专利名称:业务系统权限管理方法、设备及系统的制作方法
技术领域:
本发明涉及数据处理技术,尤其涉及一种业务系统权限管理方法、设备及系统。
背景技术:
目前,多米用基于角色的访问控制(Role-based Access Control,简称为RBAC)模型对业务系统的权限进行管理。RBAC模型将权限与角色联系起来,在该RBAC模型中,根据业务系统的需要为不同的工作岗位创建相应的角色,并为不同角色分配相应的权限,这样作为不同角色的用户使用不同的权限对业务系统进行访问。现有RBAC模型可以实现对业务系统的权限的粗粒度覆盖管理,但目前的管理粒度并不能满足对业务系统数据资源进行细粒度分级权限管理的需求。如何进一步细化对业务系统进行数据资源的权限管理的粒度,以提高对业务系统进行权限管理的能力,成为有待解决的问题。
发明内容
本发明提供一种业务系统权限管理方法、设备和系统,用以细化对业务系统的数据资源进行权限管理的粒度,提高对业务系统进行权限管理的能力。为了实现上述目的,本发明提供了一种业务系统权限管理方法,包括:接收用户终端发送的请求登录业务系统的登录请求,所述登录请求包括所述用户终端对应的用户的标识信息;根据所述用户的标识信息,获取所述用户可访问的第一元数据;根据所述第一元数据,查询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,获取所述用户对所述第一元数据对应的第一数据资源的第一访问权限信息;接收所述用户终端发出的访问请求,所述访问请求包括待访问数据资源的元数据和操作类型码,所述操作类型码用于标识对所述待访问数据资源进行的操作类型;根据所述第一访问权限信息和所述访问请求,判断所述用户对所述待访问数据资源的访问是否合法。为了实现上述目的,本发明提供了一种服务器,包括:接收模块,用于接收用户终端发送的请求登录业务系统的登录请求,所述登录请求包括所述用户终端对应的用户的标识信息以及接收所述用户终端发出的访问请求,所述访问请求包括待访问数据资源的元数据和操作类型码,所述操作类型码用于标识对所述待访问数据资源进行的操作类型;第一获取模块,用于根据所述用户的标识信息,获取所述用户可访问的第一元数据以及根据所述第一元数据,查询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,获取所述用户对所述第一元数据对应的第一数据资源的第一访问权限信息;
第一判断模块,用于根据所述第一访问权限信息和所述访问请求,判断所述用户对所述待访问数据资源的访问是否合法。为了实现上述目的,本发明提供一种业务系统权限管理系统,包括:上述服务器和至少一个用户终端。本发明提供的一种业务系统权限管理方法、设备及系统,接收用户终端发送的登录请求,该登录请求包括用户的标识信息,根据用户的标识信息,获取用户可访问的第一元数据,根据第一元数据,查询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,获取用户对第一元数据对应的第一数据资源的第一访问权限信息,接收用户终端发出的访问请求,访问请求包括待访问数据资源的元数据和操作类型码,该操作类型码用于标识对待访问数据资源进行的操作类型,根据第一访问权限信息和访问请求,判断用户对待访问数据资源的访问是否合法。本发明通过获取数据资源的元数据,预先建立数据资源与元数据之间的映射关系以及操作类型与元数据之间的映射关系,通过上述映射关系,可以实现对数据资源的细粒度分级的访问权限的控制,提高了对业务系统进行权限管理的能力。
图1为基于RBAC模型的业务系统权限管理系统;图2为基于分级管理机制通用权限设计模型;图3为本发明实施例提供的一种业务系统权限管理方法示意图;图4为本发明实施例提供的一种服务器结构示意图;图5为本发明实施例提供的一种业务系统权限管理系统结构示意图。
具体实施例方式下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。图1为基于RBAC模型业务系统权限管理系统。如图1所示,业务系统的数据资源、操作类型和用户信息等均存储在数据库中,其中,业务系统的数据资源主要为各类业务对象,例如,在销售系统中销售订单、支付单等,而且数据资源为树形结构,例如,在车辆销售系统中,车辆销售订单包括各车辆组成模块的销售订单,而组成模块销售订单又可以包括该组成模块下零部件的销售订单。操作类型表示对数据资源可能的操作,例如,增加、删除、修改、查看和查询等操作。进一步地,建立数据资源与操作类型之间的映射关系,即业务系统的权限,将该映射关系存储在业务系统的数据库中。业务系统的权限表示可以对数据资源进行的访问操作。基于RBAC模型的业务系统权限管理系统根据业务系统规则和组织结构为业务系统设置角色,并将系统的角色信息存储在数据库中。其中,角色表示业务系统中的职位或者分工,代表一种资格、权利和责任,例如,在销售系统中,销售经理在业务系统中代表一种角色。进一步地,在为业务系统设置完角色之后,基于RBAC模型的业务系统权限管理系统建立角色和权限之间的映射关系以及用户和角色之间的映射关系,并将该上述映射关系存储在数据库中。其中,权限是角色可以使用的功能,而角色是权限的集合。当用户想要对业务系统的数据资源进行访问时,用户通过用户终端向业务系统发送访问请求,请求对业务系统中的数据资源进行操作,权限管理系统根据上述映射关系对用户的访问权限进行判断,判断该用户对发送的访问请求是否合法。关于基于RBAC模型业务系统权限管理系统的详细介绍可参见现有技术中的相关内容的记载,此处不再赘述。图2为基于分级管理机制通用权限设计模型。如图2所示,该通用权限设计模型是对图1所示的基于RBAC模型的业务系统权限管理系统进一步地扩展。该通用权限设计模型中增加了对业务系统数据权限的控制,首先对业务系统数据资源的数据类型和数据对象进行设置,并将数据对象和数据类型存储在数据中。其中,数据类型表示业务系统中需要控制的对象类型,例如,部门、库房、员工、客户和供应商等。数据对象表示具体的业务对象,为数据类型的对象实例,如北京销售部、上海销售部、张三、李四等。进一步地,建立数据资源与数据类型的关映射关系,例如,销售订单与部门、或者销售订单与客户的映射关系,并且建立数据对象和角色之间的映射关系,角色与数据对象之间的映射关系就是销售经理与张三之间的映射关系,或者销售经理与上海销售部之间的映射关系。该通用权限设计模块通过数据资源与数据类型的关映射关系,可以获取数据资源的控制点,根据数据对象和角色之间的映射关系实现对数据资源的数据权限的管理。关于基于分级管理机制通用权限设计模型的详细介绍可参见现有技术中的相关内容的记载,此处不再赘述。但是,上述的现有业务系统权限管理系统的管理粒度并不能满足对业务系统进行权限管理的需求。为了进一步细化对业务系统进行权限管理的粒度,以提高对业务系统进行权限管理的能力,提出以下技术方案。图3为本发明实施例提供的一种业务系统权限管理方法示意图。如图3所示,该业务系统权限管理方法包括以下步骤:301、接收用户终端发送的请求登录业务系统的登录请求,所述登录请求包括所述用户终端对应的用户的标识信息。在本实施例中,该方法的执行主体可以为服务器。在步骤301之前,服务器首先从图2所示的数据库中,获取业务系统的元数据,其中,元数据为数据的数据,通过元数据可以表示出数据资源中数据表和字段的名称、约束、标识、属性、字段类型、字段长度、描述等信息,也可对非关系型数据库数据资源进行基本信息描述。元数据可存储于它所定义的数据库或数据文件路径中,一般在实际应用中可以对元数据和相关资源访问配置信息可进行加密处理以增强安全性。关于元数据的相关内容参见现有技术中相关内容的介绍,此处不再赘述。在获取到业务系统的元数据后,建立操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,并将上述映射关系存储在数据库中。进一步地,建立用户标识信息与角色之间的映射关系以及角色与元数据之间的映射关系,并将上述映射关系存储在数据库中。当用户想要对业务系统中的数据资源进行访问时,用户首先通过所处的用户终端登录该业务系统。具体地,用户通过用户终端向业务系统所在的服务器发送登录请求,该登录请求用于请求登录业务系统,并且在该登录请求中携带用该用户的标识信息,例如,用户的标识信息可以为用户注册该业务系统时的注册信息,或者用户的授权信息。302、根据所述用户的标识信息,获取所述用户可访问的第一元数据。在接收到登录请求后,服务器得到用户的标识信息,根据预存的用户的身份信息和登录请求中用户的标识信息,对用户的身份进行合法性验证。如果预存的用户的身份信息与登录请求中用户端标识信息一致,说明用户的身份合法,则允许该用户登录业务系统。其中,预存的用户的身份信息可以为用户的注册信息或者授权信息。本实施例通过对用户的身份的合法性进行验证,可以避免非法用户的对业务系统的入侵,提高业务系统的安全性。在验证出用户的身份合法后,服务器根据用户的标识信息,查询预存的用户标识信息与角色之间的映射关系,确定出该用户的角色。在确定出该用户的角色后,服务器根据用户的角色,查询预存的角色与元数据之间的映射关系,获取到用户可访问的第一元数据。303、根据所述第一元数据,查询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,获取所述用户对所述第一元数据对应的第一数据资源的第一访问权限信息。在获取到第一元数据后,服务器根据第一元数据查询预存的操作类型与元数据之间的映射关系,获取到可以对第一元数据的访问操作,并且查询预存的数据资源与元数据之间的映射关系,以获取到与第一元数据相应的第一数据资源,该第一数据资源为用户可以访问的数据资源。服务器查询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,得到的查询结果,可以获取用户对第一数据资源的第一访问权限信息,具体地,第一访问权限信息可以以列表的形式存储。304、接收所述用户终端发出的访问请求,所述访问请求包括待访问数据资源的元数据和操作类型码,所述操作类型码用于标识对所述待访问数据资源进行的操作类型。在对业务系统进行访问时,用户通过用户终端向服务器发送访问请求,并且在访问请求中携带用户待访问的数据资源的元数据和操作类型码,其中,操作类型码用于标识对待访问数据资源进行的操作类型。305、根据所述第一访问权限信息和所述访问请求,判断所述用户对所述待访问数据资源的访问是否合法。在接收到访问请求后,服务器根据访问请求中携带的用户待访问数据资源的元数据和操作类型码,查询用户的第一访问权限信息,如果待访问数据资源的元数据属于第一访问权限信息中包括的第一元数据,并且操作类型码所标识的对待访问数据资源的操作类型,属于第一访问权限信息中包括的操作类型,服务器判断出用户发送的访问请求是合法的,说明用户可以对待访问的数据资源进行相应的操作。本实施例提供的业务系统权限管理方法,接收用户终端发送的登录请求,该登录请求包括用户的标识信息,根据用户的标识信息,获取用户可访问的第一元数据,根据第一元数据,查询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,获取用户对第一元数据对应的第一数据资源的第一访问权限信息,接收用户终端发出的访问请求,访问请求包括待访问数据资源的元数据和操作类型码,该操作类型码用于标识对待访问数据资源进行的操作类型,根据第一访问权限信息和访问请求,判断用户对待访问数据资源的访问是否合法。本实施例通过获取数据资源的元数据,预先建立数据资源与元数据之间的映射关系以及操作类型与元数据之间的映射关系,通过上述映射关系,可以实现对业务系统的数据资源细粒度分级的访问权限的控制,进一步细化了业务系统中用户的权限进行管理的粒度,提高了对业务系统进行权限管理的能力。进一步地,在业务系统中,同一角色下的部分特定用户,可以具有对特定数据资源进行访问的权限,为了不改变角色下全部用户的权限,可以预先设置用户的标识信息与元数据之间的映射关系,并且将该映射关系存储在数据库中。其中,在该映射关系中元数据为特定数据资源相应的元数据。该映射关系可以标识出该用户除了具有所属角色所拥有的权限之外,还可以一些具有特定的权限,例如,在同一角色下的其他用户不具有对于某一个业务表中的某一业务字段在特定取值范围的访问权限等,而由于工作需求,需要将该该业务表中的该业务字段在特定取值范围的访问权限赋予该用户。这样就可以设置用户标识信息与该特定取值范围对应的元数据之间的映射关系。在根据第一访问权限信息判断出用户发起的访问请求不合法后,服务器根据用户的标识信息,查询预存的用户标识信息与元数据之间的映射关系,如果用户的标识信息属于该映射关系中包括的用户标识信息,服务器可以获取该用户可访问的第二元数据。服务器根据第二元数据查询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,得到的查询结果,可以获取用户对第二元数据对应的第二数据资源的第二访问权限信息。服务器根据第二访问权限信息和访问请求,判断用户对待访问数据资源的访问是否合法,具体地,服务器根据访问请求中携带的待访问数据资源的元数据和操作类型码,查询用户的第二访问权限信息,如果待访问数据资源的元数据属于第二访问权限信息中包括的第二元数据,并且操作类型码所标识的对待访问数据资源的操作类型,属于第二访问权限信息中包括的操作类型,服务器判断出用户发送的访问请求是合法的,用户可以对待访问的数据资源进行相应的操作;如果用户的标识信息不属于用户标识信息与元数据之间的映射关系中包括的用户标识信息,服务器判断用户发送的访问请求是不合法的。可选地,服务器可以向用户返回指示用户无该访问权限的信息。可选地,服务器将获取到的用户的第一访问权限信息和第二访问权限信息发送给用户所在的用户终端,这样用户再次通过该用户终端登录业务系统,对业务系统的数据资源进行访问时,用户终端就可以根据访问请求和存储在用户终端上的第一访问权限信息和第二权限信息进行判断该访问请求时否合法。具体地,用户终端根据访问请求中携带的待访问数据资源的元数据和操作类型码,查询用户的第一访问权限信息,如果待访问数据资源的元数据属于第一访问权限信息中包括的第一元数据,并且操作类型码所标识的对待访问数据资源的操作类型,属于第一访问权限信息中包括的操作类型,用户终端判断出用户发送的访问请求是合法的,用户可以对待访问的数据资源进行相应的操作。进一步地,在根据第一访问权限信息判断出用户发起的访问请求不合法后,用户终端根据访问请求和第二访问权限信息,判断用户对待访问数据资源的访问是否合法,具体地,用户终端根据访问请求中携带的待访问数据资源的元数据和操作类型码,查询用户的第二访问权限信息,如果待访问数据资源的元数据属于第二访问权限信息中包括的第二元数据,并且操作类型码所标识的对待访问数据资源的操作类型,属于第二访问权限信息中包括的操作类型,用户终端判断出用户发送的访问请求是合法的,用户可以对待访问的数据资源进行相应的操作。本实施例中,在用户初次登录业务系统后,服务器将获取到该用户的第一访问权限信息和第二访问权限信息,发送到用户所在的用户终端,当用户再次登录业务系统时,用户终端就可以对用户发起的访问请求进行合法性判断,提高了业务系统权限管理的时效性,并且降低了服务器的负载。进一步地,服务器可以向用户终端发送访问权限更新消息,该访问权限更新消息可以通知用户终端对应的用户的访问权限信息进行了更新,需要用户终端重新获取该用户的第一访问权限信息和第二访问权限信息。具体地,服务器可以通过在该访问权限更新消息中携带用户的标识信息,将该访问权限更新消息发送给用户终端,用户终端接收到该访问权限更新消息后,当用户在本地进行登录业务系统后,根据该访问权限更新消息从服务器中重新获取该用户的第一访问权限信息和第二访问权限信息。可选地,用户终端还可以对获取到第一访问权限信息和第二访问权限信息进行加密处理,以提高业务系统的安全性。图4为本发明实施例提供的一种服务器结构示意图。如图4所示,该服务器包括:接收模块41、第一获取模块42和第一判断模块43。其中,接收模块41接收用户终端发送的请求登录业务系统的登录请求,登录请求包括该用户终端对应的用户的标识信息以及接收用户终端发出的访问请求,该访问请求包括待访问数据资源的元数据和操作类型码,该操作类型码用于标识对待访问数据资源进行的操作类型。第一获取模块42根据用户的标识信息,获取用户可访问的第一元数据以及根据第一元数据,查询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,获取用户对第一元数据对应的第一数据资源的第一访问权限信息。第一判断模块43根据所述第一访问权限信息和所述访问请求,判断所述用户对所述待访问数据资源的访问是否合法。在本实施例中,服务器还包括一个预设模块40,该预设模块获取业务系统的元数据,其中,元数据为数据的数据,通过元数据可以表示出数据资源中数据表和字段的名称、约束、标识、属性、字段类型、字段长度、描述等信息,也可对非关系型数据库数据资源进行基本信息描述。元数据可存储于它所定义的数据库或数据文件路径中,一般在实际应用中可以对元数据和相关资源访问配置信息可进行加密处理以增强安全性。在获取到业务系统的元数据后,建立操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,并将上述映射关系存储在数据库中。进一步地,建立用户标识信息与角色之间的映射关系以及角色与元数据之间的映射关系,并将上述映射关系存储在数据库中。当用户想要对业务系统中的数据资源进行访问时,用户首先通过所处的用户终端登录该业务系统。具体地,用户通过用户终端向业务系统所在的服务器中的接收模块41发送登录请求,该登录请求用于请求登录业务系统,并且在该登录请求中携带用该用户的标识信息,例如,用户的标识信息可以为用户注册该业务系统时的注册信息,或者用户的授权信息。在接收到登录请求后,第一获取模块42用户的标识信息,获取用户可访问的第一元数据。具体地,在接收模块41接收到登录请求后,第一获取模块42得到用户的标识信息,第一获取模块42根据预存的用户的身份信息和登录请求中用户的标识信息,对用户的身份进行合法性验证。如果预存的用户的身份信息与登录请求中用户端标识信息一致,说明用户的身份合法,则允许该用户登录业务系统。其中,预存的用户的身份信息可以为用户的注册信息或者授权信息。本实施例通过对用户的身份的合法性进行验证,可以避免非法用户的对业务系统的入侵,提高业务系统的安全性。在验证出用户的身份合法后,第一获取模块42根据用户的标识信息,查询预存的用户标识信息与角色之间的映射关系,确定出该用户的角色。在确定出该用户的角色后,然后根据用户的角色,查询预存的角色与元数据之间的映射关系,获取到用户可访问的第一元数据。进一步地,在获取到第一元数据后,第一获取模块42根据第一元数据查询预存的操作类型与元数据之间的映射关系,获取到可以对第一元数据的访问操作,并且查询预存的数据资源与元数据之间的映射关系,以获取到与第一元数据相应的第一数据资源,该第一数据资源为用户可以访问的数据资源。第一获取模块42查询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,得到的查询结果,可以获取用户对第一数据资源的第一访问权限信息,具体地,第一访问权限信息可以以列表的形式存储。当用户登录到业务系统后,对业务系统的数据资源进行访问时,用户通过用户终端向接收模块41发送访问请求,并且在访问请求中携带用户待访问的数据资源的元数据和操作类型码,其中,操作类型码用于标识对待访问数据资源进行的操作类型。在接收模块41接收到访问请求后,第一判断模块43根据第一访问权限信息和访问请求,判断用户对待访问数据资源的访问是否合法。具体地,第一判断模块43根据访问请求中携带的用户待访问数据资源的元数据和操作类型码,查询用户的第一访问权限信息,如果待访问数据资源的元数据属于第一访问权限信息中包括的第一元数据,并且操作类型码所标识的对待访问数据资源的操作类型,属于第一访问权限信息中包括的操作类型,第一判断模块43判断出用户发送的访问请求是合法的,说明用户可以对待访问的数据资源进行相应的操作。本实施例提供的服务器,接收用户终端发送的登录请求,该登录请求包括用户的标识信息,根据用户的标识信息,获取用户可访问的第一元数据,根据第一元数据,查询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,获取用户对第一元数据对应的第一数据资源的第一访问权限信息,接收用户终端发出的访问请求,访问请求包括待访问数据资源的元数据和操作类型码,该操作类型码用于标识对待访问数据资源进行的操作类型,根据第一访问权限信息和访问请求,判断用户对待访问数据资源的访问是否合法。本实施例通过获取数据资源的元数据,预先建立数据资源与元数据之间的映射关系以及操作类型与元数据之间的映射关系,通过上述映射关系,可以实现对业务系统的数据资源细粒度分级的访问权限的控制,进一步地细化了业务系统中用户权限的进行管理的粒度,提高了对业务系统进行权限管理的能力。进一步地,本发明实施例提供的服务器还包括:第二获取模块44和第二判断模块45。该第二获取模块44用于在第一判断模块43判断出用户对待访问数据资源的访问不合法后,根据用户的标识信息,查询预存的用户标识信息与元数据之间的映射关系,获取用户可访问的第二元数据,并且根据第二元数据,查询操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,获取用户对第二元数据对应的第二数据资源的第二访问权限信息。第二判断模块45用于在第二获取模块44获取到第二访问权限信息之后,根据第二访问权限信息和访问请求,判断用户对待访问数据资源的访问是否合法。在业务系统中,同一角色下的部分特定用户,可以具有对特定数据资源进行访问的权限,为了不改变角色下全部用户的权限,可以预先设置用户的标识信息与元数据之间的映射关系,并且将该映射关系存储在数据库中。其中,在该映射关系中元数据为特定数据资源相应的元数据。该映射关系可以标识出该用户除了具有所属角色所拥有的权限之外,还可以一些具有特定的权限,例如,在同一角色下的其他用户不具有对于某一个业务表中的某一业务字段在特定取值范围的访问权限等,而由于工作需求,需要将该该业务表中的该业务字段在特定取值范围的访问权限赋予该用户。这样就可以设置用户标识信息与该特定取值范围对应的元数据之间的映射关系。在第一判断模块43根据第一访问权限信息判断出用户发起的访问请求不合法后,第二获取模块44根据用户的标识信息,查询预存的用户标识信息与元数据之间的映射关系,如果用户的标识信息属于该映射关系中包括的用户标识信息,第二获取模块44可以获取该用户可访问的第二元数据。第二获取模块44根据第二元数据查询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,得到查询结果,可以获取用户对可访问的第二元数据对应的第二数据资源的第二访问权限信息。第二判断模块45根据第二访问权限信息和访问请求,判断用户对待访问数据资源的访问是否合法。具体地,第二判断模块45根据访问请求中携带的待访问数据资源的元数据和操作类型码,查询用户的第二访问权限信息,如果待访问数据资源的元数据属于第二访问权限信息中包括的第二元数据,并且操作类型码所标识的对待访问数据资源的操作类型,属于第二访问权限信息中包括的操作类型,第二判断模块45判断出用户发送的访问请求是合法的,用户可以对待访问的数据资源进行相应的操作;如果用户的标识信息不属于用户标识信息与元数据之间的映射关系中包括的用户标识信息,或者待访问数据资源的元数据属于第二访问权限信息中包括的第二元数据,或者操作类型码所标识的对待访问数据资源的操作类型,属于第二访问权限信息中包括的操作类型,第二判断模块45判断用户发送的访问请求是不合法的。可选地,第二判断模块45可以向用户返回提示用户无该访问权限的信息。可选地,本实施例提供的服务器还包括发送模块46,该发送模块46可以将获取到的用户的第一访问权限信息和第二访问权限信息发送给用户所在的用户终端,这样用户再次通过该用户终端登录业务系统,对业务系统的数据资源进行访问时,用户终端就可以根据访问请求和存储在用户终端上的第一访问权限信息和第二权限信息进行判断该访问请求时否合法。具体地,用户终端根据访问请求中携带的待访问数据资源的元数据和操作类型码,查询用户的第一访问权限信息,如果待访问数据资源的元数据属于第一访问权限信息中包括的第一元数据,并且操作类型码所标识的对待访问数据资源的操作类型,属于第一访问权限信息中包括的操作类型,用户终端判断出用户发送的访问请求是合法的,用户可以对待访问的数据资源进行相应的操作。如果,用户终端根据第一访问权限信息判断出用户发起的访问请求不合法,用户终端则根据第二访问权限信息和访问请求,判断用户对待访问数据资源的访问是否合法。具体地,用户终端根据访问请求中携带的待访问数据资源的元数据和操作类型码,查询用户的第二访问权限信息,如果待访问数据资源的元数据属于第二访问权限信息中包括的第二元数据,并且操作类型码所标识的对待访问数据资源的操作类型,属于第二访问权限信息中包括的操作类型,用户终端判断出用户发送的访问请求是合法的,用户可以对待访问的数据资源进行相应的操作。本实施例中,将获取到该用户的第一访问权限信息和第二访问权限信息,发送到用户所在的用户终端,这样用户再次登录业务系统时,可以直接通过用户终端对用户发起的访问请求进行合法性判断,提高了业务系统权限管理的时效性,并且降低了服务器的负载。进一步地,服务器可以通过发送模块46向用户终端发送访问权限更新消息,该访问权限更新消息可以通知用户终端对应的用户的访问权限信息进行了更新,需要用户终端重新获取该用户的第一访问权限信息和第二访问权限信息。具体地,服务器通过发送模块46向用户终端发送访问权限更新消息,在该访问权限更新消息中携带用户的标识信息,将该访问权限更新消息发送给用户终端,用户终端接收到该访问权限更新消息后,当用户在本地进行登录业务系统后,根据该访问权限更新消息从服务器中重新获取该用户的第一访问权限信息和第二访问权限信息。可选地,用户终端还可以对获取到第一访问权限信息和第二访问权限信息进行加密处理,以提高业务系统的安全性。图5为本发明提供的一种业务系统权限管理系统结构示意图。如图5所示,该业务系统权限管理系统包括:服务器51和至少一个用户终端52。其中,服务器51为上述实施例中提供的服务器,用户终端52可以为一个个人计算机等终端设备,用户通过该用户终端52与服务器51之间进行信息交互。关于服务器51和用户终端52的介绍参见上述实施例中相关内容的记载,此处不再赘述。本实施例提供的业务系统权限管理系统,接收用户终端发送的登录请求,该登录请求包括用户的标识信息,根据用户的标识信息,获取用户可访问的第一元数据,根据第一元数据,查询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,获取用户对第一元数据对应的第一数据资源的第一访问权限信息,接收用户终端发出的访问请求,访问请求包括待访问数据资源的元数据和操作类型码,该操作类型码用于标识对待访问数据资源进行的操作类型,根据第一访问权限信息和访问请求,判断用户对待访问数据资源的访问是否合法。本实施例通过获取数据资源的元数据,预先建立数据资源与元数据之间的映射关系以及操作类型与元数据之间的映射关系,实现对业务系统的数据资源细粒度分级的访问权限的控制,进一步地细化了业务系统中用户权限的进行管理的粒度,提高了对业务系统进行权限管理的能力,并且将获取到用户的第一访问权限信息和第二访问权限信息,发送到用户终端以使用户终端可以对用户发起的访问请求进行合法性判断,提高了业务系统权限管理的时效性,并且降低了服务器的负载。最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
权利要求
1.一种业务系统权限管理方法,其特征在于,包括: 接收用户终端发送的请求登录业务系统的登录请求,所述登录请求包括所述用户终端对应的用户的标识信息; 根据所述用户的标识信息,获取所述用户可访问的第一元数据; 根据所述第一元数据,查询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,获取所述用户对所述第一元数据对应的第一数据资源的第一访问权限信息; 接收所述用户终端发出的访问请求,所述访问请求包括待访问数据资源的元数据和操作类型码,所述操作类型码用于标识对所述待访问数据资源进行的操作类型; 根据所述第一访问权限信息和所述访问请求,判断所述用户对所述待访问数据资源的访问是否合法。
2.根据权利要求1所述的业务系统权限管理方法,其特征在于,所述根据所述用户的标识信息,获取所述用户 可访问的第一元数据包括: 根据预存的所述用户的身份信息和所述登录请求中所述用户的标识信息,对所述用户的身份进行合法性验证; 如果验证结果为合法,根据所述用户的标识信息,获取所述用户可访问的所述第一元数据。
3.根据权利要求2所述的业务系统权限管理方法,其特征在于,所述如果验证结果为合法,根据所述用户的标识信息,获取所述用户可访问的第一数据资源的元数据包括: 根据所述用户的标识信息,查询预存的用户标识信息与角色之间的映射关系,确定所述用户的角色; 根据所述用户的角色,查询预存的角色与元数据之间的映射关系,获取所述用户可访问的第一元数据。
4.根据权利要求1或2所述的业务系统权限管理方法,其特征在于,所述根据所述第一访问权限信息和所述访问请求,判断所述用户对所述待访问数据资源的访问是否合法包括: 如果所述待访问数据资源的元数据属于所述第一访问权限信息包括的所述第一元数据,且所述操作类型码所标识的对所述待访问数据资源的操作类型属于所述第一访问权限信息中包括的操作类型,判断出所述访问请求合法。
5.根据权利要求4所述的业务系统权限管理方法,其特征在于,还包括: 如果根据所述第一访问权限信息和所述访问请求,判断出所述用户对所述待访问数据资源的访问不合法,根据所述用户的标识信息,查询预存的用户标识信息与元数据之间的映射关系,获取所述用户可访问的第二元数据; 根据所述第二元数据,查询所述操作类型与元数据之间的映射关系以及所述数据资源与元数据之间的映射关系,获取所述用户对所述第二元数据对应的第二数据资源的第二访问权限信息; 根据所述第二访问权限信息和所述访问请求,判断所述用户对所述待访问数据资源的访问是否合法。
6.根据权利要求5所述的业务系统权限管理方法,其特征在于,还包括:将所述第一访问权限信息和第二访问权限信息发送给所述用户终端。
7.一种服务器,其特征在于,包括: 接收模块,用于接收用户终端发送的请求登录业务系统的登录请求,所述登录请求包括所述用户终端对应的用户的标识信息,以及接收所述用户终端发出的访问请求,所述访问请求包括待访问数据资源的元数据和操作类型码,所述操作类型码用于标识对所述待访问数据资源进行的操作类型; 第一获取模块,用于根据所述用户的标识信息,获取所述用户可访问的第一元数据,以及根据所述第一元数据,查 询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,获取所述用户对所述第一元数据对应的第一数据资源的第一访问权限信息; 第一判断模块,用于根据所述第一访问权限信息和所述访问请求,判断所述用户对所述待访问数据资源的访问是否合法。
8.根据权利要求7所述的服务器,其特征在于,所述第一获取模块还用于根据预存的所述用户的身份信息和所述登录请求中所述用户的标识信息,对所述用户的身份进行合法性验证,如果验证结果为合法,根据所述用户的标识信息,获取所述用户可访问的所述第一元数据。
9.根据权利要求8所述的服务器,其特征在于,所述第一获取模块具体用于根据所述用户的标识信息,查询预存的用户标识信息与角色之间的映射关系,确定所述用户的角色,根据所述用户的角色,查询预存的角色与元数据之间的映射关系,获取所述用户可访问的第一元数据。
10.根据权利要求7或8所述的服务器,其特征在于,所述第一判断模块具体用于如果所述待访问数据资源的元数据属于所述第一访问权限信息包括的所述第一元数据,且所述操作类型码所标识的对所 述待访问数据资源的操作类型属于所述第一访问权限信息中包括的操作类型,判断出所述访问请求合法。
11.根据权利要求10所述的服务器,其特征在于,还包括:第二获取模块和第二判断模块, 所述第二获取模块,用于在所述第一判断模块判断出所述用户对所述待访问数据资源的访问不合法后,根据所述用户的标识信息,查询预存的用户标识信息与元数据之间的映射关系,获取所述用户可访问的第二元数据,根据所述第二元数据,查询所述操作类型与元数据之间的映射关系以及所述数据资源与元数据之间的映射关系,获取所述用户对所述第二元数据对应的第二数据资源的第二访问权限信息, 所述第二判断模块,用于在所述第二获取模块获取到所述第二访问权限信息后,根据所述第二访问权限信息和所述访问请求,判断所述用户对所述待访问数据资源的访问是否合法。
12.根据权利要求11所述的服务器,其特征在于,还包括: 发送模块,用于将所述第一访问权限信息和第二访问权限信息发送给所述用户终端。
13.一种业务系统权限管理系统,其特征在于,包括:上述权利要求7-12任一项所述的服务器和至少一个用户终端。
全文摘要
本发明实施例提供了一种业务系统权限管理方法、设备及系统。该方法包括接收用户终端发送的登录请求,登录请求包括用户的标识信息,根据用户的标识信息,获取用户可访问的第一元数据,根据第一元数据查询预存的操作类型与元数据之间的映射关系以及数据资源与元数据之间的映射关系,获取用户的第一访问权限信息,接收用户终端发出的访问请求,访问请求包括待访问数据资源的元数据和操作类型码,根据第一访问权限信息和访问请求,判断用户对待访问数据资源的访问是否合法。本发明通过预先建立上述映射关系,实现对业务系统数据资源细粒度分级的访问权限的控制,提高了对业务系统进行权限管理的能力。
文档编号H04L29/06GK103078859SQ20121059449
公开日2013年5月1日 申请日期2012年12月31日 优先权日2012年12月31日
发明者邵浙海, 傅晶, 张锐斌, 高芳, 韩玉双, 包红霞 申请人:普天新能源有限责任公司