CN109981552B - 一种权限分配方法及装置 - Google Patents

一种权限分配方法及装置 Download PDF

Info

Publication number
CN109981552B
CN109981552B CN201711465645.2A CN201711465645A CN109981552B CN 109981552 B CN109981552 B CN 109981552B CN 201711465645 A CN201711465645 A CN 201711465645A CN 109981552 B CN109981552 B CN 109981552B
Authority
CN
China
Prior art keywords
management
user
built
users
login
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711465645.2A
Other languages
English (en)
Other versions
CN109981552A (zh
Inventor
杨丽
李露
汪树岩
姜华丰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Hangzhou Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201711465645.2A priority Critical patent/CN109981552B/zh
Publication of CN109981552A publication Critical patent/CN109981552A/zh
Application granted granted Critical
Publication of CN109981552B publication Critical patent/CN109981552B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及互联网技术领域,尤其涉及一种权限分配方法及装置,用以解决现有技术中存在着对层级结构比较复杂的系统进行权限分配的方法不合理的问题;本申请实施例提供的权限分配方法应用于包含多级管理用户的管理系统,包括:接收到登录请求时,确定登录用户在管理系统中的管理级别;根据登录用户的管理级别、以及建立的各级管理用户与管理区域集合和管理机构集合之间的对应关系,确定登录用户对应的管理区域集合和管理机构集合;接收新建用户的请求,请求中携带新建用户的属性信息,属性信息至少包含管理机构、管理区域和权限描述信息;根据新建用户的属性信息、以及登录用户对应的管理机构集合和管理区域集合,为新建用户分配权限。

Description

一种权限分配方法及装置
技术领域
本申请涉及互联网技术领域,尤其涉及一种权限分配方法及装置。
背景技术
目前,在访问控制领域,最常使用的是基于角色的访问控制(Role-Based AccessControl,RBAC)模型,RBAC模型通过引进角色的概念实现用户和权限的逻辑分离,进而支撑技术人员与业务人员职责的分离,用户通过获得角色来得到权限,从而实现对用户的权限管理与控制。
现有技术中,在使用RBAC模型时,用户与角色之间的关联过程需要系统管理员集中完成,即系统管理员负责给系统中的每一角色进行权限分配,这种方式适用于系统的组织架构比较简单、用户相对较少的情况。当系统的组织架构层级较多、且用户也较多时,如果采用这种方式,就需要系统管理员了解系统中的所有角色、为所有用户进行角色与权限的关联,所有涉及授权事宜都要向系统管理员申请,这样,系统管理员的压力比较大,并且,系统管理员理应只关注系统的权限范畴,却还要对所有业务角色进行了解,这也不合理。
可见,现有技术中存在着对层级结构比较复杂的系统进行权限分配的方法不合理的问题。
发明内容
本申请实施例提供一种权限分配方法及装置,用以解决现有技术中存在着对层级结构比较复杂的系统进行权限分配的方法不合理的问题。
本申请实施例提供的一种权限分配方法,应用于包含多级管理用户的管理系统,包括:
接收到登录请求时,确定登录用户在管理系统中的管理级别;
根据所述登录用户的管理级别、以及预先建立的各级管理用户与管理区域集合和管理机构集合之间的对应关系,确定所述登录用户对应的管理区域集合和管理机构集合;
接收新建用户的请求,所述请求中携带有新建用户的属性信息,所述属性信息至少包含管理机构、管理区域和权限描述信息;
根据所述新建用户的属性信息、以及所述登录用户对应的管理机构集合和管理区域集合,为所述新建用户分配权限。
本申请实施例提供的一种权限分配装置,设置于包含多级管理用户的管理系统中,包括:
级别确定模块,用于接收到登录请求时,确定登录用户在管理系统中的管理级别;
资源确定模块,用于根据所述登录用户的管理级别、以及预先建立的各级管理用户与管理区域集合和管理机构集合之间的对应关系,确定所述登录用户对应的管理区域集合和管理机构集合;
接收模块,用于接收新建用户的请求,所述请求中携带有新建用户的属性信息,所述属性信息至少包含管理机构、管理区域和权限描述信息;
权限分配模块,用于根据所述新建用户的属性信息、以及所述登录用户对应的管理机构集合和管理区域集合,为所述新建用户分配权限。
本申请实施例提供的一种电子设备,包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有程序代码,当所述程序代码被所述处理单元执行时,使得所述电子设备执行上述权限分配方法的步骤。
本申请实施例提供的一种计算机可读存储介质,包括程序代码,当所述程序代码在电子设备上运行时,使所述电子设备执行上述权限分配方法的步骤。
本申请实施例提供的权限分配方法,应用于包含多级管理用户的管理系统,接收到登录请求时,确定登录用户的管理级别,再根据登录用户的管理级别、以及预先建立的各级管理用户与管理区域集合和管理机构集合之间的对应关系,确定登录用户对应的管理区域集合和管理机构集合,接收新建用户的请求,请求中携带有新建用户的属性信息,进而根据新建用户的属性信息、以及登录用户对应的管理机构集合和管理区域集合,为新建用户分配权限,这样,每级管理用户对应的管理区域集合和管理机构集合是限定好的,并且,下级管理用户对应的管理区域和管理机构是、对上级管理用户对应的管理区域和管理机构的进一步划分,对管理区域和管理机构的管理更加精细,每级管理用户只需了解自身管理范围内的业务就可以精准、快速地为新建用户分配权限,不再需要管理人员对管理系统中所有的业务进行了解,因此,能够容易地实现权限的精细分配,权限分配的方式更加合理,授权效率也更高。
附图说明
图1为本申请实施例提供的权限分配方法流程图;
图2为本申请实施例提供的某集团公司在各省设立的机构分布示意图;
图3为本申请实施例提供的根据某集团公司在各省市设立的分公司而建立的各级管理用户的示意图;
图4为本申请实施例提供的管理用户—管理机构集合—机构区域集合—管理区域集合之间的对应关系示意图;
图5为本申请实施例提供的管理用户Mii建立管理用户的示意图;
图6为本申请实施例提供的管理用户Mii建立普通用户的示意图;
图7为本申请实施例提供的基于改进RBAC模型的分级分域授权方法的流程图;
图8为本申请实施例提供的权限分配装置结构图;
图9为本申请实施例提供的用于实现权限分配方法的电子设备的硬件结构示意图。
具体实施方式
本申请实施例中,每级管理用户对应的管理区域集合和管理机构集合是限定好的,并且,下级管理用户对应的管理区域和管理机构是、对上级管理用户对应的管理区域和管理机构的进一步划分,对管理区域和管理机构的管理更加精细,每级管理用户只需了解自身管理范围内的业务就可以精准、快速地为新建用户分配权限,不再需要管理人员对管理系统中所有的业务进行了解,因此,能够容易地实现权限的精细分配,权限分配的方式更加合理,授权效率也更高。
下面结合说明书附图对本申请实施例作进一步详细描述。
实施例一
如图1所示,为本申请实施例提供的权限分配方法流程图,包括以下步骤:
S101:接收到登录请求时,确定登录用户在管理系统中的管理级别。
在具体实施过程中,可以在为用户建立账户时,指定用户的管理级别,并且建立用户账户与管理级别之间的对应关系,这样,一旦接收到登录请求,就可以根据登录请求中携带的用户账户信息确定登录用户的管理级别。
S102:根据登录用户的管理级别、以及预先建立的各级管理用户与管理区域集合和管理机构集合之间的对应关系,确定登录用户对应的管理区域集合和管理机构集合。
其中,管理用户与管理区域集合和管理机构集合之间的对应关系如:浙江省的管理用户—浙江省—某集团浙江省分公司;杭州的管理用户—杭州市—某集团杭州市分公司等。
进一步地,根据登录用户的管理级别、以及预先建立的各级管理用户与管理区域集合和管理机构集合之间的对应关系,确定登录用户对应的管理区域集合和管理机构集合,其中,登录用户对应的管理区域集合和管理机构集合限定了登录用户在新建用户时所能使用的资源。
S103:接收新建用户的请求,请求中携带有新建用户的属性信息,其中,属性信息至少包含管理机构、管理区域和权限描述信息。
可选地,任一级管理用户都可以新建用户,并且在新建用户时可以指定新建用户的管理机构、管理区域和权限描述信息,其中,管理机构描述信息用于表明新建用户对应的管理机构;管理区域描述信息用于表明新建用户对应的管理区域;权限描述信息用于表明新建用户对应的权限。
S104:根据新建用户的属性信息、以及登录用户对应的管理机构集合和管理区域集合,为新建用户分配权限。
虽然,每一级管理用户对应的管理机构集合中包含了多个管理机构,但管理用户在登录时可以选择一个具体使用的管理机构。
因此,在具体实施过程中,接收到新建用户的请求后,可以判断新建用户对应的管理机构是否与登录用户在登录时选择的管理机构相同,若不同,则可以根据新建用户的属性信息、以及登录用户对应的管理机构集合和管理区域集合,在登录用户下逐级建立下级管理用户,直至建立的下级管理用户对应的管理机构与新建用户对应的管理机构相同时,再为新建用户分配权限。
具体地,对在登录用户下新建的每一级下级管理用户,可以根据新建用户的管理机构,从目标用户对应的管理机构集合中为下级管理用户选择对应的管理机构集合,并根据新建用户的管理区域,从目标用户对应的管理区域集合中为下级管理选择对应的管理区域集合,其中,目标用户为下级管理用户的上级管理用户,这样,新建的每一级下级管理用户都只能从自身的上级用户所对应的管理机构和管理区域中,选择自己的管理机构和管理区域,实际上是在对登录用户对应的管理机构和管理区域进行逐级细分,便于实现对权限的精细控制。
进一步地,确定建立的下级管理用户对应的管理机构与新建用户对应的管理机构相同时,可以根据预先为各管理机构分配的权限资源集合,确定为新建用户对应的管理机构分配的权限资源集合,进而根据新建用户的权限描述信息,从该权限资源集合中为新建用户选择权限。
并且,上述新建用户在登录管理系统后,可以新建普通用户,普通用户的角色由新建用户对应的权限组成,其中,普通用户用于处理管理系统中的具体业务。
下面结合具体的实施例对上述过程进行说明。
假设需要新建的用户隶属于某集团公司的浙江省分公司,管理区域是杭州市,并且拥有运营分析页面的查看和新增这两项权限。
在新建该用户时,可以使用集团公司的超级管理员admin登录管理系统,之后新建子机构浙江省分公司、机构区域为浙江省和其子机构杭州分公司、机构区域为杭州市,并且新建管理用户zjadmin,管理用户zjadmin对应的机构为浙江省分公司,管理区域为浙江省。
进一步地,用新建的管理用户zjadmin登录,新建角色A,角色A拥有运营分析菜单资源页面下的查看和新增权限,则对管理用户zjadmin新建的普通用户,管理机构是浙江省分公司,拥有的角色为新建的角色A,管理区域为杭州市。
本申请实施例提供的权限分配方法,应用于包含多级管理用户的管理系统,接收到登录请求时,确定登录用户的管理级别,再根据登录用户的管理级别、以及预先建立的各级管理用户与管理区域集合和管理机构集合之间的对应关系,确定登录用户对应的管理区域集合和管理机构集合,接收新建用户的请求,请求中携带有新建用户的属性信息,进而根据新建用户的属性信息、以及登录用户对应的管理机构集合和管理区域集合,为新建用户分配权限,这样,每级管理用户对应的管理区域集合和管理机构集合是限定好的,并且,下级管理用户对应的管理区域和管理机构是、对上级管理用户对应的管理区域和管理机构的进一步划分,对管理区域和管理机构的管理更加精细,每级管理用户只需了解自身管理范围内的业务就可以精准、快速地为新建用户分配权限,不再需要管理人员对管理系统中所有的业务进行了解,因此,能够容易地实现权限的精细分配,权限分配的方式更加合理,授权效率也更高。
实施例二
本申请实施例主要提出一种基于改进RBAC模型的分级分域授权方法,以实现用户与多机构、多区域相关联时权限的精细分配,施加严格的安全策略、满足灵活而复杂的系统授权需求,优化对用户进行授权的过程,主要分为以下几个步骤:
设计多级用户和RBAC模型。
具体地,将用户分为超级管理用户、管理用户和普通用户,其中,超级管理用户可以新建管理用户和机构;任一管理用户可以新建多个管理用户和多个普通用户,并且新建的任一管理用户可以再次新建管理用户和多个普通用户,以此来建立多级用户;普通用户按一定的规则关联机构、机构区域、角色和权限,实现分级分域的授权。
假设某集团公司在各省市都设立有分支机构,且集团公司在各省设立的机构分布示意图如图2所示,其中,机构A下面设立有机构A11、A12…,机构A11下面设立机构A21…,机构A21下面设立机构A22…,相应地,机构A21和A22下面也设立有相应的下级机构。
以浙江省为例,机构A可以代表集团公司在浙江省设立的省级分公司,机构A11和A12可以分别代表集团公司在杭州市和温州市设立的市级分公司,机构A21和A22可以分别代表集团公司在杭州市上城区和温州市鹿城区设立的区级分公司。
如图3所示,为根据集团公司在各省市设立的分公司而建立的各级管理用户的示意图,其中,集团公司具有一个超级管理用户,超级管理用户可以再建立管理用户M11、M12、M13…,管理用户M12可以新建管理用户M21…,也可以新建普通用户U21…,以此类推,直到为集团公司在全国设立的所有分公司都建立起具有层级关系的管理用户。
沿用上例,超级管理用户可以管理集团公司在全国各地设立的分公司,并且可以新建各省的管理用户,如M11、M12、M13,各省的管理用户可以新建管辖范围内各市的管理用户和普通用户,如浙江省的管理用户M12可以新建杭州市的管理用户M21等,也可以新建浙江省的普通用户U21。
在RBAC模型中引入了分级区域与机构的元素。
提出用户模型中管理用户分级分域授权方法。
管理用户分级分域授权方法,主要有父子用户的继承关系来控制用户、机构、机构区域、用户区域、角色和权限的关系。
如图4所示,为本申请实施例提供的管理用户—机构集合—机构区域集合—管理区域集合之间的对应关系示意图,其中,管理用户Mii与机构集合O之间是1:m的对应关系,机构集合O与机构区域集合RO之间是1:m的对应关系,机构集合O与管理区域集合RE之间是1:m的对应关系。
假定已有一个管理用户Mii(可以为超级管理用户也可以是新建的任一管理用户),管理用户Mii对应的管理机构集合O为{o1,o2,...,oi,...},oi对应的子机构的集合是{oi1,oi2,...,oij,...},oi对应的机构区域集合RO为{ro1,ro2,...,roi,...},管理区域集合RE为{re1,re2,...,rei,...}。
如图5所示,为管理用户Mii建立下级管理用户的示意图,假设管理用户Mii在登录时选择机构oi,则在新建管理用户时,为管理用户选择的管理机构是机构oi的一个子集{oi1,oi2,...,oij,...},为管理用户选择的管理区域是oi对应的管理区域集合RO为{ro1,ro2,...,roi,...}的一个子集,这样,是为了对机构和其子机构的管理更加细化,并且角色在每个机构之间是隔离的,通过用户与机构的联系关系间接的控制了用户与权限的关联关系,用户区域的选择与机构的区域的关联关系保证了用户区域更灵活更细化的控制。
提出用户模型中普通用户分级分域授权方法。
普通用户分级分域授权方法,主要是建立同一机构下角色与权限、用户与机构与区域与角色的关系。
如图6所示,为管理用户Mii建立普通用户的示意图,其中,管理用户Mii可以为超级管理用户也可以是新建的任一管理用户,管理用户Mii对应的管理机构集合O为{o1,o2,...,oi,...},oi对应的子机构的集合是{oi1,oi2,...,oij,...},oi对应的机构区域集合RO为{ro1,ro2,...,roi,...},管理区域集合RE为{re1,re2,...,rei,...}。假设管理用户Mii在登录时选择机构oi,在机构oi下建立角色集合ROLE{role1,role2,...,rolei,...}与相应角色rolei的权限集合{p1,p2,...,pi,...}的关联关系。普通用户ui对应的机构是登录的用户机构oi,ui对应的角色只能从机构oi下角色集合ROLE{role1,role2,...,rolei,...}中选择,选择时符合RBAC参考模型中用户权限(User Authority,UA)的安全标识符(SecurityIdentifiers,SID)约束,包括最小权限约束和静态职责分离约束;ui对应的区域只能在登录用户对应的管理区域集合RE{re1,re2,...,rei,...}中选择一个子集,普通用户通过对机构、角色、权限的控制,可以更细化灵活的实现对控制权限的授予,通过对用户区域的控制来更细化用户的区域。
提出一种基于改进RBAC模型的分级分域授权方法。
一种基于改进RBAC模型的分级分域授权方法,登录超级管理用户,新建需要的机构,机构由图2的树型层次建立,超级管理用户新建的管理用户区域是全国、机构可选任一机构。登录新建的管理用户,判断需要新建的用户机构与登录管理用户的机构是否相同,如果相同,通过普通用户分级分域的方法为用户进行授权,如果需要新建的用户机构为登录管理用户的机构的子机构,通过管理用户的分级分域方法建立新的普通用户,直到新建的用户机构与登录管理用户的机构相同,再通过普通用户分级分域的方法为用户进行授权。
具体地,基于改进RBAC模型的分级分域授权方法的流程可以按照图7执行:
S701:登录超级管理用户。
S702:新建需要的机构。
在具体实施过程中,根据集团公司在全国各地的分公司的分布情况新建需要的机构。
S703:选择区域和机构新建管理用户。
S704:退出超级管理用户登录符合需求的一个管理用户。
S705:判断登录用户的机构和新建用户的机构是否一致,若是,则进入S706;否则,进入S708。
S706:建立角色与资源的关系。
S707:通过普通用户分级分域授权方法对用户进行按需授权。
S708:通过管理用户分级分域授权方法对用户进行按需授权。
S709:判断登录用户的机构和新建用户的机构是否一致,若是,则进入S710;否则,进入S712。
S710:建立角色与资源的关系。
S711:通过普通用户分级分域授权方法对用户进行按需授权。
S712:通过管理用户分级分域授权方法对用户进行按需授权。
S713:……
上述S709~S712是为登录用户的下级管理用户再次建立下级管理用户和普通用户的流程,与上述S705~S708的过程是类似的,如果再次建立的下级管理用户仍然需要建立下级管理用户,则按照上述S705~S708的过程继续执行,直到新建立的管理用户与需要建立的用户的管理机构相一致时,执行S706~S707,完成对用户的授权。
本发明提出了一种基于改进RBAC模型的分级分域授权方法,能很好的满足用户与多机构、多区域相关联时进行授权的情况,在RBAC模型的基础上引入了多级机构和区域的元素,并建立新的约束条件,又将用户分为超级管理用户、管理用户和普通用户,针对不同的需求,通过机构判别,分别使用管理用户分级分域的方法和普通用户分级分域的方法对用户进行授权。
实施例三
基于同一发明构思,本申请实施例中还提供了一种与权限分配方法对应的权限分配装置,由于该装置解决问题的原理与本申请实施例权限分配方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
如图8所示,为本申请实施例提供的权限分配装置结构图,包括:
级别确定模块801,用于接收到登录请求时,确定登录用户在管理系统中的管理级别;
资源确定模块802,用于根据所述登录用户的管理级别、以及预先建立的各级管理用户与管理区域集合和管理机构集合之间的对应关系,确定所述登录用户对应的管理区域集合和管理机构集合;
接收模块803,用于接收新建用户的请求,所述请求中携带有新建用户的属性信息,所述属性信息至少包含管理机构、管理区域和权限描述信息;
权限分配模块804,用于根据所述新建用户的属性信息、以及所述登录用户对应的管理机构集合和管理区域集合,为所述新建用户分配权限。
可选地,权限分配模块804具体用于:
若确定所述新建用户对应的管理机构为所述登录用户在登录时选择的管理机构的下级机构,则根据所述新建用户的属性信息、以及所述登录用户对应的管理机构集合和管理区域集合,为所述登录用户逐级建立下级管理用户,直至建立的下级管理用户对应的管理机构与所述新建用户对应的管理机构相同时,为所述新建用户分配权限。
可选地,权限分配模块804具体用于:
对为所述登录用户新建的每一级下级管理用户,根据所述新建用户的管理机构,从目标用户对应的管理机构集合中为所述下级管理用户选择对应的管理机构集合,其中,目标用户为所述下级管理用户的上级管理用户;
根据所述新建用户的管理区域,从所述目标用户对应的管理区域集合中为所述下级管理选择对应的管理区域集合。
可选地,权限分配模块804具体用于:
根据预先为各管理机构分配的权限资源集合,确定为所述新建用户对应的管理机构分配的权限资源集合;
根据所述新建用户的权限描述信息,从所述权限资源集合中为所述新建用户选择权限。
可选地,权限分配模块804具体用于:
在为所述新建用户分配权限之后,确定所述新建用户登录所述管理系统时,若接收到新建普通用户的请求,则将所述新建用户对应的权限分配给所述普通用户,作为所述普通用户拥有的角色。
实施例四
如图9所示,为本申请实施例提供的用于实现权限分配的电子设备的硬件结构示意图,包括至少一个处理单元901、以及至少一个存储单元902,其中,存储单元存储有程序代码,当程序代码被所述处理单元执行时,使得电子设备执行上述权限分配方法的步骤。
实施例五
本申请实施例提供的一种计算机可读存储介质,包括程序代码,当所述程序代码在电子设备上运行时,使电子设备执行上述权限分配方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种权限分配方法,其特征在于,应用于包含多级管理用户的管理系统,包括:
接收到登录请求时,确定登录用户在管理系统中的管理级别;
根据所述登录用户的管理级别、以及预先建立的各级管理用户与管理区域集合和管理机构集合之间的对应关系,确定所述登录用户对应的管理区域集合和管理机构集合;
接收新建用户的请求,所述请求中携带有新建用户的属性信息,所述属性信息至少包含管理机构、管理区域和权限描述信息;
根据所述新建用户的属性信息、以及所述登录用户对应的管理机构集合和管理区域集合,为所述新建用户分配权限;
根据所述新建用户的属性信息、以及所述登录用户对应的管理机构集合和管理区域集合,为所述新建用户分配权限,包括:
若确定所述新建用户对应的管理机构为所述登录用户在登录时选择的管理机构的下级机构,则根据所述新建用户的属性信息、以及所述登录用户对应的管理机构集合和管理区域集合,为所述登录用户逐级建立下级管理用户,直至建立的下级管理用户对应的管理机构与所述新建用户对应的管理机构相同时,为所述新建用户分配权限。
2.如权利要求1所述的方法,其特征在于,根据所述新建用户的属性信息、以及所述登录用户对应的管理机构集合和管理区域集合,为所述登录用户逐级建立下级管理用户,包括:
对为所述登录用户新建的每一级下级管理用户,根据所述新建用户的管理机构,从目标用户对应的管理机构集合中为所述下级管理用户选择对应的管理机构集合,其中,目标用户为所述下级管理用户的上级管理用户;
根据所述新建用户的管理区域,从所述目标用户对应的管理区域集合中为所述下级管理选择对应的管理区域集合。
3.如权利要求1或2所述的方法,其特征在于,为所述新建用户分配权限,包括:
根据预先为各管理机构分配的权限资源集合,确定为所述新建用户对应的管理机构分配的权限资源集合;
根据所述新建用户的权限描述信息,从所述权限资源集合中为所述新建用户选择权限。
4.如权利要求1或2所述的方法,其特征在于,为所述新建用户分配权限之后,还包括:
确定所述新建用户登录所述管理系统时,若接收到新建普通用户的请求,则将所述新建用户对应的权限分配给所述普通用户,作为所述普通用户拥有的角色。
5.一种权限分配装置,其特征在于,设置于包含多级管理用户的管理系统中,包括:
级别确定模块,用于接收到登录请求时,确定登录用户在管理系统中的管理级别;
资源确定模块,用于根据所述登录用户的管理级别、以及预先建立的各级管理用户与管理区域集合和管理机构集合之间的对应关系,确定所述登录用户对应的管理区域集合和管理机构集合;
接收模块,用于接收新建用户的请求,所述请求中携带有新建用户的属性信息,所述属性信息至少包含管理机构、管理区域和权限描述信息;
权限分配模块,用于根据所述新建用户的属性信息、以及所述登录用户对应的管理机构集合和管理区域集合,为所述新建用户分配权限;
所述权限分配模块具体用于:
若确定所述新建用户对应的管理机构为所述登录用户在登录时选择的管理机构的下级机构,则根据所述新建用户的属性信息、以及所述登录用户对应的管理机构集合和管理区域集合,为所述登录用户逐级建立下级管理用户,直至建立的下级管理用户对应的管理机构与所述新建用户对应的管理机构相同时,为所述新建用户分配权限。
6.如权利要求5所述的装置,其特征在于,所述权限分配模块具体用于:
对为所述登录用户新建的每一级下级管理用户,根据所述新建用户的管理机构,从目标用户对应的管理机构集合中为所述下级管理用户选择对应的管理机构集合,其中,目标用户为所述下级管理用户的上级管理用户;
根据所述新建用户的管理区域,从所述目标用户对应的管理区域集合中为所述下级管理选择对应的管理区域集合。
7.如权利要求5或6所述的装置,其特征在于,所述权限分配模块具体用于:
根据预先为各管理机构分配的权限资源集合,确定为所述新建用户对应的管理机构分配的权限资源集合;
根据所述新建用户的权限描述信息,从所述权限资源集合中为所述新建用户选择权限。
8.如权利要求5或6所述的装置,其特征在于,所述权限分配模块还用于:
在为所述新建用户分配权限之后,确定所述新建用户登录所述管理系统时,若接收到新建普通用户的请求,则将所述新建用户对应的权限分配给所述普通用户,作为所述普通用户拥有的角色。
9.一种电子设备,其特征在于,包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有程序代码,当所述程序代码被所述处理单元执行时,使得所述电子设备执行权利要求1~4任一所述方法的步骤。
10.一种计算机可读存储介质,其特征在于,包括程序代码,当所述程序代码在电子设备上运行时,使所述电子设备执行权利要求1~4任一所述方法的步骤。
CN201711465645.2A 2017-12-28 2017-12-28 一种权限分配方法及装置 Active CN109981552B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711465645.2A CN109981552B (zh) 2017-12-28 2017-12-28 一种权限分配方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711465645.2A CN109981552B (zh) 2017-12-28 2017-12-28 一种权限分配方法及装置

Publications (2)

Publication Number Publication Date
CN109981552A CN109981552A (zh) 2019-07-05
CN109981552B true CN109981552B (zh) 2021-08-17

Family

ID=67075264

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711465645.2A Active CN109981552B (zh) 2017-12-28 2017-12-28 一种权限分配方法及装置

Country Status (1)

Country Link
CN (1) CN109981552B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110516452A (zh) * 2019-08-07 2019-11-29 浙江大搜车软件技术有限公司 Rbac资源权限分配方法、装置、电子设备和存储介质
CN110619198A (zh) * 2019-09-11 2019-12-27 郑州地铁集团有限公司 轨道交通管理控制系统及其权限分配方法
CN111079127A (zh) * 2019-11-20 2020-04-28 武汉达梦数据技术有限公司 一种信息系统的用户分级授权管理方法和装置
CN111191256B (zh) * 2019-11-28 2022-06-28 泰康保险集团股份有限公司 用户权限配置的方法和装置
CN111415285A (zh) * 2020-02-21 2020-07-14 深圳数位传媒科技有限公司 一种基于分级行政区域的特定人员信息管理方法及终端
CN112182526A (zh) * 2020-09-22 2021-01-05 中国建设银行股份有限公司 一种社区管理方法、装置、电子设备和存储介质
CN112632500A (zh) * 2020-12-30 2021-04-09 绿盟科技集团股份有限公司 一种数据管理方法和电子设备
CN112733162A (zh) * 2020-12-31 2021-04-30 北京乐学帮网络技术有限公司 一种资源分配方法、装置、计算机设备和存储介质
CN113343216B (zh) * 2021-05-25 2022-12-13 网易(杭州)网络有限公司 一种发行者的管理方法、装置、存储介质及服务器

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1741464A (zh) * 2004-08-27 2006-03-01 华为技术有限公司 网络用户管理系统及其方法
CN106203921A (zh) * 2016-07-14 2016-12-07 谭双武 一种新华书店移动erp管理系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101515932B (zh) * 2009-03-23 2013-06-05 中兴通讯股份有限公司 一种安全的Web service访问方法和系统
ITMI20100983A1 (it) * 2010-05-31 2011-12-01 Wsc World System Consulting S R L Sistema e metodo di gestione di dati sanitari
US9886550B2 (en) * 2012-06-06 2018-02-06 Zyno Medical, Llc Medical pump with operator-authorization awareness

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1741464A (zh) * 2004-08-27 2006-03-01 华为技术有限公司 网络用户管理系统及其方法
CN106203921A (zh) * 2016-07-14 2016-12-07 谭双武 一种新华书店移动erp管理系统

Also Published As

Publication number Publication date
CN109981552A (zh) 2019-07-05

Similar Documents

Publication Publication Date Title
CN109981552B (zh) 一种权限分配方法及装置
US10749873B2 (en) User abstracted RBAC in a multi tenant environment
US7284000B2 (en) Automatic policy generation based on role entitlements and identity attributes
US8402514B1 (en) Hierarchy-aware role-based access control
US6141778A (en) Method and apparatus for automating security functions in a computer system
CN108259422B (zh) 一种多租户访问控制方法和装置
CN110990150A (zh) 容器云平台的租户管理方法、系统、电子设备及存储介质
US7237119B2 (en) Method, system and computer program for managing user authorization levels
CN111259378B (zh) 多租户管理系统和多租户管理系统的实现方法
CN105184144A (zh) 一种多系统权限管理方法
CN104717233B (zh) 数据库部署方法和装置
CN108416230A (zh) 一种基于数据隔离模型的数据访问方法
CN111475784B (zh) 一种权限管理方法及装置
CN101453475A (zh) 一种授权管理系统及方法
CN111352737A (zh) 一种基于资源池的容器云计算服务平台
CN106230818A (zh) 一种信息管理系统的资源授权方法
CN111680310A (zh) 一种权限控制的方法及装置、电子设备、存储介质
CN111291408B (zh) 数据管理方法、装置及电子设备
KR20140033056A (ko) 클라우드 서비스 재접속 자동화 방법
CN111062028A (zh) 权限管理方法及装置、存储介质、电子设备
CN112019543A (zh) 一种基于brac模型的多租户权限系统
CN113067871A (zh) 一种基于区块链技术的数字档案管理方法
WO2014099830A2 (en) Assigning permissions based on organizational structure
EP2725513A1 (en) Managing permission settings applied to applications
CN101594386A (zh) 基于分布式策略验证的可信虚拟组织构建方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant