CN110443010B - 一种在信息系统中权限可视化配置控制方法、装置、终端及存储介质 - Google Patents

Abstract

本发明公开了一种在信息系统中权限可视化配置控制方法、装置、终端及存储介质，属于计算机应用技术领域。首先在信息系统中配置权限控件与权限配置标识控件；然后构建用户与角色之间的映射关系；通过响应于对权限配置标识控件的操作，将所述权限以可视化的方式配置于角色，同步形成每个用户对应的权限数据表；可以让非技术人员在页面上进行可视化的权限配置，真正让系统的需求方或者实际管理人员进行直观的便捷的权限配置，从而将技术人员剥离出权限管理的苦海而专心于业务功能的开发，解决了现有技术中权限配置不方便的的问题。

Description

一种在信息系统中权限可视化配置控制方法、装置、终端及存 储介质

技术领域

本发明涉及计算机应用技术领域，具体地说，涉及一种在信息系统中权限可视化配置控制方法、装置、终端及存储介质。

背景技术

基于角色的访问控制(RBAC)是近年来研究最多、思想最成熟的一种数据权限管理机制，它被认为是替换传统的强制访问控制(MAC)和自主访问控制(DAC)的理想候选。基于角色的访问控制(RBAC)的基本思想是根据企业组织视图中不同的职能岗位划分不同的角色，将数据资源的访问权限封装在角色中，用户通过被赋予不同的角色来间接的访问数据库资源。用户权限管理方法通过一个用户可经授权而拥有多个角色，一个角色可由多个用户构成；每个角色可拥有多种权限，每个权限也可授权给多个不同的角色。每个操作可施加于多个用户，每个用户也可以接受多个操作，通过用户被赋予的不同角色而控制用户的访问。

然而对权限管理和配置，目前需要技术人员或者非常熟悉系统的运维人员在后台或者数据库进行维护。在信息化的管理系统中让技术人员配置角色权限，是既麻烦又得谨慎的‘硬骨头’，麻烦是因为新建每一个功能模块，都得一个个手动新增权限，然后对角色授权；谨慎是因为不同用户对数据有不同的处理权限，这是现代信息管理系统的重中之重，必须要与需求方或者用户进行明确角色的具体权限，类似这样的手动生成权限和权限授权方式是当前管理系统中普遍存在的问题。

此外，传统的管理系统根据数据的持有者来区分不同用户乃至不同角色查看的数据范围，但是在处理同一数据显示范围，比如数据字段上没有较好的解决方案，当前的主要方式通过不同用户分配不同角色显示不同页面，不同页面里面数据列表的数据范围不一样的方式不仅运维麻烦，而且增加程序员的工作量，效率较低。且在现代大型管理应用系统中，在大量用户集中访问系统的情况下，对查询数据库的访问权限将变十分复杂并大量消耗数据库资源，通过横向的分库分表或者独写分离等其他的解决方案，都不是从根源上提升或者挖掘单个系统服务的性能。

在现有技术中，一般只通过配置了路由菜单来限制用户可访问的页面，以url资源作为唯一标识符，服务器渲染页面的时候，获取当前会话当前用户的所有权限，前端菜单和按钮通过根据url资源标识符对比是否拥有此权限显示或隐藏菜单和按钮元素，后台根据根据url资源标识符对比对所有请求进行过滤。然而以往的方案以url为唯一标识，难以对页面中所有得HTML元素控制权限进行控制。

又比如，一种Web应用开发的可视化权限配置方法，包括：步骤1：选择web应用开发权限所赋予的对象；步骤2：以可视化的方式确定权限赋予对象和相应资源之间的联系，其中权限赋予对象对应的资源是html中的dom元素，以可视化视窗的方式在html页面上控制鼠标选择dom元素；步骤3：建立权限赋予对象和相应资源之间的映射关系，配置权限规则，其中通过html中的ID属性或者自定义的唯一标识定位dom元素在当前html页面中的位置，或者通过html中的class属性或者自定义的多个非唯一标识定位到dom元素在当前html页面中的位置。该方法置权限赋予对象只能精确到对html页面上元素，然而对列表中的数据字段难以进行更精细化配置。

发明内容

1、要解决的问题

针对现有目前的权限配置需要系统的技术开发人员在后台通过修改代码调整，造成系统运行过程中权限配置效率低、流程冗余、操作不便等问题，本发明提供一种在信息系统中权限可视化配置控制方法、装置、终端及存储介质。首先在信息系统中配置权限控件与权限配置标识控件；然后构建用户与角色之间的映射关系；通过响应于对权限配置标识控件的操作，将所述权限以可视化的方式配置于角色，同步形成每个用户对应的权限数据表；可以让非技术人员在页面上进行可视化的权限配置，真正让系统的需求方或者实际管理人员进行直观的便捷的权限配置，从而将技术人员剥离出权限管理的苦海而专心于业务功能的开发。

2、技术方案

为解决上述问题，本发明采用如下的技术方案。

第一方面，本发明提供了一种在信息系统中权限可视化配置控制方法，所述步骤如下：

在信息系统中配置权限控件与权限配置标识控件；

构建用户与角色之间的映射关系；

响应于对权限配置标识控件的操作，将所述权限以可视化的方式配置于角色，同步形成每个用户对应的权限数据表；

接收当前用户登录信息，进入前端页面，加载所述当前用户对应的权限数据表中配置的权限信息，渲染前端页面。

进一步的，所述权限控件包括路由菜单、操作按钮、页面元素以及数据字段的至少一种。

进一步的，构建用户信息与角色之间的映射关系包括：

根据所述用户信息构建用户组信息；

构建所述用户组信息和角色映射关系。

进一步的，所述权限的属性值采用二进制的值存储。

进一步的，在数据字典中定义N种权限的标识和文字说明，将所述N种权限排序，第i位权限的属性值为2ⁱ；

根据勾选的权限，对对应的角色的权限属性值赋值，将该权限属性值转换为二进制表达式；

若该表达式中第i位的值为1，则表示该角色具有第i位权限。

进一步的，在渲染前端页面前，服务器根据当前用户对应的权限数据表，对所述数据字段sql查询请求进行预处理，返回用户对应的权限数据字段。

第二方面，本发明提供了一种在信息系统中权限可视化配置控制装置，包括：

权限控件生成模块，用于在信息系统中配置权限控件与权限配置标识控件；

角色信息构建模块，用于构建用户与角色之间的映射关系；

权限可视化配置模块，用于响应于对权限配置标识控件的操作，将所述权限以可视化的方式配置于角色，同步形成每个用户对应的权限数据表；

前端界面显示模块,用于接收当前用户登录信息，进入前端页面，加载所述当前用户对应的权限数据表中配置的权限信息，渲染前端页面。

第三方面，本发明提供了一种终端，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器依次连接，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如上述的方法。

第四方面，本发明提供了一种可读存储介质，所述存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行上述的方法。

3、有益效果

相比于现有技术，本发明的有益效果为：

(1)本发明首先在信息系统中配置权限控件与权限配置标识控件；然后构建用户与角色之间的映射关系；通过响应于对权限配置标识控件的操作，将所述权限以可视化的方式配置于角色，同步形成每个用户对应的权限数据表；可以让非技术人员在页面上进行可视化的权限配置，真正让系统的需求方或者实际管理人员进行直观的便捷的权限配置，从而将技术人员剥离出权限管理的苦海而专心于业务功能的开发，解决了现有技术中权限配置不方便的的问题。

(2)本发明的权限配置具有更高细粒度，具体可以的控制到页面上菜单、按钮、页面元素、数据字段，相对于传统的权限一般只能控制到菜单和按钮，更能实现对于页面元素、数据字段权限的精确控制分配；页面元素以及数据字段权限是通过html中的ID属性或者自定义的进行唯一标识，区别传统的权限控制以url资源作为唯一标识符；进一步的，数据字段的权限控制，在服务器根据当前用户对应的权限数据表，对所述数据字段sql查询请求进行预处理，返回用户对应的权限数据字段，而不是传统的比对用户所拥有的权限而进行页面元素及数据字段的显示和隐藏，更好的保证了数据的安全性。

(3)本发明将权限对应的属性值采用二进制的值进行存储表示，通过在数据字典中定义N种权限的标识和文字说明，将所述N种权限排序，第i位权限的属性值为2^i，再根据勾选的权限，对对应的角色的权限属性值赋值，将该权限属性值转换为二进制表达式；若该表达式中第i位的值为1，则表示该角色具有第i位权限；在利用计算机位运算进行增加、查询、修改以及删除权限时，或在多用户高并发的情况下，性能得到大幅提升。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。附图中：

图1为本发明实施例提供的一种在信息系统中权限可视化配置控制方法流程图；

图2为本发明实施例提供的构建用户与角色之间的映射关系示意图；

图3为本发明实施例提供的开启权限配置模式的软件界面示意图；

图4为本发明实施例提供的一种权限配置界面显示方法流程图；

图5为本发明实施例提供的一种在信息系统中权限可视化配置控制装置。

具体实施方式

下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只作为示例，而不能以此来限制本发明的保护范围。需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。

在本申请中，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。在本发明的描述中，“多个”的含义是两个以上，除非另有明确具体的限定。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。

具体实现中，本发明实施例中描述的终端包括但不限于诸如具有触摸敏感表面(例如，触摸屏显示器和/或触摸板)的移动电话、膝上型计算机或平板计算机之类的其它便携式设备。还应当理解的是，在某些实施例中，所述设备并非便携式通信设备，而是具有触摸敏感表面(例如，触摸屏显示器和/或触摸板)的台式计算机。

在接下来的讨论中，描述了包括显示器和触摸敏感表面的终端。然而，应当理解的是，终端可以包括诸如物理键盘、鼠标和/或控制杆的一个或多个其它物理用户接口设备。

终端支持各种应用程序，例如以下中的一个或多个：绘图应用程序、演示应用程序、文字处理应用程序、网站创建应用程序、盘刻录应用程序、电子表格应用程序、游戏应用程序、电话应用程序、视频会议应用程序、电子邮件应用程序、即时消息收发应用程序、锻炼支持应用程序、照片管理应用程序、数码相机应用程序、数字摄影机应用程序、web浏览应用程序、数字音乐播放器应用程序和/或数字视频播放器应用程序。

可以在终端上执行的各种应用程序可以使用诸如触摸敏感表面的至少一个公共物理用户接口设备。可以在应用程序之间和/或相应应用程序内调整和/或改变触摸敏感表面的一个或多个功能以及终端上显示的相应信息。这样，终端的公共物理架构(例如，触摸敏感表面)可以支持具有对用户而言直观且透明的用户界面的各种应用程序。

本发明基本构思如下，首先在信息系统中配置权限控件与权限配置标识控件；然后构建用户与角色之间的映射关系；通过响应于对权限配置标识控件的操作，将所述权限以可视化的方式配置于角色，同步形成每个用户对应的权限数据表；可以让非技术人员在页面上进行可视化的权限配置，真正让系统的需求方或者实际管理人员进行直观的便捷的权限配置，从而将技术人员剥离出权限管理的苦海而专心于业务功能的开发，解决了现有技术中权限配置不方便的的问题。下面结合具体实施例进行阐述。

实施例1

下面是一些技术术语的解释：

指令：指令(Directives)是带有v-前缀的特殊特性。指令的职责是，当表达式的值改变时，将其产生的连带影响，响应式地作用于HTML元素。

HTML元素：HTML使用“标记”(markup，亦作tag)来注明文本、图片和其他内容，以便于在Web浏览器中显示。HTML标记包含一些特殊“元素”如<head>,<title>,<body>,<header >,<footer>,<article>,<section>,<p>,<div>,<span>,<img>,<aside>,<audio>,<canvas >,<datalist>,<details>,<embed>,<nav>,<output>,<progress>,<video>等。

Vuex：Vuex是一个专为Vue.js应用程序开发的状态管理模式。

路由：路由(Router)是根据网址找到能处理这个网址的程序或模块。

位运算：程序中的所有数在计算机内存中都是以二进制的形式储存的；位运算就是直接对整数在内存中的二进制位进行操作。

基于背景技术存在的问题，本发明基于Vue的前端框架进行可视化权限配置，让技术人员定义权限简单，让非技术人员分配权限更简单，主要进行了以下几点的改进。

如图1所示，本实施例提供一种在信息系统中权限可视化配置控制方法，所述方法步骤包括如下：

S102：在信息系统中配置权限控件与权限配置标识控件；

具体的，在信息系统建立基于RBAC访问权限基础模型，并对应数据库表中配置权限控件包括路由菜单、操作按钮、页面元素以及数据字段的至少一种；进一步配置权限配置标识控件，在软件界面中权限配置标识控件显示在权限控件的对应位置，对应位置可以在权限控件左上角，右上角，左下角以及右下角，在此不做限定。且在软件界面的另一位置，设置控制权限配置标识控件隐藏或者显示的“当前用户开启页面权限编辑”控件。

其中，在信息系统中路由菜单权限决定某个用户能不能进入该路由所代表的页面；

所述操作级权限是指当用户被赋予某个操作的权限，对应的操作按钮才对用户显示，例如“新增”、“编辑”、“删除”以及“查询”等；

所述页面元素权限表示，显示html页面上某一个或者某一段的HTML元素的权限。例如，用户名称查询条件(页面上的一段div元素)；

所述数据字段的权限表示显示实体字段的权限，例如“姓名列表数据字段”以及“账户状态列表数据字段”等。

需要说明的是，开发者也可以根据实际需要，自定义手动新增或者修改路由菜单、操作按钮、页面元素以及数据字段的权限。

进一步，通过不同路由有对应唯一的路由名称，再给路由下对应的不同的权限控件赋予一个唯一的key标识，从而保证了每一个页面都有唯一的权限key，每一个页面下的需要控制的权限，例如路由菜单、操作按钮、页面元素以及数据字段的至少一种，通过html中的ID属性或者自定义的对权限控件进行唯一标识，区别传统的权限控制以url资源作为唯一标识符；从而使权限控制在实现方式上有了进一步的提升。在系统配置中把这些权限数据保存到服务器端，用户登录时就可通过系统同时控制页面进入的权限及相应的权限控件。

本领域技术人员应当理解，在本实施例中与服务器端数据的交互是必须的。而编程语言的工具都是可替换的，如路由、指令、Vuex都是可替换的，可通过不同的工具替代实现同样的功能。

S104：构建用户与角色之间的映射关系；

具体的，如图2所示，首先获取用户信息，根据所述用户信息构建用户组信息，并为用户和用户组建立一对多的关系；构建所述用户组信息和角色映射关系，为用户组和角色建立一对多的关系。

需要说明的是，对于步骤S102以及S104，建立基于RBAC访问的基础模型，即新建用户、用户组、角色以及权限基础模型，就是把用户通过角色与权限进行关联，从而获得某些功能的使用权限。把权限被赋予给角色，而不是用户，但是一个用户可以拥有若干个角色，一个用户属于多个用户组，一个用户组可以拥有若干个角色，此用户就拥有自己若干角色和用户组拥有若干角色(多个角色取并集)所包含的功能权限。简单地说，一个用户拥有若干角色，每一个角色拥有若干功能权限。用户是最终操作人员，权限的最终使用者，控制权限控制权限实际上就是控制用户的权限，而不是角色或者用户组的权限；用户组是相对垂直而言的。比如说，采购部这个用户组实际上是由采购部的业务员(定义都为用户)组成的，具有上下级的明确关系；采购部只能查看属于采购部的文档，销售部只能查看属于销售部的文档，带有强烈的部门性质或者说组的性质，但是采购部业务员虽然都是属于同一个部门，但是却不一定有着相同的权限，比如说经理和一般业务员的权限肯定存在差异；用户组是带有一种垂直既自上而下的性质，而角色的范围则没有带着那么浓厚的垂直关系，而是带有比较明显的水平以及交叉的性质；比方说在系统中现定义一个角色：经理，这个经理包含了各个部门的经理，而不单单是采购部经理或者是销售部经理，很明显这个‘经理’角色显然同时具有各部门的经理的权限，也就是说这时候如果各部门经理们只是处于该‘经理’角色，那么采购部经理不但具有采购部经理的操作权限，同时也被赋予了其他各部门经理的权限，这个时候各个部门经理的权限是一致的，但是这样势必造成权限的拥堵或者混乱，此时刚才提到的第一个对象，即用户就派上用场了，几个部门经理同属于‘经理’角色情况下又想他们之间的权限有区别，可以对每个部门经理(即用户)单独授权，当然你也可以根据该用户身处的用户组和角色之间的关联关系或者排斥关系来确认用户的最终权限。

S106：响应于对权限配置标识控件的操作，将所述权限以可视化的方式配置于角色，同步形成每个用户对应的权限数据表；

如图3所示具体的，在分配权限时，具有开启可视化编辑权限的用户(一般为系统的超级管理员)

登陆进入系统,通过点击“当前用户开启页面权限编辑”控件按钮，开启编辑模式后，将会从后台读取所有角色和权限基础和相关数据，进入前端页面，显示所有“权限配置标识”控件按钮，即可以一览无余查看到所有角色有无该页面上菜单、按钮、页面元素、数据字段权限的情况，可以在当前页面进行菜单、按钮、页面元素、数据字段与角色赋权限的操作。如图3所示，在鼠标移动到权限标识按钮时，“用户管理”控件按钮会变成一个半透明的遮罩层，遮罩住当前权限标识按钮所控制的区域。点击“用户管理”控件按钮，响应对所述标识按钮的操作，弹出对话框主体及对话框的子控件；所述对话框子控件对应显示不同的角色标识，通过与权限控件对应的唯一标识符向服务器端请求所拥有权限的用户组，通过勾选需要配置权限的角色，保存编辑后，同步修改服务器端中每个用户对应的权限数据表格，完成了用户的权限的可视化配置。

需要说明的是，在现有技术中是通过给路由菜单及HTML元素设置固定所属的用户组，通过动态配置用户所属于的用户组来达到控制HTML元素的权限。该方案无法满足用户组与权限的同时的动态化配置，在需要添加用户组时，可能需要修改源代码来实现，不够灵活，只能满足于小型系统的权限控制。本实施例基于可视化的权限配置，使系统的权限管理授权具有更大的灵活性和便捷性。更精准的权限配置，能够对不同人员显示不同的菜单、操作按钮、页面元素，数据字段的权限进行配置，能够根据不同人员显示同一条数据的全部或者选定的部分字段，对权限控制更加精细化。

还需要说明的是，拥有管理员角色或者运维人员角色用户登陆系统后，进入用户管理页面，自动给管理员角色和运维人员角色赋了“账户状态列表数据字段”的权限，则可在此数据列表上可以查看所述账号使用状态数据。没有权限的用户登陆系统后，进入用户管理页面，页面数据不会显示账号状态这一列数据。这样设置，使管理员更加清楚了解所有用户账号的使用状态，更加方便权限的赋予。

S108：接收当前用户登录信息，进入前端页面，加载所述当前用户对应的权限数据表中配置的权限信息，渲染前端页面。

具体的，普通用户登录时下发用户所属用户组拥有的权限表及系统所有的权限表，在用户跳转页面时通过比对用户所拥有的权限进行控制是否允许用户进入相应的页面，当用户无权限进入此页面时，不会显示进入此页面的路由菜单，并且在浏览器地址栏中手动输入对应路由地址也无法进行访问。

当进入此页面时，前端系统根据用户各种权限信息判断是否能够进入相应的路由，是否显示相应的控件比如路由菜单、操作按钮、页面元素以及数据字段等；进一步的，在渲染前端页面前，服务器根据当前用户对应的权限数据表，对所述数据字段sql查询请求进行预处理，返回用户对应的权限数据字段，而不是传统的比对用户所拥有的权限而进行页面及html元素的显示和隐藏，更好的保证了数据的安全性。

实施例2

与实施例1不同之处在于：所述权限的表示方法上采用二进制的值进行存储。进一步在数据字典中定义N种权限的标识和文字说明，将所述N种权限排序，第i位权限的属性值为2ⁱ；根据勾选的权限，对对应的角色的权限属性值赋值，将该权限属性值转换为二进制表达式；若该表达式中第i位的值为1，则表示该角色具有第i位权限。

具体的，例如需要配置N个权限，在数据字典中定义N种权限的标识和文字说明，将所述N种权限排序，并将每个权限用二进制表示，例如某角色拥有第一到第n个权限的值可表示为：2⁰+2¹+2²...2ⁿ，其对应的二进制表示为111....1111(共n位),若无第n种权限该角色拥有第一到第n-1个权限可表示为：2⁰+2¹+2²...2^n-1，查询用户是否具有第n种权限方法，可以以用户拥有的权限值和第n种权限的值(2ⁿ)进行位与运算(&)，若返回1表示有此权限，否则表示没有此权限。

对于新增的用户权限时，用对应2ⁿ的值存入权限的数据库。例如现有系统中管理员角色(admin)已获得所有的(n-1)种权限的授权，其权限的值可标识为P_admin＝2⁰+2¹+2²...2^n-1，P_admin表示了管理员角色(admin)拥有的权限情况,新增的第N种权限值表示为V_n＝2ⁿ,在数据字典中定义第N种权限的标识和文字说明，在角色表中储存该角色的权限值。则给管理员角色(admin)角色新增第N种权限其值可表示为：

P_admin＝P_admin+V_n；

删除管理员角色(admin)角色第N种权限其值可表示为：

P_admin＝P_admin-V_n；

查询管理员角色(admin)角色是否包含新增第N种权限算式表达式可表示为：

P_admin&V_n

若返回1则表示管理员角色(admin)角色有第N种权限的授权；否则没有权限。

将P_admin的数值转化成二进制表达方式：1111...111111,从低位往高位上数，第N位的数值为1则表示管理员角色(admin)有第N种权限的授权，若没有第N位或者第N位的数值为0则表示管理员角色(admin)角色没有第N种权限的授权。此种权限存储方式，位运算效率高，在新增、删除、查询权限的效率有明显优势，若在大型应用系统中应用，性能得到大幅提升。

实施例3

本实施例提供一种终端，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器依次连接，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行实施例1-2所述的方法。

实施例4

本实施例提供了一种计算机可读存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行实施例1-2所述的方法。

具体的，所述计算机可读存储介质可以是前述实施例所述的终端的内部存储单元，例如终端的硬盘或内存。所述计算机可读存储介质也可以是所述终端的外部存储设备，例如所述终端上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。进一步地，所述计算机可读存储介质还可以既包括所述终端的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述终端所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的终端和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露终端和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

实施例5

如附图5所示，本实施例提供一种在信息系统中权限可视化配置控制装置，包括：

权限控件生成模块10，用于在信息系统中配置权限控件与权限配置标识控件；

角色信息构建模块20，用于构建用户与角色之间的映射关系；

权限可视化配置模块30，用于响应于对权限配置标识控件的操作，将所述权限以可视化的方式配置于角色，同步形成每个用户对应的权限数据表；

前端界面显示模块40,用于接收当前用户登录信息，进入前端页面，加载所述当前用户对应的权限数据表中配置的权限信息，渲染前端页面。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (7)

1.一种在信息系统中权限可视化配置控制方法，其特征在于，包括：

在信息系统中配置权限控件与权限配置标识控件；在信息系统建立基于RBAC访问权限基础模型，并对应数据库表中配置权限控件包括路由菜单、操作按钮、页面元素以及数据字段的至少一种；进一步配置权限配置标识控件，在软件界面中权限配置标识控件显示在权限控件的对应位置；

构建用户与角色之间的映射关系；

响应于对权限配置标识控件的操作，将所述权限以可视化的方式配置于角色，同步形成每个用户对应的权限数据表；

接收当前用户登录信息，进入前端页面，加载所述当前用户对应的权限数据表中配置的权限信息，渲染前端页面；

其中，所述以可视化的方式将所述权限控件配置于角色步骤包括：

通过点击“开启权限配置”控件按钮，开启编辑模式后，将会从后台读取所有角色和权限基础和相关数据，进入前端页面，显示所有“权限配置标识”控件按钮；

在鼠标移动到权限标识按钮时，“权限配置标识”控件按钮会变成遮罩层，所述遮罩层遮罩住当前权限标识按钮所控制的区域；

点击“权限配置标识”控件按钮，响应对所述标识按钮的操作，弹出对话框主体及对话框的子控件；所述对话框子控件对应显示不同的角色标识，通过与权限控件对应的唯一标识符向服务器端请求所拥有权限的用户组，通过勾选需要配置权限的角色，保存编辑后，同步修改服务器端中每个用户对应的权限数据表格，完成用户的权限的可视化配置；

所述权限的属性值采用二进制的值存储；

在数据字典中定义N种权限的标识和文字说明，将所述N种权限排序，第i位权限的属性值为2ⁱ；

根据勾选的权限，对对应的角色的权限属性值赋值，将该权限属性值转换为二进制表达式；

若该表达式中第i位的值为1，则表示该角色具有第i位权限；

其中，P_admin表示管理员角色(admin)拥有的权限情况,新增的第N种权限值表示为V_n,在数据字典中定义第N种权限的标识和文字说明，在角色表中储存该角色的权限值，

则给管理员角色(admin)角色新增第N种权限其值可表示为：

P_admin＝P_admin+V_n；

删除管理员角色(admin)角色第N种权限其值可表示为：

P_admin＝P_admin-V_n；

查询管理员角色(admin)角色是否包含新增第N种权限算式表达式可表示为：

P_admin&V_n。

2.根据权利要求1所述的权限可视化配置控制方法，其特征在于，所述权限控件包括路由菜单、操作按钮、页面元素以及数据字段的至少一种。

3.根据权利要求1所述的权限可视化配置控制方法，其特征在于，构建用户信息与角色之间的映射关系包括：

根据所述用户信息构建用户组信息；

构建所述用户组信息和角色映射关系。

4.根据权利要求1-3任意一项所述的权限可视化配置控制方法，其特征在于：

在渲染前端页面前，服务器根据当前用户对应的权限数据表，对所述数据字段sql查询请求进行预处理，返回用户对应的权限数据字段。

5.一种在信息系统中权限可视化配置控制装置，包括：

权限控件生成模块，用于在信息系统中配置权限控件与权限配置标识控件；

角色信息构建模块，用于构建用户与角色之间的映射关系；

权限可视化配置模块，用于响应于对权限配置标识控件的操作，将所述权限以可视化的方式配置于角色，同步形成每个用户对应的权限数据表；

其中，所述以可视化的方式将所述权限控件配置于角色步骤包括：

通过点击“开启权限配置”控件按钮，开启编辑模式后，将会从后台读取所有角色和权限基础和相关数据，进入前端页面，显示所有“权限配置标识”控件按钮；

在鼠标移动到权限标识按钮时，“权限配置标识”控件按钮会变成遮罩层，所述遮罩层遮罩住当前权限标识按钮所控制的区域；

点击“权限配置标识”控件按钮，响应对所述标识按钮的操作，弹出对话框主体及对话框的子控件；所述对话框子控件对应显示不同的角色标识，通过与权限控件对应的唯一标识符向服务器端请求所拥有权限的用户组，通过勾选需要配置权限的角色，保存编辑后，同步修改服务器端中每个用户对应的权限数据表格，完成用户的权限的可视化配置；

前端界面显示模块,用于接收当前用户登录信息，进入前端页面，加载所述当前用户对应的权限数据表中配置的权限信息，渲染前端页面；

所述权限的属性值采用二进制的值存储；

在数据字典中定义N种权限的标识和文字说明，将所述N种权限排序，第i位权限的属性值为2ⁱ；

根据勾选的权限，对对应的角色的权限属性值赋值，将该权限属性值转换为二进制表达式；

若该表达式中第i位的值为1，则表示该角色具有第i位权限；

其中，P_admin表示管理员角色(admin)拥有的权限情况,新增的第N种权限值表示为V_n,在数据字典中定义第N种权限的标识和文字说明，在角色表中储存该角色的权限值，

则给管理员角色(admin)角色新增第N种权限其值可表示为：

P_admin＝P_admin+V_n；

删除管理员角色(admin)角色第N种权限其值可表示为：

P_admin＝P_admin-V_n；

查询管理员角色(admin)角色是否包含新增第N种权限算式表达式可表示为：

P_admin&V_n。

6.一种终端，其特征在于，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器依次连接，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如权利要求1-4任一项所述的方法。

7.一种可读存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1-4任一项所述的方法。

Images