【技术实现步骤摘要】
本专利技术涉及数据权限,更具体地说,它涉及一种基于rbac模式的数据权限的设计方法。
技术介绍
1、常见的应用的权限设计是一般是应用的功能权限,简单来说就是用户登录后,能看到哪些具体模块、菜单、页面、操作按钮等,从而能执行哪些操作。
2、但是随着近些年对于数据安全的重视,除常见的功能权限外,一些项目将应用上的重要模块用户生产的敏感数据也纳入权限管理的范畴,于是对于用户数据的访问控制也提出了更加细致的的要求,控制粒度细化到行列级别的访问控制,如行级别的访问控制权限可继续细化为无权限(不可见)、只读权限、读写权限,甚至是导入导出、移动复制等具体的业务操作。于是传统的应用的功能权限便难以满足数据细粒度权限控制的需要,主要存在以下问题:
3、(1)功能权限的虽然能实现一定程度的数据权限,如可以控制整个模块菜单页面的显示隐藏,但是无法做到对数据行列级别的细粒度的操作权限控制。
4、(2)数据权限操除传统的无权限(不可见)、只读权限、读写权限外,对于数据的操作控制要求还可以细化到如导入导出、移动复制等具体的业务功...
【技术保护点】
1.一种基于RBAC模式的数据权限的设计方法,包括RBAC模型,传统RBAC模型中,用户和角色之间是多对多的关系,一个用户可以被赋予若干角色,一个角色也可以被赋予若干用户,其特征在于:所述S1、基于RBAC模型的数据权限架构设计:传统应用中仅涉及应用的功能权限,依据RBAC模型在功能权限的基础上增加数据权限的设计,可以依据“一切皆资源”的概念,将资源的概念拓展为既可以是包括具体的如页面、菜单、按钮等,还包括抽象的如接口、可筛选的数据范围,甚至可扩展至系统、业务线数据等等一切想进行操作权限区分的事物;
2.根据权利要求1所述的一种基于RBAC模式的数据权限的...
【技术特征摘要】
1.一种基于rbac模式的数据权限的设计方法,包括rbac模型,传统rbac模型中,用户和角色之间是多对多的关系,一个用户可以被赋予若干角色,一个角色也可以被赋予若干用户,其特征在于:所述s1、基于rbac模型的数据权限架构设计:传统应用中仅涉及应用的功能权限,依据rbac模型在功能权限的基础上增加数据权限的设计,可以依据“一切皆资源”的概念,将资源的概念拓展为既可以是包括具体的如页面、菜单、按钮等,还包括抽象的如接口、可筛选的数据范围,甚至可扩展至系统、业务线数据等等一切想进行操作权限区分的事物;
2.根据权利要求1所述的一种基于rbac模式的数据权限的设计方法,其特征在于:所述s1中可以重新设计权限架构,除菜单表等传统的资源外,可以将各个模块业务表的数据纳入资源管理,区别于功能权限,角色资源权限除了应记录对于资源的访问权限外,还应记录对于该资源的操作权限,从而实现用户对于数据资源的航迹别的操作控制。
3.根据权利要求2所述的一种基于rbac模式的数据权限的设计方法,其特征在于:所述角色资源权限表可记录可访问的资源,资源操作可记录对于资源的操作权限如只读、读写、导入导出、移动复制等。
4.根据权利要求3所述的一种基于rbac模式的数据权限的设计方法,其特征在于:所述资源操作表可以根据项目数据操作的复杂情况留存,当数据操作不需要进行详细区分时,可在资源表中增加字段代替改表。
5.根据权利要求4所述的一种基于rbac模式的数据权限的设计方法,其...
【专利技术属性】
技术研发人员:李康,李玉涛,李毅仁,陈云朋,黎荣华,田逸,高泽,刘瑶瑶,
申请(专利权)人:河钢数字技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。