專利名稱:權限擴展控制系統(tǒng)及其方法
技術領域:
本發(fā)明屬于計算機軟件技術領域���,涉及一種權限設置系統(tǒng),尤其涉及一種權限擴 展控制系統(tǒng)�����;同時��,本發(fā)明還涉及上述權限擴展控制系統(tǒng)的權限擴展控制方法�。
背景技術:
權限控制是3A認證體系標準中一個不可缺少的環(huán)節(jié)�����,分別為Authentication����、 Authorization�����、Accounting 認證(Authentication)驗證用戶的身份與可使用的網(wǎng)絡服務���;授權(Authorization)依據(jù)認證結果開放網(wǎng)絡服務給用戶;審計(Accounting)記錄用戶對各種網(wǎng)絡服務的用量�,并提供給計費系統(tǒng)。權限設計是很多系統(tǒng)重要的組成部分�����,主要用于控制功能和流程���,本說明將幾種 常見的權限設計方案的基本設計寫出來����,行業(yè)內(nèi)對于系統(tǒng)權限設置大致有以下幾種主流技 術1等級權限系統(tǒng)這種權限系統(tǒng)在論壇中很常見,在這種系統(tǒng)中�,權限級別如同官階從低到高排列, 每個用戶擁有一個權限�����,其中設定了這個用戶的權限等級����,在用戶需要執(zhí)行操作前先查看 其權限等級是否大于執(zhí)行操作所需要的權限等級,是則進行操作����。在等級權限系統(tǒng)中領域對象用戶類User的基本屬性如下id //用戶 IDname //用戶名領域對象權限類Privilege的基本屬性如下id //權限 IDuserid //持有此權限的用戶idlevel//用戶的權限等級使用中,執(zhí)行一個操作時��,先從Session中取出用戶���,然后按其id查出其對應的權 限等級���,拿它和執(zhí)行該操作所需要的等級進行比較,高于則可進行該操作��,否則報告權限不夠��。等級權限系統(tǒng)簡單易用,在如論壇等剛性控制系統(tǒng)中使用很好��,但不適用于需要 限制權限的范圍的場合���。2范圍限制權限系統(tǒng)等級權限系統(tǒng)的缺點是控制范圍過廣��,比如一個論壇中有很多子論壇��,一個子論 壇的分版主同時也能對另一個同等級分論壇的帖子進行控制�,這在一定程度不合理�����,有越 界的嫌疑�,更好的做法是將版主權限控制在一版之內(nèi)���,這時可以采用范圍限制權限系統(tǒng)�。這 種權限系統(tǒng)在項目管理系統(tǒng)中很常見��。在等級權限系統(tǒng)中領域對象用戶類User的基本屬性如下id //用戶 ID
3
name //用戶名領域對象項目類Project的基本屬性如下id// 項目 IDname // 項目名領域對象權限類Privilege的基本屬性如下idH 權限 IDuserid //持有此權限的用戶idprojectid //此權限對應的項目level //用戶的權限等級其中����,通過引入了新屬性projectid����,對權限的范圍進行了有效限制�,項目不同則 權限等級再高也是無效,這樣就起到了限制權限能力范圍的作用��。3范圍限制單項權限系統(tǒng)在上面兩個權限系統(tǒng)中�����,權限高的自然能執(zhí)行權限要求低的操作��,這樣做權力沒 有細分����,在有些場合并不合理,比如即使是董事長不可直接操作人事部的招聘任務����,他只對 雇員去留有建議權。對于這樣的場合需要使用范圍限制單項權限系統(tǒng)����。它的典型應用如工 作流和OA系統(tǒng)。在范圍限制單項權限系統(tǒng)中領域對象用戶類User的基本屬性如下id // 用戶 IDname //用戶名領域對象項目類Project的基本屬性如下id// 項目 IDname // 項目名領域對象權限類Privilege的基本屬性如下id//權限 IDuserid //持有此權限的用戶idprojectid //此權限對應的項目abilityid //權限控制能力 id領域對象權限控制能力類ability的基本屬性如下idH控制能力IDitem//控制能力子項通過對權限能力的細分,用戶權限的控制粒度更細了����,對功能和流程就能有更精 確的把握,適用于復雜的場合���。以上三種權限系統(tǒng)沒有優(yōu)劣之分只有適用場合的區(qū)別���。前面的粗略但易于操作。 后面的精確但失之煩瑣��。在現(xiàn)實使用中應該根據(jù)場合選擇合適的權限系統(tǒng)���。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術問題是提供一種權限擴展控制系統(tǒng)�,可方便快捷地擴展 用戶的權限��。此外���,本發(fā)明還提供上述權限擴展控制系統(tǒng)的權限擴展控制方法,可方便快捷地擴展用戶的權限�。為解決上述技術問題,本發(fā)明采用如下技術方案一種權限擴展控制系統(tǒng)�����,所述系統(tǒng)包括權限設置單元,用以設置用戶的權限�,對不同業(yè)務需求所涉及的權限進行設置,以 擴展不同的業(yè)務權限���;權限編輯單元����,用以對系統(tǒng)中的權限進行編輯���,包括增加權限�����、刪除權限��、修改權 限�����。作為本發(fā)明的一種優(yōu)選方案�,用戶的各權限通過一個若干位的二進制數(shù)設定�,各 權限是否被選定通過所述二進制數(shù)對應位的值設定,每個位對應一個權限;有該權限或無 該權限分別通過0或1表示���、或者分別通過1或0表示��。作為本發(fā)明的一種優(yōu)選方案���,所述系統(tǒng)包括二進制數(shù)調(diào)整單元,在所述權限編輯 單元增加權限�����、刪除權限后�,若二進制數(shù)的各個位對應的權限有變化,所述二進制數(shù)調(diào)整單 元調(diào)整對應的二進制數(shù)的位����。作為本發(fā)明的一種優(yōu)選方案,所述系統(tǒng)進一步包括執(zhí)行判斷單元��,用以在用戶需 要執(zhí)行操作前�,先查看其權限等級是否大于執(zhí)行操作所需要的權限等級��;若是則進行操作���, 否則不執(zhí)行對應操作�����。一種上述權限擴展控制系統(tǒng)的權限擴展控制方法��,所述方法包括如下步驟所述權限設置單元設置用戶的權限����,對不同業(yè)務需求所涉及的權限進行設置,以 擴展不同的業(yè)務權限���;所述權限編輯單元對權限進行編輯�,包括增加權限�、刪除權限、修改權限�。作為本發(fā)明的一種優(yōu)選方案,用戶的各權限通過一個若干位的二進制數(shù)設定����,各 權限是否被選定通過所述二進制數(shù)對應位的值設定,每個位對應一個權限��;有該權限或無 該權限分別通過0或1表示���、或者分別通過1或0表示�����。作為本發(fā)明的一種優(yōu)選方案�,所述方法包括二進制數(shù)調(diào)整步驟,在所述權限編輯 單元增加權限�、刪除權限后,若二進制數(shù)的各個位對應的權限有變化����,通過一二進制數(shù)調(diào)整 單元調(diào)整對應的二進制數(shù)的位。作為本發(fā)明的一種優(yōu)選方案��,所述方法進一步包括執(zhí)行判斷步驟�,在用戶需要執(zhí) 行操作前,先查看其權限等級是否大于執(zhí)行操作所需要的權限等級����;若是則進行操作,否則 不執(zhí)行對應操作�。本發(fā)明的有益效果在于本發(fā)明提出的權限擴展控制系統(tǒng)及其方法,可方便快捷 地擴展用戶的權限����,可增加權限、刪除權限�、修改權限;這里的增加��、刪除�����、修改是指對系統(tǒng) 的整個權限進行增加�����、刪除����、修改。當然����,本發(fā)明可以對各用戶的權限進行修改。本發(fā)明的具體優(yōu)勢在于(1)易操作�。本發(fā)明可將一個普通應用中不同類型的操作進行合理的拆分,將拆分 后的每個具體操作均分配權限位做為獨立權限進行有效控制�����。(2)易理解。本發(fā)明中��,權限管理員很容易了解當前用戶所被授權的操作�����,在具體 應用中��,該用戶是否可以進行創(chuàng)建�����、編輯或刪除操作均明確可見�����。(3)易擴展���。本發(fā)明權限控制實現(xiàn)方法是以低位權限位向高位權限位向前進位遞 增的原則��,即可以根據(jù)新的應用操作依據(jù)低位向高位擴展的原則進行權限位分配��,從而實現(xiàn)對定制權限的無限擴展����。
圖1為本發(fā)明系統(tǒng)的組成示意圖。圖2為本發(fā)明方法的流程圖�����。圖3為編輯用戶權限的示意圖�����。圖4為增加用戶權限的示意圖����。
具體實施例方式下面結合附圖詳細說明本發(fā)明的優(yōu)選實施例�����。實施例一本發(fā)明可以對不同業(yè)務需求所涉及的權限進行有效控制�,可無限擴展不同的業(yè)務 權限,能夠最大限度的滿足不同用戶的定制需求�,快速靈活的對權限進行設計,并且及時的 添加到應用系統(tǒng)之中����。用戶亦可對當前設計權限進行編輯、刪除����、索引等操作��。請參閱圖1���,本發(fā)明揭示了一種權限擴展控制系統(tǒng),所述系統(tǒng)包括權限設置單元 11��、權限編輯單元12�����、二進制數(shù)調(diào)整單元13����、執(zhí)行判斷單元14。權限設置單元11用以設置用戶的權限��,對不同業(yè)務需求所涉及的權限進行設置����, 以擴展不同的業(yè)務權限。用戶的各權限通過一個若干位的二進制數(shù)設定��,各權限是否被選 定通過所述二進制數(shù)對應位的值設定,每個位對應一個權限�;有該權限或無該權限分別通 過0或1表示、或者分別通過1或0表示��。權限編輯單元12用以對系統(tǒng)中的權限進行編輯����,包括增加權限、刪除權限���、修改 權限。二進制數(shù)調(diào)整單元13在所述權限編輯單元增加權限���、刪除權限后�����,若二進制數(shù)的 各個位對應的權限有變化�����,所述二進制數(shù)調(diào)整單元調(diào)整對應的二進制數(shù)的位��。執(zhí)行判斷單元14用以在用戶需要執(zhí)行操作前���,先查看其權限等級是否大于執(zhí)行 操作所需要的權限等級����;若是則進行操作���,否則不執(zhí)行對應操作�����。一種上述權限擴展控制系統(tǒng)的權限擴展控制方法��,所述方法包括如下步驟步驟A��、所述權限設置單元設置用戶的權限���,對不同業(yè)務需求所涉及的權限進行設 置,以擴展不同的業(yè)務權限����。用戶的各權限通過一個若干位的二進制數(shù)設定,各權限是否被選定通過所述二進 制數(shù)對應位的值設定���,每個位對應一個權限�����;有該權限或無該權限分別通過0或1表示�����、或 者分別通過1或0表示���。步驟B���、所述權限編輯單元對權限進行編輯,包括增加權限���、刪除權限、修改權限���。步驟C�、二進制數(shù)調(diào)整步驟���,在所述權限編輯單元增加權限���、刪除權限后,若二進制 數(shù)的各個位對應的權限有變化,通過一二進制數(shù)調(diào)整單元調(diào)整對應的二進制數(shù)的位�����。步驟D�����、執(zhí)行判斷步驟����,在用戶需要執(zhí)行操作前,先查看其權限等級是否大于執(zhí)行 操作所需要的權限等級���;若是則進行操作����,否則不執(zhí)行對應操作��。本發(fā)明的具體優(yōu)勢在于(1)易操作�����。本發(fā)明可將一個普通應用中不同類型的操作進行合理的拆分����,將拆分后的每個具體操作均分配權限位做為獨立權限進行有效控制�。(2)易理解�����。本發(fā)明中�����,權限管理員很容易了解當前用戶所被授權的操作�����,在具體 應用中�����,該用戶是否可以進行創(chuàng)建���、編輯或刪除操作均明確可見。(3)易擴展���。本發(fā)明權限控制實現(xiàn)方法是以低位權限位向高位權限位向前進位遞 增的原則��,即可以根據(jù)新的應用操作依據(jù)低位向高位擴展的原則進行權限位分配�����,從而實 現(xiàn)對定制權限的無限擴展�。綜上所述,本發(fā)明提出的權限擴展控制系統(tǒng)及其方法����,可方便快捷地擴展用戶的 權限,可增加權限���、刪除權限�����、修改權限���;這里的增加、刪除����、修改是指對系統(tǒng)的整個權限進 行增加、刪除����、修改��。當然���,本發(fā)明可以對各用戶的權限進行修改。實施例二本實施例中����,本發(fā)明系統(tǒng)的可擴展權限控制是基于二進制進位原則,動態(tài)擴展權 限位數(shù)量以達到權限級別無限擴展的一種設計思想�����。該技術是將這種設計思想用Php代碼 將其固化下來并且加以應用實現(xiàn)���?�?蓴U展權限控制設計思想是二進制進位思想的映射��,二進制數(shù)是0和1組合��,于是 亦可設計將未被勾選(未被授權)定義為0,勾選(已授權)定義為1��。在本發(fā)明系統(tǒng)中,將具體的應用所具有的特定操作一一分離出來�����,這些獨立的操 作將在代碼中被定義一個常量��,這個常量所對應的二進制位數(shù)被稱之為權限位��,如表1所 示�����。表1中��,定義了某應用操作的權限位����。 表 1如表1所示,某系統(tǒng)有7個權限��,如設定用戶admin具有所有權限�,所對應的權限 映射的七位二進制數(shù)將為1111111,在數(shù)據(jù)庫中將該七位二進制數(shù)轉化為127(十進制數(shù)) 存入數(shù)據(jù)表中��。本實施例中,擴展規(guī)則是以低位權限位向高位權限位向前進位遞增的原則��。也就 是說��,如果合同分解編輯權限位未被勾選�����,則所對應的二進制數(shù)應為0111111����,對應的十進制數(shù)為63。很顯然����,合同分解編輯權限位為最高位,未被勾選則表示為0�。實施例三本實施例中,根據(jù)不同應用��,對不同的業(yè)務權限進行設置����,系統(tǒng)管理員(或系統(tǒng)管 理授權用戶)以勾選的方式對用戶進行業(yè)務操作授權。當授權操作完畢后��,被授權用戶將 具備該業(yè)務操作權限,如圖3所示�。本實施例以合同管理應用為例例如��,將圖3中被勾選則表示對應用戶具備(被授權)該權限�,未被勾選則表示對 應用戶不具備(未被授權)該權限,在該應用下admin所具備的權限有-模塊指admin已被授權并且具備了進入該應用(合同管理)的權限�����;-創(chuàng)建合同指admin已被授權并且具備了創(chuàng)建合同的權限�����;-編輯合同指admin已被授權并且具備了編輯合同的權限�����;-查看合同指admin已被授權并且具備了查看合同的權限����;-歸檔權限指admin已被授權并且具備了歸檔合同的權限;-超級權限指admin已被授權并且具備了該應用下的任意操作的權限�。說明每一個權限表示該應用下一個獨立操作,名稱可任意設計�����,并且權限的個數(shù) 可隨著不同的業(yè)務操作無限增加。舉例說明如果該應用中有合同分解操作����,那么可以增加 一個合同分解權限,為該操作獨立定制操作權限�����,如圖4所示��。圖4中admin已被授權并且 具備了合同分解編輯權限�。綜上,本發(fā)明設計的權限控制技術里有用戶���,授權��,資源�,以及在資源被訪問前進 行權限的檢查�����。一個用戶可以有多個授權����,一個授權可以對應多種資源�,而資源可以多種多 樣�。默認實現(xiàn)了有url、方法���、領域對象。按照這種思路�,采用不同的授權方式。這里本發(fā)明的描述和應用是說明性的���,并非想將本發(fā)明的范圍限制在上述實施例 中����。這里所披露的實施例的變形和改變是可能的��,對于那些本領域的普通技術人員來說實 施例的替換和等效的各種部件是公知的�。本領域技術人員應該清楚的是,在不脫離本發(fā)明 的精神或本質特征的情況下���,本發(fā)明可以以其它形式��、結構��、布置��、比例�,以及用其它組件、 材料和部件來實現(xiàn)���。在不脫離本發(fā)明范圍和精神的情況下�,可以對這里所披露的實施例進 行其它變形和改變�。
8
權利要求
一種權限擴展控制系統(tǒng),其特征在于����,所述系統(tǒng)包括權限設置單元,用以設置用戶的權限���,對不同業(yè)務需求所涉及的權限進行設置��,以擴展不同的業(yè)務權限���;權限編輯單元,用以對系統(tǒng)中的權限進行編輯�,包括增加權限、刪除權限���、修改權限���。
2.根據(jù)權利要求1所述的權限擴展控制系統(tǒng)�,其特征在于用戶的各權限通過一個若干位的二進制數(shù)設定�����,各權限是否被選定通過所述二進制數(shù) 對應位的值設定�����,每個位對應一個權限����;有該權限或無該權限分別通過0或1表示����、或者分 別通過1或0表示。
3.根據(jù)權利要求2所述的權限擴展控制系統(tǒng)��,其特征在于所述系統(tǒng)包括二進制數(shù)調(diào)整單元���,在所述權限編輯單元增加權限���、刪除權限后�����,若二進 制數(shù)的各個位對應的權限有變化�,所述二進制數(shù)調(diào)整單元調(diào)整對應的二進制數(shù)的位�����。
4.根據(jù)權利要求1所述的權限擴展控制系統(tǒng)��,其特征在于所述系統(tǒng)進一步包括執(zhí)行判斷單元�����,用以在用戶需要執(zhí)行操作前�,先查看其權限等級 是否大于執(zhí)行操作所需要的權限等級;若是則進行操作�����,否則不執(zhí)行對應操作���。
5.一種權利要求1所述權限擴展控制系統(tǒng)的權限擴展控制方法�����,其特征在于����,所述方 法包括如下步驟所述權限設置單元設置用戶的權限,對不同業(yè)務需求所涉及的權限進行設置�����,以擴展 不同的業(yè)務權限��;所述權限編輯單元對權限進行編輯����,包括增加權限��、刪除權限�、修改權限。
6.根據(jù)權利要求5所述的權限擴展控制方法����,其特征在于用戶的各權限通過一個若干位的二進制數(shù)設定,各權限是否被選定通過所述二進制數(shù) 對應位的值設定����,每個位對應一個權限���;有該權限或無該權限分別通過0或1表示、或者分 別通過1或0表示�。
7.根據(jù)權利要求6所述的權限擴展控制方法,其特征在于所述方法包括二進制數(shù)調(diào)整步驟�����,在所述權限編輯單元增加權限����、刪除權限后,若二進 制數(shù)的各個位對應的權限有變化���,通過一二進制數(shù)調(diào)整單元調(diào)整對應的二進制數(shù)的位�。
8.根據(jù)權利要求5所述的權限擴展控制方法��,其特征在于所述方法進一步包括執(zhí)行判斷步驟����,在用戶需要執(zhí)行操作前,先查看其權限等級是否 大于執(zhí)行操作所需要的權限等級;若是則進行操作�,否則不執(zhí)行對應操作。全文摘要
本發(fā)明揭示了一種權限擴展控制系統(tǒng)及其方法�����,所述系統(tǒng)包括權限設置單元��、權限編輯單元��。權限設置單元用以設置用戶的權限���,對不同業(yè)務需求所涉及的權限進行設置�,以擴展不同的業(yè)務權限�����;權限編輯單元用以對系統(tǒng)中的權限進行編輯�����,包括增加權限����、刪除權限、修改權限����。本發(fā)明提出的權限擴展控制系統(tǒng)及其方法,可方便快捷地擴展用戶的權限�����,可增加權限�����、刪除權限�����、修改權限��;易操作�、易理解、易擴展��。本發(fā)明權限控制實現(xiàn)方法是以低位權限位向高位權限位向前進位遞增的原則��,即可以根據(jù)新的應用操作依據(jù)低位向高位擴展的原則進行權限位分配�,從而實現(xiàn)對定制權限的無限擴展。
文檔編號G06F21/00GK101894231SQ20101023028
公開日2010年11月24日 申請日期2010年7月19日 優(yōu)先權日2010年7月19日
發(fā)明者傅鷹, 張建軍, 李成斌, 李沁濤, 盛益君 申請人:上海三零衛(wèi)士信息安全技術有限公司;上海三零衛(wèi)士信息安全有限公司