CN115174177B - 权限管理方法、装置、电子设备、存储介质和程序产品 - Google Patents
权限管理方法、装置、电子设备、存储介质和程序产品 Download PDFInfo
- Publication number
- CN115174177B CN115174177B CN202210744934.0A CN202210744934A CN115174177B CN 115174177 B CN115174177 B CN 115174177B CN 202210744934 A CN202210744934 A CN 202210744934A CN 115174177 B CN115174177 B CN 115174177B
- Authority
- CN
- China
- Prior art keywords
- rights
- authority
- target
- permission
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及权限管理技术领域,提供一种权限管理方法、装置、电子设备、存储介质和程序产品,方法包括:确定接入权限管理平台的目标应用,所述权限管理平台用于对各接入应用的权限进行管理,任一接入应用为接入所述权限管理平台的应用;基于第一权限模型,构建所述目标应用的目标权限;其中,所述第一权限模型是基于不同类型的权限模型确定的,所述第一权限模型用于构建不同类型应用所使用的权限,以及用于构建不同类型的权限。本发明可以实现对不同类型应用的权限进行统一管理,提升权限管理的效率。
Description
技术领域
本发明涉及权限管理技术领域,尤其涉及一种权限管理方法、装置、电子设备、存储介质和程序产品。
背景技术
随着企业数字化建设的不断发展,企业的业务系统可以包括研、产、供、销、管等各类应用系统。而各类应用系统的权限可以交由权限管理平台进行管理。
目前,不同的应用系统大多通过不同类型的权限模型进行权限构建,而各类权限模型相互独立,基于此,权限管理平台无法对各类应用系统的权限进行统一管理。因此,如何对不同类型应用的权限进行统一管理,是目前亟需解决的问题。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一。为此,本发明提出一种权限管理方法,可以实现对不同类型应用的权限进行统一管理,提升权限管理的效率。
本发明还提供一种权限管理装置、电子设备、存储介质和程序产品。
根据本发明第一方面实施例的权限管理方法,包括:
确定接入权限管理平台的目标应用,所述权限管理平台用于对各接入应用的权限进行管理,任一接入应用为接入所述权限管理平台的应用;
基于第一权限模型,构建所述目标应用的目标权限;
其中,所述第一权限模型是基于不同类型的权限模型确定的,所述第一权限模型用于构建不同类型应用所使用的权限,以及用于构建不同类型的权限。
根据本发明实施例的权限管理方法,第一权限模型可以构建各应用的权限,从而实现对各应用的权限进行统一管理;该第一权限模型是基于不同类型的权限模型确定的,从而适配各类权限模型;在第一权限模式可以适配各类权限模型后,可以适配各类应用,即该第一权限模型用于构建不同类型应用的权限;该第一权限模型还可以用于构建不同类型的权限,从而适配各类业务场景。综上,通过第一权限模型,可以将不同类型、不同业务领域、不同权限模型的应用的权限进行统一管理,而权限管理平台用于对各接入应用的权限进行管理,基于此,可以实现对不同类型应用的权限进行统一管理,进而提升权限管理的效率。
根据本发明的一个实施例,所述第一权限模型用于构建功能权限和数据权限,所述功能权限用于确定功能是否可以使用,所述数据权限用于确定权限的使用范围;
所述基于第一权限模型,构建所述目标应用的目标权限,包括:
基于第一权限模型,构建所述目标应用的目标功能权限和目标数据权限;
基于所述目标数据权限,对所述目标功能权限的使用范围进行限制。
根据本发明的一个实施例,所述基于第一权限模型,构建所述目标应用的目标权限,之后还包括:
基于当前的业务场景,确定待授权的目标角色;
对所述目标角色对应的权限集合进行授权,以使所述权限集合中所有应用的权限均被授权;
其中,所述权限集合是基于所述目标角色,构建不同应用的权限得到的。
根据本发明的一个实施例,所述权限集合包括功能权限和数据权限;
所述功能权限用于确定功能是否可以使用;
所述数据权限用于确定权限的使用范围。
根据本发明的一个实施例,所述基于当前的业务场景,确定待授权的目标角色,之后还包括:
对所述目标角色所绑定的角色数据权限进行授权,以使所述权限集合中所有功能权限均被所述角色数据权限限制;
其中,所述功能权限用于确定功能是否可以使用,所述角色数据权限用于确定所述权限集合中所有功能权限的使用范围。
根据本发明的一个实施例,所述对所述目标角色对应的权限集合进行授权,包括:
获取参数输入指令,并基于所述参数输入指令确定授权参数;
基于所述授权参数对所述目标角色对应的权限集合进行授权。
根据本发明的一个实施例,所述数据权限包括不同业务范围的权限,所述数据权限包括不同业务复杂度的权限。
根据本发明的一个实施例,所述基于第一权限模型,构建所述目标应用的目标权限,之后还包括:
确定待授权对象,所述待授权对象包括组织、群组、岗位、用户中的至少一种;
对所述待授权对象的权限进行授权。
根据本发明第二方面实施例的权限管理装置,包括:
确定模块,用于确定接入权限管理平台的目标应用,所述权限管理平台用于对各接入应用的权限进行管理,任一接入应用为接入权限管理平台的应用;
构建模块,用于基于第一权限模型,构建所述目标应用的目标权限;
其中,所述第一权限模型是基于不同类型的权限模型确定的,所述第一权限模型用于构建不同类型应用所使用的权限,以及用于构建不同类型的权限。
根据本发明第三方面实施例的电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述权限管理方法。
根据本发明第四方面实施例的非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述权限管理方法。
根据本发明第五方面实施例的计算机程序产品,其包括计算机程序,该计算机程序被处理器执行时实现如上述任一种所述权限管理方法。
本发明实施例中的上述一个或多个技术方案,至少具有如下技术效果之一:
第一权限模型可以构建各应用的权限,从而实现对各应用的权限进行统一管理;该第一权限模型是基于不同类型的权限模型确定的,从而适配各类权限模型;在第一权限模式可以适配各类权限模型后,可以适配各类应用,即该第一权限模型用于构建不同类型应用的权限;该第一权限模型还可以用于构建不同类型的权限,从而适配各类业务场景。综上,通过第一权限模型,可以将不同类型、不同业务领域、不同权限模型的应用的权限进行统一管理,而权限管理平台用于对各接入应用的权限进行管理,基于此,可以实现对不同类型应用的权限进行统一管理,进而提升权限管理的效率。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的权限管理方法的流程示意图之一;
图2是本发明实施例提供的功能权限的划分示意图;
图3是本发明实施例提供的权限集合的划分示意图;
图4是本发明实施例提供的数据权限的绑定示意图;
图5是本发明实施例提供的数据权限的划分示意图;
图6是本发明实施例提供的权限管理装置的结构示意图;
图7是本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着企业数字化建设的不断发展,企业的业务系统可以包括研、产、供、销、管等各类应用系统,进而使企业多样化、碎片化、动态的业务权限管理需求逐渐增多。其中,各类应用系统的权限可以交由权限管理平台进行管理。现有的权限管理平台已经无法满足数字化时代的企业需求,数字化时代迫切呼吁新一代的权限管理平台出现,从而实现业权一体化的权限管理平台。业权一体化需要对企业数字化转型进行全面的支撑,即对企业数字化转型中的研、产、供、销、管等各类应用系统的权限进行拉通管理,也就是说,权限管理平台的权限模型需要支撑研、产、供、销、管等各类应用系统。然而,各类应用系统的权限信息差别巨大,权限管控的内容也差别巨大,权限管控的粒度以及维度也差别巨大,基于此,不同的应用系统大多通过不同类型的权限模型进行权限构建,而各类权限模型相互独立,导致权限管理平台无法对各类应用系统的权限进行统一管理。因此,如何适配不同类型的权限模型,如何适配不同业务场景,以对不同类型应用的权限进行统一管理,是目前亟需解决的问题。
针对上述问题,本发明提出以下各实施例。下面结合附图描述本发明实施例提供的权限管理方法。该权限管理方法的执行主体可以为权限管理平台,或者为服务器,或者还可以为台式电脑、笔记本电脑等,或者还可以为用户的终端,包括但不限于手机、平板电脑、pc端、车载终端以及家用智能电器等。
图1是本发明实施例提供的权限管理方法的流程示意图之一,如图1所示,该权限管理方法包括:
步骤110,确定接入权限管理平台的目标应用,所述权限管理平台用于对各接入应用的权限进行管理,任一接入应用为接入所述权限管理平台的应用。
此处,权限管理平台用于管理权限,具体的,用于管理多个接入应用的权限。
此处,目标应用为接入权限管理平台的应用;可以理解,由于目标应用的权限需要交由权限管理平台进行管理,则需要将目标应用接入权限管理平台。
该权限管理平台可以接入不同类型应用,该不同类型应用可以包括但不限于:研发、生产、营销、供应、管理、财务等各类应用。具体的,该不同类型应用可以包括但不限于:IT类应用、物联网应用、智能设备应用、物联网设备应用、资源目录应用、互联网应用等等。
步骤120,基于第一权限模型,构建所述目标应用的目标权限。
其中,所述第一权限模型是基于不同类型的权限模型确定的,所述第一权限模型用于构建不同类型应用所使用的权限,以及用于构建不同类型的权限。
此处,第一权限模型为可扩展的模型,即全新的权限模型,其可以扩展从而适配各类权限模型,适配各类应用,适配各类业务场景,基于此,权限管理平台可以对不同类型应用的权限进行统一管理,即权限管理平台可以管理多元化的权限。
具体地,第一权限模型是基于不同类型的权限模型确定的,从而适配各类权限模型,且在需要适配新类型的权限模型时,可以对第一权限模型进行扩展,从而还可以适配新类型的权限模型。在第一权限模式可以适配各类权限模型后,即使各类应用系统的权限信息差别巨大,权限管控的内容也差别巨大,权限管控的粒度以及维度也差别巨大,也可以适配各类应用。第一权限模型可以用于构建不同类型的权限,从而适配各类业务场景。
需要说明的是,该第一权限模型为全新的权限模型,通过第一权限模型自身的扩展性,可动态生成各类权限模型,从而实现对各类权限模型的全域覆盖。此外,通过第一权限模型自身的可配置性和可扩展性,可以构造出不同类型的权限。
此处,目标应用的目标权限可以包括一个或多个,且该目标权限可以包括不同类型的权限,还可以包括不同类型的权限模型对应的权限。
此处,不同类型的权限模型可以包括但不限于:RBAC(Role Based AccessControl,基于角色的访问控制)、ABAC(Attribute Base Access Control,基于属性的访问控制)、PBAC(Policy Based Access Control,基于策略的访问控制)、ACL(Access ControlList,访问控制列表)等等。
此处,不同类型应用可以包括但不限于:研发、生产、营销、供应、管理、财务等各类应用。具体的,该不同类型应用可以包括但不限于:IT类应用、物联网应用、智能设备应用、物联网设备应用、资源目录应用、互联网应用等等。
此处,不同类型的权限可以包括但不限于:菜单型结构权限、资源型结构权限、目录结构型权限、IOT(Internet of Things,物联网)型权限、访问控制型权限、数据范围访问权限等等。此外,通过第一权限模型的扩展性,可以自定义扩展适配一些特殊的、不规则或不规范的权限,以使不同类型的权限还包括自定义权限。
具体地,基于权限管理平台的第一权限模型,构建目标应用的目标权限。更为具体地,基于第一权限模型,对目标应用进行实例化,以构建形成目标应用的目标权限。
可以理解的是,通过第一权限模型,可以将不同类型、不同业务领域、不同权限模型的应用的权限进行统一管理,从而提高第一权限模型的适配性,并提高权限管理平台的适配性,进而降低权限管理的门槛,即由传统的IT管理权限回归到业务人员的自主管理权限,从而提升了权限管理的效率。
本发明实施例提供的权限管理方法,确定接入权限管理平台的目标应用;基于第一权限模型,构建目标应用的目标权限。通过上述方式,第一权限模型可以构建各应用的权限,从而实现对各应用的权限进行统一管理;该第一权限模型是基于不同类型的权限模型确定的,从而适配各类权限模型;在第一权限模式可以适配各类权限模型后,可以适配各类应用,即该第一权限模型用于构建不同类型应用的权限;该第一权限模型还可以用于构建不同类型的权限,从而适配各类业务场景。综上,通过第一权限模型,可以将不同类型、不同业务领域、不同权限模型的应用的权限进行统一管理,而权限管理平台用于对各接入应用的权限进行管理,基于此,可以实现对不同类型应用的权限进行统一管理,进而提升权限管理的效率。
基于上述实施例,该方法中,所述第一权限模型用于构建功能权限和数据权限,所述功能权限用于确定功能是否可以使用,所述数据权限用于确定权限的使用范围。
相应地,上述步骤120包括:
基于第一权限模型,构建所述目标应用的目标功能权限和目标数据权限;
基于所述目标数据权限,对所述目标功能权限的使用范围进行限制。
此处,基于权限管控的角度,将权限划分为功能权限和数据权限。相应地,第一权限模型可以用于构建功能权限和数据权限,从而对权限进行更细化的区分。
此处,功能权限用于解决权限有无、可以与不可以、能与不能、可用与不可用、是与否等对立类的问题,从而确定用户是否可以使用对应的功能,即确定用户是否可以执行对应的功能。例如,功能权限指的是对某个业务所具有的读、写、查、改、删等功能的许可。
需要说明的是,基于第一权限模型的构造能力,结合权限使用的业务场景,可以构造出适应业务场景的权限,即构建不同类型的权限,例如,菜单型权限、资源型权限、目录型权限、IOT权限、参数型权限等。
为便于理解,如图2所示,功能权限分为菜单型权限、资源型权限、目录型权限、IOT权限、其他权限,各类型的权限分别实例化到应用A、应用B、应用C、应用D、应用E,以对不同应用进行权限管控。
此处,数据权限用于解决权限可用范围的问题。
此处,目标功能权限可以包括1个或多个,且该目标功能权限可以包括不同类型的权限,还可以包括不同类型的权限模型对应的权限。
此处,目标数据权限可以包括1个或多个,且该目标数据权限可以包括不同类型的权限,还可以包括不同类型的权限模型对应的权限。
具体地,建立目标功能权限与目标数据权限之间的关系,以对目标功能权限的使用范围进行限制。更为具体地,基于目标数据权限,在目标功能权限上绑定对应的数据权限,从而实现在目标功能权限授权的基础上同时满足该目标功能权限的数据范围管控。
本发明实施例提供的权限管理方法,第一权限模型用于构建功能权限和数据权限,从而适配更为精细化的权限;同时,基于目标数据权限,对目标功能权限的使用范围进行限制,使得权限的授权带有使用范围的限制,从而提高权限管理的精确性。综上,通过对功能权限和数据权限的分类构建,以及对功能权限和数据权限的关联绑定,提升了权限管理的宽度与深度,进而提高权限管理的精确性。
基于上述任一实施例,该方法中,在上述步骤120之后还包括:
基于当前的业务场景,确定待授权的目标角色;
对所述目标角色对应的权限集合进行授权,以使所述权限集合中所有应用的权限均被授权;
其中,所述权限集合是基于所述目标角色,构建不同应用的权限得到的。
此处,每一业务场景可以对应一个或多个角色,即目标角色可以包括一个或多个。具体地,基于当前的业务场景,从场景-角色映射关系中确定出待授权的目标角色。该场景-角色映射关系可以根据实际需求进行设定,本发明实施例对此不作具体限定。
此处,一个目标角色对应一个权限集合。权限集合可以包括多个应用的权限。
在一具体实施例中,权限集合为角色模型,该角色模型作为权限的集合,即作为一个权限集。
为便于理解,参照图3,一个业务场景对应有一个业务角色A,另一个业务场景对应有一个业务角色B,业务角色A对应的权限集合包括应用A的权限A-1、应用A的权限A-2、应用B的权限B-1、应用N的数据权限N,业务角色B对应的权限集合包括应用A的权限A-1、应用A的权限A-3、应用B的权限B-2、应用N的权限N。基于此,建立跨应用的权限集合,即建立跨应用的角色模型。
需要说明的是,考虑到在各应用上分别进行授权,不仅效率低、成本高,而且在更多的业务场景下已不能再满足企业发展的权限管理要求,基于此,建立跨应用的权限集合,即建立跨应用的角色模型,使用角色去关联各应用的权限,从而通过对权限集合进行授权,实现跨应用的授权。
本发明实施例提供的权限管理方法,通过对目标角色对应的权限集合进行授权,从而根据业务场景快速对该业务场景对应的权限进行授权。同时,通过对权限集合的构建,打破了权限在同一应用内管理的界限,使权限可跨应用管理,从而实现对不同类型应用的权限进行统一管理,提升了权限管理的效率,降低了权限管理的成本。
基于上述任一实施例,所述权限集合包括功能权限和数据权限;所述功能权限用于确定功能是否可以使用;所述数据权限用于确定权限的使用范围。
此处,权限集合可以包括1个或多个功能权限,以及1个或多个数据权限。
基于上述任一实施例,该方法中,在所述基于当前的业务场景,确定待授权的目标角色,之后还包括:
对所述目标角色所绑定的角色数据权限进行授权,以使所述权限集合中所有功能权限均被所述角色数据权限限制;
其中,所述功能权限用于确定功能是否可以使用,所述角色数据权限用于确定所述权限集合中所有功能权限的使用范围。
此处,对目标角色绑定角色数据权限,以使可以直接对角色数据权限进行授权,使得目标角色对应的权限集合中的权限均受使用范围的限制。
具体地,建立目标角色与角色数据权限之间的关系,以对角色对应的权限的使用范围进行限制。更为具体地,在目标角色上绑定对应的角色数据权限,从而使得目标角色对应的权限集合中的权限均受使用范围的限制。
为便于理解,参照图4,角色上绑定对应的数据权限,而角色对应有集合,即权限集合,该集合包括权限A、权限B、权限N,此时,对该数据权限授权的话,权限A、权限B、权限N均受使用范围的限制。
本发明实施例提供的权限管理方法,通过对目标角色所绑定的角色数据权限进行授权,从而根据业务场景快速对该业务场景对应的数据权限进行授权。同时,在目标角色上绑定角色数据权限,无需对目标角色的权限集合中的数据权限一一授权,即使用业务角色进行授权可实现跨应用的批量授权,提升了授权效率,从而提升了权限管理的效率。
基于上述任一实施例,该方法中,所述对所述目标角色对应的权限集合进行授权,包括:
获取参数输入指令,并基于所述参数输入指令确定授权参数;
基于所述授权参数对所述目标角色对应的权限集合进行授权。
此处,参数输入指令可以由用户输入,该参数输入指令可以由本发明实施例的方法的执行主体触发,也可以由其他端触发,再从其他端传输至该执行主体。需要说明的是,用户通过参数输入指令,可以输入用户自定义的授权参数。
在一实施例中,可以在目标角色与权限集合关联后,获取参数输入指令,并录入参数输入指令对应的授权参数,以供后续进行权限的授权。
在另一实施例中,可以在目标角色与权限集合关联时,获取参数输入指令,并录入参数输入指令对应的授权参数,以供后续进行权限的授权。
可以理解的是,对权限构建权限参数和授权参数,从而可以通过参数实现精细化的授权控制。
本发明实施例提供的权限管理方法,基于参数输入指令确定的授权参数,对目标角色对应的权限集合进行授权,从而可以自定义授权参数,对授权实现更为精细化的控制,进而进一步提高授权管理的精确性。
基于上述任一实施例,该方法中,所述对所述目标角色所绑定的角色数据权限进行授权,包括:
获取参数输入指令,并基于所述参数输入指令确定授权参数;
基于所述授权参数对所述目标角色所绑定的角色数据权限进行授权。
此处,参数输入指令可以由用户输入,该参数输入指令可以由本发明实施例的方法的执行主体触发,也可以由其他端触发,再从其他端传输至该执行主体。需要说明的是,用户通过参数输入指令,可以输入用户自定义的授权参数。
在一实施例中,可以在目标角色与权限集合关联后,获取参数输入指令,并录入参数输入指令对应的授权参数,以供后续进行权限的授权。
在另一实施例中,可以在目标角色与权限集合关联时,获取参数输入指令,并录入参数输入指令对应的授权参数,以供后续进行权限的授权。
可以理解的是,对权限构建权限参数和授权参数,从而可以通过参数实现精细化的授权控制。
本发明实施例提供的权限管理方法,基于参数输入指令确定的授权参数,对目标角色所绑定的角色数据权限进行授权,从而可以自定义授权参数,对授权实现更为精细化的控制,进而进一步提高授权管理的精确性。
基于上述任一实施例,所述数据权限包括不同业务范围的权限,所述数据权限包括不同业务复杂度的权限。
具体地,基于业务范围的定义、业务数据的关联、业务属性的扩展等,对业务范围进行划分,从而使数据权限可以划分为不同业务范围的权限。
其中,业务范围包括但不限于:业务的应用范围、业务的数据范围、业务的组织数据范围、业务的时空区间范围等等。
此处,不同业务复杂度的权限可以包括但不限于:一维数据权限、二维数据权限、三维数据权限等等,即还可以包括更高维的数据权限。
为便于理解,如图5所示,数据权限从业务范围构造,可以得到经营/组织类数据权限、应用业务类数据权限、通用数据权限、精细化元素数据权限、其他数据权限;数据权限从业务复杂度构造,可以得到一维数据权限、二维数据权限、N维数据权限;各类数据权限分别实例化到应用A、应用B、应用C、应用N。
本发明实施例提供的权限管理方法,数据权限可以基于业务范围划分,或者基于业务复杂度划分,从而对数据权限实现更精细化的管理,提升了权限管理的宽度与深度,进而进一步提高权限管理的精确性。
基于上述任一实施例,该方法中,在上述步骤120之后还包括:
确定待授权对象,所述待授权对象包括组织、群组、岗位、用户中的至少一种;
对所述待授权对象的权限进行授权。
此处,考虑到传统的授权模式需要对实际用户进行授权,本发明实施例可以将实际用户进行组合,得到包括多个实际用户的待授权对象,进而对待授权对象进行授权即可。
此处,用户可以用人员、账号、设备、资源、IOT、IP等进行表征。组织可以包括普通组织、虚拟团队、虚拟部门等等。
本发明实施例提供的权限管理方法,对组织、群组、岗位、用户的权限进行授权,可以一次对多个实际用户进行授权,从而实现人员入职即自动授权,并实现人员随业务变化调岗,可以自动更新权限,并实现人员离职后自动解除权限。综上,对组织、群组、岗位、用户的权限进行授权,可以使权限随业务的变化自动授权、自动解权、自动切换权限,提升了权限开通、回收的效率,也提升了权限的信息安全,避免权限的解除不及时导致的信息安全泄漏,进而提高权限管理的效率。
下面对本发明提供的权限管理装置进行描述,下文描述的权限管理装置与上文描述的权限管理方法可相互对应参照。
图6是本发明实施例提供的权限管理装置的结构示意图,如图6所示,该权限管理装置,包括:
确定模块610,用于确定接入权限管理平台的目标应用,所述权限管理平台用于对各接入应用的权限进行管理,任一接入应用为接入权限管理平台的应用;
构建模块620,用于基于第一权限模型,构建所述目标应用的目标权限;
其中,所述第一权限模型是基于不同类型的权限模型确定的,所述第一权限模型用于构建不同类型应用所使用的权限,以及用于构建不同类型的权限。
本发明实施例提供的权限管理装置,确定接入权限管理平台的目标应用;基于第一权限模型,构建目标应用的目标权限。通过上述方式,第一权限模型可以构建各应用的权限,从而实现对各应用的权限进行统一管理;该第一权限模型是基于不同类型的权限模型确定的,从而适配各类权限模型;在第一权限模式可以适配各类权限模型后,可以适配各类应用,即该第一权限模型用于构建不同类型应用的权限;该第一权限模型还可以用于构建不同类型的权限,从而适配各类业务场景。综上,通过第一权限模型,可以将不同类型、不同业务领域、不同权限模型的应用的权限进行统一管理,而权限管理平台用于对各接入应用的权限进行管理,基于此,可以实现对不同类型应用的权限进行统一管理,进而提升权限管理的效率。
基于上述任一实施例,所述第一权限模型用于构建功能权限和数据权限,所述功能权限用于确定功能是否可以使用,所述数据权限用于确定权限的使用范围;
该构建模块620包括:
权限构建单元,用于基于第一权限模型,构建所述目标应用的目标功能权限和目标数据权限;
权限限制单元,用于基于所述目标数据权限,对所述目标功能权限的使用范围进行限制。
基于上述任一实施例,该装置还包括:
角色确定模块,用于基于当前的业务场景,确定待授权的目标角色;
集合授权模块,用于对所述目标角色对应的权限集合进行授权,以使所述权限集合中所有应用的权限均被授权;
其中,所述权限集合是基于所述目标角色,构建不同应用的权限得到的。
基于上述任一实施例,所述权限集合包括功能权限和数据权限;
所述功能权限用于确定功能是否可以使用;
所述数据权限用于确定权限的使用范围。
基于上述任一实施例,该装置还包括:
权限授权模块,用于对所述目标角色所绑定的角色数据权限进行授权,以使所述权限集合中所有功能权限均被所述角色数据权限限制;
其中,所述功能权限用于确定功能是否可以使用,所述角色数据权限用于确定所述权限集合中所有功能权限的使用范围。
基于上述任一实施例,该集合授权模块还用于:
获取参数输入指令,并基于所述参数输入指令确定授权参数;
基于所述授权参数对所述目标角色对应的权限集合进行授权。
基于上述任一实施例,所述数据权限包括不同业务范围的权限,所述数据权限包括不同业务复杂度的权限。
基于上述任一实施例,该装置还包括:
对象确定模块,用于确定待授权对象,所述待授权对象包括组织、群组、岗位、用户中的至少一种;
对象授权模块,用于对所述待授权对象的权限进行授权。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)710、通信接口(Communications Interface)720、存储器(memory)730和通信总线740,其中,处理器710,通信接口720,存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令,以执行权限管理方法,该方法包括:确定接入权限管理平台的目标应用,所述权限管理平台用于对各接入应用的权限进行管理,任一接入应用为接入所述权限管理平台的应用;基于第一权限模型,构建所述目标应用的目标权限;其中,所述第一权限模型是基于不同类型的权限模型确定的,所述第一权限模型用于构建不同类型应用所使用的权限,以及用于构建不同类型的权限。
此外,上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的权限管理方法,该方法包括:确定接入权限管理平台的目标应用,所述权限管理平台用于对各接入应用的权限进行管理,任一接入应用为接入所述权限管理平台的应用;基于第一权限模型,构建所述目标应用的目标权限;其中,所述第一权限模型是基于不同类型的权限模型确定的,所述第一权限模型用于构建不同类型应用所使用的权限,以及用于构建不同类型的权限。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的权限管理方法,该方法包括:确定接入权限管理平台的目标应用,所述权限管理平台用于对各接入应用的权限进行管理,任一接入应用为接入所述权限管理平台的应用;基于第一权限模型,构建所述目标应用的目标权限;其中,所述第一权限模型是基于不同类型的权限模型确定的,所述第一权限模型用于构建不同类型应用所使用的权限,以及用于构建不同类型的权限。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
以上实施方式仅用于说明本发明,而非对本发明的限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行各种组合、修改或者等同替换,都不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围中。
Claims (9)
1.一种权限管理方法,其特征在于,包括:
确定接入权限管理平台的目标应用,所述权限管理平台用于对各接入应用的权限进行管理,任一接入应用为接入所述权限管理平台的应用;
基于第一权限模型,构建所述目标应用的目标权限;
其中,所述第一权限模型是基于不同类型的权限模型确定的,所述第一权限模型用于构建不同类型应用所使用的权限,以及用于构建不同类型的权限,所述不同类型的权限模型包括:基于角色的访问控制RBAC、基于属性的访问控制ABAC、基于策略的访问控制PBAC、访问控制列表ACL;
所述第一权限模型是可扩展的权限模型;
所述方法还包括:
基于待适配权限模型,对所述第一权限模型进行扩展,以使所述第一权限模型用于构建所述待适配权限模型对应的权限;
所述基于第一权限模型,构建所述目标应用的目标权限,之后还包括:
基于当前的业务场景,确定待授权的目标角色;
对所述目标角色对应的权限集合进行授权,以使所述权限集合中所有应用的权限均被授权;
其中,所述权限集合是基于所述目标角色,构建不同应用的权限得到的;
所述基于当前的业务场景,确定待授权的目标角色,之后还包括:
对所述目标角色所绑定的角色数据权限进行授权,以使所述权限集合中所有功能权限均被所述角色数据权限限制;
其中,所述功能权限用于确定功能是否可以使用,所述角色数据权限用于确定所述权限集合中所有功能权限的使用范围。
2.根据权利要求1所述的权限管理方法,其特征在于,所述第一权限模型用于构建功能权限和数据权限,所述数据权限用于确定权限的使用范围;
所述基于第一权限模型,构建所述目标应用的目标权限,包括:
基于第一权限模型,构建所述目标应用的目标功能权限和目标数据权限;
基于所述目标数据权限,对所述目标功能权限的使用范围进行限制。
3.根据权利要求1所述的权限管理方法,其特征在于,所述权限集合包括功能权限和数据权限;
所述数据权限用于确定权限的使用范围。
4.根据权利要求1所述的权限管理方法,其特征在于,所述对所述目标角色对应的权限集合进行授权,包括:
获取参数输入指令,并基于所述参数输入指令确定授权参数;
基于所述授权参数对所述目标角色对应的权限集合进行授权。
5.根据权利要求1-3中任一项所述的权限管理方法,其特征在于,所述数据权限包括不同业务范围的权限,所述数据权限包括不同业务复杂度的权限。
6.根据权利要求1所述的权限管理方法,其特征在于,所述基于第一权限模型,构建所述目标应用的目标权限,之后还包括:
确定待授权对象,所述待授权对象包括组织、群组、岗位、用户中的至少一种;
对所述待授权对象的权限进行授权。
7.一种权限管理装置,其特征在于,包括:
确定模块,用于确定接入权限管理平台的目标应用,所述权限管理平台用于对各接入应用的权限进行管理,任一接入应用为接入权限管理平台的应用;
构建模块,用于基于第一权限模型,构建所述目标应用的目标权限;
其中,所述第一权限模型是基于不同类型的权限模型确定的,所述第一权限模型用于构建不同类型应用所使用的权限,以及用于构建不同类型的权限,所述不同类型的权限模型包括:基于角色的访问控制RBAC、基于属性的访问控制ABAC、基于策略的访问控制PBAC、访问控制列表ACL;
所述第一权限模型是可扩展的权限模型;
所述装置还包括扩展模块,所述扩展模块用于:
基于待适配权限模型,对所述第一权限模型进行扩展,以使所述第一权限模型用于构建所述待适配权限模型对应的权限;
所述装置还包括:
角色确定模块,用于基于当前的业务场景,确定待授权的目标角色;
集合授权模块,用于对所述目标角色对应的权限集合进行授权,以使所述权限集合中所有应用的权限均被授权;
其中,所述权限集合是基于所述目标角色,构建不同应用的权限得到的;
所述装置还包括:
权限授权模块,用于对所述目标角色所绑定的角色数据权限进行授权,以使所述权限集合中所有功能权限均被所述角色数据权限限制;
其中,所述功能权限用于确定功能是否可以使用,所述角色数据权限用于确定所述权限集合中所有功能权限的使用范围。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述权限管理方法。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述权限管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210744934.0A CN115174177B (zh) | 2022-06-27 | 2022-06-27 | 权限管理方法、装置、电子设备、存储介质和程序产品 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210744934.0A CN115174177B (zh) | 2022-06-27 | 2022-06-27 | 权限管理方法、装置、电子设备、存储介质和程序产品 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115174177A CN115174177A (zh) | 2022-10-11 |
CN115174177B true CN115174177B (zh) | 2023-06-30 |
Family
ID=83489597
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210744934.0A Active CN115174177B (zh) | 2022-06-27 | 2022-06-27 | 权限管理方法、装置、电子设备、存储介质和程序产品 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115174177B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116028963B (zh) * | 2023-03-27 | 2023-06-30 | 美云智数科技有限公司 | 权限管理方法、装置、电子设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113239344A (zh) * | 2021-05-12 | 2021-08-10 | 建信金融科技有限责任公司 | 一种访问权限控制方法和装置 |
CN114051029A (zh) * | 2021-11-10 | 2022-02-15 | 北京百度网讯科技有限公司 | 授权方法、授权装置、电子设备和存储介质 |
CN114266021A (zh) * | 2021-12-20 | 2022-04-01 | 中国农业银行股份有限公司 | 一种用户权限的管理方法、装置、设备及介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302492A (zh) * | 2016-08-23 | 2017-01-04 | 唐山新质点科技有限公司 | 一种访问控制方法及系统 |
CN110378086B (zh) * | 2019-07-31 | 2021-06-29 | 中国工商银行股份有限公司 | 权限的管理方法和装置 |
CN111143866B (zh) * | 2019-12-27 | 2022-02-15 | 远光软件股份有限公司 | 基于多场景模式的权限变更方法、装置、设备及介质 |
CN112818309A (zh) * | 2021-03-04 | 2021-05-18 | 重庆度小满优扬科技有限公司 | 数据访问权限的控制方法、装置以及存储介质 |
CN113672881A (zh) * | 2021-08-06 | 2021-11-19 | 江苏欧迈科技有限公司 | 一种服务器权限控制的方法、系统及介质 |
-
2022
- 2022-06-27 CN CN202210744934.0A patent/CN115174177B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113239344A (zh) * | 2021-05-12 | 2021-08-10 | 建信金融科技有限责任公司 | 一种访问权限控制方法和装置 |
CN114051029A (zh) * | 2021-11-10 | 2022-02-15 | 北京百度网讯科技有限公司 | 授权方法、授权装置、电子设备和存储介质 |
CN114266021A (zh) * | 2021-12-20 | 2022-04-01 | 中国农业银行股份有限公司 | 一种用户权限的管理方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115174177A (zh) | 2022-10-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10848520B2 (en) | Managing access to resources | |
US9730044B2 (en) | Telecommunications data usage management | |
CN107480517B (zh) | 应用市场管理控件 | |
US9065771B2 (en) | Managing application execution and data access on a device | |
US9805209B2 (en) | Systems and methodologies for managing document access permissions | |
US20210144147A1 (en) | System and method for externally-delegated access control and authorization | |
US9585016B2 (en) | Data communications management | |
CN112182619A (zh) | 基于用户权限的业务处理方法、系统及电子设备和介质 | |
CN105099876A (zh) | 团体用户的资料管理及即时通讯群组的维护方法、装置 | |
CN113297550A (zh) | 权限控制的方法、装置、设备、存储介质及程序产品 | |
CN101739526A (zh) | 一种面向服务体系的基于面向对象的权限管理方法 | |
US11778539B2 (en) | Role-based access control system | |
CA2829805C (en) | Managing application execution and data access on a device | |
CN115174177B (zh) | 权限管理方法、装置、电子设备、存储介质和程序产品 | |
US7523506B1 (en) | Approach for managing functionalities within a system | |
US20200257772A1 (en) | Policy-based mobile access to shared network resources | |
CN116028963B (zh) | 权限管理方法、装置、电子设备及存储介质 | |
CN117575551A (zh) | 订单管理方法、装置、计算机设备和存储介质 | |
CN112632625A (zh) | 数据库安全网关系统、数据处理方法、电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |