一种权限控制方法及装置与流程

文档序号：16135946发布日期：2018-12-01 00:58阅读：184来源：国知局

本发明涉及权限管理技术领域，尤其涉及一种权限控制方法及装置。

背景技术

权限管理，一般指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源。目前很多企业都配置有管理系统，企业员工可以使用用户账户登录管理系统，并通过管理系统管理企业业务。而且为了满足管理需求，不同的用户账户需要具有不同的管理权限，因此需要对用户账户的管理权限进行有效管理。

但是在现有技术中，对于一个人员来说，首先需要对该人员配置组织架构信息，然后需要在权限系统中将该人员增加到有权限的小组中，才能赋予该人员权限；在人员变动时，特别是组织内部调动时，需要将该人员从组织架构中删除，然后还需要从权限系统中有权限的小组中删除，无法应对经常调整的权限模型，权限维护成本大，维护容易出错。

综上所述，现有技术中无法提供一种能够实现动态配置的权限控制方法。

技术实现要素：

本发明提供一种权限控制方法及装置，用于解决现有技术中无法提供一种能够实现动态配置的权限控制方法的问题。

本发明实施例提供一种权限控制方法，包括：接收用户的访问请求，所述访问请求中包括用户的角色信息；

获取所述访问请求对应的权限模型，所述权限模型是根据至少一个第一类元数据以及权限配置项生成的，所述第一类元数据表示组织架构中的一个组织元素，所述权限配置项用于指示出具有访问权限的第一类元数据的值；

确定所述用户的角色信息对应的组织元素的值；

根据所述角色信息对应的组织元素的值与所述权限模型中具有访问权限的第一类元数据的值，确定所述用户是否具有访问权限。

本发明实施例中，在获取到用户的访问请求后，确定了访问请求中的用户的角色信息，用户的角色信息包括用户的角色信息对应的组织元素，以及用户的角色信息对应的组织角色值；针对用户的访问请求，能够获取与该用户的访问请求对应的权限模型，权限模式是根据至少一个第一类元数据以及预设的权限配置项生成的，第一类元数据是用户对应的组织架构中的一个组织单元，也就是说，在本发明实施例中，权限模型是根据用户对应的组织架构元素确定的，当用户在组织架构中发生变化时，不需要修改权限系统，就可以继续使用该权限模型进行权限判断，实现了权限模型一次配置后，在用户角色发生变化后，自动适应的权限判断方法。

进一步地，所述访问请求中还包括访问属性信息；所述访问属性信息包括访问属性元数据的值；

所述权限模型是根据至少一个第一类元数据、至少一个第二类元数据及所述权限配置项生成的；所述第二类元数据表示至少一个访问属性元数据；所述权限配置项用于指示出具有访问权限的第一类元数据的值及具有访问权限的第二类元数据的值；

根据所述角色信息对应的组织元素的值与所述权限模型中具有访问权限的第一类元数据的值，确定所述用户是否具有访问权限，包括：

根据所述角色信息对应的组织元素的值与所述权限模型中第一类元数据的值，及，所述访问属性元数据的值与所述权限模型中第二类元数据的值，确定所述用户是否具有访问权限。

本发明实施例中，用户在访问权限系统时产生的访问请求中还包括访问属性信息，权限模型除了根据与组织架构相关的第一类元数据构成，还包括与访问属性元数据相关的第二类元数据，本发明实施例可以将访问属性信息也作为权限查询条件，扩展了查询的范围。

进一步地，所述权限模型是根据至少一个第一类元数据、至少一个第二类元数据及所述权限配置项生成的，包括：

根据所述第一类元数据的优先级以及所述第二类元数据的优先级，确定所述第一类元数据及所述第二类元数据在树形结构中的层级；

根据所述权限配置项中具有访问权限的第一类元数据的值及具有访问权限的第二类元数据的值，确定所述树形结构中的判断分支；所述判断分支分别对应有权限分支和无权限分支；

根据所述第一类元数据及所述第二类元数据在树形结构中的层级、所述树形结构中的判断分支，生成所述权限模型。

本发明实施例中，不同的第一类元数据以及第二类元数据具有不同的优先级，根据优先级以及权限配置项，可以将权限模型构成树形结构，树形结构的分支就代表了有权限和无权限的判断分支，由于使用了树形判断结构，减少了权限判断的时间。

进一步地，根据所述角色信息对应的组织元素的值与所述权限模型中第一类元数据的值，及，所述访问属性元数据的值与所述权限模型中第二类元数据的值，确定所述用户是否具有访问权限，包括：

查找所述角色信息对应的组织元素的值及所述访问属性元数据的值，在所述权限模型中所在的判断分支；

若所在的判断分支为有权限分支，则确定所述用户具有访问权限；若所在的判断分支为无权限分支，则确定所述用户不具有访问权限。

本发明实施例中，当确定了树形权限判断模型后，确定角色信息对应的组织元素的值以及访问属性元数据的值，根据这两个值逐层在属性权限判断模型中查找分支，根据不同的分支确定该用户的访问请求是否具有权限，实现了根据组织元素以及访问属性元素进行权限查询的方法。

本发明实施例还提供一种权限控制装置，包括：

接收单元，用于接收用户的访问请求，所述访问请求中包括用户的角色信息；

获取单元，用于获取所述访问请求对应的权限模型，所述权限模型是根据至少一个第一类元数据以及权限配置项生成的，所述第一类元数据表示组织架构中的一个组织元素，所述权限配置项用于指示出具有访问权限的第一类元数据的值；

确定单元，用于确定所述用户的角色信息对应的组织元素的值；

权限判断单元，用于根据所述角色信息对应的组织元素的值与所述权限模型中具有访问权限的第一类元数据的值，确定所述用户是否具有访问权限。

进一步地，所述访问请求中还包括访问属性信息；所述访问属性信息包括访问属性元数据的值；

所述权限判断单元具体用于：

进一步地，所述获取单元具体用于：

根据所述第一类元数据的优先级以及所述第二类元数据的优先级，确定所述第一类元数据及所述第二类元数据在树形结构中的层级；

根据所述第一类元数据及所述第二类元数据在树形结构中的层级、所述树形结构中的判断分支，生成所述权限模型。

进一步地，所述权限判断单元具体用于：

查找所述角色信息对应的组织元素的值及所述访问属性元数据的值，在所述权限模型中所在的判断分支；

若所在的判断分支为有权限分支，则确定所述用户具有访问权限；若所在的判断分支为无权限分支，则确定所述用户不具有访问权限。

本发明实施例还提供一种电子设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述实施例中任一所述的方法。

本发明实施例还提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行上述实施例中任一所述方法。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种权限控制方法的流程示意图；

图2为本发明实施例提供的一种第一类元数据的层级关系图；

图3为本发明实施例提供的一种权限模型示意图；

图4为本发明实施例提供的另一种权限模型示意图；

图5为本发明实施例提供的另一种权限模型示意图；

图6为本发明实施例提供的一种权限控制装置的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

现有技术中，权限控制方法通常都是针对一个人员进行的，例如，a公司b部门c组的d角色人员张三设置权限时，是将张三这个人增加到现有技术的权限系统中有权限的小组中，假设张三离职，则需要将张三这个人从有权限的小组中删除。所以现有技术中不能根据人员组织架构中的角色变化自动调整权限判断的功能。

本发明提供一种权限控制方法，如图1所述，包括：

步骤101，接收用户的访问请求，所述访问请求中包括用户的角色信息；

步骤102，获取所述访问请求对应的权限模型，所述权限模型是根据至少一个第一类元数据以及权限配置项生成的，所述第一类元数据表示组织架构中的一个组织元素，所述权限配置项用于指示出具有访问权限的第一类元数据的值；

步骤103，确定所述用户的角色信息对应的组织元素的值；

步骤104，根据所述角色信息对应的组织元素的值与所述权限模型中具有访问权限的第一类元数据的值，确定所述用户是否具有访问权限。

在本发明实施例中，当用户访问权限系统时，获取用户的访问请求，可选的，在本发明实施例中，用户的访问请求中包括用户的角色信息，还可以包括用户的登录密码等信息。

在步骤101中，用户的角色信息指的是用户对应的组织架构中的角色信息，例如，用户为a公司b部门c组的主管角色人员，这是用户的访问请求对应的角色信息，或者用户为a公司b部门c组的职员角色人员，这是另一种用户的访问请求对应的角色信息。

本发明实施例中，用户的角色信息可以是具体到某个角色人员，也可以是某个组的成员，某个部门的成员，某个分公司的成员等等。

在步骤102中，在接收到用户的访问请求后，需要根据用户的访问请求确定用户是否拥有访问权限。在本发明实施例中，根据用户的访问请求来获取权限模型，不同的访问请求可以对应不同的权限模型，例如用户a的访问请求对应的是一种权限模型，与用户a不同分公司的用户b的访问请求对应的是另一种权限模型。

在本发明实施例中，获取到的权限模型是根据至少一个第一类元数据生成的，第一类元数据表示的是用户对应的组织架构中的一个组织元素，多个组织元素构成用户对应的完整的组织架构。

例如如图2所示，图2表示的是一种直线式的组织架构图，组织元素为公司、子公司、部门、组，不同的组织元素构成了一个完整的组织架构图。

在本发明实施例中，第一类元数据就是如图2中的组织架构中的组织元素，例如第一类元数据为公司、子公司、部门、组；在本发明实施例中，权限模型是根据至少一个第一类元数据生成的，也就是说权限模型根据公司或者公司、子公司等至少一个第一类元数据生成的。

在本发明实施例中，权限配置项是预设的，权限配置项用于指示出具有访问权限的第一类元数据的值，例如，第一类元数据为公司、子公司、部门、组；权限配置项指出具的有权限的第一类元数据是a部门b组，也就是说权限模型中具有访问权限的第一类元数据为部门、组；而部门的值应该为a，组的值应该为b。

可选的，在本发明实施例中，具有权限的第一类元数据以及第一类元数据的值以二维表的形式保存在关系型数据库中，也可以保存在格式化的文件中。在获取到用户的访问请求后，再进行调用。

在步骤103中，在获取了权限模型后，需要对获取到的角色信息进行解析，确定角色信息对应的组织元素的值，以便与权限模型进行匹配。例如，获取到的用户的角色信息为a公司b部门c组的主管角色人员，则可以解析出用户的角色信息对应的组织元素的值：公司＝a、部门＝b、组＝c、角色＝主管。

在步骤104中，当解析出了角色信息对应的组织元素的值后，与权限模型进行比较，并根据比较结果确定用户是否具有访问权限。例如，在本发明实施中，若角色信息对应的部分或者全部组织元素的值与所述权限模型中具有访问权限的第一类元数据的值一致，则确定用户具有访问权限，否则认为该用户不具备访问权限。

可选的，在本发明实施例中，步骤103可以在设置在步骤101后，即在获取到用户的访问请求后，并获得用户的角色信息后，就确定出用户的角色信息对应的组织元素的值。

在本发明实施例中，由于权限模型是根据组织架构中的组织元素生成的，即对组织元素设立权限，也就是说针对不同的用户，若组织元素相同，则不需要对每个用户进行权限设置即可保证所有具有相同组织元素的用户具有权限。当有新的组织架构中的成员加入时，若还是具有相同组织元素，则该用户还是能够具有权限。例如，在本发明实施例中，权限模型中指出的具有访问权限的第一类元数据的a公司b部门c组全部人员，当用户f为新增加到组织架构中的人员，该人员为a公司b部门c组的主管角色人员，当用户f使用权限系统时，由于用户f的角色信息一直是具有权限的，所以不需要对用户f单独设置权限，实现了一次配置权限，自动适应的过程。

现有技术中针对权限系统，在进行权限查询时，不能将实时条件或者系统的属性信息作为查询条件，为了解决这个问题，而在本发明实施例中，可选的，在步骤101中，访问请求除了用户的角色信息外，还包括访问属性信息，这些访问属性信息包括访问属性元数据的值。

可选的，在本发明实施例中，访问属性元数据指的是与权限系统相关联的所有属性信息，例如用户的登录时间、用户的登录ip地址、权限系统的版本号等等，在用户进行权限访问时，就可以获取到这些访问属性元数据的值。

在步骤102中，权限模型是根据至少一个第一类元数据、至少第二类元数据生成的，第二类元数据表示至少一个访问属性元数据，例如上文中的用户的登录ip地址、用户的登录时间等等，都是第二类元数据。

权限配置项中不仅包括了具有权限的第一类元数据的值，还包括了具有权限的第二类元数据的值，在步骤104中，根据获取到的用户角色信息对应的组织元素的值、获取到的访问属性元数据的值以及权限模型来确定用户是否具有访问权限。

例如，在本发明实施例中，用户登录了权限系统，获取到了用户对应的角色信息为a公司b部门c组的主管角色人员，用户的访问属性元数据为系统版本2.0、登录时间为20:00。权限模型中有权限的第一类元数据的值为a公司b部门c组全部人员，即公司＝a、部门＝b、组＝c，权限模型中有权限的第二类元数据的值为登录时间介于10:00～22:00，则可以确定用户是具有访问权限的。

可选的，在本发明实施例中，在步骤104中，权限模型可以是只包括有权限的第一类元数据以及第二类元数据，以及有权限的第一类元数据的值、第二类元数据的值。

例如，在本发明实施例中，权限模型为公司＝a、部门＝b、组＝c、登陆时间介入10:00～22:00，当用户登陆到权限系统后，获取用户的角色信息以及访问属性元数据值，并根据用户的角色信息确定了用户信息对应的组织元素的值，将访问属性元数据以及访问属性元数据值、组织元素以及组织元素的值在权限模型中匹配，若有任一匹配不成功，则认为用户不具有访问权限，若全部匹配成功，则认为该用户拥有访问权限。

可选的，在本发明实施例中，为了提高查询效率，可以将确定出树形权限模型，从树根节点至叶子节点查询。可选的，在本发明实施例中，根据所述第一类元数据的优先级以及所述第二类元数据的优先级，确定所述第一类元数据及所述第二类元数据在树形结构中的层级；根据所述权限配置项中具有访问权限的第一类元数据的值及具有访问权限的第二类元数据的值，确定所述树形结构中的判断分支；所述判断分支分别对应有权限分支和无权限分支；根据所述第一类元数据及所述第二类元数据在树形结构中的层级、所述树形结构中的判断分支，生成所述权限模型。

也就是说，在本发明实施例中，第一类元数据以及第二类元数据有优先级，例如第一类元数据包括公司、子公司、部门、组；公司的优先级最高、组的优先级最低，根据不同第一类元数据的优先级将第一类元数据组成层级结构；同样的，第二类元数据也有优先级，例如第二类元数据包括登陆时间，登陆时间的优先级高于部门的优先级，则构成的层级结构为公司、子公司、登陆时间、部门、组。

在本发明实施例中，权限配置项中具有访问权限的第一类元数据的值及具有访问权限的第二类元数据的值，在层级结构中根据有权限的第一类元数据的值以及具有访问权限的第二类元数据的值生成不同的判断分支，即有权限的第一类元数据以及第一类元数据的值、第二类元数据以及第二类元数据的值为有权限分支，其它第一类元数据以及其它第二类元数据为第无权限分支。

例如，如图3所示，权限配置项中的第一类元数据为公司、子公司、部门、组，公司的优先级为1、子公司的优先级为2、部门优先级为3、组的优先级为4，第二类元数据为登录时间，登录时间的优先级为5，公司＝a；子公司＝b，部门＝c；组＝d；登录时间介于10:00～22:00，则构成的树形判断结构如图3所示。

可选的，在本发明实施例中，在确定了树形权限模型后，根据用户的角色信息对应的组织元素的值以及访问属性元数据的值在权限模型中查找对应的判断分支，若所在的判断分支为有权限分支，则确定所述用户具有访问权限；若所在的判断分支为无权限分支，则确定所述用户不具有访问权限。

为了更好的解释本发明实施例，下面通过具体的实施场景描述本发明实施例提供的一种权限控制方法，来说明本发明实施例能够解决现有技术中不能实现的一次配置，自动适应的权限控制方法。

在本发明实施例中，以“某公司财务部门权限薪酬组允许使用薪酬系统，其他人没有使用薪酬系统的权限管理要求”来说明如何实现权限“一次配置，自动适应”的权限管理解决方案。

首先在本发明实施例中，权限配置项就是“某公司财务部门权限薪酬组允许使用薪酬系统，其他人没有使用薪酬系统的权限管理要求”，解析出的第一类元数据为公司、部门、组；解析出的具有权限的第一类元数据以及第一类元数据的值为公司＝任意值；部门＝财务部；组＝薪酬组。第一类元数据中由高优先级向低优先级排序为公司、部门、组。所以根据上述权限配置项可以确定出如图4的树形权限模型。

现在以图4中的权限模型来说明怎样对用户的权限进行查询。

分别有用户a以及用户b使用权限系统查询权限，用户a登陆到权限系统后，获取到了用户a的角色信息，用户a为“技术部项目组项目经理角色”；用户b登陆到权限系统后，获取到了用户b的角色信息，用户b为“财务部薪酬组福利专员角色”。

确定了用户a的角色信息对应的组织元素值为部门＝技术部，组＝项目组；确定了用户b的角色信息对应的组织元素值为部门＝财务部，组＝薪酬组。根据用户a的角色信息在图4中的树形权限进行查找，发现用户a的组织元素值“组＝项目组”与有权限的第一类元数据的值“组＝薪酬组”不匹配，则确定用户a没有权限；同理，根据用户b的角色信息在图4中的树形权限进行查找，发现用户b的组织元素值与有权限的第一类元数据的值都匹配，则确定用户b具有访问权限。

在本发明实施例中的权限模型，可以适应组织架构中增加的新的用户进行权限查询，从而能够达到自动适应的效果，比如，用户c为新增加在组织架构中的新员工，用户c在访问权限系统时，获取了用户c的角色信息为“财务部薪酬组福利专员角色”，则角色对应的组织元素的值为部门＝财务部，组＝薪酬组。在权限模型没有变化的基础上，根据用户c的角色信息在图4中的树形权限进行查找，发现用户c的组织元素值与有权限的第一类元数据的值都匹配，则确定用户c具有访问权限。

在现有技术中，不能够使用实时条件作为权限判断的依据，如需要用户在特定时间内使用权限系统，需要用户使用特定ip地址登陆等，需要进行额外的编程才能够进行权限控制。而在本发明实施例中，由于权限模型是根据至少一个第二类元数据生成的，且第二类元数据与访问属性元数据相关，这些实时条件都可以作为第二类元数据，所以生成的权限模型也可以对这类实时条件进行判断。

例如，在本发明实施例中，权限配置项就是“某公司财务部门权限薪酬组在工作时间9:00～17:00内允许使用薪酬系统，其他人在其他时间没有使用薪酬系统的权限管理要求”，解析出的第一类元数据为公司、部门、组；解析出的具有权限的第一类元数据以及第一类元数据的值为公司＝任意值；部门＝财务部；组＝薪酬组。解析出的第二类元数据为工作时间，第二类元数据的值为工作时间＝9:00～17:00。第一类元数据以及第二类元数据的优先级排序为公司、部门、组、工作时间，则生成的权限模型如图5所示。

当用户b登陆到权限系统后，获取到了用户b的角色信息，用户b为“财务部薪酬组福利专员角色”，且用户b的登录时间为12:00；确定了用户b的角色信息对应的组织元素值为部门＝财务部，组＝薪酬组，工作时间＝12:00；根据用户b的角色信息在图5中的树形权限进行查找，发现用户b的组织元素值与有权限的第一类元数据的值都匹配，与第二类元数据的值也都匹配，则确定用户b具有访问权限，即利用本发明实施例中的方法，可以将实时查询条件加入到权限控制中。

基于同样的构思，本发明实施例还提供一种权限控制装置，如图6所示，包括：

接收单元601，用于接收用户的访问请求，所述访问请求中包括用户的角色信息；

获取单元602，用于获取所述访问请求对应的权限模型，所述权限模型是根据至少一个第一类元数据以及权限配置项生成的，所述第一类元数据表示组织架构中的一个组织元素，所述权限配置项用于指示出具有访问权限的第一类元数据的值；

确定单元603，用于确定所述用户的角色信息对应的组织元素的值；

权限判断单元604，用于根据所述角色信息对应的组织元素的值与所述权限模型中具有访问权限的第一类元数据的值，确定所述用户是否具有访问权限。

进一步地，所述访问请求中还包括访问属性信息；所述访问属性信息包括访问属性元数据的值；

所述权限判断单元604具体用于：

进一步地，所述获取单元602具体用于：

根据所述第一类元数据的优先级以及所述第二类元数据的优先级，确定所述第一类元数据及所述第二类元数据在树形结构中的层级；

根据所述第一类元数据及所述第二类元数据在树形结构中的层级、所述树形结构中的判断分支，生成所述权限模型。

进一步地，所述权限判断单元604具体用于：

查找所述角色信息对应的组织元素的值及所述访问属性元数据的值，在所述权限模型中所在的判断分支；

若所在的判断分支为有权限分支，则确定所述用户具有访问权限；若所在的判断分支为无权限分支，则确定所述用户不具有访问权限。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：何剑华
技术所有人：中国银联股份有限公司
我是此专利的发明人

上一篇：白酒酿造用的蒸馏设备的制作方法
上一篇：一种空气净化系统与水处理系统交集的系统的制作方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、李老师：1.计算力学 2.无损检测
2、毕老师：机构动力学与控制
3、袁老师：1.计算机视觉 2.无线网络及物联网
4、王老师：1.计算机网络安全 2.计算机仿真技术
5、王老师：1.网络安全；物联网安全、大数据安全 2.安全态势感知、舆情分析和控制 3.区块链及应用
如您是高校老师，可以点此联系我们加入专家库。