CN116805070B - 基于多组织架构的用户权限融合方法、系统及装置 - Google Patents
基于多组织架构的用户权限融合方法、系统及装置 Download PDFInfo
- Publication number
- CN116805070B CN116805070B CN202311068266.5A CN202311068266A CN116805070B CN 116805070 B CN116805070 B CN 116805070B CN 202311068266 A CN202311068266 A CN 202311068266A CN 116805070 B CN116805070 B CN 116805070B
- Authority
- CN
- China
- Prior art keywords
- authority
- user
- organization
- rights
- reverse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007500 overflow downdraw method Methods 0.000 title claims abstract description 12
- 230000008520 organization Effects 0.000 claims abstract description 146
- 230000004927 fusion Effects 0.000 claims abstract description 41
- 238000004364 calculation method Methods 0.000 claims abstract description 38
- 230000003068 static effect Effects 0.000 claims abstract description 20
- 238000000034 method Methods 0.000 claims abstract description 11
- 230000000694 effects Effects 0.000 claims abstract description 7
- 230000015654 memory Effects 0.000 claims description 13
- 230000003993 interaction Effects 0.000 claims description 7
- 230000006870 function Effects 0.000 claims description 4
- 238000013475 authorization Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 abstract description 18
- 238000013523 data management Methods 0.000 abstract description 3
- 238000012423 maintenance Methods 0.000 description 10
- 238000011161 development Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000010200 validation analysis Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000013508 migration Methods 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种基于多组织架构的用户权限融合方法、系统及装置,涉及计算机权限管理技术领域,方法主要包括:基于组织信息及业务应用信息,构建多个组织及业务应用;在组织内部构建组织单元;在组织单元内部构建岗位;在组织内部构建用户账号;将权限与用户账号进行静态配置;接收用户登录系统请求,静态配置生效同时将用户权限及角色权限绑定至该用户;接收用户进入某业务应用请求,绑定该业务应用的组织权限及岗位权限至该用户;基于权限的优先级,对各种权限进行融合计算,得到该用户的真实生效权限。本方案可高效处理多组织架构的用户权限问题,节约系统成本,便于数据管理,有效避免权限杂乱及权限冲突问题。
Description
技术领域
本发明涉及计算机权限管理技术领域,尤其是涉及一种基于多组织架构的用户权限融合方法、系统及装置。
背景技术
目前,数据烟囱、信息孤岛和碎片化应用比比皆是。不同的业务系统仅仅维护自己独立的组织和权限信息,每个业务系统均采用单体组织管理模式,不同的组织单元根据上下级关系组成一棵树形结构的组织树,用户和岗位关联到组织树的单一组织单元下,从而建立组织、岗位、用户的关系,用户权限基于单组织模型进行控制。
但是,当系统逐渐扩大,业务范围增加后,诸多业务系统根据其自身特点,同样的用户在不同业务系统中所处的组织单位及岗位职责不尽相同,在不同组织单位及岗位下拥有的权限亦不相同。通过多套独立的业务系统分别维护系统内的组织、岗位及权限,这种方式将会导致高昂的开发成本及维护成本、巨大的基础数据冗余以及跨组织权限难以控制的问题。
发明内容
本发明的目的在于提供一种基于多组织架构的用户权限融合方法、系统及装置,以解决现有技术中存在的至少一种上述技术问题。
第一方面,为解决上述技术问题,本发明提供一种基于多组织架构的用户权限融合方法,包括:
步骤1、基于组织信息及业务应用信息,构建多个组织及业务应用,不同组织之间数据相互独立;所述业务应用可引用若干个组织;所述组织的结构包括树形结构或矩形结构;所述树形结构为上下级结构;所述矩形结构为平级结构;所述组织信息包括组织单元信息、结构信息及岗位信息;
步骤2、基于组织单元信息及结构信息,在组织内部构建组织单元;基于岗位信息,在组织单元内部构建岗位,同一岗位仅归属于一个组织单元;基于用户信息,在组织内部构建用户账号;同一用户账号可归属于若干个组织单元,同一用户账号可任职于其所归属的组织单元下的岗位;
步骤3、通过用户账号授权,将权限与用户账号进行静态配置;所述权限按照种类划分为用户权限、角色权限、岗位权限及组织权限;所述权限按照效果划分为正向权限和反向权限,所述正向权限(或称白名单)表示允许使用,所述反向权限(或称黑名单)表示禁止使用;所述权限按照对象划分为功能权限和数据权限:所述功能权限包括菜单、按钮、页面等功能资源集合,该权限的粒度等级分为应用、页面、区块及按钮等;所述数据权限包括数据资源表中的行列范围集合,该权限的粒度等级分为数据库、数据表及行列等;
步骤4、接收用户登录系统请求,若符合登录条件,则判定为成功登录系统,静态配置生效同时将用户权限及角色权限绑定至该用户,从而保证权限的实时性;
步骤5、接收用户进入某业务应用请求,若符合进入条件,则判定为成功进入该业务应用,并确定该业务应用所引用的组织;基于所述组织,确定该用户在该组织中所归属的组织单元,绑定该组织单元的组织权限至该用户;基于所述组织单元,确定该用户所任职的岗位,绑定该岗位的岗位权限至该用户;
步骤6、基于权限的优先级,对各种权限进行融合计算,得到该用户的真实生效权限。
通过上述步骤,可以对多个组织下的不同数据进行权限统一管控,总体开发及维护成本低,有效避免了数据冗余。
在一种可行的实施方式中,所述步骤3中的用户权限,包括正向权限+UP及反向权限-UP,所述用户权限符合权限模型,例如访问控制列表模型(Access Control List,简称ACL),属于现有技术,可以将一定范围内的权限直接与用户进行绑定。
在一种可行的实施方式中,所述步骤3中的角色权限,包括正向权限+RP及反向权限-RP,所述角色权限符合权限模型,例如基于角色的访问控制模型(Role-Based AccessControl,简称RBAC),属于现有技术,可以将一定范围的权限赋给角色,然后用户与角色绑定,从而拥有角色所包含权限;这样便于对该类权限进行统一管理,修改角色权限就可以大面积修改用户的权限,从而避免逐一对用户权限进行修改。
在一种可行的实施方式中,所述步骤3中的岗位权限,包括正向权限+PP及反向权限-PP,通过权限模型将一定范围的权限先赋给某个角色,再将岗位与该角色进行关联,当用户任职于该岗位时,该用户同时与该角色绑定,从而绑定了该岗位的权限;这样可以通过角色权限的方式配置岗位权限,同样便于对该类权限进行统一管理。
在一种可行的实施方式中,所述步骤3中的组织权限,包括正向权限+OP及反向权限-OP,将一定范围内的权限赋给某个组织单元,当用户归属于该组织单元时,该用户绑定该组织单元的组织权限;这样便于确定组织权限。
在一种可行的实施方式中,所述步骤6中,当权限的优先级相同时,融合计算遵循反向权限优先原则,所述反向权限优先原则是指针对某一功能或数据,不同种类权限中同时存在正向权限与反向权限时,则反向权限有效,这样可以有效避免优先级相同时的权限冲突问题。
在一种可行的实施方式中,所述步骤6中,当权限的优先级相同时,基于反向权限优先原则,融合计算的具体计算公式可以为:
;
其中,P表示用户的真实生效权限;~表示取非;
这样可以快速得到优先级相同条件下,用户的真实生效权限。
在一种可行的实施方式中,所述步骤6中,当权限的优先级不相同时,融合计算的具体计算公式可以为:
;
特别的,若某个种类权限不存在时,移除该公式中相应参数即可;
特别的,优先级大小顺序可以是:组织权限>岗位权限>角色权限>用户权限;
这样可以快速得到优先级不相同条件下,用户的真实生效权限。
第二方面,基于相同的发明构思,本申请还提供了一种基于多组织架构的用户权限融合系统,包括数据接收模块、用户交互模块、组织模块、业务应用模块、权限静态配置模块及权限融合计算模块:
所述数据接收模块,用于接收组织信息、业务应用信息及用户信息;所述组织信息包括组织单元信息、结构信息及岗位信息;
所述用户交互模块,用于接收用户请求,所述用户请求包括登录系统请求及进入某业务应用请求;
所述组织模块,基于所述组织信息及用户信息,构建多个组织,所述组织包括若干个组织单元及用户账号,所述组织单元包括若干个岗位;
所述业务应用模块,基于所述业务应用信息,构建多个业务应用;所述业务应用可引用若干个所述组织;
所述权限静态配置模块,将权限与用户账号进行静态配置,所述权限按照种类划分为用户权限、角色权限、岗位权限及组织权限,所述权限按照效果划分为正向权限和反向权限,所述权限按照对象划分为功能权限和数据权限;对所述登录系统请求进行判定,若成功登录系统则静态配置生效同时确定相应的用户权限及角色权限;对所述进入某业务应用请求进行判定,若成功进入该业务应用则确定相应的组织权限及岗位权限;
所述权限融合计算模块,基于权限的优先级,对各种权限进行融合计算,得到该用户的真实生效权限。
第三方面,基于相同的发明构思,本申请还提供了一种基于多组织架构的用户权限融合装置,包括处理器、存储器及总线,所述存储器存储可由处理器读取的指令及数据,所述处理器用于调用所述存储器中的指令及数据,以执行如上所述的任一一种基于多组织架构的用户权限融合方法,所述总线连接各功能部件之间传送信息。
采用上述技术方案,本发明具有如下有益效果:
本发明提供的一种基于多组织架构的用户权限融合方法、系统及装置,可采用一套系统同时管控多个组织、岗位、用户及权限,软件开发成本及后续运维成本低,有效避免软件的重复开发及维护,且后续新增业务应用均可基于该系统进行开发,节省新增应用系统的开发成本;有效避免数据的冗余存储及管理,不存在数据一致性差的问题,有利于数据维护及数据迁移,便于数据管理;可以对多套组织及用户进行统一的权限融合及管控,从而有效避免权限杂乱及权限冲突问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于多组织架构的用户权限融合方法流程图;
图2为本发明实施例提供的组织与业务应用之间关系的举例图;
图3为本发明实施例提供的组织内部关系的举例图;
图4为本发明实施例提供的用户、组织、岗位、角色及权限之间关系的示意说明图;
图5为本发明实施例提供的一种基于多组织架构的用户权限融合系统图;
图6为本发明实施例提供的用户权限范围颜色表示示意图;
图7为本发明实施例提供的优先级相同时权限范围示意图;
图8为本发明实施例提供的优先级不同时权限范围示意图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
为了便于理解本发明各实施例,先就本发明思路做简要介绍如下:
为解决背景技术中开发成本及维护成本高、基础数据冗余大以及跨组织权限难以控制的问题,本发明采用一套系统同时管控多个组织、岗位、用户及权限,这样可有效降低软件开发成本及后续运维成本,而且还可以避免软件的重复开发及维护,并且后续新增业务应用均可基于该系统进行开发,从而进一步节省了新增应用系统的开发成本;同时,有效避免数据的冗余存储及管理,不存在数据一致性差的问题,有利于数据维护及数据迁移,便于数据管理;通过基于优先级的权限融合计算,可以对多套组织及用户进行统一的权限融合及管控,从而有效避免权限杂乱及权限冲突问题。
下面结合具体的实施方式对本发明做进一步的解释说明。
还需要说明的是,下述具体实施例或具体实施方式,是本发明为进一步解释具体的发明内容而列举的一系列优化的设置方式,而该些设置方式之间均是可以相互结合或者相互关联使用的。
实施例一:
如图1所示,本实施例提供的一种基于多组织架构的用户权限融合方法,包括:
步骤1、基于组织信息及业务应用信息,构建多个组织及业务应用,不同组织之间数据相互独立;所述业务应用可引用若干个组织;所述组织的结构包括树形结构或矩形结构;所述树形结构为上下级结构;所述矩形结构为平级结构;所述组织信息包括组织单元信息、结构信息及岗位信息;例如,所述组织可以是人力组织树及项目组织树等,所述业务应用可以是人力资源管理应用、某项目跟踪应用及某某项目管理应用等,所述人力资源管理应用引用人力组织树,所述某某项目管理应用引用项目组织,如图2所示;
步骤2、基于组织单元信息及结构信息,在组织内部构建组织单元;基于岗位信息,在组织单元内部构建岗位,同一岗位仅归属于一个组织单元;基于用户信息,在组织内部构建用户账号;同一用户账号可归属于若干个组织单元,同一用户账号可任职于其所归属的组织单元下的岗位;例如,组织单元1及组织单元n1归属于组织,岗位1及岗位2归属于组织单元1,岗位3及岗位n2归属于组织单元n1,用户1归属于组织单元1并任职于岗位1,用户2归属于组织单元1及组织单元n1并任职于岗位2及岗位3,用户3归属于组织单元n1并任职于岗位3,用户N3归属于组织单元n1并任职于岗位n2,如图3所示;
步骤3、通过用户账号授权,将权限与用户账号进行静态配置;
所述权限按照种类划分为用户权限、角色权限、岗位权限及组织权限;这些权限与组织、岗位、角色、用户账号之间的关系可以表示为:组织权限包含于组织中,角色权限包含于角色中,岗位关联角色并将岗位权限通过角色绑定至用户,用户权限包含于用户账号中,如图4所示;
所述权限按照效果划分为正向权限和反向权限,所述正向权限(白名单)表示允许使用,所述反向权限(黑名单)表示禁止使用;
所述权限按照对象划分为功能权限和数据权限:
所述功能权限包括菜单、按钮、页面等功能资源集合,该权限的粒度等级分为应用、页面、区块及按钮;
所述数据权限包括数据资源表中的行列范围集合,该权限的粒度等级分为数据库、数据表及行列;
步骤4、接收用户登录系统请求,若符合登录条件,则成功登录系统,静态配置生效同时将用户权限及角色权限绑定至该用户,从而保证权限的实时性;
步骤5、接收用户进入某业务应用请求,若符合进入条件,则成功进入该业务应用,并确定该业务应用所引用的组织;基于所述组织,确定该用户在该组织中所归属的组织单元,绑定该组织单元的组织权限至该用户;基于所述组织单元,确定该用户所任职的岗位,绑定该岗位的岗位权限至该用户;
步骤6、基于权限的优先级,对各种权限进行融合计算,得到该用户的真实生效权限。
通过上述步骤,可以对多个组织下的不同数据进行权限统一管控,总体开发及维护成本低,有效避免了数据冗余。
进一步地,所述步骤3中的用户权限,包括正向权限+UP及反向权限-UP,所述用户权限符合权限模型,例如访问控制列表模型(Access Control List,简称ACL),属于现有技术,可以将一定范围内的权限直接与用户进行绑定。
进一步地,所述步骤3中的角色权限,包括正向权限+RP及反向权限-RP,所述角色权限符合权限模型,例如基于角色的访问控制模型(Role-Based Access Control,简称RBAC),属于现有技术,可以将一定范围的权限赋给角色,然后用户与角色绑定,从而拥有角色所包含权限;这样便于对该类权限进行统一管理,修改角色权限就可以大面积修改用户的权限,从而避免逐一对用户权限进行修改。
进一步地,所述步骤3中的岗位权限,包括正向权限+PP及反向权限-PP,通过权限模型,例如RBAC模型,将一定范围的权限先赋给某个角色,再将岗位与该角色进行绑定,当用户任职于该岗位时,该用户同时与该角色绑定,从而绑定了该岗位的权限;这样可以通过角色权限的方式配置岗位权限,同样便于对该类权限进行统一管理。
进一步地,所述步骤3中的组织权限,包括正向权限+OP及反向权限-OP,将一定范围内的权限赋给某个组织单元,当用户归属于该组织单元时,该用户绑定该组织单元的组织权限;这样便于确定组织权限。
进一步地,所述步骤6中,当权限的优先级相同时,融合计算遵循反向权限优先原则,所述反向权限优先原则是指针对某一功能或数据,不同种类权限中同时存在正向权限与反向权限时,则反向权限有效,这样可以有效避免优先级相同时的权限冲突问题。
进一步地,所述步骤6中,当权限的优先级相同时,基于反向权限优先原则,融合计算的具体计算公式可以为:
;
其中,P表示用户的真实生效权限;~表示取非;
这样可以快速得到优先级相同条件下,用户的真实生效权限。
进一步地,所述步骤6中,当权限的优先级不相同时,融合计算的具体计算公式可以为:
;
特别的,若某个种类权限不存在时,移除该公式中相应参数即可;
特别的,优先级大小顺序可以是:组织权限>岗位权限>角色权限>用户权限;
这样可以快速得到优先级不相同条件下,用户的真实生效权限。
进一步地,所示真实生效权限包括正向权限范围或无权限。
例如,当某个用户同时授予了组织权限的正向权限和反向权限、岗位权限的正向权限和反向权限,而没有授予角色权限和用户权限,具体权限范围如图6至图8中深色范围所示,无色范围表示无权限。
当四种权限的优先级相同时,通过下式:
;
进行简化可得;
再经融合计算,可得真实生效权限(正向权限)范围,如图7所示。
当四种权限的优先级大小为:组织权限>岗位权限>角色权限>用户权限;通过下式:
;
进行简化可得:;
再经融合计算,可得真实生效权限(正向权限)范围,如图8所示。
特别的,经融合计算后,若真实生效权限的范围为空时,表示无权限。
实施例二:
如图5所示,本实施例提供了一种基于多组织架构的用户权限融合系统,包括数据接收模块、用户交互模块、组织模块、业务应用模块、权限静态配置模块及权限融合计算模块:
所述数据接收模块,用于接收组织信息、业务应用信息及用户信息;所述组织信息包括组织单元信息、结构信息及岗位信息;
所述用户交互模块,用于接收用户请求,所述用户请求包括登录系统请求及进入某业务应用请求;
所述组织模块,基于所述组织信息及用户信息,构建多个组织,所述组织包括若干个组织单元及用户账号,所述组织单元包括若干个岗位;
所述业务应用模块,基于所述业务应用信息,构建多个业务应用;所述业务应用可引用若干个所述组织;
所述权限静态配置模块,将权限与用户账号进行静态配置,所述权限按照种类划分为用户权限、角色权限、岗位权限及组织权限,所述权限按照效果划分为正向权限和反向权限,所述权限按照对象划分为功能权限和数据权限;对所述登录系统请求进行判定,若成功登录系统则静态配置生效同时确定相应的用户权限及角色权限;对所述进入某业务应用请求进行判定,若成功进入该业务应用则确定相应的组织权限及岗位权限;
所述权限融合计算模块,基于权限的优先级,对各种权限进行融合计算,得到该用户的真实生效权限。
实施例三:
本实施例提供了一种基于多组织架构的用户权限融合装置,包括处理器、存储器及总线,所述存储器存储可由处理器读取的指令及数据,所述处理器用于调用所述存储器中的指令及数据,以执行如上所述的任一一种基于多组织架构的用户权限融合方法,所述总线连接各功能部件之间传送信息。
本方案在又一种实施方式下,可以通过设备的方式来实现,该设备可以包括执行上述各个实施方式中各个或几个步骤的相应模块。模块可以是专门被配置为执行相应步骤的一个或多个硬件模块、或者由被配置为执行相应步骤的处理器来实现、或者存储在计算机可读介质内用于由处理器来实现、或者通过某种组合来实现。
处理器执行上文所描述的各个方法和处理。例如,本方案中的方法实施方式可以被实现为软件程序,其被有形地包含于机器可读介质,例如存储器。在一些实施方式中,软件程序的部分或者全部可以经由存储器和/或通信接口而被载入和/或安装。当软件程序加载到存储器并由处理器执行时,可以执行上文描述的方法中的一个或多个步骤。备选地,在其它实施方式中,处理器可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行上述方法之一。
该设备可以利用总线架构来实现。总线架构可以包括任何数量的互连总线和桥接器,这取决于硬件的特定应用和总体设计约束。总线将包括一个或多个处理器、存储器和/或硬件模块的各种电路连接到一起。总线还可以将诸如外围设备、电压调节器、功率管理电路、外部天线等的各种其它电路连接。
总线可以是工业标准体系结构(ISA,Industry Standard Architecture)总线、外部设备互连(PCI,Peripheral Component)总线或扩展工业标准体系结构(EISA,ExtendedIndustry Standard Component)总线等,总线可以分为地址总线、数据总线、控制总线等。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (7)
1.一种基于多组织架构的用户权限融合方法,其特征在于,包括:
步骤1、基于组织信息及业务应用信息,构建多个组织及业务应用,不同组织之间数据相互独立;所述业务应用引用若干个组织;所述组织信息包括组织单元信息、结构信息及岗位信息;
步骤2、基于组织单元信息及结构信息,在组织内部构建组织单元;基于岗位信息,在组织单元内部构建岗位,同一岗位仅归属于一个组织单元;基于用户信息,在组织内部构建用户账号;
步骤3、通过用户账号授权,将权限与用户账号进行静态配置;所述权限按照种类划分为用户权限、角色权限、岗位权限及组织权限;所述权限按照效果划分为正向权限和反向权限;所述正向权限表示允许使用,所述反向权限表示禁止使用;所述用户权限包括正向权限+UP及反向权限-UP;所述角色权限包括正向权限+RP及反向权限-RP;所述岗位权限包括正向权限+PP及反向权限-PP;所述组织权限包括正向权限+OP及反向权限-OP;所述权限按照对象划分为功能权限和数据权限;
步骤4、接收用户登录系统请求,若符合登录条件,则判定为成功登录系统,静态配置生效同时将用户权限及角色权限绑定至该用户;
步骤5、接收用户进入某业务应用请求,若符合进入条件,则判定为成功进入该业务应用,并确定该业务应用所引用的组织;基于所述组织,确定该用户在该组织中所归属的组织单元,绑定该组织单元的组织权限至该用户;基于所述组织单元,确定该用户所任职的岗位,绑定该岗位的岗位权限至该用户;
步骤6、基于权限的优先级,对各种权限进行融合计算,得到该用户的真实生效权限;
当权限的优先级相同时,融合计算遵循反向权限优先原则,所述反向权限优先原则是指针对某一功能或数据,不同种类权限中同时存在正向权限与反向权限时,则反向权限有效;融合计算的具体计算公式为:
;
而当权限的优先级不相同时,优先级大小顺序具体是:组织权限>岗位权限>角色权限>用户权限,则融合计算的具体计算公式为:
;
两公式中,P表示用户的真实生效权限;~表示取非;当某个种类权限不存在时,移除公式中相应参数。
2.根据权利要求1所述的方法,其特征在于,所述步骤3中的用户权限,包括正向权限+UP及反向权限-UP,所述用户权限通过权限模型将一定范围内的权限直接与用户进行绑定。
3.根据权利要求2所述的方法,其特征在于,所述步骤3中的角色权限,包括正向权限+RP及反向权限-RP,所述角色权限通过权限模型将一定范围的权限赋给角色,然后用户与角色绑定。
4.根据权利要求3所述的方法,其特征在于,所述步骤3中的岗位权限,包括正向权限+PP及反向权限-PP,通过权限模型将一定范围的权限先赋给某个角色,再将岗位与该角色进行关联,当用户任职于该岗位时,该用户同时与该角色绑定。
5.根据权利要求4所述的方法,其特征在于,所述步骤3中的组织权限,包括正向权限+OP及反向权限-OP,将一定范围内的权限赋给某个组织单元,当用户归属于该组织单元时,该用户绑定该组织单元的组织权限。
6.一种基于多组织架构的用户权限融合系统,其特征在于,包括数据接收模块、用户交互模块、组织模块、业务应用模块、权限静态配置模块及权限融合计算模块:
所述数据接收模块,用于接收组织信息、业务应用信息及用户信息;所述组织信息包括组织单元信息、结构信息及岗位信息;
所述用户交互模块,用于接收用户请求,所述用户请求包括登录系统请求及进入某业务应用请求;
所述组织模块,基于所述组织信息及用户信息,构建多个组织,所述组织包括若干个组织单元及用户账号,所述组织单元包括若干个岗位;
所述业务应用模块,基于所述业务应用信息,构建多个业务应用;所述业务应用引用若干个所述组织;
所述权限静态配置模块,将权限与用户账号进行静态配置,所述权限按照种类划分为用户权限、角色权限、岗位权限及组织权限,所述权限按照效果划分为正向权限和反向权限;所述正向权限表示允许使用,所述反向权限表示禁止使用;所述用户权限包括正向权限+UP及反向权限-UP;所述角色权限包括正向权限+RP及反向权限-RP;所述岗位权限包括正向权限+PP及反向权限-PP;所述组织权限包括正向权限+OP及反向权限-OP;所述权限按照对象划分为功能权限和数据权限;对所述登录系统请求进行判定,若成功登录系统则静态配置生效同时确定相应的用户权限及角色权限;对所述进入某业务应用请求进行判定,若成功进入该业务应用则确定相应的组织权限及岗位权限;
所述权限融合计算模块,基于权限的优先级,对各种权限进行融合计算,得到该用户的真实生效权限;
当权限的优先级相同时,融合计算遵循反向权限优先原则,所述反向权限优先原则是指针对某一功能或数据,不同种类权限中同时存在正向权限与反向权限时,则反向权限有效;融合计算的具体计算公式为:
;
而当权限的优先级不相同时,优先级大小顺序具体是:组织权限>岗位权限>角色权限>用户权限,则融合计算的具体计算公式为:
;
两公式中,P表示用户的真实生效权限;~表示取非;当某个种类权限不存在时,移除公式中相应参数。
7.一种基于多组织架构的用户权限融合装置,其特征在于,包括处理器、存储器及总线,所述存储器存储可由处理器读取的指令及数据,所述处理器用于调用所述存储器中的指令及数据,以执行如权利要求1~5中任一所述的方法,所述总线连接各功能部件之间传送信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311068266.5A CN116805070B (zh) | 2023-08-24 | 2023-08-24 | 基于多组织架构的用户权限融合方法、系统及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311068266.5A CN116805070B (zh) | 2023-08-24 | 2023-08-24 | 基于多组织架构的用户权限融合方法、系统及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116805070A CN116805070A (zh) | 2023-09-26 |
CN116805070B true CN116805070B (zh) | 2023-11-07 |
Family
ID=88079717
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311068266.5A Active CN116805070B (zh) | 2023-08-24 | 2023-08-24 | 基于多组织架构的用户权限融合方法、系统及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116805070B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104463015A (zh) * | 2014-12-15 | 2015-03-25 | 浪潮通用软件有限公司 | 一种权限管理方法及装置 |
CN104537488A (zh) * | 2014-12-29 | 2015-04-22 | 中国南方电网有限责任公司 | 企业级信息系统功能权限统一管理方法 |
CN112948858A (zh) * | 2021-03-04 | 2021-06-11 | 浪潮云信息技术股份公司 | 一种支持实名制账号权限方法 |
CN112966917A (zh) * | 2021-02-26 | 2021-06-15 | 重庆治略科技有限公司 | 基于关系网络的智能化流程处理系统、装置及方法 |
CN114862375A (zh) * | 2022-07-07 | 2022-08-05 | 巨网云互联(北京)科技股份有限公司 | 人员身份管理方法、装置、终端及存储介质 |
CN116579007A (zh) * | 2023-07-13 | 2023-08-11 | 中国人民解放军国防科技大学 | 细粒度数据访问权限控制方法、装置、设备及存储介质 |
-
2023
- 2023-08-24 CN CN202311068266.5A patent/CN116805070B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104463015A (zh) * | 2014-12-15 | 2015-03-25 | 浪潮通用软件有限公司 | 一种权限管理方法及装置 |
CN104537488A (zh) * | 2014-12-29 | 2015-04-22 | 中国南方电网有限责任公司 | 企业级信息系统功能权限统一管理方法 |
CN112966917A (zh) * | 2021-02-26 | 2021-06-15 | 重庆治略科技有限公司 | 基于关系网络的智能化流程处理系统、装置及方法 |
CN112948858A (zh) * | 2021-03-04 | 2021-06-11 | 浪潮云信息技术股份公司 | 一种支持实名制账号权限方法 |
CN114862375A (zh) * | 2022-07-07 | 2022-08-05 | 巨网云互联(北京)科技股份有限公司 | 人员身份管理方法、装置、终端及存储介质 |
CN116579007A (zh) * | 2023-07-13 | 2023-08-11 | 中国人民解放军国防科技大学 | 细粒度数据访问权限控制方法、装置、设备及存储介质 |
Non-Patent Citations (2)
Title |
---|
一种基于岗位和角色的访问控制模型研究;王涛 等;《计算机应用研究》;1084-1085页 * |
面向BSS系统的权限管理模型研究;刘智琼 等;《广东通信技术》;第16-22页 * |
Also Published As
Publication number | Publication date |
---|---|
CN116805070A (zh) | 2023-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110310205B (zh) | 一种区块链数据监控方法、装置、设备和介质 | |
CA1226370A (en) | Multicomputer network | |
US20110296497A1 (en) | Delegation-Based Authorization | |
US11366912B2 (en) | Context-aware consent management | |
CN102571815B (zh) | 一种电子采购私有云集成erp用户身份认证的方法 | |
CN108449313B (zh) | 电子装置、互联网服务系统风险预警方法及存储介质 | |
WO2020156135A1 (zh) | 一种访问控制策略的处理方法、装置及计算机可读存储介质 | |
CN107465687B (zh) | 一种权限配置的实现方法、装置及终端 | |
CN113254969B (zh) | 业务数据处理方法、装置、电子设备及存储介质 | |
CN112632578A (zh) | 业务系统权限控制方法、装置、电子设备及存储介质 | |
CN116805070B (zh) | 基于多组织架构的用户权限融合方法、系统及装置 | |
CN113890739B (zh) | 跨区块链的认证方法、装置、电子设备及介质 | |
CN114448726A (zh) | 一种基于多重身份的权限管理方法及装置 | |
CN111970162B (zh) | 一种超融合架构下的异构gis平台服务中控系统 | |
US6754658B1 (en) | Database server processing system, method, program and program storage device | |
CN116887264A (zh) | 面向共享卫星的星上多用户接入管控方法、装置和设备 | |
CN111010368A (zh) | 基于认证链的权限认证方法、装置、介质及电子设备 | |
Adaikkalavan et al. | Multilevel secure data stream processing: Architecture and implementation | |
CN114462001A (zh) | 数据访问控制方法、装置、设备、系统及介质 | |
CN112738213A (zh) | 基于区块链的任务需求响应方法、装置、系统及存储介质 | |
CN113342338A (zh) | 职位榜单的生成方法、装置及存储介质 | |
CN111427836A (zh) | 一种总线资源配置调整的异构多核处理器 | |
CN114707179A (zh) | 集群系统的资源授权方法、装置、介质及电子设备 | |
CN112084827B (zh) | 数据处理方法及装置 | |
CN116070196B (zh) | 一种医疗系统的访问权限分配方法、系统及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |