一种用户权限管理方法、装置制造方法及图纸

本发明专利技术提供的用户权限管理方法及装置，通过在系统资源发生变化时，更新扩展后的基于角色的访问控制ＲＢＡＣ模型中，独立于权限类别集合的资源集合中的资源，并利用更新后的资源集合更新权限集合；确定用户访问更新后的所述权限集合的访问权限；基于确定的所述用户的访问权限，对所述用户发送的访问请求进行权限管理控制。从而使系统的权限集合可以适应系统资源集合的动态调整，而且还可以使系统为用户授权更加灵活。

【技术实现步骤摘要】

本专利技术涉及权限管理
，具体涉及一种用户权限管理方法、装置。
技术介绍
目前在企业应用系统中，普遍采用基于角色的访问控制(RBAC，Role-based Access Control)模型，对系统用户的访问权限进行管理控制。如图1所示。RBAC把系统用户根据其所拥有的执行功能和安全策略分成不同的角色，然后对每个角色分配对应的权限，再通过对每个用户指定不同的角色，来实现对用户的权限管理控制。在现有RBAC模型中，通常把系统中的权限集合进行了固定的限制，即把系统的资源(功能)集合以及施加于其上的权限类别集合(即操作类别集合)进行了固化绑定，作为系统的权限集合，而现有RBAC模型在实际应用时，特别是在Web系统中，因为Web系统拥有复杂的页面层次和表单元素，而这些内容在开发和维护中的变化是非常频繁和不可预期的，这就导致了当系统管理的资源集合处于动态变化的时候，系统的权限集合不能与系统资源动态适应。可以看出，现有技术条件下的RBAC模型在具体实现过程中，权限集合不具备与系统的资源集合动态适应的能力，缺少灵活性。
技术实现思路
本专利技术所要解决的技术问题是提供一种用户权限管理方法、装置。从而使RBAC模型中的权限集合具备与系统资源动态适应能力。为解决上述技术问题，本专利技术提供方案如下：本专利技术实施例提供了一种用户权限管理方法，包括：在系统资源发生变化时，更新扩展后的基于角色的访问控制RBAC模型中，独立于权限类别集合的资源集合中的资源，并利用更新后的资源集合更新权限集合；确定用户访问更新后的所述权限集合的访问权限；基于确定的所述用户的访问权限，对所述用户发送的访问请求进行权限管理控制。优选的，所述方法中，所述在系统资源发生变化时，更新扩展后的基于角色的访问控制RBAC模型中，独立于权限类别集合的资源集合中的资源，并利用更新后的资源集合更新权限集合的过程中，包括增加系统资源流程和删减系统资源流程，其中，所述增加系统资源流程包括：将增加的系统资源添加至资源集合中，更新所述资源集合中的资源；根据所述增加的系统资源对应的操作权限类别编码，将权限类别集合中对应的操作权限类别加载至所述增加的系统资源；将所述更新后的资源集合与权限类别集合组合，构成更新后的权限集合；所述删减系统资源流程包括：-->将减少的系统资源从资源集合中删除，更新所述资源集合中的资源；将所述更新后的资源集合与权限类别集合组合，构成更新后的权限集合。优选的，所述方法中，所述确定用户访问更新后的所述权限集合的访问权限包括：通过会话进程与用户交互，确定用户身份；根据确定的所述用户身份与所述用户所属角色之间的对应关系，确定所述用户所属角色；根据确定的所述用户所属角色与所述权限集合之间的对应关系，确定所述用户所属角色对应的访问权限。优选的，所述方法中，若根据确定的所述用户所属角色与所述权限集合之间的对应关系，确定所述用户所属角色不具有访问所述权限集合的访问权限，则所述方法还包括：将用户所属角色不具有访问所述权限集合的访问权限的确定结果反馈至用户。优选的，所述方法中，所述确定用户访问更新后的所述权限集合的访问权限包括：根据接收的所述用户发送的特别授权请求，为所述用户授予不基于用户所属角色访问所述权限集合的访问权限。本专利技术实施例还提供了一种用户权限管理装置，包括：更新模块，用于在系统资源发生变化时，更新扩展后的基于角色的访问控制RBAC模型，独立于权限类别集合的资源集合中的资源，并利用更新后的资源集合更新权限集合；确定模块，用于确定用户访问所述更新模块更新后的权限集合的访问权限；权限管理控制模块，用于基于所述确定模块确定的所述用户的访问权限，对所述用户发送的访问请求进行权限管理控制。优选的，所述更新模块包括：加载单元，用于在系统资源增加时，根据增加的系统资源对应的权限类别集合编码，将权限类别集合中对应的操作权限类别加载至所述增加的系统资源。优选的，所述确定模块包括：身份确定单元，用于通过会话进程与用户交互，确定用户身份；角色确定单元，用于根据所述身份确定单元确定的用户身份与所述用户所属角色之间的对应关系，确定所述用户所属角色；访问权限确定单元，用于根据所述角色确定单元确定的用户所属角色与所述权限集合之间的对应关系，确定所述用户所属角色对应的访问权限。优选的，所述确定模块还包括：提示单元，用于在所述访问权限确定单元确定所述用户所属角色不具有访问所述权限集合的访问权限时，将访问权限确定单元的确定结果反馈至用户。优选的，所述确定模块还包括：特别授权单元，用于根据接收的所述用户发送的特别授权请求，为所述用户授予不基于用户所属角色访问所述权限集合的访问权限。-->从以上所述可以看出，本专利技术提供的用户权限管理方法及装置，通过在系统资源发生变化时，更新扩展后的基于角色的访问控制RBAC模型中，独立于权限类别集合的资源集合中的资源，并利用更新后的资源集合更新权限集合；确定用户访问更新后的所述权限集合的访问权限；基于确定的所述用户的访问权限，对所述用户发送的访问请求进行权限管理控制。从而使系统的权限集合可以适应系统资源集合的动态调整，而且还可以使系统为用户授权更加灵活。附图说明图1为现有技术中RBAC模型结构示意图；图2为本专利技术实施例提供的RBAC模型结构示意图；图3为本专利技术实施例提供的RBAC模型所涉及的封装格式示意图；图4为本专利技术实施例提供的用户权限管理方法具体实现流程图一；图5为本专利技术实施例提供的用户权限管理方法生成用户权限流程图；图6为本专利技术实施例提供的用户权限管理方法具体实现流程图二；图7为本专利技术实施例提供的用户权限管理装置具体实现结构示意图；图8为本专利技术实施例提供的用户权限管理装置中确定模块具体实现结构示意图。具体实施方式本专利技术中提供了一种系统资源可动态管理的扩展RBAC模型，具体可如附图2所示。针对现有的RBAC模型通常是把系统中的权限集合进行了固定的限制，即把系统的资源(功能)集合以及施加于其上的权限类别集合(即操作类别集合)进行了绑定，作为系统的权限集合，从而导致现有RBAC模型不具有灵活性的问题，本专利技术实施例提供了如附图2所示的扩展RBAC模型，该RMAC模型中，将权限集合分解成图2右侧虚线方框内的两个独立设置部分：权限类别集合与资源集合，使得权限集合由这两部分组合构成。这样，当系统的资源集合随着用户需求变化而动态调整时，权限集合也会相应的动态调整。具体的，当系统新增一个资源F(F可假设是个页面等)时，则系统可以将资源F添加至资源集合中，更新独立设置的资源集合中的资源。并且，系统还可以将独立设置的权限类别集合中，与资源F对应的操作权限类别，如增加、删除、修改等操作加载至资源F上，即增加对资源F的增加、删除、修改等操作权限。由于资源集合是独立于权限类别集合设置的，因此，资源集合的变动，并不会影响权限类别集合，这样，由更新后的资源集合与权限类别集合组合，构成更新后的系统权限集合，即利用更新后的资源集合，更新权限集合。由于权限类别集合中的操作权限类别存在唯一的编码，所以可根据资源的前缀编码来判断新增加的资源需要加载哪些权限类别集合中的操作权限类别。比如增加、删除、修改的操作分别对应1、2、3的编码，而系统新增加的资源的前缀编码为1、2、3，则系统为新增加的资源加本文档来自技高网...

【技术保护点】
一种用户权限管理方法，其特征在于，包括：在系统资源发生变化时，更新扩展后的基于角色的访问控制ＲＢＡＣ模型中，独立于权限类别集合的资源集合中的资源，并利用更新后的资源集合更新权限集合；确定用户访问更新后的所述权限集合的访问权限；基于确定的所述用户的访问权限，对所述用户发送的访问请求进行权限管理控制。

【技术特征摘要】
1.一种用户权限管理方法，其特征在于，包括：在系统资源发生变化时，更新扩展后的基于角色的访问控制RBAC模型中，独立于权限类别集合的资源集合中的资源，并利用更新后的资源集合更新权限集合；确定用户访问更新后的所述权限集合的访问权限；基于确定的所述用户的访问权限，对所述用户发送的访问请求进行权限管理控制。2.如权利请求1所述的方法，其特征在于，所述在系统资源发生变化时，更新扩展后的基于角色的访问控制RBAC模型中，独立于权限类别集合的资源集合中的资源，并利用更新后的资源集合更新权限集合的过程中，包括增加系统资源流程和删减系统资源流程，其中，所述增加系统资源流程包括：将增加的系统资源添加至资源集合中，更新所述资源集合中的资源；根据所述增加的系统资源对应的操作权限类别编码，将权限类别集合中对应的操作权限类别加载至所述增加的系统资源；将所述更新后的资源集合与权限类别集合组合，构成更新后的权限集合；所述删减系统资源流程包括：将减少的系统资源从资源集合中删除，更新所述资源集合中的资源；将所述更新后的资源集合与权限类别集合组合，构成更新后的权限集合。3.如权利请求1所述的方法，其特征在于，所述确定用户访问更新后的所述权限集合的访问权限包括：通过会话进程与用户交互，确定用户身份；根据确定的所述用户身份与所述用户所属角色之间的对应关系，确定所述用户所属角色；根据确定的所述用户所属角色与所述权限集合之间的对应关系，确定所述用户所属角色对应的访问权限。4.如权利要求3所述的方法，其特征在于，若根据确定的所述用户所属角色与所述权限集合之间的对应关系，确定所述用户所属角色不具有访问所述权限集合的访问权限，则所述方法还包括：将用户所属角色不具有访问所述权限集合的访问权限的确定结果反馈至用...

【专利技术属性】
技术研发人员：陈文斌，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：94