本发明涉及信息安全管理,具体涉及融合统一身份认证与权限管理的系统。
背景技术:
1、在信息化发展初期,企业使用的系统很少,通常一个或者两个,每个系统都需要对用户及功能权限进行管理,用户进行系统访问时,每个系统需要用户进行登录。但随着企业的发展,系统数量激增,用户在使用不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于用户来说,很不方便。于是就需要解决统一身份认证的问题,提升用户体验。
2、统一身份认证技术是指在一个系统或者服务中,通过一次身份验证,实现一次验证身份即可访问授权范围内的多个应用及资源。随着信息化和网络化的加速推进,统一身份认证技术受到了越来越广泛的关注和应用。统一身份认证将不同的认证方式进行整合和统一,在多个应用系统中,用户只需要一次身份认证就可以访问具有相应权限的其他应用系统,从而实现单点登录和访问授权控制等。当前各个应用系统的权限控制模型已相对成熟,主流的权限模型主要有rbac、abac、pbac与tbac几种模型。rbac(role-based accesscontrol)是一种常见的权限模型,它基于角色进行访问控制。在rbac中,将用户分配给不同的角色,每个角色具有特定的权限,用户通过分配的角色来获取相应的权限。abac(attribute-based access control)是基于属性进行访问控制,在abac中,访问决策不仅基于用户角色,还基于其他属性(如用户的属性、环境条件等)。这种模型更加灵活,可以根据更多的属性因素进行访问控制。pbac(policy-based access control)是一种基于策略的权限模型,它通过定义策略来管理访问控制。这些策略可以由管理员根据组织的需求进行定制,以决策具体的访问权限。pbac模型允许更细粒度的控制,并支持动态的访问控制策略。tbac(task-based access control)是一种基于任务的权限模型,它根据用户当前的任务或角色来授予相应的权限。用户只能在特定任务或角色下获得特定的权限,以完成特定的任务。各应用根据不同的场景和需求选用合适的权限模型满足业务的需要。无论是从统一身份认证还是从权限控制来看,各自领域均有相对成熟的标准与实现方式,但目前两者相对独立,没有有效融合,给系统维护与运营人员带来了挑战。具体表现在统一身份认证系统通常解决了用户统一管理及用户与角色的映射问题,但是角色与功能菜单的映射没有实现。各应用系统的权限的配置管理仍然在各应用系统中进行配置,如现在比较常用的rbac模型,各系统的权限配置管理都在本系统内管理,通常有菜单管理、角色管理及角色与菜单映射等功能。
3、所以目前业内常见的一种方式就是统一身份认证系统加各系统的权限配置共同完成一个整体统一用户权限管理。在使用层面,系统管理员需要在统一门户中完成用户的统一管理,但各个应用系统的具体权限需要登录到各应用系统中配置管理,因各个应用系统对权限管理的实现方式和操作模式存在差异,学习和使用成本较高。
技术实现思路
1、为了解决在各应用系统中单独进行权限配置的问题,本发明提供一种基于统一身份认证系统的应用权限配置管理方法及装置。
2、本发明技术方案提供一种融合统一身份认证与权限管理的系统,包括应用菜单管理模块、应用角色管理模块、应用权限管理模块和权限信息封装模块;
3、应用菜单管理模块对注册的应用进行菜单功能的新增、修改、状态维护操作,其中菜单包含目录、菜单及按钮,目录和菜单支持嵌套,且目录与菜单可配置图标;
4、应用角色管理模块对具体的应用进行角色的新增、修改、状态维护操作,其中角色管理包括角色名称、角色编码、描述与角色启用状态的管理;
5、应用权限管理模块在特定应用下维护角色所拥有的菜单范围,并将角色分配给具体用户以实现对用户权限的分配;
6、权限信息封装模块将各应用系统的权限信息封装成api接口,供各应用系统通过接口获取权限信息实现对功能资源的权限控制。
7、作为本发明技术方案的优选,应用菜单管理模块的具体操作包括:
8、选择一个具体的应用系统,在选择好应用系统后,选择一个上级菜单,选择创建菜单的类型,配置菜单的相关属性,配置完成后,保存菜单设置。
9、作为本发明技术方案的优选,应用菜单管理的具体进行应用菜单管理的步骤包括:
10、根据应用的功能和业务需求,确定菜单的基本结构和层级;
11、设计主菜单、子菜单和页面级别的菜单项;
12、为每个菜单项定义唯一的标识符、名称、描述和相关的图标或图片;
13、为每个菜单项设置属性;
14、将每个菜单项与对应的功能或页面进行关联,确保点击菜单项时能够正确导航到相应的功能或页面;
15、为菜单项配置导航路径,确保用户通过菜单项快速导航到应用的不同部分。
16、作为本发明技术方案的优选,应用角色管理模块的具体操作包括:
17、选择一个具体的应用系统,后续角色配置均在该应用系统上生效;
18、维护角色的名称、编码、描述与状态信息生成应用系统下的角色列表。
19、作为本发明技术方案的优选,应用角色管理模块进行应用角色管理的步骤包括:
20、定义应用中的角色以及每个角色应该拥有的权限;
21、根据定义的角色和权限,设计数据库表来存储相关信息,包括用户表、角色表、权限表以及用户角色关联表、角色权限关联表;
22、提供一个用户界面,接收管理员输入角色名称、描述以及分配给该角色的权限,实现角色和权限的创建;
23、将创建好的角色分配给用户,在用户执行某个操作时,验证该用户是否具有执行该操作所需的权限。
24、作为本发明技术方案的优选,应用权限管理模块的操作包括:
25、从一个应用系统的角色列表中选择一个具体角色进行菜单映射;
26、映射的菜单在应用菜单管理中维护的菜单范围内进行选择;
27、将角色分配给一个具体用户。
28、作为本发明技术方案的优选,应用权限管理模块实现对用户权限的分配的步骤包括:
29、在应用角色管理页面,选择需要分配权限的角色;
30、根据角色的职责和需求,为其分配相应的菜单权限;
31、选择需要分配角色的用户,并将角色分配给选定的用户。
32、作为本发明技术方案的优选,应用权限管理模块进行应用权限管理的步骤包括:
33、启动应用读取受保护的资源并保存到全局缓存;
34、统一身份认证通过后,查询用户授权的资源,根据资源创建令牌并返回给用户;
35、根据用户的查询信息返回当前用户以及角色信息,并在应用界面根据角色拥有的菜单初始化应用界面;
36、接收用户携带令牌的访问请求,解析令牌得到授权资源进行鉴权,鉴权通过允许访问。
37、作为本发明技术方案的优选,应用权限管理模块进行应用权限管理的步骤还包括:
38、获取用户的属性信息;
39、根据用户的属性信息确定用户的权限级别;
40、在用户对系统资源进行权限操作时,判断用户的属性是否满足权限操作的执行条件;
41、若用户的属性匹配授权资源的访问策略时,则执行权限操作,反之则拒绝执行。
42、作为本发明技术方案的优选,权限信息封装模块的具体封装过程:
43、获取需要封装的权限信息内容,包括用户角色、角色对应的菜单权限、功能操作权限;
44、设计一个或多个用于提供权限信息的api接口;
45、将权限信息进行结构化处理;
46、将获取的权限信息封装成api接口所期望的格式;
47、将封装好的权限信息序列化成json、xml格式;并将代码打包并部署到生产环境。
48、从以上技术方案可以看出,本发明具有以下优点:实现用户统一身份认证与权限的集中配置,解决了需要进入各个应用系统进行权限配置的问题,对用户权限相关的功能进行了标准化的管理,各应用系统不再需要权限配置相关功能,降低了系统的复杂度。
49、此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
50、由此可见,本发明与现有技术相比,具有突出的实质性特点和显著地进步,其实施的有益效果也是显而易见的。
1.一种融合统一身份认证与权限管理的系统,其特征在于,包括应用菜单管理模块、应用角色管理模块、应用权限管理模块和权限信息封装模块;
2.根据权利要求1所述的融合统一身份认证与权限管理的系统,其特征在于,应用菜单管理模块的具体操作包括:
3.根据权利要求2所述的融合统一身份认证与权限管理的系统,其特征在于,应用菜单管理的具体进行应用菜单管理的步骤包括:
4.根据权利要求3所述的融合统一身份认证与权限管理的系统,其特征在于,应用角色管理模块的具体操作包括:
5.根据权利要求4所述的融合统一身份认证与权限管理的系统,其特征在于,应用角色管理模块进行应用角色管理的步骤包括:
6.根据权利要求5所述的融合统一身份认证与权限管理的系统,其特征在于,应用权限管理模块的操作包括:
7.根据权利要求6所述的融合统一身份认证与权限管理的系统,其特征在于,应用权限管理模块实现对用户权限的分配的步骤包括:
8.根据权利要求7所述的融合统一身份认证与权限管理的系统,其特征在于,应用权限管理模块进行应用权限管理的步骤包括:
9.根据权利要求8所述的融合统一身份认证与权限管理的系统,其特征在于,应用权限管理模块进行应用权限管理的步骤还包括:
10.根据权利要求9所述的融合统一身份认证与权限管理的系统,其特征在于,权限信息封装模块的具体封装过程:
