CN110968851A - 一种业务权限的管控方法、管控系统及计算机可读介质 - Google Patents
一种业务权限的管控方法、管控系统及计算机可读介质 Download PDFInfo
- Publication number
- CN110968851A CN110968851A CN201911320086.5A CN201911320086A CN110968851A CN 110968851 A CN110968851 A CN 110968851A CN 201911320086 A CN201911320086 A CN 201911320086A CN 110968851 A CN110968851 A CN 110968851A
- Authority
- CN
- China
- Prior art keywords
- service
- service authority
- login
- information
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种业务权限的管控方法、管控系统及计算机存储介质,所述管控方法包括:根据登录信息从第一存储区中获取所述登录信息对应的业务权限信息;若无,则调用业务权限管控中心;所述业务权限管控中心根据所述登录信息从第二存储区中获取所述登录信息对应的业务权限信息;其中,所述业务权限信息至少包括第一业务实体范围和第一业务实体可操作数据范围。本发明进一步公开了一种业务权限的管控系统,本发明通过采用上述技术方案使企业或大规模组织的大规模业务模块权限管理和验证中用户或用户权限发生变动时产生的权限管理和验证上的不便得到了改善。
Description
技术领域
本发明涉权限管控技术领域,尤其涉及一种业务权限的管控方法、管控系统及计算机可读介质。
背景技术
业务权限是指每个工作岗位或者角色对应业务实体的管控和使用权限,包含对于业务实体的增加、删除、修改、更新、订购、使用等主要的权限,业务权限管控就是针对业务实体的权限进行管控。
比如,大规模组织内部的管理,总体上多是矩阵式管理模式,有的部门是纵向管理为主,有的部门是横向管理为主,但都有条块的管理,责权关系和工作流程复杂,每个人的岗位和相关的业务权限管控非常复杂。
目前对于业务权限的处理,以定制化方式为主,对于每个业务,需要每个模块基于自身使用的业务实体,进行特定的控制,管控方式复杂,用户或用户权限有变动,则需要每个业务模块逐一修改,对企业或大规模组织的大规模业务模块的权限管理带来了极大不便。
发明内容
有鉴于此,本发明所要解决的技术问题是提供一种业务权限的管控方法、管控系统及计算机可读介质,以解决企业或大规模组织的大规模业务模块权限管理和验证中的不便。
为解决上述技术问题本发明的技术方案如下:
根据本发明实施例的一个方面,一种业务权限的管控方法,包括:
通过登录信息登录后,根据所述登录信息从第一存储区中获取所述登录信息对应的业务权限信息;
若无,则调用业务权限管控中心,根据所述登录信息从第二存储区中获取所述登录信息对应的业务权限信息;
其中,所述业务权限信息至少包括第一业务实体范围和第一业务实体可操作数据范围。
进一步的,在获取所述业务权限信息之后,还包括:
对基于所述登录信息登录后的查询或操作指令进行解析,所述查询或操作指令至少包括第二业务实体范围和第二业务实体可操作数据范围;
判断所述第二业务实体范围是否包括在所述第一业务实体范围内;
若是,则用所述第一业务实体可操作数据范围替换所述第二业务实体可操作数据范围;
若否,则拒绝执行所述查询或操作指令。
本实施例的有益效果在于,使常用登录用户的业务权限信息能在第一存储区中对登录请求做及时响应,同时使不常用的数量更为广泛的用户的登录信息对应的业务权限信息存储于第二存储区,在登录时再由登录模块从业务权限管控中心中调取。同时,进一步的,在大规模业务模块权限管理和验证中,当用户或用户权限发生变动时可由业务模块或独立于业务模块的业务权限管理模块通过自动截获所述查询或操作指令,并对所述查询或操作指令进行自动解析和替换,从而避免了人为操作会带来工作负担和可能出现的差错。
进一步的,所述调用业务权限管控中心,根据所述登录信息从第二存储区中获取所述登录信息对应的业务权限信息,包括:
通过所述业务权限管控中心的应用程序接口将所述登录信息传给所述业务权限管控中心;
所述业务权限管控中心根据所述登录信息在所述第二存储区中查询所述登录信息对应的业务权限信息;
所述业务权限管控中心通过所述应用程序接口将查询到的所述业务权限信息传回。
上述实施方式的有益效果在于,通过应用程序接口调用所述业务权限管控中心中服务使登录模块的工作能得到更及时的响应。
进一步的,所述第一存储区为计算机内部存储器,包括随机存储器RAM;所述第二存储区为计算机外部存储器,包括硬盘或光盘。
该实施方式的有益效果在于,利用不同存储区的不同特点使规模小而常用的登录信息能得到快速及时响应,使不常用但规模很大的登录信息都能确保找到其对应的业务权限信息。
进一步的,所述登录信息包括登录名、隶属标识、地理标识和角色标识。
该实施方式的有益效果在于,通过为登录信息配置多维度的信息方便通过登录信息关联更多的业务实体的属性和业务实体的可操作数据。
根据本发明实施例的另一个方面,一种业务权限的管控系统,包括:
登录模块,用于统一认证不同业务的登录请求,并根据登录信息获取所述登录信息对应的业务权限信息;
业务模块,用于根据登录用户的查询或操作指令查询或操作业务实体;
业务权限管控中心,用于集中管理不同业务的业务权限信息;
第一存储区,用于在各业务模块中存储业务权限信息;
第二存储区,用于在业务权限管控中心集中存储各业务模块的业务权限信息。
进一步的,所述业务模块包括独立的业务权限管理模块,所述业务权限管理模块在登录用户进行查询或操作时自动截获所述查询或操作指令,并对所述查询或操作指令进行解析和替换。
本实施例的有益效果在于,使常用登录用户的业务权限信息能在第一存储区中对登录请求做到及时响应,同时使不常用的数量更为广泛的用户的登录信息对应的业务权限信息存储于业务权限管控中心中的第二存储区,在登录时再由登录模块从业务权限管控中心中的第二存储区调取。并且在大规模业务模块权限管理和验证中,当用户或用户权限发生变动时可由业务模块或独立于业务模块的业务权限管理模块通过自动获取所述查询或操作指令,并对所述查询或操作指令进行自动解析和替换。
根据本发明实施例的又一个方面,一种计算机可读介质,存储计算机程序,所述计算机程序可被处理器执行,实现上述方法中的步骤。
进一步的,所述第一存储区为计算机内部存储器,包括随机存储器RAM;所述第二存储区为计算机外部存储器,包括硬盘或光盘。
本发明附加的方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明实践了解到。
附图说明
图1为本发明产品实施例提供的系统框图;
图2为本发明方法实施例提供的方法流程图;
图3为本发明另一方法实施例提供的方法流程图;
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实施例只用于解释本发明,并非用于限定本发明的范围。
本发明所述业务实体是代表业务角色执行业务用例时所处理或使用的“事物”。业务实体是来自现实世界,它是角色在完成其业务目标过程中使用到或创建出来的,业务实体通常是在分析业务流程(即业务用例场景)的过程中发现的,就是说,业务实体通常是在业务用例场景中使用或创建。业务实体作为类的一个版型,具有对象的性质,包括属性和方法,同时具有对象的独立性。业务实体模型是一种逻辑模型,用于记录业务或业务使用流程及交互的实体或事务,以实现其业务活动和目标。除了记录实体之外,业务实体模型还可以捕获实体的属性,实体之间的关系和基数信息。需要注意的是,业务实体模型记录业务域的逻辑结构,而不是物理结构。当设计类图和数据库模式时,业务实体模型捕获的信息有助于软件开发过程的后期阶段,这是逻辑信息开始转换为物理实现的地方。
一个业务实体通常代表某种对多个业务用例或实例中有价值的事物。通常来说,业务实体代表产品的文档或重要组成部分。有时候,业务实体也代表一些非实体的对象,如关于市场或客户的重要信息。例如,饭店中的业务实体有菜单和饮料;而在机场,机票和登机牌是重要的业务实体。业务实体范围也就是实体对象的范围,业务实体可操作数据范围就是指业务实体所对应的可操作数据,或者说是用来描述业务实体的可操作数据的范围。所述业务权限信息中通常至少包括该权限信息所允许操作的业务实体范围和业务实体可操作数据范围。对应的,对业务实体的查询或操作指令中通过也至少包括业务实体范围和业务实体可操作数据范围。所述业务权限是指岗位或者角色对应的业务实体的管控和使用权限,包含对于业务实体的增加、删除、修改、更新、订购、使用等主要的权限,业务权限管控就是指针对业务实体的权限进行管控。
本申请实施例中所述业务实体是类的一种版型,特别适用于业务建模阶段建立领域模型。所述业务实体描述了用什么来达到业务目标及通过什么记录这个业务目标,所述业务实体抽象出了问题领域内核心和关键的概念。
下面先就本发明产品实施例的系统构成和功能作用做详细描述,然后以产品实施例中的系统为例就方法实施例的实现过程做进一步描述。
实施例1
如图1所示,一种业务权限的管控系统,包括:
登录模块10,用于统一认证不同业务的登录请求,并根据登录信息获取所述登录信息对应的业务权限信息;
业务模块30,用于根据登录用户的查询或操作指令查询或操作业务实体;
业务权限管控中心20,用于集中管理不同业务的业务权限信息;
第一存储区11,用于在各业务模块中存储业务权限信息;
第二存储区21,用于在业务权限管控中心集中存储各业务模块的业务权限信息。
下面以大规模组织内部的权限管控为例来对上述管控系统做进一步说明。
大规模组织内部的行政管理总体上是矩阵式管理模式,有的部门是纵向管理为主,有的部门是横向管理为主,不过总体上都有条块的管理。其中的责权关系和工作流程通常都比较复杂,工作人员的岗位和相关的业务权限管控相应地也都比较复杂。目前一般大规模组织内部的业务权限管控都以定制化方式完成,对于每个业务需要每个模块基于自身使用的业务实体对象进行特定的控制,从而导致管控方式在整体上较为杂乱。如果某个业务权限需要变动,若统一修改则需要从根本上调整应用逻辑,若个别修改则很容易带来混乱。
鉴于上述情况,大规模组织内部的权限管控中通常解决的问题包括:
1、统一的业务权限配置
对于角色、登录级别、业务实体和动作,形成完整的配置。通过抽象的模式由统一的权限管控系统来实现,而不是每个业务模块单独处理自身的业务权限。因为每个业务模块单独控制时,若有权限变更,则只能修改代码的权限控制逻辑,效率非常低下,尤其是在发生大规模组织架构调整的情况下。
2、实现业务实体的个性化业务权限要求
对于每个业务实体,可以个性化设置管控范围和可视范围,管控范围是指可以管控业务实体的部门和角色的范围,可视范围是指可以使用业务实体的部门和角色的范围。可以支持的管控范围和可视范围包含组织内部有条件共享和组织内部无条件共享等。如果业务实体不进行个性化设置,就认为没有特殊要求,则默认为组织内部范围内无条件共享。由于大规模组织内部对于不同数据,即业务实体,有不同的密级要求,因此支持业务实体的个性化业务权限非常重要。
3、角色的个性化业务权限控制
每个岗位和角色都是大规模组织工作流程的一部分,都会操作一定的业务实体。角色的个性化权限控制,就是要设置可以操作的部门范围。
当角色个性化业务权限和业务实体个性化业务权限设置上存在冲突时,以业务实体个性化业务权限为优先。
本发明所述的业务权限管控系统在上述应用环境中的具体实现如下:
用户先从统一的登录模块10进行登录,统一的登录模块10不同于传统的内置于不同业务模块中的登录模块,统一的登录模块10可统一认证不同业务模块的登录请求,并根据登录信息从业务模块30对应的第一存储区11中,或通过业务权限管控中心20从其对应的第二存储区21中获取登录信息对应的业务权限信息。
所述业务模块30,用于根据登录用户的查询或操作指令查询或操作业务实体,即完成具体的业务工作。
所述业务权限管控中心20,用于集中管理不同业务模块对应的所有注册过的业务权限信息;
所述第一存储区11为计算机内部存储器,通常采用随机存储器RAM,用于在各业务模块中存储常用或最近使用过的业务权限信息;
所述第二存储区21为计算机外部存储器,通常采用硬盘或光盘存储器,用于在业务权限管控中心或由业务权限管控中心,集中存储和调用各业务模块的所有注册过的业务权限信息。
在上述系统的业务权限管控过程中,通常还存在对利用所述登录信息登录的用户的查询或操作指令进行解析和替换的问题。该部分工作通常是由本发明所述业务权限管控系统中独立于业务模块之外的业务权限管理模块31来实现。实际中,该业务权限管理模块31也可以是内置于各业务模块之中,本发明并不以此为限。
本实施例所述的业务权限的管控系统通过配置为登录模块10、业务模块30、业务权限管控中心20、第一存储区11和第二存储区21,使常用登录用户的业务权限信息存储在所述业务模块的第一存储区,即随机存储器RAM,使不常用的数量更为广泛的用户的登录信息对应的业务权限信息存储于业务权限管控中心中的第二存储区,即机械或固态硬,在登录时由登录模块从所述业务权限管控中心中的第二存储区调取。从而即保证了对常用登录用户的快速响应,又保证了可用业务权限信息的广泛度,也同时实现了对不同业务模块中业务权限信息的集中统一管控。另外,通过对登录用户的查询或操作指令自动获取后进行解析和替换,使企业或大规模组织的大规模业务模块权限管理和验证中,当用户或用户权限发生变动时可由业务模块30或独立于业务模块的业务权限管理模块31通过自动获取所述查询或操作指令,并对所述查询或操作指令进行自动解析和替换。
以上述产品实施例中的系统为例,下面就本发明的方法实施例的实现过程做进一步描述。
实施例2
如图2所示,一种业务权限的管控方法,包括:
S21:通过登录信息登录后,根据登录信息从第一存储区中获取所述登录信息对应的业务权限信息,所述业务权限信息至少包括第一业务实体范围和第一业务实体可操作数据范围;
该步骤由上述产品实施例中所述管控系统的登录模块执行,其中,所述第一存储区通常为计算机的内部存储器,如随机存储器RAM。
S22:若无,则调用业务权限管控中心,根据所述登录信息从第二存储区中获取所述登录信息对应的业务权限信息;
该步骤中所述的调用仍由所述登录模块执行,即在所述第一存储区中未找到所述登录信息对应的业务权限信息时,则调用业务权限管控中心,所述业务权限管控中心根据所述登录信息从第二存储区中获取所述业务权限信息。其中,所述业务权限管控中心及对应的第二存储区可以与所述登录模块及其对应的第一存储设置于同一计算机中,也可以设置于独立的服务器,主要视权限管控的应用范围和规模而定。
S23:所述业务权限管控中心将从所述第二存储区获取的所述业务权限信息传回给调用端;
该步骤由所述业务权限管控中心执行,即将从所述第二存储区获取的所述业务权限信息传回给所述登录模块。
所述第二存储区为计算机的外部存储器,通常为计算机的硬盘,该计算机可以是与第一存储器共用的同一计算机,也可以是独立的服务器。
上述各步骤中的所述业务权限信息均至少包括第一业务实体范围和第一业务实体可操作数据范围。
本实施例通过使常用登录用户的业务权限信息能在第一存储区中对登录请求做及时响应,同时使不常用的数量更为广泛的用户的登录信息对应的业务权限信息存储于第二存储区,在登录时再由登录模块从业务权限管控中心中调取。同时,进一步的,在大规模业务模块权限管理和验证中,当用户或用户权限发生变动时可由业务模块或独立于业务模块的业务权限管理模块通过自动截获所述查询或操作指令,并对所述查询或操作指令进行自动解析和替换,从而避免了人为操作会带来工作负担和可能出现的差错。
实施例3
如图3所示,一种业务权限的管控方法,包括:
S31:通过登录信息登录后,根据登录信息从第一存储区中获取所述登录信息对应的业务权限信息,所述业务权限信息至少包括第一业务实体范围和第一业务实体可操作数据范围;
该步骤由上述产品实施例中所述管控系统的登录模块执行,其中,所述第一存储区通常为计算机的内部存储器,如随机存储器RAM。
S32:若无,则调用业务权限管控中心,根据所述登录信息从第二存储区中获取所述登录信息对应的业务权限信息;
该步骤中所述的调用仍由所述登录模块执行,即在所述第一存储区中未找到所述登录信息对应的业务权限信息时,则调用业务权限管控中心,所述业务权限管控中心根据所述登录信息从第二存储区中获取所述业务权限信息。其中,所述业务权限管控中心及对应的第二存储区可以与所述登录模块及其对应的第一存储设置于同一计算机中,也可以设置于独立的服务器,主要视权限管控的应用范围和规模而定。
S33:所述业务权限管控中心将从所述第二存储区获取的所述业务权限信息传回给调用端;
该步骤由所述业务权限管控中心执行,即将从所述第二存储区获取的所述业务权限信息传回给所述登录模块。
所述第二存储区为计算机的外部存储器,通常为计算机的硬盘,该计算机可以是与第一存储器共用的同一计算机,也可以是独立的服务器。
上述各步骤中的所述业务权限信息均至少包括第一业务实体范围和第一业务实体可操作数据范围。
S34:对基于所述登录信息登录后的查询或操作指令进行解析,所述登录用户利用所述登录信息登录,所述查询或操作指令至少包括第二业务实体范围和第二业务实体可操作数据范围;
该步骤由上述产品实施例中所述业务权限管理模块执行,其中,所述登录用户与所述登录信息是一一对应,登录用户的查询或操作指令中含有与所述登录信息中相对应的信息要素,比如用户名或角色标识等。
S35:判断所述第二业务实体范围是否包括在所述第一业务实体范围内;
S36:若是,则用所述第一业务实体可操作数据范围替换所述第二业务实体可操作数据范围;
S35和S36均由业务模块或独立的业务权限管理模块自动执行,用于在每次执行查询或操作指令时先对指令的业务实体范围进行判断,进而再对业务实体的可操作数据范围进行重写和替换。其要实现的目的就是,由业务模块或独立于业务模块的业务权限模块先从查询或操作指令中解析出所述第二业务实体范围,如果所述第二业务实体范围在所述业务权限信息对应的第一业务实体范围内,则接受所述查询或操作指令,并将所述第二业务实体可操作数据范围替换为所述第一业务实体可操作数据范围。
S37:若否,则拒绝执行所述查询或操作指令。
进一步的,所述S32中所述调用业务权限管控中心,根据所述登录信息从第二存储区中获取所述登录信息对应的业务权限信息,包括:
S321:通过所述业务权限管控中心的应用程序接口将所述登录信息传给所述业务权限管控中心;
S322:所述业务权限管控中心根据所述登录信息在所述第二存储区中查询所述登录信息对应的业务权限信息;
S323:所述业务权限管控中心通过所述应用程序接口将查询到的所述业务权限信息传回。
本实施例通过使常用登录用户的业务权限信息存储于第一存储区的随机存储器RAM中,使不常用但数量更为广泛的用户的登录信息对应的业务权限信息存储于业务权限管控中心中的第二存储区的硬盘或光盘中。在登录时,如果是常用登录用户则所述第一存储区能对登录用户的业务权限信息做出及时响应,如果是不常用登录用户则从业务权限管控中心中的第二储存单元中调取登录用户的业务权限信息。从而即保证了对常用登录用户的快速响应,又保证了可用业务权限信息的广泛度,也同时实现了对不同业务模块中业务权限信息的集中统一管控。另一方面,通过对登录用户的查询或操作指令自动获取后进行解析和替换,使企业或大规模组织的大规模业务模块权限管理和验证中,当用户或用户权限发生变动时可自动完成适应性修改,避免了人工修改会产生的工作负担或人为失误。
上述实施例中,进一步的所述第一存储区为计算机内部存储器,包括随机存储器RAM;所述第二存储区为计算机外部存储器,包括硬盘或光盘。所述第一存储区和所述第二存储区可以在同一计算机主机上,也可以是一个在用户终端,另一个在服务器中。优选的,所述第一存储区以计算机内存为存储空间,第二存储区以同一计算机的外部存储器,即硬盘为存储空间。
该实施方式通过利用不同存储区的不同特点使规模小而常用的登录信息能得到快速及时响应,使不常用但规模很大的登录信息能确保找到对应的业务权限信息。
进一步的,所述登录信息包括登录名、隶属标识、地理标识和角色标识。
该实施方式通过为登录信息配置多维度的信息方便通过登录信息关联更多的业务实体的属性和业务实体的可操作数据。
本发明的另一实施例,一种计算机可读介质,存储计算机程序,所述计算机程序可被处理器执行,实现上述实施例中的各个方法步骤。
本实施例所述计算机可读介质,存储计算机程序,通过执行所述计算机程序,使常用登录用户的业务权限信息存储于第一存储区的随机存储器RAM中,使不常用但数量更为广泛的用户的登录信息对应的业务权限信息存储于业务权限管控中心中的第二存储区的硬盘或光盘中。在登录时,如果是常用登录用户则所述第一存储区能对登录用户的业务权限信息做出及时响应,如果是不常用登录用户则从业务权限管控中心中的第二储存单元中调取登录用户的业务权限信息。从而即保证了对常用登录用户的快速响应,又保证了可用业务权限信息的广泛度,也同时实现了对不同业务模块中业务权限信息的集中统一管控。同时通过对登录用户的查询或操作指令自动获取后进行解析和替换,使企业或大规模组织的大规模业务模块权限管理和验证中,当用户或用户权限发生变动时可自动完成适应性修改,避免了人工修改会产生的工作负担或人为失误。
上述各实施例的技术方案在实际应用中,业务权限通常包括有以下几个关键属性:
访问主体、访问主体认证级别、访问动作集和业务实体集,其中:
访问主体,是定义谁使用业务实体,通常使用角色标识来定义,一个用户有多个角色时,也就是有多个访问主体。
访问主体认证级别,是指面向主体的认证类型,比如短信认证、密码认证、人脸识别,认证级别不同,则业务权限也不同。
访问动作集,其作用是对业务对象的操作,包括对业务对象的管控,如增加、删除、修改或更新,以及使用。
业务实体集,是指可操作的业务实体,如订单或产品列表等。
实际应用中上述各实施例的技术方案基于抽象的业务权限模型进行,通常包括:
1、对角色标识、认证级别、业务实体集和访问动作集形成完整的配置。通过对业务权限的统一配置,使各业务模块的业务权限由统一的权限管控系统进行管控,而不是由每个业务模块单独处理业务权限,而每个业务模块均可以根据需要调用独立于业务模块之外的业务权限管理模块。
2、对每个业务实体个性化设置管控范围和可视范围,管控范围是可以管控业务实体的部门和角色,可视范围是可以使用实体的部门和角色;可以支持的管控范围和可视范围,以大规模组织机构为例,包含组织内部共享、组织内部有条件共享,多级无条件共享等,如果业务实体不进行个性化设置,就认为没有特殊要求,默认是多级范围内共享。由于大规模组织内部对于不同数据,即业务实体,有不同的密级要求,因此支持业务实体的个性化业务权限非常重要。
3、角色的个性化业务权限控制,因为每个岗位和角色都是工作流程的一部分,都会操作一定的业务实体,所以角色的个性化权限控制就是要设置可操作的数据范围。
4、通过程序控制接口API提供统一的业务权限管控中心服务,每个业务模块的权限的控制最终还需要每个业务模块来实现,因为业务模块和数据是耦合的,所以业务权限管控中心只是服务于各个业务模块。
针对业务模块的业务权限控制,通常有两种方式进行支持:
1)服务模式
每个业务模块,调用统一的业务权限管控中心的接口,来验证角色和业务实体的访问关系是否允许。这种一般是小批量的应用场景。
2)软件开发工具包SDK模式
面向大批量的数据校验情况,为了提升效率,提供了SDK模式。这种模式下,业务模块只需要调用SDK,就会从数据集中过滤出该角色能操作的数据集。
上述各实施例的技术方案在实际使用中通常包含三个主要过程:即开发、配置和运行。
1、开发过程,即基于访问的数据量和产品架构特点,开发人员选择合适的服务使用方式:调用标准的SDK,或者通过API调用业务权限管控中心的服务进行业务权限控制。
2、管理过程,程序上线运行交付给客户后,需要客户的业务权限管理配置业务权限。首先,列出组织内所有角色、系统的认证方式,可以操作的业务实体,以及相关动作,形成一个业务权限表格。其次,利用业务权限配置界面,基于表格进行逐条配置。
3、运行过程,用户操作某个功能时,涉及到对某个业务实体的访问。业务模块获取业务实体时,首先由业务权限管理模块进行数据过滤,过滤后的数据才能被用户操作。过滤时需依据角色ID、动作ID、认证ID和业务实体ID,业务权限管理模块获取角色的业务权限范围、实体的可视范围、实体的管控范围后,进行规制的匹配。如果匹配通过,则该数据可以访问,如果匹配不通过,则数据不可访问,业务模块基于业务权限管理模块过滤后的数据范围进行后续操作。
读者应理解,在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (9)
1.一种业务权限的管控方法,其特征在于,包括:
通过登录信息登录后,根据所述登录信息从第一存储区中获取所述登录信息对应的业务权限信息;
若无,则调用业务权限管控中心,根据所述登录信息从第二存储区中获取所述登录信息对应的业务权限信息;
其中,所述业务权限信息至少包括第一业务实体范围和第一业务实体可操作数据范围。
2.根据权利要求1所述的管控方法,其特征在于,在获取所述业务权限信息之后,还包括:
对基于所述登录信息登录后的查询或操作指令进行解析,所述查询或操作指令至少包括第二业务实体范围和第二业务实体可操作数据范围;
判断所述第二业务实体范围是否包括在所述第一业务实体范围内;
若是,则用所述第一业务实体可操作数据范围替换所述第二业务实体可操作数据范围;
若否,则拒绝执行所述查询或操作指令。
3.根据权利要求1或2所述的管控方法,其特征在于,所述调用业务权限管控中心,根据所述登录信息从第二存储区中获取所述登录信息对应的业务权限信息,包括:
通过所述业务权限管控中心的应用程序接口将所述登录信息传给所述业务权限管控中心;
所述业务权限管控中心根据所述登录信息在所述第二存储区中查询所述登录信息对应的业务权限信息;
所述业务权限管控中心通过所述应用程序接口将查询到的所述业务权限信息传回。
4.根据权利要求1或2所述的管控方法,其特征在于,所述第一存储区为计算机内部存储器,包括随机存储器RAM;所述第二存储区为计算机外部存储器,包括硬盘或光盘。
5.根据权利要求1或2所述的管控方法,其特征在于,所述登录信息包括登录名、隶属标识、地理标识和角色标识。
6.一种业务权限的管控系统,其特征在于,包括:
登录模块,用于统一认证不同业务的登录请求,并根据登录信息获取所述登录信息对应的业务权限信息;
业务模块,用于根据登录用户的查询或操作指令查询或操作业务实体;
业务权限管控中心,用于集中管理不同业务的业务权限信息;
第一存储区,用于在各业务模块中存储业务权限信息;
第二存储区,用于在业务权限管控中心集中存储各业务模块的业务权限信息。
7.根据权利要求6所述管控系统,其特征在于,所述业务模块包括独立的业务权限管理模块,所述业务权限管理模块在登录用户进行查询或操作时自动截获所述查询或操作指令,并对所述查询或操作指令进行解析和替换。
8.一种计算机可读介质,存储计算机程序,所述计算机程序可被处理器执行,实现权利要求1~5任一项所述的方法。
9.根据权利要求8所述的计算机可读介质,其特征在于,所述第一存储区为计算机内部存储器,包括随机存储器RAM;所述第二存储区为计算机外部存储器,包括硬盘或光盘。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911320086.5A CN110968851A (zh) | 2019-12-19 | 2019-12-19 | 一种业务权限的管控方法、管控系统及计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911320086.5A CN110968851A (zh) | 2019-12-19 | 2019-12-19 | 一种业务权限的管控方法、管控系统及计算机可读介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110968851A true CN110968851A (zh) | 2020-04-07 |
Family
ID=70035299
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911320086.5A Pending CN110968851A (zh) | 2019-12-19 | 2019-12-19 | 一种业务权限的管控方法、管控系统及计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110968851A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111522799A (zh) * | 2020-07-01 | 2020-08-11 | 浙江口碑网络技术有限公司 | 用户数据的升级方法及装置、电子设备、存储介质 |
| CN112364361A (zh) * | 2020-11-13 | 2021-02-12 | 四川长虹电器股份有限公司 | 一种云平台矩阵式资源访问控制系统及控制方法 |
| CN112560083A (zh) * | 2020-12-02 | 2021-03-26 | 支付宝(杭州)信息技术有限公司 | 安全保护方法、装置及电子设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110702A (zh) * | 2007-08-14 | 2008-01-23 | 中兴通讯股份有限公司 | 一种命令行接口权限分级的方法及其系统 |
| CN101256605A (zh) * | 2006-08-31 | 2008-09-03 | 埃森哲环球服务有限公司 | 企业权利框架 |
| CN101281542A (zh) * | 2008-05-09 | 2008-10-08 | 华为技术有限公司 | 一种文件存储方法及装置 |
| CN101414253A (zh) * | 2007-10-17 | 2009-04-22 | 华为技术有限公司 | 一种权限管理方法及系统 |
| CN105450581A (zh) * | 2014-06-20 | 2016-03-30 | 北京新媒传信科技有限公司 | 权限控制的方法和装置 |
| CN106250782A (zh) * | 2016-08-12 | 2016-12-21 | 天津西瑞尔信息工程有限公司 | 一种基于sql语句解析的数据权限控制方法及装置 |
| SG11201809880RA (en) * | 2017-09-19 | 2019-04-29 | Ping An Technology Shenzhen Co Ltd | Data access authority management method, apparatus, terminal device and storage medium |
| CN110008234A (zh) * | 2019-04-11 | 2019-07-12 | 北京百度网讯科技有限公司 | 一种业务数据搜索方法、装置及电子设备 |
-
2019
- 2019-12-19 CN CN201911320086.5A patent/CN110968851A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101256605A (zh) * | 2006-08-31 | 2008-09-03 | 埃森哲环球服务有限公司 | 企业权利框架 |
| CN101110702A (zh) * | 2007-08-14 | 2008-01-23 | 中兴通讯股份有限公司 | 一种命令行接口权限分级的方法及其系统 |
| CN101414253A (zh) * | 2007-10-17 | 2009-04-22 | 华为技术有限公司 | 一种权限管理方法及系统 |
| CN101281542A (zh) * | 2008-05-09 | 2008-10-08 | 华为技术有限公司 | 一种文件存储方法及装置 |
| CN105450581A (zh) * | 2014-06-20 | 2016-03-30 | 北京新媒传信科技有限公司 | 权限控制的方法和装置 |
| CN106250782A (zh) * | 2016-08-12 | 2016-12-21 | 天津西瑞尔信息工程有限公司 | 一种基于sql语句解析的数据权限控制方法及装置 |
| SG11201809880RA (en) * | 2017-09-19 | 2019-04-29 | Ping An Technology Shenzhen Co Ltd | Data access authority management method, apparatus, terminal device and storage medium |
| CN110008234A (zh) * | 2019-04-11 | 2019-07-12 | 北京百度网讯科技有限公司 | 一种业务数据搜索方法、装置及电子设备 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111522799A (zh) * | 2020-07-01 | 2020-08-11 | 浙江口碑网络技术有限公司 | 用户数据的升级方法及装置、电子设备、存储介质 |
| CN112364361A (zh) * | 2020-11-13 | 2021-02-12 | 四川长虹电器股份有限公司 | 一种云平台矩阵式资源访问控制系统及控制方法 |
| CN112560083A (zh) * | 2020-12-02 | 2021-03-26 | 支付宝(杭州)信息技术有限公司 | 安全保护方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10754932B2 (en) | Centralized consent management | |
| US10417396B2 (en) | System and methods for provisioning and monitoring licensing of applications or extensions to applications on a multi-tenant platform | |
| US8572023B2 (en) | Data services framework workflow processing | |
| US8819009B2 (en) | Automatic social graph calculation | |
| US7716242B2 (en) | Method and apparatus for controlling access to personally identifiable information | |
| US7350226B2 (en) | System and method for analyzing security policies in a distributed computer network | |
| Kern et al. | Observations on the role life-cycle in the context of enterprise security management | |
| US7841011B2 (en) | Methods and apparatuses for tiered option specification | |
| US6886101B2 (en) | Privacy service | |
| US7673323B1 (en) | System and method for maintaining security in a distributed computer network | |
| US8326874B2 (en) | Model-based implied authorization | |
| CN110968851A (zh) | 一种业务权限的管控方法、管控系统及计算机可读介质 | |
| US20060277594A1 (en) | Policy implementation delegation | |
| US8452741B1 (en) | Reconciling data retention requirements | |
| US9971803B2 (en) | Method and system for embedding third party data into a SaaS business platform | |
| CN1474986A (zh) | 用于监督多个金融服务终端的系统和方法 | |
| US9275112B2 (en) | Filtering views with predefined query | |
| US9158932B2 (en) | Modeled authorization check implemented with UI framework | |
| US20100185451A1 (en) | Business-responsibility-centric identity management | |
| US20070226031A1 (en) | Methods and apparatuses for grouped option specification | |
| CN112651000A (zh) | 一种用于组件化即插式开发的权限配置集成系统 | |
| US20200285766A1 (en) | Unified Multi-Platform System For Data Privacy | |
| CN115174177B (zh) | 权限管理方法、装置、电子设备、存储介质和程序产品 | |
| US20050278640A1 (en) | System and method of dynamic entitlement | |
| CN104081381B (zh) | 用于实施概念服务的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200407 |
|
| RJ01 | Rejection of invention patent application after publication |