[發明專利]一種多租戶基于策略的訪問控制方法在審
| 申請號: | 201711465810.4 | 申請日: | 2017-12-28 |
| 公開(公告)號: | CN108304715A | 公開(公告)日: | 2018-07-20 |
| 發明(設計)人: | 高文濤;孫民權;蔣紀勻 | 申請(專利權)人: | 上海你我貸互聯網金融信息服務有限公司 |
| 主分類號: | G06F21/45 | 分類號: | G06F21/45 |
| 代理公司: | 北京德恒律治知識產權代理有限公司 11409 | 代理人: | 章社杲;盧軍峰 |
| 地址: | 200941 上海市寶*** | 國省代碼: | 上海;31 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 租戶 訪問控制策略 訪問控制 權限 訪問控制系統 讀取 對象執行 控制對象 有效地 申請 靈活 訪問 | ||
1.一種多租戶基于策略的訪問控制方法,其特征在于,包括:
當用戶對對象進行操作時,判斷所述用戶是否有權限對這種類型的對象執行所述操作,如果沒有權限,則拒絕所述操作;
如果有權限,則判斷所述用戶是否是所述對象的屬主;
如果所述用戶是所述對象的屬主,則允許該操作;
如果所述用戶不是所述對象的屬主時,判斷所述用戶與所述對象的屬主之間關系;
根據所述用戶與所述對象的屬主之間關系讀取所述用戶所屬租戶的訪問控制策略,以及
判斷所述訪問控制策略是否允許所述操作。
2.根據權利要求1所述的多租戶基于策略的訪問控制方法,其特征在于,在所述用戶對所述對象進行操作之前進一步包括:
定義默認的訪問控制策略;以及
所述租戶自定義所述訪問控制策略,并覆蓋所述默認的訪問控制策略。
3.根據權利要求2所述的多租戶基于策略的訪問控制方法,其特征在于,確定所述用戶所屬租戶的訪問控制策略進一步包括:當所述租戶沒有自定義訪問控制策略時,使用所述默認的訪問控制策略。
4.根據權利要求2所述的多租戶基于策略的訪問控制方法,其特征在于,在所述用戶對所述對象進行操作之前并且在所述租戶自定義訪問控制策略之后進一步包括:
針對于所述對象,對所述租戶下的用戶分類。
5.根據權利要求4所述的多租戶基于策略的訪問控制方法,其特征在于,在所述用戶對所述對象進行操作之前并且對所述租戶下的用戶分類之后進一步包括:
定義所述對象上的訪問控制策略;
當訪問所述對象時,所述對象上的訪問控制策略生效。
6.根據權利要求2所述的多租戶基于策略的訪問控制方法,其特征在于,所述租戶自定義所述訪問控制策略,并覆蓋所述默認的訪問控制策略進一步包括:
所述租戶自定義符合其自身需求的訪問控制策略;
當所述租戶自定義所述訪問控制策略時,所述默認的訪問控制策略不再生效,其中,不同租戶定義不同的訪問控制策略。
7.根據權利要求4所述的多租戶基于策略的訪問控制方法,其特征在于,
所述對象具有屬主,所述屬主是所述租戶下的一個用戶;
所述租戶具有多級的部門組織結構,其中,每個部門具有部門主管和部門成員。
8.根據權利要求7所述的多租戶基于策略的訪問控制方法,其特征在于,
對于所述對象,所述租戶下的用戶分為:所述屬主、所述屬主的部門主管、所述屬主的同部門成員、以及其他人員。
9.根據權利要求1所述的多租戶基于策略的訪問控制方法,其特征在于,進一步包括:使用整數保存所述訪問控制策略。
10.根據權利要求9所述的多租戶基于策略的訪問控制方法,其特征在于,將所述整數按位劃分為4個部分,其中,
前3個部分位數相同,分別用于存儲所述屬主的部門主管、所述屬主的同部門成員和所述其他人員的訪問控制策略;以及
第4個部分用于存儲標志位,用于調整所述訪問控制策略的行為。
11.一種多租戶基于策略的訪問控制系統,其特征在于,包括:
權限判斷模塊,當用戶對對象進行操作時,判斷所述用戶是否有權限對這種類型的對象執行所述操作,如果沒有權限,則拒絕所述操作;
屬主判斷模塊,如果有權限,則判斷所述用戶是否是所述對象的屬主,如果所述用戶是所述對象的屬主,則允許該操作;
關系判斷模塊,如果所述用戶不是所述對象的屬主時,判斷所述用戶與所述對象的屬主之間關系;
讀取模塊,根據所述用戶與所述對象的屬主之間關系讀取所述用戶所屬租戶的訪問控制策略,以及
訪問控制策略判斷模塊,判斷所述訪問控制策略是否允許所述操作。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于上海你我貸互聯網金融信息服務有限公司,未經上海你我貸互聯網金融信息服務有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201711465810.4/1.html,轉載請聲明來源鉆瓜專利網。
