一种多因素适配的集中授权管理方法及装置与流程
本发明涉及办公系统领域,尤其涉及一种多因素适配的集中授权管理方法及装置。
背景技术:
随着信息化技术的快速发展和互联网+兴起,针对各行各业的办公系统应用应运而生,为人们在工作时提供了极大的方便。
目前由于各行各业的办公系统的异构性,授权管理很复杂。且大多数办公系统权限管理模式都独立、分散、复杂,因此造成集中授权管理难度大,降低了工作效率。
技术实现要素:
本发明实施例提供一种多因素适配的集中授权管理方法及装置,有利于解决集中授权管理难度大的问题,提高了工作效率。
第一方面,本发明实施例提供一种多因素适配的集中授权管理方法,包括:
接收用户通过业务系统发送的资源请求消息,所述资源请求消息用于指示为所述用户请求目标资源;
获取所述用户的资源获取权限等级和所述目标资源的授予权限等级;
确认所述用户的资源获取权限等级是否高于或者等于所述目标资源的授予权限等级;
若确定所述用户的资源获取权限等级高于或者等于所述目标资源的授予权限等级,获取所述目标资源;
向所述业务系统发送响应消息,所述响应消息包括所述目标资源。
在一种可行的实施例中,所述资源请求消息包括所述目标资源的信息,所述获取所述用户的资源获取权限等级和所述目标资源的授予权限等级,包括:
根据所述目标资源的信息从资源管理中心中获取所述目标资源的授予权限等级;所述资源管理中心用于收集和存储资源,并对所述资源配置权限等级。
在一种可行的实施例中,所述资源请求消息包括所述用户的信息,所述获取用户的额权限等级和所述目标资源的授予权限等级,包括:
根据所述用户信息从用户管理中心获取所述用户的资源获取权限等级;所述用户管理中心用于配置和存储用户的资源获取权限等级等信息。
在一种可行的实施例中,所述用户所属用户群包括至少两个用户,所述用户群中的用户具有相同的权限等级标识,所述权限等级标识用于表示所述用户的资源获取权限等级,所述用户的信息包括所述权限等级标识,所述获取所述用户的资源获取权限等级和所述目标资源的授予权限等级,还包括:
根据所述用户的信息获取所述用户的资源获取权限等级。
在一种可行的实施例中,所述用户的信息包括所述用户的身份标识id和姓名;所述目标资源的信息包括所述目标的编号和名称。
第二方面,本发明实施例提供一种多因素适配的集中授权管理装置,包括:
接收模块,用于接收用户通过业务系统发送的资源请求消息,所述资源请求消息用于指示为所述用户请求目标资源;
第一获取模块,用于获取所述用户的资源获取权限等级和所述目标资源的授予权限等级;
确认模块,用于确认所述用户的资源获取权限等级是否高于或者等于所述目标资源的授予权限等级;
第二获取模块,用于若所述确认模块确定所述用户的资源获取权限等级高于或者等于所述目标资源的授予权限等级,获取所述目标资源;
发送模块,用于向所述业务系统发送响应消息,所述响应消息包括所述目标资源。
在一种可行的实施例中,所述资源请求消息包括所述目标资源的信息,所述第一获取模块包括:
第一获取单元,用于根据所述目标资源的信息从资源管理中心中获取所述目标资源的授予权限等级;所述资源管理中心用于收集和存储资源,并对所述资源配置权限等级。
在一种可行的实施例中,所述资源请求消息包括所述用户的信息,所述第一获取模块包括:
第二获取单元,用于根据所述用户信息从用户管理中心获取所述用户的资源获取权限等级;所述用户管理中心用于配置和存储用户的资源获取权限等级等信息。
在一种可行的实施例中,所述用户所属用户群包括至少两个用户,所述用户群中的用户具有相同的权限等级标识,所述权限等级标识用于表示所述用户的资源获取权限等级,所述用户的信息包括所述权限等级标识,所述第一获取模块还包括:
第三获取单元,用于根据所述用户的信息获取所述用户的资源获取权限等级。
在一种可行的实施例中,所述用户的信息包括所述用户的身份标识id和姓名;所述目标资源的信息包括所述目标的编号和名称。
可以看出,在本发明实施例的方案中,首先、接收用户通过业务系统发送的资源请求消息;其次,从用户管理中心和资源管理中心分别获取所述用户的资源获取权限等级和所述目标资源的授予权限等级;最后,确认所述用户的资源获取权限等级是否高于或者等于所述目标资源的授予权限等级;若确定所述用户的资源获取权限等级高于或者等于所述目标资源的授予权限等级,获取并向所述业务系统发送所述目标资源。与现有技术相比,资源管理中心统一管理各种资源和用户管理中心统一管理用户的权限,在此基础上进行授权操作,有利于解决集中授权管理难度大的问题,提高了工作效率。
本发明的这些方面或其他方面在以下实施例的描述中会更加简明易懂。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种多因素适配的集中授权管理方法所应用的场景示意图;
图2为本发明实施例提供的一种多因素适配的集中授权管理方法的流程示意图;
图3为本发明实施例提供的一种多因素适配的集中授权管理方法的交互式流程示意图;
图4为本发明实施例提供的一种多因素适配的集中授权管理装置的结构示意图;
图5为本发明实施例提供的一种多因素适配的集中授权管理装置的部分结构示意图;
图6为本发明实施例提供的另一种多因素适配的集中授权管理装置的结构示意图。
具体实施方式
下面结合附图对本申请的实施例进行描述。
请参见图1,图1为一种多因素适配的集中授权系统框架示意图,本发明实施例提供一种多因素适配的集中授权管理方法应用于上述系统。该系统包括业务系统100和集中授权管理装置110。其中集中授权管理装置里面包括资源管理中心111、用户管理中心112和授权中心113。该资源管理中心111用于收集不同业务系统上的资源,并对这些资源进行权限分配和存储。该资源可为图片资源、文本资源、多媒体资源、链接资源、系统资源或者其他资源。上述用户管理中心112用于配置和存储用户的资源获取权限等级等信息。授权中心113用于对用户通过业务系统获取资源的权限进行鉴权。用户通过业务系统100向集中授权管理装置110获取其所需的资源。该业务系统100可与上述权限管理装置110在同一设备中,也可以在不同的设备中。为了表示方便,上述业务系统100与上述集中授权管理装置110的通信方式、上述资源管理中心111和上述授权中心113之间的通信方式、上述用户管理中心112和上述授权中心113之间的通信方式均以双箭头实现表示。
请参见图2,图2为本发明实施例提供的一种多因素适配的集中授权管理方法的流程示意图,如图2所示,该方法包括以下步骤:
s201、集中授权管理装置接收用户通过业务系统发送的资源请求消息,所述资源请求消息用于指示为所述用户请求目标资源。
其中,上述业务系统可为办公系统,比如财务管理系统、数据管理系统等。
上述资源请求消息包括所述用户的信息和目标资源的信息。
具体地,上述用户的信息包括该用户的身份标识id、姓名等信息,上述目标资源的信息包括目标资源的编号、名称。
s202、所述集中授权管理装置获取所述用户的资源获取权限等级和所述目标资源的授予权限等级。
其中,所述资源请求消息包括所述目标资源的信息,所述获取所述用户的资源获取权限等级和所述目标资源的授予权限等级,包括:
根据所述目标资源的信息从资源管理中心中获取所述目标资源的授予权限等级;所述资源管理中心用于收集和存储资源,并对所述资源配置权限等级。
可选地,上述资源可为图片资源、文本资源、链接资源、系统资源或者其他资源。上述目标资源为上述资源的一种或者上述资源的任意组合。
具体地,上述资源管理中心从当前业务系统收集并获取上述图片资源、文本资源、链接资源等资源,并对这些资源进行配置权限等级;上述资源管理中心从其他系统中获取图片资源、文本资源、链接资源或者其他资源的位置信息,并将该位置信息作为系统资源,并对这些资源进行配置权限等级。
举例说明,上述资源的权限等级可以以大写字母a、b、c、d等表示,其中a代表最高权限等级;上述权限等级还可以以颜色红、橙、黄、绿、青、蓝、紫表示,其中紫色表示最高权限等级;上述权限等级还可以以数字1、2、3、4、5等表示,其中数字越大权限等级则越高。
其中,所述资源请求消息包括所述用户的信息,所述获取用户的额权限等级和所述目标资源的授予权限等级,包括:
根据所述用户信息从用户管理中心获取所述用户的资源获取权限等级;所述用户管理中心用于配置和存储用户的资源获取权限等级等信息。
具体地,上述用户管理中心管理用户的资源获取权限等级、获取新的用户并对该用户配置权限等级。
需要说明的是,上述用户的资源获取权限等级可参照上述资源的权限等级的设置,在此不再赘述。
可选地,所述用户所属用户群包括至少两个用户,所述用户群中的用户具有相同的权限等级标识,所述权限等级标识用于表示所述用户的资源获取权限等级,所述用户的信息包括所述权限等级标识,所述获取所述用户的资源获取权限等级和所述目标资源的授予权限等级,还包括:
根据所述用户的信息获取所述用户的资源获取权限等级。
其中,上述用户的信息包括权限等级标识,该权限等级标识表示用户具有的权限等级。
具体地,上述根据所述用户的信息获取所述用户的资源获取权限等级具体是根据权限等级标识获取用户的资源获取权限等级。
可选地,上述用户群可为用户组或者角色。该用户组可为财务部、流程部、业务部;角色可为领导、管理员、普通员工。
具体地,上述用户组或者角色可包含至少两个用户,且该至少两个用户具有相同的权限等级,以用户的资源获取权限等级标识表示用户的资源获取权限等级。
可选地,上述集中授权管理装置对一些用户设置授权策略,并根据授权策略获取用户的资源获取权限等级。
举例说明,上述授权策略为用户a能够获取所有的图片资源。当上述集中授权管理装置接收到用户a的获取图片资源的请求消息后,将用户a的权限等级直接设为图片资源的权限等级。
s203、所述集中授权管理装置确认所述用户的资源获取权限等级是否高于或者等于所述目标资源的授予权限等级。
具体地,上述集中授权管理装置确认上述用户的资源获取权限等级是否高于或者等于上述目标资源的授予权限等级即上述集中授权管理装置确定上述用户是否有权限获取上述目标资源。
s204、若所述集中授权管理装置确定所述用户的资源获取权限等级高于或者等于所述目标资源的授予权限等级,所述集中授权管理装置获取所述目标资源。
具体地,若上述集中授权管理装置确定上述用户的资源获取权限等级高于或者等于上述目标资源的授予权限等级,即上述集中授权管理装置确定上述用户有权限获取上述目标资源,则上述集中授权管理装置获取上述目标资源。
s205、所述集中授权管理装置向所述业务系统发送响应消息,所述响应消息包括所述目标资源。
举例说明,上述用户通过业务系统向集中授权管理装置发送资源请求消息,该资源请求消息用于为上述用户请求图片a,该集中授权管理装置根据上述资源请求消息中的用户的信息和图片a的信息分别获取用户的资源获取权限等级和图片a的权限等级;集中授权管理装置确定用户的资源获取权限等级是否高于或者等于图片a的权限等级,若确定用户的资源获取权限等级高于或者等于图片a的权限等级,则集中授权管理装置确定上述用户有权限获取图片a,该装置获取图片a并且将图片a发送给上述用户,至此完成一次获取图片资源的授权。
可以看出,在本发明实施例的方案中,首先、接收用户通过业务系统发送的资源请求消息;其次,从用户管理中心和资源管理中心分别获取所述用户的资源获取权限等级和所述目标资源的授予权限等级;最后,确认所述用户的资源获取权限等级是否高于或者等于所述目标资源的授予权限等级;若确定所述用户的资源获取权限等级高于或者等于所述目标资源的授予权限等级,获取并向所述业务系统发送所述目标资源。与现有技术相比,资源管理中心统一管理各种资源和用户管理中心统一管理用户的权限,在此基础上进行授权操作,有利于解决集中授权管理难度大的问题,提高了工作效率。
请参见图3,图3为本发明实施例提供的一种多因素适配的集中授权管理方法的交互式流程示意图。如图3所示,该方法包括:
s301、用户通过业务系统向资源管理中心发送资源获取请求,以指示为所述用户请求目标资源。
其中,上述业务系统可为办公系统,比如财务管理系统、数据管理系统等。上述资源获取请求包括上述用户的信息和上述目标资源的信息。
具体地,上述用户的信息包括用户的id和姓名,上述目标资源的信息包括目标资源的编号和全称。
其中,上述资源管理中心统一管理资源,包括从业务系统中收集资源,并对该资源设置权限等级。权限等级用于表示获取该资源用户所需要的权限等级。
可选地,上述资源可为图片资源、文本资源、链接资源、系统资源或者其他资源。
进一步,上述资源管理中心对上述链接资源设置一些属性。该属性可为是否登录后访问、是否安全过滤、是否允许跨域访问或者请求是否进行事件记录。
s302、所述资源管理中心接收所述资源获取请求后,所述资源管理中心向授权中心发送第一请求消息。
其中,上述第一请求消息指示获取上述资源管理中心获取授权结果。上述第一请求消息包括上述用户的信息和目标资源的授予权限等级。该目标资源的授予权限等级用于表示能够获取该目标资源的用户的最低权限等级。
s303、所述授权中心向用户管理中心发送第二请求消息,以请求获取所述用户的资源获取权限等级。
其中,上述用户管理中心管理用户的资源获取权限等级、获取新的用户并对该用户配置权限等级。上述第二请求消息包括用户的信息。
s304、所述用户管理中心向所述授权中心发送第二响应消息,所述第二响应消息包括所述用户的资源获取权限等级。
其中,上述用户管理中心根据上述用户的信息获取该用户的资源获取权限等级,并将该用户的资源获取权限等级发送至上述授权中心。
s305、所述授权中心获取所述用户的资源获取权限等级。
可选地,上述用户所属用户群包括至少两个用户,该用户群中的用户具有相同的权限等级标识,所述权限等级标识用于表示所述用户的资源获取权限等级。上述用户的信息包括上述权限等级标识。上述授权中心根据上述用户的资源获取权限等级标识获取该用户的资源获取权限等级。
可选地,上述用户群可为用户组或者角色。该用户组可为财务部、流程部、业务部;角色可为领导、管理员、普通员工。
具体地,上述用户组或者角色可包含至少两个用户,且该至少两个用户具有相同的权限等级,以用户的资源获取权限等级标识表示用户的资源获取权限等级。
可选地,上述集中授权管理装置对一些用户设置授权策略,并根据授权策略获取用户的资源获取权限等级。
举例说明,上述授权策略为用户a能够获取所有的图片资源。当上述集中授权管理装置接收到用户a的获取图片资源的请求消息后,将用户a的权限等级直接设为图片资源的权限等级。
s306、所述授权中心根据所述用户的资源获取权限等级和所述目标资源的授予权限等级,获取授权结果。
其中,上述授权结果包括上述用户有权限获取上述目标资源或者上述用户没有权限获取上述目标资源。
具体地,上述授权中心确定上述用户的资源获取权限等级是否高于或等于上述目标资源的授予权限等级;若上述授权中心确定上述用户的资源获取权限等级高于或等于上述目标资源的授予权限等级,则上述授权中心确认上述用户有权限获取上述目标资源;若上述授权中心确定上述用户的资源获取权限等级低于上述目标资源的授予权限等级,则上述授权中心确认上述用户没有权限获取上述目标资源。
s307、所述授权中心向所述资源管理中心发送第一响应消息,所述第一响应消息包括所述授权结果。
s308、所述资源管理中心根据授权结果向所述业务系统发送资源获取响应。
其中,上述资源获取响应用于响应上述资源获取请求。该资源获取响应包括目标资源或者提醒信息。
具体地,若上述授权结果为上述用户有权限获取上述目标资源,则上述资源管理中心向上述业务系统发送上述目标资源;若上述授权结果为上述用户没有权限获取上述目标资源,则上述资源管理中心向上述业务系统发送提醒信息,该提醒信息用于告知用户没有权限获取目标资源,提醒其获取该目标资源的授予权限等级。
需要说明的是,图3所示的方法的各个步骤的具体实现过程可参见上述方法所述的具体实现过程,在此不再叙述。
请参见图4,图4为本发明实施例还提供了一种多因素适配的集中授权管理装置结构示意图,如图4所示,该装置400包括:
接收模块401,用于接收用户通过业务系统发送的资源请求消息,所述资源请求消息用于指示为所述用户请求目标资源;
第一获取模块402,用于获取所述用户的资源获取权限等级和所述目标资源的授予权限等级。
可选地,所述资源请求消息包括所述目标资源的信息,所述第一获取模块402包括:
第一获取单元4021,用于根据所述目标资源的信息从资源管理中心中获取所述目标资源的授予权限等级;所述资源管理中心用于收集和存储资源,并对所述资源配置权限等级。
可选地,所述资源请求消息包括所述用户的信息,所述第一获取模块402包括:
第二获取单元4022,用于根据所述用户信息从用户管理中心获取所述用户的资源获取权限等级;所述用户管理中心用于配置和存储用户的资源获取权限等级等信息。
可选地,所述用户所属用户群包括至少两个用户,所述用户群中的用户具有相同的权限等级标识,所述权限等级标识用于表示所述用户的资源获取权限等级,所述用户的信息包括所述权限等级标识,所述第一获取模块402还包括:
第三获取单元4023,用于根据所述用户的信息获取所述用户的资源获取权限等级。
其中,所述用户的信息包括所述用户的身份标识id和姓名;所述目标资源的信息包括所述目标的编号和名称。
确认模块403,用于确认所述用户的资源获取权限等级是否高于或者等于所述目标资源的授予权限等级;
第二获取模块404,用于若所述确认模块确定所述用户的资源获取权限等级高于或者等于所述目标资源的授予权限等级,获取所述目标资源;
发送模块405,用于向所述业务系统发送响应消息,所述响应消息包括所述目标资源。
需要说明的是,上述各模块(接收模块401、第一获取模块402、确认模块403、第二获取模块404、发送模块405)用于执行上述方法的相关步骤。
在本实施例中,集中授权管理装置400是以模块的形式来呈现。这里的“模块”可以指特定应用集成电路(application-specificintegratedcircuit,asic),执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。此外,以上接收模块401、第一获取模块402、确认模块403、第二获取模块404、发送模块405可通过图5所示的集中授权管理装置500的处理器501来实现。
如图6所示,集中授权管理装置600可以以图6中的结构来实现,该集中授权管理装置600包括至少一个处理器601,至少一个存储器602以及至少一个通信接口603。所述处理器601、所述存储器602和所述通信接口603通过所述通信总线连接并完成相互间的通信。
处理器601可以是通用中央处理器(cpu),微处理器,特定应用集成电路(application-specificintegratedcircuit,asic),或一个或多个用于控制以上方案程序执行的集成电路。
通信接口603,用于与其他设备或通信网络通信,如以太网,无线接入网(ran),无线局域网(wirelesslocalareanetworks,wlan)等。
存储器602可以是只读存储器(read-onlymemory,rom)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(randomaccessmemory,ram)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasableprogrammableread-onlymemory,eeprom)、只读光盘(compactdiscread-onlymemory,cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,所述存储器602用于存储执行以上方案的应用程序代码,并由处理器601来控制执行。所述处理器601用于执行所述存储器602中存储的应用程序代码。
存储器602存储的代码可执行以上提供的终端设备执行的上述多因素适配的集中授权管理方法,比如接收用户通过业务系统发送的资源请求消息,所述资源请求消息用于指示为所述用户请求目标资源;获取所述用户的资源获取权限等级和所述目标资源的授予权限等级;确认所述用户的资源获取权限等级是否高于或者等于所述目标资源的授予权限等级;若确定所述用户的资源获取权限等级高于或者等于所述目标资源的授予权限等级,获取所述目标资源;向所述业务系统发送响应消息,所述响应消息包括所述目标资源。
本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时包括上述方法实施例中记载的任何一种多因素适配的集中授权管理方法的部分或全部步骤。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储器中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储器中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储器包括:u盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储器中,存储器可以包括:闪存盘、只读存储器(英文:read-onlymemory,简称:rom)、随机存取器(英文:randomaccessmemory,简称:ram)、磁盘或光盘等。
以上对本发明实施例进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上上述,本说明书内容不应理解为对本发明的限制。
- 还没有人留言评论。精彩留言会获得点赞!