本发明专利技术公开了一种集成RBAC权限及界面按钮Url设计的权限控制框架,包括用户管理模块、角色管理模块和权限管理模块,其中,所述用户管理模块用以实现用户与应用系统之间的用户信息相关信息管理,包括用户基本信息,用户及主岗或兼岗信息维护管理;所述角色管理模块用以实现用户与应用系统之间的角色相关信息配置,包括该角色对应数据权限、页面按钮url控制权限和菜单权限;所述权限管理模块用以选择用户授予相应角色和/或选择角色授权给相应的用户。本发明专利技术可扩展性高,开发成本低,易于维护,同时支持多租户多系统管理对数据分离,保证用户数据的安全性和隔离性。户数据的安全性和隔离性。户数据的安全性和隔离性。
【技术实现步骤摘要】
一种集成RBAC权限及界面按钮Url设计的权限控制框架
[0001]本专利技术涉及权限管理
,尤其涉及一种集成RBAC权限及界面按钮Url设计的权限控制框架。
技术介绍
[0002]在许多的实际应用中,不只是要求用户简单的进行注册,还要求不同类别的用户对资源有不同的操作权限。目前,权限管理系统也是重复开发率最高的模块之一,无论在数据存储、权限访问和权限机制等方面都可能不一样,这种不一致性就会存在如下弊端:(1)系统管理员需要维护多套权限管理系统;(2)用户管理、组织机构等数据重复维护,数据一致性、完整性得不到保证;(3)由于权限管理系统的设计不同,概念不尽相同,采用的技术有差异,实现单点登录难度十分大,也给构建企业用户带来困难。
[0003]RBAC模式的优势就是简化了用户和权限的关系,可以更方便的管理用户。所以经过前人对权限方面的总结抽象,总结出来RBAC(Role
‑
Based AccessControl)基于角色的访问控制。现有技术方案中有采用J2EE架构体系集成RBAC模型的设计和实现。
[0004]J2EE架构设计,采用J2EE架构设计构建管理系统,系统逻辑上分为客户层、Web层、业务层和资源层:客户层主要负责人机交互,可以使系统管理员通过Web访问。Web层封装了用来通过Web访问本系统的客户端的表示层逻辑的服务。业务层提供业务服务,包括业务数据和业务逻辑,集中了系统的业务处理,主要的业务管理模块包括组织机构管理、用户管理,资源管理、权限管理和访问控制几个部分。资源层主要负责数据的存储、组织和管理等。
[0005]RBAC模型,RBAC模型中引入角色间的继承关系,角色间的关系分为一般继承关系和受限继承关系,一般继承关系仅要求角色继承关系是一个绝对偏序关系,允许角色间的多继承,而受限继承关系则进一步要求角色继承是一个树结构。RBAC模型中添加了责任分离关系,RBAC约定规定了权限被赋予角色时或角色被赋予用户时,以及当用户再某一时刻激活一个角色时所应遵循的强制性规则,责任分离包括静态责任分离和动态责任分离,约束与用户
‑
角色
‑
权限关系一起决定了RBAC模型中用户的访问许可。
[0006]核心对象模型设计,对象模型中的基本元素主要有:用户(Users)、用户组(Group)、角色(Role)、目标(Objects)、访问模式(Access Mode)、操作(Operator)。主要的关系有:分配角色权限PA(Permission Assignment)、分配用户角色UA(Users Assignmen)描述如下:控制对象:是系统所要的保护的资源(Resource)、可以被访问的对象。权限:对受保护的资源操作的访问许可(Access Permission),是绑定在特定的资源实例上的。用户:是权限的拥有者或主体。用户和权限实现分离,通过授权管理进行绑定。用户组:一个组用户的集合,在业务逻辑的判断中,可以实现基于个人身份或组的身份进行判断。角色:权限分配的单位与载体,角色通过继承关系支持分级的权限实现。例如,科长角色同时拥有科长角色、科内不同业务人员角色。操作:完成资源的类别和访问策略之间的绑定。
[0007]权限访问机制,权限管理系统端:提供集中管理权限的服务,负责提供用户的鉴别、用户信息、组织结构信息,以及权限关系表的计算。
[0008]权限控制机制,权限所要控制的资源类别是根据应用系统的需要而定义的,具有的语义和控制规则也是应用系统提供的,对于权限管理系统来说是透明,权限将不同应用系统的资源和操作统一对待。应用系统调用权限管理系统所获得的权限关系表,也是需要应用系统来解释的。按此设计,权限管理系统的通用性较强,权限的控制机制则由应用系统负责处理。
[0009]现有的技术没有系统隔离,权限维护成本高,可扩展性低,应用单一。
技术实现思路
[0010]针对上述技术问题,本专利技术提供了一种集成RBAC权限及界面按钮Url设计的权限控制框架。
[0011]本专利技术是采用以下技术方案实现的:一种集成RBAC权限及界面按钮Url设计的权限控制框架,包括用户管理模块、角色管理模块和权限管理模块,其中,所述用户管理模块用以实现用户与应用系统之间的用户信息相关信息管理,包括用户基本信息,用户及主岗或兼岗信息维护管理;所述角色管理模块用以实现用户与应用系统之间的角色相关信息配置,包括该角色对应数据权限、页面按钮url控制权限和菜单权限;所述权限管理模块用以选择用户授予相应角色和/或选择角色授权给相应的用户。
[0012]进一步的,还包括菜单管理模块,所述菜单管理模块用以实现用户与应用系统之间的菜单信息维护,包括维护相应前端页面。
[0013]进一步的,采用持久层框架mybatis实现用户与应用系统之间可配置的数据隔离管理。
[0014]进一步的,所述用户管理模块包括用户表,所述用户表通过用户角色关联表与角色管理模块对接。
[0015]进一步的,所述用户管理模块包括用户组,所述用户组通过用户组与用户关联表与用户表对接;所述述用户组通过用户组角色关联表与角色管理模块对接。
[0016]进一步的,所述角色管理模块包括角色表,所述角色表通过角色权限关联表与权限管理模块对接。
[0017]进一步的,所述权限管理模块包括权限表和功能操作表,所述权限表通过权限操作关联表与功能操作表对接。
[0018]进一步的,所述权限表通过权限菜单关联表与菜单表对接。
[0019]进一步的,所述权限表通过权限页面元素关联表与页面元素对接。
[0020]进一步的,所述权限表通过权限文件关联表与文件表对接。
[0021]本专利技术的有益效果在于:本专利技术采用SpringBoot+ Mybatis框架集成RBAC权限管理于一身,前后分离,支持多数据源,采用微服务的理念,将用户管理、权限管理、菜单管理等进行微服务拆离,可扩展性高,开发成本低,易于维护,同时支持多租户多系统管理对数据分离,保证用户数据的安全性和隔离性;每一微服务设计采用DDD分层结构,将繁琐的业务解耦,每一层级负责各自的职责,提升系统的可维护性和可测性等。
附图说明
[0022]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现
有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
[0023]图1为本专利技术框架图;图2为RBAC权限模型图;图3为引入用户组的RBAC权限模型图;图4为权限表对接模型图。
具体实施方式
[0024]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。通常在本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种集成RBAC权限及界面按钮Url设计的权限控制框架,其特征在于,包括用户管理模块、角色管理模块和权限管理模块,其中,所述用户管理模块用以实现用户与应用系统之间的用户信息相关信息管理,包括用户基本信息,用户及主岗或兼岗信息维护管理;所述角色管理模块用以实现用户与应用系统之间的角色相关信息配置,包括该角色对应数据权限、页面按钮url控制权限和菜单权限;所述权限管理模块用以选择用户授予相应角色和/或选择角色授权给相应的用户。2.如权利要求1所述的一种集成RBAC权限及界面按钮Url设计的权限控制框架,其特征在于,还包括菜单管理模块,所述菜单管理模块用以实现用户与应用系统之间的菜单信息维护,包括维护相应前端页面。3.如权利要求1所述的一种集成RBAC权限及界面按钮Url设计的权限控制框架,其特征在于,采用持久层框架mybatis实现用户与应用系统之间可配置的数据隔离管理。4.如权利要求1所述的一种集成RBAC权限及界面按钮Url设计的权限控制框架,其特征在于,所述用户管理模块包括用户表,所述用户表通过用户角色关联表与角色管理模块对接。5.如权利要求...
【专利技术属性】
技术研发人员:管春元,娄江南,赵月,
申请(专利权)人:启明信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。