一种rbac模型下快速分配数据权限的设计和实现的制作方法
【专利摘要】本发明公开了一种RBAC模型下快速分配数据权限的设计和实现,属于业务系统易用性以及交互性的领域,包括步骤和内容:1)、基于数据的快速分配权限:基于数据的分配,先选择相应的数据,反向分配给用户或者角色,在一次操作中即可完成数据的批量分配;2)、按照配置启用不同的分配界面:数据不是笼统的直接分配给用户或者角色,一份数据的控制会涉及到不同的维度,由此产生不同的分配界面,在分配科目的数据权限时,需要先分配相应的核算组织才可以分配权限,在分配报销单类型的权限时,只需要分配相关的报销单类型即可。本发明提供了一种无论是基于角色还是基于用户分配权限,都能灵活的方便的分配和初始权限。
【专利说明】
一种RBAC模型下快速分配数据权限的设计和实现
技术领域
[0001]本发明涉及业务系统易用性以及交互性的领域,具体地说是一种RBAC模型下快速分配数据权限的设计和实现。
【背景技术】
[0002]系统中用户或者角色过多,系统中权限的划分过细,业务复杂度的提升等原因会引起系统维护权限的巨大工作量。
[0003]目前,大多数信息化系统在解决系统数据的权限过多方面,都是采用传统的RBAC的模型,将数据的权限分配在中间可以复用的载体上,即很多系统是分配在角色上,用户通过继承角色来获得权限。在大型的企业中,一旦角色划分过多或者过细,就会带来觉得维护工作量。
[0004]在业务模块方面,很多业务基于保密或安全管理的要求,权限被要求直接授权到用户上,这样也没法使用角色来承载权限。从而无法解决权限分配工作量大的问题。
[0005]
【发明内容】
本发明的技术任务是针对以上不足之处,提供一种RBAC模型下快速分配数据权限的设计和实现,来解决无论是基于角色还是基于用户分配权限,都能灵活的方便的分配和初始权限的问题。
[0006]本发明解决其技术问题所采用的技术方案是:
1、一种RBAC模型下快速分配数据权限的设计和实现,步骤和内容如下:
I)、基于数据的快速分配权限:通常情况下,在权限维护的过程中,分配方式是选择角色或者用户,即先选择权限的分配主体,然后给用户或者角色分配上相应的数据。当一个权限需要分配给多个用户或者角色时,需要反复的操作好几次。而基于数据的分配,是先选择相应的数据,反向分配给用户或者角色。在一次操作中即可完成数据的批量分配。
[0007]2)、按照配置启用不同的分配界面:数据不是笼统的直接分配给用户或者角色,一份数据的控制会涉及到不同的维度,由此可能产生不同的分配界面。例如在分配科目的数据权限时,需要先分配相应的核算组织才可以分配权限。但是如果在分配报销单类型的权限时,只需要分配相关的报销单类型即可。
[0008]业务数据在分配识别可以分配给哪些用户或者角色。这就需要通过数据反向的找到哪些可以分配权限的用户或者角色,通过匹配和过滤掉不应该包含权限的用户或者角色。通过此方式,解决权限扩大的问题,即用户被分配了本不该具有的数据的权限。
[0009]数据本身存在着逻辑控制关系,所以数据的分配界面是可以提供扩展接口的。这样对于不用的数据,就可以保证不同的分配方式。解决了功能性和易用性两方面的要求。既能保证数据分配的正确性,又能保证界面的易用性。
[0010]优选的,对于步骤I)的数据授权对象(数据权限的实体),用于描述数据的实体结构,数据列包含数据的来源,过滤条件,受控的维度,存储的表结构以及有效性,时间戳,其他扩展维度等列。
[0011]优选的,对于步骤2)的配置界面的扩展,由于描述数据分配界面以及扩展的实体结构,包含需要扩展的方式,需要扩展的界面,需要扩展的逻辑等信息,通过扩展可以保证不同数据的分配。
[0012]本发明的一种RBAC模型下快速分配数据权限的设计和实现和现有技术相比,具有以下有益效果:
本发明提供了一种无论是基于角色还是基于用户分配权限,都能灵活的方便的分配和初始权限;
对数据的权限的快速分配,从反向的角度提供技术支撑,使数据的权限分配具有更灵活的应用模式,极大的节省了系统的运维成本。
【附图说明】
[0013]下面结合附图对本发明进一步说明。
[0014]附图1为本发明RBAC模型下快速分配数据权限的原理图。
【具体实施方式】
[0015]下面结合附图和具体实施例对本发明作进一步说明。
[0016]本发明的一种RBAC模型下快速分配数据权限的设计和实现,步骤和内容如下:
I)、基于数据的快速分配权限:通常情况下,在权限维护的过程中,分配方式是选择角色或者用户,即先选择权限的分配主体,然后给用户或者角色分配上相应的数据。当一个权限需要分配给多个用户或者角色时,需要反复的操作好几次。而基于数据的分配,是先选择相应的数据,反向分配给用户或者角色。在一次操作中即可完成数据的批量分配。
[0017]2)、按照配置启用不同的分配界面:数据不是笼统的直接分配给用户或者角色,一份数据的控制会涉及到不同的维度,由此可能产生不同的分配界面。例如在分配科目的数据权限时,需要先分配相应的核算组织才可以分配权限。但是如果在分配报销单类型的权限时,只需要分配相关的报销单类型即可。
[0018]业务数据在分配识别可以分配给哪些用户或者角色。这就需要通过数据反向的找到哪些可以分配权限的用户或者角色,通过匹配和过滤掉不应该包含权限的用户或者角色。通过此方式,解决权限扩大的问题,即用户被分配了本不该具有的数据的权限。
[0019]数据本身存在着逻辑控制关系,所以数据的分配界面是可以提供扩展接口的。这样对于不用的数据,就可以保证不同的分配方式。解决了功能性和易用性两方面的要求。既能保证数据分配的正确性,又能保证界面的易用性。
[0020]优选的,对于步骤I)的数据授权对象(数据权限的实体),用于描述数据的实体结构,数据列包含数据的来源,过滤条件,受控的维度,存储的表结构以及有效性,时间戳,其他扩展维度等列。
[0021]优选的,对于步骤2)的配置界面的扩展,由于描述数据分配界面以及扩展的实体结构,包含需要扩展的方式,需要扩展的界面,需要扩展的逻辑等信息,通过扩展可以保证不同数据的分配。
[0022]以下将通过某一ERP业务系统中数据的权限快速分配实现详细描述,是本发明的上述目标、特征和有点更加清晰、易懂。 1.登录ERP管理系统。
[0023]2.用户身份校验通过后,ERP管理信息系统打开系统主框架。
[0024]3.打开数据授权对象界面,勾选相应的信息。是否启用数据权限反向分配,是否需要使用扩展方式,扩展方式时需要的控制逻辑。分配结束后,保存具体的数据。
[0025]4.打开权限快速分配的功能菜单。
[0026]5.选择相应的数据授权主体,点击分配权限。
[0027]6.进入功能后,选择相应的数据并选择相应的用户或者角色。
[0028]7.保存分配的数据后生效。
[0029]通过上面【具体实施方式】,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的【具体实施方式】。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
[0030]除说明书所述的技术特征外,均为本专业技术人员的已知技术。
【主权项】
1.一种RBAC模型下快速分配数据权限的设计和实现,其特征在于以下步骤和内容: 1)、基于数据的快速分配权限:基于数据的分配,先选择相应的数据,反向分配给用户或者角色,在一次操作中即可完成数据的批量分配; 2)、按照配置启用不同的分配界面:数据不是笼统的直接分配给用户或者角色,一份数据的控制会涉及到不同的维度,由此产生不同的分配界面,在分配科目的数据权限时,需要先分配相应的核算组织才可以分配权限,在分配报销单类型的权限时,只需要分配相关的报销单类型即可。2.根据权利要求1所述的一种RBAC模型下快速分配数据权限的设计和实现,其特征在于数据分配识别可以分配给哪些用户或者角色,通过数据反向的找到哪些可以分配权限的用户或者角色,通过匹配和过滤掉不应该包含权限的用户或者角色。3.根据权利要求1所述的一种RBAC模型下快速分配数据权限的设计和实现,其特征在于数据权限的实体(数据授权对象),用于描述数据的实体结构,数据列包含数据的来源,过滤条件,受控的维度,存储的表结构以及有效性,时间戳,其他扩展维度等列。4.根据权利要求1所述的一种RBAC模型下快速分配数据权限的设计和实现,其特征在于配置界面的扩展,包含需要扩展的方式,需要扩展的界面,需要扩展的逻辑等信息,通过扩展可以保证不同数据的分配。
【文档编号】G06F21/62GK105825146SQ201610155394
【公开日】2016年8月3日
【申请日】2016年3月18日
【发明人】彭晓迪, 周祥国
【申请人】浪潮通用软件有限公司