[发明专利]监察审批操作、授权操作及表单操作的方法

说明书

技术领域

本发明涉及一种ERP、CRM等管理系统中监察审批操作、授权操作及表单操作的方法。

背景技术

管理系统中对用户操作记录的监督和追责十分重要，现有管理系统中，在很多情况下需要具有管理权限的管理者对被监督对象的操作记录进行监督，虽然可以监督、监察被管理对象的工作操作记录，然而，传统系统均采用直接针对用户/员工进行监督、监察的方式，一旦赋予了监督权限，监督者就可以监督该用户/员工的所有工作操作记录。但是一个用户/员工经常是身兼多职，而监督者对用户/员工的监督权限往往不能覆盖其所有职位涉及到的工作内容，两者很难兼顾。举例：员工张三在公司担任生产车间主任，同时兼任研发部部长，日常涉及到的工作内容主要是对生产车间员工的授权操作和研发部表单操作。赋予管理者李四对张三的监督权限后，则李四就可以监督张三的所有工作操作记录，包括对生产车间员工的授权操作记录和研发部表单操作记录。然而，在企业实际运营过程中，往往需要将员工的某些工作内容独立出来，如需要保密的内容，或某监督者不具备查看权限的部分内容等，并不能整体把所有的工作操作记录都展示在某一个监督者面前。有的时候不同监督者对同一个用户有着不同工作内容的监督权限，需要按岗位号/工位号对用户的工作内容进行区分和分别的监督权限授权。例如，负责管理生产的副总王五只能对张三对车间员工的授权操作记录进行监督，负责研发的副总赵六只能对张三研发部表单操作记录进行监督，传统技术手段无法实现此功能。

基于角色的访问控制（RBAC）是近年来研究最多、思想最成熟的一种数据库权限管理机制，它被认为是替代传统的强制访问控制（MAC）和自主访问控制（DAC）的理想候选。传统的自主访问控制的灵活性高但是安全性低，强制访问控制安全性高但是限制太强；基于角色的访问控制两者兼具，不仅易于管理而且降低了复杂性、成本和发生错误的概率，因而近年来得到了极大的发展。基于角色的访问控制（RBAC）的基本思想是根据企业组织视图中不同的职能岗位划分不同的角色，将数据库资源的访问权限封装在角色中，用户通过被赋予不同的角色来间接访问数据库资源。

在大型应用系统中往往都建有大量的表和视图，这使得对数据库资源的管理和授权变得十分复杂。由用户直接管理数据库资源的存取和权限的收授是十分困难的，它需要用户对数据库结构的了解非常透彻，并且熟悉SQL语言的使用，而且一旦应用系统结构或安全需求有所变动，都要进行大量复杂而繁琐的授权变动，非常容易出现一些意想不到的授权失误而引起的安全漏洞。因此，为大型应用系统设计一种简单、高效的权限管理方法已成为系统和系统用户的普遍需求。

基于角色的权限控制机制能够对系统的访问权限进行简单、高效的管理，极大地降低了系统权限管理的负担和代价，而且使得系统权限管理更加符合应用系统的业务管理规范。

然而，传统基于角色的用户权限管理均采用“角色对用户一对多”的关联机制，其“角色”为组/类性质，即一个角色可以同时对应/关联多个用户，角色类似于岗位/职位/工种等概念，这种关联机制下对用户权限的授权基本分为以下三种形式：

1、如图1所示，直接对用户授权，缺点是工作量大、操作频繁且麻烦；当发生员工变动（如调岗、离职等），该员工涉及到的所有权限必须要作相应调整，特别是对于公司管理人员，其涉及到的权限多，权限调整的工作量大、繁杂，容易出错或遗漏，影响企业的正常运营，甚至造成不可预估的损失。

2、如图2所示，对角色（类/组/岗位/工种性质）进行授权（一个角色可以关联多个用户），用户通过角色获得权限，权限授权主体是组/类性质角色；

3、如图3所示，以上两种方式结合。

以上的表述中，2、3均需要对类/组性质的角色进行授权，而通过类/组/岗位/工种性质的角色进行授权的方式有以下缺点：

1、用户权限变化时的操作难：在实际的系统使用过程中，经常因为在运营过程中需要对用户的权限进行调整，比如：在处理员工权限变化时，角色关联的某个员工权限发生变化，我们不能因该个别员工权限的变化而改变整个角色的权限，因为该角色还关联了其他权限未变的员工。因此为了应对该种情况，要么创建新角色来满足该权限发生变化的员工，要么对该员工根据权限需求直接授权（脱离角色）。以上两种处理方式，在角色权限较多的情况下对角色授权不仅所需时间长，而且容易犯错，使用方操作起来繁琐又麻烦，也容易出错导致对系统使用方的损失。