访问控制方法以及装置与流程

1.本发明属于航空航天技术领域，具体涉及一种访问控制方法以及访问控制装置。


背景技术：

2.测运控平台是遵循“稳定可靠、技术先进、交互灵活、开放扩展”的总体原则，基于消息结构总线，实现底层消息的可靠传输，为卫星测运控管理软件搭建稳定的基础平台。在基础平台之上，构建以数据收发与存储管理为基础，任务规划、遥测遥控轨道服务为核心，系统监视与业务可视化为应用展现形态的一体化框架，完成对卫星及星座的测运控业务一体化管理，构建稳定可靠高效运行的卫星测运控系统运行平台。
3.考虑到测运控平台的角色以及业务模块很多，并且每个角色在同一业务模块中可以看到的功能也不仅不相同，能实现的操作也各有不同。如果都采用授权码的方式，需要给每个用户赋予一个针对该用户的授权码，会带来大量重复的工作量，并且容易造成越权。
4.进而演进出一种新的api（application program interface，应用程序界面）访问控制方法，首先，其核心还是针对角色分配权限，再给成员分配角色，通过管理角色来管理权限。这是目前互联网公司所采用的常见方法，但在测运控平台中，由于承接的卫星数据用户较多，仅仅以角色区分，仍然会带来大量的工作量，并且某个角色的权限可能过大，仍然存在越权风险。


技术实现要素：

5.本发明实施例的目的是提供一种访问控制方法及访问控制装置，能够解决目前的仅仅以角色区分的访问控制方法工作量较大，存在越权风险的技术问题。
6.为了解决上述技术问题，本发明是这样实现的：第一方面，本发明实施例提供了一种访问控制方法，应用于测运控平台api，所述访问控制方法包括：s101：建立数据库，其中，所述数据库包括用户信息、角色信息、功能权限信息和数据权限信息，每个所述用户信息可包括多个所述角色信息，所述功能权限信息用于确定可执行的功能，所述数据权限信息用于确定允许访问的数据范围；s102：分别建立所述角色信息与所述功能权限信息、所述角色信息与所述数据权限信息之间的关联关系；s103：获取目标用户的访问请求；s104：响应于所述访问请求，获取所述目标用户相对应的角色信息，在所述访问请求为功能访问请求的情况下，根据关联的所述功能权限信息进行鉴权以确定所述访问请求是否可以被执行；在所述访问请求为数据访问请求的情况下，根据关联的所述数据权限信息进行鉴权以确定所述访问请求是否可以被执行。
7.可选地，所述功能权限信息包括功能菜单权限，所述功能菜单权限包括按钮权限和链接权限；所述数据权限信息包括数据维度权限，所述数据维度权限包括数据范围权限。
8.可选地，访问控制方法还包括：s105：搜索所述目标用户的用户id，显示与所述用户id相匹配的角色信息、功能权限信息和数据权限信息；s106：对与所述用户id相匹配的角色信息、功能权限信息和数据权限信息进行修改或者删除。
9.可选地，在所述s106之后，访问控制方法还包括：s107：在某一目标角色信息被删除的情况下，将与所述目标角色信息相关联的功能权限信息和数据权限信息一并删除。
10.可选地，所述数据库包括：第一数据表，用于存储所述用户信息与所述角色信息之间的关联关系；第二数据表，用于存储所述角色信息与所述功能权限信息之间的关联关系；第三数据表，用于存储所述角色信息与所述数据权限信息之间的关联关系；所述目标用户通过所述角色信息拥有对应的所述功能权限以及所述数据权限。
11.第二方面，本发明实施例提供了一种访问控制装置，应用于测运控平台api，所述访问控制装置包括：数据库建立模块，用于建立数据库，其中，所述数据库包括用户信息、角色信息、功能权限信息和数据权限信息，每个所述用户信息可包括多个所述角色信息，所述功能权限信息用于确定可执行的功能，所述数据权限信息用于确定允许访问的数据范围；权限配置模块，用于分别建立所述角色信息与所述功能权限信息、所述角色信息与所述数据权限信息之间的关联关系；获取模块，用于获取目标用户的访问请求；响应模块，用于响应于所述访问请求，获取所述目标用户相对应的所述角色信息，在所述访问请求为功能访问请求的情况下，根据关联的所述功能权限信息进行鉴权以确定所述访问请求是否可以被执行；在所述访问请求为数据访问请求的情况下，根据关联的所述数据权限信息进行鉴权以确定所述访问请求是否可以被执行。
12.可选地，所述功能权限信息包括功能菜单权限，所述功能菜单权限包括按钮权限和链接权限；所述数据权限信息包括数据维度权限，所述数据维度权限包括数据范围权限。
13.可选地，访问控制装置还包括：搜索模块，用于搜索所述目标用户的用户id，显示与所述用户id相匹配的角色信息、功能权限信息和数据权限信息；修改模块，用于对与所述用户id相匹配的角色信息、功能权限信息和数据权限信息进行修改或者删除。
14.可选地，访问控制装置还包括：删除模块，用于在某一目标角色信息被删除的情况下，将与所述目标角色信息相关联的功能权限信息和数据权限信息一并删除。
15.可选地，所述数据库包括：第一数据表，用于存储所述用户信息与所述角色信息之间的关联关系；第二数据表，用于存储所述角色信息与所述功能权限信息之间的关联关系；第三数据表，用于存储所述角色信息与所述数据权限信息之间的关联关系；
所述目标用户通过所述角色信息拥有对应的所述功能权限以及所述数据权限。
16.在本发明实施例中，在某个具体角色下，将权限进一步细分为功能权限和数据权限并进行分别授权，对于某一角色既可以仅授权功能权限，也可以仅授权数据权限，便于达到非必要不授权，大大降低越权风险。
附图说明
17.图1是本发明实施例提供的一种访问控制方法的流程示意图；图2是本发明实施例提供的一种权限的模型框架图。
18.本发明目的的实现、功能特点及优点将结合实施例、参照附图做进一步说明。
具体实施方式
19.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.本发明的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”等所区分的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。
21.下面结合附图，通过具体的实施例及其应用场景对本发明实施例提供的访问控制方法进行详细地说明。
22.实施例一测运控平台采用b/s架构，平台分为基础设施层、数据层、服务层、应用层和用户层，总体建设遵循行业标准规范体系及信息安全防护体系相关要求。
23.（1）基础设施层。基础设施层是支撑各类应用稳定运行的基础环境，本平台基础设施层主要由服务器、光纤存储阵列、交换机等组成。
24.（2）数据层。数据层为卫星测运控平台建设的基础与重要组成部分，平台需要存储与管理的数据包括原始观测数据和产品数据，其中原始观测数据包括gps数据、气象数据、遥测数据、轨控策略等，产品数据包括各类定轨轨控结果数据、遥测遥控数据和综合报告。
25.（3）服务层。服务层在基础设施层和数据层基础上为卫星测运控平台的各种业务应用提供数据收发服务、数据存储服务、业务调度服务、精度鉴定服务、资源使用计划服务、产品综合与发布服务。
26.（4）应用层。应用层主要根据卫星测运控平台研制任务与应用需求，通过web页面向用户展示业务信息，如综合管理、数据管理、任务规划、遥测遥控、轨道服务、远程站控等。
27.（5）用户层。卫星测运控平台主要供运维人员、管理员、业务人员等用户使用。
28.参照图1，示出了本发明实施例提供的一种访问控制方法的流程示意图。
29.本发明提供的一种访问控制方法，应用于测运控平台api（application program interface，应用程序界面）。
30.访问控制方法包括：s101：建立数据库。
31.其中，数据库包括用户信息、角色信息、功能权限信息和数据权限信息，功能权限信息用于确定可执行的功能，数据权限信息用于确定允许访问的数据范围。每个用户信息可包括多个角色信息，例如，某个用户既担任a角色，又担任b角色，a角色相关联的权限与b角色相关联的权限可以不同。
32.参照图2，示出了本发明实施例提供的一种权限的模型框架图。
33.进一步地，功能权限信息包括功能菜单权限，功能菜单权限包括按钮权限和链接权限；数据权限信息包括数据维度权限，数据维度权限包括数据范围权限。
34.功能权限的配置方法主要是：配置对应功能菜单，再由功能菜单去关联其中的按钮和链接。
35.数据权限的配置方法主要是：配置对应数据维度，再由数据维度去关联其中的数据范围。
36.其中，菜单是指具体业务功能页面；按钮是指操作按钮；链接是指需要控制访问的跳转链接，一般会直连数据库；数据是指页面显示的业务数据。
37.需要说明的是，以上有关功能权限信息和数据权限信息的说明仅仅是示例，不代表功能权限信息和数据权限信息仅仅包括上述示例中列举的情形，本发明实施例对于具体的功能权限和数据权限不做限定。
38.s102：分别建立角色信息与功能权限信息、角色信息与数据权限信息之间的关联关系。
39.某个特定的角色信息，可以仅配置功能权限信息，也可以仅配置数据权限信息，即可以做到功能权限信息和数据权限信息的任意配置。
40.具体地，数据库包括：第一数据表，用于存储用户信息与角色信息之间的关联关系；第二数据表，用于存储角色信息与功能权限信息之间的关联关系；第三数据表，用于存储角色信息与数据权限信息之间的关联关系；此时，目标用户通过角色信息拥有对应的功能权限以及数据权限。
41.在实际应用过程中，可以为某个特定的用户开通试用账户，使其仅具有部分的数据权限，而不具备功能权限。
42.例如，对于遥测遥控系统，具备遥测浏览某卫星和遥测自定义页面制作权限，无遥控发令、遥控管理及遥测管理等权限。
43.又例如，对于任务计划系统，总览、跟踪计划、跟踪状态和任务计划总览页面查看权限，其中跟踪计划页面无“申请跟踪”操作权。
44.再例如，对于站控系统，仅有站控系统首页的浏览权限。
45.s103：获取目标用户的访问请求。
46.其中，访问请求包括功能访问请求和数据访问请求。
47.在实际应用过程中，用户的访问请求可以是对于api中各个按钮、控件、数据链接的点击输入，还可以是一种语音指令。本发明实施例对于具体的请求方式不做限定。
48.s104：响应于访问请求，获取目标用户相对应的角色信息，在访问请求为功能访问
请求的情况下，根据关联的功能权限信息进行鉴权以确定访问请求是否可以被执行；在访问请求为数据访问请求的情况下，根据关联的数据权限信息进行鉴权以确定访问请求是否可以被执行。
49.进一步地，在目标用户具有相应的权限时执行访问请求，目标用户没有相应的权限时则拒绝访问请求。
50.可选地，在拒绝访问请求时可以给出提示信息，用于指示当前用户缺少调用权限。
51.在一种可能的实施方式中，访问控制方法还包括：s105：搜索目标用户的用户id，显示与用户id相匹配的角色信息、功能权限信息和数据权限信息。
52.s106：对与用户id相匹配的角色信息、功能权限信息和数据权限信息进行修改或者删除。
53.在本发明实施例中，可以通过搜索用户id修改或者删除权限，提高了权限管理效率。
54.进一步地，在在s106之后，访问控制方法还包括：s107：在某一目标角色信息被删除的情况下，将与目标角色信息相关联的功能权限信息和数据权限信息一并删除。
55.在某一具体的角色信息被删除时，直接收回该角色下的功能权限和数据权限，可以便于对于权限的管理。
56.在本发明实施例中，在某个具体角色下，将权限进一步细分为功能权限和数据权限并进行分别授权，对于某一角色既可以仅授权功能权限，也可以仅授权数据权限，便于达到非必要不授权，大大降低越权风险。
57.实施例二本发明实施例提供的访问控制装置应用于测运控平台api，访问控制装置包括：数据库建立模块，用于建立数据库，其中，数据库包括用户信息、角色信息、功能权限信息和数据权限信息，每个用户信息可包括多个角色信息，功能权限信息用于确定可执行的功能，数据权限信息用于确定允许访问的数据范围；权限配置模块，用于分别建立角色信息与功能权限信息、角色信息与数据权限信息之间的关联关系；获取模块，用于获取目标用户的访问请求；响应模块，用于响应于访问请求，获取目标用户相对应的角色信息，在访问请求为功能访问请求的情况下，根据关联的功能权限信息进行鉴权以确定访问请求是否可以被执行；在访问请求为数据访问请求的情况下，根据关联的数据权限信息进行鉴权以确定访问请求是否可以被执行。
58.可选地，功能权限信息包括功能菜单权限，功能菜单权限包括按钮权限和链接权限；数据权限信息包括数据维度权限，数据维度权限包括数据范围权限。
59.可选地，访问控制装置还包括：搜索模块，用于搜索目标用户的用户id，显示与用户id相匹配的角色信息、功能权限信息和数据权限信息；
修改模块，用于对与用户id相匹配的角色信息、功能权限信息和数据权限信息进行修改或者删除。
60.可选地，访问控制装置还包括：删除模块，用于在某一目标角色信息被删除的情况下，将与目标角色信息相关联的功能权限信息和数据权限信息一并删除。
61.可选地，数据库包括：第一数据表，用于存储用户信息与角色信息之间的关联关系；第二数据表，用于存储角色信息与功能权限信息之间的关联关系；第三数据表，用于存储角色信息与数据权限信息之间的关联关系；目标用户通过角色信息拥有对应的功能权限以及数据权限。
62.在本发明实施例中，在某个具体角色下，将权限进一步细分为功能权限和数据权限并进行分别授权，对于某一角色既可以仅授权功能权限，也可以仅授权数据权限，便于达到非必要不授权，大大降低越权风险。
63.本发明实施例中的虚拟系统可以是装置，也可以是终端中的部件、集成电路、或芯片。
64.此外，需要说明的是，以上所描述的装置实施例仅仅是示意性的，并不对本发明的保护范围构成限定，在实际应用中，本领域的技术人员可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的，此处不做限制。
65.另外，未在本实施例中详尽描述的技术细节，可参见本发明任意实施例所提供的访问控制方法和系统，此处不再赘述。
66.以上所述仅为本发明的较佳实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。