CN106126706B - 一种基于角色的资源范围控制方法 - Google Patents
一种基于角色的资源范围控制方法 Download PDFInfo
- Publication number
- CN106126706B CN106126706B CN201610508662.9A CN201610508662A CN106126706B CN 106126706 B CN106126706 B CN 106126706B CN 201610508662 A CN201610508662 A CN 201610508662A CN 106126706 B CN106126706 B CN 106126706B
- Authority
- CN
- China
- Prior art keywords
- resource
- scope
- role
- data
- rbac
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 11
- 238000010586 diagram Methods 0.000 description 3
- 230000018199 S phase Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及软件权限设计技术领域,尤其是一种基于角色的资源范围控制方法。本发明以RBAC的思路建立数据表,追加了角色资源范围表;在客户端调用服务端接口的时候,首先判断是否有该功能权限,如果没有该功能权限就报错并返回;如果有该功能权限,则根据角色的资源范围,在SQL上追加限制;自建资源的话只返回自己建立的数据,全部资源的话返回全部数据。本发明将资源范围限制整合到RBAC当中,使资源范围具有了可定义的特性,***的管理员能够更灵活地控制每个人的可见范围,适用于所有需要进行资源范围控制的***软件。
Description
技术领域
本发明涉及软件权限设计技术领域,尤其是一种基于角色的资源范围控制方法。
技术背景
在***软件的权限设计里,RBAC(基于角色的访问控制)是一套为人熟知的方案,它可以控制功能权限,即控制用户能不能看见某个功能、能不能访问某个接口。但是如果想控制有些人只能看自己的数据、有些人能看自己和下属的数据、有些人能看全部人的数据。在RBAC(基于角色的访问控制)是做不到的。
发明内容
本发明解决的技术问题在于提供一种基于角色的资源范围控制方法,通过将RBAC扩展到RBRC(基于角色的资源范围控制),解决RBAC无法控制资源范围的问题。
本发明解决上述技术问题的技术方案,
所述的方法包括以下步骤:
步骤1:根据RBAC的要求建立数据表,然后追加角色资源范围表;
步骤2:在客户端调用服务端接口时,首先判断是否有该功能权限,如果没有该功能权限就报错并返回;如果有该功能权限,则根据角色的资源范围,在SQL上追加限制;
步骤3:向数据库查询数据,自建资源则只返回自己建立的数据,全部资源则返回全部数据;
步骤4:将数据返回到客户端。
在追加角色资源范围表后,可根据实际需要再追加用户关系表;此时,在向数据库查询数据时,部分资源则返回自己跟下属的数据。
所述RBAC是基于角色的访问控制;是一功能权限控制的方案;功能权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限,简化权限管理;
所述根据RBAC的要求建立数据表,是指用户跟角色多对多关联、角色跟权限多对多关联;
所述角色资源范围表,用于记录角色拥有的资源范围:自建、部分、全部;部分为可选择方式;
所述用户关系表,用于记录用户的上级,在进行资源范围控制的时候,“部分资源”需要用到。
所述根据角色的资源范围在SQL追加限制,是指在非RBRC模式的查询SQL后面,根据角色的资源范围,追加一个查询条件,此查询条件作用于数据的拥有者。
所述自建资源,是指当前用户创建的资源;
所述部分资源,是指当前用户创建的资源以及下属创建的资源;
所述全部资源,是指***所有人创建的资源。
本发明通过将RBAC扩展到RBRC,解决了RBAC(基于角色的访问控制)无法控制资源范围的问题,使得资源范围变得跟功能权限一样,具有了可定义的 特性,让***的管理员能够更灵活地控制每个人的可见范围,适用于所有需要进行资源范围控制的***软件。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明的流程图;
图2为本发明的RBAC基础实体关系图;
图3为本发明RBRC改进后的实体关系图。
具体实施方式
见附图1-3所示,本发明的方法按照如下具体步骤实施:
1、按RBAC(基于角色的访问控制)建立数据表。如图1所示。
2、追加角色的资源范围表,用于记录角色拥有的资源范围:自建、部分(可选)、全部;按需要还可以追加用户关系表用于记录用户的上级,在进行资源范围控制的时候,“部分资源”需要用到。构成了RBRC的实体关系图,如图2所示。
3、功能权限和资源范围的相关SQL如下(问号替换成实际ID):
4、在客户端调用服务端接口的时候,首先判断是否有该功能权限,如果没有该功能权限就报错并返回;如果有该功能权限,则根据角色的资源范围,在SQL上追加限制,自建资源的话只返回自己建立的数据,部分资源(如果有用户关系表)的话返回自己跟下属的数据,全部资源的话返回全部数据。以请假单为例,示范SQL如下(问号替换成实际ID):
5、最后,将SQL传到向数据库进行查询,并向客户端返回查询结果。
Claims (3)
1.一种基于角色的资源范围控制方法,其特征在于,所述的方法包括以下步骤:
步骤1:根据RBAC的要求建立数据表,然后追加角色资源范围表;
步骤2:在客户端调用服务端接口时,首先判断是否有功能权限,如果没有功能权限就报错并返回;如果有功能权限,则根据角色的资源范围,在SQL上追加限制;
步骤3:向数据库查询数据,自建资源则只返回自己建立的数据,全部资源则返回全部数据;
步骤4:将数据返回到客户端;
在追加角色资源范围表后,可根据实际需要再追加用户关系表;此时,在向数据库查询数据时,部分资源则返回自己跟下属的数据;
所述RBAC是基于角色的访问控制;是一功能权限控制的方案;功能权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限,简化权限管理;
所述根据RBAC的要求建立数据表,是指用户跟角色多对多关联、角色跟权限多对多关联;
所述角色资源范围表,用于记录角色拥有的资源范围:自建、部分、全部;部分为可选择方式;
所述用户关系表,用于记录用户的上级,在进行资源范围控制的时候,“部分资源”需要用到。
2.根据权利要求1所述的基于角色的资源范围控制方法,其特征在于:所述根据角色的资源范围在SQL追加限制,是指在非RBRC模式的查询SQL后面,根据角色的资源范围,追加一个查询条件,此查询条件作用于数据的拥有者。
3.根据权利要求1或2所述的基于角色的资源范围控制方法,其特征在于:
所述自建资源,是指当前用户创建的资源;
所述部分资源,是指当前用户创建的资源以及下属创建的资源;
所述全部资源,是指***所有人创建的资源。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610508662.9A CN106126706B (zh) | 2016-06-30 | 2016-06-30 | 一种基于角色的资源范围控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610508662.9A CN106126706B (zh) | 2016-06-30 | 2016-06-30 | 一种基于角色的资源范围控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106126706A CN106126706A (zh) | 2016-11-16 |
CN106126706B true CN106126706B (zh) | 2019-05-21 |
Family
ID=57467767
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610508662.9A Active CN106126706B (zh) | 2016-06-30 | 2016-06-30 | 一种基于角色的资源范围控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106126706B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107707572A (zh) * | 2017-11-21 | 2018-02-16 | 国云科技股份有限公司 | 一种基于角色的web安全访问控制方法 |
CN107911465A (zh) * | 2017-11-28 | 2018-04-13 | 国云科技股份有限公司 | 一种多云平台的资源粒度过滤方法 |
CN113656442A (zh) * | 2021-08-04 | 2021-11-16 | 南京图菱视频科技有限公司 | 基于关系数据模型的业务平台资源访问控制方法及*** |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101320373A (zh) * | 2008-06-13 | 2008-12-10 | 华中科技大学 | 网站支撑数据库安全搜索引擎*** |
CN101453357A (zh) * | 2007-12-05 | 2009-06-10 | ***通信集团公司 | 一种网络管理控制方法与网络管理控制*** |
CN101631116A (zh) * | 2009-08-10 | 2010-01-20 | 中国科学院地理科学与资源研究所 | 一种分布式双重授权及访问控制方法和*** |
CN102346115A (zh) * | 2010-08-03 | 2012-02-08 | 同济大学 | 一种消除偏心弯矩的轴向拉伸试验铰机构 |
US9280646B1 (en) * | 2013-12-17 | 2016-03-08 | Vce Company, Llc | Methods, systems, and computer readable mediums for role-based access control involving one or more converged infrastructure systems |
-
2016
- 2016-06-30 CN CN201610508662.9A patent/CN106126706B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101453357A (zh) * | 2007-12-05 | 2009-06-10 | ***通信集团公司 | 一种网络管理控制方法与网络管理控制*** |
CN101320373A (zh) * | 2008-06-13 | 2008-12-10 | 华中科技大学 | 网站支撑数据库安全搜索引擎*** |
CN101631116A (zh) * | 2009-08-10 | 2010-01-20 | 中国科学院地理科学与资源研究所 | 一种分布式双重授权及访问控制方法和*** |
CN102346115A (zh) * | 2010-08-03 | 2012-02-08 | 同济大学 | 一种消除偏心弯矩的轴向拉伸试验铰机构 |
US9280646B1 (en) * | 2013-12-17 | 2016-03-08 | Vce Company, Llc | Methods, systems, and computer readable mediums for role-based access control involving one or more converged infrastructure systems |
Also Published As
Publication number | Publication date |
---|---|
CN106126706A (zh) | 2016-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA2912529C (en) | Implicitly linking access policies using group names | |
CN105072135A (zh) | 一种云文件共享的授权鉴权方法及*** | |
GB2564207A (en) | A method and system for controlling the performance of a contract using a distributed hash table and a peer-to-peer distributed ledger | |
CN106126706B (zh) | 一种基于角色的资源范围控制方法 | |
JP2021527349A (ja) | サービス加入者のプライバシのためのデータ匿名化 | |
RU2005136461A (ru) | Способ и система для контроля доступа к информации о присутствии на равноправной основе | |
WO2012122362A3 (en) | System and method for providing recommendations with a location-based service | |
CN103593602A (zh) | 一种用户权限管理方法和*** | |
CN107292526A (zh) | 工程企业信息管理*** | |
US11126460B2 (en) | Limiting folder and link sharing | |
WO2018237040A3 (en) | Systems and methods for management of inventory audits | |
CN105634916A (zh) | 基于树形聊天群组织的管理方法 | |
CN105656949A (zh) | 一种网络文件***的访问权限控制方法及*** | |
CN105653982A (zh) | 用于数据权限控制的方法和*** | |
CN104917793A (zh) | 一种访问控制方法、装置及*** | |
CN105472547B (zh) | 一种保护用户位置隐私的方法、终端以及*** | |
MX2019009873A (es) | Descubrimiento de servicios utilizando concordancia de atributos. | |
CN104506630B (zh) | 基于用户角色的权限数据生成方法、服务器及*** | |
Ulbricht et al. | CoMaFeDS: Consent management for federated data sources | |
CN105069012B (zh) | 一种文件访问方法及*** | |
CN106228335A (zh) | 人力资源管理*** | |
CN110472111A (zh) | 权限管理、用户权限查询以及资源信息授权方法 | |
CN109033810A (zh) | 一种权限管理*** | |
CN108388809A (zh) | 一种数据范围控制方法和*** | |
CN107172098A (zh) | 一种cifs共享的权限管理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 523808 19th Floor, Cloud Computing Center, Chinese Academy of Sciences, No. 1 Kehui Road, Songshan Lake Hi-tech Industrial Development Zone, Dongguan City, Guangdong Province Applicant after: G-Cloud Technology Co., Ltd. Address before: 523808 No. 14 Building, Songke Garden, Songshan Lake Science and Technology Industrial Park, Dongguan City, Guangdong Province Applicant before: G-Cloud Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |