一种用户权限管理的方法及装置制造方法及图纸

本申请公开了一种用户权限管理的方法，包括：读取分配给用户的角色；根据该用户的角色，在预设的角色-权限对应关系中查询该用户的各个角色对应的权限；将该用户的各个角色对应的权限合并为该用户的用户角色权限集；在上述步骤执行前、执行后或者执行过程中，在预设的用户-无效权限对应关系中查询该用户的无效权限，获得该用户的无效权限集；对所述用户角色权限集中包含的权限分别进行检查，判断各个权限是否为所述无效权限集中包含的无效权限；若是，则将属于无效权限的所述权限从所述用户角色权限集中删除，获得用户实际权限集。该方法的实现方式简单，灵活性强，方便对用户权限进行精细化的管理。

【技术实现步骤摘要】

本申请涉及权限管理领域，具体涉及一种用户权限管理的方法。本申请同时涉及一种用户权限管理的装置。
技术介绍
RBAC(Role-BasedAccessControl，基于角色的访问控制)，作为传统访问控制的替代得到了广泛的应用，在基于RBAC的权限体系中，用户是权限的拥有者，通过给用户赋予多个角色的操作，让用户获得对一组资源的操作许可，角色是权限的分配单位与载体，一个角色包含了多个权限，权限是对一个或一组资源操作所需要具备的许可条件，用户依据角色的责任和资格被赋予相应的角色，角色依据新的需求以及系统合并被赋予新的权限，用户通过成为适当角色的成员而得到这些角色的权限。在基于RBAC的权限体系中，权限管理往往依靠“权限管理员”来进行，如附图1所示的基于RBAC的权限体系，由“权限管理员”对用户、角色和权限进行设置，权限管理员的主要工作有两个，一是将各资源的访问权限，根据权限的业务属性组装成具有一定业务含义的角色，二是将设定的角色，根据用户的业务范围赋值给用户。现有技术提供的用户权限管理方法，在一个组织中，根据用户、角色、权限，基于RBAC建立该组织的权限体系；当组织中有用户加入，如果分配用户的权限包含某个或者某些角色包含的全部权限，则将这些角色赋给用户；如果分配给用户的权限只是某个角色的部分权限时，新建一个角色，将用户的权限赋给新建角色的权限，并将角色赋给用户；当需要对权限体系中的权限进行管理，比如删除某个用户的权限或者开放某个用户的权限，需要分析用户的“角色-权限”以及“用户-角色”之间的对应关系。上述现有技术提供的用户权限管理方法存在明显的缺陷。上述现有技术提供的用户权限管理方法的缺点在于，在基于RBAC的权限体系中，随着时间的推移，用户越来越多，用户的角色之间的相似度也越来越高，很多相似的角色出现，并且出现很多单权限的角色，导致角色的业务含义越来越模糊，增加了权限管理的难度和风险；例如：权限体系中存在“安全审计员”这一角色，包含“发起审计”、“删除审计”和“关闭审计”的权限，临时加入一个外包人员，负责审计工作，但是该外包人员不具有“删除审计”的权限，则需创建一个“外包安全审计员”角色，“发起审计”、和“关闭审计”的权限；后续还可能出现“只能删除的安全审计员”、“只能关闭的安全审计员”、“实习安全审计员”的角色；在对权限体现中的权限进行管理时，需要分析用户的“角色-权限”以及“用户-角色”之间的对应关系，操作复杂繁琐；并且，如果用户通过不同的角色获得了相同的权限，则需要调整多个角色的权限，导致权限体系中角色和权限之间的关系混乱，以及用户和角色的关系混乱。
技术实现思路
本申请提供一种用户权限管理的方法，以解决现有的用户权限管理方法存在的实现困难、操作复杂繁琐以及关系混乱的问题。本申请同时涉及一种用户权限管理的装置。本申请提供一种用户权限管理的方法，包括：读取分配给用户的角色；根据该用户的角色，在预设的角色-权限对应关系中查询该用户的各个角色对应的权限；将该用户的各个角色对应的权限合并为该用户的用户角色权限集；在上述步骤执行前、执行后或者执行过程中，在预设的用户-无效权限对应关系中查询该用户的无效权限，获得该用户的无效权限集；对所述用户角色权限集中包含的权限分别进行检查，判断各个权限是否为所述无效权限集中包含的无效权限；若是，则将属于无效权限的所述权限从所述用户角色权限集中删除，获得用户实际权限集，所述用户实际权限集中记载的权限作为实际分配给该用户的权限。可选的，所述角色-权限对应关系中，每个角色对应至少一个权限。可选的，所述角色-权限对应关系中，各个角色对应的权限互不重复。可选的，所述将该用户的各个角色对应的权限合并为该用户的用户角色权限集，采用以下方式：根据该用户的各个角色对应的权限，生成该用户的各个角色分别对应的角色权限集；对该用户的各个角色分别对应的角色权限集做或运算，生成所述用户角色权限集。可选的，所述将所述权限从所述用户角色权限集中删除，采用以下方式：将所述用户角色权限集与该用户的所述无效权限集做减运算。可选的，所述用户-无效权限对应关系，通过如下方式获得：接收用户输入的所述用户-无效权限对应关系。可选的，所述用户-无效权限对应关系，通过如下方式获得：判断所述用户角色权限集中包含的权限在所述用户实际权限集中是否存在；若否，则将所述权限写入所述用户-无效权限对应关系中；若是，则执行所述判断所述用户角色权限集中包含的权限在所述用户实际权限集中是否存在步骤，直至所述用户角色权限集中包含的权限全部判断完毕。可选的，所述读取分配给用户的角色，采用以下方式：从预设的用户-角色对应关系中查询该用户，从对应该用户的记录中读取该用户的各个角色。可选的，该方法包括：获取需要对设定用户屏蔽的至少一个权限；判断所述用户-无效权限对应关系中，是否对应该用户记录有需要对该用户屏蔽的所述权限；若否，则将所述权限写入所述用户-无效权限对应关系中。可选的，所述获取对应设定用户的需要对该用户屏蔽的至少一个权限的步骤之前，执行如下步骤：接收针对设定用户发出的权限屏蔽操作请求。可选的，该方法包括：获取需要对设定用户开放的至少一个权限；判断所述用户-无效权限对应关系中，是否对应该用户记录有需要对该用户开放所述权限；若是，则删除所述用户-无效权限对应关系中记录的需要对该用户开放所述权限。可选的，所述获取对应设定用户的需要对该用户开放的至少一个权限的步骤之前，执行如下步骤：接收针对设定用户发出的权限开放操作请求。本申请还提供一种用户权限管理的装置，包括：角色读取单元，用于读取分配给用户的角色；权限查询单元，用于根据该用户的角色，在预设的角色-权限对应关系中查询该用户的各个角色对应的权限；用户角色权限集合并单元，用于将该用户的各个角色对应的权限合并为该用户的用户角色权限集；无效权限查询单元，用于在上述步骤执行前、执行后或者执行过程中，在预设的用户-无效权限对应关系中查询该用户的无效权限，获得该用户的无效权限集；权限判断单元，用于对所述用户角色权限集中包含的权限分别进行检查，判断各个权限是否为所述无效权限集中包含的无效权限；若是，则进入权限删除单元；所述权限删除单元，用于将属于无效权限的所述权限从所述用户角色权限集中删除，获得用户实际权限集，所述用户实际权限集中记载的权限作为实际分配给该用户的权限。可选的，所述角色-权限对应关系中，每个角色对应至少一个权限。可选的，所述角色-权限对应关系中，各个角色对应的权限互不重复。可选的，所述用户角色权限集合并单元，包括：角色权限集生成子单元，用于根据该用户的各个角色对应的权限，生成该用户的各个角色分别对应的角色权限集；用户角色权限集运算子单元，用于对该用户的各个角色分别对应的角色权限集做或运算，生成所述用户角色权限集。可选的，所述权限删除单元，包括：权限计算子单元，用于将所述用户角色权限集与该用户的所述无效权限集做减运算。可选的，所述用户-无效权限对应关系，通过用户-无效权限对应关系获取单元获得，所述用户-无效权限对应关系获取单元包括：用户输入接收子单元，用于接收用户输入的所述用户-无效权限对应关系。可选的，所述用户-无效权限对应关系，通过用户本文档来自技高网...

【技术保护点】
一种用户权限管理的方法，其特征在于，包括：读取分配给用户的角色；根据该用户的角色，在预设的角色‑权限对应关系中查询该用户的各个角色对应的权限；将该用户的各个角色对应的权限合并为该用户的用户角色权限集；在上述步骤执行前、执行后或者执行过程中，在预设的用户‑无效权限对应关系中查询该用户的无效权限，获得该用户的无效权限集；对所述用户角色权限集中包含的权限分别进行检查，判断各个权限是否为所述无效权限集中包含的无效权限；若是，则将属于无效权限的所述权限从所述用户角色权限集中删除，获得用户实际权限集，所述用户实际权限集中记载的权限作为实际分配给该用户的权限。

【技术特征摘要】
1.一种用户权限管理的方法，其特征在于，包括：读取分配给用户的角色；根据该用户的角色，在预设的角色-权限对应关系中查询该用户的各个角色对应的权限；将该用户的各个角色对应的权限合并为该用户的用户角色权限集；在上述步骤执行前、执行后或者执行过程中，在预设的用户-无效权限对应关系中查询该用户的无效权限，获得该用户的无效权限集；对所述用户角色权限集中包含的权限分别进行检查，判断各个权限是否为所述无效权限集中包含的无效权限；若是，则将属于无效权限的所述权限从所述用户角色权限集中删除，获得用户实际权限集，所述用户实际权限集中记载的权限作为实际分配给该用户的权限。2.根据权利要求1所述的用于权限管理的方法，其特征在于，所述角色-权限对应关系中，每个角色对应至少一个权限。3.根据权利要求1所述的用于权限管理的方法，其特征在于，所述角色-权限对应关系中，各个角色对应的权限互不重复。4.根据权利要求1所述的用于权限管理的方法，其特征在于，所述将该用户的各个角色对应的权限合并为该用户的用户角色权限集，采用以下方式：根据该用户的各个角色对应的权限，生成该用户的各个角色分别对应的角色权限集；对该用户的各个角色分别对应的角色权限集做或运算，生成所述用户角色权限集。5.根据权利要求1所述的用于权限管理的方法，其特征在于，所述将所述权限从所述用户角色权限集中删除，采用以下方式：将所述用户角色权限集与该用户的所述无效权限集做减运算。6.根据权利要求1所述的用于权限管理的方法，其特征在于，所述用户-无效权限对应关系，通过如下方式获得：接收用户输入的所述用户-无效权限对应关系。7.根据权利要求1所述的用于权限管理的方法，其特征在于，所述用户-
\t无效权限对应关系，通过如下方式获得：判断所述用户角色权限集中包含的权限在所述用户实际权限集中是否存在；若否，则将所述权限写入所述用户-无效权限对应关系中；若是，则执行所述判断所述用户角色权限集中包含的权限在所述用户实际权限集中是否存在步骤，直至所述用户角色权限集中包含的权限全部判断完毕。8.根据权利要求1所述的用于权限管理的方法，其特征在于，所述读取分配给用户的角色，采用以下方式：从预设的用户-角色对应关系中查询该用户，从对应该用户的记录中读取该用户的各个角色。9.根据权利要求1所述的用于权限管理的方法，其特征在于，包括：获取需要对设定用户屏蔽的至少一个权限；判断所述用户-无效权限对应关系中，是否对应该用户记录有需要对该用户屏蔽的所述权限；若否，则将所述权限写入所述用户-无效权限对应关系中。10.根据权利要求9所述的用户权限管理方法，其特征在于，所述获取对应设定用户的需要对该用户屏蔽的至少一个权限的步骤之前，执行如下步骤：接收针对设定用户发出的权限屏蔽操作请求。11.根据权利要求1所述的用于权限管理的方法，其特征在于，包括：获取需要对设定用户开放的至少一个权限；判断所述用户-无效权限对应关系中，是否对应该用户记录有需要对该用户开放所述权限；若是，则删除所述用户-无效权限对应关系中记录的需要对该用户开放所述权限。12.根据权利要求11所述的用于权限管理的方法，其特征在于，所述获取对应设定用户的需要对该用户开放的至少一个权限的步骤之前，执行如下步骤：接收针对设定用户发出的权限开放操作请求。13.一种用户权限管理的装置，其特征在于，包括：角色读取单元，用于读取分配给用户的角色；权限查询单元，用于根据该用户的角色，在预设的角色-权限对应关系中查询该用户的各个角色对应的权限；用户角色权限集合并单元，用...

【专利技术属性】
技术研发人员：吴大龙，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY