1.本发明涉及银行领域,特别涉及一种银行业的访问权限管理方法及相关装置。
背景技术:2.现在运维领域业务量的增长,企业内部人员也爆炸性增长,不同业务系统针对不同工作人员的访问权限也更加繁杂,为了解决不可避免的访问权限类别过大导致的信息过载的困境,访问权限管理系统应运而生,其可以对不同业务系统的访问权限进行管理,有效提高企业访问权限管理效率。
3.现在的银行内运维工具和内部产品较多,设计了一款集成各个不同应用的门户入口。而银行内用户均拥有不同类别的访问权限,用于访问门户中不同应用。为了提高用户对应用的使用效率,通常会对菜单设置不同的访问权限壁垒,避免出现访问权限泄露的情况。但目前的访问权限管理系统一般是基于角色访问控制(rbac)模型进行开发的,其中引入了角色的概念,其目的就是为了隔离用户与访问权限。角色作为用户与访问权限之间的一个代理层,弱化了访问权限和用户的关系,访问权限授给了角色而不是直接给用户。rbac的理论说明,角色是rbac模型的核心要素,它被定义成一系列不同访问权限的集合。将访问权限与角色进行关联后,如果用户被指定为某个角色,就能拥有该角色所拥有的访问权限,这就简化了访问权限的管理过程。角色通常被看作机构内的一项工作或职位,它作为一种访问权限的集合,与用户是截然不同的,但可将角色赋予用户。用户要进行某项事务活动,必须先对其指派角色,而此角色已被授予了相应操作的访问权限,这样用户就能通过角色获取相应的访问权限来访问系统资源。
4.rbac虽然直观而且简单,但是在实际应用中仍然存在一些问题,比如用户的访问权限分配不够灵活,用户被指定为某个角色后,如果要添加或者删除其对某个资源(菜单项)的访问权限,其过程比较麻烦,导致运维难度大。
技术实现要素:5.鉴于上述问题,本发明提供一种克服上述问题或者至少部分地解决上述问题的银行业的访问权限管理方法及相关装置。
6.第一方面,一种银行业的访问权限管理方法,包括:
7.根据银行的组织结构,为各层级银行划分不同的角色;
8.针对任一所述角色,均执行:为所述角色设置相应的至少一个菜单访问权限组,其中,每个所述菜单访问权限组均包括对于至少一个菜单栏下的至少一个菜单项的访问权限,不同的所述角色对应的菜单访问权限组不同,不同的所述菜单访问权限组包括的所述访问权限不相同,一个所述访问权限对应一个所述菜单项;
9.针对任一所述角色,均执行:为所述角色对应的多个用户分别设置相应至少一个所述访问权限,从而对各所述角色的各所述用户进行访问权限管理,其中,为所述用户设置的所述访问权限是所述角色对应的各所述菜单访问权限组中的所述访问权限。
10.结合第一方面,在某些可选的实施方式中,在所述为所述角色设置相应的至少一个菜单访问权限组之后,所述方法还包括:
11.根据各所述层级银行所处的办公环境的ip地址段,为至少一个所述角色设置相应的过滤菜单访问权限组,其中,所述菜单访问权限过滤组包括至少一个待滤除的访问权限,一个所述待滤除的访问权限对应一个所述菜单项;
12.针对任一设置相应的所述过滤菜单访问权限的角色,均执行:根据所述过滤菜单访问权限组,滤除所述角色的各所述菜单访问权限组中的至少一个所述访问权限,其中,被滤除的访问权限与所述菜单访问权限过滤组相匹配。
13.结合上一个实施方式,在某些可选的实施方式中,所述根据所述过滤菜单访问权限组,滤除所述角色的各所述菜单访问权限组中的至少一个所述访问权限,包括:
14.判断所述角色的各所述菜单访问权限组中是否包括所述过滤菜单访问权限组中的所述待滤除的访问权限;
15.若包括,则将所述菜单访问权限组中相应的访问权限从所述菜单访问权限组中滤除,其中,被滤除的访问权限与所述待滤除的访问权限均为针对同一个所述菜单项的访问权限。
16.结合第一方面,在某些可选的实施方式中,所述根据银行的组织结构,为各层级银行划分不同的角色,包括:
17.根据银行的组织结构,将各层级银行划分为总行角色、境内分行角色、海外分行角色、境内子公司角色和境外子公司角色。
18.第二方面,一种银行业的访问权限管理装置,包括:角色划分单元、访问权限组分配单元和用户访问权限分配单元;
19.所述角色划分单元,用于根据银行的组织结构,为各层级银行划分不同的角色;
20.所述访问权限组分配单元,用于针对任一所述角色,均执行:为所述角色设置相应的至少一个菜单访问权限组,其中,每个所述菜单访问权限组均包括对于至少一个菜单栏下的至少一个菜单项的访问权限,不同的所述角色对应的菜单访问权限组不同,不同的所述菜单访问权限组包括的所述访问权限不相同,一个所述访问权限对应一个所述菜单项;
21.所述用户访问权限分配单元,用于针对任一所述角色,均执行:为所述角色对应的多个用户分别设置相应至少一个所述访问权限,从而对各所述角色的各所述用户进行访问权限管理,其中,为所述用户设置的所述访问权限是所述角色对应的各所述菜单访问权限组中的所述访问权限。
22.结合第二方面,在某些可选的实施方式中,所述装置还包括:过滤访问权限组设置单元和过滤单元;
23.所述过滤访问权限组设置单元,用于在所述为所述角色设置相应的至少一个菜单访问权限组之后,根据各所述层级银行所处的办公环境的ip地址段,为至少一个所述角色设置相应的过滤菜单访问权限组,其中,所述菜单访问权限过滤组包括至少一个待滤除的访问权限,一个所述待滤除的访问权限对应一个所述菜单项;
24.所述过滤单元,用于针对任一设置相应的所述过滤菜单访问权限的角色,均执行:根据所述过滤菜单访问权限组,滤除所述角色的各所述菜单访问权限组中的至少一个所述访问权限,其中,被滤除的访问权限与所述菜单访问权限过滤组相匹配。
25.结合上一个实施方式,在某些可选的实施方式中,所述过滤单元,包括:判断子单元和过滤子单元;
26.所述判断子单元,用于判断所述角色的各所述菜单访问权限组中是否包括所述过滤菜单访问权限组中的所述待滤除的访问权限;
27.所述过滤子单元,用于若包括,则将所述菜单访问权限组中相应的访问权限从所述菜单访问权限组中滤除,其中,被滤除的访问权限与所述待滤除的访问权限均为针对同一个所述菜单项的访问权限。
28.结合第二方面,在某些可选的实施方式中,所述角色划分单元,包括:角色划分子单元;
29.所述角色划分子单元,用于根据银行的组织结构,将各层级银行划分为总行角色、境内分行角色、海外分行角色、境内子公司角色和境外子公司角色。
30.第三方面,一种计算机可读存储介质,其上存储有程序,所述程序被处理器执行时实现上述任一项所述的银行业的访问权限管理方法。
31.第四方面,一种电子设备,所述电子设备包括至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行上述任一项所述的银行业的访问权限管理方法。
32.借由上述技术方案,本发明提供的银行业的访问权限管理方法及相关装置,可以通过根据银行的组织结构,为各层级银行划分不同的角色;针对任一所述角色,均执行:为所述角色设置相应的至少一个菜单访问权限组,其中,每个所述菜单访问权限组均包括对于至少一个菜单栏下的至少一个菜单项的访问权限,不同的所述角色对应的菜单访问权限组不同,不同的所述菜单访问权限组包括的所述访问权限不相同,一个所述访问权限对应一个所述菜单项;针对任一所述角色,均执行:为所述角色对应的多个用户分别设置相应至少一个所述访问权限,从而对各所述角色的各所述用户进行访问权限管理,其中,为所述用户设置的所述访问权限是所述角色对应的各所述菜单访问权限组中的所述访问权限。由此可以看出,本发明对用户的访问权限分配比较灵活,如果需要改变用户的访问权限,只需在其所属角色的访问范围内修改其访问权限即可,比较方便简单,一定程度上可以降低运维的难度。
33.上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
34.通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
35.图1示出了现有技术提供的基于rbac的权限管理方法;
36.图2示出了本发明提供的一种银行业的访问权限管理方法的流程图;
37.图3示出了本发明提供的一种银行业的访问权限管理装置的结构示意图;
38.图4示出了本发明提供的一种电子设备的结构示意图。
具体实施方式
39.现在运维领域业务量的增长,企业内部人员也爆炸性增长,不同业务系统针对不同工作人员的访问权限也更加繁杂,为了解决不可避免的访问权限类别过大导致的信息过载的困境,访问权限管理系统应运而生,其可以对不同业务系统的访问权限进行管理,有效提高企业访问权限管理效率。
40.现在的银行内运维工具和内部产品较多,设计了一款集成各个不同应用的门户入口。而银行内用户均拥有不同类别的访问权限,用于访问门户中不同应用。为了提高用户对应用的使用效率,通常会对菜单设置不同的访问权限壁垒,避免出现访问权限泄露的情况。但目前的访问权限管理系统一般是基于角色访问控制(rbac)模型进行开发的,其中引入了角色的概念,其目的就是为了隔离用户与访问权限。角色作为用户与访问权限之间的一个代理层,弱化了访问权限和用户的关系,访问权限授给了角色而不是直接给用户。rbac的理论说明,角色是rbac模型的核心要素,它被定义成一系列不同访问权限的集合。将访问权限与角色进行关联后,如果用户被指定为某个角色,就能拥有该角色所拥有的访问权限,这就简化了访问权限的管理过程。角色通常被看作机构内的一项工作或职位,它作为一种访问权限的集合,与用户是截然不同的,但可将角色赋予用户。用户要进行某项事务活动,必须先对其指派角色,而此角色已被授予了相应操作的访问权限,这样用户就能通过角色获取相应的访问权限来访问系统资源。
41.rbac虽然直观而且简单,但是在实际应用中仍然存在一些问题,比如用户访问权限分配有时不够灵活,用户被指定为某个角色后,如果要添加或者删除其对某个资源的访问权限,其过程比较麻烦。
42.例如,如图1所示在不影响其他用户的访问权限的前提下,如果要删除用户a对资源1的访问权限,不能简单地通过删除角色b对资源1的访问权限来实现,只能新建一个角色c并为其分配相应的访问权限来完成这项工作,这样就需要增加了一个角色和三条规则,从而导致访问权限出现冗余,增加了系统维护的复杂程度,容易造成用户角色访问权限分配的混乱,最终导致用户的访问权限分配不够灵活。
43.传统的访问权限管理系统属于企业端产品业务平台方向的基础服务产品,通过设定既有的系统规则,使得平台中用户只能访问自己被授权的菜单和资源。因为大型互联网企业中的产品都对访问权限管理有一定的需求,因此设计出统一的访问权限管理系统对多个产品的访问权限授权进行统一管理,减少资源浪费,提高管理效率。
44.传统的访问权限管理系统与本专利的主要区别在于:
45.(1)银行业运维领域的渠道访问权限管理方法要基于运维领域同一用户拥有多个使用访问权限的特质,在平台层面对不同的菜单和展示页设置不同的访问权限,同时在用户层面,针对不同用户访问权限进行设置,使得不同访问权限的用户看到的菜单和展示页是不同的。本专利提出的银行业运维领域的渠道访问权限管理方法更加适用于银行业的运维领域,在菜单和用户两个不同层面进行双重访问权限限制,符合银行严谨的特性。
46.(2)银行业运维领域的渠道访问权限管理方法可以根据用户登录平台的ip进行识别,本专利考虑了运维人员在办公网段和ecc网段不同场景下访问门户平台进行运维工作,
对登录ip进行识别,不同场景下对访问权限的管控也不相同。
47.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
48.如图2所示,本发明提供了一种银行业的访问权限管理方法,包括:s100、s200和s300;
49.s100、根据银行的组织结构,为各层级银行划分不同的角色;
50.可选的,银行的组织结构属于本领域的公知概念,本文对此不做过多描述,具体请参见领域的相关说明。例如,银行的组织结构包括:总行、境内分行、海外分行、境内子公司和境外子公司等,本发明对此不做限制。
51.可选的,本发明是在rbac的基础进行改进构建的方案,其中,rbac包含三个实体,即用户、角色和访问权限,用户与角色、角色与访问权限之间的关系可以是多对多的关系:
52.角色:指的是拥有某些访问权限的一类用户,代表完成某些功能的资格或权利,如运维人员和开发人员等;
53.用户:一个可以对系统的数据或资源进行访问的主体,可以是自然人、计算机或者机器人等;
54.访问权限:表示对系统的资源是否能够进行特定访问的规则集合,与其实现机制有着密切的关系,例如对数据库表的增加、删除和修改等操作的访问权限。
55.本发明可以根据各层级银行在实际中的访问权限范围,为各层级银行划分不同的角色。例如,结合图2所示的实施方式,在某些可选的实施方式中,所述s100包括:
56.根据银行的组织结构,将各层级银行划分为总行角色、境内分行角色、海外分行角色、境内子公司角色和境外子公司角色等。
57.s200、针对任一所述角色,均执行:为所述角色设置相应的至少一个菜单访问权限组,其中,每个所述菜单访问权限组均包括对于至少一个菜单栏下的至少一个菜单项的访问权限,不同的所述角色对应的菜单访问权限组不同,不同的所述菜单访问权限组包括的所述访问权限不相同,一个所述访问权限对应一个所述菜单项;
58.可选的,菜单访问权限组表示的是相应角色的访问权限范围,包括多个菜单栏的多个菜单项的访问权限,本发明对此不做限制。
59.可选的,一个菜单访问权限组可以包括对于至少一个菜单栏的访问权限,每个菜单栏的访问权限又可以细分为至少一个菜单项的访问权限。即,本发明可以以对于菜单项的访问权限为最小访问权限范围,为不同的角色设置不同的菜单访问权限组。
60.s300、针对任一所述角色,均执行:为所述角色对应的多个用户分别设置相应至少一个所述访问权限,从而对各所述角色的各所述用户进行访问权限管理,其中,为所述用户设置的所述访问权限是所述角色对应的各所述菜单访问权限组中的所述访问权限。
61.可选的,在设置不同角色的访问权限范围后,可以在该访问权限范围内,为该角色对应的不同用户设置不同的访问权限。例如总行角色的菜单访问权限组为a组、b组、c组和d组,境内分行角色的菜单访问权限组为a组、b组和c组。拥有总行角色的用户user1,根据岗位职责的不同,其可以拥有a组内部的申请人菜单项和审批人菜单项的访问权限;另外的总
行角色用户user2,其仅拥有申请人菜单项的访问权限。虽然用户user1和user2同属于总行角色,均可看到a组的入口,但二者在a组内部的访问权限又有所不同,从而实现访问权限的灵活配置修改。
62.结合图2所示的实施方式,在某些可选的实施方式中,在所述s200之后,所述方法还包括:步骤1.1和步骤1.2;
63.步骤1.1、根据各所述层级银行所处的办公环境的ip地址段,为至少一个所述角色设置相应的过滤菜单访问权限组,其中,所述菜单访问权限过滤组包括至少一个待滤除的访问权限,一个所述待滤除的访问权限对应一个所述菜单项;
64.步骤1.2、针对任一设置相应的所述过滤菜单访问权限的角色,均执行:根据所述过滤菜单访问权限组,滤除所述角色的各所述菜单访问权限组中的至少一个所述访问权限,其中,被滤除的访问权限与所述菜单访问权限过滤组相匹配。
65.可选的,除了组织结构复杂外,银行业还存在办公环境复杂的特性。由于生产数据无法直接在办公环境中查看,某些菜单栏仅能在特定的生产环境网段内才可以查看。基于此原因,本发明还可以基于办公环境为不同用户设置访问权限的范围。即,可以在已有用户的访问权限的基础上,增加了对于该用户的ip地址的过滤。根据用户的ip地址段,来判断其此时所处的办公环境,根据其所处的不同办公环境,来过滤其相应角色已有的菜单访问权限组,将不该在某环境展示的菜单项的访问权限过滤掉,从而实现访问权限的精细化管理。
66.可选的,除了可以通过设置过滤菜单访问权限组的方式进行过滤,还可以为需要考虑办公环境进行过滤访问权限的角色设置新的菜单访问权限组,并设置新的菜单访问权限组的优先级高于s200中的菜单访问权限组,以使得根据新的菜单访问权限组过滤s200中的菜单访问权限组,本发明对此不做限制。
67.结合上一个实施方式,在某些可选的实施方式中,所述步骤1.2中的根据所述过滤菜单访问权限组,滤除所述角色的各所述菜单访问权限组中的至少一个所述访问权限,包括:步骤2.1、步骤2.2和步骤2.3;
68.步骤2.1、判断所述角色的各所述菜单访问权限组中是否包括所述过滤菜单访问权限组中的所述待滤除的访问权限;
69.若包括,则执行步骤2.2,否则执行步骤2.3;
70.步骤2.2、将所述菜单访问权限组中相应的访问权限从所述菜单访问权限组中滤除,其中,被滤除的访问权限与所述待滤除的访问权限均为针对同一个所述菜单项的访问权限。
71.步骤2.3、则不对所述菜单访问权限组中相应的访问权限进行滤除。
72.如图3所示,本发明提供了一种银行业的访问权限管理装置,包括:角色划分单元100、访问权限组分配单元200和用户访问权限分配单元300;
73.所述角色划分单元100,用于根据银行的组织结构,为各层级银行划分不同的角色;
74.所述访问权限组分配单元200,用于针对任一所述角色,均执行:为所述角色设置相应的至少一个菜单访问权限组,其中,每个所述菜单访问权限组均包括对于至少一个菜单栏下的至少一个菜单项的访问权限,不同的所述角色对应的菜单访问权限组不同,不同的所述菜单访问权限组包括的所述访问权限不相同,一个所述访问权限对应一个所述菜单
项;
75.所述用户访问权限分配单元300,用于针对任一所述角色,均执行:为所述角色对应的多个用户分别设置相应至少一个所述访问权限,从而对各所述角色的各所述用户进行访问权限管理,其中,为所述用户设置的所述访问权限是所述角色对应的各所述菜单访问权限组中的所述访问权限。
76.结合图3所示的实施方式,在某些可选的实施方式中,所述装置还包括:过滤访问权限组设置单元和过滤单元;
77.所述过滤访问权限组设置单元,用于在所述为所述角色设置相应的至少一个菜单访问权限组之后,根据各所述层级银行所处的办公环境的ip地址段,为至少一个所述角色设置相应的过滤菜单访问权限组,其中,所述菜单访问权限过滤组包括至少一个待滤除的访问权限,一个所述待滤除的访问权限对应一个所述菜单项;
78.所述过滤单元,用于针对任一设置相应的所述过滤菜单访问权限的角色,均执行:根据所述过滤菜单访问权限组,滤除所述角色的各所述菜单访问权限组中的至少一个所述访问权限,其中,被滤除的访问权限与所述菜单访问权限过滤组相匹配。
79.结合上一个实施方式,在某些可选的实施方式中,所述过滤单元,包括:判断子单元和过滤子单元;
80.所述判断子单元,用于判断所述角色的各所述菜单访问权限组中是否包括所述过滤菜单访问权限组中的所述待滤除的访问权限;
81.所述过滤子单元,用于若包括,则将所述菜单访问权限组中相应的访问权限从所述菜单访问权限组中滤除,其中,被滤除的访问权限与所述待滤除的访问权限均为针对同一个所述菜单项的访问权限。
82.结合图3所示的实施方式,在某些可选的实施方式中,所述角色划分单元100,包括:角色划分子单元;
83.所述角色划分子单元,用于根据银行的组织结构,将各层级银行划分为总行角色、境内分行角色、海外分行角色、境内子公司角色和境外子公司角色。
84.本发明提供了一种计算机可读存储介质,其上存储有程序,所述程序被处理器执行时实现上述任一项所述的银行业的访问权限管理方法。
85.如图4所示,本发明提供了一种电子设备70,所述电子设备70包括至少一个处理器701、以及与所述处理器701连接的至少一个存储器702、总线703;其中,所述处理器701、所述存储器702通过所述总线703完成相互间的通信;所述处理器701用于调用所述存储器702中的程序指令,以执行上述任一项所述的银行业的访问权限管理方法。
86.在本技术中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
87.本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部
分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
88.对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
89.以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。