本發明公開了一種訪問控制方法和裝置。所述方法包括：在接收到用戶的訪問請求后，獲取所述用戶對應的角色信息；根據本地預先存儲的角色與權限集合的對應關系，確定所述用戶的角色對應的目標權限集合；查詢所述用戶在所述目標權限集合是否有權限碼；如果有，則根據所述權限碼，對所述目標權限集合進行篩選，得到最終權限集合；根據所述最終權限結合，對所述用戶的訪問請求進行控制。

技術領域

本發明涉及信息處理領域，尤指一種訪問控制方法和裝置。

背景技術

在軟件開發中，為軟件加入權限控制功能，使不同的用戶有不同的使用權限，是非常重要的一項功能，尤其在開發數據庫方面的應用，這項功能更為重要。

目前大部分應用系統，應用最廣泛的是基于角色的權限訪問控制(Role-BasedAccess Control,RBAC)模型。RBAC模型訪問控制是針對越權使用資源的防御措施。基本目標是為了限制訪問主體(用戶、進程、服務等)對訪問客體(文件、系統等)的訪問權限，從而使軟件在合法范圍內使用。基于角色的訪問控制方法是目前公認的解決大型企業的統一資源訪問控制的有效方法。其顯著的兩大特征是：1.減小授權管理的復雜性，降低管理開銷；2.靈活地支持企業的安全策略，并對企業的變化有很大的伸縮性。

NIST(The National Institute of Standards and Technology，美國國家標準與技術研究院)標準RBAC模型由4個部件模型組成，這4個部件模型分別是基本模型RBAC0(Core RBAC)、角色分級模型RBAC1(Hierarchal RBAC)、角色限制模型RBAC2(ConstraintRBAC)和統一模型RBAC3(Combines RBAC)。上述模型的主要方式為封裝訪問權限給角色，角色為訪問權限的任意組合，再賦予用戶不同角色，來間接地對不同用戶進行特定的訪問控制。角色是用戶和訪問權限之間的紐帶，用戶通過角色來訪問應用系統。

在實際應用中，在基于角色進行訪問控制的基礎上，如何進一步對用戶的訪問權限進行控制，目前還沒有解決方案。

發明內容

為了解決上述技術問題，本發明提供了一種訪問控制方法和裝置，能夠在基于角色進行訪問控制的基礎上進一步對用戶的訪問權限進行控制。

為了達到本發明目的，本發明提供了一種訪問控制方法，包括：

在接收到用戶的訪問請求后，獲取所述用戶對應的角色信息；

根據本地預先存儲的角色與權限集合的對應關系，確定所述用戶的角色對應的目標權限集合；

查詢所述用戶在所述目標權限集合是否有權限碼；

如果有，則根據所述權限碼，對所述目標權限集合進行篩選，得到最終權限集合；

根據所述最終權限結合，對所述用戶的訪問請求進行控制。

其中，所述方法還具有如下特點：所述方法還包括：

在權限集合中選擇一個或多個權限配置權限碼，其中所述權限碼用于控制該訪問權限是否啟用；

為權限碼設置工作狀態，該權限碼的狀態包括開啟或禁止。

其中，所述方法還具有如下特點：

所述為權限碼設置工作狀態，包括：

按照所述權限集合對應的角色，為每個角色設置權限碼的工作狀態；

其中，在所述用戶的角色對應的目標權限集合中，根據該角色對應的權限碼的工作狀態，確定所述用戶對應的最終權限集合；

或者，

按照所述權限集合對應的角色，為每個角色設置權限碼的工作狀態，并設置所述角色中的部分用戶對應的權限碼的工作狀態為開啟；