對企業信息管理系統中的用戶賬戶下發權限的方法
【專利摘要】本發明提供了一種對企業信息管理系統中的用戶賬戶下發權限的方法,該方法包括:設置用戶賬戶的基本權限屬性;根據所述基本權限屬性生成所述用戶賬戶的基本權限碼;設置所述用戶賬戶的額外權限屬性;根據所述額外權限屬性生成所述用戶賬戶的額外權限碼;將所述額外權限碼疊加至所述基本權限碼上以形成總權限碼;根據所述總權限碼為所述用戶賬戶下發相應的用戶權限。實施本發明可以提升企業信息管理系統中權限調整的靈活性,以及避免現有的權限調整中出現的安全風險。
【專利說明】
對企業信息管理系統中的用戶賬戶下發權限的方法
技術領域
[0001]本發明涉及信息管理系統中權限控制領域,尤其涉及一種對企業信息管理系統中的用戶賬戶下發權限的方法。
【背景技術】
[0002]在企業信息管理系統中,對系統信息的權限控制是衡量一個系統能否滿足用戶需要的核心功能,也是系統安全體系、用戶體驗的重要組成部分。系統中包含的諸多功能要針對不同等級的用戶實現差別化展現,其目的是使用戶在系統中的操作權限與其實際工作中所取得的權限相匹配,例如用戶登錄系統后,判斷該用戶具有增加、刪除、修改、查詢、審批等哪些權限,以及上述權限適用于哪些模塊和其涉及的數據范圍。不同等級的用戶其具有的權限不同,例如生產部門中,部門管理員用戶具有多種權限,例如查詢生產數據權限、查詢本部門內所有員工考勤數據的權限、查詢本部門內公費支出權限,而該生產部門中的生產操作員用戶僅具有查看生產數據的權限。
[0003]進一步地,成熟的權限控制還包括快速調整權限和分發權限的方面,即允許系統的管理員將新的權限賦予系統中的用戶,或調整系統中的用戶已取得的權限,這有助于系統靈活地應對人事變動,以及靈活地實現部門間協作完成某一工作任務。
[0004]現有的企業信息管理系統使用數據庫來實現權限映射,例如通過預先定義的數據庫表來存儲用戶及其對應的權限項。一旦涉及對用戶的權限的調整,需要企業信息管理系統的開發者調整數據庫表才可實現,因此增加了額外的維護成本。
[0005]—些企業信息管理系統具有一維的權限管理結構,即僅通過一個系統管理員進行權限管理,這種權限管理的方式僅適用于中小型企業,對于包括多個子單位的大型集團企業并不適用,因為負責權限管理的管理員工作量過大。另一些企業信息管理系統具有復雜的定義權限和管理權限的規則,但是其權限管理的基本邏輯是按照匹配實際組織機構向下管理的邏輯來實現,即當前用戶的所有權限只適用于其所在單位下級單位進行分配和操作,技術上無法對同級單位信息進行授權或下級單位操作上級單位授權。例如集團內第一公司的用戶原則上的所有授權只能針對第一公司及下屬單位,權限管理員無法授權第一公司的用戶對第二公司的數據進行操作,但在實際使用中,卻時常有這樣的需求,如單位間互相檢查業務或審核。正常邏輯下,兩個同級級單位之間、下級和上級單位之間,是不能進行數據操作的,要操作,只能將一個單位用戶在系統上做“單位調動”達到從新定崗的調整,這具有相當大操作風險。
【發明內容】
[0006]為了克服現有技術中的上述缺陷,本發明提供了一種對企業信息管理系統中的用戶賬戶下發權限的方法,該方法包括:
[0007]設置用戶賬戶的基本權限屬性;
[0008]根據所述基本權限屬性生成所述用戶賬戶的基本權限碼;
[0009]設置所述用戶賬戶的額外權限屬性;
[0010]根據所述額外權限屬性生成所述用戶賬戶的額外權限碼;
[0011]將所述額外權限碼疊加至所述基本權限碼上以形成總權限碼;
[0012]根據所述總權限碼為所述用戶賬戶下發相應的用戶權限。
[0013]根據本發明的一個方面,該方法中所述基本權限屬性包括單位屬性;所述單位屬性根據所述用戶賬戶所歸屬的組織機構樹生成。
[0014]根據本發明的另一個方面,該方法中所述基本權限屬性還包括角色屬性;所述角色屬性根據系統管理員的自定義操作生成。
[0015]根據本發明的另一個方面,該方法中所述基本權限屬性還包括崗位屬性;所述崗位屬性根據所述用戶賬戶所對應的特定業務操作生成。
[0016]根據本發明的另一個方面,該方法中所述基本權限屬性還包括部門屬性;所述部門屬性根據所述組織機構樹生成。
[0017]根據本發明的另一個方面,該方法中根據所述總權限碼為所述用戶賬戶下發相應的用戶權限包括:解析所述總權限碼以獲得所述用戶權限對應的頁面控件ID;呈現所述頁面控件ID對應的頁面控件。
[0018]根據本發明的另一個方面,該方法中所述額外權限屬性根據系統管理員或上級用戶向所述用戶賬戶配置的額外權限生成。
[0019]本發明對企業信息管理系統中的用戶賬戶下發權限的方法通過權限碼來實現對權限的下發,該權限碼由基本權限碼和額外權限碼疊加形成,其中基本權限碼是根據用戶賬戶的基本權限屬性生成的,其作用是為用戶賬戶分配了日常工作所具備的權限;額外權限碼是根據用戶賬戶的額外權限屬性生成的,其作用是在不更改用戶賬戶的組織機構歸屬關系的情況下進行動態的權限調整。實施本發明可以提升企業信息管理系統中權限調整的靈活性,以及避免現有的權限調整中出現的安全風險。
【附圖說明】
[0020]通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述,本發明的其它特征、目的和優點將會變得更明顯:
[0021]圖1是根據本發明的對企業信息管理系統中的用戶賬戶下發權限的方法的一種【具體實施方式】的流程圖;
[0022]圖2至圖4是組織機構樹的實施例的邏輯結構示意圖;
[0023]附圖中相同或相似的附圖標記代表相同或相似的部件。
【具體實施方式】
[0024]為了更好地理解和闡釋本發明,下面將結合附圖對本發明作進一步的詳細描述。
[0025]本發明提供了一種巡檢系統中傳輸數據的方法,請參考圖1,圖1是根據本發明的對企業信息管理系統中的用戶賬戶下發權限的方法的一種【具體實施方式】的流程圖,該方法包括:
[0026]步驟S100,設置用戶賬戶的基本權限屬性;
[0027]步驟S200,根據所述基本權限屬性生成所述用戶賬戶的基本權限碼;
[0028]步驟S300,設置所述用戶賬戶的額外權限屬性;
[0029]步驟S400,根據所述額外權限屬性生成所述用戶賬戶的額外權限碼;
[0030]步驟S500,將所述額外權限碼疊加至所述基本權限碼上以形成總權限碼;
[0031]步驟S600,根據所述總權限碼為所述用戶賬戶下發相應的用戶權限。
[0032]本領域技術人員可以理解,所述用戶賬戶映射的是現實中使用該用戶賬戶登錄企業信息管理系統的操作人員,該操作人員具有現實中的人事歸屬關系、工作職責以及工作目標,為使用企業信息管理系統完成所述工作職責或達到所述工作目標,所述企業信息管理系統需要為所述用戶賬戶分配基本的操作權限。
[0033]具體地,在步驟SlOO中,首先設置用戶賬戶的基本權限屬性,所述基本權限屬性用于定義或映射所述用戶賬戶具備的基本權限,典型地,所述基本權限屬性包括單位屬性,所述單位屬性根據所述用戶賬戶所歸屬的組織機構樹生成。其中所述組織機構樹是用于定義所述企業信息管理系統中全局用戶賬戶的組織機構歸屬關系、上下級關系以及職能范圍的數據結構,該組織機構樹通常根據所述企業信息管理系統所匹配的企業的實際行政結構來構建。例如所述用戶賬戶的操作人員隸屬于第一集團的第一分公司的行政部門,則所述單位屬性相應地記錄所述第一集團、所述第一分公司、所述行政部門及其上下級歸屬關系,并映射所述第一集團的第一分公司的行政部門的一項或多項工作子權限。
[0034]可選地,所述基本權限屬性還包括角色屬性,所述角色屬性根據系統管理員的自定義操作生成,為所述用戶賬戶定義該角色屬性的目的一方面是標記出所述用戶賬戶在角色分配上具有的權限,另一方面是便于系統管理員在其授權范圍內批量將同一組權限授權給多個所述用戶賬戶。例如所述用戶賬戶的操作人員具有報銷權限,則所述角色屬性標記出所述用戶賬戶映射報銷權限中的一項或多項子權限,包括審批、核定等。
[0035]可選地,所述基本權限屬性還包括崗位屬性,所述崗位屬性根據所述用戶賬戶所對應的特定業務操作生成。所述特定業務操作是所述用戶賬戶的操作人員完成特定工作任務所需進行的操作,所述特定工作任務與所述操作人員在行政人事關系中實際定義的崗位有關,可以根據所述操作人員的日常工作任務確定,也可以根據所述操作人員的崗位歸屬關系派發至所述操作人員工作內容中的崗位任務來確定。例如所述用戶賬戶的操作人員具有安全巡檢的工作任務,相應地所述崗位屬性標記出所述用戶賬戶屬于安全崗位,并映射所述安全崗位的一項或多項安全工作子權限,通常具有相同的崗位屬性的多個用戶賬戶屬于同一用戶組。本領域技術人員可以理解,具有相同的單位屬性的一組用戶賬戶可以具有不同的崗位屬性,例如歸屬于設備管理部門的一組用戶賬戶可以分別配置其對應安全崗位、巡檢崗位、后勤崗位等。
[0036]可選地,所述基本權限屬性還包括部門屬性,所述部門屬性根據所述組織機構樹生成。所述部門屬性用于標記出所述用戶賬戶在所述組織機構樹中的所歸屬的具體部門。例如標記出所述用戶賬戶是屬于財務部、人力資源部還是行政部。
[0037]在步驟SlOO中設置了所述用戶賬戶的基本權限屬性,進一步在步驟S200根據所述基本權限屬性生成所述用戶賬戶的基本權限碼,典型地,所述基本權限碼中包括用于標識出所述基本權限屬性的字段或標識符。
[0038]進一步地考慮到為了在不造成安全風險的情況下賦予所述用戶賬戶新的權限,在步驟S300中設置所述用戶賬戶的額外權限屬性,典型地,所述額外權限屬性根據系統管理員或上級用戶向所述用戶賬戶配置的額外權限生成,其中所述系統管理員或所述上級用戶指的是所述企業信息管理系統中具有管理所述用戶賬戶的權限的其他用戶賬戶。例如所述用戶賬戶是行政部的普通職員用戶,則所述上級用戶可以是行政部部長級別的用戶,也可以是所述行政部的上級主管部門的負責人用戶。相應地,在步驟S400中,根據所述額外權限屬性生成所述用戶賬戶的額外權限碼,所述額外權限碼中包括用于標識出所述額外權限屬性的字段或標識符。
[0039]在步驟S500中,將所述額外權限碼疊加至所述基本權限碼上以形成總權限碼,形成所述總權限碼的具體方式可以是將所述額外權限碼和所述基本權限碼進行簡單合并、去重合并或使用合適的計算機算法進行數學變換,所述總權限碼中包括用于標識出所述基本權限屬性和所述額外權限屬性的字段或標識符。生成該總權限碼的目的是在所述用戶賬戶成功登入所述企業信息管理系統后,所述企業信息管理系統可以根據該總權限碼為所述用戶賬戶分配相應的一組系統操作權限。
[0040]對所述總權限碼的操作具體過程如步驟S600所述,根據所述總權限碼為所述用戶賬戶下發相應的用戶權限。所述用戶權限應包括所述基本權限碼映射的基本權限和所述額外權限碼映射的額外權限。以所述企業信息管理系統實施為B/S模式為例,所述用戶賬戶與系統服務器的交互最終通過呈現在用戶終端上的Web頁面來實現,因此根據所述總權限碼為所述用戶賬戶下發相應的用戶權限可以包括如下步驟:首先解析所述總權限碼以獲得所述用戶權限對應的頁面控件ID,進一步呈現所述頁面控件ID對應的頁面控件。具體而言,所述用戶賬戶的交互頁面中呈現的頁面控件是與所述頁面控件ID—一對應的,同時也與所述用戶權限一一對應。相應地,與所述用戶權限無關的其他頁面控件在構建所述交互頁面時進行隱藏化處理,或不選用于構建所述交互頁面。
[0041]需要說明的是,盡管在附圖中以特定順序描述了本發明方法的操作,但是,這并非要求或者暗示必須按照該特定順序來執行這些操作,或是必須執行全部所示的操作才能實現期望的結果。相反,流程圖中描繪的步驟可以改變執行順序。附加地或備選地,可以省略某些步驟,將多個步驟合并為一個步驟執行,和/或將一個步驟分解為多個步驟執行。
[0042]考慮到組織機構樹是構成權限系統的重要因素,也是確定所述基本權限屬性的重要因素。下文中將對幾種常見的組織機構數,請參考圖2至圖4,圖2至圖4是組織機構樹的實施例的邏輯結構示意圖。其中圖2示出了所述組織機構樹是單樹的邏輯結構,此類型的組織機構樹適用于構建一個獨立企業行政單位的權限系統,例如在一個公司下面包括多個平級的部門,如圖2示出的第一部門、第二部門和第三部門,每一所述平級的部門下直接包括相應的用戶賬戶。圖3示出了所述組織機構樹是集團樹的邏輯結構,此類型的組織機構樹適用于構建包括子單位和獨立部門的企業行政單位的權限系統,例如一個公司下面包括多個平級的子單位和部門,如圖3示出的一公司、二公司和財務部,相應地,所述子單位下可以包括更低一級別的子單位部門或子單位的子單位。圖4示出了所述組織機構樹是集團森林的邏輯結構,此類型的組織機構樹適用于構建包括多個集團且不包括單獨行政部門或用戶的企業行政機構的權限系統,例如圖4示出的多個平級集團:集團之一、集團之二和集團之三。本領域技術人員可以理解,企業信息管理系統中涉及的組織機構樹需要根據企業自身的行政機構劃分來確定。
[0043]本發明提供的對企業信息管理系統中的用戶賬戶下發權限的方法中涉及軟件邏輯的部分可以使用可編程邏輯器件來實現,也可以實施為計算機程序產品,該程序產品使計算機執行用于所示范的方法。所述計算機程序產品包括計算機可讀存儲介質,該介質上包含計算機程序邏輯或代碼部分,用于實現上述涉及軟件邏輯的部分的各個步驟。所述計算機可讀存儲介質可以是被安裝在計算機中的內置介質或者可從計算機主體拆卸的可移動介質(例如可熱拔插的存儲設備)。所述內置介質包括但不限于可重寫的非易失性存儲器,例如RAM、ROM和硬盤。所述可移動介質包括但不限于:光存儲媒體(例如⑶-ROM和DVD)、磁光存儲媒體(例如MO)、磁存儲媒體(例如磁帶或移動硬盤)、具有內置的可重寫的非易失性存儲器的媒體(例如存儲卡)和具有內置ROM的媒體(例如ROM盒)。
[0044]本領域技術人員應當理解,任何具有適當編程裝置的計算機系統都能夠執行包含在計算機程序產品中的本發明的方法的諸步驟。盡管本說明書中描述的多數【具體實施方式】都側重于軟件程序,但是以硬件方式實現本發明提供的方法的替代實施例同樣在本發明要求保護的范圍之內。
[0045]對于本領域技術人員而言,顯然本發明不限于上述示范性實施例的細節,而且在不背離本發明的精神或基本特征的情況下,能夠以其他的具體形式實現本發明。因此,應將實施例看作是示范性的,而且是非限制性的,本發明的范圍由所附權利要求而不是上述說明限定,在權利要求的等同要件的含義和范圍內的所有變化均涵括在本發明內。不應將權利要求中的任何附圖標記視為限制所涉及的權利要求。此外,顯然“包括”一詞不排除其他部件、單元或步驟,單數不排除復數。權利要求中陳述的多個部件、單元或裝置也可以由一個部件、單元或裝置通過軟件或者硬件來實現。
[0046]本發明對企業信息管理系統中的用戶賬戶下發權限的方法通過權限碼來實現對權限的下發,該權限碼由基本權限碼和額外權限碼疊加形成,其中基本權限碼是根據用戶賬戶的基本權限屬性生成的,其作用是為用戶賬戶分配了日常工作所具備的權限;額外權限碼是根據用戶賬戶的額外權限屬性生成的,其作用是在不更改用戶賬戶的組織機構歸屬關系的情況下進行動態的權限調整。實施本發明可以提升企業信息管理系統中權限調整的靈活性,以及避免現有的權限調整中出現的安全風險。
[0047]以上所披露的僅為本發明的一些較佳實施例,不能以此來限定本發明之權利范圍,依本發明權利要求所作的等同變化,仍屬本發明所涵蓋的范圍。
【主權項】
1.一種對企業信息管理系統中的用戶賬戶下發權限的方法,該方法包括: 設置用戶賬戶的基本權限屬性; 根據所述基本權限屬性生成所述用戶賬戶的基本權限碼; 設置所述用戶賬戶的額外權限屬性; 根據所述額外權限屬性生成所述用戶賬戶的額外權限碼; 將所述額外權限碼疊加至所述基本權限碼上以形成總權限碼; 根據所述總權限碼為所述用戶賬戶下發相應的用戶權限。2.根據權利要求1所述的方法,其中: 所述基本權限屬性包括單位屬性; 所述單位屬性根據所述用戶賬戶所歸屬的組織機構樹生成。3.根據權利要求2所述的方法,其中: 所述基本權限屬性還包括角色屬性; 所述角色屬性根據系統管理員的自定義操作生成。4.根據權利要求2或3所述的方法,其中: 所述基本權限屬性還包括崗位屬性; 所述崗位屬性根據所述用戶賬戶所對應的特定業務操作生成。5.根據權利要求4所述的方法,其中: 所述基本權限屬性還包括部門屬性; 所述部門屬性根據所述組織機構樹生成。6.根據權利要求1所述的方法,其中,根據所述總權限碼為所述用戶賬戶下發相應的用戶權限包括: 解析所述總權限碼以獲得所述用戶權限對應的頁面控件ID; 呈現所述頁面控件ID對應的頁面控件。7.根據權利要求1所述的方法,其中: 所述額外權限屬性根據系統管理員或上級用戶向所述用戶賬戶配置的額外權限生成。
【文檔編號】G06F21/45GK105912924SQ201610203752
【公開日】2016年8月31日
【申請日】2016年4月1日
【發明人】劉龍昌, 高亮
【申請人】北京元心科技有限公司