一種用戶權限分配方法和一種用戶權限控制方法
2023-06-03 02:16:06
patttem='http:〃www.alibaba.com/user—manage/[add|edit|del|Apreview]*.htm,>綜上所述,可以概括得出本發明的優點為:角色的權限定義描述性強,非常靈活,並能支持多種粒度的訪問控制。如粗粒度(表示類別級,即僅考慮對象的類另ij(thetypeofobject),不考慮對象的某個特定實例。比如,用戶管理中,創建、刪除,對所有的用戶都一視同仁,.並不區分操作的具體對象實例)的窗口級別用戶界面的訪問控制、細粒度(表示實例級,即需要考慮具體對象的實例(theinstanceofobject),當然,細粒度是在考慮粗粒度的對象類別之後才再考慮特定實例。比如,合同管理中,列表、刪除,需要區分該合同實例是否為當前用戶所創建)的按鈕級別界面元素的訪問控制,以及系統級別的底層功能模塊的訪問控制等。此外,只需要對正則表達式進行修改即可對系統權限進行維護或修改,操作方便;再者,本發明中的受保護的資源採用資原始碼唯一標識,採用當前被請求資源的資原始碼與當前用戶角色的被授權訪問資源的正則表達式,即可匹配校驗用戶是否具備訪問權限,簡而言之即通過字符串的匹配即可實現校驗操作,操作效率高,並能有效節約系統資源;此外,本發明適用於不同的系統架構中,例如,不^又可以用於保護網站的URL,B/S、C/S應用軟體的用戶界面,還可以用於保護用戶界面中的頁面元素,如菜單項,按鈕,文本框等界面元素等,應用範圍十分廣泛,不受系統架構模式的限制;並且,在實際中將本發明與應用系統集成時,對應用系統的修改非常小,因而應用成本是很低的。需要說明的是,本說明書中的各個實施例均採用遞進的方式描述,每個實施例重點說明的都是與其他實施例的不同之處,各個實施例之間相同相似的部分互相參見即可。對於裝置類實施例而言,由於其與方法實施例基本相似,所以描述的比較簡單,相關之處參見方法實施例的部分說明即可。以上對本發明所提供的一種用戶權限分配的方法和裝置,以及,一種用戶權限控制的方法和裝置進行了詳細介紹,本文中應用了具體個例對本發明的原理及實施方式進行了闡述,以上實施例的說明只是用於幫助理解本發明的方法及其核心思想;同時,對於本領域的一般技術人員,依據本發明的思想,在具體實施方式及應用範圍上均會有改變之處,綜上所述,本說明書內容不應理解為對本發明的限制。權利要求1、一種用戶權限分配方法,其特徵在於,包括定義用戶的角色,生成用戶角色映射關係表;採用正則表達式定義所述角色的資源訪問權限,並記錄為權限定義文件,所述資源由唯一的資原始碼進行標識。2、如權利要求l所述的方法,其特徵在於,所述用戶角色映射關係表包括用戶名欄位、密碼欄位和角色欄位。3、如權利要求1或2所述的方法,其特徵在於,所述權限定義文件為XML配置文件。4、一種用戶權限分配裝置,其特徵在於,包括用戶角色定義模塊,用於定義用戶的角色,並生成用戶角色映射關係表;角色權限定義模塊,用於以正則表達式定義所述角色的資源訪問權限,並記錄為XML文件,所述資源由唯一的資原始碼進行標識。5、如權利要求4所述的裝置,其特徵在於,所述用戶角色映射關係表包括用戶名欄位、密碼欄位和角色欄位。6、如權利要求4或5所述的裝置,其特徵在於,所述權限定義文件為XML配置文件。7、一種用戶權限控制方法,其特徵在於,包括從預置的用戶角色映射關係表中獲取相應用戶的角色;提取所述角色的資源訪問權限,所述資源訪問權限採用正則表達式定義,並記錄在權限定義文件中,所述資源由唯一的資原始碼進行標識;攔截所述用戶提交的資源訪問請求,獲得所述資源的資原始碼;將所述資原始碼與所述角色的資源訪問權限進行匹配,若匹配成功,則向用戶返回所述資源;若匹配失敗,則拒絕所述用戶的資源訪問^清求。8、如權利要求7所述的方法,其特徵在於,還包括將所述用戶角色映射關係表讀至內存中。9、如權利要求8所述的方法,其特徵在於,還包括將當前用戶的角色和資源訪問權限記錄至全局變量中。10、如權利要求9所述的方法,其特徵在於,所述匹配步驟包括從所述全局變量中讀取所述資源訪問權限的正則表達式,與所述資原始碼進行正則表達式匹配。11、如權利要求7、8、9或10所述的方法,其特徵在於,所述資原始碼由字符串組成。12、一種用戶權限控制裝置,其特徵在於,包括角色獲取模塊,用於從預置的用戶角色映射關係表中獲取相應用戶的角色;權限獲取模塊,用於提取所述角色的資源訪問權限,所述資源訪問權限採用正則表達式定義,並記錄在權限定義文件中,所述資源由唯一的資原始碼進行標識;訪問資源確定模塊,用於攔截所述用戶提交的資源訪問請求,獲得所述資源的資原始碼;匹配模塊,用於將所述資原始碼與所述角色的資源訪問權限進行匹配,若匹配成功,則向用戶返回所述資源;若匹配失敗,則拒絕所述用戶的資源i方問請求。13、如權利要求12所述的裝置,其特徵在於,還包括內存寫入模塊,用於將所述用戶角色映射關係表讀至內存中。14、如權利要求13所述的裝置,其特徵在於,還包括共享記錄模塊,用於將當前用戶的角色和資源訪問權限記錄至全局變量中。15、如權利要求14所述的裝置,其特徵在於,所述匹配模塊包括讀取子模塊,用於從所述全局變量中讀取所述資源訪問權限的正則表達式;表達式匹配子模塊,用於將所述正則表達式與所述資原始碼進行正則表達式匹配。全文摘要本發明提供了一種用戶權限控制方法,包括從預置的用戶角色映射關係表中獲取相應用戶的角色;提取所述角色的資源訪問權限,所述資源訪問權限採用正則表達式定義,並記錄在權限定義文件中,所述資源由唯一的資原始碼進行標識;攔截所述用戶提交的資源訪問請求,獲得所述資源的資原始碼;將所述資原始碼與所述角色的資源訪問權限進行匹配,若匹配成功,則向用戶返回所述資源;若匹配失敗,則拒絕所述用戶的資源訪問請求。本發明以可插入的方式應用於多種系統架構中,應用範圍廣、可以靈活定義並能顯著降低系統開發和實施的成本。文檔編號G06F21/00GK101441688SQ20071016648公開日2009年5月27日申請日期2007年11月20日優先權日2007年11月20日發明者崚何申請人:阿里巴巴集團控股有限公司