一种基于用户管理的权限验证方法与流程

本发明属于用户管理领域，具体涉及一种基于用户管理的权限验证方法。

背景技术：

目前的各种管理系统对于用户权限的管理、用户验证及信息展现方式较为单一，随着大数据、云计算的不断发展，系统用户对于数据的关注度和定制化需求越来越高，传统的登录方式和信息展现不能满足个性化定制的数据展示需求，对于数据处理的方式单一、用户权限管理难度大。

传统的管理系统对于用户角色和权限的管理如下：

用户分类：系统用户、超级用户、管理员用户、游客用户等等

系统权限：即对不同用户使用系统资源(功能菜单项、按钮、输入控件等)的使用或访问权限

用户：应用系统的具体操作者，用户可以拥有一定范围的权限

角色：为了对许多拥有相似权限的用户进行分类管理，定义了角色的概念，例如系统管理员、管理员、用户、访客等角色

组：为了更好地管理用户，对用户进行分组归类，简称为用户分组，一级单位用户、二级单位用户等

在saas平台下平台管理员：负责平台的日常维护和管理，包括用户日志的管理、租户账号审核、租户状态管理、租户费用的管理，租户权限的管理，要注意的是平台管理员不能对租户的具体业务进行管理。如果租户数量大，还可以对平台管理员划分角色，可以按地域划分，比如西北地区、东北地区等，让平台管理员分别管理不同的租户；也可以根据业务进行划分，比如租户管理员，租费管理员等。

租户：指访问saas平台的用户企业，在saas平台中各租户之间信息是独立的。租户信息包括租户的名称、地址等租户企业的相关信息，主要用来区别各租户，并且由平台管理员对租户账号状态进行管理。各租户可根据需要自行选择saas平台功能模块并依此付费。

租户管理员：为租户角色分配权限和相关系统管理、维护。

租户用户：根据租户管理员分配的权限以及自己的角色进行相关的业务管理。各租户用户只能访问该租户选择的saas平台的功能模块。一个系统用户如果有多个角色，则他只能看到当前角色下的数据，通过角色切换，可以达到查看所属其他角色下的数据信息。

租户角色：根据业务功能分由租户管理员进行角色划分，划分好角色后，租户管理员可以对相应的角色进行权限分配。角色有上下级关系，上级可以查看下级的数据，下级不能访问上级的数据，平级之间不能相互访问。角色上层可再加入分组层(如分部门或团队等)，不同组别的数据范围不同，资源、操作可以共享也可以隔离。

技术实现要素：

本发明的目的在于克服上述不足，提供一种基于用户管理的权限验证方法，能够生成基于用户角色、工作流程和权限之间的映射关系，在系统中将该角色的数据资源和权限进行对应。

为了达到上述目的，包括以下步骤：

步骤一，定义用户和角色，生成用户和角色之间的映射关系；

步骤二，提取用户和角色基于权限的数据资源，定义数据获取权限并记录在权限管理中，生成用户、角色、工作流程和权限管理的映射关系；

步骤三，将用户数据获取权限和数据资源进行匹配；若匹配成功，则进行步骤四；若匹配失败，则拒绝用户数据访问请求；

步骤四，向用户反馈匹配成功的数据并进行展示。

用户为操作者，角色为拥有对应权限的使用者。

用户角色基于权限的数据资源包括根据部门职位分配权限、根据角色分配权限和根据用户分配权限；

根据部门职位分配权限中，部门职位是指从用户管理机构部门列表中加载定义后的所有职位列表，以部门关系树状显示，根据部门职位对职位分配对应的权限；

根据角色分配权限中，角色包括从数据库中导入的角色和手动添加的角色，根据角色的类型分配对应的权限；

根据用户分配权限中，根据用户所需权限分配权限。

用户管理机构部门列表用于定义该部门中所有职位，每个职位均对应至少一个角色。

权限管理能够进行分级权限管理，分级权限管理包括分级授权和数据报表编辑；

分级授权是通过管理员将管理员权限内的权限授权给用户，管理员包括一个系统总管理员以及若干下级管理员，系统总管理员能够开启或关闭下级管理员的分级授权权限，以及分配用户给对应的下级管理员；

数据报表编辑是通过管理员授权给不同用户对不同报表节点拥有编辑权限，编辑权限包括对数据报表进行增加、编辑、删除和调整目录树以及对报表进行增加、编辑、删除和修改目录。

与现有技术相比，本发明能够定义各用户的角色，生成用户角色的级联映射关系，提取所述用户角色基于工作流程的操作权限，并记录在用户权限定义文件中。由此系统生成基于用户角色、工作流程和权限之间的映射关系，在系统中将该角色的数据资源和权限进行对应。本发明用以增加用户权限分配的唯一性和安全性，使系统具有数据个性化展现的能力，提高系统的数据可视化、提高数据管理灵活性，并可以中间服务层的方式应用于多种系统架构中，降低系统管理复杂度。

附图说明

图1为本发明的流程图；

图2为本发明中实施例的系统框图。

具体实施方式

下面结合附图对本发明做进一步说明。

参见图1，本发明包括以下步骤：

步骤一，定义用户和角色，生成用户和角色之间的映射关系；

步骤二，提取用户和角色基于权限的数据资源，定义数据获取权限并记录在权限管理中，生成用户、角色、工作流程和权限管理的映射关系；

步骤三，将用户数据获取权限和数据资源进行匹配；若匹配成功，则进行步骤四；若匹配失败，则拒绝用户数据访问请求；

步骤四，向用户反馈匹配成功的数据并进行展示。

权限项就是指被分配的对象，指物，系统的权限项包括报表、平台管理、和数据连接。

权限受体就是指将权限分配给谁，指人，系统中的权限受体包括部门职位和角色和用户。

用户为操作者，角色为拥有对应权限的使用者。

用户角色基于权限的数据资源包括根据部门职位分配权限、根据角色分配权限和根据用户分配权限；

根据部门职位分配权限中，部门职位是指从用户管理机构部门列表中加载定义后的所有职位列表，以部门关系树状显示，根据部门职位对职位分配对应的权限；

根据角色分配权限中，角色包括从数据库中导入的角色和手动添加的角色，根据角色的类型分配对应的权限；

根据用户分配权限中，根据用户所需权限分配权限，如下几种情况：

1)部分用户临时需要查看某张报表

2)员工身兼多职，领导有权限查看某些报表但领导所在部门和角色没有权限

3)有时候需要针对特定的个人分配报表权限，就必须先专门建一个新角色

这时，可以给某些特殊的人员(用户)分配权限，没有部门职务/角色的限制。用户的最终权限为部门/角色/用户权限的合集。

用户管理机构部门列表用于定义该部门中所有职位，每个职位均对应至少一个角色。

权限管理能够进行分级权限管理，分级权限管理包括分级授权和数据报表编辑；

分级授权是通过管理员将管理员权限内的权限授权给用户，一般是下属，管理员包括一个系统总管理员以及若干下级管理员，系统总管理员能够开启或关闭下级管理员的分级授权权限，以及分配用户给对应的下级管理员，即实现多级管理员层层分配；

系统总管理员在权限管理中开启分级授权选项，将授权权限赋给下级管理员的角色，同时配置该角色所能分配权限的角色，此时，下级管理员的角色登录系统时，就能将其有权授权的权限分配给对应的角色。

数据报表编辑是通过管理员授权给不同用户对不同报表节点拥有编辑权限，编辑权限包括对数据报表进行增加、编辑、删除和调整目录树以及对报表进行增加、编辑、删除和修改目录。

实施例：

参见图2，本发明通过iaas底层支持，为整个系统的运行支持运行环境，使用服务器集群作为数据存储，使用存储虚拟化、网路虚拟化等技术实现超大规模的数据存储；并且具有很好的访问控制、负载均衡、存储扩容、灾备等特性，并具有可配置性、自定义特性；以及支持多租户、多用户角色的应用。

基于paas层的服务，构建该系统的服务模式需要的流程和组件，通过微服务的方式进行组合构建符合交通工程领域的业务流程服务，实现工具的快速连接和数据展现。

在此架构中的服务组件包括：

云存储组件：使用虚拟化等技术，按照业务的存储需求，讲服务器存储资源集群化，用以实现数据资源的分布式存储，达到去中心化的目的，实现业务数据的高效存储和使用。

用户管理组件：描述公路交通建设领域涉及到的用户分类、用户权限控制和用户业务流程；使用文件先定义用户之间的关系、用户和业务之间的操作，并开放配置文件，超级管理员可自定义用户各个角色，用户角色和业务流程形成强关联。

用户身份认证工具：使用描述文件将交通工程各方角色的业务操作进行匹配，并记录在文件中，按照用户角色将不同的任务模块进行展现。

交通工程领域业务流程组件：描述交通工程领域中的业务逻辑、业务流程所涉及到到的用户角色、业务操作和彼此的关系，并且根据具体每个项目的实际情况可进行自定义配置属性和信息展现方式。

电子合同组件：交通工程建设领域会产生大量合同和文件，使用电子签名技术将各种文件进行电子化保存和归档，来实现项目文件的全程电子化、并使用系统中分布式存储能力赋能。

文档管理组件：基于项目管理流程中产生的所有图片、视频、文件等各种文档，实现交通工程项目中的文件同步、查询、修改、删除、下载、分享等操作。

模型管理组件：在工程建设领域需要使用专业软件进行多维建模，使用模型管理组件实现模型的分解、查看、数据生成、数据查询等操作。

项目管理组件：基于交通工程领域的项目属性和行业特点，用户可配置项目属性、项目各项信息等，实现不同用户角色使用系统的时展现不同的项目信息；

交通沟通组件：基于交通工程项目管理过程中的用户任务，实现各用户角色之间的即时消息推送、意见反馈处理、主题讨论、视频会议等功能。