[发明专利]一种面向对象的用户角色资源权限模型管理方法

说明书

一种面向对象的用户角色资源权限模型管理方法，在安全模型中用户、角色、资源三种对象关系划分的基础上增加用户与资源的划分、角色与角色的划分。把对象的关系从树形结构拓展为网状结构。增加资源对象的属性，使权限不仅管理功能也能管理数据。利用算法的优化提高资源检索定位效率。新的方法使安全模型更加真实的反映现实情况，简化应用操作。同时把权限管理集中在MVC模式中的控制层，强调持久层与数据权限分离，即增加权限分配的灵活性又避免了系统的修改调整。

技术领域

本发明属于计算机应用领域，具体说就是在软件系统开发中采用的一种面向对象的用户角色资源权限模型管理方法。

背景技术

企业应用系统对安全问题有较高的要求，传统的访问控制方法DAC(Discretionary Access Control，自主访问控制模型)、MAC(Mandatory Access Control，强制访问控制模型)难以满足复杂的企业环境需求。因此，NIST(National Institute ofStandards and Technology，美国国家标准化和技术委员会)于上世纪90年代初提出了基于角色的访问控制方法，实现了用户与访问权限的逻辑分离，更符合企业的用户、组织、数据和应用特征。

在软件开发中经常采用R-F-RBAC(Role-Function-Resource Based AccessControl)角色-功能-资源的权限控制模型的管理模式，即把整个访问控制过程分成两步：访问权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离。具有很强通用性，较高的灵活性和可扩充性，兼顾了安全性和效率，易于维护。能使合法用户方便地使用系统，并满足系统对用户权限的控制需求。

普通角色-功能-资源的权限控制模型，关系简单，用户仅与角色是一对多关系，角色仅与资源是一对多的关系，是一个简单的树形结构。在实际应用上实现操作步骤多，资源与用户分配固化繁琐，无法真正反映显示情况。

发明内容

针对现有技术中存在的上述不足之处，本发明要解决的技术问题是提供一种面向对象的用户角色资源权限模型管理方法。

本发明为实现上述目的所采用的技术方案是：一种面向对象的用户角色资源权限模型管理方法，包括以下步骤：

建立用户、角色、资源三个对象；

在数据库中建立数据结构表；

用户对象与角色对象通过用户角色映射表确立关系、角色对象与资源对象通过角色资源映射表确立关系、用户系统通行证表确立用户对象与系统的关系；

当用户访问功能或数据时，根据提供的资源ID在用户的资源集合及角色资源中进行比对，如有相同ID即允许否则不允许。

所述资源对象包括数据、功能两种类型。

所述角色对象的属性有三种：角色集合、资源集合和角色资源对象集合；所述角色集合存储角色队列，所述资源集合存储资源队列，角色资源对象集合汇总角色所拥有的全部且唯一的资源对象。

所述用户对象的属性有三种：角色集合、资源集合和用户资源对象集合；所述角色集合中存储角色队列，所述资源集合存储资源队列，用户资源对象集合汇总用户所拥有的全部且唯一的资源对象。

所述角色对象包含子角色，角色关系是单层或多层。

本发明具有以下优点及有益效果：

1.数据访问权限由资源控制，避免对数据库的权限设置，降低了系统的复杂性，同时保证了应用的灵活性。

2.采用面向对象的技术，打破了常规的直接将权限赋予用户的模式，建立一套高透明度、细粒度的角色、用户、权限控制管理新模式，该设计不依赖于具体的实施平台，也不会对架构产生限制。