[发明专利]基于RBAC模型的临时授权系统

说明书

技术领域

本发明涉及临时授权系统，尤其是基于RBAC模型的临时授权系统。本发明属于网络通信领域。

背景技术

目前针对业务系统中权限控制基本都通过RBAC模型来完成，在RBAC中，RBAC的基本思想是：授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。RBAC中许可被授权给角色，角色被授权给用户，用户不直接与许可关联。RBAC对访问权限的授权由管理员统一管理，RBAC根据用户在组织内所处的角色作出访问授权与控制，授权规定是强加给用户的，用户不能自主地将访问权限传给他人，这是一种非自主型集中式访问控制方式。

目前对于业务系统内实现的权限控制基本基于此模型完成，即通过用户匹配角色，通过角色关联权限。在进行临时授权的过程中，需要重新建立角色或修改角色权限完成。

但上述技术存在以下弊端：一是在临时授权的过程中，如果通过修改角色来完成授权，那拥有此角色的所有用户都会具有相同的权限，而事实上用户可能只需要针对一人进行特殊授权；二是如果通过单独建立角色来完成临时授权则需要讲原有角色的权限进行识别，在现有角色权限基础上进行添加授权，如当前用户具有多重角色则操作更加复杂，增加了系统的复杂度；三是通过新建角色，并重新赋权的操作会使得系统的权限管理变得混乱，使系统的后台管理难度增加；四是无法实现临机授权。

本发明通过基于RBAC的权限控制模型，对RBAC的角色匹配计算权限环节进行改进，实现临时授权系统。通过本发明实现的临时授权系统可以作为公共程序，对现有的RBAC系统进行临时授权改进而不需要进行重新编码，因此其适用性更高。

发明内容

本发明的目的在于：针对现有技术的不足，通过基于RBAC模式的临时授权系统，简化了临时授权的操作复杂难度，同时增加了RBAC模式下权限管理的灵活性。

为实现上述目的，本发明包括如下功能模块：

用户管理：完成系统用户的增加、删除、修改、查询。

--所述用户管理模块主要完成了业务系统用户的增、删、改、查，同时记录所拥有的角色，产生的数据主要记录于数据中的User表中，主要键值为uid(标识用户信息的唯一ID值)、uname(用户名)、upw(用户密码)、rid1(用户所属角色的标识ID)、ridn(用户所属第N个角色的标识ID，N根据业务系统的需要为大于1的自然数集合)、trid(用户拥有的临时角色标识ID)。

角色管理：完成角色的增加、删除、修改、查询。

--所述角色管理模块可以完成角色的增、删、改、查，新增角色时，可以为角色赋予不同的权限，完成角色管理的功能，产生的数据主要记录于Role表中，主要键值为rid(标识角色的唯一ID值)、rname(角色名)、pid1(该角色的第一个操作权限ID值)、pidn(该角色的第N个操作权限的ID值，N根据业务系统的需要为大于1的自然数集合)。

权限管理：完成业务系统的权限提取。

--所述权限管理模块将业务系统的各种操作权限进行提取，形成业务系统权限资源池，其信息主要记录于PowerRight表中，主要键值为pid(标识操作权限的唯一ID值)、pname(权限名称)。

权限合并：完成临时授权的权限合并管理。

--所述权限合并模块为用户建立临时角色，将用户现有角色的权限进行合并，并经临时角色记录到TempRole中，主要键值为trid(标识临时角色的唯一ID值)、pid1(该临时角色的第一个操作权限ID值)、pidn(该临时角色的第N个操作权限的ID值，N根据业务系统的需要为大于1的自然数集合)；

--所属权限合并模块拥有角色解析功能，根据当前用户所拥有的角色，读取角色所拥有的操作权限，并将操作权限的pid写入到TempRole表中。

认证模块：完成用户的权限认证。

--所述认证模块完成用户登录时的相关认证，验证用户是否拥有合法的uname和upw；

--所述认证模块完成用户登录后的角色的优先级判断，确认用户登录后使用的角色。

数据库：记录临时授权系统所需的数据信息。

--所述数据库主要包括User表、Role表、PowerRight表、TempRole表。

用户使用步骤为：

步骤一：通过角色管理新建角色，并为该角色进行授权。

步骤二：将该角色通过用户管理赋予给当前用户。

步骤三：通过权限合并模块将用户原有角色与新分配角色进行权限合并，并为用户建立临时角色。