一种多维授权方法、系统、设备及存储介质

本发明涉及Web权限管理技术领域，具体涉及一种多维授权方法、系统、设备及存储介质。

Web是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统，是建立在Internet上的一种网络服务，为浏览者在Internet上查和浏览信息提供了图形化的、易于访问的直观界面，其中的文档及超级链接将Internet上的信息节点组织成一个互为关联的网状结构。Web应用管理包括Web权限管理。

传统的Web权限控制在授权维度环节还存在着一些明显的不足：一、授权角单一，有权限的管理员角进行统一管理；二、授权方式单一，在管理页面的ACL列表进行配置，对应的被配置的角下账户即拥有配置的权限；三、权限范围单一，一旦获得授权就是永久权限，直到管理员收回对应的角权限为止；四、数据维度单一，只针对业务功能的CRUD（新增、查询、更改、删除）进行数据权限控制；五、授权系统不能独立，授权系统需要以账户认证为前提，自身无法独立存在。

针对现有技术存在的不足，本发明提供了一种多维授权方法、系统、设备及存储介质，其应用时，实现权限的分立管理及授权角的多元化，以适应业务场景对多元化权限管理的需求。

第一方面，本发明提供一种多维授权方法，包括：

获取成员端的业务权限上报请求；

根据业务权限上报请求确定所需业务功能权限、业务数据权限和业务授权权限；

根据所需业务功能权限向功能权限管理端发送第一授权申请，并接收授权结果，根据所需业务数据权限向数据权限管理端发送第二授权申请，并接收授权结果，根据所需业务授权权限向授权权限管理端发送第三授权申请，并接收授权结果；

根据功能权限管理端、数据权限管理端以及授权权限管理端的授权结果，分别对成员端进行相应业务功能权限和/或业务数据权限和/或业务授权权限的授权。

基于上述发明内容，通过业务功能权限、业务数据权限和业务授权权限的多维授权元划分，实现权限的多维度授予及单独管理，通过功能权限管理端、数据权限管理端和授权权限管理端的各自维度独立授权，实现权限的分立管理及授权角的多元化，以适应业务场景对多元化权限管理的需求。

在一个可能的设计中，所述方法还包括：

获取授权流程信息来构建授权规则控制链，授权规则控制链包含授权流程链及授权节点；

根据所述授权规则控制链，按授权流程链进行授权申请，在相应的授权节点向功能权限管理端发送第一授权申请，向数据权限管理端发送第二授权申请，以及向授权权限管理端发送第三授权申请。

基于上述发明内容，通过授权规则控制链的授权规则及流程管控，实现授权过程的有序、规范化运行，拒绝人为流程干预，直至授权结束。

在一个可能的设计中，所述授权结果包括授权方式，所述授权方式包括次数授权、时效区间授权、指定地域授权和指定设备授权的任意组合。

基于上述发明内容，多维授权过程可对授权方式进行限定，如规定授予权限的相应使用次数、时效区间、指定地域及指定设备等，摆脱传统的账户认证后在管理页面的ACL列表进行配置，对应的被配置的角下账户即拥有配置的权限的单一授权方式，授权更加灵活。

在一个可能的设计中，所述方法还包括：在所述授权方式限定条件外的情况下收回对成员端相应业务功能权限和/或业务数据权限和/或业务授权权限的授权。

基于上述发明内容，可以在授权方式限定条件之外将授予的相应权限进行收回，保证权限管理的安全规范。

在一个可能的设计中，所述业务权限上报请求包含成员的组织架构信息、所需业务功能范围信息及所需业务数据范围信息，所述根据业务权限上报请求确定所需业务功能权限、业务数据权限和业务授权权限，包括：根据所需业务功能范围信息确定所需业务功能权限，根据所需业务功能范围信息确定所需业务数据权限，根据成员的组织架构信息确定其所需业务授权权限。

在一个可能的设计中，所述方法还包括：构建三维模型数据库对所述成员的组织架构信息、所需业务功能范围信息及所需业务数据范围信息进行三维数据存储。

基于上述发明内容，三维模型数据库通过三维数据存储的方式加强了二维数据的扩展能力，既可按照通用的方式进行相应信息存取，也可以支持更多维度的信息扩展，满足多维度的数据控制。

在一个可能的设计中，在对成员端进行相应业务功能权限和/或业务数据权限和/或业务授权权限的授权后，所述方法还包括：

记录授权结果；

根据授权结果进行授权风险评估。

基于上述发明内容，可以对授权结果进行相应的记录保存，再进行相应授权结果追溯，来完成授权风险评估，便于进行授权的风险控制。

第二方面，本发明提供一种多维授权系统，包括：

获取单元，用于获取成员端的业务权限上报请求；

确定单元，用于根据业务权限上报请求确定所需业务功能权限、业务数据权限和业务授权权限；

申请单元，用于根据所需业务功能权限向功能权限管理端发送第一授权申请，并接收授权结果，根据所需业务数据权限向数据权限管理端发送第二授权申请，并接收授权结果，根据所需业务授权权限向授权权限管理端发送第三授权申请，并接收授权结果；

授权单元，用于根据功能权限管理端、数据权限管理端以及授权权限管理端的授权结果，分别对成员端进行相应业务功能权限和/或业务数据权限和/或业务授权权限的授权。

在一个可能的设计中，所述系统还包括第一构建单元，所述第一构建单元用于获取授权流程信息来构建授权规则控制链，授权规则控制链包含授权流程链及授权节点；所述申请单元根据所述授权规则控制链，按授权流程链进行授权申请，在相应的授权节点向功能权限管理端发送第一授权申请，向数据权限管理端发送第二授权申请，以及向授权权限管理端发送第三授权申请。

第三方面，本发明提供一种计算机设备，包括：

存储器，用于存储指令；

处理器，用于读取所述存储器中存储的指令，并根据指令执行上述第一方面中任意一种所述的方法。

第四方面，本发明提供一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行上述第一方面中任意一种所述的方法。

第五方面，本发明提供一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使所述计算机执行上述第一方面中任意一种所述的方法。

本发明的有益效果为：

本发明通过业务功能权限、业务数据权限和业务授权权限的多维授权元划分，实现权限的多维度授予及单独管理，通过功能权限管理端、数据权限管理端和授权权限管理端的各自维度独立授权，实现权限的分立管理及授权角的多元化，以适应业务场景对多元化权限管理的需求。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的方法流程示意图；

图2为本发明的系统结构示意图；

图3为本发明的计算机设备结构示意图。

下面结合附图及具体实施例对本发明作进一步阐述。在此需要说明的是，对于这些实施例方式的说明用于帮助理解本发明，但并不构成对本发明的限定。本文公开的特定结构和功能细节仅用于描述本发明的示例实施例。然而，可用很多备选的形式来体现本发明，并且不应当理解为本发明限制在本文阐述的实施例中。

应当理解，术语第一、第二等仅用于区分描述，而不能理解为指示或暗示相对重要性。尽管本文可以使用术语第一、第二等等来描述各种单元，这些单元不应当受到这些术语的限制。这些术语仅用于区分一个单元和另一个单元。例如可以将第一单元称作第二单元，并且类似地可以将第二单元称作第一单元，同时不脱离本发明的示例实施例的范围。

应当理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，单独存在B，同时存在A和B三种情况，本文中术语“/和”是描述另一种关联对象关系，表示可以存在两种关系，例如，A/和B，可以表示：单独存在A，单独存在A和B两种情况，另外，本文中字符“/”，一般表示前后关联对象是一种“或”关系。

应当理解，在本发明的描述中，术语“上”、“竖直”、“内”、“外”等指示的方位或位置关系，是该发明产品使用时惯常摆放的方位或位置关系，或者是本领域技术人员惯常理解的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

应当理解，当将单元称作与另一个单元“连接”、“相连”或“耦合”时，它可以与另一个单元直相连接或耦合，或中间单元可以存在。相対地，当将单元称作与另一个单元“直接相连”或“直接耦合”时，不存在中间单元。应当以类似方式来解释用于描述单元之间的关系的其他单词（例如，“在……之间”对“直接在……之间”，“相邻”对“直接相邻”等等）。

在本发明的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设置”、“安装”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

本文使用的术语仅用于描述特定实施例，并且不意在限制本发明的示例实施例。如本文所使用的，单数形式“一”、“一个”以及“该”意在包括复数形式，除非上下文明确指示相反意思。还应当理解术语“包括”、“包括了”、“包含”、和/或“包含了”当在本文中使用时，指定所声明的特征、整数、步骤、操作、单元和/或组件的存在性，并且不排除一个或多个其他特征、数量、步骤、操作、单元、组件和/或他们的组合存在性或增加。

还应当注意到在一些备选实施例中，所出现的功能/动作可能与附图出现的顺序不同。例如，取决于所涉及的功能/动作，实际上可以实质上并发地执行，或者有时可以以相反的顺序来执行连续示出的两个图。

在下面的描述中提供了特定的细节，以便于对示例实施例的完全理解。然而，本领域普通技术人员应当理解可以在没有这些特定细节的情况下实现示例实施例。例如可以在框图中示出系统，以避免用不必要的细节来使得示例不清楚。在其他实施例中，可以不以非必要的细节来示出众所周知的过程、结构和技术，以避免使得示例实施例不清楚。

实施例1：

本实施例提供一种多维授权方法，如图1所示，包括以下步骤：

S101.获取成员端的业务权限上报请求。

所述业务权限上报请求包含成员的组织架构信息、所需业务功能范围信息及所需业务数据范围信息。可构建三维模型数据库对所述成员的组织架构信息、所需业务功能范围信息及所需业务数据范围信息进行三维数据存储。

S102.根据业务权限上报请求确定所需业务功能权限、业务数据权限和业务授权权限。

具体实施时，根据所需业务功能范围信息确定所需业务功能权限，根据所需业务功能范围信息确定所需业务数据权限，根据成员的组织架构信息确定其所需业务授权权限。

S103.根据所需业务功能权限向功能权限管理端发送第一授权申请，并接收授权结果，根据所需业务数据权限向数据权限管理端发送第二授权申请，并接收授权结果，根据所需业务授权权限向授权权限管理端发送第三授权申请，并接收授权结果。

具体实施时，先获取授权流程信息来构建授权规则控制链，授权规则控制链包含授权流程链及授权节点；然后根据所述授权规则控制链，按授权流程链进行授权申请，在相应的授权节点向功能权限管理端发送第一授权申请，向数据权限管理端发送第二授权申请，以及向授权权限管理端发送第三授权申请。

所述授权结果包括授权方式，所述授权方式包括次数授权、时效区间授权、指定地域授权和指定设备授权的任意组合。后续可在所述授权方式限定条件外的情况下收回对成员端相应业务功能权限和/或业务数据权限和/或业务授权权限的授权。

S104.根据功能权限管理端、数据权限管理端以及授权权限管理端的授权结果，分别对成员端进行相应业务功能权限和/或业务数据权限和/或业务授权权限的授权。

在对成员端进行相应业务功能权限和/或业务数据权限和/或业务授权权限的授权后，还可以记录授权结果，并根据授权结果进行授权风险评估。

实施例2：

本实施例提供一种多维授权系统，如图2所示，包括：

获取单元，用于获取成员端的业务权限上报请求；

确定单元，用于根据业务权限上报请求确定所需业务功能权限、业务数据权限和业务授权权限；

申请单元，用于根据所需业务功能权限向功能权限管理端发送第一授权申请，并接收授权结果，根据所需业务数据权限向数据权限管理端发送第二授权申请，并接收授权结果，根据所需业务授权权限向授权权限管理端发送第三授权申请，并接收授权结果；

授权单元，用于根据功能权限管理端、数据权限管理端以及授权权限管理端的授权结果，分别对成员端进行相应业务功能权限和/或业务数据权限和/或业务授权权限的授权。

在一个可能的设计中，所述系统还包括第一构建单元，所述第一构建单元用于获取授权流程信息来构建授权规则控制链，授权规则控制链包含授权流程链及授权节点；所述申请单元根据所述授权规则控制链，按授权流程链进行授权申请，在相应的授权节点向功能权限管理端发送第一授权申请，向数据权限管理端发送第二授权申请，以及向授权权限管理端发送第三授权申请。

在一个可能的设计中，所述授权结果包括授权方式，所述授权方式包括次数授权、时效区间授权、指定地域授权和指定设备授权的任意组合。所述授权单元还用于在所述授权方式限定条件外的情况下收回对成员端相应业务功能权限和/或业务数据权限和/或业务授权权限的授权。

在一个可能的设计中，所述系统还包括第二构建单元，所述第二构建单元用于构建三维模型数据库对所述成员的组织架构信息、所需业务功能范围信息及所需业务数据范围信息进行三维数据存储。

在一个可能的设计中，所述系统还包括：

记录单元，用于记录授权结果；

评估单元，用于根据授权结果进行授权风险评估。

实施例3：

本实施例提供一种计算机设备，如图3所示，包括：

存储器，用于存储指令；

处理器，用于读取所述存储器中存储的指令，并根据指令执行实施例1中所述的多维授权方法。

所述存储器可以但不限于包括随机存取存储器（Random Access Memory，RAM）、只读存储器（Read Only Memory，ROM）、闪存（Flash Memory）、先进先出存储器（First InputFirst Output，FIFO）和/或先进后出存储器（First In Last Out，FILO）等；所述处理器可以但不限于包括单片机、ARM处理器等。

实施例4：

本实施例提供一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行实施例1中所述的多维授权方法。其中，所述计算机可读存储介质是指存储数据的载体，可以但不限于包括软盘、光盘、硬盘、闪存、优盘和/或记忆棒（Memory Stick）等，所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。

实施例5：

本实施例提供一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使所述计算机执行实施例1中所述的多维授权方法。其中，所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤，而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照实施例的方法、装置、设备和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明不局限于上述可选的实施方式，任何人在本发明的启示下都可得出其他各种形式的产品。上述具体实施方式不应理解成对本发明的保护范围的限制，本发明的保护范围应当以权利要求书中界定的为准，并且说明书可以用于解释权利要求书。