CN111062028A - 权限管理方法及装置、存储介质、电子设备 - Google Patents
权限管理方法及装置、存储介质、电子设备 Download PDFInfo
- Publication number
- CN111062028A CN111062028A CN201911284413.6A CN201911284413A CN111062028A CN 111062028 A CN111062028 A CN 111062028A CN 201911284413 A CN201911284413 A CN 201911284413A CN 111062028 A CN111062028 A CN 111062028A
- Authority
- CN
- China
- Prior art keywords
- data
- authority
- role
- user identification
- permission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 132
- 238000000034 method Methods 0.000 claims abstract description 39
- 238000012545 processing Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 9
- 238000012216 screening Methods 0.000 claims description 7
- 238000013475 authorization Methods 0.000 abstract description 11
- 230000000875 corresponding effect Effects 0.000 description 92
- 238000010586 diagram Methods 0.000 description 41
- 238000004364 calculation method Methods 0.000 description 21
- 230000009471 action Effects 0.000 description 17
- 230000006399 behavior Effects 0.000 description 14
- 230000006870 function Effects 0.000 description 12
- 230000003993 interaction Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000002567 autonomic effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供一种权限管理方法及装置、电子设备、存储介质;涉及计算机技术领域。所述权限管理方法包括:接收对资源数据的权限请求指令,并确定所述权限请求指令中的用户标识数据;根据所述用户标识数据在预设的角色数据库中匹配与所述用户标识数据对应的角色数据;通过所述角色数据确定所述用户标识数据对应的权限数据;对所述权限数据进行权限判断,在权限判断结果为通过时将所述资源数据对应的操作权限开放给所述用户标识数据。本公开可以降低授权管理的复杂度,提升权限管理的灵活性,实现权限的精准配置。
Description
技术领域
本公开涉及计算机技术领域,具体而言,涉及一种权限管理方法、权限管理装置、电子设备以及计算机可读存储介质。
背景技术
随着互联网技术的飞速发展,企业内的大多数业务都是通过相关的软件系统完成的,而登陆软件系统的不同用户均有不同的访问权限,在人员结构以及系统越来越复杂的情况下,系统访问权限的管理也越来越重要。
目前,相关的权限管理方案中,要么对权限的控制较为分散,要么对于权限的配置不够细化,导致权限管理的灵活性较差,增加了权限管理的难度,降低了用户的使用体验。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种权限管理方法、权限管理装置、电子设备以及计算机可读存储介质,进而在一定程度上克服由于相关技术的限制和缺陷而导致的,相关的权限管理方案中权限管理较复杂、不灵活的问题。
根据本公开的第一方面,提供一种权限管理方法,包括:
接收对资源数据的权限请求指令,并确定所述权限请求指令中的用户标识数据;
根据所述用户标识数据在预设的角色数据库中匹配与所述用户标识数据对应的角色数据;
通过所述角色数据确定所述用户标识数据对应的权限数据;
对所述权限数据进行权限判断,在权限判断结果为通过时将所述资源数据对应的操作权限开放给所述用户标识数据。
在本公开的一种示例性实施例中,在根据所述用户标识数据在预设的角色数据库中匹配与所述用户标识数据对应的角色数据之前,所述方法还包括:
获取创建所述角色数据的角色属性数据;其中,所述角色属性数据包括角色编码数据、角色名称数据和角色描述数据;
根据所述角色属性数据在所述角色数据库中创建所述角色属性数据对应的角色数据。
在本公开的一种示例性实施例中,在根据所述用户标识数据在预设的角色数据库中匹配与所述用户标识数据对应的角色数据之前,所述方法还包括:
获取创建权限数据集合的权限属性数据;其中,所述权限属性数据包括权限编码数据、权限名称数据和权限描述数据;
根据所述权限属性数据创建对应的权限数据集合。
在本公开的一种示例性实施例中,在根据所述权限属性数据创建对应的权限数据集合之后,所述方法还包括:
响应权限分配操作,将所述权限数据集合中的权限数据分配给所述角色数据库中的所述角色数据;其中,所述角色数据包括一个或者多个权限数据。
在本公开的一种示例性实施例中,对所述权限数据进行权限判断,包括:
基于权限策略数据,计算所述权限数据对应的布尔值或者数值范围;
根据所述布尔值或者数值范围对所述权限数据进行权限判断以确定所述权限数据对应的权限判断结果。
在本公开的一种示例性实施例中,基于权限策略数据,计算所述权限数据对应的布尔值或者数值范围,包括:
确定所述权限请求指令的入口参数;
根据所述入口参数筛选所述权限策略数据中的目标权限策略数据;
基于命中的所述目标权限策略数据,计算所述权限数据对应的布尔值或者数值范围。
在本公开的一种示例性实施例中,所述方法还包括:
对所述角色数据配置目标用户标识数据;以及
对所述角色数据配置目标角色数据。
根据本公开的第二方面,提供一种权限管理装置,包括:
用户标识数据确定模块,用于接收对资源数据的权限请求指令,并确定所述权限请求指令中的用户标识数据;
角色数据匹配模块,用于根据所述用户标识数据在预设的角色数据库中匹配与所述用户标识数据对应的角色数据;
权限数据确定模块,用于通过所述角色数据确定所述用户标识数据对应的权限数据;
权限配置模块,用于对所述权限数据进行权限判断,在权限判断结果为通过时将所述资源数据对应的操作权限开放给所述用户标识数据。
在本公开的一种示例性实施例中,所述权限管理装置还包括角色数据创建单元,所述角色数据创建单元被配置为:
获取创建所述角色数据的角色属性数据;其中,所述角色属性数据包括角色编码数据、角色名称数据和角色描述数据;
根据所述角色属性数据在所述角色数据库中创建所述角色属性数据对应的角色数据。
在本公开的一种示例性实施例中,所述权限管理装置还包括权限数据创建单元,所述权限数据创建单元被配置为:
获取创建权限数据集合的权限属性数据;其中,所述权限属性数据包括权限编码数据、权限名称数据和权限描述数据;
根据所述权限属性数据创建对应的权限数据集合。
在本公开的一种示例性实施例中,所述权限管理装置还包括权限数据分配单元,所述权限数据分配单元被配置为:
响应权限分配操作,将所述权限数据集合中的权限数据分配给所述角色数据库中的所述角色数据;其中,所述角色数据包括一个或者多个权限数据。
在本公开的一种示例性实施例中,所述权限配置模块还包括:
权限计算单元,用于基于权限策略数据,计算所述权限数据对应的布尔值或者数值范围;
权限判断结果确定单元,用于根据所述布尔值或者数值范围对所述权限数据进行权限判断以确定所述权限数据对应的权限判断结果。
在本公开的一种示例性实施例中,所述权限计算单元还被配置为:
确定所述权限请求指令的入口参数;
根据所述入口参数筛选所述权限策略数据中的目标权限策略数据;
基于命中的所述目标权限策略数据,计算所述权限数据对应的布尔值或者数值范围。
在本公开的一种示例性实施例中,所述权限管理装置还包括角色数据配置单元,所述角色数据配置单元被配置为:
对所述角色数据配置目标用户标识数据;以及
对所述角色数据配置目标角色数据。
根据本公开的第三方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的方法。
根据本公开的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的方法。
本公开示例性实施例可以具有以下部分或全部有益效果:
在本公开的一示例实施方式所提供的权限管理方法中,确定资源数据的权限请求指令中的用户标识数据,根据用户标识数据在预设的角色数据库中匹配与对应的角色数据,并通过角色数据确定用户标识数据对应的权限数据,最终在权限数据的权限判断结果为通过时将资源数据对应的操作权限开放给用户标识数据。一方面,通过预先建立的角色数据实现对用户标识数据的权限分配,能够实现更加细化的权限管理,提高权限管理的灵活性;另一方面,通过角色数据库将角色数据以及对应的权限数据独立出来,在对用户标识数据进行权限分配时,仅需要在角色数据库中匹配用户标识数据对应的角色数据,能够减少权限管理的工作量,提高权限数据的应用范围,提升权限管理的效率,提升用户的使用体验。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了可以应用本公开实施例的一种权限管理方法及装置的示例性系统架构的示意图;
图2示出了适于用来实现本公开实施例的电子设备的计算机系统的结构示意图;
图3示意性示出了根据本公开的一个实施例的权限管理方法的流程示意图;
图4示意性示出了根据本公开的一个实施例的计算权限数据对应权限判断结果的流程示意图;
图5示意性示出了根据本公开的一个实施例的实现权限管理的数据交互示意图;
图6示意性示出了根据本公开的一个实施例的无条件的权限判断逻辑的应用示意图;
图7示意性示出了根据本公开的一个实施例的有条件的权限判断逻辑的应用示意图;
图8示意性示出了根据本公开的一个实施例的权限管理方法的应用场景示意图;
图9示意性示出了根据本公开的一个实施例的权限管理方法对应的产品模型的示意图;
图10示意性示出了根据本公开的一个实施例的权限管理界面的示意图;
图11示意性示出了根据本公开的一个实施例的创建角色的界面示意图;
图12示意性示出了根据本公开的一个实施例的角色权限管理的界面示意图;
图13示意性示出了根据本公开的一个实施例的角色成员管理的界面示意图;
图14示意性示出了根据本公开的一个实施例的权限策略管理的界面示意图;
图15示意性示出了根据本公开的一个实施例的新增权限策略的界面示意图;
图16示意性示出了根据本公开的一个实施例的管理权限策略的界面示意图;
图17示意性示出了根据本公开的一个实施例的在权限策略数据中不包含条件时权限判断逻辑的数据交互示意图;
图18示意性示出了根据本公开的一个实施例的在权限策略数据中包含条件时权限判断逻辑的数据交互示意图;
图19示意性示出了根据本公开的一个实施例的数据范围计算逻辑的数据交互示意图;
图20示意性示出了根据本公开的一个实施例的权限管理装置的示意框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
图1示出了可以应用本公开实施例的一种权限管理方法及装置的示例性应用环境的系统架构的示意图。
如图1所示,系统架构100可以包括终端设备101、102、103中的一个或多个,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。终端设备101、102、103可以是具有显示屏的各种电子设备,包括但不限于台式计算机、便携式计算机、智能手机和平板电脑等等。应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。比如服务器105可以是多个服务器组成的服务器集群等。
本公开实施例所提供的权限管理方法一般由服务器105执行,相应地,权限管理装置一般设置于服务器105中。但本领域技术人员容易理解的是,本公开实施例所提供的权限管理方法也可以由终端设备101、102、103执行,相应的,权限管理装置也可以设置于终端设备101、102、103中,本示例性实施例中对此不做特殊限定。举例而言,在一种示例性实施例中,可以是用户通过终端设备101、102、103将权限请求指令上传至服务器105,服务器通过本公开实施例所提供的权限管理方法将权限判断结果传输给终端设备101、102、103等。
图2示出了适于用来实现本公开实施例的电子设备的计算机系统的结构示意图。
需要说明的是,图2示出的电子设备的计算机系统200仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图2所示,计算机系统200包括中央处理单元(CPU)201,其可以根据存储在只读存储器(ROM)202中的程序或者从存储部分208加载到随机访问存储器(RAM)203中的程序而执行各种适当的动作和处理。在RAM 203中,还存储有系统操作所需的各种程序和数据。CPU201、ROM 202以及RAM 203通过总线204彼此相连。输入/输出(I/O)接口205也连接至总线204。
以下部件连接至I/O接口205:包括键盘、鼠标等的输入部分206;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分207;包括硬盘等的存储部分208;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分209。通信部分209经由诸如因特网的网络执行通信处理。驱动器210也根据需要连接至I/O接口205。可拆卸介质211,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器210上,以便于从其上读出的计算机程序根据需要被安装入存储部分208。
特别地,根据本公开的实施例,下文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分209从网络上被下载和安装,和/或从可拆卸介质211被安装。在该计算机程序被中央处理单元(CPU)201执行时,执行本申请的方法和装置中限定的各种功能。在一些实施例中,计算机系统200还可以包括AI(ArtificialIntelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
需要说明的是,本公开所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现如下述实施例中所述的方法。例如,所述的电子设备可以实现如图3~图8所示的各个步骤等。
以下对本公开实施例的技术方案进行详细阐述:
在相关的权限管理方案中,基本上都是通过自主访问控制(DiscretionaryAccess Control,DAC)或者强制访问控制(Mandatory Access Control,MAC)实现权限管理的。
DAC模式的系统会识别用户,然后根据被操作对象(Subject)的权限控制列表(ACL:Access Control List)或者权限控制矩阵(ACM:Access Control Matrix)的信息来决定用户的是否能对其进行哪些操作,例如读取或修改。而拥有对象权限的用户,又可以将该对象的权限分配给其他用户,所以称之为“自主(Discretionary)”控制。这种设计最常见的应用场景就是文件系统的权限设计,如微软的NTFS。但是,这种技术方案中,对权限控制比较分散,管理的难度较高,不便于管理,比如无法简单地将一组文件设置统一的权限开放给指定的一群用户。
MAC是为了弥补DAC权限控制过于分散的问题而诞生的。在MAC的设计中,每一个对象都都有一些权限标识,每个用户同样也会有一些权限标识,而用户能否对该对象进行操作取决于双方的权限标识的关系,这个限制判断通常是由系统硬性限制的。比如在影视作品中经常能看到特工在查询机密文件时,屏幕提示需要“无法访问,需要一级安全许可”,这个例子中,文件上就有“一级安全许可”的权限标识,而用户并不具有。但是,这种技术方案中,非常适合机密机构或者其他等级观念强烈的行业,但对于类似商业服务系统,则因为不够灵活而不能适用。
基于上述一个或多个问题,本示例实施方式提供了一种权限管理方法。该权限管理方法可以应用于上述服务器105,也可以应用于上述终端设备101、102、103中的一个或多个,本示例性实施例中对此不做特殊限定。下面以服务器执行该方法为例进行说明,参考图3所示,该权限管理方法可以包括以下步骤S310至步骤S340:
步骤S310、接收对资源数据的权限请求指令,并确定所述权限请求指令中的用户标识数据;
步骤S320、根据所述用户标识数据在预设的角色数据库中匹配与所述用户标识数据对应的角色数据;
步骤S330、通过所述角色数据确定所述用户标识数据对应的权限数据;
步骤S340、对所述权限数据进行权限判断,在权限判断结果为通过时将所述资源数据对应的操作权限开放给所述用户标识数据。
在本示例实施方式所提供的权限管理方法中,一方面,通过预先建立的角色数据实现对用户标识数据的权限分配,能够实现更加细化的权限管理,提高权限管理的灵活性;另一方面,通过角色数据库将角色数据以及对应的权限数据独立出来,在对用户标识数据进行权限分配时,仅需要在角色数据库中匹配用户标识数据对应的角色数据,能够减少权限管理的工作量,提高权限数据的应用范围,提升权限管理的效率,提升用户的使用体验。
下面,对于本示例实施方式的上述步骤进行更加详细的说明。
在步骤S310中,接收对资源数据的权限请求指令,并确定所述权限请求指令中的用户标识数据。
本公开的一个示例实施例中,权限请求指令可以是指目标对象(如目标对象可以是用户,也可以是智能机器管理,还可以是开发人员,本示例实施例不以此为限)发出的对资源数据的指定操作的请求,例如资源数据可以是数据库中的数据,权限请求指令可以是用户查看数据库中数据的请求,也可以是删除数据库中的数据的请求,当然,权限请求指令还可以是修改数据库中的数据的请求,本示例实施例对此不作特殊限定。
用户标识数据可以是指发出对资源数据的权限请求指令的目标对象的标识,例如用户标识数据可以是目标对象的请求网络地址,也可以是目标对象的用户账号名称,当然,用户标识数据还可以是目标对象的用户账号编码,本示例实施例对此不做特殊限定。
在接受到目标对象发出的对资源数据的权限请求指令时,从权限请求指令中提取目标对象对应的用户标识数据,以便于根据用户标识数据确定目标对象的角色数据(进一步根据角色数据确定权限数据)。
在步骤S320中,根据所述用户标识数据在预设的角色数据库中匹配与所述用户标识数据对应的角色数据。
本公开的一个示例实施例中,预设的角色数据库可以是指开发人员或者管理员预先创建的、用于存储角色数据以及角色数据对应的权限数据的数据库,该角色数据库可以设置在服务器中,也可以设置在终端设备中,当然,还可以作为单独的权限管理服务,本示例实施例对此不做特殊限定。角色数据可以是指根据权限管理中相对稳定的职权或者责任功能而划分的不同角色,每种角色可以完成一定的职能,例如,角色数据可以是机构管理员,也可以是机构负责人,当然,还可以是机构成员等角色,本示例实施例对此不作特殊限定。
具体的,在根据用户标识数据在预设的角色数据库中匹配与用户标识数据对应的角色数据之前,获取创建角色数据的角色属性数据;根据角色属性数据在角色数据库中创建色属性数据对应的角色数据。角色属性数据可以是指用于创建角色数据的数据,例如,角色属性数据可以包括角色编码数据(可以设置为必填选项,只能由英文、数字和符号组成,同一应用程序内不可重复,且不区分大小写)、角色名称数据(可以设置为必填选项)和角色描述数据(可以设置为选填选项)。角色属性数据可以是目标对象通过终端设备提供的管理界面编辑的,以通过该角色属性数据创建对应的角色数据。本示例实施例中可以通过角色属性数据直接在角色数据库中创建角色数据,或者根据角色属性数据构成角色数据并存储到角色数据库中,本示例实施例对此不作特殊限定。
可选的,目标对象可以通过提供的权限管理界面对角色数据库中的角色数据进行编辑、删除等操作,本示例实施例对此不做特殊限定。
在根据用户标识数据在预设的角色数据库中匹配与用户标识数据对应的角色数据之前,获取创建权限数据集合的权限属性数据;根据权限属性数据创建对应的权限数据集合。权限属性数据可以是指用于创建权限数据的数据,例如,权限属性数据可以包括权限编码数据(可以设置为必填选项,只能由英文、数字和符号组成,同一应用程序内不可重复,且不区分大小写)、权限名称数据(可以设置为必填选项)和权限描述数据(可以设置为选填选项)。权限属性数据可以是目标对象通过终端设备提供的管理界面编辑的,以通过该权限属性数据创建对应的权限数据集合。权限数据集合可以是指创建的多个权限数据的集合,可以将权限数据集合中的权限数据进行重复配置。
可选的,目标对象可以通过提供的权限管理界面对权限数据集合中的权限数据进行编辑、删除等操作,本示例实施例对此不做特殊限定。
进一步的,在根据权限属性数据创建对应的权限数据集合之后,响应权限分配操作,将权限数据集合中的权限数据分配给角色数据库中的角色数据。权限分配操作可以是指目标对象根据终端设备的权限管理界面对创建的角色数据配置权限数据的操作,例如,权限分配操作可以是将创建好的权限数据关联到角色数据的拖动操作,也可以是将创建好的权限数据关联到角色数据的点击操作,当然,权限分配操作还可以是其他将创建好的权限数据关联到角色数据的操作,本示例实施例对此不做特殊限定。对角色数据配置权限数据,不同的角色数据可以对应的一个权限数据,也可以对应两个或者两个以上的权限数据,本示例实施例对此不做特殊限定。
可选的,目标对象可以通过提供的权限管理界面对角色数据以及权限数据的关联关系进行编辑、删除等操作,本示例实施例对此不做特殊限定。
在步骤S330中,通过所述角色数据确定所述用户标识数据对应的权限数据。
本公开的一个示例实施例中,根据用户标识数据在角色数据库中匹配与用户标识数据对应的角色数据(可以预先将不同用户标识数据添加到对应的角色数据中形成该角色数据对应的用户标识数据列表),并根据角色数据确定该角色数据对应的权限数据,该角色数据对应的权限数据即用户标识数据的权限数据。
在步骤S340中,对所述权限数据进行权限判断,在权限判断结果为通过时将所述资源数据对应的操作权限开放给所述用户标识数据。
本公开的一个示例实施例中,权限判断可以是指用于判断用户标识数据的权限数据是否与资源数据的操作权限匹配的计算过程,例如权限判断可以是计算权限数据的布尔值(Boolean,布尔常量,即真True或假False中的一个)的处理过程,也可以是计算权限数据的数据范围的处理过程,本示例实施例对此不做特殊限定。权限判断结果为通过可以是指计算的布尔值为“True”或者在MongoDB中查询一系列枚举值的范围符合资源数据操作权限的范围。操作权限可以是指目标对象发出的权限请求指令请求的资源数据的权限,在权限判断结果为通过时认为用户标识数据对应权限数据符合资源数据的操作权限的获取条件,因此将资源数据对应的操作权限开放给用户标识数据。在权限判断结果为不通过时认为用户标识数据对应权限数据不符合资源数据的操作权限的获取条件,因此不将资源数据对应的操作权限开放给用户标识数据。
具体的,基于权限策略数据,计算权限数据对应的布尔值或者数值范围;根据布尔值或者数值范围对权限数据进行权限判断以确定权限数据对应的权限判断结果。权限策略数据(Policy)可以是指用语法结构所描述的一组权限,权限策略数据可以精确地描述被授权的资源集、行为集以及授权条件。通过给角色数据附加权限策略,角色数据对应的用户就能获得权限策略中指定的访问权限。Policy基本元素是权限策略数据的基本组成部分,例如,权限策略数据可以包括以下基本元素:效力(Effect)可以包括允许(Allow)和拒绝(Deny);行为(Action)可以是指对具体资源数据的操作或者行为;资源(Resource)可以是指被授权的具体资源数据或者资源对象;限制条件(Condition)可以是指授权生效的限制条件。
图4示意性示出了根据本公开的一个实施例的计算权限数据对应权限判断结果的流程示意图。
参考图4所示,步骤S410,确定所述权限请求指令的入口参数。
本公开的一个示例实施例中,入口参数可以是指发送权限请求指令的对象对应的接口参数,例如入口参数可以是行为(Action),也可以是资源(Resource),当然,还可以是账户编号(Accountid),本示例实施例对此不做特殊限定。
步骤S420,根据所述入口参数筛选所述权限策略数据中的目标权限策略数据。
本公开的一个示例实施例中,目标权限策略数据可以是指根据入口参数在权限策略数据中命中的基本元素,例如目标权限策略数据可以是允许(Allow)效力,也可以是拒绝(Deny),本示例实施例不以此为限。
步骤S430,基于命中的所述目标权限策略数据,计算所述权限数据对应的布尔值或者数值范围。
本公开的一个示例实施例中,基于命中的目标权限策略数据,计算权限数据对应的布尔值或者数值范围。举例而言,若命中的目标权限策略数据的效力均为允许(Allow)效力,则权限数据对应的布尔值为True;若命中的目标权限策略数据的效力均为拒绝(Deny),则权限数据对应的布尔值为Fasle,当然,此处仅是示意性举例说明,本示例实施例对此不作特殊限定。
具体的,对角色数据配置目标用户标识数据;以及对角色数据配置目标角色数据。目标用户标识数据可以是指能够被划分为同一角色数据的用户标识数据,对角色数据配置目标用户标识数据构成用户标识数据列表并存储在角色数据库中,以根据用户标识数据列表为权限请求指令中的用户标识数据匹配对应的角色数据。目标角色数据可以是指能够被划分为同一角色数据的角色数据,还可以为角色数据配置目标角色数据,以形成角色数据的嵌套,实现权限数据的精细化管理,进一步细化权限规则,提升权限管理的灵活性。
图5示意性示出了根据本公开的一个实施例的实现权限管理的数据交互示意图。
参考图5所示,步骤S510,当用户访问业务应用时,经过准入网关;
步骤S520,准入网关路由至业务应用;
步骤S530,业务应用触发业务代码逻辑,触发权限检查逻辑;
步骤S540,向权限管理服务请求权限检查(账号/资源/行为);
其中,权限管理服务可以具有以下特点:以角色为访问控制的主体,用户的角色决定了用户的权限;支持最小权限原则,可以将用户的角色配置成其完成任务所需要的最小权限集,则该用户所拥有的权限不会超过他所执行操作所需的权限;支持责职分离原则,可以设置相互独立互斥的角色共同完成敏感的任务,从而实现职责分离;数据抽象原则,权限管理服务支持将各种权限进行抽象,例如将审核过程的申请、审批等抽象成权限,而不仅限于读、写、执行等权限;
步骤S550,权限管理服务进行权限计算;
步骤S560,权限管理服务将权限计算结果(True/False/数据范围)返回给业务应用;
步骤S570,业务应用根据权限计算结果执行业务逻辑。
图6示意性示出了根据本公开的一个实施例的无条件的权限判断逻辑的应用示意图。
参考图6所示,步骤S610,在权限管理服务601中定义Policy,举例而言,定义的Policy可以如下所示:
步骤S620,业务应用602对接权限管理服务601,在业务代码中固化Policy。胡话的方式可以包括方式一:通过pattern固化,例如“pattern:/api/{resource}/{action}”;方式二:通过函数固化,例如通过函数Func createSystem(){}固化,resource=system/action=create;
步骤S630,用户603访问业务应用602/或通过准入网关转发请求至业务应用602,例如用户603对应的信息可以是“用户:zhangsan,角色:sys-manager,POST/api/sytem/create”;
步骤S640,业务应用602获取资源和行为,若采用方式一固化Policy,业务应用需要解析URL获取资源和行为;若采用方式二固化Policy,业务应用可以直接获取资源和行为,例如“resource:system,action:create,subject:zhangsan”;
步骤S650,业务应用602向权限管理服务601请求权限检查,具体的,业务应用调用权限管理服务的接口进行权限判断,例如,权限检查接口:/rights/check,入参:“account:zhangsan,resource:system,action:create”;
步骤S660,根据主体、资源、行为,筛选命中的权限策略(Policy);根据命中的Policy计算权限结果:若Policy的效力均为allow,则结果为true;若Policy的效力包含deny,则结果为fasle;在本示例中,计算结果为true;
步骤S670,业务应用获取权限判断结果进行处理:结果为true,则有权限;结果为false,则无权限;在本示例中,计算结果为true;
步骤S680,业务应用根据请求执行业务逻辑;在本示例中,用户zhangsan可以创建系统。
图7示意性示出了根据本公开的一个实施例的有条件的权限判断逻辑的应用示意图。
参考图7所示,步骤S710,在权限管理服务701中定义Policy,举例而言,定义的Policy可以如下所示:
步骤S720,业务应用702对接权限管理服务701,在业务代码中固化Policy。胡话的方式可以包括方式一:通过pattern固化,例如“pattern:/api/{resource}/{action}”;方式二:通过函数固化,例如通过函数Func editSystem/context:{}固化,resource=system/action=create;
步骤S730,用户703访问业务应用702/或通过准入网关转发请求至业务应用702,例如用户703对应的信息可以是“用户:lisi,角色:sysxxx-user,sysyyy-user,POST/api/sytem/edit;{"sys":{"id":“zzz”,…}}”;
步骤S740,业务应用702获取资源和行为,若采用方式一固化Policy,业务应用需要解析URL获取资源和行为;若采用方式二固化Policy,业务应用可以直接获取资源和行为,例如“resource:system,action:edit,subject:lisi,context:{"sys.id":"zzz"}”;
步骤S750,业务应用702向权限管理服务701请求权限检查,具体的,业务应用调用权限管理服务的接口进行权限判断,例如,权限检查接口:/rights/check,入参:“/rights/check,account:lisi,resource:system,action:edit,context:{"sys.id":"zzz"}”;
步骤S760,根据主体、资源、行为,筛选命中的权限策略(Policy);根据命中的Policy计算权限结果:条件与条件之间是“与”的关系;效力deny优先于allow;从而计算出最终结果;在本示例中,计算结果为false;
步骤S770,业务应用获取权限判断结果进行处理:结果为true,则有权限,准入网关将请求转发至业务应用;结果为false,则无权限,直接拒绝;在本示例中,计算结果为false,准入网关直接拒绝用户请求;
步骤S780,业务应用根据请求执行业务逻辑;在本示例中,用户lisi不可以访问系统zzz。
图8示意性示出了根据本公开的一个实施例的权限管理方法的应用场景示意图。
参考图8所示,步骤S810,业务系统801对接权限管理服务802;
步骤S820,将业务的角色/权限/授权/角色成员等配置至权限管理服务802;
步骤S830,用户803访问业务系统801;
步骤S840,业务系统801调用权限管理服务802查询授权情况;
步骤S850,权限管理服务802进行权限判断;
步骤S860,权限管理服务802将权限判断结果返回至业务系统801;
步骤S870,业务系统801接收权限判断结果,并执行对应动作。
应当注意,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
图9示意性示出了根据本公开的一个实施例的权限管理方法对应的产品模型的示意图。
参考图9所示,本示例实施例中的权限管理方法对应的产品模型901主要可以包括业务应用模块902以及权限管理服务模块903。
步骤S910,目标对象可以通过用户标识数据在业务应用模块902登录,并发送对资源数据的权限请求指令;
步骤S920,权限管理服务模块903在接收到业务应用模块902发送的权限请求指令时,确定权限请求指令中的用户标识数据,并根据角色数据库(权限引擎)匹配与该用户标识数据对应的角色数据;
步骤S930,通过角色数据确定用户标识数据的权限数据,并根据权限数据以及资源数据的权限进行鉴权处理,在鉴权处理记过为通过时,将资源数据的操作权限授权给用户标识数据。
具体的,在实际应用场景中,在根据本示例实施例中的权限管理方法对用户标识数据进行鉴权、授权之前,需要对用户标识数据的角色数据以及权限数据进行管理。
图10示意性示出了根据本公开的一个实施例的权限管理界面的示意图。
参考图10所示,通过构建的权限管理界面1001实现对用户标识数据的角色数据以及权限数据的管理。具体的,权限管理界面1001可以包括导航栏1002以及内容显示区域1004。
通过触发导航栏1002中的角色管理控件1003在内容显示区域1004显示角色数据管理的内容,具体的,可以包括角色名称显示栏1005、角色编码显示栏1006、角色描述显示栏1007、操作栏1008以及创建角色控件1009。其中角色名称显示栏1005、角色编码显示栏1006、角色描述显示栏1007下对应的数据是已创建好的角色数据,可以通过操作栏1008中的编辑控件1010、角色权限管理控件1011以及角色成员管理控件1012对已创建好的角色数据进行管理。在需要创建新的角色数据时,可以通过创建角色控件1009在内容显示区域1004显示创建角色的界面(具体参考图11所示)。
图11示意性示出了根据本公开的一个实施例的创建角色的界面示意图。
参考图11所示,通过图10中的角色管理页面的创建角色控件1009在内容显示区域1004显示创建角色的界面1101,其中创建角色的界面1101可以包括角色编码编辑栏1102、角色名称编辑栏1103、角色描述编辑栏1104以及立即创建控件1105。通过角色编码编辑栏1102输入待创建的角色数据的角色编码数据,通过角色名称编辑栏1103输入待创建的角色数据的角色名称数据,通过角色描述编辑栏1104输入待创建的角色数据的角色描述,在编辑好上述内容之后,通过立即创建控件1105完成对新的角色数据的创建,并将新的角色数据显示到图10中的角色管理页面。
图12示意性示出了根据本公开的一个实施例的角色权限管理的界面示意图。
参考图12所示,通过图10中的角色管理页面的目标角色数据对应操作栏1008中的角色权限管理控件1011在内容显示区域1004显示目标角色数据对应角色权限管理的界面1201,角色权限管理的界面1201可以包括角色数据详细信息显示区域1202以及角色权限列表,其中角色权限列表可以包括添加角色权限控件1203以及待管理权限列表,其中待管理权限列表可以包括操作栏1204以及移除控件1205。通过添加角色权限控件1203可以为当前选中的角色数据在已创建好的权限列表中选择并添加新的权限数据,或者通过操作栏1204中的移除控件1205将当前选中的角色数据的目标权限数据进行移除。
图13示意性示出了根据本公开的一个实施例的角色成员管理的界面示意图。
参考图13所示,通过图10中的角色管理页面的目标角色数据对应操作栏1008中的角色成员管理控件1012在内容显示区域1004显示目标角色数据对应角色成员管理的界面1301,角色成员管理的界面1301可以包括角色数据详细信息显示区域1302以及角色成员列表,其中角色成员列表可以包括添加角色成员控件1303以及待管理成员列表,其中待管理成员列表可以包括操作栏1304以及移除控件1305。通过添加角色成员控件1303可以为当前选中的角色数据添加新的成员(用户标识数据),或者通过操作栏1304中的移除控件1305将当前选中的角色数据对应的目标成员进行移除。
图14示意性示出了根据本公开的一个实施例的权限策略管理的界面示意图。
参考图14所示,通过触发导航栏中的权限策略管理控件1401在内容显示区域显示权限策略管理的界面1402,具体的,可以包括权限策略名称显示栏1403、权限策略编码显示栏1404、权限策略描述显示栏1405、操作栏1406以及新增权限策略控件1407。其中权限策略名称显示栏1403、权限策略编码显示栏1404、权限策略描述显示栏1405下对应的数据是已创建好的权限策略数据,可以通过操作栏1406中的管理控件1408对已创建好的权限策略数据进行管理。在需要创建新的权限策略数据时,可以通过新增权限策略控件1407在内容显示区域显示新增权限策略的界面(具体参考图15所示)。在需要对已创建好的权限策略数据进行更改时,通过管理控件1408打开管理权限策略界面(具体参考图16所示)。
图15示意性示出了根据本公开的一个实施例的新增权限策略的界面示意图。
参考图15所示,通过图14中的新增权限策略控件1407打开新增权限策略的界面,新增权限策略的界面可以包括权限策略编码编辑栏1501、权限策略名称编辑栏1502、权限策略描述编辑栏1503、资源与行为编辑栏1504、效力编辑栏1505、条件编辑栏1506以及保存控件1507。其中,通过权限策略编码编辑栏1501输入待创建的权限数据的权限策略编码数据,通过权限策略名称编辑栏1502输入待创建的权限数据的权限策略名称数据,通过权限策略描述编辑栏1503输入待创建的权限数据的权限策略描述,通过资源与行为编辑栏1504对应的添加控件添加权限数据对应的资源与行为,通过效力编辑栏1505对应的选项选择权限数据对应的效力,通过条件编辑栏1506编辑权限数据对应的条件,在编辑好上述内容之后,通过保存控件1507完成对新的权限策略的创建。
图16示意性示出了根据本公开的一个实施例的管理权限策略的界面示意图。
参考图16所示,通过图14中的管理控件1408打开管理权限策略界面1601,管理权限策略界面1601可以包括编辑权限策略控件1602、删除权限策略1603以及权限策略显示区域1604,通过编辑权限策略控件1602打开当前选中的权限策略数据的编辑界面以对权限策略数据进行修改编辑,具体的编辑界面可以参考图15所示的新增权限策略界面的内容,在此不再赘述,通过删除权限策略1603将当前选中的权限策略进行删除。
具体的,在对用户标识数据对应的权限数据进行鉴权处理时,需要进行权限计算,本示例实施例中,权限管理服务对应的权限计算方法主要可以包括权限判断逻辑以及数据范围计算。
图17示意性示出了根据本公开的一个实施例的在权限策略数据中不包含条件时权限判断逻辑的数据交互示意图。
参考图17所示,步骤S1710,业务应用/准入网关端1701在监测到目标对象对资源数据进行操作时,通过调用接口(例如“^/rights/check”)向权限管理服务1702发送权限请求指令,其中,权限请求指令可以包括入口参数,例如入口参数可以包括accountid、resource、action等;
步骤S1720,权限管理服务1702根据权限请求指令中的入口参数筛选命中的权限策略的Policy基本元素;
步骤S1730,根据命中的Policy基本元素进行权限计算:若Policy基本元素的效力均为Allow,则计算结果为True;若Policy基本元素的效力包含Deny,则计算结果为False;
步骤S1740,权限管理服务1702将计算的结果True/False返回给业务应用/准入网关端1701。
图18示意性示出了根据本公开的一个实施例的在权限策略数据中包含条件时权限判断逻辑的数据交互示意图。
参考图18所示,步骤S1810,业务应用/准入网关端1801在监测到目标对象对资源数据进行操作时,通过调用接口(例如“^/rights/check”)向权限管理服务1802发送权限请求指令,其中,权限请求指令可以包括入口参数,例如入口参数可以包括accountid、resource、action等;
步骤S1820,权限管理服务1802根据权限请求指令中的入口参数筛选命中的权限策略的Policy基本元素;
步骤S1830,根据命中的Policy基本元素进行权限计算:根据条件与条件之间是“与”的关系以及效力Deny优先于Allow的规则计算结果;
步骤S1840,权限管理服务1802将计算的结果True/False返回给业务应用/准入网关端1801。
图19示意性示出了根据本公开的一个实施例的数据范围计算逻辑的数据交互示意图。
参考图19所示,步骤S1910,业务应用/准入网关端1901在监测到目标对象对资源数据进行操作时,通过调用接口(例如“^/rights/check”)向权限管理服务1902发送权限请求指令,其中,权限请求指令可以包括入口参数,例如入口参数可以包括accountid、resource、action等;
步骤S1920,权限管理服务1902根据权限请求指令中的入口参数筛选命中的权限策略的Policy基本元素;
步骤S1930,根据命中的Policy基本元素进行权限计算:根据条件与条件之间是“与”的关系以及效力Deny优先于Allow的规则计算数值范围;
步骤S1940,权限管理服务1902将数据范围计算的结果“$in包含”返回给业务应用/准入网关端1901。
进一步的,本示例实施方式中,还提供了一种权限管理装置。该权限管理装置可以应用于一服务器或终端设备。参考图20所示,该权限管理装置2000可以包括用户标识数据确定模块2010、角色数据匹配模块2020、权限数据确定模块2030以及权限配置模块2040。其中:
用户标识数据确定模块2010用于接收对资源数据的权限请求指令,并确定所述权限请求指令中的用户标识数据;
角色数据匹配模块2020用于根据所述用户标识数据在预设的角色数据库中匹配与所述用户标识数据对应的角色数据;
权限数据确定模块2030用于通过所述角色数据确定所述用户标识数据对应的权限数据;
权限配置模块2040用于对所述权限数据进行权限判断,在权限判断结果为通过时将所述资源数据对应的操作权限开放给所述用户标识数据。
在本公开的一种示例性实施例中,所述权限管理装置2000还包括角色数据创建单元,所述角色数据创建单元被配置为:
获取创建所述角色数据的角色属性数据;其中,所述角色属性数据包括角色编码数据、角色名称数据和角色描述数据;
根据所述角色属性数据在所述角色数据库中创建所述角色属性数据对应的角色数据。
在本公开的一种示例性实施例中,所述权限管理装置2000还包括权限数据创建单元,所述权限数据创建单元被配置为:
获取创建权限数据集合的权限属性数据;其中,所述权限属性数据包括权限编码数据、权限名称数据和权限描述数据;
根据所述权限属性数据创建对应的权限数据集合。
在本公开的一种示例性实施例中,所述权限管理装置2000还包括权限数据分配单元,所述权限数据分配单元被配置为:
响应权限分配操作,将所述权限数据集合中的权限数据分配给所述角色数据库中的所述角色数据;其中,所述角色数据包括一个或者多个权限数据。
在本公开的一种示例性实施例中,所述权限配置模块940还包括:
权限计算单元,用于基于权限策略数据,计算所述权限数据对应的布尔值或者数值范围;
权限判断结果确定单元,用于根据所述布尔值或者数值范围对所述权限数据进行权限判断以确定所述权限数据对应的权限判断结果。
在本公开的一种示例性实施例中,所述权限计算单元还被配置为:
确定所述权限请求指令的入口参数;
根据所述入口参数筛选所述权限策略数据中的目标权限策略数据;
基于命中的所述目标权限策略数据,计算所述权限数据对应的布尔值或者数值范围。
在本公开的一种示例性实施例中,所述权限管理装置2000还包括角色数据配置单元,所述角色数据配置单元被配置为:
对所述角色数据配置目标用户标识数据;以及
对所述角色数据配置目标角色数据。
上述权限管理装置中各模块或单元的具体细节已经在对应的权限管理方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (10)
1.一种权限管理方法,其特征在于,包括:
接收对资源数据的权限请求指令,并确定所述权限请求指令中的用户标识数据;
根据所述用户标识数据在预设的角色数据库中匹配与所述用户标识数据对应的角色数据;
通过所述角色数据确定所述用户标识数据对应的权限数据;
对所述权限数据进行权限判断,在权限判断结果为通过时将所述资源数据对应的操作权限开放给所述用户标识数据。
2.根据权利要求1所述的权限管理方法,其特征在于,在根据所述用户标识数据在预设的角色数据库中匹配与所述用户标识数据对应的角色数据之前,所述方法还包括:
获取创建所述角色数据的角色属性数据;其中,所述角色属性数据包括角色编码数据、角色名称数据和角色描述数据;
根据所述角色属性数据在所述角色数据库中创建所述角色属性数据对应的角色数据。
3.根据权利要求2所述的权限管理方法,其特征在于,在根据所述用户标识数据在预设的角色数据库中匹配与所述用户标识数据对应的角色数据之前,所述方法还包括:
获取创建权限数据集合的权限属性数据;其中,所述权限属性数据包括权限编码数据、权限名称数据和权限描述数据;
根据所述权限属性数据创建对应的权限数据集合。
4.根据权利要求1至3任意一项所述的权限管理方法,其特征在于,在根据所述权限属性数据创建对应的权限数据集合之后,所述方法还包括:
响应权限分配操作,将所述权限数据集合中的权限数据分配给所述角色数据库中的所述角色数据;其中,所述角色数据包括一个或者多个权限数据。
5.根据权利要求1所述的权限管理方法,其特征在于,对所述权限数据进行权限判断,包括:
基于权限策略数据,计算所述权限数据对应的布尔值或者数值范围;
根据所述布尔值或者数值范围对所述权限数据进行权限判断以确定所述权限数据对应的权限判断结果。
6.根据权利要求1或5任意一项所述的权限管理方法,其特征在于,基于权限策略数据,计算所述权限数据对应的布尔值或者数值范围,包括:
确定所述权限请求指令的入口参数;
根据所述入口参数筛选所述权限策略数据中的目标权限策略数据;
基于命中的所述目标权限策略数据,计算所述权限数据对应的布尔值或者数值范围。
7.根据权利要求1所述的权限管理方法,其特征在于,所述方法还包括:
对所述角色数据配置目标用户标识数据;以及
对所述角色数据配置目标角色数据。
8.一种权限管理装置,其特征在于,包括:
用户标识数据确定模块,用于接收对资源数据的权限请求指令,并确定所述权限请求指令中的用户标识数据;
角色数据匹配模块,用于根据所述用户标识数据在预设的角色数据库中匹配与所述用户标识数据对应的角色数据;
权限数据确定模块,用于通过所述角色数据确定所述用户标识数据对应的权限数据;
权限配置模块,用于对所述权限数据进行权限判断,在权限判断结果为通过时将所述资源数据对应的操作权限开放给所述用户标识数据。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任一项所述的方法。
10.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1-7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911284413.6A CN111062028B (zh) | 2019-12-13 | 2019-12-13 | 权限管理方法及装置、存储介质、电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911284413.6A CN111062028B (zh) | 2019-12-13 | 2019-12-13 | 权限管理方法及装置、存储介质、电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111062028A true CN111062028A (zh) | 2020-04-24 |
CN111062028B CN111062028B (zh) | 2023-11-24 |
Family
ID=70301531
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911284413.6A Active CN111062028B (zh) | 2019-12-13 | 2019-12-13 | 权限管理方法及装置、存储介质、电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111062028B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111552956A (zh) * | 2020-04-30 | 2020-08-18 | 成都新潮传媒集团有限公司 | 一种用于后台管理的角色权限控制方法及装置 |
CN113392382A (zh) * | 2021-05-21 | 2021-09-14 | 乐刷科技有限公司 | 数据管理方法、电子设备及可读存储介质 |
CN113806724A (zh) * | 2021-09-29 | 2021-12-17 | 杭州迪普科技股份有限公司 | 用户登陆请求的处理方法及装置 |
CN113946295A (zh) * | 2021-10-29 | 2022-01-18 | 中国建设银行股份有限公司 | 权限控制方法及装置 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101414253A (zh) * | 2007-10-17 | 2009-04-22 | 华为技术有限公司 | 一种权限管理方法及系统 |
CN102968599A (zh) * | 2012-10-25 | 2013-03-13 | 北京邮电大学 | 基于资源发布者自定义的访问控制系统及方法 |
WO2015198109A1 (en) * | 2014-06-27 | 2015-12-30 | Ubs Ag | System and method for managing application access rights of project roles to maintain security of client identifying data |
CN107342992A (zh) * | 2017-06-27 | 2017-11-10 | 努比亚技术有限公司 | 一种系统权限管理方法、装置及计算机可读存储介质 |
CN107633184A (zh) * | 2017-10-19 | 2018-01-26 | 上海砾阳软件有限公司 | 一种用于管理用户权限的数据库及方法与设备 |
CN107844698A (zh) * | 2017-09-30 | 2018-03-27 | 平安科技(深圳)有限公司 | 金融app的权限设置方法、装置、设备及存储介质 |
CN107895123A (zh) * | 2017-11-13 | 2018-04-10 | 医渡云(北京)技术有限公司 | 数据访问权限控制方法及装置、用户权限管理方法 |
CN109446833A (zh) * | 2018-09-17 | 2019-03-08 | 深圳点猫科技有限公司 | 一种基于教育系统的权限校验方法及电子设备 |
CN109598117A (zh) * | 2018-10-24 | 2019-04-09 | 平安科技(深圳)有限公司 | 权限管理方法、装置、电子设备及存储介质 |
CN109889517A (zh) * | 2019-02-14 | 2019-06-14 | 广州小鹏汽车科技有限公司 | 数据处理方法、权限数据集创建方法、装置及电子设备 |
US20190220329A1 (en) * | 2016-08-24 | 2019-07-18 | Intelligent Business Software (Beijing) Co.,Ltd | Multi-application-oriented user data management method and system |
CN110222524A (zh) * | 2019-05-07 | 2019-09-10 | 深圳壹账通智能科技有限公司 | 统一资源定位符请求的权限校验方法、装置及终端设备 |
CN110443010A (zh) * | 2019-07-22 | 2019-11-12 | 安徽智恒信科技股份有限公司 | 一种在信息系统中权限可视化配置控制方法、装置、终端及存储介质 |
CN110516176A (zh) * | 2019-08-30 | 2019-11-29 | 北京东软望海科技有限公司 | 用户请求的处理方法、装置、电子设备及可读存储介质 |
-
2019
- 2019-12-13 CN CN201911284413.6A patent/CN111062028B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101414253A (zh) * | 2007-10-17 | 2009-04-22 | 华为技术有限公司 | 一种权限管理方法及系统 |
CN102968599A (zh) * | 2012-10-25 | 2013-03-13 | 北京邮电大学 | 基于资源发布者自定义的访问控制系统及方法 |
WO2015198109A1 (en) * | 2014-06-27 | 2015-12-30 | Ubs Ag | System and method for managing application access rights of project roles to maintain security of client identifying data |
US20190220329A1 (en) * | 2016-08-24 | 2019-07-18 | Intelligent Business Software (Beijing) Co.,Ltd | Multi-application-oriented user data management method and system |
CN107342992A (zh) * | 2017-06-27 | 2017-11-10 | 努比亚技术有限公司 | 一种系统权限管理方法、装置及计算机可读存储介质 |
CN107844698A (zh) * | 2017-09-30 | 2018-03-27 | 平安科技(深圳)有限公司 | 金融app的权限设置方法、装置、设备及存储介质 |
CN107633184A (zh) * | 2017-10-19 | 2018-01-26 | 上海砾阳软件有限公司 | 一种用于管理用户权限的数据库及方法与设备 |
CN107895123A (zh) * | 2017-11-13 | 2018-04-10 | 医渡云(北京)技术有限公司 | 数据访问权限控制方法及装置、用户权限管理方法 |
CN109446833A (zh) * | 2018-09-17 | 2019-03-08 | 深圳点猫科技有限公司 | 一种基于教育系统的权限校验方法及电子设备 |
CN109598117A (zh) * | 2018-10-24 | 2019-04-09 | 平安科技(深圳)有限公司 | 权限管理方法、装置、电子设备及存储介质 |
CN109889517A (zh) * | 2019-02-14 | 2019-06-14 | 广州小鹏汽车科技有限公司 | 数据处理方法、权限数据集创建方法、装置及电子设备 |
CN110222524A (zh) * | 2019-05-07 | 2019-09-10 | 深圳壹账通智能科技有限公司 | 统一资源定位符请求的权限校验方法、装置及终端设备 |
CN110443010A (zh) * | 2019-07-22 | 2019-11-12 | 安徽智恒信科技股份有限公司 | 一种在信息系统中权限可视化配置控制方法、装置、终端及存储介质 |
CN110516176A (zh) * | 2019-08-30 | 2019-11-29 | 北京东软望海科技有限公司 | 用户请求的处理方法、装置、电子设备及可读存储介质 |
Non-Patent Citations (2)
Title |
---|
张建军 等: "土地划区分级督察理论与方法探索", 西北工业大学出版社, pages: 158 - 161 * |
赵卫东;毕晓清;卢新明;: "基于角色的细粒度访问控制模型的设计与实现", 计算机工程与设计, no. 02, pages 158 - 161 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111552956A (zh) * | 2020-04-30 | 2020-08-18 | 成都新潮传媒集团有限公司 | 一种用于后台管理的角色权限控制方法及装置 |
CN113392382A (zh) * | 2021-05-21 | 2021-09-14 | 乐刷科技有限公司 | 数据管理方法、电子设备及可读存储介质 |
CN113392382B (zh) * | 2021-05-21 | 2023-10-20 | 乐刷科技有限公司 | 数据管理方法、电子设备及可读存储介质 |
CN113806724A (zh) * | 2021-09-29 | 2021-12-17 | 杭州迪普科技股份有限公司 | 用户登陆请求的处理方法及装置 |
CN113806724B (zh) * | 2021-09-29 | 2024-02-09 | 杭州迪普科技股份有限公司 | 用户登陆请求的处理方法及装置 |
CN113946295A (zh) * | 2021-10-29 | 2022-01-18 | 中国建设银行股份有限公司 | 权限控制方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111062028B (zh) | 2023-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9800454B2 (en) | Functionality management via application modification | |
US20170208098A1 (en) | Managing access to resources | |
US10263994B2 (en) | Authorized delegation of permissions | |
CN111062028B (zh) | 权限管理方法及装置、存储介质、电子设备 | |
US11716325B2 (en) | Limiting scopes in token-based authorization systems | |
US8990896B2 (en) | Extensible mechanism for securing objects using claims | |
CN113297550A (zh) | 权限控制的方法、装置、设备、存储介质及程序产品 | |
US20170214673A1 (en) | Secure assertion attribute for a federated log in | |
US10891357B2 (en) | Managing the display of hidden proprietary software code to authorized licensed users | |
CN109766708B (zh) | 数据资源的访问方法、系统、计算机系统及存储介质 | |
CN111680310A (zh) | 一种权限控制的方法及装置、电子设备、存储介质 | |
US20230222137A1 (en) | Data management platform | |
CN114417278A (zh) | 一种接口统一管理系统和平台接口管理系统 | |
US20210248090A1 (en) | Protecting cache accesses in multi-tenant processing environments | |
CN112187725A (zh) | 云计算资源的访问方法、装置、业务线服务和网关 | |
US11411813B2 (en) | Single user device staging | |
CA2854540C (en) | Managing cross perimeter access | |
US12032662B2 (en) | Programmable model-driven license management and enforcement in a multi-tenant system | |
CN115422526B (zh) | 角色权限管理方法、设备及存储介质 | |
US20230195858A1 (en) | Programmable model-driven license management and enforcement in a multi-tenant system | |
KR101913012B1 (ko) | 웹 ui 기반 안전한 ons 관리 시스템 및 그 방법 | |
CN117193940A (zh) | 一种数据访问方法、装置、电子设备及计算机可读介质 | |
CN116340965A (zh) | 资源访问方法、装置、设备和存储介质 | |
US20130046720A1 (en) | Domain based user mapping of objects | |
CN115766100A (zh) | 系统资源权限管理方法、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40021757 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |