CN110516452A - Rbac资源权限分配方法、装置、电子设备和存储介质 - Google Patents

Rbac资源权限分配方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN110516452A
CN110516452A CN201910727361.9A CN201910727361A CN110516452A CN 110516452 A CN110516452 A CN 110516452A CN 201910727361 A CN201910727361 A CN 201910727361A CN 110516452 A CN110516452 A CN 110516452A
Authority
CN
China
Prior art keywords
access authorization
resource
user
role
permission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910727361.9A
Other languages
English (en)
Inventor
吴凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Dasou Vehicle Software Technology Co Ltd
Original Assignee
Zhejiang Dasou Vehicle Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Dasou Vehicle Software Technology Co Ltd filed Critical Zhejiang Dasou Vehicle Software Technology Co Ltd
Priority to CN201910727361.9A priority Critical patent/CN110516452A/zh
Publication of CN110516452A publication Critical patent/CN110516452A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供一种RBAC资源权限分配方法、装置、电子设备和存储介质,包括:在RBAC所包括的子系统中,确定与已注册的目标组织匹配的子系统,并在确定出的子系统中确定与该目标组织匹配的权限集合;在该目标组织匹配的权限集合所包括的资源权限中,确定与该目标组织包括的角色相匹配的资源权限,基于与该角色匹配的资源权限生成该角色所对应的资源权限包;遍历包含已注册用户的用户列表,依据遍历到的用户在该用户所属组织中的角色,为该用户分配资源权限包,并建立所述用户的用户标识与该资源权限包的第一对应关系。采用本申请提供的方法,可以实现资源权限的细粒度划分。

Description

RBAC资源权限分配方法、装置、电子设备和存储介质
技术领域
本申请涉及计算机通信领域,尤其涉及RBAC资源权限分配方法、装置、电子设备和存储介质。
背景技术
资源是用户访问的对象,例如,资源可以是数据、菜单、按钮等。资源权限是对一个或一组资源操作所需要具备的许可条件,用户是资源权限的拥有者,当用户访问某一资源时,需要具有相应的资源权限。
在RBAC(Role-BasedAccess Control,基于角色的访问控制)权限体系中,权限与角色相关联,角色是权限的分配单位与载体,一个角色中包含了一个或多个权限,是某些权限的集合,通过给用户赋予某一角色而使用户得到该角色的权限,这就极大地简化了权限的管理。
但是,现有的RBAC权限体系中,权限只能以角色分类并赋予给用户,使得资源权限划分的粒度过大,使得用户具有越权操作的机会,造成系统不安全。
发明内容
有鉴于此,本申请提供一种RBAC资源权限分配方法、装置、电子设备和存储介质,用以实现资源权限的细粒度划分。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种基于角色的访问控制RBAC资源权限分配方法,所述方法包括:
在RBAC所包括的子系统中,确定与已注册的目标组织匹配的子系统,并在确定出的子系统中确定与该目标组织匹配的权限集合;
在该目标组织匹配的权限集合所包括的资源权限中,确定与该目标组织包括的角色相匹配的资源权限,基于与该角色匹配的资源权限生成该角色所对应的资源权限包;
遍历包含已注册用户的用户列表,依据遍历到的用户在该用户所属组织中的角色,为该用户分配资源权限包,并建立所述用户的用户标识与该资源权限包的第一对应关系。
可选的,所述RBAC包括一个或多个子系统,每个子系统构建有:一个或多个权限集合;每个权限集合包括该子系统业务对应的一个或多个资源权限。
可选的,在所述基于与该角色匹配的资源权限生成该角色所对应的资源权限包后,所述方法还包括:
记录所述目标组织的标识、所述角色与所述资源权限包的第二对应关系;
所述依据遍历到的用户在该用户所属组织中的角色,为该用户分配资源权限包,包括:
以遍历到的用户所属组织的组织标识和该用户的角色作为关键字,在所述第二对应关系中查找与该关键字对应的资源权限包;
将查找到的资源权限包确定为所述用户对应的资源权限包。
可选的,所述方法还包括:
接收用户终端发送的登录请求;所述登录请求包括用户标识;
在所述第一对应关系中,确定与该用户标识对应的资源权限包;
将所述资源权限包的资源权限授权给所述用户标识所指示的用户。
根据本申请的第二方面,提供一种基于角色的访问控制RBAC资源权限分配装置,所述装置包括:
确定单元,用于在RBAC所包括的子系统中,确定与已注册的目标组织匹配的子系统,并在确定出的子系统中确定与该目标组织匹配的权限集合;
生成单元,用于在该目标组织匹配的权限集合所包括的资源权限中,确定与该目标组织包括的角色相匹配的资源权限,基于与该角色匹配的资源权限生成该角色所对应的资源权限包;
分配单元,用于遍历包含已注册用户的用户列表,依据遍历到的用户在该用户所属组织中的角色,为该用户分配资源权限包,并建立所述用户的用户标识与该资源权限包的第一对应关系。
可选的,所述RBAC包括一个或多个子系统,每个子系统构建有:一个或多个权限集合;每个权限集合包括该子系统业务对应的一个或多个资源权限。
可选的,所述生成单元,在基于与该角色匹配的资源权限生成该角色所对应的资源权限包之后,还具体用于记录所述组织标识、所述角色与所述资源权限包的第二对应关系;
所述分配单元,在依据遍历到的用户在该用户所属组织中的角色,为该用户分配资源权限包时,具体用于以遍历到的用户所属组织的组织标识和该用户的角色作为关键字,在所述第二对应关系中查找与该关键字对应的资源权限包;将查找到的资源权限包确定为所述用户对应的资源权限包。
可选的,所述装置还包括:
接收单元,用于接收用户终端发送的登录请求;所述登录请求包括用户标识;
确定单元,用于在所述第一对应关系中,确定与该用户标识对应的资源权限包;
授权单元,用于将所述资源权限包的资源权限授权给所述用户标识所指示的用户。
根据本申请的第三方面,提供一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使执行如第一方面所述方法。
根据本申请的第四方面,提供一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行如第一方面所述方法。
由上述描述可以看出,本申请对资源权限进行多级划分,比如先将资源权限按照不同的业务划分为不同的子系统,实现一级划分。然后将子系统中的资源权限按照用户实际需求再划分为不同的权限集合,实现二级划分,使得资源权限的划分的粒度更细。
此外,在资源权限的分配时,也采用了多级分配。比如,先以组织为单位,为组织分配与该组织匹配的资源权限,实现资源权限的一级分配。然后,再在组织的层面上按照角色将资源权限进行分类,最后基于该组织下的用户绑定的角色,将组织中匹配用户的角色的资源权限下发给用户,实现资源权限的二级分配。
由于本申请在资源权限划分时采用多级划分,在资源权限分配时也采用多级分配,所以用户获取的资源权限的粒度更细,因此可以有效地避免发生用户越权操作的问题,增加系统的安全性。
附图说明
图1a是现有的RBAC权限体系的示意图;
图1b是本申请一示例性实施例示出的一种RBAC权限体系的示意图;
图2是本申请一示例性实施例示出的一种资源分配方式的组网架构图;
图3是本申请一示例性实施例示出的一种RBAC资源权限分配方法的流程图;
图4是本申请一示例性实施例示出的一种电子设备的硬件结构图;
图5是本申请一示例性实施例示出的一种RBAC资源权限分配装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
如图1a所示,图1a是现有的RBAC权限体系的示意图。
现有的RBAC权限体系包括:用户、角色、资源权限。
资源权限被划分给不同的角色,即每个角色有该角色自身对应的一个或多个资源权限。在为用户分配资源权限时,可以查找用户自身角色的对应的资源权限,并建立用户标识与资源权限的对应关系。
用户登录时,可在该对应关系中,查找与自身用户标识对应的资源权限。
在现有的RBAC权限体系中,权限按照角色进行划分,并通过给用户赋予某一角色而使得用户得到该角色的权限,但是这样的权限划分机制会造成权限划分粒度过大,这就使得用户具有越权操作的机会,造成系统不安全。
例如,假设RBAC权限体系中具有查账权限和编辑账本权限,RBAC的角色有组长角色和组员角色。假设将查账权限和编辑账本权限均与组长角色关联,将查账权限与组员角色关联。
假设企业中有研发部和财务部,研发部有组长和组员的角色,财务部也有组长和组员的角色。如果采用这种权限分配机制,就会使得财务部和研发部的组长都具有查账权限和编辑账本权限。而在实际应用中,只有财务部组长才具有查账权限和编辑账本权限,就这给研发部组长有越权操作的机会,造成系统的不安全。
有鉴于此,本申请提出的一种基于RBAC的资源权限分配方法,以此来解决权限划分粒度过大而造成的系统不安全的问题。
在介绍本申请提供的资源权限分配方法之前,先对本申请所涉及的概念进行介绍。
1)资源
资源是用户访问的对象,资源可以是数据、菜单、按钮、URL链接等。
2)资源权限
资源权限是对一个或一组资源操作所需要具备的许可条件,用户是资源权限的拥有者。用户访问某一资源时,需要具有相应的资源权限。比如,用户读取数据的资源权限,用户删除数据的资源权限。
3)子系统
本申请对RBAC权限体系进行了改进,在RBAC权限体系中增加了一个或多个子系统。
每个子系统对应的业务不同,每个子系统中储存有与该子系统业务对应的资源和资源权限。
例如,如表1所示。
表1
如表1所示,假设有两个子系统,分别为子系统1和子系统2。子系统1对应财务业务(对应财务部),子系统2对应研发业务(对应研发部)。
子系统1中储存有与财务业务对应的资源和资源权限,比如资源有:财务账本、账单信息表等。资源权限有查看财务账本权限、编辑财务账本权限、查看账单信息表权限、编辑账单信息表权限等等。
子系统2中储存有与研发业务对应的资源和资源权限,比如资源有:数据等。资源权限有:调用数据、编辑数据等等。
需要说明的是,本申请将不同的资源和资源权限按照不同业务场景进行分类形成多个子系统,一方面,可以增加了资源权限的划分维度,使得资源权限的划分粒度更细;另一方面,不同子系统中的资源和资源权限相互隔离,可以防止不同业务场景资源权限授权混乱。
4)权限集合
本申请在子系统下引入了权限集合的概念,本申请将子系统下的资源权限按照用户不同的实际需求进行划分,在子系统中形成一个或多个权限集合。
换句话来说,子系统中的权限集合:是该子系统的资源权限的管理集合。一个子系统中可包括一个或多个权限集合,每一个权限集合可以关联该子系统中的一个或多个资源权限。
例如,如表2所示。
表2
如表2所示,子系统1中的资源权限包括:查看财务账本权限、编辑财务账本权限、查看账单信息表权限、编辑账单信息表权限。
假设子系统1中包括两个权限集合,分别为权限集合1和权限集合2。
权限集合1包含的资源权限可包括:查看财务账本权限、编辑财务账本权限、查看账单信息表权限、编辑账单信息表权限。
权限集合2包含的资源权限可包括:查看账单信息表权限、编辑账单信息表权限。
需要说明的是,在子系统下增加权限集合,可以更加细化资源权限,使得资源权限的划分粒度更细。
5)组织
组织是指一个企业下的不同集团,或者一个企业下的不同分公司等。每一个组织运营至少一种业务,因此每个组织可以与多个子系统中的权限集合进行关联,从而获得多种业务的资源权限。
例如,一个企业包括新车集团和二手车集团。以新车集团为例,假设新车集团同时具有财务部和研发部,新车集团需要进行财务业务和研发业务。
假设,该RBAC如表3所示。
表3
如表3所示,RBAC具有两个子系统,子系统1与财务业务对应,子系统2与研发业务对应。
子系统1中的资源权限包括:资源权限有查看财务账本权限、编辑财务账本权限、查看账单信息表权限、编辑账单信息表权限等等。
假设,子系统1中包括两个权限集合,分别为权限集合11和权限集合12。
权限集合11关联的资源权限可包括:查看财务账本权限、编辑财务账本权限、查看账单信息表权限、编辑账单信息表权限。
权限集合12关联的资源权限可包括:查看账单信息表权限、编辑账单信息表权限。
假设子系统2的资源权限包括:调用数据权限、编辑数据权限等。
假设子系统2包括一个权限集合,该权限集合为权限集合21。假设权限集合21关联的资源权限包括:调用数据权限和编辑数据权限。
由于新车集团(组织)具有财务业务和研发业务,所以可将子系统1中的权限集合11、子系统2中的权限集合21与该新车集团关联。
新车集团的资源权限架构如表4所示。
表4
需要说明的是,一个组织可以关联N个子系统中每一个子系统中的一个权限集合,一共关联N个权限集合。
比如,一个组织对应3个子系统,该组织可以关联子系统1中的权限集合1、子系统2中的权限集合2和子系统3中的权限集合1。
这里只是对组织关联的权限集合进行示例性的说明,不进行具体地限定。
6)角色
在本申请中,角色是针对组织来说的。每个组织对应有一个角色列表,角色列表里记录与该组织对应的所有角色。不同组织对应的角色列表可以相同也可以不同。
这里所述的角色,是指用户角色,比如该角色可以是管理员、组长、组员等。
在介绍完上述概念后,下面对本申请的RBAC权限体系进行介绍
参见图1b,图1b是本申请一示例性实施例示出的一种RBAC权限体系的示意图。
在本申请示出的RBAC权限体系包括:一个或多个子系统。每个子系统还包括一个或多个权限集合,每个权限集合里包括:与该权限集合匹配的一个或多个资源权限。
本申请中的组织可以与一个或多个子系统中的权限集合关联。
例如,如图1b所示,组织与子系统1中的权限集合1、子系统2中的权限集合1关联。
此外,本申请的组织包括多个角色,针对每个角色,可在与该组织关联的权限集合中查找与该角色匹配的资源权限(如图1b所示子系统1中的资源权限1和子系统2中的资源权限2),并基于与该角色匹配的资源权限生成该角色的资源权限包。
然后,本申请可依据已注册用户所属组织和用户角色,为该已注册用户分配资源权限包,并建立该用户的用户标识与该分配的资源权限包的对应关系。
当接收到用户的登录请求后,可依据该用户的登录请求中携带的用户标识,找到该用户的资源权限包。
一方面,本申请在RBAC权限体系中引入了子系统和权限集合,使得资源权限划分的粒度更细。
另一方面,本申请不同子系统对应的业务不同,而且各个子系统彼此隔离,各个子系统中的资源权限也彼此隔离,可以有效防止不同场景资源权限授权混乱的问题的发生。
第三方面,本申请提出了组织的概念,由于组织需要进行多种业务,所以将多个子系统中的权限集合授予给组织,使得每个组织可以控制自身的权限。
第四方面,在组织下,本申请又基于角色,在该组织所具有的资源权限中选择与该角色对应的资源权限生成资源权限包,并将该资源权限包授予给用户,使得每个用户都具有自身的权限。
参见图2,图2是本申请一示例性实施例示出的一种资源分配方式的组网架构图。
该组网可包括前端设备和后台设备。
其中,前端设备可以是用户终端,如计算机等。
后台设备可以包括:服务器、由多台服务器组成的服务器集群等,这里只是示例性地说明,不进行具体地限定。
用户可以在前端设备进行相关操作,前端设备可以响应于用户的操作向后台设备发送消息,以指示后台设备进行相应地处理。
下面详细介绍下本申请提供的基于RBAC的资源权限的分配方法。
参见图3,图3是本申请一示例性实施例示出的一种基于RBAC的资源权限分配方法的流程图。该方法可应用在电子设备上,可包括如下所示步骤301至步骤303:
其中,电子设备可以是后台设备,或者是由多个后台设备组成的服务器集群等,也可以是计算机等,这里只是对电子设备进行示例性地说明,不进行具体地限定。
步骤301:在RBAC所包括的子系统中,确定与已注册的目标组织匹配的子系统,并在确定出的子系统中确定与该目标组织匹配的权限集合。
依据上文的描述,RBAC权限体系中包括一个或多个子系统,每个子系统包括:一个或多个权限集合;每个权限集合关联该子系统业务对应的一个或多个资源权限。
后台设备上预创建有RBAC中每一个子系统,以及每一个子系统包括的各权限集合。
在一种可选的实现方式中,后台设备上存储有已注册组织列表,该已注册组织列表中记录了所有已注册组织的标识。后台设备可以遍历已注册组织列表中的每一已注册组织的标识,将遍历到的已注册组织作为目标组织。
然后,后台设备可按照预设的规则,在所有子系统中选择一个或多个子系统,并在选择出的每个子系统中,选择与该目标组织标识匹配的权限集合,并将选择出的权限集合与该目标组织标识绑定,绑定关系如图5所示。
组织标识 子系统标识 权限集合
图5
比如,后台设备可以依据该目标组织所承担的业务,为该目标组织分配与其所承担的业务相关的一个或者多个子系统,并在选择出的每个子系统中,选择与该目标组织标识匹配的权限集合,并将选择出的权限集合与该目标组织标识绑定。这里只是示例性地说明,不进行具体地限定。
例如,目标组织的组织为天凌集团,后台设备确定出天凌集团具有商品、整车和售后业务,后台设备可以基于天凌集团具有的业务,确定出与天凌集团匹配的子系统(即商品子系统、整车子系统和售后子系统)。然后后台设备确定已记录的天凌集团的商品业务主要是标准商品业务,所以将商品子系统中的标准商品权限集合分配给天凌集团。同理,将整车子系统中的标准整车权限集合分配给天凌集团,售后子系统中的标准权限集合分配给天凌集团。
天凌集团、子系统和权限集合的绑定关系如表6所示。
表6
在另一种可选的实现方式中,用户可在前端设备的界面上选择已注册的目标组织标识,然后发起针对该目标组织标识的权限集合绑定操作。
当前端设备检测到用户针对目标组织标识的绑定操作后,可向后台设备发送权限集合绑定请求。该权限集合绑定请求中携带有目标组织标识。
后台设备接收到该权限集合绑定请求后,可向前端设备返回各个子系统以及各子系统中的各权限集合,前端设备可展示各子系统以及各子系统中的各权限集合。
用户在前端设备展示的各子系统以及各子系统中的各权限集合中,选择与该目标组织标识关联的子系统,以及选择出的子系统下的权限集合。前端设备可将目标组织标识关联的子系统以及用户在子系统中选择的权限集合标识发送给后台设备。后台设备可确定前端设备发送的子系统标识是与该目标组织标识匹配的子系统标识,前端发送的权限集合标识是与该目标组织标识匹配的权限集合标识。
后台设备可建立目标组织标识、子系统标识和权限集合标识的绑定关系,建立的绑定关系如表5所示。
例如,用户可在前端设备的界面上选择天凌集团作为待绑定组织标识,然后点击触发绑定操作的按钮,发起针对天凌集团的权限集合绑定操作。
当前端设备检测到用户针对该天凌集团的权限集合绑定操作后,可向后台设备发送权限集合绑定请求。该权限集合绑定请求中携带有天凌集团。
后台设备接收到该权限集合绑定请求后,后台设备可确定目标组织标识为天凌集团,后台设备可向前端设备返回各个子系统以及各子系统中的各权限集合,前端设备可展示各子系统以及各子系统中的各权限集合。
用户可在前端设备界面中选择与天凌集团关联的子系统(比如商品子系统,整车子系统和售后子系统),然后选择的子系统中选择与天凌集团关联的权限集合。比如,用户可在商品子系统中选择标准商品权限集合、在整车子系统中选择标准整车权限集合,在售后子系统中选择标准权限集合。前端设备可将这三个权限集合的权限集合标识发送给后台设备,后台设备可建立天凌集团、标准商品权限集合、标准整车权限集合、标准权限集合绑定。
例如,天凌集团、子系统和权限集合的绑定关系如表6所示。
在另一种可选的实现方式中,后台设备也可以在预设的组织标识列表中,依次读取组织标识作为目标组织标识。然后这里只是步骤301进行示例性地说明,不进行具体地限定。
步骤302:在该目标组织匹配的权限集合所包括的资源权限中,确定与该目标组织包括的角色相匹配的资源权限,基于与该角色匹配的资源权限生成该角色所对应的资源权限包。
在一种可选的实现方式中,后台设备预设有各组织标识对应的角色列表。角色列表中记录的角色可以是RBAC权限体系默认的角色,也可以是用户为该目标组织自定义的角色,这里只是示例性地说明,不进行具体地限定。
其中,各组织对应的角色列表如表7所示。
表7
在一种可选的实现方式中,后台设备可以遍历该目标组织对应的角色列表。然后获取角色列表中的每一个角色。后台设备可以在该目标组织匹配的一个或者多个权限集合所包括的资源权限中,确定与该角色匹配的资源权限,并基于与该角色匹配的资源权限生成该角色所对应的资源权限包。
在确定与该角色匹配的资源权限时,后台设备可以依据角色的类型,角色相关联的业务等来确定该角色匹配的资源权限,这里只是对“确定与该角色匹配的资源权限”进行示例性地说明,不对其进行具体地限定。
在另一种可选的实现方式中,针对该目标组织标识对应的角色列表中的每个角色,后台设备可在组织标识和权限集合标识的对应关系(如表5所示的对应关系)中,查找该目标组织标识对应的权限集合标识,并将查找到的权限集合标识所示的权限集合中的资源权限返回给前端设备。前端设备可向用户展示后台设备返回的与该目标组织对应的资源权限。
用户可在前端设备的界面中选择与该角色匹配的资源权限。然后,前端设备可将用户选择出的资源权限返回给后台设备,后台设备可确定前端设备返回的资源权限为与该角色匹配的资源权限,并生成该角色对应的资源权限包,并建立资源权限包、该角色、以及目标组织标识的第二对应关系。
建立的第二对应关系如表8所示。
目标组织标识 角色 资源权限包
表8
例如,针对目标组织标识(比如天凌集团)对应的角色列表中的角色(如测试角色),后台设备可在组织标识、子系统标识权限集合标识的对应关系(即表6所示的对应关系)中,查找天凌集团对应的权限集合标识(比如标准商品权限集合、标准整车权限集合、标准权限集合),并将查找到的权限集合标识所指示的权限集合中的资源权限返回给前端设备。
前端设备可向用户展示这三个权限集合的资源权限。用户可在标准商品权限集合、标准整车权限集合、标准权限集合所包含的资源权限中,选择与该测试角色对应的资源权限(比如用户管理权限、角色管理权限、车型变更申请权限)。前端设备可将用户管理权限、角色管理权限、车型变更申请权限发送给后台设备。
后台设备在接收到前端设备返回的用户管理权限、角色管理权限、车型变更申请权限,可生成资源权限包1。后台设备可建立天凌集团、测试角色、资源权限包1的对应关系,后台建立的对应关系如表9所示。
表9
步骤303:遍历包含已注册用户的用户列表,依据遍历到的用户在该用户所属组织中的角色,为该用户分配资源权限包,并建立所述用户的用户标识与该资源权限包的第一对应关系。
在本申请实施例中,后台设备上还预设有已注册用户列表,该已注册用户列表中记录了已注册用户标识。已注册用户列表如表10所示。
用户标识
用户1
用户2
用户3
表10
此外,后台设备上预配置有已注册用户的用户标识、用户所属组织标识、以及用户所具有的角色的对应关系,该对应关系如表11所示。
用户标识 用户所属组织的组织标识 用户具有的角色
表11
后台设备可遍历已注册用户列表(如表11),读取每个已注册用户,后台设备可在该户标识、用户所属组织标识、以及用户所具有的角色的对应关系(如表11)中,确定该读取到的用户标识对应的所属组织标识、以及该用户所具有的角色。
后台设备以确定出的已注册用户所属组织的组织标识和该已注册用户的角色为关键字,在上述组织标识、角色和资源权限包的第二对应关系(如表8)中,查找与该关键字对应的资源权限包,并将建立该已注册用户标识与该查找到的资源权限包的第一对应关系,建立的第一对应关系如表12所示。
用户标识 资源权限包
表12
此外,在本申请实施例中,当后台设备接收到前端设备(用户终端)发送的登录请求时,后台设备可在第一对应关系(如表12)中,确定与该登录请求携带的用户标识对应的资源权限包,并将资源权限包的资源权限授权给该用户标识所指示的用户。
例如,假设已注册用户列表如表13所示。
用户标识
张三
表13
假设,已注册用户的用户标识、用户所属组织标识、以及用户所具有的角色的对应关系如表14所示。
用户标识 用户所属组织的组织标识 用户具有的角色
张三 天凌集团 测试角色
表14
后台设备可读取如表13所示的已注册用户列表中的用户标识。假设读取到的用户标识为张三。
然后,后台设备可在表14所述的对应关系中,查找张三所属的组织和所具有的角色。在本例中,张三所属的组织为天凌集团,张三所具有的角色为测试角色。
然后,后台设备可在表10所示的对应关系,以“天凌集团”和“测试角色”作为关键字,查找与之对应的资源权限包。在本例中,查找到的资源权限包为资源权限包1(即用户管理权限、角色管理权限、车型变更申请权限)。
后台设备可建立“张三”和资源权限包1的对应关系,建立出的对应关系如表15所示。
表15
后台设备可接收前端设备(用户终端)发送的登录请求。假设,接收到的登录请求中携带的用户标识为张三,后台设备可在表15中,确定与该登录请求携带的用户标识(即张三)对应的资源权限包(即资源权限包1),并将资源权限包1的资源权限授权给张三。
由上述描述可以看出,在本申请中,本申请对资源权限进行多级划分,比如先将资源权限按照不同的业务划分为不同的子系统,实现一级划分。然后将子系统中的资源权限按照用户实际需求再划分为不同的权限集合,实现二级划分,使得资源权限的划分的粒度更细。
此外,在资源权限的分配时,也采用了多级分配。比如,先以组织为单位,为组织分配与该组织匹配的资源权限,实现资源权限的一级分配。然后,再在组织的层面上按照角色将资源权限进行分类,最后基于该组织下的用户绑定的角色,将组织中匹配用户的角色的资源权限下发给用户,实现资源权限的二级分配。
由于本申请在资源权限划分时采用多级划分,在资源权限分配时也采用多级分配,所以用户获取的资源权限的粒度更细,因此可以有效地避免发生用户越权操作的问题,增加系统的安全性。
参见图4,图4是本申请一示例性实施例示出的一种电子设备的硬件结构图。
该电子设备包括:通信接口401、处理器402、机器可读存储介质403和总线404;其中,通信接口401、处理器402和机器可读存储介质403通过总线404完成相互间的通信。处理器402通过读取并执行机器可读存储介质403中与RBAC的资源权限分配控制逻辑对应的机器可执行指令,可执行上文描述的RBAC的资源权限分配方法。
本文中提到的机器可读存储介质403可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质403可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
参见图5,图5是本申请一示例性实施例示出的一种RBAC的资源权限分配装置的框图。该装置可以应用在图4所示的电子设备上。
所述RBAC包括一个或多个子系统,每个子系统构建有:一个或多个权限集合;每个权限集合包括该子系统业务对应的一个或多个资源权限;
所述装置包括:
确定单元501,用于在RBAC所包括的子系统中,确定与已注册的目标组织匹配的子系统,并在确定出的子系统中确定与该目标组织匹配的权限集合;
生成单元502,用于在该目标组织匹配的权限集合所包括的资源权限中,确定与该目标组织包括的角色相匹配的资源权限,基于与该角色匹配的资源权限生成该角色所对应的资源权限包;
分配单元503,用于遍历包含已注册用户的用户列表,依据遍历到的用户在该用户所属组织中的角色,为该用户分配资源权限包,并建立所述用户的用户标识与该资源权限包的第一对应关系。
可选的,所述RBAC包括一个或多个子系统,每个子系统构建有:一个或多个权限集合;每个权限集合包括该子系统业务对应的一个或多个资源权限。
可选的,所述生成单元,在基于与该角色匹配的资源权限生成该角色所对应的资源权限包之后,还具体用于记录所述组织标识、所述角色与所述资源权限包的第二对应关系;
所述分配单元503,在依据遍历到的用户在该用户所属组织中的角色,为该用户分配资源权限包时,具体用于以遍历到的用户所属组织的组织标识和该用户的角色作为关键字,在所述第二对应关系中查找与该关键字对应的资源权限包;将查找到的资源权限包确定为所述用户对应的资源权限包。
可选的,所述装置还包括:
接收单元504,用于接收用户终端发送的登录请求;所述登录请求包括用户标识;
确定单元505,用于在所述第一对应关系中,确定与该用户标识对应的资源权限包;
授权单元506,用于将所述资源权限包的资源权限授权给所述用户标识所指示的用户。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种基于角色的访问控制RBAC资源权限分配方法,其特征在于,所述方法包括:
在RBAC所包括的子系统中,确定与已注册的目标组织匹配的子系统,并在确定出的子系统中确定与该目标组织匹配的权限集合;
在该目标组织匹配的权限集合所包括的资源权限中,确定与该目标组织包括的角色相匹配的资源权限,基于与该角色匹配的资源权限生成该角色所对应的资源权限包;
遍历包含已注册用户的用户列表,依据遍历到的用户在该用户所属组织中的角色,为该用户分配资源权限包,并建立所述用户的用户标识与该资源权限包的第一对应关系。
2.根据权利要求1所述的方法,其特征在于,所述RBAC包括一个或多个子系统,每个子系统构建有:一个或多个权限集合;每个权限集合包括该子系统业务对应的一个或多个资源权限。
3.根据权利要求1所述的方法,其特征在于,在所述基于与该角色匹配的资源权限生成该角色所对应的资源权限包后,所述方法还包括:
记录所述目标组织的标识、所述角色与所述资源权限包的第二对应关系;
所述依据遍历到的用户在该用户所属组织中的角色,为该用户分配资源权限包,包括:
以遍历到的用户所属组织的组织标识和该用户的角色作为关键字,在所述第二对应关系中查找与该关键字对应的资源权限包;
将查找到的资源权限包确定为所述用户对应的资源权限包。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收用户终端发送的登录请求;所述登录请求包括用户标识;
在所述第一对应关系中,确定与该用户标识对应的资源权限包;
将所述资源权限包的资源权限授权给所述用户标识所指示的用户。
5.一种基于角色的访问控制RBAC资源权限分配装置,其特征在于,所述装置包括:
确定单元,用于在RBAC所包括的子系统中,确定与已注册的目标组织匹配的子系统,并在确定出的子系统中确定与该目标组织匹配的权限集合;
生成单元,用于在该目标组织匹配的权限集合所包括的资源权限中,确定与该目标组织包括的角色相匹配的资源权限,基于与该角色匹配的资源权限生成该角色所对应的资源权限包;
分配单元,用于遍历包含已注册用户的用户列表,依据遍历到的用户在该用户所属组织中的角色,为该用户分配资源权限包,并建立所述用户的用户标识与该资源权限包的第一对应关系。
6.根据权利要求5所述的装置,其特征在于,所述RBAC包括一个或多个子系统,每个子系统构建有:一个或多个权限集合;每个权限集合包括该子系统业务对应的一个或多个资源权限。
7.根据权利要求5所述的装置,其特征在于,所述生成单元,在基于与该角色匹配的资源权限生成该角色所对应的资源权限包之后,还具体用于记录所述组织标识、所述角色与所述资源权限包的第二对应关系;
所述分配单元,在依据遍历到的用户在该用户所属组织中的角色,为该用户分配资源权限包时,具体用于以遍历到的用户所属组织的组织标识和该用户的角色作为关键字,在所述第二对应关系中查找与该关键字对应的资源权限包;将查找到的资源权限包确定为所述用户对应的资源权限包。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
接收单元,用于接收用户终端发送的登录请求;所述登录请求包括用户标识;
确定单元,用于在所述第一对应关系中,确定与该用户标识对应的资源权限包;
授权单元,用于将所述资源权限包的资源权限授权给所述用户标识所指示的用户。
9.一种电子设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使执行如权利要求1至4任一项所述方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行如权利要求1至4任一项所述方法。
CN201910727361.9A 2019-08-07 2019-08-07 Rbac资源权限分配方法、装置、电子设备和存储介质 Pending CN110516452A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910727361.9A CN110516452A (zh) 2019-08-07 2019-08-07 Rbac资源权限分配方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910727361.9A CN110516452A (zh) 2019-08-07 2019-08-07 Rbac资源权限分配方法、装置、电子设备和存储介质

Publications (1)

Publication Number Publication Date
CN110516452A true CN110516452A (zh) 2019-11-29

Family

ID=68623889

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910727361.9A Pending CN110516452A (zh) 2019-08-07 2019-08-07 Rbac资源权限分配方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN110516452A (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111193905A (zh) * 2019-12-24 2020-05-22 视联动力信息技术股份有限公司 监控资源分配方法、装置及可读存储介质
CN111680310A (zh) * 2020-05-26 2020-09-18 泰康保险集团股份有限公司 一种权限控制的方法及装置、电子设备、存储介质
CN111984949A (zh) * 2020-08-24 2020-11-24 北京达佳互联信息技术有限公司 鉴权方法、装置、电子设备及存储介质
CN112635034A (zh) * 2020-12-30 2021-04-09 微医云(杭州)控股有限公司 一种业务权限系统、权限分配方法、电子设备及存储介质
CN112906028A (zh) * 2021-03-04 2021-06-04 广州虎牙科技有限公司 访问控制方法、装置、电子设备及计算机可读存储介质
CN113282890A (zh) * 2021-05-25 2021-08-20 挂号网(杭州)科技有限公司 资源授权方法、装置、电子设备及存储介质
CN113792270A (zh) * 2021-09-29 2021-12-14 北京字跳网络技术有限公司 权限资源的配置方法、装置、存储介质及电子设备
CN113806724A (zh) * 2021-09-29 2021-12-17 杭州迪普科技股份有限公司 用户登陆请求的处理方法及装置
CN113992476A (zh) * 2021-11-18 2022-01-28 北京自如信息科技有限公司 一种sslvpn开通方法及装置
CN114884733A (zh) * 2022-05-10 2022-08-09 中国农业银行股份有限公司 一种权限管理方法、装置、电子设备及存储介质
CN115065513A (zh) * 2022-06-02 2022-09-16 中国联合网络通信集团有限公司 资源访问控制方法、装置及存储介质
CN115174956A (zh) * 2022-07-06 2022-10-11 海南乾唐视联信息技术有限公司 一种视频资源分配方法、装置、电子设备和可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103617485A (zh) * 2013-11-15 2014-03-05 中国航空无线电电子研究所 统一权限管理部署系统
CN105391552A (zh) * 2014-08-28 2016-03-09 腾讯科技(深圳)有限公司 一种权限管理方法、装置,及系统
CN107562521A (zh) * 2017-09-27 2018-01-09 郑州云海信息技术有限公司 一种资源管理方法及装置
CN108900484A (zh) * 2018-06-15 2018-11-27 新华三信息安全技术有限公司 一种访问权限信息的生成方法和装置
CN109598117A (zh) * 2018-10-24 2019-04-09 平安科技(深圳)有限公司 权限管理方法、装置、电子设备及存储介质
CN109981552A (zh) * 2017-12-28 2019-07-05 中移(杭州)信息技术有限公司 一种权限分配方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103617485A (zh) * 2013-11-15 2014-03-05 中国航空无线电电子研究所 统一权限管理部署系统
CN105391552A (zh) * 2014-08-28 2016-03-09 腾讯科技(深圳)有限公司 一种权限管理方法、装置,及系统
CN107562521A (zh) * 2017-09-27 2018-01-09 郑州云海信息技术有限公司 一种资源管理方法及装置
CN109981552A (zh) * 2017-12-28 2019-07-05 中移(杭州)信息技术有限公司 一种权限分配方法及装置
CN108900484A (zh) * 2018-06-15 2018-11-27 新华三信息安全技术有限公司 一种访问权限信息的生成方法和装置
CN109598117A (zh) * 2018-10-24 2019-04-09 平安科技(深圳)有限公司 权限管理方法、装置、电子设备及存储介质

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111193905B (zh) * 2019-12-24 2022-11-01 视联动力信息技术股份有限公司 监控资源分配方法、装置及可读存储介质
CN111193905A (zh) * 2019-12-24 2020-05-22 视联动力信息技术股份有限公司 监控资源分配方法、装置及可读存储介质
CN111680310A (zh) * 2020-05-26 2020-09-18 泰康保险集团股份有限公司 一种权限控制的方法及装置、电子设备、存储介质
CN111680310B (zh) * 2020-05-26 2023-08-25 泰康保险集团股份有限公司 一种权限控制的方法及装置、电子设备、存储介质
CN111984949A (zh) * 2020-08-24 2020-11-24 北京达佳互联信息技术有限公司 鉴权方法、装置、电子设备及存储介质
CN111984949B (zh) * 2020-08-24 2023-11-28 北京达佳互联信息技术有限公司 鉴权方法、装置、电子设备及存储介质
CN112635034A (zh) * 2020-12-30 2021-04-09 微医云(杭州)控股有限公司 一种业务权限系统、权限分配方法、电子设备及存储介质
CN112906028A (zh) * 2021-03-04 2021-06-04 广州虎牙科技有限公司 访问控制方法、装置、电子设备及计算机可读存储介质
CN113282890A (zh) * 2021-05-25 2021-08-20 挂号网(杭州)科技有限公司 资源授权方法、装置、电子设备及存储介质
CN113806724A (zh) * 2021-09-29 2021-12-17 杭州迪普科技股份有限公司 用户登陆请求的处理方法及装置
CN113792270A (zh) * 2021-09-29 2021-12-14 北京字跳网络技术有限公司 权限资源的配置方法、装置、存储介质及电子设备
CN113806724B (zh) * 2021-09-29 2024-02-09 杭州迪普科技股份有限公司 用户登陆请求的处理方法及装置
CN113992476A (zh) * 2021-11-18 2022-01-28 北京自如信息科技有限公司 一种sslvpn开通方法及装置
CN114884733A (zh) * 2022-05-10 2022-08-09 中国农业银行股份有限公司 一种权限管理方法、装置、电子设备及存储介质
CN115065513A (zh) * 2022-06-02 2022-09-16 中国联合网络通信集团有限公司 资源访问控制方法、装置及存储介质
CN115065513B (zh) * 2022-06-02 2023-10-03 中国联合网络通信集团有限公司 资源访问控制方法、装置及存储介质
CN115174956A (zh) * 2022-07-06 2022-10-11 海南乾唐视联信息技术有限公司 一种视频资源分配方法、装置、电子设备和可读存储介质

Similar Documents

Publication Publication Date Title
CN110516452A (zh) Rbac资源权限分配方法、装置、电子设备和存储介质
EP2585970B1 (en) Online service access controls using scale out directory features
EP3646226B1 (en) Access control manager configuration based on log files mining
CN102419770B (zh) 文件共享系统及实现文件共享的方法、文件索引服务设备
US20080034438A1 (en) Multiple hierarchy access control method
CN106878084B (zh) 一种权限控制方法和装置
JPH0644111A (ja) 要求されたサービス・クラスに基づいて記憶割り当てを行なうデータ記憶管理システムおよび方法
CN106033461A (zh) 敏感信息的查询方法和装置
US8180894B2 (en) System and method for policy-based registration of client devices
US10152449B1 (en) User-defined capacity reservation pools for network-accessible resources
CN110022315A (zh) 一种块链式账本中的权重管理方法、装置及设备
KR20130006883A (ko) 가상 그룹을 이용한 컨텐츠 공유 시스템 및 방법
CN111353172B (zh) 基于区块链的Hadoop集群大数据访问方法及系统
CN105512279A (zh) 一种元数据访问方法、相关设备及系统
CN110035306A (zh) 文件的部署方法及装置、调度方法及装置
CN105991624A (zh) 一种服务器的安全管理方法及装置
CN105991596A (zh) 一种访问控制方法和系统
CN113676511A (zh) 一种云存储方法、系统、设备及存储介质
CN109543365B (zh) 一种授权方法及装置
CN107770190B (zh) 一种权限管理方法及装置
CN105224541B (zh) 数据的唯一性控制方法、信息存储方法及装置
US7539813B1 (en) Methods and apparatus for segregating a content addressable computer system
CN112468539A (zh) 一种k8s集群用户资源调用的方法、装置、设备及可读介质
CN103905375B (zh) 集群式数据加密系统中的数据加密请求分配方法和装置
CN118295935B (zh) 缓存数据的分割处理方法、装置、设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20191129