技術領域

本發明涉及一種ERP、CRM等管理軟件統計列表授權方法，特別是涉及一種基于列值對統計列表操作權限進行分別授權的方法。

背景技術

統計列表不同于表單的概念：（1）表單主要表達的是對數據庫中數據的增刪改查，而統計列表不會修改數據庫中的數據，只是按照某種需求方式對數據庫中的數據進行查詢；（2）表單表達的是一種業務對象，比如訂單、合同、客戶等等，每一條表單數據對應了一個唯一的業務對象，比如客戶表單中的001客戶就代表了一個唯一的客戶001；而統計列表一般是對某個/多個表單按照某種需求方式進行統計，統計列表中一行數據并不是一個業務對象，而是一個統計結果，比如，銷售合同按簽訂部門統計，每行統計數據表達的是一個簽訂部門負責的所有銷售合同的統計，可能包含了簽單合同數量的統計、簽單合同金額的統計、回款金額的統計、訂單個數的統計等等。

一般軟件系統都具有統計列表的顯示和查看功能，然而，傳統軟件系統中對于被授權者而言，要么能夠查看統計列表中某列所有列值對應的統計數據，要么整個統計列表都看不到，無法根據列值對統計數據的操作權限進行精細化管理，使用上存在較大局限。例如，對于“銷售合同統計列表”，該統計列表中的列名有簽訂部門、簽單數量、簽單金額、回款金額、訂單個數、已發貨數量，簽訂部門的列值有銷售一部、銷售二部、銷售三部等?，F需要向銷售總監提供整個銷售部門的銷售合同統計數據，則可以直接向銷售總監提供該統計列表。如果僅需要向銷售二部經理提供銷售二部的銷售合同統計數據，要么專門為銷售二部做一個新的統計列表，要么提供整個統計列表。采用第一種方式，統計列表中涉及到的每一個列值都可能需要專門做表，工作量無法預估；采用第二種方式，銷售一部、銷售三部的統計數據也將泄露給銷售二部經理，傳統方法無法滿足企事業單位實際運營使用需求。

此外，傳統授權方法無法對列值為空值的統計數據進行有效的權限授權，所謂“列值為空值”是指列內容為空（未填寫或未選擇），使用上存在較大局限。例如，設置合同表單時未填寫簽訂部門（因為簽訂部門可能為非必填字段），或是合同來源于公司兼職業務員，這樣就無法通過列名“簽訂部門”對此類統計數據進行權限的授權，如果需要對這些統計數據進行操作權限授權就必須對每個統計數據進行逐個授權，授權工作量大且容易出錯。

基于角色的訪問控制（RBAC）是近年來研究最多、思想最成熟的一種數據庫權限管理機制，它被認為是替代傳統的強制訪問控制（MAC）和自主訪問控制（DAC）的理想候選。傳統的自主訪問控制的靈活性高但是安全性低，強制訪問控制安全性高但是限制太強；基于角色的訪問控制兩者兼具，不僅易于管理而且降低了復雜性、成本和發生錯誤的概率，因而近年來得到了極大的發展?；诮巧脑L問控制（RBAC）的基本思想是根據企業組織視圖中不同的職能崗位劃分不同的角色，將數據庫資源的訪問權限封裝在角色中，用戶通過被賦予不同的角色來間接訪問數據庫資源。

在大型應用系統中往往都建有大量的表和視圖，這使得對數據庫資源的管理和授權變得十分復雜。由用戶直接管理數據庫資源的存取和權限的收授是十分困難的，它需要用戶對數據庫結構的了解非常透徹，并且熟悉SQL語言的使用，而且一旦應用系統結構或安全需求有所變動，都要進行大量復雜而繁瑣的授權變動，非常容易出現一些意想不到的授權失誤而引起的安全漏洞。因此，為大型應用系統設計一種簡單、高效的權限管理方法已成為系統和系統用戶的普遍需求。

基于角色的權限控制機制能夠對系統的訪問權限進行簡單、高效的管理，極大地降低了系統權限管理的負擔和代價，而且使得系統權限管理更加符合應用系統的業務管理規范。

然而，傳統基于角色的用戶權限管理均采用“角色對用戶一對多”的關聯機制，其“角色”為組/類性質，即一個角色可以同時對應/關聯多個用戶，角色類似于崗位/職位/工種等概念，這種關聯機制下對用戶權限的授權基本分為以下三種形式：

1、如圖1所示，直接對用戶授權，缺點是工作量大、操作頻繁且麻煩；當發生員工變動（如調崗、離職等），該員工涉及到的所有權限必須要作相應調整，特別是對于公司管理人員，其涉及到的權限多，權限調整的工作量大、繁雜，容易出錯或遺漏，影響企業的正常運營，甚至造成不可預估的損失。

2、如圖2所示，對角色（類/組/崗位/工種性質）進行授權（一個角色可以關聯多個用戶），用戶通過角色獲得權限，權限授權主體是組/類性質角色；

3、如圖3所示，以上兩種方式結合。