一種面向對象的用戶角色資源權限模型管理方法，在安全模型中用戶、角色、資源三種對象關系劃分的基礎上增加用戶與資源的劃分、角色與角色的劃分。把對象的關系從樹形結構拓展為網狀結構。增加資源對象的屬性，使權限不僅管理功能也能管理數據。利用算法的優化提高資源檢索定位效率。新的方法使安全模型更加真實的反映現實情況，簡化應用操作。同時把權限管理集中在MVC模式中的控制層，強調持久層與數據權限分離，即增加權限分配的靈活性又避免了系統的修改調整。

技術領域

本發明屬于計算機應用領域，具體說就是在軟件系統開發中采用的一種面向對象的用戶角色資源權限模型管理方法。

背景技術

企業應用系統對安全問題有較高的要求，傳統的訪問控制方法DAC(Discretionary Access Control，自主訪問控制模型)、MAC(Mandatory Access Control，強制訪問控制模型)難以滿足復雜的企業環境需求。因此，NIST(National Institute ofStandards and Technology，美國國家標準化和技術委員會)于上世紀90年代初提出了基于角色的訪問控制方法，實現了用戶與訪問權限的邏輯分離，更符合企業的用戶、組織、數據和應用特征。

在軟件開發中經常采用R-F-RBAC(Role-Function-Resource Based AccessControl)角色-功能-資源的權限控制模型的管理模式，即把整個訪問控制過程分成兩步：訪問權限與角色相關聯，角色再與用戶關聯，從而實現了用戶與訪問權限的邏輯分離。具有很強通用性，較高的靈活性和可擴充性，兼顧了安全性和效率，易于維護。能使合法用戶方便地使用系統，并滿足系統對用戶權限的控制需求。

普通角色-功能-資源的權限控制模型，關系簡單，用戶僅與角色是一對多關系，角色僅與資源是一對多的關系，是一個簡單的樹形結構。在實際應用上實現操作步驟多，資源與用戶分配固化繁瑣，無法真正反映顯示情況。

發明內容

針對現有技術中存在的上述不足之處，本發明要解決的技術問題是提供一種面向對象的用戶角色資源權限模型管理方法。

本發明為實現上述目的所采用的技術方案是：一種面向對象的用戶角色資源權限模型管理方法，包括以下步驟：

建立用戶、角色、資源三個對象；

在數據庫中建立數據結構表；

用戶對象與角色對象通過用戶角色映射表確立關系、角色對象與資源對象通過角色資源映射表確立關系、用戶系統通行證表確立用戶對象與系統的關系；

當用戶訪問功能或數據時，根據提供的資源ID在用戶的資源集合及角色資源中進行比對，如有相同ID即允許否則不允許。

所述資源對象包括數據、功能兩種類型。

所述角色對象的屬性有三種：角色集合、資源集合和角色資源對象集合；所述角色集合存儲角色隊列，所述資源集合存儲資源隊列，角色資源對象集合匯總角色所擁有的全部且唯一的資源對象。

所述用戶對象的屬性有三種：角色集合、資源集合和用戶資源對象集合；所述角色集合中存儲角色隊列，所述資源集合存儲資源隊列，用戶資源對象集合匯總用戶所擁有的全部且唯一的資源對象。

所述角色對象包含子角色，角色關系是單層或多層。

本發明具有以下優點及有益效果：

1.數據訪問權限由資源控制，避免對數據庫的權限設置，降低了系統的復雜性，同時保證了應用的靈活性。

2.采用面向對象的技術，打破了常規的直接將權限賦予用戶的模式，建立一套高透明度、細粒度的角色、用戶、權限控制管理新模式，該設計不依賴于具體的實施平臺，也不會對架構產生限制。