一种时限的用户临时角管理方法、装置

本发明涉及系统用户角及权限管理技术领域，具体涉及一种时限的用户临时角管理方法、装置。

一般情况下系统中的用户角类型是固定的，每种用户角对应的用户权限也相对固定。用户的角类型作为用户的一个属性被存在用户表(user_table)中，作为用户的基本角。在有些场景下，用户存在概率需要额外的权限或权限组合。

传统方案一般有：一是给予该用户更高等级的角，该角包含用户需求的额外权限，但是这样该用户可能获得其不需要的其他额外权限，使系统存在风险；二是为该用户创建一个包含需求的额外权限和现有权限的新角，并将用户的角改为创建的新角，这种方法的问题是这个过程并不是自动化的，当用户结束使用额外权限时，需要有权限的人把此用户的角改回原来的角，这不仅需要一定的人力成本，也涉及到对用户表(user_table)的属性的修改。同时，也增加了对角管理的难度，如果不删除新创建的临时性质的角，将导致临时性质的角越来越多。但由于难以确定该临时性质的角是否没有人在使用，给删除临时性质的角也增加了困难；三是给当前该用户的角加上所需求的额外权限，这样的问题是所有拥有该用户角的用户都被赋予了额外权限，也大大提高了系统权限管理的风险。

针对系统用户对临时权限需求的问题，提出一种时限的用户临时角管理方法、装置，满足用户对系统部分临时权限的需求。

本发明的技术方案是：

一方面，本发明技术方案提供一种时限的用户临时角管理方法，包括如下步骤：

步骤一：接收用户请求临时权限的请求并进行处理，具体包括：

接收用户申请临时权限的请求；

在收到用户申请临时权限的请求后，获取用户ID以及申请临时权限的使用时间；

查询包含该请求权限或权限组合的临时角是否存在，若存在，在临时角表中创建一条与该用户对应的临时角条目；若不存在，则创建一个包含请求的临时权限或权限组合的新的临时角类型；执行步骤：在临时角表中创建一条与该用户对应的临时角条目；其中，创建的临时角条目包括根据申请临时权限的使用时间设置的临时角的存活时间；

步骤二：用户的该临时角的存活时间到期时，将该到期的临时角条目从临时角表中删除。

优选地，所述的临时角条目包括临时角ID、临时角类型、用户ID。

优选地，临时角类型为查询后创建的包含请求的临时权限或权限组合的临时角类型。

优选地，用户ID与临时角表中的临时角条目一一对应。对于两个不同用户，即使需求的临时权限相同，临时角类型相同，也需要对应不同的临时角ID，在临时角表中创建两条条目，因为为两个用户设置的临时角的存活时间可能是不同的。当该临时角的存活时间到期，触发自动删除机制，从临时角表中将该过期的临时角条目删除。由于每个用户分别对应属于自己的不同的临时角条目，删除某用户的到期临时角条目不会对其他用户的临时角和临时权限产生影响。

优选地，步骤二之前，该方法还包括步骤：

接收查询该用户的所有权限的请求并返回查询结果。具体步骤包括：

接收查询该用户的所有权限的请求；

收到查询用户所有权限的请求后，在用户表中获取用户对应的基本角；

查询临时角表中是否存在该用户对应的临时角，若是，获取用户对应的临时角；合并基本角和临时角所对应的权限；返回用户所有权限的查询结果；若否，根据用户的基本角得到该用户的所有权限；执行步骤：返回用户所有权限的查询结果。

优选地，该方法还包括：对临时角类型的定期清除；具体包括：设置时间间隔对临时角表进行扫描，若当前没有用户使用这一临时角类型的权限类型，将该临时角类型删除；同时，在扫描的时间间隔期间，若有用户申请相同的临时角类型，系统中该临时角类型还未被删除，直接为该用户创建时限的临时角。不需要创建另一个新的临时角类型，减少冗余操作，提高效率。

另一方面，本发明技术方案提供一种时限的用户临时角管理装置，包括临时权限请求处理模块和设置模块；

临时权限请求处理模块，用于接收用户请求临时权限的请求并进行处理；临时权限请求处理模块包括临时权限请求接收单元、信息获取单元、临时角查询单元、临时角条目创建单元、临时角类型创建单元、

临时权限请求接收单元，用于接收用户申请临时权限的请求；

信息获取单元，用于在收到用户申请临时权限的请求后，获取用户ID以及申请临时权限的使用时间；

临时角查询单元，用于查询包含该请求权限或权限组合的临时角是否存在，若存在，输出信息到临时角条目创建单元；

临时角条目创建单元，用于在临时角表中创建一条与该用户对应的临时角条目；若不存在，输出信息到临时角类型创建单元；其中，创建的临时角条目包括根据申请临时权限的使用时间设置的临时角的存活时间；

临时角类型创建单元，用于创建一个包含请求的临时权限或权限组合的新的临时角类型；

设置模块，用于在用户的该临时角的存活时间到期时，将该到期的临时角条目从临时角表中删除。

优选地，所述的临时角条目包括临时角ID、临时角类型、用户ID。

优选地，临时角类型为查询后创建的包含请求的临时权限或权限组合的临时角类型。

优选地，用户ID与临时角表中的临时角条目一一对应。

优选地，该装置还包括用户的所有权限查询模块，用户的所有权限查询模块，用于接收查询该用户的所有权限的请求并返回查询结果；

优选地，所述的用户的所有权限查询模块包括查询请求接收单元、基本角获取单元、查询单元、临时角获取单元、权限合并单元、单角权限输出单元和返回单元；

查询请求接收单元，用于接收查询该用户的所有权限的请求；

基本角获取单元，用于收到查询用户所有权限的请求后，在用户表中获取用户对应的基本角；

查询单元，用于查询临时角表中是否存在该用户对应的临时角，若是，输出信息到临时角获取单元；否则，输出信息到单角权限输出单元；

临时角获取单元，用于获取用户对应的临时角；

权限合并单元，用于合并基本角和临时角所对应的权限；返回用户所有权限的查询结果；

单角权限输出单元，用于根据用户的基本角得到该用户的所有权限；执行步骤：返回用户所有权限的查询结果。

返回单元，用于分别返回权限合并单元和单角权限输出单元输出的用户的所有权限。

从以上技术方案可以看出，本发明具有以下优点：临时角的存活时间属性可以实现自动删除到期的临时角机制，达到临时角管理的自动化。同时保证当临时角过期后，用户不会继续拥有额外的临时权限，保证系统安全。临时角表与用户表解耦开，引入临时角的概念不会涉及对主用户表的操作，避免对用户基本角和权限的影响。

此外，本发明设计原理可靠，结构简单，具有非常广泛的应用前景。

由此可见，本发明与现有技术相比，具有突出的实质性特点和显著地进步，其实施的有益效果也是显而易见的。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一个实施例的方法中用户临时角创建示意性流程图。

图2是本发明一个实施例的方法中查询用户的所有权限示意性流程图。

为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

如图1所示，本发明实施例提供一种时限的用户临时角管理方法，包括如下步骤：

步骤一：接收用户请求临时权限的请求并进行处理，具体包括：

SS11：接收用户申请临时权限的请求；

SS12：在收到用户申请临时权限的请求后，获取用户ID以及申请临时权限的使用时间；其中，存活时间根据申请临时权限的使用时间设置。当用户申请额外的临时权限时，必须提供一个预估的使用时间，最大值为24小时。

SS13：查询包含该请求权限或权限组合的临时角是否存在，若存在，执行步骤SS15，否则，执行步骤SS14；

SS14：创建一个包含请求的临时权限或权限组合的新的临时角类型，执行步骤SS15；

SS15：在临时角表中创建一条与该用户对应的临时角条目。所述的临时角条目包括临时角ID、临时角类型、用户ID和存活时间，如表1所示，临时角表(tmp_role_table)主要包含四个字段：tmp_role_id(临时角ID)、tmp_role_type(临时角类型)、user_id(用户ID)和ttl(存活时间)。其中，tmp_role_type(临时角类型)为权限表查询后创建的包含请求的临时权限或权限组合的临时角类型。需要注意的是，用户ID与临时角表中的临时角条目一一对应。也就是，临时角表中的条目是针对每个用户的，对于两个不同用户，即使需求的临时权限相同，临时角类型相同，也需要对应不同的临时角ID，在临时角表(tmp_role_table)中创建两条条目，因为临时权限的存活时间ttl可能不同。当该临时角的存活时间到期，触发自动删除机制，从临时角表中将该过期的临时角条目删除。由于每个用户分别对应属于自己的不同的临时角条目，删除某用户的到期临时角条目不会对其他用户的临时角和临时权限产生影响。

表1临时角表(tmp_role_table)

字段名 类型 描述 tmp_roie_id int 临时角ID tmp_role_type varchai 临时角类型 user_id int 用户ID ttl int 存活时间

步骤二：用户的该临时角的存活时间到期时，将该到期的临时角条目从临时角表中删除。通过上述操作，可以针对用户的额外临时权限的需求，为用户创建临时角，并为临时角创建存活时间ttl,管理用户的临时权限。并形成临时存活时间到期自动删除临时角的机制。达到对临时角的自动化管理。保证用户在临时角过期后，不能继续拥有额外的临时权限。

在有些实施例中，该方法还包括步骤：接收查询该用户的所有权限的请求并返回查询结果。具体步骤包括：

SS21：接收查询该用户的所有权限的请求；

SS22：收到查询用户所有权限的请求后，在用户表中获取用户对应的基本角；

SS23：查询临时角表中是否存在该用户对应的临时角，若是，执行步骤SS24，否则执行步骤SS26；

SS24：获取用户对应的临时角；

SS25：合并基本角和临时角所对应的权限；执行步骤SS27；

SS26：根据用户的基本角得到该用户的所有权限；执行步骤SS27；

SS27：返回用户所有权限的查询结果。

如图2所示，在查询用户所有的权限流程图时，首先从用户表(user_table)中获取用户对应的基本角。接下来需要查询临时角表(tmp_role_table)中是否存在该用户对应的临时角，如果存在，获取用户对应的临时角，在合并用户的两种角后，得到该用户所有的权限；如果不存在，则跳过这两步，根据用户的基本角得到该用户的所有权限。

需要说明的是，本申请某些实施例中设置对临时角类型的定期清除。首先查询包含用户请求的临时权限或权限组合是否存在，若不存在，则创一个新的包含需求临时权限的临时角类型。对于创建的新的临时角类型也可以设置定期清除机制，设定时间间隔对临时角表(tmp_role_table)进行扫描，如果不存在某一临时角类型对应的临时角条目，保证当前没有用户使用这一权限类型，可以进行删除该临时角类型。这样能够保证在对某一临时角类型删除时，没有用户正在使用此临时角，保证删除的安全性，对用户角类型也更易于管理。同时，在设定的是时间间隔期间，如果有用户申请相同的临时角类型，系统中该临时角类型还未被删除，可以直接为该用户创建时限的临时角，不需要创建另一个新的临时角类型，减少冗余操作，提高效率。

本发明实施例还提供一种时限的用户临时角管理装置，包括临时权限请求处理模块和设置模块；

临时权限请求处理模块，用于接收用户请求临时权限的请求并进行处理；临时权限请求处理模块包括临时权限请求接收单元、信息获取单元、临时角查询单元、临时角条目创建单元、临时角类型创建单元、

临时权限请求接收单元，用于接收用户申请临时权限的请求；

信息获取单元，用于在收到用户申请临时权限的请求后，获取用户ID以及申请临时权限的使用时间；所述的临时角条目包括临时角ID、临时角类型、用户ID和存活时间，其中，存活时间根据申请临时权限的使用时间设置。临时角类型为查询后创建的包含请求的临时权限或权限组合的临时角类型。用户ID与临时角表中的临时角条目一一对应

临时角查询单元，用于查询包含该请求权限或权限组合的临时角是否存在，若存在，输出信息到临时角条目创建单元；

临时角条目创建单元，用于在临时角表中创建一条与该用户对应的临时角条目；若不存在，输出信息到临时角类型创建单元；

临时角类型创建单元，用于创建一个包含请求的临时权限或权限组合的新的临时角类型；

设置模块，用于在用户的该临时角的存活时间到期时，将该到期的临时角条目从临时角表中删除。

该装置还包括用户的所有权限查询模块，用户的所有权限查询模块，用于接收查询该用户的所有权限的请求并返回查询结果；所述的用户的所有权限查询模块包括查询请求接收单元、基本角获取单元、查询单元、临时角获取单元、权限合并单元、单角权限输出单元和返回单元；

查询请求接收单元，用于接收查询该用户的所有权限的请求；

基本角获取单元，用于收到查询用户所有权限的请求后，在用户表中获取用户对应的基本角；

查询单元，用于查询临时角表中是否存在该用户对应的临时角，若是，输出信息到临时角获取单元；否则，输出信息到单角权限输出单元；

临时角获取单元，用于获取用户对应的临时角；

权限合并单元，用于合并基本角和临时角所对应的权限；返回用户所有权限的查询结果；

单角权限输出单元，用于根据用户的基本角得到该用户的所有权限；执行步骤：返回用户所有权限的查询结果。

返回单元，用于分别返回权限合并单元和单角权限输出单元输出的用户的所有权限。

需要说明的是，本发明实施例中临时角类型即临时角类型(名称)。

尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述，但本发明并不限于此。在不脱离本发明的精神和实质的前提下，本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换，而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。