CN112182622A - 一种基于资源控制的权限管理系统设计方法 - Google Patents
一种基于资源控制的权限管理系统设计方法 Download PDFInfo
- Publication number
- CN112182622A CN112182622A CN202011087707.2A CN202011087707A CN112182622A CN 112182622 A CN112182622 A CN 112182622A CN 202011087707 A CN202011087707 A CN 202011087707A CN 112182622 A CN112182622 A CN 112182622A
- Authority
- CN
- China
- Prior art keywords
- authority
- resource
- resources
- control
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于资源控制的权限管理系统设计方法,本发明提出“一切皆资源”的概念,并建立一种基于资源树的权限控制方案;资源是进行权限配置的基础,通过对所有要控制的对象建立对应的资源模型,并依据其对应页面(具体类型资源)层级关系,逐一建立资源;同时,拓展了资源的概念,对所有预控制的对象都认为是资源,可实现精准的权限控制;对于用户,不直接操作资源进行权限赋值;用户取得权限的途径有:通过岗位,人员属于某个岗位,自然继承该岗位所拥有的角色,间接拥有权限;为用户分配某一个角色,然后拥有该角色所拥有的权限;直接为用户分配权限,一般是一些需要特殊操作的权限;角色依然是组织架构和权限管理联系的桥梁。
Description
技术领域
本发明涉及权限管理领域,特别涉及一种基于资源控制的权限管理系统设计方法。
背景技术
权限中心是一个比较成熟且广泛应用的设计,每个公司都有自己的权限设计方案,目前主流的权限管理系统是基于角色的访问控制(RBAC)。
RBAC通过角色与权限的绑定最终实现权限管理,该实现存在着以下问题:
一、配置重复工作大,RBAC控制通过角色进行权限的管理,通过逐个绑定角色和权限的对应关系进行控制。如果多个角色只对某一个或小部分权限的控制上有差别,仍然需要逐一绑定。
二、不直观,对于最基本的页面上的控件等的控制,在有相似的比如“查询”、“修改”等按钮,管理员在配置时必须逐一检查权限的详细配置才能明确进行角色和权限的绑定。
发明内容
本发明要解决的技术问题是克服现有技术的缺陷,提供一种基于资源控制的权限管理系统设计方法。
为了解决上述技术问题,本发明提供了如下的技术方案:
本发明一种基于资源控制的权限管理系统设计方法,该设计方法通过增加资源层,建立资源树,在控制的最底层模拟页面的层级结构,然后通过权限实现不同角色的控制,具体包括以下步骤:
一、提取资源:
资源包括具体的,例如:页面、菜单、按钮;还包括抽象的,比如:接口、可筛选的数据范围,甚至可扩展至系统、业务线;按照角色—权限—资源三层页面的层级关系,依次建立具有层级关系的资源树;所述资源的实现以将资源详情用易解析、易扩展的json格式来保存;
对于具体类型的资源类型,资源详情可保存对应的资源所属页面的url地址、icon以及唯一性标识id信息,可参考如下配置:
{"key":"sub00-08-05-01","icon":"","name":"报表权限申请","path":"/pmo-config-form","description":"报表权限申请"};
对于抽象资源,可按照业务需求保存为业务端可识别的编码,比如典型的数据权限可参考如下配置:
{"permissionCode":"tmOrgRole_001"};
二、基于资源树的权限分配具体实现如下:
S1.为保存层级关系,每级的资源需保存其父节点的唯一标识,同时,为支持各种类型的资源,可在资源创建时为资源划分类型,如常用的数据权限;
S2.基于资源控制的权限管理系统的整体实施过程如下:组织架构部分,可采用领域驱动设计,从不同视角根据公司业务创建公司、部门、岗位、人员信息,必要时可以扩展大区信息;
S3.权限管理模块,可根据要控制的对象分为控制权限和数据权限;对控制权限,根据所要控制的元素做最小划分,自顶而下依次创建页面、菜单、按钮、接口控制类资源,在数据存放时需要保存资源的父子节点关系,并且接口权限资源根据页面的调用可挂载至对应的页面资源下,实现接口权限的精准控制;
S4.对数据权限,比如针对不同的用户、角色,即使都拥有A接口的访问权限,但可以通过指定查询范围实现数据的精准控制,数据权限不区分页面,根据业务需要建立前后端约定好的、可识别的资源,资源详情可采用易于解析的json格式存储,以便后期资源定义的扩展,同时也是对“一切皆资源”的有效支撑;
S5.资源建立完成后,可以在资源管理页面清晰看到所创建的资源树及要进行控制的数据权限资源,接下来根据权限管理的业务需求,对资源进行组合从而创建适当粒度的权限,更进一步创建角色。
与现有技术相比,本发明的有益效果如下:
本发明提出“一切皆资源”的概念,并建立一种基于资源树的权限控制方案;资源是进行权限配置的基础,通过对所有要控制的对象建立对应的资源模型,并依据其对应页面(具体类型资源)层级关系,逐一建立资源;同时,拓展了资源的概念,对所有预控制的对象都认为是资源,可实现精准的权限控制;对于用户,不直接操作资源进行权限赋值;用户取得权限的途径有:通过岗位,人员属于某个岗位,自然继承该岗位所拥有的角色,间接拥有权限;为用户分配某一个角色,然后拥有该角色所拥有的权限;直接为用户分配权限,一般是一些需要特殊操作的权限;角色依然是组织架构和权限管理联系的桥梁。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明构建的资源树的示意图;
图2是本发明整个系统的简易结构图;
图3是本发明的实施例示意图之一;
图4是本发明的实施例示意图之二。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
实施例1
如图1-4所示,本发明提供一种基于资源控制的权限管理系统设计方法,该设计方法通过增加资源层,建立资源树,在控制的最底层模拟页面的层级结构,然后通过权限实现不同角色的控制,具体包括以下步骤:
一、提取资源:
资源是实现权限控制的最小原子单位,所有计划在系统中进行控制的事物都可认为资源,因此资源的概念包括具体的,例如:页面、菜单、按钮等,还包括抽象的,比如:接口、可筛选的数据范围,甚至可扩展至系统、业务线等(形成“一切皆资源”概念);按照角色—权限—资源三层页面的层级关系,依次建立具有层级关系的资源树;资源在本质上仍然是权限,权限是资源的集合;在该体系模型中,相当于角色—权限—资源三层模式控制,但角色不直接操作资源,而是通过权限进行配置;所述资源的实现以将资源详情用易解析、易扩展的json格式来保存;
对于具体类型的资源类型,资源详情可保存对应的资源所属页面的url地址、icon以及唯一性标识id信息,可参考如下配置:
{"key":"sub00-08-05-01","icon":"","name":"报表权限申请","path":"/pmo-config-form","description":"报表权限申请"};
对于抽象资源,可按照业务需求保存为业务端可识别的编码,比如典型的数据权限可参考如下配置:
{"permissionCode":"tmOrgRole_001"};
二、基于资源树的权限分配具体实现如下:
S1.为保存层级关系,每级的资源需保存其父节点的唯一标识,同时,为支持各种类型的资源,可在资源创建时为资源划分类型,如常用的数据权限;
S2.基于资源控制的权限管理系统的整体实施过程如下:组织架构部分,可采用领域驱动设计,从不同视角根据公司业务创建公司、部门、岗位、人员信息,必要时可以扩展大区信息;
S3.权限管理模块,可根据要控制的对象分为控制权限和数据权限;对控制权限,根据所要控制的元素做最小划分,自顶而下依次创建页面、菜单、按钮、接口控制类资源,在数据存放时需要保存资源的父子节点关系,并且接口权限资源根据页面的调用可挂载至对应的页面资源下,实现接口权限的精准控制;(控制元素通常是根据所要控制的业务决定控制的粒度,以图3为例,对于权限中心这个菜单,根据业务有查看详情、编辑、禁用、删除、添加资源等操作,这些操作即可作为控制的颗粒,对于大部分人有查看详情的权限,而仅对于管理员等角色有增删改的权限;控制元素与组织架构没有直接的关系,控制元素可认为是权限的最底层表现形式,对于组织架构,仅通过角色与人员进行关联,组织架构对于控制元素(即资源)没有感知)。
S4.对数据权限,比如针对不同的用户、角色,即使都拥有A接口的访问权限,但可以通过指定查询范围实现数据的精准控制,数据权限不区分页面,根据业务需要建立前后端约定好的、可识别的资源,资源详情可采用易于解析的json格式存储,以便后期资源定义的扩展,同时也是对“一切皆资源”的有效支撑;(指定查询范围以查询员工为例,公司一般会下设多个部门,同一个公司下的部门有唯一的标识码,假定以D开头的6位编码D00001,对应部门权限可用deptCode标识。当某资源的配置为deptCode=D00001时,对于绑定了该资源的权限,可认为其具有该编码对应的部门的数据查询权限;对应的,可将控制的范围扩展至所有需要进行控制的范围,如:公司、业务线等;图4附了一个实际使用中的权限管理系统的资源树的部分配置,其中展示了部分资源(涵盖了菜单、接口和数据权限对应的资源)的配置信息。其中数据权限对应的资源使用了魔法值”own”,”all”来标识,这里的配置可根据业务需要和个人使用习惯进行配置)。
S5.资源建立完成后,可以在资源管理页面清晰看到所创建的资源树及要进行控制的数据权限资源,接下来根据权限管理的业务需求,对资源进行组合从而创建适当粒度的权限,更进一步创建角色(这里角色的创建以及后续角色与权限绑定、人员与角色绑定,和RBAC的操作基本相同。在具体使用中,根据需要,可以使用权限和人员的直接绑定(对人员赋予特殊权限),也可以仅做角色和权限的绑定)。
与现有技术相比,本发明的有益效果如下:
本发明提出“一切皆资源”的概念,并建立一种基于资源树的权限控制方案;资源是进行权限配置的基础,通过对所有要控制的对象建立对应的资源模型,并依据其对应页面(具体类型资源)层级关系,逐一建立资源;同时,拓展了资源的概念,对所有预控制的对象都认为是资源,可实现精准的权限控制;对于用户,不直接操作资源进行权限赋值;用户取得权限的途径有:通过岗位,人员属于某个岗位,自然继承该岗位所拥有的角色,间接拥有权限;为用户分配某一个角色,然后拥有该角色所拥有的权限;直接为用户分配权限,一般是一些需要特殊操作的权限;角色依然是组织架构和权限管理联系的桥梁。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (1)
1.一种基于资源控制的权限管理系统设计方法,其特征在于,该设计方法通过增加资源层,建立资源树,在控制的最底层模拟页面的层级结构,然后通过权限实现不同角色的控制,具体包括以下步骤:
一、提取资源:
资源包括具体的,例如:页面、菜单、按钮;还包括抽象的,比如:接口、可筛选的数据范围,甚至可扩展至系统、业务线;按照角色—权限—资源三层页面的层级关系,依次建立具有层级关系的资源树;所述资源的实现以将资源详情用易解析、易扩展的json格式来保存;
对于具体类型的资源类型,资源详情可保存对应的资源所属页面的url地址、icon以及唯一性标识id信息,可参考如下配置:
{"key": "sub00-08-05-01", "icon": "", "name": "报表权限申请", "path": "/pmo-config-form", "description": "报表权限申请"};
对于抽象资源,可按照业务需求保存为业务端可识别的编码,比如典型的数据权限可参考如下配置:
{"permissionCode": "tmOrgRole_001"};
二、 基于资源树的权限分配具体实现如下:
S1.为保存层级关系,每级的资源需保存其父节点的唯一标识,同时,为支持各种类型的资源,可在资源创建时为资源划分类型,如常用的数据权限;
S2.基于资源控制的权限管理系统的整体实施过程如下:组织架构部分,可采用领域驱动设计,从不同视角根据公司业务创建公司、部门、岗位、人员信息,必要时可以扩展大区信息;
S3.权限管理模块,可根据要控制的对象分为控制权限和数据权限;对控制权限,根据所要控制的元素做最小划分,自顶而下依次创建页面、菜单、按钮、接口控制类资源,在数据存放时需要保存资源的父子节点关系,并且接口权限资源根据页面的调用可挂载至对应的页面资源下,实现接口权限的精准控制;
S4.对数据权限,比如针对不同的用户、角色,即使都拥有A接口的访问权限,但可以通过指定查询范围实现数据的精准控制,数据权限不区分页面,根据业务需要建立前后端约定好的、可识别的资源,资源详情可采用易于解析的json格式存储,以便后期资源定义的扩展,同时也是对“一切皆资源”的有效支撑;
S5.资源建立完成后,可以在资源管理页面清晰看到所创建的资源树及要进行控制的数据权限资源,接下来根据权限管理的业务需求,对资源进行组合从而创建适当粒度的权限,更进一步创建角色。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011087707.2A CN112182622A (zh) | 2020-10-12 | 2020-10-12 | 一种基于资源控制的权限管理系统设计方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011087707.2A CN112182622A (zh) | 2020-10-12 | 2020-10-12 | 一种基于资源控制的权限管理系统设计方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112182622A true CN112182622A (zh) | 2021-01-05 |
Family
ID=73951075
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011087707.2A Pending CN112182622A (zh) | 2020-10-12 | 2020-10-12 | 一种基于资源控制的权限管理系统设计方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112182622A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112883390A (zh) * | 2021-02-18 | 2021-06-01 | 腾讯科技(深圳)有限公司 | 一种权限控制方法、装置及存储介质 |
CN113282896A (zh) * | 2021-06-11 | 2021-08-20 | 上海数禾信息科技有限公司 | 权限管理方法及系统 |
CN113486312A (zh) * | 2021-05-08 | 2021-10-08 | 北京易成时代科技有限公司 | 一种基于模式的访问控制设计方法 |
CN113505996A (zh) * | 2021-07-13 | 2021-10-15 | 上海数禾信息科技有限公司 | 权限管理方法及装置 |
CN113590118A (zh) * | 2021-07-23 | 2021-11-02 | 南京赛宁信息技术有限公司 | 一种基于drf框架的资源权限控制装置与方法 |
CN113792030A (zh) * | 2021-09-23 | 2021-12-14 | 重庆标能瑞源储能技术研究院有限公司 | 一种应用于大数据平台的设备虚拟结构管理方法 |
CN113869537A (zh) * | 2021-09-28 | 2021-12-31 | 广东电网有限责任公司 | 一种面向设备主人的变电站数据资产管理系统及方法 |
CN114567504A (zh) * | 2022-03-07 | 2022-05-31 | 福建天晴在线互动科技有限公司 | 一种基于web架构的动态权限交叉管理方法及系统 |
CN114662134A (zh) * | 2022-05-19 | 2022-06-24 | 深圳市瓴码云计算有限公司 | 一种权限管理方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102053969A (zh) * | 2009-10-28 | 2011-05-11 | 上海宝信软件股份有限公司 | webERP用户权限管理系统 |
CN105763522A (zh) * | 2014-12-18 | 2016-07-13 | 中兴通讯股份有限公司 | 授权处理方法及装置 |
US20190108004A1 (en) * | 2017-10-06 | 2019-04-11 | Chicago Mercantile Exchange Inc. | Dynamic tracer message logging based on bottleneck detection |
CN111695110A (zh) * | 2020-04-30 | 2020-09-22 | 中国南方电网有限责任公司 | 一种基于电力现货市场的信息数据权限管理系统及方法 |
-
2020
- 2020-10-12 CN CN202011087707.2A patent/CN112182622A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102053969A (zh) * | 2009-10-28 | 2011-05-11 | 上海宝信软件股份有限公司 | webERP用户权限管理系统 |
CN105763522A (zh) * | 2014-12-18 | 2016-07-13 | 中兴通讯股份有限公司 | 授权处理方法及装置 |
US20190108004A1 (en) * | 2017-10-06 | 2019-04-11 | Chicago Mercantile Exchange Inc. | Dynamic tracer message logging based on bottleneck detection |
CN111695110A (zh) * | 2020-04-30 | 2020-09-22 | 中国南方电网有限责任公司 | 一种基于电力现货市场的信息数据权限管理系统及方法 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112883390A (zh) * | 2021-02-18 | 2021-06-01 | 腾讯科技(深圳)有限公司 | 一种权限控制方法、装置及存储介质 |
CN113486312B (zh) * | 2021-05-08 | 2023-08-18 | 北京易成时代科技有限公司 | 一种基于模式的访问控制设计方法 |
CN113486312A (zh) * | 2021-05-08 | 2021-10-08 | 北京易成时代科技有限公司 | 一种基于模式的访问控制设计方法 |
CN113282896A (zh) * | 2021-06-11 | 2021-08-20 | 上海数禾信息科技有限公司 | 权限管理方法及系统 |
CN113505996A (zh) * | 2021-07-13 | 2021-10-15 | 上海数禾信息科技有限公司 | 权限管理方法及装置 |
CN113590118A (zh) * | 2021-07-23 | 2021-11-02 | 南京赛宁信息技术有限公司 | 一种基于drf框架的资源权限控制装置与方法 |
CN113590118B (zh) * | 2021-07-23 | 2024-02-09 | 南京赛宁信息技术有限公司 | 一种基于drf框架的资源权限控制装置与方法 |
CN113792030A (zh) * | 2021-09-23 | 2021-12-14 | 重庆标能瑞源储能技术研究院有限公司 | 一种应用于大数据平台的设备虚拟结构管理方法 |
CN113792030B (zh) * | 2021-09-23 | 2023-11-24 | 重庆标能瑞源储能技术研究院有限公司 | 一种应用于大数据平台的设备虚拟结构管理方法 |
CN113869537A (zh) * | 2021-09-28 | 2021-12-31 | 广东电网有限责任公司 | 一种面向设备主人的变电站数据资产管理系统及方法 |
CN114567504A (zh) * | 2022-03-07 | 2022-05-31 | 福建天晴在线互动科技有限公司 | 一种基于web架构的动态权限交叉管理方法及系统 |
CN114567504B (zh) * | 2022-03-07 | 2023-08-25 | 福建天晴在线互动科技有限公司 | 一种基于web架构的动态权限交叉管理方法及系统 |
CN114662134A (zh) * | 2022-05-19 | 2022-06-24 | 深圳市瓴码云计算有限公司 | 一种权限管理方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112182622A (zh) | 一种基于资源控制的权限管理系统设计方法 | |
CN110443010B (zh) | 一种在信息系统中权限可视化配置控制方法、装置、终端及存储介质 | |
CN103425778B (zh) | 一种数据库应用系统的智能化开发平台 | |
CN101256605B (zh) | 企业权利框架 | |
CN110457891A (zh) | 一种权限配置界面显示方法、装置、终端以及存储介质 | |
CN102354356B (zh) | 数据权限管理装置和方法 | |
CN113392423B (zh) | 用户权限管理方法、系统及存储介质 | |
US20100198651A1 (en) | Integrated infrastructure operations management system and method | |
CN112182619A (zh) | 基于用户权限的业务处理方法、系统及电子设备和介质 | |
CN110807015A (zh) | 一种大数据资产价值交付管理方法及系统 | |
CN112906029B (zh) | 一种标识解析用户权限控制方法及系统 | |
CN101951377A (zh) | 分层授权管理方法和装置 | |
CN109344603A (zh) | 一种统一登录系统 | |
CN105184145A (zh) | 权限管理方法及管理装置 | |
CN110298189A (zh) | 数据库权限管理方法及设备 | |
CN111177480A (zh) | 一种区块链目录档案系统 | |
CN110348183A (zh) | 基于rbac的可快速配置的权限配置系统、方法和存储介质 | |
CN112445392A (zh) | 组织权限处理方法、装置、电子设备和存储介质 | |
JP5530173B2 (ja) | 組織構造管理ディレクトリを備えたディレクトリシステム及びそのプログラム | |
CN101957774B (zh) | 业务操作建模方法和装置 | |
CN113326495A (zh) | 基于区块链平台的专业技术职称电子证书管理系统 | |
CN113255000A (zh) | 数据访问控制方法、装置、电子设备及可读存储介质 | |
CN106875196A (zh) | 一种电商平台会员管理方法及系统 | |
JP2008052337A (ja) | デジタルデータファイル多属性評価分類操作管理プログラム | |
CN110348184B (zh) | 基于工业云的权限资源配置方法、系统和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |