本发明涉及权限控制,具体地,涉及基于机构和用户的银行核心系统策略管控平台权限控制方法,尤其涉及一种核心系统策略管控平台权限控制方法、系统、设备及介质。
背景技术:
1、在多用户计算机系统的管理中,权限(privilege)是指某个特定的用户具有特定的系统资源使用权力。若不设置权限管控,则有可能会导致安全问题。通过不同的平台访问资源以获得某项服务,往往会涉及到不同的权限校验规则。
2、中大型银行核心系统十分庞大且错综复杂,其策略管控平台维护的内容更是涵盖成百上千个业务,平台用户群涉及到全行上下大大小小的机构和业务条线。随着银行业务深度和广度的双重增长,权限控制也随之分化出更多更细的类别。面对如此多样化的用户群体,一个合理有效的权限控制方法对策略管控平台来说是不可或缺的。
3、单纯地依赖rabc模型实现鉴权的机制很难满足银行系统的权限控制需求,如果给每个具体的权限建立一个对应的角色则会使得整个角色列表变得庞大而难以管理。
4、现有技术中存在以下缺陷:在java技术生态内,被广泛应用于权限控制的shiro和spring security都选用了rabc权限模型来实现其鉴权方案。rabc是基于角色的控制访问,权限和角色相关联,通过给用户分配角色的方式让用户获得相应的权限。然而在银行系统中,权限的区别不仅限于业务角色之间,不同机构相同业务角色所拥有的权限也不尽相同,假设有n个机构和m个业务角色,那么最终的角色数量可能达到n×m个。庞大的角色数量会使得整个权限管理系统变得冗余且难以维护。
技术实现思路
1、针对现有技术中的缺陷,本发明提供一种核心系统策略管控平台权限控制方法、系统、设备及介质。
2、根据本发明提供的一种核心系统策略管控平台权限控制方法、系统、设备及介质,所述方案如下:
3、第一方面,提供了一种核心系统策略管控平台权限控制方法,所述方法包括:
4、步骤s1:订阅用户管理和机构管理的系统,启动定时任务同步用户信息和银行机构信息,将最新数据更新到informix数据库中;
5、步骤s2:由管理员分别配置功能权限模板、机构可用功能以及机构参数维护权限;
6、步骤s3:平台用户使用账号密码和验证码进行登录,前端页面将用户信息加密后发送到后端验证;
7、后端从所述informix数据库取出acs加密后的密码,解密后进行用户认证;认证通过后创建session存储认证结果,将对应的jsessionid返回给客户端;
8、步骤s4:在客户端请求访问或操作平台功能时,由后端对jsessionid进行校验,根据jsessionid取出用户信息。
9、优选地,所述步骤s2包括:管理员在可视化的功能权限模板页面上勾选功能名称,由此建立权限模板和功能的关联关系;通过关联用户和所述权限模板,管理员给用户分配功能权限模板对应功能的访问权限。
10、优选地,所述步骤s2还包括:管理员在可视化的机构可用功能页面上勾选功能名称,建立机构和功能的关联关系;管理员还在机构参数维护权限页面配置每个可用功能的操作权限,操作权限包含查询、增加、修改、注销、恢复、数据导出、数据导入以及批量修改。
11、优选地,所述步骤s4根据jsessionid取出用户信息具体包括:
12、步骤s4.1:根据用户是否为总行人员,分别采用两种不同的赋权策略;
13、步骤s4.2:查询用户所关联的权限模板和用户所属机构所关联的可用功能,对两者进行逻辑与的判断,判断结果为true或者false;
14、其中,判断结果为true表示当前用户能访问该可用功能,判断结果为false表示当前用户不能访问该功能;
15、步骤s4.3:根据用户所属机构信息查询机构参数维护数据,判断用户对该功能当前操作类型,是否为其所属机构对该功能拥有的操作权限子集,如果是则放行,否则拒绝用户的操作请求。
16、第二方面,提供了一种核心系统策略管控平台权限控制系统,所述系统包括:
17、模块m1:订阅用户管理和机构管理的系统,启动定时任务同步用户信息和银行机构信息,将最新数据更新到informix数据库中;
18、模块m2:由管理员分别配置功能权限模板、机构可用功能以及机构参数维护权限;
19、模块m3:平台用户使用账号密码和验证码进行登录,前端页面将用户信息加密后发送到后端验证;
20、后端从所述informix数据库取出acs加密后的密码,解密后进行用户认证;认证通过后创建session存储认证结果,将对应的jsessionid返回给客户端;
21、模块m4:在客户端请求访问或操作平台功能时,由后端对jsessionid进行校验,根据jsessionid取出用户信息。
22、优选地,所述模块m2包括:管理员在可视化的功能权限模板页面上勾选功能名称,由此建立权限模板和功能的关联关系;通过关联用户和所述权限模板,管理员给用户分配功能权限模板对应功能的访问权限。
23、优选地,所述模块m2还包括:管理员在可视化的机构可用功能页面上勾选功能名称,建立机构和功能的关联关系;管理员还在机构参数维护权限页面配置每个可用功能的操作权限,操作权限包含查询、增加、修改、注销、恢复、数据导出、数据导入以及批量修改。
24、优选地,所述模块m4根据jsessionid取出用户信息具体包括:
25、模块m4.1:根据用户是否为总行人员,分别采用两种不同的赋权策略;
26、模块m4.2:查询用户所关联的权限模板和用户所属机构所关联的可用功能,对两者进行逻辑与的判断,判断结果为true或者false;
27、其中,判断结果为true表示当前用户能访问该可用功能,判断结果为false表示当前用户不能访问该功能;
28、模块m4.3:根据用户所属机构信息查询机构参数维护数据,判断用户对该功能当前操作类型,是否为其所属机构对该功能拥有的操作权限子集,如果是则放行,否则拒绝用户的操作请求。
29、与现有技术相比,本发明具有如下的有益效果:
30、1、本发明通过权限模板、机构可用功能以及机构参数维护权限三个维度的复合控制,实现了用户和权限细节的解耦,简化了赋权操作;
31、2、本发明还实现了对银行核心系统策略管控平台的全方位、高精度的权限控制,从而达成对权限配置类别的降维优化目的。
32、本发明的其他有益效果,将在具体实施方式中通过具体技术特征和技术方案的介绍来阐述,本领域技术人员通过这些技术特征和技术方案的介绍,应能理解所述技术特征和技术方案带来的有益技术效果。
1.一种核心系统策略管控平台权限控制方法,其特征在于,包括:
2.根据权利要求1所述的核心系统策略管控平台权限控制方法,其特征在于,所述步骤s2包括:管理员在可视化的功能权限模板页面上勾选功能名称,由此建立功能权限模板和功能的关联关系;通过关联用户和所述权限模板,管理员给用户分配功能权限模板对应功能的访问权限。
3.根据权利要求2所述的核心系统策略管控平台权限控制方法,其特征在于,所述步骤s2还包括:管理员在可视化的机构可用功能页面上勾选功能名称,建立机构和功能的关联关系;管理员还在机构参数维护权限页面配置每个可用功能的操作权限,操作权限包含查询、增加、修改、注销、恢复、数据导出、数据导入以及批量修改。
4.根据权利要求3所述的核心系统策略管控平台权限控制方法,其特征在于,所述步骤s4根据jsessionid取出用户信息具体包括:
5.一种核心系统策略管控平台权限控制系统,其特征在于,包括:
6.根据权利要求5所述的核心系统策略管控平台权限控制系统,其特征在于,所述模块m2包括:管理员在可视化的功能权限模板页面上勾选功能名称,由此建立权限模板和功能的关联关系;通过关联用户和所述权限模板,管理员给用户分配功能权限模板对应功能的访问权限。
7.根据权利要求6所述的核心系统策略管控平台权限控制系统,其特征在于,所述模块m2还包括:管理员在可视化的机构可用功能页面上勾选功能名称,建立机构和功能的关联关系;管理员还在机构参数维护权限页面配置每个可用功能的操作权限,操作权限包含查询、增加、修改、注销、恢复、数据导出、数据导入以及批量修改。
8.根据权利要求7所述的核心系统策略管控平台权限控制系统,其特征在于,所述模块m4根据jsessionid取出用户信息具体包括:
9.一种设备,其特征在于,所述设备包括:
10.一种存储有计算机程序的计算机可读存储介质,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的方法的步骤。