CN112989373A - 一种基于rbac的分层授权控制管理引擎 - Google Patents

一种基于rbac的分层授权控制管理引擎 Download PDF

Info

Publication number
CN112989373A
CN112989373A CN202110252695.2A CN202110252695A CN112989373A CN 112989373 A CN112989373 A CN 112989373A CN 202110252695 A CN202110252695 A CN 202110252695A CN 112989373 A CN112989373 A CN 112989373A
Authority
CN
China
Prior art keywords
authorization
authority
access
data
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110252695.2A
Other languages
English (en)
Inventor
相飞
王桐
邓丘
王鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Huiyou Yunshang Technology Co ltd
Original Assignee
Beijing Huiyou Yunshang Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Huiyou Yunshang Technology Co ltd filed Critical Beijing Huiyou Yunshang Technology Co ltd
Priority to CN202110252695.2A priority Critical patent/CN112989373A/zh
Publication of CN112989373A publication Critical patent/CN112989373A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种基于RBAC的分层授权控制管理引擎,包括:权限控制基础服务、层级控制载体、授权服务及鉴权服务。通过RBAC授权系统与层级融合,在功能授权上可以将角色与层级绑定,实现按层级授权功能,在数据访问上可以根据层级进行数据筛选,实现按层级控制数据的访问访问,让业务可以进行分层管理、分层运营,该引擎可以对传统的连锁模式将业务迁移到线上做技术支撑;拥有足够的易用性和扩展性;可以适配不同层级管理的需求;实现上级自动管理下级,避免了授权的复杂操作,提供了系统管理员的工作效率。

Description

一种基于RBAC的分层授权控制管理引擎
技术领域
本发明属于物联网技术领域,尤其涉及一种基于RBAC的分层授权控制管理引擎。
背景技术
随着互联网给传统行业带来了新的格局,各行业将业务从线下搬到线上的过程也遇到了诸多挑战,如连锁品牌行业,以门店为最小单位,逐级划分运营管理职责,形成一个完整分层多级的连锁运营管理体系,这是在线下已经成熟的模式,但是要将这套模式搬到线上来,那就需要有一套可以支持分层级授权管理的系统来支撑,传统的授权管理系统主要用于功能管理,所以无法完全支持这种多层级运营的场景。
发明内容
为解决上述技术问题,本发明提供一种基于RBAC的分层授权控制管理引擎。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。
本发明采用如下技术方案:
在一些可选的实施例中,提供一种基于RBAC的分层授权控制管理引擎,包括:权限控制基础服务,用于提供权限数据缓存、权限数据存储及权限数据加载服务;层级控制载体,为用于体现授权目标上下级关系的结构;授权服务,用于为将系统的功能操作权限和数据访问权限赋予给角色再到人的过程提供支撑;鉴权服务,用于当人员访问系统时,判断该人员是否有访问相应资源或数据的权限。
在一些可选的实施例中,所述授权服务包括:应用授权接入机制,为确定待接入资源的名称、编码、授权类型、所属子系统的规范;资源导入单元,用于按照所述应用授权接入机制将资源导入系统;功能绑定单元,用于对资源进行封装;角色预置单元,为系统提供的预置角色入口。
在一些可选的实施例中,所述授权服务还包括:预置角色授权管理单元,用于将预置角色赋予到人,令被赋予角色的人拥有相应的权限;普通角色授权管理单元,用于将普通角色赋予到人,令被赋予角色的人拥有相应的权限;组织角色授权管理单元,用于将组织角色与所述层级控制载体进行关联;授权管理单元,用于提供授权到人的操作界面。
在一些可选的实施例中,所述鉴权服务包括:访问鉴权单元,用于通过URL或者资源Code进行权限识别,URL权限识别用于菜单访问控制,资源Code权限用于操作访问控制,同时由后端服务和前端组件共同完成访问鉴权;数据鉴权单元,用于在访问/显示范围上进行控制,限制各级管理员只能获取自身所在层级的数据,所述数据鉴权单元包括数据鉴权服务框架,所述数据鉴权服务框架是指用于数据鉴权的通用服务。
在一些可选的实施例中,所述的一种基于RBAC的分层授权控制管理引擎,还包括:应用层及权限接入接口与规范;所述权限接入接口与规范,包括:获取指定人员拥有的角色、功能、数据访问范围;应用层是指可以接入权限的应用。
本发明所带来的有益效果:通过RBAC授权系统与层级融合,在功能授权上可以将角色与层级绑定,实现按层级授权功能,在数据访问上可以根据层级进行数据筛选,实现按层级控制数据的访问访问,让业务可以进行分层管理、分层运营,该引擎可以对传统的连锁模式将业务迁移到线上做技术支撑;拥有足够的易用性和扩展性;可以适配不同层级管理的需求;实现上级自动管理下级,避免了授权的复杂操作,提供了系统管理员的工作效率。
附图说明
图1是本发明一种基于RBAC的分层授权控制管理引擎的示意图。
具体实施方式
以下描述和附图充分地展示出本发明的具体实施方案,以使本领域的技术人员能够实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求,否则单独的部件和功能是可选的,并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。
如图1所示,在一些说明性的实施例中,提供一种基于RBAC的分层授权控制管理引擎,基于RBAC权限模型基础上,可以支撑业务进行分层授权控制管理的引擎,让业务可以进行分层管理、分层运营,该引擎可以对传统的连锁模式将业务迁移到线上做技术支撑。
本发明的一种基于RBAC的分层授权控制管理引擎,包括:权限控制基础服务、层级控制载体、授权服务、鉴权服务、应用层及权限接入接口与规范。权限控制基础服务提供了传统RBAC的基础服务。鉴权服务和授权服务与层级控制载体进行关联,从而使接入应用可以根据层级节点之间上下级关系进行分级控制和管理,实现上级管理和查看下级业务和数据,平级之间实现相同业务数据隔离等连锁运营模式的支撑。
权限控制基础服务,用于提供权限数据缓存、权限数据存储及权限数据加载服务。
层级控制载体,是指用于体现授权目标上下级关系的结构,如:组织机构、职务级别、会员等级等等,只要能够体现上下级关系的结构都可以作为层级控制载体。
授权服务,用于为将系统的功能操作权限和数据访问权限赋予给角色再到人的过程提供支撑。将系统的功能操作权限和数据访问权限赋予给角色再到人的过程就是授权,为这个过程提供支撑的系统服务就是授权服务。
授权服务包括:应用授权接入机制、资源导入单元、功能绑定单元、角色预置单元、预置角色授权管理单元、普通角色授权管理单元、组织角色授权管理单元、群组角色授权管理单元、授权管理单元。
应用授权接入机制,为确定待接入资源的名称、编码、授权类型、所属子系统的规范,应用授权接入机制就是一套规范,确定待接入资源的名称、编码、授权类型、所属子系统等等。
资源导入单元,用于按照应用授权接入机制将资源导入系统。大到一个系统,小到一个按钮,都可以看做一个资源,如果资源是需要进行权限控制的,则需要按照应用授权接入机制,将该资源导入系统。
功能绑定单元,用于对资源进行封装。权限系统授权的最小粒度是功能,而功能可以包含1个或多个资源,所以可以授权个某个角色xxx管理功能,其实xxx管理功能包含了增删改查4个资源,这样被授权的角色就拥有了该功能增删改查的操作权限,也可以授权某个角色xxx修改功能,该功能只包含一个修改的操作权限。所以功能绑定是对资源的封装,让系统的授权看起来更有逻辑,更易用。
角色预置单元,为系统提供的预置角色入口。角色预置单元是指系统提供的预置角色入口,预置角色的意义在于让实施人员或者用户管理员可以快速的将功能用起来,避免因为对产品功能的不熟悉,无法配置或配置错误导致的无法使用问题;同时预置角色可以提前约定一些规则,通过这种提前的静态约定,可以提高系统性能。
预置角色授权管理单元,用于将预置角色赋予到人,令被赋予角色的人拥有相应的权限。
普通角色授权管理单元,用于将普通角色赋予到人,令被赋予角色的人拥有相应的权限。
组织角色授权管理单元,用于将组织角色与层级控制载体进行关联。组织角色是实现分层授权控制的重要角色类型。首选,组织角色需要与多层级载体进行管理,一旦关联以后,角色就拥有了层级属性;其次,再将角色赋予到人,人员就可以访问该角色拥有的功能以及对应组织层级的数据访问范围。
授权管理单元,用于提供授权到人的操作界面。
鉴权服务,用于当人员访问系统时,判断该人员是否有访问相应资源或数据的权限。
鉴权服务包括:访问鉴权单元、数据鉴权单元。
访问鉴权单元,用于通过URL或者资源Code进行权限识别,这部分功能由访问鉴权基础服务提供;URL权限识别用于菜单访问控制,资源Code权限用于操作访问控制;同时由后端服务,即拦截器和前端组件,即权限控制组件共同完成访问鉴权。
数据鉴权单元,用于在访问/显示范围上进行控制,限制各级管理员只能获取自身所在层级的数据,如:门店管理员只能查看本门店的数据,而不能查看其他门店的数据;而区域经理可以查看该区域下所有门店的数据等等。
数据鉴权单元与访问鉴权单元一起,形成了对分层运营的完整支撑。首先,访问鉴权可以按照不同角色可以拥有不同功能的思路,对各级管理员实现功能上的分层授权,各级管理员只能够操作被允许操作的功能;其次,数据权限在访问/显示范围上进行控制,保证各级管理员只能看见自己所在层级的数据。
数据鉴权单元包括:数据鉴权服务框架,数据鉴权服务框架是指用于数据鉴权的通用服务,如:通过应用回调的方式来确认当前用户是否有访问指定数据的权限。
权限接入接口与规范,包括:获取指定人员拥有的角色、功能、数据访问范围;应用层是指可以接入权限的应用。
通过RBAC授权系统与层级融合,在功能授权上可以将角色与层级绑定,实现按层级授权功能,在数据访问上可以根据层级进行数据筛选,实现按层级控制数据的访问访问,整套系统是由独立研发的RBAC系统融合层级管理系统完成。
本发明基于传统的RBAC模型,该模型已经足够成熟,拥有足够的易用性和扩展性;本发明针对多层管理和运营形成支撑,层级的载体是独立定义的,可以适配不同层级管理的需求,如:可以采用组织机构树作为层级的载体,也可以采用职务级别作为层级的载体,他们都可以是一个树形结构,天然就拥有上下层级关系;基于多层的授权管理,可以实现上级自动管理下级,避免了授权的复杂操作,提供了系统管理员的工作效率;为传统连锁模式的互联网转型,提供了可落地的技术方案。
本领域技术人员还应当理解,结合本文的实施例描述的各种说明性的逻辑框、模块、电路和算法步骤均可以实现成电子硬件、计算机软件或其组合。为了清楚地说明硬件和软件之间的可交换性,上面对各种说明性的部件、框、模块、电路和步骤均围绕其功能进行了一般地描述。至于这种功能是实现成硬件还是实现成软件,取决于特定的应用和对整个系统所施加的设计约束条件。熟练的技术人员可以针对每个特定应用,以变通的方式实现所描述的功能,但是,这种实现决策不应解释为背离本公开的保护范围。

Claims (5)

1.一种基于RBAC的分层授权控制管理引擎,其特征在于,包括:
权限控制基础服务,用于提供权限数据缓存、权限数据存储及权限数据加载服务;
层级控制载体,为用于体现授权目标上下级关系的结构;
授权服务,用于为将系统的功能操作权限和数据访问权限赋予给角色再到人的过程提供支撑;
鉴权服务,用于当人员访问系统时,判断该人员是否有访问相应资源或数据的权限。
2.根据权利要求1所述的一种基于RBAC的分层授权控制管理引擎,其特征在于,所述授权服务包括:
应用授权接入机制,为确定待接入资源的名称、编码、授权类型、所属子系统的规范;
资源导入单元,用于按照所述应用授权接入机制将资源导入系统;
功能绑定单元,用于对资源进行封装;
角色预置单元,为系统提供的预置角色入口。
3.根据权利要求2所述的一种基于RBAC的分层授权控制管理引擎,其特征在于,所述授权服务还包括:
预置角色授权管理单元,用于将预置角色赋予到人,令被赋予角色的人拥有相应的权限;
普通角色授权管理单元,用于将普通角色赋予到人,令被赋予角色的人拥有相应的权限;
组织角色授权管理单元,用于将组织角色与所述层级控制载体进行关联;
授权管理单元,用于提供授权到人的操作界面。
4.根据权利要求3所述的一种基于RBAC的分层授权控制管理引擎,其特征在于,所述鉴权服务包括:
访问鉴权单元,用于通过URL或者资源Code进行权限识别,URL权限识别用于菜单访问控制,资源Code权限用于操作访问控制,同时由后端服务和前端组件共同完成访问鉴权;
数据鉴权单元,用于在访问/显示范围上进行控制,限制各级管理员只能获取自身所在层级的数据,所述数据鉴权单元包括数据鉴权服务框架,所述数据鉴权服务框架是指用于数据鉴权的通用服务。
5.根据权利要求4所述的一种基于RBAC的分层授权控制管理引擎,其特征在于,还包括:应用层及权限接入接口与规范;所述权限接入接口与规范,包括:获取指定人员拥有的角色、功能、数据访问范围;应用层是指可以接入权限的应用。
CN202110252695.2A 2021-03-08 2021-03-08 一种基于rbac的分层授权控制管理引擎 Pending CN112989373A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110252695.2A CN112989373A (zh) 2021-03-08 2021-03-08 一种基于rbac的分层授权控制管理引擎

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110252695.2A CN112989373A (zh) 2021-03-08 2021-03-08 一种基于rbac的分层授权控制管理引擎

Publications (1)

Publication Number Publication Date
CN112989373A true CN112989373A (zh) 2021-06-18

Family

ID=76335275

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110252695.2A Pending CN112989373A (zh) 2021-03-08 2021-03-08 一种基于rbac的分层授权控制管理引擎

Country Status (1)

Country Link
CN (1) CN112989373A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116484356A (zh) * 2023-04-26 2023-07-25 安元科技股份有限公司 一种基于RBAC权限模型的npm包分级授权管理方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101478536A (zh) * 2008-12-08 2009-07-08 山东浪潮齐鲁软件产业股份有限公司 一种解决权限管理中访问控制的方法
CN101951377A (zh) * 2010-09-21 2011-01-19 用友软件股份有限公司 分层授权管理方法和装置
CN102053969A (zh) * 2009-10-28 2011-05-11 上海宝信软件股份有限公司 webERP用户权限管理系统
CN107257337A (zh) * 2017-06-15 2017-10-17 重庆扬讯软件技术股份有限公司 一种多端共享的权限控制方法及其系统
CN107342992A (zh) * 2017-06-27 2017-11-10 努比亚技术有限公司 一种系统权限管理方法、装置及计算机可读存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101478536A (zh) * 2008-12-08 2009-07-08 山东浪潮齐鲁软件产业股份有限公司 一种解决权限管理中访问控制的方法
CN102053969A (zh) * 2009-10-28 2011-05-11 上海宝信软件股份有限公司 webERP用户权限管理系统
CN101951377A (zh) * 2010-09-21 2011-01-19 用友软件股份有限公司 分层授权管理方法和装置
CN107257337A (zh) * 2017-06-15 2017-10-17 重庆扬讯软件技术股份有限公司 一种多端共享的权限控制方法及其系统
CN107342992A (zh) * 2017-06-27 2017-11-10 努比亚技术有限公司 一种系统权限管理方法、装置及计算机可读存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王鹏等: "基于RBAC的生产管理系统权限管理", 《信息系统》, no. 1, pages 49 - 52 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116484356A (zh) * 2023-04-26 2023-07-25 安元科技股份有限公司 一种基于RBAC权限模型的npm包分级授权管理方法及装置

Similar Documents

Publication Publication Date Title
US7284000B2 (en) Automatic policy generation based on role entitlements and identity attributes
US8978032B2 (en) Host naming application programming interface
US10104053B2 (en) System and method for providing annotated service blueprints in an intelligent workload management system
CA2803839C (en) Online service access controls using scale out directory features
US9047462B2 (en) Computer account management system and realizing method thereof
US8930668B2 (en) Storage black box
WO2020009894A1 (en) Access management tags
CN110990150A (zh) 容器云平台的租户管理方法、系统、电子设备及存储介质
CN111159134A (zh) 面向多租户的分布式文件系统安全访问控制方法及系统
JP2013533525A (ja) データベース・アプリケーションの集中制御のための方法、システム、およびコンピュータ・プログラム
CN105184144A (zh) 一种多系统权限管理方法
US8516138B2 (en) Multiple authentication support in a shared environment
CN109656879A (zh) 大数据资源管理方法、装置、设备及存储介质
EP2711860B1 (en) System and method for managing role based access control of users
US20050234966A1 (en) System and method for managing supply of digital content
CN111835820A (zh) 一种实现云管理的系统及方法
CN111651738A (zh) 基于前后端分离架构的细粒度角色权限统一管理方法及电子装置
CN107085597A (zh) 一种基于云架构的bim模型存储及浏览环境搭建方法
CN112989373A (zh) 一种基于rbac的分层授权控制管理引擎
CN103220172B (zh) 一种基于ldap用户权限管理的装置和方法
CN103136350B (zh) 一种在系统平台上运行多个应用的方法及装置
KR20070076342A (ko) 그리드 환경에서 사용자 그룹 역할/권한 관리 시스템 및접근 제어 방법
CN113347202A (zh) 一种集中账号管控平台的账号识别管理系统
CN111966977B (zh) 一种iam平台的资源管理系统
CN117879850A (zh) 一种基于自主可控桌面终端深度协同管控的域控管控装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination