[发明专利]一种基于角色权限控制的鉴权方法

说明书

本发明提供了一种基于角色权限控制的鉴权方法，该鉴权方法包括以下步骤：S1、在为用户分配角色时定义出与角色适配的数据范围；S2、获取用户的所有角色并确定不同角色所对应的数据范围及鉴权信息；S3、接收用户发起的访问请求，并仅在用户发起的访问请求中所包含的当前角色所对应的数据范围与鉴权信息所对应的数据范围匹配时，响应用户发起的访问请求。本发明所揭示的一种基于角色权限控制的鉴权方法，克服了现有技术中基于RBAC的角色权限控制中权限控制不灵活且控制粒度不够细腻的缺陷，并能够兼容公有云、私有云及混合云的使用环境，且不需要预先为用户分配角色所对应的资源，提高了鉴权策略的灵活性。

技术领域

本发明涉及计算机权限管理技术领域，尤其涉及一种基于角色权限控制的鉴权方法。

背景技术

目前，大多数信息化系统在解决系统数据的权限方面，大多采用传统的RBAC(Role-Based Access Control)模型，将数据的权限分配在中间可以复用的载体上，即很多系统是分配在角色上，用户通过继承角色来获得权限。

基于RBAC模型的角色权限控制，其通常预先定义角色，将角色分配一定的权限，然后给用户赋予角色，即对用户授予对应的权限。然而，在RBAC模型中由于授权只定义了操作，而没有定义数据范围，比如用户被授予查询云主机的权限，那么查询任何一台云主机都是鉴权通过的，因此导致了无法细分其他用户或者管理员或别的组织的云主机不可见。

同时，现有技术中存在基于策略的角色权限控制，其首先使用特定语言描述了操作权限和资源(资源视为一种数据范围)以及条件，然后将策略赋予给对应的用户，从而为用户赋予具数据范围的操作权限。该现有技术同样存在一定缺陷。

由于基于策略的角色权限控制中，为用户定义策略的前提是该用户对既定数据范围的资源拥有操作权限，并将将这些资源通过划分给下属的子账号。因此，基于策略的角色权限控制更适用于公有云场景，而在私有云场景中，由于存在多个不同的数据范围，比如一个或多个租户，一个或多个部门，一个或多个项目。因此，在私有云场景中如果基于策略的角色权限控制，则由于数据范围是动态变化的，因此导致无法根据动态变化的数据范围为用户定义恰当的策略。

发明内容

本发明的目的在于揭示一种基于角色权限控制的鉴权方法，用以实现互联网业务中细粒度地控制用户发起的访问请求的控制权限，克服现有技术中基于策略的角色权限控制不适合私有云环境中的权限控制，同时克服传统的RBAC模型的角色权限控制中权限控制不灵活且控制粒度不够细腻的缺陷。

为实现上述发明目的，本申请首先提供了一种基于角色权限控制的鉴权方法，包括以下步骤：

S1、在为用户分配角色时定义出与角色适配的数据范围；

S2、获取用户的所有角色并确定不同角色所对应的数据范围及鉴权信息；

S3、接收用户发起的访问请求，并仅在用户发起的访问请求中所包含的当前角色所对应的数据范围与鉴权信息所对应的数据范围匹配时，响应用户发起的访问请求。

作为本发明的进一步改进，所述步骤S2还包括：对不同角色所对应的鉴权信息执行缓存操作，所述鉴权信息被保存至存储介质中。

作为本发明的进一步改进，所述步骤S2还包括：判断是否存在与不同角色所对应的鉴权信息；

若是，则直接调用被执行缓存操作所对应的鉴权信息；

若否，则为用户从新定义角色所对应的数据范围及鉴权信息。

作为本发明的进一步改进，所述存储介质为Redis缓存、数据中心、数据库、内存、文件系统、分布式存储系统、机械磁盘或者闪存。

作为本发明的进一步改进，所述角色适配的数据范围包括：角色所对应的数据操作类型及角色所对应的数据范围的实例集；其中，