CN111310151A - 基于分布式权限集的权限管理的方法、设备及存储介质 - Google Patents

Abstract

本发明公开了一种基于分布式权限集的权限管理的方法，以用户、角色、对象和动作作为用户权限的管理元素，分别存储于分布式网络上的不同节点上，所述节点相应为用户节点、角色节点、对象节点及动作节点，预先定义角色－权限之间的关系，将预先定义的角色赋予用户；在用户需要进行权限鉴定时，从用户节点中获取该用户的用户信息，并从所述用户信息获取其余节点的节点地址，其中，所述节点地址包括角色节点、动作节点和对象节点，并获取该用户所对应的角色、动作和对象，所述动作只对应于角色，所述对象只对应于动作。本申请将用户的权限进行分离，解决现有技术中存在的集中权限管理的混乱，甚至失控，再而导致信息系统使用效率低下的情况。

Description

基于分布式权限集的权限管理的方法、设备及存储介质

技术领域

本发明涉及权限管理领域，尤其涉及一种基于分布式权限集的权限管理的方法、设备及存储介质。

背景技术

随着人类社会经济发展与科学技术的不断进步，互联网+信息化技术得到了前所未有的发展，在生活中和工作中，各种信息系统的投入使用提供了便捷和高效等多种好处。信息系统高效的运作离不开对信息系统使用权限的良好和合理的管理，一个信息系统中实际上存在各色各样的使用角色，每个角色均可能存在不同的使用需求，出于高效、安全等因素，需要设计不同的使用权限，而实际上现有的每个信息系统均会具备自身的权限管理功能，能有效地管理每个角色的权限。但在实际生活或工作过程中，由于事务和需求的复杂性，难以找到单个信息系统去满足所有的情况，或只能花费巨额去定制特定的信息系统，因此现实往往是存在众多的信息系统共同参与、共同协作，每个信息系统各司其职。

例如，一个公司可能涉及公司企业管理，用到的信息系统包括门禁系统、仓库系统、考勤系统等；涉及软件开发管理，用到的信息系统包括Jira系统、SVN系统、QC系统等。各个信息系统相互独立，且对于一个事务的完成缺一不可，如何高效可控的管理各个信息系统的权限是首要遇到的问题。目前的做法通常是使用每个信息系统各自独立的权限管理功能去进行权限管理，例如权限a的变更只能在系统A内部的权限管理功能去操作，权限b的变更只能在系统B内部的权限管理功能去操作，则某个人员需要申请权限a和b时，权限管理人员只能依次去系统A和B进行操作。随着使用信息系统数量的增多，多个系统之间的权限管理将会越来越复杂。

目前的情况暴露了以下亟待解决的问题：1)高效性，权限开通、变更、删除等操作均为人工单点式操作，多信息系统多权限操作时，需要使用不同的信息系统各自的权限管理功能，操作繁琐，人工效率低下；2)统一性，企业中多个信息系统的权限通常由多个部门各自管理，管理零散，且员工进行多权限变更操作时需要向多方申请；3)合理性，由于是多个信息系统共同协作，某项事务的完成需要多个信息系统的多个权限，但各个权限关系不清晰，通常会出现在实际工作中由于权限不足而无法往下操作，需要中断或暂停去重新申请权限；4)安全性，无法简易获取一个员工在企业的所有权限情况，且由于权限管理的复杂，导致在管理中可能出现安全漏洞，部分人员可能赋予了不该的敏感权限，从而造成安全隐患。上述问题直接导致了对各信息系统权限管理的混乱，甚至失控，再而导致信息系统使用效率低下，存在风险等情况。

发明内容

本发明旨在至少解决现有技术中存在的技术问题之一。为此，本发明公开了一种基于分布式权限集的权限管理的方法，其方法包括：

步骤1，以用户、角色、对象和动作作为用户权限的管理元素，分别存储于分布式网络上的不同节点上，所述节点相应为用户节点、角色节点、对象节点及动作节点，预先定义角色－权限之间的关系，将预先定义的角色赋予用户；

步骤2，设置用户节点，用户节点冗余存储用户的信息，其中，所述用户信息包括，用户ID和对应的节点数据，在进行权限校验时根据所述的节点数据中的节点地址获取用户具有的权限；

步骤3，设置角色节点，对角色进行划分并设置不同层级的角色关系，将角色集划分为相容角色集和相斥角色集，并将角色的身份赋予用户；

步骤4，对于动作节点，设置动作集合具有可继承关系运算、互斥运算单元，根据所述预先定义角色－权限之间的关系，对所述动作进行可继承化处理后，对应于具有层级关系的角色，子角色的可执行动作的继承权限来自父角色的权限，是父角色权限的一个子集；

步骤5，对于对象节点，关联所述角色节点和动作节点，用户在执行特定需要鉴权操作时，根据操作对象查询相应的角色节点和动作节点，对用户权限进行鉴别。

更进一步地，用户通过面部识别、指纹信息或者射频识别卡进行身份确认。

更进一步地，在用户需要进行权限鉴定时，从用户节点中获取该用户的用户信息，并从所述用户信息获取其余节点的节点地址，其中，所述节点地址包括角色节点、动作节点和对象节点，并获取该用户所对应的角色、动作和对象，所述动作只对应于角色，所述对象只对应于动作。

更进一步地，所述步骤2进一步包括：在对用户信息进行存储时，将用户的ID、面部信息及指纹信息冗余存储用户节点上，用户在鉴权时，获取用户信息时同时接受多个节点上的用户信息并进行身份确认校验。

5.如权利要求4所述的一种基于分布式权限集的权限管理的方法，其特征在于，所述步骤3进一步包括：将角色集分为相容角色集和相斥角色集，不同层级的角色设置为相容集，其中，上级角色作为下级角色的父角色；若角色处于相斥角色集时，对应的动作和对象为互不相容。

更进一步地，设置中心处理节点，所述中心处理节点不记录用户及权限的数据及关系，其中，所述中心处理节点与其余节点连接，并具有读写权限，当需要对用户权限进行调整时，允许管理员通过中心处理节点对用户的角色进行重新设定。

本发明进一步公开了一种电子设备，包括：处理器；以及，存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述的权限管理的方法。

本发明进一步公开了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的权限管理的方法。

本发明与现有技术相比，有益效果为：通过将权限进行拆分存储，就算具有恶意的人获得的管理员账户也无法简易获取一个员工在企业的所有权限情况，克服权限管理的复杂，导致在管理中可能出现安全漏洞。

附图说明

从以下结合附图的描述可以进一步理解本发明。图中的部件不一定按比例绘制，而是将重点放在示出实施例的原理上。在图中，在不同的视图中，相同的附图标记指定对应的部分。

图1是本发明的一种基于分布式权限集的权限管理的方法的流程图。

具体实施方式

实施例一

如图1所示的一种基于分布式权限集的权限管理的方法，其方法包括：

步骤1，以用户、角色、对象和动作作为用户权限的管理元素，分别存储于分布式网络上的不同节点上，所述节点相应为用户节点、角色节点、对象节点及动作节点，预先定义角色－权限之间的关系，将预先定义的角色赋予用户；

步骤2，设置用户节点，用户节点冗余存储用户的信息，其中，所述用户信息包括，用户ID和对应的节点数据，在进行权限校验时根据所述的节点数据中的节点地址获取用户具有的权限；

步骤3，设置角色节点，对角色进行划分并设置不同层级的角色关系，将角色集划分为相容角色集和相斥角色集，并将角色的身份赋予用户；

步骤4，对于动作节点，设置动作集合具有可继承关系运算、互斥运算单元，根据所述预先定义角色－权限之间的关系，对所述动作进行可继承化处理后，对应于具有层级关系的角色，子角色的可执行动作的继承权限来自父角色的权限，是父角色权限的一个子集；

步骤5，对于对象节点，关联所述角色节点和动作节点，用户在执行特定需要鉴权操作时，根据操作对象查询相应的角色节点和动作节点，对用户权限进行鉴别。

更进一步地，用户通过面部识别、指纹信息或者射频识别卡进行身份确认。

更进一步地，在用户需要进行权限鉴定时，从用户节点中获取该用户的用户信息，并从所述用户信息获取其余节点的节点地址，其中，所述节点地址包括角色节点、动作节点和对象节点，并获取该用户所对应的角色、动作和对象，所述动作只对应于角色，所述对象只对应于动作。

更进一步地，所述步骤2进一步包括：在对用户信息进行存储时，将用户的ID、面部信息及指纹信息冗余存储用户节点上，用户在鉴权时，获取用户信息时同时接受多个节点上的用户信息并进行身份确认校验。

5.如权利要求4所述的一种基于分布式权限集的权限管理的方法，其特征在于，所述步骤3进一步包括：将角色集分为相容角色集和相斥角色集，不同层级的角色设置为相容集，其中，上级角色作为下级角色的父角色；若角色处于相斥角色集时，对应的动作和对象为互不相容。

更进一步地，设置中心处理节点，所述中心处理节点不记录用户及权限的数据及关系，其中，所述中心处理节点与其余节点连接，并具有读写权限，当需要对用户权限进行调整时，允许管理员通过中心处理节点对用户的角色进行重新设定。

本发明进一步公开了一种电子设备，包括：处理器；以及，存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述的权限管理的方法。

本发明进一步公开了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的权限管理的方法。

实施例二

本实施例进一步提供了，各个信息系统相互独立，且对于一个事务的完成缺一不可，如何高效可控的管理各个信息系统的权限是首要遇到的问题。目前的做法通常是使用每个信息系统各自独立的权限管理功能去进行权限管理，例如权限a的变更只能在系统A内部的权限管理功能去操作，权限b的变更只能在系统B内部的权限管理功能去操作，则某个人员需要申请权限a和b时，权限管理人员只能依次去系统A和B进行操作。随着使用信息系统数量的增多，多个系统之间的权限管理将会越来越复杂。

基于此，本提案提供一种权限分配系统，该系统包括权限管理模块，人员信息模块，审批模块，执行模块，通知模块，审计模块，自定义权限库，执行方法库，第三方信息系统库；权限管理模块，通过人机接口获取请求，并将请求发送至审批模块；审批模块，获取对应的人员数据进行审批，若审批通过，则调用执行模块执行请求，若审批不通过，则将审批结果作为通知数据发送至通知模块；执行模块，从自定义权限库和执行方法库中获取请求对应的执行方法，根据对应的执行方法在第三方信息系统库中执行请求，将执行结果发送至通知模块；审计模块，对权限分配系统进行监察，本权限分配系统实现了多系统的权限统一管理。

本实施例提供的权限分配系统包括：权限管理模块，人员信息模块，审批模块，执行模块，通知模块，审计模块，自定义权限库，执行方法库，第三方信息系统库。

1、权限管理模块

权限管理模块分别与人员信息模块、审计模块、通知模块、审批模块、执行模块连接。

权限管理模块，用于提供人机接口，通过人机接口获取请求，并将请求发送至审批模块。

请求中包括但不限于：待申请权限和申请人标识。

人机接口为界面，权限管理模块通过界面获取权限信息，形成请求。

权限管理模块是触发权限变更的入口，给申请人员提供界面化操作，申请人员根据自身需求填写需要申请的权限内容后将权限申请的所有信息收集，并把信息提交至审核模块。

2、人员信息模块

人员信息模块分别与权限管理模块、人员信息模块、自定义权限库连接。

人员信息模块，用于管理人员信息。

人员信息模块主要功能包括人员信息录入、变更，人员权限查看、导出。

1)岗位、角色管理及初始化权限设置：

从企业管理或项目管理的角度，定义不同的岗位和角色，并分配对应的初始权限。当已有岗位或角色初始权限发生变更时，人员信息自动调用执行模块进行该岗位或角色的人员权限变更。

2)人事变动管理：

人事变动一般包括新入职、离职和岗位、角色变动等，当人员变动时，人员管理系统自动调用权限变更执行系统进行变动人员的权限变更。

3)人员权限查询和导出：

通过查询统一获取每个人员在各个信息系统中的具体使用权限情况，并进行导出。

3、审批模块

审批模块与权限管理模块连接。

审批模块，用于根据请求，获取对应的人员数据进行审批，若审批通过，则通过权限管理模块调用执行模块执行请求，若审批不通过，则将审批结果作为通知数据通过权限管理模块发送至通知模块。

具体的，

人员数据包括但不限于：岗位信息，角色信息，入职时间，违规使用权限记录，风险登记信息。

审批模块，用于当与申请人标识对应的岗位信息和角色信息与待申请权限相匹配，入职时间满足第一预设条件，违规使用权限记录满足第二预设条件时，确定审批通过。

审批模块，用于当与申请人标识对应的岗位信息和角色信息与待申请权限不匹配，但入职时间满足第一预设条件，违规使用权限记录满足第二预设条件时，确定审批不通过。

审批模块，用于当入职时间不满足第一预设条件，或者，违规使用权限记录不满足第二预设条件，或者，风险登记信息不满足第三预设条件时，确定审批不通过。

审批模块，还用于在审批不通过之后，若接收到针对审批不通过的反馈信息，且反馈信息符合第四预设条件时，通过权限管理模块调用执行模块执行请求。在审批不通过之后，若接收到针对审批不通过的反馈信息，且反馈信息不符合第四预设条件时，结束审批流程，并将结束审批流程作为通知数据通过权限管理模块发送至通知模块。

审批模块在接收到权限管理模块的权限申请后，查询数据库中申请人员的岗位和角色信息、人员入职时间、人员是否有违规使用权限记录、申请权限的风险等级等信息进行审批比对，对比结果为：符合审批、超出权限范围和风险操作。

4、执行模块

执行模块分别与权限管理模块、人员信息模块、自定义权限库连接。

执行模块，用于从自定义权限库和执行方法库中获取请求对应的执行方法，根据对应的执行方法在第三方信息系统库中执行请求，将执行结果作为通知数据通过权限管理模块发送至通知模块。

执行模块在接收到权限变更请求后(包括权限变更申请和数据初始化)，会查询权限库和执行方法库，获取权限的具体执行方法，最后在第三方信息系统库中对具体的信息系统自动执行权限操作。

5、通知模块

通知模块与权限管理模块连接。

通知模块，用于输出通知数据。

通知模块是系统的主要对外信息出口，负责把权限申请审批通知和权限操作结果信息发送至相关人员。

6、审计模块

审计模块与权限管理模块连接。

审计模块，用于对权限分配系统进行监察。

审计模块负责对整个系统进行监察，对系统中的所有操作进行记录日志，并将信息更新至数据库，管理人员可以在审计模块中查看所有的系统操作，并进行导出。

7、自定义权限库

自定义权限库分别与执行模块、执行方法库连接。

自定义权限库，用于存储权限，权限是对第三方信息系统库中的第三方信息系统的权限进行重新定义得到的。

自定义权限库允许管理员根据实际事务或需求，对原第三方信息系统中的权限进行重新组合定义，从而生产新的权限。

8、执行方法库

执行方法库分别与自定义权限库、第三方信息系统库连接。

执行方法库，用于记录第三方信息系统的执行方法，第三方信息系统存储与第三方信息系统库中。

第三方信息系统的执行方法包括但不限于：调用API接口，操作数据库，编写执行脚本。

方法执行库记录第三方信息系统中的原权限的执行方法，一般包括API调用、数据库操作或脚本操作等，与权限库关联后则可确定新权限的执行操作方法。

9、第三方信息系统库

第三方信息系统库与执行方法库连接。

第三方信息系统库，用于存储第三方信息系统。

第三方信息系统库为具体的各个独立的第三方信息系统。

本实施例提供的权限分配系统还包括数据库。

10、数据库

数据库分别与权限管理模块、执行模块、人员信息模块、审批模块、通知模块、审计模块连接。

数据库用于存储权限管理模块的管理数据、执行模块的执行数据、人员信息模块的人员数据、审批模块的审批数据、通知模块的通知数据、审计模块的审计数据。

权限管理模块通过数据库与人员信息模块连接。

权限管理模块还通过数据库与审计模块连接。

权限管理模块，用于形成管理数据，将管理数据存储至数据库中。

审批模块，用于形成审批数据，将审批数据存储至数据库中。

执行模块，用于形成执行数据，存储至数据库中。

通知模块，用于将通知数据存储至数据库中。

人员信息模块，用于形成人员数据，存储至数据库中。

审计模块，用于形成审计数据，存储至数据库中。

审批模块，用于根据请求，从数据库中获取对应的人员数据进行审批。

通过上述权限分配系统，可以执行一种权限分配方法，该方法包括：

权限管理模块获取用户填写的信息，形成请求。

权限管理模块将请求发送至审批模块。

审批模块根据请求，获取对应的人员数据进行审批。

审批模块根据审批结果生成通知数据通过权限管理模块发送至通知模块，或者，根据审批结果通过权限管理模块调用执行模块执行请求。

通知模块发送输出通知数据后，向审批模块反馈发送结果。

执行模块从自定义权限库和执行方法库中获取请求对应的执行方法，根据对应的执行方法在第三方信息系统库中执行请求，将执行结果作为通知数据通过权限管理模块发送至通知模块。

通知模块输出通知数据。

本实施例提供的权限分配系统，可以克服现有多个信息系统权限管理的上述缺陷，该系统主要包括权限管理模块、人员信息模块、审批模块、执行模块、通知模块、审计模块、自定义权限库、执行方法库、第三方信息系统库等模块。

系统先将各个独立的信息系统中的所有权限进行理清，获取这些权限的具体执行操作，形成执行方法库，具体的执行方法可根据实际结合的第三方信息系统，一般可分为调用API接口、操作数据库、编写执行脚本等方法；根据实际的事务或需求，对散落于各信息系统的权限进行重新组合定义为新权限，并将新权限的敏感性进行分级，形成自定义权限库；当执行权限变更操作时，系统结合自定义权限库和执行方法库进行自动操作。

如在自定义权限库重新组合定义一个权限为α，该权限实际上结合了系统A的权限a和系统B的权限b，则可将权限a的执行方法x和权限b的执行方法y添加到执行方法库中，最后将权限α和执行方法x、y在自定义权限库和执行方法库中进行关联。

在人员信息模块中，将各信息系统的使用人员，按照岗位和角色进行分类，岗位例如开发部门的项目经理、开发人员，角色例如M项目的m角色，每个岗位和角色对应初始化相关的权限，如m角色初始化对应的权限为α和β(α和β均为权限库中重新组合定义的权限)。当在人员信息模块中录入人员信息时，可设置该人员的岗位和角色以确定其初始化权限，结合自定义权限库和执行方法库，系统将调用执行模块自动执行权限的操作。

以上解决了多信息系统权限管理的统一化和权限数据的初始化，但仍需要考虑人员权限数据变更的问题，主要有以下两个情况：

1)人员主动提出权限变更申请：根据本发明，系统提供一个权限管理模块，人员可根据实际的工作需求，对需要的权限进行批量或单独申请，申请可选的权限为在权限库中重新组合定义的权限，申请后提交至审批系统进行审批；权限的变更包括新增权限、删除旧权限和对旧权限进行变更。

2)人事变动导致权限被动变更：人事变动一般分为入职、离职和岗位、角色变动，与系统数据初始化的情况类似，通过新增人员，删除人员和变更人员的岗位、角色信息，重新初始化人员的权限。

当人员可以主动进行权限变更申请时，随之而来的问题则是如何对权限变更申请进行审核，确保权限申请人员的权限情况合理和安全，本发明系统将提出智能自动审批机制：审批模块在接收到权限管理模块的权限申请后，查询数据库中申请人员的岗位和角色信息、人员入职时间、人员是否有违规使用权限记录、申请权限的风险等级等信息进行审批比对，根据比对结果，后续操作分为以下三个审批流程：

1)符合审批：申请人员的所在岗位和对应角色，与申请的权限相符，人员入职时间满足条件，人员无违规使用权限记录。此情况下审批通过，审批模块调用执行模块，自动进行执行权限变更操作。

2)超出权限范围：申请人员的所在岗位和对应角色，与申请的权限不相符，人员入职时间满足条件，人员无违规使用权限记录。此情况下，审批模块会调用通知模块，将权限申请的内容通知至该人员的直系主管；如申请的权限涉及其他部门岗位，则通知至该部门岗位的负责人。发出通知后，审批模块将进入等待状态，相关负责人回复通知，且在固定模版位置回复“同意开通”时，审批模块调用执行模块，自动进行执行权限变更操作；回复“不同意开通”时，权限申请将被打回，此时调用通知模块，将打回信息发送至提出申请人员。

3)风险操作：申请人员入职时间较短，或有违规使用权限记录，或所申请的权限风险等级较高。此情况下，审批模块会调用通知模块，将权限申请内容和风险点通知至相关负责人，后续处理流程与流程2)中的一致。

上述的所有操作，审计模块将会进行监察，自动生成日志并更新至数据库中，管理人员可以查看每次操作的记录；针对具体人员在多信息系统的所有权限情况，只需使用人员信息模块，调用查询数据库即可列出该人员目前的权限情况。

通过本实施例提供的系统以及方法，可以实现多信息系统权限的统一管理，权限变更申请，权限自动审批，权限变更自动执行和权限信息的查询。

具有如下优点：

1、信息系统的权限管理统一化

2、信息系统的权限申请规范化

3、信息系统的权限审批流程高效化

4、信息系统的权限变更执行自动化

5、人员在信息系统中的权限情况条理化

6、信息系统权限根据岗位、角色划分的合理化

7、信息系统权限所有操作产生日志记录可回溯

8、信息系统权限管理节省成本

9、信息系统权限库库、执行方法库、第三方系统库可配置化、可扩展化

一个本实施例提供的权限分配系统所执行的权限分配方法流程示例如下：

用户通过权限管理模块提供的页面填写权限变更信息，例如：变更人员标识，变更后的权限等。

权限管理模块获取到用户填写的权限变更信息后，将权限变更信息形成请求，并将该请求发送至审批模块。

审批模块从人员信息模块中获取该人员标识对应的岗位信息，角色信息，入职时间，违规使用权限记录，风险登记信息等。

审批模块将请求中的权限帮更信息与该人员标识对应的岗位信息，角色信息进行比对。

用于当与申请人标识对应的岗位信息和角色信息与待申请权限相匹配，入职时间满足第一预设条件(如大于3年)，违规使用权限记录满足第二预设条件(如没有违规使用权限记录)时，审批模块确定审批通过。此时审批模块通过权限管理模块调用执行模块执行请求。

当与申请人标识对应的岗位信息和角色信息与待申请权限不匹配，但入职时间满足第一预设条件(如大于3年)，违规使用权限记录满足第二预设条件(如没有违规使用权限记录)时，审批模块确定审批不通过，审批模块将审批结果作为通知数据通过权限管理模块发送至通知模块。

审批模块，用于当入职时间不满足第一预设条件(如大于3年)，或者，违规使用权限记录不满足第二预设条件(如没有违规使用权限记录)，或者，风险登记信息不满足第三预设条件(如风险较高)时，审批模块确定审批不通过，审批模块将审批结果作为通知数据通过权限管理模块发送至通知模块。

执行模块从自定义权限库和执行方法库中获取请求对应的执行方法，根据对应的执行方法在第三方信息系统库中执行请求，将执行结果作为通知数据通过权限管理模块发送至通知模块。

通知模块会输出通知数据，此处的通知数据可以为执行模块的执行结果，也可以为审批模块的不通过审批的审批结果。

若通知数据为审批模块的不通过审批的审批结果，本实施例的权限分配系统还会接收用户基于该结果的反馈，若反馈符合第四预设条件(如同意开通)，通过权限管理模块调用执行模块执行请求。若反馈不符合第四预设条件(如不同意开通)，结束审批流程，并将结束审批流程作为通知数据通过权限管理模块发送至通知模块，以通知用户审批终止及终止原因。

本发明提供的系统，该系统包括权限管理模块，人员信息模块，审批模块，执行模块，通知模块，审计模块，自定义权限库，执行方法库，第三方信息系统库；权限管理模块，通过人机接口获取请求，并将请求发送至审批模块；审批模块，获取对应的人员数据进行审批，若审批通过，则调用执行模块执行请求，若审批不通过，则将审批结果作为通知数据发送至通知模块；执行模块，从自定义权限库和执行方法库中获取请求对应的执行方法，根据对应的执行方法在第三方信息系统库中执行请求，将执行结果发送至通知模块；审计模块，对权限分配系统进行监察，本权限分配系统实现了多系统的权限统一管理。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

虽然上面已经参考各种实施例描述了本发明，但是应当理解，在不脱离本发明的范围的情况下，可以进行许多改变和修改。因此，其旨在上述详细描述被认为是例示性的而非限制性的，并且应当理解，以下权利要求(包括所有等同物)旨在限定本发明的精神和范围。以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后，技术人员可以对本发明作各种改动或修改，这些等效变化和修饰同样落入本发明权利要求所限定的范围。

Claims (8)

1.一种基于分布式权限集的权限管理的方法，其特征在于，其方法包括：

步骤1，以用户、角色、对象和动作作为用户权限的管理元素，分别存储于分布式网络上的不同节点上，所述节点相应为用户节点、角色节点、对象节点及动作节点，预先定义角色－权限之间的关系，将预先定义的角色赋予用户；

步骤2，设置用户节点，用户节点冗余存储用户的信息，其中，所述用户信息包括，用户ID和对应的节点数据，在进行权限校验时根据所述的节点数据中的节点地址获取用户具有的权限；

步骤3，设置角色节点，对角色进行划分并设置不同层级的角色关系，将角色集划分为相容角色集和相斥角色集，并将角色的身份赋予用户；

步骤4，对于动作节点，设置动作集合具有可继承关系运算、互斥运算单元，根据所述预先定义角色－权限之间的关系，对所述动作进行可继承化处理后，对应于具有层级关系的角色，子角色的可执行动作的继承权限来自父角色的权限，是父角色权限的一个子集；

步骤5，对于对象节点，关联所述角色节点和动作节点，用户在执行特定需要鉴权操作时，根据操作对象查询相应的角色节点和动作节点，对用户权限进行鉴别。

2.如权利要求1所述的一种基于分布式权限集的权限管理的方法，其特征在于，用户通过面部识别、指纹信息或者射频识别卡进行身份确认。

3.如权利要求2所述的一种基于分布式权限集的权限管理的方法，其特征在于，在用户需要进行权限鉴定时，从用户节点中获取该用户的用户信息，并从所述用户信息获取其余节点的节点地址，其中，所述节点地址包括角色节点、动作节点和对象节点，并获取该用户所对应的角色、动作和对象，所述动作只对应于角色，所述对象只对应于动作。

4.如权利要求3所述的一种基于分布式权限集的权限管理的方法，其特征在于，所述步骤2进一步包括：在对用户信息进行存储时，将用户的ID、面部信息及指纹信息冗余存储用户节点上，用户在鉴权时，获取用户信息时同时接受多个节点上的用户信息并进行身份确认校验。

5.如权利要求4所述的一种基于分布式权限集的权限管理的方法，其特征在于，所述步骤3进一步包括：将角色集分为相容角色集和相斥角色集，不同层级的角色设置为相容集，其中，上级角色作为下级角色的父角色；若角色处于相斥角色集时，对应的动作和对象为互不相容。

6.如权利要求5所述的一种基于分布式权限集的权限管理的方法，其特征在于，设置中心处理节点，所述中心处理节点不记录用户及权限的数据及关系，其中，所述中心处理节点与其余节点连接，并具有读写权限，当需要对用户权限进行调整时，允许管理员通过中心处理节点对用户的角色进行重新设定。

7.一种电子设备，其特征在于，包括：

处理器；以及，

存储器，用于存储所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行权利要求1-6任一项所述的权限管理的方法。

8.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1-6任一项所述的权限管理的方法。

Images