技術(shù)領(lǐng)域

本發(fā)明涉及一種對使用者進(jìn)行審批流程及其審批節(jié)點(diǎn)授權(quán)的方法。

背景技術(shù)

基于角色的訪問控制（RBAC）是近年來研究最多、思想最成熟的一種數(shù)據(jù)庫權(quán)限管理機(jī)制，它被認(rèn)為是替代傳統(tǒng)的強(qiáng)制訪問控制（MAC）和自主訪問控制（DAC）的理想候選。基于角色的訪問控制（RBAC）的基本思想是根據(jù)企業(yè)組織視圖中不同的職能崗位劃分不同的角色，將數(shù)據(jù)庫資源的訪問權(quán)限封裝在角色中，用戶通過被賦予不同的角色來間接訪問數(shù)據(jù)庫資源。

在大型應(yīng)用系統(tǒng)中往往都建有大量的表和視圖，這使得對數(shù)據(jù)庫資源的管理和授權(quán)變得十分復(fù)雜。由用戶直接管理數(shù)據(jù)庫資源的存取和權(quán)限的收授是十分困難的，它需要用戶對數(shù)據(jù)庫結(jié)構(gòu)的了解非常透徹，并且熟悉SQL語言的使用，而且一旦應(yīng)用系統(tǒng)結(jié)構(gòu)或安全需求有所變動，都要進(jìn)行大量復(fù)雜而繁瑣的授權(quán)變動，非常容易出現(xiàn)一些意想不到的授權(quán)失誤而引起的安全漏洞。因此，為大型應(yīng)用系統(tǒng)設(shè)計一種簡單、高效的權(quán)限管理方法已成為系統(tǒng)和系統(tǒng)用戶的普遍需求。

基于角色的權(quán)限控制機(jī)制能夠?qū)ο到y(tǒng)的訪問權(quán)限進(jìn)行簡單、高效的管理，極大地降低了系統(tǒng)權(quán)限管理的負(fù)擔(dān)和代價，而且使得系統(tǒng)權(quán)限管理更加符合應(yīng)用系統(tǒng)的業(yè)務(wù)管理規(guī)范。

然而，傳統(tǒng)基于角色的用戶權(quán)限管理方法均采用“角色對用戶一對多”的關(guān)聯(lián)機(jī)制，其“角色”為組/類性質(zhì)，即一個角色可以同時對應(yīng)/關(guān)聯(lián)多個用戶，角色類似于崗位/職位/工種等概念，這種關(guān)聯(lián)機(jī)制下對用戶權(quán)限的授權(quán)基本分為以下三種形式：

1、如圖1所示，直接對用戶授權(quán)，缺點(diǎn)是工作量大、操作頻繁且麻煩；

2、如圖2所示，對角色（類/組/崗位/工種性質(zhì)）進(jìn)行授權(quán)（一個角色可以關(guān)聯(lián)多個用戶），用戶通過角色獲得權(quán)限；

3、如圖3所示，以上兩種方式結(jié)合。

以上的表述中，2、3均需要對類/組性質(zhì)的角色進(jìn)行授權(quán)，而通過類/組/崗位/工種性質(zhì)的角色進(jìn)行授權(quán)的方式有以下缺點(diǎn)：

1、用戶權(quán)限變化時的操作難：在實(shí)際的系統(tǒng)使用過程中，經(jīng)常因?yàn)樵谶\(yùn)營過程中需要對用戶的權(quán)限進(jìn)行調(diào)整，比如：在處理員工權(quán)限變化的時候，角色關(guān)聯(lián)的某個員工的權(quán)限發(fā)生變化，我們不能因該個別員工權(quán)限的變化而改變整個角色的權(quán)限，因?yàn)樵摻巧€關(guān)聯(lián)了其他權(quán)限未變的員工。因此為了應(yīng)對該種情況，要么創(chuàng)建新角色來滿足該權(quán)限發(fā)生變化的員工，要么對該員工根據(jù)權(quán)限需求直接授權(quán)（脫離角色）。以上兩種處理方式，在角色權(quán)限較多的情況下對角色授權(quán)不僅所需時間長，而且容易犯錯，使用方操作起來繁瑣又麻煩，也容易出錯導(dǎo)致對系統(tǒng)使用方的損失。

2、要長期記住角色包含的具體權(quán)限難：若角色的權(quán)限功能點(diǎn)比較多，時間一長，很難記住角色的具體權(quán)限，更難記住權(quán)限相近的角色之間的權(quán)限差別，若要關(guān)聯(lián)新的用戶，無法準(zhǔn)確判斷應(yīng)當(dāng)如何選擇關(guān)聯(lián)。

3、因?yàn)橛脩魴?quán)限變化，則會造成角色創(chuàng)建越來越多（若不創(chuàng)建新角色，則會大幅增加直接對用戶的授權(quán)），更難分清各角色權(quán)限的具體差別。

4、調(diào)崗時，若要將被調(diào)崗用戶的很多個權(quán)限分配給另外幾個用戶承擔(dān)，則處理時必須將被調(diào)崗用戶的這些權(quán)限區(qū)分開來，分別再創(chuàng)建角色來關(guān)聯(lián)另外幾個用戶，這樣的操作不僅復(fù)雜耗時，而且還很容易發(fā)生錯誤。

在現(xiàn)有的ERP等管理軟件系統(tǒng)中，在新增系統(tǒng)的使用者后，需要為新增的使用者進(jìn)行審批流程的使用權(quán)限授權(quán)（例如，提交某個表單的表單數(shù)據(jù)進(jìn)行審批時使用哪個審批流程）和/或進(jìn)行審批節(jié)點(diǎn)的審批權(quán)限授權(quán)。現(xiàn)有的進(jìn)行審批流程的使用權(quán)限授權(quán)方法是：先找到需要授權(quán)的審批流程，再在該審批流程的使用者中增加該使用者，使得該使用者具有該流程的使用權(quán)限。由于新增的使用者可能會有多條審批流程的使用權(quán)限，這個時候若采用逐條審批流程進(jìn)行使用權(quán)限的授權(quán)方法，則會使得授權(quán)工作量巨大，而且很容易導(dǎo)致授權(quán)錯誤。現(xiàn)有技術(shù)中進(jìn)行審批節(jié)點(diǎn)的審批權(quán)限授權(quán)的方法為：先找到需要授權(quán)的審批節(jié)點(diǎn)所屬的審批流程，然后從該審批流程中找到需要授權(quán)的審批節(jié)點(diǎn)，分別將新增的使用者增加到各需要授權(quán)的審批節(jié)點(diǎn)的審批者中；授權(quán)過程比進(jìn)行審批流程授權(quán)更加繁瑣，在需要授權(quán)的審批節(jié)點(diǎn)眾多時，同樣使得授權(quán)工作量巨大，而且很容易出現(xiàn)授權(quán)錯誤。

在公司的運(yùn)營過程中，由于各種原因需要對某個使用者的審批流程使用權(quán)限和/或?qū)徟?jié)點(diǎn)的審批權(quán)限進(jìn)行較大幅度的調(diào)整，工作量巨大；而且，現(xiàn)有的ERP等軟件系統(tǒng)中在進(jìn)行審批流程、審批節(jié)點(diǎn)的授權(quán)時需要逐條進(jìn)行審批流程的使用權(quán)限授權(quán)、以及逐個進(jìn)行審批節(jié)點(diǎn)的審批節(jié)點(diǎn)授權(quán)，該授權(quán)方法無法一次性顯示使用者對系統(tǒng)中所有審批流程或?qū)徟?jié)點(diǎn)的當(dāng)前權(quán)限狀態(tài)，不利于對使用者的權(quán)限重新進(jìn)行授權(quán)、很容易出現(xiàn)授權(quán)錯誤。

發(fā)明內(nèi)容