系统权限发布方法、电子设备和介质与流程

1.本发明涉及互联网领域，尤其涉及一种系统权限发布方法、电子设备和介质。


背景技术：

2.企业内部系统在开发发布阶段，经常需要对一些功能或者工具进行灰度发布，即只有在灰度范围内的员工才可以正常看到功能入口或者可以正常进入并使用测试。常规的权限控制是基于角色的权限控制，对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。
3.大部分系统实际就是根据这个rbac(role
‑
based access control)思想进行开发的，但是在企业内的灰度发布场景中，为每个系统建立这个基于角色的权限管理模块存在较多的缺陷问题：
4.(1)企业内系统繁多，每个部门甚至每个团队之间都是独立研发的，如果每个系统为了实现灰度发布，都去开发这样一套权限控制的模块，费时费力，重复造轮子，增加企业内耗；
5.(2)企业内的灰度发布，一般都是先给某个团队，某个部门或者是有一些共同属性的员工，如果直接创建角色，再将员工以工号的方式一个个加入，一旦遇到大批量灰度的情况，则需要花费大量的时间来操作，即使有导入功能，在excel等线下数据格式的维护工作也较大；
6.(3)企业员工存在流动性，有离职，也有新入职的，离职的可以走自动化失效，但新入职的员工，各个系统的基于角色的权限管理模块，都需要手动去给新员工维护到对应的角色中，也是重复劳动，很难自动化流程实现。


技术实现要素：

7.针对现有技术中存在的企业内各系统权限管理模块重复开发、重复劳动的问题，本发明提供一种系统权限发布方法、电子设备和介质。
8.本发明是通过下述技术方案来解决上述技术问题：
9.本发明提供一种系统权限发布方法，包括：
10.s1、用系统id来隔离各个系统中的功能授权节点；
11.s2、根据管理员需求将员工列表和员工信息配置到下游系统；员工列表包括邮件组内员工列表和邮件组外员工列表；员工信息包括邮件组内员工邮箱地址和邮件组外员工工号；
12.s3、将功能授权节点导入下游系统进行权限配置。
13.较佳地，步骤s2还包括：将邮件组内员工邮箱地址转换为员工工号。
14.较佳地，步骤s2还包括：对配置到下游系统的邮件组内员工列表和邮件组内员工信息进行动态更新。
15.较佳地，对配置到下游系统的邮件组内员工列表进行动态更新具体包括：
16.s201、每日定时启动同步数据任务，将下游系统配置的邮件组内员工列表与上游系统进行比较；
17.s202、如果上游系统中的邮件组已经不存在，则将下游系统中对应的邮件组内员工列表清空，邮件组依然保留；
18.s203、如果上游系统中邮件组内员工有增减，则同样在下游系统中进行差量更新。
19.较佳地，步骤s3具体包括：
20.s301、下游系统通过接口，将系统的功能授权节点导入维护；
21.s302、下游系统通过接口，为功能授权节点配置是否开启灰度；
22.s303、开启灰度后，在白名单、黑名单列表中检索配置需要灰度配置的邮件组列表和邮件组外员工工号；
23.或
24.s301、下游系统在portal中，将系统的功能授权节点导入维护；
25.s302、下游系统在portal中，为功能授权节点配置是否开启灰度；
26.s303、开启灰度后，在白名单、黑名单列表中检索配置需要灰度配置的邮件组列表和邮件组外员工工号。
27.较佳地，灰度配置包括以下几种模式和状态：
28.灰度开关关闭：系统中所有人均有权限；
29.灰度开关开启，黑名单模式关闭，白名单模式关闭：系统中所有人均无权限；
30.灰度开关开启，黑名单模式开启，白名单模式关闭：黑名单包含的员工列表无权限；
31.灰度开关开启，黑名单模式关闭，白名单模式开启：白名单包含的员工列表有权限；
32.灰度开关开启，黑名单模式开启，白名单模式开启：白名单包含的员工列表刨除黑名单员工列表后剩余的员工列表有权限。
33.较佳地，步骤s3之后还包括：
34.s4、根据员工列表、员工信息和灰度配置数据生成一个供下游系统调用的接口，以获取对应系统的授权节点树。
35.较佳地，步骤s4具体包括：
36.s401、根据下游系统的id和下游系统当前员工工号来请求本系统的接口；
37.s402、本系统接口会查询系统id对应的所有授权节点基础数据、授权节点黑、白名单员工列表和授权节点黑、白名单员工信息；
38.s403、遍历每个已启用的授权节点，如果授权节点开启了灰度开关，则获取到其对应的黑、白名单员工列表和授权黑、白节点员工信息，判断当前用户的员工工号是否在当前节点的黑、白名单中，再根据当前授权节点的黑、白名单模式，进行判断比对，最终获取到该授权节点的对于当前员工的开放状态；
39.s404、当对授权节点列表中的所有节点的开放状态都判断好后，在根据每个节点的id和parentid字段，生成一颗节点树返回给下游系统。
40.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理
器上运行的计算机程序，处理器执行计算机程序时实现本发明的系统权限发布方法。
41.本发明还提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现本发明的系统权限发布方法的步骤。
42.本发明的积极进步效果在于：本发明将邮件组作为系统权限发布的角色集合，将邮件组和功能授权节点导入下游系统进行权限配置，避免了系统权限发布的角色集合重复配置，系统权限管理能够随着邮件组的更新自动更新；且本发明还支持使用员工工号来补充系统的权限范围，使得本发明的应用范围更广，兼顾灵活性和实用性；同时本发明能够生成系统的授权节点树，便于管理人员对权限发布系统进行配置和管理。
附图说明
43.图1为本发明实施例1的系统发布方法的流程图。
44.图2为本发明实施例1的系统发布方法的步骤s102流程图。
45.图3为本发明实施例1的系统发布方法的步骤s103流程图。
46.图4为本发明实施例1的系统发布方法的步骤s104流程图。
47.图5为本发明实施例1的系统发布方法的功能授权节点导入下游系统进行权限配置的示意图。
48.图6为本发明实施例1的系统发布方法的授权节点树的示意图。
49.图7为本发明实施例2的电子设备的结构示意图。
具体实施方式
50.下面通过实施例的方式进一步说明本发明，但并不因此将本发明限制在所述的实施例范围之中。
51.实施例1
52.本实施例提供了一种系统权限发布方法，如图1所示，本实施例的系统权限发布方法包括以下步骤：
53.步骤s101、用系统id来隔离各个系统中的功能授权节点。
54.其中，下游系统通过系统id和当前员工的工号即可获取到所有的功能授权节点，以及这些节点是否有权限的状态信息。
55.步骤s102、根据管理员需求将员工列表和员工信息配置到下游系统。
56.为了在高并发时不影响企业内邮件数据的提供方系统，需要将企业内所有邮件组内员工列表和邮件组内员工信息同步到下游系统，邮件组内员工信息包括：邮件组内员工工号、邮件组内员工邮箱地址，如果邮件组内员工信息只包含员工邮箱地址，则需要将邮件组内员工邮箱地址转换为邮件组内员工工号。
57.其中，由于企业内的员工存在流动性，所以邮件组和邮件组内员工信息都是一个动态数据，动态的数据需要动态更新，一般有两种方式，第一种是定时拉取数据，在本系统中差量更新，第二种是以消息订阅的方式，上游通过发布相关消息，在本系统中进行消费处理，来使两边数据同步。实际可以根据企业内邮件组相关系统的支持来选择，另外鉴于本发明的使用场景是灰度发布，对邮件组包含的员工列表时效性要求并不是很高，在已有系统未提供消息订阅的情况下，本实施例中采用的是第一种方案，如图2所示，具体包括：
58.步骤s102
‑
1、每日定时启动同步数据任务，将下游系统配置的邮件组内员工列表与上游系统进行比较。
59.步骤s102
‑
2、如果上游系统中的邮件组已经不存在，则将下游系统中对应的邮件组内员工列表清空，邮件组依然保留。
60.步骤s102
‑
3、如果上游系统中邮件组内员工列表有增减，则同样在下游系统中进行差量更新。
61.特别地，当邮件组粒度无法满足特殊场景，需要将不在邮件组内的员工加入权限发布角色集合，且又不想通过扩大或缩小组织的方式改变权限发布的范围时，可以采用邮件组外员工工号进行权限配置，且同样支持灰度模式。
62.步骤s103、将功能授权节点导入下游系统进行权限配置。
63.在下游系统中可以调用和查看到系统中功能授权节点，将功能授权节点导入下游后，便可对节点进行权限配置，本发明中采用的权限配置为灰度配置，支持黑、白名单两种模式，具体参见图5，其中示出了将功能授权节点导入下游系统进行权限配置的页面。
64.在本实施例中，如图3所示，步骤s103具体包括：
65.s103
‑
1、下游系统可以通过接口或者在本发明的portal中，将系统的功能授权节点导入维护；
66.s103
‑
2、下游系统可以通过接口或者在本发明的portal中，为每一个节点配置是否开启灰度；
67.s103
‑
3、开启灰度后，即可选择在白名单、黑名单列表中检索配置需要灰度的邮件组列表和邮件组外员工工号。
68.其中，在本实施例中，灰度配置包括以下几种状态和模式：
69.灰度开关关闭：系统中所有人均有权限；
70.灰度开关开启，黑名单模式关闭，白名单模式关闭：系统中所有人均无权限；
71.灰度开关开启，黑名单模式开启，白名单模式关闭：黑名单包含的员工列表无权限；
72.灰度开关开启，黑名单模式关闭，白名单模式开启：白名单包含的员工列表有权限；
73.灰度开关开启，黑名单模式开启，白名单模式开启：白名单包含的员工列表刨除黑名单员工列表后剩余的员工列表有权限。
74.步骤s104、根据员工列表、员工信息和灰度配置数据生成一个供下游系统调用的接口，以获取对应系统的授权节点树。
75.在本实施例中，如图4所示，步骤s104具体包括：
76.s104
‑
1、根据下游系统的id和下游系统当前员工工号来请求本系统的接口。
77.s104
‑
2、本系统接口会查询系统id对应的所有授权节点基础数据、授权节点黑、白名单员工列表和授权节点黑、白名单员工信息。
78.授权节点基础数据包括：授权节点名字、授权节点图标、授权节点方法、路由和是否开启灰度配置模式。
79.s104
‑
3、遍历每个已启用的授权节点，如果授权节点开启了灰度开关，则获取到其对应的黑、白名单员工列表和授权黑、白节点员工信息，判断当前用户的员工工号是否在当
前节点的黑、白名单中，再根据当前授权节点的黑、白名单模式，进行判断比对，最终获取到该授权节点的对于当前员工的开放状态。
80.s104
‑
4、当对授权节点列表中的所有节点的开放状态都判断好后，在根据每个节点的id和parentid字段，生成一颗节点树返回给下游系统。
81.下游系统管理员可以通过系统生成的授权节点树获得所有功能授权节点的权限配置信息，以便于下游系统管理员能及时根据授权节点树的信息对系统的权限发布进行调整，图6示出了授权节点树的页面。
82.本发明实施例中展示了系统权限发布方法的步骤：将功能授权节点和邮件组内员工列表导入下游系统进行权限配置，权限配置模式为灰度模式，避免了管理员对角色集合的反复开发。本发明实施例还支持使用邮件组外员工工号与邮件组结合进行权限配置，能使得不在邮件组内的员工能够偶进行同样的权限配置，使得方法灵活性更高。同时本发明实施例能生成授权节点树，便于下游系统管理员查看节点的权限信息。
83.实施例2
84.图7为本实施例提供的一种电子设备的结构示意图。所述电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现实施例1的系统权限发布方法。图7显示的电子设备20仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
85.电子设备20可以以通用计算设备的形式表现，例如其可以为服务器设备。电子设备20的组件可以包括但不限于：上述至少一个处理器21、上述至少一个存储器22、连接不同系统组件(包括存储器22和处理器21)的总线23。
86.总线23包括数据总线、地址总线和控制总线。
87.存储器22可以包括易失性存储器，例如随机存取存储器(ram)221和/或高速缓存存储器222，还可以进一步包括只读存储器(rom)223。
88.存储器22还可以包括具有一组(至少一个)程序模块324的程序/实用工具225，这样的程序模块224包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
89.处理器21通过运行存储在存储器22中的计算机程序，从而执行各种功能应用以及数据处理，例如本发明实施例1的系统权限发布方法。
90.电子设备20也可以与一个或多个外部设备24(例如键盘、指向设备等)通信。这种通信可以通过输入/输出(i/o)接口25进行。并且，模型生成的设备20还可以通过网络适配器26与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器26通过总线23与模型生成的设备20的其它模块通信。应当明白，尽管图中未示出，可以结合模型生成的设备20使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid(磁盘阵列)系统、磁带驱动器以及数据备份存储系统等。
91.应当注意，尽管在上文详细描述中提及了电子设备的若干单元/模块或子单元/模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多单元/模块的特征和功能可以在一个单元/模块中具体化。反之，上文描述的一个单元/模块的特征和功能可以进一步划分为由多个单元/模块来具体化。
92.实施例3
93.本实施例提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现实施例1的系统权限发布方法的步骤。
94.其中，可读存储介质可以采用的更具体可以包括但不限于：便携式盘、硬盘、随机存取存储器、只读存储器、可擦拭可编程只读存储器、光存储器件、磁存储器件或上述的任意合适的组合。
95.在可能的实施方式中，本发明还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行实现实施例1的系统权限发布方法的步骤。
96.其中，可以以一种或多种程序设计语言的任意组合来编写用于执行本发明的程序代码，所述程序代码可以完全地在用户设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户设备上部分在远程设备上执行或完全在远程设备上执行。
97.虽然以上描述了本发明的具体实施方式，但是本领域的技术人员应当理解，这仅是举例说明，本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下，可以对这些实施方式做出多种变更或修改，但这些变更和修改均落入本发明的保护范围。