本发明专利技术公开了一种权限管理方法,包括:根据业务和资源,基于资源树方式,生成业务和资源所对应的资源树;根据业务组织关系,在所述资源树上创建树节点,并根据资源归属关系,将对应资源绑定到所述树节点上;根据预先配置的权限的划分,创建权限模板;根据预先配置的授权生效条件,对所述树节点授权用户所述权限模板的权限;在授权生效后,所述用户在所述树节点上具有所述权限模板所包含的全部权限。本发明专利技术能够满足灵活性强,易于使用的特点,支持按时间、环境等条件授权,支持按具体资源授权,以满足不同场景的授权需求。满足不同场景的授权需求。满足不同场景的授权需求。
【技术实现步骤摘要】
一种权限管理方法、系统、设备及可读存储介质
[0001]本专利技术涉及计算机安全
,具体来说,涉及一种权限管理方法、系统、设备及可读存储介质。
技术介绍
[0002]权限管理是几乎每个后台软件系统都会涉及到的重要功能,权限管理的目标是解决人对资源有哪些权限的问题。具体描述是,根据系统设置的安全规则或策略,用户可以访问并且只能访问自己被授权的资源,避免因为权限控制的缺失或者操作不当而引起系统风险问题,如操作错误,数据泄露等问题。权限管理中有两个重要的概念:授权和鉴权,授权是指主动给用户授予权限的过程;鉴权是指判断用户具备哪些权限的过程。
[0003]目前权限管理被广泛采用的有两种模型,分别是基于角色的访问控制(RBAC)和基于属性的权限控制(ABAC)。RBAC是通过将一组权限封装为为角色,授权时不是直接给用户授予权限,而是给用户授予角色,间接地让用户具有了角色包含的一组权限。ABAC是通过动态地判断对象的属性,来判断用户是否具有权限的方式,用户、被访问的资源、操作动作、环境等都包含属性信息,鉴权时会计算每个属性是否满足授权条件,只有当所有条件都满足时,鉴权才会通过。
[0004]RBAC的优势在于授权模型简单易理解,通过角色的方式将一组权限设为集合,授权时只需给用户指定相应角色,便可以完成授权。而ABAC的优势在于其高度的灵活性,可以通过每个对象不同的属性,设置不同的授权条件,从而精确的控制权限的粒度,来满足不同的场景。
[0005]然而,RBAC模型虽然易于理解,构建方便,但是其存在以下问题:RBAC授权时只能按照角色的定义,对某一类资源授权,无法做到对具体哪个资源的细粒度授权。比如给华东地区销售A授权查看订单权限,销售A同时也具有了华南地区查看订单的权限,无法做到给华东地区销售仅授权华东地区订单权限,存在权限放大问题。此外,RBAC中仅能靠角色来区分不同权限,如果两个用户大部分权限相同,但仅有个别权限差异,则需要定义两种角色,容易造成角色概念的滥用。而ABAC模型虽然灵活性强,但其缺点同样明显:由于其设计的复杂性,存在较高的学习成本,对于访问控制要求不是非常高的场景,使用起来有些过重。ABAC依赖对象的属性实现精确授权,需要管理员维护每个对象各自属性的正确性,造成维护成本高。
[0006]针对相关技术中的问题,目前尚未提出有效的解决方案。
技术实现思路
[0007]针对相关技术中的问题,本专利技术提出一种权限管理方法、系统、设备及可读存储介质,能够满足灵活性强,易于使用的特点,支持按时间、环境等条件授权,支持按具体资源授权,以满足不同场景的授权需求。
[0008]本专利技术的技术方案是这样实现的:
根据本专利技术的第一方面,提供了一种权限管理方法。
[0009]该权限管理方法,包括:根据业务和资源,基于资源树方式,生成业务和资源所对应的资源树;根据业务组织关系,在所述资源树上创建树节点,并根据资源归属关系,将对应资源绑定到所述树节点上;根据预先配置的权限的划分,创建权限模板;根据预先配置的授权生效条件,对所述树节点授权用户所述权限模板的权限;在授权生效后,所述用户在所述树节点上具有所述权限模板所包含的全部权限。
[0010]其中,所述权限模板包括:角色类权限模板和服务类权限模板;所述角色类权限模板用于根据不同的角色授予不同的权限;所述服务类权限模板用于根据不同的服务授权不同的权限。
[0011]其中,所述授权生效条件包括:授权生效时间、授权环境、资源ID。
[0012]其中,所述授权环境包括生产环境和测试环境。
[0013]根据本专利技术的第二方面,提供了一种权限管理系统。
[0014]该权限管理系统,包括:资源树生成模块,用于根据业务和资源,基于资源树方式,生成业务和资源所对应的资源树;树节点处理模块,用于根据业务组织关系,在所述资源树上创建树节点,并根据资源归属关系,将对应资源绑定到所述树节点上;权限生成模块,用于根据预先配置的权限的划分,创建权限模板;权限授权模块,用于根据预先配置的授权生效条件,对所述树节点授权用户所述权限模板的权限;用户权限模块,用于在授权生效后,所述用户在所述树节点上具有所述权限模板所包含的全部权限。
[0015]其中,所述权限模板包括:角色类权限模板和服务类权限模板;所述角色类权限模板用于根据不同的角色授予不同的权限;所述服务类权限模板用于根据不同的服务授权不同的权限。
[0016]其中,所述授权生效条件包括:授权生效时间、授权环境、资源ID。
[0017]其中,所述授权环境包括生产环境和测试环境。
[0018]根据本专利技术的第三方面,提供了一种计算机设备。
[0019]该计算机设备,包括:存储器和处理器;所述存储器,用于存储计算机程序;所述处理器,用于执行所述计算机程序,实现上述的权限管理方法的各个步骤。
[0020]根据本专利技术的第四方面,提供了一种可读存储介质。
[0021]该可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如上述的权限管理方法的各个步骤。
[0022]有益效果:本专利技术将授权与资源树结合,通过将授权与资源树绑定资源相关联的方式,可以实现对指定资源的批量授权,同时支持权限的自动继承;而采用权限模板和授权条件,则既做到了RBAC模型简单易于构建的特点,同时做到了ABAC模型支持对资源细粒度授权的特
点。
附图说明
[0023]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0024]图1是根据本专利技术实施例的一种权限管理方法的流程示意图;图2是根据本专利技术实施例的一种权限管理系统的结构框图;图3是根据本专利技术实施例的一种计算机设备的结构示意图。
具体实施方式
[0025]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本专利技术保护的范围。
[0026]根据本专利技术的实施例,提供了一种权限管理方法、系统、设备及可读存储介质。
[0027]如图1所示,根据本专利技术实施例的一种权限管理方法,包括:步骤S101,根据业务和资源,基于资源树方式,生成业务和资源所对应的资源树;步骤S103,根据业务组织关系,在所述资源树上创建树节点,并根据资源归属关系,将对应资源绑定到所述树节点上;步骤S105,根据预先配置的权限的划分,创建权限模板;步骤S107,根据预先配置的授权生效条件,对所述树节点授权用户所述权限模板的权限;步骤S109,在授权生效后,所述用户在所述树节点上具有所述权限模板所包含的全部权限。
[本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种权限管理方法,其特征在于,包括:根据业务和资源,基于资源树方式,生成业务和资源所对应的资源树;根据业务组织关系,在所述资源树上创建树节点,并根据资源归属关系,将对应资源绑定到所述树节点上;根据预先配置的权限的划分,创建权限模板;根据预先配置的授权生效条件,对所述树节点授权用户所述权限模板的权限;在授权生效后,所述用户在所述树节点上具有所述权限模板所包含的全部权限。2.根据权利要求1所述的权限管理方法,其特征在于,所述权限模板包括:角色类权限模板和服务类权限模板;其中,所述角色类权限模板用于根据不同的角色授予不同的权限;所述服务类权限模板用于根据不同的服务授权不同的权限。3.根据权利要求1所述的权限管理方法,其特征在于,所述授权生效条件包括:授权生效时间、授权环境、资源ID。4.根据权利要求3所述的权限管理方法,其特征在于,所述授权环境包括生产环境和测试环境。5.一种权限管理系统,其特征在于,包括:资源树生成模块,用于根据业务和资源,基于资源树方式,生成业务和资源所对应的资源树;树节点处理模块,用于根据业务组织关系,在所述资源树上创建树节点,并根据资源归属关系,将对应资源绑定到所述树节点上;权限生成...
【专利技术属性】
技术研发人员:林萍萍,刘贞午,章云鹏,
申请(专利权)人:林萍萍山东未来网络研究院紫金山实验室工业互联网创新应用基地,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。