[发明专利]基于过滤器的动态权限控制方法和系统

权利要求书

1.一种基于过滤器的动态权限控制方法，其特征在于，包括：在请求分发到具体业务接口前，通过过滤器解析包括请求的用户、当前用户拥有的角色以及所访问接口需要的角色；基于解析的请求的用户、当前用户拥有的角色以及所访问接口需要的角色，通过决策器判断当前用户是否可以访问对应接口，从而实现动态权限控制的目的。

2.根据权利要求1所述的基于过滤器的动态权限控制方法，其特征在于，包括

步骤S1：通过添加包括用户表、机构表、角色表、资源表、控制项表、用户机构关联表、用户角色关联表、机构角色关联表、控制项资源关联表以及控制项角色关联表扩展RBAC权限模型；

步骤S2：获取请求头中的token,通过加解密算法解密token；当成功解密token时，则和用户表里的信息匹配；匹配成功时，则认证成功，并获取请求的用户信息，并将用户标识存储到请求头中；否则认证失败，结束请求；

步骤S3：获取请求头中的用户标识，根据扩展的RBAC权限模型查询用户拥有的所有角色，并存储到线程变量中；

步骤S4：获取请求的目标地址，并根据扩展的RBAC权限模型，获取当前目标地址资源对应的所有角色，并存储到线程变量中；

步骤S5：判断用户拥有的角色和访问地址资源需要的角色是否满足决策条件，当满足时，则鉴权成功，并根据扩展的RBAC权限模型，查询出用户拥有的所有数据权限资源，并存储到请求头中，继续请求，否则鉴权失败，结束请求。

3.根据权利要求2所述的基于过滤器的动态权限控制方法，其特征在于，所述步骤S3采用：

步骤S3.1：查询用户角色关联表，获取当前用户直接关联的角色；

步骤S3.2：若用户继承机构权限，则通过查询用户机构关联表获取当前用户对应的机构，再通过查询机构角色表，获取机构对应的所有角色；

步骤S3.3：若用户继承机构权限，则通过查询用户机构关联表获取当前用户对应的机构的所有上级机构，再通过查询机构角色表，获取上级机构中被子孙机构继承的所有角色；

步骤S3.4：将获取的所有角色去重合并后，得到用户拥有的所有角色。

4.根据权利要求2所述的基于过滤器的动态权限控制方法，其特征在于，所述步骤S4采用：

步骤S4.1：获取请求中的目标URL值以及请求METHOD，通过资源表，获取访问的资源对象；

步骤S4.2：通过控制项资源关系表，获取当前资源所述的所有控制项；

步骤S4.3：通过控制项角色关系表，获取控制项需要的角色。

5.根据权利要求2所述的基于过滤器的动态权限控制方法，其特征在于，所述步骤S5采用：

步骤S5.1：从线程变量中获取用户拥有的所有角色及访问资源需要的所有角色；

步骤S5.2：判断用户拥有的角色中，是否存在任一角色和访问资源需要的任一角色匹配，当匹配时，则鉴权成功；否则结束请求；

步骤S5.3：根据控制项角色关联表，查询用户拥有的所有控制项；

步骤S5.4：根据控制项资源关联表，查询用户拥有的所有数据权限资源，并将资源信息存储到请求头中。

6.一种基于过滤器的动态权限控制系统，其特征在于，包括：在请求分发到具体业务接口前，通过过滤器解析包括请求的用户、当前用户拥有的角色以及所访问接口需要的角色；基于解析的请求的用户、当前用户拥有的角色以及所访问接口需要的角色，通过决策器判断当前用户是否可以访问对应接口，从而实现动态权限控制的目的。