本发明涉及计算机网络技术领域,具体地说是一种实用性强、信息管理系统的资源授权方法。
背景技术:
随着互联网技术的广泛应用和信息化的快速发展。企业中的传统管理模式已经逐渐被现代化的信息系统所取代。ERP,CRM,OA等是众多信息化管理方式的典型代表。而信息系统的广泛使用也给用户带来了信息安全方面的问题。怎么确保信息资源不被非法使用,合法用户能够访问被分配的资源。怎么对合法用户分配资源,对特定资源进行访问限制。怎么区分授权用户与非授权用户的访问等等这些系统和数据安全问题也是信息管理系统所要解决的。
介于信息系统实现的技术,开发规模,设计等方面的考虑。每个信息系统对用户资源访问的方式不尽相同。所带来的问题主要有每个系统都要重复开发,浪费资源。只能满足自己的系统需求,不能通用。技术壁垒,达不到要求。
基于此,现提供一种信息管理系统的资源授权方法。
技术实现要素:
本发明的技术任务是针对以上不足之处,提供一种实用性强、信息管理系统的资源授权方法。
一种信息管理系统的资源授权方法,该方法的实现过程为:
首先建立新的角色并做分配;
建立一个管理模块,为新建角色添加权限;
新建一个账户,用于采集用户信息,同时将一个或多个角色赋给这个用户;
用户登录信息管理系统,信息管理系统根据用户和角色获取用户的权限集合和访问的资源集合,授权用户登录。
所述角色是指权限的集合、权限分配的单位与载体;用于隔离用户与资源,是粗粒度和细粒度的接口,粗粒度为类级别,即仅考虑对象的类别,不考虑对象的某个特定实例,细粒度表示实例或数据级,即具体的对象实例或对象属性;角色可以包含用户,也可以包含实现权限继承的角色。
所述管理模块中,针对该管理模块的不同功能,分别分配一个ID;同时该管理模块把功能ID添加到新建角色拥有的权限中,并保存到持久层;新建角色的权限集合如果包含在现有角色权限集合中,则直接继承现有角色并添加新的权限集合到新建角色中;对需要申请临时权限的用户,给角色添加该权限并给该权限设定使用时间。
所述新建账户中,用户在登录到系统中时可以查看其访问的资源和执行的操作动作,且同一时刻用户只能以一种身份登录系统。
当用户登录信息管理系统时,该信息管理系统的具体登录授权过程为:
首先采集用户基本信息和登录信息;
然后存储系统中需要授权访问的所有系统资源;
为角色和用户分配资源权限,角色和用户通过继承可获得父对象所拥有的所有权限集合;角色和用户可以映射多个访问资源,一个资源也可以赋给多个角色和用户。
采集的用户基本信息和登录信息包括账户信息、指纹信息和登录设备信息。
信息管理系统的授权包括正向授权和负向授权,其中正向授权是指当用户没有任何权限时,信息管理系统根据需要授予权限;负向授权是指当用户有所有权限时,信息管理系统将指定特殊权限收回。
当临时使用资源时,信息管理系统为非授权用户发放临时授权,在授权期限内用户可以使用该资源,授权期限到时自动回收使用权限。
本发明的一种信息管理系统的资源授权方法,具有以下优点:
该发明的一种信息管理系统的资源授权方法,解决因信息系统的广泛使用带来了信息安全方面的问题;确保信息资源不被非法使用,合法用户能够访问被分配的资源;合法用户分配资源,对特定资源进行访问限制。区分授权用户与非授权用户的访问等等这些系统和数据安全问题,实用性强,适用范围广泛,易于推广。
具体实施方式
下面结合具体实施例对本发明作进一步说明。
本发明提供一种信息管理系统的资源授权方法,该方法中涉及到的名词解释如下:
粗粒度:类级别,即仅考虑对象的类别,不考虑对象的摸个特定实例。
细粒度:表示实例或数据级,即具体的对象实例或对象属性。
用户:资源的使用者。用户不能与权限直接关联,用户要想拥有某种资源的使用权必须通过Role去关联。
角色:权限的集合,权限分配的单位与载体。用于隔离用户与资源,是粗粒度和细粒度的接口。角色可以包含用户,也可以包含角色(实现权限的继承)。
资源:被访问的对象。可以是访问地址,操作指令或数据信息。资源可以反向包含自己,一个资源可以与若干个指定权限相关。
授权:为合法用户进行信息授权(正向授权与负向授权)。授权是绑定在具体的资源实例上的。比如新闻的发布权限。
用户组:权限分配的单位与载体。组可以包含用户,也可以包含组(实现权限的继承)。组内用户继承组的权限。
正向授权:假定主体没有任何权限,然后根据需要授予权限。
负向授权:假定主体有所有权限,然后将某些特殊权限收回。
该方法的实现过程为:
首先建立新的角色并做分配;
建立一个管理模块,为新建角色添加权限;
新建一个账户,用于采集用户信息,同时将一个或多个角色赋给这个用户;
用户登录信息管理系统,信息管理系统根据用户和角色获取用户的权限集合和访问的资源集合,授权用户登录。
用户和资源不存在直接的访问关系,用户要想拥有某种资源的使用权限必须通过角色或用户组去关联。用户被包含在角色或用户组中。角色可以继承角色,用户组也可以继承用户组。
所述管理模块中,针对该管理模块的不同功能,分别分配一个ID;同时该管理模块把功能ID添加到新建角色拥有的权限中,并保存到持久层;新建角色的权限集合如果包含在现有角色权限集合中,则直接继承现有角色并添加新的权限集合到新建角色中;对需要申请临时权限的用户,给角色添加该权限并给该权限设定使用时间。
所述新建账户中,用户在登录到系统中时可以查看其访问的资源和执行的操作动作,且同一时刻用户只能以一种身份登录系统。
当用户登录信息管理系统时,该信息管理系统的具体登录授权过程为:
首先采集用户基本信息和登录信息;
然后存储系统中需要授权访问的所有系统资源;
为角色和用户分配资源权限,角色和用户通过继承可获得父对象所拥有的所有权限集合;角色和用户可以映射多个访问资源,一个资源也可以赋给多个角色和用户。
采集的用户基本信息和登录信息包括账户信息、指纹信息和登录设备信息。
信息管理系统的授权包括正向授权和负向授权,其中正向授权是指当用户没有任何权限时,信息管理系统根据需要授予权限;负向授权是指当用户有所有权限时,信息管理系统将指定特殊权限收回。
当临时使用资源时,信息管理系统为非授权用户发放临时授权,在授权期限内用户可以使用该资源,授权期限到时自动回收使用权限。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的一种信息管理系统的资源授权方法的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。