用户权限管控方法、装置、设备及介质与流程

1.本发明实施例涉及权限管理技术领域，尤其涉及一种用户权限管控方法、装置、设备及介质。


背景技术：

2.在基于角色的访问控制权限(role-based access control，rbac)中，权限与角色相关联，用户可以通过成为适当角色的成员而得到这些角色的权限。图1为现有技术中rbac权限模型示意图，从图1可以看出，传统rbac权限模型仅涉及到角色这一概念，直接为角色赋予权限，然而当企业中人员扩增时，管理员需要花费大量的精力和时间为新员工分配权限，且大量数据的堆积很容易造成权限分配的混乱，维护成本较高，可扩展性差，且对于用户多身份的权限配置以及后续的维护造成一定的影响。


技术实现要素：

3.有鉴于此，本发明提供一种用户权限管控方法、装置、设备及介质，使得权限配置简单且清晰且不会造成数据的紊乱，实现快速为用户批量授权和撤权，也使得用户多身份权限配置及后期维护更加便捷。
4.第一方面，本发明实施例提供了一种用户权限管控方法，该方法包括：
5.响应于目标用户的访问请求，确定所述目标用户所属的被授权主体；
6.根据所述被授权主体确定所述目标用户的访问权限；
7.按照所述访问权限管控所述目标用户对目标业务系统中系统资源的访问操作。
8.第二方面，本发明实施例还提供了一种用户权限管控装置，该装置包括：
9.第一确定模块，用于响应于目标用户的访问请求，确定所述目标用户所属的被授权主体；
10.第二确定模块，用于根据所述被授权主体确定所述目标用户的访问权限；
11.管控模块，用于按照所述访问权限管控所述目标用户对目标业务系统中系统资源的访问操作。
12.第三方面，本发明实施例还提供了一种电子设备，该设备包括：
13.至少一个处理器；以及
14.与所述至少一个处理器通信连接的存储器；其中，
15.所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行如第一方面所述的用户权限管控方法。
16.第四方面，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现如第一方面所述的用户权限管控方法。
17.本发明实施例的上述技术方案，通过响应于目标用户的访问请求，确定目标用户
所属的被授权主体；根据被授权主体确定目标用户的访问权限；按照访问权限管控目标用户对目标业务系统中系统资源的访问操作。本发明实施例，根据被授权主体确定所述目标用户的访问权限；按照访问权限管控目标用户对目标业务系统中系统资源的访问操作，简化了用户和权限的关系，节约了大量的时间和精力，使得权限配置简单且清晰且不会造成数据的紊乱，实现快速为用户批量授权、撤权，同时也使得用户多身份权限配置及后期维护更加便捷。
附图说明
18.图1为现有技术中rbac权限模型示意图；
19.图2是本发明实施例提供的一种用户权限管控方法的流程图；
20.图3是本发明实施例提供的又一种用户权限管控方法的流程图；
21.图4是本发明实施例提供的一种用户、被授权主体和访问权限之间的关系配置示意图；
22.图5是本发明实施例提供的一种系统操作流程示意图；
23.图6是本发明实施例提供的一种创建资源界面的示意图；
24.图7是本发明实施例提供的一种角色配置界面的示意图；
25.图8是本发明实施例提供的一种管理组织机构界面示意图；
26.图9是本发明实施例提供的一种添加成员界面的示意图；
27.图10是本发明实施例提供的一种用户组配置界面的示意图；
28.图11是本发明实施例提供的一种配置授权策略界面的示意图；
29.图12是本发明实施例提供的一种用户权限管控装置的结构框图；
30.图13是本发明实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
31.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。
32.传统的身份和访问管理(identity access management，iam)通常负责用户需要访问的各种系统中的身份生命周期管理，包括入职、离职、角色变更等。但是，尽管iam解决方案已经在市场上销售了三十多年，但它仍然被公认是极其复杂，并且非常耗时和耗费资源。除此之外，组织的数据和身份也在不断扩大，许多组织正在考虑或已经将其数据扩展到云端。曾经由组织的内部措施所控制和保护的内容，现在已经呈现分布式扩散，所以对它们的访问控制也随之分布式扩散，许多组织还需要支持分布式身份，员工可以从任何地方、办公室、家庭或移动设备访问组织系统。公司兼并、外部承包商，扩大了这些系统需要支持的身份来源。可知，传统iam权限控制不仅耗时耗资源，而且难以支持用户/业务激增，更难保证数据安全性问题。
33.越来越多的公司发现，他们不仅需要管理内部员工权限，还需要管理合作伙伴、分公司以及顾客的身份权限。由于传统iam旨在方便员工访问内部系统，因此它无法提供有关用户身份的见解。当合作伙伴或客户需要公司内部账号权限时，传统iam通常会直接给对方
账号密码，这种方式让公司难以有效管理用户权限，如果对方员工离职时随意交接凭证，那么公司便无从得知账号身份，甚至盗用都无从知晓。
34.有鉴于此，本发明实施例中提供了一种用户权限管控方法，节约了大量的时间和精力，简化了用户和权限的关系，使得权限配置简单且清晰且不会造成数据的紊乱，保证了数据安全性，实现快速为用户批量授权、撤权，同时也使得用户多身份权限配置及后期维护更加便捷。
35.在一实施例中，图2是本发明实施例提供的一种用户权限管控方法的流程图，本实施例可适用于对用户的权限进行管控时的情况。本实施例可以由电子设备执行。其中，电子设备可以为计算机。如图2所示，本实施例可以包括如下步骤：
36.s210、响应于目标用户的访问请求，确定目标用户所属的被授权主体。
37.其中，目标用户可以理解为对业务系统进行访问的用户。被授权主体也可以称为被授权的对象。
38.在实施例中，被授权主体类型包括下述之一：角色；用户；用户组；组织机构。可以理解为，被授权主体可以所属单个用户，例如可以是
××
用户；也可以所属一个角色，例如可以是客服专员、流程专员以及市场专员等；也可以所属一个用户组，用户组可以理解为临时创建的用户组，例如可以是项目1组，或者项目2组等，示例性的，当有第三方人员需要进入某个公司并需要获得该公司中一定系统资源的访问权限时，该公司可以临时为第三方人员创建一个用户组，并为该用户组设定一定的访问权限；也可以所属一个组织机构，也可以称为组织部门，比如，可以属于一个部门1，或者部门2等，需要说明的是，组织机构中的各部门人员为某个公司的正式员工，是一个固定组织机构，享有该组织机构中的相关访问权限。
39.在一实施例中，被授权主体类型至少包括下述之一：角色；用户；用户组；组织机构。
40.在本实施例中，被授权主体类型至少包括下述之一：角色；用户；用户组；组织机构。。需要说明的是，在目标用户的被授权主体类型为单个用户的情况下，可以理解为目标用户为一个特权用户。用户组可以为用户临时所在的群组，组织机构可以称为组织部门，例如可以为管理咨询部、财务部、行政部等，可以对组织机构的人员进行添加、删除以及相关权限访问的操作。
41.在本实施例中，可以对角色、用户、用户组以及组织机构进行相应的配置。示例性的，对角色进行相应的配置时，可以配置相关的角色信息，例如可以是，配置角色身份标识(identity document，id)以及配置相关角色描述等，还可以包括已授权用户的相关信息，例如可以是用户的手机号，登陆相关次数等等。在对用户组进行相应的配置，可以配置包含用户组的基本信息，例如可以是分组名称、分组标志以及对分组的描述，还可以配置包含分组成员信息，例如可以是用户的基本信息，手机号，邮箱等。
42.在本实施例中，在接收到目标用户的访问请求的情况下，确定目标用户的被授权主体。具体的，可以获取目标用户的相关信息，例如可以是目标用户的所在群组、所属部门等，以根据目标用户的相关信息确定目标用户所属的被授权主体。
43.s220、根据被授权主体确定目标用户的访问权限。
44.其中，访问权限可以理解为根据在各种预定义的组中，用户的身份标识及其成员身份来限制访问某些信息项或某些控制的机制。访问权限通常由系统管理员用来限制用户
访问网络或系统资源，例如可以是服务器、目录和文件等的访问，并且通常通过向用户和组授予访问特定对象的权限来实现。
45.在本实施例中，在确定目标用户所属的被授权主体之后，可以根据被授权主体以确定目标用户的访问权限。具体的，每个被授权主体均有相对应的授权策略以进行相关访问。当然，不同的被授权主体，可以采用相同的授权策略，也可以采用不同的授权策略。需要说明的是，用户a与用户b同属于同一个被授权主题类型，例如可以是组织机构，则用户a与用户b所对应的授权策略可以是相同的，也可以是不同的。组织机构中角色的不同，其访问策略以及访问权限也是不同的，组织机构中角色级别越高，所对应的访问权限越高，相应的，角色级别越低，所对应的访问权限越低。示例性的，用户a、用户b与用户c同属于同一个组织机构，用户b与用户c属于同一级别，用户a的角色级别高于用户b与用户c的角色级别，则用户a的访问权限高于用户b与用户c，而用户b与用户c的访问权限相同。
46.s230、按照访问权限管控目标用户对目标业务系统中系统资源的访问操作。
47.其中，目标业务系统可以理解为企业达成定位所需要的业务环节、各合作伙伴扮演的角色以及利益相关者合作与交易的方式和内容。需要说明的是，不同的目标用户所对应的目标业务系统可以是相同的，也可以是不同的。示例性的，用户所在部门相同，则所对应的目标业务系统是相同的；用户所在部门不同，所对应的目标业务系统是不同的。当然，不同的部门也会进行一定的划分，并根据划分结果对应不同的业务系统。
48.在本实施例中，系统资源可以理解为管理员需要权限管控的所有系统资源的内容，可以包括：应用、应用下的后端数据、应用下的应用程序编程接口(application programming interface，api)、应用下的前端菜单以及前端按钮等等，管理员可以按照访问权限以管控目标用户对目标业务系统中系统资源的相关访问操作。示例性的，可以对系统资源中应用的下载，也可以对系统资源中相关数据的下载、存储以及使用，本实施例在此不做限制。
49.在本实施例中，按照访问权限，可以对目标业务系统中系统资源的访问操作进行一定的管控。其中，访问操作可以为创建系统资源并对资源进行修改、进行角色的相关配置、对用户组进行配置以及相对应的授权方式等等。
50.本发明实施例的上述技术方案，通过响应于目标用户的访问请求，确定目标用户所属的被授权主体；根据被授权主体确定目标用户的访问权限；按照访问权限管控目标用户对目标业务系统中系统资源的访问操作。本发明实施例，根据被授权主体确定所述目标用户的访问权限；按照访问权限管控目标用户对目标业务系统中系统资源的访问操作，简化了用户和权限的关系，节约了大量的时间和精力，使得权限配置简单且清晰且不会造成数据的紊乱，实现快速为用户批量授权、撤权，同时也使得用户多身份权限配置及后期维护更加便捷。
51.在一实施例中，在响应于目标用户的访问请求之前，还包括：响应于目标用户的添加操作，预先对目标用户配置对应的授权策略。
52.其中，添加操作指的是将新的目标用户加入至一个公司的操作；授权策略可以理解为对目标用户所属的被授权主体与系统资源的访问关系。可以理解为，在目标用户添加至一个新的公司之后，为了便于对目标用户的访问权限进行管理，可以对目标用户配置对应的授权策略。对目标用户的授权策略的配置过程，可以理解为，对目标用户对业务系统中
系统资源的访问权限进行配置的过程。
53.在本实施例中，响应于目标用户的相关添加操作，可以预先对目标用户配置其相对应的授权策略。在实施例中，在完成目标用户的添加操作之后，可以对目标用户进行配置相应的授权策略。可以理解为，可以根据角色信息配置相对应的授权策略。示例性的，当新的用户加入至一个公司时，可以对该新用户进行添加新用户的相关操作，并根据该用户的角色信息，对该新用户配置相应的授权策略。例如，该用户的角色信息为a部门新员工时，可以将其添加入a部门中，并对其授权a所享有的访问权限。
54.在一实施例中，用户权限管控方法，还包括：
55.预先对目标业务系统中系统资源进行配置，其中，系统资源至少包括下述之一：后端数据、后端应用程序接口api、前端菜单和前端按钮。
56.其中，前端菜单可以理解为前端可视化界面。后端数据可以理解为后端用户可以访问的系统资源数据。前端按钮可以理解为管理员在前端可以进行相关操作的按钮，例如可以是进行系统资源重修改的按钮，也可以为进行添加新成员的按钮，还可以为确认将新成员添加至子公司a的按钮，本实施例在此不做限制。可以知道的是，在点击前端按钮之后，可以通过后端应用程序接口api将数据信息传输至后端服务器，形式后端数据，用户也可以通过后端应用程序接口api获取后端数据。
57.在本实施例中，可以预先对目标业务系统中系统资源进行相关的配置，也可以对目标业务系统中系统资源进行相关的修改，还可以对目标业务系统中系统资源进行新重建的相关操作，本实施例在此不做限制。其中，系统资源至少包括下述之一：后端数据、后端应用程序接口api、前端菜单和前端按钮。其中，目标业务系统中的系统资源指的是需要访问权限才可以进行访问的系统资源。在实际操作过程中，由于系统资源并非均是开源的，在对系统资源进行访问时，用户需要一定的访问权限才能够进行相关系统资源的访问。
58.需要说明的是，本实施对目标业务系统中系统资源进行配置时间不做限制，可以在响应于目标用户的访问请求之前，对系统资源进行配置、修改或重建；也可以在目标用户的访问请求之后，对系统资源进行配置、修改或重建。
59.在本实施例中，当需要对目标业务系统中系统资源进行重配置，即对之前配置进行修改时的操作时，可以对之前配置的资源名称进行一定的修改，对系统资源进行重新选择，并对资源信息进行一定的描述，以及系统资源进行配置时的操作类型等。
60.在一实施例中，图3是本发明实施例提供的又一种用户权限管控方法的流程图，本实施例在上述各实施例地基础上，对确定目标用户所属的被授权主体以及根据被授权主体确定目标用户的访问权限，进行了进一步细化。如图3所示，本实施例中的用户权限管控方法具体可以包含如下步骤：
61.s310、响应于目标用户的访问请求，获取目标用户的角色信息。
62.在本实施例中，响应于目标用户的访问请求，可以通过访问请求以得到目标用户的相关角色信息。其中，角色信息可以理解为目标用户的基本信息，可以包括角色规则、角色id、对角色的相关描述，例如可以是销售、财务等以及角色资源名称(amazon resource names，arn)。角色身份标识可以为表征目标用户身份的唯一标识。
63.s320、根据角色信息确定目标用户所属的被授权主体。
64.在本实施例中，得到目标用户的角色信息，可以根据目标用户的角色相关信息，以
确定目标用户所属的被授权主体。
65.s330、获取被授权主体对应的授权策略。
66.在本实施例中，每个被授权主体均有相对应的授权策略，授权策略表征了目标用户所属的被授权主体与系统资源的访问关系，可以根据对目标用户的授权策略进行相对应的系统资源的访问。示例性的，若目标用户的被授权主体为财务人员，则该目标用户可以访问财务部的系统资源，若目标用户为市场部专员，则该目标用户可以访问市场部的系统资源。
67.s340、根据授权策略确定目标用户的访问权限。
68.在本实施例中，在获取被授权主体对应的授权策略后，可以根据授权策略，以确定目标用户的访问权限。其中，授权策略可以包括被授权主体类型和至少一个授权规则，被授权主体类型可以为角色，可以为用户，还可以为用户组，本实施例在此不做限制。授权规则可以为授权的作用，也可以为授权相关操作，还可以为授权资源的访问等等，本实施例在此不做限制。
69.在一实施例中，授权策略包括：被授权主体类型和至少一个授权规则；授权规则包括：授权作用、授权资源、授权资源标识符和授权操作。
70.其中，授权作用可以为允许，也可以为拒绝；授权资源可以理解为对系统资源的授权，可以为所有资源，也可以为某部门的资源，本实施例在此不做限制。授权资源标识符可以理解为对资源的授权标识，针对所选取的资源均有相对应的授权资源标识符，示例性的，授权资源标识符可以“*”号，也可以为“ ”等等，本实施例在此不做限制。授权操作可以为选取所有操作，也可以为选取特定的操作。
71.在本实施例中，可以对授权策略进行相应的配置，可以配置被授权主体的类型，授权规则。授权策略包括被授权主体类型和至少一个授权规则；授权规则包括授权作用、授权资源、授权资源标识符和授权操作。其中，被授权主体类型至少包括下述之一：角色；用户；用户组；组织机构。
72.需要说明的是，不同被授权主体的类型所对应的的授权资源、授权作用、授权资源标识符以及授权操作均是不同的。示例性的，当被授权主体的类型为用户时，可以输入被授权主体的用户名、手机号或邮箱等以搜索用户，授权做可以为允许，相应的授权资源可以为所有资源，授权资源标识符为“*”号，授权操作为所有操作，此外，还可以添加相应的限制条件。
73.需要说明的是，不直接给角色授权策略，是为了之后的扩展性考虑。比如存在多个用户拥有相同的权限，在分配的时候就要分别为这几个用户指定相同的权限，修改时也要为这几个用户的权限进行一一修改。有了角色、单个用户(特权用户)、组织机构/部门、用户组后，只需要为该用户制定好授权主体后，给不同的主体可以灵活的分配不同的全权限，后续用户产生了变动，也可以灵活高效的处理授权关系。
74.s350、按照访问权限管控目标用户对目标业务系统中系统资源的访问操作。
75.本发明实施例的技术方案，通过响应于目标用户的添加操作，预先对目标用户配置对应的授权策略，响应于目标用户的访问请求，获取目标用户的角色信息，根据角色信息确定目标用户所属的被授权主体，获取被授权主体对应的授权策略，根据授权策略确定目标用户的访问权限，按照访问权限管控目标用户对目标业务系统中系统资源的访问操作。
本发明实施例，通过响应于目标用户的添加操作，预先对目标用户配置对应的授权策略，对业务系统进行了细粒度的权限划分，简化了用户和权限的关系，通过获取目标用户的角色信息，根据角色信息确定目标用户所属的被授权主体，获取被授权主体对应的授权策略，根据授权策略确定目标用户的访问权限，按照访问权限管控目标用户对目标业务系统中系统资源的访问操作，使得权限配置简单且清晰且不会造成数据的紊乱，进一步实现快速为用户批量授权、撤权，同时也使得用户多身份权限配置及后期维护更加便捷。
76.在一实施例中，图4是本发明实施例提供的一种用户、被授权主体和访问权限之间的关系配置示意图。本实施例是在上述实施例的基础上，作为一个优选实施例，对用户、被授权主体和访问权限之间的关系配置进行说明，该方法的步骤为：
77.a1、用户进行访问请求。
78.a2、根据用户的访问请求，确定用户所属的被授权主体及其类型，其中，被授权主体类型包括：角色、用户、用户组以及组织机构/部门。
79.a3、根据被授权主体类型，以确定用户的访问权限，并按照访问权限进行管控该用户对业务系统中系统资源的相关访问操作。
80.在本实施例中，用户可以配置多个被授权主体类型，也可以仅配置1个被授权主体的类型，不同的被授权主体类型，其访问权限也是不相同的。示例性的，当用户的被授权主体类型属于用户组时，其享有用户组的相关系统资源的访问权限；当用户的被授权主体类型属于角色时，其享有角色的相关系统资源的访问权限；当用户的被授权主体类型属于组织机构/部门时，其享有组织机构/部门的相关系统资源的访问权限；当用户的被授权主体类型同时属于组织机构/部门和角色时，其享有组织机构/部门和角色的相关系统资源的访问权限。
81.在一实施例中，以对目标用户的被授权主体同时属于角色、部门机构和用户组这三种被授权主体类型为例，对用户权限的管控过程进行说明。示例性地，在分配角色之前，对资源进行创建。图5是本发明实施例提供的一种系统操作流程示意图，该系统操作流程具体如下：
82.s510、创建资源，对应业务系统的后端数据/api或前端菜单/按钮。
83.在本实施例中，对于可以对系统资源进行创建，也可以对系统资源进行修改，还可以对系统资源进行重配置，本实施例以对资源进行创建为例进行说明。
84.在本实施例中，图6是本发明实施例提供的一种创建资源界面的示意图，如图6所示，创建资源界面包括：资源名称、与资源相关的数据，资源描述，操作类型可以为salary_management:edit，对创建资源的描述。示例性的，资源名称可以为salary_management；与资源相关的资源数据可以为数据、api、菜单以及按钮；资源描述可以为薪酬管理；操作类型可以为salary_management:edit；描述可以是编辑等。
85.s520、角色配置，为某用户分配某角色。
86.在本实施例中，图7是本发明实施例提供的一种角色配置界面的示意图，如图7所示，角色配置界面包括：角色配置的基本信息，例如可以是角色code，角色id，对角色的描述，角色arn以及已授权用户的用户信息，例如可以是手机号，邮箱，登录信息，登录次数以及相关进行的操作。
87.s530、管理组织机构下的员工。
88.在本实施例中，图8是本发明实施例提供的一种管理组织机构界面示意图，如图8所示，管理组织机构可以对员工进行添加成员，移除成员记忆新建子公司，新建部门等。当需要添加成员是，点击添加成员，就可以实现新员工的添加，示例性的，图9是本发明实施例提供的一种添加成员界面的示意图，从图9中可以看出，可以将该员工添加到想要添加的部门或子公司中。
89.s540、用户组配置。
90.在本实施例中，图10是本发明实施例提供的一种用户组配置界面的示意图，如图10所示，用户组配置界面包括：用户组配置的基本信息，例如可以是用户组分组名称，分组的唯一标志，对用户组分组的描述，用户组中分组的成员以及分组成员的相关用户信息，例如可以是手机号，邮箱，登录信息，登录次数以及相关进行的操作。
91.s550、配置授权策略。
92.在本实施例中，图11是本发明实施例提供的一种配置授权策略界面的示意图，如图11所示，配置授权策略界面包括：被授权主体的类型，比如可以是用户，角色，分组，组织机构；被授权主体可以通过用户名，手机或邮箱搜索用户，授权规则的添加，授权作用，例如可以是允许或拒绝，资源，资源标识符，操作，例如可以是，所有操作，特定操作，限制条件的添加等。
93.在本实施例中，不直接给角色授权策略，是为了之后的扩展性考虑。比如存在多个用户拥有相同的权限，在分配的时候就要分别为这几个用户指定相同的权限，修改时也要为这几个用户的权限进行一一修改。有了角色、单个用户(特权用户)、组织机构/部门、用户组后，我们只需要为该用户制定好授权主体后，给不同的主体可以灵活的分配不同的全权限，后续用户产生了变动，也可以灵活高效的处理授权关系。
94.在一实施例中，图12是本发明实施例提供的一种用户权限管控装置的结构框图，该装置适用于对用户的权限进行管控时的情况，该装置可以由硬件/软件实现。可配置于服务器中来实现本发明实施例中的一种用户权限管控方法。如图12所示，该装置包括：第一确定模块1210、第二确定模块1220和管控模块1230。
95.其中，第一确定模块12110，用于响应于目标用户的访问请求，确定所述目标用户所属的被授权主体；
96.第二确定模块1220，用于根据所述被授权主体确定所述目标用户的访问权限；
97.管控模块1230，用于按照所述访问权限管控所述目标用户对目标业务系统中系统资源的访问操作。
98.本发明实施例的上述技术方案，第一确定模块通过响应于目标用户的访问请求，确定目标用户所属的被授权主体；第二确定模块根据被授权主体确定目标用户的访问权限；管控模块按照访问权限管控目标用户对目标业务系统中系统资源的访问操作。本发明实施例，根据被授权主体确定所述目标用户的访问权限；按照访问权限管控目标用户对目标业务系统中系统资源的访问操作，简化了用户和权限的关系，节约了大量的时间和精力，使得权限配置简单且清晰且不会造成数据的紊乱，实现快速为用户批量授权、撤权，同时也使得用户多身份权限配置及后期维护更加便捷。
99.在一实施例中，所述用户权限管控装置，还包括：
100.策略配置模块，用于在所述响应于目标用户的访问请求之前，响应于目标用户的
添加操作，预先对所述目标用户配置对应的授权策略。
101.在一实施例中，所述用户权限管控装置，还包括：
102.资源配置模块，用于预先对目标业务系统中系统资源进行配置，其中，所述系统资源至少包括下述之一：后端数据、后端应用程序接口api、前端菜单和前端按钮。
103.在一实施例中，第一确定模块1210，包括：
104.信息获取单元，用于获取所述目标用户的角色信息；
105.主体确定单元，用于根据所述角色信息确定所述目标用户所属的被授权主体。
106.在一实施例中，第二确定模块1220，包括：
107.策略获取单元，用于获取所述被授权主体对应的授权策略；
108.权限确定单元，用于根据所述授权策略确定所述目标用户的访问权限。
109.在一实施例中，所述授权策略包括：被授权主体类型和至少一个授权规则；
110.在一实施例中，所述授权规则包括：授权作用、授权资源、授权资源标识符和授权操作。
111.上述用户权限管控装置可执行本发明任意实施例所提供的用户权限管控方法，具备执行用户权限管控方法相应的功能模块和有益效果。
112.在一实施例中，图13是本发明实施例提供的一种电子设备的硬件结构示意图。本发明实施例中的设备以计算机为例进行说明。如图13所示，本发明实施例提供的电子设备，包括：处理器1310、存储器1320、输入装置1330和输出装置1340。该电子设备中的处理器1310可以是一个或多个，图13中以一个处理器1310为例，电子设备中的处理器1310、存储器1320、输入装置1330和输出装置1340可以通过总线或其他方式连接，图13中以通过总线连接为例。
113.该电子设备中的存储器1320作为一种计算机可读存储介质，可用于存储一个或多个程序，程序可以是软件程序、计算机可执行程序以及模块，如本发明实施例或所提供用户权限管控方法对应的程序指令/模块(例如，图12所示的用户权限管控装置中的模块，包括：第一确定模块1210、第二确定模块1220和管控模块1230)。处理器1310通过运行存储在存储器1320中的软件程序、指令以及模块，从而执行云端服务器的各种功能应用以及数据处理，即实现上述方法实施例中用户权限管控方法。
114.存储器1320可包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据设备的使用所创建的数据等。此外，存储器1320可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储器1320可进一步包括相对于处理器1310远程设置的存储器，这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
115.输入装置1330可用于接收用户输入的数字或字符信息，以产生与终端设备的用户设置以及功能控制有关的键信号输入。输出装置1340可包括显示屏等显示设备。
116.并且，当上述电子设备所包括一个或者多个程序被一个或者多个处理器1310执行时，程序进行如下操作：响应于目标用户的访问请求，确定所述目标用户所属的被授权主体；根据所述被授权主体确定所述目标用户的访问权限；按照所述访问权限管控所述目标用户对目标业务系统中系统资源的访问操作。
117.本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本发明实施例提供的用户权限管控方法，该方法包括：响应于目标用户的访问请求，确定所述目标用户所属的被授权主体；根据所述被授权主体确定所述目标用户的访问权限；按照所述访问权限管控所述目标用户对目标业务系统中系统资源的访问操作。
118.本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是，但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(random access memory，ram)、只读存储器(read-only memory，rom)、可擦式可编程只读存储器(erasable programmable rom，eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(compact disc read-only memory，cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
119.计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
120.计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、电线、光缆、rf等等，或者上述的任意合适的组合。
121.可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，程序设计语言包括面向对象的程序设计语言，诸如java、smalltalk、c ，还包括常规的过程式程序设计语言，诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络，包括局域网(lan)或广域网(wan)连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
122.注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。