專利名稱:一種實(shí)現(xiàn)權(quán)限管理的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)設(shè)計(jì)與應(yīng)用技術(shù)領(lǐng)域��,特別是涉及一種實(shí)現(xiàn)權(quán) 限管理的方法及系統(tǒng)��。
背景技術(shù):
在互聯(lián)網(wǎng)技術(shù)應(yīng)用中�,給用戶一定的權(quán)限����,也就是解決用戶對(duì)不 同資源的訪問權(quán)限問題。
在企業(yè)管理系統(tǒng)中��,每個(gè)用戶僅僅能看到他/她應(yīng)該看到的資源, 操作他/她應(yīng)該操作的資源�����,這就需要企業(yè)管理系統(tǒng)對(duì)用戶進(jìn)行嚴(yán)格 的資源訪問控制�。基于角色的訪問4空制(Role Based Access Control RBAC )方法是目前公認(rèn)的解決大型企業(yè)的資源訪問控制的有效方法��,
該方法是指應(yīng)用RBAC模型的權(quán)限管理單元配置資源訪問權(quán)限和 為用戶提供資源訪問權(quán)限的查看����,其中為用戶提供資源訪問權(quán)限的查 看是權(quán)限管理的主要內(nèi)容。
它的顯著特點(diǎn)是權(quán)限被賦予角色��,而不是用戶�,當(dāng)一個(gè)角色被指 定給一個(gè)用戶時(shí),此用戶就擁有了該角色所包含的權(quán)限����。因此,在企 業(yè)管理系統(tǒng)里面�����, 一般是采用如下的方法
第一先把權(quán)限賦予職務(wù)����,職務(wù)就是角色�����;
第二員工擔(dān)任一個(gè)或者多個(gè)職務(wù)����,就擁有這些職務(wù)包含的所有權(quán)限�。
但是這種方法的缺點(diǎn)是使權(quán)限跟部門沒有任何關(guān)系的。把權(quán)限 獨(dú)立于部門��,這是不符合實(shí)際情況的����,如有職務(wù)經(jīng)理�,經(jīng)理擁有瀏 覽工作日志的權(quán)限。那么就應(yīng)該1. 部門A的經(jīng)理應(yīng)該^f又僅可以瀏覽部門A下的員工的工作日志�����,
而不能瀏覽部門B的員工的工作日志���。
2. 部門B的經(jīng)理應(yīng)該<義<義可以瀏覽部門B下員工的工作日志�����, 而不能瀏覽部門A的員工的工作日志�����。
但是如果按照基于角色的訪問控制(RBAC)方法�,那么只要是擔(dān) 任經(jīng)理這個(gè)職務(wù)的人都可以瀏覽所有員工的工作日志,那顯然是不符 合實(shí)際情況的����。
職務(wù)是某個(gè)部門下的職務(wù),不存在著一個(gè)沒有部門的職務(wù)�。
發(fā)明內(nèi)容
本發(fā)明為解決上述問題不足之處,提供一種實(shí)現(xiàn)權(quán)限管理的方法�����,
包括如下步驟
第一步�,查詢用戶的角色是否有對(duì)應(yīng)的資源訪問權(quán)限; 第二步���,當(dāng)用戶的角色有對(duì)應(yīng)的資源訪問權(quán)限時(shí)�����,繼續(xù)查詢用戶
是否有對(duì)應(yīng)的查詢條件�;
第三步,當(dāng)用戶沒有對(duì)應(yīng)的資源訪問條件��,則拒絕用戶訪問���; 第四步�,當(dāng)用戶有對(duì)應(yīng)的資源訪問條件����,查詢?cè)撚脩艚巧膶傩?br>
屬于的部門;
第五步����,用戶能夠在對(duì)應(yīng)部門的職務(wù)下有相應(yīng)的權(quán)限。 系統(tǒng)管理員預(yù)先設(shè)置角色與用戶的對(duì)應(yīng)關(guān)系��、角色與具備資源訪 問條件的資源訪問權(quán)限的對(duì)應(yīng)關(guān)系���;
企業(yè)管理員預(yù)選設(shè)置用戶屬于那個(gè)部門的屬性。
所述用戶能夠被賦予一個(gè)或多個(gè)職務(wù)��。
所述用戶能夠被賦予一個(gè)或多個(gè)部門��。 一種實(shí)現(xiàn)權(quán)限管理的系統(tǒng),所述系統(tǒng)包括角色模塊����、權(quán)限模塊、
5查詢模塊��、響應(yīng)模塊以及部門屬性分配模塊��;
其中�����,角色模塊�����,用于存儲(chǔ)設(shè)置的角色���、權(quán)限管理系統(tǒng)外部輸入 的用戶數(shù)據(jù)和角色與用戶的對(duì)應(yīng)關(guān)系����;
權(quán)限模塊���,用于存儲(chǔ)設(shè)置資源訪問條件�����,以及訪問資源權(quán)限與角 色的對(duì)應(yīng)關(guān)系�;
查詢服務(wù)模塊,用于接收用戶訪問資源的請(qǐng)求����,根據(jù)權(quán)限模塊中, 訪問資源權(quán)限與角色的對(duì)應(yīng)關(guān)系�,查詢用戶的角色對(duì)應(yīng)的資源訪問權(quán) 限和用戶對(duì)應(yīng)的資源訪問條件;
響應(yīng)模塊��,用于根據(jù)響應(yīng)發(fā)送允許或拒絕用戶訪問資源��; 部門屬性分配模塊�,用于分配用戶所屬的部門,并保存所述屬性 的數(shù)據(jù)���。
所述系統(tǒng)中還包括資源權(quán)限配置接口 �,該接口提供權(quán)限管理系統(tǒng) 外的配置調(diào)用���,傳輸角色模塊中存儲(chǔ)的角色信息。 本發(fā)明的優(yōu)點(diǎn)
用戶是通過部門的角色關(guān)系來獲取相應(yīng)的權(quán)限���,這個(gè)符合公司 的實(shí)際情況��,有利于公司資源訪問控制���。
圖1是本發(fā)明一種實(shí)現(xiàn)權(quán)限管理的方法的流程圖����; 圖2是本發(fā)明一種實(shí)現(xiàn)權(quán)限管理系統(tǒng)的結(jié)構(gòu)示意圖���。
具體實(shí)施例方式
本發(fā)明的中心思想是��,在企業(yè)管理系統(tǒng)里面�,權(quán)限是有部門屬性 的����。先把權(quán)限賦予角色,用戶擔(dān)任一個(gè)或者多個(gè)某個(gè)部門下的角色�。 用戶通過自己擔(dān)任的部門角色信息進(jìn)而擁有相應(yīng)的權(quán)限。
下面將結(jié)合附圖做詳細(xì)說明��,如圖1所示����, 一種實(shí)現(xiàn)權(quán)限管理的方法��,包括如下步驟 101�,查詢用戶的角色是否有對(duì)應(yīng)的資源訪問權(quán)限�����;當(dāng)用戶的角 色有對(duì)應(yīng)的資源訪問權(quán)限時(shí)��,允許用戶對(duì)資源的訪問�����;
102, 當(dāng)用戶的角色有對(duì)應(yīng)的資源訪問4又限時(shí)����,繼續(xù)查詢用戶是 否有對(duì)應(yīng)的查詢條件;
103, 當(dāng)用戶沒有對(duì)應(yīng)的資源訪問條件�,則拒絕用戶訪問;
104, 當(dāng)用戶有對(duì)應(yīng)的資源訪問條件��,查詢?cè)撚脩艚巧膶傩詫?于的部門�����;
105, 根據(jù)用戶對(duì)應(yīng)部門的職務(wù)�����,對(duì)應(yīng)的資源訪問條件�����,有相應(yīng) 的權(quán)限訪問對(duì)應(yīng)的資源����。
在上述步驟之前,系統(tǒng)管理員預(yù)先設(shè)置角色與用戶的對(duì)應(yīng)關(guān)
系��、角色與具備資源訪問條件的資源訪問權(quán)限的對(duì)應(yīng)關(guān)系�����;而企業(yè)管 理員預(yù)選設(shè)置用戶屬于那個(gè)部門的屬性�。用戶能夠被賦予一個(gè)或多個(gè) 角色。所述用戶能夠被賦予一個(gè)或多個(gè)部門�����。
以下為具體的權(quán)限設(shè)置�、用戶部門設(shè)置以及用戶訪問資源。
1. 設(shè)置職務(wù) 系統(tǒng)管理員登錄Web客戶端。 系統(tǒng)管理員輸入職務(wù)的名稱��,并且選擇一些權(quán)限�。 權(quán)限模塊記錄職務(wù)以及這個(gè)職務(wù)對(duì)應(yīng)的權(quán)限。
2. 給用戶設(shè)置(部門���,職務(wù)) 系統(tǒng)管理員登錄Web客戶端���。
系統(tǒng)管理員可以修改用戶所在的部門和職務(wù);也可以修改用戶 的兼職信息��,兼職就是指用戶在別的部門擔(dān)任的職務(wù)���。
7權(quán)限模塊記錄用戶所在的部門和職務(wù)���,也記錄用戶的兼職信息。
3.用戶訪問資源
用戶登錄Web客戶端����。
查詢服務(wù)模塊讀取職務(wù)對(duì)應(yīng)的權(quán)限信息,就是(職務(wù)�����,權(quán)限) 對(duì)應(yīng)信息。
查詢服務(wù)模塊讀取用戶所在部門的信息和擔(dān)任職務(wù)的信息���,也 讀取用戶的兼職信息��。查詢服務(wù)模塊根據(jù)用戶的(部門,職務(wù)) 信息和(職務(wù)����,權(quán)限)信息判斷出用戶可以訪問那些資源,然 后把這些資源展現(xiàn)給用戶�����。 如圖2所示����, 一種實(shí)現(xiàn)權(quán)限管理的系統(tǒng),所述系統(tǒng)包括角色模塊���、
權(quán)限模塊����、查詢模塊�、響應(yīng)模塊�����、部門屬性分配模塊以及資源權(quán)限配
置接口�;
其中��,角色模塊�����,用于存儲(chǔ)設(shè)置的角色���、權(quán)限管理系統(tǒng)外部輸入 的用戶數(shù)據(jù)和角色與用戶的對(duì)應(yīng)關(guān)系���;
權(quán)限模塊,用于存儲(chǔ)設(shè)置資源訪問條件����,以及訪問資源權(quán)限與角 色的對(duì)應(yīng)關(guān)系;
查詢模塊�����,用于接收用戶訪問資源的請(qǐng)求���,根據(jù)權(quán)限模塊中�,訪 問資源權(quán)限與角色的對(duì)應(yīng)關(guān)系,查詢用戶的角色對(duì)應(yīng)的資源訪問權(quán)限 和用戶對(duì)應(yīng)的資源訪問條件���;
響應(yīng)^f莫塊��,用于根據(jù)響應(yīng)發(fā)送允許或拒絕用戶訪問資源�����; 部門屬性分配模塊,用于分配用戶所屬的部門���,并保存所述屬性 的數(shù)據(jù)�。
8資源權(quán)限配置接口���,該接口提供權(quán)限管理系統(tǒng)外的配置調(diào)用����,傳 輸角色模塊中存儲(chǔ)的角色信息�����。
權(quán)利要求
1.一種實(shí)現(xiàn)權(quán)限管理的方法,其特征在于���,包括如下步驟第一步�����,查詢用戶的角色是否有對(duì)應(yīng)的資源訪問權(quán)限���;第二步,當(dāng)用戶的角色有對(duì)應(yīng)的資源訪問權(quán)限時(shí)����,繼續(xù)查詢用戶是否有對(duì)應(yīng)的查詢條件;第三步�,當(dāng)用戶沒有對(duì)應(yīng)的資源訪問條件,則拒絕用戶訪問�����;第四步�,當(dāng)用戶有對(duì)應(yīng)的資源訪問條件,查詢?cè)撚脩艚巧膶傩詫儆诘牟块T�����;第五步,用戶能夠在對(duì)應(yīng)部門的職務(wù)下有相應(yīng)的權(quán)限�。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于系統(tǒng)管理員預(yù)先設(shè)置角色與用戶的對(duì)應(yīng)關(guān)系�、角色與具備資源訪問條件 的資源訪問權(quán)限的對(duì)應(yīng)關(guān)系;
3. 根據(jù)權(quán)利要求1所述的方法�����,其特征在于企業(yè)管理員預(yù)選設(shè)置用戶 屬于那個(gè)部門的屬性��。
4. 根據(jù)權(quán)利要求1所述的方法����,其特征在于所述用戶能夠被賦予一個(gè)或多個(gè)職務(wù)���。
5. 根據(jù)權(quán)利要求1所述的方法����,其特征在于所述用戶能夠被賦予一個(gè)或多個(gè)部門�����。
6 —種實(shí)現(xiàn)權(quán)限管理的系統(tǒng)����,其特征在于所述系統(tǒng)包括角色模塊��、權(quán) 限模塊�����、查詢模塊�����、響應(yīng)模塊以及部門屬性分配模塊�;其中��,角色模塊��,用于存儲(chǔ)設(shè)置的角色���、權(quán)限管理系統(tǒng)外部輸入的用戶 數(shù)據(jù)和角色與用戶的對(duì)應(yīng)關(guān)系�;權(quán)限模塊�����,用于存儲(chǔ)設(shè)置資源訪問條件,以及訪問資源權(quán)限與角色的 對(duì)應(yīng)關(guān)系���;查詢服務(wù)模塊���,用于接收用戶訪問資源的請(qǐng)求,根據(jù)權(quán)限模塊中���,訪問資源權(quán)限與角色的對(duì)應(yīng)關(guān)系���,查詢用戶的角色對(duì)應(yīng)的資源訪問權(quán)限和用戶對(duì)應(yīng)的資源訪問條件;響應(yīng)模塊���,用于根據(jù)響應(yīng)發(fā)送允許或拒絕用戶訪問資源�����; 部門屬性分配模塊,用于分配用戶所屬的部門��,并保存所述屬性的數(shù)據(jù)�����。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于所述系統(tǒng)還包括資源權(quán)限 配置接口�,該接口提供權(quán)限管理系統(tǒng)外的配置調(diào)用,傳輸角色模塊中存儲(chǔ) 的角色信息���。
全文摘要
本發(fā)明提供一種實(shí)現(xiàn)權(quán)限管理的方法���,包括如下步驟查詢用戶的角色是否有對(duì)應(yīng)的資源訪問權(quán)限;當(dāng)用戶的角色有對(duì)應(yīng)的資源訪問權(quán)限時(shí)����,繼續(xù)查詢用戶是否有對(duì)應(yīng)的查詢條件;當(dāng)用戶沒有對(duì)應(yīng)的資源訪問條件����,則拒絕用戶訪問;當(dāng)用戶有對(duì)應(yīng)的資源訪問條件��,查詢?cè)撚脩艚巧膶傩詫儆诘牟块T�����;用戶能夠在對(duì)應(yīng)部門的職務(wù)下有相應(yīng)的權(quán)限���。本發(fā)明的用戶是通過部門的角色關(guān)系來獲取相應(yīng)的權(quán)限��,這個(gè)符合公司的實(shí)際情況��,有利于公司資源訪問控制����。
文檔編號(hào)H04L12/24GK101588242SQ20081011195
公開日2009年11月25日 申請(qǐng)日期2008年5月19日 優(yōu)先權(quán)日2008年5月19日
發(fā)明者平 黃 申請(qǐng)人:北京億企通信息技術(shù)有限公司