技術(shù)領(lǐng)域

本發(fā)明涉及一種權(quán)限管理方法及系統(tǒng)。

背景技術(shù)

對于傳統(tǒng)Web系統(tǒng)，我們一般采用Filter完成權(quán)限驗證，無需再各個程序入口進(jìn)行權(quán)限判斷。程序偽代碼如下：

對于傳統(tǒng)的Filter技術(shù)使用和設(shè)計比較繁瑣，對于按鈕級和數(shù)據(jù)級權(quán)限更難以控制。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是提供一種利用Shiro對Spring?MVC?Web系統(tǒng)進(jìn)行權(quán)限管理的方法及系統(tǒng)。

本發(fā)明解決上述技術(shù)問題的技術(shù)方案如下：一種權(quán)限管理方法，包括以下步驟：

步驟1：創(chuàng)建用于定義所有權(quán)限主體及與每個權(quán)限主體對應(yīng)的資源訪問權(quán)限信息的樹形結(jié)構(gòu)；

步驟2：以用戶權(quán)限列表的方式展示樹形結(jié)構(gòu)中存儲的所有權(quán)限主體及每個權(quán)限主體對應(yīng)的資源訪問權(quán)限信息；

步驟3：當(dāng)接收到用戶發(fā)送的登陸請求時，緩存登陸請求中的用戶信息；

步驟4：當(dāng)用戶登陸成功后，根據(jù)緩存的用戶信息查找用戶權(quán)限列表，得到與該用戶對應(yīng)的資源訪問權(quán)限信息；

步驟5：當(dāng)檢測到用戶請求對任一資源的訪問時，根據(jù)該用戶的資源訪問權(quán)限判斷用戶是否有權(quán)限訪問該請求的資源，如果用戶具有訪問權(quán)限，允許用戶訪問資源，否則，執(zhí)行步驟6；

步驟6：結(jié)束處理。

本發(fā)明的有益效果是：本發(fā)明所述權(quán)限管理系統(tǒng)設(shè)置的角色、用戶、機構(gòu)、資源授權(quán)模塊以樹形方式展示權(quán)限主體(用戶，角色，部門/機構(gòu))以及資源，區(qū)別于傳統(tǒng)的基于角色訪問控制模型(RBAC),增加了資源的管理與權(quán)限控制，規(guī)范了用戶的操作行為；采用分布式緩存系統(tǒng)Reids進(jìn)行用戶會話與授權(quán)管理，使系統(tǒng)輕松部署成分布式系統(tǒng)，大大提供系統(tǒng)的性能；日志模塊采用Spring?MVC攔截器機制，輕松將用戶的操作行為自動記錄到數(shù)據(jù)庫中；所述的權(quán)限管理系統(tǒng)可以用于任何B/S結(jié)構(gòu)的CRM、ERP、OA、CMS等系統(tǒng)中，具備良好的軟件升級機制、完善的優(yōu)越性，極大的減少了系統(tǒng)維護(hù)、管理、升級成本；所述權(quán)限管理系統(tǒng)采用純JAVA6的開發(fā)語言，使用技術(shù)具有良好的兼容性，可兼容Linux/Windos/Unix/Solaris等操作系統(tǒng)。

在上述技術(shù)方案的基礎(chǔ)上，本發(fā)明還可以做如下改進(jìn)。

進(jìn)一步，所述步驟3和步驟4之間還包括步驟3.1：使用開源安全框架Shiro實現(xiàn)對用戶信息的安全認(rèn)證。

進(jìn)一步，所述步驟5中還包括，在用戶具有訪問權(quán)限訪問資源時，對用戶信息進(jìn)行安全認(rèn)證；及用戶在退出登陸時對用戶信息進(jìn)行安全認(rèn)證。

進(jìn)一步，所述步驟3中還包括將用戶信息存儲于日志記錄中。

進(jìn)一步，所述資源訪問權(quán)限信息中的最小顆粒權(quán)限的種類包括查詢、新增、修改和刪除。

進(jìn)一步，一種權(quán)限管理系統(tǒng)，包括創(chuàng)建模塊、展示模塊、緩存模塊、查找模塊和判斷模塊；

所述創(chuàng)建模塊，用于創(chuàng)建定義所有權(quán)限主體及與每個權(quán)限主體對應(yīng)的資源訪問權(quán)限信息的樹形結(jié)構(gòu)，所述權(quán)限主體中包括用戶信息；

所述展示模塊，用于以用戶權(quán)限列表的方式展示樹形結(jié)構(gòu)中存儲的所有權(quán)限主體及每個權(quán)限主體對應(yīng)的資源訪問權(quán)限信息；

所述緩存模塊，用于當(dāng)接收到用戶發(fā)送的登陸請求時，緩存登陸請求中的用戶信息；

所述查找模塊，用于當(dāng)用戶登陸成功后，根據(jù)緩存的用戶信息查找用戶權(quán)限列表，得到與該用戶對應(yīng)的資源訪問權(quán)限信息；

所述判斷模塊，用于當(dāng)檢測到用戶請求對任一資源的訪問時，根據(jù)該用戶的資源訪問權(quán)限判斷用戶是否有權(quán)限訪問該請求的資源，如果用戶具有訪問權(quán)限，允許用戶訪問資源，否則，結(jié)束處理。

進(jìn)一步，所述緩存模塊和查找模塊之間還包括認(rèn)證模塊：使用開源安全框架Shiro實現(xiàn)對用戶信息的安全認(rèn)證。

進(jìn)一步，所述判斷模塊中還用于：在用戶具有訪問權(quán)限訪問資源時，對用戶信息進(jìn)行安全認(rèn)證；及用戶在退出登陸時對用戶信息進(jìn)行安全認(rèn)證。

進(jìn)一步，所述緩存模塊還用于將用戶信息存儲于日志記錄中。

進(jìn)一步，所述資源訪問權(quán)限信息中的最小顆粒權(quán)限的種類包括查詢、新增、修改和刪除。

附圖說明

圖1為本發(fā)明方法步驟流程圖；

圖2為本發(fā)明裝置結(jié)構(gòu)圖。

附圖中，各標(biāo)號所代表的部件列表如下：

1、創(chuàng)建模塊，2、展示模塊，3、緩存模塊，4、查找模塊，5、判斷模塊，6、認(rèn)證模塊。

具體實施方式

以下結(jié)合附圖對本發(fā)明的原理和特征進(jìn)行描述，所舉實例只用于解釋本發(fā)明，并非用于限定本發(fā)明的范圍。