CN106126706B - 一种基于角色的资源范围控制方法 - Google Patents

一种基于角色的资源范围控制方法 Download PDF

Info

Publication number
CN106126706B
CN106126706B CN201610508662.9A CN201610508662A CN106126706B CN 106126706 B CN106126706 B CN 106126706B CN 201610508662 A CN201610508662 A CN 201610508662A CN 106126706 B CN106126706 B CN 106126706B
Authority
CN
China
Prior art keywords
resource
scope
role
data
rbac
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610508662.9A
Other languages
English (en)
Other versions
CN106126706A (zh
Inventor
梁炜平
杨松
季统凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
G Cloud Technology Co Ltd
Original Assignee
G Cloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by G Cloud Technology Co Ltd filed Critical G Cloud Technology Co Ltd
Priority to CN201610508662.9A priority Critical patent/CN106126706B/zh
Publication of CN106126706A publication Critical patent/CN106126706A/zh
Application granted granted Critical
Publication of CN106126706B publication Critical patent/CN106126706B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及软件权限设计技术领域,尤其是一种基于角色的资源范围控制方法。本发明以RBAC的思路建立数据表,追加了角色资源范围表;在客户端调用服务端接口的时候,首先判断是否有该功能权限,如果没有该功能权限就报错并返回;如果有该功能权限,则根据角色的资源范围,在SQL上追加限制;自建资源的话只返回自己建立的数据,全部资源的话返回全部数据。本发明将资源范围限制整合到RBAC当中,使资源范围具有了可定义的特性,***的管理员能够更灵活地控制每个人的可见范围,适用于所有需要进行资源范围控制的***软件。

Description

一种基于角色的资源范围控制方法
技术领域
本发明涉及软件权限设计技术领域,尤其是一种基于角色的资源范围控制方法。
技术背景
在***软件的权限设计里,RBAC(基于角色的访问控制)是一套为人熟知的方案,它可以控制功能权限,即控制用户能不能看见某个功能、能不能访问某个接口。但是如果想控制有些人只能看自己的数据、有些人能看自己和下属的数据、有些人能看全部人的数据。在RBAC(基于角色的访问控制)是做不到的。
发明内容
本发明解决的技术问题在于提供一种基于角色的资源范围控制方法,通过将RBAC扩展到RBRC(基于角色的资源范围控制),解决RBAC无法控制资源范围的问题。
本发明解决上述技术问题的技术方案,
所述的方法包括以下步骤:
步骤1:根据RBAC的要求建立数据表,然后追加角色资源范围表;
步骤2:在客户端调用服务端接口时,首先判断是否有该功能权限,如果没有该功能权限就报错并返回;如果有该功能权限,则根据角色的资源范围,在SQL上追加限制;
步骤3:向数据库查询数据,自建资源则只返回自己建立的数据,全部资源则返回全部数据;
步骤4:将数据返回到客户端。
在追加角色资源范围表后,可根据实际需要再追加用户关系表;此时,在向数据库查询数据时,部分资源则返回自己跟下属的数据。
所述RBAC是基于角色的访问控制;是一功能权限控制的方案;功能权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限,简化权限管理;
所述根据RBAC的要求建立数据表,是指用户跟角色多对多关联、角色跟权限多对多关联;
所述角色资源范围表,用于记录角色拥有的资源范围:自建、部分、全部;部分为可选择方式;
所述用户关系表,用于记录用户的上级,在进行资源范围控制的时候,“部分资源”需要用到。
所述根据角色的资源范围在SQL追加限制,是指在非RBRC模式的查询SQL后面,根据角色的资源范围,追加一个查询条件,此查询条件作用于数据的拥有者。
所述自建资源,是指当前用户创建的资源;
所述部分资源,是指当前用户创建的资源以及下属创建的资源;
所述全部资源,是指***所有人创建的资源。
本发明通过将RBAC扩展到RBRC,解决了RBAC(基于角色的访问控制)无法控制资源范围的问题,使得资源范围变得跟功能权限一样,具有了可定义的 特性,让***的管理员能够更灵活地控制每个人的可见范围,适用于所有需要进行资源范围控制的***软件。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明的流程图;
图2为本发明的RBAC基础实体关系图;
图3为本发明RBRC改进后的实体关系图。
具体实施方式
见附图1-3所示,本发明的方法按照如下具体步骤实施:
1、按RBAC(基于角色的访问控制)建立数据表。如图1所示。
2、追加角色的资源范围表,用于记录角色拥有的资源范围:自建、部分(可选)、全部;按需要还可以追加用户关系表用于记录用户的上级,在进行资源范围控制的时候,“部分资源”需要用到。构成了RBRC的实体关系图,如图2所示。
3、功能权限和资源范围的相关SQL如下(问号替换成实际ID):
4、在客户端调用服务端接口的时候,首先判断是否有该功能权限,如果没有该功能权限就报错并返回;如果有该功能权限,则根据角色的资源范围,在SQL上追加限制,自建资源的话只返回自己建立的数据,部分资源(如果有用户关系表)的话返回自己跟下属的数据,全部资源的话返回全部数据。以请假单为例,示范SQL如下(问号替换成实际ID):
5、最后,将SQL传到向数据库进行查询,并向客户端返回查询结果。

Claims (3)

1.一种基于角色的资源范围控制方法,其特征在于,所述的方法包括以下步骤:
步骤1:根据RBAC的要求建立数据表,然后追加角色资源范围表;
步骤2:在客户端调用服务端接口时,首先判断是否有功能权限,如果没有功能权限就报错并返回;如果有功能权限,则根据角色的资源范围,在SQL上追加限制;
步骤3:向数据库查询数据,自建资源则只返回自己建立的数据,全部资源则返回全部数据;
步骤4:将数据返回到客户端;
在追加角色资源范围表后,可根据实际需要再追加用户关系表;此时,在向数据库查询数据时,部分资源则返回自己跟下属的数据;
所述RBAC是基于角色的访问控制;是一功能权限控制的方案;功能权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限,简化权限管理;
所述根据RBAC的要求建立数据表,是指用户跟角色多对多关联、角色跟权限多对多关联;
所述角色资源范围表,用于记录角色拥有的资源范围:自建、部分、全部;部分为可选择方式;
所述用户关系表,用于记录用户的上级,在进行资源范围控制的时候,“部分资源”需要用到。
2.根据权利要求1所述的基于角色的资源范围控制方法,其特征在于:所述根据角色的资源范围在SQL追加限制,是指在非RBRC模式的查询SQL后面,根据角色的资源范围,追加一个查询条件,此查询条件作用于数据的拥有者。
3.根据权利要求1或2所述的基于角色的资源范围控制方法,其特征在于:
所述自建资源,是指当前用户创建的资源;
所述部分资源,是指当前用户创建的资源以及下属创建的资源;
所述全部资源,是指***所有人创建的资源。
CN201610508662.9A 2016-06-30 2016-06-30 一种基于角色的资源范围控制方法 Active CN106126706B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610508662.9A CN106126706B (zh) 2016-06-30 2016-06-30 一种基于角色的资源范围控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610508662.9A CN106126706B (zh) 2016-06-30 2016-06-30 一种基于角色的资源范围控制方法

Publications (2)

Publication Number Publication Date
CN106126706A CN106126706A (zh) 2016-11-16
CN106126706B true CN106126706B (zh) 2019-05-21

Family

ID=57467767

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610508662.9A Active CN106126706B (zh) 2016-06-30 2016-06-30 一种基于角色的资源范围控制方法

Country Status (1)

Country Link
CN (1) CN106126706B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107707572A (zh) * 2017-11-21 2018-02-16 国云科技股份有限公司 一种基于角色的web安全访问控制方法
CN107911465A (zh) * 2017-11-28 2018-04-13 国云科技股份有限公司 一种多云平台的资源粒度过滤方法
CN113656442A (zh) * 2021-08-04 2021-11-16 南京图菱视频科技有限公司 基于关系数据模型的业务平台资源访问控制方法及***

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101320373A (zh) * 2008-06-13 2008-12-10 华中科技大学 网站支撑数据库安全搜索引擎***
CN101453357A (zh) * 2007-12-05 2009-06-10 ***通信集团公司 一种网络管理控制方法与网络管理控制***
CN101631116A (zh) * 2009-08-10 2010-01-20 中国科学院地理科学与资源研究所 一种分布式双重授权及访问控制方法和***
CN102346115A (zh) * 2010-08-03 2012-02-08 同济大学 一种消除偏心弯矩的轴向拉伸试验铰机构
US9280646B1 (en) * 2013-12-17 2016-03-08 Vce Company, Llc Methods, systems, and computer readable mediums for role-based access control involving one or more converged infrastructure systems

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101453357A (zh) * 2007-12-05 2009-06-10 ***通信集团公司 一种网络管理控制方法与网络管理控制***
CN101320373A (zh) * 2008-06-13 2008-12-10 华中科技大学 网站支撑数据库安全搜索引擎***
CN101631116A (zh) * 2009-08-10 2010-01-20 中国科学院地理科学与资源研究所 一种分布式双重授权及访问控制方法和***
CN102346115A (zh) * 2010-08-03 2012-02-08 同济大学 一种消除偏心弯矩的轴向拉伸试验铰机构
US9280646B1 (en) * 2013-12-17 2016-03-08 Vce Company, Llc Methods, systems, and computer readable mediums for role-based access control involving one or more converged infrastructure systems

Also Published As

Publication number Publication date
CN106126706A (zh) 2016-11-16

Similar Documents

Publication Publication Date Title
CA2912529C (en) Implicitly linking access policies using group names
CN105072135A (zh) 一种云文件共享的授权鉴权方法及***
GB2564207A (en) A method and system for controlling the performance of a contract using a distributed hash table and a peer-to-peer distributed ledger
CN106126706B (zh) 一种基于角色的资源范围控制方法
JP2021527349A (ja) サービス加入者のプライバシのためのデータ匿名化
RU2005136461A (ru) Способ и система для контроля доступа к информации о присутствии на равноправной основе
WO2012122362A3 (en) System and method for providing recommendations with a location-based service
CN103593602A (zh) 一种用户权限管理方法和***
CN107292526A (zh) 工程企业信息管理***
US11126460B2 (en) Limiting folder and link sharing
WO2018237040A3 (en) Systems and methods for management of inventory audits
CN105634916A (zh) 基于树形聊天群组织的管理方法
CN105656949A (zh) 一种网络文件***的访问权限控制方法及***
CN105653982A (zh) 用于数据权限控制的方法和***
CN104917793A (zh) 一种访问控制方法、装置及***
CN105472547B (zh) 一种保护用户位置隐私的方法、终端以及***
MX2019009873A (es) Descubrimiento de servicios utilizando concordancia de atributos.
CN104506630B (zh) 基于用户角色的权限数据生成方法、服务器及***
Ulbricht et al. CoMaFeDS: Consent management for federated data sources
CN105069012B (zh) 一种文件访问方法及***
CN106228335A (zh) 人力资源管理***
CN110472111A (zh) 权限管理、用户权限查询以及资源信息授权方法
CN109033810A (zh) 一种权限管理***
CN108388809A (zh) 一种数据范围控制方法和***
CN107172098A (zh) 一种cifs共享的权限管理方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 523808 19th Floor, Cloud Computing Center, Chinese Academy of Sciences, No. 1 Kehui Road, Songshan Lake Hi-tech Industrial Development Zone, Dongguan City, Guangdong Province

Applicant after: G-Cloud Technology Co., Ltd.

Address before: 523808 No. 14 Building, Songke Garden, Songshan Lake Science and Technology Industrial Park, Dongguan City, Guangdong Province

Applicant before: G-Cloud Technology Co., Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant