一种面向对象的用户角色资源权限模型管理方法

一种面向对象的用户角色资源权限模型管理方法
【技术领域】
[0001]本发明属于计算机应用领域，具体说就是在软件系统开发中采用的一种面向对象的用户角色资源权限模型管理方法。
【背景技术】
[0002]企业应用系统对安全问题有较高的要求，传统的访问控制方法DAC (Discret1nary Access Control,自主访问控制模型)、MAC (Mandatory AccessControl，强制访问控制模型)难以满足复杂的企业环境需求。因此，NIST (Nat1nalInstitute of Standards and Technology,美国国家标准化和技术委员会)于上世纪90年代初提出了基于角色的访问控制方法，实现了用户与访问权限的逻辑分离，更符合企业的用户、组织、数据和应用特征。
[0003]在软件开发中经常米用R-F-RBAC (Role-Funct1n-Resource Based AccessControl)角色-功能-资源的权限控制模型的管理模式，即把整个访问控制过程分成两步:访问权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离。具有很强通用性，较高的灵活性和可扩充性，兼顾了安全性和效率，易于维护。能使合法用户方便地使用系统，并满足系统对用户权限的控制需求。
[0004]普通角色-功能-资源的权限控制模型，关系简单，用户仅与角色是一对多关系，角色仅与资源是一对多的关系，是一个简单的树形结构。在实际应用上实现操作步骤多，资源与用户分配固化繁琐，无法真正反映显示情况。

【发明内容】

[0005]针对现有技术中存在的上述不足之处，本发明要解决的技术问题是提供一种面向对象的用户角色资源权限模型管理方法。
[0006]本发明为实现上述目的所采用的技术方案是:一种面向对象的用户角色资源权限模型管理方法，包括以下步骤:
[0007]建立用户、角色、资源三个对象；
[0008]在数据库中建立数据结构表；
[0009]用户对象与角色对象通过用户角色映射表确立关系、角色对象与资源对象通过角色资源映射表确立关系、用户系统通行证表确立用户对象与系统的关系；
[0010]当用户访问功能或数据时，根据提供的资源ID在用户的资源集合及角色资源中进行比对，如有相同ID即允许否则不允许。
[0011]所述资源对象包括数据、功能两种类型。
[0012]所述角色对象的属性有三种:角色集合、资源集合和角色资源对象集合；所述角色集合存储角色队列，所述资源集合存储资源队列，角色资源对象集合汇总角色所拥有的全部且唯一的资源对象。
[0013]所述用户对象的属性有三种:角色集合、资源集合和用户资源对象集合；所述角色集合中存储角色队列，所述资源集合存储资源队列，用户资源对象集合汇总用户所拥有的全部且唯一的资源对象。
[0014]所述角色对象包含子角色，角色关系是单层或多层。
[0015]本发明具有以下优点及有益效果:
[0016]1.数据访问权限由资源控制，避免对数据库的权限设置，降低了系统的复杂性，同时保证了应用的灵活性。
[0017]2.采用面向对象的技术，打破了常规的直接将权限赋予用户的模式，建立一套高透明度、细粒度的角色、用户、权限控制管理新模式，该设计不依赖于具体的实施平台，也不会对架构产生限制。
[0018]3.面向角色的用户管理可以简便、有效地提高数据分析应用能力，从而保证系统中数据的有效性和完整性。
【附图说明】
[0019]图1为本发明的系统结构图
[0020]图2为本发明的数据结构图
[0021]图3为本发明对象关系图
[0022]图4为本发明的访问权限和验证权限的示意图
[0023]图5为本发明的系统应用流程图。
【具体实施方式】
[0024]下面结合附图及实施例对本发明做进一步的详细说明。
[0025]如图1所示，建立用户、角色、资源三个类。其中资源包括数据、功能两种类型。角色对象的属性有三种分别是角色集合、资源集合和角色资源对象集合。角色集合中存储角色队列，资源集合存储资源队列。角色资源集合汇总角色所拥有的全部且唯一的资源对象。用户对象的属性有三种分别是角色集合、资源集合和角色资源对象集合。角色集合中存储角色队列，资源集合存储资源队列。用户资源集合汇总用户所拥有的全部且唯一的资源对象。
[0026]用户指拥有该软件用户名和密码的个体。用户对象的关键属性是用户的权限属性，权限属性是用户的角色权限和用户所在部门权限的计算结果，无论是操作级权限还是数据级权限都是根据用户的权限属性来判断的。往往在一个系统中要区分内部的用户、夕卜部的用户，这两种用户又可细分为若干不同的身份，他们一般来说具有的职责和权限是不同的。因此系统可以对他们赋以不同的权限，确保他们的操作合法，保证系统的安全性。
[0027]角色是指具有明确行为准则、确定的行为方式、完成规定范围任务的实体。系统的主要参与者是局内部各个部门具有不同角色的人员。角色限制用户在系统中能做什么和不能做什么，从而保证系统中数据的有效性。如普通监管人员能添加监管记录信息，但主管领导可能不需要添加这部分功能，甚至这些细节领导基本不过问；主管领导，作为决策者需要了解企业在某个时间段内的被监管情况以及监管人员按照工作计划在某个时间段内工作效率情况的考察情况等信息，但这些汇总信息普通监管人员不需要了解。通过角色的管理实现了不同“级别”的用户。
[0028]资源作为不可分的单体对象存在。资源对象分为功能和数据两种类型。资源可以被直接分配给角色或用户，但资源不可以分配给资源。通常情况下，如用户拥有某一(功能)操作级资源，用户就具有行使操作的权利