CN106126977B - 一种高效的电子文档权限继承及传播方法 - Google Patents
一种高效的电子文档权限继承及传播方法 Download PDFInfo
- Publication number
- CN106126977B CN106126977B CN201610477842.5A CN201610477842A CN106126977B CN 106126977 B CN106126977 B CN 106126977B CN 201610477842 A CN201610477842 A CN 201610477842A CN 106126977 B CN106126977 B CN 106126977B
- Authority
- CN
- China
- Prior art keywords
- permission
- node
- configuration
- module
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 230000005540 biological transmission Effects 0.000 title claims abstract description 13
- 238000001914 filtration Methods 0.000 claims abstract description 10
- 238000012217 deletion Methods 0.000 claims description 4
- 230000037430 deletion Effects 0.000 claims description 4
- 230000001360 synchronised effect Effects 0.000 claims description 3
- 238000012827 research and development Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000001174 ascending effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Document Processing Apparatus (AREA)
Abstract
本发明涉及一种高效的电子文档权限继承及传播方法,所述方法需提供一权限配置模块、一权限归集模块和一权限过滤模块,所述方法包括如下步骤:通过权限配置模块对当前文件结构的权限进行规划配置;在***初始化时,权限归集模块将现有的权限信息进行归集,并将节点与权限的对应信息进行绑定保存在内存中;权限过滤模块根据权限归集模块中的权限信息,与当前登录用户进行匹配,匹配成功则赋予当前用户对节点相应的权限,匹配不成功则让节点对当前用户不可见。本发明能够更有效地对文档进行权限配置,既保证可以减轻***管理人员的配置工作,使得配置信息简易明了,又可以灵活地组合配置,让配置实时发挥作用。
Description
技术领域
本发明涉及计算机信息***领域,特别是涉及一种高效的电子文档权限继承及传播方法。
背景技术
现有的对文档访问的权限控制方案基本上分为两种:一种为无继承关系的访问权限控制,即管理员针对需要配置访问权限限制的文档逐个进行访问权限配置,在判断当前***登录人是否对某文档有访问权限时,***取得该文档节点的权限配置集合,与当前***登录人进行匹配,匹配成功则放行,匹配失败则进行过滤,以达到权限控制的目的;另外一种为有继承关系的访问权限控制,在判断当前***登录人是否对某文档有访问权限时,***取得该文档节点的权限配置集合,与当前***登录人进行匹配,若匹配成功则放行,若匹配不成功则继续往该节点的上级节点进行查找,若找到并匹配成功则放行,若找不到则继续往上一级节点进行查找,直到该文档的根目录节点,如果直到根目录都没有查找到与当前用户匹配的访问权限信息,才认为当前用户对该节点没有访问权限。
上述第一种权限控制方案的缺点在于需要配置的信息过多,一般企业级的需求,用于归集共享的文档基本是数以万计的。如果针对每个文档都需要进行配置,会大大增加***管理员的配置工作量,即使利用递归赋予的方式来减少***管理的工作(即比如设置了A文件夹的权限,在***保存时递归对A文件夹的所有子文件和子文件夹赋予同样的权限),而***中保存大量的节点对应的权限信息,无疑会对权限信息的管理和操作带来麻烦,当文档节点增加到一定数量时,势必会增加***的开销,一定程度地降低查询的效率。
上述第二种权限控制方案解决了第一种方案配置工作过多、且***存储配置信息过多的问题。管理员只要在顶层的几个主要节点上配置权限,其下的子节点就会继承到顶层节点的权限信息。然而,上述方式也存在以下几个缺点:由于继承的机制必须是由上到下,层层传播,如果需要设置某一层某一文档节点对某一用户有权限,而该用户对该文档节点的上层节点或者兄弟姊妹Siblings节点不能有权限时,第二种权限控制方案就无法很好地发挥作用。如果从根节点层层往下继承,则上层节点和Siblings节点必然也会继续同样的权限,如果不从根节点往下继承,直接对目标节点进行设置,则会造成用户因为上层节点未设置而无法看到上层节点的情况发生,此时针对该目标节点的设置对于用户而言没有任何意义。
综上所述,现有的文档权限控制方案,或不能简洁地进行配置,或不能灵活方便地达到配置目的,难免都存在各自的问题。
有鉴于此,本发明人专门设计了一种高效的电子文档权限继承及传播方法,本案由此产生。
发明内容
本发明的目的在于提供一种高效的电子文档权限继承及传播方法,以灵活方便地进行权限配置,令文档的配置信息简易明了。
为了实现上述目的,本发明采用的技术方案如下:
一种高效的电子文档权限继承及传播方法,所述方法需提供一权限配置模块、一权限归集模块和一权限过滤模块,所述方法包括如下步骤:
S01:通过权限配置模块对当前文件结构的权限进行规划配置;
S02:在***初始化时,权限归集模块将现有的权限信息进行归集,并将节点与权限的对应信息进行绑定保存在内存中;
S03:权限过滤模块根据权限归集模块中的权限信息,与当前登录用户进行匹配,匹配成功则赋予当前用户对节点相应的权限,匹配不成功则让节点对当前用户不可见。
所述步骤S01中,权限的配置维度包括用户、角色和部门。
所述步骤S01中,权限的种类包括列表、只读、打印、下载、编辑、删除和权限分配。
所述步骤S02中,当权限配置信息变更时,立即同步更新数据库和内存中的权限信息。
所述步骤S02中,在权限信息归集时,对除根节点外的所有节点进行权限配置时,生成一条权限信息中用户到此节点的可见通道。
所述步骤S03中,在匹配权限信息时,从权限的配置维度出发,需要遵循以下的优先级:越精确或者颗粒度越小的权限配置优先级越高。
所述步骤S03中,在匹配权限信息时,从文档节点的上下级结构出发,需要遵循以下的优先级:离判断节点越近的权限配置优先级越高。
所述步骤S03中,在使用归集的权限信息过滤了节点之后,最终还要利用内存中可见节点集合再过滤一次当前用户的可见节点集合。
采用上述方案后,本发明在权限信息归集时将所有的节点对应权限信息都保存到内存中,提高了查询和匹配的效率,并从所有的节点对应权限信息中生成了一个***所有用户可见节点的集合,使得任意层的权限配置都可以对用户发生作用,能够更有效地对文档进行权限配置,既保证可以减轻***管理人员的配置工作,使得配置信息简易明了,又可以灵活地组合配置,让配置实时发挥作用。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明的流程示意图;
图2是本发明的原理图。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白,以下结合附图和实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
如图1和图2所示,本发明提供一种高效的电子文档权限继承及传播方法,该方法需提供一权限配置模块、一权限归集模块和一权限过滤模块,该方法包括如下步骤:
S01:通过权限配置模块对当前文件结构的权限进行规划配置;
S02:在***初始化时,权限归集模块将现有的权限信息进行归集,并将节点与权限的对应信息进行绑定保存在内存中;
S03:权限过滤模块根据权限归集模块中的权限信息,与当前登录用户进行匹配,匹配成功则赋予当前用户对节点相应的权限,匹配不成功则让节点对当前用户不可见。
权限配置模块需要***管理员登录***,对当前文档结构的权限进行规划,配置的步骤可以是从上到下的,配置的规则是权限的范围要由小到大。比如根节点的权限尽量设置少且小,如果根节点的权限一开始就是大而全的配置,则由于继承的关系,子节点都继承了相应的权限,就做不到较好的权限控制了。
在上述步骤S01中,权限配置模块配置的维度包括用户、角色和部门。
其中,权限的种类有多种,具体包括列表、只读、打印、下载、编辑、删除和权限分配。
列表权限:即指对某个节点是否可见的权限。
只读权限:即指对某个文档是否可以预览、查看信息权限。如果赋值对象为文件夹,则等同列表权限。
打印权限:即指对某个文档是否可以进行打印操作的权限。
下载权限:即指对某个节点是否可以进行下载的权限。
编辑权限:即指对某个节点是否可进行编辑、更新及重命名等操作的权限。
删除权限:即指对某个节点是否可进行删除操作的权限
权限分配权限:即指对某个节点是否可以进行权限再分配操作的权限。
在步骤S02中,权限归集模块在***初始化时,将现有的权限信息进行归集。为了提高权限的判断效率,将节点与权限的对应信息进行绑定,且保存在内存中,当管理员或用户进行权限信息变更时,立即同步更新数据库和内存中的权限信息。
与此同时,为了解决传统的权限控制方案无法使得单独在某一层级的配置生效的问题,本发明在权限信息归集的时候,增加一个步骤,即对除根节点外的所有节点进行权限配置时,生成一条权限信息中用户到此节点的可见通道。比如:在节点路径为“根节点/节点A/节点B/节点C”的第四层节点C中配置了一条用户user1的权限信息,而根节点、节点A和节点B均没有配置任何权限。此时,需要在***内存中保存一条用户user1由根节点到节点C路径上的可见通道,即在***内存中保存一个集合,该集合包含了用户user1的所有可见节点,当配置了节点C的权限之后,用户user1的可见节点集合中就加入节点A、B。如此,结合权限过滤模块即可实现任意层的权限配置对用户均有效。
另外,在步骤S02中,当管理员或用户进行权限信息变更时,也需要立即更新***内存中的用户可见节点信息。
在本实施例中,权限过滤模块为最终输出结果的模块,该模块根据管理员或用户配置归集而来的权限信息,与当前登录用户进行匹配,匹配成功则赋予当前用户对节点相应的权限信息,匹配不成功则让节点对当前用户不可见。
所述步骤S03中,在匹配权限信息时,若从配置的维度出发,需要遵循以下的优先级:越精确或者颗粒度越小的权限配置优先级越高。具体表现为:用户的权限>角色的权限>部门的权限。比如:给节点A配置了用户user1(用户)、用户组(角色)和研发部(部门)的权限,而用户user1刚好既属于用户组,又属于研发部。用户user1的权限配置中有只读、下载权限,用户组配置的权限中有删除权限,研发部配置的权限中有编辑权限。此时,根据权限的优先级关系,优先取user1用户的权限配置,user1用户对节点A只有只读、下载的权限。
若从文档节点的上下级结构出发,还要遵循这样的优先级:离判断节点越近的权限配置优先级越高。比如,在判断用户user1对节点A的权限时,如果节点A已经配置有用户user1,或者用户user1所在角色或部门的权限时,则优先取节点A上的配置。如果没有,则继续往节点A的父节点上找直到根节点,以最先找到的user1用户的有效权限信息为准,这样就保证了权限信息的继承,但需要注意的是优先级是自下而上的。
进一步地,在步骤S03中,除开这些基本设定的判断规则之外,本发明最重要的一点是内存中可见节点集合的使用,在使用归集的权限信息过滤了节点之后,最终还要利用内存中可见节点集合再过滤一次当前用户的可见节点集合。比如:根节点下有A、B、C、D四个节点,其中***管理员配置了登录用户user1对节点A、B的权限,而没有配置节点C、D的权限,则***首先根据归集的配置权限集合过滤出节点A、B对user1为可见节点,且分别赋予各自节点相应的权限;其次,对于节点C、D,在用户user1的可见节点集合中再一次进行匹配,如果发现节点C、D中有节点为用户user1的可见节点,则同样作为用户user1的可见节点进行返回,权限设置为最低的“列表权限”,这样就可以避免节点C、D的子孙节点中因配置有对user1的权限而造成节点C、D被遗漏的情况。
综上,根据归集权限集合和可见节点集合层层过滤即可形成一颗完整的用户对应的可操作的节点树,从而达到文档权限安全管控的最终目的。
本发明在权限信息归集时将所有的节点对应权限信息都保存到内存中,提高了查询和匹配的效率,并从所有的节点对应权限信息中生成了一个***所有用户可见节点的集合,使得任意层的权限配置都可以对用户发生作用,能够更有效地对文档进行权限配置,既保证可以减轻***管理人员的配置工作,使得配置信息简易明了,又可以灵活地组合配置,让配置实时发挥作用。
上述说明示出并描述了本发明的优选实施例,如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (6)
1.一种高效的电子文档权限继承及传播方法,其特征在于:所述方法需提供一权限配置模块、一权限归集模块和一权限过滤模块,所述方法包括如下步骤:
S01:通过权限配置模块对当前文件结构的权限进行规划配置;
S02:在***初始化时,权限归集模块将现有的权限信息进行归集,并将节点与权限的对应信息进行绑定保存在内存中;所述步骤S02中,在权限信息归集时,对除根节点外的所有节点进行权限配置时,生成一条权限信息中用户到此节点的可见通道;
S03:权限过滤模块根据权限归集模块中的权限信息,与当前登录用户进行匹配,匹配成功则赋予当前用户对节点相应的权限,匹配不成功则让节点对当前用户不可见,所述步骤S03中,在使用归集的权限信息过滤了节点之后,最终还要利用内存中可见节点集合再过滤一次当前用户的可见节点集合。
2.根据权利要求1所述的一种高效的电子文档权限继承及传播方法,其特征在于:所述步骤S01中,权限的配置维度包括用户、角色和部门。
3.根据权利要求1所述的一种高效的电子文档权限继承及传播方法,其特征在于:所述步骤S01中,权限的种类包括列表、只读、打印、下载、编辑、删除和权限分配。
4.根据权利要求1所述的一种高效的电子文档权限继承及传播方法,其特征在于:所述步骤S02中,当权限配置信息变更时,立即同步更新数据库和内存中的权限信息。
5.根据权利要求1所述的一种高效的电子文档权限继承及传播方法,其特征在于:所述步骤S03中,在匹配权限信息时,从权限的配置维度出发,需要遵循以下的优先级:越精确或者颗粒度越小的权限配置优先级越高。
6.根据权利要求1所述的一种高效的电子文档权限继承及传播方法,其特征在于:所述步骤S03中,在匹配权限信息时,从文档节点的上下级结构出发,需要遵循以下的优先级:离判断节点越近的权限配置优先级越高。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610477842.5A CN106126977B (zh) | 2016-06-26 | 2016-06-26 | 一种高效的电子文档权限继承及传播方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610477842.5A CN106126977B (zh) | 2016-06-26 | 2016-06-26 | 一种高效的电子文档权限继承及传播方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106126977A CN106126977A (zh) | 2016-11-16 |
| CN106126977B true CN106126977B (zh) | 2019-01-11 |
Family
ID=57267192
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610477842.5A Active CN106126977B (zh) | 2016-06-26 | 2016-06-26 | 一种高效的电子文档权限继承及传播方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106126977B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603509B (zh) * | 2016-11-29 | 2020-07-07 | 中科曙光信息技术无锡有限公司 | 一种企业文档管理方法 |
| CN108280361A (zh) * | 2017-01-05 | 2018-07-13 | 珠海金山办公软件有限公司 | 一种权限分级管理方法及装置 |
| CN107483462B (zh) * | 2017-08-30 | 2020-02-14 | 厦门天锐科技股份有限公司 | 一种外发u盘的操作权限管理***及方法 |
| CN107688753A (zh) * | 2017-09-01 | 2018-02-13 | 郑州云海信息技术有限公司 | 一种acl权限控制的方法与装置 |
| CN108595924B (zh) * | 2018-04-28 | 2022-08-02 | 平安科技(深圳)有限公司 | 一种业务权限管理方法、装置、计算机设备及存储介质 |
| CN111680318B (zh) * | 2020-04-28 | 2024-04-16 | 深圳赛安特技术服务有限公司 | Web文件夹权限继承方法、装置及计算机设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101539922A (zh) * | 2008-03-18 | 2009-09-23 | 北京书生国际信息技术有限公司 | 一种文档库***的权限实现方法 |
| CN102402652A (zh) * | 2010-09-16 | 2012-04-04 | 金蝶软件(中国)有限公司 | 一种权限控制的方法、***及终端 |
| US8438611B2 (en) * | 2007-10-11 | 2013-05-07 | Varonis Systems Inc. | Visualization of access permission status |
| CN105335669A (zh) * | 2015-11-24 | 2016-02-17 | 南京大全自动化科技有限公司 | 一种用于光伏监控***的权限配置方法及*** |
| CN105608366A (zh) * | 2014-11-18 | 2016-05-25 | 华为软件技术有限公司 | 用户权限控制方法和装置 |
-
2016
- 2016-06-26 CN CN201610477842.5A patent/CN106126977B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8438611B2 (en) * | 2007-10-11 | 2013-05-07 | Varonis Systems Inc. | Visualization of access permission status |
| CN101539922A (zh) * | 2008-03-18 | 2009-09-23 | 北京书生国际信息技术有限公司 | 一种文档库***的权限实现方法 |
| CN102402652A (zh) * | 2010-09-16 | 2012-04-04 | 金蝶软件(中国)有限公司 | 一种权限控制的方法、***及终端 |
| CN105608366A (zh) * | 2014-11-18 | 2016-05-25 | 华为软件技术有限公司 | 用户权限控制方法和装置 |
| CN105335669A (zh) * | 2015-11-24 | 2016-02-17 | 南京大全自动化科技有限公司 | 一种用于光伏监控***的权限配置方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106126977A (zh) | 2016-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106126977B (zh) | 一种高效的电子文档权限继承及传播方法 | |
| CN109643242B (zh) | 用于多租户hadoop集群的安全设计和架构 | |
| US20020186260A1 (en) | Method and apparatus for display of access control in a graphical user interface | |
| CN103701633B (zh) | 对分布式搜索SolrCloud进行可视化集群应用搭建和维护的*** | |
| US20030188198A1 (en) | Inheritance of controls within a hierarchy of data processing system resources | |
| CN101453357B (zh) | 一种网络管理控制方法与网络管理控制*** | |
| JP2004536381A (ja) | データ処理システムにおける構成変更を管理する方法とシステム | |
| CN114514507A (zh) | 在云基础设施环境中支持配额策略语言的***和方法 | |
| CN105827641A (zh) | 情景感知型动态统一认证方法及*** | |
| CN103593602A (zh) | 一种用户权限管理方法和*** | |
| Gupta et al. | Multi-layer authorization framework for a representative Hadoop ecosystem deployment | |
| CN106790060A (zh) | 一种基于角色访问控制的权限管理方法及装置 | |
| CN105653982A (zh) | 用于数据权限控制的方法和*** | |
| CN110474897A (zh) | 一种档案使用权限管理*** | |
| CN111259378A (zh) | 多租户管理***和多租户管理***的实现方法 | |
| Freeman | Divergent stakeholder theory | |
| CN103441883B (zh) | 一种***用户管理方法 | |
| CN108009422B (zh) | 一种基于多层级用户分组管理的多域划分方法及*** | |
| CN107193949A (zh) | 基于活动目录组织架构的新建组织的方法及*** | |
| CN108415988A (zh) | 一种基于层级和权限的自定义常用搜索***及方法 | |
| CN106790027A (zh) | Hdfs文件***的多租户网盘权限管理方法及*** | |
| CN103793635A (zh) | 一种多级菜单权限的建立方法 | |
| CN104917767B (zh) | 基于rbac模型的家庭业务访问控制方法 | |
| KR100970667B1 (ko) | 시점에 따른 프로세스 사용자 상태 속성에 기반한 강제적접근통제 시스템에서 역할기반 접근통제 시스템으로의보안커널 확장 방법 | |
| Francis | Mastering Active Directory |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |