一种基于双层角模型的SaaS软件权限控制方法与流程

阅读：评论：0

一种基于双层角模型的saas软件权限控制方法
技术领域
1.本发明涉及saas软件权限管理技术领域，具体涉及一种基于双层角模型的saas软件权限控制方法。

背景技术：

2.saas，是software-as-a-service的缩写名称，意思为软件即服务，即通过网络提供软件服务。由于低成本、快速接入、升级维护简单等优点，saas软件已经进入快速发展期。在发展过程，saas软件的缺陷逐渐浮出表面，权限控制就是其中一个典型问题。
3.软件权限控制模型已经发展趋近成熟，对应不同权限控制策略和业务场景，现在有基于自主访问控制(dac)的模型方法，也有基于强制访问控制(mac)的模型方法，以及最为广泛的基于角访问控制(rbac)的模型方法。但是，对于新兴的saas软件，传统的软件权限控制模型遇到了较大的挑战。
4.由于saas软件强调通用性，对于不同的租户必须使用同一套权限控制机制，因此在使用“用户角-系统权限”的rbac授权机制时，需要saas服务提供商建立一套较为通用的角体系，不同用户对这套角体系进行选配。对于简单业务逻辑的saas系统，现有这套运行机制能较为妥善的解决权限控制问题。当涉及较复杂业务时，例如面向研发过程的研发管理服务，或者面向制造的erp，等复杂b端、g端业务场景时，现有机制就无法满足用户需求了。对于非saas软件，一般会派大量人员入驻使用企业，根据个性化的需求定制一套目标企业的“系统权限-用户角”的权限控制体系。这个挑战也使得，现有市场上较为成功的saas软件主要集中在业务规则简单的c端或部分b端系统领域，例如招聘管理，涉及角就只有hr、候选人或部分主管领导等，现有传统方法就能很好的支撑。同时，临时授权的控制也是企业信息化管理的重要组成部分，即使对于简单的行政业务用户都有强烈需求。例如：临时授权审批流程权限等。在基于现有saas软件建立一套通用角，然后利用“用户角-系统权限”的rbac授权机制的权限管理方法，不支持临时权限控制，从而大大限制了saas软件的发展前景。

技术实现要素：

5.有鉴于此，本发明实施例提供了一种基于双层角模型的saas软件权限控制方法，用以解决或部分解决上述问题。
6.第一方面，本发明实施例提供了一种基于双层角模型的saas软件权限控制方法，包括以下步骤：
7.s1：将saas软件的系统权限分为菜单权限、按钮权限、列表权限、表单权限、数据权限，依次对上述各类所述系统权限下的操作权限进行编号和排序，建立系统权限细分矩阵；
8.s2：基于业务场景，建立若干元角，分别对应选取相应所述操作权限集，建立元角体系；
9.s3：建立若干用户角，分别对应选取相应所述元角，建立用户角体系。
10.根据本发明实施例的一种具体实现方式，所述步骤s2中，所述操作权限集包括菜单权限集、按钮权限集、列表权限集、表单权限集、数据权限集。
11.根据本发明实施例的一种具体实现方式，所述步骤s2中，对应选取相应权限后，系统建立元角与若干操作权限的映射矩阵一。
12.根据本发明实施例的一种具体实现方式，所述步骤s3包括以下步骤：
13.s3.1：建立若干所述用户角，分别生成空白rasci角对应矩阵；
14.s3.2：响应租户操作，对应选取相应所述元角，定义实际所述rasci角对应矩阵；
15.s3.3：建立所述用户角与若干所述元角的映射矩阵二，建立所述用户角体系。
16.根据本发明实施例的一种具体实现方式，所述步骤s3还包括：
17.s3.4：依据业务规则增加函数方法判定，并关联若干所述元角，若判定所述函数方法生效，则赋予对应所述元角的操作权限。
18.根据本发明实施例的一种具体实现方式，所述步骤s3.4中，所述函数方法中包括任务变量、上下文变量、时态变量。
19.第二方面，本发明实施例提供了一种基于双层角模型的saas软件权限控制装置，包括：
20.权限划分模块，所述权限划分模块用以将saas软件的系统权限分为菜单权限、按钮权限、列表权限、表单权限、数据权限，依次对上述各类所述系统权限下的操作权限进行编号和排序，建立系统权限细分矩阵；
21.元角模块，所述元角模块用以基于业务场景，建立若干元角，分别对应选取相应所述操作权限集，建立元角体系；
22.用户角模块，所述用户角模块用以建立若干用户角，分别对应选取相应所述元角，建立用户角体系。
23.根据本发明实施例的一种具体实现方式，所述用户角模块包括：
24.建立模块，所述建立模块用以建立若干所述用户角，分别生成空白rasci角对应矩阵；
25.选取模块，所述选取模块用以响应租户操作，对应选取相应所述元角，定义实际所述rasci角对应矩阵；
26.映射模块，所述映射模块用以建立所述用户角与若干所述元角的映射矩阵二，建立所述用户角体系。
27.根据本发明实施例的一种具体实现方式，所述用户角模块还包括：
28.判定模块，所述判定模块用以依据业务规则增加函数方法判定，并关联若干所述元角，若判定所述函数方法生效，则赋予对应所述元角的操作权限。
29.本发明实施例提供的一种基于双层角模型的saas软件权限控制方法、装置，至少具有如下技术效果：
30.第一、本发明利用双层角权限控制模型，通过新建中间元角层以及元角层和系统权限的对应关系，元角层与租户实际用户角体系的映射矩阵，实现将原有权限控制方法中的用户角和系统权限强耦合关系分开，建立了一种弱耦合间接对应关系。这
种间接对应关系能很好的解决，由于系统权限会随着版本升级不断完善，不同租户具有不同角体系，且即使同一租户其角体系也在动态变化等因素带来的权限控制困难的问题，使得租户仅需配置角映射矩阵即可完成自定义权限控制。
31.第二、本发明对于saas软件开发运营方，系统设计和运营仅需瞄准元角体系，就能满足不同租户的个性化需求，可以大大降低相关开发和配置人员的工作量，同时还可以更好支持基于任务、上下文、时态等因素的临时授权控制，突破了现在saas软件不能做通用化、复杂机制的权限管理瓶颈。
附图说明
32.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。
33.图1示出了本发明实施例所提供的一种基于双层角模型的saas软件权限控制方法的流程图；
34.图2示出了基于双层角模型的saas软件权限控制方法的原理图；
35.图3示出了本发明实施例所提供的一种基于双层角模型的saas软件权限控制装置的结构框图。
具体实施方式
36.下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只是作为示例，而不能以此来限制本发明的保护范围。
37.需要注意的是，除非另有说明，本技术使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
38.图1为本发明实施例提供的一种基于双层角模型的saas软件权限控制方法的步骤流程图，图2示出了基于双层角模型的saas软件权限控制方法的原理图，参见图1、图2，该方法包括以下步骤：
39.s1：将saas软件的系统权限分为菜单权限、按钮权限、列表权限、表单权限、数据权限，依次对上述各类系统权限下的操作权限进行编号和排序，建立系统权限细分矩阵。
40.将saas软件系统常用权限x分为五类：菜单权限、按钮权限、列表权限、表单权限、以及数据权限，分别记为x
1n
、x
2n
、x
3n
、x
4n
、
x5n
。
41.菜单权限就是有权限的用户才能访问相应页面，无权限的用户就无法访问，它是以整个页面为维度对权限的粗颗粒控制，由于菜单和页面一一对应，控制了导航菜单就相当于控制住了页面入口，所以称为菜单权限。按钮权限就是将操作按钮视为资源，比如删除操作，有些人可以有些人不行。对于后端来说，操作就是一个接口。于前端来说，操作往往是一个按钮，按钮权限是一种细颗粒权限。页面上比较直观的体现就是没有这个删除权限的人就不会显示该按钮，或者该按钮被禁用。同样的细颗粒权限，还有列表权限和表单权限，分别将页面包含的列表和表单视为资源，进行颗粒化权限管控。在数据权限，主要通过数据权限控制行数据，让不同的人有不同的查看数据规则；比如：销售人员只能看自己的数据；
销售经理可以看所有下级销售人员的数据；财务只看金额大于5000的数据等等。
42.s2：基于业务场景，建立若干元角，分别对应选取相应菜单权限集、按钮权限集、列表权限集、表单权限集、数据权限集，建立元角体系。
43.元角与若干操作权限具有映射关系，系统建立元角与若干操作权限的映射矩阵一，从而建立完整的元角层t＝[t1，t2，t3，
…
，tn]。
[0044]
元角层，第j个元角可以记为tj。元角层的建立规则是以业务场景为牵引，基于功能实现逻辑，混合搭配相应菜单、按钮、列表、表单以及相应数据，例如某元角t1需要反馈问题，其处理功能实现是基于问题反馈页面x
11
、问题确定页面x
12
、问题处理页面x
13
等若干页面，反馈按钮x
21
，问题反馈x
31
、问题处理表单x
41
，以及相关问题知识库数据x
51
、人力基本信息库数据x
52
。因此该元角t1可以表示为{[x
11
、x
12
、x
13
、x
1n
]，[x
21
]，[x
31
]，[x
41
]，[x
51
、x
52
]}。从这个例子可以看出元角的出现是和业务流程紧密相关，可以在信息化系统设计的时候同步开展梳理相关的页面、按钮、列表、表单和数据，而这个梳理的过程也信息化系统开发所必须具备的。因此，仅需复用系统设计过程的流程经验，即可完成元角的梳理和搭建。依据元角产生的定义，可以发现肯定存在的情景，即两个元角权限存在重叠部分，由于对于软件的权限控制，重复赋权不会影响操作者与资源的逻辑控制关系，因此从业务上允许元角不互斥。建立元角层是本发现的核心点，通过中间角层的配置，使得原有控制方法中系统资源与实际用户角强耦合联系完全分开。
[0045]
s3：建立若干用户角，分别对应选取相应元角，建立用户角体系，用户角与若干元角具有映射关系。
[0046]
租户根据对应用户角的映射关系矩阵获得相应的操作权限。
[0047]
实际租户赋权：具体执行步骤如下：
[0048]
s3.1：建立若干用户角，分别生成空白rasci角对应矩阵；
[0049]
s3.2：租户根据实际需求，对应选取相应元角，定义实际rasci角对应矩阵；
[0050]
s3.3：系统建立用户角与若干元角的映射矩阵二，建立用户角体系。
[0051]
当新租户开始使用saas软件系统后，就可以以元角对租户进行角配置。例如某租户，其内部角体系ym为总师、副总师、产品经理、商务经理、项目主管、项目财会、设计师等。租户在录入其角体系ym后可以给出空白rasci角对应矩阵，支持租户自定义勾选建立用户角体系ym和元角体系tj的关系。即租户m的用户角体系角y
mn
，其对应元角体系中的[t1，t2，t3，
…
，tn]。这样，仅需建立两层角体系映射关系矩阵δ
mn
，即可完成常规用户角体系配置。后期常规用户角体系有新增或更改，即可通过维护矩阵表完成用户配置。对于saas软件，其不同租户的用户权限管理就变成对不同的映射关系矩阵δ
mn
进行维护和升级。一般，可以将用户权限映射操作权下放给租户管理员自定义配置，系统仅需给出元角的定义和相关权限一览表，不支持用户对元角权限进行增删改查。
[0052]
s3.4：依据业务规则增加函数方法判定，并关联若干元角，若判定函数方法生效，则赋予对应元角的操作权限。
[0053]
依据业务规则建立函数判定方法，并和相应映射矩阵做点积，实现临时授权控制。
[0054]
对于临时授权控制这类非常规的用户权限控制，例如基于任务、上下文、时态等因素的权限控制情景，本发明的两层权限控制方法也能很好的支持。对于这类临时授权的控制，可以将任务、上下文、时态等因素视为影响元角权限的变量，在原有映射权限矩阵δ
mn
基础上增加与这些控制因素相关的角对应关系。同时，在配置角体系映射表时增加任务、上下文和时态的函数判定方法，即对应的映射矩阵将演变为：δ
mn
→
γ
任务
·
γ
上下文
·
γ
时态
·
δ
mn
。当判定函数方法生效时，即γ
任务
＝γ
上下文
＝γ
时态
＝1，实际用户角就能被赋予相应元角，完成相应临时授权。
[0055]
需要说明的是，各个模块按照流式布局进行排列，仅仅是本发明的一个实施例，也可以采用其他的方式排列，本发明对此不做限定。
[0056]
本发明的实施例具有如下技术效果：
[0057]
第一、本发明利用双层角权限控制模型，通过新建中间元角层以及元角层和系统权限的对应关系，元角层与租户实际用户角体系的映射矩阵，实现将原有权限控制方法中的用户角和系统权限强耦合关系分开，建立了一种弱耦合间接对应关系。这种间接对应关系能很好的解决，由于系统权限会随着版本升级不断完善，不同租户具有不同角体系，且即使同一租户其角体系也在动态变化等因素带来的权限控制困难的问题，使得租户仅需配置角映射矩阵即可完成自定义权限控制。
[0058]
第二、本发明对于saas软件开发运营方，系统设计和运营仅需瞄准元角体系，就能满足不同租户的个性化需求，可以大大降低相关开发和配置人员的工作量，同时还可以更好支持基于任务、上下文、时态等因素的临时授权控制，突破了现在saas软件不能做通用化、复杂机制的权限管理瓶颈。
[0059]
图3为一种本发明实施例提供的一种基于双层角模型的saas软件权限控制装置的结构框图，该装置包括：
[0060]
权限划分模块，权限划分模块用以将saas软件的系统权限分为菜单权限、按钮权限、列表权限、表单权限、数据权限，依次对上述各类系统权限下的操作权限进行编号和排序，建立系统权限细分矩阵；
[0061]
元角模块，元角模块用以基于业务场景，建立若干元角，分别对应选取相应操作权限集，建立元角体系；
[0062]
用户角模块，用户角模块用以建立若干用户角，分别对应选取相应元角，建立用户角体系。
[0063]
用户角模块包括：
[0064]
建立模块，建立模块用以建立若干用户角，分别生成空白rasci角对应矩阵；
[0065]
选取模块，选取模块用以响应租户操作，对应选取相应元角，定义实际rasci角对应矩阵；
[0066]
映射模块，映射模块用以建立用户角与若干元角的映射矩阵二，建立用户角体系；
[0067]
判定模块，判定模块用以依据业务规则增加函数方法判定，并关联若干元角，若判定函数方法生效，则赋予对应元角的操作权限。
[0068]
图3实施例中各模块的功能与其对应的方法实施例中的内容相对应，在此不再赘述。
[0069]
需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖
非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0070]
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

技术特征：

1.一种基于双层角模型的saas软件权限控制方法，其特征在于，包括以下步骤：s1：将saas软件的系统权限分为菜单权限、按钮权限、列表权限、表单权限、数据权限，依次对上述各类所述系统权限下的操作权限进行编号和排序，建立系统权限细分矩阵；s2：基于业务场景，建立若干元角，分别对应选取相应所述操作权限集，建立元角体系；s3：建立若干用户角，分别对应选取相应所述元角，建立用户角体系。2.根据权利要求1所述的权限控制方法，其特征在于：所述步骤s2中，所述操作权限集包括菜单权限集、按钮权限集、列表权限集、表单权限集、数据权限集。3.根据权利要求2所述的权限控制方法，其特征在于：所述步骤s2中，对应选取相应权限后，系统建立元角与若干操作权限的映射矩阵一。4.根据权利要求1所述的权限控制方法，其特征在于：所述步骤s3包括以下步骤：s3.1：建立若干所述用户角，分别生成空白rasci角对应矩阵；s3.2：响应租户操作，对应选取相应所述元角，定义实际所述rasci角对应矩阵；s3.3：建立所述用户角与若干所述元角的映射矩阵二，建立所述用户角体系。5.根据权利要求4所述的权限控制方法，其特征在于：所述步骤s3还包括：s3.4：依据业务规则增加函数方法判定，并关联若干所述元角，若判定所述函数方法生效，则赋予对应所述元角的操作权限。6.根据权利要求5所述的权限控制方法，其特征在于：所述步骤s3.4中，所述函数方法中包括任务变量、上下文变量、时态变量。7.一种基于双层角模型的saas软件权限控制装置，其特征在于，包括：权限划分模块，所述权限划分模块用以将saas软件的系统权限分为菜单权限、按钮权限、列表权限、表单权限、数据权限，依次对上述各类所述系统权限下的操作权限进行编号和排序，建立系统权限细分矩阵；元角模块，所述元角模块用以基于业务场景，建立若干元角，分别对应选取相应所述操作权限集，建立元角体系；用户角模块，所述用户角模块用以建立若干用户角，分别对应选取相应所述元角，建立用户角体系。8.根据权利要求7所述的权限控制装置，其特征在于，所述用户角模块包括：建立模块，所述建立模块用以建立若干所述用户角，分别生成空白rasci角对应矩阵；选取模块，所述选取模块用以响应租户操作，对应选取相应所述元角，定义实际所述rasci角对应矩阵；映射模块，所述映射模块用以建立所述用户角与若干所述元角的映射矩阵二，建立所述用户角体系。9.根据权利要求8所述的权限控制装置，其特征在于，所述用户角模块还包括：判定模块，所述判定模块用以依据业务规则增加函数方法判定，并关联若干所述元角，若判定所述函数方法生效，则赋予对应所述元角的操作权限。

技术总结

本发明属于SaaS软件权限管理技术领域，提供了一种基于双层角模型的SaaS软件权限控制方法，该方法包括以下步骤：S1：将SaaS软件的系统权限分为菜单权限、按钮权限、列表权限、表单权限、数据权限，依次对上述各类系统权限下的操作权限进行编号和排序，建立系统权限细分矩阵；S2：基于业务场景，建立若干元角，分别对应选取相应操作权限集，建立元角体系；S3：建立若干用户角，分别对应选取相应元角，建立用户角体系。本发明通过新建中间元角层以及元角层和系统权限的对应关系，元角层与租户实际用户角体系的映射矩阵，将用户角和系统权限强耦合关系分开，建立了一种弱耦合间接对应关系，方便权限控制。方便权限控制。方便权限控制。