[发明专利]基于用户的双向权限管理机制

说明书

技术领域

本发明涉及数据库应用系统开发技术领域，尤其涉及开发过程中用户的权限管理。

背景技术

权限管理，一般指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问 自己被授权的资源，不多不少。权限管理几乎出现在任何系统里面，只要有用户和密码的系 统。企业IT管理员一般都能为系统定义角色，给用户分配角色。这就是最常见的基于角色访 问控制。从控制力度来看，可以将权限管理分为两大类：1，功能级权限管理；2，数据级权 限管理。从控制方向来看，也可以将权限管理分为两大类：1，从系统获取数据，比如查询订 单、查询客户资料；2，向系统提交数据，比如删除订单、修改客户资料。

在数据库应用系统开发中，系统安全性是整个系统设计中的一个关键环节.要进行用户 身份验证、操作权限控制，必须首先分析用户是如何进入系统并访问数据的.一个典型的数 据库系统一般由数据库、数据库管理系统(及其开发工具)、应用系统、数据库管理员和用户 构成.在实际应用系统开发中，一般通过两种途径来实现用户权限管理：直接采用DBMS提供 的用户管理机制.(1)应用系统直接利用DBMS的用户管理机制进行用户权限管理，而且现在大 型数据库系统如Oracle等使用角色的方法也提供了完善的用户权限管理机制.但在实际应用 中，如果系统情况允许，可以为每一个系统用户建立一个数据库用户(账号)，并对所有账号 进行严密的权限管理.但是，如果用户的数量不确定，而且可能有上百个，就增加了管理的 复杂度及难度，所以在一般的应用系统中，很少直接采用DBMS提供的用户管理机制.(2)由应 用程序自身来实现.由于数据库用户的权限是唯一固定的，这样应用程序安全控制非常复杂， 存在安全机制不完善、不灵活、开发工作量大等缺点，而且有时非法用户会跳过前台应用程 序直接访问后台数据，所以这种方法也不是一种高效、安全的方法.

系统实施基于用户的双向权限管理机制所带来的好处：双重用户权限管理机制一方面为 系统管理员提供了灵活、方便的操作界面，另一方面又充分利用DBMS本身的安全管理机制， 具有安全性好、操作方便、实现容易等优点，

发明内容

为了克服现有的权限管理机制的不足，本发明提供一种应用程序安全控制对系统模块的 操作权限加以限制，同时又充分利用DBMS提供的完善用户权限管理机制，采用多个不同权限 的数据库用户登录数据库，对于应用程序不能控制的安全性可以通过DBMS进行控制.这样一 方面可以减少应用程序安全控制的复杂度和难度，另一方面又可充分利用DBMS的安全管理机 制进行安全控制

本发明解决其技术问题所采用的技术方案是：当用户进行系统登录时，通过用户信息表 进行用户身份验证和权限审核，并通过用户所属组对应的数据库用户重新登录数据库，而系 统管理员可以通过用户管理模块添加新用户.每个系统用户对系统中统时根据用户表权限进 行权限审查，对于没有授权的模块，用户则不能进入.对于已经具有某模块权限的用户不一 定具有对该模块中所有数据操作的全部操作权限，这还需要审查该用户是否具有相应的数据 操作权限.根据对系统使用人员实际情况分析，将系统用户根据使用权限划分为几个用户组， 为每一个用户组建立一个数据库登录用户，这样每个系统用户就可以通过所属用户组对应的 数据库用户身份进行数据库登录，当然该应用系统用户对数据库的操作权限也就限制在该数 据库用户的操作权限范围之内.

本发明的有益效果是，一个应用系统用户必须对应某一DBMS用户，才能利用这个DBMS用 户进行数据库登录，否则无法访问数据.一个DBMS可以对应多个系统用户，这样当系统使用 人员增加时，只需把人员归属某一DBMS用户，而不必为每个用户的数据操作权限进行设置.而 DBMS用户是事先根据情况在DBMS上新建并对数据库操作权限进行相应的控制.其安全性可以 到表级、列级、行级，这样既可以充分利用DBMS本身的安全管理机制，又可通过应用程序为 系统管理员提供灵活、方便的操作界面，实现从前台应用程序和后台DBMS两个方面对用户进 行双重权限控制.

附图说明

下面结合附图和实施例对本发明进一步说明。

图1为本发明实例应用系统用户访问数据库。

图2为本发明实例用户关系结构图。

图3为本发明实例用户关系主支结构图。