[发明专利]一种多层级的用户权限管理方法

说明书

技术领域

本发明涉及一种多层级的用户权限管理方法。

背景技术

随着信息技术的飞速发展，越来越多的政府部门、企业、学校等采用信息管理系统来降低信息采集投入，简化统计分析工作，提高工作效率。为适应安全要求，这些信息管理系统在开发过程中，需要对该业务系统的用户权限和数据操作范围进行限定，由此涉及到组织机构的上下级关系，每级对应的用户，每个用户对应的功能和数据操作范围，权限系统是信息管理系统的基础。

在现实情况下，尤其是在教育系统中，国家行政区划与实际各地区的管理区划严重不符，各种新区、管委会的不断出现，多区合并、分拆，学校的总校分校、代管、分拆合并，因各种管理需要临时组建/解散组织机构等，上下级关系频繁变化，导致权限系统经常发生重大变化，对依附于权限系统之上的信息管理系统造成更大的伤害，软件维护投入非常大，软件的通用性受到极大挑战。

在机构有上下级关系的同时，因功能操作和管理范围的差异，用户、角色、权限一般也都有上下级关系，所有的上下级关系复合，导致权限系统异常复杂，在设计和开发过程中非常容易出现错误，造成软件质量低下，维护工作量巨大。

因此，如何有效解决多层级组织结构中信息管理系统的操作权限分配和操作范围限定，成为一个亟待解决的问题之一。

发明内容

有鉴于此，本发明目的是提供一种带来多层级组织机构的权限系统业务逻辑大幅简化，大量减少范围检查逻辑，从而可以提高产品质量，大幅降低开发和维护成本的多层级的用户权限管理方法。

本发明的目的是在基于角色的访问控制模型基础上，针对多层级的组织机构下，用户权限管理和数据范围管理的安全访问控制。

在体现“Who对What(Which)进行(How)的操作”的规则中,who代表用户，What(which)表示被操作的数据，How指操作数据的功能，权限管理就是对How的管理，数据范围管理则是对what(Which)的管理。

为了解决上述技术问题，本发明的技术方案是：包括以下步骤：

1).梳理业务需求，根据实际业务数据属性，业务数据要么归属于某个机构直接所有，要么归于某个用户所有，而用户则归属于某个机构，从而使数据间接归属于某个机构，系统中不存在没有归属机构的人和数据，因此通过机构可以控制访问数据的范围，各业务数据和用户都附带有自己的所属机构；

2).在多层级的组织机构中，上级机构拥有自己所有下级机构的数据管辖权，既可以访问所有下级机构的所有数据，在实际中是否访问这些数据，则由角色权限来限制；

3).为体现上级机构对下级机构的管辖层级关系，建立“机构-父机构”对实现机构之间的多对多关系，每个机构记录自己的所有上级，最顶级的机构没有上级机构；

4).根据业务需求，建立角色-权限对，多对多关系，实现角色包含哪些权限；权限分为可用权限和可授权权限，可用权限指自己可以使用该权限，可授权权限指用户可以将该权限再次授权给其他用户；组合多个权限为功能组，在建立角色-权限对时，通过选取功能组，实现对一组权限的开关，方便操作；

5).建立“机构-角色”对，多对多关系，表示该机构可使用的角色；

6).根据业务需要，通过向用户授予“机构-角色”对的方式，同时实现权限和数据范围的控制，一个用户可以被授予多个“机构-角色”对，用户可以通过切换“机构-角色”对来切换权限和数据范围，也可以将授予该用户的同一个机构的所有角色加和，用户通过切换机构来切换数据范围，权限则是所有角色的总和；

7).用户、角色、权限均不设计上下级关系，在实现中可通过复制操作、批量操作等方式，通过业务操作简化授权；

8).根据各种业务逻辑需要，经过以上设计后，在实际使用中，业务数据范围管理主要有三种：“上级机构可查看本级及所有下级机构的数据”，“下级机构可查看本级和所有上级机构的数据”，“可查看本级、所有上级机构和所有下级机构的数据”。

作为优选，在步骤六中,实现权限的控制是通过角色限制, 实现数据范围的控制是通过机构限制。

作为优选，所有层级关系集中在机构上，用户、角色和权限的上下级关系通过所属机构传递。

作为优选，数据范围只与机构关联，通过“机构-角色”对用户授权后，通过“角色”限定操作权限的同时，也通过“机构”限定了用户的数据操作范围。