对企业信息管理系统中的用户账户下发权限的方法

对企业信息管理系统中的用户账户下发权限的方法
【专利摘要】本发明提供了一种对企业信息管理系统中的用户账户下发权限的方法，该方法包括：设置用户账户的基本权限属性；根据所述基本权限属性生成所述用户账户的基本权限码；设置所述用户账户的额外权限属性；根据所述额外权限属性生成所述用户账户的额外权限码；将所述额外权限码叠加至所述基本权限码上以形成总权限码；根据所述总权限码为所述用户账户下发相应的用户权限。实施本发明可以提升企业信息管理系统中权限调整的灵活性，以及避免现有的权限调整中出现的安全风险。
【专利说明】
对企业信息管理系统中的用户账户下发权限的方法
技术领域
[0001]本发明涉及信息管理系统中权限控制领域，尤其涉及一种对企业信息管理系统中的用户账户下发权限的方法。
【背景技术】
[0002]在企业信息管理系统中，对系统信息的权限控制是衡量一个系统能否满足用户需要的核心功能，也是系统安全体系、用户体验的重要组成部分。系统中包含的诸多功能要针对不同等级的用户实现差别化展现，其目的是使用户在系统中的操作权限与其实际工作中所取得的权限相匹配，例如用户登录系统后，判断该用户具有增加、删除、修改、查询、审批等哪些权限，以及上述权限适用于哪些模块和其涉及的数据范围。不同等级的用户其具有的权限不同，例如生产部门中，部门管理员用户具有多种权限，例如查询生产数据权限、查询本部门内所有员工考勤数据的权限、查询本部门内公费支出权限，而该生产部门中的生产操作员用户仅具有查看生产数据的权限。
[0003]进一步地，成熟的权限控制还包括快速调整权限和分发权限的方面，即允许系统的管理员将新的权限赋予系统中的用户，或调整系统中的用户已取得的权限，这有助于系统灵活地应对人事变动，以及灵活地实现部门间协作完成某一工作任务。
[0004]现有的企业信息管理系统使用数据库来实现权限映射，例如通过预先定义的数据库表来存储用户及其对应的权限项。一旦涉及对用户的权限的调整，需要企业信息管理系统的开发者调整数据库表才可实现，因此增加了额外的维护成本。
[0005]—些企业信息管理系统具有一维的权限管理结构，即仅通过一个系统管理员进行权限管理，这种权限管理的方式仅适用于中小型企业，对于包括多个子单位的大型集团企业并不适用，因为负责权限管理的管理员工作量过大。另一些企业信息管理系统具有复杂的定义权限和管理权限的规则，但是其权限管理的基本逻辑是按照匹配实际组织机构向下管理的逻辑来实现，即当前用户的所有权限只适用于其所在单位下级单位进行分配和操作，技术上无法对同级单位信息进行授权或下级单位操作上级单位授权。例如集团内第一公司的用户原则上的所有授权只能针对第一公司及下属单位，权限管理员无法授权第一公司的用户对第二公司的数据进行操作，但在实际使用中，却时常有这样的需求，如单位间互相检查业务或审核。正常逻辑下，两个同级级单位之间、下级和上级单位之间，是不能进行数据操作的，要操作，只能将一个单位用户在系统上做“单位调动”达到从新定岗的调整，这具有相当大操作风险。

【发明内容】

[0006]为了克服现有技术中的上述缺陷，本发明提供了一种对企业信息管理系统中的用户账户下发权限的方法，该方法包括:
[0007]设置用户账户的基本权限属性；
[0008]根据所述基本权限属性生成所述用户账户的基本权限码；
[0009]设置所述用户账户的额外权限属性；
[0010]根据所述额外权限属性生成所述用户账户的额外权限码；
[0011]将所述额外权限码叠加至所述基本权限码上以形成总权限码；
[0012]根据所述总权限码为所述用户账户下发相应的用户权限。
[0013]根据本发明的一个方面，该方法中所述基本权限属性包括单位属性;所述单位属性根据所述用户账户所归属的组织机构树生成。
[0014]根据本发明的另一个方面，该方法中所述基本权限属性还包括角色属性;所述角色属性根据系统管理员的自定义操作生成。
[0015]根据本发明的另一个方面，该方法中所述基本权限属性还包括岗位属性;所述岗位属性根据所述用户账户所对应的特定业务操作生成。
[0016]根据本发明的另一个方面，该方法中所述基本权限属性还包括部门属性;所述部门属性根据所述组织机构树生成。
[0017]根据本发明的另一个方面，该方法中根据所述总权限码为所述用户账户下发相应的用户权限包括:解析所述总权限码以获得所述用户权限对应的页面控件ID;呈现所述页面控件ID对应的页面控件。
[0018]根据本发明的另一个方面，该方法中所述额外权限属性根据系统管理员或上级用户向所述用户账户配置的额外权限生成。
[0019]本发明对企业信息管理系统中的用户账户下发权限的方法通过权限码来实现对权限的下发，该权限码由基本权限码和额外权限码叠加形成，其中基本权限码是根据用户账户的基本权限属性生成的，其作用是为用户账户分配了日常工作所具备的权限；额外权限码是根据用户账户的额外权限属性生成的，其作用是在不更改用户账户的组织机构归属关系的情况下进行动态的权限调整。实施本发明可以提升企业信息管理系统中权限调整的灵活性，以及避免现有的权限调整中出现的安全风险。
【附图说明】
[0020]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显:
[0021]图1是根据本发明的对企业信息管理系统中的用户账户下发权限的方法的一种【具体实施方式】的流程图；
[0022]图2至图4是组织机构树的实施例的逻辑结构示意图；
[0023]附图中相同或相似的附图标记代表相同或相似的部件。
【具体实施方式】
[0024]为了更好地理解和阐释本发明，下面将结合附图对本发明作进一步的详细描述。
[0025]本发明提供了一种巡检系统中传输数据的方法，请参考图1，图1是根据本发明的对企业信息管理系统中的用户账户下发权限的方法的一种【具体实施方式】的流程图，该方法包括:
[0026]步骤S100，设置用户账户的基本权限属性；
[0027]步骤S200，根据所述基本权限属性生成所述用户账户的基本权限码；
[0028]步骤S300，设置所述用户账户的额外权限属性；
[0029]步骤S400，根据所述额外权限属性生成所述用户账户的额外权限码；
[0030]步骤S500，将所述额外权限码叠加至所述基本权限码上以形成总权限码；
[0031]步骤S600，根据所述总权限码为所述用户账户下发相应的用户权限。
[0032]本领域技术人员可以理解，所述用户账户映射的是现实中使用该用户账户登录企业信息管理系统的操作人员，该操作人员具有现实中的人事归属关系、工作职责以及工作目标，为使用企业信息管理系统完成所述工作职责或达到所述工作目标，所述企业信息管理系统需要为所述用户账户分配基本的操作权限。
[0033]具体地，在步骤SlOO中，首先设置用户账户的基本权限属性，所述基本权限属性用于定义或映射所述用户账户具备的基本权限，典型地，所述基本权限属性包括单位属性，所述单位属性根据所述用户账户所归属的组织机构树生成。其中所述组织机构树是用于定义所述企业信息管理系统中全局用户账户的组织机构归属关系、上下级关系以及职能范围的数据结构，该组织机构树通常根据所述企业信息管理系统所匹配的企业的实际行政结构来构建。例如所述用户账户的操作人员隶属于第一集团的第一分公司的行政部门，则所述单位属性相应地记录所述第一集团、所述第一分公司、所述行政部门及其上下级归属关系，并映射所述第一集团的第一分公司的行政部门的一项或多项工作子权限。
[0034]可选地，所述基本权限属性还包括角色属性，所述角色属性根据系统管理员的自定义操作生成，为所述用户账户定义该角色属性的目的一方面是标记出所述用户账户在角色分配上具有的权限，另一方面是便于系统管理员在其授权范围内批量将同一组权限授权给多个所述用户账户。例如所述用户账户的操作人员具有报销权限，则所述角色属性标记出所述用户账户映射报销权限中的一项或多项子权限，包括审批、核定等。
[0035]可选地，所述基本权限属性还包括岗位属性，所述岗位属性根据所述用户账户所对应的特定业务操作生成。所述特定业务操作是所述用户账户的操作人员完成特定工作任务所需进行的操作，所述特定工作任务与所述操作人员在行政人事关系中实际定义的岗位有关，可以根据所述操作人员的日常工作任务确定，也可以根据所述操作人员的岗位归属关系派发至所述操作人员工作内容中的岗位任务来确定。例如所述用户账户的操作人员具有安全巡检的工作任务，相应地所述岗位属性标记出所述用户账户属于安全岗位，并映射所述安全岗位的一项或多项安全工作子权限，通常具有相同的岗位属性的多个用户账户属于同一用户组。本领域技术人员可以理解，具有相同的单位属性的一组用户账户可以具有不同的岗位属性，例如归属于设备管理部门的一组用户账户可以分别配置其对应安全岗位、巡检岗位、后勤岗位等。
[0036]可选地，所述基本权限属性还包括部门属性，所述部门属性根据所述组织机构树生成。所述部门属性用于标记出所述用户账户在所述组织机构树中的所归属的具体部门。例如标记出所述用户账户是属于财务部、人力资源部还是行政部。
[0037]在步骤SlOO中设置了所述用户账户的基本权限属性，进一步在步骤S200根据所述基本权限属性生成所述用户账户的基本权限码，典型地，所述基本权限码中包括用于标识出所述基本权限属性的字段或标识符。
[0038]进一步地考虑到为了在不造成安全风险的情况下赋予所述用户账户新的权限，在步骤S300中设置所述用户账户的额外权限属性，典型地，所述额外权限属性根据系统管理员或上级用户向所述用户账户配置的额外权限生成，其中所述系统管理员或所述上级用户指的是所述企业信息管理系统中具有管理所述用户账户的权限的其他用户账户。例如所述用户账户是行政部的普通职员用户，则所述上级用户可以是行政部部长级别的用户，也可以是所述行政部的上级主管部门的负责人用户。相应地，在步骤S400中，根据所述额外权限属性生成所述用户账户的额外权限码，所述额外权限码中包括用于标识出所述额外权限属性的字段或标识符。
[0039]在步骤S500中，将所述额外权限码叠加至所述基本权限码上以形成总权限码，形成所述总权限码的具体方式可以是将所述额外权限码和所述基本权限码进行简单合并、去重合并或使用合适的计算机算法进行数学变换，所述总权限码中包括用于标识出所述基本权限属性和所述额外权限属性的字段或标识符。生成该总权限码的目的是在所述用户账户成功登入所述企业信息管理系统后，所述企业信息管理系统可以根据该总权限码为所述用户账户分配相应的一组系统操作权限。
[0040]对所述总权限码的操作具体过程如步骤S600所述，根据所述总权限码为所述用户账户下发相应的用户权限。所述用户权限应包括所述基本权限码映射的基本权限和所述额外权限码映射的额外权限。以所述企业信息管理系统实施为B/S模式为例，所述用户账户与系统服务器的交互最终通过呈现在用户终端上的Web页面来实现，因此根据所述总权限码为所述用户账户下发相应的用户权限可以包括如下步骤:首先解析所述总权限码以获得所述用户权限对应的页面控件ID，进一步呈现所述页面控件ID对应的页面控件。具体而言，所述用户账户的交互页面中呈现的页面控件是与所述页面控件ID—一对应的，同时也与所述用户权限一一对应。相应地，与所述用户权限无关的其他页面控件在构建所述交互页面时进行隐藏化处理，或不选用于构建所述交互页面。
[0041]需要说明的是，尽管在附图中以特定顺序描述了本发明方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。相反，流程图中描绘的步骤可以改变执行顺序。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
[0042]考虑到组织机构树是构成权限系统的重要因素，也是确定所述基本权限属性的重要因素。下文中将对几种常见的组织机构数，请参考图2至图4，图2至图4是组织机构树的实施例的逻辑结构示意图。其中图2示出了所述组织机构树是单树的逻辑结构，此类型的组织机构树适用于构建一个独立企业行政单位的权限系统，例如在一个公司下面包括多个平级的部门，如图2示出的第一部门、第二部门和第三部门，每一所述平级的部门下直接包括相应的用户账户。图3示出了所述组织机构树是集团树的逻辑结构，此类型的组织机构树适用于构建包括子单位和独立部门的企业行政单位的权限系统，例如一个公司下面包括多个平级的子单位和部门，如图3示出的一公司、二公司和财务部，相应地，所述子单位下可以包括更低一级别的子单位部门或子单位的子单位。图4示出了所述组织机构树是集团森林的逻辑结构，此类型的组织机构树适用于构建包括多个集团且不包括单独行政部门或用户的企业行政机构的权限系统，例如图4示出的多个平级集团:集团之一、集团之二和集团之三。本领域技术人员可以理解，企业信息管理系统中涉及的组织机构树需要根据企业自身的行政机构划分来确定。
[0043]本发明提供的对企业信息管理系统中的用户账户下发权限的方法中涉及软件逻辑的部分可以使用可编程逻辑器件来实现，也可以实施为计算机程序产品，该程序产品使计算机执行用于所示范的方法。所述计算机程序产品包括计算机可读存储介质，该介质上包含计算机程序逻辑或代码部分，用于实现上述涉及软件逻辑的部分的各个步骤。所述计算机可读存储介质可以是被安装在计算机中的内置介质或者可从计算机主体拆卸的可移动介质(例如可热拔插的存储设备)。所述内置介质包括但不限于可重写的非易失性存储器，例如RAM、ROM和硬盘。所述可移动介质包括但不限于:光存储媒体(例如⑶-ROM和DVD)、磁光存储媒体(例如MO)、磁存储媒体(例如磁带或移动硬盘)、具有内置的可重写的非易失性存储器的媒体(例如存储卡)和具有内置ROM的媒体(例如ROM盒)。
[0044]本领域技术人员应当理解，任何具有适当编程装置的计算机系统都能够执行包含在计算机程序产品中的本发明的方法的诸步骤。尽管本说明书中描述的多数【具体实施方式】都侧重于软件程序，但是以硬件方式实现本发明提供的方法的替代实施例同样在本发明要求保护的范围之内。
[0045]对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，在权利要求的等同要件的含义和范围内的所有变化均涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他部件、单元或步骤，单数不排除复数。权利要求中陈述的多个部件、单元或装置也可以由一个部件、单元或装置通过软件或者硬件来实现。
[0046]本发明对企业信息管理系统中的用户账户下发权限的方法通过权限码来实现对权限的下发，该权限码由基本权限码和额外权限码叠加形成，其中基本权限码是根据用户账户的基本权限属性生成的，其作用是为用户账户分配了日常工作所具备的权限；额外权限码是根据用户账户的额外权限属性生成的，其作用是在不更改用户账户的组织机构归属关系的情况下进行动态的权限调整。实施本发明可以提升企业信息管理系统中权限调整的灵活性，以及避免现有的权限调整中出现的安全风险。
[0047]以上所披露的仅为本发明的一些较佳实施例，不能以此来限定本发明之权利范围，依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。
【主权项】
1.一种对企业信息管理系统中的用户账户下发权限的方法，该方法包括: 设置用户账户的基本权限属性； 根据所述基本权限属性生成所述用户账户的基本权限码； 设置所述用户账户的额外权限属性； 根据所述额外权限属性生成所述用户账户的额外权限码； 将所述额外权限码叠加至所述基本权限码上以形成总权限码； 根据所述总权限码为所述用户账户下发相应的用户权限。2.根据权利要求1所述的方法，其中: 所述基本权限属性包括单位属性； 所述单位属性根据所述用户账户所归属的组织机构树生成。3.根据权利要求2所述的方法，其中: 所述基本权限属性还包括角色属性； 所述角色属性根据系统管理员的自定义操作生成。4.根据权利要求2或3所述的方法，其中: 所述基本权限属性还包括岗位属性； 所述岗位属性根据所述用户账户所对应的特定业务操作生成。5.根据权利要求4所述的方法，其中: 所述基本权限属性还包括部门属性； 所述部门属性根据所述组织机构树生成。6.根据权利要求1所述的方法，其中，根据所述总权限码为所述用户账户下发相应的用户权限包括: 解析所述总权限码以获得所述用户权限对应的页面控件ID; 呈现所述页面控件ID对应的页面控件。7.根据权利要求1所述的方法，其中: 所述额外权限属性根据系统管理员或上级用户向所述用户账户配置的额外权限生成。
【文档编号】G06F21/45GK105912924SQ201610203752
【公开日】2016年8月31日
【申请日】2016年4月1日
【发明人】刘龙昌, 高亮
【申请人】北京元心科技有限公司