本發明公開了一種表單數據操作的審核方法，包括：創建系統中的角色，角色是獨立的個體，同一時段一個角色只能關聯唯一的用戶，一個用戶關聯一個或多個角色；選擇系統中的一個或多個角色作為審核者，為每個審核者授權其具有的表單數據的操作的審核權限；審核請求人提交某個表單數據的某種操作的審核請求；由具有該表單數據該操作的審核權限的審核者對該審核請求進行審核。本發明審核只有一個審核步驟，一旦審核同意/通過或不同意/不通過后，審核任務即結束，無需創建流程，縮短了表單數據操作的審核周期。審核者采用獨立個體性質的角色，在員工離職、調崗時，能夠實現審核權限的無縫交接，不會影響企業正常運營，也規避了機密信息泄露的風險。

技術領域

本發明涉及ERP、CRM等管理軟件中表單數據操作的審核方法。

背景技術

基于角色的訪問控制（RBAC）是近年來研究最多、思想最成熟的一種數據庫權限管理機制，它被認為是替代傳統的強制訪問控制（MAC）和自主訪問控制（DAC）的理想候選。傳統的自主訪問控制的靈活性高但是安全性低，強制訪問控制安全性高但是限制太強；基于角色的訪問控制兩者兼具，不僅易于管理而且降低了復雜性、成本和發生錯誤的概率，因而近年來得到了極大的發展。基于角色的訪問控制（RBAC）的基本思想是根據企業組織視圖中不同的職能崗位劃分不同的角色，將數據庫資源的訪問權限封裝在角色中，用戶通過被賦予不同的角色來間接訪問數據庫資源。

在大型應用系統中往往都建有大量的表和視圖，這使得對數據庫資源的管理和授權變得十分復雜。由用戶直接管理數據庫資源的存取和權限的收授是十分困難的，它需要用戶對數據庫結構的了解非常透徹，并且熟悉SQL語言的使用，而且一旦應用系統結構或安全需求有所變動，都要進行大量復雜而繁瑣的授權變動，非常容易出現一些意想不到的授權失誤而引起的安全漏洞。因此，為大型應用系統設計一種簡單、高效的權限管理方法已成為系統和系統用戶的普遍需求。

基于角色的權限控制機制能夠對系統的訪問權限進行簡單、高效的管理，極大地降低了系統權限管理的負擔和代價，而且使得系統權限管理更加符合應用系統的業務管理規范。

然而，傳統基于角色的用戶權限管理均采用“角色對用戶一對多”的關聯機制，其“角色”為組/類性質，即一個角色可以同時對應/關聯多個用戶，角色類似于崗位/職位/工種等概念，這種關聯機制下對用戶權限的授權基本分為以下三種形式：1、如圖1所示，直接對用戶授權，缺點是工作量大、操作頻繁且麻煩；當發生員工變動（如調崗、離職等），該員工涉及到的所有權限必須要作相應調整，特別是對于公司管理人員，其涉及到的權限多，權限調整的工作量大、繁雜，容易出錯或遺漏，影響企業的正常運營，甚至造成不可預估的損失。

2、如圖2所示，對角色（類/組/崗位/工種性質）進行授權（一個角色可以關聯多個用戶），用戶通過角色獲得權限，權限授權主體是組/類性質角色；3、如圖3所示，以上兩種方式結合。

以上的表述中，2、3均需要對類/組性質的角色進行授權，而通過類/組/崗位/工種性質的角色進行授權的方式有以下缺點：1、用戶權限變化時的操作難：在實際的系統使用過程中，經常因為在運營過程中需要對用戶的權限進行調整，比如：在處理員工權限變化時，角色關聯的某個員工權限發生變化，我們不能因該個別員工權限的變化而改變整個角色的權限，因為該角色還關聯了其他權限未變的員工。因此為了應對該種情況，要么創建新角色來滿足該權限發生變化的員工，要么對該員工根據權限需求直接授權（脫離角色）。以上兩種處理方式，在角色權限較多的情況下對角色授權不僅所需時間長，而且容易犯錯，使用方操作起來繁瑣又麻煩，也容易出錯導致對系統使用方的損失。

員工/用戶的表單操作權限發生變化時，要么員工/用戶脫離角色，要么新增角色來滿足工作要求。第一種方式的缺陷同上述“直接對用戶授權”方式的缺陷。第二種方式，新增角色便涉及到角色的新建、關聯、授權工作，特別在角色多、角色關聯的用戶也多的情況下，角色具體關聯了哪些用戶是很難記住的。