[发明专利]一种多层级的用户权限管理方法

摘要

本发明公开一种多层级的用户权限管理方法，将所有层级关系集中在机构上，用户、角色和权限的上下级关系通过所属机构传递，大幅降低了多个上下级关系带来权限系统设计的复杂性。本发明中的数据范围只与机构关联，通过“机构‑角色”对用户授权后，通过“角色”限定操作权限的同时，也通过“机构”限定了用户的数据操作范围，大幅简化了对数据范围合法性检查的业务逻辑。账号‑机构‑角色‑权限之间都是多对多的关系，在实际业务中，会带来非常强大的操作灵活性。本发明是基于通用性而设计，对于教育行业、政府部门、集团公司等多层级机构的各种管理系统，通过模块化设计，可进行完整复用。基于以上几点，本发明会带来多层级组织机构的权限系统业务逻辑大幅简化，大量减少范围检查逻辑，从而可以提高产品质量，大幅降低开发和维护成本。

主权项

一种多层级的用户权限管理方法，包括以下步骤：1).梳理业务需求，根据实际业务数据属性，业务数据要么归属于某个机构直接所有，要么归于某个用户所有，而用户则归属于某个机构，从而使数据间接归属于某个机构，系统中不存在没有归属机构的人和数据，因此通过机构可以控制访问数据的范围，各业务数据和用户都附带有自己的所属机构；2).在多层级的组织机构中，上级机构拥有自己所有下级机构的数据管辖权，既可以访问所有下级机构的所有数据，在实际中是否访问这些数据，则由角色权限来限制；3).为体现上级机构对下级机构的管辖层级关系，建立“机构‑父机构”对实现机构之间的多对多关系，每个机构记录自己的所有上级，最顶级的机构没有上级机构；4).根据业务需求，建立角色‑权限对，多对多关系，实现角色包含哪些权限；权限分为可用权限和可授权权限，可用权限指自己可以使用该权限，可授权权限指用户可以将该权限再次授权给其他用户；组合多个权限为功能组，在建立角色‑权限对时，通过选取功能组，实现对一组权限的开关，方便操作；5).建立“机构‑角色”对，多对多关系，表示该机构可使用的角色；6).根据业务需要，通过向用户授予“机构‑角色”对的方式，同时实现权限和数据范围的控制，一个用户可以被授予多个“机构‑角色”对，用户可以通过切换“机构‑角色”对来切换权限和数据范围，也可以将授予该用户的同一个机构的所有角色加和，用户通过切换机构来切换数据范围，权限则是所有角色的总和；7).用户、角色、权限均不设计上下级关系，在实现中可通过复制操作、批量操作等方式，通过业务操作简化授权；8).根据各种业务逻辑需要，经过以上设计后，在实际使用中，业务数据范围管理主要有三种：“上级机构可查看本级及所有下级机构的数据”，“下级机构可查看本级和所有上级机构的数据”，“可查看本级、所有上级机构和所有下级机构的数据”。