[发明专利]权限管理方法及系统

说明书

本发明公开一种权限管理方法及系统，涉及数据管理技术领域，能够满足灵活复杂的权限控制需要，支持细粒度的数据权限管理模式。该方法包括：根据用户角色以及与用户角色对应的操作权限构建权限树，权限树用于反映用户角色与操作权限的关系；根据用户属性以及与用户属性对应的数据权限关系构建资源树，并在资源树的各个节点挂载相应的资源文件，资源树用于反映用户属性与数据权限的关系；获取用户请求，基于用户角色从权限树中解析出与用户适配的权限路径，以及基于用户属性从资源树中解析出与用户适配的资源路径；通过权限路径和资源路径，向用户提供相应的操作权限和数据权限。该系统运行有上述方案所提的方法。

技术领域

本发明涉及数据管理技术领域，尤其涉及一种权限管理方法及系统。

背景技术

在企业实际的生产环境中，每个员工都有不同的职责，也就意味有着不同的权限范围。那么就需要有一个系统来统一管理所有员工的权限，现在市面上，大多数公司都采用了基于角色控制的RBAC模式或者是基于属性控制的ABAC模式。如图2所示，RBAC模式不是对系统的各种权限直接赋予具体的用户，而是在用户集合与权限之间建立了一个角色集合。每一种角色对应一组相应的权限，一旦用户被分配某一个角色后，该用户可以获得此角色的所有操作权限。如图3所示，ABAC模式则是通过动态将一个或一组属性来判断是否满足设定的条件来进行判断是否能授权，属性一般分为用户属性、环境属性、操作属性以及对象属性也称为资源属性。RBAC模式的好处在于不必在每次创建用户时都进行分配权限的操作，只要分配用户相应的角色即可，而且角色的权限变更比用户的权限变更要少得多，这样将简化用户的权限管理，减少系统的开销。而ABAC模型的权限控制非常灵活，只需要改动权限控制条件就可以满足不同条件的权限控制，满足不同的权限需求。

虽然说RBAC模式是常见的权限管理模式，但其权限实现方式较为简单，在实际的生产中如需要满足灵活复杂的权限控制场景就会显得力不从心，另外，RBAC模式有角色膨胀的问题，当一类用户与另一类用户百分之九十以上的权限是重合的，但是由于其中百分之十的差异，就需要为这两类用户分别建不同的角色，在公司生产生活中，角色的增长将会呈几何数的增长，极大地增加了管理员人员的维护成本，用户在申请权限时也会因角色之间的细微差异而无法区分。当然ABAC模式的缺点也显而易见，由于权限太过于灵活，导致权限逻辑的设置过于复杂，一旦用户量及权限数量大规模上升时，权限管理的复杂程度将会大大提高。

发明内容

本发明的目的在于提供一种权限管理方法及系统，能够满足灵活复杂的权限控制需要，支持细粒度的数据权限管理模式。

为了实现上述目的，本发明的第一方面提供一种权限管理方法，包括：

根据用户角色以及与所述用户角色对应的操作权限构建权限树，所述权限树用于反映用户角色与操作权限的关系；

根据用户属性以及与所述用户属性对应的数据权限关系构建资源树，并在资源树的各个节点挂载相应的资源文件，所述资源树用于反映用户属性与数据权限的关系；

获取用户请求，基于用户角色从权限树中解析出与用户适配的权限路径，以及基于用户属性从资源树中解析出与用户适配的资源路径；

通过权限路径和资源路径，向用户提供相应的操作权限和数据权限。

优选地，根据用户角色以及与所述用户角色对应的角色权限关系构建权限树，所述权限树用于反映用户角色与操作权限的关系之前还包括：

预设多种与权限管理场景一一对应的资源类型，各所述资源类型包括至少一个权限树模板以及至少一个资源树模板。

较佳地，还包括：

将所述权限树模板和所述资源树模板按资源类型分类保存于服务器中，并使所述服务器与用户的客户端保持连接访问关系；

根据用户的权限管理场景关联相应用户的客户端，以向客户端推荐相应的所述权限树模板和所述资源树模板进行权限配置。