[发明专利]一种基于模块的权限控制方法及装置

权利要求书

1.一种基于模块的权限控制方法，应用于服务端，其特征在于，所述权限控制方法包括：

步骤S1、获取客户端发送来的携带用户信息的token值、携带被操作数据对象的URL以及操作码；

步骤S2、根据给定的用户和角色关系表确定当前用户的所有角色；

步骤S3、根据给定的角色和权限关系表确定当前用户的所有权限；

步骤S4、对每一个权限，根据权限模型获取该权限对应的数据集合、操作码及PURL，所述PURL为URL的前缀；

步骤S5、基于所述数据集合，获取给定的数据组表达式；

步骤S6、对每一个权限，依次判断以下三个条件：

(1)客户端发送来的操作码与该权限对应的操作码是否一致；

(2)客户端发送来的URL与该权限的PURL是否一致；

(3)被操作数据对象是否满足该权限对应的数据组表达式；

如果存在同时满足上述三个条件的权限，则进入对所述数据集合操作的API控制层。

2.如权利要求1所述的基于模块的权限控制方法，其特征在于，步骤S1进一步包括：

步骤S11、判断客户端发送来的token值是否有效，如果无效，则进行登录失效响应。

3.如权利要求2所述的基于模块的权限控制方法，其特征在于，步骤S11之后进一步包括：

步骤S12、判断URL是否存在与默认放行的URL集合中，如果存在，则直接进入对所述数据集合操作的API控制层。

4.如权利要求1所述的基于模块的权限控制方法，其特征在于，步骤S6中，确定被操作数据对象是否满足该权限对应的数据组表达式包括：

步骤S61、对所述数据组表达式，基于指定的表达式分割字符串提取各个表达式及各表达式之间的逻辑关系；

步骤S62、按照客户端发送的数据对各个表达式进行匹配运算，给出匹配运算结果，所述匹配运算结果为TRUE或FALSE；

步骤S63、根据各表达式之间的逻辑关系判断所述数据组表达式是否成立，如果成立，则确定被操作数据对象满足该权限对应的数据组表达式。

5.一种基于模块的权限控制装置，包括服务端，其特征在于，所述服务端包括：

数据获取模块，用于获取客户端发送来的携带用户信息的token值、携带被操作数据对象的URL以及操作码；

角色确定模块，用于根据给定的用户和角色关系表确定当前用户的所有角色；

权限确定模块，用于根据给定的角色和权限关系表确定当前用户的所有权限；

权限内容获取模块，用于对每一个权限，根据权限模型获取该权限对应的数据集合、操作码及PURL，所述PURL为URL的前缀；

权限数据组表达式获取模块，用于基于所述数据集合，获取给定的数据组表达式；

权限匹配模块，用于对每一个权限，依次判断以下三个条件：

(1)客户端发送来的操作码与该权限对应的操作码是否一致；

(2)客户端发送来的URL与该权限的PURL是否一致；

(3)被操作数据对象是否满足该权限对应的数据组表达式；

如果存在同时满足上述三个条件的权限，则进入对所述数据集合操作的API控制层。

6.如权利要求5所述的基于模块的权限控制装置，其特征在于，所述数据获取模块包括：

登录识别单元，用于判断客户端发送来的token值是否有效，如果无效，则进行登录失效响应。

7.如权利要求6所述的基于模块的权限控制装置，其特征在于，所述数据获取模块包括：

白名单放行单元，用于判断URL是否存在与默认放行的URL集合中，如果存在，则直接进入对所述数据集合操作的API控制层。

8.如权利要求5所述的基于模块的权限控制装置，其特征在于，所述权限匹配模块包括：

数据组表达式拆分单元，用于对所述数据组表达式，基于指定的表达式分割字符串提取各个表达式及各表达式之间的逻辑关系；

表达式运算单元，用于按照客户端发送的数据对各个表达式进行匹配运算，给出匹配运算结果，所述匹配运算结果为TRUE或FALSE；

数据组运算单元，用于根据各表达式之间的逻辑关系判断所述数据组表达式是否成立，如果成立，则确定被操作数据对象满足该权限对应的数据组表达式。