CN111460496A - 基于用户角色的权限配置方法、电子装置及存储介质 - Google Patents
基于用户角色的权限配置方法、电子装置及存储介质 Download PDFInfo
- Publication number
- CN111460496A CN111460496A CN202010235361.XA CN202010235361A CN111460496A CN 111460496 A CN111460496 A CN 111460496A CN 202010235361 A CN202010235361 A CN 202010235361A CN 111460496 A CN111460496 A CN 111460496A
- Authority
- CN
- China
- Prior art keywords
- role
- user
- target
- authority
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Abstract
本发明涉及数据分析技术,提供了一种基于用户角色的权限配置方法、电子装置及存储介质。该方法接收第一用户发出的配置权限的请求,获取该第一用户的属性信息,从数据库获取预先建立的用户属性信息与角色信息的第一映射关系表,确定该第一用户的待配置的目标角色级别,获取具有配置角色权限的第二用户的角色信息,将具有配置角色权限的第二用户的角色级别与目标角色级别进行对比,当第二用户的角色级别高于目标角色级别时,为该第一用户配置目标角色,从数据库获取预先建立的资源与角色的第二映射关系表,根据第二映射关系表为该目标角色配置相应的目标资源的权限。本发明可以实现用户权限动态管理,提高了系统的安全性和用户权限分级地灵活性。
Description
技术领域
本发明涉及数据分析领域,尤其涉及一种基于用户角色的权限配置方法、电子装置及存储介质。
背景技术
随着信息化技术和互联网的高速发展,对信息化系统的安全要求也不断提高,在许多应用系统中明确提出要实现权限的控制。
权限分为功能权限和数据权限,功能权限主要是指角色对某个业务所具有的读、写、改、删除等的许可,数据权限主要是指角色可以访问到的业务数据范围。现有技术中基于RBAC模型的权限管理多侧重于功能权限的控制,对数据权限的控制不灵活。
发明内容
鉴于以上内容,本发明提供一种基于用户角色的权限配置方法、电子装置及存储介质,其目的在于解决现有技术中对用户权限配置不灵活的问题。
为实现上述目的,本发明提供一种基于用户角色的权限配置方法,该方法包括:
接收步骤:接收第一用户的发出的配置权限的请求,获取所述第一用户的属性信息;
确定步骤:从数据库获取预先建立的用户属性信息与角色信息的第一映射关系表,根据所述第一映射关系表及所述第一用户的属性信息,确定该第一用户的待配置的目标角色级别,其中,每个角色对应不同的权限级别;
获取步骤:获取具有配置角色权限的第二用户的用户信息,根据所述第二用户的用户信息确定该第二用户的角色信息,所述角色信息包括该角色的角色级别;及
配置步骤:将具有配置角色权限的第二用户的角色级别与所述目标角色级别进行对比,当所述第二用户的角色级别高于所述目标角色级别时,为所述第一用户配置所述目标角色,从所述数据库获取预先建立的资源与角色的第二映射关系表,基于所述第二映射关系表,为该目标角色配置相应的目标资源的权限。
优选的,所述配置步骤还包括:
当所述具有配置角色权限用户的角色的级别低于所述目标角色级别时,发出权限配置失败的提示信息。
优选的,所述为该目标角色配置相应的目标资源的权限包括:
将所述目标资源对应的前端控件与所述目标角色绑定,将所述目标资源对应的后端接口与所述目标角色绑定,其中,所述前端控件和后端接口相互对应。
优选的,所述目标资源的权限包括以下一种或者多种的组合:对资源的查看、复制、新增、修改及删除的权限。
优选的,所述方法还包括:
将所述目标资源按预设规则划分为多个资源,建立所述第一用户、所述目标角色与多个所述目标资源的对应关系表,并将所述对应关系表存储至所述数据库,当接收到删除所述第一用户某个目标资源的权限的请求时,从所述数据库中查找出该目标资源的权限与该第一用户的对应关系并删除。
为实现上述目的,本发明还提供一种电子装置,该电子装置包括:存储器及处理器,所述存储器上存储基于用户角色的权限配置程序,所述基于用户角色的权限配置程序被所述处理器执行,实现如下步骤:
接收步骤:接收第一用户的发出的配置权限的请求,获取所述第一用户的属性信息;
确定步骤:从数据库获取预先建立的用户属性信息与角色信息的第一映射关系表,根据所述第一映射关系表及所述第一用户的属性信息,确定该第一用户的待配置的目标角色级别,其中,每个角色对应不同的权限级别;
获取步骤:获取具有配置角色权限的第二用户的用户信息,根据所述第二用户的用户信息确定该第二用户的角色信息,所述角色信息包括该角色的角色级别;及
配置步骤:将具有配置角色权限的第二用户的角色级别与所述目标角色级别进行对比,当所述第二用户的角色级别高于所述目标角色级别时,为所述第一用户配置所述目标角色,从所述数据库获取预先建立的资源与角色的第二映射关系表,基于所述第二映射关系表,为该目标角色配置相应的目标资源的权限。
优选的,所述为该目标角色配置相应的目标资源的权限包括:
将所述目标资源对应的前端控件与所述目标角色绑定,将所述目标资源对应的后端接口与所述目标角色绑定,其中,所述前端控件和后端接口相互对应。
优选的,所述目标资源的权限包括以下一种或者多种的组合:对资源的查看、复制、新增、修改及删除的权限。
优选的,所述基于用户角色的权限配置程序被所述处理器执行,还实现如下步骤:
将所述目标资源按预设规则划分为多个资源,建立所述第一用户、所述目标角色与多个所述目标资源的对应关系表,并将所述对应关系表存储至所述数据库,当接收到删除所述第一用户某个目标资源的权限的请求时,从所述数据库中查找出该目标资源的权限与该第一用户的对应关系并删除。
为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中包括基于用户角色的权限配置程序,所述基于用户角色的权限配置程序被处理器执行时,实现如上所述基于用户角色的权限配置方法中的任意步骤。
本发明提出的基于用户角色的权限配置方法、电子装置及存储介质,通过从数据库获取预先建立的用户属性信息与角色信息的第一映射关系表,确定第一用户的待配置的目标角色级别,将具有配置角色权限的第二用户的角色级别与目标角色级别进行对比,当第二用户的角色级别高于目标角色级别时,为第一用户配置目标角色,根据预先建立的资源与角色的第二映射关系表为该目标角色配置相应的目标资源的权限。本发明通过角色级别高的用户给角色级别低的用户配置角色,将用户与系统资源解耦,实现用户行为控制和用户权限动态管理,极大地提高了系统的安全性和用户权限分级地灵活性。
附图说明
图1为本发明电子装置较佳实施例的示意图;
图2为图1中基于用户角色的权限配置程序较佳实施例的模块示意图;
图3为本发明基于用户角色的权限配置方法较佳实施例的流程图;
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照图1所示,为本发明电子装置1较佳实施例的示意图。
该电子装置1包括但不限于:存储器11、处理器12、显示器13及网络接口14。所述电子装置1通过网络接口14连接网络,获取原始数据。其中,所述网络可以是企业内部网(Intranet)、互联网(Internet)、全球移动通讯系统(Global System of Mobilecommunication,GSM)、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)、4G网络、5G网络、蓝牙(Bluetooth)、Wi-Fi、通话网络等无线或有线网络。
其中,存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器11可以是所述电子装置1的内部存储单元,例如该电子装置1的硬盘或内存。在另一些实施例中,所述存储器11也可以是所述电子装置1的外部存储设备,例如该电子装置1配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,所述存储器11还可以既包括所述电子装置1的内部存储单元也包括其外部存储设备。本实施例中,存储器11通常用于存储安装于所述电子装置1的操作系统和各类应用软件,例如基于用户角色的权限配置程序10的程序代码等。此外,存储器11还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器12在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器12通常用于控制所述电子装置1的总体操作,例如执行数据交互或者通信相关的控制和处理等。本实施例中,所述处理器12用于运行所述存储器11中存储的程序代码或者处理数据,例如运行基于用户角色的权限配置程序10的程序代码等。
显示器13可以称为显示屏或显示单元。在一些实施例中显示器13可以是LED显示器、液晶显示器、触控式液晶显示器以及有机发光二极管(Organic Light-EmittingDiode,OLED)触摸器等。显示器13用于显示在电子装置1中处理的信息以及用于显示可视化的工作界面,例如显示数据统计的结果。
网络接口14可选地可以包括标准的有线接口、无线接口(如WI-FI接口),该网络接口14通常用于在所述电子装置1与其它电子设备之间建立通信连接。
图1仅示出了具有组件11-14以及基于用户角色的权限配置程序10的电子装置1,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
可选地,所述电子装置1还可以包括用户接口,用户接口可以包括显示器(Display)、输入单元比如键盘(Keyboard),可选的用户接口还可以包括标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及有机发光二极管(Organic Light-Emitting Diode,OLED)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子装置1中处理的信息以及用于显示可视化的用户界面。
该电子装置1还可以包括射频(Radio Frequency,RF)电路、传感器和音频电路等等,在此不再赘述。
在上述实施例中,处理器12执行存储器11中存储的基于用户角色的权限配置程序10时可以实现如下步骤:
接收步骤:接收第一用户的发出的配置权限的请求,获取所述第一用户的属性信息;
确定步骤:从数据库获取预先建立的用户属性信息与角色信息的第一映射关系表,根据所述第一映射关系表及所述第一用户的属性信息,确定该第一用户的待配置的目标角色级别,其中,每个角色对应不同的权限级别;
获取步骤:获取具有配置角色权限的第二用户的用户信息,根据所述第二用户的用户信息确定该第二用户的角色信息,所述角色信息包括该角色的角色级别;及
配置步骤:将具有配置角色权限的第二用户的角色级别与所述目标角色级别进行对比,当所述第二用户的角色级别高于所述目标角色级别时,为所述第一用户配置所述目标角色,从所述数据库获取预先建立的资源与角色的第二映射关系表,基于所述第二映射关系表,为该目标角色配置相应的目标资源的权限。
所述存储设备可以为电子装置1的存储器11,也可以为与电子装置1通讯连接的其它存储设备。
关于上述步骤的详细介绍,请参照下述图2关于基于用户角色的权限配置程序10实施例的程序模块图以及图3关于基于用户角色的权限配置方法实施例的流程图的说明。
在其他实施例中,所述基于用户角色的权限配置程序10可以被分割为多个模块,该多个模块被存储于存储器12中,并由处理器13执行,以完成本发明。本发明所称的模块是指能够完成特定功能的一系列计算机程序指令段。
参照图2所示,为图1中基于用户角色的权限配置程序10一实施例的程序模块图。在本实施例中,所述基于用户角色的权限配置程序10可以被分割为:接收模块110、确定模块120、获取模块130及配置模块140。
接收模块110,用于接收第一用户的发出的配置权限的请求,获取所述第一用户的属性信息。
在本实施例中,配置用户的访问权限之前,会在预先建立的用户与系统关系绑定表(user_system_table)中新增一条记录,该记录存储该用户的唯一标识,及系统的唯一标识,这样该用户就有了访问系统的权限。在接收到第一用户发出的配置权限的请求后,解析所述请求,获取第一用户的属性信息,其中,第一用户的属性信息可以包括该用户的个人信息、公司职位、账号名称、账号密码等信息。
系统可以向用户提供的交互界面上需要至少提供一项输入内容,且输入内容与存储的对应关系中的用户信息中的一项相同。例如,用户在登录某个系统时,通常需要输入的内容包括账号名称和账号密码。本实施例中业务系统提供的交互界面上显示有账号名称输入框和账号密码输入框,为了使得根据用户输入的账号名称和账号密码查找到与之对应的角色信息,因此建立用户信息与角色信息的对应关系时,需要保证用户信息中至少包括账号名称和账号密码。
确定模块120,用于从数据库获取预先建立的用户属性信息与角色信息的第一映射关系表,根据所述第一映射关系表及所述第一用户的属性信息,确定该第一用户的待配置的目标角色级别,其中,每个角色对应不同的权限级别。
在本实施例中,从预设数据库获取预先建立的用户属性信息与角色信息之间的第一映射关系表,第一映射关系表用于存储用户和角色的对应关系,根据该用户的属性信息,从所述映射关系表中查找与该用户的属性信息对应的角色信息,从而确定该第一用户的待配置的目标角色级别,其中,每个角色对应不同的权限级别。
其中,数据库还预先配置了用户表、资源表及资源与角色映射关系表,用户表用于存储用户信息,资源表用于存储资源信息,资源与角色映射关系表用于存储资源和角色的关系,即每个角色对应不同的资源权限,每个角色对应的资源权限可预先按实际情况进行设定。
一个角色在同一系统下可以授权访问多个资源(包括前端控件和后端接口),一个用户也可以被配置一个或多个角色,由于用户信息中包括的信息较多,例如用户注册日期、公司职位、账号名称、账号密码等信息,用户的信息与角色信息之间的关系并不是一一对应的,因此在建立用户信息与角色信息之间的映射关系时,可以从用户信息中选取部分信息,建立选取的部分信息作为用户的属性信息,与角色信息之间的映射关系。例如,从用户信息中选取出的信息为公司职位、账号名称,那么,建立的用户信息与角色信息之间的映射关系为由公司职位和账号名称构成的用户信息与角色信息之间的映射关系。
获取模块130,用于获取具有配置角色权限的第二用户的用户信息,根据所述第二用户的用户信息确定该第二用户的角色信息,所述角色信息包括该角色的角色级别。
在本实施例中,获取具有配置角色权限的第二用户的用户信息,从具有配置角色权限用户的信息中提取出该用户的标识,从预设数据库的用户与角色关系绑定表中查询第二用户的标识匹配的角色信息,角色信息包括该角色的角色级别,从而确定第二用户的角色级别。
每个级别的角色都具有对应资源的读、写、查、改、删除等权限,只是不同级别的角色的资源操作权限是不同的。例如,采购经理对供应商的数据具有读、写、查、改、删除等许可,销售总监对所负责的销售人员的数据具有读、写、查、改、删除等许可。通常只有少数角色具有为其他用户配置角色的权限,即可以对其他用户进行角色配置。
配置模块140,用于将具有配置角色权限的第二用户的角色级别与所述目标角色级别进行对比,当所述第二用户的角色级别高于所述目标角色级别时,为所述第一用户配置所述目标角色,从所述数据库获取预先建立的资源与角色的第二映射关系表,基于所述第二映射关系表,为该目标角色配置相应的目标资源的权限。
在本实施例中,角色级别可以用数字表示,例如:角色A的级别为50,角色B的级别为40,角色C的级别为30,角色D的级别为20,角色E的级别为10,数字越大表示该角色的级别越高,角色对应的资源权限就越高,角色级别可动态修改。
数据库里有角色表role_table,包括:role_ID(角色唯一标识),system_ID(系统唯一标识,即此角色属于哪个业务系统),第二用户给第一用户配置角色时,第一用户必须有访问角色所属业务系统的权限,即必须先在该系统下新增第一用户的信息。例如,新入职的财务人员,需要在企业财务系统内新增该用户的信息。
将具有配置角色权限的第二用户的角色级别与第一用户的目标角色级别进行对比,当第二用户的角色级别高于所属目标角色级别时,为第一用户配置目标角色,具体地,若具有配置角色权限的第二用户拥有角色B,待配置角色的第一用户没有角色,那么第二用户可以给第一用户配置的角色包括B、C、D、E,不能配置角色A,执行对第一用户配置角色A、C的操作时,首先获取第二用户拥有的角色B,查询得到角色B的级别为40,再查询要配置的角色A和C,级别分别为50和30,B>C,即配置角色C成功。同时在所述用户与系统关系绑定表中新增一条记录。进一步地,当具有配置角色权限用户的角色的级别低于所述目标角色级别时,发出权限配置失败的提示信息。
配置目标角色成功后,从所述数据库获取预先建立的资源与角色的第二映射关系表,基于所述目标角色及第二映射关系表,为该目标角色配置相应的目标资源权限,从而实现用户资源权限的配置。其中,所述目标资源的权限包括以下一种或者多种的组合:对资源的查看、复制、新增、修改及删除的权限。为该目标角色配置相应的目标资源的权限包括,将目标资源对应的前端控件与目标角色绑定,将目标资源对应的后端接口与目标角色绑定,所述前端控件和所述后端接口相互对应。
具体地,第二用户对第一用户配置了角色C,即在数据库中的用户与角色关系绑定表(user_role_table)中新增一条记录,若对第一用户解绑角色A,即在用户与角色关系绑定表中删除对应的记录。
给角色C配置了资源menu1,button1,api1,即在资源与角色关系绑定表(resource_role_table)中新增三条记录:存储角色C的角色标识,角色C对应的资源的标识,角色C对应的系统标识。若对角色C解绑资源menu1,即在表中删除角色C对应的资源的标识。
第一用户直接访问系统前端想要获取menu1、button1,api1,必须通过角色绑定实现,首先给角色C授权资源menu1,button1,api1,表示配置了角色C的用户都可以获取资源menu1,button1,api1,给第一用户配置角色C,从而实现该用户可以访问配置给角色C的所有资源,包括获取前端资源和访问后端接口。
当第一用户访问数据时,服务器会在查询用户与系统表中是否存在第一用户的信息,若有,则查询该用户在系统下是否有配置角色C,若有,通过角色C查询到与角色绑定的资源menu1,button1,api1。最后将资源menu1,button1,api1返回给前端,即该用户获取到了与角色C对应的资源。
在另一实施例中,还可以将所述目标资源按预设规则划分为多个资源,建立所述第一用户、所述目标角色与多个所述目标资源的对应关系表,并将所述对应关系表存储至所述数据库,当接收到删除所述第一用户某个目标资源的权限的请求时,从所述数据库中查找出该目标资源的权限与该第一用户的对应关系并删除。
给用户配置了相应的目标资源权限后,可以将该目标资源按照重要程度分成多个的资源,例如:将该目标资源按业务的重要程度细分成五个级别的资源,建立该用户、该用户对应的角色及各级资源的对应关系表并存储至数据库,当需要删除该用户的某一级权限时,可以从对应关系表中直接删除该用户和该级别权限对应的用户、角色和该级权限之间的对应关系,从而不用删除该用户对应的角色,以使该用户还可以拥有该角色下的其它级别的资源权限。
此外,本发明还提供一种基于用户角色的权限配置方法。参照图3所示,为本发明基于用户角色的权限配置方法的实施例的方法流程示意图。电子装置1的处理器12执行存储器11中存储的基于用户角色的权限配置程序10时实现基于用户角色的权限配置方法的如下步骤:
步骤S10:接收第一用户的发出的配置权限的请求,获取所述第一用户的属性信息。
在本实施例中,配置用户的访问权限之前,会在预先建立的用户与系统关系绑定表(user_system_table)中新增一条记录,该记录存储该用户的唯一标识,及系统的唯一标识,这样该用户就有了访问系统的权限。在接收到第一用户发出的配置权限的请求后,解析所述请求,获取第一用户的属性信息,其中,第一用户的属性信息可以包括该用户的个人信息、公司职位、账号名称、账号密码等信息。
系统可以向用户提供的交互界面上需要至少提供一项输入内容,且输入内容与存储的对应关系中的用户信息中的一项相同。例如,用户在登录某个系统时,通常需要输入的内容包括账号名称和账号密码。本实施例中业务系统提供的交互界面上显示有账号名称输入框和账号密码输入框,为了使得根据用户输入的账号名称和账号密码查找到与之对应的角色信息,因此建立用户信息与角色信息的对应关系时,需要保证用户信息中至少包括账号名称和账号密码。
步骤S20:从数据库获取预先建立的用户属性信息与角色信息的第一映射关系表,根据所述第一映射关系表及所述第一用户的属性信息,确定该第一用户的待配置的目标角色级别,其中,每个角色对应不同的权限级别。
在本实施例中,从预设数据库获取预先建立的用户属性信息与角色信息之间的第一映射关系表,第一映射关系表用于存储用户和角色的对应关系,根据该用户的属性信息,从所述映射关系表中查找与该用户的属性信息对应的角色信息,从而确定该第一用户的待配置的目标角色级别,其中,每个角色对应不同的权限级别。
其中,数据库还预先配置了用户表、资源表及资源与角色映射关系表,用户表用于存储用户信息,资源表用于存储资源信息,资源与角色映射关系表用于存储资源和角色的关系,即每个角色对应不同的资源权限,每个角色对应的资源权限可预先按实际情况进行设定。
一个角色在同一系统下可以授权访问多个资源(包括前端控件和后端接口),一个用户也可以被配置一个或多个角色,由于用户信息中包括的信息较多,例如用户注册日期、公司职位、账号名称、账号密码等信息,用户的信息与角色信息之间的关系并不是一一对应的,因此在建立用户信息与角色信息之间的映射关系时,可以从用户信息中选取部分信息,建立选取的部分信息作为用户的属性信息,与角色信息之间的映射关系。例如,从用户信息中选取出的信息为公司职位、账号名称,那么,建立的用户信息与角色信息之间的映射关系为由公司职位和账号名称构成的用户信息与角色信息之间的映射关系。
步骤S30:获取具有配置角色权限的第二用户的用户信息,根据所述第二用户的用户信息确定该第二用户的角色信息,所述角色信息包括该角色的角色级别。
在本实施例中,获取具有配置角色权限的第二用户的用户信息,从具有配置角色权限用户的信息中提取出该用户的标识,从预设数据库的用户与角色关系绑定表中查询第二用户的标识匹配的角色信息,角色信息包括该角色的角色级别,从而确定第二用户的角色级别。
每个级别的角色都具有对应资源的读、写、查、改、删除等权限,只是不同级别的角色的资源操作权限是不同的。例如,采购经理对供应商的数据具有读、写、查、改、删除等许可,销售总监对所负责的销售人员的数据具有读、写、查、改、删除等许可。通常只有少数角色具有为其他用户配置角色的权限,即可以对其他用户进行角色配置。
步骤S40:将具有配置角色权限的第二用户的角色级别与所述目标角色级别进行对比,当所述第二用户的角色级别高于所述目标角色级别时,为所述第一用户配置所述目标角色,从所述数据库获取预先建立的资源与角色的第二映射关系表,基于所述第二映射关系表,为该目标角色配置相应的目标资源的权限。
在本实施例中,角色级别可以用数字表示,例如:角色A的级别为50,角色B的级别为40,角色C的级别为30,角色D的级别为20,角色E的级别为10,数字越大表示该角色的级别越高,角色对应的资源权限就越高,角色级别可动态修改。
数据库里有角色表role_table,包括:role_ID(角色唯一标识),system_ID(系统唯一标识,即此角色属于哪个业务系统),第二用户给第一用户配置角色时,第一用户必须有访问角色所属业务系统的权限,即必须先在该系统下新增第一用户的信息。例如,新入职的财务人员,需要在企业财务系统内新增该用户的信息。
将具有配置角色权限的第二用户的角色级别与第一用户的目标角色级别进行对比,当第二用户的角色级别高于所属目标角色级别时,为第一用户配置目标角色,具体地,若具有配置角色权限的第二用户拥有角色B,待配置角色的第一用户没有角色,那么第二用户可以给第一用户配置的角色包括B、C、D、E,不能配置角色A,执行对第一用户配置角色A、C的操作时,首先获取第二用户拥有的角色B,查询得到角色B的级别为40,再查询要配置的角色A和C,级别分别为50和30,B>C,即配置角色C成功。同时在所述用户与系统关系绑定表中新增一条记录。进一步地,当具有配置角色权限用户的角色的级别低于所述目标角色级别时,发出权限配置失败的提示信息。
配置目标角色成功后,从所述数据库获取预先建立的资源与角色的第二映射关系表,基于所述目标角色及第二映射关系表,为该目标角色配置相应的目标资源权限,从而实现用户资源权限的配置。其中,所述目标资源的权限包括以下一种或者多种的组合:对资源的查看、复制、新增、修改及删除的权限。为该目标角色配置相应的目标资源的权限包括,将目标资源对应的前端控件与目标角色绑定,将目标资源对应的后端接口与目标角色绑定,所述前端控件和所述后端接口相互对应。
具体地,第二用户对第一用户配置了角色C,即在数据库中的用户与角色关系绑定表(user_role_table)中新增一条记录,若对第一用户解绑角色A,即在用户与角色关系绑定表中删除对应的记录。
给角色C配置了资源menu1,button1,api1,即在资源与角色关系绑定表(resource_role_table)中新增三条记录:存储角色C的角色标识,角色C对应的资源的标识,角色C对应的系统标识。若对角色C解绑资源menu1,即在表中删除角色C对应的资源的标识。
第一用户直接访问系统前端想要获取menu1、button1,api1,必须通过角色绑定实现,首先给角色C授权资源menu1,button1,api1,表示配置了角色C的用户都可以获取资源menu1,button1,api1,给第一用户配置角色C,从而实现该用户可以访问配置给角色C的所有资源,包括获取前端资源和访问后端接口。
当第一用户访问数据时,服务器会在查询用户与系统表中是否存在第一用户的信息,若有,则查询该用户在系统下是否有配置角色C,若有,通过角色C查询到与角色绑定的资源menu1,button1,api1。最后将资源menu1,button1,api1返回给前端,即该用户获取到了与角色C对应的资源。
在另一实施例中,还可以将所述目标资源按预设规则划分为多个资源,建立所述第一用户、所述目标角色与多个所述目标资源的对应关系表,并将所述对应关系表存储至所述数据库,当接收到删除所述第一用户某个目标资源的权限的请求时,从所述数据库中查找出该目标资源的权限与该第一用户的对应关系并删除。
给用户配置了相应的目标资源权限后,可以将该目标资源按照重要程度分成多个的资源,例如:将该目标资源按业务的重要程度细分成五个级别的资源,建立该用户、该用户对应的角色及各级资源的对应关系表并存储至数据库,当需要删除该用户的某一级权限时,可以从对应关系表中直接删除该用户和该级别权限对应的用户、角色和该级权限之间的对应关系,从而不用删除该用户对应的角色,以使该用户还可以拥有该角色下的其它级别的资源权限。
此外,本发明实施例还提出一种计算机可读存储介质,该计算机可读存储介质可以是硬盘、多媒体卡、SD卡、闪存卡、SMC、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、便携式紧致盘只读存储器(CD-ROM)、USB存储器等等中的任意一种或者几种的任意组合。所述计算机可读存储介质中包括基于用户角色的权限配置程序10,所述基于用户角色的权限配置程序10被处理器执行时实现如下操作:
接收步骤:接收第一用户的发出的配置权限的请求,获取所述第一用户的属性信息;
确定步骤:从数据库获取预先建立的用户属性信息与角色信息的第一映射关系表,根据所述第一映射关系表及所述第一用户的属性信息,确定该第一用户的待配置的目标角色级别,其中,每个角色对应不同的权限级别;
获取步骤:获取具有配置角色权限的第二用户的用户信息,根据所述第二用户的用户信息确定该第二用户的角色信息,所述角色信息包括该角色的角色级别;及
配置步骤:将具有配置角色权限的第二用户的角色级别与所述目标角色级别进行对比,当所述第二用户的角色级别高于所述目标角色级别时,为所述第一用户配置所述目标角色,从所述数据库获取预先建立的资源与角色的第二映射关系表,基于所述第二映射关系表,为该目标角色配置相应的目标资源的权限。
本发明之计算机可读存储介质的具体实施方式与上述基于用户角色的权限配置方法的具体实施方式大致相同,在此不再赘述。
需要说明的是,上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。并且本文中的术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,电子装置,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于用户角色的权限配置方法,应用于电子装置,其特征在于,所述方法包括:
接收步骤:接收第一用户的发出的配置权限的请求,获取所述第一用户的属性信息;
确定步骤:从数据库获取预先建立的用户属性信息与角色信息的第一映射关系表,根据所述第一映射关系表及所述第一用户的属性信息,确定该第一用户的待配置的目标角色级别,其中,每个角色对应不同的权限级别;
获取步骤:获取具有配置角色权限的第二用户的用户信息,根据所述第二用户的用户信息确定该第二用户的角色信息,所述角色信息包括该角色的角色级别;及
配置步骤:将具有配置角色权限的第二用户的角色级别与所述目标角色级别进行对比,当所述第二用户的角色级别高于所述目标角色级别时,为所述第一用户配置所述目标角色,从所述数据库获取预先建立的资源与角色的第二映射关系表,基于所述第二映射关系表,为该目标角色配置相应的目标资源的权限。
2.如权利要求1所述的基于用户角色的权限配置方法,其特征在于,所述配置步骤还包括:
当所述具有配置角色权限用户的角色的级别低于所述目标角色级别时,发出权限配置失败的提示信息。
3.如权利要求1所述的基于用户角色的权限配置方法,其特征在于,所述为该目标角色配置相应的目标资源的权限包括:
将所述目标资源对应的前端控件与所述目标角色绑定,将所述目标资源对应的后端接口与所述目标角色绑定,其中,所述前端控件和后端接口相互对应。
4.如权利要求1所述的基于用户角色的权限配置方法,其特征在于,所述目标资源的权限包括以下一种或者多种的组合:对资源的查看、复制、新增、修改及删除的权限。
5.如权利要求1所述的基于用户角色的权限配置方法,其特征在于,所述方法还包括:
将所述目标资源按预设规则划分为多个资源,建立所述第一用户、所述目标角色与多个所述目标资源的对应关系表,并将所述对应关系表存储至所述数据库,当接收到删除所述第一用户某个目标资源的权限的请求时,从所述数据库中查找出该目标资源的权限与该第一用户的对应关系并删除。
6.一种电子装置,该电子装置包括存储器及处理器,其特征在于,所述存储器上存储基于用户角色的权限配置程序,所述基于用户角色的权限配置程序被所述处理器执行,实现如下步骤:
接收步骤:接收第一用户的发出的配置权限的请求,获取所述第一用户的属性信息;
确定步骤:从数据库获取预先建立的用户属性信息与角色信息的第一映射关系表,根据所述第一映射关系表及所述第一用户的属性信息,确定该第一用户的待配置的目标角色级别,其中,每个角色对应不同的权限级别;
获取步骤:获取具有配置角色权限的第二用户的用户信息,根据所述第二用户的用户信息确定该第二用户的角色信息,所述角色信息包括该角色的角色级别;及
配置步骤:将具有配置角色权限的第二用户的角色级别与所述目标角色级别进行对比,当所述第二用户的角色级别高于所述目标角色级别时,为所述第一用户配置所述目标角色,从所述数据库获取预先建立的资源与角色的第二映射关系表,基于所述第二映射关系表,为该目标角色配置相应的目标资源的权限。
7.如权利要求6所述的电子装置,其特征在于,所述为该目标角色配置相应的目标资源的权限包括:
将所述目标资源对应的前端控件与所述目标角色绑定,将所述目标资源对应的后端接口与所述目标角色绑定,其中,所述前端控件和后端接口相互对应。
8.如权利要求6所述的电子装置,其特征在于,所述目标资源的权限包括以下一种或者多种的组合:对资源的查看、复制、新增、修改及删除的权限。
9.如权利要求6所述的电子装置,其特征在于,所述基于用户角色的权限配置程序被所述处理器执行,还实现如下步骤:
将所述目标资源按预设规则划分为多个资源,建立所述第一用户、所述目标角色与多个所述目标资源的对应关系表,并将所述对应关系表存储至所述数据库,当接收到删除所述第一用户某个目标资源的权限的请求时,从所述数据库中查找出该目标资源的权限与该第一用户的对应关系并删除。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中包括基于用户角色的权限配置程序,所述基于用户角色的权限配置程序被处理器执行时,实现如权利要求1至5中任一项所述基于用户角色的权限配置方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010235361.XA CN111460496A (zh) | 2020-03-30 | 2020-03-30 | 基于用户角色的权限配置方法、电子装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010235361.XA CN111460496A (zh) | 2020-03-30 | 2020-03-30 | 基于用户角色的权限配置方法、电子装置及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111460496A true CN111460496A (zh) | 2020-07-28 |
Family
ID=71679239
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010235361.XA Withdrawn CN111460496A (zh) | 2020-03-30 | 2020-03-30 | 基于用户角色的权限配置方法、电子装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111460496A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112163232A (zh) * | 2020-09-17 | 2021-01-01 | 海尔优家智能科技(北京)有限公司 | 目标对象权限的确定方法和装置、存储介质及电子装置 |
CN114944944A (zh) * | 2022-05-05 | 2022-08-26 | 北京蓝海在线科技有限公司 | 一种基于json数据的权限分配方法、装置及计算机设备 |
CN115102770A (zh) * | 2022-06-24 | 2022-09-23 | 平安普惠企业管理有限公司 | 基于用户权限的资源访问方法、装置、设备及存储介质 |
CN115208683A (zh) * | 2022-07-26 | 2022-10-18 | 北京航天驭星科技有限公司 | 一种基于航天云服务的权限分配方法和权限分配装置 |
-
2020
- 2020-03-30 CN CN202010235361.XA patent/CN111460496A/zh not_active Withdrawn
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112163232A (zh) * | 2020-09-17 | 2021-01-01 | 海尔优家智能科技(北京)有限公司 | 目标对象权限的确定方法和装置、存储介质及电子装置 |
CN114944944A (zh) * | 2022-05-05 | 2022-08-26 | 北京蓝海在线科技有限公司 | 一种基于json数据的权限分配方法、装置及计算机设备 |
CN115102770A (zh) * | 2022-06-24 | 2022-09-23 | 平安普惠企业管理有限公司 | 基于用户权限的资源访问方法、装置、设备及存储介质 |
CN115208683A (zh) * | 2022-07-26 | 2022-10-18 | 北京航天驭星科技有限公司 | 一种基于航天云服务的权限分配方法和权限分配装置 |
CN115208683B (zh) * | 2022-07-26 | 2023-05-26 | 北京航天驭星科技有限公司 | 一种基于航天云服务的权限分配方法和权限分配装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111460496A (zh) | 基于用户角色的权限配置方法、电子装置及存储介质 | |
US10404708B2 (en) | System for secure file access | |
US11237817B2 (en) | Operating system update management for enrolled devices | |
US8645866B2 (en) | Dynamic icon overlay system and method of producing dynamic icon overlays | |
US11270267B2 (en) | Sensitive information management | |
WO2021051612A1 (zh) | 数据授权脱敏自动化方法、系统、装置及存储介质 | |
CN112558946A (zh) | 一种生成代码的方法、装置、设备和计算机可读存储介质 | |
CN107770146B (zh) | 一种用户数据权限控制方法及装置 | |
CN111190603B (zh) | 一种隐私数据检测方法、装置和计算机可读存储介质 | |
US20200233907A1 (en) | Location-based file recommendations for managed devices | |
CN111159595A (zh) | 页面加载方法、系统、计算机设备和计算机可读存储介质 | |
US9026456B2 (en) | Business-responsibility-centric identity management | |
CN111931160B (zh) | 权限验证方法、装置、终端和存储介质 | |
CN113946837A (zh) | 数据访问和数据访问权限的配置方法、设备、存储介质 | |
CN113612802B (zh) | 一种访问控制方法、装置、设备及可读存储介质 | |
CN115396421A (zh) | 数据传输与过滤方法、装置、电子设备及存储介质 | |
US20210360038A1 (en) | Machine policy configuration for managed devices | |
CN110750765A (zh) | 服务系统及其前端页面控制方法、计算机设备和存储介质 | |
CN113672974A (zh) | 权限管理方法、装置、设备及存储介质 | |
CN112528305A (zh) | 访问控制方法、装置、电子设备及存储介质 | |
CN111159729A (zh) | 权限控制方法、装置及存储介质 | |
CN114722412B (zh) | 一种数据安全存储方法、装置、电子设备及存储介质 | |
CN114493901A (zh) | 数据访问申请的处理方法、装置、计算机设备和存储介质 | |
CN109446159B (zh) | 多版本文件管理方法、服务器及计算机可读存储介质 | |
WO2019237590A1 (zh) | 文件安全管理方法、装置、计算机设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200728 |