[发明专利]统计列表操作权限授权方法

说明书

技术领域

本发明涉及一种ERP、CRM等管理软件统计列表操作权限授权方法。

背景技术

统计列表不同于表单的概念：（1）表单主要表达的是对数据库中数据的增删改查，而统计列表不会修改数据库中的数据，只是按照某种需求方式对数据库中的数据进行查询；（2）表单表达的是一种业务对象，比如订单、合同、客户等等，每一条表单数据对应了一个唯一的业务对象，比如客户表单中的001客户就代表了一个唯一的客户001；而统计列表一般是对某个/多个表单按照某种需求方式进行统计，统计列表中一行数据并不是一个业务对象，而是一个统计结果，比如，销售合同按签订部门统计，每行统计数据表达的是一个签订部门负责的所有销售合同的统计，可能包含了签单合同数量的统计、签单合同金额的统计、回款金额的统计、订单个数的统计等等。

统计列表用于集中统计并显示系统中指定的内容或数据，一般软件系统都具有统计列表的显示和查看功能，然而，传统软件系统中对于被授权对象而言，要么能够查看统计列表中所有列的内容，要么整个统计列表都看不到，无法实现统计列表各列操作权限的精细化管理，使用上存在较大局限。例如，对于“销售业绩统计列表”，该统计列表中的列名有员工编号、姓名、所在部门、职位、签单金额、回款金额、提成金额、发放状态，现需要财务部员工张三核对回款金额数据是否准确，则须为张三授权该统计列表的查看权限，一旦授权后，张三能够看到该统计列表中所有列的内容，包括签单金额、提成金额等敏感或隐私数据。

另外，传统软件系统还存在以下缺陷：（1）在进行授权操作时，无法显示最近授权的操作者及操作时间，在出现权限授权错误时无法实现追责，也无法为当前授权操作者提供授权时间的参考，使用不太方便。（2）无法批量对多个被授权对象进行统计列表操作权限的授权，也不支持模板授权功能，授权效率较低，大型软件系统中统计列表非常多，传统授权方式工作量很大。

基于角色的访问控制（RBAC）是近年来研究最多、思想最成熟的一种数据库权限管理机制，它被认为是替代传统的强制访问控制（MAC）和自主访问控制（DAC）的理想候选。传统的自主访问控制的灵活性高但是安全性低，强制访问控制安全性高但是限制太强；基于角色的访问控制两者兼具，不仅易于管理而且降低了复杂性、成本和发生错误的概率，因而近年来得到了极大的发展。基于角色的访问控制（RBAC）的基本思想是根据企业组织视图中不同的职能岗位划分不同的角色，将数据库资源的访问权限封装在角色中，用户通过被赋予不同的角色来间接访问数据库资源。

在大型应用系统中往往都建有大量的表和视图，这使得对数据库资源的管理和授权变得十分复杂。由用户直接管理数据库资源的存取和权限的收授是十分困难的，它需要用户对数据库结构的了解非常透彻，并且熟悉SQL语言的使用，而且一旦应用系统结构或安全需求有所变动，都要进行大量复杂而繁琐的授权变动，非常容易出现一些意想不到的授权失误而引起的安全漏洞。因此，为大型应用系统设计一种简单、高效的权限管理方法已成为系统和系统用户的普遍需求。

基于角色的权限控制机制能够对系统的访问权限进行简单、高效的管理，极大地降低了系统权限管理的负担和代价，而且使得系统权限管理更加符合应用系统的业务管理规范。

然而，传统基于角色的用户权限管理均采用“角色对用户一对多”的关联机制，其“角色”为组/类性质，即一个角色可以同时对应/关联多个用户，角色类似于岗位/职位/工种等概念，这种关联机制下对用户权限的授权基本分为以下三种形式：

1、如图1所示，直接对用户授权，缺点是工作量大、操作频繁且麻烦；当发生员工变动（如调岗、离职等），该员工涉及到的所有权限必须要作相应调整，特别是对于公司管理人员，其涉及到的权限多，权限调整的工作量大、繁杂，容易出错或遗漏，影响企业的正常运营，甚至造成不可预估的损失。

2、如图2所示，对角色（类/组/岗位/工种性质）进行授权（一个角色可以关联多个用户），用户通过角色获得权限，权限授权主体是组/类性质角色；

3、如图3所示，以上两种方式结合。

以上的表述中，2、3均需要对类/组性质的角色进行授权，而通过类/组/岗位/工种性质的角色进行授权的方式有以下缺点：