面向多维数据的权限管理机制的配置方法及装置的制造方法
【技术领域】
[0001]本发明涉及电子商务技术领域,特别是一种web系统中权限管理机制的配置方法。
【背景技术】
[0002]在web系统中,为了管理用户可以访问而且只能访问自己被授权的资源,从而引入了权限管理机制。从控制力度来看,可以将权限管理分为两大类:功能级权限管理和数据级权限管理。从控制方向来看,也可以将权限管理分为两大类:1)从系统获取数据,比如查询订单、查询客户资料;2)向系统提交数据,比如删除订单、修改客户资料等。
[0003]通常情况下,功能权限管理技术一般使用基于角色访问控制技术RBAC (RoleBased Access Control ),数据级权限管理技术一般使用硬编码,也就是将这种逻辑以if/else等形式与业务代码親合在一起;Spring-security即是基于以上规则设置出来的规则引擎开源框架。这种常规的权限管理设计方案,普遍存在如下问题:1)角色被“编码”到配置文件和源文件,导致用户无法创建角色;2)无法提供较好的细粒度(数据级)权限方案;3)对于用户、角色、权限之间的关系,无法提供任何一种维护界面;4)Spring Security配置文件多,学习难度大,导致开发人员工作量巨大。
【发明内容】
[0004]本发明针对现有技术中存在的开发人员工作量大、设计实现方式不统一、服务管理困难、无法创建角色、没有权限细粒度(数据集)权限的缺陷,提供一种简化开发人员的工作量、设计实现方式统一、服务管理较容易、能够管理角色和数据级权限的权限管理机制配置方法。
[0005]为解决上述技术问题,本发明所采取的技术方案如下。
[0006]面向多维数据的权限管理机制的配置方法,所述配置方法具体包括以下步骤:
A)根据处理数据请求,配置功能数据权限信息与多维数据平台系统的维度信息到数据库;
B)把步骤A的配置信息通过键值对的方式,包装成权限方案和维度方案,并存储到缓存中,并通过只要与权限相关的修改就更新缓存;
C)对多维数据平台系统中的处理数据请求进行分析,转换为符合url到controller的键值对的数据集,并与缓存中的功能数据和维度数据进行比较,判断该数据集是否存在缓存中,如存在,获取对应的角色令牌;如不存在,直接返回;
D)判断令牌是否有权处理数据,如是,系统处理这些数据并返回处理结果;否则,返回无权限访问。
[0007]本发明步骤A)中所述功能数据权限信息包括用户、角色、功能、模块和权限信息,所述维度信息包括用户维度组、维度数据和维度。
[0008]本发明步骤A)中的配置过程包括以下内容: A1)配置用户与角色的关系;
A2)配置角色与权限的关系;
A3)配置权限与模块、权限与功能的关系;
A4)配置用户与维度组的关系;
A5)配置维度与维度组的关系。本发明步骤B)采用角色访问控制技术和投票(Voter)机制进行配置。
[0009]本发明步骤C)具体包括以下步骤:
C1)判断处理数据请求的合法性;
C2)将合法的处理数据请求转换为符合规则的数据集;
C3)遍历缓存中的功能数据和维度数据,与数据集进行比较,判断该数据集是否存在缓存中;如存在,进行步骤C4);如不存在,直接返回;
C4)获取令牌。
[0010]本发明步骤D)具体包括以下步骤:
D1)判断判断角色令牌是否存在权限标志,来判断是否有权处理数据;如果有权进行步骤D2),否则,返回无权限访问;
D2)通过url与controller的键值对映射,处理数据请求到系统维度信息,并进行数据级缓存;
D3)系统进行处理,并返回处理结果。
[0011]—种面向多维数据的权限管理机制的配置装置,包括功能权限和数据权限配置单元、权限管理逻辑控制框架、权限管理令牌单元和存储层,其中:功能权限和数据权限配置单元,用于根据处理数据请求配置功能数据权限信息与多维数据平台系统的维度信息到存储层;权限管理逻辑控制框架,用于将配置信息包装成权限方案和维度方案,并存储到缓存中;权限管理令牌单元,用于对处理数据请求进行分析和转换,并判断是否存在于缓存中,如存在则获取令牌;进一步判断令牌是否有权处理数据,如有权限则处理这些数据并把处理结果返回给用户。
[0012]上述面向多维数据的权限管理机制的配置装置,所述权限管理令牌单元包括分析转换模块、用户状态判断模块以及维度包装模块,所述分析转换模块用于对处理数据请求进行分析和转换,用户状态判断模块用于判断处理数据请求是否存在于缓存中以及获得令牌是否有权处理数据,维度包装模块用于包装处理数据请求到维度信息。
[0013]由于采用了以上技术方案,本发明所取得技术进步如下。
[0014]本发明的应用,使得开发人员在开发时仅许针对每个需求通过简单配置就可以解决了多维数据的控制问题,而不需要通过修改代码来适应不同的需求,不仅设计实现方式统一、服务管理较容易、能够管理角色和数据级权限,而且还大大减少了开发人员的工作量。
【附图说明】
[0015]图1为本发明的流程图;
图2为本发明所述步骤A)的流程图。
【具体实施方式】
[0016]下面将结合附图对本发明的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0017]本发明提供一种面向多维数据的权限管理机制的配置方法,其流程图如图1所示,配置方法具体包括以下步骤:
A)根据处理数据请求,配置功能数据权限信息与多维数据平台系统的维度信息到数据库;功能数据权限信息包括用户、角色、功能、模块和权限信息,维度信息包括用户维度组、维度数据和维度。
[0018]配置过程如图2所示,具体包括以下内容:
A1)配置用户与角色的关系,一个角色可以对应多个用户,一个用户也可以用多个角色;
A2)配置角色与权限的关系,一个角色可以对应多个权限;
A3)配置权限与模块、权限与功能的关系,模块与功能的结合,就会产生具体的权限; A4)配置用户与维度组的关系,一个维度组有多个用户,一个用户可以有多个维度组; A5)配置维度与维度组的关系,一个维度组有多个维度。
[0019]B)通过键值对的规则把步骤A)的配置信息,包装成角色与权限的键值对,以此形成权限方案和维度方案,并存储到缓存中,并通过只要与权限相关的修改,都要更新缓存。本步骤中的缓存为功能级缓存,采用角色访问控制技术和投票