[发明专利]一种访问控制方法、装置及计算机可读存储介质

说明书

本发明提供了一种访问控制方法、装置、系统及计算机可读存储介质，该方法包括：接收用户的访问请求，访问请求包含用户信息和目标业务资源；根据用户信息确定该用户的资源权限树，其中，预先根据多个业务资源和多个用户之间的授权关系以及多个业务资源之间的依赖关系构建各个用户的资源权限树；将复杂的权限判定问题简化为树结构遍历搜索问题，从而极大简化了权限判定过程。

技术领域

本发明属于权限管理领域，具体涉及一种访问控制方法、装置及计算机可读存储介质。

背景技术

本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

权限管理一般涉及功能权限管理和数据权限管理。其中，功能权限通常基于成熟的RBAC(基于角色的权限访问控制)机制实现；而针对数据权限管理的通用化技术不多，一般采用将数据权限逻辑集成到具体的业务代码中。

当前，管理类系统通常则存在着“弱账户强业务”的特点，然而现有的数据权限实现方式存在以下问题(1)动态化授权导致权限判定复杂，业务资源通常会在各类角色或用户中动态化流转；当需要判定权限关系时，需要追溯大量业务场景，判定逻辑复杂。(2)隐性依赖关系导致权限边界界定模糊，在管理类系统中，业务资源之间有时会存在业务关系上的隐性依赖，继而带来授权关系上的隐性继承，由此导致业务资源的权限边界界定规则不清晰。例如，在采购系统中，由需求部门员工提出采购需求，需求部门员工具有访问该采购需求信息(一种业务资源)的权限，由采购部门员工针对该需求部门提交的采购需求提出采购项目，该采购部门员工具有访问该采购项目信息(另一种业务资源)的权限，在采购流程中，该采购部门员工应当被允许访问采购项目所关联的采购需求信息，然而由于其仅被授予采购项目的访问权限，并无采购需求的直接授权操作，由此导致常规的权限界定规则失效。给管理类系统的权限管理带来很大的不便。

发明内容

针对上述现有技术中存在的问题，提出了一种访问控制方法、装置及计算机可读存储介质，利用这种方法、装置及计算机可读存储介质，能够解决上述问题。

本发明提供了以下方案。

第一方面，提供一种访问控制方法，包括：接收用户的访问请求，访问请求包含用户信息和目标业务资源；根据用户信息确定该用户的资源权限树，其中，预先根据多个业务资源和多个用户之间的授权关系以及多个业务资源之间的依赖关系构建各个用户的资源权限树；根据该用户的资源权限树，判定该用户能否访问目标业务资源。

在一种可能的实施方式中，各个用户的资源权限树分别以所属用户为根节点，方法还包括：根据用户信息进行根节点匹配，以确定该用户的资源权限树。

在一种可能的实施方式中，创建各个用户的资源权限树，还包括：响应于预设触发事件，提取各个业务资源和指定用户之间的授权关系，形成授权关系库；校验各个业务资源的独立性，若任意一个业务资源依赖另一个业务资源而运行，则生成任意一个业务资源和另一个业务资源之间的依赖关系，形成依赖关系库；根据授权关系库和依赖关系库，并利用有向图算法创建各个用户的资源权限树。

在一种可能的实施方式中，预设触发事件包括：各个业务资源的创建事件、转交事件、审核事件、订阅事件中的任意一种或多种。

在一种可能的实施方式中，根据授权关系库和依赖关系库，并利用有向图算法创建各个用户的资源权限树，还包括：确定第一用户的资源权限树的根节点为第一用户，其中第一用户为授权关系库中包含的任意一个用户；根据根节点遍历授权关系库以获取第一类业务资源，并根据第一类业务资源确定第一用户的资源权限树的第一层子节点；根据第一类业务资源遍历依赖关系库以获取第二类业务资源，并根据第二类业务资源确定第一用户的资源权限树的第二层至第N层子节点，N为大于或等于2的正整数。