CN110753059A

CN110753059A - 一种权限管理方法、设备以及存储介质

Info

Publication number: CN110753059A
Application number: CN201911025165.3A
Authority: CN
Inventors: 王凤丽; 张大帅
Original assignee: Suzhou Wave Intelligent Technology Co Ltd
Current assignee: Suzhou Wave Intelligent Technology Co Ltd
Priority date: 2019-10-25
Filing date: 2019-10-25
Publication date: 2020-02-04
Anticipated expiration: 2039-10-25
Also published as: CN110753059B

Abstract

本发明公开了一种权限管理方法，包括在管理端执行以下步骤：接收客户端发送的用户和用户组分别与权限的映射关系；根据所述映射关系更新管理端保存的用户扩展属性文件和用户组扩展属性文件；利用所述用户扩展属性文件和所述用户组扩展属性文件将所述权限与所述用户和所述用户组绑定。本发明还公开了一种计算机设备以及可读存储介质。本发明公开的方法通过权限与用户和用户组直接映射，克服了现有技术中权限通过用户组关联后，间接与用户关联的缺点，使得权限的更改更加的方便。并且将权限与用户和用户组的关联关系记录在管理端，可以方便对权限、用户和用户组的管理，无需客户端维护。

Description

一种权限管理方法、设备以及存储介质

技术领域

本发明涉及权限管理领域，具体涉及一种权限管理方法、设备以及存储介质。

背景技术

在互联网时代，多台设备共用一套账户信息，每台设备账户信息，密码相同，每台设备都保存一份用户信息，存在冗余之外，亦不方便用户的管理。为了解决这种问题，通常情况下我们会在局域网内搭建一台用户管理服务器。集中管理多台设备的账户信息。为了区分用户在不同client上的权限，传统的处理方式：首先Client端远程连接用户管理服务器，创建用户，并指定该用户所在的用户组或直接在用户管理服务器上创建用户并指定其所在的用户组，如果不指定用户组的话，默认在与用户同名的用户组下，然后查询用户管理服务器上的用户组，选择指定用户组和client的角色权限做映射，最后将用户添加到角色权限所在的组，即此用户具有client角色权限。此种方式虽然能够实现client端权限和用户管理服务器用户的权限角色映射，但是随着用户规模的增大，用户附属多个用户组，如图1所示，一个用户组下多个用户，即用户和Client角色权限是多对多关系，用户如果想要取消某种权限，必须将该用户从具有该权限的用户组中移除。若多个用户组都具有该权限，且用户隶属多个用户组，则必须解除和这几个用户组的关系。操作繁琐，且Client业务逻辑复杂易出错。

因此，急需一种权限管理方法。

发明内容

有鉴于此，为了克服上述问题的至少一个方面，本发明实施例的提出一种权限管理方法，包括在管理端执行以下步骤：

接收客户端发送的用户和用户组分别与权限的映射关系；

根据所述映射关系更新管理端保存的用户扩展属性文件和用户组扩展属性文件；

利用所述用户扩展属性文件和所述用户组扩展属性文件将所述权限与所述用户和所述用户组绑定。

在一些实施例中，接收客户端发送的用户和用户组分别与权限的映射关系，进一步包括：

建立与所述客户端的连接；

创建所述用户；

利用所述用户创建所述用户组。

在一些实施例中，还包括：

获取所述客户端的IP、所述用户的名称以及所述用户组的名称；

根据所述映射关系获取所述客户端的私有权限和所述客户端的公有权限。

在一些实施例中，根据所述映射关系更新管理端保存的用户扩展属性文件，进一步包括：

利用所述用户与所述权限的映射关系、所述用户的名称、所述客户端的IP、所述客户端的私有权限以及所述用户组的名称按照预设格式更新所述用户扩展属性文件。

在一些实施例中，根据所述映射关系更新管理端保存的用户组扩展属性文件，进一步包括：

利用所述用户组与所述权限的映射关系、所述用户组的名称、所述客户端的IP以及所述客户端的公有权限按照预设格式更新所述用户组扩展属性文件。

在一些实施例中，还包括：

读取所述用户扩展属性文件和所述用户组扩展属性文件；

获取所述客户端的权限绑定信息。

在一些实施例中，还包括：

将所述权限绑定信息以及与所述客户端的配置相同的第二客户端的IP更新到所述用户扩展属性文件和所述用户组扩展属性文件中；

利用更新后的所述用户扩展属性文件和所述用户组扩展属性文件将所述第二客户端的权限和与所述第二客户端对应的用户和用户组绑定。

在一些实施例中，还包括：

将所述权限的绑定记录结果记录到文件中；

读取所述文件并将所述绑定记录结果记录到操作日志中。

基于同一发明构思，根据本发明的另一个方面，本发明的实施例还提供了一种计算机设备，包括：

至少一个处理器；以及

存储器，所述存储器存储有可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时执行如上所述的任一种权限管理方法的步骤。

基于同一发明构思，根据本发明的另一个方面，本发明的实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时执行如上所述的任一种权限管理方法的步骤。

本发明具有以下有益技术效果之一：本发明公开的方法通过权限与用户和用户组直接映射，克服了现有技术中权限通过用户组关联后，间接与用户关联的缺点，使得权限的更改更加的方便。并且将权限与用户和用户组的关联关系记录在管理端，可以方便对权限、用户和用户组的管理，无需客户端维护。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的实施例。

图1为现有技术中的权限绑定关系的结构示意图

图2为本发明的实施例提供的一种权限管理方法的流程示意图；

图3为本发明的实施例提供的权限绑定关系的结构示意图；

图4为本发明的实施例提供的计算机设备的结构示意图；

图5为本发明的实施例提供的计算机可读存储介质的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。

需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。

需要说明的是，在本发明实施例中，Client指客户端，UAEI(User AuthorityExtend Interface)指用户扩展接口。

根据本发明的一个方面，本发明的实施例提出一种权限管理方法，如图2所示，其可以包括在管理端执行以下步骤：S1，接收客户端发送的用户和用户组分别与权限的映射关系；S2，根据所述映射关系更新管理端保存的用户扩展属性文件和用户组扩展属性文件；S3，利用所述用户扩展属性文件和所述用户组扩展属性文件将所述权限与所述用户和所述用户组绑定。

本发明公开的方法通过权限与用户和用户组直接映射，克服了现有技术中权限通过用户组关联后，间接与用户关联的缺点，使得权限的更改更加的方便。并且将权限与用户和用户组的关联关系记录在管理端，可以方便对权限、用户和用户组的管理，无需客户端维护。

建立与所述客户端的连接；

创建所述用户；

利用所述用户创建所述用户组。

具体的，可以先在客户端设置管理端的信息，例如IP地址等等，通过这些信息实现客户端与管理端的连接，然后在服务器上按照传统方式创建用户，并指定用户所在的用户组。

需要说明的是，可以直接在管理端上创建用户和用户组，也可以通过客户端远程连接到服务端后，利用客户端在服务端创建用户和用户组。

在一些实施例中，本发明的实施例提出的权限管理方法还包括：获取所述客户端的IP、所述用户的名称以及所述用户组的名称；根据所述映射关系获取所述客户端的私有权限和所述客户端的公有权限。

具体的，为了将客户端的权限与客户端相对应，或者为了记录某一用户在该客户端下具有哪些权限，或者为了记录用户组有哪些权限，需要获取相应的用户和用户组的名称、客户端的IP以及权限。

需要说明的是，权限是随客户端的改变而改变，不是随用户的改变而改变，即用户在客户端下能够拥有的权限的种类和数量由该客户端的权限的种类和数量决定，例如，客户端A具有权限1和权限2，在客户端A下的用户1最多只能有权限1和权限2。

其中，客户端的私有权限指该用户组中只有一个用户有该权限，其他用户不具有该权限，客户端的公有权限指用户组具有的权限，即该用户组中所有的用户均具有该权限。例如，如图3所示，Client1具有auth1、auth2和auth3三个权限，其中auth1和auth3为私有权限，其分别赋予了用户U1和用户U2，而auth2则是公有权限，其被赋予了用户组G1，因此用户组G1中的所有用户均具有该权限。Client2具有auth4和auth5两个权限，其被赋予了用户组G2，因此用户组G2中的用户U3和U4均具有auth4和auth5。当然，一个用户组也可以不仅仅只有一个客户端的用户，可以具有多个客户端的用户，一个客户端也可以不仅仅只对应一个用户组，也可以对应多个用户组。

利用所述用户与所述权限的映射关系、所述用户的名称、所述客户端的IP、所述客户端的私有权限以及所述用户组的名称按照预设格式生成/更新所述用户扩展属性文件。

在一些实施例中，用于生成的用户扩展属性文件的预设格式可以是：

“user1”：{“Device”：“100.7.46.161,100,7,46.131”，“100.7.46.161”:{“Auth”:”auth1,auth2”，“group”:”group1,group2”}“100,7,46.131”:{“Auth”:”auth1,auth6”}}

其中，user1指用户1，Device指客户端，“Device”：“100.7.46.161,100,7,46.131”表示该用户1既在IP为100.7.46.161下的客户端，又在IP为100,7,46.131的客户端，“100.7.46.161”:{“Auth”:”auth1,auth2”，“group”:”group1,group2”}表示该用户1在100.7.46.161中的私有权限为auth1和auth2，公有权限为其所在的用户组group1和group2所具有的权限，也即user1在两个用户组中。“100,7,46.131”:{“Auth”:”auth1,auth6”}表示该用户1在100,7,46.131中的私有权限为auth1和auth6，没有公有权限。因此，用户1的权限即为私有权限加上公有权限，也即用户1的权限为其扩展属性权限和其所在用户组权限的交集。

这样，通过权限与用户的映射关系、用户的名称，客户端的IP，客户端的私有权限以及用户组的名称即可生成用户扩展属性文件。

利用所述用户组与所述权限的映射关系、所述用户组的名称、所述客户端的IP以及所述客户端的公有权限按照预设格式生成/更新所述用户组扩展属性文件。

在一些实施例中，用于生成的用户组扩展属性文件的预设格式可以是：

“group1”：{“Device”:”100.7.46.161,100,7,46.131”，“100.7.46.161”:{“Auth”:”auth3,auth4”}“100,7,46.131”:{“Auth”:”auth7,auth8”}}

其中，group1指用户组1，Device”:”100.7.46.161,100,7,46.131指在该用户组中具有两个客户端，其中，IP为100.7.46.161的客户端1的公有权限为auth3和auth4，IP为100,7,46.131的客户端2的公有权限为auth7和auth8。

具体的，IP为100.7.46.161的客户端1具有权限auth1、auth2、auth3和auth4，其中权限auth1和权限auth2为用户1的私有权限，权限auth3和auth4为用户组G1的公有权限，所以在客户端1下的用户1具有的权限包括私有权限auth1和auth2、用户组G1的公有权限auth3和auth4。IP为100,7,46.131的客户端2具有权限auth1、auth6、auth7和auth8，其中权限auth1和auth6均为用户1的私有权限，auth7和auth8为用户组G1的公有权限，所以在客户端2下的用户1具有的权限包括私有权限auth1和auth6，以及用户组G1的公有权限auth7和auth8。

需要说明的是，私有权限也可以是公有权限，即可以根据需求将私有权限绑定到用户组上，只需要调整用户组扩展文件中的权限种类即可。

在一些实施例中，可以通过在管理端新增扩展接口UAEI，该接口通过给用户组，用户增加扩展属性，标识client和当前用户组，用户的权限关系，扩展属性记录在用户扩展属性文件中。此种方式通过新增用户，用户组扩展属性文件记录各个client赋予用户组，用户权限，使用户管理服务器能够用户管理服务器集中保存账户和各个client端的角色权限关系，无需client维护，client直接使用指令查询权限即可。管理员管理用户更加方便。若某台client权限变更，直接登陆用户管理服务器或远程链接用户管理服务器执行解除用户或用户组与角色映射指令即可。

需要说明的是，管理端上的用户扩展属性文件和用户组扩展属性文件均为一个，即所有的用户与权限的绑定关系记录在用户扩展属性文件中，所述的用户组与权限的绑定关系记录在用户组扩展属性文件中。

在一些实施例中，还包括：

读取所述用户扩展属性文件和所述用户组扩展属性文件；

获取所述客户端的权限绑定信息。

在一些实施例中，还包括：

这样，对于两台相同配置client，无需在ClientB重复ClientA(用户组和角色做映射)的步骤，直接读取用户扩展属性文件和用户组扩展属性文件得到ClientA下的用户、用户组与权限的对应关系，然后将该对应关系添加到用户扩展属性文件和用户组扩展属性文件中，接着利用更新后的用户扩展属性文件和用户组扩展属性文件即可实现ClientB的权限绑定，简单方便。

在一些实施例中，本发明提出的权限管理方法，还包括：

将所述权限的绑定记录结果记录到文件中；

读取所述文件并将所述绑定记录结果记录到操作日志中。

具体的，在管理端执行完两个扩展属性文件后，可以将执行绑定结果记录到ret文件中，然后读取ret文件，并将ret文件记录操作日志中，方便用户查看任务执行结果。

本发明实施例提出的权限管理方法通过在用户管理服务器新增扩展接口UAEI，该接口通过给用户组，用户增加扩展属性，标识client和当前用户组，用户的角色权限关系，然后扩展属性记录在用户扩展属性文件中。这样，用户管理服务器集中保存账户和各个client端的角色权限关系，无需client维护，client直接使用指令查询权限即可，管理员管理用户更加方便。

基于同一发明构思，根据本发明的另一个方面，如图4所示，本发明的实施例还提供了一种计算机设备501，包括：

至少一个处理器520；以及

存储器510，存储器510存储有可在处理器上运行的计算机程序511，处理器520执行程序时执行如上的任一种权限管理方法的步骤。

基于同一发明构思，根据本发明的另一个方面，如图5所示，本发明的实施例还提供了一种计算机可读存储介质601，计算机可读存储介质601存储有计算机程序指令610，计算机程序指令610被处理器执行时执行如上的任一种权限管理方法的步骤。

最后需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。上述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

此外，典型地，本发明实施例公开的装置、设备等可为各种电子终端设备，例如手机、个人数字助理(PDA)、平板电脑(PAD)、智能电视等，也可以是大型终端设备，如服务器等，因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。

此外，根据本发明实施例公开的方法还可以被实现为由CPU执行的计算机程序，该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU执行时，执行本发明实施例公开的方法中限定的上述功能。

此外，上述方法步骤以及***单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。

此外，应该明白的是，本文的计算机可读存储介质(例如，存储器)可以是易失性存储器或非易失性存储器，或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的，非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM(EEPROM)或快闪存储器。易失性存储器可以包括随机存取存储器(RAM)，该RAM可以充当外部高速缓存存储器。作为例子而非限制性的，RAM可以以多种形式获得，比如同步RAM(DRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDRSDRAM)、增强SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)、以及直接Rambus RAM(DRRAM)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。

本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性，已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个***的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能，但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。

结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里功能的下列部件来实现或执行：通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器，但是可替换地，处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合，例如，DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这种配置。

结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器，使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中，存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在一个替换方案中，处理器和存储介质可以作为分立组件驻留在用户终端中。

在一个或多个示例性设计中，功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现，则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质，该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的，该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备，或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外，任何连接都可以适当地称为计算机可读介质。例如，如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件，则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的，磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘，其中磁盘通常磁性地再现数据，而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。

以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。

应当理解的是，在本文中使用的，除非上下文清楚地支持例外情况，单数形式“一个”旨在也包括复数形式。还应当理解的是，在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。

上述本发明实施例公开实施例序号仅仅为了描述，不代表实施例的优劣。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。

Claims

1.一种权限管理方法，包括在管理端执行以下步骤：

接收客户端发送的用户和用户组分别与权限的映射关系；

2.如权利要求1所述的方法，其特征在于，接收客户端发送的用户和用户组分别与权限的映射关系，进一步包括：

建立与所述客户端的连接；

创建所述用户；

利用所述用户创建所述用户组。

3.如权利要求1所述的方法，其特征在于，还包括：

4.如权利要求3所述的方法，其特征在于，根据所述映射关系更新管理端保存的用户扩展属性文件，进一步包括：

5.如权利要求3所述的方法，其特征在于，根据所述映射关系更新管理端保存的用户组扩展属性文件，进一步包括：

6.如权利要求1所述的方法，其特征在于，还包括：

读取所述用户扩展属性文件和所述用户组扩展属性文件；

获取所述客户端的权限绑定信息。

7.如权利要求6所述的方法，其特征在于，还包括：

8.如权利要求1所述的方法，其特征在于，还包括：

将所述权限的绑定记录结果记录到文件中；

读取所述文件并将所述绑定记录结果记录到操作日志中。

9.一种计算机设备，包括：

至少一个处理器；以及

存储器，所述存储器存储有可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时执行如权利要求1-8任意一项所述的方法的步骤。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时执行权利要求1-8任意一项所述的方法的步骤。