本發明公開了一種系統權限管理方法、裝置及計算機可讀存儲介質，該方法包括：將系統資源中的按鈕通過接口服務關聯對應元操作；通過角色建立用戶與權限的對應關系，所述權限對應所述系統資源，利用授權標記描述所述接口服務，所述授權標記與所述接口服務一一對應，所述按鈕關聯所述授權標記；當進行用戶權限分配時，將所述授權標記分配給用戶，通過驗證所述授權標記判斷用戶是否具備訪問對應的所述接口服務權限；若是則允許用戶執行所述接口服務關聯對應的所述元操作。本發明解決現有采用基于角色的訪問控制進行系統權限分配時權限顆粒大的技術問題。

技術領域

本發明涉及權限管理技術領域，尤其涉及一種系統權限管理方法、裝置及計算機可讀存儲介質。

背景技術

涉及到用戶參與的網絡系統都要進行權限管理，權限管理屬于系統安全的范疇，權限管理實現對用戶訪問系統的控制，按照安全規則或者安全策略控制用戶可以訪問而且只能訪問自己被授權的資源。權限管理包括用戶身份認證和授權兩部分，簡稱認證授權。對于需要訪問控制的資源用戶首先經過身份認證，認證通過后用戶具有該資源的訪問權限方可訪問。

其中，基于角色的訪問(簡稱RBAC)控制技術廣泛應用于權限管理，在RBAC中，用戶與角色多對多的關系，角色與權限是多對多的關系，且用戶與權限之間通過角色建立關系，角色是權限的集合，權限表示系統資源(如菜單、按鈕、頁面等)。

系統中用戶與角色的對應關系基本是一樣的，但系統資源描述的權限有很大差別，常見的系統中可以將資源分成目錄、菜單和按鈕三種；目錄用于管理菜單，菜單連接頁面，按鈕對應操作(比如查詢、新增、修改、刪除等)。在按鈕的分配方案上存在區別，目前有兩種按鈕分配方式：第一、先給按鈕打標簽，常見劃分為查詢、新增、修改和刪除，用戶綁定標簽；第二、給按鈕打標簽，標簽關聯按鈕的統一資源定位符URL，用戶通過標簽獲取合法的統一資源定位符URL，攔截器攔截非法的統一資源定位符URL。上述第一種方案只做到頁面上不顯示未分配的按鈕，由于統一資源定位符URL未被攔截，實際上用戶可以訪問非法(即未分配)的統一資源定位符URL。第二種方案是針對第一種方案的缺陷進一步優化，在標簽上綁定了統一資源定位符URL，攔截器攔截非法的URL，實現了頁面動態顯示按鈕，又屏蔽了非法請求，但是這一方案也存在一定的缺陷，比如系統有Menu1、Menu2、Menu3菜單，給用戶分配了Menu1的查詢權限，實際上用戶還可以訪問Menu2和Menu3的查詢按鈕，按鈕上打標簽導致權限的顆粒較大，系統的權限分配存在一定的漏洞，未達到理想效果。

系統中對權限的分配方案僅僅按照目前需求實現，比如給用戶分配查詢權限，用戶便具備了所有服務的查詢權限，這種粗放的分配方式存在潛在的安全問題。目前系統的權限關系如下圖3所示：按鈕類型綁定接口，每種按鈕類型包含對應的所有接口服務，用戶分配權限后獲得了某一種或幾種的按鈕類型的全部接口，無法有效的屏蔽非法的URL訪問，造成安全隱患。

發明內容

本發明的主要目的在于提出一種系統權限管理方法、裝置及計算機可讀存儲介質，旨在解決現有采用基于角色的訪問(RBAC)控制進行系統權限分配時權限顆粒大的技術問題。

為實現上述目的，本發明提供的一種系統權限管理方法，該方法包括以下步驟：

將系統資源中的按鈕通過接口服務關聯對應元操作；

通過角色建立用戶與權限的對應關系，所述權限對應所述系統資源，利用授權標記描述所述接口服務，所述授權標記與所述接口服務一一對應，所述按鈕關聯所述授權標記；

當進行用戶權限分配時，將所述授權標記分配給用戶，通過驗證所述授權標記判斷用戶是否具備訪問對應的所述接口服務權限；若是則允許用戶執行所述接口服務關聯對應的所述元操作。

其中，一般情況下，系統資源可以分成目錄、菜單和按鈕，所述目錄用于管理所述菜單，所述菜單連接頁面，所述頁面顯示所述按鈕。