信息访问权限的控制方法及装置制造方法及图纸

本发明专利技术提出了一种信息访问权限的控制方法及装置，包括：创建用户组信息表、维度权限表以及用户组‑维度权限关系；创建用户信息表以及建立用户‑用户组关系和用户‑维度权限关系；根据角色信息表、角色‑菜单功能信息表以及所述创建的用户信息表，建立用户‑角色关系表，并根据所述用户‑角色关系表进行用户操作权限控制；根据所述用户‑用户组关系、用户组‑维度权限关系以及用户‑维度权限关系，进行用户数据访问权限控制；当进行用户数据访问权限控制时，通过调整所述用户‑维度权限关系、用户组‑维度权限关系以及用户‑用户组关系，以调整用户对应的用户组和维度权限。

Method and device for controlling information access authority

The invention provides a control method and apparatus, information access permissions include: create user group information table, dimension table and user group permissions dimension authority relationship; create user information table and the establishment of user user groups and user relationship dimension authority relationship; according to the user information table role information table and role menu function the information table and the creation of the establishment of user roles, and according to the user role table user access control; according to the user user group relationship, user groups and user permissions dimension relationship dimension authority relations, user data access control; when users access data access control, by adjusting the user permissions, user group dimension relationship dimension relationship and user permissions user groups, To adjust the user group and dimension permissions.

【技术实现步骤摘要】

本专利技术涉及系统权限管理领域，尤其涉及一种信息访问权限的控制方法及装置。
技术介绍
信息系统一般需要为多用户提供服务，并且需要对用户进行不同的权限设置(如功能菜单、按钮的使用权限)，即信息系统用户权限管理。传统的权限管理策略中，比较典型的是RBAC模型。RBAC模型对角色划分标准没有确切的定义，当系统复杂度极高时，需要定义的角色数量急剧增加；其次，难以满足灵活化权限控制需求，特别是在大型系统中使用时；而且，RBAC模型更多从软件系统角度考虑权限控制，忽略了现实中企业组织结构的特点。例如，某一组织机构的某一用户经常需要模拟另一组织机构的用户查询不同维度路径数据报表，即切换角色访问报表。若采用传统的RBAC模型，无法支持用户角色切换(RBAC中用户的角色是确定的)，而且需要定义大量的角色，导致角色-资源权限之间的关系复杂且不便于扩展。
技术实现思路
为了解决大型信息系统中用户角色定义过多的问题，以及更好适应现实企业组织结构需求，进而本专利技术提出了一种信息访问权限的控制方法，包括：创建用户组信息表、维度权限表以及用户组-维度权限关系；创建用户信息表以及建立用户-用户组关系和用户-维度权限关系；根据角色信息表、角色-菜单功能信息表以及所述创建的用户信息表，建立用户-角色关系表，并根据所述用户-角色关系表进行用户操作权限控制；根据所述用户-用户组关系、用户组-维度权限关系以及用户-维度权限关系，进行用户数据访问权限控制；当进行用户数据访问权限控制时，通过调整所述用户-维度权限关系、用户组-维度权限关系以及用户-用户组关系，以调整用户对应的用户组和维度权限，其包括：当所述用户的权限调整范围在所述用户通过用户-维度权限关系所确定的权限范围时，调整用户-维度权限关系，控制所述用户的数据访问权限；当所述用户的权限调整范围超出所述用户通过用户-维度权限关系所确定的权限范围，并且在所述用户所在的用户组的权限范围时，调整用户组-维度权限关系，控制所述用户的数据访问权限；当所述用户的权限调整范围超出所述用户所在的用户组的权限范围时，调整用户-用户组关系，控制所述用户的数据访问权限。进一步的，创建用户组信息表是根据所对应的对象的组织架构进行创建。进一步的，所述创建用户信息表包括：根据设定的用户组的权限，在对应用户组内创建用户，并根据所述用户组-维度权限关系，为该用户赋予对应的维度权限。进一步的，所述用户组信息表包括父组及对应的子组，所述子组全部或者部分继承父组的访问权限；当所述用户的权限调整范围超出所述用户所在的用户组的权限范围时，在对应用户组内创建新子组，并根据所述用户组-维度权限关系，为所述新子组赋予对应的维度权限。进一步的，所述通过所述用户-用户组关系和用户-维度权限关系调整用户对应的用户组和维度权限，控制所述用户的数据访问权限，还包括：调整所述用户至之前所在用户组的子组，减少所述用户的维度权限；和/或直接调整用户-维度权限关系减少所述用户的维度权限。进一步的，所述通过所述用户-用户组关系和用户-维度权限关系调整用户对应的用户组和维度权限，控制所述用户的数据访问权限，还包括：调整所述用户至之前所在用户组的父组，增加所述用户的维度权限；和/或直接调整用户-维度权限关系增加所述用户的维度权限。相应的，一种信息访问权限的控制装置，包括：用户组及权限创建模块，用于创建用户组信息表、维度权限表以及用户组-维度权限关系；用户及权限创建模块，用于创建用户信息表以及建立用户-用户组关系和用户-维度权限关系；操作权限控制模块，用于根据角色信息表、角色-菜单功能信息表以及所述创建的用户信息表，建立用户-角色关系表，并根据所述用户-角色关系表进行用户操作权限控制；访问权限控制模块，用于根据所述用户-用户组关系、用户组-维度权限关系以及用户-维度权限关系，进行用户数据访问权限控制；访问权限调整模块，用于当进行用户数据访问权限控制时，通过调整所述用户-维度权限关系、用户组-维度权限关系以及用户-用户组关系，以调整用户对应的用户组和维度权限，其包括：当所述用户的权限调整范围在所述用户通过用户-维度权限关系所确定的权限范围时，调整用户-维度权限关系，控制所述用户的数据访问权限；当所述用户的权限调整范围超出所述用户通过用户-维度权限关系所确定的权限范围，并且在所述用户所在的用户组的权限范围时，调整用户组-维度权限关系，控制所述用户的数据访问权限；当所述用户的权限调整范围超出所述用户所在的用户组的权限范围时，调整用户-用户组关系，控制所述用户的数据访问权限。进一步的，所述用户组及权限创建模块创建用户组信息表是根据所对应的对象的组织架构进行创建。进一步的，用户及权限创建模块包括：组内用户及权限创建模块，用于根据设定的用户组的权限，在对应用户组内创建用户，并根据所述用户组-维度权限关系，为该用户赋予对应的维度权限。进一步的，所述用户组信息表包括父组及对应的子组，所述子组全部或者部分继承父组的访问权限；所述用户组及权限创建模块包括：新子组及权限创建模块，用于当所述用户的权限调整范围超出所述用户所在的用户组的权限范围时，在对应用户组内创建新子组，并根据所述用户组-维度权限关系，为所述新子组赋予对应的维度权限。进一步的，所述访问权限调整模块，还用于：调整所述用户至之前所在用户组的子组，减少所述用户的维度权限；和/或直接调整用户-维度权限关系减少所述用户的维度权限。进一步的，所述访问权限调整模块，还用于：调整所述用户至之前所在用户组的父组，增加所述用户的维度权限；和/或直接调整用户-维度权限关系增加所述用户的维度权限。本专利技术的有益效果：通过本专利技术的信息访问权限的控制方法可以实现操作权限和数据访问权限分离，带来更加方便灵活的权限管理；根据现实中企业组织需求设置用户组、子组、组内用户，更加符合实际应用场景；用户组之间、用户和组之间权限的动态调整继承；有效减少复杂系统中角色设置规模；高级用户可完全模拟下级用户访问。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例的信息访问权限的控制方法的流程图。图2为本专利技术实施例的信息访问权限的控制装置的结构示意图。图3为本专利技术实施例中银行用户组的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术的保护的范围。图1为本专利技术实施例的信息访问权限的控制方法的流程图。如图1所示，该信息访问权限的控制方法，包括：S100，创建用户组信息表、维度权限表以及用户组-维度权限关系；S200，创建用户信息表以及建立用户-用户组关系和用户-维度权限关系；S300，根据角色信息表、角色-菜单功能信息表以及所述创建的用户信息表，建立用户-角色关系表，并根据所述用户-角色关系表进行用户操作权限控制；本文档来自技高网...

【技术保护点】
一种信息访问权限的控制方法，其特征在于，包括：创建用户组信息表、维度权限表以及用户组‑维度权限关系；创建用户信息表以及建立用户‑用户组关系和用户‑维度权限关系；根据角色信息表、角色‑菜单功能信息表以及所述创建的用户信息表，建立用户‑角色关系表，并根据所述用户‑角色关系表进行用户操作权限控制；根据所述用户‑用户组关系、用户组‑维度权限关系以及用户‑维度权限关系，进行用户数据访问权限控制；当进行用户数据访问权限控制时，通过调整所述用户‑维度权限关系、用户组‑维度权限关系以及用户‑用户组关系，以调整用户对应的用户组和维度权限，其包括：当所述用户的权限调整范围在所述用户通过用户‑维度权限关系所确定的权限范围时，调整用户‑维度权限关系，控制所述用户的数据访问权限；当所述用户的权限调整范围超出所述用户通过用户‑维度权限关系所确定的权限范围，并且在所述用户所在的用户组的权限范围时，调整用户组‑维度权限关系，控制所述用户的数据访问权限；当所述用户的权限调整范围超出所述用户所在的用户组的权限范围时，调整用户‑用户组关系，控制所述用户的数据访问权限。

【技术特征摘要】
1.一种信息访问权限的控制方法，其特征在于，包括：创建用户组信息表、维度权限表以及用户组-维度权限关系；创建用户信息表以及建立用户-用户组关系和用户-维度权限关系；根据角色信息表、角色-菜单功能信息表以及所述创建的用户信息表，建立用户-角色关系表，并根据所述用户-角色关系表进行用户操作权限控制；根据所述用户-用户组关系、用户组-维度权限关系以及用户-维度权限关系，进行用户数据访问权限控制；当进行用户数据访问权限控制时，通过调整所述用户-维度权限关系、用户组-维度权限关系以及用户-用户组关系，以调整用户对应的用户组和维度权限，其包括：当所述用户的权限调整范围在所述用户通过用户-维度权限关系所确定的权限范围时，调整用户-维度权限关系，控制所述用户的数据访问权限；当所述用户的权限调整范围超出所述用户通过用户-维度权限关系所确定的权限范围，并且在所述用户所在的用户组的权限范围时，调整用户组-维度权限关系，控制所述用户的数据访问权限；当所述用户的权限调整范围超出所述用户所在的用户组的权限范围时，调整用户-用户组关系，控制所述用户的数据访问权限。2.根据权利要求1中所述的信息访问权限的控制方法，其特征在于，创建用户组信息表是根据所对应的对象的组织架构进行创建。3.根据权利要求1中所述的信息访问权限的控制方法，其特征在于，所述创建用户信息表包括：根据设定的用户组的权限，在对应用户组内创建用户，并根据所述用户组-维度权限关系，为该用户赋予对应的维度权限。4.根据权利要求1中所述的信息访问权限的控制方法，其特征在于，所述用户组信息表包括父组及对应的子组，所述子组全部或者部分继承父组的访问权限；当所述用户的权限调整范围超出所述用户所在的用户组的权限范围时，在对应用户组内创建新子组，并根据所述用户组-维度权限关系，为所述新子组赋予对应的维度权限。5.根据权利要求4中所述的信息访问权限的控制方法，其特征在于，所述当进行用户数据访问权限控制时，通过调整所述用户-维度权限关系、用户组-维度权限关系以及用户-用户组关系，以调整用户对应的用户组和维度权限，还包括：调整所述用户至之前所在用户组的子组，减少所述用户的维度权限；和/或直接调整用户-维度权限关系减少所述用户的维度权限。6.根据权利要求4中所述的信息访问权限的控制方法，其特征在于，所述当进行用户数据访问权限控制时，通过调整所述用户-维度权限关系、用户组-维度权限关系以及用户-用户组关系，以调整用户对应的用户组和维度权限，还包括：调整所述用户至之前所在用户组的父组，增加所述用户的维度权限；和/或直接调整用户-维度权限关系增加所述用户的维度...

【专利技术属性】
技术研发人员：不公告发明人，
申请(专利权)人：中国人民银行清算总中心，
类型：发明
国别省市：北京;11