[发明专利]一种实现权限管理的方法及系统

说明书

技术领域：

本发明涉及计算机设计与应用技术领域，特别是涉及一种实现权限管理的方法及系统。

背景技术

在互联网技术应用中，给用户一定的权限，也就是解决用户对不同资源的访问权限问题。

在企业管理系统中，每个用户仅仅能看到他/她应该看到的资源，操作他/她应该操作的资源，这就需要企业管理系统对用户进行严格的资源访问控制。基于角色的访问控制(Role Based Access ControlRBAC)方法是目前公认的解决大型企业的资源访问控制的有效方法，

该方法是指应用RBAC模型的权限管理单元配置资源访问权限和为用户提供资源访问权限的查看，其中为用户提供资源访问权限的查看是权限管理的主要内容。

它的显著特点是：权限被赋予角色，而不是用户，当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的权限。因此，在企业管理系统里面，一般是采用如下的方法：

第一：先把权限赋予职务，职务就是角色；

第二：员工担任一个或者多个职务，就拥有这些职务包含的所有权限。

但是这种方法的缺点是：使权限跟部门没有任何关系的。把权限独立于部门，这是不符合实际情况的，如有职务：经理，经理拥有浏览工作日志的权限。那么就应该：

1.部门A的经理应该仅仅可以浏览部门A下的员工的工作日志，而不能浏览部门B的员工的工作日志。

2.部门B的经理应该仅仅可以浏览部门B下员工的工作日志，而不能浏览部门A的员工的工作日志。

但是如果按照基于角色的访问控制(RBAC)方法，那么只要是担任经理这个职务的人都可以浏览所有员工的工作日志，那显然是不符合实际情况的。

职务是某个部门下的职务，不存在着一个没有部门的职务。

发明内容：

本发明为解决上述问题不足之处，提供一种实现权限管理的方法，包括如下步骤：

第一步，查询用户的角色是否有对应的资源访问权限；

第二步，当用户的角色有对应的资源访问权限时，继续查询用户是否有对应的查询条件；

第三步，当用户没有对应的资源访问条件，则拒绝用户访问；

第四步，当用户有对应的资源访问条件，查询该用户角色的属性属于的部门；

第五步，用户能够在对应部门的职务下有相应的权限。

系统管理员预先设置角色与用户的对应关系、角色与具备资源访问条件的资源访问权限的对应关系；

企业管理员预选设置用户属于那个部门的属性。

所述用户能够被赋予一个或多个职务。

所述用户能够被赋予一个或多个部门。

一种实现权限管理的系统，所述系统包括角色模块、权限模块、查询模块、响应模块以及部门属性分配模块；

其中，角色模块，用于存储设置的角色、权限管理系统外部输入的用户数据和角色与用户的对应关系；

权限模块，用于存储设置资源访问条件，以及访问资源权限与角色的对应关系；

查询服务模块，用于接收用户访问资源的请求，根据权限模块中，访问资源权限与角色的对应关系，查询用户的角色对应的资源访问权限和用户对应的资源访问条件；

响应模块，用于根据响应发送允许或拒绝用户访问资源；

部门属性分配模块，用于分配用户所属的部门，并保存所述属性的数据。

所述系统中还包括资源权限配置接口，该接口提供权限管理系统外的配置调用，传输角色模块中存储的角色信息。

本发明的优点：

用户是通过部门的角色关系来获取相应的权限，这个符合公司的实际情况，有利于公司资源访问控制。

附图说明：

图1是本发明一种实现权限管理的方法的流程图；

图2是本发明一种实现权限管理系统的结构示意图。

具体实施方式：

本发明的中心思想是，在企业管理系统里面，权限是有部门属性的。先把权限赋予角色，用户担任一个或者多个某个部门下的角色。用户通过自己担任的部门角色信息进而拥有相应的权限。

下面将结合附图做详细说明，

如图1所示，一种实现权限管理的方法，包括如下步骤：

101，查询用户的角色是否有对应的资源访问权限；当用户的角色有对应的资源访问权限时，允许用户对资源的访问；

102，当用户的角色有对应的资源访问权限时，继续查询用户是否有对应的查询条件；

103，当用户没有对应的资源访问条件，则拒绝用户访问；

104，当用户有对应的资源访问条件，查询该用户角色的属性属于的部门；