CN112597510B - 访问控制方法及装置 - Google Patents
访问控制方法及装置 Download PDFInfo
- Publication number
- CN112597510B CN112597510B CN202011482013.9A CN202011482013A CN112597510B CN 112597510 B CN112597510 B CN 112597510B CN 202011482013 A CN202011482013 A CN 202011482013A CN 112597510 B CN112597510 B CN 112597510B
- Authority
- CN
- China
- Prior art keywords
- object type
- inheritance
- model
- authority
- meta
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000005516 engineering process Methods 0.000 claims abstract description 55
- 230000010354 integration Effects 0.000 claims abstract description 33
- 238000004590 computer program Methods 0.000 claims description 13
- 238000011161 development Methods 0.000 abstract description 6
- 238000012360 testing method Methods 0.000 abstract description 4
- 230000000875 corresponding effect Effects 0.000 description 47
- 238000012795 verification Methods 0.000 description 47
- 230000000694 effects Effects 0.000 description 21
- 238000010586 diagram Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 13
- 238000012423 maintenance Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 239000000872 buffer Substances 0.000 description 4
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 230000008676 import Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种访问控制方法及装置,可用于金融领域或其他技术领域。所述方法包括:接收权限判断请求,权限判断请求包括对象类型及操作类型,并调用与对象类型对应的技术元整合模型;其中,技术元整合模型包括权限规则技术元模型与权限继承技术元模型;若根据利用权限规则技术元模型,获知对象类型不具有操作类型对应的权限信息,则利用权限继承技术元模型得到对象类型的继承信息,并根据继承信息及技术元整合模型,得到访问控制结果。本发明简化了访问控制实现的复杂度,可有效的加快访问控制的实现效率,对对象的访问控制权限进行继承,极大的减少开发及测试的工作量。
Description
技术领域
本发明涉及访问控制技术领域,尤指一种访问控制方法及装置。
背景技术
随着互联网和信息化技术的不断发展,应用面临的需求不断增长,对应用系统中管理的对象越来越多,访问控制要求越来越复杂,访问控制调整变动也越来越频繁,对应的版本发布频率也越来越快,需要一种快速的访问控制实现方法来应对这种情况。
目前业界主流的访问控制模型主要有自主访问控制(DAC)、强制访问控制(MAC)和基于角色访问控制(RBAC)三种。自主访问控制(DAC)和强制访问控制(MAC)属于传统的访问控制模型,实现工作量大且不便于管理,基于角色访问控制(RBAC)是当前信息系统中实现对象访问控制公认的有效方法。RBAC包括三个元素:用户、权限和角色。用户是对数据对象进行操作的主体,可以是人、机构和计算机等。权限是对具体数据对象可操作的权力。角色是一定数据的权限集合。在用户集合与权限集合之间建立一个角色集合,不将权限直接赋予用户而是通过分配适当的角色的方式让用户拥有需要的权限。这样的好处是不必在每次创建用户时都去定制用户需要具有的权限,而是直接使用定义好的角色赋予用户,而且角色的变动比用户变动的概率小得多,这样可以简化用户访问控制管理,减少系统开销。但在实际应用中,RBAC模型过于简单,难以适应复杂情况的需要。
目前,这种方式存在以下不足:1、访问控制权限与系统管理的对象间缺乏关联手段,需要额外的手段来将访问控制权限与对应对象进行关联;2、角色之间的继承关系与系统管理对象之间的上下级管理继承关系割裂,需要根据对象之间的上下级管理或继承梳理角色间的继承关系,工作量大且当管理对象之间的关系发生调整时,需要同步进行角色间关系的调整,维护成本大且容易出错;3、针对对象的权限校验规则未能形成统一的管理视图,为校验规则的复用和后续的统一升级改造、维护增加了难度。
发明内容
本发明实施例的主要目的在于提供一种访问控制方法及装置,实现访问控制权限与对象之间相关联,对象与对象之间具有继承关系,简化了访问控制实现的复杂度,有效的提高访问控制的实现效率。
为了实现上述目的,本发明实施例提供一种访问控制方法,所述方法包括:
接收权限判断请求,所述权限判断请求包括对象类型及操作类型,并调用与所述对象类型对应的技术元整合模型;其中,所述技术元整合模型包括权限规则技术元模型与权限继承技术元模型;
若根据所述权限规则技术元模型,获知所述对象类型不具有所述操作类型对应的权限信息,则利用所述权限继承技术元模型得到所述对象类型的继承信息,并根据所述继承信息及所述技术元整合模型,得到访问控制结果。
可选的,在本发明一实施例中,所述方法还包括:若根据所述权限规则技术元模型,获知所述对象类型具有所述操作类型对应的权限信息,则将所述权限信息作为访问控制结果。
可选的,在本发明一实施例中,所述权限规则技术元模型包括对象类型、对象关系以及对应于所述对象类型的操作类型的权限信息。
可选的,在本发明一实施例中,所述权限继承技术元模型包括对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;其中,所述对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型是根据所述权限规则技术元模型确定的。
可选的,在本发明一实施例中,所述技术元整合模型是通过如下方式建立的:根据所述权限规则技术元模型中的对象类型,识别所述权限继承技术元模型中对应的对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;将所述对象类型与上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型绑定,得到所述技术元整合模型。
可选的,在本发明一实施例中,所述利用所述权限继承技术元模型得到所述对象类型的继承信息,并根据所述继承信息及所述技术元整合模型,得到访问控制结果包括:利用所述权限继承技术元模型得到所述对象类型的继承信息,其中,所述继承信息包括所述对象类型对应的上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;调用与所述上级对象类型对应的技术元整合模型,判断所述上级对象类型是否具有所述对象类型对应的操作类型的权限信息,若没有,则利用上级对象类型对应的权限继承技术元模型得到所述上级对象类型的继承信息,直至得到所述对象类型对应的操作类型的权限信息,并将所述权限信息作为访问控制结果。
本发明实施例还提供一种访问控制装置,所述装置包括:
模型调用模块,用于接收权限判断请求,所述权限判断请求包括对象类型及操作类型,并调用与所述对象类型对应的技术元整合模型;其中,所述技术元整合模型包括权限规则技术元模型与权限继承技术元模型;
访问控制模块,用于若根据所述权限规则技术元模型,获知所述对象类型不具有所述操作类型对应的权限信息,则利用所述权限继承技术元模型得到所述对象类型的继承信息,并根据所述继承信息及所述技术元整合模型,得到访问控制结果。
可选的,在本发明一实施例中,所述访问控制模块还用于若根据所述权限规则技术元模型,获知所述对象类型具有所述操作类型对应的权限信息,则将所述权限信息作为访问控制结果。
可选的,在本发明一实施例中,所述权限规则技术元模型包括对象类型、对象关系以及对应于所述对象类型的操作类型的权限信息。
可选的,在本发明一实施例中,所述权限继承技术元模型包括对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;其中,所述对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型是根据所述权限规则技术元模型确定的。
可选的,在本发明一实施例中,所述装置还包括模型整合模块,用于根据所述权限规则技术元模型中的对象类型,识别所述权限继承技术元模型中对应的对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;将所述对象类型与上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型绑定,得到所述技术元整合模型。
可选的,在本发明一实施例中,所述访问控制模块包括:继承信息单元,用于利用所述权限继承技术元模型得到所述对象类型的继承信息,其中,所述继承信息包括所述对象类型对应的上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;模型调用单元,用于调用与所述上级对象类型对应的技术元整合模型,判断所述上级对象类型是否具有所述对象类型对应的操作类型的权限信息,若没有,则利用上级对象类型对应的权限继承技术元模型得到所述上级对象类型的继承信息,直至得到所述对象类型对应的操作类型的权限信息,并将所述权限信息作为访问控制结果。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述方法的计算机程序。
本发明利用访问控制权限与对象之间的关联,简化了访问控制实现的复杂度,可有效的加快访问控制的实现效率,利用对象与对象之间的管理和继承关系,对对象的访问控制权限进行继承,极大的减少开发及测试的工作量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一种访问控制方法的流程图;
图2为本发明实施例中权限规则技术元模型的示意图;
图3为本发明实施例中对象关联关系的示意图;
图4为本发明实施例中技术元模型整合的流程图;
图5为本发明实施例中应用访问控制方法的系统的结构示意图;
图6为本发明实施例中应用访问控制方法的系统中通用权限校验模板工作流程图;
图7为本发明一具体实施例中任务“缴存保证金”关系数据示意图;
图8为本发明实施例一种访问控制装置的结构示意图;
图9为本发明一实施例所提供的电子设备的结构示意图。
具体实施方式
本发明实施例提供一种访问控制方法及装置,可用于金融领域或其他技术领域。需要说明的是,本发明的访问控制方法及装置可用于金融领域,也可用于除金融领域之外的任意领域,本发明的访问控制方法及装置应用领域不做限定。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的访问控制方法的执行主体包括但不限于计算机。如图1所示为本发明实施例一种访问控制方法的流程图,图中所示方法包括:
步骤S1,接收权限判断请求,所述权限判断请求包括对象类型及操作类型,并调用与所述对象类型对应的技术元整合模型;其中,所述技术元整合模型包括权限规则技术元模型与权限继承技术元模型。
其中,权限判断请求中的对象类型可以为业务领域、价值流、活动及任务等,操作类型可以为查询、新增、更新及删除等。进一步的,配置权限规则技术元模型一般可以在Eclipse上安装AmaterasUML插件,按照绘制类图的方式绘制对象权限元素单元,包括需要的对象类型、对象的权限校验规则(对应于操作类型)。绘制的对象权限元素单元可以进行相互关联,关联后结合权限继承技术元模型动态的进行权限的继承。此外,权限判断请求可以来自页面前端、自身系统调用或者外部调用等。
作为本发明的一个实施例,权限规则技术元模型包括对象类型、对象关系以及对应于所述对象类型的操作类型的权限信息。
具体的,如图2所示为四个对象权限元素单元,业务领域(BusinessDomain)为最顶层对象,权限规则技术元模型上定义了多种权限校验规则,包括查询(queryRule)、新增(addRule)、更新(updateRule)、删除(deleteRule)、其它(otherRule)五种不同操作类型的权限校验规则,价值流(ValueFlow)通过关系完全继承业务领域的权限,没有自定义自身的权限校验规则;活动(Activity)全部继承价值流的权限也就是间接继承了业务领域的权限校验规则,并且活动也定义了自身的更新权限规则(updateRule);任务(Task)通过关系继承了活动的查询规则,也就是间接继承了业务领域的查询规则,通过关系继承了业务领域的权限规则,并且定义了自身的删除规则(deleteRule)。绘制完成后,将得到的权限规则技术元模型导出为.ecore文件,用做后续技术元模型整合。
在本实施例中,权限继承技术元模型包括对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;其中,所述对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型是根据所述权限规则技术元模型确定的。
具体的,权限继承技术元模型是通过预设权限继承参数表建立的,权限继承参数表用于配置对应的权限继承技术元模型参数。权限继承参数表如表1所示。
表1
| 参数名称 | 说明 |
| model_name | 模型英文名称,给对象设定分类的英文名称 |
| model_cname | 模型中文名称 |
| class_name | 对象类型,对象类型的英文名称 |
| class_cname | 对象类型中文名称 |
| link_attr_ref | 当前对象类型继承上级对象的关系线 |
| upper_class_name | 上级对象类型 |
| upper_class_cname | 上级对象类型中文名称 |
| rules | 继承上级的规则范围 |
| top_class_name | 顶级对象类型 |
| top_class_cname | 顶级对象类型中文名称 |
其中,class_name为对象的类型,与权限规则技术元模型中的对象类型一一匹配。比如权限规则技术元模型中定义了业务领域(BusinessDomain),则配置权限继承技术元模型中对应的记录class_name为BusinessDomain,class_cname则为业务领域;link_attr_ref则为对象与其需要继承权限的上级对象间的关系线名称,因为两个对象之间可能存在多条关系,但并不是所有的关系都能作为权限继承的路径。如图3所示,业务实体(Entity)与业务领域(BusinessDomain)、任务(Task)有关系并且与任务(Task)有三根关系线,但业务上限定业务实体(Entity)的权限只能继承自与任务的创建(entityCTask)、更新(entityUTask)关系,则需要通过link_attr_ref来指定权限继承的路径,通过rules来指定继承的权限范围。表2为根据实际情况配置得到的权限继承技术元模型。
表2
在本实施例中,技术元整合模型是通过如下方式建立的:根据所述权限规则技术元模型中的对象类型,识别所述权限继承技术元模型中对应的对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;将所述对象类型与上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型绑定,得到所述技术元整合模型。
具体的,绘制完成权限规则技术元模型后,根据业务需要的对象关系及权限继承等配置权限继承技术元模型,并对两个技术元模型进行组合。如图4所示,产出的.ecore文件为需要进行权限校验的对象绑定的权限校验规则及其相互之间的关系,根据对象类型英文名称(唯一)识别权限继承技术元模型条目,在对象上绑定配置的权限继承关系、上级对象、继承权限的范围等信息,提供接口供调用方使用,具体组合后的数据格式如表3所示。
表3
步骤S2,若根据所述权限规则技术元模型,获知所述对象类型不具有所述操作类型对应的权限信息,则利用所述权限继承技术元模型得到所述对象类型的继承信息,并根据所述继承信息及所述技术元整合模型,得到访问控制结果。
在本实施例中,若对象类型具有操作类型对应的权限信息,则将权限信息作为访问控制结果。
其中,根据对象类型选取技术元整合模型后,判断在权限规则技术元模型中,对象类型是否配置有对应操作类型的权限信息,其中,权限信息包括操作类型对应的权限规则,如表3所示。若该对象类型没有配置相应的操作类型的权限信息,则利用权限继承技术元模型得到该对象类型的继承信息。具体的,该对象类型的继承信息包括对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型。根据该对象类型的上级对象类型再次调用对应的技术元整合模型,判断上级对象类型是否具有该操作类型的权限信息,若有,则将该权限信息作为访问控制结果输出,以完成权限继承。若没有,则再次获取上级对象类型对应的再上级对象类型,以此再次调用技术元整合模型,由此多次调用并判断,最终得到访问控制结果,
在本发明一具体实施例中,如图5所示为本发明实施例中应用访问控制方法的系统的结构示意图,图中所示系统包括:权限规则技术元模型、权限继承技术元模型、技术元模型整合模块、通用权限校验模板、权限校验规则库及数据库。本发明中使用SpringBoot框架实现通用权限校验模板和权限校验规则库中的规则组件。技术元模型整合模块将权限规则技术元模型和权限继承技术元模型进行整合,供通用权限校验模板调用,由此自动产生访问控制校验的功能,用于进行访问控制校验。通用权限校验模板使用访问控制校验功能,根据对象与权限规则技术元模型自动拼装校验规则库中的规则,并结合对象权限继承技术元模型进行权限校验,将校验结果返回给调用方。
在本发明一具体实施例中,如图6所示为通用权限校验模板工作方式,下面结合图6,通过具体场景说明系统的访问控制过程。
系统对对象类型为任务(Task),对象名称为“缴存保证金”的对象进行查询权限的判别,“缴存保证金”在系统中的对象关联关系如图7所示。系统接收到权限判断请求,权限判断请求中包括对象类型为任务(Task),对象的唯一标识,操作类型,用户的标识。根据权限判断请求的对象类型为任务(Task),通用权限校验模板调用技术元模型整合模块获取得到如表4所示的权限规则技术元模型与权限继承技术元模型整合后的数据,返回的数据表示对象类型为任务(Task)的权限规则,定义了自身的删除规则为具有“001”岗位标识的用户有权进行删除操作;通过“任务的管理业务领域”关系线继承了上层对象业务领域(BusinessDomain)的新增规则和维护规则;通过“任务服务的活动”关系线继承了上层对象活动(Activity)的查询规则。本次校验的操作类型为查询,通用权限校验模板判别任务(Task)没有定义自身的查询规则,根据技术元模型整合模块返回的数据,任务(Task)通过任务服务的活动继承了活动的查询规则。根据图7的关系,任务“缴存保证金”的任务服务的活动关系指向了活动(Activity)“签订合作协议”,此时组织新的权限判断参数,对象类型为活动(Activity)、“签订合作协议”对象的唯一标识,操作类型为查询,用户的标识递归调用通用权限校验模板。
表4
通用权限校验模板接收到权限判断请求,请求中包括对象类型为活动(Activity),对象的唯一标识,操作类型,用户的标识。根据请求的对象类型为活动(Activity),通用权限校验模板调用技术元模型整合模块获取得到如表5所示的权限规则技术元模型与权限继承技术元模型整合后的数据,返回的数据表示对象类型为活动(Activity)的权限规则,定义了自身的维护规则为具有“009”岗位标识的用户有权进行维护操作;通过“活动所属价值流”关系线继承了上层对象价值流(ValueFlow)的全部规则。本次校验的操作类型为查询,通用权限校验模板判别活动(Activity)没有定义自身的查询规则,根据技术元模型整合模块返回的数据,活动(Activity)通过活动所属的价值流继承了价值流的全部规则。根据图7的关系,活动“签订合作协议”的活动所属价值流关系指向了价值流(ValueFlow)“维护合作方”,此时组织新的权限判断参数,对象类型为价值流(ValueFlow)、“维护合作方”对象唯一标识,操作类型为查询,用户的标识递归调用通用权限校验模板。
表5
通用权限校验模板接收到权限判断请求,权限判断请求中包括对象类型为价值流(ValueFlow),对象的唯一标识,操作类型,用户的标识。根据请求的对象类型为价值流(ValueFlow),通用权限校验模板调用技术元模型整合模块获取得到如表6所示的权限规则技术元模型与权限继承技术元模型整合后的数据,返回的数据表示对象类型为价值流(ValueFlow)的权限规则,没有定义自身的权限规则;通过“价值流所属业务领域”关系线继承了上层对象业务领域(BusinessDomain)的全部规则。本次校验的操作类型为查询,通用权限校验模板判别价值流(ValueFlow)没有定义自身的查询规则,根据技术元模型整合模块返回的数据,价值流(ValueFlow)通过价值流所属业务领域继承了业务领域的全部规则。根据图7的关系,价值流“维护合作方”的价值流所属业务领域关系指向了业务领域(BusinessDomain)“分期付款”,此时组织新的权限判断参数,对象类型为业务领域(BusinessDomain)、“分期付款”对象的唯一标识,操作类型为查询,用户的标识递归调用通用权限校验模板。
表6
通用权限校验模板接收到权限判断请求,请求中包括对象类型为业务领域(BusinessDomain),对象的唯一标识,操作类型,用户的标识。根据请求的对象类型为业务领域(BusinessDomain),通用权限校验模板调用技术元模型整合模块获取得到如表7所示的权限校验技术元模型整合后的数据,返回的数据表示对象类型为业务领域(BusinessDomain)的权限规则,定义了自身的查询、新增、维护、删除、其它规则。本次校验的操作类型为查询,根据得到的数据,用户具有的岗位ID为001(查询柜员)则返回有权限,否则返回没有权限。
表7
权限校验规则库,权限校验规则库为springboot实现的权限校验功能,提供jar包服务供后端调用。权限校验规则库设置于权限规则技术元模型中,支持根据操作来设置不同的校验规则:queryRule、addRule、updateRule、deleteRule、otherRule分别对应查询、新增、更新、删除和其它定制化的权限,如导入、打印等。权限规则采用json格式进行设置。
表8
如表8所示,设置了业务领域(BusinessDomain)的权限规则技术元模型,查询权限为当前用户需要具有的岗位ID为001(查询柜员),新增权限为当前用户需要具有岗位ID为004(架构维护岗位)且所属部门必须是"0150100252","0018100020"部门ID所指向的部门,更新权限为当前用户需要具有岗位ID为008(对象管理员)且在业务领域的"enterpriseArchitect"(企业级架构师),"busDomainArchitect"(领域级架构师)栏位中,删除权限与更新权限一致,在otherRule中定义了导入权限为用户需要具有岗位ID为005(业务架构导入岗)。规则ID及说明如表9所示。
表9
| 规则ID | 说明 |
| post | 用户需要具有的岗位 |
| userIdIn | 用户需要是对象具体属性中的负责人 |
| branchIdIn | 用户需要是具体部门下的人 |
当进行业务领域(BusinessDomain)相关操作的权限校验时,会根据配置的技术元整合模型,加载权限校验规则库中对应的校验方法进行判断,将得到的结果返回。
本发明通过技术元模型配置访问控制权限与对象之间的关联,不需要额外的技术手段保证两者之间的关联。首先,根据管理的对象抽象得到对象的技术元整合模型,技术元整合模型包括对象的类型、访问控制规则。按照维护的技术元整合模型信息设定的规则,自动绑定对象及其访问控制规则的映射关系,根据实际访问情况动态的匹配得到相应的实现访问控制。通过技术元整合模型配置对象与对象之间的管理和继承关系,根据配置的关系对对象的访问控制权限进行继承。当业务上发生对象间关系调整时,仅需要调整对象之间的关系,即可自动适应权限继承逻辑的调整,无需进行程序开发,减少开发及测试的工作量。将对象的访问控制规则形成统一的规则库,保证了访问控制规则的可重用性和准确性,节省开发资源,便于后续的维护和升级。
如图8所示为本发明实施例一种访问控制装置的结构示意图,图中所示装置包括:
模型调用模块10,用于接收权限判断请求,所述权限判断请求包括对象类型及操作类型,并调用与所述对象类型对应的技术元整合模型;其中,所述技术元整合模型包括权限规则技术元模型与权限继承技术元模型;
访问控制模块20,用于若根据所述权限规则技术元模型,获知所述对象类型不具有所述操作类型对应的权限信息,则利用所述权限继承技术元模型得到所述对象类型的继承信息,并根据所述继承信息及所述技术元整合模型,得到访问控制结果。
作为本发明的一个实施例,访问控制模块还用于若根据所述权限规则技术元模型,获知所述对象类型具有所述操作类型对应的权限信息,则将所述权限信息作为访问控制结果。
作为本发明的一个实施例,权限规则技术元模型包括对象类型、对象关系以及对应于所述对象类型的操作类型的权限信息。
在本实施例中,权限继承技术元模型包括对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;其中,所述对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型是根据所述权限规则技术元模型确定的。
在本实施例中,装置还包括模型整合模块,用于根据所述权限规则技术元模型中的对象类型,识别所述权限继承技术元模型中对应的对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;将所述对象类型与上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型绑定,得到所述技术元整合模型。
在本实施例中,访问控制模块包括:
继承信息单元,用于利用所述权限继承技术元模型得到所述对象类型的继承信息,其中,所述继承信息包括所述对象类型对应的上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;
模型调用单元,用于调用与所述上级对象类型对应的技术元整合模型,判断所述上级对象类型是否具有所述对象类型对应的操作类型的权限信息,若没有,则利用上级对象类型对应的权限继承技术元模型得到所述上级对象类型的继承信息,直至得到所述对象类型对应的操作类型的权限信息,并将所述权限信息作为访问控制结果。
基于与上述一种访问控制方法相同的申请构思,本发明还提供了上述一种访问控制装置。由于该一种访问控制装置解决问题的原理与一种访问控制方法相似,因此该一种访问控制装置的实施可以参见一种访问控制方法的实施,重复之处不再赘述。
本发明利用访问控制权限与对象之间的关联,简化了访问控制实现的复杂度,可有效的加快访问控制的实现效率,利用对象与对象之间的管理和继承关系,对对象的访问控制权限进行继承,通过调整权限继承关系技术元模型,可自动适应权限继承逻辑的调整,无需进行程序开发,极大的减少开发及测试的工作量。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述方法的计算机程序。
如图9所示,该电子设备600还可以包括:通信模块110、输入单元120、音频处理器130、显示器160、电源170。值得注意的是,电子设备600也并不是必须要包括图9中所示的所有部件;此外,电子设备600还可以包括图9中没有示出的部件,可以参考现有技术。
如图9所示,中央处理器100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器100接收输入并控制电子设备600的各个部件的操作。
其中,存储器140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器100可执行该存储器140存储的该程序,以实现信息存储或处理等。
输入单元120向中央处理器100提供输入。该输入单元120例如为按键或触摸输入装置。电源170用于向电子设备600提供电力。显示器160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器140还可以是某种其它类型的装置。存储器140包括缓冲存储器141(有时被称为缓冲器)。存储器140可以包括应用/功能存储部142,该应用/功能存储部142用于存储应用程序和功能程序或用于通过中央处理器100执行电子设备600的操作的流程。
存储器140还可以包括数据存储部143,该数据存储部143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器140的驱动程序存储部144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块110即为经由天线111发送和接收信号的发送机/接收机。通信模块(发送机/接收机)110耦合到中央处理器100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)110还经由音频处理器130耦合到扬声器131和麦克风132,以经由扬声器131提供音频输出,并接收来自麦克风132的音频输入,从而实现通常的电信功能。音频处理器130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器130还耦合到中央处理器100,从而使得可以通过麦克风132能够在本机上录音,且使得可以通过扬声器131来播放本机上存储的声音。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1.一种访问控制方法,其特征在于,所述方法包括:
接收权限判断请求,所述权限判断请求包括对象类型及操作类型,并调用与所述对象类型对应的技术元整合模型;其中,所述技术元整合模型包括权限规则技术元模型与权限继承技术元模型;
若根据所述权限规则技术元模型,获知所述对象类型不具有所述操作类型对应的权限信息,则利用所述权限继承技术元模型得到所述对象类型的继承信息,并根据所述继承信息及所述技术元整合模型,得到访问控制结果;
其中,所述利用所述权限继承技术元模型得到所述对象类型的继承信息,并根据所述继承信息及所述技术元整合模型,得到访问控制结果包括:
利用所述权限继承技术元模型得到所述对象类型的继承信息,其中,所述继承信息包括所述对象类型对应的上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;
调用与所述上级对象类型对应的技术元整合模型,判断所述上级对象类型是否具有所述对象类型对应的操作类型的权限信息,若没有,则利用上级对象类型对应的权限继承技术元模型得到所述上级对象类型的继承信息,直至得到所述对象类型对应的操作类型的权限信息,并将所述权限信息作为访问控制结果。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:若根据所述权限规则技术元模型,获知所述对象类型具有所述操作类型对应的权限信息,则将所述权限信息作为访问控制结果。
3.根据权利要求1所述的方法,其特征在于,所述权限规则技术元模型包括对象类型、对象关系以及对应于所述对象类型的操作类型的权限信息。
4.根据权利要求3所述的方法,其特征在于,所述权限继承技术元模型包括对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;其中,所述对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型是根据所述权限规则技术元模型确定的。
5.根据权利要求4所述的方法,其特征在于,所述技术元整合模型是通过如下方式建立的:
根据所述权限规则技术元模型中的对象类型,识别所述权限继承技术元模型中对应的对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;
将所述对象类型与上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型绑定,得到所述技术元整合模型。
6.一种访问控制装置,其特征在于,所述装置包括:
模型调用模块,用于接收权限判断请求,所述权限判断请求包括对象类型及操作类型,并调用与所述对象类型对应的技术元整合模型;其中,所述技术元整合模型包括权限规则技术元模型与权限继承技术元模型;
访问控制模块,用于若根据所述权限规则技术元模型,获知所述对象类型不具有所述操作类型对应的权限信息,则利用所述权限继承技术元模型得到所述对象类型的继承信息,并根据所述继承信息及所述技术元整合模型,得到访问控制结果;
其中,所述访问控制模块包括:
继承信息单元,用于利用所述权限继承技术元模型得到所述对象类型的继承信息,其中,所述继承信息包括所述对象类型对应的上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;
模型调用单元,用于调用与所述上级对象类型对应的技术元整合模型,判断所述上级对象类型是否具有所述对象类型对应的操作类型的权限信息,若没有,则利用上级对象类型对应的权限继承技术元模型得到所述上级对象类型的继承信息,直至得到所述对象类型对应的操作类型的权限信息,并将所述权限信息作为访问控制结果。
7.根据权利要求6所述的装置,其特征在于,所述访问控制模块还用于若根据所述权限规则技术元模型,获知所述对象类型具有所述操作类型对应的权限信息,则将所述权限信息作为访问控制结果。
8.根据权利要求6所述的装置,其特征在于,所述权限规则技术元模型包括对象类型、对象关系以及对应于所述对象类型的操作类型的权限信息。
9.根据权利要求8所述的装置,其特征在于,所述权限继承技术元模型包括对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;其中,所述对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型是根据所述权限规则技术元模型确定的。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括模型整合模块,用于根据所述权限规则技术元模型中的对象类型,识别所述权限继承技术元模型中对应的对象类型名称、上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型;将所述对象类型与上级对象类型、对象类型继承上级对象的关系线、继承上级对象的规则范围及顶级对象类型绑定,得到所述技术元整合模型。
11.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至5任一项所述方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至5任一项所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011482013.9A CN112597510B (zh) | 2020-12-16 | 2020-12-16 | 访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011482013.9A CN112597510B (zh) | 2020-12-16 | 2020-12-16 | 访问控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112597510A CN112597510A (zh) | 2021-04-02 |
| CN112597510B true CN112597510B (zh) | 2024-01-30 |
Family
ID=75196541
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011482013.9A Active CN112597510B (zh) | 2020-12-16 | 2020-12-16 | 访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112597510B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113569257B (zh) * | 2021-06-29 | 2023-08-22 | 中国人民财产保险股份有限公司 | 灰度发布中的用户权限管理方法和装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102012981A (zh) * | 2010-11-16 | 2011-04-13 | 传神联合(北京)信息技术有限公司 | 一种通用权限等级分配与匹配方法及其系统 |
| CN103078859A (zh) * | 2012-12-31 | 2013-05-01 | 普天新能源有限责任公司 | 业务系统权限管理方法、设备及系统 |
| CN104156640A (zh) * | 2014-08-01 | 2014-11-19 | 浪潮软件股份有限公司 | 一种数据访问权限控制方法 |
| CN108920914A (zh) * | 2018-05-02 | 2018-11-30 | 中国银联股份有限公司 | 一种权限控制方法及装置 |
| CN109241358A (zh) * | 2018-08-14 | 2019-01-18 | 中国平安财产保险股份有限公司 | 元数据管理方法、装置、计算机设备及存储介质 |
| CN109344601A (zh) * | 2018-10-11 | 2019-02-15 | 四川大学 | 一种角色权限访问控制方法及系统 |
| CN110795137A (zh) * | 2018-08-03 | 2020-02-14 | 北京京东金融科技控股有限公司 | 权限配置方法、装置、系统、电子设备及可读介质 |
-
2020
- 2020-12-16 CN CN202011482013.9A patent/CN112597510B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102012981A (zh) * | 2010-11-16 | 2011-04-13 | 传神联合(北京)信息技术有限公司 | 一种通用权限等级分配与匹配方法及其系统 |
| CN103078859A (zh) * | 2012-12-31 | 2013-05-01 | 普天新能源有限责任公司 | 业务系统权限管理方法、设备及系统 |
| CN104156640A (zh) * | 2014-08-01 | 2014-11-19 | 浪潮软件股份有限公司 | 一种数据访问权限控制方法 |
| CN108920914A (zh) * | 2018-05-02 | 2018-11-30 | 中国银联股份有限公司 | 一种权限控制方法及装置 |
| CN110795137A (zh) * | 2018-08-03 | 2020-02-14 | 北京京东金融科技控股有限公司 | 权限配置方法、装置、系统、电子设备及可读介质 |
| CN109241358A (zh) * | 2018-08-14 | 2019-01-18 | 中国平安财产保险股份有限公司 | 元数据管理方法、装置、计算机设备及存储介质 |
| CN109344601A (zh) * | 2018-10-11 | 2019-02-15 | 四川大学 | 一种角色权限访问控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112597510A (zh) | 2021-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113271211B (zh) | 一种数字身份验证系统、方法、电子设备及存储介质 | |
| CN111767095A (zh) | 微服务生成方法、装置、终端设备及存储介质 | |
| CN105701122A (zh) | 一种日志收集方法、装置及系统 | |
| TW201439792A (zh) | 資料庫訪問系統及方法 | |
| CN111177252A (zh) | 一种业务数据的处理方法及装置 | |
| CN112511653B (zh) | 物联网设备的服务权限激活方法、配置方法及注册方法 | |
| CN111241559A (zh) | 训练模型保护方法、装置、系统、设备和计算机存储介质 | |
| WO2021248477A1 (zh) | 多媒体展馆的中央控制系统及其控制方法和装置 | |
| CN113051269A (zh) | 表单配置方法及装置 | |
| CN112597510B (zh) | 访问控制方法及装置 | |
| CN112150030A (zh) | 基于多单位多身份的账号管理方法、终端设备及存储介质 | |
| CN113271364B (zh) | 服务编排数据的共享系统、方法、计算机设备及存储介质 | |
| CN106990974A (zh) | 一种app应用更新方法、装置及电子设备 | |
| CN111262747B (zh) | 基于物联网的设备入网控制方法及物联网平台 | |
| CN106569408B (zh) | 一种智能设备的个性化信息的处理系统、方法及装置 | |
| CN114443039A (zh) | 输入参数校验方法、装置、电子设备及存储介质 | |
| CN111443903A (zh) | 软件开发文件获取方法及装置、电子设备、存储介质 | |
| CN110852649A (zh) | 资源管理方法、终端、装置及可读存储介质 | |
| CN115407981A (zh) | 一种基于中间件适配的前端数据mock方法及系统 | |
| CN113381909B (zh) | 全链路压测方法及装置 | |
| US20230198760A1 (en) | Verified presentation of non-fungible tokens | |
| CN113779132A (zh) | 一种数据导入的方法、装置、计算机设备和存储介质 | |
| CN113742212A (zh) | 一种新旧系统迁移测试方法及装置 | |
| CN113220762A (zh) | 大数据应用中实现关键业务字段变更的通用记录处理的方法、装置、处理器及其存储介质 | |
| CN112102058A (zh) | 管会系统参数配置方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |