一种多层级的用户权限管理方法技术

本发明专利技术公开一种多层级的用户权限管理方法，将所有层级关系集中在机构上，用户、角色和权限的上下级关系通过所属机构传递，大幅降低了多个上下级关系带来权限系统设计的复杂性。本发明专利技术中的数据范围只与机构关联，通过“机构‑角色”对用户授权后，通过“角色”限定操作权限的同时，也通过“机构”限定了用户的数据操作范围，大幅简化了对数据范围合法性检查的业务逻辑。账号‑机构‑角色‑权限之间都是多对多的关系，在实际业务中，会带来非常强大的操作灵活性。本发明专利技术是基于通用性而设计，对于教育行业、政府部门、集团公司等多层级机构的各种管理系统，通过模块化设计，可进行完整复用。基于以上几点，本发明专利技术会带来多层级组织机构的权限系统业务逻辑大幅简化，大量减少范围检查逻辑，从而可以提高产品质量，大幅降低开发和维护成本。

A multi-level user rights management method

User privilege management method of the invention discloses a multi level, all concentrated in the hierarchy mechanism, users, roles and privileges of the subordinate relationship transfer through institutions, dramatically reducing the multiple relationships between complexity of authority system design. In the invention, the range of data and related institutions only, through the \mechanism role\ of the user authorization, the operation authority at the same time defined by the \role\, through the \institutions\ limit the scope of data users, greatly simplifies the data validity check of the business logic. Between the account institutions role permissions are many to many relationship, in the actual business, will bring very strong flexibility. The invention is designed on the basis of universality, and various management systems for multi-level institutions such as education industry, government departments, group companies and so on can be fully reused through modular design. Based on the above, the present invention will bring authority system business logic hierarchical organization is greatly simplified, reducing the number of range checking logic, which can improve the product quality, reduce the cost of development and maintenance.

【技术实现步骤摘要】
一种多层级的用户权限管理方法
本专利技术涉及一种多层级的用户权限管理方法。
技术介绍
随着信息技术的飞速发展，越来越多的政府部门、企业、学校等采用信息管理系统来降低信息采集投入，简化统计分析工作，提高工作效率。为适应安全要求，这些信息管理系统在开发过程中，需要对该业务系统的用户权限和数据操作范围进行限定，由此涉及到组织机构的上下级关系，每级对应的用户，每个用户对应的功能和数据操作范围，权限系统是信息管理系统的基础。在现实情况下，尤其是在教育系统中，国家行政区划与实际各地区的管理区划严重不符，各种新区、管委会的不断出现，多区合并、分拆，学校的总校分校、代管、分拆合并，因各种管理需要临时组建/解散组织机构等，上下级关系频繁变化，导致权限系统经常发生重大变化，对依附于权限系统之上的信息管理系统造成更大的伤害，软件维护投入非常大，软件的通用性受到极大挑战。在机构有上下级关系的同时，因功能操作和管理范围的差异，用户、角色、权限一般也都有上下级关系，所有的上下级关系复合，导致权限系统异常复杂，在设计和开发过程中非常容易出现错误，造成软件质量低下，维护工作量巨大。因此，如何有效解决多层级组织结构中信息管理系统的操作权限分配和操作范围限定，成为一个亟待解决的问题之一。
技术实现思路
有鉴于此，本专利技术目的是提供一种带来多层级组织机构的权限系统业务逻辑大幅简化，大量减少范围检查逻辑，从而可以提高产品质量，大幅降低开发和维护成本的多层级的用户权限管理方法。本专利技术的目的是在基于角色的访问控制模型基础上，针对多层级的组织机构下，用户权限管理和数据范围管理的安全访问控制。在体现“Who对What(Which)进行(How)的操作”的规则中,who代表用户，What(which)表示被操作的数据，How指操作数据的功能，权限管理就是对How的管理，数据范围管理则是对what(Which)的管理。为了解决上述技术问题，本专利技术的技术方案是：包括以下步骤：1).梳理业务需求，根据实际业务数据属性，业务数据要么归属于某个机构直接所有，要么归于某个用户所有，而用户则归属于某个机构，从而使数据间接归属于某个机构，系统中不存在没有归属机构的人和数据，因此通过机构可以控制访问数据的范围，各业务数据和用户都附带有自己的所属机构；2).在多层级的组织机构中，上级机构拥有自己所有下级机构的数据管辖权，既可以访问所有下级机构的所有数据，在实际中是否访问这些数据，则由角色权限来限制；3).为体现上级机构对下级机构的管辖层级关系，建立“机构-父机构”对实现机构之间的多对多关系，每个机构记录自己的所有上级，最顶级的机构没有上级机构；4).根据业务需求，建立角色-权限对，多对多关系，实现角色包含哪些权限；权限分为可用权限和可授权权限，可用权限指自己可以使用该权限，可授权权限指用户可以将该权限再次授权给其他用户；组合多个权限为功能组，在建立角色-权限对时，通过选取功能组，实现对一组权限的开关，方便操作；5).建立“机构-角色”对，多对多关系，表示该机构可使用的角色；6).根据业务需要，通过向用户授予“机构-角色”对的方式，同时实现权限和数据范围的控制，一个用户可以被授予多个“机构-角色”对，用户可以通过切换“机构-角色”对来切换权限和数据范围，也可以将授予该用户的同一个机构的所有角色加和，用户通过切换机构来切换数据范围，权限则是所有角色的总和；7).用户、角色、权限均不设计上下级关系，在实现中可通过复制操作、批量操作等方式，通过业务操作简化授权；8).根据各种业务逻辑需要，经过以上设计后，在实际使用中，业务数据范围管理主要有三种：“上级机构可查看本级及所有下级机构的数据”，“下级机构可查看本级和所有上级机构的数据”，“可查看本级、所有上级机构和所有下级机构的数据”。作为优选，在步骤六中,实现权限的控制是通过角色限制,实现数据范围的控制是通过机构限制。作为优选，所有层级关系集中在机构上，用户、角色和权限的上下级关系通过所属机构传递。作为优选，数据范围只与机构关联，通过“机构-角色”对用户授权后，通过“角色”限定操作权限的同时，也通过“机构”限定了用户的数据操作范围。本专利技术技术效果主要体现在以下方面：本专利技术将所有层级关系集中在机构上，用户、角色和权限的上下级关系通过所属机构传递，大幅降低了多个上下级关系带来权限系统设计的复杂性。本专利技术中的数据范围只与机构关联，通过“机构-角色”对用户授权后，通过“角色”限定操作权限的同时，也通过“机构”限定了用户的数据操作范围，大幅简化了对数据范围合法性检查的业务逻辑。账号-机构-角色-权限之间都是多对多的关系，在实际业务中，会带来非常强大的操作灵活性。本专利技术是基于通用性而设计，对于教育行业、政府部门、集团公司等多层级机构的各种管理系统，通过模块化设计，可进行完整复用。基于以上几点，本专利技术会带来多层级组织机构的权限系统业务逻辑大幅简化，大量减少范围检查逻辑，从而可以提高产品质量，大幅降低开发和维护成本。附图说明图1为本专利技术的教育管理机构关系示意图；图2为本专利技术的数据库原型设计示意图。具体实施方式以下结合附图1-2，对本专利技术的具体实施方式作进一步详述，以使本专利技术技术方案更易于理解和掌握。一种多层级的用户权限管理方法，在教育系统中，一般有市教育局、区教育局、学校、年级、班级等多级机构，机构层级为市教育局-区教育局-学校-年级-班级，机构层级关系如“附图一教育管理机构关系图”。市教育局应能管理所有下属区学校的学生数据、区教育局应能管理自己下属学校的学生数据，学校应能管理本学校的学生数据，年级长应能管理本年级的学生数据，教师应能管理自己任教班级的学生数据，不可以管理不是自己下属机构的学生数据。这里的机构有：市教育局、区教育局、学校、年级、班级；对应的用户有：市/区教育局的领导和政府工作人员等、学校的校长和管理人员、年级长、教师等；需要管理的数据为学生数据，每个学生都有属性字段，例如姓名、年龄、体重、身高、考试成绩等信息；涉及的功能：新增/删除/修改/查询学生的功能，市/区教育局可以执行新增、删除、查询学生的功能，学校、年级长和教师可以执行修改和查询学生的功能；首先设计数据库原型结构，参考“附图一数据库原型设计图”，图中出现的各实体和关系只包括核心字段，实际业务根据需要增加相应的业务字段。在“机构表”中增加市教育局、区教育局、学校A、学校B、年级A、班级A、年级B、班级B等机构；根据“附图一教育管理机构关系图”的上下级关系，在“机构关系表”中增加机构和对应的父机构，例如：区教育局-市教育局，学校A-区教育局，学校B-区教育局，年级A-学校A等；每个功能既为一个权限，在“权限表”中增加：新增、删除、修改、查询的4条数据；市/区教育局的功能相同，因此设计“教育局管理员”角色，该角色包括新增、删除、查询三个功能，学校、年级长和教师的功能相同，因此设计“学校管理员”角色，该角色包括修改和查询两个功能；在“角色表”中插入两条数据，“教育局管理员”和“学校管理员”两个角色；在“角色-权限表”中，关联“角色表”中的“教育局管理员”和“权限表”中的“新增”、“删除”、“查询”，共三条数据，关联“角色表”中的“学校管理员”和“权限表”中的“修改”、“查询”本文档来自技高网...

【技术保护点】
一种多层级的用户权限管理方法，包括以下步骤：1).梳理业务需求，根据实际业务数据属性，业务数据要么归属于某个机构直接所有，要么归于某个用户所有，而用户则归属于某个机构，从而使数据间接归属于某个机构，系统中不存在没有归属机构的人和数据，因此通过机构可以控制访问数据的范围，各业务数据和用户都附带有自己的所属机构；2).在多层级的组织机构中，上级机构拥有自己所有下级机构的数据管辖权，既可以访问所有下级机构的所有数据，在实际中是否访问这些数据，则由角色权限来限制；3).为体现上级机构对下级机构的管辖层级关系，建立“机构‑父机构”对实现机构之间的多对多关系，每个机构记录自己的所有上级，最顶级的机构没有上级机构；4).根据业务需求，建立角色‑权限对，多对多关系，实现角色包含哪些权限；权限分为可用权限和可授权权限，可用权限指自己可以使用该权限，可授权权限指用户可以将该权限再次授权给其他用户；组合多个权限为功能组，在建立角色‑权限对时，通过选取功能组，实现对一组权限的开关，方便操作；5).建立“机构‑角色”对，多对多关系，表示该机构可使用的角色；6).根据业务需要，通过向用户授予“机构‑角色”对的方式，同时实现权限和数据范围的控制，一个用户可以被授予多个“机构‑角色”对，用户可以通过切换“机构‑角色”对来切换权限和数据范围，也可以将授予该用户的同一个机构的所有角色加和，用户通过切换机构来切换数据范围，权限则是所有角色的总和；7).用户、角色、权限均不设计上下级关系，在实现中可通过复制操作、批量操作等方式，通过业务操作简化授权；8).根据各种业务逻辑需要，经过以上设计后，在实际使用中，业务数据范围管理主要有三种：“上级机构可查看本级及所有下级机构的数据”，“下级机构可查看本级和所有上级机构的数据”，“可查看本级、所有上级机构和所有下级机构的数据”。...

【技术特征摘要】
1.一种多层级的用户权限管理方法，包括以下步骤：1).梳理业务需求，根据实际业务数据属性，业务数据要么归属于某个机构直接所有，要么归于某个用户所有，而用户则归属于某个机构，从而使数据间接归属于某个机构，系统中不存在没有归属机构的人和数据，因此通过机构可以控制访问数据的范围，各业务数据和用户都附带有自己的所属机构；2).在多层级的组织机构中，上级机构拥有自己所有下级机构的数据管辖权，既可以访问所有下级机构的所有数据，在实际中是否访问这些数据，则由角色权限来限制；3).为体现上级机构对下级机构的管辖层级关系，建立“机构-父机构”对实现机构之间的多对多关系，每个机构记录自己的所有上级，最顶级的机构没有上级机构；4).根据业务需求，建立角色-权限对，多对多关系，实现角色包含哪些权限；权限分为可用权限和可授权权限，可用权限指自己可以使用该权限，可授权权限指用户可以将该权限再次授权给其他用户；组合多个权限为功能组，在建立角色-权限对时，通过选取功能组，实现对一组权限的开关，方便操作；5).建立“机构-角色”对，多对多关系，表示该机构可使用的角色；6).根据业务需要，通过向用户授予“机构-角色”对的方式，同时...

【专利技术属性】
技术研发人员：闫建辉，马培，
申请(专利权)人：深圳开维教育信息技术股份有限公司，
类型：发明
国别省市：广东,44