应的应用服务器提供服务的。
[0051]身份信息包括用户的基本信息和认证信息,该基本信息包括但不限于:用户的姓名、年龄、性别、部门、电话、邮箱等等;该认证信息包括但不限于登录客户端的用户名和密码等等。权限信息是指一个用户对应用资源的使用级别,该使用级别可以根据需要设置成不同的形式,如优先级为一级、二级、三级等;或者VIP级别、高级用户级别、中级用户级别、低级用户级别等;或者管理员级别、来宾用户级别等等,本实施例对此不做具体限定。不同的使用级别对应的使用应用资源的范围不同。高级别的用户可以使用的应用资源更多。
[0052]102:当一个用户登录该多个应用中的任一应用时,调用权限控制服务接口查询该用户的身份信息,根据该用户的身份信息对该用户进行身份验证,验证成功后获取该用户的权限信息。
[0053]其中,本地提供的权限控制服务接口为统一对外的标准化接口,任何一个应用服务器都可以调用该接口来实现用户的权限管理。
[0054]根据该用户的身份信息对该用户进行身份验证,可以具体为:比对用户登录时输入的用户名和密码与授权资源库中保存的与该应用对应的用户名和密码是否相同,如果均相同,则该用户的身份验证成功,如果用户名不同或者密码不同,则该用户的身份验证失败。当然也可以采用其它的身份验证方式,本实施例对此不做具体限定。
[0055]103:当该用户请求使用该任一应用的资源时,调用该权限控制服务接口从该用户的权限信息中获取与该资源有关的权限信息,根据获取的该权限信息执行相应的操作。
[0056]本实施例中,一个应用的资源有多种,包括但不限于:应用的业务数据、web窗口中的可视对象等等。与资源有关的权限信息是指用户是否被授权可以使用该资源,以及可以怎样使用该资源等等。其中,一个应用的业务数据的权限信息包括但不限于:查询、添加、修改和删除等权限。Web窗口中的可视对象的权限信息包括但不限于:菜单、按钮、控件的使用权限等等。
[0057]权限信息可以根据需要设置成不同的粒度。为了提高控制的精度,可以设置较细的粒度。例如,将权限信息设置为web窗口中能够使用的菜单范围、以及每个菜单中能够使用的选项、每个页面上能够使用的按钮以及控件等等,本实施例对此不做具体限定。
[0058]本实施例中,可选的,所述调用该权限控制服务接口从该用户的权限信息中获取与该资源有关的权限信息,可以包括:
[0059]调用该权限控制服务接口,根据该用户的权限信息判断该用户对该应用的业务数据是否有使用的权限,如果是,则从该用户的权限信息中获取该用户对该应用的业务数据的使用权限;
[0060]和/ 或,[0061 ] 调用该权限控制服务接口,根据该用户的权限信息判断该用户对该应用的web窗口中的可视对象是否有使用的权限,如果是,则从该用户的权限信息中获取该用户对该可视对象的使用权限。
[0062]本实施例中,可选的,上述方法还可以包括:
[0063]判断该用户是否具有关联用户且预设的权限继承规则为继承关联用户的权限信息;
[0064]如果是,则在获取与该资源有关的权限信息后,还获取该关联用户的权限信息,将获取的与该资源有关的权限信息以及该关联用户的权限信息共同作为该用户的权限信息。
[0065]本实施例中,可选的,所述每个应用对应的用户信息保存在授权资源库中,验证成功后获取的该用户的权限信息保存在会话中;上述方法还可以包括:
[0066]当该用户再次请求使用该任一应用的资源时,调用该权限控制服务接口从该会话中获取该用户的权限信息,再从该权限信息中获取与该资源有关的权限信息,根据获取的与该资源有关的该权限信息执行相应的操作。
[0067]本实施例中,可选的,所述预先与多个应用建立绑定关系并保存每个应用对应的用户信息,可以包括:
[0068]提供管理应用和用户信息的web页面;
[0069]接收管理员输入的多个应用的信息,分别与该多个应用建立绑定关系;
[0070]对于其中的每个应用,接收管理员输入的该应用对应的用户的身份信息,为该用户分配权限信息,并保存该用户的身份信息和权限信息。
[0071]本实施例提供的上述方法,预先与多个应用建立绑定关系并保存每个应用对应的用户信息,所述用户信息包括身份信息和权限信息;当一个用户登录所述多个应用中的任一应用时,调用权限控制服务接口查询所述用户的身份信息,根据所述用户的身份信息对所述用户进行身份验证,验证成功后获取所述用户的权限信息;当所述用户请求使用所述任一应用的资源时,调用所述权限控制服务接口从所述用户的权限信息中获取与所述资源有关的权限信息,根据获取的所述权限信息执行相应的操作;实现了跨应用的权限控制统一管理,无需为每个应用都开放一套单独的权限控制系统,避免了重复开发工作,极大地降低了权限控制的成本,使用户资源达到充分共享。而且,提供标准化的权限控制服务接口,实现了权限管理与应用的逻辑划分,开发人员不用再考虑权限控制的具体实现细节,直接调用该权限控制服务接口即可,实现了权限管理与不同应用的解耦,方便各个应用进行权限控制,实现了安全、规范、高效、集中式的权限管理。
[0072]参见图2,本发明另一实施例提供了一种权限控制的方法,包括:
[0073]201:预先与多个应用建立绑定关系并保存每个应用对应的用户信息,该用户信息包括身份信息和权限信息。
[0074]其中,建立绑定关系可以很方便地增加新的应用,当增加新的应用时,只需新建与该新应用的绑定关系即可,而且不会对已绑定的应用造成影响,扩展性强,应用很灵活。
[0075]202:当一个用户登录该多个应用中的任一应用时,调用权限控制服务接口查询该用户的身份信息,根据该用户的身份信息对该用户进行身份验证,验证成功后获取该用户的权限信息。
[0076]203:当该用户请求使用该任一应用的资源时,调用该权限控制服务接口,根据该用户的权限信息判断该用户对该应用的业务数据是否有使用的权限,如果是,则从该用户的权限信息中获取该用户对该应用的业务数据的使用权限;和/或,调用该权限控制服务接口,根据该用户的权限信息判断该用户对该应用的web窗口中的可视对象是否有使用的权限,如果是,则从该用户的权限信息中获取该用户对该可视对象的使用权限。
[0077]本实施例中,可以仅判断用户是否有使用该应用的业务数据的权限,或者仅判断用户是否有使用web窗口中的可视对象的权限,或者,同时判断用户是否有使用该应用的业务数据的权限,以及判断用户是否有使用web窗口中的可视对象的权限,在判断用户有相关的权限的情况下,再获取用户的具体权限信息。
[0078]其中,用户对业务数据或者web窗口的可视对象的权限信息,可以根据预设的策略来设置,从而达到集中式的统一权限管理。具体地,在预设的策略中可以详细地规定用户能够使用哪些业务数据,以及可以如何使用等等,或者用户能够使用哪些可视对象,以及可以如何使用等等,本实施例对此不做具体限定。
[0079]204:根据获取的使用权限执行相应的操作。
[0080]其中,执行相应的操作是指与用户的请求相应的操作,如用户请求点击一个按钮,则在获知用户具有该权限的情况下,执行点击该按钮的操作;或者,用户请求打开一个菜单,则在获知用户具有该权限的情况下,执行打开该菜单的操作。
[0081]本实施例中,所述每个应用对应的用户信息可以保存在授权资源库中,验证成功后获取的该用户的权限信息可以保存在会话sess1n中。相应的,上述方法还可以包括:
[0082]当该用户再次请求使用该任一应用的资源时,调用该权限控制服务接口从该会话中获取该用户的权限信息,再从该权限信息中获取与该资源有关的权限信息,根据获取的与该资源有关的该权限信息执行相应的操作。
[0083]本实施例中,保存用户的权限信息的会话通常是存储于权限控制服务器的内存中,可以实现快速查询和读取。当用户频繁地登录某个应用时,通过会话保存用户的权限信息,可以方便地从会话中获取用户的权限信息,而无需每次都从授权资源库中获取用户的权限信息,极大地提高了速度和效率。
[0084]本实施例中,所述预先与多个应用建立绑定关系并保存每个应用对应的用户信息,可以包括:
[0085]提供管理应用和用户信息的web页面;
[0086]接收管理员输入的多个应用的信息,分别与该多个应用建立绑定关系;
[0087]对于其中的每个应用,接收管理员输入的该应用对应的用户的身份信息,为该用户分配权限信息,并保存该用户的身份信息和权限信息。
[0088]本实施例中,为了方便管理员对用户的权限信息进行分配、管理和控制,优选地,在本地提供web页面,用于对应用和用户信息进行管理。其中,管理员可以在该web页面上进行编辑,包括但不限于:选择需要绑定的应用、为应用输入用户的身份信息、为用户分配权限信息,修改绑定关系和用户信息等等。由于可以绑定多个应用,且各个应用可以统一共享用户信息,真正实现了跨应用的权限控制,达到了集中式的统一权限管理。
[0089]本实施例提供的上述方法,预先与多个应用建立绑定关系并保存每个