CN113127890B - 一种访问权限管理方法及装置 - Google Patents
一种访问权限管理方法及装置 Download PDFInfo
- Publication number
- CN113127890B CN113127890B CN201911406141.2A CN201911406141A CN113127890B CN 113127890 B CN113127890 B CN 113127890B CN 201911406141 A CN201911406141 A CN 201911406141A CN 113127890 B CN113127890 B CN 113127890B
- Authority
- CN
- China
- Prior art keywords
- role
- current
- sub
- access
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明适用于权限管理技术领域,提供了一种访问权限管理方法及装置,方法包括:获取用户的目标角色以及需要访问的目标资源,并确定所述目标角色为当前角色;根据预先建立的用户与资源的权限关系,确定所述当前角色是否具有访问所述目标资源的权限;如果所述当前角色不具有访问所述目标资源的权限,则获取所述当前角色具有的当前子角色;判断所述当前子角色是否具有访问所述目标资源的权限;如果所述当前子角色具有访问所述目标资源的权限,则确认所述用户具有访问所述目标资源的权限。本发明当对某一个角色访问权限进行修改时,则其上一级的角色的访问权限也对应修改,而不用逐一对每一个角色的访问权限进行修改,灵活性更高。
Description
技术领域
本发明属于权限管理技术领域,尤其涉及一种访问权限管理方法及装置。
背景技术
目前,常见的访问权限管理功能可以基于角色访问控制(Role-Based AccessControl,简写为RBAC)技术实现。在RBAC技术中,权限赋予角色,角色指定给一个用户,此用户就拥有了该角色所具有的元操作的权限。其中,元操作是最小的权限管理单元。
为了在用户请求执行某项元操作(例如请求访问某网络资源)时,需要查询用户是否具备执行该项元操作的权限,按照RBAC技术会为用户分配角色标识,以使得后续可以根据用户具备的角色标识确定用户的角色,进而确定用户的角色具有的元操作权限。
然而,现有的RBAC技术只能建立起用户与角色标识的对应关系,因此在确定用户具有的元操作权限时,只能依据该对应关系确定出用户的角色,进而确定用户的角色具备的元操作权限,灵活性较低。
发明内容
有鉴于此,本发明实施例提供了一种访问权限管理方法及装置,以解决现有RBAC技术中访问权限管理灵活性较低的技术问题。
本发明实施例的第一方面提供了一种访问权限管理方法,包括:
获取用户的目标角色以及需要访问的目标资源,并确定所述目标角色为当前角色;
根据预先建立的用户与资源的权限关系,确定所述当前角色是否具有访问所述目标资源的权限;
如果所述当前角色不具有访问所述目标资源的权限,则获取所述当前角色具有的当前子角色;
判断所述当前子角色是否具有访问所述目标资源的权限;
如果所述当前子角色具有访问所述目标资源的权限,则确认所述用户具有访问所述目标资源的权限。
本发明实施例的第二方面提供了一种访问权限管理装置,包括:
当前角色确定模块,用于获取用户的目标角色以及需要访问的目标资源,并确定所述目标角色为当前角色;
第一判断模块,用于根据预先建立的用户与资源的权限关系,确定所述当前角色是否具有访问所述目标资源的权限;
当前子角色确定模块,用于如果所述当前角色不具有访问所述目标资源的权限,则获取所述当前角色具有的当前子角色;
第二判断模块,用于判断所述当前子角色是否具有访问所述目标资源的权限;
权限确认模块,用于如果所述当前子角色具有访问所述目标资源的权限,则确认所述用户具有访问所述目标资源的权限。
本发明实施例的第三方面提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述访问权限管理方法的步骤。
本发明实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现上述访问权限管理方法的步骤。
本发明实施例提供的访问权限管理方法的有益效果至少在于:本发明实施例在基于角色访问控制的基础上延伸了树状结构,预先建立用户与资源的权限关系,在资源访问的过程中,通过对用户的角色以及该角色所具有的直接访问权限和间接访问权限进行确认,从而确认对目标资源的访问权限;当对某一个角色访问权限进行修改时,则其上一级的角色的访问权限也对应修改,而不用逐一对每一个角色的访问权限进行修改,灵活性更高。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例提供的访问权限管理方法中权限关系的结构示意图一;
图2是本发明实施例提供的访问权限管理方法中权限关系的结构示意图二;
图3是本发明实施例提供的访问权限管理方法的实现流程示意图一;
图4是本发明实施例提供的访问权限管理方法的实现流程示意图二;
图5是本发明实施例提供的访问权限管理方法中获取当前角色具有的当前子角色的实现流程示意图;
图6是本发明实施例提供的访问权限管理装置的示意图;
图7是本发明实施例提供的终端设备的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定***结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的***、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
为了对用户对资源的访问权限进行管理,目前主要的几种方式为基于角色访问控制(RBAC)、基于用户访问控制以及基于权限访问控制。其中,基于角色访问控制是将访问控制所需的权限做成角色的集合,赋予用户对应的角色,从而确保用户具有对应角色的权限。然而,基于角色访问控制的方式只能建立用户与角色标识之间的对应关系,如果用户只需要某一个权限也需要创建一个角色,灵活性较低。基于用户访问控制则是特定的用户具有特定的权限,每一个用户的权限可以都不同。但是这种方式中固定的用户拥有固定的权限,整体灵活性也较低。基于权限访问控制则是每次用户访问时给用户赋予权限,具体到每一个具体的权限。但是这种方式中已经赋予权限的用户修改权限相对困难,整体灵活性也较低。
为了能够有效提高访问权限管理的灵活性,本实施例在基于角色访问控制的基础上提出了一种全新的访问权限管理方法,在该访问权限管理方法中,可以预先建立用户与资源的权限关系,从而在用户需要访问资源时根据权限关系来判断其是否具有访问权限。
图1是本实施例提供的用户与资源的权限关系的一种示意图。权限关系采用的是Unix目录结构的权限结构,其示意图中至少包括两级角色层级,其中层级较高的根角色具有至少一个层级较低的子角色,每个子角色至少对应一个具有访问权限的资源。就访问权限而言,根角色具有其对应的子角色的访问权限。
请参阅图1,以两级角色层级为例。根角色具有两个子角色,分别记为第一子角色和第二子角色,每个子角色具有附带的域,每个域对应一个资源的访问权限,例如第一子角色具有域1和域2,因此第一子角色具有第一资源、第二资源的访问权限,同理第二子角色具有域3和域4,从而具有第三资源和第四资源的访问权限。由于根角色具有其对应的子角色的访问权限,因此根角色具有第一资源、第二资源、第三资源以及第四资源的访问权限。不仅如此,根角色还具有域0,域0对应的资源为基础资源,从而根角色还具有基础资源的访问权限。
请参阅图2,以三级角色层级为例。根角色具有两个子角色,别记为第一子角色和第二子角色;每个子角色又具有子角色,第一子角色的子角色分别记为第三子角色和第四子角色,第二子角色的子角色分别记为第五子角色。每个子角色具有附带的域,每个域对应一个资源的访问权限,例如第三子角色具有域1和域2,从而具有第一资源和第二资源的访问权限;第四子角色具有域3和域4,从而具有第三资源和第四资源的访问权限;第五子角色具有域5和域6,从而具有第五资源和第六资源的访问权限。不仅如此,根角色还具有域0,域0对应的资源为基础资源,从而根角色还具有基础资源的访问权限。第一子角色还具有域7,域7对应的资源为第七资源,从而第一子角色还具有第七资源的访问权限。第二子角色还具有域8,域8对应的资源为第八资源,从而第二子角色还具有第八资源的访问权限。因此,各角色的可以访问的资源总结如下:
根角色:基础资源、第一资源、第二资源、第三资源、第四资源、第五资源、第六资源、第七资源、第八资源。
第一子角色:第一资源、第二资源、第三资源、第四资源、第七资源。
第二子角色:第五资源、第六资源、第八资源。
第三子角色:第一资源、第二资源。
第四子角色:第三资源、第四资源。
第五子角色:第五资源、第六资源。
应当理解的是,上述的情形仅用于举例说明,用户与资源的权限关系还可以为其他类型,此处不做限制。给用户赋予不同的角色,则其具有不用的访问权限。当对某一个角色访问权限进行修改时,则其上一级的角色的访问权限也对应修改,而不用逐一对每一个角色的访问权限进行修改,灵活性更高。
图3是本实施例提供的访问权限管理方法的实现流程示意图。访问权限管理方法包括以下步骤:
步骤S10:确定用户的目标角色以及需要访问的目标资源,并确定所述目标角色为当前角色。
需要访问的资源的类型可以根据需要进行调整,例如可以是到医院进行就诊的病人的病历,也可以是其他类型,此处不做限制。根据用户类型的不同,其具有的角色也不相同,从而对应不同的访问权限。例如,作为一家医院的一个科室的主任,其可以具有访问该科室的所有医生的病人的病历的权限;作为一个科室的医生,可以具有访问其接诊的所有病人的病历的权限;作为一位医生的病人,可以具有访问其自身病历的权限。因此,需要首先针对不同的用户赋予不同的角色。
步骤S20:根据预先建立的用户与资源的权限关系,确定所述当前角色是否具有访问所述目标资源的权限。
预先建立的用户与资源的权限关系可以如图1或图2所示。当用户的角色确定以后,其能够访问的资源的权限也随之确定,通过该权限关系示意图则可以具体获知。应当理解的是,通过该权限关系图,用户直接赋予的目标角色对应的当前角色所能直接访问的资源是用户能够直接访问的资源,而对于当前角色的子角色对应的资源,需要通过进一步的判断才能确认当前角色是否能够访问。
如果所述当前角色不具有访问所述目标资源的权限,则:
步骤S30:获取所述当前角色具有的当前子角色。
以图2所示的权限关系示意图为例进行说明,如果用户的当前角色为第一子角色,则其可以直接访问的资源为第七资源,而对于第一资源和第二资源的访问权限则需要通过判断第三子角色是否有访问权限才能确定。由于当前角色能够直接访问的资源不包括所述目标资源,因而需要进一步确定其子角色的访问权限。
可以理解的是,如果所述当前角色具有访问所述目标资源的权限,则确认所述用户具有访问所述目标资源的权限,以确保用户能够访问该目标资源。
请参阅图5,进一步地,当前角色不具有访问所述目标资源的权限的情况下,获取所述当前角色具有的当前子角色包括:
步骤S301:根据所述权限关系,判断所述当前角色是否具有子角色。
以图2所示的权限关系示意图为例进行说明,如果用户的当前角色为根角色,则其子角色包括第一子角色和第二子角色;如果用户的当前角色为第一子角色,则其子角色包括第三子角色和第四子角色;如果用户的当前角色为第二子角色,则其子角色包括第五子角色;如果用户的当前角色为第三子角色、第四子角色或第五子角色,则其并不包括任何子角色。可见,当前角色是否具有子角色存在三种情形:没有子角色、只有一个子角色和有两个及以上的子角色。根据情形的不同,则处理的方式也不同。
如果所述当前角色具有至少一个子角色,则:
步骤S302:选择一个所述子角色作为所述当前角色的当前子角色。
如果所述当前角色没有子角色,则:
步骤S303:确认所述用户不具有访问所述目标资源的权限。
在确定了当前角色的当前子角色后,可以进行下述步骤:
步骤S40:判断所述当前子角色是否具有访问所述目标资源的权限。可以理解的是,该过程也是基于预先建立的用户与资源的权限关系来进行判断,判断的也是当前子角色所能直接访问的资源中是否包含该目标资源。
如果所述当前子角色具有访问所述目标资源的权限,则:
步骤S50:确认所述用户具有访问所述目标资源的权限,以确保用户能够访问该目标资源。
如果所述当前子角色所能直接访问的资源中不包括该目标资源,则意味着当前子角色不具有访问所述目标资源的权限,因而需要进一步判断当前角色是否具有其他的子角色,以进一步确认访问权限。因此,请参阅图4,如果所述当前子角色不具有访问所述资源的权限,步骤S40后还包括:
步骤S601:判断所述当前角色是否具有其他子角色;
可以理解的是,根据当前角色所具有的子角色数量的不同,本过程的判断结果也不同。以图2所示的权限关系示意图为例,如果当前角色为根角色或第一子角色,则当前角色具有两个子角色,因此除了前述的当前子角色以外,还具有其他子角色;如果当前角色为第二子角色,则当前角色具有一个子角色,因此除了前述的当前子角色以外,不具有其他子角色。
如果所述当前角色具有其他子角色,则:
步骤S602:确认一个其他子角色作为所述当前角色的当前子角色,并返回步骤S40,以进行进一步的访问权限的判断。
例如,当前角色为第一子角色时,当前子角色为第三子角色,其他子角色为第四子角色,当第三子角色不具有访问目标资源的权限时,确认第四子角色为当前子角色。
如果所述当前角色不具有其他子角色,则:
步骤S603:将所述当前子角色确定为当前角色,并返回所述步骤S30,以进行进一步的访问权限的判断,直到从用户所赋予的角色的所有访问权限中获得访问目标资源的访问权限,则确认用户具有访问权限;或者直到所有可能性均判断完全,还是无法获得目标资源的访问权限,则确认用户不具有访问权限。
本实施例提供的访问权限管理方法的有益效果至少在于:本实施例在基于角色访问控制的基础上延伸了树状结构,预先建立用户与资源的权限关系,在资源访问的过程中,通过对用户的角色以及该角色所具有的直接访问权限和间接访问权限进行确认,从而确认对目标资源的访问权限;当对某一个角色访问权限进行修改时,则其上一级的角色的访问权限也对应修改,而不用逐一对每一个角色的访问权限进行修改,灵活性更高,且相同的访问权限下可以具有不同的访问控制效果。
以下结合图2的权限关系示意图给出具体的实施例用于对上述的访问权限管理方法进行说明。应当理解的是,下述实施例仅用于进行解释说明,并不对本实施例的保护范围进行限制。
实施例1:
步骤S711:确定用户的目标角色以及需要访问的目标资源。用户的目标角色为第五子角色,目标资源为第五资源,并确定所述第五子角色角色为当前角色。
步骤S712:根据预先建立的用户与资源的权限关系,确定所述当前角色是否具有访问所述目标资源的权限。根据图2可知,第五子角色具有对第五资源和第六资源的访问权限,因此当前角色具有访问目标资源的权限。
步骤S713:确认所述用户具有访问所述目标资源的权限,以确保用户能够访问该目标资源。
实施例2:
步骤S721:确定用户的当前角色以及需要访问的目标资源。用户的目标角色为第五子角色,目标资源为第一资源,并确定所述第五子角色角色为当前角色。
步骤S732:根据预先建立的用户与资源的权限关系,确定所述当前角色是否具有访问所述目标资源的权限。根据图2可知,第五子角色仅具有对第五资源和第六资源的访问权限,因此当前角色不具有访问目标资源的权限。
步骤S723:根据所述权限关系,判断所述当前角色是否具有子角色。根据图2可知,当前角色不具有子角色。
步骤S724:确认所述用户不具有访问所述目标资源的权限。
实施例3:
步骤S731:确定用户的当前角色以及需要访问的目标资源。用户的目标角色为第二子角色,目标资源为第五资源,并确定所述第二子角色角色为当前角色。
步骤S732:根据预先建立的用户与资源的权限关系,确定所述当前角色是否具有访问所述目标资源的权限。根据图2可知,第二子角色仅具有对第八资源的直接访问权限,因此当前角色不具有访问目标资源的权限。
步骤S733:根据所述权限关系,判断所述当前角色是否具有子角色。根据图2可知,当前角色具有第五子角色。
步骤S734:选择一个所述子角色作为所述当前角色的当前子角色。此时可以选定第五子角色作为当前角色的当前子角色。
步骤S735:判断所述当前子角色是否具有访问所述目标资源的权限。根据图2可知,第五子角色具有对第五资源和第六资源的访问权限,因此具有对目标资源的访问权限。
步骤S736:确认所述用户具有访问所述目标资源的权限,以确保用户能够访问该目标资源。
实施例4:
步骤S741:确定用户的当前角色以及需要访问的目标资源。用户的目标角色为第一子角色,目标资源为第四资源,并确定所述第一子角色角色为当前角色。
步骤S742:根据预先建立的用户与资源的权限关系,确定所述当前角色是否具有访问所述目标资源的权限。根据图2可知,第一子角色仅具有对第七资源的直接访问权限,因此当前角色不具有访问目标资源的权限。
步骤S743:根据所述权限关系,判断所述当前角色是否具有子角色。根据图2可知,当前角色具有第三子角色和第四子角色。
步骤S744:选择一个所述子角色作为所述当前角色的当前子角色。此时可以选定第三子角色作为当前角色的当前子角色。
步骤S745:判断所述当前子角色是否具有访问所述目标资源的权限。根据图2可知,第三子角色仅具有对第一资源和第二资源的访问权限,因此不具有对目标资源的访问权限。
步骤S746:判断所述当前角色是否具有其他子角色。根据图2可知,当前角色还具有第四子角色。
步骤S747:确认一个其他子角色作为所述当前角色的当前子角色。本实施例确认第四子角色为当前子角色。
步骤S748:判断所述当前子角色是否具有访问所述目标资源的权限。根据图2可知,第四子角色具有对第三资源和第四资源的访问权限,因此具有对目标资源的访问权限。
步骤S749:确认所述用户具有访问所述目标资源的权限,以确保用户能够访问该目标资源。
实施例5:确定用户的当前角色以及需要访问的目标资源。用户的目标角色为根角色,目标资源为第六资源,并确定所述根角色为当前角色。其访问权限管理方法的实现流程与上述实施例相似,可确定用户具有对目标资源的访问权限,此处不再赘述。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
基于相同的发明构思,请参阅图6,本实施例还提供了一种访问权限管理装置,包括当前角色确定模块81、第一判断模块82、当前子角色确定模块83、第二判断模块84以及权限确认模块85。其中,当前角色确定模块81用于获取用户的目标角色以及需要访问的目标资源,并确定所述目标角色为当前角色;第一判断模块82用于根据预先建立的用户与资源的权限关系,确定所述当前角色是否具有访问所述目标资源的权限;当前子角色确定模块83用于如果所述当前角色不具有访问所述目标资源的权限,则获取所述当前角色具有的当前子角色;第二判断模块84用于判断所述当前子角色是否具有访问所述目标资源的权限;权限确认模块85用于如果所述当前子角色具有访问所述目标资源的权限,则确认所述用户具有访问所述目标资源的权限。当然,本实施例提供的访问权限管理装置还可以包括其他的模块或单元,此处并未完全列出。
图7是本发明一实施例提供的终端设备的示意图。如图7所示,该实施例的终端设备9包括:处理器90、存储器91以及存储在所述存储器91中并可在所述处理器90上运行的计算机程序92,例如访问权限管理程序。所述处理器90执行所述计算机程序92时实现上述各个访问权限管理方法实施例中的步骤,例如图3至图5所示的步骤S10至步骤S603。或者,所述处理器90执行所述计算机程序92时实现上述各装置实施例中各模块/单元的功能,例如图6所示模块81至85的功能。
示例性的,所述计算机程序92可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器91中,并由所述处理器90执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序92在所述终端设备9中的执行过程。
所述终端设备9可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括,但不仅限于,处理器90、存储器91。本领域技术人员可以理解,图7仅仅是终端设备9的示例,并不构成对终端设备9的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器90可以是中央处理单元(Central Processing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器91可以是所述终端设备9的内部存储单元,例如终端设备9的硬盘或内存。所述存储器91也可以是所述终端设备9的外部存储设备,例如所述终端设备9上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器91还可以既包括所述终端设备9的内部存储单元也包括外部存储设备。所述存储器91用于存储所述计算机程序以及所述终端设备所需的其它程序和数据。所述存储器91还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述***中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种访问权限管理方法,其特征在于,包括:
获取用户的目标角色以及需要访问的目标资源,并确定所述目标角色为当前角色;
根据预先建立的用户与资源的权限关系,确定所述当前角色是否具有访问所述目标资源的权限;
如果所述当前角色不具有访问所述目标资源的权限,则获取所述当前角色具有的当前子角色;
判断所述当前子角色是否具有访问所述目标资源的权限;
如果所述当前子角色具有访问所述目标资源的权限,则确认所述用户具有访问所述目标资源的权限。
2.如权利要求1所述的访问权限管理方法,其特征在于,所述预先建立的用户与资源的权限关系中至少包括两级角色层级,其中层级较高的根角色具有至少一个层级较低的子角色,每个所述子角色至少对应一个具有访问权限的资源,所述根角色具有其对应的子角色的访问权限。
3.如权利要求1所述的访问权限管理方法,其特征在于,所述根据预先建立的用户与资源的权限关系,确定所述当前角色是否具有访问所述目标资源的权限步骤后,还包括:
如果所述当前角色具有访问所述目标资源的权限,则确认所述用户具有访问所述目标资源的权限。
4.如权利要求1所述的访问权限管理方法,其特征在于,所述如果所述当前角色不具有访问所述目标资源的权限,则获取所述当前角色具有的子角色,包括:
如果所述当前角色不具有访问所述目标资源的权限,则根据所述权限关系,判断所述当前角色是否具有子角色;
如果所述当前角色具有至少一个子角色,则选择一个所述子角色作为所述当前角色的当前子角色。
5.如权利要求4所述的访问权限管理方法,其特征在于,所述判断所述当前角色是否具有子角色步骤后,还包括:
如果所述当前角色没有子角色,则确认所述用户不具有访问所述目标资源的权限。
6.如权利要求4所述的访问权限管理方法,其特征在于,所述判断所述当前子角色是否具有访问所述目标资源的权限步骤后,还包括:
如果所述当前子角色不具有访问所述目标资源的权限,则判断所述当前角色是否具有其他子角色;
如果所述当前角色具有其他子角色,则确认一个其他子角色作为所述当前角色的当前子角色,并返回判断所述当前子角色是否具有访问所述目标资源的权限步骤。
7.如权利要求6所述的访问权限管理方法,其特征在于,所述判断所述当前角色是否具有其他子角色步骤后,还包括:
如果所述当前角色不具有其他子角色,则将所述当前子角色确定为当前角色,并返回所述获取所述当前角色具有的当前子角色步骤。
8.一种访问权限管理装置,其特征在于,包括:
当前角色确定模块,用于获取用户的目标角色以及需要访问的目标资源,并确定所述目标角色为当前角色;
第一判断模块,用于根据预先建立的用户与资源的权限关系,确定所述当前角色是否具有访问所述目标资源的权限;
当前子角色确定模块,用于如果所述当前角色不具有访问所述目标资源的权限,则获取所述当前角色具有的当前子角色;
第二判断模块,用于判断所述当前子角色是否具有访问所述目标资源的权限;
权限确认模块,用于如果所述当前子角色具有访问所述目标资源的权限,则确认所述用户具有访问所述目标资源的权限。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述访问权限管理方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述访问权限管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911406141.2A CN113127890B (zh) | 2019-12-31 | 2019-12-31 | 一种访问权限管理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911406141.2A CN113127890B (zh) | 2019-12-31 | 2019-12-31 | 一种访问权限管理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113127890A CN113127890A (zh) | 2021-07-16 |
| CN113127890B true CN113127890B (zh) | 2023-08-29 |
Family
ID=76768701
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911406141.2A Active CN113127890B (zh) | 2019-12-31 | 2019-12-31 | 一种访问权限管理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113127890B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114584364A (zh) * | 2022-03-01 | 2022-06-03 | 北京金山云网络技术有限公司 | 资源访问控制方法、装置、存储介质以及电子设备 |
| CN116186680A (zh) * | 2023-01-03 | 2023-05-30 | 学银通融(北京)教育科技有限公司 | 一种权限控制管理方法、装置及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101093524A (zh) * | 2006-06-22 | 2007-12-26 | 上海新纳广告传媒有限公司 | 基于层次结构的权限处理*** |
| CN102932340A (zh) * | 2012-10-25 | 2013-02-13 | 上海电机学院 | 基于角色的访问控制***及方法 |
| CN102957697A (zh) * | 2012-10-26 | 2013-03-06 | 上海交通大学 | 一种多域间基于rbac模型的访问控制策略合成方法 |
| CN109688120A (zh) * | 2018-12-14 | 2019-04-26 | 浙江大学 | 基于改进RBAC模型及Spring Security框架的动态权限管理*** |
-
2019
- 2019-12-31 CN CN201911406141.2A patent/CN113127890B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101093524A (zh) * | 2006-06-22 | 2007-12-26 | 上海新纳广告传媒有限公司 | 基于层次结构的权限处理*** |
| CN102932340A (zh) * | 2012-10-25 | 2013-02-13 | 上海电机学院 | 基于角色的访问控制***及方法 |
| CN102957697A (zh) * | 2012-10-26 | 2013-03-06 | 上海交通大学 | 一种多域间基于rbac模型的访问控制策略合成方法 |
| CN109688120A (zh) * | 2018-12-14 | 2019-04-26 | 浙江大学 | 基于改进RBAC模型及Spring Security框架的动态权限管理*** |
Non-Patent Citations (1)
| Title |
|---|
| 基于角色的层次受限委托模型;刘正涛;《电子科技大学学报》;第39卷(第1期);114-118 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113127890A (zh) | 2021-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108549580B (zh) | 自动部署Kubernetes从节点的方法及终端设备 | |
| US8386392B2 (en) | Software license agreement amongst workgroups using software usage data | |
| CN113127890B (zh) | 一种访问权限管理方法及装置 | |
| EP3958122A1 (en) | Memory management method, apparatus, and system | |
| CN107465687B (zh) | 一种权限配置的实现方法、装置及终端 | |
| CN107480554A (zh) | 一种权限管理方法、权限管理装置及智能终端 | |
| CN112364336A (zh) | 数据库的统一权限管理方法、装置、设备和计算机可读存储介质 | |
| CN108108633A (zh) | 一种数据文件及其访问方法、装置及设备 | |
| CN109348434B (zh) | 一种场景信息的发送方法、发送装置及终端设备 | |
| CN111767270A (zh) | 数据迁移方法、装置、服务器及存储介质 | |
| CN111562953A (zh) | 接口调用方法、装置、计算机装置及可读存储介质 | |
| CN110889132A (zh) | 分布式应用权限校验方法及装置 | |
| TWI791820B (zh) | 離線模式用戶授權方法、裝置、電腦裝置及存儲介質 | |
| CN111177703B (zh) | 操作***数据完整性的确定方法及装置 | |
| US20240265126A1 (en) | Enforcing location-based data privacy rules across networked workloads | |
| WO2024141124A1 (zh) | eSIM设备的LPA自动编译方法、***及介质 | |
| US20200395107A1 (en) | Secure environment device management | |
| CN113312669A (zh) | 密码同步方法、设备及存储介质 | |
| CN108418814A (zh) | 基于dubbo框架的接口认证方法、装置及计算机可读存储介质 | |
| CN110245016B (zh) | 数据处理方法、***、装置及终端设备 | |
| CN115208671B (zh) | 防火墙配置方法、装置、电子设备和存储介质 | |
| CN111783121B (zh) | 数据处理方法、装置、设备及存储介质 | |
| CN113923130B (zh) | 多租户的开放接口资源配置方法、装置、终端 | |
| JP2012123653A (ja) | ライセンス一括割当機能を有するid管理システム及びプログラム | |
| CN112311716B (zh) | 一种基于openstack的数据访问控制方法、装置及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |