本發(fā)明的技術方案包括一種基于角色和資源的用戶數(shù)據(jù)讀寫安全權限控制方法及系統(tǒng)，用于實現(xiàn)：應用程序權限控制，包括對應用程序前后端的數(shù)據(jù)庫表級、字段級及記錄級數(shù)據(jù)執(zhí)行對應的安全權限控制；工單數(shù)據(jù)權限控制，包括對工單管理員角色、工單新增權限、工單內(nèi)容查閱權限、工單內(nèi)容修改權限及內(nèi)容的操作權限執(zhí)行對應權限安全控制；報表權限控制，包括在報表文件中添加權限認定，用于對訪問和/或修改的對象進行判定，根據(jù)判定結果執(zhí)行訪問控制。本發(fā)明的有益效果為：自定義匹配性靈活定義各種復雜的字段或報表篩選條件；可以實現(xiàn)靈活多變的表級、字段級和記錄級全方位矩陣式權限控制等。

技術領域

本發(fā)明涉及一種基于角色和資源的用戶數(shù)據(jù)讀寫安全權限控制方法及系統(tǒng)，屬于計算機領域。

背景技術

基于角色的權限訪問控制(RBAC：Role-Based Access Control)作為傳統(tǒng)訪問控制(自主訪問，強制訪問)的有前景的代替受到廣泛的關注。在RBAC中，權限與角色相關聯(lián)，用戶通過成為適當角色的成員而得到這些角色的權限。這就極大地簡化了權限的管理。在一個組織中，角色是為了完成各種工作而創(chuàng)造，用戶則依據(jù)它的責任和資格來被指派相應的角色，用戶可以很容易地從一個角色被指派到另一個角色。角色可依新的需求和系統(tǒng)的合并而賦予新的權限，而權限也可根據(jù)需要而從某角色中回收。角色與角色的關系可以建立起來以囊括更廣泛的客觀情況。

RBAC認為權限授權實際上是Who、What、How的問題。在RBAC模型中，who、what、how構成了訪問權限三元組,也就是“Who對What(Which)進行How的操作”。

Who：權限的擁用者或主體(如Principal、User、Group、Role、Actor等等)。

What：權限針對的對象或資源(Resource、Class)。

How：具體的權限(Privilege,正向授權與負向授權)。

Operator：操作。表明對What的How操作。也就是Privilege+Resource

Role：角色，一定數(shù)量的權限的集合。權限分配的單位與載體,目的是隔離User與Privilege的邏輯關系.

Group：用戶組，權限分配的單位與載體。權限不考慮分配給特定的用戶而給組。組可以包括組(以實現(xiàn)權限的繼承)，也可以包含用戶，組內(nèi)用戶繼承組的權限。User與Group是多對多的關系。Group可以層次化，以滿足不同層級權限控制的要求。

RBAC的關注點在于Role和User,Permission的關系。稱為User assignment(UA)和Permission assignment(PA).關系的左右兩邊都是Many-to-Many關系。就是user可以有多個role，role可以包括多個user。

對于用戶業(yè)務數(shù)據(jù)的安全和權限控制，軟件通常控制到數(shù)據(jù)庫業(yè)務表級別就夠了，如：項目經(jīng)理應有項目表的CRUD(增刪改查)權限。但若進一步細化權限控制，比如公司規(guī)定項目經(jīng)理只負責項目的執(zhí)行過程控制，不能查閱外接項目產(chǎn)值和相關合同額，這就涉及到項目表字段級(有時也稱為列級)權限控制。另外，若有多個項目經(jīng)理，分別負責管理不同的項目，項目經(jīng)理只能編輯維護自己所負責的項目，不能查閱或修改其他人負責的項目，這就涉及到項目表記錄級(有時也稱為行級)權限控制。這些對于一個嚴密的管理信息系統(tǒng)是必須實現(xiàn)的數(shù)據(jù)安全和權限控制。對于API接口也應根據(jù)用戶及其所屬角色權限進行類似管理。

對于報表，通常只需要將權限細化到模塊級或報表級就可以了。

對于文檔的權限控制，通常與其所屬資源權限一致，例如：對于資產(chǎn)的各種附件文檔，只要有該資產(chǎn)的查閱權限，就可以查閱其相關文檔。當然，也可以進一步通過文檔密級及其所屬類別進行進一步的權限控制。

對于功能項的權限控制，統(tǒng)一采用RBAC進行控制。