WO2019011304A1

WO2019011304A1 - 基于角色获取的表单数据的授权方法

Info

Publication number: WO2019011304A1
Application number: PCT/CN2018/095513
Authority: WO
Inventors: 陈达志
Original assignee: 成都牵牛草信息技术有限公司
Priority date: 2017-07-13
Filing date: 2018-07-12
Publication date: 2019-01-17
Also published as: MX2020000428A; US11586758B2; US20200143077A1; PE20200327A1; JP2020528602A; JP7475608B2; EP3654161A4; CN109032458A; ZA202000192B; AU2018301114A1; PH12020500089A1; CO2020000216A2; KR20200023467A; EP3654161A1; CA3069601A1; EA202090284A1; BR112020000659A2; CN109032458B; CN107340951A

Abstract

本发明公开了一种基于角色获取的表单数据的授权方法，包括：选择一个或多个被授权对象；选择一个表单，显示用于表单数据查找的被授权字段；显示系统中的所有角色，定义需要用于表单数据查找的角色为目标角色，分别为每个目标角色选择一个目标对象，目标对象为当前对象、历史对象或所有对象；定义一个目标角色及其目标对象中的一个用户或员工构成一个限定值；对每个被授权字段的每个目标角色，分别获取所述表单中该被授权字段的字段值包括该目标角色的任何一个限定值的表单数据的集合，对该集合进行操作权限授权。本发明实现了表单数据的动态授权，在员工离职、调岗和入职时能够自动地进行相关权限调整，减少了授权操作的工作量且不容易出错。

Description

基于角色获取的表单数据的授权方法

技术领域

本发明涉及ERP等管理软件系统的表单生成/授权方法，特别是涉及一种基于角色获取的表单数据的授权方法。

背景技术

基于角色的访问控制（RBAC）是近年来研究最多、思想最成熟的一种数据库权限管理机制，它被认为是替代传统的强制访问控制（MAC）和自主访问控制（DAC）的理想候选。基于角色的访问控制（RBAC）的基本思想是根据企业组织视图中不同的职能岗位划分不同的角色，将数据库资源的访问权限封装在角色中，用户通过被赋予不同的角色来间接访问数据库资源。

在大型应用系统中往往都建有大量的表和视图，这使得对数据库资源的管理和授权变得十分复杂。由用户直接管理数据库资源的存取和权限的收授是十分困难的，它需要用户对数据库结构的了解非常透彻，并且熟悉SQL语言的使用，而且一旦应用系统结构或安全需求有所变动，都要进行大量复杂而繁琐的授权变动，非常容易出现一些意想不到的授权失误而引起的安全漏洞。因此，为大型应用系统设计一种简单、高效的权限管理方法已成为系统和系统用户的普遍需求。

基于角色的权限控制机制能够对系统的访问权限进行简单、高效的管理，极大地降低了系统权限管理的负担和代价，而且使得系统权限管理更加符合应用系统的业务管理规范。

然而，传统基于角色的用户权限管理方法均采用“角色对用户一对多”的关联机制，其“角色”为组/类性质，即一个角色可以同时对应/关联多个用户，角色类似于岗位/职位/工种等概念，这种关联机制下对用户权限的授权基本分为以下三种形式：1、如图1所示，直接对用户授权，缺点是工作量大、操作频繁且麻烦；2、如图2所示，对角色（类/组/岗位/工种性质）进行授权（一个角色可以关联多个用户），用户通过角色获得权限；3、如图3所示，以上两种方式结合。

以上的表述中，2、3均需要对类/组性质的角色进行授权，而通过类/组/岗位/工种性质的角色进行授权的方式有以下缺点：1、用户权限变化时的操作难：在实际的系统使用过程中，经常因为在运营过程中需要对用户的权限进行调整，比如：在处理员工权限变化的时候，角色关联的某个员工的权限发生变化，我们不能因该个别员工权限的变化而改变整个角色的权限，因为该角色还关联了其他权限未变的员工。因此为了应对该种情况，要么创建新角色来满足该权限发生变化的员工，要么对该员工根据权限需求直接授权（脱离角色）。以上两种处理方式，在角色权限较多的情况下对角色授权不仅所需时间长，而且容易犯错，使用方操作起来繁琐又麻烦，也容易出错导致对系统使用方的损失。

2、要长期记住角色包含的具体权限难：若角色的权限功能点比较多，时间一长，很难记住角色的具体权限，更难记住权限相近的角色之间的权限差别，若要关联新的用户，无法准确判断应当如何选择关联。

3、因为用户权限变化，则会造成角色创建越来越多（若不创建新角色，则会大幅增加直接对用户的授权），更难分清各角色权限的具体差别。

4、调岗时，若要将被调岗用户的很多个权限分配给另外几个用户承担，则处理时必须将被调岗用户的这些权限区分开来，分别再创建角色来关联另外几个用户，这样的操作不仅复杂耗时，而且还很容易发生错误。

传统的员工性质字段对表单数据进行授权控制，若员工数量较多（比如有500员工），随时都有员工离职、入职、调岗等情况在不断的动态发生，从而导致授权操作非常繁杂，工作量巨大；且在员工离职、入职和调岗的情况下，需要对原来相关的授权进行修改，使得授权的工作量巨大、繁杂、容易出错。

传统的以用户性质字段对表单数据进行授权控制，由于传统的系统并没有对用户与员工的关系建立固化的一对一关系，存在多个员工可以用同一个用户登录系统的情况，在表单数据保存时，其用户性质字段的字段值只能记录操作用户，但是该操作用户对应的员工是张三还是李四却无法准确地进行区分记载，导致后续查看数据时要想清楚准确的知道该操作用户对应的员工则很难。

传统的授权方式无法动态的授权只看某些岗位号上现在的员工/用户的相关工作，而不能看这些岗位号上历史员工/用户的相关工作；或相反，授权动态的只看某些岗位号上的历史员工/用户的相关工作，而不能看这些岗位号上现在的员工/用户的相关工作。

技术问题

本发明的目的在于克服现有技术的不足，提供一种基于角色获取的表单数据的授权方法，实现了表单数据的动态授权，在员工离职、调岗和入职时能够自动地进行相关权限调整，减少了授权操作的工作量且不容易出错。

技术解决方案

本发明的目的是通过以下技术方案来实现的：基于角色获取的表单数据的授权方法，包括：

（1）选择一个或多个被授权对象；

（2）选择一个表单，显示用于表单数据查找的被授权字段，所述被授权字段为字段值包括用户或员工的字段；

（3）分别为每个被授权字段进行授权：显示系统中的所有角色，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；定义需要用于表单数据查找的角色为目标角色，一个目标角色对应一个角色；分别为每个目标角色选择一个目标对象，所述目标对象为当前对象、历史对象或所有对象，所述当前对象为该角色当前关联的用户或该用户对应的员工，所述历史对象为该角色关联过的所有用户中除当前关联的用户外的全部用户或其对应的员工，所述所有对象为该角色关联过的所有用户或其对应的员工；

（4）对每个被授权字段的每个目标角色，分别获取所述表单中该被授权字段的字段值包括该目标角色的目标对象的任何一个用户或员工的表单数据的集合，对该集合进行操作权限授权。

步骤（2）、（3）、（4）顺序执行，步骤（1）可在步骤（2）之前执行或在步骤（2）与步骤（3）之间执行或在步骤（3）与步骤（4）之间执行或在步骤（4）之后执行。

基于角色获取的表单数据的授权方法，包括：

（1）选择一个或多个被授权对象；

（2）选择一个表单，显示用于表单数据查找的被授权字段，所述被授权字段为字段值包括角色和用户、或角色和员工的字段；

（3）分别为每个被授权字段进行授权：显示系统中的所有角色，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；定义需要用于表单数据查找的角色为目标角色，一个目标角色对应一个角色；分别为每个目标角色选择一个目标对象，所述目标对象为当前对象、历史对象或所有对象，所述当前对象为该角色当前关联的用户或该用户对应的员工，所述历史对象为该角色关联过的所有用户中除当前关联的用户外的全部用户或其对应的员工，所述所有对象为该角色关联过的所有用户或其对应的员工；定义一个目标角色及该目标角色的目标对象中的一个用户或员工构成该目标角色的一个限定值；

（4）对每个被授权字段的每个目标角色，分别获取所述表单中该被授权字段的字段值包括该目标角色的任何一个限定值的表单数据的集合，对该集合进行操作权限授权。

优选的，所述操作权限包括对表单数据进行查看、修改、新增、删除和打印中的一种或多种操作。

优选的，所述用户通过其与角色的关联确定（获得）权限，一个员工对应一个用户，一个用户对应一个员工。

优选的，所述角色归属于部门，根据角色的工作内容对角色进行授权，且该角色的名称在该部门下唯一，该角色的编号在系统中唯一。

优选的，所述用户跨部门调岗时，取消用户与原部门内的角色的关联，将用户与新部门内的角色进行关联。

优选的，显示系统中的所有角色时显示空值选项，若选择空值选项则对所述表单中被授权字段的字段值为空值的表单数据进行操作权限授权。

优选的，显示系统中的所有角色时显示不受限选项，若选择不受限选项则对所述表单中被授权字段的字段值为任何值的表单数据进行操作权限授权。

优选的，所述被授权对象包括人、用户、组、类、角色中的一种或多种，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色。

基于角色获取的表单数据的授权方法，包括：

（1）选择一个或多个被授权对象；

（2）选择一个表单，显示用于表单数据查找的被授权字段，所述被授权字段为字段值包括角色的字段，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；

（3）分别为每个被授权字段进行授权：显示系统中的所有角色，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；定义需要用于表单数据查找的角色为目标角色，一个目标角色对应一个角色；对每个被授权字段的每个目标角色，分别获取所述表单中该被授权字段的字段值包括该目标角色的表单数据的集合，对该集合进行操作权限授权。

步骤（2）、（3）顺序执行，步骤（1）可在步骤（2）之前执行或在步骤（2）与步骤（3）之间执行或在步骤（3）之后执行。

有益效果

本发明的有益效果是：（1）本发明实现了表单数据的动态授权，在员工离职、调岗和入职等情况下能够自动地进行相关权限调整，减少了授权操作的工作量且不容易出错；例如，授权销售一部的主管1查看（以报销人查看）该部门下当前在某个岗位号上的员工的个人报销单，若该岗位号现在关联的员工张三被李四替换后，则自动只能查看该岗位号最新关联的员工李四（报销人为李四）的个人报销单，自动不能进行查看该岗位号原来关联的员工张三（报销人为张三）的个人报销单；又例如，对公司的内务监管员1只授权查看（以报销人查看）某个岗位号的历史关联人的个人报销单，用于该岗位号曾经关联过的所有员工（不包括当前关联的员工）的相关分析，若该岗位号现在的关联员工张三不再从事该岗位号的工作（张三与该岗位号/角色取消关联），则内务监管员1能够自动查看张三的个人报销单并进行相关分析；又例如，公司的总经理1要授权查看（以报销人查看）某个岗位号的所有关联员工的个人报销单，若该岗位号现在关联的员工张三被李四替换后，则总经理1自动能够查看李四的个人报销单（张三的也能够查看）。

传统的授权方法复杂，无法实现将当前岗位号的在岗人、该岗位号曾经工作过的人或该岗位号上所有工作过的人对应的数据以一种集合的范式进行授权，更无法实现自动的动态化；而本发明通过当前对象、历史对象和所有对象的方式可以简单快捷地实现以集合方式进行授权，且能够实现自动的动态对应功能。

（2）本发明中的角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色，一个用户关联一个员工，一个员工关联一个用户；在企事业单位的运营过程中，角色变化很小，甚至在一个较长的时间段内角色不会发生变化；在有员工离职、调岗和入职时，只需要进行相关角色的取消关联或进行新角色关联即可完成授权，授权操作简单、方便、高效，极大地提高了授权效率。

（3）本发明通过角色和角色关联的用户、角色和角色关联的用户对应的员工来获取需要授权的表单数据，可以在对表单数据进行授权时有效区分一个员工的不同职责的权限；例如，张三当前关联了飞机事业部下的角色1和家电事业部下的角色2，现需对家电事业部的经理1对张三的家电合同表单的查看权限进行授权，选择合同签订人字段作为被授权字段，若按照传统的基于员工的授权方法为该经理1进行授权，将合同签订人的字段值授权为张三，则该家电事业部的经理1可查看合同签订人为张三的所有家电合同和飞机合同，使得该家电事业部的经理1可查看合同签订人为张三的飞机合同，从而造成飞机合同的信息泄露；而采用本发明的方法为该家电事业部的经理1授权，将合同签订人的字段值授权为张三（角色2），则该家电事业部的经理1只能查看合同签订人为张三（角色2）的家电合同，无法查看合同签订人为张三（角色1）的飞机合同，实现了精细化管理，保证了公司的信息安全。

（4）传统的权限管理机制将角色定义为组、工种、类等性质，角色对用户是一对多的关系，在实际的系统使用过程中，经常因为在运营过程中需要对用户的权限进行调整，比如：在处理员工权限变化的时候，角色关联的某个员工的权限发生变化，我们不能因该个别员工权限的变化而改变整个角色的权限，因为该角色还关联了其他权限未变的员工。因此为了应对该种情况，要么创建新角色来满足该权限发生变化的员工，要么对该员工根据权限需求直接授权（脱离角色）。以上两种处理方式，在角色权限较多的情况下对角色授权不仅所需时间长，而且容易犯错，使用方操作起来繁琐又麻烦，也容易出错导致对系统使用方的损失。

但在本申请的方法下，因为角色是一个独立的个体，则可以选择改变角色权限即可达到目的。本申请的方法，虽然看起来在系统初始化时会增加工作量，但可以通过复制等方法，使其创建角色或授权的效率高于传统以组为性质的角色，因为不用考虑性质为组的角色在满足关联用户时的共通性，本申请方案会让权限设置清晰，明了；尤其是在系统使用一段时间后（用户/角色权限动态变化），该申请方案能为系统使用方大幅度提高系统使用中的权限管理效率，使动态授权更简单，更方便，更清晰、明了，提高权限设置的效率和可靠性。

（5）传统以组为性质的角色授权方法容易出错，本申请方法大幅降低了授权出错的几率，因为本申请方法只需考虑作为独立个体的角色，而不用考虑传统方法下关联该组性质角色的多个用户有哪些共通性。即使授权出错也只影响关联到该角色的那一个用户，而传统以组性质的角色则会影响关联到该角色的所有用户。即使出现权限授权错误，本申请的修正方法简单、时间短，而传统以组性质的角色在修正错误时需要考虑关联到该角色的所有用户的权限共通性，在功能点多的情况下不仅修改麻烦、复杂，非常容易出错，且很多情况下只能新创建角色才能解决。

（6）在传统以组为性质的角色授权方法下，若角色的权限功能点比较多，时间一长，很难记住角色的具体权限，更难记住权限相近的角色之间的权限差别，若要关联新的用户，无法准确判断应当如何选择关联。本申请方法的角色本身就具有岗位号/工位号的性质，选择一目了然。

（7）调岗时，若要将被调岗用户的很多个权限分配给另外几个用户承担，则处理时必须将被调岗用户的这些权限区分开来，分别再创建角色来关联另外几个用户，这样的操作不仅复杂耗时，而且还很容易发生错误。

本申请方法则为：被调岗用户关联了几个角色，在调岗时，首先取消用户与原部门内的角色的关联（被取消的这几个角色可以被重新关联给其他用户），然后将用户与新部门内的角色进行关联即可。操作简单，不会出错。

（8）角色归属于部门，则该角色的部门不能被更换，角色为什么不能更换部门：理由1：因为本申请的角色性质等同于一个工位号/岗位号，不同的工位号/岗位号的工作内容/权限是不一样的，如销售部门下的销售员1角色和技术部门的开发人员1角色是完全不同的两个工位号/岗位号，其权限是不同的；理由2：若将销售员1角色的所属部门（销售部）更换为技术部，其销售人员1这个角色的权限不变，则在技术部存在拥有销售部权限的一个角色，这样会导致管理混乱及安全漏洞。

附图说明

图1为背景技术中系统直接对用户进行授权的方式示意图；

图2为背景技术中系统对组/类性质角色进行授权的方式示意图；

图3为背景技术中系统对用户直接授权和对组/类性质角色授权相结合的方式示意图；

图4为本发明的一种实施方式的流程图；

图5为本发明系统通过独立个体性质角色对用户进行授权的方式示意图；

图6为本发明中一个表单示意图；

图7为本发明的又一种实施方式的流程图；

图8为勾选表头时的表单示意图；

图9为本发明的又种实施方式的流程图；

图10为选择角色进行授权时的一个表单示意图。

本发明的实施方式

下面结合附图进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。

【实施例一】如图4所示，基于角色获取的表单数据的授权方法包括：选择一个或多个被授权对象。所述被授权对象包括人、用户、组、类、角色中的一种或多种。

如图5所示，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色。

所述角色归属于部门，根据角色的工作内容对角色进行授权，且该角色的名称在该部门下唯一，该角色的编号在系统中唯一。所述用户通过其与角色的关联确定（获得）权限，一个员工对应一个用户，一个用户对应一个员工。

角色的定义：角色不具有组/类/类别/岗位/职位/工种等性质，而是一个非集合的性质，角色具有唯一性，角色是独立存在的独立个体；在企事业单位应用中相当于岗位号（此处的岗位号非岗位，一个岗位同时可能有多个员工，而同一时段一个岗位号只能对应一个员工）。

举例：某个公司系统中可创建如下角色：总经理、副总经理1、副总经理2、北京销售一部经理、北京销售二部经理、北京销售三部经理、上海销售工程师1、上海销售工程师2、上海销售工程师3、上海销售工程师4、上海销售工程师5……用户与角色的关联关系：若该公司员工张三任职该公司副总经理2，同时任职北京销售一部经理，则张三需要关联的角色为副总经理2和北京销售一部经理，张三拥有了这两个角色的权限。

传统角色的概念是组/类/岗位/职位/工种性质，一个角色能够对应多个用户。而本申请“角色”的概念相当于岗位号/工位号，也类同于影视剧中的角色：一个角色在同一时段（童年、少年、中年……）只能由一个演员来饰演，而一个演员可能会分饰多角。

所述用户跨部门调岗时，取消用户与原部门内的角色的关联，将用户与新部门内的角色进行关联。在创建角色之后，可以在创建用户的过程中关联角色，也可以在用户创建完成后随时进行关联。用户关联角色后可以随时解除与角色的关联关系，也可以随时建立与其他角色的关联关系。

选择一个表单，显示用于表单数据查找的被授权字段，所述被授权字段为字段值包括用户或员工的字段，如图6，被授权字段为创建人。

分别为每个被授权字段进行授权：显示系统中的所有角色，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；定义需要用于表单数据查找的角色为目标角色，一个目标角色对应一个角色（例如，有5个需要用于表单数据查找的角色，则对应有5个目标角色）；分别为每个目标角色选择一个目标对象，所述目标对象为当前对象、历史对象或所有对象，所述当前对象为该角色当前关联的用户或该用户对应的员工，所述历史对象为该角色关联过的所有用户中除当前关联的用户外的全部用户或其对应的员工，所述所有对象为该角色关联过的所有用户或其对应的员工。

如图6所示，为销售员1（角色）选择当前对象作为目标对象，为销售员2（角色）选择历史对象作为目标对象，为销售员3（角色）选择所有对象作为目标对象。若销售员1当前关联用户A，销售员1以前关联过用户B，则销售员1的目标对象为用户A；销售员2当前关联用户C，销售员2以前关联过用户D和用户E，则销售员2的目标对象为用户D和用户E；销售员3当前关联用户F，销售员3以前关联过用户G，则销售员3的目标对象为用户F和用户G。

对每个被授权字段的每个目标角色，分别获取所述表单中该被授权字段的字段值包括该目标角色的目标对象的任何一个用户或员工的表单数据的集合，对该集合进行操作权限授权。按照上例的目标对象设置，则对合同表单中创建人的字段值包括用户A的表单数据进行操作权限授权，对合同表单中创建人的字段值包括用户D或用户E的表单数据进行操作权限授权，对合同表单中创建人的字段值包括用户F或用户G的表单数据进行操作权限授权。

所述操作权限包括对表单数据进行查看、修改、新增、删除和打印中的一种或多种操作。

【实施例二】如图7所示，基于角色获取的表单数据的授权方法，包括：选择一个或多个被授权对象。所述被授权对象包括人、用户、组、类、角色中的一种或多种，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色。

选择一个表单，显示用于表单数据查找的被授权字段，所述被授权字段为字段值包括角色和用户、或角色和员工的字段；即被授权字既可以是字段值包括角色和用户的字段，也可以是字段值包括角色和员工的字段。

分别为每个被授权字段进行授权：显示系统中的所有角色，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；定义需要用于表单数据查找的角色为目标角色，一个目标角色对应一个角色（例如，有5个需要用于表单数据查找的角色，则对应有5个目标角色）；分别为每个目标角色选择一个目标对象，所述目标对象为当前对象、历史对象或所有对象，所述当前对象为该角色当前关联的用户或该用户对应的员工，所述历史对象为该角色关联过的所有用户中除当前关联的用户外的全部用户或其对应的员工，所述所有对象为该角色关联过的所有用户或其对应的员工；定义一个目标角色及该目标角色的目标对象中的一个用户或员工构成该目标角色的一个限定值，若该目标角色的目标对象中有多个用户或员工，则该目标角色及其目标对象中的用户或员工将构成多个限定值。

例如，目标角色A的目标对象中有用户甲、用户乙和用户丙三个用户，则目标角色A和用户甲构成一个限定值“目标角色A（用户甲）”、目标角色A和用户乙构成一个限定值“目标角色A（用户乙）”、目标角色A和用户丙构成一个限定值“目标角色A（用户丙）”。

在为角色选择目标对象时，若直接选择当前对象、历史对象和所有对象中任意一项的列名（如图8中选择的当前对象），则所有角色（包括后续增加的角色）的目标对象均为所选列名对应的对象（当前对象、历史对象和所有对象中的一种）；例如，图8中，选择了当前对象的列名，则销售员1、销售员2和销售员3等的目标对象都为各自的当前对象。当被授权字段的所有角色（包括后续增加的角色）全为目标角色、且这些目标角色的目标对象的类型相同时（即全为当前对象、全为历史对象或全为所有对象），可以通过选择相应的列名来实现一步选择（选择列名只是一种表现形式，也可以以其他方式实现该表现形式一样的性质），大大减少了为目标角色选择目标对象的工作量，提高了授权操作的效率。

如图6所示，为销售员1选择当前对象作为目标对象，为销售员2选择历史对象作为目标对象，为销售员3选择所有对象作为目标对象。若销售员1当前关联用户A，销售员1以前关联过用户B，则销售员1的目标对象为用户A；销售员2当前关联用户C，销售员2以前关联过用户D和用户E，则销售员2的目标对象为用户D和用户E；销售员3当前关联用户F，销售员3以前关联过用户G，则销售员3的目标对象为用户F和用户G。销售员1和用户A、销售员2和用户D、销售员2和用户E、销售员3和用户F、销售员3和用户G分别构成相应目标角色的一个限定值。

对每个被授权字段的每个目标角色，分别获取所述表单中该被授权字段的字段值包括该目标角色的任何一个限定值的表单数据的集合，对该集合进行操作权限授权。按照上例的目标对象设置，销售员1和用户A构成第一限定值、销售员2和用户D构成第二限定值、销售员2和用户E构成第三限定值、销售员3和用户F构成第四限定值、销售员3和用户G构成第五限定值，则对合同表单中创建人的字段值包括销第一限定值（也可表述为：销售员1（A））的表单数据进行操作权限授权，对合同表单中创建人的字段值包括第二限定值（也可表述为：销售员2（D））或第三限定值（也可表述为：销售员2（E））的表单数据进行操作权限授权，对合同表单中创建人的字段值包括第四限定值（也可表述为：销售员3（F））或第五限定值（也可表述为：销售员3（G））的表单数据进行操作权限授权；如图6所示，则文员1能够对创建人为“销售员1（A）”的合同进行查看（若销售员1这个角色关联的用户由A更换为K，更换后，则自动的文员1能够对创建人为“销售员1（K）”的合同进行查看，不能对创建人为“销售员1（A）”的合同进行查看，因为A在被更换关联角色后，成为了销售员1的历史关联用户），文员1能够对创建人为“销售员2（D）”和“销售员2（E）”的合同进行查看，文员1能够对创建人为“销售员3（F）”和“销售员3（G）”的合同进行修改。

在另一种实施方式中，显示系统中的所有角色时显示空值选项和不受限选项，若选择空值选项则对所述表单中被授权字段的字段值为空值的表单数据进行操作权限授权，若选择不受限选项则对所述表单中被授权字段的字段值为任何值（包括空值）的表单数据进行操作权限授权。本发明设有不受限选项，若选择不受限选项则对所述表单中被授权字段的字段值为任何值的表单数据进行操作权限授权，提高了对被授权字段的表单数据全部具有操作权限的被授权对象的授权效率。

当被授权对象为一个时，选择一个表单后，显示所述表单中该被授权对象的当前表单操作权限。

【实施例三】如图9所示，基于角色获取的表单数据的授权方法，包括：选择一个或多个被授权对象。所述被授权对象包括人、用户、组、类、角色中的一种或多种，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色。

选择一个表单，显示用于表单数据查找的被授权字段，所述被授权字段为字段值包括角色的字段，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色。

分别为每个被授权字段进行授权：显示系统中的所有角色，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；定义需要用于表单数据查找的角色为目标角色，一个目标角色对应一个角色；对每个被授权字段的每个目标角色，分别获取所述表单中该被授权字段的字段值包括该目标角色的表单数据的集合，对该集合进行操作权限授权。如图10所示，被授权字段“创建人”下有目标角色“销售员1、销售员2、销售员3”；获取创建人为销售员1的表单数据的集合，并对该集合进行查看权限授权；获取创建人为销售员2的表单数据的集合，并对该集合进行查看权限授权；获取创建人为销售员3的表单数据的集合，并对该集合进行修改权限授权。

以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。

Claims

基于角色获取的表单数据的授权方法，其特征在于，包括：

选择一个或多个被授权对象；

选择一个表单，显示用于表单数据查找的被授权字段，所述被授权字段为字段值包括用户或员工的字段；

分别为每个被授权字段进行授权：显示系统中的所有角色，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；定义需要用于表单数据查找的角色为目标角色，一个目标角色对应一个角色；分别为每个目标角色选择一个目标对象，所述目标对象为当前对象、历史对象或所有对象，所述当前对象为该角色当前关联的用户或该用户对应的员工，所述历史对象为该角色关联过的所有用户中除当前关联的用户外的全部用户或其对应的员工，所述所有对象为该角色关联过的所有用户或其对应的员工；

对每个被授权字段的每个目标角色，分别获取所述表单中该被授权字段的字段值包括该目标角色的目标对象的任何一个用户或员工的表单数据的集合，对该集合进行操作权限授权。
基于角色获取的表单数据的授权方法，其特征在于，包括：

选择一个或多个被授权对象；

选择一个表单，显示用于表单数据查找的被授权字段，所述被授权字段为字段值包括角色和用户、或角色和员工的字段；

分别为每个被授权字段进行授权：显示系统中的所有角色，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；定义需要用于表单数据查找的角色为目标角色，一个目标角色对应一个角色；分别为每个目标角色选择一个目标对象，所述目标对象为当前对象、历史对象或所有对象，所述当前对象为该角色当前关联的用户或该用户对应的员工，所述历史对象为该角色关联过的所有用户中除当前关联的用户外的全部用户或其对应的员工，所述所有对象为该角色关联过的所有用户或其对应的员工；定义一个目标角色及该目标角色的目标对象中的一个用户或员工构成该目标角色的一个限定值；

对每个被授权字段的每个目标角色，分别获取所述表单中该被授权字段的字段值包括该目标角色的任何一个限定值的表单数据的集合，对该集合进行操作权限授权。
根据权利要求2所述的基于角色获取的表单数据的授权方法，其特征在于，所述操作权限包括对表单数据进行查看、修改、新增、删除和打印中的一种或多种操作。
根据权利要求2所述的基于角色获取的表单数据的授权方法，其特征在于，所述用户通过其与角色的关联确定权限，一个员工对应一个用户，一个用户对应一个员工。
根据权利要求2所述的基于角色获取的表单数据的授权方法，其特征在于，所述角色归属于部门，根据角色的工作内容对角色进行授权，且该角色的名称在该部门下唯一，该角色的编号在系统中唯一。
根据权利要求5所述的基于角色获取的表单数据的授权方法，其特征在于，所述用户跨部门调岗时，取消用户与原部门内的角色的关联，将用户与新部门内的角色进行关联。
根据权利要求2所述的基于角色获取的表单数据的授权方法，其特征在于，显示系统中的所有角色时显示空值选项，若选择空值选项则对所述表单中被授权字段的字段值为空值的表单数据进行操作权限授权。
根据权利要求2所述的基于角色获取的表单数据的授权方法，其特征在于，显示系统中的所有角色时显示不受限选项，若选择不受限选项则对所述表单中被授权字段的字段值为任何值的表单数据进行操作权限授权。
根据权利要求2所述的基于角色获取的表单数据的授权方法，其特征在于，所述被授权对象包括人、用户、组、类、角色中的一种或多种，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色。
基于角色获取的表单数据的授权方法，其特征在于，包括：

选择一个或多个被授权对象；

选择一个表单，显示用于表单数据查找的被授权字段，所述被授权字段为字段值包括角色的字段，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；

分别为每个被授权字段进行授权：显示系统中的所有角色，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；定义需要用于表单数据查找的角色为目标角色，一个目标角色对应一个角色；对每个被授权字段的每个目标角色，分别获取所述表单中该被授权字段的字段值包括该目标角色的表单数据的集合，对该集合进行操作权限授权。