[发明专利]一种分布式双重授权及访问控制方法和系统

权利要求书

1.一种分布式双重授权及访问控制方法，应用于包括一个通用认证授权服务器和多个不同类型应用系统的控制系统，其特征在于，包括：

分级权限控制步骤，用于通过所述通用认证授权服务器设定用户级别，并传递用户分级信息给所述应用系统，通过验证用户级别与应用系统的资源或服务的级别匹配关系决定用户对粗粒度资源或服务的访问权限；

分组权限控制步骤，用于通过所述应用系统对用户和资源/服务分别进行分组设定，通过验证用户分组与资源/服务分组之间的相交关系决定用户对细粒度资源或服务的访问权限。

2.根据权利要求1所述的分布式双重授权及访问控制方法，其特征在于，所述分级权限控制步骤进一步包括：

步骤S101，通过所述通用认证授权服务器设定用户级别，并在用户完成统一登录认证后，传递用户分级信息给应用系统；

步骤S102，所述应用系统解析该用户分级信息，获取用户名和用户级别信息；

步骤S103，用户访问受限资源，本地应用系统根据预先约定的资源或服务的级别与该用户的级别比对，决定用户的访问权限；当用户级别高于或等于数据资源的级别时，能访问；否则拒绝访问并发出相关的提示信息。

3.根据权利要求1或2所述的分布式双重授权及访问控制方法，其特征在于，所述分组权限控制步骤进一步包括：

步骤S201，预先在本地应用系统对用户和资源/服务分别进行分组设定；

步骤S202，当用户通过级别验证，需要访问受分组权限控制的细粒度资源时，部署在应用系统的分组访问控制逻辑检测用户分组与细粒度数据资源分组的关系决定用户的访问权限，如果有相交的分组则能访问，否则拒绝访问并发出相关的提示信息。

4.根据权利要求2所述的分布式双重授权及访问控制方法，其特征在于，在所述步骤S101中，传递用户分级信息时，用户的级别信息与用户名信息通过XML文档进行传递，在所述步骤S102中，采用一个基于SAX的解析器对该XML文档进行解析。 

5.一种分布式双重授权及访问控制系统，包括一通用认证授权服务器及多个不同类型应用系统，其特征在于，包括：其中，

所述通用认证授权服务器，用于提供用户的统一登录认证功能、用户分级设定功能及用户信息的发布功能，在用户完成统一登录认证后，传递用户分级信息给应用系统；

所述应用系统，用于部署分级和分组访问控制逻辑，并通过验证用户级别与应用系统的数据服务的级别的匹配关系决定用户对粗粒度资源或服务的访问权限，验证用户分组与资源或服务分组之间相交关系决定用户对细粒度资源或服务的访问权限。

6.根据权利要求5所述的分布式双重授权及访问控制系统，其特征在于，所述通用认证授权服务器上进一步设置：

-用户分级设定模块，用于对用户分级相关信息进行设定，并在用户完成统一登录认证后，将该用户分级相关信息按设定格式文件返回给应用系统；

-用户信息发布模块，基于用户库中的信息提供用户信息发布Web服务。

7.根据权利要求6所述的分布式双重授权及访问控制系统，其特征在于，所述应用系统中进一步设置：

-资源分级访问控制模块，用于从所述格式文件中解析出用户名信息和用户级别信息，并根据约定对相关资源或服务根据用户的级别提供访问控制；

-用户分组设定模块，用于提供管理界面，为本地管理提供针对具体用户的分组设定功能；

-资源分组设定模块，用于提供本地管理对应用系统中的资源或服务的分组设定功能；

-资源分组访问控制模块，用于针对用户的访问，动态检测本地所设定的用户和资源/服务的分组，根据该用户与资源的分组的关系实现访问控制功能。

8.根据权利要求6所述的分布式双重授权及访问控制系统，其特征在于，所述用户分级设定模块中的用户信息数据库表中增加控制用户级别的USER_LEVEL字段用于标识用户的级别。

9.根据权利要求6所述的分布式双重授权及访问控制系统，其特征在于， 所述用户分级设定模块中，如果需要更详细的用户分级权限分配，单独设置一权限控制表，专门用于用户的权限角色管理。

10.根据权利要求7所述的分布式双重授权及访问控制系统，其特征在于，所述资源分级访问控制模块中包括一个基于SAX的解析器，用于对用户分级设定模块返回给应用系统的包含用户分级信息分级XML文件进行解析，获取其中的用户名和用户级别信息。