[发明专利]一种基于角色功能映射表实现用户权限管理的方法

说明书

技术领域

本发明涉及一种基于角色功能映射表实现用户权限管理的方法。

技术背景

一般地，现代人机交互客户端系统中都涉及到了用户权限控制的功能。对于采用C/S模式的应用系统，即数据处理(定义、查询和更新)由数据库服务器集中管理而系统应用则由客户机程序实现。在这种模式下，业务处理逻辑存放于工作站的客户机程序中，由于不同身份的用户其业务处理逻辑不同，如果单独为每类用户开发与之工作相对应的应用程序，无疑会将系统开发工作复杂化而延长工程周期，也不利于以后的维护工作。针对这种情况，在实际开发过程中，一个业务部门的客户机程序通常被设计成通用型的(即将所有功能集中于一身)，并将各项功能的选择权限化，通过权限控制为不同身份的用户赋予与之身份对应的各项操作，屏蔽不能执行的操作调用，以此实现分工负责。这种实现方式降低了系统开发的复杂度，缩短了开发周期，同时由于代码相对集中而使维护工作难度降低，所以成为当前开发C/S系统常用的一种实现方式。采用这种通用模式设计程序，权限控制就成为系统的运行管理核心，尤其在维护系统安全方面起着重要的作用，因此权限控制模块的设计(权限控制模块的设计应分为3个方面：权限表结构设计、权限管理机制设计和运行控制机制设计)与实现就显得极为重要。

发明内容

本发明旨在提供一种基于角色功能映射表实现用户权限管理的方法。

本发明一种基于角色功能映射表实现用户权限管理的方法是：

(1)通过将系统功能粗分为模块，然后在每个模块中细分各种子功能，为模块分配一个唯一的标识符：一个双字节表示的无符号整数module_id，为模块的子功能分配一个唯一的标识符：一个双字节表示的无符号整数subfunc_id，最终可将可将模块功能定义为一个4字节无符号整数：

func_id＝(module_id<<16)|subfunc_id

(2)对每一个定义好的模块功能，定义一个权限字，使用4个字节无符号整数表示。4字节无符号整数具有32个位，每一位代表该模块功能的一个特定的权限，为1或0时，分别代表对此模块功能具备此权限或无此权限；

(3)(模块功能，权限控制字)可定义为描述一个确定权限的权限二元组，多个权限二元组描述了对系统功能的多个权限，从中可以抽象定义出角色的概念：角色，即对系统拥有一组权限的操作对象的全体。可在系统中使用4字节无符号整数、名称字符串来标记一个角色，此处使用4字节无符号整数来标识角色。

(4)定义权限表的行记录为(模块功能id，角色id，权限控制字)，一个角色的权限可由角色id为指定值的多个权限行记录来存储；

(5)在定义系统用户表时，为每个用户增加一个角色字段定义，当系统中增加用户时，可直接为此用户保存一个指定角色，该用户即可获得角色所携带的系统访问权限；

(6)用户既可通过角色授予获得角色权限控制规则，也可以保存自己的用户权限控制规则，角色权限控制规则和用户权限控制规则统称为角色功能映射表；

(7)当用户登录系统时，从存储中加载角色权限控制规则(若存在)和私有的用户权限控制规则(若存在)，客户端根据用户具备的权限动态生成功能操作入口，即根据权限来生成界面显示，对于用户不具备权限的功能不提供对应的功能操作入口；当用户在权限范围内操作，引起对其权限范围外的功能调用时，可在发生真正的调用前，再次验证权限是否满足；

采用本发明一种基于角色功能映射表实现用户权限管理的方法后，具有如下几点优点：

(1)将系统功能粗分为模块，然后在模块中细分各种子功能，将“模块+子功能”定义为一个可授权的功能对象，如此定义可以将各功能之间的联系表达清楚，也较容易按照一定的规律扩展新的功能对象，否则只按照增加功能的先后顺序存储，而不进行聚类，则授权时浏览功能定义将会很混乱。

(2)在可授权的功能对象的定义上，采用4个字节的整数来表达，高位两个字节表达模块ID，低位两个字节表达模块子功能ID，两个字节整数可表达的ID数量较多，基本上可不必担心扩展模块和功能时，ID不足使用的问题。

(3)在权限控制的定义上，采用4个字节的整数，实际上即采用32个位来表达权限控制的有无，对于模块内的某个子功能而言，设置32种权限控制也是足够的。

(4)角色、用户也选择4个字节整数ID表达，将(功能对象ID，角色、用户ID，权限控制字)作为一条行记录值，插入文件或数据库中来形成角色功能映射表。

具体实施方式

本发明的一个较佳实施例如下：

1、权限定义方法：