一种基于资源粒度的权限控制方法
【专利摘要】本发明涉及资源操作权限控制【技术领域】,特别是一种基于资源粒度权限控制方法。本发明首先由管理员根据资源的类型进行预授权给特定的角色,接着,当授权用户对资源执行操作时,权限控制系统判定该用户是否具备操作权限;如果存在,权限控制系统继续检测该用户是否为资源的创建者,否则权限控制系统检测该用户是否通过授权获得对资源的操作权限;如果操作用户通过判定确定为资源的创建者,执行对资源的操作,否则进入权限控制系统检测该用户是否通过授权获得对资源的操作权限;如果用户通过检测确认通过授权获得对资源的操作权限,则允许执行对资源的操作,否则拒绝执行。本发明解决了云计算环境中对资源的操作权限控制繁琐问题;可应用于云计算中对虚拟机资源粒度的权限控制上。
【专利说明】-种基于资源粒度的权限控制方法
【技术领域】
[0001] 本发明设及资源操作权限控制【技术领域】,特别是一种基于资源粒度权限控制方 法。
【背景技术】
[0002] 在资源管理系统中,通常采用基于角色的权限控制系统,只能限制用户对某个功 能的操作。该种限制方法的粒度太粗,只适合简单的信息系统,在同一种角色的不同用户对 相同资源具有不同控制权限的情况下;比如,在云计算环境下,所有普通用户都可W对云主 机进行控制,但不同的用户只能对自己购买的云主机才能进行控制。该时候该种方法并不 适用,一般会在基于角色的权限控制系统的基础上加入对用户名的硬性判断来实现,实现 步骤如下:
[0003] 1、同传统的基于角色的权限控制系统一样,首先授予具体的角色对操作的执行权 限,然后把角色授予用户;
[0004] 2、为具体的用户授予对已有资源的控制权限;
[0005] 3、用户执行操作后,权限控制系统首先判断该用户被授予的角色是否有操作的执 行权限,如果没有权限,则直接拒绝操作,如果有权限,则继续;
[0006] 4、权限控制系统查找用户对已有资源的控制权限,如果有控制权限,则允许操作, 否则拒绝操作。
[0007] 上述方法有如下弊端:
[000引一是管理员需要对所有用户重新授权,配置工作量比较大,某些约定的规则,比如 资源的创建人可W对资源进行控制,也不能免去配置的步骤;
[0009] 二是控制方法不够灵活,该种方法对所有资源采取"一刀切"的处理办法,所有的 资源授权后才能被控制,对某些不需要进行权限控制的资源来说是多余的。而且没有预授 权机制,只能对已有的资源进行权限控制,每次新建资源W后管理员都必须先授权。
[0010] S是用户对资源的操作权限依赖该用户的角色权限,如果用户所述的角色不具备 某个操作权限,便不能对其配置该操作权限,对于云计算环境中复杂灵活的应用场景,比如 期望通过授权获取高级功能(该用户的角色是不具备此功能的)是无法满足的;
[0011] 为了提升资源权限控制有效性,减少管理工作量,提高配置灵活性,适应灵活使用 场景,需要一种通过资源粒度控制资源权限,在资源使用过程中,将资源操作权限直接授权 给用户,进行权限控制的方式。
【发明内容】
[0012] 本发明解决的技术问题在于提供一种基于资源粒度的权限管理方法,解决了为满 足减少大量权限配置工作、根据实际业务需要灵活配置权限、适应灵活使用场景等问题。
[0013] 本发明解决上述技术问题的技术方案是:
[0014] 所述的方法包括如下步骤:
[0015] 步骤1 ;根据资源的类型进行预授权给特定的角色;
[0016] 步骤2 ;资源A创建W后,记录创建者B等信息,创建者B可W将对资源A的操作 权限授予给用户C、用户E等;
[0017] 步骤3 ;用户C对资源A执行操作D W后,权限控制系统首先判断用户C是否有操 作D的执行权限,如果有,执行步骤4,如果没有,执行步骤5 ;
[0018] 步骤4 ;权限系统判断资源A的创建者是否为用户C,如果是,执行步骤7,如果不 是,执行步骤5 ;
[0019] 步骤5 ;权限系统判断资源A的创建者B是否有把对资源A的操作D的权限授予 给用户C,如果有,执行步骤7,如果没有,执行步骤6 ;
[0020] 步骤6 ;拒绝用户C对资源A执行的D操作,执行步骤8 ;
[002U 步骤7 ;执行对资源A的D操作;
[002引步骤8 ;结束权限控制流程。
[0023] 所述的权限控制检测用户对是否具备功能D的操作权限进行判断时不设及D的具 体操作资源对象。
[0024] 所述的资源创建者是系统的管理员,该用户由约定规则,具备对资源A的所有操 作权限。
[0025] 所述的资源使用者操作权限是资源的非创建用户、非管理用户,该用户通过系统 资源管理员或资源创建者授权资源使用的方式,获得资源的使用权限;如无授权,不具备对 资源的操作权限,即使该用户角色具备此操作权限。
[0026] 本发明通过将资源操作权限确定规则规定资源创建者用于对资源的全部操作权 限,不需要做额外的配置,极大免除了管理员的管理配置工作;本发明通过基于资源粒度分 配权限,使资源在基于用户角色的操作前提下还能基于资源的操作权限工作,是一种高安 全级别的控制方法;本发明的方法对资源的授权采取粗细结合的方式,既免去管理员繁重 的配置工作量,也能满足对资源进行精细化配置的需求;本发明也提供很大的灵活性,对于 基于角色的权限控制,用户的操作权限需要基于角色,对于角色没有的操作权限用户即不 具备,而本发明提供将其所属角色没有的操作权限单独授权,使用户获得对特定资源的操 作权限,在保证管理的统一性前提下又提高了灵活性;本发明的方法权限控制方式比较灵 活,可W简单的配置方式将资源排除在权限控制系统之外,是一种侵入性较弱的权限控制 方法。
【专利附图】
【附图说明】
[0027] 下面结合附图对本发明进一步说明:
[002引图1为本发明方法流程图;
【具体实施方式】
[0029] 如图所示,资源创建者先将资源授权给非管理员、非创建者用户,授权后用户能够 对资源执行操作。主要代码如下:
[0030]
【权利要求】
1. 一种基于资源粒度的权限控制方法,其特征在于:所述的方法包括如下步骤: 步骤1:根据资源的类型进行预授权给特定的角色; 步骤2 :资源A创建以后,记录创建者B等信息,创建者B可以将对资源A的操作权限 授予给用户C、用户E等; 步骤3 :用户C对资源A执行操作D以后,权限控制系统首先判断用户C是否有操作D 的执行权限,如果有,执行步骤4,如果没有,执行步骤5 ; 步骤4 :权限系统判断资源A的创建者是否为用户C,如果是,执行步骤7,如果不是,执 行步骤5 ; 步骤5 :权限系统判断资源A的创建者B是否有把对资源A的操作D的权限授予给用 户C,如果有,执行步骤7,如果没有,执行步骤6 ; 步骤6 :拒绝用户C对资源A执行的D操作,执行步骤8 ; 步骤7 :执行对资源A的D操作; 步骤8:结束权限控制流程。
2. 根据权利要求1中所述的基于资源粒度的权限控制方法,其特征在于:所述的权限 控制检测用户对是否具备功能D的操作权限进行判断时不涉及D的具体操作资源对象。
3. 根据权利要求1中所述的基于资源粒度的权限控制方法,其特征在于:所述的资源 创建者是系统的管理员,该用户由约定规则,具备对资源A的所有操作权限。
4. 根据权利要求2中所述的基于资源粒度的权限控制方法,其特征在于:所述的资源 创建者是系统的管理员,该用户由约定规则,具备对资源A的所有操作权限。
5. 根据权利1至4任一项中所述的的基于资源粒度的权限控制方法,其特征在于:所 述的资源使用者操作权限是资源的非创建用户、非管理用户,该用户通过系统资源管理员 或资源创建者授权资源使用的方式,获得资源的使用权限;如无授权,不具备对资源的操作 权限,即使该用户角色具备此操作权限。
【文档编号】G06F21/62GK104504343SQ201410738336
【公开日】2015年4月8日 申请日期:2014年12月5日 优先权日:2014年12月5日
【发明者】张雪梅, 杨松, 莫展鹏, 季统凯 申请人:国云科技股份有限公司