CN114139190A - 基于过滤器的动态权限控制方法和系统 - Google Patents

基于过滤器的动态权限控制方法和系统 Download PDF

Info

Publication number
CN114139190A
CN114139190A CN202111495491.8A CN202111495491A CN114139190A CN 114139190 A CN114139190 A CN 114139190A CN 202111495491 A CN202111495491 A CN 202111495491A CN 114139190 A CN114139190 A CN 114139190A
Authority
CN
China
Prior art keywords
user
role
roles
acquiring
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111495491.8A
Other languages
English (en)
Inventor
池万泱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial Bank Co Ltd
Original Assignee
Industrial Bank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial Bank Co Ltd filed Critical Industrial Bank Co Ltd
Priority to CN202111495491.8A priority Critical patent/CN114139190A/zh
Publication of CN114139190A publication Critical patent/CN114139190A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种基于过滤器的动态权限控制方法及系统,包括:在请求分发到具体业务接口前,通过过滤器解析包括请求的用户、当前用户拥有的角色以及所访问接口需要的角色;基于解析的请求的用户、当前用户拥有的角色以及所访问接口需要的角色,通过决策器判断当前用户是否可以访问对应接口,从而实现动态权限控制的目的。

Description

基于过滤器的动态权限控制方法和系统
技术领域
本发明涉及计算机技术领域,具体地,涉及基于过滤器的动态权限控制方法和系统。
背景技术
目前权限系统存在的主要问题有:1.权限控制力度和管理员配置操作复杂度不能实现统一。导致会出现这样两种情况:1.管理员配置操作简单,但权限控制粒度粗;2.权限控制粒度细,但是管理员配置操作复杂;2.都必须依赖特定的权限组件,比如springsecurity或shiro等权限管理组件,系统更笨重;3.所有用户都是有自己的组织架构的,用户在系统的权限必然和自身所在组织部门关联,可是系统权限却不能通过组织架构配置。导致分配权限复杂;4.不同的权限资源有不同的管理控制逻辑,不能统一数据权限、接口权限、页面权限。导致系统复杂度增高、管理员配置复杂度增高。
权限控制一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源,不多不少。权限控制几乎出现在任何软件系统里面,只要其涉及网络化和多用户应用。虽然几乎所有软件系统都有权限控制,但大部分软件系统的权限控制都存在缺陷。
专利文献CN103020498A(申请号:201210467045.0)公开了一种智能化动态权限控制方法和系统,该方法包括以下步骤:A、对动态权限进行分类,构造动态权限规则库;B、实现权限规则的动态表达存入规则库;C、侦测上下文敏感信息,并将其传递给动态权限规则解析引擎;D、自动查找匹配权限规则,然后进行动态解析;E、依据权限规则在页面顺序部署。该系统包括以下功能模块:动态权限规则库、上下文环境感知器、动态权限规则解析引擎和权限规则部署模块。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种基于过滤器的动态权限控制方法及系统。
根据本发明提供的一种基于过滤器的动态权限控制方法,包括:在请求分发到具体业务接口前,通过过滤器解析包括请求的用户、当前用户拥有的角色以及所访问接口需要的角色;基于解析的请求的用户、当前用户拥有的角色以及所访问接口需要的角色,通过决策器判断当前用户是否可以访问对应接口,从而实现动态权限控制的目的。
优选地,包括
步骤S1:通过添加包括用户表、机构表、角色表、资源表、控制项表、用户机构关联表、用户角色关联表、机构角色关联表、控制项资源关联表以及控制项角色关联表扩展RBAC权限模型;
步骤S2:获取请求头中的token,通过加解密算法解密token;当成功解密token时,则和用户表里的信息匹配;匹配成功时,则认证成功,并获取请求的用户信息,并将用户标识存储到请求头中;否则认证失败,结束请求;
步骤S3:获取请求头中的用户标识,根据扩展的RBAC权限模型查询用户拥有的所有角色,并存储到线程变量中;
步骤S4:获取请求的目标地址,并根据扩展的RBAC权限模型,获取当前目标地址资源对应的所有角色,并存储到线程变量中;
步骤S5:判断用户拥有的角色和访问地址资源需要的角色是否满足决策条件,当满足时,则鉴权成功,并根据扩展的RBAC权限模型,查询出用户拥有的所有数据权限资源,并存储到请求头中,继续请求,否则鉴权失败,结束请求。
优选地,所述步骤S3采用:
步骤S3.1:查询用户角色关联表,获取当前用户直接关联的角色;
步骤S3.2:若用户继承机构权限,则通过查询用户机构关联表获取当前用户对应的机构,再通过查询机构角色表,获取机构对应的所有角色;
步骤S3.3:若用户继承机构权限,则通过查询用户机构关联表获取当前用户对应的机构的所有上级机构,再通过查询机构角色表,获取上级机构中被子孙机构继承的所有角色;
步骤S3.4:将获取的所有角色去重合并后,得到用户拥有的所有角色。
优选地,所述步骤S4采用:
步骤S4.1:获取请求中的目标URL值以及请求METHOD,通过资源表,获取访问的资源对象;
步骤S4.2:通过控制项资源关系表,获取当前资源所述的所有控制项;
步骤S4.3:通过控制项角色关系表,获取控制项需要的角色。
优选地,所述步骤S5采用:
步骤S5.1:从线程变量中获取用户拥有的所有角色及访问资源需要的所有角色;
步骤S5.2:判断用户拥有的角色中,是否存在任一角色和访问资源需要的任一角色匹配,当匹配时,则鉴权成功;否则结束请求;
步骤S5.3:根据控制项角色关联表,查询用户拥有的所有控制项;
步骤S5.4:根据控制项资源关联表,查询用户拥有的所有数据权限资源,并将资源信息存储到请求头中。
根据本发明提供的一种基于过滤器的动态权限控制系统,包括:在请求分发到具体业务接口前,通过过滤器解析包括请求的用户、当前用户拥有的角色以及所访问接口需要的角色;基于解析的请求的用户、当前用户拥有的角色以及所访问接口需要的角色,通过决策器判断当前用户是否可以访问对应接口,从而实现动态权限控制的目的。
优选地,包括
模块M1:通过添加包括用户表、机构表、角色表、资源表、控制项表、用户机构关联表、用户角色关联表、机构角色关联表、控制项资源关联表以及控制项角色关联表扩展RBAC权限模型;
模块M2:获取请求头中的token,通过加解密算法解密token;当成功解密token时,则和用户表里的信息匹配;匹配成功时,则认证成功,并获取请求的用户信息,并将用户标识存储到请求头中;否则认证失败,结束请求;
模块M3:获取请求头中的用户标识,根据扩展的RBAC权限模型查询用户拥有的所有角色,并存储到线程变量中;
模块M4:获取请求的目标地址,并根据扩展的RBAC权限模型,获取当前目标地址资源对应的所有角色,并存储到线程变量中;
模块M5:判断用户拥有的角色和访问地址资源需要的角色是否满足决策条件,当满足时,则鉴权成功,并根据扩展的RBAC权限模型,查询出用户拥有的所有数据权限资源,并存储到请求头中,继续请求,否则鉴权失败,结束请求。
优选地,所述模块M3采用:
模块M3.1:查询用户角色关联表,获取当前用户直接关联的角色;
模块M3.2:若用户继承机构权限,则通过查询用户机构关联表获取当前用户对应的机构,再通过查询机构角色表,获取机构对应的所有角色;
模块M3.3:若用户继承机构权限,则通过查询用户机构关联表获取当前用户对应的机构的所有上级机构,再通过查询机构角色表,获取上级机构中被子孙机构继承的所有角色;
模块M3.4:将获取的所有角色去重合并后,得到用户拥有的所有角色。
优选地,所述模块M4采用:
模块M4.1:获取请求中的目标URL值以及请求METHOD,通过资源表,获取访问的资源对象;
模块M4.2:通过控制项资源关系表,获取当前资源所述的所有控制项;
模块M4.3:通过控制项角色关系表,获取控制项需要的角色。
优选地,所述模块M5采用:
模块M5.1:从线程变量中获取用户拥有的所有角色及访问资源需要的所有角色;
模块M5.2:判断用户拥有的角色中,是否存在任一角色和访问资源需要的任一角色匹配,当匹配时,则鉴权成功;否则结束请求;
模块M5.3:根据控制项角色关联表,查询用户拥有的所有控制项;
模块M5.4:根据控制项资源关联表,查询用户拥有的所有数据权限资源,并将资源信息存储到请求头中。
与现有技术相比,本发明具有如下的有益效果:
1、本发明通过过滤器实现,不需要依赖其他组件,可以应用于所有基于WEB系统的登录模块,适应面广,易于集成;
2、本发明通过扩展RBAC权限模型,设计用户表、机构表、角色表、控制项表(资源集合)、资源表,及其关联关系表,实现灵活动态的权限控制;
3、本发明通过对权限资源进行分类及整合,包含数据权限资源、请求接口权限资源,实现对系统资源的全方面、一体化控制。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为扩展的RBAC权限模型。
图2为本发明的执行流程图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
实施例1
根据本发明提供的一种基于过滤器的动态权限控制方法,包括:在请求分发到具体业务接口前,通过过滤器解析包括请求的用户、当前用户拥有的角色以及所访问接口需要的角色;基于解析的请求的用户、当前用户拥有的角色以及所访问接口需要的角色,通过决策器判断当前用户是否可以访问对应接口,从而实现动态权限控制的目的。
具体地,包括:
步骤S1:扩展RBAC权限模型,设计10张表,分别为用户表、机构表、角色表、资源表、控制项表(资源集合表)、用户机构关联表、用户角色关联表、机构角色关联表、控制项资源关联表、控制项角色关联表,具体如图1所示。
步骤S2:获取请求头中的token,通过加解密算法解密token;当成功解密token时,则和用户表里的信息匹配;匹配成功时,则认证成功,并获取请求的用户信息,并将用户标识存储到请求头中;否则认证失败,结束请求;
步骤S3:获取请求头中的用户标识,根据扩展的RBAC权限模型查询用户拥有的所有角色,并存储到线程变量中;
步骤S4:获取请求的目标地址,并根据扩展的RBAC权限模型,获取当前目标地址资源对应的所有角色,并存储到线程变量中;
步骤S5:判断用户拥有的角色和访问地址资源需要的角色是否满足决策条件,当满足时,则鉴权成功,并根据扩展的RBAC权限模型,查询出用户拥有的所有数据权限资源,并存储到请求头中,继续请求,否则鉴权失败,结束请求。整个过程如图2所示。
具体地,所述步骤S3采用:
步骤S3.1:查询用户角色关联表,获取当前用户直接关联的角色;
步骤S3.2:若用户继承机构权限,则通过查询用户机构关联表获取当前用户对应的机构,再通过查询机构角色表,获取机构对应的所有角色;
步骤S3.3:若用户继承机构权限,则通过查询用户机构关联表获取当前用户对应的机构的所有上级机构,再通过查询机构角色表,获取上级机构中被子孙机构继承的所有角色;
步骤S3.4:将获取的所有角色去重合并后,得到用户拥有的所有角色。
具体地,所述步骤S4采用:
步骤S4.1:获取请求中的目标URL值以及请求METHOD,通过资源表,获取访问的资源对象;
步骤S4.2:通过控制项资源关系表,获取当前资源所述的所有控制项;
步骤S4.3:通过控制项角色关系表,获取控制项需要的角色。
具体地,所述步骤S5采用:
步骤S5.1:从线程变量中获取用户拥有的所有角色及访问资源需要的所有角色;
步骤S5.2:判断用户拥有的角色中,是否存在任一角色和访问资源需要的任一角色匹配,当匹配时,则鉴权成功;否则结束请求;
步骤S5.3:根据控制项角色关联表,查询用户拥有的所有控制项;
步骤S5.4:根据控制项资源关联表,查询用户拥有的所有数据权限资源,并将资源信息存储到请求头中。
根据本发明提供的一种基于过滤器的动态权限控制系统,包括:在请求分发到具体业务接口前,通过过滤器解析包括请求的用户、当前用户拥有的角色以及所访问接口需要的角色;基于解析的请求的用户、当前用户拥有的角色以及所访问接口需要的角色,通过决策器判断当前用户是否可以访问对应接口,从而实现动态权限控制的目的。
具体地,包括:
模块M1:扩展RBAC权限模型,设计10张表,分别为用户表、机构表、角色表、资源表、控制项表(资源集合表)、用户机构关联表、用户角色关联表、机构角色关联表、控制项资源关联表、控制项角色关联表;
模块M2:获取请求头中的token,通过加解密算法解密token;当成功解密token时,则和用户表里的信息匹配;匹配成功时,则认证成功,并获取请求的用户信息,并将用户标识存储到请求头中;否则认证失败,结束请求;
模块M3:获取请求头中的用户标识,根据扩展的RBAC权限模型查询用户拥有的所有角色,并存储到线程变量中;
模块M4:获取请求的目标地址,并根据扩展的RBAC权限模型,获取当前目标地址资源对应的所有角色,并存储到线程变量中;
模块M5:判断用户拥有的角色和访问地址资源需要的角色是否满足决策条件,当满足时,则鉴权成功,并根据扩展的RBAC权限模型,查询出用户拥有的所有数据权限资源,并存储到请求头中,继续请求,否则鉴权失败,结束请求。
具体地,所述模块M3采用:
模块M3.1:查询用户角色关联表,获取当前用户直接关联的角色;
模块M3.2:若用户继承机构权限,则通过查询用户机构关联表获取当前用户对应的机构,再通过查询机构角色表,获取机构对应的所有角色;
模块M3.3:若用户继承机构权限,则通过查询用户机构关联表获取当前用户对应的机构的所有上级机构,再通过查询机构角色表,获取上级机构中被子孙机构继承的所有角色;
模块M3.4:将获取的所有角色去重合并后,得到用户拥有的所有角色。
具体地,所述模块M4采用:
模块M4.1:获取请求中的目标URL值以及请求METHOD,通过资源表,获取访问的资源对象;
模块M4.2:通过控制项资源关系表,获取当前资源所述的所有控制项;
模块M4.3:通过控制项角色关系表,获取控制项需要的角色。
具体地,所述模块M5采用:
模块M5.1:从线程变量中获取用户拥有的所有角色及访问资源需要的所有角色;
模块M5.2:判断用户拥有的角色中,是否存在任一角色和访问资源需要的任一角色匹配,当匹配时,则鉴权成功;否则结束请求;
模块M5.3:根据控制项角色关联表,查询用户拥有的所有控制项;
模块M5.4:根据控制项资源关联表,查询用户拥有的所有数据权限资源,并将资源信息存储到请求头中。
基于上述发明,发明人运用到运维服务管理系统的权限控制中。首先构建用户中心微服务,专门处理权限功能。该服务基于扩展的RBAC权限模型设计的10张表,作为数据来源。然后创建四个过滤器,分别为用户解析过滤器,用户角色解析过滤器,访问地址所需角色解析过滤器,权限决策过滤器。其中用户解析过滤器的功能为步骤S2,用户角色解析过滤器的功能为步骤S3,访问地址所需角色解析过滤器功能为步骤S4,权限决策过滤器为步骤S5。通过这四个过滤器的工作,最后在权限决策过滤器中判断出用户是否拥有访问权限。该系统是基于spring过滤器实现,不需要依赖其他组件,比较轻。该系统目前为60000多人进行服务,所有请求都纳入权限判断过程,为增加性能,有增加缓存。每个请求都能在2s内返回,性能较好。同时可以基于机构进行角色配置,让权限分配可以基于机构进行,方便管理员权限管理。也避免用户角色表的数据臃肿。同时用户支持是否继承机构权限判断,也支持机构外协用户的权限管理。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以,本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件,而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构;也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。

Claims (10)

1.一种基于过滤器的动态权限控制方法,其特征在于,包括:在请求分发到具体业务接口前,通过过滤器解析包括请求的用户、当前用户拥有的角色以及所访问接口需要的角色;基于解析的请求的用户、当前用户拥有的角色以及所访问接口需要的角色,通过决策器判断当前用户是否可以访问对应接口,从而实现动态权限控制的目的。
2.根据权利要求1所述的基于过滤器的动态权限控制方法,其特征在于,包括
步骤S1:通过添加包括用户表、机构表、角色表、资源表、控制项表、用户机构关联表、用户角色关联表、机构角色关联表、控制项资源关联表以及控制项角色关联表扩展RBAC权限模型;
步骤S2:获取请求头中的token,通过加解密算法解密token;当成功解密token时,则和用户表里的信息匹配;匹配成功时,则认证成功,并获取请求的用户信息,并将用户标识存储到请求头中;否则认证失败,结束请求;
步骤S3:获取请求头中的用户标识,根据扩展的RBAC权限模型查询用户拥有的所有角色,并存储到线程变量中;
步骤S4:获取请求的目标地址,并根据扩展的RBAC权限模型,获取当前目标地址资源对应的所有角色,并存储到线程变量中;
步骤S5:判断用户拥有的角色和访问地址资源需要的角色是否满足决策条件,当满足时,则鉴权成功,并根据扩展的RBAC权限模型,查询出用户拥有的所有数据权限资源,并存储到请求头中,继续请求,否则鉴权失败,结束请求。
3.根据权利要求2所述的基于过滤器的动态权限控制方法,其特征在于,所述步骤S3采用:
步骤S3.1:查询用户角色关联表,获取当前用户直接关联的角色;
步骤S3.2:若用户继承机构权限,则通过查询用户机构关联表获取当前用户对应的机构,再通过查询机构角色表,获取机构对应的所有角色;
步骤S3.3:若用户继承机构权限,则通过查询用户机构关联表获取当前用户对应的机构的所有上级机构,再通过查询机构角色表,获取上级机构中被子孙机构继承的所有角色;
步骤S3.4:将获取的所有角色去重合并后,得到用户拥有的所有角色。
4.根据权利要求2所述的基于过滤器的动态权限控制方法,其特征在于,所述步骤S4采用:
步骤S4.1:获取请求中的目标URL值以及请求METHOD,通过资源表,获取访问的资源对象;
步骤S4.2:通过控制项资源关系表,获取当前资源所述的所有控制项;
步骤S4.3:通过控制项角色关系表,获取控制项需要的角色。
5.根据权利要求2所述的基于过滤器的动态权限控制方法,其特征在于,所述步骤S5采用:
步骤S5.1:从线程变量中获取用户拥有的所有角色及访问资源需要的所有角色;
步骤S5.2:判断用户拥有的角色中,是否存在任一角色和访问资源需要的任一角色匹配,当匹配时,则鉴权成功;否则结束请求;
步骤S5.3:根据控制项角色关联表,查询用户拥有的所有控制项;
步骤S5.4:根据控制项资源关联表,查询用户拥有的所有数据权限资源,并将资源信息存储到请求头中。
6.一种基于过滤器的动态权限控制系统,其特征在于,包括:在请求分发到具体业务接口前,通过过滤器解析包括请求的用户、当前用户拥有的角色以及所访问接口需要的角色;基于解析的请求的用户、当前用户拥有的角色以及所访问接口需要的角色,通过决策器判断当前用户是否可以访问对应接口,从而实现动态权限控制的目的。
7.根据权利要求6所述的基于过滤器的动态权限控制系统,其特征在于,包括
模块M1:通过添加包括用户表、机构表、角色表、资源表、控制项表、用户机构关联表、用户角色关联表、机构角色关联表、控制项资源关联表以及控制项角色关联表扩展RBAC权限模型;
模块M2:获取请求头中的token,通过加解密算法解密token;当成功解密token时,则和用户表里的信息匹配;匹配成功时,则认证成功,并获取请求的用户信息,并将用户标识存储到请求头中;否则认证失败,结束请求;
模块M3:获取请求头中的用户标识,根据扩展的RBAC权限模型查询用户拥有的所有角色,并存储到线程变量中;
模块M4:获取请求的目标地址,并根据扩展的RBAC权限模型,获取当前目标地址资源对应的所有角色,并存储到线程变量中;
模块M5:判断用户拥有的角色和访问地址资源需要的角色是否满足决策条件,当满足时,则鉴权成功,并根据扩展的RBAC权限模型,查询出用户拥有的所有数据权限资源,并存储到请求头中,继续请求,否则鉴权失败,结束请求。
8.根据权利要求7所述的基于过滤器的动态权限控制系统,其特征在于,所述模块M3采用:
模块M3.1:查询用户角色关联表,获取当前用户直接关联的角色;
模块M3.2:若用户继承机构权限,则通过查询用户机构关联表获取当前用户对应的机构,再通过查询机构角色表,获取机构对应的所有角色;
模块M3.3:若用户继承机构权限,则通过查询用户机构关联表获取当前用户对应的机构的所有上级机构,再通过查询机构角色表,获取上级机构中被子孙机构继承的所有角色;
模块M3.4:将获取的所有角色去重合并后,得到用户拥有的所有角色。
9.根据权利要求7所述的基于过滤器的动态权限控制系统,其特征在于,所述模块M4采用:
模块M4.1:获取请求中的目标URL值以及请求METHOD,通过资源表,获取访问的资源对象;
模块M4.2:通过控制项资源关系表,获取当前资源所述的所有控制项;
模块M4.3:通过控制项角色关系表,获取控制项需要的角色。
10.根据权利要求7所述的基于过滤器的动态权限控制系统,其特征在于,所述模块M5采用:
模块M5.1:从线程变量中获取用户拥有的所有角色及访问资源需要的所有角色;
模块M5.2:判断用户拥有的角色中,是否存在任一角色和访问资源需要的任一角色匹配,当匹配时,则鉴权成功;否则结束请求;
模块M5.3:根据控制项角色关联表,查询用户拥有的所有控制项;
模块M5.4:根据控制项资源关联表,查询用户拥有的所有数据权限资源,并将资源信息存储到请求头中。
CN202111495491.8A 2021-12-08 2021-12-08 基于过滤器的动态权限控制方法和系统 Pending CN114139190A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111495491.8A CN114139190A (zh) 2021-12-08 2021-12-08 基于过滤器的动态权限控制方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111495491.8A CN114139190A (zh) 2021-12-08 2021-12-08 基于过滤器的动态权限控制方法和系统

Publications (1)

Publication Number Publication Date
CN114139190A true CN114139190A (zh) 2022-03-04

Family

ID=80385389

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111495491.8A Pending CN114139190A (zh) 2021-12-08 2021-12-08 基于过滤器的动态权限控制方法和系统

Country Status (1)

Country Link
CN (1) CN114139190A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116305032A (zh) * 2023-02-14 2023-06-23 北京海致星图科技有限公司 一种在分享页面应用中接入系统权限的方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116305032A (zh) * 2023-02-14 2023-06-23 北京海致星图科技有限公司 一种在分享页面应用中接入系统权限的方法及系统
CN116305032B (zh) * 2023-02-14 2023-11-14 北京海致星图科技有限公司 一种在分享页面应用中接入系统权限的方法及系统

Similar Documents

Publication Publication Date Title
CN112364377B (zh) 一种适应于电力行业的数据分类分级安全防护系统
US10650156B2 (en) Environmental security controls to prevent unauthorized access to files, programs, and objects
US9692790B2 (en) System and method of monitoring and controlling application files
CN106790001B (zh) 基于统一界面的多系统角色权限管理方法及系统
US7546640B2 (en) Fine-grained authorization by authorization table associated with a resource
US9455975B2 (en) Techniques for managing credentials in a distributed computing environment
US8850549B2 (en) Methods and systems for controlling access to resources and privileges per process
CN101631116B (zh) 一种分布式双重授权及访问控制方法和系统
US20060004636A1 (en) System and method of monitoring and controlling application files
US8307406B1 (en) Database application security
JP2012108958A (ja) バイオメトリックデバイスを用いて企業リソースへのアクセスを可能にするシステム、方法およびコンピュータプログラム製品
WO2006022739A2 (en) Method and system for processing grammar-based legality expressions
EP3805962B1 (en) Project-based permission system
US20150066873A1 (en) Policy based deduplication techniques
CN110430180A (zh) 一种基于热插拔的物联网平台及实现方法
CN107566375B (zh) 访问控制方法和装置
CN114139190A (zh) 基于过滤器的动态权限控制方法和系统
KR20070076342A (ko) 그리드 환경에서 사용자 그룹 역할/권한 관리 시스템 및접근 제어 방법
CN112613075A (zh) 权限的确定方法及装置、存储介质及电子装置
US20090172778A1 (en) Rule-based security system and method
US9172719B2 (en) Intermediate trust state
KR101304452B1 (ko) 위치 기반 문서 관리 클라우드 시스템
WO2021055989A1 (en) Distributed attribute based access control as means of data protection and collaboration in sensitive (personal) digital record and activity trail investigations
CN117912140A (zh) 一种基于平台管理的智能门锁管理方法及系统
Carter et al. Protecting Credentials

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination