技術領域

本發明涉及ERP等管理軟件系統的表單授權方法，特別是涉及一種通過第三方字段對表單字段的字段值進行授權的方法。

背景技術

傳統的ERP管理軟件中，提供了基于表單字段值對表單的查看、修改權限的分別授權，例如，對于合同表單，表單中的字段包括合同簽訂時間、合同簽訂人、客戶名稱、客戶行業等，能夠分別對用戶能夠查看的字段的內容分別進行授權，允許用戶甲查看表單中的合同簽訂時間和合同簽訂人、不允許用戶甲查看客戶名稱和客戶行業，從而實現公司信息的保密，防止機密信息泄露。但是這些ERP管理軟件只能分別對每個用戶進行授權、無法實現用戶的批量授權，授權操作效率低，對于包含大量用戶的系統，會帶來巨大的工作量。此外，現有的軟件中無法對表單中的字段作進一步限定，導致用戶在獲得某個字段的字段值的查看權限后能夠查看大量的數據，對于工作職責細分的企業來說容易造成信息泄露，例如，用戶丙被授權為能夠查看合同表單的合同簽訂時間、合同簽訂人和客戶名稱，但是用戶丙實際的工作職責只是負責金融行業的合同信息統計，但是現有的權限設置方法會導致用戶丙能夠查看金融行業以外的其他行業的合同信息，不利于公司的信息安全。

傳統的表單字段值授權，無法以第三方字段來控制表單的被授權字段的字段值，如：對訂單表單進行授權時，僅通過字段的授權要實現讓張三能夠查看軟件行業的訂單上的單價字段的價格，但不能修改該單價字段的價格；或要實現讓張三只能夠查看軟件行業的訂單上的單價字段的價格，且只能修改化工行業的訂單上的單價字段的價格，傳統的軟件無法實現這樣的精細化的字段的字段值的區別授權，對高要求的管理需求不能實現。

基于角色的訪問控制（RBAC）是近年來研究最多、思想最成熟的一種數據庫權限管理機制，它被認為是替代傳統的強制訪問控制（MAC）和自主訪問控制（DAC）的理想候選。基于角色的訪問控制（RBAC）的基本思想是根據企業組織視圖中不同的職能崗位劃分不同的角色，將數據庫資源的訪問權限封裝在角色中，用戶通過被賦予不同的角色來間接訪問數據庫資源。

在大型應用系統中往往都建有大量的表和視圖，這使得對數據庫資源的管理和授權變得十分復雜。由用戶直接管理數據庫資源的存取和權限的收授是十分困難的，它需要用戶對數據庫結構的了解非常透徹，并且熟悉SQL語言的使用，而且一旦應用系統結構或安全需求有所變動，都要進行大量復雜而繁瑣的授權變動，非常容易出現一些意想不到的授權失誤而引起的安全漏洞。因此，為大型應用系統設計一種簡單、高效的權限管理方法已成為系統和系統用戶的普遍需求。

基于角色的權限控制機制能夠對系統的訪問權限進行簡單、高效的管理，極大地降低了系統權限管理的負擔和代價，而且使得系統權限管理更加符合應用系統的業務管理規范。

然而，傳統基于角色的用戶權限管理方法均采用“角色對用戶一對多”的關聯機制，其“角色”為組/類性質，即一個角色可以同時對應/關聯多個用戶，角色類似于崗位/職位/工種等概念，這種關聯機制下對用戶權限的授權基本分為以下三種形式：

1、如圖1所示，直接對用戶授權，缺點是工作量大、操作頻繁且麻煩；

2、如圖2所示，對角色（類/組/崗位/工種性質）進行授權（一個角色可以關聯多個用戶），用戶通過角色獲得權限；

3、如圖3所示，以上兩種方式結合。

以上的表述中，2、3均需要對類/組性質的角色進行授權，而通過類/組/崗位/工種性質的角色進行授權的方式有以下缺點：

1、用戶權限變化時的操作難：在實際的系統使用過程中，經常因為在運營過程中需要對用戶的權限進行調整，比如：在處理員工權限變化的時候，角色關聯的某個員工的權限發生變化，我們不能因該個別員工權限的變化而改變整個角色的權限，因為該角色還關聯了其他權限未變的員工。因此為了應對該種情況，要么創建新角色來滿足該權限發生變化的員工，要么對該員工根據權限需求直接授權（脫離角色）。以上兩種處理方式，在角色權限較多的情況下對角色授權不僅所需時間長，而且容易犯錯，使用方操作起來繁瑣又麻煩，也容易出錯導致對系統使用方的損失。

2、要長期記住角色包含的具體權限難：若角色的權限功能點比較多，時間一長，很難記住角色的具體權限，更難記住權限相近的角色之間的權限差別，若要關聯新的用戶，無法準確判斷應當如何選擇關聯。

3、因為用戶權限變化，則會造成角色創建越來越多（若不創建新角色，則會大幅增加直接對用戶的授權），更難分清各角色權限的具體差別。