CN113239373A - 权限管理系统 - Google Patents

权限管理系统 Download PDF

Info

Publication number
CN113239373A
CN113239373A CN202110489348.1A CN202110489348A CN113239373A CN 113239373 A CN113239373 A CN 113239373A CN 202110489348 A CN202110489348 A CN 202110489348A CN 113239373 A CN113239373 A CN 113239373A
Authority
CN
China
Prior art keywords
service
storage
management
layer
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110489348.1A
Other languages
English (en)
Inventor
代维佳
张国涛
方磊
李志昂
汪骥宇
李慧
罗意
陈逸涛
樊志强
李建池
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Research Institute of Nuclear Power Operation
China Nuclear Power Operation Technology Corp Ltd
Original Assignee
Research Institute of Nuclear Power Operation
China Nuclear Power Operation Technology Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Research Institute of Nuclear Power Operation, China Nuclear Power Operation Technology Corp Ltd filed Critical Research Institute of Nuclear Power Operation
Priority to CN202110489348.1A priority Critical patent/CN113239373A/zh
Publication of CN113239373A publication Critical patent/CN113239373A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/252Integrating or interfacing systems involving database management systems between a Database Management System and a front-end application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/133Protocols for remote procedure calls [RPC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种权限管理系统,包括:应用层,包括统一权限管理模块,用于统一用户管理、统一资源管理以及统一认证管理;控制层,对前端界面操作进行汇聚编译,根据前端界面操作的指令分别调用不同模块的API;数据库层,用于存放数据;镜像仓库层,用于系统服务镜像和用户运行服务镜像的本地化仓储;存储层,为系统存储的集成管理层,集成有多种存储类型;集群层,实现服务应用的编排、调度管理。通过本发明,采用微服务架构将各业务模块拆分成独立的子服务单独向外提供接口,子服务间互相通信完成数据共享以及跨业务模块之间的权限控制;采用可视化的操作界面,对角色、用户、权限进行配置关联,方便操作,提高授权效率。

Description

权限管理系统
技术领域
本发明涉及运维技术领域,尤其涉及一种权限管理系统。
背景技术
随着核电厂信息化的不断发展,在电厂应用的信息系统越来越多,这些系统中基本都包括用户权限控制模块,或者对接了对应的统一认证和权限管理平台,这样自主建设或者集成建设的模式可以满足一定的管理要求。同时也会带来平台间的集成数据认证、集成复杂、管理困难等问题,特别是在自主建设的管理模式中,在新增加用户或者删除用户时,需要在多个系统中进行权限操作和管理。在集成接入统一的权限管理系统中时,存在管理颗粒度较粗、可视化程度不高等问题。
发明内容
为解决上述技术问题,本发明提供一种权限管理系统。
本发明提供一种权限管理系统,所述权限管理系统包括:
应用层,包括统一权限管理模块,用于统一用户管理、统一资源管理以及统一认证管理;
控制层,对前端界面操作进行汇聚编译,根据前端界面操作的指令分别调用不同模块的API;
数据库层,基于MySQL实现,用于存放数据;
镜像仓库层,基于Harbor实现,用于系统服务镜像和用户运行服务镜像的本地化仓储;
存储层,为系统存储的集成管理层,集成有多种存储类型;
集群层,基于Kubernetes集群实现服务应用的编排、调度管理。
可选的,所述统一权限管理模块,用于创建组织、角色、用户信息,注册资源,创建登录用户,分配用户所拥有的角色和资源信息,其中,对角色和权限的绑定通过可视化的操作进行即时的绑定和解除。
可选的,应用层还包括:
用户工作台,用于协同管理、系统管理、接口管理以及系统配置;
业务模块,包括系统中基于不同微服务的业务功能实体模块。
可选的,所述控制层包括:
服务注册模块、服务配置模块、服务治理模块、API网关以及Redis集群;其中,用户请求端请求的信息通过API网关解析后返回权限判断的结果信息;用户请求端鉴权成功后返回的权限信息经API网关到对应的微服务中心;服务配置模块,预先配置各个微服务的服务中心地址;服务注册模块接收API网关的服务中心地址向服务中心发送消息,并在服务注册模块进行资源注册;微服务子程序监听来自API网关分发的HTTP请求。
可选的,所述API网关是在微服务架构模式下为前端应用提供统一的访问入口,通过路由策略实现目标服务的调用,从而简化每个微服务都需向前端应用暴露访问信息;服务治理模块,具有服务反向路由、安全认证、限流容错、监控及负载均衡等功能;服务注册模块,在微服务架构下提供服务相关信息的存储,微服务之间通过服务注册与服务发现实现微服务之间的调用,从而实现微服务之间的解耦;服务配置模块,为微服务提供多环境下的统一动态配置信息的存储,在各个运行环境下通过自动推拉的方式将更新的信息同步到微服务应用中;服务治理模块,对服务的运行状态及服务调用关系进行实时监控。
可选的,所述数据包括系统基础数据、日常操作数据以及配置型数据;其中,基础数据包括系统、业务基本信息数据;日常操作数据包括日志信息、流程待办信息、流程完结信息以及用户公告信息;配置型数据主要包括邮件配置信息、工作流模板配置信息、业务菜单结构配置信息以及系统主页信息。
可选的,所述镜像仓库层用于:
对服务镜像的版本管理以及服务镜像的安全扫描;实现不同仓库、仓库组之间的快速同步;结合控制层的对接集成实现不同租户间的仓库组隔离能力。
可选的,所述存储类型包括Ceph分布式存储、NFS共享型存储、ISCSI型存储、GFS存储以及本地磁盘存储,集成对接的存储将依托Kubernetes的StorageClass、PV、PVC资源为系统服务及上层应用提供具体的存储卷,后端存储层为每种存储类型提供了相应的Agent插件,在有存储卷需求并通过控制层发起后,存储插件使用Ceph创建rbd块存储设备,并Map到相应节点,实现自动挂载。
可选的,所述集群层分为Master控制节点以及Node计算节点;其中,Master控制节点,由三个紧密协作的独立组件组合而成,分别是负责API服务的kube-apiserver、负责调度的kube-scheduler,以及负责容器编排的kube-controller-manager;整个集群的持久化数据,由kube-apiserver处理后保存在Etcd中。
本发明中,应用层,包括统一权限管理模块,用于统一用户管理、统一资源管理以及统一认证管理;控制层,对前端界面操作进行汇聚编译,根据前端界面操作的指令分别调用不同模块的API;数据库层,基于MySQL实现,用于存放数据;镜像仓库层,基于Harbor实现,用于系统服务镜像和用户运行服务镜像的本地化仓储;存储层,为系统存储的集成管理层,集成有多种存储类型;集群层,基于Kubernetes集群实现服务应用的编排、调度管理。通过本发明,采用微服务架构将各业务模块模块拆分成独立的子服务单独向外提供接口,子服务间互相通信完成数据共享以及跨业务模块之间的权限控制;采用可视化的操作界面,对角色、用户、权限进行配置关联,方便操作,提高授权效率。
附图说明
图1本发明权限管理系统一实施例的架构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供了一种权限管理系统。
一实施例中,参照图1,图1本发明权限管理系统一实施例的架构示意图。如图1所示,权限管理系统包括:
应用层10,包括统一权限管理模块,用于统一用户管理、统一资源管理以及统一认证管理;
本实施例中,通过应用层10中的统一权限管理模块进行统一用户管理、统一资源管理以及统一认证管理。
进一步地,一实施例中,所述统一权限管理模块,用于创建组织、角色、用户信息,注册资源,创建登录用户,分配用户所拥有的角色和资源信息,其中,对角色和权限的绑定通过可视化的操作进行即时的绑定和解除。
本实施例中,本实施例中,在应用层10的统一权限管理模块中创建组织、角色、用户信息,注册资源,创建登录用户,分配用户所拥有的角色和资源信息,其中对角色和权限的绑定可以通过可视化的操作进行即时的绑定和解除。
进一步地,一实施例中,应用层10还包括:
用户工作台,用于协同管理、系统管理、接口管理以及系统配置;业务模块,包括系统中基于不同微服务的业务功能实体模块。
本实施例中,应用层10还包括用户工作台以及业务模块。其中,用户工作台用于协同管理、系统管理、接口管理以及系统配置,业务模块包括系统中基于不同微服务的业务功能实体模块。
控制层20,对前端界面操作进行汇聚编译,根据前端界面操作的指令分别调用不同模块的API;
本实施例中,控制层20主要负责前端界面操作的汇聚编译,所有的操作都会通过控制层进行处理,控制层20将会根据操作的指令分别调用不同模块的API实现。
进一步地,一实施例中,控制层20包括:
服务注册模块、服务配置模块、服务治理模块、API网关以及Redis集群;其中,用户请求端请求的信息通过API网关解析后返回权限判断的结果信息;用户请求端鉴权成功后返回的权限信息经API网关到对应的微服务中心;服务配置模块,预先配置各个微服务的服务中心地址;服务注册模块接收API网关的服务中心地址向服务中心发送消息,并在服务注册模块进行资源注册;微服务子程序监听来自API网关分发的HTTP请求。
本实施例中,控制层主要包括服务注册模块、服务配置模块、服务治理模块、API网关以及Redis集群。用户请求端请求的信息通过API网关解析后返回权限判断的结果信息,用户请求端鉴权成功后返回的权限信息经API网关路由到对应的微服务中心。服务配置模块预先配置各个微服务的服务中心地址,服务注册模块接收API网关路由的服务中心地址向服务中心发送消息,并在服务注册模块进行资源注册,微服务子程序开始监听来自API网关分发的HTTP请求。
进一步地,一实施例中,所述API网关是在微服务架构模式下为前端应用提供统一的访问入口,通过路由策略实现目标服务的调用,从而简化每个微服务都需向前端应用暴露访问信息;服务治理模块,具有服务反向路由、安全认证、限流容错、监控及负载均衡等功能;服务注册模块,在微服务架构下提供服务相关信息的存储,微服务之间通过服务注册与服务发现实现微服务之间的调用,从而实现微服务之间的解耦;服务配置模块,为微服务提供多环境下的统一动态配置信息的存储,在各个运行环境下通过自动推拉的方式将更新的信息同步到微服务应用中;服务治理模块,对服务的运行状态及服务调用关系进行实时监控。
本实施例中,API网关是在微服务架构模式下为前端应用提供统一的访问入口,通过路由策略实现目标服务的调用,从而简化每个微服务都需向前端应用暴露访问信息。服务治理模块具有服务反向路由、安全认证、限流容错、监控及负载均衡等功能。服务注册模块是在微服务架构下提供服务相关信息的存储,微服务之间通过服务注册与服务发现实现微服务之间的调用,从而实现微服务之间的解耦。服务配置模块是为微服务提供多环境下的统一动态配置信息的存储,在各个运行环境下通过自动推拉的方式将更新的信息同步到微服务应用中,极大的提高系统开发的生产效率,同时也会提高系统开发环境和生产环境运行的一致性。服务治理主要是为了解决微服务架构下服务数量庞大,调用关系复杂,对服务的运行状态及服务调用关系进行实时监控。
数据库层30,基于MySQL实现,用于存放数据;
本实施例中,数据库层30主要存放控制层运行的系统数据和用户各种操作产生的数据,基于MySQL实现。
进一步地,一实施例中,所述数据包括系统基础数据、日常操作数据以及配置型数据;其中,基础数据包括系统、业务基本信息数据;日常操作数据包括日志信息、流程待办信息、流程完结信息以及用户公告信息;配置型数据主要包括邮件配置信息、工作流模板配置信息、业务菜单结构配置信息以及系统主页信息。
本实施例中,数据库中存放的数据包括系统基础数据、日常操作数据、配置型数据,其中基础数据主要包括系统、业务基本信息数据,日常操作数据主要包括日志信息、流程待办信息、流程完结信息、用户公告信息,配置型数据主要包括邮件配置信息、工作流模板配置信息、业务菜单结构配置信息、系统主页信息。
镜像仓库层40,基于Harbor实现,用于系统服务镜像和用户运行服务镜像的本地化仓储;
本实施例中,镜像仓库层40是系统服务镜像和用户运行服务镜像的本地化仓储,基于Harbor实现。
进一步地,一实施例中,所述镜像仓库层40用于:
对服务镜像的版本管理以及服务镜像的安全扫描;实现不同仓库、仓库组之间的快速同步;结合控制层的对接集成实现不同租户间的仓库组隔离能力。
本实施例中,镜像仓库层40提供对服务镜像的版本管理、服务镜像的安全扫描,不同仓库、仓库组之间可快速同步,具备细分的角色权限设定,结合控制层的对接集成实现不同租户间的仓库组隔离能力,镜像相关数据通过数据库层进行存取,可以配置多种后端存储类型如本地存储,对象存储等,整体数据实现与服务解耦、无状态化运行,通过多副本运行方式,提供高可用能力。
存储层50,为系统存储的集成管理层,集成有多种存储类型;
本实施例中,存储层50是系统存储的集成管理层,可以集成多种存储类型。
进一步地,一实施例中,所述存储类型包括Ceph分布式存储、NFS共享型存储、ISCSI型存储、GFS存储以及本地磁盘存储,集成对接的存储将依托Kubernetes的StorageClass、PV、PVC资源为系统服务及上层应用提供具体的存储卷,后端存储层为每种存储类型提供了相应的Agent插件,在有存储卷需求并通过控制层发起后,存储插件使用Ceph创建rbd块存储设备,并Map到相应节点,实现自动挂载。
本实施例中,存储层50集成的多种存储类型如Ceph分布式存储、NFS共享型存储、ISCSI型存储、GFS存储、本地磁盘存储,集成对接的存储将依托Kubernetes的StorageClass、PV、PVC资源为系统服务及上层应用提供具体的存储卷,后端存储层为每种存储类型提供了相应的Agent插件,如集成Ceph时通过Storage-Agent实现操作自动化,在用户有存储卷需求并通过控制层发起后,存储插件将自动的使用Ceph创建rbd块存储设备,并Map到相应节点,并实现自动挂载。
集群层60,基于Kubernetes集群实现服务应用的编排、调度管理。
本实施例中,集群层60是系统核心部分,控制层所有操作的实际配置、变更地点,基于Kubernetes实现服务应用的编排、调度管理。
进一步地,一实施例中,集群层60分为Master控制节点以及Node计算节点;其中,Master控制节点,由三个紧密协作的独立组件组合而成,分别是负责API服务的kube-apiserver、负责调度的kube-scheduler,以及负责容器编排的kube-controller-manager;整个集群的持久化数据,由kube-apiserver处理后保存在Etcd中。
本实施例中,以docker为容器运行时选型,整体分为两部分,Master控制节点以及Node计算节点,其中其中控制节点,由三个紧密协作的独立组件组合而成,它们分别是负责API服务的kube-apiserver、负责调度的kube-scheduler,以及负责容器编排的kube-controller-manager。整个集群的持久化数据,则由kube-apiserver处理后保存在Etcd中。
进一步地,一实施例中,系统权限配置服务实施过程如下:
步骤一:构建微服务运行终端环境,每一个微服务都部署为单独的docker镜像;
步骤二:通过Kubernetes集群创建docker容器,容器云管理模块基于kubernetes、docker技术,提供应用管理、存储管理、服务编排、镜像管理、主机管理、集群管理、服务目录、日志管理、监控管理等一系列基础功能;
步骤三:构建微服务API网关、Redis集群和微服务统一权限服务;
步骤四:在微服务API网关中配置微服务路由和默认的安全认证鉴权策略;
步骤五:构建业务权限表结构,基于MySQL的数据库,存储数据信息;
步骤六:构建微服务应用层,包括:用户工作台、统一权限管理、业务模块;
步骤五:控制服务实体发出权限请求;
步骤六:请求信息经过微服务API网关,在API网关前置过滤器中以POST方式提交用户认证信息到统一权限管理;
其中,微服务API网关中包括访问令牌和刷新令牌两种,实现微服务之间相互调用时无状态会话机制,结合服务访问令牌和请求刷新令牌兼顾服务安全和性能;服务提供者接收到头部带有服务访问令牌的请求后,根据预先配置的加密私钥对令牌进行校验,校验通过后则确认访问令牌有效则正常处理请求并返回响应,否则返回禁止访问的响应信息。同时对比Redis集群中的访问令牌有效期是否到期,如果到期则生成刷新令牌并添加到请求头部返回,并在请求的头部加上访问令牌更新标志,服务消费者在获取响应后,根据响应请求头中的访问令牌更新标志和刷新令牌,更新本地客户端缓存中的访问令牌。
步骤七:根据统一权限管理模块配置的规则进行校验验证,校验通过后则确认访问有效并正常返回请求响应,否则返回禁止响应的请求。
其中,权限更新请求中携带角色权限标识和角色标识,获取原始权限系统中原始角色标识对应的原始角色权限标识;当原始权限系统中,不包含与角色权限标识完全相同的原始角色权限标识时,根据预设规则创建包含与角色标识对应的新增权限系统,其中,新增权限系统中的角色标识具有与角色权限标识对应的角色权限。由此,提供了灵活的角色权限设置方法,在角色权限变化时,实现了既不覆盖原有的角色权限,还可以提供新的角色权限服务;权限代码的的组成形式为:“菜单:页面:控件”的方式进行编码,其中冒号为英文符号,同时在权限管理中配置权限时会添加路径信息,方便角色和用户关联权限时能够及时生效。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (9)

1.一种权限管理系统,其特征在于,所述权限管理系统包括:
应用层,包括统一权限管理模块,用于统一用户管理、统一资源管理以及统一认证管理;
控制层,对前端界面操作进行汇聚编译,根据前端界面操作的指令分别调用不同模块的API;
数据库层,基于MySQL实现,用于存放数据;
镜像仓库层,基于Harbor实现,用于系统服务镜像和用户运行服务镜像的本地化仓储;
存储层,为系统存储的集成管理层,集成有多种存储类型;
集群层,基于Kubernetes集群实现服务应用的编排、调度管理。
2.如权利要求1所述的权限管理系统,其特征在于,所述统一权限管理模块,用于创建组织、角色、用户信息,注册资源,创建登录用户,分配用户所拥有的角色和资源信息,其中,对角色和权限的绑定通过可视化的操作进行即时的绑定和解除。
3.如权利要求1所述的权限管理系统,其特征在于,应用层还包括:
用户工作台,用于协同管理、系统管理、接口管理以及系统配置;
业务模块,包括系统中基于不同微服务的业务功能实体模块。
4.如权利要求1所述的权限管理系统,其特征在于,所述控制层包括:
服务注册模块、服务配置模块、服务治理模块、API网关以及Redis集群;其中,用户请求端请求的信息通过API网关解析后返回权限判断的结果信息;用户请求端鉴权成功后返回的权限信息经API网关到对应的微服务中心;服务配置模块,预先配置各个微服务的服务中心地址;服务注册模块接收API网关的服务中心地址向服务中心发送消息,并在服务注册模块进行资源注册;微服务子程序监听来自API网关分发的HTTP请求。
5.如权利要求4所述的权限管理系统,其特征在于,所述API网关是在微服务架构模式下为前端应用提供统一的访问入口,通过路由策略实现目标服务的调用,从而简化每个微服务都需向前端应用暴露访问信息;服务治理模块,具有服务反向路由、安全认证、限流容错、监控及负载均衡等功能;服务注册模块,在微服务架构下提供服务相关信息的存储,微服务之间通过服务注册与服务发现实现微服务之间的调用,从而实现微服务之间的解耦;服务配置模块,为微服务提供多环境下的统一动态配置信息的存储,在各个运行环境下通过自动推拉的方式将更新的信息同步到微服务应用中;服务治理模块,对服务的运行状态及服务调用关系进行实时监控。
6.如权利要求1所述的权限管理系统,其特征在于,所述数据包括系统基础数据、日常操作数据以及配置型数据;其中,基础数据包括系统、业务基本信息数据;日常操作数据包括日志信息、流程待办信息、流程完结信息以及用户公告信息;配置型数据主要包括邮件配置信息、工作流模板配置信息、业务菜单结构配置信息以及系统主页信息。
7.如权利要求1所述的权限管理系统,其特征在于,所述镜像仓库层用于:
对服务镜像的版本管理以及服务镜像的安全扫描;实现不同仓库、仓库组之间的快速同步;结合控制层的对接集成实现不同租户间的仓库组隔离能力。
8.如权利要求1所述的权限管理系统,其特征在于,所述存储类型包括Ceph分布式存储、NFS共享型存储、ISCSI型存储、GFS存储以及本地磁盘存储,集成对接的存储将依托Kubernetes的StorageClass、PV、PVC资源为系统服务及上层应用提供具体的存储卷,后端存储层为每种存储类型提供了相应的Agent插件,在有存储卷需求并通过控制层发起后,存储插件使用Ceph创建rbd块存储设备,并Map到相应节点,实现自动挂载。
9.如权利要求1所述的权限管理系统,其特征在于,所述集群层分为Master控制节点以及Node计算节点;其中,Master控制节点,由三个紧密协作的独立组件组合而成,分别是负责API服务的kube-apiserver、负责调度的kube-scheduler,以及负责容器编排的kube-controller-manager;整个集群的持久化数据,由kube-apiserver处理后保存在Etcd中。
CN202110489348.1A 2021-04-30 2021-04-30 权限管理系统 Pending CN113239373A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110489348.1A CN113239373A (zh) 2021-04-30 2021-04-30 权限管理系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110489348.1A CN113239373A (zh) 2021-04-30 2021-04-30 权限管理系统

Publications (1)

Publication Number Publication Date
CN113239373A true CN113239373A (zh) 2021-08-10

Family

ID=77132082

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110489348.1A Pending CN113239373A (zh) 2021-04-30 2021-04-30 权限管理系统

Country Status (1)

Country Link
CN (1) CN113239373A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114003214A (zh) * 2021-09-15 2022-02-01 北京思特奇信息技术股份有限公司 一种业务流程编排方法以及制备方法、系统、电子设备及存储介质
CN114117505A (zh) * 2022-01-26 2022-03-01 湖南湘生网络信息有限公司 一种基于控制组的通用bs架构权限管理控制系统
CN114357040A (zh) * 2021-11-30 2022-04-15 河南辉煌科技股份有限公司 一种基于微服务架构的高可用轨道交通安防集成平台
CN114726629A (zh) * 2022-04-12 2022-07-08 树根互联股份有限公司 权限配置方法、系统、装置、电子设备及可读存储介质
CN115426322A (zh) * 2022-08-23 2022-12-02 绿盟科技集团股份有限公司 一种虚拟存储的方法及装置
CN116016036A (zh) * 2022-11-17 2023-04-25 天翼云科技有限公司 一种基于托管容器的多用户集群构建方法、系统及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104935599A (zh) * 2015-06-18 2015-09-23 北京京东尚科信息技术有限公司 一种通用权限控制管理方法及系统
CN107786379A (zh) * 2017-11-15 2018-03-09 四川省龙逸凤集网络科技有限公司 一种基于微服务架构的分层云管理平台
CN110086822A (zh) * 2019-05-07 2019-08-02 北京智芯微电子科技有限公司 面向微服务架构的统一身份认证策略的实现方法及系统
CN110781476A (zh) * 2019-10-15 2020-02-11 南京南瑞信息通信科技有限公司 一种柔性微服务安全访问控制方法及系统
CN111447222A (zh) * 2020-03-26 2020-07-24 广东电网有限责任公司 一种基于微服务架构的分布式系统权限认证系统及方法
CN112131196A (zh) * 2020-09-09 2020-12-25 华人运通(上海)云计算科技有限公司 一种分布式日志处理方法、装置、终端设备及存储介质
CN112527349A (zh) * 2020-12-02 2021-03-19 航天科工网络信息发展有限公司 动态部署策略优化及持续部署业务保障系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104935599A (zh) * 2015-06-18 2015-09-23 北京京东尚科信息技术有限公司 一种通用权限控制管理方法及系统
CN107786379A (zh) * 2017-11-15 2018-03-09 四川省龙逸凤集网络科技有限公司 一种基于微服务架构的分层云管理平台
CN110086822A (zh) * 2019-05-07 2019-08-02 北京智芯微电子科技有限公司 面向微服务架构的统一身份认证策略的实现方法及系统
CN110781476A (zh) * 2019-10-15 2020-02-11 南京南瑞信息通信科技有限公司 一种柔性微服务安全访问控制方法及系统
CN111447222A (zh) * 2020-03-26 2020-07-24 广东电网有限责任公司 一种基于微服务架构的分布式系统权限认证系统及方法
CN112131196A (zh) * 2020-09-09 2020-12-25 华人运通(上海)云计算科技有限公司 一种分布式日志处理方法、装置、终端设备及存储介质
CN112527349A (zh) * 2020-12-02 2021-03-19 航天科工网络信息发展有限公司 动态部署策略优化及持续部署业务保障系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
涂翱翔: "基于微服务架构路由仿真平台的研究", 《硕士电子期刊》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114003214A (zh) * 2021-09-15 2022-02-01 北京思特奇信息技术股份有限公司 一种业务流程编排方法以及制备方法、系统、电子设备及存储介质
CN114357040A (zh) * 2021-11-30 2022-04-15 河南辉煌科技股份有限公司 一种基于微服务架构的高可用轨道交通安防集成平台
CN114117505A (zh) * 2022-01-26 2022-03-01 湖南湘生网络信息有限公司 一种基于控制组的通用bs架构权限管理控制系统
CN114726629A (zh) * 2022-04-12 2022-07-08 树根互联股份有限公司 权限配置方法、系统、装置、电子设备及可读存储介质
CN114726629B (zh) * 2022-04-12 2024-03-12 树根互联股份有限公司 权限配置方法、系统、装置、电子设备及可读存储介质
CN115426322A (zh) * 2022-08-23 2022-12-02 绿盟科技集团股份有限公司 一种虚拟存储的方法及装置
CN115426322B (zh) * 2022-08-23 2023-09-19 绿盟科技集团股份有限公司 一种虚拟存储的方法及装置
CN116016036A (zh) * 2022-11-17 2023-04-25 天翼云科技有限公司 一种基于托管容器的多用户集群构建方法、系统及装置

Similar Documents

Publication Publication Date Title
CN113239373A (zh) 权限管理系统
JP7454616B2 (ja) 分散型元帳におけるdagベースのトランザクション処理方法およびシステム
JP7000442B2 (ja) ブロックチェーンクラウドサービスのためのインターフェイスを提供するためのシステムおよび方法
US10079837B2 (en) Distributed topology enabler for identity manager
CN102255933B (zh) 云服务中介、云计算方法及云系统
CN112612629B (zh) 一种组件式的数据接口实现方法与系统
CN105981331B (zh) 用来支持流量政策执行的实体处理注册表
CN104272259A (zh) 用于在事务中间件机器环境中支持基于版本的路由的系统和方法
CN104866976A (zh) 面向多租户的管理信息系统
US10686792B1 (en) Apparatus and method for administering user identities across on premise and third-party computation resources
CN204695386U (zh) 面向多租户的管理信息系统
CN112417049A (zh) 一种基于区块链一体机的跨链交互方法与系统
CN112541190A (zh) 基于统一用户信息的地图分权控制方法及控制系统
CN113886794A (zh) 计算集群系统、安全鉴权方法、节点设备及存储介质
Ranawaka et al. Custos: Security middleware for science gateways
EP1280060A2 (en) A system for managing a computer network
CN113900727A (zh) 应用程序动态配置的对接系统及动态配置系统
CN101764791B (zh) 一种业务链中的用户身份验证方法、设备及系统
CN104471541B (zh) 促进混合应用环境的方法和计算机系统
CN103533094A (zh) 标码一体机及标码系统
CN114745757B (zh) 一种集群切换方法、装置、设备及介质
US8364837B2 (en) Virtual web service
CN113840013A (zh) 一种分级管理的文档系统
US20210136079A1 (en) Technology for computing resource liaison
CN111008888A (zh) 基于主控服务的售电平台管理系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210810