业务管理系统、用户权限控制方法及系统的制作方法

文档序号:10515466阅读:676来源:国知局
业务管理系统、用户权限控制方法及系统的制作方法
【专利摘要】本发明提供一种业务管理系统、用户权限控制方法及系统,其通过接收用户的授权请求;获取所述用户的授权请求中携带的访问控制列表匹配数据;在预存的访问控制列表配置文件中根据所述访问控制列表匹配数据进行访问控制列表匹配;根据匹配的访问控制列表进行该用户权限的授权控制,当需要更改用户权限控制的颗粒度时,可扩展对相应访问控制列表类型元素的定义即可实现,即可方便的实现更细颗粒度的用户权限控制,而当需要扩展用户权限控制数据时,只需修改访问控制列表配置文件即可实现,即更便于扩展。
【专利说明】
业务管理系统、用户权限控制方法及系统
技术领域
[0001]本发明涉及用户权限控制技术领域,特别是涉及一种业务管理系统、用户权限控制方法及系统。
【背景技术】
[0002]业务管理系统中常常涉及用户权限的控制,在业务管理系统中,用户权限例如可能是用户对某个功能模块的操作、对某个业务的上传文件的删改、对某个业务菜单的访问,或者对某个业务页面上某个按钮、某个图片的可见性控制等,这些都可属于权限控制的范畴。
[0003]现有技术中,为了实现用户权限控制,通常采用基于角色的访问控制(RBAC,Role-Based Access Control),即用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系,如图1所示,但基于角色的访问控制技术中一般使用数据库存储角色或用户的权限数据,但使用数据库存储用户权限数据,不容易扩展;且只是基于角色进行用户权限控制,对用户权限控制的颗粒度不够。

【发明内容】

[0004]鉴于上述问题,本发明实施例提供一种业务管理系统、用户权限控制方法及系统,以方便进行扩展。
[0005]为了解决上述技术问题,本发明实施例提供的一种业务管理系统的用户权限控制方法,其包括:
[000?]接收用户的授权请求;
[0007]获取所述用户的授权请求中携带的访问控制列表匹配数据;
[0008]在预存的访问控制列表配置文件中根据所述访问控制列表匹配数据进行访问控制列表匹配;
[0009]根据匹配的访问控制列表进行该用户权限的授权控制。
[0010]其中,所述访问控制列表匹配数据是用户匹配的一个或多个访问控制列表类型元素数据。
[0011]其中,所述访问控制列表类型元素包括以下一项或多项:匹配用户名、匹配角色、匹配数据传输方法或HTTP请求方法、匹配操作代码、匹配资源、匹配参数、匹配控制时间、匹配用户的IP地址或匹配用户对资源的操作频度。
[0012]另外,还包括:
[0013]当需要更改用户权限控制的颗粒度时,扩展对相应访问控制列表类型元素的定义。
[0014]其中,所述的访问控制列表配置文件以文本形式保存。
[0015]另外,还包括:
[0016]当需要扩展用户权限控制数据时,修改访问控制列表配置文件。
[0017]相应地,根据本发明实施例的一种业务管理系统的用户权限控制系统,其包括:
[0018]接收处理模块,用于接收用户的授权请求;
[0019]获取处理模块,用于获取所述用户的授权请求中携带的访问控制列表匹配数据;
[0020]匹配处理模块,用于在预先保存的访问控制列表配置文件中根据所述访问控制列表匹配数据进行访问控制列表匹配;
[0021]授权控制处理模块,用于根据匹配的访问控制列表进行该用户权限的授权控制。
[0022]其中,所述访问控制列表匹配数据是用户匹配的一个或多个访问控制列表类型元素数据。
[0023]其中,所述访问控制列表类型元素包括以下一项或多项:匹配用户名、匹配角色、匹配数据传输方法或HTTP请求方法、匹配操作代码、匹配资源、匹配参数、匹配控制时间、匹配用户的IP地址或匹配用户对资源的操作频度。
[0024]另外,还包括:
[0025]当需要更改用户权限控制的颗粒度时,扩展对相应访问控制列表类型元素的定义。
[0026]其中,所述的访问控制列表配置文件以文本形式保存。
[0027]另外,还包括:
[0028]当需要扩展用户权限控制数据时,修改访问控制列表配置文件。
[0029]相应地,根据本发明实施例的一种业务管理系统,包括业务系统和用户权限控制系统,其特征在于,所述用户权限控制系统具体包括:
[0030]接收处理模块,用于接收业务系统发来的用户的授权请求;
[0031]获取处理模块,用于获取所述用户的授权请求中携带的访问控制列表匹配数据;
[0032]匹配处理模块,用于在预先保存的访问控制列表配置文件中根据所述访问控制列表匹配数据进行访问控制列表匹配;
[0033]授权控制处理模块,用于根据匹配的访问控制列表进行该用户权限的授权控制。
[0034]其中,所述访问控制列表匹配数据是用户匹配的一个或多个访问控制列表类型元素数据。
[0035]其中,所述访问控制列表类型元素包括以下一项或多项:匹配用户名、匹配角色、匹配数据传输方法、匹配操作代码、匹配资源、匹配参数、匹配控制时间、匹配用户的IP地址或匹配用户对资源的操作频度。
[0036]另外,还包括:
[0037]当需要更改用户权限控制的颗粒度时,扩展对相应访问控制列表类型元素的定义。
[0038]其中,所述的访问控制列表配置文件以文本形式保存。
[0039]另外,还包括:
[0040]当需要扩展用户权限控制数据时,修改访问控制列表配置文件。
[0041]根据本发明实施例提供的业务管理系统、用户权限控制方法及系统,其通过接收用户的授权请求;获取所述用户的授权请求中携带的访问控制列表匹配数据;在预存的访问控制列表配置文件中根据所述访问控制列表匹配数据进行访问控制列表匹配;根据匹配的访问控制列表进行该用户权限的授权控制,当需要更改用户权限控制的颗粒度时,可扩展对相应访问控制列表类型元素的定义即可实现,即可方便的实现更细颗粒度的用户权限控制,而当需要扩展用户权限控制数据时,只需修改访问控制列表配置文件即可实现,即更便于扩展。
【附图说明】
[0042]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
[0043]图1是根据现有技术基于角色的访问控制的原理示意图;
[0044]图2是根据本发明业务管理系统的具体实施例整体示意图;
[0045]图3是根据本发明业务管理系统的用户权限控制方法的具体实施例流程图;
[0046]图4是根据图2中用户权限控制系统的一个具体实施例的组成示意图。
【具体实施方式】
[0047]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
[0048]请参阅图2,其为根据本发明业务管理系统的具体实施例整体示意图。
[0049]如图示,本实施例业务管理系统中包括业务系统I和用户权限控制系统2,具体实现时,业务系统I可以是多个业务子系统,其中每个业务或应用分别对应一个业务子系统,每个业务子系统中的用户都可以通过用户权限控制系统2进行权限的集中控制。
[0050]需要说明的,由于用户权限通过统一的用户权限控制系统进行集中控制,本实施例的业务管理系统中,即使各业务子系统的权限管理要求不同,也可以采用通用的统一解决方案实现用户权限控制。
[0051]参考图3,该图是根据本发明业务管理系统的用户权限控制方法的具体实施例流程图,在本实施例中,业务管理系统的用户权限控制方法主要包括如下步骤:
[0052]步骤SlOl,接收用户的授权请求;
[0053]具体实现时,所述用户的授权请求可以是各个业务子系统的用户发来的授权请求,这里不再赘述;
[0054]步骤S102,获取所述用户的授权请求中携带的访问控制列表匹配数据;
[0055]具体实现时,访问控制列表匹配数据例如可以是用户匹配的一个或多个访问控制列表类型元素数据,需要说明的,本实施例中要预先定义访问控制列表类型元素,在编写访问控制规则时需要引用它们,作为可选地实施例,所述访问控制列表类型元素可包括以下一项或多项:匹配用户名、匹配角色、匹配数据传输方法或者HTTP请求方法、匹配操作代码、匹配资源、匹配参数、匹配控制时间、匹配用户的IP地址或匹配用户对资源的操作频度,具体定义说明如下,其中
[0056]基本的ACL元素语法如下:
[0057]acl name type valueI value2...
[0058]ACL元素的值value之间是OR的关系,例如:
[0059]acl SportsGroup user zhang3 li4
[0060]需要说明的,当找到第一个值匹配时,即可停止搜索,因此,具体实现时最好把最可能匹配的值放在列表开头处,能减少匹配花费时间;
[0061]另外,在多数情况下,可以对一个ACL元素列举多个值,即可以有多个ACL行使用同一个名字,例如下列两段配置是等价的:
[0062]acl AllowAccessRes role tv_editor movie_editor zy_editor
[0063]acl AllowAccessRes role tv_editor
[0064]acl AllowAccessRes role movie_editor
[0065]acl AllowAccessRes role zy_editor
[0066]需要说明的,上述相同类型的同名元素是OR的关系,如上例;不同类型的同名元素,后面的元素会覆盖前面的元素,例如:
[0067]#被覆盖
[0068]acl myTest user test
[0069]#会覆盖前面的“myTest”元素
[0070]acl myTest act1n add
[0071]下面详细说明本实施例的访问控制列表类型元素:
[0072]1.1.ACL类型元素:user,即匹配用户名
[0073]匹配后台用户登录名(大小写敏感)或登录ID。
[0074]1.2.ACL类型元素:role,即匹配角色
[0075]匹配后台用户角色名(大小写敏感)或角色ID。
[0076]1.3.ACL类型元素:method,即匹配数据传输方法或HTTP请求方法
[0077]匹配REQUEST_METH0D,例如GET、PUT、P0ST等(大小写不敏感)。
[0078]1.4.ACL类型元素:act1n,即匹配操作代码
[0079]匹配操作代号(大小写敏感)或操作ID。
[0080]1.5.ACL类型元素:resource,即匹配资源
[0081]匹配资源(操作对象),包含资源类别代号(大小写敏感)和资源ID两部分。
[0082]其中,本实施例定义的对匹配资源的语法规则如下:
[0083]restype[resids]
[0084]例如:
[0085]某类资源全体restype[*]或restype
[0086]某类资源全体子资源restype[123].*
[0087]指定IDrestype[ 123]
[0088]指定多个IDrestype[123,234]
[0089]指定ID 范围 restype[ 10-99]
[0090]restype[_50](表不 < = 50)
[0091]restype[ 100-](表不 > =100)
[0092]取反restype[!123,234](表示! =123&&! =234)
[0093]restype[! 10-99](表示 <10&&>99)
[0094]对于具有层级关系的资源类别,可采用以下规则:
[0095]prestypel[presidsl].prestype2[presids2].restype[resids]
[0096]例如:
[0097]#等同于topic[16].page[*],表示id为16的topic下的所有page
[0098]topic[16].page
[0099]channel
[1095].page
[2594].module[16715]
[0100]channel[123].channel
[1864].ds[*]
[0?0? ] #表示id为32的topic下的所有子资源,等同于topic[32].page[*] topic[32].ds[*]topic[32].page[*].module[*]
[0102]topic[32].*
[0103]1.6.ACL类型元素:param,即匹配参数
[0104]对指定的参数进行普通字符串/数值比较或正则表达式匹配。
[0105]其中语法规则如下:
[0106]paramname = valueI value2…等于,普通字符串比较多个value之间是“或”的关系
[0107]paramname! =va I ue 或
[0108]paramname < > value不等于,普通字符串比较只能有一个value
[0109]paramname >numeric_value大于,普通数值比较只能有一个 numeric_value,且必须是数值
[0110]paramname > =numeric_value大于等于,普通数值比较只能有一个numeric_value,且必须是数值
[0111 ] paramname <numeric_value小于,普通数值比较只能有一个 numeric_value,且必须是数值
paramname < =numeric_value小于等于,普通数值比较只能有一^hnumer ic_vaI ue ,?必须是数值
[0112]paramname =?patternlpattern2..?正则表达式匹配多个pat tern之间是“或”的关系
[0113]paramname是指定要进行匹配的参数名(字母、数字或下划线“ 的组合)。
[0114]其中正则表达式匹配:patternN是PERL风格的正则表达式,必须包含完整的定界符(任何不是字母、数字或反斜线“\”的字符)和表达式,可以在结束定界符后跟上修正符(参见http: //www.php.net/manual/zh/book.pcre.php)。多个pattern之间是OR的关系。
[0115]需要说明的,上述param类型元素能实现user、resource、act1n等元素类型的功能,但是由于正则表达式比较耗时,所以优先使用前几种类型或者普通字符串相等匹配。
[0116]1.7.ACL类型元素:time
[0117]本实施例中控制可基于时间的访问,时间为每天中的具体时间,和每周中的每天。
[0118]具体实现时,日期和时间以系统服务端时间为准,所以设置timeACL时可能需要考虑业务系统所在的时区和时差冋题。
[0119]具体实现时,日期可以单字母来表示,时间可以24小时制来表示,开始时间可以大于结束时间(表示跨越O点),但两者不能相同,具体如下:
[0120]符号日
[0121]S 星期日 Sunday
[0122]M 星期一Monday
[0123]T星期二 Tuesday
[0124]W星期三 Wednesday
[0125]H 星期四 Thursday
[0126]F星期五 Friday
[0127]A 星期六 Saturday
[0128]D工作日 Al I weekdays(M-F)
[0129]另外,为了编写time的访问控制列表ACL来匹配对应的工作时间,可以按照下述方式编写:
[0130]acl fforking_hours time MTffHF 08:00-17:00
[0131]或
[0132]acl fforking_hours time D 08:00-17:00
[0133]跨越O点的例子:
[0134]acl Offpeak time 20:00-06:00
[0135]access deny Offpeak...
[0136]等价于:
[0137]acl Offpeak time 06:00-20:00
[0138]access deny!Offpeak...
[0139]同一个time的访问控制列表ACL可以放置多个日期和时间范围列表,“日期时间”或单个日期、单个时间都是合法的,例如:
[0140]acl Blah time M 08:00-10:OOffHF 09:00-11:OOSA
[0141]等价于下面3行:
[0142]acl Blah time M 08:00-10:00
[0143]acl Blah time WHF 09:00-11:00
[0144]acl Blah time SA
[0145]1.8.ACL类型元素:ip,即匹配用户的ip地址
[0146]匹配访问参数client_ip的IP地址。
[0147]具体实现时,指定IP地址时,可以以IP子网、地址范围等形式编写地址,支持标准IP地址写法(由连接的4个小于256的数字)和无类域间路由规范。
[0148]例如,可以使用如下几种格式:
[0149]172.16.10.11 单个 IP
[0150]172.16.10.12-172.16.10.20地址范围
[0151]172.16.10.*通配符形式的网段
[0152]172.16.10.0/255.255.255.0 掩码方式(mask)
[0153]172.16.10.0/24无类域间路由(CIDR)
[0154]172.16.10.0-172.16.19.0/24多个相邻子网
[0155]或者例如:下例中的每组是相等的:
[0156]acl Foo ip 172.16.44.21/255.255.255.255
[0157]acl Foo ip 172.16.44.21/32
[0158]acl Foo ip 172.16.44.21
[0159]acl Xyz ip 172.16.55.32/255.255.255.248
[0160]acl Xyz ip 172.16.55.32/28
[0161]acl Bar ip 172.16.66.0/255.255.255.0
[0162]acl Bar ip 172.16.66.0/24
[0163]acl Bar ip 172.16.66.0
[0164]多个相邻子网:
[0165]或者例如
[0166]acl Bar ip 172.16.10.0—172.16.13.0/24
[0167]等价于下面的行:
[0168]acl Bar ip 172.16.10.0/24
[0169]acl Bar ip 172.16.11.0/24
[0170]acl Bar ip 172.16.12.0/24
[0171]acl Bar ip 172.16.13.0/24
[0172]注意使用IP地址范围,掩码只能取一个,不能为范围里的地址设置多个不同掩码。
[0173]另外,本实施例中同样支持一个ipACL里设置多个IP地址值,例如:
[0174]acl Foo ip 172.16.43.10 172.16.43.16 172.16.43.20-172.16.43.50172.16.44.0/24
[0175]1.9.ACL类型元素:freq,即匹配用户对资源的操作频度
[0176]控制用户对资源的操作频度,如果频度超过指定值则匹配。
[0177]其语法规则可定义如下:
[0178]{fieldl&field2&...:{times}/{per1d}
[ΟΙ79]其中field只能是restype、resid或act1n,中间用“&”连接。表示对某类/某个资源的某种操作进行频次统计。
[0180]times表示操作次数,必须是大于O的整形数值。
[0181]per1d表示最近一段时间,必须是大于O的整形数值+单位,单位可以是D(Day)、H(Hour)、M(Minute)或S(Second),不写单位的话默认是M0
[0182]由于freq元素是当操作频度超过指定值时,匹配该ACL元素,所以一般用deny的访问规则进行控制。
[0183]具体实现时,可和user、resource、act 1n元素一起联合控制,而且之后再跟一条没有freq的allow联合控制规则,例如:
[0184]acl zhang3 user zhang3
[0185]acl allTopic resource topic[*]
[0186]acl deleteAct1n act1n delete
[0187]acl IimitFreq freq restype&act1n:5/1M
[0188]access deny zhang3 allTopic deleteAct1n IimitFreq
[0189]access allow zhang3 allTopic deleteAct1n
[0190]另外,本实施例中还需要设置访问控制规则,用来允许或拒绝某些动作。
[0191]例如,一种语法如下:
[0192]access allow|deny[!Jaclname[!Jaclname...
[0193]举例说:
[0194]access allow AllowAccessRes
[0195]access deny!NewsChanneI
[0196]access allow SportsGroup TechGroup FinanceGroup
[0197]access规则的aclname之间是AND关系。
[0198]实际中,也可以采用下述方式,SP:
[0199]access allow ACL1ACL2ACL3
[0200]对该匹配规则来说,请求必须匹配ACLl、ACL2、ACL3中的任何一个。假如这些ACL中的任何一个不匹配请求,停止搜索该规则,并继续处理下一条。具体实现时,对某个规则来说,将最少匹配的ACL放在首位,能使效率最佳。
[0201]需要说明的,本实施例中也可以支持匿名ACL元素,即在access规则中支持匿名ACL元素,即不需要事先定义的ACL元素,例如:
[0202]access allow{user myname}
[0203]access deny SportsGroup{act1n delete}
[0204]{}中的即为匿名ACL。
[0205]最后,可设置并保存访问控制列表配置文件,具体实现时,所述的访问控制列表配置文件最好以文本形式保存,其中访问控制列表定义如下,即
[0206]access_list: =access规则\n access规则\η...
[0207]其中“\n”是换行符,accessjist按顺序匹配,如果能匹配到一条,则停止匹配,如果不能匹配,则换到下一条继续匹配,因此,具体实现时,通常可将更具体和受限制的访问列表放在首位。
[0208]步骤S103,预存的访问控制列表配置文件中根据所述访问控制列表匹配数据进行访问控制列表匹配;
[0209]具体实现时,根据上述步骤102预先保存有访问控制列表配置文件,本步骤中即可读取预先保存的访问控制列表配置文件,然后根据所述访问控制列表匹配数据进行访问控制列表匹配。
[0210]步骤S104,根据匹配的访问控制列表进行该用户权限的授权控制。
[0211]需要说明的,当需要扩展用户权限控制的维度时,可以增加新的访问控制列表元素类型;而当需要更改用户权限控制的颗粒度时,本实施例中可通过扩展对相应访问控制列表类型元素的定义即可实现,另外,当需要扩展用户权限控制数据时,修改访问控制列表配置文件即可实现,而无需像现有技术一样修改数据库,另外,本实施例中由于支持匹配控制时间、匹配用户的IP地址或匹配用户对资源的操作频度等各种高级别的权限控制需求,因此,系统设计的复杂度不会明显提高。
[0212]参考图4,该图是根据本发明业务管理系统的用户权限控制系统的一个具体实施例,本实施例的用户权限控制系统主要包括:
[0213]接收处理模块11,用于接收用户的授权请求;
[0214]具体实现时,所述用户的授权请求可以是业务系统的各个业务子系统的用户发来的授权请求,这里不再赘述;
[0215]获取处理模块12,用于获取所述用户的授权请求中携带的访问控制列表匹配数据;
[0216]具体实现时,参考前述说明,访问控制列表匹配数据例如可以是用户匹配的一个或多个访问控制列表类型元素数据,需要说明的,本实施例中要预先定义访问控制列表类型元素,在编写访问控制规则时需要引用它们,作为可选地实施例,所述访问控制列表类型元素可包括以下一项或多项:匹配用户名、匹配角色、匹配数据传输方法、匹配操作代码、匹配资源、匹配参数、匹配控制时间、匹配用户的IP地址或匹配用户对资源的操作频度,具体定义参见上述说明,这里不再赘述。
[0217]匹配处理模块13,用于在预先保存的访问控制列表配置文件中根据所述访问控制列表匹配数据进行访问控制列表匹配;
[0218]具体实现时,匹配处理模块13可读取预先保存的访问控制列表配置文件,其中所述的访问控制列表配置文件可以文本形式保存,然后根据所述访问控制列表匹配数据进行访问控制列表匹配。
[0219]授权控制处理模块14,用于根据匹配的访问控制列表进行该用户权限的授权控制。
[0220]需要说明的,本实施例中,当需要扩展用户权限控制的维度时,可以增加新的访问控制元素类型;而当需要更改用户权限控制的颗粒度时,本实施例中可通过扩展对相应访问控制列表类型元素的定义即可实现,另外,当需要扩展用户权限控制数据时,修改访问控制列表配置文件即可实现,而无需像现有技术一样修改数据库,另外,本实施例中由于支持匹配控制时间、匹配用户的IP地址或匹配用户对资源的操作频度等各种高级别的权限控制需求,因此,系统设计的复杂度不会明显提高。
[0221]在上述所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
[0222]类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】,其中每个权利要求本身都作为本发明的单独实施例。
[0223]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。
【主权项】
1.一种业务管理系统的用户权限控制方法,其特征在于,包括: 接收用户的授权请求; 获取所述用户的授权请求中携带的访问控制列表匹配数据; 在预存的访问控制列表配置文件中根据所述访问控制列表匹配数据进行访问控制列表匹配; 根据匹配的访问控制列表进行该用户权限的授权控制。2.根据权利要求1所述的业务管理系统的用户权限控制方法,其特征在于,所述访问控制列表匹配数据是用户匹配的一个或多个访问控制列表类型元素数据。3.根据权利要求2所述的业务管理系统的用户权限控制方法,其特征在于,所述访问控制列表类型元素包括以下一项或多项:匹配用户名、匹配角色、匹配数据传输方法、匹配操作代码、匹配资源、匹配参数、匹配控制时间、匹配用户的IP地址或匹配用户对资源的操作频度。4.根据权利要求3所述的业务管理系统的用户权限控制方法,其特征在于,还包括: 当需要更改用户权限控制的颗粒度时,扩展对相应访问控制列表类型元素的定义。5.根据权利要求1-4任一项所述的业务管理系统的用户权限控制方法,其特征在于,所述的访问控制列表配置文件以文本形式保存。6.根据权利要求5所述的业务管理系统的用户权限控制方法,其特征在于,还包括: 当需要扩展用户权限控制数据时,修改访问控制列表配置文件。7.一种业务管理系统的用户权限控制系统,其特征在于,包括: 接收处理模块,用于接收用户的授权请求; 获取处理模块,用于获取所述用户的授权请求中携带的访问控制列表匹配数据; 匹配处理模块,用于在预先保存的访问控制列表配置文件中根据所述访问控制列表匹配数据进行访问控制列表匹配; 授权控制处理模块,用于根据匹配的访问控制列表进行该用户权限的授权控制。8.根据权利要求7所述的业务管理系统的用户权限控制系统,其特征在于,所述访问控制列表匹配数据是用户匹配的一个或多个访问控制列表类型元素数据。9.根据权利要求8所述的业务管理系统的用户权限控制系统,其特征在于,所述访问控制列表类型元素包括以下一项或多项:匹配用户名、匹配角色、匹配数据传输方法、匹配操作代码、匹配资源、匹配参数、匹配控制时间、匹配用户的IP地址或匹配用户对资源的操作频度。10.根据权利要求9所述的业务管理系统的用户权限控制系统,其特征在于,还包括: 当需要更改用户权限控制的颗粒度时,扩展对相应访问控制列表类型元素的定义。11.根据权利要求7-10任一项所述的业务管理系统的用户权限控制系统,其特征在于,所述的访问控制列表配置文件以文本形式保存。12.根据权利要求11所述的业务管理系统的用户权限控制系统,其特征在于,还包括: 当需要扩展用户权限控制数据时,修改访问控制列表配置文件。13.—种业务管理系统,包括业务系统和如权利要求7-12所述的用户权限控制系统。
【文档编号】H04L29/06GK105871813SQ201610159042
【公开日】2016年8月17日
【申请日】2016年3月18日
【发明人】董京涛, 邱丹, 马强, 李 杰, 李明杰, 林岳, 顾思斌, 潘柏宇, 王冀
【申请人】合网络技术(北京)有限公司, 合一网络技术(北京)有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1