本发明专利技术提出一种社交云服务系统中应用的访问控制方法。其中,所述方法包括:S1,根据多个应用的关联性将多个应用划分为多个应用分组;S2,获取每个应用分组中应用的角色,并根据应用的角色生成角色分组,其中,角色分组和多个应用分组中至少一个应用分组相关联;S3,获取角色分组中角色的角色类型、上级角色和角色属性,并根据角色类型、上级角色和角色属性采用集中授权和/或分级授权的方式对用户的应用进行授权。本发明专利技术实施例方法,支持用户在使用应用协同的过程中的沟通、交流和协作,使得用户在业务应用中的角色的描述信息能够按照规则的配置成为社交域中的用户认证信息的有效来源。
【技术实现步骤摘要】
社交云服务系统中应用的访问控制方法
本专利技术涉及云服务系统,尤其涉及一种社交云服务系统中应用的访问控制方法。
技术介绍
基于角色的访问控制是在应用软件系统中广泛采用的一种访问控制方法,该方法使用角色来描述一组相关的应用,将角色作为关联用户和应用的中介,从而简化对用户进行应用授权的过程。由于基于角色的访问控制要求授权过程集中完成,因此随着大型组织中业务应用规模的不断增长和非流程类业务应用的增加,由单个管理员集中完成所有应用的用户授权的难度越来越大。社交云服务系统是基于网络为多个用户群体同时提供交流协作支持的垂直云服务系统,它为不同群体提供完全相互独立的网络交流协作空间,例如,如图1所示。每个独立的网络交流协作空间称为一个社交域,每个社交域由用户、群组、关系和应用共四部分组成,并拥有独立的访问地址、用户界面、用户空间、应用空间和数据空间。多个相互独立的社交域可以为每个用户提供多个独立的网络交流协作空间,使网络空间中的社交环境与现实中的社交环境更加接近,从而能够避免公共的网络空间中的社交环境中存在的由单一的社交空间而引起的用户社交域混合的问题。在组织中,社交域以人为线索将组织内部的各种信息、业务流程、人和群体组织起来,既可以为组织成员提供交流和协作的服务,又可以作为组织内部不同方面应用的入口,最终成为组织内部的社交门户。以社交门户为入口的各个方面的应用通常采用基于角色的访问控制方法或者其他扩展的基于角色的访问控制模型,不同方面的应用通常会使用不同的角色模型,而且它们的具体授权方式也会有因业务的规模、管理方式和业务流程等存在差异。对于流程性较强、业务规模较小的应用,采用基于角色的访问控制方法即可。对于流程性较强、业务规模较大的应用,用户角色的划分比较细致,其访问控制在采用基于角色的访问控制的基础上,需要支持面向角色的分级授权,即用户角色授权是分散的;对于流程性较弱、协作性较强的应用,用户角色划分不会很细致,其访问控制在采用基于角色的访问控制的基础上,需要支持面向应用的分级授权,即用户角色授权是集中的,应用角色授权是分散的。与传统的信息门户不同,社交门户不仅可以作为应用的入口,而且可以在应用中为用户提供结识、沟通、交流和协作的空间,即通过社交门户中的推荐引擎和用户信息展示来帮助用户结识其他用户,通过社交门户中的群组和社交应用来支持用户之间的沟通、交流和协作。因此,应用的访问控制如何与支持用户结识、沟通、交流和协作相结合也是社交云服务应用访问控制中亟待解决的关键问题。
技术实现思路
本专利技术旨在至少解决上述技术问题之一。为此,本专利技术的第一个目的在于提出一种社交云服务系统中应用的访问控制方法。该方法支持用户在使用应用协同的过程中的沟通、交流和协作,并使得用户在业务应用中的角色的描述信息能够按照规则的配置成为社交域中的用户认证信息的有效来源。为了实现上述目的,本专利技术第一方面实施例的社交云服务系统中应用的访问控制方法,包括:所述社交云服务系统包括多个社交域,每个社交域包括多个用户和多个应用,所述方法具体包括:S1,根据所述多个应用的关联性将所述多个应用划分为多个应用分组;S2,获取每个应用分组中应用的角色,并根据所述应用的角色生成角色分组,其中,所述角色分组和所述多个应用分组中至少一个应用分组相关联;以及S3,获取所述角色分组中角色的角色类型、上级角色和角色属性,并根据所述角色类型、上级角色和角色属性采用集中授权和/或分级授权的方式对用户的应用进行授权。本专利技术实施例的社交云服务系统中应用的访问控制方法,具有以下有益效果:(1)、将角色与社交域中的群组和群组角色关联起来,从而使得以社交域作为入口的相同应用分组的用户可以在社交域中关联一个或者一组群组中的指定群组角色,支持用户在使用应用协同的过程中的沟通、交流和协作。(2)、将角色的描述信息与社交域中的用户认证信息关联起来,使得用户在业务应用中的角色的描述信息能够按照规则的配置成为社交域中的用户认证信息的有效来源。本专利技术附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。附图说明本专利技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中,图1为现有技术中社交云服务系统的示意图;图2是根据本专利技术一个实施例的社交云服务系统中应用的访问控制方法的流程图;图3(a)-(c)是根据本专利技术一个实施例的社交云服务系统中应用的访问控制方法的示意图;图4是根据本专利技术一个实施例的社交云服务系统中应用的访问控制方法的授权示意图;图5是根据本专利技术一个实施例的二级用户角色授权的流程图;图6是根据本专利技术一个实施例的二级用户应用授权的流程图;图7是根据本专利技术一个实施例的角色模型的示意图;以及图8是根据本专利技术一个具体实施例的社交云服务系统中应用的访问控制方法的流程图。具体实施方式在本专利技术的描述中,需要理解的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本专利技术的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本专利技术的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本专利技术的实施例所属
的技术人员所理解。下面参考附图描述根据本专利技术实施例的社交云服务系统中应用的访问控制方法。本专利技术的目的是提出一种支持分级授权而且能够与社交云服务提供的协作和交流服务相结合的社交云服务应用访问控制方法。图2是根据本专利技术一个实施例的社交云服务系统中应用的访问控制方法的流程图,图3(a)-(c)是根据本专利技术一个实施例的社交云服务系统中应用的访问控制方法的示意图,图8是根据本专利技术一个具体实施例的社交云服务系统中应用的访问控制方法的流程图。如图2、图3和图8所示,该社交云服务系统中应用的访问控制方法包括,S1,根据多个应用的关联性将多个应用划分为多个应用分组。S2,获取每个应用分组中应用的角色,并根据应用的角色生成角色分组,其中,角色分组和多个应用分组中至少一个应用分组相关联。S3,获取角色分组中角色的角色类型、上级角色和角色属性,并根据角色类型、上级角色和角色属性采用集中授权和/或分级授权的方式对用户的应用进行授权。具体而言,对用户的应用进行授权时,可同时采用集中授权和分级授权两种方式。集中授权采用扩展的基于角色的授权,即,通过对用户授权角色和对应用授权角色来实现对用户的应用授权;分级授权包含两级授权,即一级授权和二级授权,并且分级授权可分为面向应用的分级授权和面向角色的分级授权两种方式。在本专利技术的实施例中,集中授权的方式可以为:S31,在一级授权中完成应用分组中的应用对角色分组中的角色的授权和用户对角色的授权。S32,在一级授权完成的同时完成应用分组中应用对用户的授权。具体而言,如图3(a)所示,在扩展的基于角色的授权中,应用对角色的授权和用户本文档来自技高网...
【技术保护点】
一种社交云服务系统中应用的访问控制方法,其特征在于,所述社交云服务系统包括多个社交域,每个社交域包括多个用户和多个应用,所述方法包括: S1,根据所述多个应用的关联性将所述多个应用划分为多个应用分组; S2,获取每个应用分组中应用的角色,并根据所述应用的角色生成角色分组,其中,所述角色分组和所述多个应用分组中至少一个应用分组相关联;以及 S3,获取所述角色分组中角色的角色类型、上级角色和角色属性,并根据所述角色类型、上级角色和角色属性采用集中授权和/或分级授权的方式对用户的应用进行授权。
【技术特征摘要】
1.一种社交云服务系统中应用的访问控制方法,其特征在于,所述社交云服务系统包括多个社交域,每个社交域包括多个用户和多个应用,所述方法包括:S1,根据所述多个应用的关联性将所述多个应用划分为多个应用分组;S2,获取每个应用分组中应用的角色,并根据所述应用的角色生成角色分组,其中,所述角色分组和所述多个应用分组中至少一个应用分组相关联;以及S3,在面向应用的分级授权中,在一级授权中完成所述应用分组中的应用对所述角色分组中的角色的授权,并在二级授权中完成所述用户对所述应用分组中的应用的授权;以及在面向角色的分级授权中,在所述一级授权中完成所述应用分组中应用对所述角色分组中的角色的授权,并在所述二级授权中完成所述用户对所述角色分组中的角色的授权。2.如权利要求1所述的方法,其特征在于,所述角色的角色类型包括数据角色和功能角色,所述在二级授权中完成所述用户对所述应用分组中的应用的授权,具体包括:获取所述用户的角色列表,并获取所述角色列表中的第一角色,以及判断所述第一角色是否是所述数据角色,如果所述第一角色是所述数据角色,则获取与所述第一角色相关联的功能角色,并获取由所述功能角色负责所述二级授权的应用列表,并将所述应用列表作为所述用户可授权的应用;获取所述应用列表中的可授权应用,并获取所述可授权应用授权的功能角色列表,以及获取所述角色列表中的第二角色,并判断所述第二角色是否为所述数据角色;以及如果所述第二角色为所述数据角色,则获取所述第二角色的属性值,其中,所述第二角色的属性值与所述数据角色的属性值相同,并从所述数据列表中获取与所述功能角色相关联的数据角色,以及查找已授权的数据角色对应的用户,并将所述数据角色对应的用户作为所述可授权应用的待授权用户,如果所述第二角色不为所述数据角色,则根据所述功能角色的属性值所确定的指定表获取所述用户的字段值,并在所述指定表中查找与所述字段值对应的用户,并将所述用户作为所述可授权应用的待授权用户。3.如权利要求2所述的方法,其特征在于,所述在将用户作为所述可授...
【专利技术属性】
技术研发人员:杜炤,刘奇峰,刘婷,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。