专利名称:一种实现权限管理的方法及系统的制作方法
技术领域:
本发明涉及计算机设计与应用技术领域,特别是涉及一种实现权 限管理的方法及系统。
背景技术:
在互联网技术应用中,给用户一定的权限,也就是解决用户对不 同资源的访问权限问题。
在企业管理系统中,每个用户仅仅能看到他/她应该看到的资源, 操作他/她应该操作的资源,这就需要企业管理系统对用户进行严格 的资源访问控制。基于角色的访问4空制(Role Based Access Control RBAC )方法是目前公认的解决大型企业的资源访问控制的有效方法,
该方法是指应用RBAC模型的权限管理单元配置资源访问权限和 为用户提供资源访问权限的查看,其中为用户提供资源访问权限的查 看是权限管理的主要内容。
它的显著特点是权限被赋予角色,而不是用户,当一个角色被指 定给一个用户时,此用户就拥有了该角色所包含的权限。因此,在企 业管理系统里面, 一般是采用如下的方法
第一先把权限赋予职务,职务就是角色;
第二员工担任一个或者多个职务,就拥有这些职务包含的所有权限。
但是这种方法的缺点是使权限跟部门没有任何关系的。把权限 独立于部门,这是不符合实际情况的,如有职务经理,经理拥有浏 览工作日志的权限。那么就应该1. 部门A的经理应该^f又仅可以浏览部门A下的员工的工作日志,
而不能浏览部门B的员工的工作日志。
2. 部门B的经理应该<义<义可以浏览部门B下员工的工作日志, 而不能浏览部门A的员工的工作日志。
但是如果按照基于角色的访问控制(RBAC)方法,那么只要是担 任经理这个职务的人都可以浏览所有员工的工作日志,那显然是不符 合实际情况的。
职务是某个部门下的职务,不存在着一个没有部门的职务。
发明内容
本发明为解决上述问题不足之处,提供一种实现权限管理的方法,
包括如下步骤
第一步,查询用户的角色是否有对应的资源访问权限; 第二步,当用户的角色有对应的资源访问权限时,继续查询用户
是否有对应的查询条件;
第三步,当用户没有对应的资源访问条件,则拒绝用户访问; 第四步,当用户有对应的资源访问条件,查询该用户角色的属性
属于的部门;
第五步,用户能够在对应部门的职务下有相应的权限。 系统管理员预先设置角色与用户的对应关系、角色与具备资源访 问条件的资源访问权限的对应关系;
企业管理员预选设置用户属于那个部门的属性。
所述用户能够被赋予一个或多个职务。
所述用户能够被赋予一个或多个部门。 一种实现权限管理的系统,所述系统包括角色模块、权限模块、
5查询模块、响应模块以及部门属性分配模块;
其中,角色模块,用于存储设置的角色、权限管理系统外部输入 的用户数据和角色与用户的对应关系;
权限模块,用于存储设置资源访问条件,以及访问资源权限与角 色的对应关系;
查询服务模块,用于接收用户访问资源的请求,根据权限模块中, 访问资源权限与角色的对应关系,查询用户的角色对应的资源访问权 限和用户对应的资源访问条件;
响应模块,用于根据响应发送允许或拒绝用户访问资源; 部门属性分配模块,用于分配用户所属的部门,并保存所述属性 的数据。
所述系统中还包括资源权限配置接口 ,该接口提供权限管理系统 外的配置调用,传输角色模块中存储的角色信息。 本发明的优点
用户是通过部门的角色关系来获取相应的权限,这个符合公司 的实际情况,有利于公司资源访问控制。
图1是本发明一种实现权限管理的方法的流程图; 图2是本发明一种实现权限管理系统的结构示意图。
具体实施例方式
本发明的中心思想是,在企业管理系统里面,权限是有部门属性 的。先把权限赋予角色,用户担任一个或者多个某个部门下的角色。 用户通过自己担任的部门角色信息进而拥有相应的权限。
下面将结合附图做详细说明,如图1所示, 一种实现权限管理的方法,包括如下步骤 101,查询用户的角色是否有对应的资源访问权限;当用户的角 色有对应的资源访问权限时,允许用户对资源的访问;
102, 当用户的角色有对应的资源访问4又限时,继续查询用户是 否有对应的查询条件;
103, 当用户没有对应的资源访问条件,则拒绝用户访问;
104, 当用户有对应的资源访问条件,查询该用户角色的属性属 于的部门;
105, 根据用户对应部门的职务,对应的资源访问条件,有相应 的权限访问对应的资源。
在上述步骤之前,系统管理员预先设置角色与用户的对应关
系、角色与具备资源访问条件的资源访问权限的对应关系;而企业管 理员预选设置用户属于那个部门的属性。用户能够被赋予一个或多个 角色。所述用户能够被赋予一个或多个部门。
以下为具体的权限设置、用户部门设置以及用户访问资源。
1. 设置职务 系统管理员登录Web客户端。 系统管理员输入职务的名称,并且选择一些权限。 权限模块记录职务以及这个职务对应的权限。
2. 给用户设置(部门,职务) 系统管理员登录Web客户端。
系统管理员可以修改用户所在的部门和职务;也可以修改用户 的兼职信息,兼职就是指用户在别的部门担任的职务。
7权限模块记录用户所在的部门和职务,也记录用户的兼职信息。
3.用户访问资源
用户登录Web客户端。
查询服务模块读取职务对应的权限信息,就是(职务,权限) 对应信息。
查询服务模块读取用户所在部门的信息和担任职务的信息,也 读取用户的兼职信息。查询服务模块根据用户的(部门,职务) 信息和(职务,权限)信息判断出用户可以访问那些资源,然 后把这些资源展现给用户。 如图2所示, 一种实现权限管理的系统,所述系统包括角色模块、
权限模块、查询模块、响应模块、部门属性分配模块以及资源权限配
置接口;
其中,角色模块,用于存储设置的角色、权限管理系统外部输入 的用户数据和角色与用户的对应关系;
权限模块,用于存储设置资源访问条件,以及访问资源权限与角 色的对应关系;
查询模块,用于接收用户访问资源的请求,根据权限模块中,访 问资源权限与角色的对应关系,查询用户的角色对应的资源访问权限 和用户对应的资源访问条件;
响应^f莫块,用于根据响应发送允许或拒绝用户访问资源; 部门属性分配模块,用于分配用户所属的部门,并保存所述属性 的数据。
8资源权限配置接口,该接口提供权限管理系统外的配置调用,传 输角色模块中存储的角色信息。
权利要求
1.一种实现权限管理的方法,其特征在于,包括如下步骤第一步,查询用户的角色是否有对应的资源访问权限;第二步,当用户的角色有对应的资源访问权限时,继续查询用户是否有对应的查询条件;第三步,当用户没有对应的资源访问条件,则拒绝用户访问;第四步,当用户有对应的资源访问条件,查询该用户角色的属性属于的部门;第五步,用户能够在对应部门的职务下有相应的权限。
2. 根据权利要求1所述的方法,其特征在于系统管理员预先设置角色与用户的对应关系、角色与具备资源访问条件 的资源访问权限的对应关系;
3. 根据权利要求1所述的方法,其特征在于企业管理员预选设置用户 属于那个部门的属性。
4. 根据权利要求1所述的方法,其特征在于所述用户能够被赋予一个或多个职务。
5. 根据权利要求1所述的方法,其特征在于所述用户能够被赋予一个或多个部门。
6 —种实现权限管理的系统,其特征在于所述系统包括角色模块、权 限模块、查询模块、响应模块以及部门属性分配模块;其中,角色模块,用于存储设置的角色、权限管理系统外部输入的用户 数据和角色与用户的对应关系;权限模块,用于存储设置资源访问条件,以及访问资源权限与角色的 对应关系;查询服务模块,用于接收用户访问资源的请求,根据权限模块中,访问资源权限与角色的对应关系,查询用户的角色对应的资源访问权限和用户对应的资源访问条件;响应模块,用于根据响应发送允许或拒绝用户访问资源; 部门属性分配模块,用于分配用户所属的部门,并保存所述属性的数据。
7.根据权利要求6所述的系统,其特征在于所述系统还包括资源权限 配置接口,该接口提供权限管理系统外的配置调用,传输角色模块中存储 的角色信息。
全文摘要
本发明提供一种实现权限管理的方法,包括如下步骤查询用户的角色是否有对应的资源访问权限;当用户的角色有对应的资源访问权限时,继续查询用户是否有对应的查询条件;当用户没有对应的资源访问条件,则拒绝用户访问;当用户有对应的资源访问条件,查询该用户角色的属性属于的部门;用户能够在对应部门的职务下有相应的权限。本发明的用户是通过部门的角色关系来获取相应的权限,这个符合公司的实际情况,有利于公司资源访问控制。
文档编号H04L12/24GK101588242SQ20081011195
公开日2009年11月25日 申请日期2008年5月19日 优先权日2008年5月19日
发明者平 黄 申请人:北京亿企通信息技术有限公司