CN116800490A - 用户账户的权限控制方法、装置、服务器和存储介质 - Google Patents
用户账户的权限控制方法、装置、服务器和存储介质 Download PDFInfo
- Publication number
- CN116800490A CN116800490A CN202310708899.1A CN202310708899A CN116800490A CN 116800490 A CN116800490 A CN 116800490A CN 202310708899 A CN202310708899 A CN 202310708899A CN 116800490 A CN116800490 A CN 116800490A
- Authority
- CN
- China
- Prior art keywords
- authority
- information
- user account
- platform system
- service platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 238000004590 computer program Methods 0.000 claims abstract description 28
- 230000006870 function Effects 0.000 claims description 69
- 238000013507 mapping Methods 0.000 claims description 31
- 230000007613 environmental effect Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 18
- 238000012545 processing Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 13
- 238000007726 management method Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241000282813 Aepyceros melampus Species 0.000 description 1
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本申请涉及一种用户账户的权限控制方法、用户账户的权限控制装置、服务器、存储介质及计算机程序产品。所述方法包括:获取用户账户登入业务平台系统的身份信息和登入时的环境信息;基于身份信息,确定用户账户在业务平台系统中的基础权限信息;以及,基于环境信息,确定用户账户在业务平台系统中的临时权限信息;基于身份信息、环境信息、基础权限信息和临时权限信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;基于目标权限控制模式,对用户账户在业务平台系统中执行多个功能操作时进行权限控制。采用本方法能够使得用户账户在登入业务平台系统时具有匹配的权限范围,提升了对用户进行权限管理时的安全性和有效性。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种用户账户的权限控制方法、用户账户的权限控制装置、服务器、存储介质和计算机程序产品。
背景技术
应用系统上的功能操作(如对保密文件、应用服务的浏览、下载、转发等操作)的安全使用对企业的生存发展有着举足轻重的影响,保证功能操作的安全运行,能够提升企业的核心竞争力。
关于功能操作的权限管理一般是首先通过设置的安全规则(如账号、密码、验证码等)来识别出用户身份,再通过设置的安全策略(如将用户身份映射到权限列表中)来确定用户对执行功能操作的权限范围,以此来限制用户只能在其权限范围内执行相关的功能操作。
在实际应用过程中,由于设置的安全规则和安全策略所限制的用户的权限范围固定不变,从而用户在某些情况下需要增加或者减少一些功能操作的控制权限时,无法及时的得到适配的权限范围,从而导致执行功能操作时的数据处理效率较低,以及对用户的权限管理的安全性不高。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提升对用户进行权限管理时的安全性和处理效率的用户账户的权限控制方法、用户账户的权限控制装置、服务器、存储介质及计算机程序产品。
根据本公开实施例的第一方面,提供一种用户账户的权限控制方法,包括:
获取用户账户登入业务平台系统的身份信息和登入时的环境信息;
基于所述身份信息,确定所述用户账户在所述业务平台系统中的基础权限信息;以及,基于所述环境信息,确定所述用户账户在所述业务平台系统中的临时权限信息;
基于所述身份信息、所述环境信息、所述基础权限信息和所述临时权限信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;所述权限控制模式用于指示所述业务平台系统向所述用户账户开放多个功能操作的程度,所述多个功能操作为所述基础权限信息和所述临时权限信息之间所对应的权限控制范围内的待控制的多个功能应用;
基于所述目标权限控制模式,对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制。
在一示例性实施例中,所述身份信息包括所述用户账户所处的企业信息、部门信息和角色信息中的至少一种;
所述基于所述身份信息,确定所述用户账户在所述业务平台系统中的基础权限信息,包括:
查询预设的第一类权限映射表,得到与所述企业信息对应的第一权限范围;和/或
查询所述第一类权限映射表,得到与所述部门信息对应的第二权限范围;和/或
查询所述第一类权限映射表,得到与所述角色信息对应的第三权限范围;
基于所述第一权限范围、所述第二权限范围和所述第三权限范围中对应的至少一种权限范围,确定所述基础权限信息。
在一示例性实施例中,所述环境信息包括所述用户账户在登入所述业务平台系统时的位置信息、时间信息和设备信息中的至少一种;
所述基于所述环境信息,确定所述用户账户在所述业务平台系统中的临时权限信息,包括:
查询预设的第二类权限映射表,得到与所述位置信息对应的第四权限范围;和/或
查询所述第二类权限映射表,得到与所述时间信息对应的第五权限范围;和/或
查询所述第二类权限映射表,得到与所述设备信息对应的第六权限范围;
基于所述第四权限范围、所述第五权限范围和所述第六权限范围中对应的至少一种权限范围,确定所述临时权限信息。
在一示例性实施例中,所述基于所述身份信息、所述环境信息、所述基础权限信息和所述临时权限信息,在预设的至少两种权限控制模式中确定出目标权限控制模式,包括:
基于所述身份信息和所述环境信息,确定所述用户账户在所述业务平台系统中的第一重要性程度;以及,
将对应于所述基础权限信息的权限范围和对应于所述临时权限信息的权限范围相加,得到总权限范围,并确定所述总权限范围包括的多个功能操作在所述业务平台系统中的第二重要性程度;
基于所述第一重要性程度和所述二重要性程度,在所述至少两种权限控制模式中确定出目标权限控制模式。
在一示例性实施例中,所述基于所述第一重要性程度和所述二重要性程度,在所述至少两种权限控制模式中确定出目标权限控制模式,包括以下三项中的一项:
若所述第一重要性程度小于所述二重要性程度,则在所述至少两种权限控制模式中确定出第一模式作为目标权限控制模式;
若所述第一重要性程度等于所述二重要性程度,则在所述至少两种权限控制模式中确定出第二模式作为目标权限控制模式;
若所述第一重要性程度大于所述二重要性程度,则在所述至少两种权限控制模式中确定出第三模式作为目标权限控制模式;
其中,所述第一模式用于指示所述业务平台系统向所述用户账户开放多个功能操作的程度低于所述第二模式;以及,所述第二模式用于指示所述业务平台系统向所述用户账户开放多个功能操作的程度低于所述第三模式。
在一示例性实施例中,所述基于所述目标权限控制模式,对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制,包括:
在所述目标权限控制模式为所述第一模式的情况下,基于第一约束条件对所述用户账户在所述业务平台系统中执行的所述多个功能操作进行权限控制;
在所述目标权限控制模式为所述第二模式的情况下,基于第二约束条件对所述用户账户在所述业务平台系统中执行的所述多个功能操作进行权限控制;
在所述目标权限控制模式为所述第二模式的情况下,基于第二约束条件对所述用户账户在所述业务平台系统中执行的所述多个功能操作进行权限控制;
其中,所述第一约束条件用于限制所述用户账户执行所述多个功能操作的次数和时间间隔多于所述第二约束条件;以及,所述第二约束条件用于限制所述用户账户执行所述多个功能操作的次数和时间间隔多于所述第三约束条件。
在一示例性实施例中,所述对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制,还包括:
从数据库中获取对应于所述身份信息的用户令牌,以及所述多个功能操作各自对应的权限标签;所述用户令牌用于对所述用户账户所执行的功能操作的权限范围进行校验,所述权限标签用于对所述用户账户所执行的功能操作的有效状态进行校验;
基于所述权限标签、所述权限标签和所述目标权限控制模式,对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制。
根据本公开实施例的第二方面,提供一种用户账户的权限控制装置,包括:
第一获取单元,被配置为执行获取用户账户登入业务平台系统的身份信息和登入时的环境信息;
权限识别单元,被配置为执行基于所述身份信息,确定所述用户账户在所述业务平台系统中的基础权限信息;以及,基于所述环境信息,确定所述用户账户在所述业务平台系统中的临时权限信息;
模式选择单元,被配置为执行基于所述身份信息、所述环境信息、所述基础权限信息和所述临时权限信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;所述权限控制模式用于指示所述业务平台系统向所述用户账户开放多个功能操作的程度,所述多个功能操作为所述基础权限信息和所述临时权限信息之间所对应的权限控制范围内的待控制的多个功能应用;
权限控制单元,被配置为执行基于所述目标权限控制模式,对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制。
根据本公开实施例的第三方面,提供一种服务器,包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令,以实现如上述任一项所述的用户账户的权限控制方法。
根据本公开实施例的第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质中包括计算机程序,当所述计算机程序由服务器的处理器执行时,使得所述服务器能够执行如上述任一项所述的用户账户的权限控制方法。
根据本公开实施例的第五方面,提供一种计算机程序产品,所述计算机程序产品中包括程序指令,所述程序指令被服务器的处理器执行时,使得所述服务器能够执行如上述任一项所述的用户账户的权限控制方法。
本公开的实施例提供的技术方案至少带来以下有益效果:
该方法先通过获取用户账户登入业务平台系统的身份信息和登入时的环境信息;然后,再基于身份信息,确定用户账户在业务平台系统中的基础权限信息;以及,基于环境信息,确定用户账户在业务平台系统中的临时权限信息;然后,再基于身份信息、环境信息、基础权限信息和临时权限信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;其中,权限控制模式用于指示业务平台系统向用户账户开放多个功能操作的程度,多个功能操作为基础权限信息和临时权限信息之间所对应的权限控制范围内的待控制的多个功能应用;最后,基于目标权限控制模式,对用户账户在业务平台系统中执行多个功能操作时进行权限控制。这样,一方面,利用用户账户在登入业务平台系统时的身份信息和环境信息来确定用户账户在业务平台系统中的权限信息,能够解决现有技术中用户的权限范围固定不变的问题,使得用户账户在登入业务平台系统时具有适应于基础权限信息和临时权限信息的权限范围,提升了对用户执行功能操作时的数据处理效率,从而优化了对用户的权限管理的流程;另一方面,利用确定的目标权限控制模式来对用户账户在业务平台系统中执行的功能操作进行权限控制,提升了对用户进行权限管理时的安全性和有效性,从而能够有效防止企业数据资产的外泄问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理,并不构成对本公开的不当限定。
图1是根据一示例性实施例示出的一种用户账户的权限控制方法的应用环境图。
图2是根据一示例性实施例示出的一种用户账户的权限控制方法的流程图。
图3是根据一示例性实施例示出的一种确定基础权限信息步骤的流程图。
图4是根据一示例性实施例示出的一种确定临时权限信息步骤的流程图。
图5是根据一示例性实施例示出的一种确定出目标权限控制模式步骤的流程图。
图6是根据另一示例性实施例示出的一种用户账户的权限控制方法的流程图。
图7为根据另一示例性实施例示出的一种用户账户的权限控制方法的模块图。
图8是根据一示例性实施例示出的一种用户账户的权限控制装置框图。
图9是根据一示例性实施例示出的一种用于用户账户的权限控制的服务器的框图。
图10是根据一示例性实施例示出的一种用于用户账户的权限控制的计算机可读存储介质的框图。
图11是根据一示例性实施例示出的一种用于用户账户的权限控制的计算机程序产品的框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例中的术语“和/或”指的是包括相关联的列举项目中的一个或多个的任何和全部的可能组合。还要说明的是:当用在本说明书中时,“包括/包含”指定所陈述的特征、整数、步骤、操作、元件和/或组件的存在,但是不排除一个或多个其他特征、整数、步骤、操作、元件和/或组件和/或它们的组群的存在或添加。
本申请中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
另外,本申请中尽管多次采用术语“第一”、“第二”等来描述各种操作(或各种元件或各种应用或各种指令或各种数据)等,不过这些操作(或元件或应用或指令或数据)不应受这些术语的限制。这些术语只是用于区分一个操作(或元件或应用或指令或数据)和另一个操作(或元件或应用或指令或数据)。例如,第一权限控制模式可以被称为第二权限控制模式,第二权限控制模式也可以被称为第一权限控制模式,仅仅是其两者所包括的范围不同,而不脱离本申请的范围,第一权限控制模式和第二权限控制模式都是针对于业务系统的目标权限控制模式的集合,只是二者并不是相同类别的目标权限控制模式的集合而已。
本申请实施例提供的用户账户的权限控制方法,可以应用于如图1所示的应用环境中。其中,终端102通过通信网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。
在一些实施例中,参考图1,服务器104首先获取用户账户登入业务平台系统的身份信息和登入时的环境信息;然后,服务器104再基于身份信息,确定用户账户在业务平台系统中的基础权限信息;以及,基于环境信息,确定用户账户在业务平台系统中的临时权限信息;然后,服务器104再基于身份信息、环境信息、基础权限信息和临时权限信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;其中,权限控制模式用于指示业务平台系统向用户账户开放多个功能操作的程度,多个功能操作为基础权限信息和临时权限信息之间所对应的权限控制范围内的待控制的多个功能应用;最后,服务器104基于目标权限控制模式,对用户账户在业务平台系统中执行多个功能操作时进行权限控制。
在一些实施例中,终端102(如移动终端、固定终端)可以以各种形式来实施。其中,终端102可为包括诸如移动电话、智能电话、笔记本电脑、便携式手持式设备、个人数字助理(PDA,Personal Digital Assistant)、平板电脑(PAD)等等的可以基于目标权限控制模式,对用户账户在业务系统中执行的功能操作进行权限控制的移动终端,终端102也可以是自动柜员机(Automated Teller Machine,ATM)、自动一体机、数字TV、台式计算机、固式计算机等等的可以基于目标权限控制模式,对用户账户在业务系统中执行的功能操作进行权限控制的固定终端。
下面,假设终端102是固定终端。然而,本领域技术人员将理解的是,若有特别用于移动目的的操作或者元件,根据本申请公开的实施方式的构造也能够应用于移动类型的终端102。
在一些实施例中,服务器104运行的数据处理组件可以加载正在被执行的可以包括各种附加服务器应用和/或中间层应用中的任何一种,如包括HTTP(超文本传输协议)、FTP(文件传输协议)、CGI(通用网关界面)、RDBMS(关系型数据库管理系统)等。
在一些实施例中,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。服务器104可以适于运行提供前述公开中描述的终端102的一个或多个应用服务或软件组件。
在一些实施例中,应用服务可以包括向用户提供账户登录和应用操作的服务界面,以及对应程序服务等等。其中,软件组件可以包括例如具有根据目标权限控制模式和用户账户的权限信息,对用户账户在业务系统中执行的功能操作进行权限控制功能的应用程序(SDK)或者客户端(APP)。
在一些实施例中,服务器104所提供的具有对用户账户在业务平台系统中执行的功能操作进行权限控制功能的应用程序或者客户端包括一个在前台向用户提供一对一应用服务的门户端口和多个位于后台进行数据处理的业务系统,以将对用户账户在业务系统中执行的功能操作进行权限控制的功能应用扩展到APP或者客户端,从而能够在任何时间任何地点对用户账户对业务系统中执行的功能操作进行权限控制。
在一些实施例中,APP或者客户端的权限控制功能可为运行在用户模式以完成某项或多项特定工作的计算机程序,其可以与用户进行交互,且具有可视的用户界面。其中,APP或者客户端可以包括两部分:图形用户接口(GUI)和引擎(engine),利用这两者能够以用户界面的形式向用户提供多种应用服务的数字化客户系统。
在一些实施例中,用户可以通过预设的输入装置或者自动控制程序向APP或者客户端输入相应的代码数据或者控制参数,以执行服务器104中的计算机程序的应用服务,以及显示用户界面中的应用服务。
在一些实施例中,APP或者客户端运行的操作系统可以包括各种版本的MicrosoftApple/>和/或Linux操作系统、各种商用或类/>操作系统(包括但不限于各种GNU/Linux操作系统、Google/>OS等)和/或移动操作系统,诸如Phone、/>OS、/>OS、/>OS操作系统,以及其它在线操作系统或者离线操作系统,在这里不做具体的限制。
在一些实施例中,如图2所示,提供了一种用户账户的权限控制方法,以该方法应用于图1中的服务器104为例进行说明,该方法包括以下步骤:
步骤S11,获取用户账户登入业务平台系统的身份信息和登入时的环境信息。
在一些实施例中,用户在对应于业务平台系统的终端计算机上输入用户账户的账户信息后,在用户账户登入业务平台系统时,服务器实时获取该输入账户信息当前的身份信息和环境信息。
在一些实施例中,用户输入的账户信息包括关于用户账户的账户名称和密码。在其他实施例中,用户输入的账户信息还包括例如用户的指纹信息、人脸信息,或者关于用户输入正确的登录验证码等,这里不做具体限定。
在一些实施例中,身份信息包括用户账户所处的企业信息、部门信息和角色信息中的至少一种。
作为一示例,业务平台系统为财务系统,某一企业A向对应的系统服务商租用了该财务系统并在该财务系统中建立了关于企业A的用户体系。其中,用户体系包括企业级信息(用于表征用户所在的企业)、部门级信息(用于表征用户对应在企业中所属的部门)和角色级信息(用于表征用户对应在企业/部门中的角色)。
在一些实施例中,环境信息包括用户账户在登入业务平台系统时的位置信息、时间信息和设备信息中的至少一种。
作为另一示例,业务平台系统为员工系统,在用户B登录该员工系统时,服务器实时的接收该用户B当前的位置数据、时间数据和设备数据(即登录用户账户设备的信息)。
步骤S12:基于身份信息,确定用户账户在业务平台系统中的基础权限信息;以及,基于环境信息,确定用户账户在业务平台系统中的临时权限信息。
在一实施例中,权限信息用于指示用户账户在业务系统中的操作权限。
在一些实施例中,每个用户账户都具有其在业务平台系统中对目标业务数据执行功能操作的操作权限,且这些操作权限被记录于对应用户账户的权限信息(基础权限信息和/或临时权限信息)中。
在一些实施例中,服务器根据用户账户所处的企业信息、部门信息和角色信息中的至少一种,确定用户账户在业务平台系统中的基础权限信息。其中,企业信息、部门信息和角色信息都具有对应的权限信息,基础权限信息即为企业信息对应的权限信息、部门信息对应的权限信息和角色信息对应的权限信息中的至少一种权限信息的集合。
例如,某一用户A所处的企业信息对应有权限信息A1、所处的部门信息对应有权限信息A2和所处的角色信息对应有权限信息A3,则用户A在业务平台系统中的基础权限信息为权限信息A1、权限信息A2和权限信息A3三者中的至少一种的集合。
在一些实施例中,服务器根据用户账户在登入业务平台系统时的位置信息、时间信息和设备信息中的至少一种,确定用户账户在业务平台系统中的临时权限信息。其中,位置信息、时间信息和设备信息都具有对应的权限信息,临时权限信息即为位置信息对应的权限信息、时间信息对应的权限信息和设备信息对应的权限信息中的至少一种权限信息的集合。
例如,某一用户B所处的位置信息对应有权限信息B1、所处的时间信息对应有权限信息B2和所处的设备信息对应有权限信息B3,则用户B在业务平台系统中的临时权限信息为权限信息B1、权限信息B2和权限信息B3三者中的至少一种的集合。
其中,若业务平台系统中的某业务数据不属于对应用户账户的权限信息中记录的目标业务数据,则该用户账户不能对该未记录的业务数据进行功能操作。若业务平台系统中的某业务数据属于用户账户的权限信息中记录的目标业务数据,则该用户账户能对该记录的业务数据进行功能操作。
例如,某部门的某一普通员工具有用户账户A,且在用户账户A的权限信息中记录有关于财务系统中存储的财务数据B的权限信息,则用户账户A具有对财务系统中的财务数据B的操作权限;而在关于财务系统中存储的初财务数据B以外的其他财务数据,则用户账户A不具有操作权限。
在一实施例中,用户账户针对于业务数据的操作权限包括用户账户对业务数据进行浏览操作、下载操作、修改操作和转发操作的功能操作。再其他实施例中,还可以包括其他的已知功能操作,具在这里不做具体限定。
步骤S13:基于身份信息、环境信息、基础权限信息和临时权限信息,在预设的至少两种权限控制模式中确定出目标权限控制模式。
在一实施例中,权限控制模式用于指示业务平台系统向用户账户开放多个功能操作的程度。
在一实施例中,多个功能操作为基础权限信息和临时权限信息之间所对应的权限控制范围内的待控制的多个功能应用。
其中,不同的权限控制模式具有对应不同的所包括的约束条件或者约束条件的组合,不同的约束条件或者约束条件的组合用于指示业务平台系统向用户账户开放多个功能操作的程度不同。
在一些实施例中,权限控制模式所对应的约束条件包括以下两项:用户账户在对目标业务数据执行功能操作的次数为对应模式下预设的次数阈值;用户账户在对目标业务数据执行功能操作的时间间隔为对应模式下预设的时间间隔阈值。
在一些实施例中,服务器根据身份信息和环境信息所指示的用户账户在业务平台系统中的重要性程度,以及基础权限信息和临时权限信息之间所对应的权限控制范围内的待控制的多个功能应用在业务平台系统中的重要性程度,在预设的至少两种权限控制模式中确定出匹配于上述两种重要性程度的目标权限控制模式。
例如,身份信息和环境信息对应用户账户的重要性程度为1级重要,基础权限信息和临时权限信息对应多个功能应用的重要性程度也为2级重要,则匹配于上述两种重要性程度的目标权限控制模式为第一模式;身份信息和环境信息对应用户账户的重要性程度为1级重要,基础权限信息和临时权限信息对应多个功能应用的重要性程度也为1级重要,则匹配于上述两种重要性程度的目标权限控制模式为第二模式;身份信息和环境信息对应用户账户的重要性程度为2级重要,基础权限信息和临时权限信息对应多个功能应用的重要性程度也为1级重要,则匹配于上述两种重要性程度的目标权限控制模式为第三模式。
其中,第一模式用于指示业务平台系统向用户账户开放多个功能操作的程度低于第二模式;以及,第二模式用于指示业务平台系统向用户账户开放多个功能操作的程度低于第三模式。
其中,第一模式对应的约束条件或者约束条件的组合对用户账户的权限控制的程度高于第二模式对应的约束条件或者约束条件的组合,以及第二模式对应的约束条件或者约束条件的组合对用户账户的权限控制的程度高于第三模式对应的约束条件或者约束条件的组合。
步骤S14:基于目标权限控制模式,对用户账户在业务平台系统中执行多个功能操作时进行权限控制。
在一些实施例中,服务器根据目标权限控制模式所对应的约束条件对用户账户在业务平台系统中执行多个功能操作时进行权限控制。
作为一示例,基础权限信息和临时权限信息之间所对应的权限控制范围内的待控制的多个功能操作包括如对文件、数据应用服务等进行浏览、下载、转发等操作。第一权限控制模式所对应的约束条件为用户账户在对目标业务数据执行功能操作的次数为预设的2次,时间间隔为120秒;第二权限控制模式所对应的约束条件为用户账户在对目标业务数据执行功能操作的次数为预设的5次,时间间隔为60秒;第三权限控制模式所对应的约束条件为用户账户在对目标业务数据执行功能操作的次数为预设的10次,时间间隔为10秒。在目标权限控制模式为第一权限控制模式的情况下,用户账户只能在业务平台系统中对多个功能操作执行2次,且每次间隔为120秒。在目标权限控制模式为第二权限控制模式的情况下,用户账户只能在业务平台系统中对多个功能操作执行5次,且每次间隔为60秒。在目标权限控制模式为第三权限控制模式的情况下,用户账户只能在业务平台系统中对多个功能操作执行10次,且每次间隔为10秒。
上述的用户账户的权限控制过程中,服务器首先获取用户账户登入业务平台系统的身份信息和登入时的环境信息;然后,再基于身份信息,确定用户账户在业务平台系统中的基础权限信息;以及,基于环境信息,确定用户账户在业务平台系统中的临时权限信息;然后,再基于身份信息、环境信息、基础权限信息和临时权限信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;其中,权限控制模式用于指示业务平台系统向用户账户开放多个功能操作的程度,多个功能操作为基础权限信息和临时权限信息之间所对应的权限控制范围内的待控制的多个功能应用;最后,基于目标权限控制模式,对用户账户在业务平台系统中执行多个功能操作时进行权限控制。这样,一方面,利用用户账户在登入业务平台系统时的身份信息和环境信息来确定用户账户在业务平台系统中的权限信息,能够解决现有技术中用户的权限范围固定不变的问题,使得用户账户在登入业务平台系统时具有适应于基础权限信息和临时权限信息的权限范围,提升了对用户执行功能操作时的数据处理效率,从而优化了对用户的权限管理的流程;另一方面,利用确定的目标权限控制模式来对用户账户在业务平台系统中执行的功能操作进行权限控制,提升了对用户进行权限管理时的安全性和有效性,从而能够有效防止企业数据资产的外泄问题。
本领域技术人员可以理解地,在具体实施方式的上述方法中,所揭露的方法可以通过更为具体的方式以实现。例如,以上所描述的服务器基于所述目标权限控制模式,对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制的实施方式仅仅是示意性的。
示例性地,服务器基于所述身份信息,确定所述用户账户在所述业务平台系统中的基础权限信息的方式;或者服务器基于所述环境信息,确定所述用户账户在所述业务平台系统中的临时权限信息的方式等等,其仅仅为一种集合的方式,实际实现时可以有另外的划分方式,例如用户账户的所述身份信息、所述环境信息、所述基础权限信息和所述临时权限信息之间可以结合或者可以集合到另一个系统中,或一些特征可以忽略,或不执行。
在一示例性实施例中,参阅图3,图3为本申请中确定基础权限信息一实施例的流程示意图。在步骤S12中,服务器确定所述用户账户在所述业务平台系统中的基础权限信息的过程,可以通过以下方式实现:
步骤S121,查询预设的第一类权限映射表,得到与企业信息对应的第一权限范围。
在一些实施例中,服务器通过存储的第一类权限映射表,查询得到匹配于企业信息的第一权限范围。例如,关于某些公开文件、应用服务等应用操作的权限范围。
步骤S122,查询第一类权限映射表,得到与部门信息对应的第二权限范围。
在一些实施例中,服务器通过存储的第一类权限映射表,查询得到匹配于部门信息的第二权限范围。例如,关于某些部门文件、应用服务等应用操作的权限范围。
步骤S123,查询第一类权限映射表,得到与角色信息对应的第三权限范围。
在一些实施例中,服务器通过存储的第一类权限映射表,查询得到匹配于角色信息的第三权限范围。例如,关于某些个人文件、应用服务等应用操作的权限范围。
步骤S124,基于第一权限范围、第二权限范围和第三权限范围中对应的至少一种权限范围,确定基础权限信息。
在一些实施例中,服务器将用户账户对应存在的第一权限范围、第二权限范围和第三权限范围中对应的至少一种权限范围相加,得到对应的总权限范围,并将该总权限范围对应的信息数据(包括权限范围、企业信息、部门信息、角色信息等)作为基础权限信息。
在一示例性实施例中,参阅图4,图4为本申请中确定临时权限信息一实施例的流程示意图。在步骤S12中,服务器基于所述环境信息,确定所述用户账户在所述业务平台系统中的临时权限信息的过程,可以通过以下方式实现:
步骤S125,查询预设的第二类权限映射表,得到与位置信息对应的第四权限范围。
在一些实施例中,服务器通过存储的第二类权限映射表,查询得到匹配于位置信息的第四权限范围。例如,关于某些特定区域文件、应用服务等应用操作的权限范围。
步骤S126,查询第二类权限映射表,得到与时间信息对应的第五权限范围。
在一些实施例中,服务器通过存储的第二类权限映射表,查询得到匹配于时间信息的第五权限范围。例如,关于某些特定时间文件、应用服务等应用操作的权限范围。
步骤S127,查询第二类权限映射表,得到与设备信息对应的第六权限范围。
在一些实施例中,服务器通过存储的第二类权限映射表,查询得到匹配于设备信息的第六权限范围。例如,关于某些特定设备文件、应用服务等应用操作的权限范围。
步骤S128,基于第四权限范围、第五权限范围和第六权限范围中对应的至少一种权限范围,确定临时权限信息。
在一些实施例中,服务器将用户账户对应存在的第四权限范围、第五权限范围和第六权限范围中对应的至少一种权限范围相加,得到对应的总权限范围,并将该总权限范围对应的信息数据(包括权限范围、位置信息、时间信息、设备信息等)作为基础权限信息。
在一示例性实施例中,参阅图5,图5为本申请中确定出目标权限控制模式一实施例的流程示意图。在步骤S13中,服务器基于所述身份信息、所述环境信息、所述基础权限信息和所述临时权限信息,在预设的至少两种权限控制模式中确定出目标权限控制模式的过程,具体可以通过以下方式实现:
步骤S131,基于身份信息和环境信息,确定用户账户在业务平台系统中的第一重要性程度。
在一些实施例中,不同身份信息和环境信息所对应的用户账户在业务平台系统中的重要性程度不同。例如,用户账户所在的部门、角色,以及,用户账户在登录业务平台系统时的设备、时间和区域位置等等,它们之间对于用户账户的优先级、重要性不相同。
因此,基于开发人员的设计,根据用户账户的各种身份信息和环境信息所存在的各种情况,在业务平台系统中为用户账户配置有对应的重要性等级。
例如,根据用户账户所对应企业信息的不同分为1、2、3三个不同的小级;根据用户账户所对应企业信息的不同分为1、2、3三个不同的小级;根据用户账户所对应部门信息的不同分为1、2、3三个不同的小级;根据用户账户所对应角色信息的不同分为1、2、3三个不同的小级;根据用户账户所对应时间信息的不同分为1、2、3三个不同的小级;根据用户账户所对应位置信息的不同分为1、2、3三个不同的小级;根据用户账户所对应设备信息的不同分为1、2、3三个不同的小级。进一步地,服务器根据各种信息之间对应小级的和值,得到用户账户在业务平台系统中的第一重要性程度。
步骤S132,将对应于基础权限信息的权限范围和对应于临时权限信息的权限范围相加,得到总权限范围,并确定总权限范围包括的多个功能操作在业务平台系统中的第二重要性程度。
在一些实施例中,不同权限范围所对应的多个功能操作在业务平台系统中的重要性程度不同。例如,功能操作中对各自数据文件/应用服务的下载、转发、收藏、浏览、修改等操作,它们之间在业务平台系统中的优先级、重要性不相同。
因此,基于开发人员的设计,根据权限范围对应的多个功能操作各自所存在的各种情况,在业务平台系统中配置有该多个功能操作各自对应的重要性等级。
例如,针对每一种数据文件/应用服务:浏览操作配置为1的小级、下载操作配置为1的小级、转发操作配置为1的小级、收藏操作配置为1的小级、修改操作配置为2的小级。进一步地,服务器根据总权限范围确定用户账户对每一种数据文件/应用服务对应被授予的功能操作(如,针对A文件只被授予浏览、下载的操作权限,针对B数据表只被授予转发、收藏的操作权限等等)的小级,确定对应每一种数据文件/应用服务的小级的和值(如,针对A文件的小级之和为1+1=2,针对B数据表的小级之和为1+1=2等等);然后,再根据用户账户在对应总权限范围内包括的多个功能操作对应的小级的和值之间的总和值所在的范围(如,0-10分为1级、11-20分为2级、21-30分为3级等等)划分为对应的第二重要性程度。
步骤S133,基于第一重要性程度和二重要性程度,在至少两种权限控制模式中确定出目标权限控制模式。
在一示例性实施例中,在本申请中确定出目标权限控制模式的过程,具体可以通过以下方式实现:
若所述第一重要性程度小于所述二重要性程度,则在所述至少两种权限控制模式中确定出第一模式作为目标权限控制模式。
若所述第一重要性程度等于所述二重要性程度,则在所述至少两种权限控制模式中确定出第二模式作为目标权限控制模式。
若所述第一重要性程度大于所述二重要性程度,则在所述至少两种权限控制模式中确定出第三模式作为目标权限控制模式。
例如,身份信息和环境信息对应用户账户的重要性程度为1级重要,基础权限信息和临时权限信息对应多个功能应用的重要性程度也为2级重要,则服务器匹配于上述两种重要性程度的目标权限控制模式为第一模式;身份信息和环境信息对应用户账户的重要性程度为1级重要,基础权限信息和临时权限信息对应多个功能应用的重要性程度也为1级重要,则服务器匹配于上述两种重要性程度的目标权限控制模式为第二模式;身份信息和环境信息对应用户账户的重要性程度为2级重要,基础权限信息和临时权限信息对应多个功能应用的重要性程度也为1级重要,则服务器匹配于上述两种重要性程度的目标权限控制模式为第三模式。
其中,第一模式用于指示业务平台系统向用户账户开放多个功能操作的程度低于第二模式;以及,第二模式用于指示业务平台系统向用户账户开放多个功能操作的程度低于所述第三模式。
在一实施例中,业务平台系统向用户账户开放多个功能操作的程度通过限制用户账户在业务平台系统中执行功能操作的时间间隔和次数的不同来表征。
在一示例性实施例中,在本申请中服务器基于所述目标权限控制模式,对所述用户账户在业务平台系统中执行所述多个功能操作时进行权限控制的过程,具体可以通过以下方式实现:
在所述目标权限控制模式为所述第一模式的情况下,基于第一约束条件对所述用户账户在所述业务平台系统中执行的所述多个功能操作进行权限控制;
在所述目标权限控制模式为所述第二模式的情况下,基于第二约束条件对所述用户账户在所述业务平台系统中执行的所述多个功能操作进行权限控制;
在所述目标权限控制模式为所述第二模式的情况下,基于第二约束条件对所述用户账户在所述业务平台系统中执行的所述多个功能操作进行权限控制;
其中,所述第一约束条件用于限制所述用户账户执行所述多个功能操作的次数和时间间隔多于所述第二约束条件;以及,所述第二约束条件用于限制所述用户账户执行所述多个功能操作的次数和时间间隔多于所述第三约束条件。
在一些实施例中,权限控制模式所对应的约束条件包括以下两项:用户账户在对目标业务数据执行功能操作的次数为对应模式下预设的次数阈值;用户账户在对目标业务数据执行功能操作的时间间隔为对应模式下预设的时间间隔阈值。
其中,不同的权限控制模式具有对应不同的所包括的约束条件或者约束条件的组合,不同的约束条件或者约束条件的组合用于指示业务平台系统向用户账户开放多个功能操作的程度不同。
例如,第一权限控制模式所对应的约束条件为用户账户在对目标业务数据执行功能操作的次数为预设的2次,时间间隔为120秒;第二权限控制模式所对应的约束条件为用户账户在对目标业务数据执行功能操作的次数为预设的5次,时间间隔为60秒;第三权限控制模式所对应的约束条件为用户账户在对目标业务数据执行功能操作的次数为预设的10次,时间间隔为10秒。在目标权限控制模式为第一权限控制模式的情况下,用户账户只能在业务平台系统中对多个功能操作执行2次,且每次间隔为120秒。在目标权限控制模式为第二权限控制模式的情况下,用户账户只能在业务平台系统中对多个功能操作执行5次,且每次间隔为60秒。在目标权限控制模式为第三权限控制模式的情况下,用户账户只能在业务平台系统中对多个功能操作执行10次,且每次间隔为10秒。
在一示例性实施例中,在本申请中服务器基于所述目标权限控制模式,对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制的过程,具体还可以通过以下方式实现:
步骤一:从数据库中获取对应于身份信息的用户令牌,以及多个功能操作各自对应的权限标签。
其中,用户令牌用于对用户账户所执行的功能操作的权限范围进行校验,权限标签用于对用户账户所执行的功能操作的有效状态进行校验。
在一实施例中,在用户账户登录业务平台系统之后,服务器根据用户账户的身份信息生成一个用户令牌,并存储于数据库中,其中,该用户令牌用于指示用户账户的权限范围。
在一实施例中,在用户账户登录业务平台系统之后,服务器为用户账户对应权限范围内的每一种应用操作均生成一个权限标签,并存储于数据库中,其中,该权限标签用于指示各种应用操作的可操作时间域和当前的可操作状态,当前的可操作状态包括激活状态或者未激活状态。
例如,服务器针对用户账户对应权限范围内关于文件A的下载操作的权限标签为(2022.01.01-2022.02.15;未激活状态),则该权限标签表征用户账户对文件A的下载操作在当前是不可操作状态(即未激活状态),且用户账户对文件A的下载操作在2022.01.01-2022.02.15的期间内为可操作状态(即激活状态)。
步骤二:基于权限标签、权限标签和目标权限控制模式,对用户账户在业务平台系统中执行多个功能操作时进行权限控制。
在一实施例中,服务器首先根据目标权限控制模式所对应的约束条件对用户账户在业务平台系统中执行多个功能操作时进行第一类的权限控制(即关于数据文件/应用服务的功能操作的时间间隔和次数的权限控制)。然后,服务器再根据用户账户的用户令牌和每一种功能操作对应的权限标签,对用户账户在业务平台系统中执行每一个功能操作时进行第二类的权限控制(即关于数据文件/应用服务的功能操作的权限范围、操作时间域和当前可操作状态的权限控制)。
为了更清晰阐明本公开实施例提供的用户账户的权限控制方法,以下以另一个具体的实施例对该用户账户的权限控制方法进行说明。在一示例性实施例中,参考图6和图7,图6为根据另一示例性实施例示出的一种用户账户的权限控制方法的流程图,图7为根据另一示例性实施例示出的一种用户账户的权限控制方法的模块图,该用户账户的权限控制方法用于服务器104中,具体包括如下内容:
步骤S21:创建针对于用户账户的角色,并设定各角色针对于操作数据表的操作权限。
其中,服务器根据需要创建的用户账户创建不同的角色,并通过代码授予不同角色应用于业务系统中的各个业务数据不同的操作权限。
例如,服务器创建角色1,授予角色1针对业务系统的数据仓库中所有数据的查询权限;服务器创建角色2,授予角色2针对业务系统的数据仓库中所有数据写权限;服务器创建角色3,授予角色3针对业务系统的数据仓库中所有数据的所有权限。
其中,服务器可以使用ranger来设定各角色对应在数据仓库中针对各数据表的操作权限。例如,服务器基于不同的等级模式,自定义各角色对应的操作权限,包括可以授权某个数据库、某个数据库中某个数据表、某个数据库中某个数据表的某个字段的查询权限、下载权限、修改权限和转发权限。
其中,服务器设定各角色针对于操作数据表的操作权限的类型包括:
ALTER:更改表结构;
CREATE:创建表;
DROP:删除表,或分区;
INDEX:创建和删除索引;
LOCK:锁定表;
SELECT:查询权限;
SHOW_DATABASE:查看数据库权限;
UPDATE:为表加载本地数据的权限。
步骤S22:创建用户账户及用户组,用户组可以包含多个用户账户。
其中,服务器创建对应的各个角色的用户账户及用户所属的用户组。
例如,服务器创建用户组1,用户组1具有用户账户1-3;服务器创建用户组2,用户组2用户账户4-8;服务器创建用户组3,用户组3用户账户9-10。
步骤S23:将各个角色赋给对应用户组,使得用户组下面的各个用户账户都有对应角色的权限。
其中,服务器使用代码将各个角色授权给对应的用户组,使得用户组下面的用户账户都有该各个角色对应的权限。
其中,在用户组下面的各个用户账户都有对应角色的权限之后,服务器基于各个用户账户对应具有的权限信息,生成对应于各个用户账户的后台权限表。
其中,该后台权限表用于指示对应的用户账户所具有的可应用于业务系统中对应的业务数据的操作权限。
例如,服务器将角色1-3赋予给用户组1,使得用户组1下面的用户账户1-3都具有角色1-3对应查询权限的操作权限;服务器将角色4-8赋予给用户组2,使得用户组2下面的用户账户4-8都具有角色4-8对应写权限的操作权限;服务器将角色9-10赋予给用户组3,使得用户组3下面的用户账户9-10都具有角色9-10对应所有数据的所有权限的操作权限。
其中,服务器可以将某个数据库的查询权限授予给角色,将这个角色授予给用户,即用户拥有这个数据库的查询权限。也可以直接将某个数据库的查询权限直接授权给用户,即用户拥有这个数据库的查询权限。
步骤S24:为各个用户账户设置账户名称和账户密码,并将各个用户账户的账户名称和账户密码保存。
其中,服务器给账户名称和账户密码的存储格式可以是网页上进行md5转换后的密文等,也可以将账户名称和账户密码的首尾字符互换存储等,可以将加密的账户名称和账户密码存放在文本当中,也可以将账户名称和账户密码存放到接口当中。
其中,账户名称和密码可以使用md5加密、或者错位加密等方式,可以将账户名称和密码存放至txt文件或nacos中,也可以用其它方式存储。
其中,如步骤S21-S24所述,其步骤为服务器创建用户账户的过程,如图7所示,图7为服务器创建用户账户过程的模块示意图。
进一步地,如下述步骤S25-步骤S26所述,其步骤为服务器对用户账户在业务系统中对业务数据执行的功能操作进行权限控制的过程。
步骤S25,获取用户的输入名称和输入密码,并与存储的账户名称和账户密码进行匹配。
其中,服务器根据用户的输入名称和输入密码编写成对应的jar包,并放入指定的文件夹中与存储的账户名称和账户密码进行匹配。
其中,服务器在将用户的输入名称和输入密码分别与读音存储的账户名称和账户密码匹配成功之后,服务器为用户账户生成一个用户令牌,以对用户账户在后续所执行的功能操作的权限范围进行校验。
其中,如果用户的输入名称与存储的账户名称,和用户的输入密码与存储的账户密码均匹配成功,则登入成功。
步骤S26,响应于用户账户登录成功后,读取后台权限表,获取后台权限表中用户账户对应所拥有的权限信息,并根据权限信息对用户账户在业务系统中对业务数据执行的功能操作进行权限控制。
其中,服务器在用户账户在使用账号名称和密码登录成功后,对登录的用户账户所拥有的权限首先进行鉴权,在鉴权成功后,返回其所拥有的权限信息,然后,用户账户即可以根据所拥有的权限信息来执行对应权限范围内的功能操作。
在一种实施例中,数据仓库中的数据存储在hdfs介质中,服务器可以通过控制用户账户访问hdfs介质中文件的权限,从而通过管理hdfs介质的权限进一步管理数据仓库中的数据。
在一种实施例中,用户只需输入登入的账号,无需密码就可登入系统,然后服务器控制用户账户通过impala程序来访问数据仓库中的数据。
这样,一方面,利用用户账户在登入业务平台系统时的身份信息和环境信息来确定用户账户在业务平台系统中的权限信息,能够解决现有技术中用户的权限范围固定不变的问题,使得用户账户在登入业务平台系统时具有适应于基础权限信息和临时权限信息的权限范围,提升了对用户执行功能操作时的数据处理效率,从而优化了对用户的权限管理的流程;另一方面,利用确定的目标权限控制模式来对用户账户在业务平台系统中执行的功能操作进行权限控制,提升了对用户进行权限管理时的安全性和有效性,从而能够有效防止企业数据资产的外泄问题。
应该理解的是,虽然图2-图7的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-图7中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
可以理解的是,本说明书中上述方法的各个实施例之间相同/相似的部分可互相参见,每个实施例重点说明的是与其他实施例的不同之处,相关之处参见其他方法实施例的说明即可。
图8是本申请实施例提供的一种用户账户的权限控制装置框图。参照图8,该用户账户的权限控制装置10包括:第一获取单元11、权限识别单元12、模式选择单元13、权限控制单元14。
其中,第一获取单元11,被配置为执行获取用户账户登入业务平台系统的身份信息和登入时的环境信息;
其中,权限识别单元12,被配置为执行基于所述身份信息,确定所述用户账户在所述业务平台系统中的基础权限信息;以及,基于所述环境信息,确定所述用户账户在所述业务平台系统中的临时权限信息;
其中,模式选择单元13,被配置为执行基于所述身份信息、所述环境信息、所述基础权限信息和所述临时权限信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;所述权限控制模式用于指示所述业务平台系统向所述用户账户开放多个功能操作的程度,所述多个功能操作为所述基础权限信息和所述临时权限信息之间所对应的权限控制范围内的待控制的多个功能应用;
其中,权限控制单元14,被配置为执行基于所述目标权限控制模式,对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制。
在一些实施例中,所述身份信息包括所述用户账户所处的企业信息、部门信息和角色信息中的至少一种;在所述基于所述身份信息,确定所述用户账户在所述业务平台系统中的基础权限信息的方面,该权限识别单元12具体还用于:
查询预设的第一类权限映射表,得到与所述企业信息对应的第一权限范围;和/或
查询所述第一类权限映射表,得到与所述部门信息对应的第二权限范围;和/或
查询所述第一类权限映射表,得到与所述角色信息对应的第三权限范围;
基于所述第一权限范围、所述第二权限范围和所述第三权限范围中对应的至少一种权限范围,确定所述基础权限信息。
在一些实施例中,所述环境信息包括所述用户账户在登入所述业务平台系统时的位置信息、时间信息和设备信息中的至少一种;在所述基于所述环境信息,确定所述用户账户在所述业务平台系统中的临时权限信息的方面,该权限识别单元12具体还用于:
查询预设的第二类权限映射表,得到与所述位置信息对应的第四权限范围;和/或
查询所述第二类权限映射表,得到与所述时间信息对应的第五权限范围;和/或
查询所述第二类权限映射表,得到与所述设备信息对应的第六权限范围;
基于所述第四权限范围、所述第五权限范围和所述第六权限范围中对应的至少一种权限范围,确定所述临时权限信息。
在一些实施例中,在所述基于所述身份信息、所述环境信息、所述基础权限信息和所述临时权限信息,在预设的至少两种权限控制模式中确定出目标权限控制模式的方面,该模式选择单元13具体还用于:
基于所述身份信息和所述环境信息,确定所述用户账户在所述业务平台系统中的第一重要性程度;以及,
将对应于所述基础权限信息的权限范围和对应于所述临时权限信息的权限范围相加,得到总权限范围,并确定所述总权限范围包括的多个功能操作在所述业务平台系统中的第二重要性程度;
基于所述第一重要性程度和所述二重要性程度,在所述至少两种权限控制模式中确定出目标权限控制模式。
在一些实施例中,所述基于所述第一重要性程度和所述二重要性程度,在所述至少两种权限控制模式中确定出目标权限控制模式,该模式选择单元13具体包括以下三项中的一项:
若所述第一重要性程度小于所述二重要性程度,则在所述至少两种权限控制模式中确定出第一模式作为目标权限控制模式;
若所述第一重要性程度等于所述二重要性程度,则在所述至少两种权限控制模式中确定出第二模式作为目标权限控制模式;
若所述第一重要性程度大于所述二重要性程度,则在所述至少两种权限控制模式中确定出第三模式作为目标权限控制模式;
其中,所述第一模式用于指示所述业务平台系统向所述用户账户开放多个功能操作的程度低于所述第二模式;以及,所述第二模式用于指示所述业务平台系统向所述用户账户开放多个功能操作的程度低于所述第三模式。
在一些实施例中,在所述基于所述目标权限控制模式,对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制的方面,该权限控制单元14具体还用于:
在所述目标权限控制模式为所述第一模式的情况下,基于第一约束条件对所述用户账户在所述业务平台系统中执行的所述多个功能操作进行权限控制;
在所述目标权限控制模式为所述第二模式的情况下,基于第二约束条件对所述用户账户在所述业务平台系统中执行的所述多个功能操作进行权限控制;
在所述目标权限控制模式为所述第二模式的情况下,基于第二约束条件对所述用户账户在所述业务平台系统中执行的所述多个功能操作进行权限控制;
其中,所述第一约束条件用于限制所述用户账户执行所述多个功能操作的次数和时间间隔多于所述第二约束条件;以及,所述第二约束条件用于限制所述用户账户执行所述多个功能操作的次数和时间间隔多于所述第三约束条件。
在一些实施例中,在所述对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制的方面,该权限控制单元14具体还用于:
从数据库中获取对应于所述身份信息的用户令牌,以及所述多个功能操作各自对应的权限标签;所述用户令牌用于对所述用户账户所执行的功能操作的权限范围进行校验,所述权限标签用于对所述用户账户所执行的功能操作的有效状态进行校验;
基于所述权限标签、所述权限标签和所述目标权限控制模式,对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制。
图9是本申请实施例提供的一种服务器20的框图。例如,服务器20可以为一种电子设备、电子组件或者服务器阵列等等。参照图9,服务器20包括处理器21,其进一步处理器21可以为处理器集合,其可以包括一个或多个处理器,以及服务器20包括由存储器22所代表的存储器资源,其中,存储器22上存储有计算机程序,例如应用程序。在存储器22中存储的计算机程序可以包括一个或一个以上的每一个对应于一组可执行指令的模块。此外,处理器21被配置为执行计算机程序时实现如上述的用户账户的权限控制作方法。
在一些实施例中,服务器20为电子设备,该电子设备中的计算系统可以运行一个或多个操作系统,包括以上讨论的任何操作系统以及任何商用的服务器操作系统。该服务器20还可以运行各种附加服务器应用和/或中间层应用中的任何一种,包括HTTP(超文本传输协议)服务器、FTP(文件传输协议)服务器、CGI(通用网关界面)服务器、超级服务器、数据库服务器等。示例性数据库服务器包括但不限于可从(国际商业机器)等商购获得的数据库服务器。
在一些实施例中,处理器21通常控制服务器20的整体操作,诸如与显示、数据处理、数据通信和记录操作相关联的操作。处理器21可以包括一个或多个处理器组件来执行计算机程序,以完成上述的方法的全部或部分步骤。此外,处理器组件可以包括一个或多个模块,便于处理器组件和其他组件之间的交互。例如,处理器组件可以包括多媒体模块,以方便利用多媒体组件控制用户服务器20和处理器21之间的交互。
在一些实施例中,处理器21中的处理器组件还可以称为CPU(Central ProcessingUnit,中央处理单元)。处理器组件可能是一种电子芯片,具有信号的处理能力。处理器还可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器组件等。另外,处理器组件可以由集成电路芯片共同实现。
在一些实施例中,存储器22被配置为存储各种类型的数据以支持在服务器20的操作。这些数据的示例包括用于在服务器20上操作的任何应用程序或方法的指令、采集数据、消息、图片、视频等。存储器22可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM)、电可擦除可编程只读存储器(EEPROM)、可擦除可编程只读存储器(EPROM)、可编程只读存储器(PROM)、只读存储器(ROM)、磁存储器、快闪存储器、磁盘、光盘或石墨烯存储器。
在一些实施例中,存储器22可以为内存条、TF卡等,可以存储服务器20中的全部信息,包括输入的原始数据、计算机程序、中间运行结果和最终运行结果都保存在存储器22中。在一些实施例中,它根据处理器21指定的位置存入和取出信息。在一些实施例中,有了存储器22,服务器20才有记忆功能,才能保证正常工作。在一些实施例中,服务器20的存储器22按用途可分为主存储器(内存)和辅助存储器(外存),也有分为外部存储器和内部存储器的分类方法。外存通常是磁性介质或光盘等,能长期保存信息。内存指主板上的存储部件,用来存放当前正在执行的数据和程序,但仅用于暂时存放程序和数据,关闭电源或断电,数据会丢失。
在一些实施例中,服务器20还可以包括:电源组件23被配置为执行服务器20的电源管理,有线或无线网络接口24被配置为将服务器20连接到网络,和输入输出(I/O)接口25。服务器20可以操作基于存储在存储器22的操作系统,例如Windows Server,Mac OS X,Unix,Linux,FreeBSD或类似。
在一些实施例中,电源组件23为服务器20的各种组件提供电力。电源组件23可以包括电源管理系统,一个或多个电源,及其他与为服务器20生成、管理和分配电力相关联的组件。
在一些实施例中,有线或无线网络接口24被配置为便于服务器20和其他设备之间有线或无线方式的通信。服务器20可以接入基于通信标准的无线网络,如WiFi,运营商网络(如2G、3G、4G或5G),或它们的组合。
在一些实施例中,有线或无线网络接口24经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,有线或无线网络接口24还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在一些实施例中,输入输出(I/O)接口25为处理器21和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
图10是本申请实施例提供的一种计算机可读存储介质30的框图。该计算机可读存储介质30上存储有计算机程序31,其中,计算机程序31被处理器执行时实现如上述的用户账户的权限控制方法。
在本申请各个实施例中的各功能单元集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在计算机可读存储介质30中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机可读存储介质30在一个计算机程序31中,包括若干指令用以使得一台计算机设备(可以是个人计算机,系统服务器,或者网络设备等)、电子设备(例如MP3、MP4等,也可以是手机、平板电脑、可穿戴设备等智能终端,也可以是台式电脑等)或者处理器(processor)以执行本申请各个实施方式方法的全部或部分步骤。
图11是本申请实施例提供的一种计算机程序产品40的框图。该计算机程序产品40中包括程序指令41,该程序指令41可由服务器20的处理器执行以实现如上述的用户账户的权限控制方法。
本领域内的技术人员应明白,本申请的实施例可提供有用户账户的权限控制方法、用户账户的权限控制装置10、服务器20、计算机可读存储介质30或计算机程序产品40。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机程序指令41(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品40的形式。
本申请是参照根据本申请实施例中用户账户的权限控制方法、用户账户的权限控制装置10、服务器20、计算机可读存储介质30或计算机程序产品40的流程图和/或方框图来描述的。应理解可由计算机程序产品40实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序产品40到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的程序指令41产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序产品40也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机程序产品40中的程序指令41产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些程序指令41也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的程序指令41提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的,上述的各种方法、装置、电子设备、计算机可读存储介质、计算机程序产品等根据方法实施例的描述还可以包括其他的实施方式,具体的实现方式可以参照相关方法实施例的描述,在此不作一一赘述。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (10)
1.一种用户账户的权限控制方法,其特征在于,所述方法包括:
获取用户账户登入业务平台系统的身份信息和登入时的环境信息;
基于所述身份信息,确定所述用户账户在所述业务平台系统中的基础权限信息;以及,基于所述环境信息,确定所述用户账户在所述业务平台系统中的临时权限信息;
基于所述身份信息、所述环境信息、所述基础权限信息和所述临时权限信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;所述权限控制模式用于指示所述业务平台系统向所述用户账户开放多个功能操作的程度,所述多个功能操作为所述基础权限信息和所述临时权限信息之间所对应的权限控制范围内的待控制的多个功能应用;
基于所述目标权限控制模式,对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制。
2.根据权利要求1所述的方法,其特征在于,所述身份信息包括所述用户账户所处的企业信息、部门信息和角色信息中的至少一种;
所述基于所述身份信息,确定所述用户账户在所述业务平台系统中的基础权限信息,包括:
查询预设的第一类权限映射表,得到与所述企业信息对应的第一权限范围;和/或
查询所述第一类权限映射表,得到与所述部门信息对应的第二权限范围;和/或
查询所述第一类权限映射表,得到与所述角色信息对应的第三权限范围;
基于所述第一权限范围、所述第二权限范围和所述第三权限范围中对应的至少一种权限范围,确定所述基础权限信息。
3.根据权利要求1所述的方法,其特征在于,所述环境信息包括所述用户账户在登入所述业务平台系统时的位置信息、时间信息和设备信息中的至少一种;
所述基于所述环境信息,确定所述用户账户在所述业务平台系统中的临时权限信息,包括:
查询预设的第二类权限映射表,得到与所述位置信息对应的第四权限范围;和/或
查询所述第二类权限映射表,得到与所述时间信息对应的第五权限范围;和/或
查询所述第二类权限映射表,得到与所述设备信息对应的第六权限范围;
基于所述第四权限范围、所述第五权限范围和所述第六权限范围中对应的至少一种权限范围,确定所述临时权限信息。
4.根据权利要求1所述的方法,其特征在于,所述基于所述身份信息、所述环境信息、所述基础权限信息和所述临时权限信息,在预设的至少两种权限控制模式中确定出目标权限控制模式,包括:
基于所述身份信息和所述环境信息,确定所述用户账户在所述业务平台系统中的第一重要性程度;以及,
将对应于所述基础权限信息的权限范围和对应于所述临时权限信息的权限范围相加,得到总权限范围,并确定所述总权限范围包括的多个功能操作在所述业务平台系统中的第二重要性程度;
基于所述第一重要性程度和所述二重要性程度,在所述至少两种权限控制模式中确定出目标权限控制模式。
5.根据权利要求4所述的方法,其特征在于,所述基于所述第一重要性程度和所述二重要性程度,在所述至少两种权限控制模式中确定出目标权限控制模式,包括以下三项中的一项:
若所述第一重要性程度小于所述二重要性程度,则在所述至少两种权限控制模式中确定出第一模式作为目标权限控制模式;
若所述第一重要性程度等于所述二重要性程度,则在所述至少两种权限控制模式中确定出第二模式作为目标权限控制模式;
若所述第一重要性程度大于所述二重要性程度,则在所述至少两种权限控制模式中确定出第三模式作为目标权限控制模式;
其中,所述第一模式用于指示所述业务平台系统向所述用户账户开放多个功能操作的程度低于所述第二模式;以及,所述第二模式用于指示所述业务平台系统向所述用户账户开放多个功能操作的程度低于所述第三模式。
6.根据权利要求5所述的方法,其特征在于,所述基于所述目标权限控制模式,对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制,包括:
在所述目标权限控制模式为所述第一模式的情况下,基于第一约束条件对所述用户账户在所述业务平台系统中执行的所述多个功能操作进行权限控制;
在所述目标权限控制模式为所述第二模式的情况下,基于第二约束条件对所述用户账户在所述业务平台系统中执行的所述多个功能操作进行权限控制;
在所述目标权限控制模式为所述第二模式的情况下,基于第二约束条件对所述用户账户在所述业务平台系统中执行的所述多个功能操作进行权限控制;
其中,所述第一约束条件用于限制所述用户账户执行所述多个功能操作的次数和时间间隔多于所述第二约束条件;以及,所述第二约束条件用于限制所述用户账户执行所述多个功能操作的次数和时间间隔多于所述第三约束条件。
7.根据权利要求1所述的方法,其特征在于,所述对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制,还包括:
从数据库中获取对应于所述身份信息的用户令牌,以及所述多个功能操作各自对应的权限标签;所述用户令牌用于对所述用户账户所执行的功能操作的权限范围进行校验,所述权限标签用于对所述用户账户所执行的功能操作的有效状态进行校验;
基于所述权限标签、所述权限标签和所述目标权限控制模式,对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制。
8.一种用户账户的权限控制装置,其特征在于,所述装置包括:
第一获取单元,被配置为执行获取用户账户登入业务平台系统的身份信息和登入时的环境信息;
权限识别单元,被配置为执行基于所述身份信息,确定所述用户账户在所述业务平台系统中的基础权限信息;以及,基于所述环境信息,确定所述用户账户在所述业务平台系统中的临时权限信息;
模式选择单元,被配置为执行基于所述身份信息、所述环境信息、所述基础权限信息和所述临时权限信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;所述权限控制模式用于指示所述业务平台系统向所述用户账户开放多个功能操作的程度,所述多个功能操作为所述基础权限信息和所述临时权限信息之间所对应的权限控制范围内的待控制的多个功能应用;
权限控制单元,被配置为执行基于所述目标权限控制模式,对所述用户账户在所述业务平台系统中执行所述多个功能操作时进行权限控制。
9.一种服务器,其特征在于,包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令,以实现如权利要求1至7中任一项所述的用户账户的权限控制方法。
10.一种计算机可读存储介质,所述计算机可读存储介质中包括计算机程序,其特征在于,当所述计算机程序由服务器的处理器执行时,使得所述服务器能够执行如权利要求1至7中任一项所述的用户账户的权限控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310708899.1A CN116800490A (zh) | 2023-06-14 | 2023-06-14 | 用户账户的权限控制方法、装置、服务器和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310708899.1A CN116800490A (zh) | 2023-06-14 | 2023-06-14 | 用户账户的权限控制方法、装置、服务器和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116800490A true CN116800490A (zh) | 2023-09-22 |
Family
ID=88034064
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310708899.1A Pending CN116800490A (zh) | 2023-06-14 | 2023-06-14 | 用户账户的权限控制方法、装置、服务器和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116800490A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117077210A (zh) * | 2023-10-17 | 2023-11-17 | 北京德奕歆科技有限公司 | 一种财务数据查询方法及系统 |
-
2023
- 2023-06-14 CN CN202310708899.1A patent/CN116800490A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117077210A (zh) * | 2023-10-17 | 2023-11-17 | 北京德奕歆科技有限公司 | 一种财务数据查询方法及系统 |
CN117077210B (zh) * | 2023-10-17 | 2024-01-23 | 北京德奕歆科技有限公司 | 一种财务数据查询方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220272097A1 (en) | Systems and methods for delegating access to a protected resource | |
US10326795B2 (en) | Techniques to provide network security through just-in-time provisioned accounts | |
US9021594B2 (en) | Intelligent risk level grouping for resource access recertification | |
US10225245B2 (en) | Identity infrastructure as a service | |
US7529931B2 (en) | Managing elevated rights on a network | |
US10033763B2 (en) | Centralized mobile application management system and methods of use | |
US11290446B2 (en) | Access to data stored in a cloud | |
US20150074774A1 (en) | System, apparatus, and method for a unified identity wallet | |
US11870882B2 (en) | Data processing permits system with keys | |
US20190297147A1 (en) | Application-specific session authentication | |
US11157643B2 (en) | Systems and methods for delegating access to a protected resource | |
CN116800490A (zh) | 用户账户的权限控制方法、装置、服务器和存储介质 | |
Buecker et al. | Enterprise Single Sign-On Design Guide Using IBM Security Access Manager for Enterprise Single Sign-On 8.2 | |
CN115766296B (zh) | 用户账户的权限控制方法、装置、服务器和存储介质 | |
CA3018916A1 (en) | Systems and methods for delegating access to a protected resource | |
WO2019006174A2 (en) | ACCESS POLICIES BASED ON EXTENDED HDFS ATTRIBUTES | |
US20200322342A1 (en) | Identity attribute confidence scoring while certifying authorization claims | |
US20170201515A1 (en) | Dental wedge | |
US11729179B2 (en) | Systems and methods for data driven infrastructure access control | |
EP3975015B1 (en) | Applet package sending method and device and computer readable medium | |
CN114253660A (zh) | 授权用户数据处理器访问用户数据的容器的系统和方法 | |
US20230370473A1 (en) | Policy scope management | |
US20240179147A1 (en) | Adaptive authentication for access to secure network resources | |
Kuppusamy et al. | Design and development of multi-tenant web framework |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |