技術領域

本發明涉及權限管理技術，具體而言，涉及一種分層授權管理方法和裝置。

背景技術

當今的企業信息化程度越來越高，使用的軟件系統功能越來越豐富，參與的人員越來越多，對軟件系統的安全要求越來越高。如果授權系統設計不合適，將大大增加管理成本，降低企業使用系統的實時性，進而降低軟件系統的應用效果。因此，如何對軟件系統的人員進行授權就變得越來越重要。

當前的管理軟件解決權限授權問題主要有以下幾個方法：1)建立系統管理員，系統管理員擁有所有的權限，通過管理員對普通業務用戶進行授權，如果普通用戶較多，允許建立多個系統管理員。該方法的優點是程序比較簡單，使用也比較簡單。存在的問題是不符合系統的管理，用戶的權限分配不應由系統管理員分配，而應該是由其業務主管來管理，另外，出于系統安全的考慮，所有系統管理員有全部的軟件系統授權權力也是不合適的，特別是對于沒有對授權建立權限安全審計，不能對授權及應用操作不能追蹤的系統，存在的問題更嚴重。2)另一種比較常見的處理授權管理的方法是將自己擁有的權限轉授給其他人。通常在用戶上設置一個標識——是否管理員。如果是管理員，則可以將自己擁有的權限部分或全部轉授給其他人。而獲得轉授權限的人也必須是具有管理員標識的，他可以將自己獲得的授權再進行轉授，實現分層授權的目的。該方法的優勢是授權模型比較簡單，也可在一定程度上實現分層授權管理的功能。存在的問題是，授權其實是一項業務，安全要求比較高時，不僅要求授權者擁有哪些授權的權力，還要限制其能夠授權的角色、用戶、組織等。

因此，需要一種效率更高、安全性更好的授權管理方式，能夠按照組織、按照職能，對用戶自己負責的業務功能模塊、自己管理的業務操作人員進行授權管理。

發明內容

本發明所要解決的技術問題在于，提供一種效率更高、安全性更好的授權管理方式，能夠按照組織、按照職能，對用戶自己負責的業務功能模塊、自己管理的業務操作人員進行授權管理。

有鑒于此，本發明提供一種分層授權管理方法，包括：管理員根據其具有的授權資源，為指定用戶分配一個授權角色，使所述用戶具有對分配授權角色具有的授權資源進行授權的權限，使所述用戶成為新的管理員。通過該技術方案，管理員可以靈活地根據組織、職能，指定新的管理員并賦予其管理員權限。

在上述技術方案中，優選地，所述管理員根據其具有的授權資源制定授權角色，并為制定的授權角色分配對應的授權資源，所述管理員具有的授權資源包括所述制定的授權角色具有的授權資源。通過該技術方案，可以實現授權角色的靈活配置，且授權角色具有的權限資源限制在管理員具有的權限資源內，保證了一定的安全性。

在上述技術方案中，優選地，預置授權資源類型，所述管理員為所述制定的授權角色分配預置的授權資源類型對應的授權資源。

在上述技術方案中，優選地，所述授權資源類型包括角色，所述角色包括授權角色。

在上述技術方案中，優選地，通過保存授權資源注冊信息來預置所述授權資源類型，所述授權資源注冊信息包括：編碼信息，標識所述授權資源類型；名稱信息，標識所述授權資源類型的名稱；實體信息，標識所述授權資源類型的元數據信息；界面注冊信息，供所述管理員根據所述授權資源類型選擇所述制定的授權角色的授權資源；處理器信息，為指定業務對象分配授權資源類型，并將所述指定業務對象作為所述分配的授權資源類型的授權資源。

本發明還提供了一種分層授權管理裝置，包括：授權模塊，供管理員根據其具有的授權資源，為指定用戶分配一個授權角色，使所述用戶具有對分配授權角色具有的授權資源進行授權的權限，使所述用戶成為新的管理員。通過該技術方案，管理員可以靈活地根據組織、職能，指定新的管理員并賦予其管理員權限。

在上述技術方案中，優選地，還包括：授權角色管理模塊，供所述管理員根據其具有的授權資源制定授權角色，并為制定的授權角色分配對應的授權資源，所述管理員具有的授權資源包括所述制定的授權角色具有的授權資源。通過該技術方案，可以實現授權角色的靈活配置，且授權角色具有的權限資源限制在管理員具有的權限資源內，保證了一定的安全性。

在上述技術方案中，優選地，還包括：授權資源注冊模塊，預置授權資源類型，所述管理員為所述制定的授權角色分配預置的授權資源類型對應的授權資源。

在上述技術方案中，優選地，所述授權資源類型包括角色，所述角色包括授權角色。