CN106878325A - 一种确定用户访问权限的方法及装置 - Google Patents

一种确定用户访问权限的方法及装置 Download PDF

Info

Publication number
CN106878325A
CN106878325A CN201710165821.4A CN201710165821A CN106878325A CN 106878325 A CN106878325 A CN 106878325A CN 201710165821 A CN201710165821 A CN 201710165821A CN 106878325 A CN106878325 A CN 106878325A
Authority
CN
China
Prior art keywords
resource
value
role
target
visited
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710165821.4A
Other languages
English (en)
Other versions
CN106878325B (zh
Inventor
丛丛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Runke General Technology Co Ltd
Original Assignee
Beijing Runke General Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Runke General Technology Co Ltd filed Critical Beijing Runke General Technology Co Ltd
Priority to CN201710165821.4A priority Critical patent/CN106878325B/zh
Publication of CN106878325A publication Critical patent/CN106878325A/zh
Application granted granted Critical
Publication of CN106878325B publication Critical patent/CN106878325B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种确定用户访问权限的方法及装置,所述方法包括:响应于目标用户访问目标资源的请求,确定预先赋予所述目标用户的目标角色,其中,所述目标角色为角色集合中的一种用户角色,所述目标资源为资源集合中的一个待访问资源项,所述待访问资源项配置有一资源权限值,所述资源权限值中隐含了每一所述用户角色对所述待访问资源项的当前访问权限;分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。本发明能够在降低权限管理数据的存储空间的基础上,确定用户对***资源的访问权限。

Description

一种确定用户访问权限的方法及装置
技术领域
本发明涉及权限管理技术领域,尤其涉及一种确定用户访问权限的方法及装置。
背景技术
权限管理,一般指根据***设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源,权限管理几乎出现在任何***里,尤指需要用户和密码登陆的***。
基于设置了访问权限的***资源,不同用户具有不同的访问权限,比如,对于同一列表中的每一列表项,被允许的访问权限也不一定完全相同,有的列表项可能允许被所有用户访问,而有的列表项可能只允许被特定的一个或多个用户访问。对于这种多用户多权限的情况,现有技术通常需要分别存储不同用户对不同***资源项的访问权限,这使得需要预存的权限管理数据比较多,导致占用大量的存储空间,特别是在用户以及资源项比较多的情况下。
发明内容
本发明实施例的主要目的在于提供一种确定用户访问权限的方法及装置,能够在降低权限管理数据的存储空间的基础上,确定用户对***资源的访问权限。
本发明实施例提供了一种确定用户访问权限的方法,包括:
响应于目标用户访问目标资源的请求,确定预先赋予所述目标用户的目标角色,其中,所述目标角色为角色集合中的一种用户角色,所述目标资源为资源集合中的一个待访问资源项,所述待访问资源项配置有一资源权限值,所述资源权限值中隐含了每一所述用户角色对所述待访问资源项的当前访问权限;
分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。
可选的,所述当前访问权限为允许访问权限或禁止访问权限;所述方法还包括:
为所述允许访问权限与所述禁止访问权限,分别赋予不同的权限值;
为所述角色集合中的每一用户角色,按照相同模式分别赋予不同的角色属性值;
根据每一所述用户角色对所述待访问资源项的当前访问权限的权限值以及所述角色属性值,生成所述待访问资源项对应的所述资源权限值。
可选的,所述根据每一所述用户角色对所述待访问资源项的当前访问权限的权限值以及所述角色属性值,生成所述待访问资源项对应的所述资源权限值,包括:
计算所述待访问资源项对应的所述资源权限值;
其中,所述资源权限值为每一所述用户角色分别对应的角色值之和,所述角色值为第一数值与第二数值的乘积,所述第一数值为所述用户角色对所述待访问资源项的当前访问权限的权限值,所述第二数值为所述用户角色对应的角色属性值。
可选的,所述分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限,包括:
根据所述权限值与所述角色属性值的赋值方式,分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。
可选的,所述禁止访问权限对应的权限值为0,所述允许访问权限对应的权限值为1;所述用户角色对应的角色属性值为2的n次方,n为所述用户角色对应的唯一角色编码;
所述根据所述权限值与所述角色属性值的赋值方式,分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限,包括:
获取所述目标角色的角色属性值对应的第一二进制值;
获取所述目标资源的资源权限值对应的第二二进制值;
将所述第一二进制值与所述第二二进制值的相同位分别进行相与运算,得到第三二进制值;
若所述第三二进制值的所有位不均为零,则确定所述目标角色对所述目标资源具有所述允许访问权限;
若所述第三二进制值的所有位均为零,则确定所述目标角色对所述目标资源具有所述禁止访问权限。
本发明实施例还提供了一种确定用户访问权限的装置,包括:
目标角色确定单元,用于响应于目标用户访问目标资源的请求,确定预先赋予所述目标用户的目标角色,其中,所述目标角色为角色集合中的一种用户角色,所述目标资源为资源集合中的一个待访问资源项,所述待访问资源项配置有一资源权限值,所述资源权限值中隐含了每一所述用户角色对所述待访问资源项的当前访问权限;
访问权限确定单元,用于分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。
可选的,所述当前访问权限为允许访问权限或禁止访问权限;所述装置还包括:
访问权限值赋值单元,用于为所述允许访问权限与所述禁止访问权限,分别赋予不同的权限值;
角色属性值赋值单元,用于为所述角色集合中的每一用户角色,按照相同模式分别赋予不同的角色属性值;
资源权限值生成单元,用于根据每一所述用户角色对所述待访问资源项的当前访问权限的权限值以及所述角色属性值,生成所述待访问资源项对应的所述资源权限值。
可选的,所述资源权限值生成单元具体用于:计算所述待访问资源项对应的所述资源权限值;
其中,所述资源权限值为每一所述用户角色分别对应的角色值之和,所述角色值为第一数值与第二数值的乘积,所述第一数值为所述用户角色对所述待访问资源项的当前访问权限的权限值,所述第二数值为所述用户角色对应的角色属性值。
可选的,所述访问权限确定单元具体用于:根据所述权限值与所述角色属性值的赋值方式,分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。
可选的,所述禁止访问权限对应的权限值为0,所述允许访问权限对应的权限值为1;所述用户角色对应的角色属性值为2的n次方,n为所述用户角色对应的唯一角色编码;
所述访问权限确定单元包括:
二进制值获取子单元,用于获取所述目标角色的角色属性值对应的第一二进制值;获取所述目标资源的资源权限值对应的第二二进制值;
同位相与运算子单元,用于将所述第一二进制值与所述第二二进制值的相同位分别进行相与运算,得到第三二进制值;
访问权限确定子单元,用于若所述第三二进制值的所有位不均为零,则确定所述目标角色对所述目标资源具有所述允许访问权限;若所述第三二进制值的所有位均为零,则确定所述目标角色对所述目标资源具有所述禁止访问权限。
本发明实施例提供的一种确定用户访问权限的方法及装置,当目标用户触发访问目标资源的请求时,确定预先赋予目标用户的目标角色,其中,目标角色为角色集合中的一种用户角色,目标资源为资源集合中的一个待访问资源项,资源集合中的每一待访问资源项均配置有一资源权限值,该资源权限值中隐含了每一用户角色对对应的待访问资源项的当前访问权限;然后,通过分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。可见,对于每一待访问资源项,均具有一个资源权限值,因资源权限值只是一个数值,所以其占用的存储空间较小;此外,由于每一资源权限值中均隐含了每一用户角色对对应的待访问资源项的当前访问权限,因此,通过分析目标用户所访问的待访问资源项的资源权限值,可以确定目标用户对该待访问资源项的访问权限。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的确定用户访问权限的方法的流程示意图;
图2为本发明实施例提供的生成资源权限值的方法的流程示意图;
图3为本发明实施例提供的确定当前用户访问权限的方法的流程示意图;
图4为本发明实施例提供的确定用户访问权限的装置的组成示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的一种确定用户访问权限的方法及装置,可以预先设置多个用户角色、将***资源划分为多个待访问资源项,并预先设置每一用户角色对每一待访问资源项的访问权限。为了节省访问权限管理数据的存储空间,可以采用一个资源权限值来隐含每一用户角色对某待访问资源项的当前访问权限,这样,每个待访问资源项便对应一个资源权限值;当某用户访问其中一个待访问资源项时,通过分析该待访问资源项对应的资源权限值,便可以确定该用户对该待访问资源项的访问权限。
下面具体介绍本发明实施例。
参见图1,为本发明实施例提供的一种确定用户访问权限的方法的流程示意图,该方法包括S101-S102:
S101:响应于目标用户访问目标资源的请求,确定预先赋予所述目标用户的目标角色,其中,所述目标角色为角色集合中的一种用户角色,所述目标资源为资源集合中的一个待访问资源项,所述待访问资源项配置有一资源权限值,所述资源权限值中隐含了每一所述用户角色对所述待访问资源项的当前访问权限。
为便于描述,本实施例将进行资源访问的当前用户称为目标用户,将所述目标用户请求访问的每一待访问资源项称为目标资源。
在本实施例中,可以预先设置多个用户角色,这些用户角色形成所述角色集合,其中,一个用户角色可以对应一个或多个用户,即每一用户可以具有一个或多个用户角色的身份。例如,对于QQ等聊天软件下创建的一个群组,群组的管理员即为用户角色,具有管理员身份的用户可以有一个或多个;又例如,在一个工程项目中,可以按照员工的工作性质划分用户角色,比如,这些角色可以是“组装”、“维修”等,具有“组装”身份的员工(即用户)可以有一个或多个,具有“维修”角色的员工(即用户)可以有一个或多个。
在本实施例中,还可以将所有的***资源进行划分,得到多个待访问资源项,这些待访问资源项形成所述资源集合。例如,基于上述工程项目的例子,可以将***资源划分为“组装”数据、“维修”数据等不同的待访问资源项,也可以将“组装”数据和“维修”数据等做进一步划分,将划分出的每一子数据作为待访问资源项。此外,本实施例不限制所述资源集合的存储或显示方式,可以是列表形式或其它形式,当所述资源集合为一个显示列表时,该显示列表中的一个或多个列表项即可以作为一个待访问资源项。
在本实施例中,所述资源集合中的每一待访问资源项可能被具有不同角色属性值的用户访问,下面结合表1,以所述角色集合中存在16种用户角色、所述资源集合中存在15个待访问资源项为例,来说明本发明实施例。
表1
在本发明的一个实施方式中,可以按照下述方式生成所述资源集合中的每一待访问资源项对应的资源权限值,参见图2所示的生成资源权限值的方法的流程示意图,具体包括步骤S201-S203:
S201:为所述允许访问权限与所述禁止访问权限,分别赋予不同的权限值。
在本实施例中,每种用户角色对所述待访问资源项的当前访问权限可以为允许访问权限或禁止访问权限,例如,所述允许访问权限可以是允许对所述待访问资源项进行浏览、修改等权限,相应的,所述禁止访问权限可以是禁止对所述待访问资源项进行浏览、修改等权限。
进一步地,可以设置这两种访问权限的权限值,具体地,所述禁止访问权限对应的权限值可以为0,所述允许访问权限对应的权限值可以为1(也可以是0.1等不为0的值)。
为便于理解,参见表1,左侧是编码依次为1、2、……、14、15的共15个待访问资源项,最上方是编码依次为15、14、……1、0的共16个用户角色,当禁止访问权限对应的权限值为0、允许访问权限对应的权限值为1时,对于待访问资源项1,全部用户角色均对其具有允许访问权限;对于待访问资源项2,用户角色15、用户角色5-0共7个用户角色对其具有允许访问权限,其它用户角色对其具有禁止访问权限;关于其它待访问资源项与用户角色之间的访问权限关系,此处不再一一描述,参见表1即可。
S202:为所述角色集合中的每一用户角色,按照相同模式分别赋予不同的角色属性值。
在本实施例中,所述角色集合中的每种用户角色都有其对应的角色属性值,具体的,可以预先对每个用户角色进行唯一性编码,比如按照升序或降序对用户角色进行编码,并使每一用户角色对应的角色属性值为2的n次方(即2n),其中,n为所述用户角色对应的唯一角色编码。
参见表2,对于表1中的16种用户角色,其角色编码是依次为0、1、……、14、15,其中,用户角色0的角色属性值为20=1,用户角色1的角色属性值为21=2,用户角色2的角色属性值为22=4,等等,其它用户角色的角色属性值此处不再一一描述,参见表2即可。
表2
用户角色 角色属性值
用户角色0 1
用户角色1 2
用户角色2 4
用户角色3 8
用户角色4 16
用户角色5 32
用户角色6 64
用户角色7 128
用户角色8 256
用户角色9 512
用户角色10 1024
用户角色11 2048
用户角色12 4096
用户角色13 8192
用户角色14 16384
用户角色15 32768
S203:根据每一用户角色对所述待访问资源项的当前访问权限的权限值以及所述角色属性值,生成所述待访问资源项对应的所述资源权限值。
在本发明的一个实施方式中,步骤S203具体可以包括:计算所述待访问资源项对应的资源权限值;其中,所述资源权限值为每一用户角色分别对应的角色值之和,所述角色值为第一数值与第二数值的乘积,所述第一数值为所述用户角色对所述待访问资源项的当前访问权限的权限值,所述第二数值为所述用户角色对应的角色属性值。
为便于理解本实施方式,参见表1的右侧,其中的待访问资源项1、待访问资源项2、……、待访问资源项15分别具有一个资源权限值,任一待访问资源项的资源权限值满足以下计算公式:
其中,zyqi为编码为i的待访问资源项的资源权限值,i=1、2、……、15;Qij为编码为j的用户角色对编码为i的待访问资源项的当前访问权限的权限值,其值是0或1;Jj为编码为j的用户角色对应的角色属性值,其值为2i
例如,对于表1中的待访问资源项2,其资源权限值为:
zyq2=215+25+24+23+22+21+20=32831
需要说明的是,对于所述角色集合的用户角色的编码值,可以是0、1、……、15,也可以是0、2、4、….,只要其编码方式满足一定规律即可。
进一步地,在本发明的一个实施方式中,还可以包括:预先创建所述目标用户的登陆信息与所述目标角色的对应的关系。在这种实施方式中,对于每个用户,均可以为其设置一个登陆信息,还要设置每一用户对应的用户角色,其中,某用户的登陆信息通常可以包括该用户的用户名和用户密码,而当该用户具有一个或多个用户角色时,可以建立该用户的登陆信息与一个或多个用户角色的对应关系。
基于上述对应关系的建立,步骤S101中的“确定预先赋予所述目标用户的目标角色”,具体可以包括:根据所述目标用户的登陆信息与所述目标角色之间的对应关系,确定所述目标用户具有的目标角色。例如,当目标用户表1中的用户角色15具有对应关系时,则当目标用户采用其登陆信息登陆***时,便可以确定其被赋予了用户角色15。
S102:分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。
通过上述各个待访问资源项的资源权限值的生成规律,可以使每一待访问资源项的资源权限值中隐含每一用户角色对该待访问资源项的当前访问权限。因此,当具有某用户角色(即所述目标角色)的用户(即所述目标用户)访问某个待访问资源项(即所述目标资源)时,可以基于该待访问资源项的资源权限值的生成规律,确定该用户对该待访问资源项的当前访问权限。
具体地,在本发明的一个实施例中,步骤S102可以包括:根据所述权限值与所述角色属性值的赋值方式,分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。
更具体地,当所述禁止访问权限对应的权限值为0、所述允许访问权限对应的权限值为1、所述角色集合中每一用户角色对应的角色属性值为2的n次方(n为所述用户角色对应的唯一角色编码)时,参见图3所示的确定当前用户访问权限的方法的流程示意图,步骤S102具体可以包括S301-S306:
S301:获取所述目标角色的角色属性值对应的第一二进制值。
参见表1,假设赋予所述目标用户的目标角色为用户角色15,该用户角色15对应的角色属性值为32768(即215),该值对应的二进制值为1000000000000000。
S302:获取所述目标资源的资源权限值对应的第二二进制值。
参见表1,假设所述目标资源为待访问资源项1,该待访问资源项1对应的资源权限值为65535,该值对应的二进制值为1111111111111111。
S303:将所述第一二进制值与所述第二二进制值的相同位分别进行相与运算,得到第三二进制值。
将1000000000000000的第0位与1111111111111111的第0位进行相与运算、将1000000000000000的第1位与1111111111111111的第1位进行相与运算、……、将1000000000000000的第15位与1111111111111111的第15位进行相与运算,最终得到的二进制值为1000000000000000。
S304:判断所述第三二进制值的所有位是否均为零,如果是,则执行S306,如果否,则执行S305。
S305:确定所述目标角色对所述目标资源具有所述允许访问权限。
S306:确定所述目标角色对所述目标资源具有所述禁止访问权限。
继续上个例子,由于经上述相与运算得到的第三二进制值为1000000000000000,由于该值不为零,则说明具有用户角色15身份的目标用户对待访问资源项1具有访问权限。
进一步地,在本实施例中,可以将每一待访问资源项的标识与对应的资源权限值进行对应性的存储,由于资源权限值所占用的存储空间较小,可以将其对应性的存储于本地文件中,这样,当需要确定当前用户的访问权限时,可以通过访问该本地文件来确定当前用户对所访问资源的访问权限,不但节省了权限数据的存储空间,还可以通过本地存储来节省网络资源。当然,也可以将每一待访问资源项的标识与对应的资源权限值进行对应性的存储于服务器数据库中,具体存储方式本实施例不做限制。
此外,考虑到存储数据的安全性,可以将每一待访问资源项的标识与对应的资源权限值存储于加密文件中,比如,存储于加密的二进制文件中,文件命名可以为待访问资源项的标识名称.dat。当用户登录时,权限管理软件可以自动识别此二进制文件并读取文件中的信息,以便后续执行图1所示步骤。
需要说明的是,本实施例可以根据需求更新用户角色,也可以根据需求重新划分待访问资源项,并更新二者之间的访问权限关系;当用户访问***资源时,根据更新后的内容实现图1所示步骤。
综上,本发明实施例提供的一种确定用户访问权限的方法,对于每一待访问资源项,均具有一个资源权限值,因资源权限值只是一个数值,所以其占用的存储空间较小;此外,由于每一资源权限值中均隐含了每一用户角色对对应的待访问资源项的当前访问权限,因此,通过分析目标用户所访问的待访问资源项的资源权限值,可以确定目标用户对该待访问资源项的访问权限。
为更方便的理解本发明实施例,下面举例说明:
将本发明实施例提供的一种确定用户访问权限的方法,应用于一套复杂设备的履历管理软件中。
假设该设备分为N个组件,每个组件具有M个分件,每个分件从组装记录到维修记录全都维护在一份电子履历中,将N×M个分件中每一分件对应的相关数据作为待访问资源项;又假设将用户角色分为16种,软件管理员可以设置每个用户角色对各个分件数据的访问权限,即允许访问权限或禁止访问权限,比如,基于担心信息被误修改的考虑,可以使某用户角色只能访问其实际工作内容相关的信息。
表3
参见表3,通过分析每一待访问资源项的资源权限值可知:
1号、2号及15号组件的数据内容,所有用户角色都可访问;3号组件的数据内容,1号用户角色可以访问;4号组件的数据内容,2号用户角色可以访问;5号组件的数据内容,7号用户角色可以访问;6号组件的数据内容,8号用户角色可以访问;7号组件的数据内容,9号用户角色可以访问;8号和9号组件的数据内容,10号用户角色可以访问;10号-14号组件的数据内容,11号用户角色可以访问。
参见图4,为本发明实施例提供的一种确定用户访问权限的装置的组成示意图,该装置400包括:
目标角色确定单元401,用于响应于目标用户访问目标资源的请求,确定预先赋予所述目标用户的目标角色,其中,所述目标角色为角色集合中的一种用户角色,所述目标资源为资源集合中的一个待访问资源项,所述待访问资源项配置有一资源权限值,所述资源权限值中隐含了每一所述用户角色对所述待访问资源项的当前访问权限;
访问权限确定单元402,用于分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。
在本发明的一个实施方式中,所述当前访问权限为允许访问权限或禁止访问权限;所述装置400还可以包括:
访问权限值赋值单元,用于为所述允许访问权限与所述禁止访问权限,分别赋予不同的权限值;
角色属性值赋值单元,用于为所述角色集合中的每一用户角色,按照相同模式分别赋予不同的角色属性值;
资源权限值生成单元,用于根据每一所述用户角色对所述待访问资源项的当前访问权限的权限值以及所述角色属性值,生成目标角色确定单元401中的所述待访问资源项对应的所述资源权限值。
在本发明的一个实施方式中,所述资源权限值生成单元可以具体用于:计算所述待访问资源项对应的所述资源权限值;
其中,所述资源权限值为每一所述用户角色分别对应的角色值之和,所述角色值为第一数值与第二数值的乘积,所述第一数值为所述用户角色对所述待访问资源项的当前访问权限的权限值,所述第二数值为所述用户角色对应的角色属性值。
在本发明的一个实施方式中,所述访问权限确定单元402可以具体用于:根据所述权限值与所述角色属性值的赋值方式,分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。
在本发明的一个实施方式中,所述禁止访问权限对应的权限值为0,所述允许访问权限对应的权限值为1;所述用户角色对应的角色属性值为2的n次方,n为所述用户角色对应的唯一角色编码;
所述访问权限确定单元402可以包括:
二进制值获取子单元,用于获取所述目标角色的角色属性值对应的第一二进制值;获取所述目标资源的资源权限值对应的第二二进制值;
同位相与运算子单元,用于将所述第一二进制值与所述第二二进制值的相同位分别进行相与运算,得到第三二进制值;
访问权限确定子单元,用于若所述第三二进制值的所有位不均为零,则确定所述目标角色对所述目标资源具有所述允许访问权限;若所述第三二进制值的所有位均为零,则确定所述目标角色对所述目标资源具有所述禁止访问权限。
所述装置400包括处理器和存储器,上述目标角色确定单元401、访问权限确定单元402等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数,在降低权限管理数据的存储空间的基础上,确定用户对***资源的访问权限。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供的一种确定用户访问权限的装置,与现有技术相比,对于每一待访问资源项,均具有一个资源权限值,因资源权限值只是一个数值,所以其占用的存储空间较小;此外,由于每一资源权限值中均隐含了每一用户角色对对应的待访问资源项的当前访问权限,因此,通过分析目标用户所访问的待访问资源项的资源权限值,可以确定目标用户对该待访问资源项的访问权限。
本发明还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序代码:
响应于目标用户访问目标资源的请求,确定预先赋予所述目标用户的目标角色,其中,所述目标角色为角色集合中的一种用户角色,所述目标资源为资源集合中的一个待访问资源项,所述待访问资源项配置有一资源权限值,所述资源权限值中隐含了每一所述用户角色对所述待访问资源项的当前访问权限;
分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者诸如媒体网关等网络通信设备,等等)执行本发明各个实施例或者实施例的某些部分所述的方法。
需要说明的是,本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种确定用户访问权限的方法,其特征在于,包括:
响应于目标用户访问目标资源的请求,确定预先赋予所述目标用户的目标角色,其中,所述目标角色为角色集合中的一种用户角色,所述目标资源为资源集合中的一个待访问资源项,所述待访问资源项配置有一资源权限值,所述资源权限值中隐含了每一所述用户角色对所述待访问资源项的当前访问权限;
分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。
2.根据权利要求1所述的方法,其特征在于,所述当前访问权限为允许访问权限或禁止访问权限;所述方法还包括:
为所述允许访问权限与所述禁止访问权限,分别赋予不同的权限值;
为所述角色集合中的每一用户角色,按照相同模式分别赋予不同的角色属性值;
根据每一所述用户角色对所述待访问资源项的当前访问权限的权限值以及所述角色属性值,生成所述待访问资源项对应的所述资源权限值。
3.根据权利要求2所述的方法,其特征在于,所述根据每一所述用户角色对所述待访问资源项的当前访问权限的权限值以及所述角色属性值,生成所述待访问资源项对应的所述资源权限值,包括:
计算所述待访问资源项对应的所述资源权限值;
其中,所述资源权限值为每一所述用户角色分别对应的角色值之和,所述角色值为第一数值与第二数值的乘积,所述第一数值为所述用户角色对所述待访问资源项的当前访问权限的权限值,所述第二数值为所述用户角色对应的角色属性值。
4.根据权利要求2或3所述的方法,其特征在于,所述分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限,包括:
根据所述权限值与所述角色属性值的赋值方式,分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。
5.根据权利要求4所述的方法,其特征在于,所述禁止访问权限对应的权限值为0,所述允许访问权限对应的权限值为1;所述用户角色对应的角色属性值为2的n次方,n为所述用户角色对应的唯一角色编码;
所述根据所述权限值与所述角色属性值的赋值方式,分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限,包括:
获取所述目标角色的角色属性值对应的第一二进制值;
获取所述目标资源的资源权限值对应的第二二进制值;
将所述第一二进制值与所述第二二进制值的相同位分别进行相与运算,得到第三二进制值;
若所述第三二进制值的所有位不均为零,则确定所述目标角色对所述目标资源具有所述允许访问权限;
若所述第三二进制值的所有位均为零,则确定所述目标角色对所述目标资源具有所述禁止访问权限。
6.一种确定用户访问权限的装置,其特征在于,包括:
目标角色确定单元,用于响应于目标用户访问目标资源的请求,确定预先赋予所述目标用户的目标角色,其中,所述目标角色为角色集合中的一种用户角色,所述目标资源为资源集合中的一个待访问资源项,所述待访问资源项配置有一资源权限值,所述资源权限值中隐含了每一所述用户角色对所述待访问资源项的当前访问权限;
访问权限确定单元,用于分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。
7.根据权利要求6所述的装置,其特征在于,所述当前访问权限为允许访问权限或禁止访问权限;所述装置还包括:
访问权限值赋值单元,用于为所述允许访问权限与所述禁止访问权限,分别赋予不同的权限值;
角色属性值赋值单元,用于为所述角色集合中的每一用户角色,按照相同模式分别赋予不同的角色属性值;
资源权限值生成单元,用于根据每一所述用户角色对所述待访问资源项的当前访问权限的权限值以及所述角色属性值,生成所述待访问资源项对应的所述资源权限值。
8.根据权利要求7所述的装置,其特征在于,所述资源权限值生成单元具体用于:计算所述待访问资源项对应的所述资源权限值;
其中,所述资源权限值为每一所述用户角色分别对应的角色值之和,所述角色值为第一数值与第二数值的乘积,所述第一数值为所述用户角色对所述待访问资源项的当前访问权限的权限值,所述第二数值为所述用户角色对应的角色属性值。
9.根据权利要求7或8所述的装置,其特征在于,所述访问权限确定单元具体用于:根据所述权限值与所述角色属性值的赋值方式,分析所述目标资源对应的资源权限值,确定所述目标角色对所述目标资源的当前访问权限。
10.根据权利要求9所述的装置,其特征在于,所述禁止访问权限对应的权限值为0,所述允许访问权限对应的权限值为1;所述用户角色对应的角色属性值为2的n次方,n为所述用户角色对应的唯一角色编码;
所述访问权限确定单元包括:
二进制值获取子单元,用于获取所述目标角色的角色属性值对应的第一二进制值;获取所述目标资源的资源权限值对应的第二二进制值;
同位相与运算子单元,用于将所述第一二进制值与所述第二二进制值的相同位分别进行相与运算,得到第三二进制值;
访问权限确定子单元,用于若所述第三二进制值的所有位不均为零,则确定所述目标角色对所述目标资源具有所述允许访问权限;若所述第三二进制值的所有位均为零,则确定所述目标角色对所述目标资源具有所述禁止访问权限。
CN201710165821.4A 2017-03-20 2017-03-20 一种确定用户访问权限的方法及装置 Active CN106878325B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710165821.4A CN106878325B (zh) 2017-03-20 2017-03-20 一种确定用户访问权限的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710165821.4A CN106878325B (zh) 2017-03-20 2017-03-20 一种确定用户访问权限的方法及装置

Publications (2)

Publication Number Publication Date
CN106878325A true CN106878325A (zh) 2017-06-20
CN106878325B CN106878325B (zh) 2019-08-06

Family

ID=59171588

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710165821.4A Active CN106878325B (zh) 2017-03-20 2017-03-20 一种确定用户访问权限的方法及装置

Country Status (1)

Country Link
CN (1) CN106878325B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108256314A (zh) * 2018-01-11 2018-07-06 深圳市沃特沃德股份有限公司 权限管理方法和装置
CN108664811A (zh) * 2018-05-11 2018-10-16 北京汉能光伏投资有限公司 一种权限管理方法及装置
CN109347866A (zh) * 2018-11-26 2019-02-15 珠海格力电器股份有限公司 登录方法、装置、***和计算机可读存储介质
CN109598117A (zh) * 2018-10-24 2019-04-09 平安科技(深圳)有限公司 权限管理方法、装置、电子设备及存储介质
CN109733444A (zh) * 2018-09-19 2019-05-10 比亚迪股份有限公司 数据库***和列车监控管理设备
CN109815735A (zh) * 2019-01-23 2019-05-28 浙江安点科技有限责任公司 对不同用户访问相同资源文件权限的管控方法和***
CN110290112A (zh) * 2019-05-30 2019-09-27 平安科技(深圳)有限公司 权限控制方法、装置、计算机设备及存储介质
WO2019229546A1 (en) * 2018-05-31 2019-12-05 Vivek Kapoor Multiparty binary access controls

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102231693A (zh) * 2010-04-22 2011-11-02 北京握奇数据***有限公司 访问权限的管理方法及装置
CN102595211A (zh) * 2012-02-28 2012-07-18 华为技术有限公司 一种基于社交网络的网络电视节目赠送方法及***
CN103179126A (zh) * 2013-03-26 2013-06-26 山东中创软件商用中间件股份有限公司 一种访问控制方法及装置
CN103701801A (zh) * 2013-12-26 2014-04-02 四川九洲电器集团有限责任公司 一种资源访问控制方法
CN106295265A (zh) * 2015-05-22 2017-01-04 阿里巴巴集团控股有限公司 一种用户权限管理的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102231693A (zh) * 2010-04-22 2011-11-02 北京握奇数据***有限公司 访问权限的管理方法及装置
CN102595211A (zh) * 2012-02-28 2012-07-18 华为技术有限公司 一种基于社交网络的网络电视节目赠送方法及***
CN103179126A (zh) * 2013-03-26 2013-06-26 山东中创软件商用中间件股份有限公司 一种访问控制方法及装置
CN103701801A (zh) * 2013-12-26 2014-04-02 四川九洲电器集团有限责任公司 一种资源访问控制方法
CN106295265A (zh) * 2015-05-22 2017-01-04 阿里巴巴集团控股有限公司 一种用户权限管理的方法及装置

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108256314A (zh) * 2018-01-11 2018-07-06 深圳市沃特沃德股份有限公司 权限管理方法和装置
CN108664811A (zh) * 2018-05-11 2018-10-16 北京汉能光伏投资有限公司 一种权限管理方法及装置
WO2019229546A1 (en) * 2018-05-31 2019-12-05 Vivek Kapoor Multiparty binary access controls
CN109733444A (zh) * 2018-09-19 2019-05-10 比亚迪股份有限公司 数据库***和列车监控管理设备
CN109598117A (zh) * 2018-10-24 2019-04-09 平安科技(深圳)有限公司 权限管理方法、装置、电子设备及存储介质
CN109347866A (zh) * 2018-11-26 2019-02-15 珠海格力电器股份有限公司 登录方法、装置、***和计算机可读存储介质
CN109815735A (zh) * 2019-01-23 2019-05-28 浙江安点科技有限责任公司 对不同用户访问相同资源文件权限的管控方法和***
CN110290112A (zh) * 2019-05-30 2019-09-27 平安科技(深圳)有限公司 权限控制方法、装置、计算机设备及存储介质
CN110290112B (zh) * 2019-05-30 2022-08-12 平安科技(深圳)有限公司 权限控制方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
CN106878325B (zh) 2019-08-06

Similar Documents

Publication Publication Date Title
CN106878325A (zh) 一种确定用户访问权限的方法及装置
US7299171B2 (en) Method and system for processing grammar-based legality expressions
US10872162B2 (en) Role-based security policy for an object-oriented database system
US8533168B2 (en) Automatic policy generation based on role entitlements and identity attributes
US8793489B2 (en) Method and system for controlling data access to organizational data maintained in hierarchical
US20080271157A1 (en) Evaluating removal of access permissions
CN112182619A (zh) 基于用户权限的业务处理方法、***及电子设备和介质
US20020083059A1 (en) Workflow access control
US7120698B2 (en) Access control for an e-commerce application
US11275850B1 (en) Multi-faceted security framework for unstructured storage objects
CN105095777A (zh) 一种云环境下的多模式访问控制策略制定和执行方法
CN103198141B (zh) 层级关系下数据记录访问控制方法和装置
CN106790060A (zh) 一种基于角色访问控制的权限管理方法及装置
US7814049B2 (en) Computer device for managing documents in multi-user mode
Washizaki et al. Taxonomy and literature survey of security pattern research
CN117499124A (zh) 一种访问控制方法及装置
CN107194280A (zh) 模型建立方法及装置
Kern et al. Maintain High-Quality Access Control Policies: An Academic and Practice-Driven Approach
Goodwin et al. Instance-level access control for business-to-business electronic commerce
Abdallah et al. Formal Z specifications of several flat role-based access control models
JP4723930B2 (ja) 複合的アクセス認可方法及び装置
CN109670339A (zh) 基于本体的面向隐私保护的访问控制方法及装置
JPH05181734A (ja) データベースのアクセス権管理制御方式およびファイルシステムのアクセス権管理制御方式
CN114282591A (zh) 一种动态安全级别实时划分方法、终端设备及存储介质
Moniruzzaman et al. A study of privacy policy enforcement in access control models

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant