本发明专利技术涉及网站系统开发的技术领域,特别是涉及面向多应用的用户权限管理方案,旨在支持具有个性化权限控制需求的多应用系统的统一权限管理;包括以下:权限模型由用户、角色、资源和操作四部分组成;基于定义的权限模型,首先需要提供针对模型的基本增删改查操作,并封装成SDK供统一权限系统搭建以及接入应用使用,在SDK准备完成之后,包括以下步骤:S1、应用申请;S2、确权模块;S3、赋权模块;S4、鉴权模块。
【技术实现步骤摘要】
面向多应用的用户权限管理方案
本专利技术涉及网站系统开发的
,特别是涉及面向多应用的用户权限管理方案。
技术介绍
网站系统开发早已从久远的单应用发展成为如今由多应用组成的应用群,应用的系统安全非常重要,而系统安全离又不开权限管理,面对如此众多的系统,每个系统都独自研发自己的权限系统是成本越来越高。这样不仅浪费资源而且加大了研发成本,也不利于维护与扩展。目前存在的多应用权限管理方案大多数都是基于RBAC模型(Role-Based-AccessControl:基于角色访问控制)做权限管理,通过预设权限管理配置、明确规范应用管理系统的角色、通过向集成的多应用系统分配角色等步骤,达到统一的权限分配管理。这样的权限管理方式虽然便捷,但是可拓展性较低,在复杂的业务中难以满足应用系统对个性化定制角色以及权限的管控需求。
技术实现思路
为解决上述技术问题,本专利技术提供面向多应用的用户权限管理方案,旨在支持具有个性化权限控制需求的多应用系统的统一权限管理。本专利技术的面向多应用的用户权限管理方案,包括以下:权限模型由用户、角色、资源和操作四部分组成;基于定义的权限模型,首先需要提供针对模型的基本增删改查操作,并封装成SDK供统一权限系统搭建以及接入应用使用,在SDK准备完成之后,包括以下步骤:S1、应用申请新的应用若需使用统一权限管理,则需要先进行应用注册,获取应用唯一标识;S2、确权模块确权模块即确认应用具有的基本权限内容,包括资源、操作、角色等基本信息,统一用户权限系统需要提供一个权限管理后台,接入系统的应用能够在管理后台为本应用进行确权操作;S3、赋权模块赋权模块负责为用户设置操作资源的权限,接入系统可以通过统一权限管理SDK,为用户设置系统权限,当需要为用户设置权限时,只需要调用SDK中的方法即可;S4、鉴权模块鉴权模块负责判断当前用户是否有操作某项资源的权限,是权限控制系统中的非常重要的一部分。本专利技术的面向多应用的用户权限管理方案,所述权限模型具体如下:用户:资源的使用者,是权限的拥有者;角色:可以是系统统一定义的角色或是各应用自定义的角色;资源:被限制访问的资源,可由系统或者应用定义;操作:对资源进行的某些操作,例如查看、添加、修改、删除。本专利技术的面向多应用的用户权限管理方案,所述步骤S2中,权限管理后台包括功能:S201、应用切换功能:由于权限管理后台服务于众多应用,因此应用管理员需要能够选择或切换想要进行确权的应用,切换到某个应用后,在后台中管理员只能为管理该系统的权限,应用切换功能保证了权限的独立性,使得各应用能够自定义的设计确权规则;S202、权限管理功能:提供便捷地查看、新增、编辑或删除资源操作;S203、角色管理功能:负责提供自定义角色设置功能;S204、角色权限管理功能:负责建立自定义角色与权限之间的关系;此外,如果应用不使用权限管理后台进行确权,也可以使用统一权限管理SDK进行单独的确权功能开发。本专利技术的面向多应用的用户权限管理方案,所述步骤S3中,根据应用的不同需求,统一权限管理系统提供两种赋权方式:S301、“用户-权限”,直接建立用户与权限(资源及操作)的映射关系,来标注用户具有哪些权限;S302、“用户-角色-权限”,首先将确权模块中定义好的角色与已有权限建立映射关系,来声明角色具有操作哪些资源的资格;然后再建立用户和角色的关系,间接实现用户权限控制。本专利技术的面向多应用的用户权限管理方案,所述步骤S4中,包括三种鉴权方式,接入的应用可以根据自身权限体系或者项目架构选用合适的一种进行使用;三种鉴权方式都集成在统一鉴权SDK中,包括如下:S401、调用权限SDK的静态方法进行鉴权,在用户访问资源时通过调用如下静态方法尽心权限判断:a.判断用户是否有某种(些)权限;b.判断用户是否有某种(些)角色;c.获取用户在该应用下的所有角色;d.获取用户在该应用下的所有权限(包括用户权限和用户角色权限);S402、使用Spring注解方式鉴权;S403、过滤器方式鉴权。与现有技术相比本专利技术的有益效果为:基于RBAC模型,本专利技术提出了一种改进的面向多应用的用户权限管理方案,区别于现有的RBAC多应用权限管理系统,本专利技术通过将“用户-权限”管理方式融合到RBAC模型中,并且设计了便于多应用个性化使用的确权、赋权和鉴权方案,能够满足复杂多样的应用对接到统一权限管理系统中,并且该设计中定义的权限管理SDK能够让对接应用实现快速的权限定义及权限管控,能够大大减少应用的开发时间与成本。附图说明图1是本专利技术的权限模型图;图2是实施例中注解类的定义图;图3是实施例中“注解鉴权使用方式是在接口上配置@PemDeclare,声明访问该接口时用户所需要具备的角色或权限”的举例图;图4是实施例中“以SpringMVC项目为例,在引入鉴权SDK后”的配置图。具体实施方式下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述。以下实施例用于说明本专利技术,但不用来限制本专利技术的范围。如图1至图4所示,本专利技术的面向多应用的用户权限管理方案,包括以下:如图1所示,权限模型由用户、角色、资源和操作四部分组成;基于定义的权限模型,首先需要提供针对模型的基本增删改查操作,并封装成SDK供统一权限系统搭建以及接入应用使用,在SDK准备完成之后,包括以下步骤:S1、应用申请新的应用若需使用统一权限管理,则需要先进行应用注册,获取应用唯一标识;S2、确权模块确权模块即确认应用具有的基本权限内容,包括资源、操作、角色等基本信息,统一用户权限系统需要提供一个权限管理后台,接入系统的应用能够在管理后台为本应用进行确权操作;S3、赋权模块赋权模块负责为用户设置操作资源的权限,接入系统可以通过统一权限管理SDK,为用户设置系统权限,当需要为用户设置权限时,只需要调用SDK中的方法即可;S4、鉴权模块鉴权模块负责判断当前用户是否有操作某项资源的权限,是权限控制系统中的非常重要的一部分。本专利技术的面向多应用的用户权限管理方案,所述权限模型具体如下:用户:资源的使用者,是权限的拥有者;角色:可以是系统统一定义的角色或是各应用自定义的角色;资源:被限制访问的资源,可由系统或者应用定义;操作:对资源进行的某些操作,例如查看、添加、修改、删除。本专利技术的面向多应用的用户权限管理方案,所述步骤S2中,为满足各应用对权限的不同需求,权限管理后台设计了以下功能:S201、应用切换功能:由于权限管理后台服务于众多应用,因此应用管理员需要能够选择或切换想要进行确权的应用,切换到某个应用后,在后台中管理员只能为管理该系统的权本文档来自技高网...
【技术保护点】
1.面向多应用的用户权限管理方案,其特征在于,包括以下:/n权限模型由用户、角色、资源和操作四部分组成;/n基于定义的权限模型,首先需要提供针对模型的基本增删改查操作,并封装成SDK供统一权限系统搭建以及接入应用使用,在SDK准备完成之后,包括以下步骤:/nS1、应用申请/n新的应用若需使用统一权限管理,则需要先进行应用注册,获取应用唯一标识;/nS2、确权模块/n确权模块即确认应用具有的基本权限内容,包括资源、操作、角色等基本信息,统一用户权限系统需要提供一个权限管理后台,接入系统的应用能够在管理后台为本应用进行确权操作;/nS3、赋权模块/n赋权模块负责为用户设置操作资源的权限,接入系统可以通过统一权限管理SDK,为用户设置系统权限,当需要为用户设置权限时,只需要调用SDK中的方法即可;/nS4、鉴权模块/n鉴权模块负责判断当前用户是否有操作某项资源的权限,是权限控制系统中的非常重要的一部分。/n
【技术特征摘要】
1.面向多应用的用户权限管理方案,其特征在于,包括以下:
权限模型由用户、角色、资源和操作四部分组成;
基于定义的权限模型,首先需要提供针对模型的基本增删改查操作,并封装成SDK供统一权限系统搭建以及接入应用使用,在SDK准备完成之后,包括以下步骤:
S1、应用申请
新的应用若需使用统一权限管理,则需要先进行应用注册,获取应用唯一标识;
S2、确权模块
确权模块即确认应用具有的基本权限内容,包括资源、操作、角色等基本信息,统一用户权限系统需要提供一个权限管理后台,接入系统的应用能够在管理后台为本应用进行确权操作;
S3、赋权模块
赋权模块负责为用户设置操作资源的权限,接入系统可以通过统一权限管理SDK,为用户设置系统权限,当需要为用户设置权限时,只需要调用SDK中的方法即可;
S4、鉴权模块
鉴权模块负责判断当前用户是否有操作某项资源的权限,是权限控制系统中的非常重要的一部分。
2.如权利要求1所述的面向多应用的用户权限管理方案,其特征在于,所述权限模型具体如下:
用户:资源的使用者,是权限的拥有者;
角色:可以是系统统一定义的角色或是各应用自定义的角色;
资源:被限制访问的资源,可由系统或者应用定义;
操作:对资源进行的某些操作,例如查看、添加、修改、删除。
3.如权利要求2所述的面向多应用的用户权限管理方案,其特征在于,权限管理后台包括功能:
S201、应用切换功能:由于权限管理后台服务于众多应用,因此应用管理员需要能够选择或切换想要进行确权的应用,切换到某个应用后,在后台中管理员只能为...
【专利技术属性】
技术研发人员:刘明,张春飞,贺一珊,谢水庚,
申请(专利权)人:北京航天云路有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。