一种应用程序的角色权限控制方法转让专利
申请号 : CN202311091906.4
文献号 : CN116821866B
文献日 : 2023-11-10
发明人 : 郭江
申请人 : 北京轻松致远科技有限责任公司
摘要 :
本发明涉及应用权限管理技术领域,特别是一种应用程序的角色权限控制方法,包括先将数据对象按照数据状态进行分类;对于涉及数据对象的用户账号赋予权限;用户账号根据权限进行对于数据对象的管理运行;随着数据对象的状态变化,所有用户账号的权限进行动态变化;当数据对象的数据状态处于运行阶段时,所有用户账号权限从动态化权限转为固定化权限。本发明抽象出了项目中与访问控制相关的对象:数据对象、用户、用户账号、数据对象状态,并对各个对象进行了详细的分析与设计,并在此基础上建立一种系统的权限控制模型方法;最后,在方法实现方面,介绍了关键功能的具体实现过程,实现了自动化的权限管理,并且保障了用户的运行安全。
权利要求 :
1.一种应用程序的角色权限控制方法,其特征在于:包括
先将数据对象按照数据状态进行分类;
对于涉及数据对象的用户账号赋予权限;
用户账号根据权限进行对于数据对象的管理运行;
随着数据对象的状态变化,所有用户账号的权限进行动态变化;
所述数据状态指的是数据对象的生产流程生命周期,包括设计、试运行、校对、标准化与运行五个阶段;
当数据对象的数据状态处于运行阶段时,所有用户账号权限从动态化权限转为固定化权限;
当数据状态的每个阶段运行结束后,数据对象发送阶段结束信号给服务器,服务器在接收信号后进行记录,并发送允许继续下一阶段的信号给数据对象;
所述用户账号包括P1设计用户账号、P2测试用户账号、P3管理用户账号与P4查询用户账号,对同一数据对象,仅设置一个所述P3管理用户账号;
随着数据对象的状态变化,所有用户账号的权限进行动态变化包括,
当处于数据对象设计阶段时,P1设计用户账号和P3管理用户账号能够进行对于数据对象的修改与阅读行为,P2测试用户账号能够进行对于数据对象的阅读行为,P4查询用户账号无法进行对于数据对象的任何行为;
当处于数据对象试运行阶段时,P3管理用户账号、P1设计用户账号和P2测试用户账号能够进行对于数据对象的阅读行为,P4查询用户账号无法进行对于数据对象的任何行为;
当处于数据对象校对阶段时,P1设计用户账号、P2测试用户账号和P3管理用户账号能够进行对于数据对象的修改与阅读行为,P4查询用户账号无法进行对于数据对象的任何行为;
当处于数据对象标准化阶段时,P3管理用户账号能够进行对于数据对象的修改与阅读行为,P1设计用户账号、P2测试用户账号和P4查询用户账号能够进行对于数据对象的阅读行为;
当处于数据对象运行阶段时,P1设计用户账号、P2测试用户账号、P3管理用户账号和P4查询用户账号都只能够进行对于数据对象的阅读行为;
当标准化失败或是试运行失败时,将数据发回设计阶段重新设计,设计阶段结束后重新进入试运行阶段。
2.如权利要求1所述的一种应用程序的角色权限控制方法,其特征在于:所述用户账号权限还包括临时权限,所述临时权限包括动态权限与静态权限;
所述临时权限指的是在同一数据对象处理过程中对用户账号临时赋予的额外权限,同一个用户账号根据用户账号权限等级进行优先级对比,以用户账号权限等级较高者修改为准,当用户账号权限等级相同时,两个修改意见均转给P3管理用户账号,以P3管理用户账号的决定为准拥有对于多个数据状态进行管理的动态权限,除P3管理用户账号外,同一个用户账号只能够拥有对于一个数据状态进行管理的静态权限,P1设计用户账号自动拥有数据对象设计阶段的静态权限,P2测试用户账号自动拥有数据对象校对阶段的静态权限。
3.如权利要求2所述的一种应用程序的角色权限控制方法,其特征在于:当拥有动态权限的用户账号与拥有静态权限的用户账号对于同一数据对象进行修改时,以拥有静态权限的用户账号的修改为准;
当两个拥有动态权限的用户账号对于同一数据对象进行修改时,根据用户账号权限等级进行优先级对比,以用户账号权限等级较高者修改为准,当用户账号权限等级相同时,两个修改意见均转给P3管理用户账号,以P3管理用户账号的决定为准;
当两个拥有静态权限的用户账号对于同一数据对象进行修改时,修改意见转给P3管理用户账号,以P3管理用户账号的决定为准。
4.如权利要求3所述的一种应用程序的角色权限控制方法,其特征在于:当数据对象的数据状态处于运行阶段时,所有用户账号权限从动态化权限转为固定化权限,最后固定成所有用户账号只有阅读权限。
5.如权利要求4所述的一种应用程序的角色权限控制方法,其特征在于:当数据对象进入下一个阶段时,若用户账号未拥有下一个阶段修改权限但目前停留在修改页面时,将会被服务器断开连接,再次登录后,可进行下一个阶段用户账号拥有的权限行为。
说明书 :
一种应用程序的角色权限控制方法
技术领域
[0001] 本发明涉及应用权限管理技术领域,特别是一种应用程序的角色权限控制方法。
背景技术
[0002] 基于角色的访问控制是一种先进的访问控制技术,在大多数项目商用软件系统中也有较广泛的应用。但是,由于企业规模和工作方式的不同,基于角色的访问控制会有多种不同的实现方式,有时为了解决企业中的某个实际问题,部门与角色、角色之间可能建立一定关系,这方面的研究很多,但大多数都局限于某个细节,而忽略了全局的考虑。在项目集成环境中,用户对特定数据的访问并不是一成不变的,数据处于生命周期的不同阶段或工作流程的不同阶段时,用户对数据的访问权限是动态变化的,这种动态权限的管理在现有项目系统访问控制中并没有得到很好的解决。企业经过多年的发展,某些用户或角色对处于不同生命周期阶段的数据访问权限可能具有某些规律性,如果不总结这些规律,完全依靠权限控制人员手工授权,必然导致授权繁琐,效率低下。
发明内容
[0003] 本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
[0004] 鉴于上述和/或现有的一种应用程序的角色权限控制方法中存在的问题,提出了本发明。
[0005] 因此,本发明所要解决的问题在于如何自动化实现权限管理的运行,并且保障用户的信息安全。
[0006] 为解决上述技术问题,本发明提供如下技术方案:一种应用程序的角色权限控制方法,其包括,先将数据对象按照数据状态进行分类;对于涉及数据对象的用户账号赋予权限;用户账号根据权限进行对于数据对象的管理运行;随着数据对象的状态变化,所有用户账号的权限进行动态变化;当数据对象的数据状态处于运行阶段时,所有用户账号权限从动态化权限转为固定化权限。
[0007] 作为本发明所述一种应用程序的角色权限控制方法的一种优选方案,其中:所述数据状态指的是数据对象的生产流程生命周期,包括设计、试运行、校对、标准化与运行五个阶段;当数据状态的每个阶段运行结束后,数据对象发送阶段结束信号给服务器,服务器在接收信号后进行记录,并发送允许继续下一阶段的信号给数据对象。
[0008] 作为本发明所述一种应用程序的角色权限控制方法的一种优选方案,其中:所述对于涉及数据对象的用户账号赋予权限,包括P1到P4四种用户账号权限,分别对应P1设计用户账号,P2测试用户账号,P3管理用户账号与P4查询用户账号,对同一数据对象,仅设置一个所述P3管理用户账号。
[0009] 作为本发明所述一种应用程序的角色权限控制方法的一种优选方案,其中:随着数据对象的状态变化,所有用户账号的权限进行动态变化包括,当处于数据对象设计阶段时,P1设计用户账号和P3管理用户账号能够进行对于数据对象的修改与阅读行为,P2测试用户账号能够进行对于数据对象的阅读行为,P4查询用户账号无法进行对于数据对象的任何行为;当处于数据对象试运行阶段时,P3管理用户账号、P1设计用户账号和P2测试用户账号能够进行对于数据对象的阅读行为,P4查询用户账号无法进行对于数据对象的任何行为;当处于数据对象校对阶段时,P1设计用户账号、P2测试用户账号和P3管理用户账号能够进行对于数据对象的修改与阅读行为,P4查询用户账号无法进行对于数据对象的任何行为;当处于数据对象标准化阶段时,P3管理用户账号能够进行对于数据对象的修改与阅读行为,P1设计用户账号、P2测试用户账号和P4查询用户账号能够进行对于数据对象的阅读行为;当处于数据对象运行阶段时,P1设计用户账号、P2测试用户账号、P3管理用户账号和P4查询用户账号都只能够进行对于数据对象的阅读行为;当标准化失败或是试运行失败时,将数据发回设计阶段重新设计,设计阶段结束后重新进入试运行阶段。
[0010] 作为本发明所述一种应用程序的角色权限控制方法的一种优选方案,其中:所述用户账号权限还包括临时权限,所述临时权限包括动态权限与静态权限;所述临时权限指的是在同一数据对象处理过程中对用户账号临时赋予的额外权限,同一个用户账号能够拥有对于多个数据状态进行管理的动态权限,除P3管理用户账号外,同一个用户账号只能够拥有对于一个数据状态进行管理的静态权限,P1设计用户账号自动拥有数据对象设计阶段的静态权限,P2测试用户账号自动拥有数据对象校对阶段的静态权限。
[0011] 作为本发明所述一种应用程序的角色权限控制方法的一种优选方案,其中:当拥有动态权限的用户账号与拥有静态权限的用户账号对于同一数据对象进行修改时,以拥有静态权限的用户账号的修改为准;当两个拥有动态权限的用户账号对于同一数据对象进行修改时,根据用户账号权限等级进行优先级对比,以用户账号权限等级较高者修改为准,当用户账号权限等级相同时,两个修改意见均转给P3管理用户账号,以P3管理用户账号的决定为准;当两个拥有静态权限的用户账号对于同一数据对象进行修改时,修改意见转给P3管理用户账号,以P3管理用户账号的决定为准。
[0012] 作为本发明所述一种应用程序的角色权限控制方法的一种优选方案,其中:当数据对象的数据状态处于运行阶段时,所有用户账号权限从动态化权限转为固定化权限,最后固定成所有用户账号只有阅读权限。
[0013] 作为本发明所述一种应用程序的角色权限控制方法的一种优选方案,其中:当数据对象进入下一个阶段时,若用户账号未拥有下一个阶段修改权限但目前停留在修改页面时,将会被服务器断开连接,再次登录后,可进行下一个阶段用户账号拥有的权限行为。
[0014] 一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如上所述的应用程序的角色权限控制方法的步骤。
[0015] 一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如上所述的应用程序的角色权限控制方法的步骤。
[0016] 本发明有益效果为抽象出了应用程序研发过程中与访问控制相关的对象:数据对象、用户、用户账号、数据对象状态,并对各个对象进行了详细的分析与设计,并在此基础上建立一种系统的权限控制模型方法;最后,在方法实现方面,介绍了关键功能的具体实现过程,实现了自动化的权限管理,并且保障了用户的运行安全。
附图说明
[0017] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术用户账号来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
[0018] 图1为实施例1中一种应用程序的角色权限控制方法的场景图。
[0019] 图2为实施例3中一种应用程序的角色权限控制方法的结果界面图。
具体实施方式
[0020] 为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明。
[0021] 在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术用户账号可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
[0022] 其次,此处所称的“一个实施例”或“实施例”是指可包括于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
[0023] 实施例1
[0024] 参照图1,为本发明第一个实施例,该实施例提供了一种应用程序的角色权限控制方法,其包括如下步骤:
[0025] 先将数据对象按照数据状态进行分类;
[0026] 对于涉及数据对象的用户账号赋予权限;
[0027] 用户账号根据权限进行对于数据对象的管理运行;
[0028] 随着数据对象的状态变化,所有用户账号的权限进行动态变化;
[0029] 当数据对象的数据状态处于运行阶段时,所有用户账号权限从动态化权限转为固定化权限。
[0030] 其中,数据状态指的是数据对象的生产流程生命周期,包括设计、试运行、校对、标准化与运行五个阶段。
[0031] 当数据状态的每个阶段运行结束后,数据对象发送阶段结束信号给服务器,服务器在接收信号后进行记录,并发送允许继续下一阶段的信号给数据对象。
[0032] 对于涉及数据对象的用户账号赋予权限,包括P1到P4四种用户账号权限,分别对应P1设计用户账号,P2测试用户账号,P3管理用户账号与P4查询用户账号,对同一数据对象,仅设置一个所述P3管理用户账号。
[0033] 随着数据对象的状态变化,所有用户账号的权限进行动态变化包括,当处于数据对象设计阶段时,P1设计用户账号和P3管理用户账号能够进行对于数据对象的修改与阅读行为,P2测试用户账号能够进行对于数据对象的阅读行为,P4查询用户账号无法进行对于数据对象的任何行为;
[0034] 当处于数据对象试运行阶段时,P3管理用户账号、P1设计用户账号和P2测试用户账号能够进行对于数据对象的阅读行为,P4查询用户账号无法进行对于数据对象的任何行为;
[0035] 当处于数据对象校对阶段时,P1设计用户账号、P2测试用户账号和P3管理用户账号能够进行对于数据对象的修改与阅读行为,P4查询用户账号无法进行对于数据对象的任何行为;
[0036] 当处于数据对象标准化阶段时,P3管理用户账号能够进行对于数据对象的修改与阅读行为,P1设计用户账号、P2测试用户账号和P4查询用户账号能够进行对于数据对象的阅读行为;
[0037] 当处于数据对象运行阶段时,P1设计用户账号、P2测试用户账号、P3管理用户账号和P4查询用户账号都只能够进行对于数据对象的阅读行为;
[0038] 当标准化失败或是试运行失败时,将数据发回设计阶段重新设计,此时P1设计用户账号和P3管理用户账号能够进行对于数据对象的修改与阅读行为,P2测试用户账号能够进行对于数据对象的阅读行为,P4查询用户账号无法进行对于数据对象的任何行为,设计结束后发到试运行阶段,修改行为包括:
[0039] 表1:修改行为表
[0040]
[0041] 所述用户账号权限还包括临时权限,所述临时权限指的是在同一数据对象处理过程中对用户账号临时赋予的额外权限,所述临时权限包括动态权限与静态权限;同一个用户账号能够拥有对于多个数据状态进行管理的动态权限,除P3管理用户账号外,同一个用户账号只能够拥有对于一个数据状态进行管理的静态权限,P1设计用户账号自动拥有数据对象设计阶段的静态权限,P2测试用户账号自动拥有数据对象校对阶段的静态权限。
[0042] 当拥有动态权限的用户账号与拥有静态权限的用户账号对于同一数据对象进行修改时,以拥有静态权限的用户账号的修改为准;
[0043] 当两个拥有动态权限的用户账号对于同一数据对象进行修改时,根据用户账号权限等级进行优先级对比,以用户账号权限等级较高者修改为准,当用户账号权限等级相同时,两个修改意见均转给P3管理用户账号,以P3管理用户账号的决定为准;
[0044] 当两个拥有静态权限的用户账号对于同一数据对象进行修改时,修改意见转给P3管理用户账号,以P3管理用户账号的决定为准;
[0045] 其中,P3管理用户账号、P1设计用户账号、P2测试用户账号、P4查询用户账号的权限优先级依次降低。
[0046] 当数据对象的数据状态处于运行阶段时,所有用户账号权限从动态化权限转为固定化权限,最后固定成所有用户账号只有阅读权限。
[0047] 当数据对象进入下一个阶段时,若用户账号未拥有下一个阶段修改权限但目前停留在修改页面时,将会被服务器断开连接,再次登录后,可进行下一个阶段用户账号拥有的权限行为。
[0048] 实施例2
[0049] 本发明第二个实施例,其不同于第一个实施例的是:还包括本发明的一个实施例,其不同于前两个实施例的是:所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read‑Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0050] 在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包括、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
[0051] 计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置)、便携式计算机盘盒(磁装置)、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编辑只读存储器(EPROM或闪速存储器)、光纤装置以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
[0052] 应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
[0053] 实施例3
[0054] 参照图2,为本发明第三个实施例,其不同于前两个实施例的是:某学校通过应用程序的角色权限控制方法进行年度考核。
[0055] 年度考核子系统是实现高校教职工、教师、双肩挑等人员的网上年度考核的申请和审核的信息管理系统。首先由教职工进行年度考核网上申请。教职工所在的院系对教职工的申请审核后确认等级,并提交上报后由人事部门进行审核,人事部门认为院系审核的内容没有问题即审核通过。
[0056] 年度考核子系统的权限分为三个部分:模块权限,数据权限和功能权限。年度考核子系统的权限设置是通过权限管理系统来实现的。同时,当用户登录年度考核子系统后,权限管理系统也实现了对用户的访问控制功能。
[0057] 年度考核子系统总共分为5个模块:1、年度考核设置,用来设置考核的类型、时间、内容等信息,并进行考核的开启、关闭操作。2、年度考核个人填写,是教职工网上申请的主要模块,教职工在这个模块中完成年度考核的填写,并提交给院系审核。3、年度考核院系审核,院系对教职工填写的考核信息进行审核。4、年度考核学校审核,学校对教职工填写的考核信息进行审核。5、个人历年考核察看,提供给教职工个人查看往年的年度考核结果的窗口。
[0058] 本实施例中的权限操作限定为可读取(R),可写入(W),修改(M)三种,其中0表示禁止任何操作。
[0059] 表2数据对象不同状态下的权限规则表
[0060]
[0061] 从图2界面可以看到,访问控制规则信息都可以详细的显示出来,包括客体所在的域、客体类型、客体的状态、主体信息、操作类型等。通过此界面,管理员可以清晰的看到某个用户拥有哪些权限,以方便管理员更好的调整用户权限,不至于出现越权、权限不明确等现象。
[0062] 应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术用户账号应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。