本申请涉及计算机技术领域,尤其涉及一种资源操作权限控制方法、装置及电子设备。
背景技术:
权限控制(或称权限管理),是一种基于预定规则或策略对数据资源的访问权限进行控制,以使用户可以访问且只能访问自己具有相应权限的数据资源的一种技术。该技术常常被应用在拥有需要保护的数据资源的企业或其他组织中,以在满足该组织中的员工对数据资源的访问需求的同时,保护该组织中受保护的数据资源的安全。
相关技术中,先将数据资源的访问权限封装成权限项,并根据需要包装不同的权限角色,不同权限角色可以使用不同的权限项,然后依赖管理员制定的多层级的人工审批流程给不同人员赋予不同的权限角色,从而实现对数据资源的访问权限的控制。
但是,相关技术中的这种权限控制方式,在权限控制效率、权限管理与维护成本以及权限回收及时性等方面的表现均不理想,亟待改进。
技术实现要素:
本说明书实施例提供了一种资源操作权限控制方法、装置及电子设备,以解决相关技术中的权限控制方式在权限控制效率等方面不理想的问题。
为解决上述技术问题,本说明书实施例是这样实现的:
第一方面,提出了一种资源操作权限控制方法,包括:
接收针对目标组织中的目标资源的操作请求,所述操作请求中携带有请求操作所述目标资源的人员的标识信息;
基于所述标识信息和所述目标组织的组织架构信息,确定所述人员所属的目标组织结点;
基于所述目标组织的组织结点与所述目标组织的业务类目的映射关系,确定与所述目标组织结点匹配的业务类目集合;
基于所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系,确定与所述业务类目集合中的业务类目匹配的资源操作权限集合;
基于所述资源操作权限集合,对操作所述目标资源的权限进行控制。
第二方面,提出了一种资源操作权限控制装置,包括:
请求接收模块,用于接收针对目标组织中的目标资源的操作请求,所述操作请求中携带有请求操作所述目标资源的人员的标识信息;
第一确定模块,用于基于所述标识信息和所述目标组织的组织架构信息,确定所述人员所属的目标组织结点;
第二确定模块,用于基于所述目标组织的组织结点与所述目标组织的业务类目的映射关系,确定与所述目标组织结点匹配的业务类目集合;
第三确定模块,用于基于所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系,确定与所述业务类目集合中的业务类目匹配的资源操作权限集合;
操作权限控制模块,用于基于所述资源操作权限集合,对操作所述目标资源的权限进行控制。
第三方面,提出了一种电子设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行以下操作:
接收针对目标组织中的目标资源的操作请求,所述操作请求中携带有请求操作所述目标资源的人员的标识信息;
基于所述标识信息和所述目标组织的组织架构信息,确定所述人员所属的目标组织结点;
基于所述目标组织的组织结点与所述目标组织的业务类目的映射关系,确定与所述目标组织结点匹配的业务类目集合;
基于所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系,确定与所述业务类目集合中的业务类目匹配的资源操作权限集合;
基于所述资源操作权限集合,对操作所述目标资源的权限进行控制。
第四方面,提出了一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行以下操作:
接收针对目标组织中的目标资源的操作请求,所述操作请求中携带有请求操作所述目标资源的人员的标识信息;
基于所述标识信息和所述目标组织的组织架构信息,确定所述人员所属的目标组织结点;
基于所述目标组织的组织结点与所述目标组织的业务类目的映射关系,确定与所述目标组织结点匹配的业务类目集合;
基于所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系,确定与所述业务类目集合中的业务类目匹配的资源操作权限集合;
基于所述资源操作权限集合,对操作所述目标资源的权限进行控制。
由以上本说明书实施例提供的技术方案可见,本说明书实施例提供的方案至少具备如下一种技术效果:可以基于目标组织中的人员的标识信息、目标组织的组织架构信息、目标组织的组织结点与目标组织的业务类目之间的映射关系,以及目标组织的业务类目与目标组织的资源操作权限之间的映射关系,自动匹配控制目标组织中的人员对目标组织中的目标资源的操作权限,不需要封装权限项,也不需要包装不同的权限角色,更不需要依赖多层级的人工审批流程给不同人员审批授权或回收授权,因此,可以解决相关技术中的权限管控方式,在权限控制效率、权限管理与维护成本以及权限回收及时性等方面的表现均不理想的问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本说明书实施例提供的一种资源操作权限控制方法的流程示意图。
图2是本说明书实施例提供的业务类目的层级结构示意图。
图3是本说明书实施例提供的资源操作权限控制模型示意图。
图4是本说明书实施例提供的资源操作权限控制方法的原理示意图。
图5是本说明书实施例提供的资源操作权限控制方法的交互机制示意图。
图6是本说明书实施例提供的一种电子设备的结构示意图。
图7是本说明书实施例提供的一种资源操作权限控制装置的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为解决相关技术中的权限控制方式在权限控制效率等方面不理想的问题,本说明书实施例提供一种资源操作权限控制方法及装置。本说明书实施例提供的资源操作权限控制方法及装置可以由电子设备执行,例如终端设备或服务端设备。换言之,所述方法可以由安装在终端设备或服务端设备的软件或硬件来执行。所述服务端包括但不限于:单台服务器、服务器集群、云端服务器或云端服务器集群等。
本说明书实施例提供的一种资源操作权限控制方法及装置,可用于对目标组织中的人员访问该目标组织中的资源的权限进行管理。
目标组织,可以是需要进行资源操作权限管理的任一组织机构,如企业、政府部门、学校等;目标组织中的人员包括目标组织中的领导、员工以及外来访客等各类人员。
目标组织的资源可以包括隐私资源和公共资源,其中隐私资源是指该组织不愿意被其成员或其成员以外的人员无障碍或随便知晓的资源。目标组织中的资源(或资产)包括无形的数据资源和有形的设备资源(如存储设备、测试设备、检验设备等)等需要保护的资源中的至少一种。
针对目标组织中的资源的操作可以包括但不限于访问(读)、修改、删除、增加,等等。相应的,资源操作权限可以包括但不限于访问权限(或称读权限)、修改权限、删除权限、增加权限,等等。
图1是本说明书的一个实施例提供的资源操作权限控制方法的流程示意图,如图1所示,该方法可以包括:
步骤102、接收针对目标组织中的目标资源的操作请求,所述操作请求中携带有请求操作所述目标资源的人员的标识信息。
目标资源可以是目标组织中的任意资源。在接收到针对目标资源的操作请求之前,可以对目标组织中的资源进行划分,具体可以将目标组织中的资源划分成不可再分的原子级的资源单元。在此种情况下,目标资源可以是目标组织中的一个资源单元或多个资源单元构成的集合。
请求操作目标资源的人员可以是目标组织的任意人员。请求操作目标资源的人员的标识信息是指该人员在目标组织中的唯一标识信息,应理解,在目标组织中,不同人员的标识信息是不同的,一般情况下,目标组织中的人员的标识信息可以是该人员的id。
请求操作目标资源的人员可通过终端设备发起针对目标资源的操作请求,例如,请求操作目标资源的人员可通过手机、个人电脑等终端设备发起操作请求。
步骤104、基于所述标识信息和所述目标组织的组织架构信息,确定所述人员所属的目标组织结点。
可选地,在此步骤之前,可以基于目标组织的部门设置信息,建立目标组织的组织架构,然后基于目标组织中人员的标识信息、目标组织中人员所属的部门信息以及建立好的组织架构,确定目标组织的组织架构信息。该组织架构可以包括多个组织结点,目标组织结点属于这多个组织结点中的一个,一个组织结点表示一个部门,一个部门包含至少一个人员。
可以理解,在一个组织中,其设置的部门可以是一个独立的部门,也可以是某一个部门的子部门,或者可以是另一个部门的上级部门,因此,在目标组织的组织架构中,组织结点之间可以具有层级关系。
作为一个例子,目标组织的组织架构信息可以包括但不限于目标组织的组织架构,以及归属于该组织架构中各组织结点的人员的标识信息。
如此一来,在步骤104中,可以基于请求操作目标资源的人员的标识信息,从目标组织的组织架构信息中查询出该人员所属的目标组织结点。
步骤106、基于所述目标组织的组织结点与所述目标组织的业务类目的映射关系,确定与所述目标组织结点匹配的业务类目集合。
可选地,在此步骤之前,可以根据目标组织所从事或经营的业务情况,确定目标组织的全部业务类目及业务类目间的层级关系,然后根据目标组织中各组织结点对应的部门实际从事的业务信息,建立目标组织的组织结点与目标组织的业务类目的映射关系。
作为一个例子,对目标组织而言,其从事的业务类目既可以包括公共类目,也可以包括基于业务领域或行业划分的非公共业务类目。其中,公共类目是指目标组织中的所有人员都可能涉及到的公共业务,公共业务对应的资源为公共资源,可以不进行操作权限控制;基于业务领域或行业划分的非公共业务类目是指由目标组织中的指定部门处理的业务类目,非公共业务类目对应的资源需要进行操作权限控制。
举例来说,根据目标组织从事的业务领域或行业,可以划分得到如图2所示的业务类目。如图2所示,目标组织的业务类目可以包括公共业务类目和基于业务领域/行业划分得到的非公共业务类目。其中,非公共业务类目又可以被划分为子业务类目a、子业务类目b和子业务类目c等,进一步地,业务类目a又可以划分为子业务类目a1、子业务类目a2和子业务类目a3等,更进一步地子业务类目a1又可以被划分成子业务类目a11和子业务类目a12等。以此类推,根据实际情况,子业务类目b、自业务类目c以及公共业务类目也可以进一步地划分成一个或多个子业务类目,本文不再赘述。
其中,划分非公共业务类目时所依据的“业务领域”,是指目标组织内部的业务职能领域,譬如对于一家互联网金融平台而言,其内部的业务职能领域可能包括支付交易、安全服务、营销服务等。而划分非公共业务类目时所依据的“行业”,是指目标组织从事的业务所覆盖的行业,例如对于一家电商平台而言,其所覆盖的行业可以包括服装、家电、图书、家居等一系列的类目。
需要说明的是,由于目标组织中的一个部门可能会从事一个或多个业务类目,或者一个业务类目可能由一个或多个部门所支撑,因此,目标组织的组织结点与目标组织的业务类目的映射关系,可以是一一对应关系,也可以是一对多或多对一的关系。
可选地,为了便于管理或提高管理效率,可以对目标组织的业务类目进行标签化处理,一个业务类目对应一个标签,此时,根据目标组织中各组织结点对应的部门实际从事的业务信息,建立目标组织的组织结点与目标组织的业务类目的映射关系,具体可以包括:根据目标组织中各组织结点对应的部门实际从事的业务信息,建立目标组织的组织结点与目标组织的业务类目的标签之间的映射关系。
在此基础上,可以通过查询目标组织的组织结点与目标组织的业务类目(或业务类目的标签)之间的映射关系,确定出与目标组织结点匹配的一个或多个业务类目,得到与目标组织结点匹配的业务类目集合。
步骤108、基于所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系,确定与业务类目集合中的业务类目匹配的资源操作权限集合。
可选地,在步骤108之前,可以基于处理目标组织的业务类目对应的业务时所需的资源信息,建立目标组织的业务类目与所述目标组织的资源操作权限的映射关系。具体的,在对目标组织的业务类目进行标签化处理后(一个业务类目一个标签),可以处理目标组织的业务类目对应的业务时所需的资源信息,建立所述目标组织的业务类目的标签与所述目标组织的资源操作权限的映射关系,其中,一个资源操作权限对应控制至少一个资源单元,处理目标组织的业务类目对应的业务时所需的资源信息可以是,处理目标组织的业务类目对应的业务时所需的至少一个资源单元的标识信息。
在实际应用中,由于处理一种业务类目对应的业务时可能需要一个或多个资源单元,以及一个资源单元可能对应存在一种或多种资源操作权限,因此,目标组织的业务类目与目标组织的资源操作权限之间的映射关系,可以是一一对应关系,也可以是一对多或多对一的关系。
在此基础上,可以通过查询目标组织的业务类目与目标组织的资源操作权限之间的映射关系,确定出与步骤106中确定出的业务类目集合中的业务类目匹配的一个或多个资源操作权限,得到一个资源操作权限集合。
步骤110、基于所述资源操作权限集合,对操作所述目标资源的权限进行控制。
举例来说,假如步骤102中的目标资源包括至少一个资源单元,那么步骤110可以包括:确定所述资源操作权限集合中是否包含针对目标资源单元的操作权限,其中,目标资源单元是所述目标资源中的任一资源单元;当所述资源操作权限集合中包含针对所述目标资源单元的操作权限时,响应针对所述目标资源单元的操作请求,当所述资源操作权限集合中不包含针对所述目标资源单元的操作权限时,拒绝响应针对所述目标资源单元的操作请求。
总的来说,如图3所示,在应用本说明书实施例提供的资源操作权限控制方法对目标组织中的资源操作权限进行控制时,可以先将目标组织中的人员31与目标组织的相应组织结点32进行绑定,将目标组织中的资源37与相应的资源操作权限36进行绑定,并确定目标组织的业务类目34;然后,建立目标组织的组织结点32与业务类目34之间的映射关系33,以及建立目标组织的业务类目34与资源操作权限36之间的映射关系35;最后,依据这些绑定关系和映射关系,自动匹配控制针对目标组织中的目标资源的操作权限。
或者,如图4所示,在应用本说明书实施例提供的资源操作权限控制方法对目标组织中的资源操作权限进行控制时,可以基于目标组织中的人员41与目标组织的相应组织结点42的隶属关系,目标组织的组织结点42与业务类目43之间的映射关系,以及目标组织的业务类目43与资源45的资源操作权限44之间的映射关系,自动匹配控制针对目标组织中的资源的操作权限。
不难看出,本说明书实施例提供的一种资源操作权限控制方法,由于可以基于目标组织中的人员的标识信息、目标组织的组织架构信息、目标组织的组织结点与目标组织的业务类目之间的映射关系,以及目标组织的业务类目与目标组织的资源操作权限之间的映射关系,自动匹配控制目标组织中的人员对目标组织中的目标资源的操作权限,不需要封装权限项,也不需要包装不同的权限角色,更不需要依赖多层级的人工审批流程给不同人员审批授权或回收授权,因此,可以解决相关技术中的权限管控方式,在权限控制效率、权限管理与维护成本以及权限回收及时性等方面的表现均不理想的问题。
具体来说,本说明书实施例提供的资源权限控制方法,在实际应用中,只需要获取请求操作目标资源的人员的标识信息,就可以自动匹配控制该人员对目标资源的操作权限,不需要依赖多层级的人工审批流程审批授权。并且,在目标组织中的人员离职或更换隶属的组织结点之后,或者在目标组织的组织架构发生变动之后,只需要更新目标组织的组织架构信息,即可自动实现权限的回收,无需过多的人工操作,因此在提高权限管理效率、降低权限管理与维护成本以及提高权限回收及时性等方面的表现均比较优秀。
在一个组织机构中,常出现以下三种情况,且三种情况出现的频率逐渐降低,也就是说,相对而言,第一种情况出现频率较高,第二种情况出现频率处在中间位置,第三种情况出现的频率较低。在这三种情况下,尤其是发生频率相对较高的第一种情况,只需要做少量的更新维护工作,本发明实施例提供的资源权限控制方法即可快速、自适应地对相应人员的资源操作权限进行控制。下面具体说明。
第一种情况
当所述目标组织中的人员所属的组织结点发生变化,且所述目标组织的组织架构、目标组织的业务类目、目标组织的组织结点与业务类目的映射关系、目标组织的业务类目与资源操作权限之间的映射关系均未发生变化时,对目标组织的组织架构信息进行更新,即可快速、自动适应相应人员的资源操作权限的控制,使整个资源权限控制机制实现快速自适应。
第二种情况
当所述目标组织的组织架构发生调整,且所述目标组织的业务类目、目标组织的业务类目与资源操作权限之间的映射关系均未发生变化时,对所述目标组织的组织结点与所述目标组织的业务类目的映射关系进行更新,即可快速、自动适应相应人员的资源操作权限的控制,使整个资源权限控制机制实现快速自适应。
第三种情况
当目标组织的业务类目发生变化时,且目标组织的组织架构未发生变化时,对所述目标组织的组织结点与所述目标组织的业务类目的映射关系,以及所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系进行更新即可快速、自动适应相应人员的资源操作权限的控制,使整个资源权限控制机制实现快速自适应。
下面结合一个实际的例子,对本发明实施例提供的一种资源操作权限控制方法进行说明,该方法可以应用于目标组织的资源操作权限控制系统中,如图5所示,该系统可以包括:业务系统52、权限系统53、组织管理系统54和业务类目管理系统55,在此基础上,本发明实施例提供的一种资源操作权限控制方法可以包括如下步骤:
步骤501、目标组织中的人员51通过终端设备向业务系统52发起业务访问请求,该业务访问请求中携带人员51的标识信息。
步骤502、业务系统52执行业务访问请求,并确定执行该业务访问请求所需的目标资源。
步骤503、向权限系统53发送资源访问请求,该资源访问请求中也携带人员51的标识信息。
步骤504、权限系统53基于人员51的标识信息,向组织管理系统54确定人员51所属的目标组织结点。
具体的,组织管理系统54可以基于人员51的标识信息以及目标组织的组织架构信息,确定人员51所属的目标组织结点。
步骤505、组织管理系统54向业务类目管理系统55确定与目标组织结点匹配的业务类目集合。
具体的,组织管理系统54可以基于目标组织的组织结点与业务类目管理系统55中的业务类目的映射关系,确定与目标组织结点匹配的业务类目集合
步骤506、业务类目管理系统55向权限系统53返回匹配的业务类目集合。
步骤507、权限系统53基于目标组织的业务类目与资源操作权限之间的映射关系,确定与接收到的业务类目集合匹配的资源操作权限集合。
步骤508、权限系统53向业务系统52返回匹配的资源操作权限集合。
步骤509、业务系统52基于返回的资源操作权限集合,对人员51发起的业务访问所需的目标资源进行权限控制。
同样的,本说明书实施例提供的一种资源操作权限控制方法,由于可以基于目标组织中的人员的标识信息、目标组织的组织架构信息、目标组织的组织结点与目标组织的业务类目之间的映射关系,以及目标组织的业务类目与目标组织的资源操作权限之间的映射关系,自动匹配控制目标组织中的人员对目标组织中的目标资源的操作权限,不需要封装权限项,也不需要包装不同的权限角色,更不需要依赖多层级的人工审批流程给不同人员审批授权或回收授权,因此,可以解决相关技术中的权限管控方式,在权限控制效率、权限管理与维护成本以及权限回收及时性等方面的表现均不理想的问题。
以上是对本说明书提供的方法实施例的说明,下面对本说明书提供的电子设备进行介绍。
图6是本说明书的一个实施例提供的电子设备的结构示意图。请参考图6,在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(random-accessmemory,ram),也可能还包括非易失性存储器(non-volatilememory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是isa(industrystandardarchitecture,工业标准体系结构)总线、pci(peripheralcomponentinterconnect,外设部件互连标准)总线或eisa(extendedindustrystandardarchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成资源操作权限控制装置。处理器,执行存储器所存放的程序,并具体用于执行以下操作:
接收针对目标组织中的目标资源的操作请求,所述操作请求中携带有请求操作所述目标资源的人员的标识信息;
基于所述标识信息和所述目标组织的组织架构信息,确定所述人员所属的目标组织结点;
基于所述目标组织的组织结点与所述目标组织的业务类目的映射关系,确定与所述目标组织结点匹配的业务类目集合;
基于所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系,确定与所述业务类目集合中的业务类目匹配的资源操作权限集合;
基于所述资源操作权限集合,对操作所述目标资源的权限进行控制。
上述如本说明书图1所示实施例揭示的资源操作权限控制方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(centralprocessingunit,cpu)、网络处理器(networkprocessor,np)等;还可以是数字信号处理器(digitalsignalprocessor,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现场可编程门阵列(field-programmablegatearray,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本说明书一个或多个实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本说明书一个或多个实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
该电子设备还可执行图1的资源操作权限控制方法,本说明书在此不再赘述。
当然,除了软件实现方式之外,本说明书的电子设备并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
本说明书实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的便携式电子设备执行时,能够使该便携式电子设备执行图1所示实施例的方法,并具体用于执行以下操作:
接收针对目标组织中的目标资源的操作请求,所述操作请求中携带有请求操作所述目标资源的人员的标识信息;
基于所述标识信息和所述目标组织的组织架构信息,确定所述人员所属的目标组织结点;
基于所述目标组织的组织结点与所述目标组织的业务类目的映射关系,确定与所述目标组织结点匹配的业务类目集合;
基于所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系,确定与所述业务类目集合中的业务类目匹配的资源操作权限集合;
基于所述资源操作权限集合,对操作所述目标资源的权限进行控制。
如图7所示,本说明书的一个实施例提供了一种资源操作权限控制装置,在一种软件实施方式中,该资源操作权限控制装置700可包括:请求接收模块701、第一确定模块702、第二确定模块703、第三确定模块704和操作权限控制模块705。
请求接收模块701,用于接收针对目标组织中的目标资源的操作请求,所述操作请求中携带有请求操作所述目标资源的人员的标识信息。
第一确定模块702,用于基于所述标识信息和所述目标组织的组织架构信息,确定所述人员所属的目标组织结点。
可选地,装置700还可以包括第一建立模块,用于在第一确定模块702确定所述人员所属的目标组织结点之前,基于目标组织的部门设置信息,建立目标组织的组织架构,该组织架构可以包括多个组织结点,目标组织结点属于这多个组织结点中的一个,一个组织结点表示一个部门,一个部门包含至少一个人员。
第二确定模块703,用于基于所述目标组织的组织结点与所述目标组织的业务类目的映射关系,确定与所述目标组织结点匹配的业务类目集合。
可选地,装置700还可以包括第二建立模块,用于在第二确定模块703确定与所述目标组织结点匹配的业务类目集合之前,可以根据目标组织所从事或经营的业务情况,确定目标组织的全部业务类目及业务类目间的层级关系,然后根据目标组织中各组织结点对应的部门实际从事的业务信息,建立目标组织的组织结点与目标组织的业务类目的映射关系。
第三确定模块704,用于基于所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系,确定与所述业务类目集合中的业务类目匹配的资源操作权限集合。
可选地,装置700还可以包括第三建立模块,用于在第三确定模块704确定与所述业务类目集合中的业务类目匹配的资源操作权限集合之前,可以基于处理目标组织的业务类目对应的业务时所需的资源信息,建立目标组织的业务类目与所述目标组织的资源操作权限的映射关系。
具体的,第三建立模块可用于:在对目标组织的业务类目进行标签化处理后(一个业务类目一个标签),可以处理目标组织的业务类目对应的业务时所需的资源信息,建立所述目标组织的业务类目的标签与所述目标组织的资源操作权限的映射关系,其中,一个资源操作权限对应控制至少一个资源单元,处理目标组织的业务类目对应的业务时所需的资源信息可以是,处理目标组织的业务类目对应的业务时所需的至少一个资源单元的标识信息。
操作权限控制模块705,用于基于所述资源操作权限集合,对操作所述目标资源的权限进行控制。
举例来说,假如请求接收模块701中的目标资源包括至少一个资源单元,那么操作权限控制模块705可用于:确定所述资源操作权限集合中是否包含针对目标资源单元的操作权限,其中,目标资源单元是所述目标资源中的任一资源单元;当所述资源操作权限集合中包含针对所述目标资源单元的操作权限时,响应针对所述目标资源单元的操作请求,当所述资源操作权限集合中不包含针对所述目标资源单元的操作权限时,拒绝响应针对所述目标资源单元的操作请求。
本说明书实施例提供的一种资源操作权限控制装置,由于可以基于目标组织中的人员的标识信息、目标组织的组织架构信息、目标组织的组织结点与目标组织的业务类目之间的映射关系,以及目标组织的业务类目与目标组织的资源操作权限之间的映射关系,自动匹配控制目标组织中的人员对目标组织中的目标资源的操作权限,不需要封装权限项,也不需要包装不同的权限角色,更不需要依赖多层级的人工审批流程给不同人员审批授权或回收授权,因此,可以解决相关技术中的权限管控方式,在权限控制效率、权限管理与维护成本以及权限回收及时性等方面的表现均不理想的问题。
需要说明的是,资源操作权限控制装置700能够实现图1的方法实施例的方法,具体可参考图1所示实施例的资源操作权限控制方法,不再赘述。
上述对本说明书特定实施例进行了描述,其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
总之,以上所述仅为本说明书的较佳实施例而已,并非用于限定本说明书的保护范围。凡在本说明书一个或多个实施例的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本说明书一个或多个实施例的保护范围之内。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制时,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
1.一种资源操作权限控制方法,包括:
接收针对目标组织中的目标资源的操作请求,所述操作请求中携带有请求操作所述目标资源的人员的标识信息;
基于所述标识信息和所述目标组织的组织架构信息,确定所述人员所属的目标组织结点;
基于所述目标组织的组织结点与所述目标组织的业务类目的映射关系,确定与所述目标组织结点匹配的业务类目集合;
基于所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系,确定与所述业务类目集合中的业务类目匹配的资源操作权限集合;
基于所述资源操作权限集合,对操作所述目标资源的权限进行控制。
2.根据权利要求1所述的方法,在所述基于所述标识信息和所述目标组织的组织架构信息,确定所述人员所属的目标组织结点之前,还包括:
基于所述目标组织的部门设置信息,建立所述目标组织的组织架构,所述组织架构中包括多个组织结点,所述目标组织结点属于所述多个组织结点中的一个,一个组织结点表示一个部门,一个部门包含至少一个人员;
基于所述目标组织中人员的标识信息、所述目标组织中人员所属的部门信息以及所述组织架构,确定所述组织架构信息。
3.根据权利要求1所述的方法,在所述基于所述目标组织的组织结点与所述目标组织的业务类目的映射关系,确定与所述目标组织结点匹配的业务类目集合之前,还包括:
基于所述目标组织的部门从事的业务信息,建立所述目标组织的组织结点与所述目标组织的业务类目的映射关系。
4.根据权利要求1所述的方法,在所述基于所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系,确定与所述业务类目集合中的业务类目匹配的资源操作权限集合之前,还包括:
基于处理所述目标组织的业务类目对应的业务时所需的资源信息,建立所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系。
5.根据权利要求4所述的方法,其中,所述建立所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系,包括:
对所述目标组织的业务类目进行标签化处理,一个业务类目一个标签;
建立所述目标组织的业务类目的标签与所述目标组织的资源操作权限的映射关系,其中,一个资源操作权限对应控制至少一个资源单元。
6.根据权利要求5所述的方法,所述目标资源包括至少一个资源单元,
其中,所述基于所述资源操作权限集合,对操作所述目标资源的权限进行控制,包括:
确定所述资源操作权限集合中是否包含针对目标资源单元的操作权限,所述目标资源单元是所述目标资源中的任一资源单元;
当所述资源操作权限集合中包含针对所述目标资源单元的操作权限时,响应针对所述目标资源单元的操作请求。
7.根据权利要求1-6任一项所述的方法,还包括:
当所述目标组织中的人员所属的组织结点发生变化,且所述目标组织的组织架构、目标组织的业务类目、目标组织的组织结点与业务类目的映射关系、目标组织的业务类目与资源操作权限之间的映射关系均未发生变化时,对所述组织架构信息进行更新。
8.根据权利要求1-6任一项所述的方法,还包括:
当所述目标组织的组织架构发生调整,且所述目标组织的业务类目、目标组织的业务类目与资源操作权限之间的映射关系均未发生变化时,对所述目标组织的组织结点与所述目标组织的业务类目的映射关系进行更新。
9.根据权利要求1-6任一项所述的方法,还包括:
当所述目标组织的业务类目发生变化时,对所述目标组织的组织结点与所述目标组织的业务类目的映射关系,以及所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系进行更新。
10.一种资源操作权限控制装置,包括:
请求接收模块,用于接收针对目标组织中的目标资源的操作请求,所述操作请求中携带有请求操作所述目标资源的人员的标识信息;
第一确定模块,用于基于所述标识信息和所述目标组织的组织架构信息,确定所述人员所属的目标组织结点;
第二确定模块,用于基于所述目标组织的组织结点与所述目标组织的业务类目的映射关系,确定与所述目标组织结点匹配的业务类目集合;
第三确定模块,用于基于所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系,确定与所述业务类目集合中的业务类目匹配的资源操作权限集合;
操作权限控制模块,用于基于所述资源操作权限集合,对操作所述目标资源的权限进行控制。
11.一种电子设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行以下操作:
接收针对目标组织中的目标资源的操作请求,所述操作请求中携带有请求操作所述目标资源的人员的标识信息;
基于所述标识信息和所述目标组织的组织架构信息,确定所述人员所属的目标组织结点;
基于所述目标组织的组织结点与所述目标组织的业务类目的映射关系,确定与所述目标组织结点匹配的业务类目集合;
基于所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系,确定与所述业务类目集合中的业务类目匹配的资源操作权限集合;
基于所述资源操作权限集合,对操作所述目标资源的权限进行控制。
12.一种电子设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行以下操作:
接收针对目标组织中的目标资源的操作请求,所述操作请求中携带有请求操作所述目标资源的人员的标识信息;
基于所述标识信息和所述目标组织的组织架构信息,确定所述人员所属的目标组织结点;
基于所述目标组织的组织结点与所述目标组织的业务类目的映射关系,确定与所述目标组织结点匹配的业务类目集合;
基于所述目标组织的业务类目与所述目标组织的资源操作权限的映射关系,确定与所述业务类目集合中的业务类目匹配的资源操作权限集合;
基于所述资源操作权限集合,对操作所述目标资源的权限进行控制。
技术总结