CN113691539A - 企业内部统一功能权限管理方法及系统 - Google Patents
企业内部统一功能权限管理方法及系统 Download PDFInfo
- Publication number
- CN113691539A CN113691539A CN202110980496.3A CN202110980496A CN113691539A CN 113691539 A CN113691539 A CN 113691539A CN 202110980496 A CN202110980496 A CN 202110980496A CN 113691539 A CN113691539 A CN 113691539A
- Authority
- CN
- China
- Prior art keywords
- management
- service system
- interface
- permission request
- enterprise
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims description 210
- 230000006870 function Effects 0.000 claims abstract description 91
- 238000000034 method Methods 0.000 claims abstract description 66
- 238000012545 processing Methods 0.000 claims abstract description 33
- 238000012423 maintenance Methods 0.000 claims abstract description 16
- 238000004590 computer program Methods 0.000 claims description 18
- 230000007717 exclusion Effects 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 2
- 238000011161 development Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 13
- 230000007246 mechanism Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 235000019580 granularity Nutrition 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 210000000554 iris Anatomy 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/101—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management
Abstract
本发明公开了一种企业内部统一功能权限管理方法及系统,涉及金融领域,该方法包括:将角色的访问控制RBAC模型作为权限管理模型,提供用户管理、角色管理和资源管理的业务系统权限管理页面,基于权限管理模型和业务系统权限管理页面进行用户管理、角色管理和资源管理,实现业务系统的统一权限管理;接收业务系统的注册申请,根据注册申请完成业务系统的注册,生成业务系统的系统标识;提供对外接口和API网关,通过对外接口接收业务系统的相关权限请求,通过API网关对相关权限请求进行相应处理,实现业务系统的权限维护。本发明可以减少业务系统功能权限管理的开发工作,降低业务系统管理员出错的概率。
Description
技术领域
需要说明的是,本发明企业内部统一功能权限管理方法及系统可用于金融领域在业务系统权限管理方面,也可用于除金融领域之外的任意领域,本发明企业内部统一功能权限管理方法及系统的应用领域不做限定。
背景技术
本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
现有技术企业内部系统众多,各个业务系统自身独立构建权限管理模型,实现业务系统权限管理。现有技术存在的缺点主要有以下几点:
(1)业务系统用户范围可能不同,相同用户的用户标识可能不一致,各个业务系统管理员需要自己牢记每一个业务系统的用户与用户标识的映射关系。
(2)业务系统中相同功能的角色名称不统一,人工成本比较高、出错概率较高。
(3)业务系统权限控制对象不统一,部分系统最小控制粒度为菜单,部分系统最小控制粒度为按钮,维护成本比较高。
(4)各个业务系统权限管理功能使用流程各不相同,需要各业务系统管理员熟悉各个业务系统功能流程,配置每一个用户的功能权限。
(5)各个业务系统的权限管理分散,系统提供接口方式各式各样,接口性能参差不齐,无法集中统一管理。
(6)业务系统在权限管理模块存在较多的重复工作,影响整个项目的整体开发进度。
发明内容
本发明实施例提供一种企业内部统一功能权限管理方法,用以解决现有各个业务系统自身构建权限管理模型,实现业务系统权限管理存在的问题,该方法包括:
将角色的访问控制RBAC模型作为权限管理模型,提供用户管理、角色管理和资源管理的业务系统权限管理页面,基于权限管理模型和业务系统权限管理页面进行用户管理、角色管理和资源管理,实现业务系统的统一权限管理;
接收业务系统的注册申请,根据所述注册申请完成业务系统的注册,生成业务系统的系统标识;
提供对外接口和API网关,通过对外接口接收业务系统的相关权限请求,通过API网关对相关权限请求进行相应处理,实现业务系统的权限维护,其中所述相关权限请求中包括业务系统的系统标识。
本发明实施例还提供一种企业内部统一功能权限管理系统,用以解决现有各个业务系统自身构建权限管理模型,实现业务系统权限管理存在的问题,该系统包括:
权限管理模块,用于将角色的访问控制RBAC模型作为权限管理模型,提供用户管理、角色管理和资源管理的业务系统权限管理页面,基于权限管理模型和业务系统权限管理页面进行用户管理、角色管理和资源管理,实现业务系统的统一权限管理;
业务系统接入模块,用于接收业务系统的注册申请,根据所述注册申请完成业务系统的注册,生成业务系统的系统标识;
API网关,用于提供对外接口和API网关,通过对外接口接收业务系统的相关权限请求,通过API网关对相关权限请求进行相应处理,实现业务系统的权限维护,其中所述相关权限请求中包括业务系统的系统标识。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述企业内部统一功能权限管理方法。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述所述企业内部统一功能权限管理方法的步骤。
本发明实施例中,与现有技术中各个业务系统自身构建权限管理模型,实现业务系统权限管理的技术方案相比,通过将角色的访问控制RBAC模型作为权限管理模型,提供用户管理、角色管理和资源管理的业务系统权限管理页面,基于权限管理模型和业务系统权限管理页面进行用户管理、角色管理和资源管理,实现业务系统的统一权限管理;接收业务系统的注册申请,根据所述注册申请完成业务系统的注册,生成业务系统的系统标识;提供对外接口和API网关,通过对外接口接收业务系统的相关权限请求,通过API网关对相关权限请求进行相应处理,实现业务系统的权限维护,其中所述相关权限请求中包括业务系统的系统标识,本发明通过集中管理业务系统功能权限,减少业务系统功能权限管理的开发工作,加快项目开开发进度,统一各个业务系统用户范围和用户标识,使用RBAC模型进行权限管理,降低业务系统管理员出错的概率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例中企业内部统一功能权限管理方法流程图一;
图2为本发明实施例中企业内部统一功能权限管理方法流程图二;
图3为本发明实施例中企业内部统一功能权限管理方法流程图三;
图4为本发明实施例中企业内部统一功能权限管理方法流程图四;
图5为本发明实施例中企业内部统一功能权限管理方法流程图五;
图6为本发明实施例中企业内部统一功能权限管理方法流程图六;
图7为本发明实施例中企业内部统一功能权限管理方法流程图七;
图8为本发明实施例中企业内部统一功能权限管理方法流程图八;
图9为本发明实施例中企业内部统一功能权限管理方法流程图九;
图10为本发明实施例中企业内部统一功能权限管理方法流程图十;
图11为本发明实施例中企业内部统一功能权限管理方法流程图十一;
图12为本发明实施例中企业内部统一功能权限管理系统结构框图;
图13为本发明实施例中权限管理模块结构框图;
图14为本发明实施例中API网关实现功能流程图;
图15为本发明实施例中高可用模块实现功能流程图;
图16为本发明实施例中企业内部统一功能权限管理系统整体结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
术语解释:
权限管理:指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源,不多不少。
功能权限:指的是允许或拒绝用户使用系统提供的某个功能,也叫操作权限。
图1为本发明实施例中企业内部统一功能权限管理方法流程图一,如图1所示,该方法包括:
步骤101:将角色的访问控制RBAC模型作为权限管理模型,提供用户管理、角色管理和资源管理的业务系统权限管理页面,基于权限管理模型和业务系统权限管理页面进行用户管理、角色管理和资源管理,实现业务系统的统一权限管理;
步骤102:接收业务系统的注册申请,根据所述注册申请完成业务系统的注册,生成业务系统的系统标识;
步骤103:提供对外接口和API网关,通过对外接口接收业务系统的相关权限请求,通过API网关对相关权限请求进行相应处理,实现业务系统的权限维护,其中所述相关权限请求中包括业务系统的系统标识。
具体的,目前通用的权限管理模型如下:
自主访问控制(DAC,Discretionary Access Control):由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主的。也就是说,在自主访问控制下,用户可以按自己的意愿,有选择地与其他用户共享他的文件。该权限模型常见于操作系统的文件管理场景。用户设置权限控制列表(ACL)或者权限控制矩阵(ACM)进行权限的控制。
强制访问控制(MAC,Mandatory Access Control):在计算机安全领域指一种由操作系统约束的访问控制,目标是限制主体或发起者访问或对对象或目标执行某种操作的能力。通过强制访问控制,安全策略由安全策略管理员集中控制;用户无权覆盖策略。用于将系统中的信息分密级和类进行管理,以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。通俗的来说,在强制访问控制下,用户(或其他主体)与文件(或其他客体)都被标记了固定的安全属性(如安全级、访问权限等),在每次访问发生时,系统检测安全属性以便确定一个用户是否有权访问该文件。
基于角色的访问控制(RBAC,Role-Based Access Control):对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。
基于属性的访问控制(ABAC,Attribute-Based Access Control):解决行业分布式应用可信关系访问控制模型,它利用相关实体(如主体、客体、环境)的属性作为授权的基础来研究如何进行访问控制。基于这样的目的,可将实体的属性分为主体属性、客体属性和环境属性。在基于属性的访问控制中,访问判定是基于请求者和资源具有的属性,请求者和资源在ABAC中通过特性来标识。这使得ABAC具有足够的灵活性和可扩展性,同时使得安全的匿名访问成为可能。
本发明针对现有功能权限管理模型特点,选择RBAC模型作为功能权限管理模型,实现用户-角色-资源的管理模式,解决各业务系统权限管理模型各不相同的情况基于RBAC模型实现权限管理的用户管理、角色管理、资源管理等功能,实现业务系统用户范围统一,用户唯一标识,相同功能角色信息一致,实现菜单和按钮两种权限管理粒度,业务系统灵活配置。提供统一的用户管理、角色管理和资源管理的页面,系统管理员维护各个业务系统的功能权限,同时对外提供统一API接口和批量接口,方便各个业务系统进行功能权限管理的查询功能。
在本发明实施例中,如图2所示,还包括:
步骤201:从多个业务系统获取用户基本信息;
步骤202:根据所述用户基本信息,基于权限管理模型和业务系统权限管理页面进行用户管理。
具体的,订阅企业内部人力资源系统、邮件系统和企业内部即时通讯系统相关内容,根据用户唯一标识整合用户基本信息,主要包括用户唯一标识、手机、邮箱以及企业内部实施沟通软件ID。
企业内部人力资源系统、邮件系统和企业内部即时通讯系统会对企业内部员工分配唯一的标示id,这样从企业内部人力资源系统获取所有合法的用户,然后根据唯一标示id在邮件系统获取其邮箱等信息,在企业内部即时通讯系统获取其内部通讯账号(即企业内部实时沟通软件ID)、手机等信息,最终整合为完整的用户信息。
在本发明实施例中,如图3所示,还包括:
步骤301:从多个业务系统获取用户认证方式;
步骤302:基于所述用户认证方式提供业务系统接入的认证方式。
具体的,对接企业内部统一认证平台,基于微软的IWA认证机制实现内网用户密码登陆,拓展用户认证方式,实现用户手机号码登陆、邮箱登陆方式和企业及时通讯软件扫码登陆方式,对接企业内部生物识别信息管理系统,实现用户指纹、声纹和虹膜等生物认证。
在本发明实施例中,还包括:
提供API接口进行角色管理和资源管理。
提供角色互斥功能和角色组管理功能,其中,角色互斥功能为不同角色不能同时分配给同一用户的场景,角色组组管理功能为用户使用多个相同角色的功能。
具体的,基于RBAC模型,存在用户管理、角色管理和资源管理。
用户管理:实现用户数据同步功能,更新用户基本信息,为其他各业务系统提供基于Restful协议的用户信息查询接口,为接入的各个业务系统提供用户查询功能。
角色管理:主要将一些资源组合起来,然后再将该角色赋予相同或相似工作的用户。提供界面和API接口两种角色维护方式,业务系统更新时,如果角色信息较多,可批量调用API接口实现角色的增删改查,如果更新角色信息较少也可通过界面维护。正常情况下直接在页面上维护就可以,由于其它业务系统会存在大量角色、资源等信息的创建,如果只提供基于页面的方式会出现大量的人工成本,提供API的方式可以通过程序实现角色的维护功能,大大降低人工成本。
提供角色互斥和角色组管理功能,角色互斥主要解决不同角色不能同时分配给同一用户的场景,角色组主要实现存在部分用户使用多个相同角色的功能。
资源管理:提供界面和API接口两种资源维护方式,提供资源(目前的资源包括很多类型,包括但不限于:菜单、页面、按钮等等)管理维护功能,主要维护资源基本属性,包括资源类型、资源层级、所属业务系统、资源类型等相关信息,针对菜单类型的资源,需要维护链接等相关内容进行鉴权操作。
在本发明实施例中,步骤102具体包括:
各业务系统需进行申请接入流程,相关负责人根据实际情况审核接入申请,申请通过后,为业务系统分配唯一的AppKey,各业务系统具备接入条件。
在本发明实施例中,如图4所示,步骤103通过API网关对相关权限请求进行相应处理,包括:
步骤401:判断相关权限请求的发送协议;
步骤402:若所述发送协议不是restful接口协议,则按照restful接口协议将相关权限请求转换成restful接口协议下的相关权限请求。
具体的,网关提供多协议请求方式,根据事先约定的请求协议,将非restful接口的请求,转成restful接口协议。
在本发明实施例中,如图5所示,步骤103通过对外接口接收业务系统的相关权限请求,通过API网关对相关权限请求进行相应处理,包括:
步骤501:根据所述相关权限请求判断业务系统已经请求的对外接口次数,基于对外接口次数判断所述对外接口是否需要限流,若需要限流,则将所述相关权限请求进行阻塞,并返回限流处理,若不需要限流,则放行所述相关权限请求。
具体的,根据该业务系统已经请求的接口次数判断该接口是否需要限流,如果需要限流,则将该业务系统的请求进行阻塞,并返回限流处理;反之,则放行。
在本发明实施例中,如图6所示,步骤103通过对外接口接收业务系统的相关权限请求,通过API网关对相关权限请求进行相应处理,包括:
步骤601:对所述相关权限请求对应的对外接口进行认证操作。
具体的,基于JWT方法对所述相关权限请求对应的对外接口的合法性进行验证,若验证不通过,则拒绝提供服务;若验证通过,则放行所述相关权限请求。
在本发明实施例中,如图7所示,步骤103通过API网关对相关权限请求进行相应处理,包括:
步骤701:根据相关权限请求确定请求的对外接口的接口范围,根据接口范围进行控制请求接口的鉴权功能。
具体的,实现请求接口的访问权限控制,根据请求接口方的请求接口范围进行控制请求接口的鉴权功能。对于接收用户访问的所有接口,可根据用户-角色-资源(菜单类型的资源)的关系,确定用户可以访问接口的范围,这样如果用户通过链接的方式访问也可以进行权限控制。
在本发明实施例中,如图8所示,还包括:
步骤801:设定业务系统调用接口优先级,用于控制业务系统请求接口的流量以及先后顺序。
在本发明实施例中,如图9所示,步骤103通过API网关对相关权限请求进行相应处理,包括:
步骤901:根据相关权限请求判断业务系统调用接口优先级,根据业务系统调用接口优先级确定将相关权限请求存入多级反馈队列中的相应队列,所述多级反馈队列包括高优先级队列、中优先级队列和低优先级队列。
在本发明实施例中,如图10所示,步骤103通过API网关对相关权限请求进行相应处理,包括:
步骤1001:订阅消费高优先级队列中的相关权限请求,对相关权限请求进行相应处理;
步骤1002:若高优先级队列为空,则订阅消费中优先级队列中的相关权限请求;
步骤1003:若中优先级队列为空,则订阅消费低优先级队列中的相关权限请求。
在本发明实施例中,如图11所示,还包括:
步骤1101:通过API网关进行接口访问故障监控,若出现接口访问故障,则停止相应的接口访问。
本发明实施例中还提供了一种企业内部统一功能权限管理系统,如下面的实施例所述。由于该解决问题的原理与企业内部统一功能权限管理方法相似,因此该系统的实施可以参见企业内部统一功能权限管理方法的实施,重复之处不再赘述。
图12为本发明实施例中企业内部统一功能权限管理系统结构框图,如图12所示,该系统包括:
权限管理模块02,用于将角色的访问控制RBAC模型作为权限管理模型,提供用户管理、角色管理和资源管理的业务系统权限管理页面,基于权限管理模型和业务系统权限管理页面进行用户管理、角色管理和资源管理,实现业务系统的统一权限管理;
业务系统接入模块04,用于接收业务系统的注册申请,根据所述注册申请完成业务系统的注册,生成业务系统的系统标识;
API网关06,用于提供对外接口和API网关,通过对外接口接收业务系统的相关权限请求,通过API网关对相关权限请求进行相应处理,实现业务系统的权限维护,其中所述相关权限请求中包括业务系统的系统标识。
在本发明实施例中,如图13所示,权限管理模块包括:
基础数据获取单元,用于从多个业务系统获取用户基本信息;
根据所述用户基本信息,基于权限管理模型和业务系统权限管理页面进行用户管理。
在本发明实施例中,如图13所示,权限管理模块包括:
用户多因子认证单元,用于从多个业务系统获取用户认证方式;
基于所述用户认证方式提供业务系统接入的认证方式。
在本发明实施例中,权限管理模块具体用于:
提供API接口进行角色管理和资源管理。
权限管理模块具体用于:
提供角色互斥功能和角色组管理功能,其中,角色互斥功能为不同角色不能同时分配给同一用户的场景,角色组组管理功能为用户使用多个相同角色的功能。
即如图13所示,权限管理模块包括用户管理单元、角色管理单元和资源管理单元。
在本发明实施例中,业务系统接入模块:提供接入系统管理功能、技术参数管理功能、接口管理功能和接入审批功能。
1)各业务系统需进行申请接入流程,相关负责人根据实际情况审核接入申请,申请通过后,UAMS系统为业务系统分配唯一的AppKey,各业务系统具备接入条件;
2)各业务系统需维护产品基本信息功能以及相关技术参数(产品可用性等级、请求频次、服务时间范围、申请接口范围等信息)配置管理;
3)各业务系统可根据具体需求申请具体接口。
在本发明实施例中,API网关:实现对外接口的统一管理,实现用户认证和用户鉴权功能、不同请求协议转换和服务治理的功能(熔断、限流、调用链追踪)等相关功能。
企业内部统一功能权限管理系统(UAMS)产品前端接口以及其他业务系统调用接口,如图14所示,首先经过API网关,进行以下单元功能:
API网关包括:
协议转换模块,用于判断相关权限请求的发送协议;
若所述发送协议不是restful接口协议,则按照restful接口协议将相关权限请求转换成restful接口协议下的相关权限请求。
限流模块,用于根据所述相关权限请求判断业务系统已经请求的对外接口次数,基于对外接口次数判断所述对外接口是否需要限流,若需要限流,则将所述相关权限请求进行阻塞,并返回限流处理,若不需要限流,则放行所述相关权限请求。
认证模块,用于对所述相关权限请求对应的对外接口进行认证操作。
认证模块具体用于:
基于JWT方法对所述相关权限请求对应的对外接口的合法性进行验证,若验证不通过,则拒绝提供服务;若验证通过,则放行所述相关权限请求。
API网关包括:
鉴权模块,用于根据相关权限请求确定请求的对外接口的接口范围,根据接口范围进行控制请求接口的鉴权功能。
API网关包括:
高可用模块:网关调用业务系统接入模块的多级反馈队列进行排队,等待请求接口执行时机;该单元根据业务系统可用性等级使用多级反馈队列算法优先保证可用性等级较高的业务系统的接口请求,同时,会根据业务系统服务请求时间提供动态的可用性等级提升或降级的能力。用于设定业务系统调用接口优先级,用于控制业务系统请求接口的流量以及先后顺序。
如图15所示,高可用模块具体用于:
1)当请求进入网关后,根据请求系统的相关信息,判断该请求应该进入高、中、低队列;
2)路由模块订阅高优先级队列消息,实时消费高优先级队列消息,并根据请求规则将请求分发到具体的业务模块1、2、……、n;
3)高优先级队列订阅中优先级队列消息,当高优先级队列为空时,实时消费中优先级队列消息;
4)中优先级队列订阅低优先级队列消息,当中优先级队列消息为空时,实时消费低优先级队列消息。
在本发明实施例中,如图14所示,API网关包括:
熔断/调用链追踪模块,用于通过API网关进行接口访问故障监控,若出现接口访问故障,则停止相应的接口访问。
具体的,主要监控系统各模块出现系统故障无法访问的情况,则在网关直接停止提供该服务的使用。
图16为本发明实施例中企业内部统一功能权限管理系统整体结构图,如图16所示,在企业内部建立统一的权限管理系统(Unified Authority Management System,简称UAMS),对外提供相应的接口,业务系统如果使用UAMS系统进行权限管理,需要在该系统中进行注册,注册完成后,业务系统获得唯一的系统标识。业务系统完成产品注册后,即可调用UAMS相应的接口,实现相应的权限管理功能。业务系统管理员只需登录UAMS系统即可完成对应业务系统的用户的权限维护。UAMS根据各个业务系统所属业务部门、使用群体以及业务诉求等相关信息设定业务系统调用接口优先级,用于控制各个业务系统请求接口的流量以及先后顺序。UAMS根据现有的权限管理模型实现业务系统的权限管理,同时提供统一的用户管理功能,便于各个业务系统管理员进行权限维护。考虑企业内部业务系统数量众多,涉及用户功能权限的数据量较大,UAMS以微服务方式进行部署,可实现系统的动态扩容,以提升系统吞吐量。UAMS系统建设完成后,各业务系统专注于业务相关的功能开发,建设非功能建设成本。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述企业内部统一功能权限管理方法。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述所述企业内部统一功能权限管理方法的步骤。
本发明实施例中,与现有技术中各个业务系统自身构建权限管理模型,实现业务系统权限管理的技术方案相比,通过将角色的访问控制RBAC模型作为权限管理模型,提供用户管理、角色管理和资源管理的业务系统权限管理页面,基于权限管理模型和业务系统权限管理页面进行用户管理、角色管理和资源管理,各业务系权限功能权限数据统一存储,实现业务系统的统一权限管理;接收业务系统的注册申请,根据所述注册申请完成业务系统的注册,生成业务系统的系统标识;提供对外接口和API网关,通过对外接口接收业务系统的相关权限请求,通过API网关对相关权限请求进行相应处理,实现业务系统的权限维护,其中所述相关权限请求中包括业务系统的系统标识。为提升系统整体性能,采用微服务架构,实现系统动态横向部署,快速扩容的能力,针对热点数据采用内存缓存的方式,提高数据访问速度,提供持久化数据和缓存数据同步机制;为方便对外接口的统一管理,建立API网关机制,实现微服务编排能力,接口协议转换,熔断限流等相关的功能。本发明通过集中管理业务系统功能权限,减少业务系统功能权限管理的开发工作,加快项目开开发进度,统一各个业务系统用户范围和用户标识,使用RBAC模型进行权限管理,降低业务系统管理员出错的概率。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (30)
1.一种企业内部统一功能权限管理方法,其特征在于,包括:
将角色的访问控制RBAC模型作为权限管理模型,提供用户管理、角色管理和资源管理的业务系统权限管理页面,基于权限管理模型和业务系统权限管理页面进行用户管理、角色管理和资源管理,实现业务系统的统一权限管理;
接收业务系统的注册申请,根据所述注册申请完成业务系统的注册,生成业务系统的系统标识;
提供对外接口和API网关,通过对外接口接收业务系统的相关权限请求,通过API网关对相关权限请求进行相应处理,实现业务系统的权限维护,其中所述相关权限请求中包括业务系统的系统标识。
2.如权利要求1所述的企业内部统一功能权限管理方法,其特征在于,还包括:
从多个业务系统获取用户基本信息;
根据所述用户基本信息,基于权限管理模型和业务系统权限管理页面进行用户管理。
3.如权利要求1所述的企业内部统一功能权限管理方法,其特征在于,还包括:
从多个业务系统获取用户认证方式;
基于所述用户认证方式提供业务系统接入的认证方式。
4.如权利要求1所述的企业内部统一功能权限管理方法,其特征在于,还包括:
提供API接口进行角色管理和资源管理。
5.如权利要求1所述的企业内部统一功能权限管理方法,其特征在于,还包括:
提供角色互斥功能和角色组管理功能,其中,角色互斥功能为不同角色不能同时分配给同一用户的场景,角色组组管理功能为用户使用多个相同角色的功能。
6.如权利要求1所述的企业内部统一功能权限管理方法,其特征在于,通过API网关对相关权限请求进行相应处理,包括:
判断相关权限请求的发送协议;
若所述发送协议不是restful接口协议,则按照restful接口协议将相关权限请求转换成restful接口协议下的相关权限请求。
7.如权利要求1所述的企业内部统一功能权限管理方法,其特征在于,通过对外接口接收业务系统的相关权限请求,通过API网关对相关权限请求进行相应处理,包括:
根据所述相关权限请求判断业务系统已经请求的对外接口次数,基于对外接口次数判断所述对外接口是否需要限流,若需要限流,则将所述相关权限请求进行阻塞,并返回限流处理,若不需要限流,则放行所述相关权限请求。
8.如权利要求1所述的企业内部统一功能权限管理方法,其特征在于,通过对外接口接收业务系统的相关权限请求,通过API网关对相关权限请求进行相应处理,包括:
对所述相关权限请求对应的对外接口进行认证操作。
9.如权利要求8所述的企业内部统一功能权限管理方法,其特征在于,对所述相关权限请求对应的对外接口进行认证操作,包括:
基于JWT方法对所述相关权限请求对应的对外接口的合法性进行验证,若验证不通过,则拒绝提供服务;若验证通过,则放行所述相关权限请求。
10.如权利要求1所述的企业内部统一功能权限管理方法,其特征在于,通过API网关对相关权限请求进行相应处理,包括:
根据相关权限请求确定请求的对外接口的接口范围,根据接口范围进行控制请求接口的鉴权功能。
11.如权利要求1所述的企业内部统一功能权限管理方法,其特征在于,还包括:
设定业务系统调用接口优先级,用于控制业务系统请求接口的流量以及先后顺序。
12.如权利要求11所述的企业内部统一功能权限管理方法,其特征在于,通过API网关对相关权限请求进行相应处理,包括:
根据相关权限请求判断业务系统调用接口优先级,根据业务系统调用接口优先级确定将相关权限请求存入多级反馈队列中的相应队列,所述多级反馈队列包括高优先级队列、中优先级队列和低优先级队列。
13.如权利要求12所述的企业内部统一功能权限管理方法,其特征在于,通过API网关对相关权限请求进行相应处理,包括:
订阅消费高优先级队列中的相关权限请求,对相关权限请求进行相应处理;
若高优先级队列为空,则订阅消费中优先级队列中的相关权限请求;
若中优先级队列为空,则订阅消费低优先级队列中的相关权限请求。
14.如权利要求1所述的企业内部统一功能权限管理方法,其特征在于,还包括:通过API网关进行接口访问故障监控,若出现接口访问故障,则停止相应的接口访问。
15.一种企业内部统一功能权限管理系统,其特征在于,包括:
权限管理模块,用于将角色的访问控制RBAC模型作为权限管理模型,提供用户管理、角色管理和资源管理的业务系统权限管理页面,基于权限管理模型和业务系统权限管理页面进行用户管理、角色管理和资源管理,实现业务系统的统一权限管理;
业务系统接入模块,用于接收业务系统的注册申请,根据所述注册申请完成业务系统的注册,生成业务系统的系统标识;
API网关,用于提供对外接口和API网关,通过对外接口接收业务系统的相关权限请求,通过API网关对相关权限请求进行相应处理,实现业务系统的权限维护,其中所述相关权限请求中包括业务系统的系统标识。
16.如权利要求15所述的企业内部统一功能权限管理系统,其特征在于,权限管理模块包括:
基础数据获取单元,用于从多个业务系统获取用户基本信息;
根据所述用户基本信息,基于权限管理模型和业务系统权限管理页面进行用户管理。
17.如权利要求15所述的企业内部统一功能权限管理系统,其特征在于,权限管理模块包括:
用户多因子认证单元,用于从多个业务系统获取用户认证方式;
基于所述用户认证方式提供业务系统接入的认证方式。
18.如权利要求15所述的企业内部统一功能权限管理系统,其特征在于,权限管理模块具体用于:
提供API接口进行角色管理和资源管理。
19.如权利要求15所述的企业内部统一功能权限管理系统,其特征在于,权限管理模块具体用于:
提供角色互斥功能和角色组管理功能,其中,角色互斥功能为不同角色不能同时分配给同一用户的场景,角色组组管理功能为用户使用多个相同角色的功能。
20.如权利要求15所述的企业内部统一功能权限管理系统,其特征在于,API网关包括:
协议转换模块,用于判断相关权限请求的发送协议;
若所述发送协议不是restful接口协议,则按照restful接口协议将相关权限请求转换成restful接口协议下的相关权限请求。
21.如权利要求20所述的企业内部统一功能权限管理系统,其特征在于,API网关包括:
限流模块,用于根据所述相关权限请求判断业务系统已经请求的对外接口次数,基于对外接口次数判断所述对外接口是否需要限流,若需要限流,则将所述相关权限请求进行阻塞,并返回限流处理,若不需要限流,则放行所述相关权限请求。
22.如权利要求15所述的企业内部统一功能权限管理系统,其特征在于,API网关包括:
认证模块,用于对所述相关权限请求对应的对外接口进行认证操作。
23.如权利要求22所述的企业内部统一功能权限管理系统,其特征在于,认证模块具体用于:
基于JWT方法对所述相关权限请求对应的对外接口的合法性进行验证,若验证不通过,则拒绝提供服务;若验证通过,则放行所述相关权限请求。
24.如权利要求15所述的企业内部统一功能权限管理系统,其特征在于,API网关包括:
鉴权模块,用于根据相关权限请求确定请求的对外接口的接口范围,根据接口范围进行控制请求接口的鉴权功能。
25.如权利要求15所述的企业内部统一功能权限管理系统,其特征在于,API网关包括:
高可用模块,用于设定业务系统调用接口优先级,用于控制业务系统请求接口的流量以及先后顺序。
26.如权利要求25所述的企业内部统一功能权限管理系统,其特征在于,高可用模块具体用于:
根据相关权限请求判断业务系统调用接口优先级,根据业务系统调用接口优先级确定将相关权限请求存入多级反馈队列中的相应队列,所述多级反馈队列包括高优先级队列、中优先级队列和低优先级队列。
27.如权利要求26所述的企业内部统一功能权限管理系统,其特征在于,高可用模块具体用于:
订阅消费高优先级队列中的相关权限请求,对相关权限请求进行相应处理;
若高优先级队列为空,则订阅消费中优先级队列中的相关权限请求;
若中优先级队列为空,则订阅消费低优先级队列中的相关权限请求。
28.如权利要求15所述的企业内部统一功能权限管理系统,其特征在于,API网关包括:
熔断/调用链追踪模块,用于通过API网关进行接口访问故障监控,若出现接口访问故障,则停止相应的接口访问。
29.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至14任一项所述方法。
30.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至14任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110980496.3A CN113691539A (zh) | 2021-08-25 | 2021-08-25 | 企业内部统一功能权限管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110980496.3A CN113691539A (zh) | 2021-08-25 | 2021-08-25 | 企业内部统一功能权限管理方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113691539A true CN113691539A (zh) | 2021-11-23 |
Family
ID=78582380
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110980496.3A Pending CN113691539A (zh) | 2021-08-25 | 2021-08-25 | 企业内部统一功能权限管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113691539A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314323A (zh) * | 2022-10-10 | 2022-11-08 | 深圳市华云中盛科技股份有限公司 | 一种信息传输方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103036775A (zh) * | 2013-01-17 | 2013-04-10 | 杭州世导通讯有限公司 | 消息交互装置、系统及方法 |
| CN109150805A (zh) * | 2017-06-19 | 2019-01-04 | 亿阳安全技术有限公司 | 应用程序编程接口的安全管理方法和系统 |
| CN109756448A (zh) * | 2017-11-02 | 2019-05-14 | 广东亿迅科技有限公司 | 基于微服务的api网关安全管理方法及其系统 |
| CN113221138A (zh) * | 2021-04-30 | 2021-08-06 | 中核武汉核电运行技术股份有限公司 | 权限管理系统 |
-
2021
- 2021-08-25 CN CN202110980496.3A patent/CN113691539A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103036775A (zh) * | 2013-01-17 | 2013-04-10 | 杭州世导通讯有限公司 | 消息交互装置、系统及方法 |
| CN109150805A (zh) * | 2017-06-19 | 2019-01-04 | 亿阳安全技术有限公司 | 应用程序编程接口的安全管理方法和系统 |
| CN109756448A (zh) * | 2017-11-02 | 2019-05-14 | 广东亿迅科技有限公司 | 基于微服务的api网关安全管理方法及其系统 |
| CN113221138A (zh) * | 2021-04-30 | 2021-08-06 | 中核武汉核电运行技术股份有限公司 | 权限管理系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314323A (zh) * | 2022-10-10 | 2022-11-08 | 深圳市华云中盛科技股份有限公司 | 一种信息传输方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8935398B2 (en) | Access control in client-server systems | |
| US9075955B2 (en) | Managing permission settings applied to applications | |
| CN112765639B (zh) | 基于零信任访问策略的安全微服务架构及实现方法 | |
| US8990900B2 (en) | Authorization control | |
| US20050060572A1 (en) | System and method for managing access entitlements in a computing network | |
| US9413778B1 (en) | Security policy creation in a computing environment | |
| JP2010515158A (ja) | 時間を基準にした許可 | |
| CN110113369A (zh) | 一种基于角色权限控制的鉴权方法 | |
| CN107315950B (zh) | 一种云计算平台管理员权限最小化的自动化划分方法及访问控制方法 | |
| US20150341362A1 (en) | Method and system for selectively permitting non-secure application to communicate with secure application | |
| CA2830880C (en) | Managing permission settings applied to applications | |
| CA2829805C (en) | Managing application execution and data access on a device | |
| CN113691539A (zh) | 企业内部统一功能权限管理方法及系统 | |
| CN111970162B (zh) | 一种超融合架构下的异构gis平台服务中控系统 | |
| WO2012001476A2 (en) | Consigning authentication method | |
| US10880307B2 (en) | Systems for providing device-specific access to an e-mail server | |
| CN115955346A (zh) | 一种基于身份认证体系的多租户管理系统及方法 | |
| US11777938B2 (en) | Gatekeeper resource to protect cloud resources against rogue insider attacks | |
| US7653934B1 (en) | Role-based access control | |
| CN113300852B (zh) | 服务管理方法及平台、计算机设备及计算机可读存储介质 | |
| US20080301781A1 (en) | Method, system and computer program for managing multiple role userid | |
| WO2019246524A1 (en) | Real-time escalation and managing of user privileges for computer resources in a network computing environment | |
| CN116975805A (zh) | 一种数据处理方法、装置、设备、存储介质及产品 | |
| CN115514506A (zh) | 云平台资源管理方法、装置及可读存储介质 | |
| CN115396130A (zh) | 一种基于区块链的访问控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211123 |
|
| RJ01 | Rejection of invention patent application after publication |