信息系統(tǒng)中細(xì)粒度權(quán)限管理方法
【專利摘要】本發(fā)明公開了一種信息系統(tǒng)中細(xì)粒度權(quán)限管理方法，包括以下步驟：1）建立權(quán)限類型表，包括權(quán)限類型ID和權(quán)限類型等字段；將權(quán)限分為菜單、界面、操作、流程、數(shù)據(jù)不同類型；2）建立權(quán)限表；3）建立角色表，包括角色I(xiàn)D、角色名等字段；4）建立角色權(quán)限表，將權(quán)限分配給角色，并記錄到角色權(quán)限表中，建立用戶，并將用戶分配給角色；5）建立用戶表；6）建立用戶角色表，將用戶分配給角色，用戶可以和多個(gè)角色對應(yīng)；7）在用戶登錄并操作系統(tǒng)過程中，通過實(shí)時(shí)查詢用戶所具有的權(quán)限，實(shí)現(xiàn)細(xì)粒度的權(quán)限管理。通過用戶、角色管理，運(yùn)用數(shù)據(jù)庫技術(shù)，能夠使用較小的系統(tǒng)開銷實(shí)現(xiàn)菜單、操作按鈕、流程、數(shù)據(jù)等復(fù)雜的權(quán)限管理。
【專利說明】信息系統(tǒng)中細(xì)粒度權(quán)限管理方法【技術(shù)領(lǐng)域】[0001]本發(fā)明涉及計(jì)算機(jī)應(yīng)用【技術(shù)領(lǐng)域】，特別涉及一種信息系統(tǒng)中的細(xì)粒度權(quán)限管理方 法?！颈尘凹夹g(shù)】[0002]管理信息系統(tǒng)已深入應(yīng)用到人們的日常生活中，并且向著多應(yīng)用和多用戶的放向 不斷發(fā)展，這就在系統(tǒng)安全方面提出了更高的要求，使得信息系統(tǒng)的數(shù)據(jù)安全越來越受到 人們的重視?，F(xiàn)有技術(shù)中有幾種典型的用戶權(quán)限控制模型:基于角色的權(quán)限設(shè)計(jì)、基于操作 的權(quán)限設(shè)計(jì)和基于角色和操作的權(quán)限設(shè)計(jì)?，F(xiàn)有技術(shù)中的權(quán)限管理存在的問題是，實(shí)現(xiàn)方 式要么僅能實(shí)現(xiàn)簡單的權(quán)限，例如通過用戶名與菜單的匹配實(shí)現(xiàn)菜單權(quán)限、不適應(yīng)當(dāng)前發(fā) 展和應(yīng)用的需求；要么實(shí)現(xiàn)權(quán)限管理的邏輯復(fù)雜，系統(tǒng)開銷較大。
【發(fā)明內(nèi)容】
[0003]本發(fā)明的目的就是為解決現(xiàn)有技術(shù)存在的上述問題，提供一種信息系統(tǒng)中細(xì)粒度 權(quán)限管理方法；本發(fā)明通過用戶、角色管理，運(yùn)用數(shù)據(jù)庫技術(shù)，能夠使用較小的系統(tǒng)開銷實(shí) 現(xiàn)菜單、操作按鈕、流程、數(shù)據(jù)等復(fù)雜的權(quán)限管理。[0004]本發(fā)明解決技術(shù)問題的技術(shù)方案為:[0005]一種信息系統(tǒng)中細(xì)粒度權(quán)限管理方法，包括以下步驟:[0006](I)建立權(quán)限類型表，包括權(quán)限類型ID和權(quán)限類型等字段；將權(quán)限分為菜單、界 面、操作、流程、數(shù)據(jù)不同類型；[0007](2)建立權(quán)限表，包括權(quán)限ID、權(quán)限類型ID、權(quán)限描述等字段；每一個(gè)菜單、界面、 操作按鈕、流程都分配一個(gè)36位數(shù)據(jù)庫隨機(jī)碼，即權(quán)限ID，該隨機(jī)碼在系統(tǒng)中是唯一的；[0008](3)建立角色表，包括角色I(xiàn)D、角色名等字段，根據(jù)系統(tǒng)的特點(diǎn)設(shè)置角色，該角色可 能是一個(gè)工作職務(wù)或一個(gè)崗位；[0009](4)建立角色權(quán)限表，包括角色I(xiàn)D、權(quán)限ID、權(quán)限類型ID等字段，將權(quán)限分配給角 色，并記錄到角色權(quán)限表中，則角色和權(quán)限有了關(guān)聯(lián)，建立用戶，并將用戶分配給角色，則用 戶通過角色與權(quán)限建立了關(guān)聯(lián)；[0010](5)建立用戶表，包括用戶ID、用戶名等字段；[0011](6)建立用戶角色表，包括用戶ID、角色I(xiàn)D等字段；將用戶分配給角色，則用戶通 過角色與權(quán)限建立了關(guān)聯(lián)，用戶可以和多個(gè)角色對應(yīng)；[0012](7)在用戶登錄并操作系統(tǒng)過程中，通過實(shí)時(shí)查詢用戶所具有的權(quán)限，實(shí)現(xiàn)細(xì)粒度 的權(quán)限管理。[0013]所述步驟2采用:每一條數(shù)據(jù)分配一個(gè)隨機(jī)碼，或者是將數(shù)據(jù)歸類、按歸類分配隨 機(jī)碼。[0014]所述步驟7的具體實(shí)現(xiàn)過程為:用戶登錄系統(tǒng)，程序通過SQL查詢該用戶所具有的 菜單類型的權(quán)限，給該用戶賦予其可查看的菜單；該用戶進(jìn)入某一界面時(shí)，程序通過SQL查詢該用戶所具有的操作按鈕類型的權(quán)限，從而決定某一按鈕是否有權(quán)限；該用戶查詢數(shù)據(jù) 時(shí)，通過SQL語句只查詢該用戶所具有權(quán)限的數(shù)據(jù)(或數(shù)據(jù)歸類)，從而實(shí)現(xiàn)該用戶只能查看 其可以查看的內(nèi)容。[0015]本發(fā)明的有益效果:[0016]1.本發(fā)明在菜單、操作按鈕、流程、數(shù)據(jù)層面實(shí)現(xiàn)了細(xì)粒度權(quán)限的控制，解決了管 理信息系統(tǒng)中角色權(quán)限的問題；[0017]2.應(yīng)用在管理信息系統(tǒng)中能夠使用較小的系統(tǒng)開銷，方便的實(shí)現(xiàn)自定義角色和自 定義權(quán)限的管理，保證了權(quán)限管理范圍的廣泛性與高度的可靠性?！緦＠綀D】

【附圖說明】[0018]圖1為本發(fā)明的權(quán)限管理流程示意圖；[0019]圖2是本發(fā)明的數(shù)據(jù)表結(jié)構(gòu)圖；【具體實(shí)施方式】[0020]為了更好地理解本發(fā)明，下面結(jié)合附圖來詳細(xì)解釋本發(fā)明的實(shí)施方式。[0021]如圖1、圖2所示，一種信息系統(tǒng)中細(xì)粒度權(quán)限管理方法，包括以下步驟:[0022](I)建立權(quán)限類型表，包括權(quán)限類型ID和權(quán)限類型等字段；將權(quán)限分為不同的類 型，例如菜單、界面、操作、流程、數(shù)據(jù)等，可以根據(jù)不同的應(yīng)用系統(tǒng)特點(diǎn)靈活設(shè)置；[0023](2)建立權(quán)限表，包括權(quán)限ID、權(quán)限類型ID、權(quán)限描述等字段；每一個(gè)菜單、界面、 操作按鈕、流程都分配一個(gè)36位數(shù)據(jù)庫隨機(jī)碼，即權(quán)限ID，該隨機(jī)碼在系統(tǒng)中是唯一的。數(shù) 據(jù)的權(quán)限管理比較復(fù)雜5 ;由于數(shù)量級較大，可以有兩種管理方式:一種是每一條數(shù)據(jù)分配 一個(gè)隨機(jī)碼；另一種是將數(shù)據(jù)歸類，按歸類分配隨機(jī)碼。例如在人力資源系統(tǒng)中，可以將雇 員的數(shù)據(jù)歸類為所屬單位或部門，給歸類后的數(shù)據(jù)統(tǒng)一分配隨機(jī)碼。以上所有的菜單、操作 按鈕、流程、數(shù)據(jù)歸類等分配的每一個(gè)隨機(jī)碼，我們稱其為一個(gè)權(quán)限，并將所有的權(quán)限記錄 到權(quán)限表中。[0024](3)建立角色表，包括角色I(xiàn)D、角色名等字段。根據(jù)系統(tǒng)的特點(diǎn)設(shè)置角色，該角色 可能是一個(gè)工作職務(wù)或一個(gè)崗位，例如rolel ；[0025](4)建立角色權(quán)限表，包括角色I(xiàn)D、權(quán)限ID、權(quán)限類型ID等字段。將權(quán)限分配給角 色rolel，并記錄到角色權(quán)限表中，則角色和權(quán)限有了關(guān)聯(lián)。建立用戶，并將用戶分配給角 色，則用戶通過角色與權(quán)限建立了關(guān)聯(lián)；[0026](5)建立用戶表，包括用戶ID、用戶名等字段；[0027](6)建立用戶角色表，包括用戶ID、角色I(xiàn)D等字段。將用戶分配給角色，則用戶通 過角色與權(quán)限建立了關(guān)聯(lián)。用戶可以和多個(gè)角色對應(yīng)；[0028](7)在用戶登錄并操作系統(tǒng)過程中，通過實(shí)時(shí)查詢用戶所具有的權(quán)限，實(shí)現(xiàn)細(xì)粒度 的權(quán)限管理。具體實(shí)現(xiàn)過程為:用戶userl登錄系統(tǒng)，程序通過SQL查詢userl所具有的 菜單類型的權(quán)限，給用戶賦予其可查看的菜單；uSerl進(jìn)入某一界面時(shí)，程序通過SQL查詢 userl所具有的操作按鈕類型的權(quán)限，從而決定某一按鈕是否有權(quán)限；uSerl查詢數(shù)據(jù)時(shí)， 通過SQL語句只查詢userl所具有權(quán)限的數(shù)據(jù)(或數(shù)據(jù)歸類)，從而實(shí)現(xiàn)用戶只能查看其可 以查看的內(nèi)容。[0029]以上實(shí)現(xiàn)過程中，可以通過給數(shù)據(jù)歸類，給權(quán)限表、數(shù)據(jù)表增加索引等方式實(shí)現(xiàn)快 速搜索，從而以較小的系統(tǒng)開銷實(shí)現(xiàn)細(xì)粒度的權(quán)限管理。[0030]上述雖然結(jié)合附圖對發(fā)明的【具體實(shí)施方式】進(jìn)行了描述，但并非對本發(fā)明保護(hù)范圍 的限制，在本發(fā)明的技術(shù)方案的基礎(chǔ)上，本領(lǐng)域技術(shù)人員不需要付出創(chuàng)造性勞動(dòng)即可做出 的各種修改或變形仍在本發(fā)明的保護(hù)范圍以內(nèi)。
【權(quán)利要求】
1.一種信息系統(tǒng)中細(xì)粒度權(quán)限管理方法，其特征是，包括以下步驟:O建立權(quán)限類型表，包括權(quán)限類型ID和權(quán)限類型字段；將權(quán)限分為菜單、界面、操作、 流程、數(shù)據(jù)不同類型；2)建立權(quán)限表，包括權(quán)限ID、權(quán)限類型ID、權(quán)限描述字段；每一個(gè)菜單、界面、操作按 鈕、流程都分配一個(gè)36位數(shù)據(jù)庫隨機(jī)碼、即權(quán)限ID，該隨機(jī)碼在系統(tǒng)中是唯一的；3)建立角色表，包括角色I(xiàn)D、角色名字段，根據(jù)系統(tǒng)的特點(diǎn)設(shè)置角色，該角色是一個(gè)工 作職務(wù)或一個(gè)崗位；4)建立角色權(quán)限表，包括角色I(xiàn)D、權(quán)限ID、權(quán)限類型ID字段，將權(quán)限分配給角色，并記 錄到角色權(quán)限表中，則角色和權(quán)限有了關(guān)聯(lián)，建立用戶，并將用戶分配給角色，則用戶通過 角色與權(quán)限建立了關(guān)聯(lián)；5)建立用戶表，包括用戶ID、用戶名字段；6)建立用戶角色表，包括用戶ID、角色I(xiàn)D字段；將用戶分配給角色，則用戶通過角色與 權(quán)限建立了關(guān)聯(lián)，用戶可以和多個(gè)角色對應(yīng)；7)在用戶登錄并操作系統(tǒng)過程中，通過實(shí)時(shí)查詢用戶所具有的權(quán)限，實(shí)現(xiàn)細(xì)粒度的權(quán)限管理。
2.如權(quán)利要求1所述的信息系統(tǒng)中細(xì)粒度權(quán)限管理方法，其特征是，所述步驟2采用: 每一條數(shù)據(jù)分配一個(gè)隨機(jī)碼，或者是將數(shù)據(jù)歸類、按歸類分配隨機(jī)碼。
3.如權(quán)利要求1所述的信息系統(tǒng)中細(xì)粒度權(quán)限管理方法，其特征是，所述步驟7通過以 下步驟實(shí)現(xiàn):用戶登錄系統(tǒng)，程序通過SQL查詢該用戶所具有的菜單類型的權(quán)限，給該用戶賦予其 可查看的菜單；該用戶進(jìn)入某一界面時(shí)，程序通過SQL查詢該用戶所具有的操作按鈕類型的權(quán)限，從 而決定某一按鈕是否有權(quán)限；該用戶查詢數(shù)據(jù)時(shí)，通過SQL語句只查詢該用戶所具有權(quán)限的數(shù)據(jù)或數(shù)據(jù)歸類，從而 實(shí)現(xiàn)該用戶只能查看其可以查看的內(nèi)容。
【文檔編號】G06F17/30GK103500297SQ201310474050
【公開日】2014年1月8日 申請日期:2013年10月11日 優(yōu)先權(quán)日:2013年10月11日
【發(fā)明者】徐慶東, 王曉榮, 王文龍 申請人:濟(jì)鋼集團(tuán)有限公司