CN113392423B - 用户权限管理方法、系统及存储介质 - Google Patents
用户权限管理方法、系统及存储介质 Download PDFInfo
- Publication number
- CN113392423B CN113392423B CN202110942763.8A CN202110942763A CN113392423B CN 113392423 B CN113392423 B CN 113392423B CN 202110942763 A CN202110942763 A CN 202110942763A CN 113392423 B CN113392423 B CN 113392423B
- Authority
- CN
- China
- Prior art keywords
- organization
- data
- role
- application
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种多层级多组织的用户权限管理方法、系统及存储介质,该方法包括:获取预先配置的待管控权限的资源列表;对资源列表中待访问资源按照预设的应用访问层级结构进行标记;按照应用访问层级结构,对标记的待访问资源进行注册;基于预设的组织结构为各组织层级配置对应的应用账号和角色;根据组织层级和/或应用访问层级为角色分配对应的应用角色权限;基于分配的应用角色权限进行用户权限管理。本发明方案可以做到从结构到数据的全方位数据安全,使得企业中的所有员工根据自身角色权限安全的进行数据访问,减少了数据泄漏的风险,实现了企业数据权限的有效管控,提升了企业信息安全性及企业的市场竞争力;减少重复开发成本。
Description
技术领域
本发明涉及企业管理技术领域,尤其涉及一种多层级多组织的用户权限管理方法、系统及存储介质。
背景技术
随着企业的不断发展,积累了大量的技术能力,拥有强大的市场竞争力,企业核心数据的安全性就显得特别重要,但企业的层级也越来越多,内部的组织结构也越来越复杂,如何保证数据安全,管控用户权限成为企业的首要问题。
现在市场上大多数软件产品都只有固定的几个角色权限或者仅有几个权限可配置,不能很好的做到数据隔离,有的甚至没有任何角色权限管控,所有人都可以查看企业敏感数据。这种企业数据不做任何权限管控或管控能力不足,会使得企业数据面临非常大的安全问题,比如内部信息过于透明,导致重要数据被窃取,失去市场竞争力。
发明内容
本发明的主要目的在于提供一种多层级多组织的用户权限管理方法、系统及存储介质,旨在实现企业数据权限的有效管控,提升企业信息安全性,提升企业市场竞争力。
为实现上述目的,本发明实施例提供一种用户权限管理方法,所述方法包括以下步骤:
获取预先配置的待管控权限的资源列表;
对所述资源列表中待访问资源按照预设的应用访问层级结构进行标记;
按照所述应用访问层级结构,对标记的待访问资源进行注册;
基于预设的组织结构为各组织层级配置对应的应用账号和角色;
根据所述组织层级和/或应用访问层级为所述角色分配对应的应用角色权限;
基于分配的应用角色权限进行用户权限管理。
可选地,所述对所述资源列表中待访问资源按照预设的应用访问层级结构进行标记的步骤包括:
在应用前端进行埋点,对所述资源列表中待访问资源按照栏目、页面、字段的层级结构进行标记,其中,所述栏目包括一级或多级目录,所述页面包括每个所述栏目中可单独浏览操作的页面,所述字段包括所述页面中的最小操作单元的功能模块。
可选地,所述应用访问层级结构为树形层级结构,所述按照所述应用访问层级结构,对标记的待访问资源进行注册的步骤包括:
按照树形层级结构新增节点信息,所述节点信息包括:所述标记的待访问资源的资源名称、资源类型、请求方式和资源地址中的一种或多种,所述资源类型包括埋点标记时所述节点所属的层级。
可选地,所述按照所述应用访问层级结构,对标记的待访问资源进行注册的步骤还包括:
基于所述标记的待访问资源,对各应用访问层级的节点,录入对应的待访问数据,并对所述待访问数据进行数据分类和数据分级。
可选地,所述基于预设的组织结构为各组织层级配置对应的应用账号和角色的步骤包括:
基于预设的企业树形组织结构,为各组织层级配置对应的应用账号,并录入对应的应用账号;
为每一应用账号分配一个或多个角色;
为每个角色录入角色信息,所述角色信息包括:角色名称、所属组织、资源配置、权限分类与权限分级。
可选地,所述基于预设的组织结构为各组织层级配置对应的应用账号和角色的步骤之前还包括:
编辑企业树形组织结构,所述企业树形组织结构包括最顶层节点以及位于所述最顶层节点之下的若干子节点,其中,所述最顶层节点为企业总部,所述子节点为企业分部和/或各类职能部门,每一所述子节点下还设置下一层的子节点,以此类推,形成企业整体组织结构树。
可选地,所述根据所述组织层级和/或应用访问层级为所述角色分配对应的应用角色权限的步骤包括:
确定所述企业树形组织结构的各组织层级中是否存在独立组织;
对于没有独立组织存在的企业树形组织结构分枝上,所述角色的应用角色权限分配规则为:所有组织数据均可互相访问;
对于存在独立组织的企业树形组织结构分枝上,所述角色的应用角色权限分配规则为:当前独立组织的父组织及以上组织可访问该当前独立组织的数据,其同级组织不可访问该当前独立组织及子组织数据,该当前独立组织也不可访问其他同级组织数据;和/或
根据所述应用访问层级为所述角色分配对应的应用角色权限;和/或
根据所述待访问数据的数据分类和数据分级为所述角色对应分配数据分类权限和数据分级权限。
可选地,所述基于分配的应用角色权限进行用户权限管理的步骤包括:
在接收到访问指令时,获取所述访问指令对应用户所分配的角色;
根据所述访问指令对应用户的角色,确定对应的应用角色权限;
基于所述对应的应用角色权限输出相应的访问数据。
此外,本发明实施例还提出一种用户权限管理系统,所述用户权限管理系统包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的用户权限管理方法。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的用户权限管理方法。
本发明实施例提出的多层级多组织的用户权限管理方法、系统及存储介质,通过获取预先配置的待管控权限的资源列表;对所述资源列表中待访问资源按照预设的应用访问层级结构进行标记;按照所述应用访问层级结构,对标记的待访问资源进行注册;基于预设的组织结构为各组织层级配置对应的应用账号和角色;根据所述组织层级和/或应用访问层级为所述角色分配对应的应用角色权限;基于分配的应用角色权限进行用户权限管理。由此从组织结构、应用访问层级结构进行应用角色权限分配和管理,其中,可以实现用户账号根据分配的角色,在不同组织结构间数据有隔离、同组织中应用功能板块使用有隔离、同功能板块中数据类别有隔离、同类别的数据中数据级别有隔离,做到从结构到数据的全方位数据安全,使得企业中的所有员工根据自身角色权限安全的进行数据访问,减少了数据泄漏的风险,实现了企业数据权限的有效管控,提升了企业信息安全性,以及企业的市场竞争力;同时整个权限具有高可配置性,能灵活的依据不同使用场景,为员工建立对应的使用权限,减少重复开发成本。
附图说明
图1为本发明用户权限管理装置所属系统的功能模块示意图;
图2为本发明实施例涉及的用户权限管理系统的应用系统架构示意图;
图3为本发明实施例涉及的组织结构中组织访问权限示意图;
图4为本发明用户权限管理方法一示例性实施例的流程示意图;
图5为本发明用户权限管理方法的应用流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:通过获取预先配置的待管控权限的资源列表;对所述资源列表中待访问资源按照预设的应用访问层级结构进行标记;按照所述应用访问层级结构,对标记的待访问资源进行注册;基于预设的组织结构为各组织层级配置对应的应用账号和角色;根据所述组织层级和/或应用访问层级为所述角色分配对应的应用角色权限;基于分配的应用角色权限进行用户权限管理。由此从组织结构、应用访问层级结构进行应用角色权限分配和管理,其中,可以实现用户账号根据分配的角色,在不同组织结构间数据有隔离、同组织中应用功能板块使用有隔离、同功能板块中数据类别有隔离、同类别的数据中数据级别有隔离,做到从结构到数据的全方位数据安全,使得企业中的所有员工根据自身角色权限安全的进行数据访问,减少了数据泄漏的风险,实现了企业数据权限的有效管控,提升了企业信息安全性,以及企业的市场竞争力;同时整个权限具有高可配置性,能灵活的依据不同使用场景,为员工建立对应的使用权限,减少重复开发成本。
本发明实施例方案涉及的技术术语:
RBAC:基于角色的访问控制(Role-Based Access Control)是实施面向企业安全策略的一种有效的访问控制方式,其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。
本发明实施例考虑到,现有相关方案中,对于企业用户权限的管控,大多数软件产品都只有固定的几个角色权限或者仅有几个权限可配置,不能很好的做到数据隔离,有的甚至没有任何角色权限管控,所有人都可以查看企业敏感数据。这种企业数据不做任何权限管控或管控能力不足,会使得企业数据面临非常大的安全问题,比如内部信息过于透明,导致重要数据被窃取,失去市场竞争力。
因此,本发明实施例提出解决方案,可以实现用户账号根据分配的角色,在不同组织结构间数据有隔离、同组织中应用功能板块使用有隔离、同功能板块中数据类别有隔离、同类别的数据中数据级别有隔离,做到从结构到数据的全方位数据安全,使得企业中的所有员工根据自身角色权限安全的进行数据访问,减少了数据泄漏的风险,实现企业数据权限的有效管控,提升企业信息安全性,提升企业市场竞争力。
具体地,参照图1,图1为本发明用户权限管理装置所属系统的功能模块示意图。该用户权限管理装置可以为独立于终端设备的、能够实现用户权限管理的装置,其可以通过硬件或软件的形式承载于终端设备上。该终端设备可以为手机、平板电脑等智能移动终端,还可以为服务器等网络设备。
在本实施例中,该用户权限管理装置所属系统至少包括输出模块110、处理器120、存储器130以及通信模块140。
存储器130中存储有操作系统以及用户权限管理程序;输出模块110可为显示屏、扬声器等。通信模块140可以包括WIFI模块、移动通信模块以及蓝牙模块等,通过通信模块140与外部设备或服务器进行通信。
其中,作为一种实施例方式,存储器130中的用户权限管理程序被处理器执行时实现以下步骤:
获取预先配置的待管控权限的资源列表;
对所述资源列表中待访问资源按照预设的应用访问层级结构进行标记;
按照所述应用访问层级结构,对标记的待访问资源进行注册;
基于预设的组织结构为各组织层级配置对应的应用账号和角色;
根据所述组织层级和/或应用访问层级为所述角色分配对应的应用角色权限;
基于分配的应用角色权限进行用户权限管理。
进一步地,存储器130中的用户权限管理程序被处理器执行时还实现以下步骤:
在应用前端进行埋点,对所述资源列表中待访问资源按照栏目、页面、字段的层级结构进行标记,其中,所述栏目包括一级或多级目录,所述页面包括每个所述栏目中可单独浏览操作的页面,所述字段包括所述页面中的最小操作单元的功能模块。
进一步地,存储器130中的用户权限管理程序被处理器执行时还实现以下步骤:
按照树形层级结构新增节点信息,所述节点信息包括:所述标记的待访问资源的资源名称、资源类型、请求方式和资源地址中的一种或多种,所述资源类型包括埋点标记时所述节点所属的层级。
进一步地,存储器130中的用户权限管理程序被处理器执行时还实现以下步骤:
基于所述标记的待访问资源,对各应用访问层级的节点,录入对应的待访问数据,并对所述待访问数据进行数据分类和数据分级。
进一步地,存储器130中的用户权限管理程序被处理器执行时还实现以下步骤:
基于预设的企业树形组织结构,为各组织层级配置对应的应用账号,并录入对应的应用账号;
为每一应用账号分配一个或多个角色;
为每个角色录入角色信息,所述角色信息包括:角色名称、所属组织、资源配置、权限分类与权限分级。
进一步地,存储器130中的用户权限管理程序被处理器执行时还实现以下步骤:
编辑企业树形组织结构,所述企业树形组织结构包括最顶层节点以及位于所述最顶层节点之下的若干子节点,其中,所述最顶层节点为企业总部,所述子节点为企业分部和/或各类职能部门,每一所述子节点下还设置下一层的子节点,以此类推,形成企业整体组织结构树。
进一步地,存储器130中的用户权限管理程序被处理器执行时还实现以下步骤:
确定所述企业树形组织结构的各组织层级中是否存在独立组织;
对于没有独立组织存在的企业树形组织结构分枝上,所述角色的应用角色权限分配规则为:所有组织数据均可互相访问;
对于存在独立组织的企业树形组织结构分枝上,所述角色的应用角色权限分配规则为:当前独立组织的父组织及以上组织可访问该当前独立组织的数据,其同级组织不可访问该当前独立组织及子组织数据,该当前独立组织也不可访问其他同级组织数据;和/或
根据所述应用访问层级为所述角色分配对应的应用角色权限;和/或
根据所述待访问数据的数据分类和数据分级为所述角色对应分配数据分类权限和数据分级权限。
进一步地,存储器130中的用户权限管理程序被处理器执行时还实现以下步骤:
在接收到访问指令时,获取所述访问指令对应用户所分配的角色;
根据所述访问指令对应用户的角色,确定对应的应用角色权限;
基于所述对应的应用角色权限输出相应的访问数据。
本实施例通过上述方案,通过获取预先配置的待管控权限的资源列表;对所述资源列表中待访问资源按照预设的应用访问层级结构进行标记;按照所述应用访问层级结构,对标记的待访问资源进行注册;基于预设的组织结构为各组织层级配置对应的应用账号和角色;根据所述组织层级和/或应用访问层级为所述角色分配对应的应用角色权限;基于分配的应用角色权限进行用户权限管理。由此从组织结构、应用访问层级结构进行应用角色权限分配和管理,其中,可以实现用户账号根据分配的角色,在不同组织结构间数据有隔离、同组织中应用功能板块使用有隔离、同功能板块中数据类别有隔离、同类别的数据中数据级别有隔离,做到从结构到数据的全方位数据安全,使得企业中的所有员工根据自身角色权限安全的进行数据访问,减少了数据泄漏的风险,实现了企业数据权限的有效管控,提升了企业信息安全性,以及企业的市场竞争力;同时整个权限具有高可配置性,能灵活的依据不同使用场景,为员工建立对应的使用权限,减少重复开发成本。
参照图2,图2为本发明实施例涉及的用户权限管理系统的应用系统架构示意图。
如图2所示,该用户权限管理系统可以基于应用软件实现,企业通过该应用软件实现用户权限的管理,在开发应用软件时,要设置相应的功能模块。企业用户可以配置相应的用户账号,系统根据用户账号分配相应的角色,不同角色配置相应的应用角色权限,使得企业中的所有员工根据自身角色权限安全的进行数据访问,减少数据泄漏的风险,实现企业数据权限的有效管控,提升企业信息安全性。
如图2所示,应用系统可以包括:应用权限管理以及该应用权限管理配套设置的标识埋点、数据分类和数据分级功能,其中:应用权限管理采用RBAC的模式,可以分为三个模块,具体包括:账号管理模块、角色管理模块、资源注册模块。其中:
账号管理模块包括:账号录入、角色分配等;角色管理模块包括:角色录入、资源配置等;资源注册模块包括:信息录入、资源存储等。
上述各模块可以根据实际需求设置相应的管理单元,在此不做具体限定。
具体地,对于标识埋点功能,为了做到企业用户权限的管控,首先确定要管控的内容,即准备需要管控权限的资源列表。在应用开发中,通过在前端进行埋点,将所有需要管控的资源板块按照栏目->页面->字段的层级结构进行标记,其中“栏目”指一级目录、二级目录等大分类板块,“页面”指每个“栏目”中可单独浏览操作的页面,“字段”指“页面”中的按钮、一段文本等一个最小操作单元的功能模块,由此实现对应用访问层级结构的管控。
除此之外,针对数据访问也需做控制,即配置数据分类和数据分级功能,在录入数据时,设置有两个可选项,分别为“数据分类”与“数据级别”,若不做分类或分级,则为公共数据,所有人均可访问,若设置数据分类、数据分级,用户依据分配的数据分类权限与数据级别权限访问数据中对应权限内容。
对于上述资源注册模块,对上述所标记的资源进行注册,按照树形层级结构新增节点信息,每个节点需填写“资源名称”、“资源类型”、“请求方式”和“资源地址”,其中“资源名称”即此节点的名称,“资源类型”是指埋点标记时此节点所属的层级,即“栏目”、“页面”和“字段”,“请求方式”是指用户发起数据操作的前端方式,包括“GET”、“POST” 、“PULL”、“DELETE”,请求地址是指此资源的的url访问地址。
对于上述账号管理模块,可以通过相应的组织管理单元编辑企业树形组织结构,最顶层节点为企业总部,子节点为其分部以及各类职能部门等,子节点下还可再有子节点,以此类推,形成企业整体组织结构树。
新增组织时,除了基础信息,还需填写该组织是否为独立组织,若为独立组织,则此组织的数据不与其他同级组织共享,但其父组织仍然可以访问数据,总体规则为:在没有独立组织存在的树形结构分枝上,所有组织数据均可互相访问,在存在独立组织的分枝上,其父组织及以上组织可访问该组织数据,但其同级组织不可访问此组织及子组织数据,此组织也不可访问其他同级组织数据,组织访问权限如图3所示。
在上述的角色管理模块中,可以新增角色,需填写角色信息,该角色信息可以包括“角色名称”、“所属组织”、“资源配置”、“权限分类”与“权限分级”,其中“所属组织”是指上述的独立组织,即角色均挂在每个独立组织结构上,角色依据不同独立组织相互隔离,同一个独立组织结构下的用户可选同一套角色列表。其中“资源配置”即选择上述注册好的资源列表,为此角色分配可使用的应用权限资源。其中“权限分类”即选择上述针对数据分类的可访问范围,其中“权限分级”即选择上述针对数据级别的可访问范围。
在上述账号管理模块中,可以新增用户账号,需填写用户基础信息,如用户名、密码、性别等,以及选择上述角色管理模块中建立的角色,为用户账号分配一个或多个角色。
用户账号根据分配的角色,在不同组织结构间数据有隔离、同组织中应用功能板块使用有隔离、同功能板块中数据类别有隔离、同类别的数据中数据级别有隔离,做到从结构到数据的全方位数据安全,从而使得企业中的所有员工根据自身角色权限安全的进行数据访问,减少了数据泄漏的风险,实现了企业数据权限的有效管控,提升了企业信息安全性,以及企业的市场竞争力;同时整个权限具有高可配置性,能灵活的依据不同使用场景,为员工建立对应的使用权限,减少重复开发成本。
基于上述系统架构但不限于上述架构,提出本发明方法实施例。
具体地,参照图4,图4为本发明用户权限管理方法一示例性实施例的流程示意图。所述用户权限管理方法包括以下步骤:
步骤S101,获取预先配置的待管控权限的资源列表;
具体地,为了做到企业用户权限的管控,首先确定要管控的内容,即获取需要管控权限的资源列表,该资源列表中包括需要管控权限的资源信息,该资源信息用来提供给用户进行访问的所有数据,包括资源名称、资源类型、请求方式和资源地址等,其中,资源名称即资源数据所处的树形层级结构的节点的名称,资源类型是指埋点标记时此节点所属的应用访问层级,即“栏目”、“页面”和“字段”,请求方式是指用户发起数据操作的前端方式,包括“GET”、“POST” 、“PULL”、“DELETE”,请求地址是指此资源的的url访问地址。
步骤S102,对所述资源列表中待访问资源按照预设的应用访问层级结构进行标记;
具体地,在应用前端进行埋点,对所述资源列表中待访问资源按照栏目、页面、字段的层级结构进行标记,其中,所述栏目包括一级或多级目录,所述页面包括每个所述栏目中可单独浏览操作的页面,所述字段包括所述页面中的最小操作单元的功能模块。
具体实现时,在应用开发中,通过在应用前端进行埋点,将所有需要管控的资源板块按照栏目->页面->字段的层级结构进行标记,其中“栏目”指一级目录、二级目录等大分类板块,“页面”指每个“栏目”中可单独浏览操作的页面,“字段”指“页面”中的按钮、一段文本等一个最小操作单元的功能模块,由此实现对应用访问层级结构的管控,使得同功能板块中数据类别有隔离。
步骤S103,按照所述应用访问层级结构,对标记的待访问资源进行注册;
其中,所述应用访问层级结构为树形层级结构。
按照树形层级结构对标记的待访问资源进行注册,具体实现如下:
按照树形层级结构新增节点信息,所述节点信息包括:所述标记的待访问资源的资源名称、资源类型、请求方式和资源地址中的一种或多种,所述资源类型包括埋点标记时所述节点所属的层级。
具体实现时,通过上述资源注册模块,对上述所标记的资源进行注册,按照树形层级结构新增节点信息,每个节点需填写“资源名称”、“资源类型”、“请求方式”和“资源地址”,其中“资源名称”即此节点的名称,“资源类型”是指埋点标记时此节点所属的层级,即“栏目”、“页面”和“字段”,“请求方式”是指用户发起数据操作的前端方式,包括“GET”、“POST” 、“PULL”、“DELETE”,请求地址是指此资源的的url访问地址。
此外,基于所述标记的待访问资源,对各应用访问层级的节点,录入对应的待访问数据,并对所述待访问数据进行数据分类和数据分级。
具体地,在本实施例中,为了针对数据访问进行控制,配置数据分类和数据分级功能,在录入数据时,设置有两个可选项,分别为“数据分类”与“数据级别”,若不做数据分类或分级,则为公共数据,该数据所有人均可访问,若设置数据分类、数据分级,则用户可以依据分配的数据分类权限与数据级别权限访问数据中对应权限内容。
通过对所述待访问数据进行数据分类和数据分级,可以实现同类别的数据中数据级别有隔离,做到从结构到数据的全方位数据安全,实现了企业数据权限的有效管控,提升了企业信息安全性,以及企业的市场竞争力。
步骤S104,基于预设的组织结构为各组织层级配置对应的应用账号和角色;
其中,组织结构为企业树形组织结构,在本实施例中,预先编辑企业树形组织结构,所述企业树形组织结构包括最顶层节点以及位于所述最顶层节点之下的若干子节点,其中,所述最顶层节点为企业总部,所述子节点为企业分部和/或各类职能部门等,每一所述子节点下还设置下一层的子节点,以此类推,形成企业整体组织结构树。
其中,在新增组织时,除了基础信息,还需填写该组织是否为独立组织,若为独立组织,则此组织的数据不与其他同级组织共享,但其父组织仍然可以访问数据,总体规则为:在没有独立组织存在的树形结构分枝上,所有组织数据均可互相访问,在存在独立组织的分枝上,其父组织及以上组织可访问该组织数据,但其同级组织不可访问此组织及子组织数据,此组织也不可访问其他同级组织数据,组织访问权限如图3所示。
基于预设的组织结构为各组织层级配置对应的应用账号和角色,具体实现如下:
通过上述账号管理模块,基于预设的企业树形组织结构,为各组织层级配置对应的应用账号,并录入对应的应用账号;并为每一应用账号分配一个或多个角色。
具体地,作为一种实施方式,在上述账号管理模块中,可以新增用户账号,需填写用户基础信息,如用户名、密码、性别等,以及选择上述角色管理模块中建立的角色,为用户账号分配一个或多个角色。
用户账号根据分配的角色,在不同组织结构间数据有隔离、同组织中应用功能板块使用有隔离、同功能板块中数据类别有隔离、同类别的数据中数据级别有隔离,做到从结构到数据的全方位数据安全,从而使得企业中的所有员工根据自身角色权限安全的进行数据访问,减少了数据泄漏的风险,实现了企业数据权限的有效管控,提升了企业信息安全性。
步骤S105,根据所述组织层级和/或应用访问层级为所述角色分配对应的应用角色权限;
其中,在进行角色管理时,可以通过角色管理模块新增角色,为每个角色录入角色信息,所述角色信息可以包括:角色名称、所属组织、资源配置、权限分类与权限分级等。
其中“所属组织”是指上述的独立组织,即角色均挂在每个独立组织结构上,角色依据不同独立组织相互隔离,同一个独立组织结构下的用户可选同一套角色列表。
其中“资源配置”即选择上述注册好的资源列表,为此角色分配可使用的应用权限资源。
其中“权限分类”即选择上述针对数据分类的可访问范围,其中“权限分级”即选择上述针对数据级别的可访问范围。
具体地,所述根据所述组织层级和/或应用访问层级为所述角色分配对应的应用角色权限的步骤可以包括:
确定所述企业树形组织结构的各组织层级中是否存在独立组织;
对于没有独立组织存在的企业树形组织结构分枝上,所述角色的应用角色权限分配规则为:所有组织数据均可互相访问;
对于存在独立组织的企业树形组织结构分枝上,所述角色的应用角色权限分配规则为:当前独立组织的父组织及以上组织可访问该当前独立组织的数据,其同级组织不可访问该当前独立组织及子组织数据,该当前独立组织也不可访问其他同级组织数据;和/或
根据所述应用访问层级为所述角色分配对应的应用角色权限;和/或
根据所述待访问数据的数据分类和数据分级为所述角色对应分配数据分类权限和数据分级权限。
步骤S106,基于分配的应用角色权限进行用户权限管理。
具体地,在接收到访问指令时,获取所述访问指令对应用户所分配的角色;
根据所述访问指令对应用户的角色,确定对应的应用角色权限;
基于所述对应的应用角色权限输出相应的访问数据。
本实施例实现用户权限管理的应用流程可以参照图5所示。
本实施例通过上述方案,通过获取预先配置的待管控权限的资源列表;对所述资源列表中待访问资源按照预设的应用访问层级结构进行标记;按照所述应用访问层级结构,对标记的待访问资源进行注册;基于预设的组织结构为各组织层级配置对应的应用账号和角色;根据所述组织层级和/或应用访问层级为所述角色分配对应的应用角色权限;基于分配的应用角色权限进行用户权限管理。由此从组织结构、应用访问层级结构进行应用角色权限分配和管理,其中,可以实现用户账号根据分配的角色,在不同组织结构间数据有隔离、同组织中应用功能板块使用有隔离、同功能板块中数据类别有隔离、同类别的数据中数据级别有隔离,做到从结构到数据的全方位数据安全,使得企业中的所有员工根据自身角色权限安全的进行数据访问,减少了数据泄漏的风险,实现了企业数据权限的有效管控,提升了企业信息安全性,以及企业的市场竞争力;同时整个权限具有高可配置性,能灵活的依据不同使用场景,为员工建立对应的使用权限,减少重复开发成本。
此外,本发明实施例还提出一种用户权限管理系统,所述用户权限管理系统包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上述实施例所述的用户权限管理方法。
本实施例实现用户权限管理的原理及实施过程,请参照上述各实施例,在此不再赘述。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如此外,本发明实施例还提出所述的用户权限管理方法。
由于本用户权限管理程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
相比现有技术,本发明实施例提出的多层级多组织的用户权限管理方法、系统及存储介质,通过获取预先配置的待管控权限的资源列表;对所述资源列表中待访问资源按照预设的应用访问层级结构进行标记;按照所述应用访问层级结构,对标记的待访问资源进行注册;基于预设的组织结构为各组织层级配置对应的应用账号和角色;根据所述组织层级和/或应用访问层级为所述角色分配对应的应用角色权限;基于分配的应用角色权限进行用户权限管理。由此从组织结构、应用访问层级结构进行应用角色权限分配和管理,其中,可以实现用户账号根据分配的角色,在不同组织结构间数据有隔离、同组织中应用功能板块使用有隔离、同功能板块中数据类别有隔离、同类别的数据中数据级别有隔离,做到从结构到数据的全方位数据安全,使得企业中的所有员工根据自身角色权限安全的进行数据访问,减少了数据泄漏的风险,实现了企业数据权限的有效管控,提升了企业信息安全性,以及企业的市场竞争力;同时整个权限具有高可配置性,能灵活的依据不同使用场景,为员工建立对应的使用权限,减少重复开发成本。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台用户权限管理系统(可以是手机,计算机,服务器,被控终端,或者网络设备等)执行本发明每个实施例的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种用户权限管理方法,其特征在于,所述方法包括以下步骤:
获取预先配置的待管控权限的资源列表;
对所述资源列表中待访问资源按照预设的应用访问层级结构进行标记,具体包括:在应用前端进行埋点,对所述资源列表中待访问资源按照栏目、页面、字段的层级结构进行标记,所述应用访问层级结构为树形层级结构;
按照所述应用访问层级结构,对标记的待访问资源进行注册,具体包括:按照树形层级结构新增所述标记的待访问资源的节点信息,所述节点信息包括:所述标记的待访问资源的资源名称、资源类型、请求方式和资源地址中的一种或多种;
基于预设的组织结构为各组织层级配置对应的应用账号和角色;
根据所述组织层级和应用访问层级为所述角色分配对应的应用角色权限;
基于分配的应用角色权限对所述待访问资源进行用户权限管理。
2.根据权利要求1所述的用户权限管理方法,其特征在于,所述栏目包括一级或多级目录,所述页面包括每个所述栏目中可单独浏览操作的页面,所述字段包括所述页面中的最小操作单元的功能模块。
3.根据权利要求2所述的用户权限管理方法,其特征在于,所述资源类型包括埋点标记时所述节点所属的层级。
4.根据权利要求3所述的用户权限管理方法,其特征在于,所述按照所述应用访问层级结构,对标记的待访问资源进行注册的步骤还包括:
基于所述标记的待访问资源,对各应用访问层级的节点,录入对应的待访问数据,并对所述待访问数据进行数据分类和数据分级。
5.根据权利要求4所述的用户权限管理方法,其特征在于,所述基于预设的组织结构为各组织层级配置对应的应用账号和角色的步骤包括:
基于预设的企业树形组织结构,为各组织层级配置对应的应用账号,并录入对应的应用账号;
为每一应用账号分配一个或多个角色;
为每个角色录入角色信息,所述角色信息包括:角色名称、所属组织、资源配置、权限分类与权限分级。
6.根据权利要求5所述的用户权限管理方法,其特征在于,所述基于预设的组织结构为各组织层级配置对应的应用账号和角色的步骤之前还包括:
编辑企业树形组织结构,所述企业树形组织结构包括最顶层节点以及位于所述最顶层节点之下的若干子节点,其中,所述最顶层节点为企业总部,所述子节点为企业分部和/或各类职能部门,每一所述子节点下还设置下一层的子节点,以此类推,形成企业整体组织结构树。
7.根据权利要求5所述的用户权限管理方法,其特征在于,所述根据所述组织层级和应用访问层级为所述角色分配对应的应用角色权限的步骤包括:
确定所述企业树形组织结构的各组织层级中是否存在独立组织;
对于没有独立组织存在的企业树形组织结构分枝上,所述角色的应用角色权限分配规则为:所有组织数据均可互相访问;
对于存在独立组织的企业树形组织结构分枝上,所述角色的应用角色权限分配规则为:当前独立组织的父组织及以上组织可访问该当前独立组织的数据,其同级组织不可访问该当前独立组织及子组织数据,该当前独立组织也不可访问其他同级组织数据;和
根据所述应用访问层级为所述角色分配对应的应用角色权限;和/或根据所述待访问数据的数据分类和数据分级为所述角色对应分配数据分类权限和数据分级权限。
8.根据权利要求1-7中任一项所述的用户权限管理方法,其特征在于,所述基于分配的应用角色权限进行用户权限管理的步骤包括:
在接收到访问指令时,获取所述访问指令对应用户所分配的角色;
根据所述访问指令对应用户的角色,确定对应的应用角色权限;
基于所述对应的应用角色权限输出相应的访问数据。
9.一种用户权限管理系统,其特征在于,所述用户权限管理系统包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1-8中任一项所述的用户权限管理方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-8中任一项所述的用户权限管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110942763.8A CN113392423B (zh) | 2021-08-17 | 2021-08-17 | 用户权限管理方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110942763.8A CN113392423B (zh) | 2021-08-17 | 2021-08-17 | 用户权限管理方法、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113392423A CN113392423A (zh) | 2021-09-14 |
| CN113392423B true CN113392423B (zh) | 2021-11-30 |
Family
ID=77622701
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110942763.8A Active CN113392423B (zh) | 2021-08-17 | 2021-08-17 | 用户权限管理方法、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113392423B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113837593B (zh) * | 2021-09-18 | 2023-08-15 | 北京百度网讯科技有限公司 | 虚拟数据分配方法、装置、设备以及存储介质 |
| CN114510180A (zh) * | 2022-01-25 | 2022-05-17 | 中煤航测遥感集团有限公司 | 一种应用程序的角色权限控制方法、装置和移动终端 |
| CN114969833B (zh) * | 2022-07-29 | 2022-11-15 | 合肥汉泰网络科技有限公司 | 门户系统的资源控制方法、系统和计算机设备 |
| CN115168886A (zh) * | 2022-08-18 | 2022-10-11 | 中国长江三峡集团有限公司 | 基于资源和数据的访问控制方法及装置 |
| CN115640605A (zh) * | 2022-10-19 | 2023-01-24 | 中电金信软件有限公司 | 金融机构的权限管理方法 |
| CN115906155A (zh) * | 2022-11-04 | 2023-04-04 | 浙江联运知慧科技有限公司 | 一种分拣中心的数据管理系统 |
| CN116934068A (zh) * | 2023-09-19 | 2023-10-24 | 江铃汽车股份有限公司 | 一种办公流程节点管理方法及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9032076B2 (en) * | 2004-10-22 | 2015-05-12 | International Business Machines Corporation | Role-based access control system, method and computer program product |
| CN106778306A (zh) * | 2016-12-16 | 2017-05-31 | 国云科技股份有限公司 | 一种基于JavaEJB框架的权限设计方法 |
| CN110888695A (zh) * | 2018-09-07 | 2020-03-17 | 北京京东尚科信息技术有限公司 | 一种基于权限生成页面的方法和装置 |
| CN109214151A (zh) * | 2018-09-28 | 2019-01-15 | 北京赛博贝斯数据科技有限责任公司 | 用户权限的控制方法及系统 |
| CN111125650A (zh) * | 2018-10-31 | 2020-05-08 | 北京国双科技有限公司 | 一种页面访问权限的处理方法及装置、存储介质和处理器 |
| CN111191210B (zh) * | 2019-12-10 | 2022-09-27 | 未鲲(上海)科技服务有限公司 | 数据访问权限的控制方法、装置、计算机设备和存储介质 |
| CN112149109B (zh) * | 2020-09-21 | 2021-08-03 | 珠海市卓轩科技有限公司 | 模块化权限控制管理方法及系统 |
-
2021
- 2021-08-17 CN CN202110942763.8A patent/CN113392423B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN113392423A (zh) | 2021-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113392423B (zh) | 用户权限管理方法、系统及存储介质 | |
| CN110443010B (zh) | 一种在信息系统中权限可视化配置控制方法、装置、终端及存储介质 | |
| US10447737B2 (en) | Delegating administration rights using application containers | |
| US7237119B2 (en) | Method, system and computer program for managing user authorization levels | |
| CN100430951C (zh) | 向用户/组授予访问控制列表所有权的访问控制系统和方法 | |
| US9065771B2 (en) | Managing application execution and data access on a device | |
| US9075955B2 (en) | Managing permission settings applied to applications | |
| CN112182619A (zh) | 基于用户权限的业务处理方法、系统及电子设备和介质 | |
| US8191115B2 (en) | Method and apparatus for extensible security authorization grouping | |
| US20040088563A1 (en) | Computer access authorization | |
| US20060156020A1 (en) | Method and apparatus for centralized security authorization mechanism | |
| CN112100658A (zh) | 医疗系统及其权限管理方法 | |
| US20060156021A1 (en) | Method and apparatus for providing permission information in a security authorization mechanism | |
| CN103778379B (zh) | 管理设备上的应用执行和数据访问 | |
| EP3556129A1 (en) | System and method for user authorization | |
| US7730093B2 (en) | Method for controlling access to the resources of a data processing system, data processing system, and computer program | |
| CA2830880A1 (en) | Managing permission settings applied to applications | |
| JP2003108440A (ja) | データ公開方法、データ公開プログラム、データ公開装置 | |
| US8095970B2 (en) | Dynamically associating attribute values with objects | |
| CN112084021A (zh) | 教育系统的界面配置方法、装置、设备及可读存储介质 | |
| CN110852634A (zh) | 数据存储方法及存储装置、服务器、可读存储介质、设备 | |
| CN109766687A (zh) | 多用户权限分配方法 | |
| Cisco | Partitioning and Security | |
| JP2007004610A (ja) | 複合的アクセス認可方法及び装置 | |
| Cisco | Partitioning and Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |