临时权限管理方法、装置及计算机可读介质

本发明涉及互联网技术领域，特别涉及临时权限管理方法、装置及计算机可读介质。

目前权限管理基本都通过基于角的访问控制模型(Role-Based AccessContro，RBAC)来完成，授权给用户的访问权限通常由用户担当的角来确定。RBAC中许可被授权给角，角被授权给用户，权限的授权由管理员统一管理，RBAC根据用户在组织内所处的角作出访问授权与控制，相较于自主式访问控制和强制式访问控制，能够保证安全性且便于管理。

然而，当某一用户需要临时获取其不具备的权限时，比如在面对一些紧急情况时，如果通过修改角的权限来对该用户进行授权，那么会导致担当该角的所有用户都会获得授权；因此目前无法为单一用户进行临时权限的管理。

本发明实施例提供了临时权限管理方法、装置及计算机可读介质，能够进行针对单一用户的临时权限管理。

第一方面，本发明实施例提供了临时权限管理方法，包括：预先在角权限表中添加临时角及其对应的权限，所述角权限表存储有各角及其对应的权限，还包括：

接收一用户发来的临时角申请，所述临时角申请中包括该用户申请的临时权限及该用户的ID；

利用所述ID，根据预设的用户角表确定该用户的当前角，其中，所述用户角表中包括每个用户的ID及其对应的角；

根据所述角权限表，确定所述当前角的权限是否包括所述临时权限；

若否，判断该用户的可信度是否能够申请所述临时角；

若是，则在所述用户角表中为该用户添加所述临时角，以使该用户获得所述临时权限。

优选地，

所述判断该用户的可信度是否能够申请所述临时角，包括：

读取预先建立的用户属性表，所述用户属性表包括每个用户的属性得分，获取该用户的目标属性得分；

根据所述目标属性得分进行加权求和，确定该用户的可信度得分；

当所述可信度得分大于预设阈值时，则在所述用户角表中为该用户添加所述临时角；

当所述可信度得分不大于预设阈值时，拒绝该用户的临时角申请。

优选地，

所述可信度得分包括所述属性得分包括技能得分、经验值得分和信用得分；

所述根据所述目标属性得分进行加权求和，确定该用户的可信度得分，包括：

通过如下式子，计算出所述可信度得分，所述第一式子包括：

W＝a×A+b×B+c×C

其中，W为所述可信度得分；A、B、C分别为所述技能得分、所述经验值得分和所述信用得分；a、b、c分别为所述技能得分、所述经验值得分和所述信用得分的加权系数；所述技能得分A通过该用户的技能水平认证情况得到；所述信用得分B通过该用户的处理事件数量和处理事件成功率得到；所述信用得分C由该用户的信用违规历史情况、诚信行为情况和未来信用评估情况得到。

优选地，

还包括：

在达到预设条件时，在所述用户角表中删除该用户的所述临时角；所述预设条件包括：该用户主动申请删除所述临时角、该用户获得所述临时角的时间达到预设时间阈值和/或该用户出现异常行为中的一种或多种。

优选地，

所述预设时间阈值根据该用户的注册信息得到；

所述临时角申请中包括表征该用户预期获得所述临时角的时间的申请时间；

在所述接收一用户发来的临时角申请之后，在根据预设的用户角表确定该用户的当前角之前，进一步包括：

确定所述申请时间是否超出所述时间阈值；

若是，根据预设的用户角表确定该用户的当前角；

若否，驳回该用户的临时角申请。

第二方面，本发明实施例提供了根据上述第一方面中任一所述的临时权限管理方法的临时权限管理装置，包括：

接收模块，用于接收一用户发来的临时角申请，所述临时角申请中包括该用户申请的临时权限及该用户的ID；

确定模块，用于利用所述ID，根据预设的用户角表确定该用户的当前角，其中，所述用户角表中包括每个用户的ID及其对应的角；

处理模块，用于根据所述当前角和所述角表中存储的所述当前角的权限，确定所述当前角的权限是否包括所述临时权限；若否，判断该用户的可信度是否能够申请所述临时角；若是，则在所述用户角表中为该用户添加所述临时角，以使该用户获得所述临时权限。

优选地，

所述处理模块，在执行所述判断该用户的可信度是否能够申请所述临时角时，具体执行：

读取预先建立的用户属性表，所述用户属性表包括每个用户的属性得分，获取该用户的目标属性得分；

根据所述目标属性得分进行加权求和，确定该用户的可信度得分；

当所述可信度得分大于预设阈值时，则在所述用户角表中为该用户添加所述临时角；

当所述可信度得分不大于预设阈值时，拒绝该用户的临时角申请。

优选地，

当所述可信度得分包括所述属性得分包括技能得分、经验值得分和信用得分时，所述处理模块，在执行所述根据所述目标属性得分进行加权求和，确定该用户的可信度得分时，具体执行：

通过如下式子，计算出所述可信度得分，所述第一式子包括：

W＝a×A+b×B+c×C

其中，W为所述可信度得分；A、B、C分别为所述技能得分、所述经验值得分和所述信用得分；a、b、c分别为所述技能得分、所述经验值得分和所述信用得分的加权系数；所述技能得分A通过该用户的技能水平认证情况得到；所述信用得分B通过该用户的处理事件数量和处理事件成功率得到；所述信用得分C由该用户的信用违规历史情况、诚信行为情况和未来信用评估情况得到。

第三方面，本发明实施例体提供了临时权限管理装置，其特征在于，包括：至少一个存储器和至少一个处理器；

所述至少一个存储器，用于存储机器可读程序；

所述至少一个处理器，用于调用所述机器可读程序，执行上述第一方面中任一所述的临时权限管理方法。

第四方面，本发明实施例提供了计算机可读介质，所述计算机可读介质上存储有计算机指令，所述计算机指令在被处理器执行时，使所述处理器执行上述第一方面中任一所述的临时权限管理方法。

本发明实施例提供了临时权限管理方法、装置及计算机可读介质。在权限管理中，通常会通过角权限表来确定各角及对应的权限，除了已有的角之外，单独添加一个临时角，并确定其对应的权限。接收用户发来的临时角申请，临时角申请中包括用户想要申请的临时权限及该用户的ID。首先根据ID从预设的用户角表中确定该用户的角，通过该用户的角，从角权限表中确定该用户是否已经具有临时权限，若已经具有临时权限，则不用进行申请；若不具有临时权限时，为了保证安全，判断该用户的可信度是否能够额外申请临时角，若是，则在用户角表中为该用户增加一个临时角，使该用户获得临时权限。本发明实施例提供的方案通过额外设置临时角，无需更改某一角的权限使得所有该角的用户的权限都被更改，也不需要修改用户的角，使单一用户在一些紧急情况下获得一些平时不具备的权限用来解决紧急状况，实现了对单一用户的临时权限管理。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一实施例提供的临时权限管理方法的流程图；

图2是本发明一实施例提供的临时权限管理装置的示意图。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

如前所述，目前权限管理基本都通过基于角的访问控制模型(Role-BasedAccess Contro，RBAC)来完成，授权给用户的访问权限通常由用户担当的角来确定。RBAC中许可被授权给角，角被授权给用户，权限的授权由管理员统一管理，RBAC根据用户在组织内所处的角作出访问授权与控制，相较于自主式访问控制和强制式访问控制，能够保证安全性且便于管理。然而，当某一用户需要临时获取其不具备的权限时，比如在面对一些紧急情况时，如果通过修改角的权限来对该用户进行授权，那么会导致担当该角的所有用户都会获得授权；因此目前无法为单一用户进行临时权限的管理。

下面结合附图对本发明各个实施例提供的临时权限管理方法、装置及计算机可读介质作详细说明。

如图1所示，本发明一实施例提供了临时权限管理方法，该方法包括以下步骤：

步骤101：预先在角权限表中添加临时角及其对应的权限，所述角权限表存储有各角及其对应的权限；

步骤102：接收一用户发来的临时角申请，所述临时角申请中包括该用户申请的临时权限及该用户的ID；

步骤103：利用所述ID，根据预设的用户角表确定该用户的当前角，其中，所述用户角表中包括每个用户的ID及其对应的角；

步骤104：根据所述角权限表，确定所述当前角的权限是否包括所述临时权限，若是，执行步骤107；若否，执行步骤105；

步骤105：判断该用户的可信度是否能够申请所述临时角，若是，执行步骤106；

步骤106：在所述用户角表中为该用户添加所述临时角，以使该用户获得所述临时权限。

步骤107：拒绝所述临时角申请。

在本发明实施例中，在权限管理中，通常会通过角权限表来确定各角及对应的权限，除了已有的角之外，单独添加一个临时角，并确定其对应的权限。接收用户发来的临时角申请，临时角申请中包括用户想要申请的临时权限及该用户的ID。首先根据ID从预设的用户角表中确定该用户的角，通过该用户的角，从角权限表中确定该用户是否已经具有临时权限，若已经具有临时权限，则不用进行申请；若不具有临时权限时，为了保证安全，判断该用户的可信度是否能够额外申请临时角，若是，则在用户角表中为该用户增加一个临时角，使该用户获得临时权限。本发明实施例提供的方案通过额外设置临时角，无需更改某一角的权限使得所有该角的用户的权限都被更改，也不需要修改用户的角，使单一用户在一些紧急情况下获得一些平时不具备的权限用来解决紧急状况，实现了对单一用户的临时权限管理。建立基本的RBAC框架，包括用户、角、权限以及限制条件。在这个框架的基础上，为用户添加用户属性，角除一般角和管理员角外，添加临时角，临时角绑定了可处理紧急情况的权限，用来处理紧急突发状况。

具体地，本发明的目的在于提供一种改进的RBAC权限管理方法，用于解决紧急场景下，用户可以突破常规权限的限制，从而达到快速处理突发紧急状况。首先建立角表，通过存储父级ID实现角层级关系。角层级关系可通过组织角结构及权限职责来划分。除一般角和系统管理员角外，添加临时角，在处理紧急情况时启用。建立用户和角关联的用户角表，存储用户ID和角ID，关系为多对多。即一个用户可以被分配多个角，一个角可以被分配给多个用户。如存在角层级关系，那么用户拥有的权限为其角及下级角的所有权限的集合。建立角权限表，存储权限ID和角ID，关系为多对多。即一个权限可被授权给多个角，一个角可以被授权多个权限。为角授权时，若角存在层级关系，角只被授予其下级角没有的权限，避免重复存储。用户建立会话后，系统获取到当前用户ID，在用户角表中获取到当前用户的所有角，然后在权限角关联表中获取到这些角的权限的集合。那么就得到了此次会话用户的所有操作权限。

在本发明一实施例中，所述判断该用户的可信度是否能够申请所述临时角，包括：

读取预先建立的用户属性表，所述用户属性表包括每个用户的属性得分，获取该用户的目标属性得分；

根据所述目标属性得分进行加权求和，确定该用户的可信度得分；

当所述可信度得分大于预设阈值时，则在所述用户角表中为该用户添加所述临时角；

当所述可信度得分不大于预设阈值时，拒绝该用户的临时角申请。

具体地，在未确定用户的可信度就为其分配其之前不具有的权限，有可能会导致安全问题，因此，预先建立用户属性表，通过用户id与用户表关联。该表在一般情况下不被使用，在紧急情况下，用于判断用户的可信度。通过用户的量化属性来确定其可信度，然后与系统内预先规定的可信度标准做比对，若用户的可信度达到规定的标准，那么可被授予临时角。

在本发明一实施例中，所述可信度得分包括所述属性得分包括技能得分、经验值得分和信用得分；

所述根据所述目标属性得分进行加权求和，确定该用户的可信度得分，包括：

通过如下式子，计算出所述可信度得分，所述第一式子包括：

W＝a×A+b×B+c×C

其中，W为所述可信度得分；A、B、C分别为所述技能得分、所述经验值得分和所述信用得分；a、b、c分别为所述技能得分、所述经验值得分和所述信用得分的加权系数；所述技能得分A通过该用户的技能水平认证情况得到；所述信用得分B通过该用户的处理事件数量和处理事件成功率得到；所述信用得分C由该用户的信用违规历史情况、诚信行为情况和未来信用评估情况得到。

具体地，用户属性表中，根据实际需要可以包括技能得分、经验值得分和信用得分。技能得分可以量化用户解决紧急情况的能力，经验值得分能够量化用户处理紧急情况的经验，信用得分能够量化用户的历史行为是否符合规定。举例来说，用户发现紧急情况，而用户的操作权限限制无法处理紧急情况，用户申请临时角。此时系统获取当前用户ID，在用户的属性表查询用户的技能得分、经验值得分和信用得分，通过事先制定的加权算法获取到用户的可信度。比如有三种属性，分别为技能得分6、经验值得分8和信用得分9，权重分别为0.4、0.3和0.3，那么可以计算得到用户的可信度为7.5。系统可定义可信度级参数，来限制可处理一般情况、紧急情况和特殊情况的参数。如一般可信度为5，中级可信度为7，高级可信度为9。用户的达到了中级可信度，可以处理紧急情况。高级可信度可用于特殊场景，如当前的紧急情况过于复杂，需要可信度大于9即技能、经验和信用得分都非常高的用户来进行处理。

在本发明一实施例中，该方法还包括：在达到预设条件时，在所述用户角表中删除该用户的所述临时角；所述预设条件包括：该用户主动申请删除所述临时角、该用户获得所述临时角的时间达到预设时间阈值和/或该用户出现异常行为中的一种或多种。

具体地，用户获得临时角，即在用户角表中为该用户添加一条绑定临时角的记录。临时角绑定了可处理紧急情况的操作权限。用户可获得这些权限并进行紧急情况的处理。当用户处理完紧急情况之后，可以主动选择申请删除临时角；当达到时间阈值之后自动删除该用户的临时角；当用户利用临时角出现异常行为的时候删除用户的临时角。删除临时角需要由管理员将临时角收回，在用户角表中删除紧急角的记录。

在本发明一实施例中，所述预设时间阈值，根据该用户的注册信息得到；

所述临时角申请中包括表征该用户预期获得所述临时角的时间的申请时间；

在所述接收一用户发来的临时角申请之后，在根据预设的用户角表确定该用户的当前角之前，还包括：

确定所述申请时间是否超出所述时间阈值；

若是，根据预设的用户角表确定该用户的当前角；

若否，驳回该用户的临时角申请。

具体地，可以根据用户的注册信息来确定该用户可申请临时角的时间，若为之前从未有过处理紧急情况的新用户，或者是信息不完全、有异常的，都会适应性减少该用户获得临时角的时间。若用户对于处理紧急情况有经验，则可以适当增加该用户获得临时角的时间。当用户进行临时角申请的时候，判断用户期望的时间是否超过了该用户能够获得临时角的最大时间，若是，则该用户不能获得临时角。此外，为了保证安全性，还可以可建立临时角使用历史表，记录紧急情况的发生时间，用户ID，处理时长，紧急角ID等信息，后期用于复盘分析，也可以根据紧急情况处理的结果调整用户的用于可信度计算的相关属性，以提高系统的安全性。

如图2所示，在图1各实施例的基础上，本发明一实施例提供了临时权限管理装置，包括：

接收模块201，用于接收一用户发来的临时角申请，所述临时角申请中包括该用户申请的临时权限及该用户的ID；

确定模块202，用于利用所述ID，根据预设的用户角表确定该用户的当前角，其中，所述用户角表中包括每个用户的ID及其对应的角；

处理模块203，用于根据所述当前角和所述角表中存储的所述当前角的权限，确定所述当前角的权限是否包括所述临时权限；若否，判断该用户的可信度是否能够申请所述临时角；若是，则在所述用户角表中为该用户添加所述临时角，以使该用户获得所述临时权限。

在本发明一实施例中，所述处理模块203，在执行所述判断该用户的可信度是否能够申请所述临时角时，具体执行：

读取预先建立的用户属性表，所述用户属性表包括每个用户的属性得分，获取该用户的目标属性得分；

根据所述目标属性得分进行加权求和，确定该用户的可信度得分；

当所述可信度得分大于预设阈值时，则在所述用户角表中为该用户添加所述临时角；

当所述可信度得分不大于预设阈值时，拒绝该用户的临时角申请。

在本发明一实施例中，当所述可信度得分包括所述属性得分包括技能得分、经验值得分和信用得分时，所述处理模块203，在执行所述根据所述目标属性得分进行加权求和，确定该用户的可信度得分时，具体执行：

通过如下式子，计算出所述可信度得分，所述第一式子包括：

W＝a×A+b×B+c×C

其中，W为所述可信度得分；A、B、C分别为所述技能得分、所述经验值得分和所述信用得分；a、b、c分别为所述技能得分、所述经验值得分和所述信用得分的加权系数；所述技能得分A通过该用户的技能水平认证情况得到；所述信用得分B通过该用户的处理事件数量和处理事件成功率得到；所述信用得分C由该用户的信用违规历史情况、诚信行为情况和未来信用评估情况得到。

可以理解的是，本发明实施例示意的结构并不构成对临时权限管理装置的具体限定。在本发明的另一些实施例中，临时权限管理装置可以包括比图示更多或者更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。

上述临时权限管理装置内的各单元之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。

本发明还提供了一种计算机可读介质，存储用于使一计算机执行如本文所述的临时权限管理方法的指令。具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。

在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。

用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地，可以由通信网络从服务器计算机上下载程序代码。

此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。

此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。

需要说明的是，上述各流程和各系统结构图中不是所有的步骤和模块都是必须的，可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的，可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构，也可以是逻辑结构，即，有些模块可能由同一物理实体实现，或者，有些模块可能分由多个物理实体实现，或者，可以由多个独立设备中的某些部件共同实现。

以上各实施例中，硬件单元可以通过机械方式或电气方式实现。例如，一个硬件单元可以包括永久性专用的电路或逻辑(如专门的处理器，FPGA或ASIC)来完成相应操作。硬件单元还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器)，可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。

上文通过附图和优选实施例对本发明进行了详细展示和说明，然而本发明不限于这些已揭示的实施例，基于上述多个实施例本领域技术人员可以知晓，可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例，这些实施例也在本发明的保护范围之内。