日志监控平台的用户权限控制方法及装置与流程

1.本发明涉及网络安全技术领域，尤其涉及一种日志监控平台的用户权限控制方法及装置。


背景技术：

2.权限控制是当今常用的一种系统操作，现有的rabc(基于角色的权限控制)权限模型核心是在用户和权限之间引入了角色的概念，从原始时代的权限挂载在用户上，转变为权限挂载到角色上，角色关联到用户上，完成了用户和权限之间的解耦合。
3.对于微服务上云转型中的日志监控平台，其客户群体涵盖新老系统，服务目标涵盖产品研发人员、产品运维人员、业务运营人员等多种角色，导致权限模型更为复杂，用户维度更广，对计算机信息系统安全保护等级需求更高，现有的rabc方案过于基础，其存在以下几个缺陷：
4.rabc模型仅具指导意义：rabc模型定义基本的角色和用户授权，和基本的父子角色权限继承关系，是相对通用的，普适的，需要因地制宜改进完善的。
5.权限粒度较粗：现有技术多针对增删改查普通操作控制，日志监控系统所需针对千人千面，不同的菜单，接口，数据库表、字段，都有权限控制的需求。


技术实现要素：

6.本发明实施例提出一种日志监控平台的用户权限控制方法，用以对日志监控平台的用户进行权限控制，该方法包括：
7.在用户登录日志监控平台后，获取用户标识；
8.基于用户标识确定用户所属用户组；
9.获取用户关联角色的功能权限和资源权限；
10.获取用户组关联角色的功能权限和资源权限；
11.对用户关联角色的功能权限和资源权限、用户组关联角色的功能权限和资源权限进行整理，获得用户的功能权限和资源权限。
12.本发明实施例提出一种日志监控平台的用户权限控制装置，用以对日志监控平台的用户进行权限控制，该装置包括：
13.用户标识获取模块，用于在用户登录日志监控平台后，获取用户标识；
14.用户组确定模块，用于基于用户标识确定用户所属用户组；
15.用户角色权限获取模块，用于获取用户关联角色的功能权限和资源权限；
16.用户组角色权限获取模块，用于获取用户组关联角色的功能权限和资源权限；
17.用户权限获得模块，用于对用户关联角色的功能权限和资源权限、用户组关联角色的功能权限和资源权限进行整理，获得用户的功能权限和资源权限。
18.本发明实施例还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述日志监控
平台的用户权限控制方法。
19.本发明实施例还提出了一种计算机可读存储介质，所述计算机可读存储介质存储有执行上述日志监控平台的用户权限控制方法的计算机程序。
20.在本发明实施例中，在用户登录日志监控平台后，获取用户标识；基于用户标识确定用户所属用户组；获取用户关联角色的功能权限和资源权限；获取用户组关联角色的功能权限和资源权限；对用户关联角色的功能权限和资源权限、用户组关联角色的功能权限和资源权限进行整理，获得用户的功能权限和资源权限。在上述过程中，灵活地对用户进行分组，可拓展地对用户关联角色、用户组关联角色的功能权限和资源权限进行整理，从而获得用户的功能权限和资源权限，拓展性更强，能够实现权限粒度更细的功能权限和资源权限的管理。
附图说明
21.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
22.图1为本发明实施例中日志监控平台的用户权限控制方法的流程图；
23.图2为本发明实施例中日志监控平台的用户权限控制方法的详细流程图；
24.图3为本发明实施例中日志监控平台的用户权限控制装置的示意图；
25.图4为本发明实施例中日志监控平台的用户权限控制装置的另一示意图；
26.图5为本发明实施例中计算机设备的示意图。
具体实施方式
27.为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。
28.在本说明书的描述中，所使用的“包含”、“包括”、“具有”、“含有”等，均为开放性的用语，即意指包含但不限于。参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”等的描述意指结合该实施例或示例描述的具体特征、结构或者特点包含于本技术的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。各实施例中涉及的步骤顺序用于示意性说明本技术的实施，其中的步骤顺序不作限定，可根据需要作适当调整。
29.首先对本发明实施例涉及的术语进行解释。
30.用户：登录到系统的人员
31.用户组：抽象的用户，一个用户组可以添加多个用户，可以添加多个角色。
32.角色：用户/用户组在系统所拥有权限的集合，包括新增修改删除查询的组合。
33.功能权限：用户授权后能访问到的菜单和接口，挂载到角色上。
34.资源权限：用户授权后能操作的数据/字段权限，如日志产品、所在部门等。
35.图1为本发明实施例中日志监控平台的用户权限控制方法的流程图，如图1所示，该方法包括：
36.步骤101，在用户登录日志监控平台后，获取用户标识；
37.步骤102，基于用户标识确定用户所属用户组；
38.步骤103，获取用户关联角色的功能权限和资源权限；
39.步骤104，获取用户组关联角色的功能权限和资源权限；
40.步骤105，对用户关联角色的功能权限和资源权限、用户组关联角色的功能权限和资源权限进行整理，获得用户的功能权限和资源权限。
41.在上述实施例中，可灵活地对用户进行分组，可拓展地对用户关联角色、用户组关联角色的功能权限和资源权限进行整理，从而获得用户的功能权限和资源权限，拓展性更强，能够实现权限粒度更细的功能权限和资源权限的管理。
42.具体实施时，用户关联角色可以是管理员、普通用户、各个分等级的用户等，还可以是项目组长、项目负责人等，用户组关联角色可以是开发人员、测试人员、质量管理人员等，这两类角色可以自己定义，相关变化例均应落入本发明的保护范围。上述各个角色的权限是不同的，包括对功能和资源的增、删、改、查等。
43.在步骤101中，用户登录日志监控平台时为单点登录，采用jwt机制进行用户会话秘钥的生成和校验，登录的用户可以修改基本信息，如部门等。在开始本发明方法前，日志监控平台的管理员提前为用户分配好了用户标识，设置了用户关联角色，同时也提前设置了多个用户组，设置好了用户组关联角色，每个角色的功能权限和资源权限也提前设置好了。资源授权属于对数据权限的控制，更依赖于业务逻辑，需要和应用的控制器、服务实现进行协作，用以灵活控制用户对某一类数据的访问权限。
44.在一实施例中，对用户关联角色的功能权限和资源权限、用户组关联角色的功能权限和资源权限进行整理，包括：
45.对用户关联角色的功能权限、用户组关联角色的功能权限进行组合操作和去重操作，获得用户的功能权限；
46.对用户关联角色的资源权限、用户组关联角色的资源权限进行组合操作和去重操作，获得用户的资源权限。
47.在一实施例中，所述方法还包括：
48.将用户、所述用户组、角色、功能权限、资源权限的组合成权限模型，并存储到缓存数据库中，所述权限模型用于回显给客户端进行菜单和界面的生成。
49.在一实施例中，所述功能权限包括日志监控平台的菜单访问权限和接口访问权限；
50.所述资源权限包括日志监控平台的数据资源的字段的访问权限。
51.上述功能权限划分的粒度非常细，菜单访问权限和接口访问权限已经细化到很小的功能权限了，资源权限也是如此，例如，数据库资源，可细化至其中一个字段的访问权限。因此，本发明实施例提出的方法适合新旧线产品繁多、部门、人员组织结构树庞大的情况下，可灵活地对用户进行分组，可拓展地对用户关联角色、用户组关联角色的功能权限和资源权限进行整理，从而获得用户的功能权限和资源权限，拓展性更强，能够实现权限粒度更细的功能权限和资源权限的管理。另外，不依赖于生产版本，对未来可能发生的数据权限控
制留出了业务发展空间，并具备热更新的可能。
52.图2为本发明实施例中日志监控平台的用户权限控制方法的详细流程图，如图2所示，包括：
53.步骤201，在用户登录日志监控平台后，获取用户标识；
54.步骤202，基于用户标识确定用户所属用户组；
55.步骤203，获取用户关联角色的功能权限和资源权限；
56.步骤204，获取用户组关联角色的功能权限和资源权限；
57.步骤205，对用户关联角色的功能权限、用户组关联角色的功能权限进行组合操作和去重操作，获得用户的功能权限；
58.步骤206，对用户关联角色的资源权限、用户组关联角色的资源权限进行组合操作和去重操作，获得用户的资源权限；
59.步骤207，将用户、所述用户组、角色、功能权限、资源权限的组合成权限模型，并存储到缓存数据库中，所述权限模型用于回显给客户端进行菜单和界面的生成。
60.综上所述，在本发明实施例提出的方法中，在用户登录日志监控平台后，获取用户标识；基于用户标识确定用户所属用户组；获取用户关联角色的功能权限和资源权限；获取用户组关联角色的功能权限和资源权限；对用户关联角色的功能权限和资源权限、用户组关联角色的功能权限和资源权限进行整理，获得用户的功能权限和资源权限。在上述过程中，灵活地对用户进行分组，可拓展地对用户关联角色、用户组关联角色的功能权限和资源权限进行整理，从而获得用户的功能权限和资源权限，拓展性更强，能够实现权限粒度更细的功能权限和资源权限的管理。
61.本发明实施例还提出一种日志监控平台的用户权限控制装置，其原理与日志监控平台的用户权限控制方法类似，这里不再赘述。
62.图3为本发明实施例中日志监控平台的用户权限控制装置的示意图，如图3所示，包括：
63.用户标识获取模块301，用于在用户登录日志监控平台后，获取用户标识；
64.用户组确定模块302，用于基于用户标识确定用户所属用户组；
65.用户角色权限获取模块303，用于获取用户关联角色的功能权限和资源权限；
66.用户组角色权限获取模块304，用于获取用户组关联角色的功能权限和资源权限；
67.用户权限获得模块305，用于对用户关联角色的功能权限和资源权限、用户组关联角色的功能权限和资源权限进行整理，获得用户的功能权限和资源权限。
68.在一实施例中，用户权限获得模块具体用于：
69.对用户关联角色的功能权限、用户组关联角色的功能权限进行组合操作和去重操作，获得用户的功能权限；
70.对用户关联角色的资源权限、用户组关联角色的资源权限进行组合操作和去重操作，获得用户的资源权限。
71.图4为本发明实施例中日志监控平台的用户权限控制装置的另一示意图，在一实施例中，所述装置还包括权限模型合成模块306，用于：
72.将用户、所述用户组、角色、功能权限、资源权限的组合成权限模型，并存储到缓存数据库中，所述权限模型用于回显给客户端进行菜单和界面的生成。
73.在一实施例中，所述功能权限包括日志监控平台的菜单访问权限和接口访问权限；
74.所述资源权限包括日志监控平台的数据资源的字段的访问权限。
75.综上所述，在本发明实施例提出的装置中，在用户登录日志监控平台后，获取用户标识；基于用户标识确定用户所属用户组；获取用户关联角色的功能权限和资源权限；获取用户组关联角色的功能权限和资源权限；对用户关联角色的功能权限和资源权限、用户组关联角色的功能权限和资源权限进行整理，获得用户的功能权限和资源权限。在上述过程中，灵活地对用户进行分组，可拓展地对用户关联角色、用户组关联角色的功能权限和资源权限进行整理，从而获得用户的功能权限和资源权限，拓展性更强，能够实现权限粒度更细的功能权限和资源权限的管理。
76.本发明的实施例还提供一种计算机设备，图5为本发明实施例中计算机设备的示意图，该计算机设备能够实现上述实施例中的日志监控平台的用户权限控制方法中全部步骤，所述计算机设备具体包括如下内容：
77.处理器(processor)501、存储器(memory)502、通信接口(communications interface)503和通信总线504；
78.其中，所述处理器501、存储器502、通信接口503通过所述通信总线504完成相互间的通信；所述通信接口503用于实现服务器端设备、检测设备以及用户端设备等相关设备之间的信息传输；
79.所述处理器501用于调用所述存储器502中的计算机程序，所述处理器执行所述计算机程序时实现上述实施例中的日志监控平台的用户权限控制方法中的全部步骤。
80.本发明的实施例还提供一种计算机可读存储介质，能够实现上述实施例中的日志监控平台的用户权限控制方法中全部步骤，所述计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中的日志监控平台的用户权限控制方法的全部步骤。
81.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
82.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
83.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
84.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
85.以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。