一种多用户终端并发处理系统的制作方法
本发明涉及用户终端并发处理技术,尤其涉及一种多用户终端并发处理系统。
背景技术:
现有企业互联网产品不仅对应用系统安全问题有较高的要求,而且还需应用系统有较高的兼容性,比如可以应用到PC端、移动端等,传统的访问控制方法DHC(自主访问控制模型)、MAC(强制访问控制模型)难以满足企业互联网多方面的应用需求。
基于角色的访问控制(RBAC)的基本思想是首次引入角色的概念,提出将用户与权限相分离的思想(如图1所示),管理员为每个角色配置合适的权限,然后将这些权限赋予对应的用户,从而实现对用户的间接授权,因此,角色是RBAC安全控制策略的核心内容。这样,用户与角色相关联,角色与权限相关联,一个用户拥有了某个角色,那么这个用户就拥有了这个角色对应的权限,即一个角色代表了一个权限集合,为某个用户分配角色,就相当于为用户分配了角色对应的权限集合。
普通角色一功能一资源的权限控制模型,关系简单,用户仅与角色是一对多关系,角色仅与资源是一对多的关系,是一个简单的树形结构。在实际应用上实现操作步骤多,资源与用户分配固化繁琐,无法真正反映显示情况。
技术实现要素:
为解决上述技术问题,本发明的目的是提供一种多用户终端并发处理系统。
本发明的目的通过以下的技术方案来实现:
一种多用户终端并发处理系统,包括:
管理系统、基于角色的访问控制系统和用户主体;所述
管理系统,赋予基于角色的访问控制系统不同的访问权限,为用户配置对应的角色;
基于角色的访问控制系统,根据接收到的不同的访问权限,赋予对应的用户;
用户主体,获取到权限后正确的访问其对应的相应的数据对象。
与现有技术相比,本发明的一个或多个实施例可以具有如下优点:
管理系统中管理员不用为户授权或者取消授权,而是为用户配置对应的角色,这样,管理员在进行授权工作时,就可以根据用户在组织结构中的职能和工作以及同其他用户的关系,很容易的找到用户对应的角色,并赋予用户,既提高了授权效率,又避免了用户和资源权限过多时人为因素引起的重复授权。且使用户能够在获取系统访问功能权限之后正确的访问其对应的数据对象,即让低权限用户不能访问高权限的数据并且用户不能访问其他用户的数据。
附图说明
图1是现有技术用户权限分离模型结构示意图;
图2是本发明提供的基于角色的权限管理的模型结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合实施例及附图对本发明作进一步详细的描述。
如图2所示,为基于角色的权限管理的模型结构,包括:。
管理系统、基于角色的访问控制系统和用户主体;所述
管理系统,赋予基于角色的访问控制系统不同的访问权限,为用户配置对应的角色;
基于角色的访问控制系统,根据接收到的不同的访问权限,赋予对应的用户;
用户主体,获取到权限后正确的访问其对应的相应的数据对象。
上述基于角色的访问控制系统对权限客体的授权行为有管理员统一完成,并且授权规定是强制性的,用户一旦被管理员授权,就只能被动的接受,不能自行决定和更改。RBAC的授权也是不可传递的、非自主的,所以,用户主体不可能将自身权限传递给其他用户。用户被授予什么样的角色,决定了在访问资源时,用户对资源拥有的权限以及可以执行的操作。
由此看出,基于角色的访问控制的最大优势就是对授权管理的极大简化。由于角色的引入,用户不再和角色直接相关联,而是由角色充当两者之间的纽带,从而让用户与资源的沟通更加方便有效。将授权的对象从用户变成了角色,然后再将特定角色赋予对应的用户。就相当于间接对用户授予了资源权限。所以,一个完整的系统构建完成之后,管理员的主要工作不是为用户授权或者取消授权,而是为用户配置对应的角色,这样,管理员在进行授权工作时,就可以根据用户在组织结构中的职能和工作以及同其他用户的关系,很容易的找到用户对应的角色,并赋予用户,既提高了授权效率,又避免了用户和资源权限过多时人为因素引起的重复授权(如图2所示)。
数据级权限管理的工作主要是对系统中包含的数据项目进行必要的访问控制,使用户能够在获取系统访问功能权限之后正确的访问其对应的数据对象,简而言之,就是让低权限用户不能访问高权限的数据并且用户不能访问其他用户的数据。
在目前的Web系统中,数据量非常之大,系统数据一般都会存储在数据库中,所以,数据级权限管理的目标就是对数据库访问进行有效、合理、安全的控制。
硬编码可以使用直接编码的方式达到这个最终目的,但是只适用于一部分小型系统,在企业系统中使用硬编码进行数据级的控制,其工作量是不可想像的。第三方中间件可以将系统访问返回的非法数据过滤掉,很好的控制用户不会在系统中看到非法数据,但是,这只是对数据可视域控制,并没有控制到数据的访问层次,所以,不能严格地控制用户操作时系统自发的数据访问动作。
使用规则引擎结合适当的系统组件进行数据级的权限管理,有以下特点:
(1)数据对象访问层的控制:用户只能看到合法访问得到的合法数据,同时,用户进行操作时系统产生的所有访问过程都不会访问到非法数据,而不是取出数据之后进行可视域的过滤。
(2)数据访问规则自我掌控:规则引擎具有图形化的编辑界面,而且所见即所得的对规则集进行编辑,在业务规则发生改变时用户可以方便的做出修改,以适应新的需要。
虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
- 还没有人留言评论。精彩留言会获得点赞!