[发明专利]一种用户权限管理系统及方法

说明书

技术领域

本发明涉及计算机技术领域，尤其涉及一种用户权限管理系统及方法。

背景技术

随着计算机技术和互联网技术的发展，当今世界已经进入大数据时代。企业和政府越来越注重信息化建设和数据共享，如何保障信息和数据安全也因此格外受到重视。

企业和政府通常通过网站或应用软件等形式对外或对内提供各种服务和数据资源的访问。如果没有建立有效的权限管理机制，一旦用户访问到其权限范围外的服务、数据或者资源，无疑会带来极大的安全隐患。因此，必须通过权限管理功能，限制每个用户只能访问其被授权的数据和资源。

常见的权限管理方法包括：自主访问控制(DAC)、强制访问控制(MAC)、基于角色的访问控制(RBAC)等等。自主访问控制(DAC)允许客体的拥有者对其客体资源进行管理，客体的拥有者也可以向其它主体授予其拥有客体的访问权限，未授权主体对客体的访问是禁止的。强制访问控制(MAC)模型中，系统强制主体服从访问策略，主体和客体都被标记了固定的安全属性，每次访问发生时，系统会检测主体和客体的安全属性以确认主体是否有权限访问。基于角色的访问控制(RBAC)基本思想是向角色授予访问权限，用户通过被赋予不同角色从而获得角色所拥有的权限。RBAC与DAC和MAC的一个重要区别在于定义了角色的概念，使角色成为主体和客体之间的桥梁，通过角色可以更加灵活的控制主体对客体的访问权限，简化了权限管理工作。

基于角色的访问控制(RBAC)建立了用户、角色、权限三者的关系模型，如图1所示。然而，随着权限管理的应用场景日趋复杂，在很多应用场景中，需要管理越来越多的用户角色和处理大量数据、资源，RBAC的基本模型已经无法满足各种多变的实际应用场景需求。

因此，本领域的技术人员致力于开发一种更为合理和安全的用户权限管理系统及方法。

发明内容

本发明所要解决的技术问题是现有的基于角色的访问控制无法满足越来越多变的实际应用场景需求。

为解决上述技术问题，本发明提供了一种用户权限管理系统，包括：

数据库，包括用于保存用户与角色的对应关系的用户角色关联表，用于保存角色与功能权限的对应关系的角色功能权限关联表和用于保存角色与数据权限的对应关系的角色数据权限关联表，所述功能权限用于确定可执行的功能，所述数据权限用于确定允许访问的数据；

角色查询单元，用于查询所述用户角色关联表，获得在线用户对应的角色；

功能权限查询单元，用于根据所述在线用户对应的角色查询所述角色功能权限关联表，以核实所述在线用户请求的功能是否可执行；

数据权限查询单元，用于当所述在线用户请求的功能可执行，则根据所述在线用户对应的角色查询所述角色数据权限关联表，获得所述在线用户对应的数据权限。

进一步地，所述角色与数据权限的对应关系包括角色与行数据权限的对应关系和角色与列数据权限的对应关系。

进一步地，所述数据库还包括：用于保存与用户关联的功能权限和功能权限属性参数的用户功能权限属性表和用于保存与用户关联的数据权限和数据权限属性参数的用户数据权限属性表。

进一步地，所述数据权限属性参数包括数据行权限属性参数和数据列权限属性参数。

进一步地，所述数据库还包括用于保存与功能权限关联的显示信息的资源表；所述用户权限管理系统还包括：资源提取单元，当所述在线用户请求的功能可执行，所述资源提取单元用于根据所述请求的功能对应的功能权限提取所述资源表中关联的显示信息。

进一步地，所述数据库还包括用于保存与功能权限关联的操作的功能操作表和用于保存与数据权限关联的操作对象的对象信息表；所述用户权限管理系统还包括：执行单元，当所述在线用户请求的功能可执行，所述执行单元用于根据所述功能操作表和对象信息表执行所述在线用户请求的功能。

进一步地，所述数据库还包括：用于保存用户标识的用户表，用于保存角色标识的角色表，用于保存功能权限标识的功能权限表和用于保存数据权限标识的数据权限表。

为解决上述技术问题，本发明还提供了一种用户权限管理的方法，包括以下步骤：

预先建立数据库，所述数据库中包括用于保存用户与角色的对应关系的用户角色关联表，用于保存角色与功能权限的对应关系的角色功能权限关联表和用于保存角色与数据权限的对应关系的角色数据权限关联表，所述功能权限用于确定可执行的功能，所述数据权限用于确定允许访问的数据；

查询所述用户角色关联表，获得在线用户对应的角色；