【技术领域】
[0001] 本
发明涉及信息管理技术领域,具体涉及一种信息系统的用户分级授权管理方法和装置。【背景技术】
[0002] 在信息系统中,针对不同用户的不同系统操作权限都是通过权限管理来实现的。目前,权限管理的手段基本上都是对各类不同用户根据其行政区划、机构部
门等分类,提炼出一组组所需的系统权限,再创建
角色并通过系统管理员对角色授予系统权限,最后将不同类别的用户分别归类于不同角色中实现。
[0003] 上面这种通过系统管理员授予角色权限,并分配给不同用户的方法,在一些用户数不多、系统菜单功能少、系统用户对权限分类要求不高的系统中可以较好地实现权限管理。但是,对于用户数量多且用户种类复杂、各个用户对系统的操作权限需求变化大的系统,单纯由系统管理员来管理这么多用户的系统权限需求是不合适的,会导致系统管理员花大量时间来处理用户权限,且随着用户需求的变更,权限管理也会越来越杂乱无章。
[0004] 以
云南省某省级国土信息系统为例,该信息系统的用户包括省级机关使用人员、云南省共16个市州的各个国土局各科室使用人员、云南省共129个区县的各个国土局国土所各科室使用人员,这些系统用户如果都由系统管理员来管理系统权限,是不现实的。
[0005] 鉴于此,克服上述
现有技术所存在的
缺陷是本技术领域亟待解决的问题。【发明内容】
[0006] 本发明需要解决的技术问题是:
[0007] 传统方法仅通过一个系统管理员授予角色权限并分配给不同用户来实现权限管理,这对于用户数量多、用户种类复杂、各个用户对系统的操作权限需求变化大的系统来说,系统管理员需花大量时间来处理用户权限,且随着用户需求的变更,权限管理也会越来越杂乱无章。
[0008] 本发明通过如下技术方案达到上述目的:
[0009] 第一方面,本发明提供了一种信息系统的用户分级授权管理方法,包括:
[0010] 在
数据库中创建分级授权相关表,以便信息系统为各行政区划级别下的各行政区划辖区分别设置分级管理员,由所述分级管理员负责其对应辖区内用户的权限管理,进而实现分级授权管理;
[0011] 其中,所述分级授权相关表包括菜单分级授权表和功能分级授权表;所述菜单分级授权表中存储有每个分级管理员的菜单权限,所述功能分级授权表中存储有每个分级管理员的系统权限。
[0012] 优选的,所述在数据库中创建菜单分级授权表和功能分级授权表之前,所述方法还包括:
[0013] 在数据库中创建多个实体表,以便信息系统实现各类实体管理;
[0014] 其中,所述实体表包括用户表、角色表、系统菜单表、系统权限表和机构部门表;相应地,所述实体管理包括用户管理、角色管理、菜单管理、权限管理和机构部门管理。
[0015] 优选的,所述实体表用于存储各类实体信息;其中,用户表用于存储信息系统中各用户的基本信息,包括用户名、用户账号、用户登录密码、用户所属行政区划、用户所属机构ID和用户所属部门ID中的一项或多项;
[0016] 所述角色表用于存储信息系统中各角色的基本信息,包括角色名、角色代码、角色所属机构ID和角色所属部门ID中的一项或多项;
[0017] 所述系统菜单表用于存储信息系统中的菜单信息,包括菜单名、菜单代码、菜单调用模
块代码和菜单类型中的一项或多项;
[0018] 所述系统权限表用于存储信息系统中的权限信息,包括权限名和权限编号;
[0019] 所述机构部门表用于存储信息系统中的机构及部门信息,包括机构或部门名称、机构或部门编号、机构或部门所属行政区划以及部门所属机构中的一项或多项。
[0020] 优选的,在所述在数据库中创建菜单分级授权表和功能分级授权表之前,且所述在数据库中创建多个实体表之后,所述方法还包括:
[0021] 在数据库中创建多个关系表,以便信息系统实现各类实体之间的关联;
[0022] 其中,所述关系表包括用户角色关联表、角色菜单关联表、菜单权限关联表和角色权限关联表,所述实体之间的关联包括用户关联角色、角色关联菜单和菜单关联权限。
[0023] 优选的,所述关系表用于存储各实体表的关系数据;其中,所述用户角色关联表连接用户表和角色表,用于存储信息系统中每个用户所拥有的角色;
[0024] 所述角色菜单关联表连接角色表和系统菜单表,用于存储信息系统中每个角色所拥有的菜单权限;
[0025] 所述菜单权限关联表连接系统菜单表和系统权限表,用于存储信息系统中每个菜单所拥有的系统权限;
[0026] 所述角色权限关联表连接角色表和系统权限表,用于存储信息系统中每个角色所拥有的系统权限。
[0027] 优选的,所述菜单分级授权表中存储的具体字段包括用户名和菜单编号,所述功能分级授权表中存储的具体字段包括用户名和权限编号。
[0028] 优选的,所述为各行政区划级别下的各行政区划辖区分别设置分级管理员,由所述分级管理员负责其对应辖区内用户的权限管理,具体为:
[0029] 将用户按照行政区划级别分为n个级别,并将最高级别的一个或多个用户设置为超级管理员;其中,n≥2,所述超级管理员为最高级别的分级管理员,拥有最高的系统权限和最多的分级权限;
[0030] 按照行政区划级别由高到低的顺序,由超级管理员开始逐级为相邻下一级别用户所在的辖区设置分级管理员,同时逐级为相邻下一级别的分级管理员授予分级权限;其中,各分级管理员对其辖区内的用户授予菜单权限和系统权限。
[0031] 优选的,在逐级设置分级管理员时,各分级管理员将其相邻下一级别的辖区内的一个或多个用户设置为该辖区对应的分级管理员,使得各行政区划级别下的各行政区划辖区均拥有自己的分级管理员;
[0032] 在逐级授予分级权限时,各分级管理员将其自身已有的部分分级权限授予相邻下一级别的分级管理员,使得各分级管理员的分级授权的权限按照行政区划级别由高到低的顺序逐渐递减。
[0033] 优选的,对于国家、省、市、区县四个行政区划级别,所述为各行政区划级别下的各行政区划辖区分别设置分级管理员,由所述分级管理员负责其对应辖区内用户的权限管理,具体为:
[0034] 将用户按照行政区划级别分为国家级用户、省级用户、市级用户和区县级用户;
[0035] 选取一个或多个国家级用户作为国家级管理员;其中,所述国家级管理员拥有最高的系统权限和最多的分级权限;
[0036] 所述国家级管理员对应全国各省分别选取一个或多个省级用户作为省级管理员,并将自身已有的部分分级权限授予各省级管理员;
[0037] 所述省级管理员对应全省各市分别选取一个或多个市级用户作为市级管理员,并将自身已有的部分分级权限授予各市级管理员;
[0038] 所述市级管理员对应全市各区县分别选取一个或多个区县级用户作为区县级管理员,并将自身已有的部分分级权限授予各市级管理员。
[0039] 第二方面,本发明还提供了一种信息系统的用户分级授权管理装置,包括至少一个处理器和
存储器,所述至少一个处理器和存储器之间通过
数据总线连接,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令在被所述处理器执行后,用于完成第一方面所述的信息系统的用户分级授权管理方法。
[0040] 与传统技术相比,本发明的有益效果是:
[0041] 本发明提供的用户分级授权管理方法中,在传统数据库结构的
基础上新增了菜单分级授权表和功能分级授权表,信息系统可为各行政区划级别下的各行政区划辖区分别设置分级管理员,由分级管理员负责其对应辖区内用户的权限管理。与传统仅由一个系统管理员来维护用户权限相比,实现了分级授权和管理,有效提高了用户权限的管理效率;而且,由于各辖区仅能由对应的分级管理员分级授权,可实现不同辖区间的权限隔离和权限分配责任透明化。【
附图说明】
[0042] 为了更清楚地说明本发明
实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍。显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0043] 图1为本发明实施例提供的一种在数据库结构设计上的用户分级授权管理
流程图;
[0044] 图2为本发明实施例提供的一种数据库表结构设计的示意图;
[0045] 图3为本发明实施例提供的一种在信息系统功能实现上的用户分级授权管理流程图;
[0046] 图4为本发明实施例提供的一种信息系统涉及四个行政区划级别时的分级授权和管理流程图;
[0047] 图5为本发明实施例提供的一种四级分级管理员的级别示意图;
[0048] 图6为本发明实施例提供的一种信息系统的用户分级授权管理装置架构图。【具体实施方式】
[0049] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0050] 在本发明各实施例中,符号“/”表示同时具有两种功能的含义,而对于符号“A和/或B”则表明由该符号连接的前后对象之间的组合包括“A”、“B”、“A和B”三种情况。
[0051] 此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。下面就参考附图和实施例结合来详细说明本发明。
[0052] 实施例1:
[0053] 本发明实施例提供了一种信息系统的用户分级授权管理方法,希望按照行政区划级别实现分级授权,即通过对各行政级别下的各个行政区划辖区分别设置分级管理员,并由分级管理员为对应辖区设置及管理系统权限,来解决传统系统中只能由一个系统管理员为所有用户设置系统权限的问题。
[0054] 传统方案中,在信息系统后台数据库的结构设计上,主要设计实体表和关系表这两类数据表,系统权限管理由实体表和关系表来设计并存储记录。本发明实施例中,在信息系统后台数据库的结构设计上除了实体表和关系表以外,还新增了分级授权相关表,系统权限管理由实体表、关系表和分级授权相关表这三类数据表来设计并存储记录,进而实现通过分级管理员来分级授权和分级管理。
[0055] 参考图1,在信息系统后台数据库的结构设计上来分析,本发明实施例提供的用户分级授权管理方法主要通过以下步骤实现:
[0056] 步骤201,在数据库中创建多个实体表,以便信息系统实现各类实体管理。
[0057] 结合图2,所述实体表主要用于存储各类实体信息,包括用户表、角色表、系统菜单表、系统权限表和机构部门表;相应地,所述实体管理包括用户管理、角色管理、菜单管理、权限管理和机构部门管理。其中,各实体表的作用和组成具体如下:
[0058] 所述用户表用于存储信息系统中各用户的基本信息,包括用户名、用户账号、用户登录密码、用户所属行政区划(通常为对应的行政区划编码)、用户所属机构ID和用户所属部门ID等信息中的一项或多项;
[0059] 所述角色表用于存储信息系统中各角色的基本信息,包括角色名、角色代码、角色所属机构ID和角色所属部门ID等信息中的一项或多项;
[0060] 所述系统菜单表用于存储信息系统中所有的菜单信息,包括菜单名、菜单代码、菜单调用模块代码和菜单类型等信息中的一项或多项;
[0061] 所述系统权限表用于存储信息系统中所有的权限信息,包括权限名和权限编号等;
[0062] 所述机构部门表用于存储信息系统中所有的机构及部门信息,包括机构或部门名称、机构或部门编号、机构或部门所属行政区划(通常为对应的行政区划编码)以及部门所属机构等信息中的一项或多项。
[0063] 步骤202,在数据库中创建多个关系表,以便信息系统实现各类实体之间的关联。
[0064] 继续结合图2,所述关系表主要用于存储各实体表的关系数据,包括用户角色关联表、角色菜单关联表、菜单权限关联表和角色权限关联表,图2中分别又被称为用户角色表、角色菜单权限表、菜单权限表和角色功能权限表;所述实体之间的关联包括用户关联角色、角色关联菜单和菜单关联权限。其中,各关系表的作用和组成具体如下:
[0065] 所述用户角色关联表连接用户表和角色表,用于存储信息系统中每个用户所拥有的角色,即每个用户都拥有哪些角色;
[0066] 所述角色菜单关联表连接角色表和系统菜单表,用于存储信息系统中每个角色所拥有的菜单权限,即每个角色都拥有哪些菜单权限;
[0067] 所述菜单权限关联表连接系统菜单表和系统权限表,用于存储信息系统中每个菜单所拥有的系统权限,即每个菜单都拥有哪些系统权限;
[0068] 所述角色权限关联表连接角色表和系统权限表,用于存储信息系统中每个角色所拥有的系统权限,即每个角色都拥有哪些系统权限。
[0069] 步骤203,在数据库中创建分级授权相关表,以便信息系统为各行政区划级别下的各行政区划辖区分别设置分级管理员,由所述分级管理员负责其对应辖区内用户的权限管理,进而实现分级授权管理。
[0070] 继续结合图2,所述分级授权相关表主要用于存储分级授权的相关信息,包括菜单分级授权表和功能分级授权表。其中,所述菜单分级授权表中存储有每个分级管理员的菜单权限,具体字段包括用户名(即作为分级管理员的用户对应的用户名)和菜单编号,如图2所示;所述功能分级授权表中存储有每个分级管理员的系统权限,存储的具体字段包括用户名和权限编号,如图2所示。
[0071] 通过步骤201-步骤203可知,在后台数据库的结构设计上,本发明创建了实体表、关系表和分级授权相关表来存储各信息,为系统权限管理的设计提供基础。进一步地,在信息系统的功能实现上,具体可参考图3,用户的分级授权管理主要包括以下步骤:
[0072] 步骤301,信息系统根据数据库中各实体表的字段信息,实现用户管理、角色管理、菜单管理、权限管理和机构部门管理等基本管理功能。其中,各类实体的基本管理功能包括新增、
修改、查看和删除等。
[0073] 步骤302,信息系统根据数据库中各关系表的字段信息,实现用户关联角色、角色关联菜单和菜单关联权限,以实现系统用户具有系统操作权限的功能。如此一来,便可初始化各个用户拥有的角色、各角色拥有的系统权限等。
[0074] 步骤303,信息系统根据数据库中菜单分级授权表和功能分级授权表的字段信息,为各行政区划级别下的各行政区划辖区分别设置分级管理员,由所述分级管理员负责其对应辖区内用户的权限管理。具体过程如下:
[0075] 首先,将用户按照行政区划级别分为n个级别,并将最高级别的一个或多个用户设置为超级管理员;其中,n≥2,所述超级管理员为最高级别的分级管理员,拥有最高的系统权限和最多的分级权限。当然,作为最高级别的分级管理员,所述超级管理员通常拥有所有的分级权限。其中,在对用户进行分级时,具体可结合所述用户表中的用户所属行政区划编码来确定用户所属行政区划级别,进而确定用户的级别。
[0076] 其次,按照行政区划级别由高到低的顺序,由超级管理员开始逐级为相邻下一级别用户所在的辖区设置分级管理员,同时逐级为相邻下一级别的分级管理员授予分级权限。其中,在逐级设置分级管理员时,系统中仅允许各分级管理员为其相邻下一级别用户所在的辖区设置分级管理员,即各分级管理员仅能将其相邻下一级别辖区内的一个或多个用户(即下一级别用户)设置为该辖区(即下一级别辖区)对应的分级管理员;且在逐级授予分级权限时,各分级管理员仅能将其自身已有的部分分级权限授予相邻下一级别的分级管理员。以此类推,可使得各行政区划级别下的各行政区划辖区均拥有自己的分级管理员,且各分级管理员的分级授权的权限按照行政区划级别由高到低的顺序逐渐递减。
[0077] 在一个具体的实施例中,以常见的四个行政区划级别(即国家、省、市、区县)为例,则所述为各行政区划级别下的各行政区划辖区分别设置分级管理员,由所述分级管理员负责其对应辖区内用户的权限管理,即步骤303对应的分级授权管理的过程,具体可参考图4和图5,包括以下步骤:
[0078] 步骤401,将用户按照行政区划级别分为国家级用户、省级用户、市级用户和区县级用户。
[0079] 以云南省某省级国土信息系统为例,该系统的用户包括省级机关使用人员、云南省共16个市州的各个国土局各科室使用人员,以及云南省共129个区县的各个国土局国土所各科室使用人员。在该系统中,省级机关使用人员即为省级用户,云南省16个市州的各个国土局各科室使用人员即为市级用户,云南省129个区县的各个国土局国土所各科室使用人员即为区县级用户。如果是某个国家级的国土信息系统,则该系统的国家级机关使用人员即为对应的国家级用户。显然,按照国家级用户、省级用户、市级用户和区县级用户的顺序,用户级别逐渐降低。
[0080] 步骤402,选取一个或多个国家级用户作为国家级管理员,所述国家级管理员拥有最高的系统权限和最多的分级权限。
[0081] 所述国家级用户为级别最高的用户,所述信息系统初始化设置一个或多个国家级用户为国家级管理员,则所述国家级管理员相应地为级别最高的分级管理员,拥有最高系统权限,同时还拥有所有的分级权限,以便分配给下级的分级管理员。其中,所述国家级管理员可设置一个或多个,具体可根据实际应用需要来选择,在此不做限定。另外,所述国家级管理员主要负责对其辖区内的用户(即国家级用户)授予菜单权限和系统权限。
[0082] 步骤403,所述国家级管理员对应全国各省分别选取一个或多个省级用户作为省级管理员,并将自身已有的部分分级权限授予各省级管理员。
[0083] 所述国家级管理员可设置全国各省级用户为省级管理员;其中,对于每个省级辖区,对应的省级管理员可设置一个或多个,具体可根据实际应用需要来选择,在此不做限定。另外,所述省级管理员主要负责对其所属省内的用户(即省级用户)授予菜单权限和系统权限。
[0084] 步骤404,所述省级管理员对应全省各市分别选取一个或多个市级用户作为市级管理员,并将自身已有的部分分级权限授予各市级管理员。
[0085] 所述省级管理员可设置所属省内各市级用户为市级管理员,例如,湖北省的省级管理员可设置湖北省所辖各个市州级别的用户为市级管理员。其中,对于每个市级辖区,对应的市级管理员可设置一个或多个,具体可根据实际应用需要来选择,在此不做限定。另外,所述市级管理员主要负责对其所属市内的用户(即市级用户)授予菜单权限和系统权限。
[0086] 步骤405,所述市级管理员对应全市各区县分别选取一个或多个区县级用户作为区县级管理员,并将自身已有的部分分级权限授予各市级管理员。
[0087] 所述市级管理员可设置所属市内各区县级用户为区县级管理员,例如,武汉市的市级管理员可设置武汉市所辖各个区县级的用户为区县级管理员。对于每个区县级辖区,对应的区县级管理员可设置一个或多个,具体可根据实际应用需要来选择,在此不做限定。另外,所述区县级管理员主要负责对其所属区县内的用户(即区县级用户)授予菜单权限和系统权限。
[0088] 结合步骤401-步骤405可知,只有分级管理员可对用户授予菜单权限及系统权限(也称功能权限),且所述分级管理员只能对其对应辖区内的用户授予菜单权限及系统权限。各分级管理员在设置其下级别的用户为下级别的分级管理员时,只能从其自身已有的分级权限中分配部分分级权限给用户,而自身不包含的分级权限无法分配给下级别的分级管理员。
[0089] 参考图5,各分级管理员所在的圆圈即可表示该分级管理员对应负责的辖区,图中以每个辖区对应设置一个分级管理员为例,各分级管理员主要负责对其辖区内的用户授予菜单权限和系统权限;同时,各分级管理员还负责设置下一级别的分级管理员,并授予分级授权给下一级别的分级管理员。
[0090] 需要说明的是,上述实施例是以信息系统涉及四个行政区划级别(即国家、省、市、区县)为例展开说明。在可选的实施例中,信息系统还可能仅涉及其中两个或三个行政区划级别,例如,涉及国家和省,或省和市,或者市和区县,或者省、市和区县;当然,还有可能涉及更多的行政区划级别,例如,区县的下一级还有乡镇、村庄等。无论行政区划级别的数量如何,分级授权和分级管理的方法均可参考上述涉及四个行政区划级别时的实施例,使得各行政区划级别下的各行政区划辖区均拥有自己的分级管理员,由分级管理员负责其对应辖区内的用户权限管理,且各分级管理员的分级授权的权限按照行政区划级别由高到低的顺序逐渐递减。
[0091] 在优选的实施例中,可以waf4
框架为基础,利用java语言编程,将oracle作为后台数据库,以图2中提供的数据表结构为基础,实现系统相关功能,从而更好地实现信息系统的用户分级授权和分级管理。
[0092] 本发明与现有技术的共同特征在于:在数据结构设计上,系统权限管理部分都包含各类实体表和关系表,这些表设计实现了系统通过用户、角色、菜单、权限来管理系统授权。相应地,在系统功能实现上,都实现了用户管理、角色管理、权限管理、菜单管理等功能。
[0093] 本发明与现有技术的不同特征在于:在数据结构设计上,新增了菜单分级授权表、功能分级授权表,新增的两张表存储了分级管理、分级授权的信息;其中,菜单分级授权表存储分级管理员的分级菜单权限,功能分级授权表存储分级管理员的分级功能权限。相应地,在系统功能实现上,由超级管理员作为最高级别的分级管理员,按行政区划逐级为相邻的下一级别用户设置分级管理员,分级权限也由超级管理员往下逐级为相邻的分级管理员授予分级权限,最终实现各个行政级别、行政区划辖区的用户均由本级分级管理员来管理、授权的目的。
[0094] 综上可知,本发明实施例提供的用户分级授权管理方法中,在传统数据库结构的基础上新增了菜单分级授权表和功能分级授权表,基于分级授权表,信息系统可为各行政区划级别下的各行政区划辖区分别设置分级管理员,由分级管理员负责其对应辖区内用户的权限管理。与传统仅由一个系统管理员来维护用户权限相比,实现了分级授权和管理,有效提高了用户权限的管理效率;而且,由于按照行政级别和行政区划辖区来划分各个分级管理员,各辖区仅能由对应的分级管理员分级授权,可实现不同辖区间的权限隔离和权限分配责任透明化。
[0095] 实施例2:
[0096] 在上述实施例1提供的信息系统的用户分级授权管理方法的基础上,本发明还提供了一种可用于实现上述方法的信息系统的用户分级授权管理装置,如图6所示,是本发明实施例的装置架构示意图。本实施例的信息系统的用户分级授权管理装置包括一个或多个处理器21以及存储器22。其中,图6中以一个处理器21为例。
[0097] 所述处理器21和所述存储器22可以通过总线或者其他方式连接,图6中以通过总线连接为例。
[0098] 所述存储器22作为一种信息系统的用户分级授权管理方法非易失性计算机可读存储介质,可用于存储非易失性
软件程序、非易失性计算机可执行程序以及模块,如实施例1中的信息系统的用户分级授权管理方法。所述处理器21通过运行存储在所述存储器22中的非易失性软件程序、指令以及模块,从而执行信息系统的用户分级授权管理装置的各种功能应用以及
数据处理,即实现实施例1的信息系统的用户分级授权管理方法。
[0099] 所述存储器22可以包括高速
随机存取存储器,还可以包括
非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,所述存储器22可选包括相对于所述处理器21远程设置的存储器,这些远程存储器可以通过网络连接至所述处理器21。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
[0100] 所述程序指令/模块存储在所述存储器22中,当被所述一个或者多个处理器21执行时,执行上述实施例1中的信息系统的用户分级授权管理方法,例如,执行以上描述的图1、图3和图4所示的各个步骤。
[0101] 本领域普通技术人员可以理解实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的
硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:
只读存储器(ROM,Read Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁盘或光盘等。
[0102] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
