一种权限管理方法及装置与流程

本发明涉及计算机应用技术领域，特别是涉及一种权限管理方法及装置。

背景技术：

随着社会经济的快速发展，很多公司的规模不断扩大，员工数量不断增加。不同员工对服务的需求可能不同。

目前，当员工有对服务的新的权限申请时，需要重新设定员工的权限，对服务需求的配置不够灵活，权限管理的维护效率较低。

技术实现要素：

本发明的目的是提供一种权限管理方法及装置，可以有效管理用户对服务的访问权限，实现用户对服务需求配置的便捷化，提高维护效率。

为解决上述技术问题，本发明提供如下技术方案：

一种权限管理方法，包括：

接收目标用户针对目标服务的权限申请；

确定所述目标服务所在的目标虚拟局域网VLAN的标签，不同服务通过不同VLAN隔离，不同VLAN具有不同的标签；

在所述目标用户的用户标识中添加所述目标VLAN的标签；

在所述目标用户要访问所述目标服务时，在发送的传输报文中携带所述目标用户的用户标识；

依据所述用户标识中的VLAN的标签，确定是否将所述传输报文发送给所述目标服务。

在本发明的一种具体实施方式中，在所述接收目标用户针对目标服务的权限申请之后，还包括：

确定所述权限申请是否合法；

如果是，则执行所述确定所述目标服务所在的目标虚拟局域网VLAN的步骤。

在本发明的一种具体实施方式中，所述依据所述用户标识中的VLAN的标签，确定是否将所述传输报文发送给所述目标服务，包括：

如果所述用户标识中的VLAN的标签包含所述目标服务所在的目标VLAN的标签，则确定将所述传输报文发送给所述目标服务。

在本发明的一种具体实施方式中，还包括：

如果所述用户标识中的VLAN的标签不包含所述目标服务所在的目标VLAN的标签，则向所述目标用户返回权限错误提示信息。

在本发明的一种具体实施方式中，在所述在所述目标用户的用户标识中添加所述目标VLAN的标签之后，还包括：

在接收到针对所述目标用户的所述目标服务的权限变更请求时，在所述目标用户的用户标识中去除所述目标服务所在的目标VLAN的标签。

一种权限管理装置，包括：

权限申请接收模块，用于接收目标用户针对目标服务的权限申请；

VLAN标签确定模块，用于确定所述目标服务所在的目标虚拟局域网VLAN的标签，不同服务通过不同VLAN隔离，不同VLAN具有不同的标签；

VLAN标签添加模块，用于在所述目标用户的用户标识中添加所述目标VLAN的标签；

传输报文发送模块，用于在所述目标用户要访问所述目标服务时，在发送的传输报文中携带所述目标用户的用户标识；

发送确认模块，用于依据所述用户标识中的VLAN的标签，确定是否将所述传输报文发送给所述目标服务。

在本发明的一种具体实施方式中，还包括合法确定模块，用于：

在所述接收目标用户针对目标服务的权限申请之后，确定所述权限申请是否合法；

如果是，则触发所述VLAN标签确定模块。

在本发明的一种具体实施方式中，所述发送确认模块，具体用于：

在所述用户标识中的VLAN的标签包含所述目标服务所在的目标VLAN的标签时，确定将所述传输报文发送给所述目标服务。

在本发明的一种具体实施方式中，所述发送确认模块，还用于：

在所述用户标识中的VLAN的标签不包含所述目标服务所在的目标VLAN的标签时，向所述目标用户返回权限错误提示信息。

在本发明的一种具体实施方式中，还包括VLAN标签去除模块，用于：

在所述在所述目标用户的用户标识中添加所述目标VLAN的标签之后，在接收到针对所述目标用户的所述目标服务的权限变更请求时，在所述目标用户的用户标识中去除所述目标服务所在的目标VLAN的标签。

应用本发明实施例所提供的技术方案，不同服务通过不同VLAN隔离，不同VLAN具有不同的标签，在接收到目标用户针对目标服务的权限申请时，确定目标服务所在的目标VLAN的标签，在目标用户的用户标识中添加目标VLAN的标签，在目标用户要访问目标服务时，在传输报文中携带目标用户的用户标识，依据用户标识中的VLAN的标签，确定是否将传输报文发送给目标服务。这样，可以有效管理用户对服务的访问权限，实现用户对服务需求配置的便捷化，提高维护效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中一种权限管理方法的实施流程图；

图2为本发明实施例中一种报文传输过程示意图；

图3为本发明实施例中一种权限管理装置的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1所示，为本发明实施例所提供的一种权限管理方法的实施流程图，该方法可以包括以下步骤：

S110：接收目标用户针对目标服务的权限申请。

在实际应用中，在一个公司内，不同部门、不同员工对于服务的需求和权限可能不同。目标用户可以是公司内的任意一个员工，还可以是公司内的一类员工。所有用户以租户的方式存在，租户与一个或多个服务间的关系通过SFC(Service Function Chain，服务功能链)来关联。所有功能以Service的方式独立存在。

在目标用户有使用目标服务的需求时，可以发送针对目标服务的权限申请。目标服务可以为版本管理服务SVN、文件传输服务FTP、版本发布服务CQ、缺陷管理服务MANTIS、青铜器、内网、外网中的一种。

在接收到目标用户针对目标服务的权限申请后，可以继续执行步骤S120的操作。

在本发明的一种具体实施方式中，在步骤S110之后、步骤S120之前，还可以包括以下步骤：

确定权限申请是否合法，如果是，则执行步骤S120的操作。

在接收到目标用户针对目标服务的权限申请后，可以确定权限申请是否合法。比如，在对服务权限规划时，设定某些服务只有某类员工才能申请使用，如果目标用户不属于该类员工，则可以确定目标用户对于该服务的权限申请不合法。

在确定权限申请合法后，可以继续执行步骤S120的操作。

S120：确定目标服务所在的目标虚拟局域网VLAN的标签。

不同服务通过不同VLAN隔离，不同VLAN具有不同的标签。

在本发明实施例中，不同服务之间通过不同VLAN隔离，服务过多时还可以通过VxLAN隔离。不同VLAN具有不同的标签。

在接收到目标用户针对目标服务的权限申请后，可以确定目标服务所在的目标虚拟局域网VLAN的标签。

S130：在目标用户的用户标识中添加目标VLAN的标签。

在步骤S120确定目标服务所在的目标虚拟局域网VLAN的标签后，在目标用户的用户标识中添加目标VLAN的标签，以VLAN的标签区分不同用户的服务访问权限。

目标用户可以分别对多个服务进行权限申请，如果申请成功，则目标用户的用户标识中将包含多个VLAN的标签。

S140：在目标用户要访问目标服务时，在发送的传输报文中携带目标用户的用户标识。

当目标用户要访问目标服务时，需要发送传输报文，在传输报文中携带目标用户的用户标识，用户标识中包含VLAN的标签。

S150：依据用户标识中的VLAN的标签，确定是否将传输报文发送给目标服务。

传输报文中携带目标用户的用户标识，用户标识中包含VLAN的标签，在传输报文中可以提取用户标识的信息，依据用户标识中的VLAN的标签，确定是否将传输报文发送给目标服务。

在本发明的一种具体实施方式中，如果用户标识中的VLAN的标签包含目标服务所在的目标VLAN的标签，则可以确定将传输报文发送给目标服务，以使目标用户访问该目标服务。

具体的，如图2所示，可以通过SDN(Software Defined Network，软件定义网络)控制器下发流表规则，用户发送的传输报文需经过GW(Gate Way，网关)(GW1、GW2、GW)、SFF(Service Function Forward，服务功能走向)控制器(SFF1、SFF2)等传输给相应服务(Service1、Service2、Service3)。

服务、控制器、路由等均可在虚拟机或者容器中实现。

在本发明的另一种具体实施方式中，如果用户标识中的VLAN标签不包含目标服务所在的目标VLAN的标签，则可以向目标用户返回权限错误提示信息。

在本发明实施例中，如果用户标识中的VLAN标签不包含目标服务所在的目标VLAN的标签，则拒绝发送传输报文给目标服务，可以向目标用户返回权限错误提示信息。以使目标用户根据该提示信息执行进一步操作，如重新申请权限等。

在本发明的一个实施例中，在步骤S130之后，该方法还可以包括以下步骤：

在接收到针对目标用户的目标服务的权限变更请求时，在目标用户的用户标识中去除目标服务所在的目标VLAN的标签。

用户对于服务的需求和权限可以是动态变化的。在目标用户的用户标识中添加目标VLAN的标签之后，在接收到针对目标用户的目标服务的权限变更请求时，可以在目标用户的用户标识中去除目标服务所在的目标VLAN的标签，进行权限变更。

应用本发明实施例所提供的方法，不同服务通过不同VLAN隔离，不同VLAN具有不同的标签，在接收到目标用户针对目标服务的权限申请时，确定目标服务所在的目标VLAN的标签，在目标用户的用户标识中添加目标VLAN的标签，在目标用户要访问目标服务时，在传输报文中携带目标用户的用户标识，依据用户标识中的VLAN的标签，确定是否将传输报文发送给目标服务。这样，可以有效管理用户对服务的访问权限，实现用户对服务需求配置的便捷化，提高维护效率。

相应于上面的方法实施例，本发明实施例还提供了一种权限管理装置，下文描述的一种权限管理装置与上文描述的一种权限管理方法可相互对应参照。

参见图3所示，该装置包括以下模块：

权限申请接收模块310，用于接收目标用户针对目标服务的权限申请；

VLAN标签确定模块320，用于确定目标服务所在的目标虚拟局域网VLAN的标签，不同服务通过不同VLAN隔离，不同VLAN具有不同的标签；

VLAN标签添加模块330，用于在目标用户的用户标识中添加目标VLAN的标签；

传输报文发送模块340，用于在目标用户要访问目标服务时，在发送的传输报文中携带目标用户的用户标识；

发送确认模块350，用于依据用户标识中的VLAN的标签，确定是否将传输报文发送给目标服务。

应用本发明实施例所提供的装置，不同服务通过不同VLAN隔离，不同VLAN具有不同的标签，在接收到目标用户针对目标服务的权限申请时，确定目标服务所在的目标VLAN的标签，在目标用户的用户标识中添加目标VLAN的标签，在目标用户要访问目标服务时，在传输报文中携带目标用户的用户标识，依据用户标识中的VLAN的标签，确定是否将传输报文发送给目标服务。这样，可以有效管理用户对服务的访问权限，实现用户对服务需求配置的便捷化，提高维护效率。

在本发明的一种具体实施方式中，还包括合法确定模块，用于：

在接收目标用户针对目标服务的权限申请之后，确定权限申请是否合法；

如果是，则触发VLAN标签确定模块。

在本发明的一种具体实施方式中，发送确认模块350，具体用于：

在用户标识中的VLAN的标签包含目标服务所在的目标VLAN的标签时，确定将传输报文发送给目标服务。

在本发明的一种具体实施方式中，发送确认模块350，还用于：

在用户标识中的VLAN的标签不包含目标服务所在的目标VLAN的标签时，向目标用户返回权限错误提示信息。

在本发明的一种具体实施方式中，还包括VLAN标签去除模块，用于：

在目标用户的用户标识中添加目标VLAN的标签之后，在接收到针对目标用户的目标服务的权限变更请求时，在目标用户的用户标识中去除目标服务所在的目标VLAN的标签。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。