CN114389894B - 权限控制方法、设备、存储介质及计算机程序产品 - Google Patents
权限控制方法、设备、存储介质及计算机程序产品 Download PDFInfo
- Publication number
- CN114389894B CN114389894B CN202210109400.0A CN202210109400A CN114389894B CN 114389894 B CN114389894 B CN 114389894B CN 202210109400 A CN202210109400 A CN 202210109400A CN 114389894 B CN114389894 B CN 114389894B
- Authority
- CN
- China
- Prior art keywords
- user
- authority
- service system
- target service
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000004590 computer program Methods 0.000 title abstract description 11
- 238000013475 authorization Methods 0.000 claims description 46
- 230000003993 interaction Effects 0.000 claims description 6
- 230000008520 organization Effects 0.000 description 27
- 238000010586 diagram Methods 0.000 description 20
- 238000007726 management method Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 10
- 230000001360 synchronised effect Effects 0.000 description 9
- 238000012550 audit Methods 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 6
- 238000013499 data model Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 210000004258 portal system Anatomy 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种权限控制方法、设备、存储介质及计算机程序产品。该方法包括:接收多个业务系统中的任一目标业务系统转发的用户访问请求,所述访问请求中携带所述目标业务系统的地址和用户信息;若用户登录认证通过,则确定所述用户在所述目标业务系统的权限,所述权限包括以下至少一种:用户角色权限、数据权限和业务系统资源权限;根据所述用户在所述目标业务系统的权限,触发所述目标业务系统为所述用户创建与所述访问请求对应的局部会话,实现多个业务系统的权限控制,提高了权限控制效率。
Description
技术领域
本申请涉及运维技术领域,尤其涉及一种权限控制方法、设备、存储介质及计算机程序产品。
背景技术
随着信息化的深入推广应用,各企业组织中都存在处理各种业务的几十几百套的信息系统,因此对用户权限的控制方式提出了需求。
现有的权限控制方式为多个业务系统分别进行权限的控制,即用户和管理者需要在每个业务系统中申请或配置权限,无法统一对多个业务系统的权限进行控制,导致权限控制效率较低。
发明内容
本申请提供一种权限控制方法、设备、存储介质及计算机程序产品,用以解决权限控制效率较低的问题。
第一方面,本申请提供一种权限控制方法,包括:
接收多个业务系统中的任一目标业务系统转发的用户访问请求,访问请求中携带目标业务系统的地址和用户信息;
若用户登录认证通过,则确定用户在目标业务系统的权限,权限包括以下至少一种:用户角色权限、数据权限和业务系统资源权限;
根据用户在目标业务系统的权限,触发目标业务系统为用户创建与访问请求对应的局部会话。
第二方面,本申请提供一种权限控制设备,包括:
接收模块,用于接收多个业务系统中的任一目标业务系统转发的用户访问请求,访问请求中携带目标业务系统的地址和用户信息;
确定模块:若用户登录认证通过,则确定用户在目标业务系统的权限,权限包括以下至少一种:用户角色权限、数据权限和业务系统资源权限;
触发模块:根据用户在目标业务系统的权限,触发目标业务系统为用户创建与访问请求对应的局部会话。
第三方面,本申请提供一种权限控制设备,包括:处理器,以及与处理器通信连接的存储器;
存储器存储计算机执行指令;
处理器执行存储器存储的计算机执行指令,以实现如第一方面任一项的权限控制方法。
第四方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现如第一方面任一项的权限控制方法。
第五方面,本申请提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现第一方面任一项的方法。
本申请提供的权限控制方法、设备、存储介质及计算机程序产品,该方法包括:统一权限中心接收多个系统中的任一目标业务系统转发的用户访问请求,由于访问请求中携带目标业务系统的地址和用户信息,因此统一权限中心可识别发送访问请求的目标业务系统。统一权限中心对用户登录进行认证,如果认证通过,统一权限中心可以确定用户在目标业务系统的权限,并根据用户在目标业务系统的权限,出发目标业务系统为用户创建与访问请求对应的局部会话,实现多个业务系统的权限控制,从而提高了对多个业务系统的权限控制效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的权限控制场景示意图;
图2为本申请实施例提供的一种权限控制方法流程图一;
图3为本申请实施例提供的资源管理功能示意图;
图4为本申请实施例提供的一种权限控制方法流程图二;
图5为本申请实施例提供的一种统一权限中心架构示意图;
图6为本申请实施例提供的一种统一权限中心权限模型示意图;
图7为本申请实施例提供的一种统一权限中心数据域示意图;
图8为本申请实施例提供的一种统一权限中心子主题域示意图;
图9为本申请实施例提供的一种统一权限中心概念数据模型示意图;
图10为本申请实施例提供的一种统一权限中心中身份相关的逻辑数据模型示意图;
图11为本申请实施例提供的权限控制功能示意图;
图12为本申请实施例提供的一种用户注销方法流程图;
图13为本申请实施例提供的一种集成管理功能示意图;
图14为本申请实施例提供的一种数据同步场景示意图;
图15为本申请实施例提供的一种权限控制设备示意图一;
图16为本申请实施例提供的一种权限控制设备示意图二。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
随着信息化的深入推广应用,各企业组织内使用的信息系统也逐渐增加。现有的权限控制方法是在不同的信息系统中拥有不同的账号,导致权限管控比较分散。分散的管控不利于安全管控,容易产生越权,权岗不匹配,更无法有效管控,不在岗、转岗权限的回收。
本申请提供一种权限控制方法,由统一权限中心统一对多个业务系统的用户权限进行控制。某目标业务系统接收到用户的访问请求时并不自行处理,而是转发给统一权限中心,访问请求中携带目标业务系统的地址和用户信息,统一权限中心能够识别到用户访问的是哪个目标业务系统。统一权限中心对用户登录进行认证,若认证通过,则可以确定用户在该目标业务系统的权限,并根据用户在目标业务系统的权限,触发目标业务系统为用户创建与访问请求相对应的局部会话。由于统一权限中心可以确定用户在任一业务系统的权限,无需在每个业务系统中申请或配置权限,实现了多个业务系统权限的统一控制,从而提高了对多个业务系统的权限控制效率。
图1为本申请实施例提供的权限控制场景示意图,如图1所示,统一权限中心可以对多个业务系统进行统一身份账号配置、统一认证、统一权限控制及统一审计等等。当用户需要登录某一业务系统时,统一权限中心对用户身份账号进行认证,当认证通过后,统一权限中心可以确定用户在该目标业务系统的权限,实现权限的控制。多个业务系统可以是不同类型企业内部的应用系统,例如:可以是HR(Human Resource,人力资源)系统、供应链系统、物流系统、仓库管理系统(Warehouse Management System,WMS)和门户系统等。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图2为本申请实施例提供的一种权限控制方法流程图一,本实施例的方法执行主体为统一权限中心,对多个业务系统的权限进行控制,可以通过软件、硬件、或者软件和硬件相结合的方式实现。具体如下:
S201:接收多个业务系统中的任一目标业务系统转发的用户访问请求,访问请求中携带目标业务系统的地址和用户信息。
当用户登录目标业务系统时,目标业务系统接收用户的访问请求,并不自行处理,而是转发至统一权限中心进行认证。其中,用户为登录某一业务系统的人员。
访问请求为用户访问目标业务系统时发送的请求。当目标业务系统将访问请求转发至统一权限中心时,访问请求中携带目标业务系统的地址,以使统一权限中心能够识别目标业务系统。访问请求中还可以携带用户信息,用于统一权限中心对用户进行认证。其中,用户信息包括但不限于用户账号、密码、手机号码、所在组织单元、所在岗位等,以使统一权限中心确认用户及该用户在目标业务系统的权限。
S202:若用户登录认证通过,则确定用户在目标业务系统的权限,权限包括以下至少一种:用户角色权限、数据权限和业务系统资源权限。
对用户登录进行认证时,统一权限中心可以根据访问请求中携带的用户信息对用户进行认证。若认证通过,则可以确定用户在目标业务系统的权限。
不同用户具有不同的权限,以企业为例,不同用户具有不同角色,因此,对业务系统而言,不同角色的用户也对应不同的权限。其中,权限可以包括用户角色权限、数据权限和业务系统资源权限等。用户角色权限为每个用户可以关联多个角色,同时每个角色可以关联多种权限。当用户身份不同时,所对应的权限也存在差别,即用户访问目标业务系统时,能够访问的数据权限和使用的业务系统资源不同。数据权限则是不同用户访问目标业务系统时,能够查看和编辑的数据不同。
业务系统资源是统一权限中心进行授权的客体对象,可以分为业务域和受控资源,受控资源还可以分为功能资源与数据资源。功能资源可以包括修改资源、新增资源、删除资源等。数据资源包括统一权限中心涉及到的各种数据,例如,财务数据、设备数据等。图3为资源管理功能示意图,如图3所示,业务系统资源管理可以包括业务应用配置、业务组织管理、资源互斥管理和受控资源管理,其中,受控资源可以为统一权限中心需要进行配置的资源。需要说明的是,资源管理还可以根据实际需要对非控制资源进行管理,非受控资源可以为企业内部员工共同享有的资源。
需要说明的是,在确定用户在目标业务系统的权限之前,可以分别为多个业务系统配置在统一权限中心的权限授权流程,以建立用户与权限的关联关系。
权限授权可分为单用户授权和批量用户组授权两种授权方式。其中,单用户授权为选择某一角色,直接将用户授予该角色,保证同一个用户记录只在同一个角色中出现一次。批量用户组授权则为选择某一角色,直接将整个用户组授予该角色,完成批量用户的授权操作。
统一权限中心还可以可针对某单用户或批量用户进行权限的回收并销毁功能,保证用户权限的实时生效、严格控制用户权限。
在一种实施场景下,当用户登录认证没有通过时,则无法确定用户在目标业务系统的权限。
S203:根据用户在目标业务系统的权限,触发目标业务系统为用户创建与访问请求对应的局部会话。
统一权限中心可以以多种方式触发业务系统建立局部会话。可选地,可以通过向目标业务系统发送授权令牌的方式触发目标业务系统,授权令牌用于目标业务系统创建局部会话,其中,局部会话为目标业务系统与用户之间的会话。
本申请实施例提供的一种权限控制方法,由统一权限中心对多个业务系统的用户权限进行控制。当某一目标业务系统接收到用户的访问请求时并不自行处理,而是转发给统一权限中心。由于统一权限中心接收到访问请求中携带目标业务系统的地址和用户信息,能够识别到用户访问的是哪个目标业务系统。统一权限中心对用户登录进行认证,如果认证通过,则可以确定用户在该目标业务系统的权限。根据用户在目标业务系统的权限,统一权限中心可以触发目标业务系统创建与访问请求对应的局部会话。由于统一权限中心可以确定用户在任一业务系统的权限,用户无需在每个业务系统中申请或配置权限,实现了多个业务系统权限的统一控制,从而提高了对多个业务系统的权限控制效率。
在上述实施例的基础上,下面提供一个具体的实施例,对权限控制方法进行详细的描述。
图4为本申请实施例提供的一种权限控制方法流程图二。本方法的执行主体可以为统一权限中心,具体如下:
S401:接收多个业务系统中任一目标业务系统转发的用户访问请求,访问请求中携带目标业务系统的地址和用户信息。
业务系统可以是不同类型企业内部的应用系统,例如:可以是物流系统、仓库管理系统、门户系统、供应链系统等。其中,目标业务系统为用户登录的系统,可以是多个业务系统中的任意一个。
访问请求中携带目标业务系统的地址,以使统一权限中心能够识别目标业务系统。访问请求还可以携带用户信息,用于统一权限中心对用户进行认证。其中,用户信息包括但不限于用户账号、密码、手机号码、所在组织单元、所在岗位等。
下面进一步对本申请中涉及的统一权限中心进行详细介绍。
图5为统一权限中心架构示意图。如图5所示,统一权限中心可以对多个业务系统进行主动授权、权限审批、统一认证及统一审计等等。统一权限中心对权限进行控制的方式,可以是对用户进行主动授权,还可以是对用户申请的权限进行审批。其中,权限可以包括用户角色权限、数据权限和业务系统资源权限。当用户身份不同时,其对应的岗位和基准组织不同,用户在业务系统的权限也存在差别。统一认证模块和统一审计模块则分别完成对用户身份认证和审计工作。统一权限中心还可以通过外部接口获取用户在该业务系统的权限。业务系统可以是物流系统、WMS系统、服务系统等。需要说明的是,各业务系统需要按照统一权限中心系统的技术规范进行开发对接。
图6为统一权限中心权限模型示意图。如图6所示,统一权限中心主要包括以下逻辑功能模块:基准组织单元与用户、角色体系、组织体系及业务系统功能体系。其中,基准组织单元与用户包括用户、岗位和基准组织单元;角色体系包括角色分组、业务角色和组织角色;组织体系包括业务组织体系、业务组织单元及业务组织单元性质;业务系统功能体系包括业务域、业务系统、菜单功能、数据资源以及权限策略。
统一权限中心的数据可以根据业务需要经过的节点进行划分,如图7所示,可以得到财务、物资、设备、市场等多个数据域。数据域中可以包含用户身份信息、所在组织信息等基本信息,还包含用户有权限查看和编辑的数据,例如,可以是多种业务功能数据、业务信息数据等。需要说明的是,不同的用户享有与用户身份和角色对应的数据权限,即不同用户能够查看和编辑的数据域不同。
根据统一权限中心的业务要求,还可以将统一权限中心的数据资源分为四个子主题域,如图8所示,四个子主题域分别为身份、权限、资源及配置。权限可对用户身份进行授权,指派相应的资源。配置可用于对身份信息、权限信息和资源信息进行审计。
其中,身份主要是指与人员相关的一些基础数据,包括人员、组织、岗位及相关的数据。统一权限中心可根据用户身份,对用户指派不同的角色,其中,角色可以是一个,也可以是多个。
资源是指身份授权的客体对象,主要包括分别为业务域以及受控资源两方面。其中,受控资源还可以分为功能资源与数据资源。
权限是指用于对身份进行资源权限指派的角色,可以包括:用户角色权限、数据权限和业务系统资源权限,其涉及的数据主要包括角色体系相关类和业务组织体系类的数据,例如:角色分组、组织角色、业务组织单元等数据对象。当用户角色不同时,用户享有的数据权限和业务系统资源权限也会存在差别。
配置是指系统产生的信息数据,包括但不限于日志、系统的配置数据等。
为了详细描述上述身份、权限、资源及配置四个子主题域的相关信息,本申请提供了统一权限中心概念数据模型示意图,如图9所示。具体的,身份域的数据资源主要包括:岗位、基准组织和人员。具体的,权限域的数据资源可以包括:业务组织体系、维度、性质、业务组织单元、扩展属性、角色分组、组织角色、业务角色等。资源域的数据资源可以包括:业务域、业务应用、节点、部署、资源类型、受控资源、资源扩展属性、扩展属性值、策略集、权限策略。配置域的数据资源可以包括:日志类型、标准日志、审计报告、系统定值、展现配置、编码规则配置、报表配置、邮件配置和策略配置等。
在上述概念数据模型的基础上,本申请还提供了统一权限中心的逻辑数据模型,图10为统一权限中心中身份相关的逻辑模型模型示意图,如图10所示,给出了账号、用户表、岗位等多个数据对象所包含的具体数据资源。统一权限中心、业务系统和数据资源平台保护的具体内容可以表1所示为例进行说明,其中可以包括身份、资源、权限和配置四方面。
表1统一权限中心、业务系统及数据资源平台保护内容
S402:若用户未在多个业务系统中的任一业务系统登录,则在用户交互界面加载登录页面。
用户交互界面为统一权限中心加载出的页面。登录页面可以包含用户账号、密码等信息。
S403:接收用户在登录页面输入的用户信息,并创建全局会话以及为目标业务系统创建授权令牌,授权令牌用于目标业务系统为用户创建局部会话。
当统一权限中心创建授权令牌后,向目标业务系统发送已创建的授权令牌。其中,全局会话为统一权限中心与用户之间的会话。
在一种实施场景下,若用户已经在多个业务系统中的任一业务系统登录,则可以向目标业务系统发送已创建的授权令牌。
需要说明的是,授权令牌可适用于多个业务系统,从而实现对多个业务系统的登录。
S404:若用户登录认证通过,则确定用户在目标业务系统的权限,权限包括以下至少一种:用户角色权限、数据权限和业务系统资源权限。
统一权限中心可以根据访问请求中携带的用户信息对用户进行认证。用户信息包括但不限于用户账号、密码、手机号码、所在组织单元、所在岗位等。
权限可以包括用户角色权限、数据权限和业务系统资源权限。其中,资源是统一权限中心进行授权的客体对象,可以分为业务域和受控资源,受控资源还可以分为功能资源与数据资源。统一权限中心在进行资源分配之前需要创建资源。在实际应用中,资源可以创建一次,在资源创建完成后可以对资源进行修改和删除等维护工作。
需要说明的是,资源在创建过程中要遵守一定的原则,确保平台内所有权限资源可以具有唯一的、有规则的编码。编码规则关系到统一权限中心对资源的指定。
资源编码组成有逻辑大小,依次可以分为如下三部分:
组织机构ID部分:确定资源系统所属的组织机构;
资源系统ID部分:确定资源所属的资源系统;
资源菜单ID部分:资源ID编码可再分为菜单ID为最小权限单元组成。
组织机构O1
|-----资源系统A1
|------一级菜单M1
| |-----二级菜单M11
| |-----二级菜单M12
|------一级菜单M2
|------一级菜单M3
根据该系统权限资源分布情况,表2给出了资源编码建立规则,如下所示:
表2资源编码建立规则
需要注意的是,资源ID位数、数值和编码分隔符可以在实际开发中自主决定,该表只是示意性的展现。
统一权限中心在匹配某资源时,可以从组织机构ID开始向下逐层匹配,依次对资源系统、资源编码进行层级匹对,直至将资源锁定确认。
除创建资源外,统一权限中心还可以进行添加权限、修改权限、删除权限等工作。图11为权限控制功能示意图,如图所示,权限控制可以包括:角色维护、角色分组维护、组织角色维护以及权限委托维护等。
在添加权限过程中,需要添加权限的基本信息,权限名称或标识不能与已存在的权限名称或标识重复,同时在添加权限的过程中需要保持原业务系统权限层级结构,保证权限资源的父子关系。添加的权限可分为业务系统访问权限和业务系统内部权限两种,其中业务系统访问权限包括可以包括应用标识、链接、类型、图标等权限信息,业务系统内部权限可以包括:菜单、按钮等权限资源。
在修改权限信息时,可以理解的,修改后的权限名称或标识不能重复。修改过程中保持原业务系统权限层级结构,保证权限资源的父子关系。修改的权限也可分为业务系统访问权限和业务系统内部权限两种。业务系统访问权限包括:应用标识、链接、类型、图标等权限信息。业务系统内部权限包括:对菜单、按钮等权限资源。
删除权限,即对废弃的权限资源进行删除,保证权限资源的实时可用性。
在查询权限时,可根据权限名称、业务系统等信息对权限进行查询。统一权限中心可提供权限信息查询接口服务,能够满足业务系统的权限控制需求,保证权限的严格下发与应用。
当需要进行权限的委托时,委托用户可选中受委托用户,将拥有的部分或全部权限委托给受委托用户,委托过程中可以选择委托权限生效时间段。
除权限控制外,统一权限中心还可以对角色进行管理。角色管理一般可以包括:添加角色基本信息,添加的角色名称与已存在的角色名称不能重复;修改角色基本信息,可以理解的,修改后的角色名称不能重复;删除已废弃的角色信息;根据角色名称实施查询功能。
S405:根据用户在目标业务系统的权限,触发目标业务系统为用户创建与访问请求对应的局部会话。
局部会话为目标业务系统与用户之间的会话。根据用户在目标业务系统的权限,统一权限中心可以触发目标业务系统创建与访问请求对应的局部会话,统一权限中心还可以根据用户权限,为用户在用户交互界面加载相应的页面。其中,该页面为用户有权限查看以及处理编辑的页面。
本申请提供一种权限控制方法,统一权限中心接收到目标业务系统发送的用户访问请求,如果用户已经登录过任一业务系统,统一权限中心向目标业务系统发送已创建的授权令牌。如果用户没有登录任一业务系统,统一权限中心则在用户交互界面加载登录页面,用于用户输入账号信息。当接收到用户的账号信息后,统一权限中心创建全局会话以及用于目标业务系统为用户创建局部会话的授权令牌,并向目标业务系统发送已创建的授权令牌。统一权限中心对用户登录进行认证,当用户认证通过时,可以确定用户在目标业务系统对应的权限,并根据用户在目标业务系统的权限和已创建的授权令牌,触发目标业务系统创建与访问请求对应的局部会话。由于统一权限中心创建的授权令牌适用于多个业务系统,同时,各业务系统的资源授权交由统一权限中心管理,各业务系统不再配置、维护权限控制模块及相应的权限对象,实现了对多个业务系统权限的统一控制,提高了权限控制效率。
上述实施例介绍了用户登录实现权限控制的方法,权限控制还需要对权限进行回收。因此在上述实施例的基础上,下面提供了一个实施例对用户注销账户、回收权限的过程进行描述。
图12为本申请实施例提供的一种用户注销方法流程图,本方法的执行主体为统一权限中心,具体如下:
S1201:接收目标业务系统转发的用户注销请求,注销请求中携带已创建的注销令牌。
目标业务系统接收用户发起的注销请求,目标业务系统根据用户与目标业务系统建立的会话id取出注销令牌,并转发至统一权限中心。需要说明的是,统一权限中心接收的注销请求中携带已创建的注销令牌。
S1202:根据已创建的注销令牌销毁全局会话,并触发目标业务系统销毁局部会话。
统一权限中心对已创建的注销令牌进行校验。当注销令牌有效时,统一权限中心销毁全局对话。其中,全局对话为统一权限中心和用户之间的会话。
统一权限中心向目标业务系统发出注销请求,目标业务系统触发后销毁局部会话。其中,局部会话为目标业务系统和用户之间的会话。需要说明的是,除目标业务系统外,用户登录过的其他业务系统也会销毁局部会话。
本申请提供的业务系统注销方法,当用户需要注销账号时,统一权限中心接收目标业务系统转发的用户注销请求,其中注销请求中携带已创建的注销令牌,统一权限中心对已创建的注销令牌进行校验,当注销令牌有效时,统一权限中心则销毁全局会话,并触发目标业务系统销毁局部会话,完成了用户账号的注销,有效控制了权限的回收。
当统一权限中心对权限进行管理后,业务系统需要接收权限控制的结果,因此统一权限中心和业务系统需要进行对接。如图13所示,统一权限中心与多个业务系统对接的方式可以是同步对接,当统一权限中心进行授权后,可以将授权的结果同步至多个业务系统,使得用户在登录业务系统时,权限可以从本地进行获取。下面对数据同步的过程进行描述。
图14为数据同步场景示意图,如图所示,当管理员在统一权限中心中进行业务触发后,事件管理组件产生同步事件,并上传至同步管理模块。同步管理模块可以包括同步分析组件、数据监控组件和数据同步引擎组件。其中,数据监控组件可以记录同步时间、同步事件触发条件和触发同步事件相关人员等信息,提供记录查询,还可以对数据是否完成同步进行监控。同步分析组件根据同步事件的类型进行数据分析,并将分析后的数据进行归类整理存储,并通知数据同步引擎组件。数据同步引擎组件负责对同步节点的调度和管理,同步节点协助数据同步引擎组件对业务系统进行数据分发,实现数据同步。
图15为本申请实施例提供的一种权限控制设备示意图一,如图所示,本实施例提供的权限控制设备15,可以包括接收模块1501、确定模块1502和触发模块1503。
接收模块1501,用于接收多个业务系统中的任一目标业务系统转发的用户访问请求,访问请求中携带目标业务系统的地址和用户信息;
确定模块1502,若用户登录认证通过,则确定用户在目标业务系统的权限,权限包括以下至少一种:用户角色权限、数据权限和业务系统资源权限;
触发模块1503,根据用户在目标业务系统的权限,触发目标业务系统为用户创建与访问请求对应的局部会话。
本实施例的设备,可用于执行如图2所示的方法实施例,其实现原理和技术效果类似,此处不再赘述。
图16为本申请实施例提供的一种权限控制设备示意图二。如图16所示,本申请实施例提供一种权限控制设备1600包括处理器1601和存储器1602,其中,处理器1601、存储器1602通过总线1603连接。
在具体实现过程中,存储器1602中存储代码,处理器1601运行存储器1602中存储的代码,以执行上述方法实施例的权限控制方法。
处理器1601的具体实现过程可参见上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
在上述的图16所示的实施例中,应理解,处理器1601可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application SpecificIntegrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器1602可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器。
总线1603可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。总线1603可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线1603并不限定仅有一根总线或一种类型的总线。
本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现上述方法实施例的权限控制方法。
上述的计算机可读存储介质,可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。可读存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的可读存储介质耦合至处理器,从而使处理器能够从该可读存储介质读取信息,且可向该可读存储介质写入信息。当然,可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(Application Specific IntegratedCircuits,简称:ASIC)中。当然,处理器和可读存储介质也可以作为分立组件存在于设备中。
本申请实施例提供一种计算机程序产品,包括计算机程序,计算机程序被处理器执行时实现上述本申请实施例中任意实施例提供的权限控制方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
Claims (8)
1.一种权限控制方法,其特征在于,包括:
接收多个业务系统中的任一目标业务系统转发的用户访问请求,所述访问请求中携带所述目标业务系统的地址和用户信息;
若用户登录认证通过,则确定所述用户在所述目标业务系统的权限,所述权限包括以下至少一种:用户角色权限、数据权限和业务系统资源权限;
根据所述用户在所述目标业务系统的权限,触发所述目标业务系统为所述用户创建与所述访问请求对应的局部会话;
所述确定所述用户在所述目标业务系统的权限之前,还包括:
分别为所述多个业务系统配置在统一权限中心的权限授权流程,以建立用户与权限的关联关系;
其中,所述权限授权分为单用户授权和批量用户组授权两种授权方式,所述单用户授权为选择一角色,直接将用户授予该角色,保证同一个用户记录只在同一个角色中出现一次,所述批量用户组授权则为选择某一角色,直接将整个用户组授予该角色,完成批量用户的授权操作。
2.根据权利要求1所述的方法,其特征在于,若用户登录认证通过,则确定所述用户在所述目标业务系统的权限之后,还包括:
根据所述用户的权限,为所述用户在用户交互界面加载相应的页面。
3.根据权利要求1所述的方法,其特征在于,所述接收多个业务系统中任一目标业务系统转发的用户访问请求之后,还包括:
若所述用户未在所述多个业务系统中的任一业务系统登录,则在所述用户交互界面加载登录页面;
接收所述用户在所述登录页面输入的用户信息,并创建全局会话以及为所述目标业务系统创建授权令牌,所述授权令牌用于所述目标业务系统为所述用户创建局部会话。
4.根据权利要求1所述的方法,其特征在于,所述接收多个业务系统中任一目标业务系统转发的用户访问请求之后,还包括:
若所述用户已在所述多个业务系统中的任一业务系统登录,向所述目标业务系统发送已创建的授权令牌。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
接收所述目标业务系统转发的用户注销请求,所述注销请求中携带已创建的注销令牌;
根据所述已创建的注销令牌销毁所述全局会话,并触发所述目标业务系统销毁所述局部会话。
6.一种权限控制设备,其特征在于,包括:
接收模块,用于接收多个业务系统中的任一目标业务系统转发的用户访问请求,所述访问请求中携带所述目标业务系统的地址和用户信息;
确定模块:若用户登录认证通过,则确定所述用户在所述目标业务系统的权限,所述权限包括以下至少一种:用户角色权限、数据权限和业务系统资源权限;
触发模块:根据所述用户在所述目标业务系统的权限,触发所述目标业务系统为所述用户创建与所述访问请求对应的局部会话;
所述确定模块在所述确定所述用户在所述目标业务系统的权限之前,还用于:
分别为所述多个业务系统配置在统一权限中心的权限授权流程,以建立用户与权限的关联关系;
其中,所述权限授权分为单用户授权和批量用户组授权两种授权方式,所述单用户授权为选择一角色,直接将用户授予该角色,保证同一个用户记录只在同一个角色中出现一次,所述批量用户组授权则为选择某一角色,直接将整个用户组授予该角色,完成批量用户的授权操作。
7.一种权限控制设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1-5中任一项所述的权限控制方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至5任一项所述的权限控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210109400.0A CN114389894B (zh) | 2022-01-28 | 2022-01-28 | 权限控制方法、设备、存储介质及计算机程序产品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210109400.0A CN114389894B (zh) | 2022-01-28 | 2022-01-28 | 权限控制方法、设备、存储介质及计算机程序产品 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114389894A CN114389894A (zh) | 2022-04-22 |
| CN114389894B true CN114389894B (zh) | 2023-12-19 |
Family
ID=81203318
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210109400.0A Active CN114389894B (zh) | 2022-01-28 | 2022-01-28 | 权限控制方法、设备、存储介质及计算机程序产品 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114389894B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314245B (zh) * | 2022-06-30 | 2024-03-22 | 青岛海尔科技有限公司 | 权限管理方法、系统、存储介质及电子装置 |
| CN116630107B (zh) * | 2023-07-21 | 2024-09-10 | 广东南方电信规划咨询设计院有限公司 | 为用户提供所需访问信息的方法及装置 |
| CN116933300A (zh) * | 2023-09-18 | 2023-10-24 | 云账户技术(天津)有限公司 | 一种面向用户权限的熔断管理方法、装置及电子设备 |
| CN117077120B (zh) * | 2023-10-18 | 2024-02-09 | 深圳竹云科技股份有限公司 | 应用系统权限解析方法、装置、计算机设备、及介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109388921A (zh) * | 2017-08-10 | 2019-02-26 | 顺丰科技有限公司 | 一种统一用户权限管理平台及运行方法 |
| CN109409043A (zh) * | 2018-09-03 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 应用系统的登录方法、终端设备及介质 |
| CN109413032A (zh) * | 2018-09-03 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 一种单点登录方法、计算机可读存储介质及网关 |
| CN109936579A (zh) * | 2019-03-21 | 2019-06-25 | 广东瑞恩科技有限公司 | 单点登录方法、装置、设备及计算机可读存储介质 |
| CN110197058A (zh) * | 2019-04-15 | 2019-09-03 | 杭州恩牛网络技术有限公司 | 统一内控安全管理方法、系统、介质及电子设备 |
| CN111191210A (zh) * | 2019-12-10 | 2020-05-22 | 未鲲(上海)科技服务有限公司 | 数据访问权限的控制方法、装置、计算机设备和存储介质 |
| CN111695156A (zh) * | 2020-06-15 | 2020-09-22 | 北京同邦卓益科技有限公司 | 业务平台的访问方法、装置、设备及存储介质 |
| CN112632575A (zh) * | 2020-12-22 | 2021-04-09 | 平安普惠企业管理有限公司 | 业务系统的权限管理方法、装置、计算机设备及存储介质 |
| CN113239344A (zh) * | 2021-05-12 | 2021-08-10 | 建信金融科技有限责任公司 | 一种访问权限控制方法和装置 |
| CN113297550A (zh) * | 2021-06-17 | 2021-08-24 | 中国农业银行股份有限公司 | 权限控制的方法、装置、设备、存储介质及程序产品 |
| WO2021197432A1 (zh) * | 2020-04-02 | 2021-10-07 | 北京京东振世信息技术有限公司 | 一种数据库集群的路由方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150256526A1 (en) * | 2013-10-18 | 2015-09-10 | GB & Smtih SARL | Matrix security management system for managing user accounts and security settings |
-
2022
- 2022-01-28 CN CN202210109400.0A patent/CN114389894B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109388921A (zh) * | 2017-08-10 | 2019-02-26 | 顺丰科技有限公司 | 一种统一用户权限管理平台及运行方法 |
| CN109409043A (zh) * | 2018-09-03 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 应用系统的登录方法、终端设备及介质 |
| CN109413032A (zh) * | 2018-09-03 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 一种单点登录方法、计算机可读存储介质及网关 |
| CN109936579A (zh) * | 2019-03-21 | 2019-06-25 | 广东瑞恩科技有限公司 | 单点登录方法、装置、设备及计算机可读存储介质 |
| CN110197058A (zh) * | 2019-04-15 | 2019-09-03 | 杭州恩牛网络技术有限公司 | 统一内控安全管理方法、系统、介质及电子设备 |
| CN111191210A (zh) * | 2019-12-10 | 2020-05-22 | 未鲲(上海)科技服务有限公司 | 数据访问权限的控制方法、装置、计算机设备和存储介质 |
| WO2021197432A1 (zh) * | 2020-04-02 | 2021-10-07 | 北京京东振世信息技术有限公司 | 一种数据库集群的路由方法和装置 |
| CN113495921A (zh) * | 2020-04-02 | 2021-10-12 | 北京京东振世信息技术有限公司 | 一种数据库集群的路由方法和装置 |
| CN111695156A (zh) * | 2020-06-15 | 2020-09-22 | 北京同邦卓益科技有限公司 | 业务平台的访问方法、装置、设备及存储介质 |
| CN112632575A (zh) * | 2020-12-22 | 2021-04-09 | 平安普惠企业管理有限公司 | 业务系统的权限管理方法、装置、计算机设备及存储介质 |
| CN113239344A (zh) * | 2021-05-12 | 2021-08-10 | 建信金融科技有限责任公司 | 一种访问权限控制方法和装置 |
| CN113297550A (zh) * | 2021-06-17 | 2021-08-24 | 中国农业银行股份有限公司 | 权限控制的方法、装置、设备、存储介质及程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114389894A (zh) | 2022-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114389894B (zh) | 权限控制方法、设备、存储介质及计算机程序产品 | |
| CN109643242B (zh) | 用于多租户hadoop集群的安全设计和架构 | |
| US7529931B2 (en) | Managing elevated rights on a network | |
| US7996885B2 (en) | Password application | |
| US8671448B1 (en) | Method and system for implementing mandatory file access control in native discretionary access control environments | |
| CN111259378B (zh) | 多租户管理系统和多租户管理系统的实现方法 | |
| CN102422298A (zh) | 分布式计算资源的访问控制系统和方法 | |
| CN115698998A (zh) | 使用远程主体对象针对外部身份的安全资源授权 | |
| CN111898149A (zh) | 一种多组织机构的用户管理系统和方法 | |
| CN112019543A (zh) | 一种基于brac模型的多租户权限系统 | |
| CN111191279A (zh) | 面向数据共享服务的大数据安全运行空间实现方法及系统 | |
| CN110719298A (zh) | 支持自定义更改特权账号密码的方法及装置 | |
| CN111062028A (zh) | 权限管理方法及装置、存储介质、电子设备 | |
| DE102022132069A1 (de) | Server, der einen sicherheitszugriff eines endgeräts des benutzers unterstützt, und steuerverfahren dafür | |
| CN111931140A (zh) | 权限管理方法、资源访问控制方法、装置和电子设备 | |
| CN104866774A (zh) | 账户权限管理的方法及系统 | |
| EP2725513B1 (en) | Managing permission settings applied to applications | |
| CN111368286A (zh) | 权限控制方法、装置、设备及存储介质 | |
| CN109977644B (zh) | 一种Android平台下分级权限管理方法 | |
| CN114417278A (zh) | 一种接口统一管理系统和平台接口管理系统 | |
| CN110708298A (zh) | 集中管理动态实例身份和访问的方法及装置 | |
| CN115422526B (zh) | 角色权限管理方法、设备及存储介质 | |
| CN117118729A (zh) | 一种管理云服务器系统 | |
| CN113486322A (zh) | 一种一体化平台基于单点登录的控制方法、装置、介质 | |
| Xie et al. | Design and implement of spring security-based T-RBAC |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |