CN116484425A - 一种基于信息系统的权限管理方法 - Google Patents

Abstract

本发明公开了一种基于信息系统的权限管理方法，包括以下步骤：步骤一：业务系统及权限系统所需表创建；步骤二：业务系统接口注册；步骤三：配置权限；步骤四：获取权限规则；步骤五：权限过滤：业务系统根据权限规则数据实现数据权限过滤。本发明基于RBAC模型设计了一种统一的操作权限和数据权限管理办法，这样管理人员就可以从许可权限的繁冗工作中解放出来，同时减少代码编写工作量，当权限限制逻辑或范围有变化的时候，只需要修改权限配置即可完成数据过滤。

Description

一种基于信息系统的权限管理方法

技术领域

本发明涉及一种权限管理方法，尤其涉及一种基于信息系统的权限管理方法，属于信息系统权限管理技术领域。

背景技术

企业机构等办公场所信息化正在高速发展，应用系统繁多并且对数据要求越来越高，目前信息系统的建设过程中，数据权限五花八门，表级控制，字段控制，页面控制等，更多的需要从关联整合后的数据内容提出控制要求，开发繁琐，并且灵活性不高，因此需要提供一款可以统一管理数据权限的管理办法。

发明内容

为了解决上述技术所存在的不足之处，本发明提供了一种基于信息系统的权限管理方法。

为了解决以上技术问题，本发明采用的技术方案是：一种基于信息系统的权限管理方法，包括以下步骤：

步骤一：业务系统及权限系统所需表创建；

步骤二：业务系统接口注册；

步骤三：配置权限；

步骤四：获取权限规则；

步骤五：权限过滤：业务系统根据权限规则数据实现数据权限过滤。

优选的，步骤一中，先创建业务系统中的基础数据表，再创建权限系统中的关联关系表，业务系统负责维护用户、部门、菜单的基础数据，权限系统则只维护权限配置、关联关系信息。

优选的，业务系统所需表如下：

1)用户表：用户id、用户名、部门id；

2)部门表：部门id、部门名、部门祖级列表、上级部门；

3)菜单表：菜单id、菜单类型、菜单标识、是否可用。

优选的，权限系统所需表如下：

1)角色表：角色id，角色名，角色权重；

2)角色-菜单关联表：角色id、菜单id；

3)角色-数据权限扩展表：角色id、数据权限类型；

4)角色-接口权限表：角色id、接口url、可见字段；

5)用户-角色关联表：用户id、角色id。

优选的，步骤二，在权限系统中注册业务系统，获取接入参数，实现权限基础数据接口，并注册到权限系统；

其中，权限基础数据接口包括：

1)查询用户列表：返回用户id、用户名、部门；

2)查询部门列表：返回树形结构部门数据；

3)查询菜单列表：返回菜单id、菜单类型、菜单名；

4)查询接口列表：返回接口列表及数据模型。

优选的，步骤三，权限系统根据业务系统提供的接口，获取到权限配置基础信息，管理用户通过权限系统界面配置权限。

优选的，步骤三中的配置信息包括：

1)根据部门分配权限：整个部门都具有的菜单、按钮、数据权限、接口权限；

2)根据角色分配权限：角色维度控制菜单、按钮、数据权限、接口权限；

3)根据用户分配权限：没有部门/角色限制的用户单独分配权限；用户权限优先级大于部门/角色的权限；如果有用户权限，则直接以用户权限为准；

4)数据权限配置：以用户、部门或角色级别配置数据权限，用户级别权限最高，选择对应的级别，实现对应级别的权限控制；

5)接口权限、字段权限配置：

6)权限配置信息存入Redis中，从而提高查询效率。

优选的，接口权限：以用户、部门或角色级别配置可调用接口，先选择接口分类，再选择具体的接口，用户级别权限最高；

字段权限：先选择对应的业务模块，再选择对应的接口，根据接口字段配置字段权限，勾选的为接口可返回的字段。

优选的，步骤四中，用户发起接口请求，权限系统拦截请求，获取当前登录用户信息，执行权限管理模块，权限系统返回权限规则对象给业务系统。

优选的，权限获取方式包括：

1)SDK方式：SDK方式适用于JAVA项目，直接通过权限系统SDK提供的方法调用获取权限规则数据，实现权限过滤；

2)REST接口方式：非JAVA项目通过REST接口方式获取权限规则数据，并根据自身业务需求实现权限过滤；

其中，权限规则数据内容包括：用户具有的角色信息、菜单/按钮权限信息、数据权限信息、接口权限信息、接口可见字段信息。

本发明基于RBAC模型设计了一种统一的操作权限和数据权限管理办法，这样管理人员就可以从许可权限的繁冗工作中解放出来，同时减少代码编写工作量，当权限限制逻辑或范围有变化的时候，只需要修改权限配置即可完成数据过滤。

本发明具有以下优点：

1)权限系统和业务系统解耦(分离)，通过restful接口进行权限过滤,实现异构系统集成方案，相较于目前大部分系统的复杂权限管理，更加灵活，拓展性、维护性更高；

2)权限管理配置化、热更新，只需要通过界面修改权限配置即可生效，不需要每次更改权限都改代码，重新部署；以RBAC模型为基础，通过访问控制模块，接口权限设置模块，数据权限设置模块，定义权限规则；

3)对接口输入输出字段进行配置管理，实现组合数据的数据权限控制；目前关于字段权限的开源技术非常少，本发明提供一种通用可落地的解决方案，实现更多维度的权限配置，支持接口级别，表单字段级别的权限控制。

附图说明

图1为本发明的整体流程框图。

图2为本发明的权限请求流程图。

图3为本发明的数据权限配置参考图。

图4为本发明的接口权限配置参考图。

图5为本发明的字段权限配置参考图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细的说明。

RBAC模型里面有3个基础组成部分，分别是：User用户、Role角色、Permission权限。RBAC通过定义角色的权限，并对用户授予某个角色从而来控制用户的权限，实现了用户和权限的逻辑分离(区别于ACL模型)。简化了用户和权限的关系易扩展、易维护。

权限分类：

1)菜单权限：控制角色、用户拥有的菜单和按钮等权限。

2)接口权限：控制角色、用户拥有的接口访问权限。

3)字段权限：控制接口返回的可见字段。

4)数据权限：控制用户的数据权限范围，权限主题包括本人、本岗位、本部门、本组织、本群组、本角色、我参与的、自定义等数据权限，可以基于用户级别或者角色级别控制，用户级别的权重要大于角色级别的权重。

系统数据库表结构设计：

一、基础数据表

①user(用户表)

②role(角色表)

③department(部门表)

④menu(菜单表)

⑤rest_api(接口表)

二、关联关系及扩展数据表

①user_role(用户-角色关联表)

②user_department(用户-部门关联表)

③role_menu(角色-菜单关联表)

④role_data_permission(角色-数据权限表)

⑤user_data_permission(用户-数据权限表)

⑥role_api_permission(角色-接口权限表)

⑦role_api_field_permission(角色-接口字段权限表)

主要功能实现：

设置角色可以调用的接口，在请求应用系统的时候，通过接口鉴权拦截器进行拦截，并从用户资源服务获取用户接口权限数据，在拦截器中判断当前用户对应的角色是否拥有该接口的调用权限，有权限则请求对应接口并返回响应数据，没有权限则返回请求未授权。具体流程如图2所示。

设置角色可调用接口后，可继续拓展设置接口可见字段权限，不配置则默认拥有所有字段可见权限。在项目启动时会根据注解加载所有API以及返回实体的参数，根据读取到的参数，配置可见字段后，在role_api_field_permission表中存储为json字段available_fields并缓存，提高读取效率。

在接口鉴权拦截器中，在AOP的AfterReturning阶段，根据角色和接口url从缓存读取可见字段，过滤掉不可见的字段，返回的即为角色可见字段，加入rule权限对象中返回实现了字段权限。

如图1所示的一种基于信息系统的权限管理方法，包括以下步骤：

步骤一：业务系统及权限系统所需表创建。

说明：先创建业务系统中的基础数据表，再创建权限系统的关联关系表。

业务系统负责维护用户、部门、菜单等基础数据，下面只写出必要的字段，其他字段可根据实际业务需要自行增加。权限系统则只维护权限配置、关联关系等信息，必要属性参考下面所列。

业务系统所需表：

1.用户表：用户id、用户名、部门id等。

2.部门表：部门id、部门名、部门祖级列表、上级部门等。

3.菜单表：菜单id、菜单类型、菜单标识、是否可用等。

权限系统所需表：

1.角色表：角色id，角色名，角色权重等。

2.角色-菜单关联表：角色id、菜单id。

3.角色-数据权限扩展表：角色id、数据权限类型等。

4.角色-接口权限表：角色id、接口url、可见字段等。

5.用户-角色关联表：用户id、角色id。

步骤二：业务系统接口注册。

在权限系统中注册业务系统，获取key、secret等相关接入参数，实现权限基础数据接口，并注册到权限系统。

权限基础数据接口实现及注册：实现业务系统部门、用户、菜单、接口等相关接口，并注册到权限系统中(类似于中台接口注册)，所属分类为权限基础数据接口，填写接口名称、请求方式、接口路径等信息。

权限基础数据接口包括：

1.查询用户列表：返回用户id、用户名、部门。

2.查询部门列表：返回树形结构部门数据。

3.查询菜单列表：返回菜单id、菜单类型、菜单名。

4.查询接口列表：返回接口列表及数据模型。

步骤三：配置权限。

完成权限接口注册后，权限系统读取到业务系统权限基础数据，权限系统根据业务系统提供的接口，获取到权限配置基础信息，管理用户通过权限系统界面配置相关权限。可配置信息包括：

1.根据部门分配权限：整个部门都具有的菜单、按钮、数据权限、接口权限。

2.根据角色分配权限：角色维度控制菜单、按钮、数据权限、接口权限。

3.根据用户分配权限：某些特殊的人员(用户)单独分配权限，没有部门/角色的限制。用户权限优先级大于部门/角色的权限。如果有用户权限，则直接以用户权限为准。

4.数据权限配置：以用户、部门或角色级别配置数据权限，用户级别权限最高，选择对应的级别，可实现对应级别的权限控制。参考图3的设计。

5.接口、字段权限配置：

接口权限：以用户、部门或角色级别配置可调用接口，先选择接口分类，再选择具体的接口，用户级别权限最高。可参考图4的设计。

字段权限：先选择对应的业务模块，再选择对应的接口，根据接口字段配置字段权限，勾选的为接口可返回的字段。可参考图5的设计。

6.权限配置信息存入Redis中，从而提高查询效率。

步骤四：获取权限规则。

用户发起接口请求，权限系统拦截请求，获取当前登录用户信息，执行权限管理模块，权限系统返回权限规则对象给业务系统。

1.SDK方式：

SDK方式适用于JAVA项目，直接通过权限系统SDK提供的方法调用获取权限规则数据，实现权限过滤。

2.REST接口方式：

非JAVA项目可通过REST接口方式获取权限规则数据，并根据自身业务需求实现权限过滤。

3.权限规则数据内容：

⑥用户具有的角色信息。

⑦菜单(按钮)权限信息。

⑧数据权限信息。

⑨接口权限信息。

⑩接口可见字段信息。

步骤五：权限过滤：业务系统根据权限规则数据实现数据权限过滤。

例如，java项目可通过在mybatis拦截器中根据权限规则数据，进行sql拼接，完成数据权限过滤；接口权限可在AOP的before阶段根据是否有接口权限进行拦截，字段权限可通过在AOP的AfterReturning阶段，根据角色和接口url从缓存读取可见字段，过滤掉不可见的字段，返回的即为角色可见字段。

权限过滤场景：

场景一：用户登陆，获取用户的权限信息，包括角色、可用的菜单、按钮等。

场景二：功能模块中，获取用户可操作的权限，包括查询、新增、修改、删除、导出等。

场景三：数据查询，获取用户数据权限，返回权限内数据，根据字段权限，返回可见字段数据。

业务场景示例：

以CRM系统中的合同管理模块举例，实现权限配置及过滤的流程。

1.创建业务经理、业务部长、财务三种角色。

2.在权限系统中配置角色权限：

(1)菜单权限：

业务经理：合同管理(查询、新增、修改、删除、导出)

业务部长：合同管理(查询、新增、修改、删除、导出)

财务：合同管理(查询、导出、开票、验收)

(2)数据权限：

业务经理：本人

业务部长：本部门

财务：全部

(3)接口及字段权限：

业务经理：合同列表(合同号、合同金额、签约日期)

业务部长：合同列表(合同号、合同金额、签约日期、业务经理)

财务：合同列表(合同号、合同金额、签约日期、业务经理、开票金额、验收金额)

3.业务经理登陆系统，CRM系统请求权限系统获取菜单及按钮权限，返回合同管理(查询、新增、修改、删除、导出)，调用查询合同列表接口，向权限系统请求数据权限及字段权限，返回本人数据权限，过滤后数据为本人合同数据，可见字段为合同号、合同金额、签约日期。

4.业务部长登陆系统，CRM系统请求权限系统获取菜单及按钮权限，返回合同管理(查询、新增、修改、删除、导出)，调用查询合同列表接口，向权限系统请求数据权限及字段权限，返回本部门数据权限，过滤后数据为本部门合同数据，可见字段为合同号、合同金额、签约日期、业务经理。

5.财务登陆系统，CRM系统请求权限系统获取菜单及按钮权限，返回合同管理(查询、导出、开票、验收)，调用查询合同列表接口，向权限系统请求数据权限及字段权限，返回全部范围，过滤后数据为全部合同数据，可见字段为合同号、合同金额、签约日期、业务经理、开票金额、验收金额。

本发明公开了一种基于信息系统的权限管理方法，其中方法包括：应用配置，用于创建不同应用统一处理权限认证模块；菜单配置，用于应用添加菜单、子菜单、按钮等权限建立树形菜单模型；接口配置，用于创建数据接口，添加接口权限模型；机构配置，用于建立平级或树形结构部门组织模型，对相应机构赋予不同菜单接口数据权限；基于RBAC模型设置，设置用户允许操作内容。通过接收应用请求获取用户令牌，进而获取令牌对应用户菜单、接口、数据等权限拦截响应内容，生成权限rule规则对象。通过restful api接口进行信息传递。

上述实施方式并非是对本发明的限制，本发明也并不仅限于上述举例，本技术领域的技术人员在本发明的技术方案范围内所做出的变化、改型、添加或替换，也均属于本发明的保护范围。

Claims (10)

1.一种基于信息系统的权限管理方法，其特征在于：包括以下步骤：

步骤一：业务系统及权限系统所需表创建；

步骤二：业务系统接口注册；

步骤三：配置权限；

步骤四：获取权限规则；

步骤五：权限过滤：业务系统根据权限规则数据实现数据权限过滤。

2.根据权利要求1所述的基于信息系统的权限管理方法，其特征在于：所述步骤一中，先创建业务系统中的基础数据表，再创建权限系统中的关联关系表，业务系统负责维护用户、部门、菜单的基础数据，权限系统则只维护权限配置、关联关系信息。

3.根据权利要求2所述的基于信息系统的权限管理方法，其特征在于：所述业务系统所需表如下：

1)用户表：用户id、用户名、部门id；

2)部门表：部门id、部门名、部门祖级列表、上级部门；

3)菜单表：菜单id、菜单类型、菜单标识、是否可用。

4.根据权利要求3所述的基于信息系统的权限管理方法，其特征在于：所述权限系统所需表如下：

1)角色表：角色id，角色名，角色权重；

2)角色-菜单关联表：角色id、菜单id；

3)角色-数据权限扩展表：角色id、数据权限类型；

4)角色-接口权限表：角色id、接口url、可见字段；

5)用户-角色关联表：用户id、角色id。

5.根据权利要求4所述的基于信息系统的权限管理方法，其特征在于：所述步骤二，在权限系统中注册业务系统，获取接入参数，实现权限基础数据接口，并注册到权限系统；

其中，权限基础数据接口包括：

1)查询用户列表：返回用户id、用户名、部门；

2)查询部门列表：返回树形结构部门数据；

3)查询菜单列表：返回菜单id、菜单类型、菜单名；

4)查询接口列表：返回接口列表及数据模型。

6.根据权利要求5所述的基于信息系统的权限管理方法，其特征在于：所述步骤三，权限系统根据业务系统提供的接口，获取到权限配置基础信息，管理用户通过权限系统界面配置权限。

7.根据权利要求6所述的基于信息系统的权限管理方法，其特征在于：所述步骤三中的配置信息包括：

1)根据部门分配权限：整个部门都具有的菜单、按钮、数据权限、接口权限；

2)根据角色分配权限：角色维度控制菜单、按钮、数据权限、接口权限；

3)根据用户分配权限：没有部门/角色限制的用户单独分配权限；用户权限优先级大于部门/角色的权限；如果有用户权限，则直接以用户权限为准；

4)数据权限配置：以用户、部门或角色级别配置数据权限，用户级别权限最高，选择对应的级别，实现对应级别的权限控制；

5)接口权限、字段权限配置：

6)权限配置信息存入Redis中，从而提高查询效率。

8.根据权利要求7所述的基于信息系统的权限管理方法，其特征在于：所述接口权限：以用户、部门或角色级别配置可调用接口，先选择接口分类，再选择具体的接口，用户级别权限最高；

所述字段权限：先选择对应的业务模块，再选择对应的接口，根据接口字段配置字段权限，勾选的为接口可返回的字段。

9.根据权利要求8所述的基于信息系统的权限管理方法，其特征在于：所述步骤四中，用户发起接口请求，权限系统拦截请求，获取当前登录用户信息，执行权限管理模块，权限系统返回权限规则对象给业务系统。

10.根据权利要求9所述的基于信息系统的权限管理方法，其特征在于：所述权限获取方式包括：

1)SDK方式：SDK方式适用于JAVA项目，直接通过权限系统SDK提供的方法调用获取权限规则数据，实现权限过滤；

2)REST接口方式：非JAVA项目通过REST接口方式获取权限规则数据，并根据自身业务需求实现权限过滤；

其中，权限规则数据内容包括：用户具有的角色信息、菜单/按钮权限信息、数据权限信息、接口权限信息、接口可见字段信息。