[发明专利]一种通用权限管理系统及方法

说明书

技术领域

本发明涉及应用系统及数据安全管理技术领域，具体涉及一种在J2EE开发环境下结合Struts2、Spring、Hibernate的基于开源安全框架SpringSecurity的通用权限管理系统及方法。

背景技术

当前，计算机科学技术已在各个领域得到了广泛的应用。特别是近年来，随着管理信息系统(Management In-formation System,MIS)向着多应用、多用户的方向不断发展,系统的安全问题也越来越受到人们的关注,而权限管理是整个系统安全的核心问题之一，在传统的基于B/S架构的客户关系管理（Customer Relationship Management，CRM）、企业资源计划（Enterprise Resource Planning，ERP）、网站后台、办公室自动化（office automation，OA）、进销存等应用系统的开发过程中，权限管理都是保证系统数据安全必不可缺的组成部分，同时，权限管理在现代软件系统中拥有着重要的地位，从各种操作系统到一般的应用程序，都能发现有关权限的模块或者功能。特别应提出的是，权限管理是事务系统的关键部分，其可靠性、安全性及稳定性直接影响到事务系统的正常运行。

因此，权限管理模块的开发可以说是应用系统开发中不可缺少的部份，如果每个系统都要根据客户的需求重新对系统的权限模块进行设计，无疑是重复的、无意义的工作，基于以上，寻求一种可自由配置、可自定义应用系统信息、能自由灵活扩展、支持多用户、支持多应用、可适用于任何B/S架构应用系统权限管理的通用的、安全的权限管理系统成为了应用系统及数据安全管理的技术领域新的发展方向。

发明内容

本发明的目的是提供一种通用权限管理系统及方法，采用基于角色的权限管理技术方案,同时又将权限设置为对应多个资源、多个用户的方式，实现了该系统和方法的权限分配和访问功能操作的安全管理；每个模块中的各项操作都需按不同的使用者或不同的用户所属角色、不同的用户所属机构、不同的用户职位等信息进行严格的控制。

本发明是通过以下技术方案来实现的：

本发明一方面提供一种通用权限管理系统，包括：

基础信息定义模块，用于定义权限管理系统中所必需的基础信息，为后续的授权、业务逻辑处理提供基础数据支持；

角色、用户、机构、数据授权模块，用于定义权限管理系统中各角色、用户、机构、数据的安全授权及访问范围；

分布式内存缓存，用于提供基于开源分布式内存缓存系统Memcached的二次开发接口服务，使用所述二次开发接口服务缓存权限管理系统的用户、角色、资源、机构、职位信息；

日志模块，用于记录完整的用户登录、用户认证、用户退出、用户操作、用户授权的系统操作日志；

用户认证模块，用于提供用户登录、操作、退出的安全认证；

会话集中管理模块，用于统一将会话由开源分布式内存缓存系统Memcached实现的二次开发接口服务管理；

数据库管理系统，用于对相关业务数据的信息查询、存储、管理、计算。

进一步地，所述角色、用户、机构、数据授权模块包括：

角色授权模块，用于通过列表的方式在已授权的范围内提供对系统角色资料进行查询、管理，编辑角色资料，同时对角色进行访问授权，以定义该角色的权限；

用户授权模块，用于通过设置用户或用户所属的角色对权限管理系统的授权，实现用户对系统的访问控制；

机构授权模块，用于对系统中展现的组织机构和代码进行访问授权，以定义该机构的权限；

数据授权模块，用于通过查询定义数据表信息或Hibernate映射文件表、字段信息，将用户信息或角色信息与数据信息进行授权，实现角色到数据、用户到数据的授权机制。

更进一步地，所述用户授权模块包括：

用户操作权限设置单元，用于设置用户对功能模块的浏览、增加、修改、删除的操作权限；

用户权限继承设置单元，用于设置用户权限的继承，同时用户与角色、用户与部门的关系设置为多对多关系，即：用户属多个角色时，该用户将同时拥有多个角色的授权；

用户私有授权设置单元，用于设置用户的私有授权，即：将特定的用户设置为在给予对应角色的授权外，还单独对该用户进行授权，授权后，该用户的权限为拥有的角色授权加上该用户的私有授权的集合；

超级用户权限设置单元，用于将经过授权认证的用户设置为具有超级用户权限，所述超级用户权限使用户具有系统的所有授权。

更进一步地，所述数据授权模块包括：