专利名称:分层授权管理方法和装置的制作方法
技术领域:
本发明涉及权限管理技术,具体而言,涉及一种分层授权管理方法和装置。
背景技术:
当今的企业信息化程度越来越高,使用的软件系统功能越来越丰富,参与的人员 越来越多,对软件系统的安全要求越来越高。如果授权系统设计不合适,将大大增加管理成 本,降低企业使用系统的实时性,进而降低软件系统的应用效果。因此,如何对软件系统的 人员进行授权就变得越来越重要。当前的管理软件解决权限授权问题主要有以下几个方法1)建立系统管理员,系 统管理员拥有所有的权限,通过管理员对普通业务用户进行授权,如果普通用户较多,允许 建立多个系统管理员。该方法的优点是程序比较简单,使用也比较简单。存在的问题是不符 合系统的管理,用户的权限分配不应由系统管理员分配,而应该是由其业务主管来管理,另 外,出于系统安全的考虑,所有系统管理员有全部的软件系统授权权力也是不合适的,特别 是对于没有对授权建立权限安全审计,不能对授权及应用操作不能追踪的系统,存在的问 题更严重。2)另一种比较常见的处理授权管理的方法是将自己拥有的权限转授给其他人。 通常在用户上设置一个标识——是否管理员。如果是管理员,则可以将自己拥有的权限部 分或全部转授给其他人。而获得转授权限的人也必须是具有管理员标识的,他可以将自己 获得的授权再进行转授,实现分层授权的目的。该方法的优势是授权模型比较简单,也可在 一定程度上实现分层授权管理的功能。存在的问题是,授权其实是一项业务,安全要求比较 高时,不仅要求授权者拥有哪些授权的权力,还要限制其能够授权的角色、用户、组织等。因此,需要一种效率更高、安全性更好的授权管理方式,能够按照组织、按照职能, 对用户自己负责的业务功能模块、自己管理的业务操作人员进行授权管理。
发明内容
本发明所要解决的技术问题在于,提供一种效率更高、安全性更好的授权管理方 式,能够按照组织、按照职能,对用户自己负责的业务功能模块、自己管理的业务操作人员 进行授权管理。有鉴于此,本发明提供一种分层授权管理方法,包括管理员根据其具有的授权资 源,为指定用户分配一个授权角色,使所述用户具有对分配授权角色具有的授权资源进行 授权的权限,使所述用户成为新的管理员。通过该技术方案,管理员可以灵活地根据组织、 职能,指定新的管理员并赋予其管理员权限。在上述技术方案中,优选地,所述管理员根据其具有的授权资源制定授权角色,并 为制定的授权角色分配对应的授权资源,所述管理员具有的授权资源包括所述制定的授权 角色具有的授权资源。通过该技术方案,可以实现授权角色的灵活配置,且授权角色具有的 权限资源限制在管理员具有的权限资源内,保证了一定的安全性。在上述技术方案中,优选地,预置授权资源类型,所述管理员为所述制定的授权角
4色分配预置的授权资源类型对应的授权资源。在上述技术方案中,优选地,所述授权资源类型包括角色,所述角色包括授权角 色。在上述技术方案中,优选地,通过保存授权资源注册信息来预置所述授权资源类 型,所述授权资源注册信息包括编码信息,标识所述授权资源类型;名称信息,标识所述 授权资源类型的名称;实体信息,标识所述授权资源类型的元数据信息;界面注册信息,供 所述管理员根据所述授权资源类型选择所述制定的授权角色的授权资源;处理器信息,为 指定业务对象分配授权资源类型,并将所述指定业务对象作为所述分配的授权资源类型的 授权资源。本发明还提供了一种分层授权管理装置,包括授权模块,供管理员根据其具有的 授权资源,为指定用户分配一个授权角色,使所述用户具有对分配授权角色具有的授权资 源进行授权的权限,使所述用户成为新的管理员。通过该技术方案,管理员可以灵活地根据 组织、职能,指定新的管理员并赋予其管理员权限。在上述技术方案中,优选地,还包括授权角色管理模块,供所述管理员根据其具 有的授权资源制定授权角色,并为制定的授权角色分配对应的授权资源,所述管理员具有 的授权资源包括所述制定的授权角色具有的授权资源。通过该技术方案,可以实现授权角 色的灵活配置,且授权角色具有的权限资源限制在管理员具有的权限资源内,保证了一定 的安全性。在上述技术方案中,优选地,还包括授权资源注册模块,预置授权资源类型,所述 管理员为所述制定的授权角色分配预置的授权资源类型对应的授权资源。在上述技术方案中,优选地,所述授权资源类型包括角色,所述角色包括授权角 色。在上述技术方案中,优选地,所述授权资源注册模块通过保存授权资源注册信息 来预置所述授权资源类型,所述授权资源注册信息包括编码信息,标识所述授权资源类 型;名称信息,标识所述授权资源类型的名称;实体信息,标识所述授权资源类型的元数据 信息;界面注册信息,供所述管理员在授权角色管理模块中根据所述授权资源类型选择所 述制定的授权角色的授权资源;处理器信息,为指定业务对象分配授权资源类型,并将所述 指定业务对象作为所述分配的授权资源类型的授权资源。通过上述技术方案,可以实现一种分层授权管理方法和装置,能够按照组织、按照 职能,对用户自己负责的业务功能模块、自己管理的业务操作人员进行授权管理。
图1是根据本发明的一个实施例的分层授权管理方法的流程图;图2是根据本发明的一个实施例的分层授权管理装置的框图;图3是根据本发明的一个实施例的分层授权管理装置中的模块示意图;图4是根据本发明的一个实施例的分层授权管理装置的实现授权资源注册的示 意图;图5是根据本发明的一个实施例的分层授权管理装置的授权资源管理模块的界 面示意图6是根据本发明的一个实施例的分层授权管理装置的进行授权的授权资源的 示意图;图7是根据本发明的一个实施例的分层授权管理装置的进行授权的授权过程的 流程示意图。
具体实施例方式为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实 施方式对本发明进行进一步的详细描述。在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可 以采用其他不同于在此描述的其他方式来实施,因此,本发明并不限于下面公开的具体实 施例的限制。图1是根据本发明的一个实施例的分层授权管理方法的流程图。如图1所示,本发明所要解决的技术问题在于,提供一种效率更高、安全性更好的 授权管理方式,能够按照组织、按照职能,对用户自己负责的业务功能模块、自己管理的业 务操作人员进行授权管理。有鉴于此,本发明提供一种分层授权管理方法,包括步骤102,管理员根据其具 有的授权资源,为指定用户分配一个授权角色,使所述用户具有对分配授权角色具有的授 权资源进行授权的权限,使所述用户成为新的管理员。通过该技术方案,管理员可以灵活地 根据组织、职能,指定新的管理员并赋予其管理员权限。在上述技术方案中,所述管理员根据其具有的授权资源制定授权角色,并为制定 的授权角色分配对应的授权资源,所述管理员具有的授权资源包括所述制定的授权角色具 有的授权资源。通过该技术方案,可以实现授权角色的灵活配置,且授权角色具有的权限资 源限制在管理员具有的权限资源内,保证了一定的安全性。在上述技术方案中,预置授权资源类型,所述管理员为所述制定的授权角色分配 预置的授权资源类型对应的授权资源。在上述技术方案中,所述授权资源类型包括角色,所述角色包括授权角色。在上述技术方案中,通过保存授权资源注册信息来预置所述授权资源类型,所述 授权资源注册信息包括编码信息,标识所述授权资源类型;名称信息,标识所述授权资源 类型的名称;实体信息,标识所述授权资源类型的元数据信息;界面注册信息,供所述管理 员根据所述授权资源类型选择所述制定的授权角色的授权资源;处理器信息,为指定业务 对象分配授权资源类型,并将所述指定业务对象作为所述分配的授权资源类型的授权资 源。图2是根据本发明的一个实施例的分层授权管理装置的框图。如图2所示,本发明还提供一种分层授权管理装置,包括授权模块,供管理员根 据其具有的授权资源,为指定用户分配一个授权角色,使所述用户具有对分配授权角色具 有的授权资源进行授权的权限,使所述用户成为新的管理员。通过该技术方案,管理员可以 灵活地根据组织、职能,指定新的管理员并赋予其管理员权限。在上述技术方案中,还包括授权角色管理模块,供所述管理员根据其具有的授权 资源制定授权角色,并为制定的授权角色分配对应的授权资源,所述管理员具有的授权资源包括所述制定的授权角色具有的授权资源。通过该技术方案,可以实现授权角色的灵活 配置,且授权角色具有的权限资源限制在管理员具有的权限资源内,保证了一定的安全性。在上述技术方案中,还包括授权资源注册模块,预置授权资源类型,所述管理员 为所述制定的授权角色分配预置的授权资源类型对应的授权资源。在上述技术方案中,所述授权资源类型包括角色,所述角色包括授权角色。在上述技术方案中,所述授权资源注册模块通过保存授权资源注册信息来预置所 述授权资源类型,所述授权资源注册信息包括编码信息,标识所述授权资源类型;名称信 息,标识所述授权资源类型的名称;实体信息,标识所述授权资源类型的元数据信息;界面 注册信息,供所述管理员在授权角色管理模块中根据所述授权资源类型选择所述制定的授 权角色的授权资源;处理器信息,为指定业务对象分配授权资源类型,并将所述指定业务对 象作为所述分配的授权资源类型的授权资源。图3至图7是根据本发明的一个实施例的分层授权管理装置的示意图。本实施中的分层授权管理装置包括授权资源注册模块302、授权角色管理模块 304、授权模块306。其中授权资源注册模块302,主要解决向系统中注册在授权中需要实 现分层授权的那些资源类型,如用户类型、角色类型、组合类型、功能类型/菜单类型,操作 /服务类型,报表类型,流程类型等;授权角色管理模块304,主要完成由上级管理员指定 下级管理员角色的授权范围,授权范围包括可供授权的权限资源对象,如哪些用户、哪些角 色、哪些组织等;授权模块306主要是基于RBAC模型,将一个或一组管理员角色授予下级管 理员,或者直接实现最终的业务授权。授权资源注册模块302提供一个注册界面,支持开发人员、实施人员按照分层授 权业务的需要,向系统注册新的需要授权管理的资源或删除已注册的资源。该模块主要提供了一个灵活的方法,通过扩展机制来实现不同产品、行业、伙伴、 客户针对分层授权的定制需要。设计的主要注册信息包括资源类型编码授权资源的编码,标识一类授权资源类型;资源类型名称授权资源类型的名称,用于界面显示;资源类型实体对应资源类型的元数据信息,该类资源需要实现资源类型实体接 Π ;授权资源界面注册实现授权资源的资源类型界面接口,提供实现类的类全名等 fn息;授权资源处理器主要职责是提供一个适配器。该处理器需要实现授权资源处理 接口,并将具体的业务实体、对象适配成授权资源类型和具体的授权资对象;是否启用只有启用的资源类型能够使用;授权资源注册模块302主要的处理过程包括1)进入授权资源注册界面;2)可以选择新增、修改操作,如果选择新增,转入步骤3),如果选择修改,转入步 骤4);3)根据注册信息要求,填写资源类型编码、名称等信息,并保存;4)选择需要修改的资源,修改需要的内容,并保存;
7
5)如果需要删除资源,先选择需要删除的资源,再直接点击删除操作即可。一个授权资源注册的示例如图4所示,用户类型402、角色类型404、组织类型406、 功能类型408的资源类型都可以通过已实现的授权资源接口 400。下面结合图5对本实施例中的授权角色管理模块304进行说明。授权角色是指用于分层授权的那些角色。该类角色不同于直接向操作业务员授权 的业务角色,即授权角色不同于常见的RBAC中的组合了业务权限的角色。授权角色管理模 块304主要完成为每个授权角色提供该角色需要的授权资源。授权资源的类型使用通过授 权资源注册模块302注册到系统中的授权资源类型。授权角色管理模块304的参考界面如图5所示。每个管理员可以利用授权角色管理模块304的功能建立自己需要的授权角色。在 该功能中,管理员打开界面后,界面的上面可以设置过滤条件授权角色的具体所属组织, 授权角色的具体业务领域等,如果不选择,表示不做过滤。在界面的左边是符合过滤条件 的,当前管理员的所有业务角色中的具有维护权限的所有授权角色,这些角色按照授权角 色组进行分类显示。每个授权的资源界面中,能够增加的资源只是该管理员具有的授权资源。例如,当 为授权角色1增加可授权用户时,增加的用户只能从当前管理员具有的所有授权角色中包 含的可授权用户的并集中进行选择。为了简化工作中的关系,支持定义组织管理员角色。组织管理员角色除了具有上 级分配的授权角色的授权资源之外,所有属于本组织的资源,组织管理员角色也都具有授 权使用的权力。举例来说,公司A有一个的管理员角色orgRoleA,则凡是具有该角色的授权 管理员,将能够使用所有属于公司A的用户组、角色组、包括公司A以及公司A的所有下级 组织等。组织管理员角色是内置角色,不需在本模块中维护。授权角色管理模块304支持丰富的扩展能力,能够根据权限资源注册模块302中 注册的授权资源类型中的信息,增强需要分层授权管理的授权资源。假如用户需要管理的 授权资源还需要增加一类资源类型报表类型,而且该类型已经在授权资源注册模块304 中成功注册且处于启用状态。那么在本模块的授权资源的页签中将增加一个“报表”页签。 页签显示的内容将直接调用授权资源注册模块304中注册的“报表”资源类型的授权资源 界面注册信息。加载时调用授权资源注册模块304中注册的“报表”的授权资源处理器信 息。由于这些注册信息都实现了预先框架定义的相应的接口,所以本模块基于插件机制,可 以方便地实现授权资源类型的扩展以及授权角色的可授权资源的管理。如图6所示的一个示例,该示例显示了授权角色1的授权结果。授权角色1的管 理授权范围是如下图所示的一组用户、一组角色、一组组织和一组功能。如果扩展了报表资 源类型的话,还可能包含一组报表。管理员其实是一类普通用户,一旦普通用户被授予了授权角色,就具有了授权的 权力,也就成为了管理员。授权模块306的主要职能是根据分层授权管理业务的需要,选择 用户,将需要授予的一个或一组授权角色分配给该用户。一旦用户具有了授权角色,将能够使用授权角色管理模块304的功能建立自己需 要的授权角色,并为它们分配需要的可授权资源。以此类推,就可以实现多层的授权管理。 并且让这些管理员只关注他们能够授权的用户、能够使用的角色、能够管理的组织、能够授权的功能等等。使用授权模块306授权的流程如图7所示。步骤702,用户选择进入管理员授权功能;步骤704,判断用户是否具有授权权限,没有则进入步骤714结束操作,有则进入 步骤706 ;步骤706,根据用户查找该用户的授权角色集合;步骤708,根据授权资源集合加载授权页面;步骤710,选择一个需要进行操作的用户;步骤712,增加或删除该用户拥有的授权角色,步骤714,退出分层授权管理装置。通过上述技术方案,可以实现一种分层授权管理方法和装置,可在 RBAC(Role-Based Access Control,基于角色的访问控制)基础上,按照授权角色的方式, 能够非常方便地实现分层授权管理。不仅管理了可授权的权限资源,如功能权限/菜单权 限等,还管理了将这些资源的相关联的资源,如用户、角色、组织等。而且基于授权资源的注 册机制和授权角色管理的插件机制,能够支持分层授权管理的灵活扩展。根据本发明的分层授权管理方法和装置不仅更加符合用户的权限管理的业务需 要,而且支持灵活的扩展,能够增加软件在权限管理方面的竞争力,也大大方便了用户的日 益复杂权限管理的需要。从合规性和可用性方面实现了企业分层授权管理业务能力的提 升。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
一种分层授权管理方法,其特征在于,包括管理员根据其具有的授权资源,为指定用户分配一个授权角色,使所述用户具有对分配授权角色具有的授权资源进行授权的权限,使所述用户成为新的管理员。
2.根据权利要求1所述的分层授权管理方法,其特征在于,所述管理员根据其具有的 授权资源制定授权角色,并为制定的授权角色分配对应的授权资源,所述管理员具有的授 权资源包括所述制定的授权角色具有的授权资源。
3.根据权利要求2所述的分层授权管理方法,其特征在于,预置授权资源类型,所述管 理员为所述制定的授权角色分配预置的授权资源类型对应的授权资源。
4.根据权利要求3所述的分层授权管理方法,其特征在于,所述授权资源类型包括角 色,所述角色包括授权角色。
5.根据权利要求3所述的分层授权管理方法,其特征在于,通过保存授权资源注册信 息来预置所述授权资源类型,所述授权资源注册信息包括编码信息,标识所述授权资源类型;名称信息,标识所述授权资源类型的名称;实体信息,标识所述授权资源类型的元数据信息;界面注册信息,供所述管理员根据所述授权资源类型选择所述制定的授权角色的授权 资源;处理器信息,为指定业务对象分配授权资源类型,并将所述指定业务对象作为所述分 配的授权资源类型的授权资源。
6.一种分层授权管理装置,其特征在于,包括授权模块,供管理员根据其具有的授权资源,为指定用户分配一个授权角色,使所述用 户具有对分配授权角色具有的授权资源进行授权的权限,使所述用户成为新的管理员。
7.根据权利要求6所述的分层授权管理装置,其特征在于,还包括授权角色管理模块,供所述管理员根据其具有的授权资源制定授权角色,并为制定的 授权角色分配对应的授权资源,所述管理员具有的授权资源包括所述制定的授权角色具有 的授权资源。
8.根据权利要求7所述的分层授权管理装置,其特征在于,还包括授权资源注册模块,预置授权资源类型,所述管理员为所述制定的授权角色分配预置 的授权资源类型对应的授权资源。
9.根据权利要求8所述的分层授权管理装置,其特征在于,所述授权资源类型包括角 色,所述角色包括授权角色。
10.根据权利要求8所述的分层授权管理装置,其特征在于,所述授权资源注册模块通 过保存授权资源注册信息来预置所述授权资源类型,所述授权资源注册信息包括编码信息,标识所述授权资源类型;名称信息,标识所述授权资源类型的名称;实体信息,标识所述授权资源类型的元数据信息;界面注册信息,供所述管理员在授权角色管理模块中根据所述授权资源类型选择所述 制定的授权角色的授权资源;处理器信息,为指定业务对象分配授权资源类型,并将所述指定业务对象作为所述分配的授权资源类型的授权资源。
全文摘要
本发明提供一种分层授权管理方法,包括管理员根据其具有的授权资源,为指定用户分配一个授权角色,使所述用户具有对分配授权角色具有的授权资源进行授权的权限,使所述用户成为新的管理员。本发明还提供一种分层授权管理装置。通过上述技术方案,能够实现一种分层授权管理方法和装置,按照组织、按照职能,对用户自己负责的业务功能模块、自己管理的业务操作人员进行授权管理。
文档编号H04L29/06GK101951377SQ20101028975
公开日2011年1月19日 申请日期2010年9月21日 优先权日2010年9月21日
发明者史周军 申请人:用友软件股份有限公司