CN109088858B - 一种基于权限管理的医疗系统及方法 - Google Patents
一种基于权限管理的医疗系统及方法 Download PDFInfo
- Publication number
- CN109088858B CN109088858B CN201810771404.9A CN201810771404A CN109088858B CN 109088858 B CN109088858 B CN 109088858B CN 201810771404 A CN201810771404 A CN 201810771404A CN 109088858 B CN109088858 B CN 109088858B
- Authority
- CN
- China
- Prior art keywords
- request
- unit
- authority
- service
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Medical Treatment And Welfare Office Work (AREA)
Abstract
本申请公开了一种基于权限管理的医疗系统及方法,该系统包括:权限定义单元、身份更新单元、接收单元、拦截单元、存储单元、权限验证单元。所述方法包括以下步骤:步骤1:接收单元统一拦截所有客户端请求,并分发请求到对应的业务处理单元;步骤2:拦截单元拦截请求,并发往权限验证单元;步骤3:权限验证单元生成请求对应方法的唯一键,通过该键获取该请求对应业务方法所需权限;步骤4:权限验证单元根据请求获取请求客户的角色信息与步骤3获取的请求业务方法权限进行比对,完成权限一致性验证,如果验证通过,权限验证单元将请求发送给业务处理单元对应处理方法,如果验证失败,结束本次请求,返回无权限异常。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种基于权限管理的医疗系统及方法。
背景技术
目前计算机软件系统在医疗行业中的应用越来越广泛,数字医院系统解决了传统人工医疗数据传递和管理所带来的复杂问题,使得医疗可以实现无纸化,信息化,使得医疗信息能够方便的在医院内部和医院间进行共享。但是随着医疗系统的扩展,为用户提供的业务服务越来越多样化,为了保证医院系统中各个角色在各自的权限范围内执行其所需业务,那么,当医疗人员访问对应的业务方法时需要对用户的身份以及权限进行校验,从而能够防止跨权限操作以带来的不良结果。
在现有的权限管理方式中,对业务方法权限的设定和对用户进行身份权限的校验等处理方式与业务功能通常是紧耦合的,显然随着系统业务功能的扩展和方法所需权限需求的变更,将大大增加系统进一步维护和开发的复杂度,特别是相互关联的多个业务的场景中,每一个业务系统都需要建立各自的权限管理机制,较为不便。
发明内容
本申请提出一种基于权限的医疗系统及方法,将权限验证系统从医疗系统的业务逻辑中分离出来,实现解耦,从而便于系统的维护、修改和进一步开发。
本申请提出一种基于权限的医疗系统,包括:
权限定义单元:用于医疗业务逻辑所需权限设定,通过注解方式进行非入侵式权限定义,并在启动初始化时扫描业务逻辑方法注解,将方法和所需权限以键值对的形式存入储存单元中;
储存单元:使用内存缓存,以键值对形式存储每个业务逻辑方法访问所需的角色或权限,以方法所对应的统一资源定位符和请求方式形成唯一键,以保证不同模块之间同名业务逻辑方法的区分存储;同时使用传统关系型数据库存储各个用户角色以及所有权限;
身份更新单元:用于对用户的身份权限进行更新,将新的用户身份权限存储于储存单元中,在用户登录后根据其身份生成对应的用户权限实体;
业务处理单元:进行系统的业务处理;
接收单元:用于接收医疗人员在客户端发出的业务请求,并根据请求的统一资源定位符和方法分发请求到具体业务方法上;
拦截单元:处于接收单元和业务处理单元之间,用于在请求到达业务处理单元之前拦截请求进入权限验证单元进行验证;
权限验证单元:根据请求从存储单元中获取请求方法所需权限和请求用户角色,对用户的角色和请求方法所需权限进行匹配性验证,并根据结果将通过验证的请求分发给对应方法并将没有通过验证的请求终止返回无权限异常。
进一步地,所述接收单元接收的业务请求中携带用户信息,确定用户的各个关联身份;其中每一个身份至少对应一种权限。
进一步地,所述业务服务器权限定义单元包含通过以非入侵方式如注解方式定义的业务方法所需权限。
进一步地,所述存储单元中包括业务服务启动时初始化的业务方法权限和用户登陆后生成的用户身份权限实体。
进一步地,所述拦截单元将会拦截发往业务服务器的请求,并发往权限验证单元做先置处理。
进一步地,所诉权限验证单元将会根据拦截单元发送的请求从存储单元获取请求用户身份权限和请求方法所需权限并进行匹配性校验,并根据结果将通过验证的请求分发给对应方法并将没有通过验证的请求终止返回无权限异常。
一种基于权限管理的医疗系统方法,包括以下步骤:
步骤1:接收单元统一拦截所有客户端请求,并根据请求的方式和请求的统一资源定位符分发请求到对应的业务处理单元;
步骤2:拦截单元拦截接收单元向业务处理单元发送的请求,并发往权限验证单元;
步骤3:权限验证单元根据请求的请求方式和统一资源定位符生成请求对应方法的唯一键,通过该键从存储单元的缓存中获取该请求对应业务方法所需权限;
步骤4:权限验证单元根据请求获取请求客户的角色信息与步骤3获取的请求业务方法权限进行比对,完成权限一致性验证,如果验证通过,权限验证单元将请求发送给业务处理单元对应处理方法,如果验证失败,结束本次请求,返回无权限异常。
相对于现有技术,本申请通过请求拦截,利用中间件来进行权限验证处理,使用非入侵的注解方式定义业务方法所需权限的方式,使得权限设定、身份识别和权限验证的执行逻辑单元和服务器端对业务逻辑处理完全解耦,这样不但能在一定程度上增加业务服务端对业务的处理效率,并且,能够便于系统进一步开发和方法权限修改,同时还能为多个相互之间具有关联的系统提供相同的权限管理服务,实现系统的复用,同时便于系统的维护、修改和进一步开发。
附图说明
图1为本申请实施例中一种基于权限管理的医疗系统及方法的过程框架示意图。
图2为本申请实施例中一种基于权限管理的医疗系统及方法的处理过程。
图3为本申请实施例中权限管理单元的处理流程示意图。
具体实施方式
下面结合说明书附图对本发明的技术方案做进一步的详细说明。
一种基于权限管理的医疗系统,如图1所示,包括有客户端、存储单元、业务处理单元、拦截单元、权限验证单元。
其中服务器有权限定义单元,用于业务逻辑所需权限设定,通过注解方式进行非入侵式权限定义,并在启动初始化时扫描业务逻辑方法注解,将方法和所需权限以键值对的形式存入存储单元中。身份更新单元,用于对用户的身份权限进行更新,将新的用户身份权限存储于储存单元中,在用户登录后根据其身份生成对应的用户权限实体。
存储单元包括有内存缓存用于存储业务方法所需的医疗人员的角色和权限,以方法所对应的统一资源定位符和请求方式形成唯一键,以保证不同模块之间同名业务逻辑方法的区分存储。同时使用传统关系型数据库存储各个用户身份以及所有权限,在用户登陆后将其权限实体存储于该用户的会话之中。
其中用户身份实际上是登录用户所对应的角色例如:管理员、医师、物理师、治疗技师等。同时可以理解的是,用户身份与权限是有关联关系的,可以认为每个角色有一个权限集合,即角色和权限是一对多关系。
接收单元用于接收医疗人员在客户端发出的业务请求,并根据请求的统一资源定位符和方法分发请求到具体业务方法上,业务请求中通常会带有用户信息如用户会话id,用户身份等以确认用户角色。
拦截单元处于接收单元和业务处理单元之间,用于在请求到达业务处理单元之前拦截请求进入权限验证单元进行验证。
权限验证单元用于根据请求用户的角色和请求方法所需权限进行匹配性验证,并终止没有通过验证的请求和将通过验证的请求分发到对应业务方法。
其中所述客户端可以是运行在终端内的浏览器、应用程序等,医疗人员通过客户端可以访问至服务器端,已获得响应的业务服务。这里的终端包括但不限于:计算机、智能手机、平板电脑等设备。
所述的服务器端可以是后台业务系统,通常,服务器端所对应的实体为服务器或服务器集群,能为医护人员提供相应的业务处理服务。
权限匹配性验证过程:当请求被接收单元拦截进行统一分发处理时,拦截单元将分发给对应业务方法的请求拦截下来,并根据请求的统一资源定位符和请求方式生成唯一对应业务逻辑方法的键值,根据键值在存储单元中获取该请求对应方法所需的权限实体,然后通过请求获取请求者的身份信息,并以此在会话中获取该请求者在登录时缓存在会话中的用户权限实体,然后将请求执行方法的所需权限实体与请求者权限实体进行匹配性校验,如果校验通过将所拦截请求分发给其对应的业务方法,如果校验失败将终止请求返回无权限异常给客户端。由于是使用拦截的方式将权限校验委托给权限验证单元,使得业务逻辑单元和权限验证单元完全解耦,从而方便了系统业务功能的进一步开发和权限修改,业务功能和权限验证相互独立互不干扰,权限验证单元还能为多个相互之间具有关联的系统提供相同的权限管理服务,实现系统的复用。
在本申请实例中,医疗人员可以操作客户端访问至服务器端,并发出响应的业务请求,所述的业务请求包括但不限于:登录请求、业务方法调用请求等。
一种基于权限管理的医疗方法,包括一下步骤:
步骤1:接收单元统一拦截所有客户端请求,并根据请求的方式和请求的统一资源定位符分发请求到对应的业务处理单元。
步骤2:拦截单元拦截接收单元向业务处理单元发送的请求,并发往权限验证单元
步骤3:权限验证单元根据请求的请求方式和统一资源定位符生成请求对应方法的唯一键,通过该键从存储单元的缓存中获取该请求对应业务方法所需权限。
步骤4:权限验证单元根据请求获取请求客户的角色信息与步骤3获取的请求业务方法权限进行比对,完成权限一致性验证,如果验证通过,权限验证单元将请求发送给业务处理单元对应处理方法,如果验证失败,结束本次请求,返回无权限异常。
以上所述仅为本发明的较佳实施方式,本发明的保护范围并不以上述实施方式为限,但凡本领域普通技术人员根据本发明所揭示内容所作的等效修饰或变化,皆应纳入权利要求书中记载的保护范围内。
Claims (6)
1.一种基于权限管理的医疗系统,其特征在于:包括:
权限定义单元:用于医疗业务逻辑所需权限设定,通过注解方式进行非入侵式权限定义并包含该定义的业务方法所需权限,并在启动初始化时扫描业务逻辑方法注解,将方法和所需权限以键值对的形式存入储存单元中;
储存单元:使用内存缓存,以键值对形式存储每个业务逻辑方法访问所需的角色或权限,以方法所对应的统一资源定位符和请求方式形成唯一键,以保证不同模块之间同名业务逻辑方法的区分存储;同时使用传统关系型数据库存储各个用户角色以及所有权限;根据键值在储存单元中获取该请求对应方法所需的权限实体;包括业务服务启动时初始化的业务方法权限和用户登陆后生成的用户身份权限实体;
身份更新单元:用于对用户的身份权限进行更新,将新的用户身份权限存储于储存单元中,在用户登录后根据其身份生成对应的用户权限实体;
业务处理单元:进行系统的业务处理;
接收单元:用于接收医疗人员在客户端发出的业务请求,并根据请求的统一资源定位符和方法分发请求到具体业务方法上;
拦截单元:处于接收单元和业务处理单元之间,用于在请求到达业务处理单元之前拦截请求进入权限验证单元进行验证;
权限验证单元:根据请求从存储单元中获取请求方法所需权限和请求用户角色,对用户的角色和请求方法所需权限进行匹配性验证,并根据结果将通过验证的请求分发给对应方法并将没有通过验证的请求终止返回无权限异常;
本系统中业务处理单元和权限验证单元完全解耦,提供业务功能的开发和权限修改,业务功能和权限验证相互独立,权限验证单元能为多个相互之间具有关联的系统提供相同的权限管理服务。
2.根据权利要求1所述的一种基于权限管理的医疗系统,其特征在于:所述接收单元接收的业务请求中携带用户信息,确定用户的各个关联身份;其中每一个身份至少对应一种权限。
3.根据权利要求1所述的一种基于权限管理的医疗系统,其特征在于:所述业务服务器权限定义单元包含通过以非入侵方式如注解方式定义的业务方法所需权限。
4.根据权利要求1所述的一种基于权限管理的医疗系统,其特征在于:所述拦截单元将会拦截发往业务服务器的请求,并发往权限验证单元做先置处理。
5.根据权利要求1所述的一种基于权限管理的医疗系统,其特征在于:所诉权限验证单元将会根据拦截单元发送的请求从存储单元获取请求用户身份权限和请求方法所需权限并进行匹配性校验,并根据结果将通过验证的请求分发给对应方法并将没有通过验证的请求终止返回无权限异常。
6.一种使用权利要求1-5中任一项所述的基于权限管理的医疗系统实现的方法,其特征在于:包括以下步骤:
步骤1:接收单元统一拦截所有客户端请求,并根据请求的方式和请求的统一资源定位符分发请求到对应的业务处理单元;
步骤2:拦截单元拦截接收单元向业务处理单元发送的请求,并发往权限验证单元;
步骤3:权限验证单元根据请求的请求方式和统一资源定位符生成请求对应方法的唯一键,通过该键从存储单元的缓存中获取该请求对应业务方法所需权限;
步骤4:权限验证单元根据请求获取请求客户的角色信息与步骤3获取的请求业务方法权限进行比对,完成权限一致性验证,如果验证通过,权限验证单元将请求发送给业务处理单元对应处理方法,如果验证失败,结束本次请求,返回无权限异常。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810771404.9A CN109088858B (zh) | 2018-07-13 | 2018-07-13 | 一种基于权限管理的医疗系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810771404.9A CN109088858B (zh) | 2018-07-13 | 2018-07-13 | 一种基于权限管理的医疗系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109088858A CN109088858A (zh) | 2018-12-25 |
| CN109088858B true CN109088858B (zh) | 2021-09-21 |
Family
ID=64837871
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810771404.9A Active CN109088858B (zh) | 2018-07-13 | 2018-07-13 | 一种基于权限管理的医疗系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109088858B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110825929B (zh) * | 2019-10-11 | 2022-09-02 | 支付宝(杭州)信息技术有限公司 | 一种业务权限推荐方法及装置 |
| CN111343172A (zh) * | 2020-02-20 | 2020-06-26 | 中国建设银行股份有限公司 | 网络访问权限动态处理方法及装置 |
| CN112347442B (zh) * | 2020-11-30 | 2023-03-21 | 四川长虹电器股份有限公司 | 用户权限的验证方法及装置 |
| CN112635034A (zh) * | 2020-12-30 | 2021-04-09 | 微医云(杭州)控股有限公司 | 一种业务权限系统、权限分配方法、电子设备及存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103065074B (zh) * | 2012-12-14 | 2016-03-16 | 北京思特奇信息技术股份有限公司 | 一种基于细粒度进行url权限控制的方法 |
| JP6245949B2 (ja) * | 2013-11-11 | 2017-12-13 | キヤノン株式会社 | 認可サーバーシステム、その制御方法、およびそのプログラム。 |
| WO2016113694A1 (en) * | 2015-01-16 | 2016-07-21 | Atul Gupta | Document verification system |
| CN106529229B (zh) * | 2015-09-10 | 2019-06-18 | 北京国双科技有限公司 | 权限数据的处理方法和装置 |
| CN107342992B (zh) * | 2017-06-27 | 2020-12-08 | 深圳媒介之家文化传播有限公司 | 一种系统权限管理方法、装置及计算机可读存储介质 |
| CN107908973A (zh) * | 2017-11-22 | 2018-04-13 | 中国南方电网有限责任公司超高压输电公司 | 一种基于aop技术的动态数据权限控制方法 |
-
2018
- 2018-07-13 CN CN201810771404.9A patent/CN109088858B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN109088858A (zh) | 2018-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210084105A1 (en) | System and apparatus to manage data using a peer-to-peer network and the blockchain | |
| US11736469B2 (en) | Single sign-on enabled OAuth token | |
| US11418510B2 (en) | Systems, methods, and apparatuses for implementing a role based access control and authorization validator via blockchain smart contract execution using distributed ledger technology (DLT) | |
| CN109088858B (zh) | 一种基于权限管理的医疗系统及方法 | |
| US10771459B2 (en) | Terminal apparatus, server apparatus, blockchain and method for FIDO universal authentication using the same | |
| CN110675144A (zh) | 加强区块链交易的不可抵赖性 | |
| US9613224B2 (en) | Integrating a user's security context in a database for access control | |
| CN113711536A (zh) | 从区块链网络中提取数据 | |
| CN110991622A (zh) | 基于区块链网络的机器学习模型处理方法及节点 | |
| US7886341B2 (en) | External authentication against a third-party directory | |
| EP4002758A1 (en) | Security token validation | |
| US20040024764A1 (en) | Assignment and management of authentication & authorization | |
| US10049205B2 (en) | Asserting identities of application users in a database system based on delegated trust | |
| US10970411B2 (en) | Database preference sharing and management | |
| US11556667B2 (en) | Facilitating processing of a query on shareable data in a temporary vault | |
| US10237252B2 (en) | Automatic creation and management of credentials in a distributed environment | |
| US20090307488A1 (en) | Health keyset management | |
| US10992714B2 (en) | Certifying authenticity via dynamic dimensional coordinate scanning and decentralized data storage | |
| CN107229872A (zh) | 一种分离存储查询逻辑与分段数据的隐私数据保护方法 | |
| CN109413203A (zh) | 一种交易数据获取方法及装置 | |
| US20070208946A1 (en) | High performance secure caching in the mid-tier | |
| US20210012447A1 (en) | Method and System for Processing Firearm-Related Data | |
| WO2021203817A1 (zh) | 开放接口的管理方法、电子设备以及存储介质 | |
| US11463428B2 (en) | Method and system of piggybacking user registration with mirrored identities to achieve federation without on-premises identities | |
| US10554789B2 (en) | Key based authorization for programmatic clients |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |