本申請提供了一種訪問控制方法，該方法通過獲取用戶所屬機構的機構信息，然后根據機構信息對用戶進行分組，得到用戶對應的用戶組從而根據用戶組為用戶分配訪問權限，如此，實現了對于用戶所在用戶組的自動分配，從而極大地減少了用戶權限分配的工作量。

技術領域

本申請涉及計算機技術領域，尤其涉及一種訪問控制方法、裝置、設備以及計算機可讀存儲介質。

背景技術

為了保障信息安全，許多應用系統設置有訪問控制策略。目前，業內應用較為廣泛的訪問控制策略包括基于角色的訪問控制(role-based access control，RBAC)?；诮巧脑L問控制不同于強制訪問控制以及自由選定訪問控制直接賦予使用者權限，而是將權限賦予角色，實現基于用戶角色的權限管理。

隨著應用系統的規模日益龐大，為了便于管理以及減少分配的工作量，引入了用戶組的概念，當基于用戶組授權一組角色后，只要將用戶歸屬到某一個用戶組下即可，無需對每個用戶重復分配多個角色。

然而，目前通常是管理人員手動為用戶添加用戶組，以及為用戶組添加角色?；诖诉M行訪問控制的效率低下，并且成本相對較高。

本方案為了解決這個問題，設計了用戶組的自動分配方法，可實現用戶所在用戶組的自動分配，從而極大減少了用戶權限分配的工作量。

發明內容

本申請提供了一種訪問控制方法。該方法通過獲取用戶所屬機構的機構信息，然后根據機構信息對用戶進行分組，得到用戶對應的用戶組從而根據用戶組為用戶分配訪問權限。如此，實現了對于用戶所在用戶組的自動分配，從而極大地減少了用戶權限分配的工作量。

第一方面，本申請提供了一種訪問控制方法，該方法包括：

獲取用戶所屬機構的機構信息；

根據機構信息對用戶進行分組，得到用戶對應的用戶組；

根據用戶組為用戶分配訪問權限。

在一些可能的實現方式中，根據機構信息對用戶進行分組，得到用戶對應的用戶組，包括：

根據機構信息構建機構樹；

根據機構樹的深度對用戶進行分組，得到用戶對應的用戶組，同一用戶組的用戶對應的機構樹的深度相同。

在一些可能的實現方式中，根據機構信息構建機構樹，包括：

根據機構信息初始化機構樹，機構樹包括初始節點；

判斷初始節點是否包括父節點，若是，則將機構樹的深度加一，若否，則將當前深度作為機構樹的深度。

在一些可能的實現方式中，該方法還包括：

當用戶由第一機構調度到第二機構，獲取第二機構的機構信息；

根據第二機構信息重新對用戶進行分組，得到用戶對應的用戶組；

根據用戶組為用戶分配訪問權限。

在一些可能的實現方式中，獲取用戶所屬機構的機構信息，包括：

從應用系統獲取用戶所屬機構的機構信息。

在一些可能的實現方式中，根據用戶組為用戶分配訪問權限，包括：

根據用戶組為用戶提供與用戶組相匹配的菜單。

第二方面，本申請提供了一種訪問控制裝置，該裝置包括：

通信模塊，用于獲取用戶所屬機構的機構信息；

分組模塊，用于根據機構信息對用戶進行分組，得到用戶對應的用戶組；