基於角色對用戶的一對一的權限授權方法和系統與流程

2023-06-03 03:26:51 1

本發明涉及一種epr等管理軟體系統的用戶權限管理方法，特別是涉及一種基於角色對用戶的一對一的權限授權方法和系統。

背景技術：

基於角色的訪問控制（rbac）是近年來研究最多、思想最成熟的一種資料庫權限管理機制，它被認為是替代傳統的強制訪問控制（mac）和自主訪問控制（dac）的理想候選。基於角色的訪問控制（rbac）的基本思想是根據企業組織視圖中不同的職能崗位劃分不同的角色，將資料庫資源的訪問權限封裝在角色中，用戶通過被賦予不同的角色來間接訪問資料庫資源。

在大型應用系統中往往都建有大量的表和視圖，這使得對資料庫資源的管理和授權變得十分複雜。由用戶直接管理資料庫資源的存取和權限的收授是十分困難的，它需要用戶對資料庫結構的了解非常透徹，並且熟悉sql語言的使用，而且一旦應用系統結構或安全需求有所變動，都要進行大量複雜而繁瑣的授權變動，非常容易出現一些意想不到的授權失誤而引起的安全漏洞。因此，為大型應用系統設計一種簡單、高效的權限管理方法已成為系統和系統用戶的普遍需求。

基於角色的權限控制機制能夠對系統的訪問權限進行簡單、高效的管理，極大地降低了系統權限管理的負擔和代價，而且使得系統權限管理更加符合應用系統的業務管理規範。

然而，傳統基於角色的用戶權限管理方法均採用「角色對用戶一對多」的關聯機制，其「角色」為組/類性質，即一個角色可以同時對應/關聯多個用戶，角色類似於崗位/職位/工種等概念，這種關聯機制下對用戶權限的授權基本分為以下三種形式：

1、如圖1所示，直接對用戶授權，缺點是工作量大、操作頻繁且麻煩；

2、如圖2所示，對角色（類/組/崗位/工種性質）進行授權（一個角色可以關聯多個用戶），用戶通過角色獲得權限；

3、如圖3所示，以上兩種方式結合。

以上的表述中，2、3均需要對類/組性質的角色進行授權，而通過類/組/崗位/工種性質的角色進行授權的方式有以下缺點：

1、用戶權限變化時的操作難：在實際的系統使用過程中，經常因為在運營過程中需要對用戶的權限進行調整，比如：在處理員工權限變化的時候，角色關聯的某個員工的權限發生變化，我們不能因該個別員工權限的變化而改變整個角色的權限，因為該角色還關聯了其他權限未變的員工。因此為了應對該種情況，要麼創建新角色來滿足該權限發生變化的員工，要麼對該員工根據權限需求直接授權（脫離角色）。以上兩種處理方式，在角色權限較多的情況下對角色授權不僅所需時間長，而且容易犯錯，使用方操作起來繁瑣又麻煩，也容易出錯導致對系統使用方的損失。

2、要長期記住角色包含的具體權限難：若角色的權限功能點比較多，時間一長，很難記住角色的具體權限，更難記住權限相近的角色之間的權限差別，若要關聯新的用戶，無法準確判斷應當如何選擇關聯。

3、因為用戶權限變化，則會造成角色創建越來越多（若不創建新角色，則會大幅增加直接對用戶的授權），更難分清各角色權限的具體差別。

4、調崗時，若要將被調崗用戶的很多個權限分配給另外幾個用戶承擔，則處理時必須將被調崗用戶的這些權限區分開來，分別再創建角色來關聯另外幾個用戶，這樣的操作不僅複雜耗時，而且還很容易發生錯誤。

技術實現要素：

本發明的目的在於克服現有技術的不足，提供一種基於角色對用戶的一對一的權限授權方法和系統，同一時段一個角色只能關聯唯一的用戶，大幅度提高系統使用中的權限管理效率，使動態授權更簡單，更方便，更清晰、明了，提高權限設置的效率和可靠性。

本發明的目的是通過以下技術方案來實現的：基於角色對用戶的一對一的權限授權方法，包括以下順序步驟：

s1：建立角色，每個角色是獨立的個體，而非組/類；

s2：對s1所建立的角色分別進行授權；

s3：將用戶關聯到角色，其中，同一時段一個角色只能關聯唯一的用戶，而一個用戶關聯一個或多個角色。

對角色的授權包括對表單的授權、對菜單的授權或對功能的授權。

所述的角色創建時必須選擇一個部門，角色一旦創建後則該角色歸屬於該部門，且該角色在該部門下唯一，根據角色的工作內容對角色進行授權。

基於角色對用戶的一對一的權限授權方法，還包括一個用戶跨部門調崗管理步驟，具體包括：

（1）取消用戶與原部門內的角色的關聯；

（2）將用戶與新部門內的角色進行關聯。

所述的用戶能且只能通過其與角色的關聯確定權限。

基於角色對用戶的一對一的權限授權方法，包括以下順序步驟：

s1：建立角色，每個角色是獨立的個體，而非組/類；

s2：將用戶關聯到角色，其中，同一時段一個角色只能關聯唯一的用戶，而一個用戶關聯一個或多個角色；

s3：對s1所建立的角色分別進行授權。

對角色的授權包括對表單的授權、對菜單的授權或對功能的授權。

所述的角色創建時必須選擇一個部門，角色一旦創建後則該角色歸屬於該部門，且該角色在該部門下唯一，根據角色的工作內容對角色進行授權。

基於角色對用戶的一對一的權限授權方法，還包括一個用戶跨部門調崗管理步驟，具體包括：

（1）取消用戶與原部門內的角色的關聯；

（2）將用戶與新部門內的角色進行關聯。

所述的用戶能且只能通過其與角色的關聯確定權限。

基於角色對用戶的一對一的權限授權系統，包括角色建立單元、角色授權單元和用戶-角色關聯單元；

所述的角色建立單元用於根據崗位進行角色布局，建立系統角色，每個角色是獨立個體，而非組/類；

所述的角色授權單元用於根據角色的工作內容對角色賦予權限；

所述的用戶-角色關聯單元用於將用戶關聯到角色，確保同一時段一個角色只能關聯唯一的用戶，一個用戶關聯一個或多個角色。

所述系統角色的構成為：崗位名+崗內編號。

本發明的有益效果是：

（1）傳統的權限管理機制將角色定義為組、工種、類等性質，角色對用戶是一對多的關係，在實際的系統使用過程中，經常因為在運營過程中需要對用戶的權限進行調整，比如：在處理員工權限變化的時候，角色關聯的某個員工的權限發生變化，我們不能因該個別員工權限的變化而改變整個角色的權限，因為該角色還關聯了其他權限未變的員工。因此為了應對該種情況，要麼創建新角色來滿足該權限發生變化的員工，要麼對該員工根據權限需求直接授權（脫離角色）。以上兩種處理方式，在角色權限較多的情況下對角色授權不僅所需時間長，而且容易犯錯，使用方操作起來繁瑣又麻煩，也容易出錯導致對系統使用方的損失。

但在本申請的方法下，因為角色是一個獨立的個體，則可以選擇改變角色權限即可達到目的。本申請的方法，雖然看起來在系統初始化時會增加工作量，但可以通過複製等方法，使其創建角色或授權的效率高於傳統以組為性質的角色，因為不用考慮性質為組的角色在滿足關聯用戶時的共通性，本申請方案會讓權限設置清晰，明了；尤其是在系統使用一段時間後（用戶/角色權限動態變化），該申請方案能為系統使用方大幅度提高系統使用中的權限管理效率，使動態授權更簡單，更方便，更清晰、明了，提高權限設置的效率和可靠性。

（2）傳統以組為性質的角色授權方法容易出錯，本申請方法大幅降低了授權出錯的機率，因為本申請方法只需考慮作為獨立個體的角色，而不用考慮傳統方法下關聯該組性質角色的多個用戶有哪些共通性。即使授權出錯也只影響關聯到該角色的那一個用戶，而傳統以組性質的角色則會影響關聯到該角色的所有用戶。即使出現權限授權錯誤，本申請的修正方法簡單、時間短，而傳統以組性質的角色在修正錯誤時需要考慮關聯到該角色的所有用戶的權限共通性，在功能點多的情況下不僅修改麻煩、複雜，非常容易出錯，且很多情況下只能新創建角色才能解決。

（3）在傳統以組為性質的角色授權方法下，若角色的權限功能點比較多，時間一長，很難記住角色的具體權限，更難記住權限相近的角色之間的權限差別，若要關聯新的用戶，無法準確判斷應當如何選擇關聯。本申請方法的角色本身就具有崗位號/工位號的性質，選擇一目了然。

（4）調崗時，若要將被調崗用戶的很多個權限分配給另外幾個用戶承擔，則處理時必須將被調崗用戶的這些權限區分開來，分別再創建角色來關聯另外幾個用戶，這樣的操作不僅複雜耗時，而且還很容易發生錯誤。

本申請方法則為：被調崗用戶關聯了幾個角色，在調崗時，首先取消用戶與原部門內的角色的關聯（被取消的這幾個角色可以被重新關聯給其他用戶），然後將用戶與新部門內的角色進行關聯即可。操作簡單，不會出錯。

（5）創建角色時，需要選定一個部門，一旦該角色創建完成，則部門不能被更換，角色為什麼不能更換部門：

理由1：因為本申請的角色性質等同於一個工位號/崗位號，不同的工位號/崗位號的工作內容/權限是不一樣的，如銷售部門下的銷售員1角色和技術部門的開發人員1角色是完全不同的兩個工位號/崗位號，其權限是不同的；

理由2：若將銷售員1角色的所屬部門（銷售部）更換為技術部，其銷售人員1這個角色的權限不變，則在技術部存在擁有銷售部權限的一個角色，這樣會導致管理混亂及安全漏洞。

附圖說明

圖1為背景技術中系統直接對用戶進行授權的方式示意圖；

圖2為背景技術中系統對組/類性質角色進行授權的方式示意圖；

圖3為背景技術中系統對用戶直接授權和對組/類性質角色授權相結合的方式示意圖；

圖4為本發明系統通過獨立個體性質角色對用戶進行授權的方式示意圖；

圖5為本發明授權方法流程圖。

具體實施方式

下面結合附圖進一步詳細描述本發明的技術方案，但本發明的保護範圍不局限於以下所述。

【實施例1】如圖1所示，基於角色對用戶的一對一的權限授權方法，包括以下順序步驟：

s1：建立角色，每個角色是獨立的個體，而非組/類；

s2：對s1所建立的角色分別進行授權；

s3：將用戶關聯到角色，其中，同一時段一個角色只能關聯唯一的用戶，而一個用戶關聯一個或多個角色。用戶只能通過其與角色的關聯確定權限，如果要修改用戶的權限，通過調整角色所擁有的權限以達到改變關聯了該角色的用戶的權限的目的。對用戶不直接授權，而是通過其所關聯的角色對用戶進行授權，一旦用戶關聯角色後，該用戶就擁有了該角色的所有操作權限。

角色對用戶的關係為一對一（該角色與一個用戶關聯時，其他用戶則不能再關聯該角色；若該角色未被用戶關聯，則可以被其他用戶選擇關聯）。用戶對角色的關係為一對多（一個用戶可以同時關聯多個角色）。

角色的定義：角色不具有組/類/類別/崗位/職位/工種等性質，而是一個非集合的性質，角色具有唯一性，角色是獨立存在的獨立個體；在企事業單位應用中相當於崗位號（此處的崗位號非崗位，一個崗位同時可能有多個員工，而同一時段一個崗位號只能對應一個員工）。

舉例：某個公司系統中可創建如下角色：總經理、副總經理1、副總經理2、北京銷售一部經理、北京銷售二部經理、北京銷售三部經理、上海銷售工程師1、上海銷售工程師2、上海銷售工程師3、上海銷售工程師4、上海銷售工程師5……

用戶與角色的關聯關係：若該公司員工張三任職該公司副總經理2，同時任職北京銷售一部經理，則張三需要關聯的角色為副總經理2和北京銷售一部經理，張三擁有了這兩個角色的權限。

對角色的授權：系統對角色的授權包括但不限於對表單的授權、對菜單的授權或對功能的授權。對表單的操作授權包括但不限於增刪插改。

傳統角色的概念是組/類/崗位/職位/工種性質，一個角色能夠對應多個用戶。而本申請「角色」的概念相當於崗位號/工位號，也類同於影視劇中的角色：一個角色在同一時段（童年、少年、中年……）只能由一個演員來飾演，而一個演員可能會分飾多角。

對角色的授權包括但不限於對表單的授權、對菜單的授權或對功能的授權。

所述的角色創建時必須選擇一個部門，角色一旦創建後則該角色歸屬於該部門，且該角色在該部門下唯一，根據角色的工作內容對角色進行授權。

如果用戶要變換部門則涉及到跨部門調崗，其具體操作過程包括：

（1）取消用戶與原部門內的角色的關聯；

（2）將用戶與新部門內的角色進行關聯。

在創建角色之後，可以在創建用戶的過程中關聯角色，也可以在用戶創建完成後隨時進行關聯。用戶關聯角色後可以隨時解除與角色的關聯關係，也可以隨時建立與其他角色的關聯關係。

【實施例2】基於角色對用戶的一對一的權限授權方法，包括以下順序步驟：

s1：建立角色，每個角色是獨立的個體，而非組/類；

s2：將用戶關聯到角色，其中，同一時段一個角色只能關聯唯一的用戶，而一個用戶關聯一個或多個角色；

s3：對s1所建立的角色分別進行授權。

【實施例3】為了實現上述權限授權方法，基於角色對用戶的一對一的權限授權系統，應當最少包括角色建立單元、角色授權單元和用戶-角色關聯單元；

所述的角色建立單元用於根據崗位進行角色布局，建立系統角色，每個角色是獨立個體，而非組/類；所述系統角色的構成為：崗位名+崗內編號；例如：車間生產工人1、車間生產工人2、車間生產工人3……角色是獨立個體，相當於崗位號、工位號的概念，不同於傳統權限管理體系中的角色，傳統體系中角色的概念是崗位/職位/工種等的組/類性質。

所述的角色授權單元用於根據角色的工作內容對角色賦予權限；

所述的用戶-角色關聯單元用於將用戶關聯到角色，確保同一時段一個角色只能關聯唯一的用戶，一個用戶關聯一個或多個角色。

【實施例4】以下舉例員工張三進入某公司後，員工、用戶與角色之間的關係為：

1、新入職：員工新入職，直接為該用戶（員工）選擇相應的崗位號/工位號的角色進行關聯即可，例：張三入職公司（公司為張三分配了一個張三用戶），工作內容是在銷售一部，負責北京區域冰箱產品的銷售（對應的角色是銷售一部下的「銷售工程師5」這個角色），則張三用戶直接選擇「銷售工程師5」這個角色關聯即可。

2、增加職位：張三工作一段時間後，公司還安排張三負責北京區域電視產品的銷售（對應的角色是銷售一部下的「銷售工程師8」這個角色）併兼任售後部主管（對應售後部主管1這個角色），則張三用戶再增加關聯銷售一部下的「銷售工程師8」和售後部下的「售後部主管1」這兩個角色，此時，張三員工關聯了三個角色，分別為銷售一部下的「銷售工程師5」、「銷售工程師8」和售後部下的「售後部主管1」，張三用戶則擁有了這三個角色的權限。

3、減少職位：又過了一段時間，公司決定讓張三任職售後部經理（對應售後部下「售後部經理」這個角色），且不再兼任其他工作。則張三用戶關聯售後部下「售後部經理」這個角色，同時取消此前關聯的三個角色（銷售一部下的「銷售工程師5」、「銷售工程師8」和售後部下的「售後部主管1」），此時，張三用戶只擁有售後部下「售後部經理」這個角色的權限。

4、角色權限的調整（針對角色本身所擁有的權限的調整）：如公司決定增加售後部經理的權限，則只需增加對售後部經理這個角色的授權即可，則張三用戶因為售後部經理這個角色的權限增加了，張三用戶的權限也增加了。

5、離職：一年後，張三離職了，則取消張三用戶與售後部下「售後部經理」這個角色的關聯即可。

舉例：公司在動態的經營中，職員的入職、離職是經常持續發生的，但崗位號/工位號的變化非常少(甚至在一定時期內是沒有變化的)。

傳統授權方法：在系統功能點多的情況下，以傳統的組/類性質的角色進行授權，不僅授權工作量大，繁雜，而且很容易出錯，甚至出錯了在短時間內都不容易發現，容易對系統使用方造成損失。

本申請授權方法：本申請是對崗位號/工位號性質的角色進行授權，用戶關聯角色而確定權限，則對用戶權限的控制，只是通過簡單的用戶-角色的關聯關係來實現，讓權限控制變得簡單、易操作，清晰明了，大幅度提高了授權效率和授權可靠性。

以上所述僅是本發明的優選實施方式，應當理解本發明並非局限於本文所披露的形式，不應看作是對其他實施例的排除，而可用於各種其他組合、修改和環境，並能夠在本文所述構想範圍內，通過上述教導或相關領域的技術或知識進行改動。而本領域人員所進行的改動和變化不脫離本發明的精神和範圍，則都應在本發明所附權利要求的保護範圍內。