基于时间段的操作记录查看权限的设置方法与流程

本发明涉及erp等管理软件系统的中数据查看权限的授权方法，特别是涉及一种基于时间段的操作记录查看权限的设置方法。

背景技术

基于角色的访问控制（rbac）是近年来研究最多、思想最成熟的一种数据库权限管理机制，它被认为是替代传统的强制访问控制（mac）和自主访问控制（dac）的理想候选。基于角色的访问控制（rbac）的基本思想是根据企业组织视图中不同的职能岗位划分不同的角色，将数据库资源的访问权限封装在角色中，用户通过被赋予不同的角色来间接访问数据库资源。

在大型应用系统中往往都建有大量的表和视图，这使得对数据库资源的管理和授权变得十分复杂。由用户直接管理数据库资源的存取和权限的收授是十分困难的，它需要用户对数据库结构的了解非常透彻，并且熟悉sql语言的使用，而且一旦应用系统结构或安全需求有所变动，都要进行大量复杂而繁琐的授权变动，非常容易出现一些意想不到的授权失误而引起的安全漏洞。因此，为大型应用系统设计一种简单、高效的权限管理方法已成为系统和系统用户的普遍需求。

基于角色的权限控制机制能够对系统的访问权限进行简单、高效的管理，极大地降低了系统权限管理的负担和代价，而且使得系统权限管理更加符合应用系统的业务管理规范。

然而，传统基于角色的用户权限管理方法均采用“角色对用户一对多”的关联机制，其“角色”为组/类性质，即一个角色可以同时对应/关联多个用户，角色类似于岗位/职位/职务/工种等概念，这种关联机制下对用户权限的授权基本分为以下三种形式：1、如图1所示，直接对用户授权，缺点是工作量大、操作频繁且麻烦；2、如图2所示，对角色（类/组/岗位/职务/工种性质）进行授权（一个角色可以关联多个用户），用户通过角色获得权限；3、如图3所示，以上两种方式结合。

以上的表述中，2、3均需要对类/组性质的角色进行授权，而通过类/组/岗位/工种性质的角色进行授权的方式有以下缺点：1、用户权限变化时的操作难：在实际的系统使用过程中，经常因为在运营过程中需要对用户的权限进行调整，比如：在处理员工权限变化的时候，角色关联的某个员工的权限发生变化，我们不能因该个别员工权限的变化而改变整个角色的权限，因为该角色还关联了其他权限未变的员工。因此为了应对该种情况，要么创建新角色来满足该权限发生变化的员工，要么对该员工根据权限需求直接授权（脱离角色）。以上两种处理方式，在角色权限较多的情况下对角色授权不仅所需时间长，而且容易犯错，使用方操作起来繁琐又麻烦，也容易出错导致对系统使用方的损失。

2、要长期记住角色包含的具体权限难：若角色的权限功能点比较多，时间一长，很难记住角色的具体权限，更难记住权限相近的角色之间的权限差别，若要关联新的用户，无法准确判断应当如何选择关联。

3、因为用户权限变化，则会造成角色创建越来越多（若不创建新角色，则会大幅增加直接对用户的授权），更难分清各角色权限的具体差别。

4、调岗时，若要将被调岗用户的很多个权限分配给另外几个用户承担，则处理时必须将被调岗用户的这些权限区分开来，分别再创建角色来关联另外几个用户，这样的操作不仅复杂耗时，而且还很容易发生错误。

传统的erp等管理软件系统中，在员工/用户获得自己的操作记录的查看的权限后，员工/用户可以查看自己的所有操作记录，但是在某些情况下会导致公司信息的泄露。例如，张三由销售经理调岗为生产主任后，在调至生产主任后张三不会涉及销售审批操作记录的查看，但由于张三具有查看自己的审批操作记录的权限，张三仍然能够查看到自己此前作为销售经理时的审批操作记录（比如销售合同审批记录），此时公司却无法采取有效的限制措施（若不给这个张三授予查看自己的审批操作记录的权限，会导致其无法查看自己现在作为生产主任的审批操作记录，导致张三无法正常开展工作），从而导致公司信息的泄露。又例如，临时抽调某个员工甲对另一个员工乙某段时间内的操作记录进行调查时，需要为该员工甲授权查看员工乙的操作记录的权限，在获得授权后该员工甲可以查看员工乙的所有操作记录，从而导致员工乙的所有操作记录中需要被调查的操作记录以外的其他操作记录泄露。由此可知，现有的操作记录的查看权限的授权方法在有的情况下无法有效进行权限控制，不利于公司的信息保密，容易给公司造成损失。

传统的查看操作记录的授权方法不能以“角色（授权对象/查看对象）和其当前关联的用户的关联时间为参照时间点”的方式/规则设置动态化的查看权限时间段。比如：若企业想以该关联时间为参照时间点设置查看时间段用以授权一个角色查看某些角色的操作记录，但该关联时间是动态的（员工入职、调岗、离职等很多因素，使其对应的用户关联的角色会变动，则会让该关联时间不确定），所有传统方法都没有该动态授权时间段的方案；但以本申请方法能够很好解决。

技术实现要素：

本发明的目的在于克服现有技术的不足，提供一种基于时间段的操作记录查看权限的设置方法。

本发明的目的是通过以下技术方案来实现的：基于时间段的操作记录查看权限的设置方法，包括：选择一个授权对象；为每个授权对象设置一个或多个查看对象，所述授权对象和查看对象为角色、用户和员工中的同一种；为每个授权对象设置一个查看权限时间段，所述授权对象获得查看其对应的查看对象在该授权对象的查看权限时间段内的操作记录的权限；所述查看权限时间段包括以下五种中的一种或多种：从当前时间倒推一个固定时间长度得到的时间点到当前时间的时间段、从起始时间到当前时间的时间段、从截止时间到系统初始时间的时间段、从起始时间至截止时间的时间段和从系统初始时间到当前时间的时间段。

优选的，当授权对象和查看对象均为角色时，该查看对象为作为授权对象的角色或除作为授权对象的角色以外的所有角色中的一个角色；当授权对象和查看对象均为用户时，该查看对象为作为授权对象的用户或除作为授权对象的用户以外的所有用户中的一个用户；当授权对象和查看对象均为员工时，该查看对象为作为授权对象的员工或除作为授权对象的员工以外的所有员工中的一个员工。

优选的，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；用户获得其关联的角色的权限。

优选的，在角色创建时或角色创建后为该角色选择一个部门，则该角色归属于该部门，根据角色的工作内容对角色进行授权，且该角色的名称在该部门下唯一，该角色的编号在系统中唯一。

基于时间段的操作记录查看权限的设置方法，包括：选择一个授权对象；为每个授权对象设置一个或多个查看对象，所述授权对象和查看对象为角色、用户和员工中的同一种；分别为每个查看对象设置一个查看权限时间段，所述授权对象获得查看其对应的每个查看对象在各查看对象的查看权限时间段内的操作记录的权限；所述查看权限时间段包括以下五种中的一种或多种：从当前时间倒推一个固定时间长度得到的时间点到当前时间的时间段、从起始时间到当前时间的时间段、从截止时间到系统初始时间的时间段、从起始时间至截止时间的时间段和从系统初始时间到当前时间的时间段。

基于时间段的操作记录查看权限的设置方法，包括：选择一个角色作为一个授权对象；为每个授权对象设置一个或多个查看对象，所述查看对象为角色；为每个授权对象设置一个查看权限时间段，所述授权对象获得查看其对应的查看对象在该授权对象的查看权限时间段内的操作记录的权限；所述权限时间段包括以下四种中的一种或多种：从该授权对象和其当前关联的用户的关联时间向前推一个固定时间长度得到的时间点到当前时间的时间段、从该授权对象和其当前关联的用户的关联时间向后推一个固定时间长度得到的时间点到系统初始时间的时间段、从该授权对象和其当前关联的用户的关联时间到系统初始时间的时间段、从该授权对象和其当前关联的用户的关联时间到当前时间的时间段。

优选的，所述查看对象为作为授权对象的角色或除作为授权对象的角色以外的所有角色中的一个角色。

优选的，为每个授权对象设置一个查看权限时间段时，显示该授权对象和其当前关联的用户的关联时间。

优选的，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；用户获得其关联的角色的权限。

基于时间段的操作记录查看权限的设置方法，包括：选择一个角色作为一个授权对象；为每个授权对象设置一个或多个查看对象，所述查看对象为角色；分别为每个查看对象设置一个查看权限时间段，所述授权对象获得查看其对应的每个查看对象在各查看对象的查看权限时间段内的操作记录的权限；所述权限时间段包括以下四种中的一种或多种：从该查看对象和其当前关联的用户的关联时间向前推一个固定时间长度得到的时间点到当前时间的时间段、从该查看对象和其当前关联的用户的关联时间向后推一个固定时间长度得到的时间点到系统初始时间的时间段、从该查看对象和其当前关联的用户的关联时间到系统初始时间的时间段、从该查看对象和其当前关联的用户的关联时间到当前时间的时间段。

优先的，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；用户获得其关联的角色的权限。

优先的，角色对用户的关系为一对一（该角色与一个用户关联时，其他用户则不能再关联该角色；若该角色未被用户关联，则可以被其他用户选择关联；即同一时段，一个角色能且只能被一个用户关联）。用户对角色的关系为一对多（一个用户可以同时关联多个角色）。

优选的，“授权对象和其当前关联的用户的关联时间”、“查看对象和其当前关联的用户的关联时间”中的“关联时间”有多个（可能该授权对象和其当前关联的用户曾经还关联过，或，可能该查看对象和其当前关联的用户曾经还关联过），则自动的只采用最近一次的关联时间。

本发明的有益效果是：（1）本发明中可以根据实际需要为授权对象授予查看某个时间段内查看对象的操作记录，对于查看对象在该时间段外的操作记录则无法查看，从而满足各种涉及时间限制的情况下对查看对象的操作记录的查看需求，降低了操作记录被不相关人员知晓的可能性，提高了公司信息的安全性。

例如，只想要销售经理1这个角色对销售员1和销售员2这两个角色在2016年后的操作记录进行查看，可以将销售经理1对销售员1和销售员2的操作记录的查看权限时间段设置为2016年至今（查看权限时间段是对销售经理1设置的，则销售经理1以自己的查看权限时间段来查看作为查看对象的销售员1和销售员2的操作记录）。只想要内审员1这个角色对采购经理1这个角色在2014年5月至2017年5月之间的操作记录进行审核，则将内审员1查看采购经理1的操作记录的查看权限时间段的起始时间设置为2014年5月、截止时间设置为2017年5月（查看权限时间段是对内审员1设置的，则内审员1以自己的查看权限时间段来查看作为查看对象的采购经理1的操作记录）。

例如，张三于2016年5月1日由销售经理调岗为生产主任，可以将张三查看自己的查看权限时间段设置为2016年5月1日至今，使得调岗后张三无法查看自己作为销售经理时（2016年5月1前）的审批操作记录，但是能够查看自己2016年5月1日后作为生产主任的操作记录，使得在张三能够正常开展工作的同时保护了公司的信息安全。

（2）本发明中可以基于角色和其当前关联的用户的关联时间来设置时间段，能够快速的区分角色的历史关联用户的操作记录和角色的当前关联用户的操作记录。

例如，对于财务经理1这个角色，只想要每个关联财务经理1的用户（当前用户）查看自己的操作记录，则可以将财务经理1对自己的操作记录的查看权限时间段设置为财务经理1和其当前关联的用户的关联时间至今。

本申请方法能做到以“角色（授权对象/查看对象）和其当前关联的用户的关联时间为参照时间点”的方式设置动态化的查看权限时间段，更有利于企业的精细化管理。

（3）为每个授权对象/查看对象设置一个查看权限时间段时，显示该授权对象/查看对象和其当前关联的用户的关联时间，使得授权操作者可以快速准确地知晓授权对象/查看对象和其当前关联的用户的关联时间，提高了授权的准确性和授权速度。

（4）传统的权限管理机制将角色定义为组、工种、岗位、职务、类等性质，角色对用户是一对多的关系，在实际的系统使用过程中，经常因为在运营过程中需要对用户的权限进行调整，比如：在处理员工权限变化的时候，角色关联的某个员工的权限发生变化，我们不能因该个别员工权限的变化而改变整个角色的权限，因为该角色还关联了其他权限未变的员工。因此为了应对该种情况，要么创建新角色来满足该权限发生变化的员工，要么对该员工根据权限需求直接授权（脱离角色）。以上两种处理方式，在角色权限较多的情况下对角色授权不仅所需时间长，而且容易犯错，使用方操作起来繁琐又麻烦，也容易出错导致对系统使用方的损失。

但在本申请的方法下，因为角色是一个独立的个体，则可以选择改变角色权限即可达到目的。本申请的方法，虽然看起来在系统初始化时会增加工作量，但可以通过复制等方法，使其创建角色或授权的效率高于传统以组为性质的角色，因为不用考虑性质为组的角色在满足关联用户时的共通性，本申请方案会让权限设置清晰，明了；尤其是在系统使用一段时间后（用户/角色权限动态变化），该申请方案能为系统使用方大幅度提高系统使用中的权限管理效率，使动态授权更简单，更方便，更清晰、明了，提高权限设置的效率和可靠性。

（5）传统以组为性质的角色授权方法容易出错，本申请方法大幅降低了授权出错的几率，因为本申请方法只需考虑作为独立个体的角色，而不用考虑传统方法下关联该组性质角色的多个用户有哪些共通性。即使授权出错也只影响关联到该角色的那一个用户，而传统以组性质的角色则会影响关联到该角色的所有用户。即使出现权限授权错误，本申请的修正方法简单、时间短，而传统以组性质的角色在修正错误时需要考虑关联到该角色的所有用户的权限共通性，在功能点多的情况下不仅修改麻烦、复杂，非常容易出错，且很多情况下只能新创建角色才能解决。

（6）在传统以组为性质的角色授权方法下，若角色的权限功能点比较多，时间一长，很难记住角色的具体权限，更难记住权限相近的角色之间的权限差别，若要关联新的用户，无法准确判断应当如何选择关联。本申请方法的角色本身就具有岗位号/工位号的性质，选择一目了然。

（7）调岗时，若要将被调岗用户的很多个权限分配给另外几个用户承担，则处理时必须将被调岗用户的这些权限区分开来，分别再创建角色来关联另外几个用户，这样的操作不仅复杂耗时，而且还很容易发生错误。

本申请方法则为：被调岗用户关联了几个角色，在调岗时，首先取消用户与原部门内的角色的关联（被取消的这几个角色可以被重新关联给其他用户），然后将用户与新部门内的角色进行关联即可。操作简单，不会出错。

（8）创建角色时或角色创建后，需要选定一个部门，则在该角色归属于该部门后，部门不能被更换，角色为什么不能更换部门：理由1：因为本申请的角色性质等同于一个工位号/岗位号，不同的工位号/岗位号的工作内容/权限是不一样的，如销售部门下的销售员1角色和技术部门的开发人员1角色是完全不同的两个工位号/岗位号，其权限是不同的；理由2：若将销售员1角色的所属部门（销售部）更换为技术部，其销售人员1这个角色的权限不变，则在技术部存在拥有销售部权限的一个角色，这样会导致管理混乱及安全漏洞。

附图说明

图1为背景技术中直接对用户进行授权的方式示意图；

图2为背景技术中对组/类性质角色进行授权的方式示意图；

图3为背景技术中对用户直接授权和对组/类性质角色授权相结合的方式示意图；

图4为本发明的一种实施方式的流程图；

图5为本发明中通过独立个体性质角色对用户进行授权的方式示意图；

图6为本发明的又一种实施方式的流程图。

具体实施方式

面结合附图进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。

【实施例一】如图4所示，基于时间段的操作记录查看权限的设置方法，包括：

s11.选择一个授权对象。

s12.为每个授权对象设置一个或多个查看对象。

所述授权对象和查看对象为角色、用户和员工中的同一种；即授权对象为角色时查看对象也为角色，授权对象为用户时查看对象也为用户，授权对象为员工时查看对象也为员工。

如图5所示，所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；用户获得其关联的角色的权限；用户获得其关联的角色的权限。在角色创建时或角色创建后为该角色选择一个部门，则该角色归属于该部门，根据角色的工作内容对角色进行授权，且该角色的名称在该部门下唯一，该角色的编号在系统中唯一。

角色的定义：角色不具有组/类/类别/岗位/职位/职务/工种等性质，而是一个非集合的性质，角色具有唯一性，角色是独立存在的独立个体；在企事业单位应用中相当于岗位号（此处的岗位号非岗位，一个岗位同时可能有多个员工，而同一时段一个岗位号只能对应一个员工）。

举例：某个公司系统中可创建如下角色：总经理、副总经理1、副总经理2、北京销售一部经理、北京销售二部经理、北京销售三部经理、上海销售工程师1、上海销售工程师2、上海销售工程师3、上海销售工程师4、上海销售工程师5……用户与角色的关联关系：若该公司员工张三任职该公司副总经理2，同时任职北京销售一部经理，则张三需要关联的角色为副总经理2和北京销售一部经理，张三拥有了这两个角色的权限。

传统角色的概念是组/类/岗位/职位/职务/工种性质，一个角色能够对应多个用户。而本申请“角色”（独立个体性质角色）的概念相当于岗位号/工位号，也类同于影视剧中的角色：一个角色在同一时段（童年、少年、中年……）只能由一个演员来饰演，而一个演员可能会分饰多角。

所述用户调岗时，取消用户与原角色的关联，将用户与新角色进行关联，则用户自动失去原角色的权限、自动获得新角色的权限；即用户获得其关联的角色的权限。

在员工入职时，为员工对应的用户关联角色后，该用户自动获得所关联角色权限；在员工离职时，取消员工对应的用户与该用户关联的角色的关联关系后，该用户自动失去原来关联的角色的权限。

在创建角色之后，可以在创建用户的过程中关联角色，也可以在用户创建完成后随时进行关联。用户关联角色后可以随时解除与角色的关联关系，也可以随时建立与其他角色的关联关系。

一个员工对应一个用户，一个用户对应一个员工，员工通过其对应的用户关联的角色确定（获得）权限。

进一步的，员工和用户终生绑定，用户对应员工后，则该用户归属于该员工，用户不能再关联其他的员工；若该员工离职，该用户也不能对应其他的员工，员工再次入职后，该员工还是使用原来的用户。

当授权对象和查看对象均为角色时，该查看对象为作为授权对象的角色或除作为授权对象的角色以外的所有角色中的一个角色；当授权对象和查看对象均为用户时，该查看对象为作为授权对象的用户或除作为授权对象的用户以外的所有用户中的一个用户；当授权对象和查看对象均为员工时，该查看对象为作为授权对象的员工或除作为授权对象的员工以外的所有员工中的一个员工。即，既可以为授权对象（角色/用户/员工）设置查看其它角色/用户/员工的操作记录的时间段，也可以为授权对象设置查看自身的操作记录的时间段。

s13.为每个授权对象设置一个查看权限时间段，所述授权对象获得查看其对应的查看对象在该授权对象的查看权限时间段内的操作记录的权限。

所述查看权限时间段包括以下五种中的一种或多种：从当前时间倒推一个固定时间长度得到的时间点到当前时间的时间段（当前时间是动态的）、从起始时间到当前时间的时间段、从截止时间到系统初始时间的时间段、从起始时间至截止时间的时间段和从系统初始时间到当前时间的时间段。

设置查看权限时间段的单位可以是年、月、日、时、分、秒等。

下面举例对上述五种时间段进行说明：从当前时间倒推一个固定时间长度得到的时间点到当前时间的时间段。例如，在2017年6月20日时对角色1（授权对象）授权为查看从2017年6月20日倒推6天得到的时间点到2017年6月20日（即当前时间，而非一个确定的时间点）的时间段内角色2（查看对象）的操作记录，即在2017年6月20日当天，角色1可以查看从2017年6月15日至2017年6月20日内角色2的操作记录；在2017年6月21日当天，角色1可以查看从2017年6月16日至2017年6月21日内角色2的操作记录；在2017年6月22日当天，角色1可以查看从2017年6月17日至2017年6月22日内角色2的操作记录，以此类推。即这个时间段的时间长度是固定的，起始时间和截止时间均是变化的。

从起始时间到当前时间的时间段（当前时间是动态的）。例如，在2015年5月1日对角色1（授权对象）授权为查看从2015年2月1日到当天（当前时间）的角色2（查看对象）的操作记录，则角色1可以查看从2015年2月1日到2015年5月1日的角色2的操作记录。在2015年5月2日，则角色1可以查看从2015年2月1日到2015年5月2日的角色2的操作记录，（进一步的，起始时间可以表述为不包含起始时间，在不包含起始时间时，则角色1不能查看2015年2月1日的角色2的操作记录，只能查看2015年2月1日之后的角色2的操作记录）

从截止时间到系统初始时间的时间段。例如，对角色1（授权对象）授权为查看从2015年2月1日到系统初始时间的角色2（查看对象）的操作记录，则角色1可以查看从2015年2月1日到系统初始时间的角色2的操作记录。（即：角色1可以查看2015年2月1日及该时间之前的角色2的操作记录）；（进一步的，截止时间可以表述为不包含截止时间，在不包含截止时间时，则角色1不能查看2015年2月1日的角色2的操作记录，只能查看2015年2月1日之前的角色2的操作记录；进一步的，系统初始时间可以不设置，只设置截止时间，则角色1可以查看截止时间及截止时间之前的角色2的操作记录，或角色1可以查看截止时间之前的角色2的操作记录）

从起始时间至截止时间的时间段。例如，对角色1（授权对象）授权为查看时间为2015年2月1日至2015年6月1日的角色2（查看对象）的操作记录，则角色1可以查看从2015年2月1日至2015年6月1日内的角色2的操作记录。

从系统初始时间到当前时间的时间段（当前时间是动态的）。例如，在2017年6月1日将角色1（授权对象）授权为可以查看从系统初始时间到当前时间的角色2（查看对象）的操作记录，则在2017年6月1日角色1可查看从系统初始时间到2017年6月1日的角色2的操作记录，在2017年6月2日角色1可查看从系统初始时间到2017年6月2日的角色2的操作记录，以此类推。

所述截止时间和起始时间均为人工设置。

【实施例二】如图6所示，基于时间段的操作记录查看权限的设置方法，包括：s21.选择一个授权对象。

s22.为每个授权对象设置一个或多个查看对象。

所述授权对象和查看对象为角色、用户和员工中的同一种；即授权对象为角色时查看对象也为角色，授权对象为用户时查看对象也为用户，授权对象为员工时查看对象也为员工。

所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；用户获得其关联的角色的权限；用户获得其关联的角色的权限。在角色（独立个体性质角色）创建时或角色创建后为该角色选择一个部门，则该角色归属于该部门，根据角色的工作内容对角色进行授权，且该角色的名称在该部门下唯一，该角色的编号在系统中唯一。

所述用户调岗时，取消用户与原角色的关联，将用户与新角色进行关联，则用户自动失去原角色的权限、自动获得新角色的权限；即用户获得其关联的角色的权限。

在员工入职时，为员工对应的用户关联角色后，该用户自动获得所关联角色权限；在员工离职时，取消员工对应的用户与该用户关联的角色的关联关系后，该用户自动失去原来关联的角色的权限。

在创建角色之后，可以在创建用户的过程中关联角色，也可以在用户创建完成后随时进行关联。用户关联角色后可以随时解除与角色的关联关系，也可以随时建立与其他角色的关联关系。

一个员工对应一个用户，一个用户对应一个员工，员工通过其对应的用户关联的角色确定（获得）权限。

进一步的，员工和用户终生绑定，用户对应员工后，则该用户归属于该员工，用户不能再关联其他的员工；若该员工离职，该用户也不能对应其他的员工，员工再次入职后，该员工还是使用原来的用户。

所述查看对象为角色时，该查看对象为作为授权对象的角色或除作为授权对象的角色以外的所有角色中的一个角色。

当授权对象和查看对象均为角色时，该查看对象为作为授权对象的角色或除作为授权对象的角色以外的所有角色中的一个角色；当授权对象和查看对象均为用户时，该查看对象为作为授权对象的用户或除作为授权对象的用户以外的所有用户中的一个用户；当授权对象和查看对象均为员工时，该查看对象为作为授权对象的员工或除作为授权对象的员工以外的所有员工中的一个员工。即，既可以为授权对象（角色/用户/员工）设置查看其它角色/用户/员工的操作记录的时间段，也可以为授权对象设置查看自身的操作记录的时间段。

s23.分别为每个查看对象设置一个查看权限时间段，所述授权对象获得查看其对应的每个查看对象在各查看对象的查看权限时间段内的操作记录的权限。

所述查看权限时间段包括以下五种中的一种或多种：从当前时间倒推一个固定时间长度得到的时间点到当前时间的时间段、从起始时间到当前时间的时间段、从截止时间到系统初始时间的时间段、从起始时间至截止时间的时间段和从系统初始时间到当前时间的时间段。

设置查看权限时间段的单位可以是年、月、日、时、分、秒等。

所述截止时间和起始时间均为人工设置。

【实施例三】基于时间段的操作记录查看权限的设置方法，包括：s31.选择一个角色作为一个授权对象。

所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；用户获得其关联的角色的权限；用户获得其关联的角色的权限。在角色（独立个体性质角色）创建时或角色创建后为该角色选择一个部门，则该角色归属于该部门，根据角色的工作内容对角色进行授权，且该角色的名称在该部门下唯一，该角色的编号在系统中唯一。

所述用户调岗时，取消用户与原角色的关联，将用户与新角色进行关联，则用户自动失去原角色的权限、自动获得新角色的权限；即用户获得其关联的角色的权限。

在员工入职时，为员工对应的用户关联角色后，该用户自动获得所关联角色权限；在员工离职时，取消员工对应的用户与该用户关联的角色的关联关系后，该用户自动失去原来关联的角色的权限。

在创建角色之后，可以在创建用户的过程中关联角色，也可以在用户创建完成后随时进行关联。用户关联角色后可以随时解除与角色的关联关系，也可以随时建立与其他角色的关联关系。

一个员工对应一个用户，一个用户对应一个员工，员工通过其对应的用户关联的角色确定（获得）权限。

进一步的，员工和用户终生绑定，用户对应员工后，则该用户归属于该员工，用户不能再关联其他的员工；若该员工离职，该用户也不能对应其他的员工，员工再次入职后，该员工还是使用原来的用户。

s32.为每个授权对象设置一个或多个查看对象，所述查看对象为角色。

所述查看对象为作为授权对象的角色或除作为授权对象的角色以外的所有角色中的一个角色。

s33.为每个授权对象设置一个查看权限时间段，所述授权对象获得查看其对应的查看对象在该授权对象的查看权限时间段内的操作记录的权限。

为每个授权对象设置一个查看权限时间段时，显示该授权对象和其当前关联的用户的关联时间。

所述权限时间段包括以下四种中的一种或多种：从该授权对象和其当前关联的用户的关联时间向前推一个固定时间长度得到的时间点到当前时间的时间段、从该授权对象和其当前关联的用户的关联时间向后推一个固定时间长度得到的时间点到系统初始时间的时间段、从该授权对象和其当前关联的用户的关联时间到系统初始时间的时间段、从该授权对象和其当前关联的用户的关联时间到当前时间的时间段。

下面举例对上述四种时间段进行说明：从该授权对象和其当前关联的用户的关联时间向前推一个固定时间长度得到的时间点到当前时间的时间段。例如，角色1和其当前关联的用户关联时间为2016年5月1日，将角色1对角色2的操作记录的查看权限时间段设置为从该角色1和其当前关联的用户的关联时间向前推两个月得到的时间点到当前时间的时间段；那么角色1可以对角色2在2016年3月1日以后的所有操作记录进行查看。

从该授权对象和其当前关联的用户的关联时间向后推一个固定时间长度得到的时间点到系统初始时间的时间段。例如，角色1当前关联的用户的关联时间为2016年5月1日，将角色1对角色2的操作记录的查看权限时间段设置为从角色1和其当前关联的用户的关联时间向后推两个月得到的时间点到系统初始时间的时间段；那么角色1可以对角色2在2016年7月1日以前的所有操作记录进行查看。

从该授权对象和其当前关联的用户的关联时间到系统初始时间的时间段。例如，角色1当前关联的用户的关联时间为2016年5月1日，将角色1对角色2的操作记录的查看权限时间段设置为角色1和其当前关联的用户的关联时间到系统初始时间的时间段；那么角色1可以对角色2在2016年5月1日以前的所有操作记录进行查看。

从该授权对象和其当前关联的用户的关联时间到当前时间的时间段。例如，角色1当前关联的用户的关联时间为2016年5月1日，将角色1对角色2的操作记录的查看权限时间段设置为角色1和其当前关联的用户的关联时间到当前时间的时间段；那么角色1可以对角色2在2016年5月1日以后的所有操作记录进行查看。又如，角色1当前关联的用户的关联时间为2016年5月1日，将角色1（授权对象）对角色1（查看对象，即查看对象是授权对象自己）的操作记录的查看权限时间段设置为角色1和其当前关联的用户的关联时间到当前时间的时间段，那么角色1可以查看自己在2016年5月1日以后的所有操作记录。

设置查看权限时间段的单位可以是年、月、日、时、分、秒等。

【实施例四】基于时间段的操作记录查看权限的设置方法，包括：s41.选择一个角色作为一个授权对象。

所述角色是独立的个体，而非组/类，同一时段一个角色只能关联唯一的用户，而一个用户关联一个或多个角色；用户获得其关联的角色的权限；用户获得其关联的角色的权限。在角色（独立个体性质角色）创建时或角色创建后为该角色选择一个部门，则该角色归属于该部门，根据角色的工作内容对角色进行授权，且该角色的名称在该部门下唯一，该角色的编号在系统中唯一。

所述用户调岗时，取消用户与原角色的关联，将用户与新角色进行关联，则用户自动失去原角色的权限、自动获得新角色的权限；即用户获得其关联的角色的权限。

在员工入职时，为员工对应的用户关联角色后，该用户自动获得所关联角色权限；在员工离职时，取消员工对应的用户与该用户关联的角色的关联关系后，该用户自动失去原来关联的角色的权限。

在创建角色（独立个体性质角色）之后，可以在创建用户的过程中关联角色，也可以在用户创建完成后随时进行关联。用户关联角色后可以随时解除与角色的关联关系，也可以随时建立与其他角色的关联关系。

一个员工对应一个用户，一个用户对应一个员工，员工通过其对应的用户关联的角色确定（获得）权限。

进一步的，员工和用户终生绑定，用户对应员工后，则该用户归属于该员工，用户不能再关联其他的员工；若该员工离职，该用户也不能对应其他的员工，员工再次入职后，该员工还是使用原来的用户。

s42.为每个授权对象设置一个或多个查看对象，所述查看对象为角色。

所述查看对象为作为授权对象的角色或除作为授权对象的角色以外的所有角色中的一个角色。

s43.为每个查看对象设置一个查看权限时间段，所述授权对象获得查看其对应的每个查看对象在各查看对象的查看权限时间段内的操作记录的权限。

分别为每个查看对象设置一个查看权限时间段时，显示该查看对象和其当前关联的用户的关联时间。

所述权限时间段包括以下四种中的一种或多种：从该查看对象和其当前关联的用户的关联时间向前推一个固定时间长度得到的时间点到当前时间的时间段、从该查看对象和其当前关联的用户的关联时间向后推一个固定时间长度得到的时间点到系统初始时间的时间段、从该查看对象和其当前关联的用户的关联时间到系统初始时间的时间段、从该查看对象和其当前关联的用户的关联时间到当前时间的时间段。

设置查看权限时间段的单位可以是年、月、日、时、分、秒等。

以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。