本發明公開了一種用戶權限的控制方法，根據待處理產品的處理流程節點，確定一個以上第一用戶屬性；根據待執行項目的屬性和/或需求，確定各第一用戶屬性與各第二用戶屬性之間的包含關系；根據各個第一用戶屬性和第二用戶屬性之間交叉的包含關系，生成第一用戶屬性和第二用戶屬性的井字形架構，所述井字形架構用于確定用戶與第二用戶屬性之間的關系；配置用戶在所述待執行項目中的第三用戶屬性和第四用戶屬性，根據所述第三用戶屬性、第四用戶屬性以及所述井字形架構，生成用戶權限。本發明還同時公開了一種用戶權限的控制裝置。

技術領域

本發明涉及訪問管理技術領域，尤其涉及一種用戶權限的控制方法及裝置。

背景技術

目前，信息技術(IT，Information Technology)系統中都會涉及到用戶權限管理功能，針對不同用戶提供不同的操作權限，從而保證每個人能使用各自具有權限的那部分操作。

現有的基于角色的訪問控制(RBAC，Role-Based Access Control)模型，定義了用戶、角色、權限三個概念，以及通過管理用戶與角色的關系、角色與權限的關系，來管理用戶的具體權限，如圖1所示。針對用戶是否能進入IT系統進行操作，可使用用戶登錄的網絡互連(IP，Internet Protocol)地址和郵箱地址來驗證用戶的合法性，從而實現用戶認證功能，進而對用戶進行權限管控。在IT系統中，有一些公共的權限，也有各個子模塊特定的權限，對于一個用戶可以賦予兩類不同的權限，在用戶最終操作系統的時候，取兩個權限的并集來判斷用戶是否有最終的操作權限。

現有的RBAC模型，只涉及了用戶、角色、權限和組織四者的關系。對于用戶認證方式，提出了加強模式。但是，在一些新的應用場景中，采用了井字形架構式的管理模式，有組織和項目組兩層概念；一個員工屬于某個組織的同時，按項目需要又會屬于一個或多個項目組；員工的組織關系是固定的，項目組是隨著項目不斷變化的；員工在不同項目組中可能承擔不同的角色；某個項目組在系統資源的使用上與其他項目組也會有所區別；每個部門在系統資源的使用上也各不相同。顯然，現有的RBAC模型不能對新的應用場景下的用戶權限進行控制。

發明內容

有鑒于此，本發明實施例期望提供一種用戶權限的控制方法及裝置，能在多種應用場景下實現用戶權限的控制。

為達到上述目的，本發明實施例的技術方案是這樣實現的：

本發明實施例提供了一種用戶權限的控制方法，所述方法包括：

根據待處理產品的處理流程節點，確定一個以上第一用戶屬性；

根據待執行項目的屬性和/或需求，確定各第一用戶屬性與各第二用戶屬性之間的包含關系；

根據各個第一用戶屬性和第二用戶屬性之間交叉的包含關系，生成第一用戶屬性和第二用戶屬性的井字形架構，所述井字形架構用于確定用戶與第二用戶屬性之間的關系；

配置用戶在所述待執行項目中的第三用戶屬性和第四用戶屬性，根據所述第三用戶屬性、第四用戶屬性以及所述井字形架構，生成用戶權限。

上述方案中，所述確定一個以上第一用戶屬性，包括：

對一個以上第一用戶屬性中的每個第一用戶屬性按照級別高低分別進行劃分，得到各第一用戶屬性包括的不同級別的一個以上第一用戶屬性。

上述方案中，所述生成第一用戶屬性和第二用戶屬性的井字形架構，包括：

將第一用戶屬性作為列，第二用戶屬性作為行，基于第一用戶屬性和第二用戶屬性之間交叉的包含關系，得到井字形架構。

上述方案中，所述井字形架構用于確定用戶與第二用戶屬性之間的關系，包括：

根據用戶與第一用戶屬性的關系，以及第一用戶屬性與第二用戶屬性確定的井字形架構，確定用戶與第二用戶屬性之間的關系。