技術(shù)特征：

1.一種基于角色訪問控制的權(quán)限管理方法，其特征在于，包括：

在用戶執(zhí)行目標(biāo)元操作前，根據(jù)預(yù)先建立的用戶與元操作的權(quán)限關(guān)系，判斷所述目標(biāo)元操作是否在用戶的權(quán)限范圍內(nèi)；其中，所述元操作是最小的權(quán)限管理單元；所述用戶與元操作的權(quán)限關(guān)系通過如下方式建立：用戶與角色組之間的第一對應(yīng)關(guān)系，用戶具有所屬角色組中各角色的權(quán)限，每一個角色具有至少一種元操作的權(quán)限；

如果是，則允許所述用戶執(zhí)行所述目標(biāo)元操作，否則，拒絕所述用戶執(zhí)行所述目標(biāo)元操作。

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，在用戶執(zhí)行目標(biāo)元操作前，根據(jù)預(yù)先建立的用戶與元操作的權(quán)限關(guān)系，判斷所述目標(biāo)元操作是否在用戶的權(quán)限范圍內(nèi)，具體包括：

根據(jù)所述第一對應(yīng)關(guān)系，確定用戶對應(yīng)的第一角色組；

根據(jù)角色組集合包含的各角色組之間的層級關(guān)系，以及所述第一角色組，從所述角色組集合中確定滿足預(yù)定條件的各底層角色組；其中，所述預(yù)定條件，包括：層級低于所述第一角色組，且包含于所述第一角色組；

根據(jù)所述各底層角色組分別包含的角色所具有的各元操作的權(quán)限，判斷所述目標(biāo)元操作是否在用戶的權(quán)限范圍內(nèi)。

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述用戶與元操作的權(quán)限關(guān)系還包括如下方式之一或者任意組合：

用戶與負向角色之間的第二對應(yīng)關(guān)系；所述負向角色是指用戶不具備的角色；每一個負向角色具有至少一種元操作的權(quán)限，用戶不具有對應(yīng)的負向角色中各元操作的權(quán)限；

用戶與角色之間的第三對應(yīng)關(guān)系；用戶具有對應(yīng)的角色中各元操作的權(quán)限；

用戶與元操作之間的第四對應(yīng)關(guān)系；所述第四對應(yīng)關(guān)系中用戶直接映射于元操作的權(quán)限。

4.根據(jù)權(quán)利要求3所述的方法，其特征在于，根據(jù)所述各底層角色組分別包含的角色所具有的各元操作的權(quán)限，判斷所述目標(biāo)元操作是否在用戶的權(quán)限范圍內(nèi)之前，還包括：

當(dāng)所述用戶與元操作的權(quán)限關(guān)系還包括用戶與負向角色之間的第二對應(yīng)關(guān)系時，在所述各底層角色組分別包含的角色所具有的各元操作中，刪除所述負向角色所具有的各元操作；

當(dāng)所述用戶與元操作的權(quán)限關(guān)系還包括用戶與角色之間的第三對應(yīng)關(guān)系時，在所述各底層角色組分別包含的角色所具有的各元操作中，增加所述第三對應(yīng)關(guān)系中該角色所具有的各元操作；

當(dāng)所述用戶與元操作的權(quán)限關(guān)系還包括用戶與元操作之間的第四對應(yīng)關(guān)系時，在所述各底層角色組分別包含的角色所具有的各元操作中，增加所述第四對應(yīng)關(guān)系中該元操作。

5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述元操作包括操作指定的統(tǒng)一資源標(biāo)識符URL對應(yīng)的網(wǎng)絡(luò)資源；所述用戶的權(quán)限范圍，包括用戶具備操作權(quán)限的網(wǎng)絡(luò)資源的URL；則

判斷所述目標(biāo)元操作是否在用戶的權(quán)限范圍內(nèi)，具體包括：

將確定出的所述用戶具備操作權(quán)限的網(wǎng)絡(luò)資源的URL與所述目標(biāo)元操作對應(yīng)的URL進行比對；

當(dāng)所述用戶具備操作權(quán)限的網(wǎng)絡(luò)資源的URL中，存在與所述目標(biāo)元操作對應(yīng)的URL相匹配的URL時，判定所述目標(biāo)元操作在所述用戶的權(quán)限范圍內(nèi)；否則，判定所述目標(biāo)元操作未在所述用戶的權(quán)限范圍內(nèi)。

6.一種基于角色訪問控制的權(quán)限管理裝置，其特征在于，包括：

判斷模塊，用于在用戶執(zhí)行目標(biāo)元操作前，根據(jù)預(yù)先建立的用戶與元操作的權(quán)限關(guān)系，判斷所述目標(biāo)元操作是否在用戶的權(quán)限范圍內(nèi)；其中，所述元操作是最小的權(quán)限管理單元；所述用戶與元操作的權(quán)限關(guān)系通過如下方式建立：用戶與角色組之間的第一對應(yīng)關(guān)系，用戶具有所屬角色組中各角色的權(quán)限，每一個角色具有至少一種元操作的權(quán)限；

執(zhí)行模塊，用于如果判斷模塊得到的判斷結(jié)果為是，則允許所述用戶執(zhí)行所述目標(biāo)元操作，否則，拒絕所述用戶執(zhí)行所述目標(biāo)元操作。

7.根據(jù)權(quán)利要求6所述的裝置，其特征在于，所述判斷模塊包括：

第一角色組確定單元，用于根據(jù)所述第一對應(yīng)關(guān)系，確定用戶對應(yīng)的第一角色組；

底層角色組確定單元，用于根據(jù)角色組集合包含的各角色組之間的層級關(guān)系，以及所述第一角色組，從所述角色組集合中確定滿足預(yù)定條件的各底層角色組；其中，所述預(yù)定條件，包括：層級低于所述第一角色組，且包含于所述第一角色組；

判斷單元，用于根據(jù)所述各底層角色組分別包含的角色所具有的各元操作的權(quán)限，判斷所述目標(biāo)元操作是否在用戶的權(quán)限范圍內(nèi)。

8.根據(jù)權(quán)利要求7所述的裝置，其特征在于，所述用戶與元操作的權(quán)限關(guān)系還包括如下方式之一或者任意組合：

用戶與負向角色之間的第二對應(yīng)關(guān)系；所述負向角色是指用戶不具備的角色；每一個負向角色具有至少一種元操作的權(quán)限，用戶不具有對應(yīng)的負向角色中各元操作的權(quán)限；

用戶與角色之間的第三對應(yīng)關(guān)系；用戶具有對應(yīng)的角色中各元操作的權(quán)限；

用戶與元操作之間的第四對應(yīng)關(guān)系；所述第四對應(yīng)關(guān)系中用戶直接映射于元操作的權(quán)限。

9.根據(jù)權(quán)利要求8所述的裝置，其特征在于，所述判斷模塊還包括：

刪除單元，用于當(dāng)所述用戶與元操作的權(quán)限關(guān)系還包括用戶與負向角色之間的第二對應(yīng)關(guān)系時，在判斷單元根據(jù)所述各底層角色組分別包含的角色所具有的各元操作的權(quán)限，判斷所述目標(biāo)元操作是否在用戶的權(quán)限范圍內(nèi)之前，在所述各底層角色組分別包含的角色所具有的各元操作中，刪除所述負向角色所具有的各元操作；

第一增加單元，用于當(dāng)所述用戶與元操作的權(quán)限關(guān)系還包括用戶與角色之間的第三對應(yīng)關(guān)系時，在判斷單元根據(jù)所述各底層角色組分別包含的角色所具有的各元操作的權(quán)限，判斷所述目標(biāo)元操作是否在用戶的權(quán)限范圍內(nèi)之前，在所述各底層角色組分別包含的角色所具有的各元操作中，增加所述第三對應(yīng)關(guān)系中該角色所具有的各元操作；

第二增加單元，用于當(dāng)所述用戶與元操作的權(quán)限關(guān)系還包括用戶與元操作之間的第四對應(yīng)關(guān)系時，在判斷單元根據(jù)所述各底層角色組分別包含的角色所具有的各元操作的權(quán)限，判斷所述目標(biāo)元操作是否在用戶的權(quán)限范圍內(nèi)之前，在所述各底層角色組分別包含的角色所具有的各元操作中，增加所述第四對應(yīng)關(guān)系中該元操作。

10.根據(jù)權(quán)利要求8所述的裝置，其特征在于，所述元操作包括操作指定的統(tǒng)一資源標(biāo)識符URL對應(yīng)的網(wǎng)絡(luò)資源；所述用戶的權(quán)限范圍，包括用戶具備操作權(quán)限的網(wǎng)絡(luò)資源的URL；則

所述判斷單元包括：

比對子單元，用于將確定出的所述用戶具備操作權(quán)限的網(wǎng)絡(luò)資源的URL與所述目標(biāo)元操作對應(yīng)的URL進行比對；

判定子單元，用于當(dāng)所述用戶具備操作權(quán)限的網(wǎng)絡(luò)資源的URL中，存在與所述目標(biāo)元操作對應(yīng)的URL相匹配的URL時，判定所述目標(biāo)元操作在所述用戶的權(quán)限范圍內(nèi)；否則，判定所述目標(biāo)元操作未在所述用戶的權(quán)限范圍內(nèi)。