CN107133505A - 一种权限管理方法、鉴权方法和系统 - Google Patents
一种权限管理方法、鉴权方法和系统 Download PDFInfo
- Publication number
- CN107133505A CN107133505A CN201710202832.5A CN201710202832A CN107133505A CN 107133505 A CN107133505 A CN 107133505A CN 201710202832 A CN201710202832 A CN 201710202832A CN 107133505 A CN107133505 A CN 107133505A
- Authority
- CN
- China
- Prior art keywords
- authority
- user
- operation system
- binding
- validated user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种权限管理方法、鉴权方法和系统,用于降低电子系统权限管理和鉴权管理的难度。权限管理系统与业务系统连接,所述业务系统向所述权限管理系统发送所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数,所述权限管理系统接收能够使用所述业务系统的M个合法用户标识,M为正整数,并将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数,然后在所述业务系统处于运行状态时将M个所述绑定关系发送给所述业务系统,进而所述业务系统基于M个所述绑定关系进行鉴权。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种权限管理方法、鉴权方法和系统。
背景技术
随着电子技术的飞速发展,如今很多企业和场所都会采用电子系统来辅助工作,例如财务系统、人力资源管理系统、工作分配系统和货品管理系统等。通常情况下,这些电子系统不仅具有本身的业务功能,还具有权限管理功能、鉴权功能和通知上报功能等。然而,对权限管理功能和鉴权功能而言,如果要对系统的权限进行管理,则需要暂停使用整个电子系统,以便对该系统的所有相关部分进行同步和更新。可见,在现有技术中,对电子系统的权限管理和鉴权管理难度较大。
发明内容
本发明实施例提供了一种权限管理方法、鉴权方法和系统,用于降低电子系统权限管理和鉴权管理的难度。
第一方面,本发明提供了一种权限管理方法,应用于权限管理系统,所述权限管理系统与业务系统连接,所述方法包括:
获取所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数;
接收能够使用所述业务系统的M个合法用户的合法用户标识,M为正整数;
将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数;
在所述业务系统处于运行状态时将M个所述绑定关系发送给所述业务系统,以使所述业务系统基于M个所述绑定关系鉴权。
可选的,所述方法还包括:
接收修改所述合法用户标识的修改操作;
基于所述修改操作,修改所述合法用户标识以及所述合法用户标识对应的绑定关系;
在所述业务系统处于所述运行状态时将修改后的所述绑定关系发送给所述业务系统。
第二方面,本发明提供了一种鉴权方法,应用于业务系统,所述业务系统与权限管理系统连接,所述方法包括:
向所述权限管理系统发送所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数;其中,所述权限管理系统用于接收能够使用所述业务系统的M个合法用户标识,M为正整数,并将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数;
在所述业务系统处于运行状态时接收所述权限管理系统发送的M个所述绑定关系;
基于M个所述绑定关系进行鉴权。
可选的,基于M个所述绑定关系进行鉴权,包括:
接收一请求登录所述业务系统的用户标识;
基于M个所述绑定关系,判断所述用户标识是否与M个所述绑定关系中的一个所述绑定关系包括的所述合法用户标识一致;
当所述用户标识与其中一个所述绑定关系的所述合法用户标识一致时,确定所述用户标识对应的用户为合法用户,并且所述合法用户所具有的权限为与所述用户标识绑定的K个所述权限点所对应的权限。
可选的,基于M个所述绑定关系进行鉴权,包括:
接收一请求登录所述业务系统的用户标识;
基于M个所述绑定关系,判断所述用户标识是否与M个所述绑定关系中的一个所述绑定关系包括的所述合法用户标识一致;
当所述用户标识与其中一个所述绑定关系的所述合法用户标识一致时,确定所述用户标识对应的用户为合法用户;
当所述合法用户请求使用一目标权限时,判断与所述用户标识绑定的K个所述权限点是否包括所述目标权限对应的权限点;
当与所述用户标识绑定的K个所述权限点包括所述目标权限对应的权限点时,允许所述合法用户使用所述目标权限;或者
当与所述用户标识绑定关系的K个所述权限点不包括所述目标权限对应的权限点时,拒绝所述合法用户使用所述目标权限。
第三方面,本发明提供了一种权限管理系统,所述权限管理系统与业务系统连接,所述权限管理系统包括:
获取模块,用于获取所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数;
第一接收模块,用于接收能够使用所述业务系统的M个合法用户的合法用户标识,M为正整数;
绑定模块,用于将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数;
第一发送模块,用于在所述业务系统处于运行状态时将M个所述绑定关系发送给所述业务系统,以使所述业务系统基于M个所述绑定关系鉴权。
可选的,所述权限管理系统还包括:
第二接收模块,用于接收修改所述合法用户标识的修改操作;
修改模块,用于基于所述修改操作,修改所述合法用户标识以及所述合法用户标识对应的绑定关系;
第二发送模块,用于在所述业务系统处于所述运行状态时将修改后的所述绑定关系发送给所述业务系统。
第四方面,本发明提供了一种业务系统,所述业务系统与权限管理系统连接,所述业务系统包括:
发送模块,用于向所述权限管理系统发送所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数;其中,所述权限管理系统用于接收能够使用所述业务系统的M个合法用户标识,M为正整数,并将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数;
接收模块,用于在所述业务系统处于运行状态时接收所述权限管理系统发送的M个所述绑定关系;
鉴权模块,用于基于M个所述绑定关系进行鉴权。
可选的,所述鉴权模块用于接收一请求登录所述业务系统的用户标识;基于M个所述绑定关系,判断所述用户标识是否与M个所述绑定关系中的一个所述绑定关系包括的所述合法用户标识一致;当所述用户标识与其中一个所述绑定关系的所述合法用户标识一致时,确定所述用户标识对应的用户为合法用户,并且所述合法用户所具有的权限为与所述用户标识绑定的K个所述权限点所对应的权限。
可选的,所述鉴权模块用于接收一请求登录所述业务系统的用户标识;基于M个所述绑定关系,判断所述用户标识是否与M个所述绑定关系中的一个所述绑定关系包括的所述合法用户标识一致;当所述用户标识与其中一个所述绑定关系的所述合法用户标识一致时,确定所述用户标识对应的用户为合法用户;当所述合法用户请求使用一目标权限时,判断与所述用户标识绑定的K个所述权限点是否包括所述目标权限对应的权限点;当与所述用户标识绑定的K个所述权限点包括所述目标权限对应的权限点时,允许所述合法用户使用所述目标权限;或者当与所述用户标识绑定关系的K个所述权限点不包括所述目标权限对应的权限点时,拒绝所述合法用户使用所述目标权限。
本申请实施例中的上述一个或多个技术方案,至少具有如下一种或多种技术效果:
在本发明实施例中技术方案中,权限管理系统与业务系统连接,所述业务系统向所述权限管理系统发送所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数,所述权限管理系统接收能够使用所述业务系统的M个合法用户标识,M为正整数,并将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数,然后在所述业务系统处于运行状态时将M个所述绑定关系发送给所述业务系统,进而所述业务系统基于M个所述绑定关系进行鉴权。可见,本发明实施例将现有技术中电子系统的权限管理功能分离出来形成独立的所述权限管理系统,故而管理权限的操作就不会影响所述业务功能(即所述业务系统)的正常运行,所以所述权限管理系统可以在所述业务系统处于所述运行状态时将M个所述绑定关系发送给所述业务系统。由此解决了现有技术管理所述电子系统的权限时不得不暂停整个所述电子系统的技术问题,实现了在所述业务系统运行过程中管理权限,降低了所述电子系统权限管理和鉴权管理的难度。
附图说明
图1为本发明实施例中的系统架构示意图;
图2为本发明实施例中的权限管理方法流程图;
图3为本发明实施例中的鉴权方法流程图;
图4为本发明实施例中的权限管理系统架构示意图;
图5为本发明实施例中的业务系统架构示意图。
具体实施方式
本发明实施例提供了一种权限管理方法、鉴权方法和系统,用于降低电子系统权限管理和鉴权管理的难度。
为了解决上述技术问题,本发明提供的技术方案总体思路如下:
在本发明实施例中技术方案中,权限管理系统与业务系统连接,所述业务系统向所述权限管理系统发送所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数,所述权限管理系统接收能够使用所述业务系统的M个合法用户标识,M为正整数,并将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数,然后在所述业务系统处于运行状态时将M个所述绑定关系发送给所述业务系统,进而所述业务系统基于M个所述绑定关系进行鉴权。可见,本发明实施例将现有技术中电子系统的权限管理功能分离出来形成独立的所述权限管理系统,故而管理权限的操作就不会影响所述业务功能(即所述业务系统)的正常运行,所以所述权限管理系统可以在所述业务系统处于所述运行状态时将M个所述绑定关系发送给所述业务系统。由此解决了现有技术管理所述电子系统的权限时不得不暂停整个所述电子系统的技术问题,实现了在所述业务系统运行过程中管理权限,降低了所述电子系统权限管理和鉴权管理的难度。
下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本申请实施例以及实施例中的具体特征是对本申请技术方案的详细的说明,而不是对本申请技术方案的限定,在不冲突的情况下,本申请实施例以及实施例中的技术特征可以相互组合。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
为了更加清楚地介绍本发明实施例中的技术方案,首先对本发明实施例中的系统架构进行介绍。请参考图1,本发明实施例中的系统架构示意图。
如图1示出的电子系统,包括权限管理系统和业务系统。具体来讲,电子系统例如为财务系统、人力资源管理系统、工作分配系统和货品管理系统等,本发明不做具体限制。其中,权限管理系统用于管理权限的系统。业务系统则是用户执行业务的系统,例如电子系统具体为财务系统,则业务系统具体可用于报销、收款、记录明细或放款等。在具体实现过程中,业务系统可以有一个,也可以有多个(图1仅示出了一个),每个业务系统均与权限管理系统连接。由于每个业务系统与权限管理系统的交互过程类似,因此在下文中介绍本发明技术方案时,仅以一个业务系统为例,其他业务系统相互参照即可。
另外,尽管图1示出的权限管理系统和业务系统属于同一个电子系统,但在具体实现过程中,权限管理系统与连接的一个或多个业务系统也可以属于不同的电子系统,且一个或多个业务系统也可以属于不完全相同的电子系统,本发明不做具体限制。
本发明第一方面提供了一种权限管理方法,请参考图2,为权限管理方法流程图。该方法应用于权限管理系统,包括如下步骤:
S101:获取所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数;
S102:接收能够使用所述业务系统的M个合法用户的合法用户标识,M为正整数;
S103:将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数;
S104:在所述业务系统处于运行状态时将M个所述绑定关系发送给所述业务系统,以使所述业务系统基于M个所述绑定关系鉴权。
具体来讲,本发明实施例中的权限点表示的是业务系统所指出的一个权限,例如添加用户权限点、删除用户权限点和修改用户权限点等。N为正整数。
在S101中,权限管理系统可以主动通知每个业务系统上报自身的权限点,也可以等待业务系统主动上报权限点,本发明不做具体限制。
在S102中,权限管理系统接收M个合法用户标识。具体来讲,M个正整数。合法用户标识是合法用户的用户标识,用户标识例如用户名、用户ID或设备ID等,本发明不做具体限制。由于合法用户标识对应的用户是合法的,因此,通过M个合法用户标识中的任意一个用户标识均可以登录本发明实施例中的业务系统。
另外,本领域技术人员应当理解,尽管S101记载在S102之前,但在具体实现过程中,也可以先获得M个合法用户标识,再获得N个权限点,或者同时获得M个合法用户标识和N个权限点,本发明对此不作具体限制。
接下来,在S103中将每个合法用户标识与N个权限点中的K个权限点绑定,获得绑定关系。具体来讲,尽管本发明实施例中的M个用户标识为合法用户标识,即通过M个合法用户标识中的任意一个均可以登录业务系统,但是该M个合法用户标识对应的用户却可能拥有不同的权限。例如M个合法用户均可以具有浏览权限和搜索权限,但是只有一部分用户可以进一步具有删除权限和添加权限。因此,对于可以登录业务系统的每个合法用户,可以具有该业务系统的K个权限,其中,K为小于等于N的正整数。
在本发明实施例中,管理人员可以根据每个合法用户可以具有的权限,在权限管理系统中每个合法用户标识和该合法用户标识对应的用户可以具有的K个权限的权限点绑定在一起。在具体实现过程中,具体可以将一个合法用户标识与K个权限点绑定,也可以将一个合法用户标识与K个权限点的编号或标识绑定,本发明不做具体限制。
绑定完成后,获得M个绑定关系。然后,在S104中,权限管理系统将M个绑定关系发送给业务系统。
本发明实施例将现有技术电子系统的权限管理功能分离为独立于业务系统的权限管理系统,在权限管理系统中进行权限管理。由上述描述可以看出,业务系统只需要向权限管理系统发送N个权限点,以及接收绑定关系,而发送权限点和接收绑定关系并不会影响业务系统的正常运行,因此在上述管理权限的过程中,就不需要暂停业务系统,甚至暂定整个电子系统。
可选的,作为一个优选的实施例,本发明实施例中的权限管理方法还进一步包括:
接收修改所述合法用户标识的修改操作;
基于所述修改操作,修改所述合法用户标识以及所述合法用户标识对应的绑定关系;
在所述业务系统处于所述运行状态时将修改后的所述绑定关系发送给所述业务系统。
具体来讲,当业务系统的合法用户需要修改时,同样不需要暂停业务系统的正常运行。在权限管理系统中,管理人员根据需要,执行对应的修改操作,使权限管理系统接收修改一个或多个合法用户标识的修改操作。然后,限管理系统进一步基于修改操作,修改合法用户标识以及对应的绑定关系。
更具体地来讲,本发明实施例中的修改操作具体包括添加、删除和更改。添加操作指的是再添加P个合法用户标识的操作,该P个合法用户标识与M个合法用户标识不同,且P也为正整数。删除操作指的是从M个合法用户标识中删除Q个合法用户标识的操作,Q为小于等于M个正整数。更改操作指的是针对M个合法用户标识中的O个合法用户标识更改的操作,O为小于等于M个正整数。
那么,当接收到的修改操作具体为添加操作时,权限管理系统修改绑定关系就具体为按照需要将该P个合法用户标识中每个合法用户标识与K个权限点绑定,进而获得新的P个绑定关系。添加完成后,绑定关系具有(M+P)个。进一步,权限管理系统将修改后的绑定关系发送给业务系统就具体为将新的P个绑定关系发送业务系统,或者将(M+P)个绑定关系发送给业务系统。
当接收到的修改操作具体为删除操作时,权限管理系统修改绑定关系就具体为按照系统将包含该Q个合法用户标识的绑定关系从M个绑定关系中删除。删除完成后,绑定关系剩余(M-Q)个。进一步,权限管理系统将修改后的绑定关系发送给业务系统就具体为将通知业务系统删除Q个绑定关系的通知信息发送给业务系统,或者将(M-Q)个绑定关系发送给业务系统。
当接收到的修改操作具体为更改操作时,权限管理系统修改绑定关系就具体为查找到包含该O个合法用户标识的绑定关系,进而将该O个绑定关系包含的合法用户标识修改为更改后的合法用户标识。更改完成后,绑定关系仍然具有M个。进一步,权限管理系统将修改后的绑定关系发送给业务系统就具体为将修改后的O个绑定关系发送业务系统,或者将重新将M个绑定关系发送给业务系统。
可选的,作为另一个优选的实施例,管理人员也可以在权限管理系统中针对原有的M个绑定关系进行调整,例如针对其中一个或多个合法用户标识,添加或者删除绑定的权限点等。然后,权限管理系统再将修改后的绑定关系发送给业务系统。
可选的,由于业务系统根据实际应用场景管理自身所支持的权限为较佳选择,所以本发明实施例中由业务系统管理自己的权限点。具体来讲,当业务系统修改权限后,将修改后的权限点发送给权限管理系统,然后权限管理系统再根据修改后的权限点对应修改绑定关系,进而将修改后的绑定关系发送给业务系统。由于重新发送权限点并不会影响业务系统的正常运行,所以进一步实现了修改权限依然可以正常运行业务系统的技术效果。
本发明第二方面提供了一种鉴权方法,请参考图3,为本发明实施例中的鉴权方法流程图。该方法应用于业务系统,包括如下步骤:
S201:向所述权限管理系统发送所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数;其中,所述权限管理系统用于接收能够使用所述业务系统的M个合法用户标识,M为正整数,并将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数;
S202:在所述业务系统处于运行状态时接收所述权限管理系统发送的M个所述绑定关系;
S203:基于M个所述绑定关系进行鉴权。
本发明第二方面中鉴权方法与第一方面中权限管理方法的相同之处就不再重复赘述了。在S201中,为方便权限管理系统对业务系统的权限进行管理,业务系统将自身的N个权限点发送给权限管理系统。
具体来讲,业务系统可以根据自身支持的权限自动生成N个权限点,或者也可以由管理人员构建N个权限点,本发明不做具体限制。另外,在本发明实施例中,由于业务系统基于绑定关系对用户进行鉴权,因此向权限管理系统发送权限点并不会影响业务系统正常运行或鉴权。所以,在具体实现过程中,业务系统可以在运行过程中向权限管理系统发送N个权限点,也可以在运行之前向权限管理系统发送,本发明不做具体限制。
接下来,权限管理系统基于N个权限点和M个合法用户标识获得绑定关系,进而反馈给业务系统。那么,在S202中,业务系在运行状态中接收权限管理系统发送的M个绑定关系。
接下来,在S203中,业务系统将基于M个绑定关系进行鉴权。
具体来讲,在一种实施方式中,基于M个绑定关系进行鉴权具体通过如下过程实现:
接收一请求登录所述业务系统的用户标识;
基于M个所述绑定关系,判断所述用户标识是否与M个所述绑定关系中的一个所述绑定关系包括的所述合法用户标识一致;
当所述用户标识与其中一个所述绑定关系的所述合法用户标识一致时,确定所述用户标识对应的用户为合法用户,并且所述合法用户所具有的权限为与所述用户标识绑定的K个所述权限点所对应的权限。
具体来讲,当一用户需要登录业务系统并获得业务系统提供的服务时,将会在业务系统的身份验证入口中输入用户标识,以使得业务系统接收请求登录业务系统的用户标识。
接下来,业务系统基于M个绑定关系判断该用户标识对应的用户是否为合法用户,即判断接收到的用户标识对应的用户是否具有登录业务系统的权限。具体来讲,每个绑定关系所包括的用户标识均为合法用户标识,那么每个绑定关系所包括的合法用户标识所对应的用户均具有登录业务系统的权限。所以,在本发明实施例中,判断接收到的用户标识是否与M个绑定关系中的M个合法用户标识中的任意一个一致。如果该用户标识与其中一个合法用户标识一致,则该用户标识就是这个一致的合法用户标识,所以该用户标识对应的用户是合法用户,具有登录业务系统的权限。反之,如果该用户标识与M个合法用户标识均一致,则该用户标识不是合法用户标识,所以该用户标识对应的用户不是合法用户,不具有登录业务系统的权限。
进一步,当用户标识与其中一个绑定关系的合法用户标识一致时,确定该个合法用户所具有的权限为与该用户标识所绑定的K个权限点所对应的权限。那么,以该合法用户标识登录期间,提供K个权限点对应的权限,而其他(N-K)个权限则不会提供。
举例来说,N个权限点具体为“申请报销”、“上传发票单据”、“审核”和“放款”四个权限点。M个绑定关系中的一个绑定关系具体为“张三,申请报销、上传发票单据”,该绑定关系表示合法用户标识“张三”绑定的权限点为“申请报销”和“上传发票单据”。业务系统接收M个绑定关系,以及接收请求登录业务系统的用户标识“张三”。通过对比,接收到的用户标识“张三”与其中一个绑定关系包括的合法用户标识“张三”一致,因此确定该用户为合法用户,且允许该用户登录业务系统。进一步,由于在“张三”对应的绑定关系中,“张三”与“申请报销”和“上传发票单据”两个权限点绑定,因此,在以用户标识“张三”登录期间,业务系统提供“申请报销”和“上传发票单据”权限,不提供“审核”和“放款”两个权限。
或者,在另一种实施方式中,基于M个绑定关系进行鉴权通过如下过程实现:
接收一请求登录所述业务系统的用户标识;
基于M个所述绑定关系,判断所述用户标识是否与M个所述绑定关系中的一个所述绑定关系包括的所述合法用户标识一致;
当所述用户标识与其中一个所述绑定关系的所述合法用户标识一致时,确定所述用户标识对应的用户为合法用户;
当所述合法用户请求使用一目标权限时,判断与所述用户标识绑定的K个所述权限点是否包括所述目标权限对应的权限点;
当与所述用户标识绑定的K个所述权限点包括所述目标权限对应的权限点时,允许所述合法用户使用所述目标权限;或者
当与所述用户标识绑定关系的K个所述权限点不包括所述目标权限对应的权限点时,拒绝所述合法用户使用所述目标权限。
具体来讲,在该种实施方式中,首先接收请求登录业务系统的用户标识,然后判断用户标识是否与M个绑定关系中的一个绑定关系包括的合法用户标识一致,当用户标识与其中一个绑定关系的合法用户标识一致时,确定用户标识对应的用户为合法用户。在前述实施方式中已经详细介绍过了,因此这里对于相同之处就不再重复赘述了。
与前述实施方式不同的是,在该实施方式中,当用户请求使用一目标权限时,才确定该用户所绑定的权限。具体来讲,当一合法用户标识登录业务系统,且请求使用目标权限时,业务系统根据该合法用户标识读取该合法用户标识的绑定关系。
然后,判断目标权限是否包括在与该合法用户标识绑定的K个权限点中,进而判断该合法用户是否具有目标权限。如果K个权限点中包括目标权限,则表示该合法用户具有目标权限,因此允许该用户使用目标权限。反之,如果K个权限点中不包括目标权限,则表示该合法用户不具有目标权限,因此拒绝该用户使用目标权限。
沿用上文中的例子,用户以用户标识“张三”登录业务系统。当“张三”请求使用“申请报销”的权限时,业务系统查询与“张三”绑定的K个权限点,确定“申请报销”权限点与“张三”绑定,因此允许“张三”使用“申请报销”权限。当“张三”请求使用“审核”的权限时,业务系统查询与“张三”绑定的K个权限点,确定“审核”权限点不与“张三”绑定,因此拒绝“张三”使用“审核”权限。
在具体实现过程中,本发明所属领域的普通技术人员可以根据实际选择上述实施方式中的任意一种,本发明不做具体限制。
进一步,当权限管理系统修改绑定关系,并将绑定关系发送到业务系统时,业务系统则根据接收的修改后的绑定关系更新原始M个绑定关系,并按照更新后的绑定关系进行鉴权。
更进一步,考虑到每个业务系统的所支持的权限业务系统本身或者业务系统的管理人员更清楚,因此本发明实施例由业务系统自行管理权限点。那么,如果业务系统添加、删除或更改权限后,业务系统则将添加、删除或更改的权限点上报到权限管理系统,进而使权限管理系统修改对每个合法用户标识绑定的权限点进而获得修改后的绑定关系,或者重新获得M个绑定关系。
基于与前述实施例中权限管理方法同样的发明构思,本发明第三方面还提供一种权限管理系统,权限管理系统与业务系统连接。如图4所示,权限管理系统包括:
获取模块101,用于获取所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数;
第一接收模块102,用于接收能够使用所述业务系统的M个合法用户的合法用户标识,M为正整数;
绑定模块103,用于将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数;
第一发送模块104,用于在所述业务系统处于运行状态时将M个所述绑定关系发送给所述业务系统,以使所述业务系统基于M个所述绑定关系鉴权。
进一步,权限管理系统还包括:
第二接收模块,用于接收修改所述合法用户标识的修改操作;
修改模块,用于基于所述修改操作,修改所述合法用户标识以及所述合法用户标识对应的绑定关系;
第二发送模块,用于在所述业务系统处于所述运行状态时将修改后的所述绑定关系发送给所述业务系统。
前述图1-图2实施例中的权限管理方法的各种变化方式和具体实例同样适用于本实施例的权限管理系统,通过前述对权限管理方法的详细描述,本领域技术人员可以清楚的知道本实施例中权限管理系统的实施方法,所以为了说明书的简洁,在此不再详述。
基于与前述实施例中鉴权方法同样的发明构思,本发明第四方面还提供一种业务系统,业务系统与前述实施例中的权限管理系统连接。如图5所示,权限管理系统包括:
发送模块201,用于向所述权限管理系统发送所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数;其中,所述权限管理系统用于接收能够使用所述业务系统的M个合法用户标识,M为正整数,并将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数;
接收模块202,用于在所述业务系统处于运行状态时接收所述权限管理系统发送的M个所述绑定关系;
鉴权模块203,用于基于M个所述绑定关系进行鉴权。
其中,鉴权模块203用于接收一请求登录所述业务系统的用户标识;基于M个所述绑定关系,判断所述用户标识是否与M个所述绑定关系中的一个所述绑定关系包括的所述合法用户标识一致;当所述用户标识与其中一个所述绑定关系的所述合法用户标识一致时,确定所述用户标识对应的用户为合法用户,并且所述合法用户所具有的权限为与所述用户标识绑定的K个所述权限点所对应的权限。
或者,鉴权模块203用于接收一请求登录所述业务系统的用户标识;基于M个所述绑定关系,判断所述用户标识是否与M个所述绑定关系中的一个所述绑定关系包括的所述合法用户标识一致;当所述用户标识与其中一个所述绑定关系的所述合法用户标识一致时,确定所述用户标识对应的用户为合法用户;当所述合法用户请求使用一目标权限时,判断与所述用户标识绑定的K个所述权限点是否包括所述目标权限对应的权限点;当与所述用户标识绑定的K个所述权限点包括所述目标权限对应的权限点时,允许所述合法用户使用所述目标权限;或者当与所述用户标识绑定关系的K个所述权限点不包括所述目标权限对应的权限点时,拒绝所述合法用户使用所述目标权限。
前述图1和图3实施例中的鉴权方法的各种变化方式和具体实例同样适用于本实施例的业务系统,通过前述对鉴权方法的详细描述,本领域技术人员可以清楚的知道本实施例中业务系统的实施方法,所以为了说明书的简洁,在此不再详述。
本申请实施例中的上述一个或多个技术方案,至少具有如下一种或多种技术效果:
在本发明实施例中技术方案中,权限管理系统与业务系统连接,所述业务系统向所述权限管理系统发送所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数,所述权限管理系统接收能够使用所述业务系统的M个合法用户标识,M为正整数,并将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数,然后在所述业务系统处于运行状态时将M个所述绑定关系发送给所述业务系统,进而所述业务系统基于M个所述绑定关系进行鉴权。可见,本发明实施例将现有技术中电子系统的权限管理功能分离出来形成独立的所述权限管理系统,故而管理权限的操作就不会影响所述业务功能(即所述业务系统)的正常运行,所以所述权限管理系统可以在所述业务系统处于所述运行状态时将M个所述绑定关系发送给所述业务系统。由此解决了现有技术管理所述电子系统的权限时不得不暂停整个所述电子系统的技术问题,实现了在所述业务系统运行过程中管理权限,降低了所述电子系统权限管理和鉴权管理的难度。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种权限管理方法,其特征在于,应用于权限管理系统,所述权限管理系统与业务系统连接,所述方法包括:
获取所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数;
接收能够使用所述业务系统的M个合法用户的合法用户标识,M为正整数;
将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数;
在所述业务系统处于运行状态时将M个所述绑定关系发送给所述业务系统,以使所述业务系统基于M个所述绑定关系鉴权。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
接收修改所述合法用户标识的修改操作;
基于所述修改操作,修改所述合法用户标识以及所述合法用户标识对应的绑定关系;
在所述业务系统处于所述运行状态时将修改后的所述绑定关系发送给所述业务系统。
3.一种鉴权方法,其特征在于,应用于业务系统,所述业务系统与权限管理系统连接,所述方法包括:
向所述权限管理系统发送所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数;其中,所述权限管理系统用于接收能够使用所述业务系统的M个合法用户标识,M为正整数,并将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数;
在所述业务系统处于运行状态时接收所述权限管理系统发送的M个所述绑定关系;
基于M个所述绑定关系进行鉴权。
4.如权利要求3所述的方法,其特征在于,基于M个所述绑定关系进行鉴权,包括:
接收一请求登录所述业务系统的用户标识;
基于M个所述绑定关系,判断所述用户标识是否与M个所述绑定关系中的一个所述绑定关系包括的所述合法用户标识一致;
当所述用户标识与其中一个所述绑定关系的所述合法用户标识一致时,确定所述用户标识对应的用户为合法用户,并且所述合法用户所具有的权限为与所述用户标识绑定的K个所述权限点所对应的权限。
5.如权利要求3所述的方法,其特征在于,基于M个所述绑定关系进行鉴权,包括:
接收一请求登录所述业务系统的用户标识;
基于M个所述绑定关系,判断所述用户标识是否与M个所述绑定关系中的一个所述绑定关系包括的所述合法用户标识一致;
当所述用户标识与其中一个所述绑定关系的所述合法用户标识一致时,确定所述用户标识对应的用户为合法用户;
当所述合法用户请求使用一目标权限时,判断与所述用户标识绑定的K个所述权限点是否包括所述目标权限对应的权限点;
当与所述用户标识绑定的K个所述权限点包括所述目标权限对应的权限点时,允许所述合法用户使用所述目标权限;或者
当与所述用户标识绑定关系的K个所述权限点不包括所述目标权限对应的权限点时,拒绝所述合法用户使用所述目标权限。
6.一种权限管理系统,其特征在于,所述权限管理系统与业务系统连接,所述权限管理系统包括:
获取模块,用于获取所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数;
第一接收模块,用于接收能够使用所述业务系统的M个合法用户的合法用户标识,M为正整数;
绑定模块,用于将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数;
第一发送模块,用于在所述业务系统处于运行状态时将M个所述绑定关系发送给所述业务系统,以使所述业务系统基于M个所述绑定关系鉴权。
7.如权利要求6所述的权限管理系统,其特征在于,所述权限管理系统还包括:
第二接收模块,用于接收修改所述合法用户标识的修改操作;
修改模块,用于基于所述修改操作,修改所述合法用户标识以及所述合法用户标识对应的绑定关系;
第二发送模块,用于在所述业务系统处于所述运行状态时将修改后的所述绑定关系发送给所述业务系统。
8.一种业务系统,其特征在于,所述业务系统与权限管理系统连接,所述业务系统包括:
发送模块,用于向所述权限管理系统发送所述业务系统的N个权限点,每个所述权限点表示所述业务系统所支持的一个权限,N为正整数;其中,所述权限管理系统用于接收能够使用所述业务系统的M个合法用户标识,M为正整数,并将每个所述合法用户标识与N个所述权限点中的K个所述权限点绑定,获得绑定关系,K为小于等于N的正整数;
接收模块,用于在所述业务系统处于运行状态时接收所述权限管理系统发送的M个所述绑定关系;
鉴权模块,用于基于M个所述绑定关系进行鉴权。
9.如权利要求8所述的业务系统,其特征在于,所述鉴权模块用于接收一请求登录所述业务系统的用户标识;基于M个所述绑定关系,判断所述用户标识是否与M个所述绑定关系中的一个所述绑定关系包括的所述合法用户标识一致;当所述用户标识与其中一个所述绑定关系的所述合法用户标识一致时,确定所述用户标识对应的用户为合法用户,并且所述合法用户所具有的权限为与所述用户标识绑定的K个所述权限点所对应的权限。
10.如权利要求8所述的业务系统,其特征在于,所述鉴权模块用于接收一请求登录所述业务系统的用户标识;基于M个所述绑定关系,判断所述用户标识是否与M个所述绑定关系中的一个所述绑定关系包括的所述合法用户标识一致;当所述用户标识与其中一个所述绑定关系的所述合法用户标识一致时,确定所述用户标识对应的用户为合法用户;当所述合法用户请求使用一目标权限时,判断与所述用户标识绑定的K个所述权限点是否包括所述目标权限对应的权限点;当与所述用户标识绑定的K个所述权限点包括所述目标权限对应的权限点时,允许所述合法用户使用所述目标权限;或者当与所述用户标识绑定关系的K个所述权限点不包括所述目标权限对应的权限点时,拒绝所述合法用户使用所述目标权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710202832.5A CN107133505B (zh) | 2017-03-30 | 2017-03-30 | 一种权限管理方法、鉴权方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710202832.5A CN107133505B (zh) | 2017-03-30 | 2017-03-30 | 一种权限管理方法、鉴权方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107133505A true CN107133505A (zh) | 2017-09-05 |
| CN107133505B CN107133505B (zh) | 2020-07-31 |
Family
ID=59715688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710202832.5A Active CN107133505B (zh) | 2017-03-30 | 2017-03-30 | 一种权限管理方法、鉴权方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107133505B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102567675A (zh) * | 2012-02-15 | 2012-07-11 | 合一网络技术(北京)有限公司 | 一种业务系统下的用户权限管理方法和系统 |
| CN103036855A (zh) * | 2011-09-29 | 2013-04-10 | 北京新媒传信科技有限公司 | 一种权限管理的实现设备和方法 |
| CN103078859A (zh) * | 2012-12-31 | 2013-05-01 | 普天新能源有限责任公司 | 业务系统权限管理方法、设备及系统 |
| CN103986734A (zh) * | 2014-06-05 | 2014-08-13 | 东信和平科技股份有限公司 | 一种适用于高安全性业务系统的鉴权管理方法和系统 |
| CN104992118A (zh) * | 2015-06-30 | 2015-10-21 | 北京奇虎科技有限公司 | 一种多业务系统的权限统一管理方法和系统 |
| CN105912949A (zh) * | 2016-04-13 | 2016-08-31 | 北京京东尚科信息技术有限公司 | 数据权限管理方法、数据权限管理系统以及业务管理系统 |
-
2017
- 2017-03-30 CN CN201710202832.5A patent/CN107133505B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103036855A (zh) * | 2011-09-29 | 2013-04-10 | 北京新媒传信科技有限公司 | 一种权限管理的实现设备和方法 |
| CN102567675A (zh) * | 2012-02-15 | 2012-07-11 | 合一网络技术(北京)有限公司 | 一种业务系统下的用户权限管理方法和系统 |
| CN103078859A (zh) * | 2012-12-31 | 2013-05-01 | 普天新能源有限责任公司 | 业务系统权限管理方法、设备及系统 |
| CN103986734A (zh) * | 2014-06-05 | 2014-08-13 | 东信和平科技股份有限公司 | 一种适用于高安全性业务系统的鉴权管理方法和系统 |
| CN104992118A (zh) * | 2015-06-30 | 2015-10-21 | 北京奇虎科技有限公司 | 一种多业务系统的权限统一管理方法和系统 |
| CN105912949A (zh) * | 2016-04-13 | 2016-08-31 | 北京京东尚科信息技术有限公司 | 数据权限管理方法、数据权限管理系统以及业务管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107133505B (zh) | 2020-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110535660B (zh) | 一种基于区块链的取证服务系统 | |
| CN110442652B (zh) | 一种基于区块链的跨链数据处理方法及装置 | |
| CN112132292B (zh) | 基于区块链的纵向联邦学习数据处理方法、装置及系统 | |
| US20190317757A1 (en) | Deployment of infrastructure in pipelines | |
| DE60126236T2 (de) | Verfahren zum Ermöglichen der Prüfung und Fehlerbeseitigung von Software an einem mobilen Kommunikationsgerät in einem sicheren Umfeld | |
| CN115210741B (zh) | 部分有序的区块链 | |
| US10572685B1 (en) | Protecting sensitive data | |
| CN110782251B (zh) | 一种基于智能合约自动化部署区块链网络的方法 | |
| CN109165157B (zh) | 一种测试应用程序的方法及测试平台 | |
| CN106650495A (zh) | 一种文件验证方法及装置 | |
| CN109102340A (zh) | 基于区块链的服务评价方法、装置、电子设备及介质 | |
| CN103701817B (zh) | 一种配置文件的生成方法及装置 | |
| CN113221143A (zh) | 一种信息处理的方法、装置及设备 | |
| CN115114372A (zh) | 基于区块链的数据处理方法、装置、设备及可读存储介质 | |
| CN107241312A (zh) | 一种权限管理方法及装置 | |
| CN111260475A (zh) | 一种数据处理方法、区块链节点设备及存储介质 | |
| CN113852639A (zh) | 数据处理方法、装置、电子设备和计算机可读存储介质 | |
| CN115694699A (zh) | 时延参数采集方法、装置、电子设备及存储介质 | |
| CN110858211B (zh) | 数据存储方法、装置及系统、存储介质 | |
| CN103647650A (zh) | 基于规则定义的自动签名/验签装置和自动签名/验签方法 | |
| CN107158697A (zh) | 一种对进程进行识别的方法及装置 | |
| CN116132625A (zh) | 交易流程的监管方法和装置 | |
| CN107133505A (zh) | 一种权限管理方法、鉴权方法和系统 | |
| CN115145976A (zh) | 基于区块链的数据处理方法、装置、计算机设备和介质 | |
| CN110910091A (zh) | 一种数据处理方法、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230511 Address after: No. 701 Taogan Road, Sheshan Town, Songjiang District, Shanghai, 2010 Patentee after: Shanghai Panzai Information Technology Co.,Ltd. Address before: 430000 East Lake Development Zone, Wuhan City, Hubei Province, No. 1 Software Park East Road 4.1 Phase B1 Building 11 Building Patentee before: WUHAN DOUYU NETWORK TECHNOLOGY Co.,Ltd. |