CN107342992B

CN107342992B - 一种***权限管理方法、装置及计算机可读存储介质

Info

Publication number: CN107342992B
Application number: CN201710512825.5A
Authority: CN
Inventors: 王平
Original assignee: Shenzhen Media Home Culture Communication Co Ltd
Current assignee: Shenzhen media home culture Communication Co., Ltd
Priority date: 2017-06-27
Filing date: 2017-06-27
Publication date: 2020-12-08
Anticipated expiration: 2037-06-27
Also published as: CN107342992A

Abstract

本发明公开了一种***权限管理方法、装置及计算机可读存储介质，该方法包括：将***资源中的按钮通过接口服务关联对应元操作；通过角色建立用户与权限的对应关系，所述权限对应所述***资源，利用授权标记描述所述接口服务，所述授权标记与所述接口服务一一对应，所述按钮关联所述授权标记；当进行用户权限分配时，将所述授权标记分配给用户，通过验证所述授权标记判断用户是否具备访问对应的所述接口服务权限；若是则允许用户执行所述接口服务关联对应的所述元操作。本发明解决现有采用基于角色的访问控制进行***权限分配时权限颗粒大的技术问题。

Description

一种***权限管理方法、装置及计算机可读存储介质

技术领域

本发明涉及权限管理技术领域，尤其涉及一种***权限管理方法、装置及计算机可读存储介质。

背景技术

涉及到用户参与的网络***都要进行权限管理，权限管理属于***安全的范畴，权限管理实现对用户访问***的控制，按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证和授权两部分，简称认证授权。对于需要访问控制的资源用户首先经过身份认证，认证通过后用户具有该资源的访问权限方可访问。

其中，基于角色的访问(简称RBAC)控制技术广泛应用于权限管理，在RBAC中，用户与角色多对多的关系，角色与权限是多对多的关系，且用户与权限之间通过角色建立关系，角色是权限的集合，权限表示***资源(如菜单、按钮、页面等)。

***中用户与角色的对应关系基本是一样的，但***资源描述的权限有很大差别，常见的***中可以将资源分成目录、菜单和按钮三种；目录用于管理菜单，菜单连接页面，按钮对应操作(比如查询、新增、修改、删除等)。在按钮的分配方案上存在区别，目前有两种按钮分配方式：第一、先给按钮打标签，常见划分为查询、新增、修改和删除，用户绑定标签；第二、给按钮打标签，标签关联按钮的统一资源定位符URL，用户通过标签获取合法的统一资源定位符URL，***拦截非法的统一资源定位符URL。上述第一种方案只做到页面上不显示未分配的按钮，由于统一资源定位符URL未被拦截，实际上用户可以访问非法(即未分配)的统一资源定位符URL。第二种方案是针对第一种方案的缺陷进一步优化，在标签上绑定了统一资源定位符URL，***拦截非法的URL，实现了页面动态显示按钮，又屏蔽了非法请求，但是这一方案也存在一定的缺陷，比如***有Menu1、Menu2、Menu3菜单，给用户分配了Menu1的查询权限，实际上用户还可以访问Menu2和Menu3的查询按钮，按钮上打标签导致权限的颗粒较大，***的权限分配存在一定的漏洞，未达到理想效果。

***中对权限的分配方案仅仅按照目前需求实现，比如给用户分配查询权限，用户便具备了所有服务的查询权限，这种粗放的分配方式存在潜在的安全问题。目前***的权限关系如下图3所示：按钮类型绑定接口，每种按钮类型包含对应的所有接口服务，用户分配权限后获得了某一种或几种的按钮类型的全部接口，无法有效的屏蔽非法的URL访问，造成安全隐患。

发明内容

本发明的主要目的在于提出一种***权限管理方法、装置及计算机可读存储介质，旨在解决现有采用基于角色的访问(RBAC)控制进行***权限分配时权限颗粒大的技术问题。

为实现上述目的，本发明提供的一种***权限管理方法，该方法包括以下步骤：

将***资源中的按钮通过接口服务关联对应元操作；

通过角色建立用户与权限的对应关系，所述权限对应所述***资源，利用授权标记描述所述接口服务，所述授权标记与所述接口服务一一对应，所述按钮关联所述授权标记；

当进行用户权限分配时，将所述授权标记分配给用户，通过验证所述授权标记判断用户是否具备访问对应的所述接口服务权限；若是则允许用户执行所述接口服务关联对应的所述元操作。

其中，一般情况下，***资源可以分成目录、菜单和按钮，所述目录用于管理所述菜单，所述菜单连接页面，所述页面显示所述按钮。

进一步的，一个所述按钮关联对应多个所述授权标记，所述授权标记是权限字符串，通过所述权限字符串描述所述接口服务。

进一步的，在进行用户权限分配之前，开启***并进行用户身份验证，获取用户提交的身份数据，将所述身份数据与认证域进行比对，当符合其中一个所述认证域时，判断认证成功并返回所述认证成功的认证域信息。

进一步的，所述接口服务对应的所述授权标记集合形成的权限列表存储在所述认证域中，当进行用户权限分配时，根据用户找到角色，角色查询权限，从所述认证域中读取所述权限列表。

进一步的，所述认证域是关系型数据库、高速缓存服务器、配置文件的任意一种。

进一步的，通过会话记录用户登录后的所有信息，在一次会话中保持所述用户权限分配的结果。

基于同一发明构思，本发明另一方面，提供了一种***权限管理装置，所述装置包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的权限管理程序，所述权限管理程序被所述处理器执行时实现如下所述的***权限管理方法的步骤：

将***资源中的按钮通过接口服务关联对应元操作；

进一步的，所述权限管理程序被所述处理器执行时还实现如下所述的***权限管理方法的步骤：

将***资源中的按钮通过接口服务关联对应元操作；

开启***并进行用户身份验证，获取用户提交的身份数据，将所述身份数据与认证域进行比对，当符合其中一个所述认证域时，判断认证成功并返回认证成功的所述认证域信息；

将***资源中的按钮通过接口服务关联对应元操作；

所述接口服务对应的所述授权标记集合形成的权限列表存储在所述认证域中，当进行用户权限分配时，根据用户找到角色，角色查询权限，从所述认证域中读取所述权限列表；

将***资源中的按钮通过接口服务关联对应元操作；

当进行用户权限分配时，将所述授权标记分配给用户，通过验证所述授权标记判断用户是否具备访问对应的所述接口服务权限；若是则允许用户执行所述接口服务关联对应的所述元操作；

通过会话记录用户登录后的所有信息，在一次会话中保持所述用户权限分配的结果。

基于同一发明构思，本发明另一方面，还提供了一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有权限管理程序，所述权限管理程序被所述处理器执行时实现如上所述的***权限管理方法的步骤。

本发明的***权限管理方法、装置及计算机可读存储介质，从***资源角度出发，通过在接口服务上进行注解授权标记，即是权限字符串来描述元操作权限，用户分配权限时只需要通过配置授权标记来完成所有工作，然后判断用户是否合法、访问接口是否合法，从而达到安全可配置的权限分配。解决了基于角色的访问控制(RBAC)权限颗粒大的问题，在接口服务上打授权标记(权限字符串)，按钮上绑定一个或多个授权标记，实现最小颗粒的权限分配，安全可靠的权限分配。目录、菜单、按钮等***资源数据可配置，无需维护基于角色的访问控制(RBAC)模块，实现模块完整封装。

附图说明

图1为一种基于RBAC的通用权限管理***结构框图；

图2为基于RBAC的通用权限管理***的权限实施流程图；

图3为现有基于RBAC的权限分配关系结构框图；

图4为本发明实施例的第一种***权限管理方法流程框图；

图5为本发明实施例的第二种***权限管理方法流程框图；

图6为本发明实施例的第三种***权限管理方法流程框图；

图7为本发明实施例的第四种***权限管理方法流程框图；

图8为本发明实施例的***权限管理装置的权限分配关系结构框图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在后续的描述中，使用用于表示元件的诸如″模块″、″部件″或″单元″的后缀仅为了有利于本发明的说明，其本身没有特定的意义。因此，″模块″、″部件″或″单元″可以混合地使用。

权限管理***一直以来是应用***不可缺少的一个部分，所述权限管理，就是通过某种途径显示地准许或限制访问能力及范围，从而限制对关键资源的访问，防止非法用户的侵入或者合法用户的不慎操作造成破坏。随着计算机技术和应用的发展，特别是互联网的发展，应用***对于权限管理的需求开始迅速增加。人们在权限管理技术的研究方面取得了很大的成果，先后出现过多种权限管理访问控制技术，如自主权限管理自主访问控制技术DAC、强制访问控制技术MAC。随着权限管理越来越复杂，人们普遍感到DAC和MAC的权限管理技术无法满足现今日趋复杂的应用***的安全需求，因此，提出了基于角色的权限管理技术RBAC。

RBAC技术包含用户(USERS)、角色(ROLES)、目标objects(OBS)、操作operations(OPS)、许可权permissions(PRMS)五个基本数据元素，权限赋予角色，角色指定给一个用户，此用户就拥有了该角色所具有的元操作的权限。其中，元操作，是最小的权限管理单元。为了在用户请求执行某项元操作(如请求访问某统一资源定位符URL对应的网络资源)时，查询用户是否具备执行该项元操作的权限，按照RBAC技术，会为用户分配角色标识，以使得后续可以根据用户具备的角色标识确定用户的角色，进而确定用户的角色具有的元操作的权限。

如图1所示，提供了一种基于RBAC的通用权限管理***，采用了如下描述的权限***；

首先，把权限***分为角色、功能组、基本权限三层。

其次，根据企业的需要，对所有可能的操作进行详细划分，确定所有的基本权限。

最后，把相关的权限可以组成功能组，把几个功能组组成一个角色。一个用户可以充当几个角色。

通过这样一个分层之后，整个权限管理***可以灵活、有效的对用户访问***数据进行控制，对用户操作进行管理。

权限管理***的目标是实现以上所描述的权限管理。首先，根据对***的分析，确定***的所有基本权限。然后在这个基础上，给***的权限***管理员提供灵活的组织、安排功能组和角色以及给用户分配相应的角色的功能。权限管理***的子***有：功能组管理、角色管理以及用户角色分配功能三大块，同时还应该提供根据权限分配检查特定用户是否具有某项基本权限的接口，以及所有用户都适用的密码修改以及查询功在线用户管理和日志管理等等。

我们可以清楚的了解到在角色获得的权限是功能权限则能实现***功能；如果是实体权限，则选择实体对象。同时某个用户获得了该角色，可以对实体对象进行具体权限操作，然后修改权限，刷新权限记录，直至权限管理完成。具体权限实施流程如图2所示：

登录子***是每个***都应该具备的模块，登录界面是进入***的前提。在本***设置的登录界面中，需要用户输入正确的用户名和密码。而当用户名和输入的密码不符时，将出现对话框来提示用户″密码错误，请重新输入″。在用户操作子***中，包括对***信息的查询功能和对***信息的维护功能。在***信息查询方面，主要特点是支持对整体***的查询和具体的查询。用户可以根据自己的需要来对***进行查询。比如说，用户可能会想要知道什么样的角色会有怎么样的权限，某个同事具体拥有什么样的权限之类的，这样的话就可以通过查询操作来了解。在查询模块中，用户根据自己想要了解的内容来对具体操作进行选择。在对***信息维护方面，主要是对用户密码的修改。由于用户最初在使用***的时候是由***操作员统一的分配权限以及对用户的信息进行初始化，即对密码和权限的赋予。权限是不可以照着用户的意念改变，但是密码可以。用户可以根据自己的喜好与习惯来对密码进行设置，并替换原来的密码存储到用户信息中。权限管理***的核心就是对用户的权限进行管理，而具体实行权限管理的就是***操作员。所以为了简化对权限管理，把对权限***的管理具体分为三个小模块，分别是对用户管理的模块、对角色管理的模块以及对权限组管理的模块。

权利管理***分为粗粒度与细粒度权限控制。粗粒度权限管理，对资源类型的权限管理。资源类型比如：菜单、URL连接、用户添加页面、用户信息、分类方法、页面中按钮。粗粒度权限管理比如：超级管理员可以访问用户添加页面、用户信息等全部页面。细粒度权限管理，对资源实例的权限管理。资源实例就资源类型的具体化，比如：用户id为001的修改连接，1110班的用户信息、行政部的员工。

基于URL拦截的方式实现是比较常用的一种方式。对于web***，通过filter过滤器实现URL拦截，也可以使用springmvc的***实现基于URL的拦截。

针对上述技术问题，基于上述权限管理***，提出本发明方法各个实施例。

实施例1

为实现上述目的，如图4所示，本发明提供的一种***权限管理方法，该方法包括以下步骤：

S101、将***资源中的按钮通过接口服务关联对应元操作；

S102、通过角色建立用户与权限的对应关系，所述权限对应所述***资源，利用授权标记描述所述接口服务，所述授权标记与所述接口服务一一对应，所述按钮关联所述授权标记；

S103、当进行用户权限分配时，将所述授权标记分配给用户，通过验证所述授权标记判断用户是否具备访问对应的所述接口服务权限；若是则允许用户执行所述接口服务关联对应的所述元操作。

其中，元操作是最小的权限管理单元，比如查询、新增、修改、删除等。

其中，一个所述按钮关联对应多个所述授权标记，所述授权标记是权限字符串，通过所述权限字符串描述所述接口服务。

权限颗粒最小的是统一资源定位符URL，统一资源定位符URL关联对应接口服务，一个按钮可能访问超过一个接口，开发接口时通过注解(也叫元数据，是代码级别的说明)为接口打上权限标记(即权限字符串)，按钮关联接口的权限标记，按钮放在菜单树节点的下一级，分配权限时，选择菜单的同时，也要选择按钮，用户登录***后绑定分配的目录、菜单、按钮和接口的权限标记，用户访问统一资源定位符URL先匹配接口的权限标记，在接口层拦截非法的统一资源定位符URL，实现安全可靠的权限分配。

如图8所示，将权限分配放到按钮上，处在菜单树的下一级，按钮关联授权标记，一个按钮对应多个授权标记，授权标记与接口一一对应，是一种资源标识符，代表对哪个模块的哪个资源进行操作，支持权限字符串通配符，″：″表示命名空间的分隔，″，″表示资源的分隔，″*″表示可以操作任意资源。比如，″system：user：query″表示拥有***管理用户的查询权限，″system：user：query，system：user：create″表示用户***管理用户的查询和新增权限″system：user：*″表示***用户管理的所有权限。

如图5所示，本发明提供的第二种***权限管理方法，该方法包括以下步骤：

S201、将***资源中的按钮通过接口服务关联对应元操作；

S202、通过角色建立用户与权限的对应关系，所述权限对应所述***资源，利用授权标记描述所述接口服务，所述授权标记与所述接口服务一一对应，所述按钮关联所述授权标记；

S203、开启***并进行用户身份验证，获取用户提交的身份数据，将所述身份数据与认证域进行比对，当符合其中一个所述认证域时，判断认证成功并返回认证成功的所述认证域信息；

S204、当进行用户权限分配时，将所述授权标记分配给用户，通过验证所述授权标记判断用户是否具备访问对应的所述接口服务权限；若是则允许用户执行所述接口服务关联对应的所述元操作。

用户提交身份数据(一般是账号、密码和验证码等)，认证由***的认证器执行，认证器由认证策略实现，针对多种认证域的情况，认证策略一般有三种：第一、只要有一个认证域认证成功即可，返回第一个认证域的认证信息；第二、只要有一个认证域认证成功即可，与第一种不同的是返回所有认证成功的认证域的认证信息；第三、所有认证域认证成功才算成功，且返回所有认证域的认证信息，如果有一个失败就认证失败。针对多账号的情况，比如邮件账号、手机号和工号等不同的认证域，优选地采用第二种认证策略。

如图6所示，本发明提供的第三种***权限管理方法，该方法包括以下步骤：

S301、将***资源中的按钮通过接口服务关联对应元操作；

S302、通过角色建立用户与权限的对应关系，所述权限对应所述***资源，利用授权标记描述所述接口服务，所述授权标记与所述接口服务一一对应，所述按钮关联所述授权标记；

S303、开启***并进行用户身份验证，获取用户提交的身份数据，将所述身份数据与认证域进行比对，当符合其中一个所述认证域时，判断认证成功并返回认证成功的所述认证域信息；

S304、所述接口服务对应的所述授权标记集合形成的权限列表存储在所述认证域中，当进行用户权限分配时，根据用户找到角色，角色查询权限，从所述认证域中读取所述权限列表；

S305、当进行用户权限分配时，将所述授权标记分配给用户，通过验证所述授权标记判断用户是否具备访问对应的所述接口服务权限；若是则允许用户执行所述接口服务关联对应的所述元操作。

授权，也即是权限分配是由授权器完成，控制用户是否有权限进行操作，即控制着用户能访问应用中的哪些功能。角色聚合一组权限集合，权限控制谁能访问资源。即首先根据用户找到角色，角色再找到权限，再从认证域中读取权限列表，这种方式也可以叫基于权限的访问控制，这种方式的一般规则是″资源标识符：操作″，即资源级别的小颗粒描述。判断用户是否具备访问接口权限，验证权限字符串即可完成。比如修改用户权限，需要使用两个接口，第一个先查询用户，第二个是提交修改信息，这两个接口的权限字符串分别是″system：user：query″、″system：user：update″，只要给用户分配这两个权限字符串即可实现最小颗粒的权限分配。

其中，认证域可以是关系型数据库，可以是高速缓存服务器，甚至是配置文件。本方案的认证域放在关系型数据库MySQL，用户验证和权限分别都是从MySQL中读取信息。

如图7所示，本发明提供的第四种***权限管理方法，该方法包括以下步骤：

S401、将***资源中的按钮通过接口服务关联对应元操作；

S402、通过角色建立用户与权限的对应关系，所述权限对应所述***资源，利用授权标记描述所述接口服务，所述授权标记与所述接口服务一一对应，所述按钮关联所述授权标记；

S403、当进行用户权限分配时，将所述授权标记分配给用户，通过验证所述授权标记判断用户是否具备访问对应的所述接口服务权限；若是则允许用户执行所述接口服务关联对应的所述元操作；

S404、通过会话记录用户登录后的所有信息，在一次会话中保持所述用户权限分配的结果。

其中，所述认证域是关系型数据库、高速缓存服务器、配置文件的任意一种。

会话(session)是一个客户与服务器之间的不中断的请求响应序列。对客户的每个请求，服务器能够识别出请求来自于同一个客户。当一个未知的客户向Web应用程序发送第一个请求时就开始了一个会话。当客户明确结束会话或服务器在一个预定义的时限内不从客户接受任何请求时，会话就结束了。当会话结束后，服务器就忘记了客户以及客户的请求。

web会话可简单理解为：用户开一个浏览器，访问某一个web站点，在这个站点点击多个超链接，访问服务器多个web资源，然后关闭浏览器，整个过程称之为一个会话。客户向Web应用服务器发送的首次请求可能不是客户与服务器的第一次交互。首次请求指的是需要创建会话的请求。我们称之为首次请求是因为该请求是对多个请求计数的开始(逻辑上)，也是服务器开始记住客户的请求。例如，当用户登录或向购物车中添加一件商品时，就必须开始一个会话。

会话管理器管理所有用户的会话创建、维护、删除、验证等工作，可以方便的从当前会话中获取用户的相关信息。

实施例2

将***资源中的按钮通过接口服务关联对应元操作；

在基于角色的访问控制技术基础上，在对***资源的操作权限进行分配时，通过对接口服务上设置标签，也即是授权标记，这一授权标签与接口一一对应，然后，接口是与按钮进行关联的，因此，在权限分配时，仅仅需要配置按钮的授权标签，就可以判断用户是否具有相应的操作权限。若是则允许用户执行所述接口服务关联对应的所述元操作，否则拒绝用户执行所述接口服务关联对应的所述元操作。元操作可以是删除、保存、查看等等具体的操作步骤。

其中，所述权限管理程序被所述处理器执行时还实现如下所述的***权限管理方法的步骤：

将***资源中的按钮通过接口服务关联对应元操作；

用户的身份认证，也即是需要建立用户与角色的关系，角色是权限的集合，权限表示***资源(如菜单、按钮、页面等)。通过保存在认证域中的预先身份数据，与用户提交的身份数据进行比对，从而识别用户身份，建立角色与用户的对应关系，从而通过角色能够建立用户与权利的关系，然后才能够为用户进行权限分配。

将***资源中的按钮通过接口服务关联对应元操作；

接口的授权标记也即是接口上的权限字符串是存储在认证域中的权限列表，认证域可以是关系型数据库，可以使高速缓存服务器，甚至是配置文件。用户通过角色与权限建立关系后，通过读取权限列表为用户分配授权标记。

将***资源中的按钮通过接口服务关联对应元操作；

通过会话管理器管理所有用户的会话创建、维护、删除、验证等工作，可以方便的从当前会话中获取用户的相关信息。

实施例3

基于同一发明构思，本发明另一方面，还提供了一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有权限管理程序，所述权限管理程序被所述处理器执行时实现如下***权限管理方法的步骤：

将***资源中的按钮通过接口服务关联对应元操作；

需要说明的是，在本文中，术语″包括″、″包含″或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句″包括一个......″限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种***权限管理方法，其特征在于，所述方法包括以下步骤：

将***资源中的按钮通过接口服务关联对应元操作；

通过角色建立用户与权限的对应关系，所述权限对应所述***资源，利用授权标记描述所述接口服务，所述授权标记与所述接口服务一一对应，所述按钮关联所述授权标记；一个所述按钮关联对应多个所述授权标记；所述授权标记是权限字符串，通过所述权限字符串描述所述接口服务；

权限颗粒最小的是统一资源定位符URL，所述统一资源定位符URL关联对应所述接口服务；

在进行用户权限分配之前，所述方法还包括以下步骤：开启***并进行用户身份验证，获取用户提交的身份数据，将所述身份数据与认证域进行比对，当符合其中一个所述认证域时，判断认证成功并返回认证成功的所述认证域信息。

2.根据权利要求1所述的一种***权限管理方法，其特征在于，所述接口服务对应的所述授权标记集合形成的权限列表存储在所述认证域中，当进行用户权限分配时，根据用户找到角色，角色查询权限，从所述认证域中读取所述权限列表。

3.根据权利要求2所述的一种***权限管理方法，其特征在于，所述认证域是关系型数据库、高速缓存服务器、配置文件的任意一种。

4.根据权利要求1所述的一种***权限管理方法，其特征在于，所述方法还包括：通过会话记录用户登录后的所有信息，在一次会话中保持所述用户权限分配的结果。

5.一种***权限管理装置，其特征在于，所述装置包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的权限管理程序，所述权限管理程序被所述处理器执行时实现如下所述的***权限管理方法的步骤：

将***资源中的按钮通过接口服务关联对应元操作；

通过角色建立用户与权限的对应关系，所述权限对应所述***资源，利用授权标记描述所述接口服务，所述授权标记与所述接口服务一一对应，所述按钮关联所述授权标记；一个所述按钮关联对应多个所述授权标记;

所述权限管理程序被所述处理器执行时还实现如下所述的***权限管理方法的步骤：

在进行用户权限分配之前，开启***并进行用户身份验证，获取用户提交的身份数据，将所述身份数据与认证域进行比对，当符合其中一个所述认证域时，判断认证成功并返回认证成功的所述认证域信息。

6.根据权利要求5所述的一种***权限分配装置，其特征在于，所述权限管理程序被所述处理器执行时还实现如下所述的***权限管理方法的步骤：

7.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有权限管理程序，所述权限管理程序被处理器执行时实现如权利要求1-4任一项所述的***权限管理方法的步骤。