本发明专利技术涉及一种基于工作流引擎的岗位权限锁定方法及系统,依据工作流引擎中的目标项目以及具体执行步骤,在用户岗位层设定锁定标志,并配置锁定参数关联特定目标项目
【技术实现步骤摘要】
一种基于工作流引擎的岗位权限锁定方法及系统
[0001]本专利技术涉及权限访问控制和计算机安全管理
,尤其涉及一种基于工作流引擎的岗位权限锁定方法及系统
。
技术介绍
[0002]权限指应用系统中一组具体操作或控制
(
如页面
、
菜单等
)
功能,岗位作为权限的集合,是由业务部门基于工作职责来设置的,对应职责相近的一组工作内容
。
用户只有被赋予相关的岗位,才能拥有相对应的操作权限
。
除了因职位变动
、
人员调整等对应出现的岗位变动,在实际岗位权限管理过程中还往往存在用户因故需要短期暂时性限制特定岗位权限的情况,例如当用户因休假
、
临时外出等特殊原因需短期离岗,期间用户不能登录系统来进行业务操作,需要对用户权限进行锁定
。
[0003]针对上述具体需求,现有技术的常用解决方案是基于人工控制直接对用户进行锁定,通过在用户层设置锁定状态,系统控制锁定状态的用户不能登录系统,来实现用户权限锁定
。
典型的具体操作流程包括:系统在用户层预先设置锁定状态;当用户发起涉及权限变更申请
(
例如离岗或休假
)
,系统查询用户信息,依据预设锁定状态置为对应权限锁定
(
例如对离岗与休假分别预设不同锁定状态,并根据用户实际申请执行对应的权限锁定操作
)
;用户尝试登录系统时,系统优先查询用户锁定状态是否为正常,非正常状态
(
例如离岗或休假
)
则不能登录;当用户正常返岗后,依据申请恢复用户锁定状态为正常,用户可以登录系统办理业务
。
[0004]现有技术的处理方式实质是对应用户直接进行锁定,即对用户权限的全部锁定
。
用户在锁定期间无法登录系统操作,特别是无法正常针对非敏感
、
非业务类权限进行操作,例如业务学习类平台等
。
[0005]针对这一技术问题,现有技术也提出了改进尝试
。
例如,通过制定具体规则用于限制用户权限,通过规则引擎搭配动态锁实现锁定状态依据实际情况的灵活改变
。
但是,由于用户岗位权限锁定需要涉及到复杂的逻辑,例如判断用户是否已经登录
、
判断用户是否有权限访问某个页面或功能
、
判断用户是否已经超出了其角色或权限范围等等,这些逻辑可能需要进行多次的验证和检查,以确保用户的权限被正确地锁定和释放,导致基于具体规则建立规则引擎的工作量较大,且难以保证执行稳定性
。
同时,对于大型组织中存在多个不同的应用程序或系统需要进行用户权限和角色管理的情况,当某一特定锁定状态触发时,对于实际执行用户岗位权限锁定需要考虑到不同平台之间的兼容性问题,避免出现用户的权限在某个平台上被锁定,但在另一个平台上没有被同步锁定,导致出现安全性控制风险,或影响用户正常访问重要功能或资源
。
[0006]另一方面,用户岗位权限锁定的机制需要高度可靠,以确保不会出现误锁或漏锁的情况
。
过于复杂的规则设计容易导致出现不可预料的执行漏洞,如果锁定的机制存在问题,可能会导致某些用户的权限被错误地锁定或释放,这会对组织管理的业务和安全造成影响
。
技术实现思路
[0007]为解决现有技术的不足,本专利技术提出一种基于工作流引擎的岗位权限锁定方法及系统,在用户岗位层设定锁定标志,通过工作流引擎自动匹配用户特定申请
、
审批流程对应设置权限,依据需要将用户的业务操作类
、
业务审批类岗位的锁定标志设置为锁定,从而实现对应用户权限范围根据实际需求进行动态调整限制
。
[0008]为实现以上目的,本专利技术所采用的技术方案包括:
[0009]一种基于工作流引擎的岗位权限锁定方法,其特征在于,包括:
[0010]S1、
载入工作流引擎,识别工作流中涉及权限锁定的目标项目并添加第一锁定标志,所述第一锁定标志默认为未执行;
[0011]S2、
解析目标项目的执行步骤,依次判断各执行步骤是否满足预设的权限控制条件;
[0012]S3、
当判断特定执行步骤满足预设的权限控制条件时,对所述执行步骤添加第二锁定标志并配置第二锁定标志的默认值;
[0013]进一步地,所述方法还包括:
[0014]S4、
配置若干包含不同权限锁定范围的锁定参数,使用各锁定参数分别关联至第一锁定标志或第二锁定标志;
[0015]S5、
执行工作流请求,判断工作流请求是否涉及添加有第一锁定标志的目标项目,当判断工作流请求未涉及添加有第一锁定标志的目标项目时,中止岗位权限锁定操作;
[0016]S6、
当判断工作流请求涉及添加有第一锁定标志的目标项目时,进一步判断所述目标项目所含执行步骤对应的第二锁定标志是否为默认值,当判断所述目标项目所含执行步骤对应的第二锁定标志不为默认值时,中止岗位权限锁定操作;
[0017]S7、
当判断所述目标项目所含执行步骤对应的第二锁定标志为默认值时,依据关联的锁定参数执行岗位权限锁定操作,并将第二锁定标志修改为执行值,所述执行值包括锁定或未锁定;
[0018]S8、
判断从属于第一锁定标志的所有第二锁定标志是否均为执行值,当判断从属于第一锁定标志的所有第二锁定标志均为执行值时,将第一锁定标志修改为已执行;
[0019]S9、
判断岗位权限锁定操作是否成功,当判断成功时,反馈工作流请求并将第一锁定标志恢复为未执行
。
[0020]进一步地,所述默认值包括锁定或未锁定,所述第二锁定标志从属于所述第一锁定标志
[0021]所述步骤
S3
还包括:当判断不存在执行步骤满足预设的权限控制条件时,将目标项目执行的最终步骤添加第二锁定标志
。
[0022]进一步地,所述步骤
S6
还包括:
[0023]当判断工作流请求涉及多个添加有第一锁定标志的目标项目时,进一步判断所述目标项目所含多个执行步骤对应的第二锁定标志是否均为默认值
。
[0024]进一步地,所述步骤
S7
还包括:
[0025]当判断所述目标项目所含多个执行步骤对应的第二锁定标志均为默认值时,依据多个执行步骤在工作流中的执行逻辑顺序依次依据其各自关联的锁定参数执行岗位权限锁定操作
。
[0026]进一步地,所述岗位权限锁定操作包括将未锁定的岗位权限调整为锁定,或,将锁定的岗位权限恢复为未锁定
。
[0027]本专利技术还涉及一种基于工作流引擎的岗位权限锁定系统,其特征在于,包括:
[0028]项目管理模块,用于识别工作流中涉及权限锁定的目标项目并添加<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种基于工作流引擎的岗位权限锁定方法,其特征在于,包括:
S1、
载入工作流引擎,识别工作流中涉及权限锁定的目标项目并添加第一锁定标志,所述第一锁定标志默认为未执行;
S2、
解析目标项目的执行步骤,依次判断各执行步骤是否满足预设的权限控制条件;
S3、
当判断特定执行步骤满足预设的权限控制条件时,对所述执行步骤添加第二锁定标志并配置第二锁定标志的默认值;
S4、
配置若干包含不同权限锁定范围的锁定参数,使用各锁定参数分别关联至第一锁定标志或第二锁定标志
。2.
如权利要求1所述的方法,其特征在于,所述方法还包括:
S5、
执行工作流请求,判断工作流请求是否涉及添加有第一锁定标志的目标项目,当判断工作流请求未涉及添加有第一锁定标志的目标项目时,中止岗位权限锁定操作;
S6、
当判断工作流请求涉及添加有第一锁定标志的目标项目时,进一步判断所述目标项目所含执行步骤对应的第二锁定标志是否为默认值,当判断所述目标项目所含执行步骤对应的第二锁定标志不为默认值时,中止岗位权限锁定操作;
S7、
当判断所述目标项目所含执行步骤对应的第二锁定标志为默认值时,依据关联的锁定参数执行岗位权限锁定操作,并将第二锁定标志修改为执行值,所述执行值包括锁定或未锁定;
S8、
判断从属于第一锁定标志的所有第二锁定标志是否均为执行值,当判断从属于第一锁定标志的所有第二锁定标志均为执行值时,将第一锁定标志修改为已执行;
S9、
判断岗位权限锁定操作是否成功,当判断成功时,反馈工作流请求并将第一锁定标志恢复为未执行
。3.
如权利要求1所述的方法,其特征在于,所述默认值包括锁定或未锁定,所述第二锁定标志从属于所述第一锁定标志;所述步骤
S3
还包括:当判断不存在执行步骤满足预设的权限控制条件时,将目标项目执行的最终步骤添加第二锁定标志
。4.
如权利要求2所述...
【专利技术属性】
技术研发人员:王游游,陶晖,齐珑,王京花,洪晓林,黄婷,胡天惠,
申请(专利权)人:建信金融科技有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。