权限管理方法、装置、电子设备及介质与流程

1.本公开涉及权限控制技术领域，可应用金融科技领域，具体涉及一种权限管理方法、装置、电子设备及介质。


背景技术：

2.随着信息科技的高速发展，现代大型企业都拥有独立的开发中心、数据中心进行企业科技资产的研发和运维工作。对于机构层级庞大复杂的企业，还会需要海内外各地的分支机构科技部门在当地开展运维工作。开发中心、数据中心、各地分支机构的职能及管理方式不同，对于跨机构部署管理的系统权限管理提出了挑战。传统技术的权限管理一般通过为各机构分别建立各类角色，通过角色管理权限。然而，随着机构的扩展，角色会迅速增加，导致管理复杂度和使用成本会急剧上升。
3.公开内容
4.有鉴于此，本公开一方面提供一种权限管理方法，包括：获取访问用户的机构信息，所述机构信息包括分支机构、运维机构和应用开发机构；根据所述机构信息设置所述访问用户的用户类型和用户角色，其中，不同分支机构设置的用户角色相同；确定所述访问用户对应的应用属性和维护地属性，其中，所述应用属性用于表征所述访问用户能够访问的资源对应的应用，所述维护地属性用于表征所述访问用户能够访问的资源对应的维护地区；根据所述用户类型、用户角色、所述应用属性和所述维护地属性确定所述访问用户的访问操作权限。
5.根据本公开的实施例，其中，所述根据所述机构信息设置所述访问用户的用户类型和用户角色包括：响应于所述机构信息为分支机构，将所述分支机构的访问用户的用户类型设置为分支机构用户，用户角色设置为分支机构管理员；响应于所述机构信息为运维机构，将所述运维机构的访问用户的用户类型设置为数据中心用户，用户角色设置为机构管理员；响应于所述机构信息为应用开发机构，将所述应用开发机构的访问用户的用户类型设置为开发中心用户，用户角色设置为访客。
6.根据本公开的实施例，其中，所述根据所述用户类型、用户角色以及所述应用属性和维护地属性确定所述访问用户的访问操作权限包括：响应于所述访问用户为开发中心用户或数据中心用户，根据所述开发中心用户或数据中心用户的应用属性允许所述开发中心用户或数据中心用户的查看所述应用属性对应的资源；响应于所述访问用户为分支机构用户，根据所述分支机构用户的维护地属性允许所述分支机构用户查看所述维护地属性包含的维护地区对应的资源。
7.根据本公开的实施例，其中，所述根据所述用户类型、用户角色以及所述应用属性和维护地属性确定所述访问用户的访问操作权限包括：响应于所述访问用户为分支机构用户，允许所述分支机构用户对所述分支机构用户的维护地属性包含的维护地区对应的资源进行增加、删除或修改；响应于所述访问用户为开发中心用户，确定所述开发中心用户无增加、删除或修改访问资源的权限；响应于所述访问用户为数据中心用户，允许所述数据中心
用户对所述数据中心用户的应用属性对应的资源进行增加、删除或修改。
8.根据本公开的实施例，其中，所述根据所述用户类型、用户角色以及所述应用属性和维护地属性确定所述访问用户的访问操作权限包括：根据所述访问用户的用户角色确定所述访问用户访问菜单的权限。
9.根据本公开的实施例，其中，所述用户角色为访客的访问用户不具备所述用户角色为机构管理员和分支机构管理员访问用户访问的菜单权限。
10.根据本公开的实施例，其中，所述根据所述用户类型、用户角色以及所述应用属性和维护地属性确定所述访问用户的访问操作权限包括：根据所述访问用户的用户角色和用户类型确定用户管理权限。
11.根据本公开的实施例，其中，所述用户角色为机构管理员的访问用户具备查看、修改、增加及删除与所述用户角色为机构管理员的访问用户的用户类型相同且角色权限小于等于所述用户角色为机构管理员的访问用户的权限；所述用户角色为分支机构管理员的访问用户具备查看、修改、增加及删除维护地区包含于所述用户角色为分支机构管理员的访问用户对应的维护地区的访问用户。
12.根据本公开的实施例，所述方法还包括：对于每一分支机构，从该分支机构确定一名访问用户作为该分支机构的分支机构管理员；通过所述分支机构管理员为该分支机的每一访问用户分配访问操作权限，其中，每一访问用户的访问操作权限小于所述分支机构管理员的访问操作权限。
13.根据本公开的实施例，所述方法还包括：响应于所述访问用户的用户角色为系统管理员，确定所述系统管理员无访问操作权限限制。
14.根据本公开的实施例，所述方法还包括：在所述访问用户的对应的应用属性和维护地属性发生修改的情况下，重复执行所述根据所述用户类型、用户角色、所述应用属性和所述维护地属性确定所述访问用户的访问操作权限的操作。
15.根据本公开的实施例，在获取访问用户的机构信息之前，所述方法还包括：对所述访问用户进行身份认证。
16.本公开另一方面提供一种权限管理装置，包括：获取模块，用于获取访问用户的机构信息，所述机构信息包括分支机构、运维机构和应用开发机构；设置模块，用于根据所述机构信息设置所述访问用户的用户类型和用户角色，其中，不同分支机构设置的用户角色相同；第一确定模块，用于确定所述访问用户对应的应用属性和维护地属性，其中，所述应用属性用于表征所述访问用户能够访问的资源对应的应用，所述维护地属性用于表征所述访问用户能够访问的资源对应的维护地区；第二确定模块，用于根据所述用户类型、用户角色、所述应用属性和所述维护地属性确定所述访问用户的访问操作权限。
17.本公开的另一个方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上所述的方法。
18.本公开的另一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。
19.本公开的另一方面提供了一种计算机程序，所述计算机程序包括计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。
附图说明
20.图1示意性示出了根据本公开实施例的权限管理方法及系统的系统架构100；
21.图2示意性示出了根据本公开一实施例的权限管理方法的流程图；
22.图3示意性示出了根据本公开实施例的用户类型和用户角色确定方法的流程图；
23.图4示意性示出了根据本公开实施例的应用属性和维护地属性获取方法的流程图；
24.图5示意性示出了根据本公开实施例的资源查看权限验证的方法流程图；
25.图6示意性示出了根据本公开实施例的资源操作权限验证的方法流程图；
26.图7示意性示出了根据本公开实施例的菜单权限验证的方法流程图；
27.图8示意性示出了根据本公开实施例的用户管理权限验证的方法流程图；
28.图9示意性示出了根据本公开另一实施例的权限管理方法的流程图；
29.图10示意性示出了根据本公开又一实施例的权限管理方法的流程图；
30.图11示意性示出了根据本公开又一实施例的权限管理方法的流程图；
31.图12示意性示出了根据本公开又一实施例的权限管理方法的流程图；
32.图13示意性示出了根据本公开实施例的权限管理装置的框图；
33.图14示意性示出了根据本公开一实施例的设置模块1320的框图；
34.图15示意性示出了根据本公开实施例的第一确定模块1330的框图；
35.图16示意性示出了根据本公开一实施例的第二确定模块1340的框图；
36.图17示意性示出了根据本公开另一实施例的第二确定模块1340的框图；
37.图18示意性示出了根据本公开又一实施例的第二确定模块1340的框图；
38.图19示意性示出了根据本公开实施例的适于实现上文描述的方法的电子设备的框图。
具体实施方式
39.以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。
40.在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
41.在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。
42.在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。在使用类似于“a、b或c等中至少一个”这样的表述的情况下，一般来
说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b或c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。
43.附图中示出了一些方框图和/或流程图。应理解，方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/ 或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件 (包括固件、微代码等)的形式来实现。另外，本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式，该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
44.在本公开的技术方案中，所涉及的用户个人信息的收集、存储、使用、加工、传输、提供、公开和应用等处理，均符合相关法律法规的规定，采取了必要保密措施，且不违背公序良俗。
45.在本公开的技术方案中，在获取或采集用户个人信息之前，均获取了用户的授权或同意。
46.本公开实施例提供的权限管理方法具体可以包括：获取访问用户的机构信息，机构信息包括分支机构、运维机构和应用开发机构。根据机构信息设置访问用户的用户类型和用户角色，其中，不同分支机构设置的用户角色相同。获取访问用户对应的应用属性和维护地属性，其中，应用属性用于表征访问用户能够访问的资源对应的应用，维护地属性用于表征访问用户能够访问的资源对应的维护地区。根据用户类型、用户角色、应用属性和所述维护地属性确定访问用户的访问操作权限。
47.图1示意性示出了根据本公开实施例的权限管理方法及系统的系统架构100。需要注意的是，图1所示仅为可以应用本公开实施例的系统架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
48.如图1所示，根据该实施例的系统架构100可以包括客户端101，网络102和服务器103。网络102用于客户端101与服务器103之间提供通信链路。
49.客户端101例如可以包括但不限于智能手机、平板电脑、台式pc、膝上型pc、上网本计算机、工作站、服务器、游戏机等，客户端101可用于访问用户登录身份信息及发送访问请求。网络102可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。其中有线方式例如可以是采用线缆及以下多种接口中的任一种连接：光纤通道、红外线接口、 d型数据接口、串行接口、usb接口、usb type-c接口或dock接口，无线方式例如可以是采用无线通信方式连接的，其中的无线通信例如可采用蓝牙、wi-fi、infrared、zigbee等多个无线技术标准中的任一个。服务器 103用于通过网络102获取客户端101登录的访问用户，并对访问用户进行权限管理以及将访问用户能够访问的资源通过网络102发送至客户端 101。
50.需要说明的是，本公开实施例所提供的权限管理方法可以由服务器 103执行。相应地，本公开实施例所提供的权限管理装置可以设置于服务器103中。或者，本公开实施例所提供的权限管理方法也可以由不同于服务器103且能够与客户端101和/或服务器103通信的服务器或服务器集群执行。相应地，本公开实施例所提供的权限管理装置也可以设置
于不同于服务器103且能够与客户端101和/或服务器103通信的服务器或服务器集群中。或者，本公开实施例所提供的权限管理方法也可以部分由服务器103 执行，部分由客户端101执行。相应的，本公开实施例所提供的权限管理装置也可以部分设置于服务器103中，部分设置于客户端101中。
51.应该理解，图1中的客户端、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的客户端、网络和服务器。
52.本公开实施例提供的权限管理方法，可以应用于金融科技领域。例如，对于银行而言，一般包括有总行，各地区还有分行，其拥有独立的开发中心、数据中心进行银行科技资产的研发和运维工作，还需要各地的分行的科技部门在当地开展运维工作，开发中心、数据中心、各地分行的职能及管理方式不同，其需要涉及跨机构的权限管理。现有技术通常需要为各分行分别建立各类角色，通过角色管理权限，而随着分行的不断扩展，角色会迅速增加，管理复杂度和使用成本会急剧上升。而采用本公开实施例提供的权限管理方法，可以至少部分解决该技术问题。
53.应当理解是，本公开实施例提供的权限管理方法不仅限于应用于金融科技领域，上述描述只是示例性的，对于例如电子商务领域、物流领域、通信领域等涉及跨机构权限管理的技术领域，都可以应用本公开实施例的权限管理方法。
54.为了解决现有技术中跨机构场景下的权限管理维护成本高、复杂度高的问题，本公开实施例提供了一种根据组合属性进行权限管理的方法。开发中心、数据中心用户按应用粒度管理权限，分支机构用户按地点粒度管理权限。用户在角色属性基础上增加部门类型、维护地属性，管理资源增加维护地点、所属应用属性。开发中心、数据中心用户从应用信息系统获取的访问应用清单，通过匹配资源的所属应用属性，确定访问操作权限；分支机构用户匹配资源的维护地属性，确定访问操作权限。通过三种属性的简单组合判断可以按多种粒度低成本的管理权限，同时能按机构类型数量不断扩展。下面进行详细介绍。
55.图2示意性示出了根据本公开一实施例的权限管理方法的流程图。
56.如图2所示，该权限管理方法例如可以包括操作s201～s204。
57.在操作s201，获取访问用户的机构信息，该机构信息包括分支机构、运维机构和应用开发机构。
58.在操作s202，根据机构信息设置访问用户的用户类型和用户角色，其中，不同分支机构设置的用户角色相同。
59.在操作s203，获取访问用户对应的应用属性和维护地属性，其中，应用属性用于表征访问用户能够访问的资源对应的应用，维护地属性用于表征访问用户能够访问的资源对应的维护地区。
60.在操作s204，根据用户类型、用户角色、应用属性和维护地属性确定访问用户的访问操作权限。
61.在本公开实施例中，执行权限管理依赖的数据需要包括机构信息、应用信息、维护地信息等。
62.机构信息例如可以包括机构类型和机构id。机构类型例如可以包括运维机构、应用开发机构和分支机构，其中，运维机构主要负责企业的运维工作，应用开发机构主要负责企业应用服务的开发工作，分支机构主要负责完成企业各项业务以及辅助运维机构进行运
维工作。由于不同类型机构的工作不一样，其不同类型机构赋予的权限也就不一样。机构id也即每一个机构的身份。
63.应用信息例如可以包括应用id、应用英文名、应用全称、应用开发部门id、应用开发人员id、应用维护部门id、运维人员id等等。根据这些信息可以授予不同访问用户对应的应用属性，通过该应用属性表征访问用户能够访问的资源对应的应用。
64.维护地信息例如可以包括能够对机构进行维护访问的地区名称。其中，同一个机构可以包括多个维护地点。根据这些维护地信息可以授予不同访问用户对应的维护地属性，通过维护地属性表征访问用户能够访问的资源所属的维护地区。
65.在本公开实施例中，可以通过表的形式存储获取的应用信息、维护地信息、机构信息以及根据机构信息确定的用户类型、用户角色等等。表1 为应用信息表，用于存储应用信息，表2为用户表，用于存储用户类型、用户角色、机构id等信息的对应关系，表2为机构地点关系表，用于存储分支机构id与维护地点的对应关系。例如可以如下：
66.表1
[0067][0068]
表2
[0069]
用户id用户名称用户角色用户类型机构id260000221李三好机构管理员分支0017700000
[0070]
表3
[0071]
机构id维护地点0017700000安徽0017700000南京
[0072]
基于获取用户类型、用户角色、应用属性和维护地属性等信息，便可以实现对访问用户的权限管理。
[0073]
根据本公开实施例提供的权限管理方法，通过角色结合用户类型和访问资源属性(应用属性和维护地属性)，以使得不同机构的访问用户可以根据不同的资源属性确定访问权限，相比于现有技术仅仅基于单一角色管理权限的方式，能够灵活精细的进行权限管理。并且，由于权限管理引入了访问资源属性，不同的分支机构能够设置相同角色，相比于现有技术每增加一个机构都需要添加新的角色，在机构数量扩展时无需创建大量角色，解决了随着管理机构的扩展，角色会迅速增加，管理复杂度和使用成本会急剧上升的技术问题。
[0074]
下面结合附图，基于上述获取的信息对本公开实施例图2提供的权限管理方法进行进一步说明。
[0075]
图3示意性示出了根据本公开实施例的用户类型和用户角色确定方法的流程图。
[0076]
如图3所示，该用户类型和用户角色确定方法例如可以包括操作 s301～操作s304。
[0077]
在操作s301，获取访问用户对应的机构信息中的机构类型。
[0078]
在操作s302，响应于机构信息为分支机构，将分支机构的访问用户的用户类型设置为分支机构用户，用户角色设置为分支机构管理员。
[0079]
在操作s303，响应于机构信息为运维机构，将运维机构的访问用户的用户类型设置为数据中心用户，用户角色设置为机构管理员。
[0080]
在操作s304，响应于机构信息为应用开发机构，将应用开发机构的访问用户的用户类型设置为开发中心用户，用户角色设置为访客。
[0081]
根据本公开实施例，基于机构信息，便可以为每一机构信息包括的访问用户设置对应的用户类型和用户角色，以用于后续的权限管理。
[0082]
图4示意性示出了根据本公开实施例的应用属性和维护地属性获取方法的流程图。
[0083]
如图4所示，应用属性和维护地属性获取过程也可以称作对访问用户进行授权，该授权过程例如可以包括操作s401～操作s406。
[0084]
在操作s401，确定当前访问用户是否为分支机构用户。
[0085]
可以通过用户id查找用户表中是否有对应用户，若存在，表明当前访问用户为分支机构用户，则执行操作s402，若不存在，表明当前访问用户不是分支机构用户，则执行操作s403。
[0086]
在操作s402，按当前访问用户对应的机构id在机构地点关系表中查找可维护地区授予用户维护地属性。
[0087]
维护地属性表明该访问用户能够对该维护地区对应的资源进行访问。
[0088]
在操作s403，确定当前访问用户是否为数据中心用户。
[0089]
可以通过用户id查找应用信息表“运维人员id”列，如果有匹配记录，表明当前访问用户为数据中心用户，则执行操作s404，如果没有匹配记录，表明当前访问用户不是数据中心用户，则执行操作s405。
[0090]
在操作s404，根据用户id在应用信息表匹配到的应用授予用户应用属性。
[0091]
应用属性表明该访问用户能够对匹配到的应用具备访问操作权限。
[0092]
在操作s405，确定当前访问用户是否为开发中心用户。
[0093]
可以通过用户id查找应用信息表“应用开发人员id”列，如果有匹配记录，表明当前访问用户为开发中心用户，则执行操作s404，如果没有匹配记录，表明当前访问用户不是开发中心用户，则执行操作s406。
[0094]
在操作s406，将访问用户设置为无访问操作权限。
[0095]
由此，结合上述信息表，可以有序准确地对更访问用户进行手段，进而可以保证后续的验权管理。
[0096]
应当理解，上述操作s401～操作s406执行的先后顺序是示例性的，并不用于限制本公开是，只需保证对当前访问用户进行不用用户类型的判断即可。
[0097]
根据本公开实施例，根据用户类型、用户角色、应用属性和维护地属性确定访问用户的访问操作权限的过程也可以称作用户实际访问过程中的验权过程，验权例如可以包括资源查看权限验证、资源操作权限验证、菜单权限验证以及用户管理权限验证。下面结合具体实施例进行详细说明。
[0098]
图5示意性示出了根据本公开实施例的资源查看权限验证的方法流程图。
[0099]
如图5所示，该资源查看权限验证方法例如可以包括操作s501～操作 s503。
[0100]
在操作s501，确定当前访问用户的用户类型。
[0101]
用户类型包括开发中心用户、数据中心用户、分支机构用户。
[0102]
在操作s502，响应于访问用户为开发中心用户或数据中心用户，根据开发中心用户或数据中心用户的应用属性开发中心用户或数据中心用户的查看应用属性对应的资源。
[0103]
对于开发中心用户或数据中心用户，仅当其当前访问的资源包含在该开发中心用户或数据中心用户的应用属性所包含的应用时，该开发中心用户或数据中心用户才能查看该访问资源。
[0104]
在操作s503，响应于访问用户为分支机构用户，根据分支机构用户的维护地属性允许分支机构用户查看维护地属性包含的维护地区对应的资源。
[0105]
对分支机构用户，仅当其当前访问的资源包含在分支机构用户的维护地属性包含的维护地区内时，该分支机构用户才能查看该访问资源。
[0106]
图6示意性示出了根据本公开实施例的资源操作权限验证的方法流程图。
[0107]
如图6所示，该资源操作权限验证方法例如可以包括操作s601～操作 s604。
[0108]
在操作s601，确定当前访问用户的用户类型。
[0109]
用户类型包括开发中心用户、数据中心用户、分支机构用户。
[0110]
在操作s602，响应于访问用户为开发中心用户，确定开发中心用户无增加、删除或修改访问资源的权限。
[0111]
对于开发中心用户，其不具备对访问资源进行增加、删除或修改的权限。
[0112]
在操作s603，响应于访问用户为数据中心用户，允许数据中心用户对数据中心用户的应用属性对应的资源进行增加、删除或修改。
[0113]
对于数据中心用户，仅当其当前访问的资源包含在该数据中心用户的应用属性所包含的应用时，该数据中心用户才能增加、删除或修改该访问资源。
[0114]
在操作s604，响应于访问用户为分支机构用户，允许分支机构用户对分支机构用户的维护地属性包含的维护地区对应的资源进行增加、删除或修改。
[0115]
对分支机构用户，仅当其当前访问的资源包含在分支机构用户的维护地属性包含的维护地区内时，该分支机构用户才能增加、删除或修改该访问资源。
[0116]
图7示意性示出了根据本公开实施例的菜单权限验证的方法流程图。
[0117]
如图7所示，该菜单权限验证方法例如可以包括操作s701。
[0118]
在操作s701，根据访问用户的用户角色确定访问用户访问菜单的权限。
[0119]
对于用户角色为机构管理员或分支机构管理员不具备系统管理菜单权限，而对于用户角色为访客的访问用户，其不具备用户角色为机构管理员和分支机构管理员访问用户访问的菜单权限。
[0120]
图8示意性示出了根据本公开实施例的用户管理权限验证的方法流程图。
[0121]
如图8所示，该用户管理权限验证方法例如可以包括操作s801。
[0122]
在操作s801，根据访问用户的用户角色和用户类型确定用户管理权限。
[0123]
对于用户角色为机构管理员的访问用户，其具备查看、修改、增加及删除与用户角色为机构管理员的访问用户的用户类型相同且角色权限小于等于用户角色为机构管理员的访问用户的权限，具备查看与用户角色为机构管理员的访问用户的用户类型相同且角色
权限小于等于用户角色为机构管理员的访问用户的权限，也即机构管理员只能查看用户类型相同且角色权限小于等于当前用户的用户，只能修改、增加及删除用户类型相同且角色权限小于当前用户的用户。
[0124]
对于用户角色为分支机构管理员的访问用户，其具备修改、增加及删除维护地区包含于用户角色为分支机构管理员的访问用户对应的维护地区的访问用户，也即，分支机构管理员修改、增加及删除的用户维护地区必须包含在当前用户维护地属性包含的维护地区中。
[0125]
根据本公开实施例，利用用户角色控制菜单的访问，利用访问资源属性进行资源查看和操作的权限管理，利用用户角色和用户类型进行用户管理，不同权限管理依据不同，进而能够灵活精细的进行权限管理。
[0126]
图9示意性示出了根据本公开另一实施例的权限管理方法的流程图。
[0127]
如图9所示，该权限管理方法例如可以包括操作s901～操作s903。
[0128]
在操作s901，对于每一分支机构，从该分支机构确定一名访问用户作为该分支机构的分支机构管理员。
[0129]
在操作s902，通过分支机构管理员为该分支机的每一访问用户分配访问操作权限。
[0130]
在本公开实施例中，虽然企业内各分支机构层级及管理机制各不相同，但同一分支机构层级和管理机制，向各机构收集一名人员作为分支机构管理员，存入用户表，后续该机构其余人员权限可由该用户分配。每一访问用户的访问操作权限小于等于分支机构管理员的访问操作权限。
[0131]
根据本公开实施例，通过为每一分支机构设置分支机构管理员，通过该分支机构管理员管理该分支机构的权限，使得权限管理的扩展性高且维护成本低。
[0132]
图10示意性示出了根据本公开又一实施例的权限管理方法的流程图。
[0133]
如图10所示，该权限管理方法例如可以包括操作s1001～s1002。
[0134]
在操作s1001，确定访问用户对应的应用属性和维护地属性是否发生修改。
[0135]
在访问用户的对应的应用属性和维护地属性发生修改的情况下，执行操作s1002。
[0136]
在操作1002，重复执行根据所述用户类型、用户角色、应用属性和维护地属性确定访问用户的访问操作权限的操作。
[0137]
在本公开实施例中，当用户调整资源的所属应用、维护地区等应用的权限属性时，在修改前、修改后会进行两次或两次以上的验权操作，确保资源所有调整在用户权限范围内。
[0138]
图11示意性示出了根据本公开又一实施例的权限管理方法的流程图。
[0139]
如图11所示，该权限管理方法例如可以包括操作s1101。
[0140]
在操作s1101，响应于访问用户的用户角色为系统管理员，确定系统管理员无访问操作权限限制。
[0141]
在本公开实施例中，对用户角色为系统管理员的用户，授予无限权限，也即用户角色为系统管理员的用户对于菜单权限、资源查看权限、资源操作权限用户管理权限均无限制。系统管理员的用户类型可以默认为数据中心用户，其对应的用户信息可以存储于用户表中，即用户表实际存储分支机构管理员和系统管理员两类用户的信息。
[0142]
图12示意性示出了根据本公开又一实施例的权限管理方法的流程图。
[0143]
如图12所示，该权限管理方法例如可以包括操作s1201、操作s201 至操作s204。
[0144]
在操作s1201，对访问用户进行身份认证。
[0145]
一般情况下，企业的所有人员都有一个通行证账号，可以基于通行证账号，通过统一的认证系统对访问用户进行身份认证，各系统访问资源时首先会跳转至该认证系统认证，若认证通过，认证系统户返回用户id、用户名称及所属机构id等信息给访问用户，如表4所示：
[0146]
表4
[0147]
用户id用户名称所属机构id260000220张三0018200000
[0148]
对于认证通过的用户才继续进行后续的权限管理，否则直接认定为无任何权限。
[0149]
例如，在某些特殊情况下，企业系统可能会遭受外部攻击，即非企业人员可能会伪装成类似企业人员的身份进行资源访问操作。以获得他们想要的信息，如果不加入身份认证的过程，基于图2所示的权限管理方法，通过授权或验权操作，也可以识别出该用户没有访问对应资源的权限，但是在一定程度上消耗多余的资源。而加入身份认证这一过程，在起始阶段通过认证系统就可以识别出该非企业人员的身份存在问题，直接认定该非企业人员无任何访问权限，无需后续授权或验权操作，在一定程度上节省权限管理资源。
[0150]
由此，基于身份认证的方式，能够将非企业人员的访问限制在权限管理的起始阶段，以避免非企业人员的访问还需要经过后续的权限管理操作，节省权限管理资源。
[0151]
综上所述，本公开实施例提供的权限管理方法，通过角色结合用户类型和访问资源属性，以使得不同机构的访问用户可以根据不同的资源属性确定访问权限，能够灵活精细的进行权限管理。并且，由于权限管理引入了访问资源属性，不同的分支机构能够设置相同角色，在机构数量扩展时无需创建大量角色，降低了管理复杂度和使用成本。进一步地，利用用户角色控制菜单的访问，利用访问资源属性进行资源查看和操作的权限管理，利用用户角色和用户类型进行用户管理，不同权限管理依据不同，能够进一步灵活精细的进行权限管理。此外，通过该分支机构管理员管理该分支机构的权限，使得权限管理的扩展性高且维护成本低，同时，在机构类型扩展时可以增加属性管理，而不影响原始管控流程，具有侵入性低优点。
[0152]
图13示意性示出了根据本公开实施例的权限管理装置的框图。
[0153]
如图13所示，权限管理装置1300可以包括获取模块1310、设置模块 1320、第一确定模块1330及第二确定模块1340。
[0154]
获取模块1310，用于获取访问用户的机构信息，机构信息包括分支机构、运维机构和应用开发机构。
[0155]
设置模块1320，用于根据机构信息设置访问用户的用户类型和用户角色，其中，不同分支机构设置的用户角色相同。
[0156]
第一确定模块1330，用于确定访问用户对应的应用属性和维护地属性，其中，应用属性用于表征访问用户能够访问的资源对应的应用，维护地属性用于表征访问用户能够访问的资源对应的维护地区。
[0157]
第二确定模块1340，用于根据用户类型、用户角色、应用属性和维护地属性确定访
问用户的访问操作权限。
[0158]
图14示意性示出了根据本公开一实施例的设置模块1320的框图。
[0159]
如图14所示，设置模块1320例如可以包括第一获取单元1321、第一设置单元1322、第二设置单元1323和第三设置单元1324。
[0160]
第一获取单元1321，用于获取访问用户对应的机构信息中的机构类型。
[0161]
第一设置单元1322，用于响应于机构信息为分支机构，将分支机构的访问用户的用户类型设置为分支机构用户，用户角色设置为分支机构管理员。
[0162]
第二设置单元1323，用于响应于机构信息为运维机构，将运维机构的访问用户的用户类型设置为数据中心用户，用户角色设置为机构管理员。
[0163]
第三设置单元1324，用于响应于机构信息为应用开发机构，将应用开发机构的访问用户的用户类型设置为开发中心用户，用户角色设置为访客。
[0164]
图15示意性示出了根据本公开实施例的第一确定模块1330的框图。
[0165]
如图15所示，第一确定模块1330例如可以包括第一确定单元1331、第一授予单元1332、第二确定单元1333、第二授予单元1334、第三确定单元1335及第四设置单元1336。
[0166]
第一确定单元1331，用于确定当前访问用户是否为分支机构用户。
[0167]
第一授予单元1332，用于在当前访问用户为分支机构用户的情况下，按当前访问用户对应的机构id在机构地点关系表中查找可维护地区授予用户维护地属性。
[0168]
第二确定单元1333，用于在当前访问用户不是分支机构用户的情况下，确定当前访问用户是否为数据中心用户。
[0169]
第二授予单元1334，用于在当前访问用户为数据中心用户或开发中心用户的情况下，根据用户id在应用信息表匹配到的应用授予用户应用属性。
[0170]
第三确定单元1335，用于确定当前访问用户是否为开发中心用户。
[0171]
第四设置单元1336，用于在当前访问用户不是分支机构用户、数据中心用户以及开发中心用户的情况下，将访问用户设置为无访问操作权限。
[0172]
图16示意性示出了根据本公开一实施例的第二确定模块1340的框图。
[0173]
如图16所示，第二确定模块1340例如可以包括第四确定单元1341、第一响应单元1342及第二响应单元1343。
[0174]
第四确定单元1341，用于确定当前访问用户的用户类型。
[0175]
第一响应单元1342，用于响应于访问用户为开发中心用户或数据中心用户，根据开发中心用户或数据中心用户的应用属性开发中心用户或数据中心用户的查看应用属性对应的资源。
[0176]
第二响应单元1343，用于响应于访问用户为分支机构用户，根据分支机构用户的维护地属性允许分支机构用户查看维护地属性包含的维护地区对应的资源。
[0177]
图17示意性示出了根据本公开另一实施例的第二确定模块1340的框图。
[0178]
如图17所示，第二确定模块1340例如可以包括第四确定单元1341、第三响应单元1344、第四响应单元1345及第五响应单元1346。
[0179]
第四确定单元1341，用于确定当前访问用户的用户类型。
[0180]
第三响应单元1344，用于响应于访问用户为开发中心用户，确定开发中心用户无增加、删除或修改访问资源的权限。
[0181]
第四响应单元1345，用于响应于访问用户为数据中心用户，允许数据中心用户对数据中心用户的应用属性对应的资源进行增加、删除或修改。
[0182]
第五响应单元1346，用于响应于访问用户为分支机构用户，允许分支机构用户对分支机构用户的维护地属性包含的维护地区对应的资源进行增加、删除或修改。
[0183]
图18示意性示出了根据本公开又一实施例的第二确定模块1340的框图。
[0184]
如图18所示，第二确定模块1340例如还可以包括第五确定单元1347 和第六确定单元1348。
[0185]
第五确定单元1347，用于根据访问用户的用户角色确定访问用户访问菜单的权限。
[0186]
第六确定单元1348，用于根据访问用户的用户角色和用户类型确定用户管理权限。
[0187]
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列 (fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
[0188]
例如，获取模块1310、设置模块1320、第一确定模块1330及第二确定模块1340中的任意多个可以合并在一个模块/单元/子单元中实现，或者其中的任意一个模块/单元/子单元可以被拆分成多个模块/单元/子单元。或者，这些模块/单元/子单元中的一个或多个模块/单元/子单元的至少部分功能可以与其他模块/单元/子单元的至少部分功能相结合，并在一个模块/单元/子单元中实现。根据本公开的实施例，获取模块1310、设置模块1320、第一确定模块1330及第二确定模块1340中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，获取模块1310、设置模块1320、第一确定模块1330及第二确定模块1340中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
[0189]
需要说明的是，本公开的实施例中权限管理装置部分与本公开的实施例中权限管理方法部分是相对应的，其具体实施细节及带来的技术效果也是相同的，在此不再赘述。
[0190]
图19示意性示出了根据本公开实施例的适于实现上文描述的方法的电子设备的框图。图19示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
[0191]
如图19所示，根据本公开实施例的电子设备1900包括处理器1901，其可以根据存储在只读存储器(rom)1902中的程序或者从存储部分1908 加载到随机访问存储器(ram)
1903中的程序而执行各种适当的动作和处理。处理器1901例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))，等等。处理器1901还可以包括用于缓存用途的板载存储器。处理器1901 可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
[0192]
在ram 1903中，存储有电子设备1900操作所需的各种程序和数据。处理器1901、rom 1902以及ram1903通过总线1904彼此相连。处理器1901通过执行rom 1902和/或ram1903中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除rom1902和ram 1903以外的一个或多个存储器中。处理器1901也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
[0193]
根据本公开的实施例，电子设备1900还可以包括输入/输出(i/o)接口1905，输入/输出(i/o)接口1905也连接至总线1904。电子设备1900 还可以包括连接至i/o接口1905的以下部件中的一项或多项：包括键盘、鼠标等的输入部分1906；包括诸如阴极射线管(crt)、液晶显示器(lcd) 等以及扬声器等的输出部分1907；包括硬盘等的存储部分1908；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分1909。通信部分 1909经由诸如因特网的网络执行通信处理。驱动器1910也根据需要连接至i/o接口1905。可拆卸介质1911，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1910上，以便于从其上读出的计算机程序根据需要被安装入存储部分1908。
[0194]
根据本公开的实施例，根据本公开实施例的方法流程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分1909从网络上被下载和安装，和/或从可拆卸介质1911被安装。在该计算机程序被处理器1901执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
[0195]
本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。
[0196]
根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质。例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器 (eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0197]
例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的rom1902和/或ram 1903和/或rom 1902和ram 1903以外的一个或多个存储器。
[0198]
附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代
表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。