权限空间的创建方法、装置和计算机可读存储介质与流程

本发明涉及数据处理技术领域，尤其涉及一种权限空间的创建方法、装置和计算机可读存储介质。

背景技术：

目前软件系统的权限管理方案，都是基于单一的企业内部权限的思想，利用关系型数据库，采用多个字段来进行权限管理设置，或者采用角色方式进行权限配置管理。

在这种权限管理方案下，难以解决类似安保公司服务于多个其他组织的场景，这种场景之下，一个员工，既有所属组织的不同角色，又在服务组织中有不同角色，服务组织又有其所服务的组织，就会导致权限管理极度复杂，配置非常困难，对各组织的系统管理员造成困扰。

技术实现要素：

本发明的主要目的在于提供权限空间的创建方法、装置和计算机可读存储介质，旨在解决权限管理配置困难的问题。

为实现上述目的，本发明提供一种权限空间的创建方法，所述权限空间的创建方法包括以下步骤：

获取各个数据资源，并为各个所述数据资源配置生产者编码以及消费者编码；

根据所述生产者编码以及所述消费者编码确定各个人员的权限表达式；

根据各个所述生产者编码、所述消费者编码以及所述权限表达式构建权限空间。

在一实施例中，所述为各个所述数据资源配置消费者编码的步骤包括：

依次将各个所述数据资源作为当前数据资源；

确定含有对所述当前数据资源的第一权限的第一组织层级，其中，所述第一权限包括读权限以及删除权限中的至少一种；

根据所述第一组织层级对所述当前数据资源进行编码，以得到所述当前数据资源对应的消费者编码。

在一实施例中，所述根据所述消费者编码确定各个人员的权限表达式的步骤包括：

确定所述消费者编码对应的所述第一组织层级以及所述第一权限；

根据所述第一权限对所述第一组织层级对应的各个人员进行权限编码，以得到所述第一组织层级对应的各个人员的权限表达式。

在一实施例中，所述为各个所述数据资源配置生产者编码的步骤包括：

依次将各个所述数据资源作为当前数据资源；

确定含有对所述当前数据资源的第二权限的第二组织层级，其中，所述第二权限包括创建权限、更新权限、删除权限以及读权限；

根据所述第二组织层级对所述当前数据资源进行编码，以得到所述当前数据资源对应的生产者编码。

在一实施例中，所述确定含有对所述当前数据资源的第二权限的第二组织层级的步骤之后，还包括：

确定所述当前数据资源是否含有系统访问权限；

在所述当前数据资源数据未含有系统访问权限时，执行所述根据所述第二组织层级对所述当前数据资源进行编码的步骤。

在一实施例中，所述确定所述当前数据资源是否含有系统访问权限的步骤之后，还包括：

在所述当前数据资源数据含有系统访问权限时，确定所述系统访问权限对应的应用标识；

根据所述应用标识以及所述第二组织层级对所述当前数据资源进行编码，以得到所述当前数据资源对应的生产者编码。

在一实施例中，所述根据所述生产者编码确定各个人员的权限表达式的步骤包括：

确定所述生产者编码对应的所述第二组织层级以及所述第二权限；

根据所述第二权限对所述第二组织层级对应的各个人员进行权限编码，以得到所述第二组织层级对应的各个人员的权限表达式。

在一实施例中，所述数据资源包括各个人员的用户信息。

为实现上述目的，本发明还提供一种权限空间的创建装置，所述权限空间的创建装置包括处理器、存储器和存储在所述存储器上并可在所述处理器上运行的权限空间的创建程序，所述权限空间的创建程序被所述处理器执行时实现如上所述的权限空间的创建方法的各个步骤。

为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有权限空间的创建程序，所述权限空间的创建程序被所述处理器执行时实现如上所述的权限空间的创建方法的各个步骤。

本发明提供的权限空间的创建方法、装置和计算机可读存储介质，装置获取各个数据资源，并为各个所述数据资源配置生产者编码以及消费者编码，再根据消费者编码以及生产者编码来确定各个人员对应的权限表达式，由此根据各个生成者编码、消费者编码以及权限表达式构建权限空间；由于权限空间只有三个维度，使得权限的配置管理较为简单，且通过编码就可以读出数据资源所对应的组织人员并可通过权限表达式确定组织人员对数据资源的权限，简化了权限管理的配置工作，同时因对数据资源进行编码以及人员的权限表达式，使得权限空间拥有足够的灵活性，保证了装置的稳定性，避免出现业务变化以及权限变更引起的系统改造的情况。

附图说明

图1为本发明实施例涉及的权限空间的创建装置的硬件结构示意图；

图2为本发明权限空间的创建方法第一实施例的流程示意图；

图3为本发明步骤s10的一细化流程示意图；

图4为本发明步骤s10的另一细化流程示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例的主要解决方案是：获取各个数据资源，并为各个所述数据资源配置生产者编码以及消费者编码；根据所述生产者编码以及所述消费者编码确定各个人员的权限表达式；根据各个所述生产者编码、所述消费者编码以及所述权限表达式构建权限空间。

由于权限空间只有三个维度，使得权限的配置管理较为简单，且通过编码就可以读出数据资源所对应的组织人员并可通过权限表达式确定组织人员对数据资源的权限，简化了权限管理的配置工作，同时因对数据资源进行编码以及人员的权限表达式，使得权限空间拥有足够的灵活性，保证了装置的稳定性，避免出现业务变化以及权限变更引起的系统改造的情况。

作为一种实现方案，权限空间的创建装置可以如图1所示。

本发明实施例方案涉及的是权限空间的创建装置，权限空间的创建装置包括：处理器101，例如cpu，存储器102，通信总线103。其中，通信总线103用于实现这些组织之间的连接通信。

存储器102可以是高速ram存储器，也可以是稳定的存储器(non-volatilememory)，例如磁盘存储器。如图1所示，作为一种计算机可读存储介质的存储器102中可以包括权限空间的创建程序；而处理器101可以用于调用存储器102中存储的权限空间的创建程序，并执行以下操作：

获取各个数据资源，并为各个所述数据资源配置生产者编码以及消费者编码；

根据所述生产者编码以及所述消费者编码确定各个人员的权限表达式；

根据各个所述生产者编码、所述消费者编码以及所述权限表达式构建权限空间。

在一实施例中，处理器101可以用于调用存储器102中存储的权限空间的创建程序，并执行以下操作：

依次将各个所述数据资源作为当前数据资源；

确定含有对所述当前数据资源的第一权限的第一组织层级，其中，所述第一权限包括读权限以及删除权限中的至少一种；

根据所述第一组织层级对所述当前数据资源进行编码，以得到所述当前数据资源对应的消费者编码。

在一实施例中，处理器101可以用于调用存储器102中存储的权限空间的创建程序，并执行以下操作：

确定所述消费者编码对应的所述第一组织层级以及所述第一权限；

根据所述第一权限对所述第一组织层级对应的各个人员进行权限编码，以得到所述第一组织层级对应的各个人员的权限表达式。

在一实施例中，处理器101可以用于调用存储器102中存储的权限空间的创建程序，并执行以下操作：

依次将各个所述数据资源作为当前数据资源；

确定含有对所述当前数据资源的第二权限的第二组织层级，其中，所述第二权限包括创建权限、更新权限、删除权限以及读权限；

根据所述第二组织层级对所述当前数据资源进行编码，以得到所述当前数据资源对应的生产者编码。

在一实施例中，处理器101可以用于调用存储器102中存储的权限空间的创建程序，并执行以下操作：

确定所述当前数据资源是否含有系统访问权限；

在所述当前数据资源数据未含有系统访问权限时，执行所述根据所述第二组织层级对所述当前数据资源进行编码的步骤。

在一实施例中，处理器101可以用于调用存储器102中存储的权限空间的创建程序，并执行以下操作：

在所述当前数据资源数据含有系统访问权限时，确定所述系统访问权限对应的应用标识；

根据所述应用标识以及所述第二组织层级对所述当前数据资源进行编码，以得到所述当前数据资源对应的生产者编码。

在一实施例中，处理器101可以用于调用存储器102中存储的权限空间的创建程序，并执行以下操作：

确定所述生产者编码对应的所述第二组织层级以及所述第二权限；

根据所述第二权限对所述第二组织层级对应的各个人员进行权限编码，以得到所述第二组织层级对应的各个人员的权限表达式。

在一实施例中，处理器101可以用于调用存储器102中存储的权限空间的创建程序，并执行以下操作：

所述数据资源包括各个人员的用户信息。

本实施例根据上述方案，装置获取各个数据资源，并为各个所述数据资源配置生产者编码以及消费者编码，再根据消费者编码以及生产者编码来确定各个人员对应的权限表达式，由此根据各个生成者编码、消费者编码以及权限表达式构建权限空间；由于权限空间只有三个维度，使得权限的配置管理较为简单，且通过编码就可以读出数据资源所对应的组织人员并可通过权限表达式确定组织人员对数据资源的权限，简化了权限管理的配置工作，同时因对数据资源进行编码以及人员的权限表达式，使得权限空间拥有足够的灵活性，保证了装置的稳定性，避免出现业务变化以及权限变更引起的系统改造的情况。

基于上述权限空间的创建装置的硬件构架，提出本发明权限空间的创建方法的实施例。

参照图2，图2为本发明权限空间的创建方法的第一实施例，所述权限空间的创建方法包括以下步骤：

步骤s10，获取各个数据资源，并为各个所述数据资源配置生产者编码以及消费者编码；

在本发明中，执行主体为权限空间的创建装置，装置可为安防领域中的控制终端或者服务器，控制终端含有多个应用，且每个应用含有多个功能，在使用这些功能的时候，会产生数据资源，数据资源指的是人员的用户信息，用户信息包括该用户的个人信息，比如，年龄、性别等，用户信息还可包括用户的资产信息以及行为记录信息。数据资源拥有对应的生产者以及消费者，生产者表示对该数据资源拥有创建、更改、删除以及读取的权限的等权限，而消费者仅对该数据资源拥有读取或者删除的权限等权限，可以理解的是，生产者创建数据资源，生产者是数据资源的拥有者，而消费者对数据资源无拥有权，消费者可以拥有数据资源的读权限或者删除权限，但不具备创建权限以及更新权限。

在本发明中，装置会对数据资源进行生产者编码以及消费者编码，参照图3，即步骤s10中为各个所述数据资源配置消费者编码的步骤包括：

步骤s11，依次将各个所述数据资源作为当前数据资源；

步骤s12，确定含有对所述当前数据资源的第一权限的第一组织层级，其中，所述第一权限包括读权限以及删除权限中的至少一种；

步骤s13，根据所述第一组织层级对所述当前数据资源进行编码，以得到所述当前数据资源对应的消费者编码；

装置将各个数据资源依次作为当前数据资源，然后来确定含有对当前数据资源的第一权限的第一组织层级，第一权限包括读权限以及删除权限中的至少一种，组织层级为数据资源对应的消费者所在的组织，组织可为分为多个层级，比如，一级组织、二级组织以及三级组织，一级组织为公司，二级组织可为该公司下的各个部门，三级组织即为部门下的各个小组；此外，组织层级还可具体到人员的岗位或者角色，比如，数据资源的消费者为财务助理，或者张三。

在确定数据资源对应的第一组织层级后，即可根据第一组织层级对当前数据资源进行编码，例如，p01，p02表示不同的一级部门，p01-01、p01-02则表示某一级部门下的二级部门，而p01-s01表示一级部门的某个岗位或角色，p01-02-s01表示一级部门下的二级部门的某个岗位或者角色。

装置即可通过这种方式完成对各个数据资源的消费者编码。

参照图4，即步骤s10中为各个所述数据资源配置消费者编码的步骤包括：

步骤s14，依次将各个所述数据资源作为当前数据资源；

步骤s15，确定含有对所述当前数据资源的第二权限的第二组织层级，其中，所述第二权限包括创建权限、更新权限、删除权限以及读权限；

步骤s16，根据所述第二组织层级对所述当前数据资源进行编码，以得到所述当前数据资源对应的生产者编码。

装置将各个数据资源依次作为当前数据资源，然后来确定含有对当前数据资源的第二权限的第二组织层级，第二权限包括读权限、删除权限、创建权限以及更新权限，也即第二组织层级拥有该数据资源的所有权；第二组织层级与第一组织层级定义相同，在此不再赘述，第二组织层级表征对数据资源的所有权，而第一组织层级则表征对数据资源的读取权限以及删除权限。

在确定数据资源对应的第二组织层级后，即可根据第二组织层级对当前数据资源进行编码，生产者编码的方式与消费者编码的方式相同，在此不再赘述。

需要说明是，生产编码除了根据组织层级来确定，还可以结合组织层级与业务系统标识进行编码，业务系统对应的是软件系统中的不同子系统，如果业务上有需要，对特定的数据资源，某些系统(装置含有多个子系统)可以访问，某些系统不能访问。基于此，可对允许访问数据资源的系统设置对应的系统访问权限，故在确定当前数据资源对应的第二组织层级后，确定当前数据资源是否含有对应的系统访问权限，若未含有系统访问权限，则只需根据第二组织层级对当前数据资源进行编码即可；而在当前数据资源含有系统访问权限时，则需要根据系统访问权限以及第二组织层级来对当前数据资源进行编码，以得到生产者编码，具体的，先根据第二组织层级对当前数据资源进行编码，得到待处理的生产者编码，再在该待处理的生产者编码中添加系统访问权限对应的系统的系统标识，从而得到生产者编码，生产者编码中可含有多个系统的系统标识。

本发明中，通过对数据资源进行生产者以及消费者的链式编码，使得在更新数据资源的消费者或者生产者编码时，只需对链式编码进行扩展或者删减，即可完成数据资源的权限更新；且在当数据资源进行更新后，可直接根据编码进行识别，而不需根据字段进行识别，避免出现更新的数据资源查找不到的情况。

步骤s20，根据所述生产者编码以及所述消费者编码确定各个人员的权限表达式；

在确定数据资源的生产者编码以及消费者编码后，即可以根据消费者编码以及生产者编码，即可根据消费者编码以及生产者编码来确定各个人员的权限表达式，权限表达式指的是人员对数据资源的权限，权限一般分为创建、更新、读取以及删除等权限，生产者拥有所有权限，而消费者仅含有部分权限，且不能对数据资源进行更新以及创建，对每一项权限设置对应的编号，比如，创建权限对应的编号为c、读权限对应的编号为r、更新权限对应的编号为u、删除权限对应的编号为d，生产者对于的权限表达式即为crud，而消费者对应的权限表达式为ud、u或者d。

装置获得数据资源的消费者编码后，即可根据消费者编码确定权限表达式，具体的，装置确定消费者编码对应的第一组织层级以及第一权限，然后确定第一组织层级对应的人员，第一组织层级对应的人员可以是多个可以是一个，再通过第一权限对这些人员进行权限编码，以得到这些成员对应的权限表达式。

在当装置获得数据资源的生产者编码后，可根据生产者编码确定权限表达式，具体的，装置确定生产者编码对应的第二组织层级以及第二权限，然后确定第二组织层级对应的人员，二组织层级对应的人员可以是多个可以是一个，再通过第二权限对这些人员进行权限编码，以得到这些成员对应的权限表达式。

通过上述方式即可得到各个人员的权限表达式，可以理解的是，每一个人员具有多个权限表达式，权限表达式与数据资源关联。

需要说明的是，权限表达式可由数据资源的生产者定义与管理，生产者可以对静态信息进行增、删、改以及查进行权限设置，又可以对装置中各种功能、菜单、按钮的使用进行原子设置，给装置的系统的权限管理提供足够的灵活性。原子设置即最小单位设置，可根据实际需要设置，比如将整个菜单权限进行设置，也可以对菜单某一项进行设置，比如，ap01-mu01表示某个应用的某个菜单，ap01-mu01-it01表示某菜单项，如果配置了子项权限，就使用子项权限控制，如果配置的是菜单级就使用菜单级权限控制。

步骤s30，根据各个所述生产者编码、所述消费者编码以及所述权限表达式构建权限空间。

生产者编码、消费者编码以及权限表达式均与对应的数据资源关联，然后根据各个生产者编码、各个消费者编码以及各个权限表达式构建成三维的权限空间，生产者编码，消费者编码，权限表达式为三组离散变量。

在构建完权限空间后，若人员对某一个数据资源进行操作时，装置在权限空间确定此人员是否具有对该数据资源对应的权限表达式，若是判定此人员含有此数据资源对应的权限表达式，识别该权限表达式，来确定此人员对数据资源的权限，再判断操作是否属于权限范围，若是，则可判定人员可对该资源数据进行操作；若否，则输出权限不足的提示信息，例如，数据资源为a，李四对a的权限表达式为ud，也即李四对a具有读取以及删除的权限，而李四进行的操作是更新，更新这一操作不属于李四对a的权限范围，此时，则输出权限不足的提示信息。

装置中需要管理的数据资源又有生产者以及消费者，两者均通过有链式编码进行表达，即标识清楚各级组织的关系，又避免不断更新数据结果来扩展适应新的需求。

本发明通过对装置需要管理的数据资源进行权限空间的设计，减少了装置系统变更升级次数，不仅降低了研发成本，数据资源管理的运营成本也得到了有效的降低。

在本实施例提供的技术方案中，装置获取各个数据资源，并为各个所述数据资源配置生产者编码以及消费者编码，再根据消费者编码以及生产者编码来确定各个人员对应的权限表达式，由此根据各个生成者编码、消费者编码以及权限表达式构建权限空间；由于权限空间只有三个维度，使得权限的配置管理较为简单，且通过编码就可以读出数据资源所对应的组织人员并可通过权限表达式确定组织人员对数据资源的权限，简化了权限管理的配置工作，同时因对数据资源进行编码以及人员的权限表达式，使得权限空间拥有足够的灵活性，保证了装置的稳定性，避免出现业务变化以及权限变更引起的系统改造的情况。

为实现上述目的，本发明还提供一种权限空间的创建装置，所述权限空间的创建装置包括处理器、存储器和存储在所述存储器上并可在所述处理器上运行的权限空间的创建程序，所述权限空间的创建程序被所述处理器执行时实现如上实施例所述的权限空间的创建方法的各个步骤。

为实现上述目的，本发明还提供一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有权限空间的创建程序，所述权限空间的创建程序被所述处理器执行时实现如上实施例所述的权限空间的创建方法的各个步骤。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个计算机可读存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。