[发明专利]基于过滤器的动态权限控制方法和系统

说明书

本发明提供了一种基于过滤器的动态权限控制方法及系统，包括：在请求分发到具体业务接口前，通过过滤器解析包括请求的用户、当前用户拥有的角色以及所访问接口需要的角色；基于解析的请求的用户、当前用户拥有的角色以及所访问接口需要的角色，通过决策器判断当前用户是否可以访问对应接口，从而实现动态权限控制的目的。

技术领域

本发明涉及计算机技术领域，具体地，涉及基于过滤器的动态权限控制方法和系统。

背景技术

目前权限系统存在的主要问题有：1.权限控制力度和管理员配置操作复杂度不能实现统一。导致会出现这样两种情况：1.管理员配置操作简单，但权限控制粒度粗；2.权限控制粒度细，但是管理员配置操作复杂；2.都必须依赖特定的权限组件，比如springsecurity或shiro等权限管理组件，系统更笨重；3.所有用户都是有自己的组织架构的，用户在系统的权限必然和自身所在组织部门关联，可是系统权限却不能通过组织架构配置。导致分配权限复杂；4.不同的权限资源有不同的管理控制逻辑，不能统一数据权限、接口权限、页面权限。导致系统复杂度增高、管理员配置复杂度增高。

权限控制一般指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源，不多不少。权限控制几乎出现在任何软件系统里面，只要其涉及网络化和多用户应用。虽然几乎所有软件系统都有权限控制，但大部分软件系统的权限控制都存在缺陷。

专利文献CN103020498A(申请号：201210467045.0)公开了一种智能化动态权限控制方法和系统，该方法包括以下步骤：A、对动态权限进行分类，构造动态权限规则库；B、实现权限规则的动态表达存入规则库；C、侦测上下文敏感信息，并将其传递给动态权限规则解析引擎；D、自动查找匹配权限规则，然后进行动态解析；E、依据权限规则在页面顺序部署。该系统包括以下功能模块：动态权限规则库、上下文环境感知器、动态权限规则解析引擎和权限规则部署模块。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种基于过滤器的动态权限控制方法及系统。

根据本发明提供的一种基于过滤器的动态权限控制方法，包括：在请求分发到具体业务接口前，通过过滤器解析包括请求的用户、当前用户拥有的角色以及所访问接口需要的角色；基于解析的请求的用户、当前用户拥有的角色以及所访问接口需要的角色，通过决策器判断当前用户是否可以访问对应接口，从而实现动态权限控制的目的。

优选地，包括

步骤S1：通过添加包括用户表、机构表、角色表、资源表、控制项表、用户机构关联表、用户角色关联表、机构角色关联表、控制项资源关联表以及控制项角色关联表扩展RBAC权限模型；

步骤S2：获取请求头中的token,通过加解密算法解密token；当成功解密token时，则和用户表里的信息匹配；匹配成功时，则认证成功，并获取请求的用户信息，并将用户标识存储到请求头中；否则认证失败，结束请求；

步骤S3：获取请求头中的用户标识，根据扩展的RBAC权限模型查询用户拥有的所有角色，并存储到线程变量中；

步骤S4：获取请求的目标地址，并根据扩展的RBAC权限模型，获取当前目标地址资源对应的所有角色，并存储到线程变量中；

步骤S5：判断用户拥有的角色和访问地址资源需要的角色是否满足决策条件，当满足时，则鉴权成功，并根据扩展的RBAC权限模型，查询出用户拥有的所有数据权限资源，并存储到请求头中，继续请求，否则鉴权失败，结束请求。

优选地，所述步骤S3采用：

步骤S3.1：查询用户角色关联表，获取当前用户直接关联的角色；

步骤S3.2：若用户继承机构权限，则通过查询用户机构关联表获取当前用户对应的机构，再通过查询机构角色表，获取机构对应的所有角色；