技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)通訊技術(shù)領(lǐng)域，特別是涉及一種可配置的細(xì)粒度權(quán)限控制方法及裝置。

背景技術(shù)

對于在企業(yè)環(huán)境中的訪問權(quán)限控制方法，一般有三種：

1.自主型訪問控制方法：目前在我國的大多數(shù)的信息系統(tǒng)中的訪問控制模塊中基本是借助于自主型訪問控制方法中的訪問控制列表(ACLs)。ACLs一個明顯的缺點就是這種控制是自主的，它能夠控制主體對客體的直接訪問，但不能控制主體對客體的間接訪問,因此帶來了嚴(yán)重的安全問題。

2.強(qiáng)制型訪問控制方法：用于多層次安全級別的軍事應(yīng)用。

3.基于角色的訪問控制方法(RBAC)，這是目前公認(rèn)的解決大型企業(yè)的統(tǒng)一資源訪問控制的有效方法。該控制方法能減小授權(quán)管理的復(fù)雜性，降低管理開銷，靈活地支持企業(yè)的安全策略，并對企業(yè)的變化有很大的伸縮性。

搜狐視頻等視頻類網(wǎng)站或者其他類型的網(wǎng)站會對應(yīng)不同的應(yīng)用系統(tǒng)，如搜狐視頻內(nèi)部系統(tǒng)，比如搜狐視頻數(shù)據(jù)挖掘系統(tǒng)、搜狐視頻統(tǒng)計分析系統(tǒng)、游戲投放后臺系統(tǒng)等，每種應(yīng)用系統(tǒng)一般都采用基于角色的訪問控制方法(RBAC)，其都會涉及到用戶權(quán)限管理的問題。每種應(yīng)用系統(tǒng)的權(quán)限管理都會有不同的需求，有些應(yīng)用系統(tǒng)只需要控制用戶的讀寫權(quán)限，有些應(yīng)用系統(tǒng)需要控制用戶可以查看的菜單，等等。

這就導(dǎo)致針對不同應(yīng)用系統(tǒng)對權(quán)限的需求，就需要開發(fā)相應(yīng)的權(quán)限系統(tǒng)來做權(quán)限控制。現(xiàn)有技術(shù)中，安全權(quán)限管理框架一般采用Spring Security與Spring緊密結(jié)合，但是Spring Security過于厚重，與Spring結(jié)合過于緊密，不夠靈活，權(quán)限控制一般控制在某些頁面上，控制粒度過大，前端頁面的控制也是直接固定在源代碼中，當(dāng)需求有變化的時候就得重新修改代碼，重新編譯。而如果采用Apache Shiro則存在控制粒度固定，需要集成在應(yīng)用系統(tǒng)中，比如mis系統(tǒng)的權(quán)限控制方法屬于系統(tǒng)的一個模塊。

發(fā)明內(nèi)容

本發(fā)明的目的是針對現(xiàn)有技術(shù)中存在的技術(shù)缺陷，而提供一種可配置的細(xì)粒度權(quán)限控制方法和裝置，只需添加相應(yīng)的配置文件就可以實現(xiàn)對不同應(yīng)用系統(tǒng)的進(jìn)行權(quán)限控制。

為實現(xiàn)本發(fā)明的目的所采用的技術(shù)方案是：

一種可配置的細(xì)粒度權(quán)限控制方法，包括，

前端頁面讀取配置文件并將登錄用戶的登錄參數(shù)傳輸?shù)较到y(tǒng)后臺；

系統(tǒng)后臺根據(jù)登錄參數(shù)查詢并獲取對應(yīng)的權(quán)限信息；

系統(tǒng)后臺處理權(quán)限信息并返回前端頁面，

根據(jù)前端頁面根據(jù)返回權(quán)限信息及配置文件進(jìn)行權(quán)限中控制元素的具體配置，所述的配置文件中包含權(quán)限驗證函數(shù)。

優(yōu)選地，所述的前端頁面通過POST方式調(diào)用權(quán)限列表接口并傳入所述的登錄參數(shù)，所述的登錄參數(shù)包括用戶id，密碼和應(yīng)用系統(tǒng)id。

優(yōu)選地，所述的系統(tǒng)后臺根據(jù)登錄參數(shù)組裝成SQL語句去mysql數(shù)據(jù)庫中查詢并獲取權(quán)限信息列表。

優(yōu)選地，前端頁面選用bootstrap+jsp，配置文件為.tlb文件，所述的系統(tǒng)后臺將權(quán)限信息拼接、轉(zhuǎn)化系列成JSON格式的數(shù)據(jù)并返回到前端。

優(yōu)選地，系統(tǒng)后臺為SpringMVC+Spring+Hibernate整合框架。

一種可配置的細(xì)粒度權(quán)限控制系統(tǒng)，包括，

傳輸模塊，用于前端頁面讀取配置文件并用以將前端頁面中登錄用戶的登錄參數(shù)傳輸?shù)较到y(tǒng)后臺；

權(quán)限查詢獲取模塊，用于根據(jù)登錄參數(shù)查詢并獲取對應(yīng)的權(quán)限信息；

權(quán)限信息加工模塊，用于處理權(quán)限信息并返回前端頁面，

權(quán)限配置模塊，用于根據(jù)返回權(quán)限信息及配置文件進(jìn)行前端頁面的權(quán)限中控制元素的具體配置，所述的配置文件中包含權(quán)限驗證函數(shù)。

優(yōu)選地，還包括權(quán)限列表接口，所述的登錄參數(shù)傳輸模塊通過POST方式調(diào)用所述的權(quán)限列表接口并傳入所述的登錄參數(shù)，所述的登錄參數(shù)包括用戶id，密碼和應(yīng)用系統(tǒng)id。

優(yōu)選地，權(quán)限查詢獲取模塊根據(jù)登錄參數(shù)組裝成SQL語句去mysql數(shù)據(jù)庫中查詢并獲取權(quán)限信息。

優(yōu)選地，所述的前端頁面選用bootstrap+jsp，配置文件為.tlb文件，權(quán)限信息加工模塊將權(quán)限信息拼接、轉(zhuǎn)化系列成JSON格式的數(shù)據(jù)并返回到前端。

優(yōu)選地，系統(tǒng)后臺包括權(quán)限查詢獲取模塊和權(quán)限信息加工模塊，所述的系統(tǒng)后臺為SpringMVC+Spring+Hibernate整合框架。

與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：