所述权限从所述用户角色权限集中删除,获得用户实际权限集,所述用户实际权限集中记载的权限作为实际分配给该用户的权限。
可选的,所述角色-权限对应关系中,每个角色对应至少一个权限。
可选的,所述角色-权限对应关系中,各个角色对应的权限互不重复。
可选的,所述用户角色权限集合并单元,包括:
角色权限集生成子单元,用于根据该用户的各个角色对应的权限,生成该用户的各个角色分别对应的角色权限集;
用户角色权限集运算子单元,用于对该用户的各个角色分别对应的角色权限集做或运算,生成所述用户角色权限集。
可选的,所述权限删除单元,包括:
权限计算子单元,用于将所述用户角色权限集与该用户的所述无效权限集做减运算。
可选的,所述用户-无效权限对应关系,通过用户-无效权限对应关系获取单元获得,所述用户-无效权限对应关系获取单元包括:
用户输入接收子单元,用于接收用户输入的所述用户-无效权限对应关系。
可选的,所述用户-无效权限对应关系,通过用户-无效权限对应关系获取单元获得,所述用户-无效权限对应关系获取单元包括:
判断子单元,用于判断所述用户角色权限集中包含的权限在所述用户实际权限集中是否存在;
若否,则进入写入子单元;
所述写入子单元,用于将所述权限写入所述用户-无效权限对应关系中;
若是,则进入所述判断子单元,直至所述用户角色权限集中包含的权限全部判断完毕。
可选的,所述角色读取单元,包括:
查询读取子单元,用于从预设的用户-角色对应关系中查询该用户,从对应该用户的记录中读取该用户的各个角色。
可选的,该装置包括:
屏蔽权限获取单元,用于获取需要对设定用户屏蔽的至少一个权限;
屏蔽权限判断单元,用于判断所述用户-无效权限对应关系中,是否对应该用户记录有需要对该用户屏蔽的所述权限;
若否,则屏蔽权限写入单元;
所述屏蔽权限写入单元,用于将所述权限写入所述用户-无效权限对应关系中。
可选的,该装置包括:
权限屏蔽操作请求接收单元,用于接收针对设定用户发出的权限屏蔽操作请求。
可选的,该装置包括:
开放权限获取单元,用于获取需要对设定用户开放的至少一个权限;
开放权限判断单元,用于判断所述用户-无效权限对应关系中,是否对应该用户记录有需要对该用户开放所述权限;
若是,则开放权限删除单元;
所述开放权限删除单元,用于删除所述用户-无效权限对应关系中记录的需要对该用户开放所述权限。
可选的,该装置包括:
权限开放操作请求接收单元,用于接收针对设定用户发出的权限开放操作请求。
与现有技术相比,本申请具有以下优点:
本申请提供的用户权限管理的方法,包括:读取分配给用户的角色;根据该用户的角色,在预设的角色-权限对应关系中查询该用户的各个角色对应的权限;将该用户的各个角色对应的权限合并为该用户的用户角色权限集;在上述步骤执行前、执行后或者执行过程中,在预设的用户-无效权限对应关系中查询该用户的无效权限,获得该用户的无效权限集;对所述用户角色权限集中包含的权限分别进行检查,判断各个权限是否为所述无效权限集中包含的无效权限;若是,则将属于无效权限的所述权限从所述用户角色权限集中删除,获得用户实际权限集,所述用户实际权限集中记载的权限作为实际分配给该用户的权限。
本申请提供的用户权限管理的方法,将预设的角色-权限对应关系中记录的角色赋给用户,无需针对用户开放的权限新建角色,避免了新建大量的角色,降低了管理的难度和风险;如果需要针对某个用户排除包含在角色-权限对应关系中的某个角色的部分权限时,结合预设的用户-无效权限对应关系,将需要对该用户排除的权限写入所述用户-无效权限对应关系即可,实现方式更加简单,灵活性强,并且方便对用户权限进行精细化的管理。
附图说明
图1是本申请提供的一种基于RBAC的权限体系的示意图;
图2是本申请第一实施例提供的一种用户权限管理的方法流程图;
图3是本申请第二实施例提供的一种用户权限管理的装置示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其他方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施的限制。
本申请提供一种用户权限管理的方法,本申请另外提供一种用户权限管理的装置。
实施例一
本申请提供一种用户权限管理的方法实施例如下:
以下结合附图对本实施例提供的一种用户权限管理的方法进行说明,并且对该方法的各个步骤进行说明。
参照图2,其示出了本实施例提供的一种用户权限管理的方法处理流程图,此外,本实施例提供的一种用户权限管理的方法的具体步骤之间的顺序关系请根据图2确定。
步骤S201,读取分配给用户的角色。
在一个基于RBAC的权限管理系统中,分配给每一个用户的角色都是已知的,比如某组织新加入的一个成员,该成员的责任定位很明确,被赋予了相应的工作职责(管理、监察等),或者具有明确的职位(经理、基层员工等),本实施例中,从预先设置的用户-角色对应关系中查询该用户,从对应该用户的记录中读取该用户的各个角色。
例如:
在用户-角色对应表中,查询用户User;
查询到用户User之后,读取用户User对应的角色:角色Role a和角色Roleb。
步骤S202,在预设的角色-权限对应关系中查询该用户的各个角色对应的权限。
需要说明的是,所述角色-权限对应关系是在建立基于RBAC的权限管理系统时创建的;
所述角色-权限对应关系中,每个角色对应至少一个权限,并且,各个角色对应的权限互不重复。
例如:
参照上述举例,角色-权限对应表中,记录的角色有:Role a、Role b、Role c和Role d;
记录的权限有:权限Permission 1、权限Permission 2、权限Permission 3、权限Permission 4、权限Permission 5、权限Permission 6、权限Permission 7、权限Permission 8、权限Permission 9和权限Permission 10;
其中,
角色Role a对应的权限有:权限Permission 1和权限Permission 2;
角色Role b对应的权限有:权限Permission 3、权限Permission 4和权限Permission 5;
角色Role c对应的权限有:权限Permission 6;
角色Roled对应的权限有:权限Permission 7、权限Permission 8、权限Permission 9和权限Permission 10。
上述步骤S201,读取到该用户的角色,本步骤中,根据上述步骤S201读取的该用户的角色,在所述角色-权限对应关系中查询该用户的各个角色对应的权限,获得该用户的各个角色分别包含的各个权限。
例如:
参照上述举例,用户User的角色是角色Role a和角色Role b;
则从角色-权限对应表中查询到用户User的角色Role a的权限包括:权限Permission 1和权限Permission 2;
用户User的角色Role b的权限包括:权限Permission 3、权限Permission 4和权限Permission 5。
步骤S203,将该用户的各个角色对应的权限合并为该用户的用户角色权限集。
具体实现如下:
1、根据该用户的各个角色对应的权限,生成该用户的各个角色分别对应的角色权限集;
例如:
参照上述举例,根据用户User的角色Role a的权限Permission 1和权限Permission 2,以及根据用户User的角色Role b的权限Permission 3、权限Permission 4和权限Permission 5,生成用户User的角色Role a对应的角色权限集Ra;以及,生成用户User的角色Role b对应的角色权限集Rb;
其中,Ra={权限Permission 1,权限Permission 2};
Rb={权限Permission 3,权限Permission 4,权限Permission 5}。
2、对该用户的各个角色分别对应的角色权限集做或运算,生成所述用户角色权限集。
本实施例中,采用下述公式计算所述用户角色权限集:
R(u)=Ra∪Rb∪Rc∪···
其中,R(u)为用户角色权限集,Ra、Rb、Rc分别为该用户的各个角色分别对应的角色权限集。
例如:
参照上述举例,用户User的用户角色权限集R(user),则
R(user)=Ra∪Rb
R(user)={权限Permission 1,权限Permission 2}∪{权限Permission 3,权限Permission 4,权限Permission 5}
R(user)={权限Permission 1,权限Permission 2,权限Permission 3,权限Permission 4,权限Permission 5}。
步骤S204,在预设的用户-无效权限对应关系中查询该用户的无效权限,获得该用户的无效权限集。
在具体实施时,在上述步骤S201、S202和S203任意一个步骤执行前、执行后或者执行过程中,在预设的用户-无效权限对应关系中查询该用户的无效权限,获得该用户的无效权限集。
例如:
参照上述举例,在用户-无效权限对应表中,查询用户User;
查询到用户User之后,读取用户-无效权限对应表中记录的用户User的无效权限:权限Permission 1;
根据读取到的无效权限,生成用户User的无效权限集P(u);
其中,P(u)={权限Permission 1}。
步骤S205,判断各个权限是否为所述无效权限集中包含的无效权限。
上述步骤S203中,获取到该用户的用户角色权限集;
上述步骤S204中,获取到该用户的无效权限集;
本步骤中,对所述用户角色权限集中包含的权限分别进行检查,判断各个权限是否为所述无效权限集中包含的无效权限;
若是,则执行下述步骤S206;
若否,则继续执行本步骤,直至所述用户角色权限集中包含的权限全部检查完毕。
例如:
参照上述举例,判断User的用户角色权限集R(user)中包含的权限是否为所述无效权限集P(u)中包含的无效权限;
即:依次对{权限Permission 1,权限Permission 2,权限Permission 3,权限Permission 4,权限Permission 5}中包含的权限进行判断,判断是否为{权限Permission 1}中包含的无效权限;
判断的结果为:权限Permission 1是无效权限集P(u)中包含的无效权限,则执行下述步骤S206,对权限Permission 1进行相关处理。
步骤S206,将属于无效权限的所述权限从所述用户角色权限集中删除,获得用户实际权限集。
需要说明的是,所述用户实际权限集中记载的权限作为实际分配给该用户的权限。
本实施例中,采用下述方式计算所述用户实际权限集:
将所述用户角色权限集与该用户的所述无效权限集做减运算;
即:
采用下述公式计算所述用户实际权限集:
S(u)=R(u)-P(u)
其中,S(u)为该用户的用户实际权限集,R(u)为该用户的用户角色权限集,P(u)为该用户的无效权限集。
例如:
参照上述举例,用户User的用户实际权限集S(u);
S(u)=R(u)-P(u)
S(u)={权限Permission 1,权限Permission 2,权限Permission 3,权限Permission 4,权限Permission 5}-{权限Permission 1}
S(u)={权限Permission 1,权限Permission 2,权限Permission 3,权限Permission 4}。
需要说明的是,所述用户-无效权限对应关系是通过特定方式获取的,本实施例提供下述两种所述用户-无效权限对应关系的获取方式:
第一种:
直接接收用户输入的所述用户-无效权限对应关系;这种方式适用于分配给用户的角色以及需要对该用户无效的权限很明确的情况。
第二种:
某些情况下,已经获得了需要分配给某个用户的用户实际权限集,以及分配给用户的角色。此时,可以根据用户角色权限集与用户实际权限集之间的差异,获得用户-无效权限对应关系,再采用上述办法表达所述用户实际权限集。采用此种方法可以保持对用户实际权限集表达方式的一致性,后续计算获得用户实际权限集就可以采用相同的方法。采用该种方式的具体过程如下:
判断所述用户角色权限集中包含的权限在所述用户实际权限集中是否存在;
若否,则将所述权限写入所述用户-无效权限对应关系中;
若是,则执行所述判断所述用户角色权限集中包含的权限在所述用户实际权限集中是否存在步骤,直至所述用户角色权限集中包含的权限全部判断完毕。
例如:
参照上述举例,用户User的用户实际权限集S(u);
S(u)={权限Permission 2,权限Permission 3,权限Permission 4,权限Permission 5};
判断用户User的用户角色权限集R(user)中包含的权限在所述用户实际权限集S(u)中是否存在;
即:
判断{权限Permission 1,权限Permission 2,权限Permission 3,权限Permission 4,权限Permission 5}中包含的权限,在{权限Permission 2,权限Permission 3,权限Permission 4,权限Permission 5}中是否存在;
判断的结果为用户User的用户角色权限集R(user)中包含的权限Permission1,在用户实际权限集S(u)中不存在;
则将用户User的权限Permission 1写入与用户-无效权限对应表中。
需要说明的是,除本实施例提供的上述两种实施方式之外,还可以采用其他实施方式获取所述用户-无效权限对应关系,在此不做限定。
在具体实施时,还可以执行用户权限的屏蔽操作,此外,还可以执行用户权限的开放操作。
1、用户权限的屏蔽操作;
具体实现如下:
1)接收针对设定用户发出的权限屏蔽操作请求;
2)获取需要对该用户屏蔽的至少一个权限;
3)判断所述用户-无效权限对应关系中,是否对应该用户记录有需要对该用户屏蔽的所述权限;
若是,则不作处理即可;
若否,则执行下述步骤4)。
4)将所述权限写入所述用户-无效权限对应关系中。
例如:
参照上述举例,接收针对用户User发出的权限屏蔽操作请求;
获取对应用户User,需要对用户User屏蔽的权限:权限Permission3;
判断用户-无效权限对应表中,是否存在权限Permission3;其中,用户-无效权限对应表中记录有权限Permission 1;
判断的结果为不存在,则将权限Permission3写入用户-无效权限对应表中,将权限Permission3写入用户-无效权限对应表之后,对于用户User来说,已经失去了角色Role b对应的权限Permission3。
本实施例提供的上述用户权限的屏蔽操作,无需分析用户的“角色-权限”以及“用户-角色”之间的对应关系,实现方式更加简单;同时,也避免了用户权限管理系统中角色和权限之间的关系混乱,以及用户和角色的关系混乱。
2、用户权限的开放操作。
具体实现如下:
1)接收针对设定用户发出的权限开放操作请求;
2)获取需要对该用户开放的至少一个权限;
需要说明的是,本方法所述需要对该用户开放的权限,应当是用户-无效权限对应关系中已经记录的权限,即:针对用户已经被屏蔽的权限,在此重新开放被屏蔽权限。
3)判断所述用户-无效权限对应关系中,是否对应该用户记录有需要对该用户开放所述权限;
若是,则执行下述步骤4);
若否,则不作处理即可。
4)删除所述用户-无效权限对应关系中记录的需要对该用户开放所述权限。
例如:
参照上述举例,接收针对用户User发出的权限开放操作请求;
获取对应用户User,需要对用户User开放的权限:权限Permission1;
判断用户-无效权限对应表中,是否存在权限Permission1;
判断的结果为存在,则删除用户-无效权限对应表中记录的权限Permission1,将权限Permission1从用户-无效权限对应表中删除之后,对于用户User来说,重新获得了角色Role a对应的权限Permission1。
本实施例提供的上述用户权限的开放操作,实现方式简单,无需针对用户开放的权限新建角色,避免了用户权限管理系统中出现大量的角色,同时也避免了用户权限管理系统中出现大量相似的角色,降低了管理的难度和风险。
综上所述,本申请提供的用户权限管理的方法,将预设的角色-权限对应关系中记录的角色赋给用户,无需针对用户开放的权限新建角色,避免了新建大量的角色,降低了管理的难度和风险,同时也避免了用户权限管理系统中角色和权限之间的关系混乱,以及用户和角色的关系混乱;
如果用户的权限包含角色-权限对应关系中某个角色的部分权限时,结合预设的用户-无效权限对应关系,将该角色其余权限写入所述用户-无效权限对应关系即可,实现方式更加简单;
此外,对于用户-无效权限对应关系中记录的无效权限,可以重新开放所述无效权限的权限,具有很强的灵活性,对用户权限管理系统中的权限实现了精细化的管理。
实施例二
本申请提供的一种用户权限管理的装置实施例如下:
在上述的实施例中,提供了一种用户权限管理的方法,与之相对应的,本申请还提供了一种用户权限管理的装置。
参照图3,其示出了根据本实施例提供的一种用户权限管理的装置示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关的部分请参见方法实施例的对应说明即可。下述描述的装置实施例仅仅是示意性的。
本申请提供一种用户权限管理的装置,包括:
角色读取单元301,用于读取分配给用户的角色;
权限查询单元302,用于根据该用户的角色,在预设的角色-权限对应关系中查询该用户的各个角色对应的权限;
用户角色权限集合并单元303,用于将该用户的各个角色对应的权限合并为该用户的用户角色权限集;
无效权限查询单元304,用于在上述步骤执行前、执行后或者执行过程中,在预设的用户-无效权限对应关系中查询该用户的无效权限,获得该用户的无效权限集;
权限判断单元305,用于对所述用户角色权限集中包含的权限分别进行检查,判断各个权限是否为所述无效权限集中包含的无效权限;
若是,则进入权限删除单元306;
所述权限删除单元306,用于将属于无效权限的所述权限从所述用户角色权限集中删除,获得用户实际权限集,所述用户实际权限集中记载的权限作为实际分配给该用户的权限。
可选的,所述角色-权限对应关系中,每个角色对应至少一个权限。
可选的,所述角色-权限对应关系中,各个角色对应的权限互不重复。
可选的,所述用户角色权限集合并单元303,包括:
角色权限集生成子单元,用于根据该用户的各个角色对应的权限,生成该用户的各个角色分别对应的角色权限集;
用户角色权限集运算子单元,用于对该用户的各个角色分别对应的角色权限集做或运算,生成所述用户角色权限集。
可选的,所述权限删除单元306,包括:
权限计算子单元,用于将所述用户角色权限集与该用户的所述无效权限集做减运算。
可选的,所述用户-无效权限对应关系,通过用户-无效权限对应关系获取单元获得,所述用户-无效权限对应关系获取单元包括:
用户输入接收子单元,用于接收用户输入的所述用户-无效权限对应关系。
可选的,所述用户-无效权限对应关系,通过用户-无效权限对应关系获取单元获得,所述用户-无效权限对应关系获取单元包括:
判断子单元,用于判断所述用户角色权限集中包含的权限在所述用户实际权限集中是否存在;
若否,则进入写入子单元;
所述写入子单元,用于将所述权限写入所述用户-无效权限对应关系中;
若是,则进入所述判断子单元,直至所述用户角色权限集中包含的权限全部判断完毕。
可选的,所述角色读取单元301,包括:
查询读取子单元,用于从预设的用户-角色对应关系中查询该用户,从对应该用户的记录中读取该用户的各个角色。
可选的,所述用于权限管理的装置,包括:
屏蔽权限获取单元,用于获取需要对设定用户屏蔽的至少一个权限;
屏蔽权限判断单元,用于判断所述用户-无效权限对应关系中,是否对应该用户记录有需要对该用户屏蔽的所述权限;
若否,则屏蔽权限写入单元;
所述屏蔽权限写入单元,用于将所述权限写入所述用户-无效权限对应关系中。
可选的,所述用于权限管理的装置,包括:
权限屏蔽操作请求接收单元,用于接收针对设定用户发出的权限屏蔽操作请求。
可选的,所述用于权限管理的装置,包括:
开放权限获取单元,用于获取需要对设定用户开放的至少一个权限;
开放权限判断单元,用于判断所述用户-无效权限对应关系中,是否对应该用户记录有需要对该用户开放所述权限;
若是,则开放权限删除单元;
所述开放权限删除单元,用于删除所述用户-无效权限对应关系中记录的需要对该用户开放所述权限。
可选的,所述用于权限管理的装置,包括:
权限开放操作请求接收单元,用于接收针对设定用户发出的权限开放操作请求。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
2、本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
Claims (24)
1.一种用户权限管理的方法,其特征在于,包括:
读取分配给用户的角色;
根据该用户的角色,在预设的角色-权限对应关系中查询该用户的各个角色对应的权限;
将该用户的各个角色对应的权限合并为该用户的用户角色权限集;
在上述步骤执行前、执行后或者执行过程中,在预设的用户-无效权限对应关系中查询该用户的无效权限,获得该用户的无效权限集;
对所述用户角色权限集中包含的权限分别进行检查,判断各个权限是否为所述无效权限集中包含的无效权限;
若是,则将属于无效权限的所述权限从所述用户角色权限集中删除,获得用户实际权限集,所述用户实际权限集中记载的权限作为实际分配给该用户的权限。
2.根据权利要求1所述的用于权限管理的方法,其特征在于,所述角色-权限对应关系中,每个角色对应至少一个权限。
3.根据权利要求1所述的用于权限管理的方法,其特征在于,所述角色-权限对应关系中,各个角色对应的权限互不重复。
4.根据权利要求1所述的用于权限管理的方法,其特征在于,所述将该用户的各个角色对应的权限合并为该用户的用户角色权限集,采用以下方式:
根据该用户的各个角色对应的权限,生成该用户的各个角色分别对应的角色权限集;
对该用户的各个角色分别对应的角色权限集做或运算,生成所述用户角色权限集。
5.根据权利要求1所述的用于权限管理的方法,其特征在于,所述将所述权限从所述用户角色权限集中删除,采用以下方式:
将所述用户角色权限集与该用户的所述无效权限集做减运算。
6.根据权利要求1所述的用于权限管理的方法,其特征在于,所述用户-无效权限对应关系,通过如下方式获得:
接收用户输入的所述用户-无效权限对应关系。
7.根据权利要求1所述的用于权限管理的方法,其特征在于,所述用户-无效权限对应关系,通过如下方式获得:
判断所述用户角色权限集中包含的权限在所述用户实际权限集中是否存在;
若否,则将所述权限写入所述用户-无效权限对应关系中;
若是,则执行所述判断所述用户角色权限集中包含的权限在所述用户实际权限集中是否存在步骤,直至所述用户角色权限集中包含的权限全部判断完毕。
8.根据权利要求1所述的用于权限管理的方法,其特征在于,所述读取分配给用户的角色,采用以下方式:
从预设的用户-角色对应关系中查询该用户,从对应该用户的记录中读取该用户的各个角色。
9.根据权利要求1所述的用于权限管理的方法,其特征在于,包括:
获取需要对设定用户屏蔽的至少一个权限;
判断所述用户-无效权限对应关系中,是否对应该用户记录有需要对该用户屏蔽的所述权限;
若否,则将所述权限写入所述用户-无效权限对应关系中。
10.根据权利要求9所述的用户权限管理方法,其特征在于,所述获取对应设定用户的需要对该用户屏蔽的至少一个权限的步骤之前,执行如下步骤:
接收针对设定用户发出的权限屏蔽操作请求。
11.根据权利要求1所述的用于权限管理的方法,其特征在于,包括:
获取需要对设定用户开放的至少一个权限;
判断所述用户-无效权限对应关系中,是否对应该用户记录有需要对该用户开放所述权限;
若是,则删除所述用户-无效权限对应关系中记录的需要对该用户开放所述权限。
12.根据权利要求11所述的用于权限管理的方法,其特征在于,所述获取对应设定用户的需要对该用户开放的至少一个权限的步骤之前,执行如下步骤:
接收针对设定用户发出的权限开放操作请求。
13.一种用户权限管理的装置,其特征在于,包括:
角色读取单元,用于读取分配给用户的角色;
权限查询单元,用于根据该用户的角色,在预设的角色-权限对应关系中查询该用户的各个角色对应的权限;
用户角色权限集合并单元,用于将该用户的各个角色对应的权限合并为该用户的用户角色权限集;
无效权限查询单元,用于在上述步骤执行前、执行后或者执行过程中,在预设的用户-无效权限对应关系中查询该用户的无效权限,获得该用户的无效权限集;
权限判断单元,用于对所述用户角色权限集中包含的权限分别进行检查,判断各个权限是否为所述无效权限集中包含的无效权限;
若是,则进入权限删除单元;
所述权限删除单元,用于将属于无效权限的所述权限从所述用户角色权限集中删除,获得用户实际权限集,所述用户实际权限集中记载的权限作为实际分配给该用户的权限。
14.根据权利要求13所述的用于权限管理的装置,其特征在于,所述角色-权限对应关系中,每个角色对应至少一个权限。
15.根据权利要求13所述的用于权限管理的装置,其特征在于,所述角色-权限对应关系中,各个角色对应的权限互不重复。
16.根据权利要求13所述的用于权限管理的装置,其特征在于,所述用户角色权限集合并单元,包括:
角色权限集生成子单元,用于根据该用户的各个角色对应的权限,生成该用户的各个角色分别对应的角色权限集;
用户角色权限集运算子单元,用于对该用户的各个角色分别对应的角色权限集做或运算,生成所述用户角色权限集。
17.根据权利要求13所述的用于权限管理的装置,其特征在于,所述权限删除单元,包括:
权限计算子单元,用于将所述用户角色权限集与该用户的所述无效权限集做减运算。
18.根据权利要求13所述的用于权限管理的装置,其特征在于,所述用户-无效权限对应关系,通过用户-无效权限对应关系获取单元获得,所述用户-无效权限对应关系获取单元包括:
用户输入接收子单元,用于接收用户输入的所述用户-无效权限对应关系。
19.根据权利要求13所述的用于权限管理的装置,其特征在于,所述用户-无效权限对应关系,通过用户-无效权限对应关系获取单元获得,所述用户-无效权限对应关系获取单元包括:
判断子单元,用于判断所述用户角色权限集中包含的权限在所述用户实际权限集中是否存在;
若否,则进入写入子单元;
所述写入子单元,用于将所述权限写入所述用户-无效权限对应关系中;
若是,则进入所述判断子单元,直至所述用户角色权限集中包含的权限全部判断完毕。
20.根据权利要求13所述的用于权限管理的装置,其特征在于,所述角色读取单元,包括:
查询读取子单元,用于从预设的用户-角色对应关系中查询该用户,从对应该用户的记录中读取该用户的各个角色。
21.根据权利要求13所述的用于权限管理的装置,其特征在于,包括:
屏蔽权限获取单元,用于获取需要对设定用户屏蔽的至少一个权限;
屏蔽权限判断单元,用于判断所述用户-无效权限对应关系中,是否对应该用户记录有需要对该用户屏蔽的所述权限;
若否,则屏蔽权限写入单元;
所述屏蔽权限写入单元,用于将所述权限写入所述用户-无效权限对应关系中。
22.根据权利要求21所述的用户权限管理装置,其特征在于,包括:
权限屏蔽操作请求接收单元,用于接收针对设定用户发出的权限屏蔽操作请求。
23.根据权利要求13所述的用于权限管理的装置,其特征在于,包括:
开放权限获取单元,用于获取需要对设定用户开放的至少一个权限;
开放权限判断单元,用于判断所述用户-无效权限对应关系中,是否对应该用户记录有需要对该用户开放所述权限;
若是,则开放权限删除单元;
所述开放权限删除单元,用于删除所述用户-无效权限对应关系中记录的需要对该用户开放所述权限。
24.根据权利要求23所述的用于权限管理的装置,其特征在于,包括:
权限开放操作请求接收单元,用于接收针对设定用户发出的权限开放操作请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510267031.8A CN106295265A (zh) | 2015-05-22 | 2015-05-22 | 一种用户权限管理的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510267031.8A CN106295265A (zh) | 2015-05-22 | 2015-05-22 | 一种用户权限管理的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106295265A true CN106295265A (zh) | 2017-01-04 |
Family
ID=57633181
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510267031.8A Pending CN106295265A (zh) | 2015-05-22 | 2015-05-22 | 一种用户权限管理的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106295265A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878325A (zh) * | 2017-03-20 | 2017-06-20 | 北京润科通用技术有限公司 | 一种确定用户访问权限的方法及装置 |
| CN109254822A (zh) * | 2018-09-14 | 2019-01-22 | 郑州云海信息技术有限公司 | 一种菜单设置方法及装置 |
| WO2019029648A1 (zh) * | 2017-08-10 | 2019-02-14 | 成都牵牛草信息技术有限公司 | 基于改进型rbac权限控制机制的审批任务转交方法 |
| CN110474897A (zh) * | 2019-08-06 | 2019-11-19 | 合肥泓泉档案信息科技有限公司 | 一种档案使用权限管理系统 |
| CN110598380A (zh) * | 2019-08-23 | 2019-12-20 | 浙江大搜车软件技术有限公司 | 用户权限管理方法、装置、计算机设备和存储介质 |
| CN112346624A (zh) * | 2020-11-09 | 2021-02-09 | 福建天晴在线互动科技有限公司 | 一种后台管理系统的菜单权限的实现方法及其系统 |
| CN114629700A (zh) * | 2022-03-08 | 2022-06-14 | 杭州安恒信息安全技术有限公司 | 设备运维管理方法、装置、计算机设备和可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101478536A (zh) * | 2008-12-08 | 2009-07-08 | 山东浪潮齐鲁软件产业股份有限公司 | 一种解决权限管理中访问控制的方法 |
| CN101753963A (zh) * | 2008-11-27 | 2010-06-23 | 北京中星微电子有限公司 | 视频监控系统的权限控制方法和系统 |
| CN101854349A (zh) * | 2009-03-31 | 2010-10-06 | 日立软件工程株式会社 | 登录处理装置、登录处理方法以及程序 |
| CN101902402A (zh) * | 2010-07-21 | 2010-12-01 | 中兴通讯股份有限公司 | 一种用户权限管理方法、装置 |
| CN102468971A (zh) * | 2010-11-04 | 2012-05-23 | 北京北方微电子基地设备工艺研究中心有限责任公司 | 权限管理方法和装置、权限控制方法和装置 |
-
2015
- 2015-05-22 CN CN201510267031.8A patent/CN106295265A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753963A (zh) * | 2008-11-27 | 2010-06-23 | 北京中星微电子有限公司 | 视频监控系统的权限控制方法和系统 |
| CN101478536A (zh) * | 2008-12-08 | 2009-07-08 | 山东浪潮齐鲁软件产业股份有限公司 | 一种解决权限管理中访问控制的方法 |
| CN101854349A (zh) * | 2009-03-31 | 2010-10-06 | 日立软件工程株式会社 | 登录处理装置、登录处理方法以及程序 |
| CN101902402A (zh) * | 2010-07-21 | 2010-12-01 | 中兴通讯股份有限公司 | 一种用户权限管理方法、装置 |
| CN102468971A (zh) * | 2010-11-04 | 2012-05-23 | 北京北方微电子基地设备工艺研究中心有限责任公司 | 权限管理方法和装置、权限控制方法和装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106878325A (zh) * | 2017-03-20 | 2017-06-20 | 北京润科通用技术有限公司 | 一种确定用户访问权限的方法及装置 |
| CN106878325B (zh) * | 2017-03-20 | 2019-08-06 | 北京润科通用技术有限公司 | 一种确定用户访问权限的方法及装置 |
| WO2019029648A1 (zh) * | 2017-08-10 | 2019-02-14 | 成都牵牛草信息技术有限公司 | 基于改进型rbac权限控制机制的审批任务转交方法 |
| CN109254822A (zh) * | 2018-09-14 | 2019-01-22 | 郑州云海信息技术有限公司 | 一种菜单设置方法及装置 |
| CN110474897A (zh) * | 2019-08-06 | 2019-11-19 | 合肥泓泉档案信息科技有限公司 | 一种档案使用权限管理系统 |
| CN110598380A (zh) * | 2019-08-23 | 2019-12-20 | 浙江大搜车软件技术有限公司 | 用户权限管理方法、装置、计算机设备和存储介质 |
| CN112346624A (zh) * | 2020-11-09 | 2021-02-09 | 福建天晴在线互动科技有限公司 | 一种后台管理系统的菜单权限的实现方法及其系统 |
| CN112346624B (zh) * | 2020-11-09 | 2022-04-01 | 福建天晴在线互动科技有限公司 | 一种后台管理系统的菜单权限的实现方法及其系统 |
| CN114629700A (zh) * | 2022-03-08 | 2022-06-14 | 杭州安恒信息安全技术有限公司 | 设备运维管理方法、装置、计算机设备和可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106295265A (zh) | 一种用户权限管理的方法及装置 | |
| US8832389B2 (en) | Domain based access control of physical memory space | |
| US9268935B2 (en) | Smart containerization of mobile computing device resources | |
| US8429191B2 (en) | Domain based isolation of objects | |
| US12021694B2 (en) | Virtualized network functions | |
| CN110909373A (zh) | 一种访问控制方法、设备、系统及存储介质 | |
| CN111191279A (zh) | 面向数据共享服务的大数据安全运行空间实现方法及系统 | |
| US9208332B2 (en) | Scoped resource authorization policies | |
| CN106873958A (zh) | 一种应用编程接口的调用方法及装置 | |
| CN106951795A (zh) | 一种应用程序数据访问隔离方法及装置 | |
| US9058470B1 (en) | Actual usage analysis for advanced privilege management | |
| Talegaon et al. | Administrative models for role based access control in android | |
| CN103729582A (zh) | 一种基于三权分立的安全存储管理方法及系统 | |
| Stach | How to Deal with Third Party Apps in a Privacy System--The PMP Gatekeeper-- | |
| US10459851B2 (en) | Method and apparatus for executing a process on a device using memory privileges | |
| Weber et al. | Access control for weakly consistent replicated information systems | |
| US20230208842A1 (en) | Identification of permutations of permission groups having lowest scores | |
| CN111131474A (zh) | 一种基于区块链管理用户协议的方法、设备及介质 | |
| Muthukumaran et al. | Producing hook placements to enforce expected access control policies | |
| US10616228B2 (en) | Enhanced permissions for enabling re-purposing of resources while maintaining integrity | |
| Salaün | Landlock LSM: toward unprivileged sandboxing | |
| CN115630392A (zh) | 一种基于无服务器架构的隐私数据管理方法和计算网关 | |
| Sifou et al. | Different access control mechanisms for data security in cloud computing | |
| US10331909B2 (en) | Dynamic data flow analysis for dynamic languages programs | |
| US10747871B2 (en) | System and method for producing secure data management software |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170104 |