[发明专利]一种基于对象的权限管理系统与方法

说明书

技术领域

本发明涉及权限管理技术领域，特别涉及一种基于对象的权限管理系统与 方法。

背景技术

目前，权限管理应用非常广泛，有用户参与的系统就会涉及到权限管理， 任何多用户的系统都不可避免的涉及到实体鉴别、数据保密性、数据完整性、 访问控制等安全服务，对用户进行权限管理是应用系统的基本功能。随着网络 规模和业务的快速发展，权限管理的作用越来越重要，也越来越复杂，因此， 构建强健的权限管理系统，保证系统的安全性是十分重要的。

在现有的权限管理系统中，主要由授权模块、数据库、鉴权模块三部分组 成。其中，授权模块，用于将符合一个或多个条件表达式的被授权的资源设置 为一个分类，将所述分类作为授权对象；数据库，用于存储内容元数据及授权 模块预先写入的授权规则，有的系统将授权规则写在配置文件中；鉴权模块， 用于在鉴权时从所述数据库中读取授权规则，确定用户是否具有操作的权限。 有的系统对被授权的资源建立全文索引，以提升鉴权模块的性能。

但是，现有的权限管理系统主要存在以下问题：

1)用户对象具体化，抽象程度不够，当系统中有多个用户类型难以管理。 比如，系统中有CPSP管理员、运营商管理员、企业管理员、普通用户等多种 类型，现有的系统用户只能是上述类型中的一种，实际的应用中往往要求一个 用户既具有CPSP管理员的身份，又要求具有运营商管理员的某些权限，或者 要求某个用户能同时管理多个不同的CPSP。

2)权限资源组织方式单一，不能实现精细控制，不能实现分权分域管理。 现有权限系统将权限资源主要分成功能权限和数据权限两个部分，其中，功能 权限是指用户能够进行的哪些操作，例如增加、删除、修改、查询。数据权限 是对用户能够操作的资源的范围进行界定，例如用户A只能查看人力资源部 的资料。这种权限建模是二维的，如果增加新的维度，比如时间维度，用户A 只能在上午9点到12点之间访问系统，这种方式就不再适用了。另外，如果 人力资源部的资料分为两种，一种是公司管理干部的，一种是公司普通员工的， 假设用户A只能查看人力资源部普通员工的资料，按照功能权限和数据权限 的划分方法也不能对上述操作实现精细控制。

权限管理包含分权管理和分域管理两个部分。分域管理是从管理对象的层 次角度，根据用户操作涉及到的不同层次，对其能管理的层次进行控制。比如 一个系统中有省级管理员、市级管理员，市级管理员的权限应该由省级管理员 来分配。分权管理是对在同一层的管理范围内的操作，进行权限方面的控制。 现有的权限管理系统往往忽视了分域管理，将分域管理划归到分权管理中进 行，造成权限管理的复杂，难以维护。

3)不同的应用系统权限管理相互独立，数据存储、权限访问和权限控制 等方面紧耦合，导致权限管理系统通用性不强，重复开发现象严重。

发明内容

本发明的目的在于，提供一种基于对象的权限管理系统。

本发明的另一目的在于，提供一种基于对象的权限管理方法。

本发明的基于对象的权限管理系统，包括对象管理模块、授权鉴权管理模 块和权限资源管理模块，其中，所述对象管理模块，用于从用户实体中抽取对 象，然后将抽取的对象与应用系统中的实体对象进行关联；其中，所述从用户 实体中抽取的对象只包含抽象特征；所述权限资源管理模块，用于对权限进行 建模，对权限资源进行分域、分权管理；其中，对涉及到不同层次的用户进行 分域管理，对同一层次的用户进行分权管理；其中，层次包括级别和管理范围； 所述授权鉴权管理模块，用于将所述权限资源授权给含有身份特征的实体对 象，并在对象接入权限资源时进行鉴权，获取接入认证，认证成功后该对象获 取权限许可，并接入权限资源，否则，拒绝接入。

其中，所述对象管理模块从用户实体中抽取对象，是将应用系统中的用户 实体分离成对象数据和特征数据，并将对象数据存储在对象表中，将特征数据 存储在特征表。

其中，所述权限资源包括功能权限、数据权限、自定义权限，所述权限资 源为一维、或者多维、或者进行权限交叉。

其中，所述授权鉴权管理模块提供通用的授权、鉴权接口，对于所述对象 管理模块抽取的对象通过所述授权接口分配权限资源，在所述对象接入应用系 统时，通过所述鉴权接口获取接入认证，认证成功所述对象获取权限许可，认 证失败则拒绝接入。