业务权限的管控方法、管控系统及计算机可读介质.pdf

《业务权限的管控方法、管控系统及计算机可读介质.pdf》由会员分享，可在线阅读，更多相关《业务权限的管控方法、管控系统及计算机可读介质.pdf（15页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201911320086.5 (22)申请日 2019.12.19 (71)申请人 北京思特奇信息技术股份有限公司 地址 100089 北京市海淀区中关村南大街6 号中电信息大厦16层 (72)发明人 石柏成 (74)专利代理机构 北京轻创知识产权代理有限 公司 11212 代理人 厉洋洋 (51)Int.Cl. G06F 21/31(2013.01) G06F 21/60(2013.01) G06F 21/62(2013.01) (54)发明名称 一种业务权限的管控方法、 管控。

2、系统及计算 机可读介质 (57)摘要 本发明公开了一种业务权限的管控方法、 管 控系统及计算机存储介质， 所述管控方法包括： 根据登录信息从第一存储区中获取所述登录信 息对应的业务权限信息； 若无， 则调用业务权限 管控中心； 所述业务权限管控中心根据所述登录 信息从第二存储区中获取所述登录信息对应的 业务权限信息； 其中， 所述业务权限信息至少包 括第一业务实体范围和第一业务实体可操作数 据范围。 本发明进一步公开了一种业务权限的管 控系统， 本发明通过采用上述技术方案使企业或 大规模组织的大规模业务模块权限管理和验证 中用户或用户权限发生变动时产生的权限管理 和验证上的不便得到了改善。 权。

3、利要求书2页 说明书10页 附图2页 CN 110968851 A 2020.04.07 CN 110968851 A 1.一种业务权限的管控方法， 其特征在于， 包括： 通过登录信息登录后， 根据所述登录信息从第一存储区中获取所述登录信息对应的业 务权限信息； 若无， 则调用业务权限管控中心， 根据所述登录信息从第二存储区中获取所述登录信 息对应的业务权限信息； 其中， 所述业务权限信息至少包括第一业务实体范围和第一业务实体可操作数据范 围。 2.根据权利要求1所述的管控方法， 其特征在于， 在获取所述业务权限信息之后， 还包 括： 对基于所述登录信息登录后的查询或操作指令进行解析， 所述查。

4、询或操作指令至少包 括第二业务实体范围和第二业务实体可操作数据范围； 判断所述第二业务实体范围是否包括在所述第一业务实体范围内； 若是， 则用所述第一业务实体可操作数据范围替换所述第二业务实体可操作数据范 围； 若否， 则拒绝执行所述查询或操作指令。 3.根据权利要求1或2所述的管控方法， 其特征在于， 所述调用业务权限管控中心， 根据 所述登录信息从第二存储区中获取所述登录信息对应的业务权限信息， 包括： 通过所述业务权限管控中心的应用程序接口将所述登录信息传给所述业务权限管控 中心； 所述业务权限管控中心根据所述登录信息在所述第二存储区中查询所述登录信息对 应的业务权限信息； 所述业务权限。

5、管控中心通过所述应用程序接口将查询到的所述业务权限信息传回。 4.根据权利要求1或2所述的管控方法， 其特征在于， 所述第一存储区为计算机内部存 储器， 包括随机存储器RAM； 所述第二存储区为计算机外部存储器， 包括硬盘或光盘。 5.根据权利要求1或2所述的管控方法， 其特征在于， 所述登录信息包括登录名、 隶属标 识、 地理标识和角色标识。 6.一种业务权限的管控系统， 其特征在于， 包括： 登录模块， 用于统一认证不同业务的登录请求， 并根据登录信息获取所述登录信息对 应的业务权限信息； 业务模块， 用于根据登录用户的查询或操作指令查询或操作业务实体； 业务权限管控中心， 用于集中管理不。

6、同业务的业务权限信息； 第一存储区， 用于在各业务模块中存储业务权限信息； 第二存储区， 用于在业务权限管控中心集中存储各业务模块的业务权限信息。 7.根据权利要求6所述管控系统， 其特征在于， 所述业务模块包括独立的业务权限管理 模块， 所述业务权限管理模块在登录用户进行查询或操作时自动截获所述查询或操作指 令， 并对所述查询或操作指令进行解析和替换。 8.一种计算机可读介质， 存储计算机程序， 所述计算机程序可被处理器执行， 实现权利 要求15任一项所述的方法。 9.根据权利要求8所述的计算机可读介质， 其特征在于， 所述第一存储区为计算机内部 权利要求书 1/2 页 2 CN 11096。

7、8851 A 2 存储器， 包括随机存储器RAM； 所述第二存储区为计算机外部存储器， 包括硬盘或光盘。 权利要求书 2/2 页 3 CN 110968851 A 3 一种业务权限的管控方法、 管控系统及计算机可读介质 技术领域 0001 本发明涉权限管控技术领域， 尤其涉及一种业务权限的管控方法、 管控系统及计 算机可读介质。 背景技术 0002 业务权限是指每个工作岗位或者角色对应业务实体的管控和使用权限， 包含对于 业务实体的增加、 删除、 修改、 更新、 订购、 使用等主要的权限， 业务权限管控就是针对业务 实体的权限进行管控。 0003 比如， 大规模组织内部的管理， 总体上多是矩阵。

8、式管理模式， 有的部门是纵向管理 为主， 有的部门是横向管理为主， 但都有条块的管理， 责权关系和工作流程复杂， 每个人的 岗位和相关的业务权限管控非常复杂。 0004 目前对于业务权限的处理， 以定制化方式为主， 对于每个业务， 需要每个模块基于 自身使用的业务实体， 进行特定的控制， 管控方式复杂， 用户或用户权限有变动， 则需要每 个业务模块逐一修改， 对企业或大规模组织的大规模业务模块的权限管理带来了极大不 便。 发明内容 0005 有鉴于此， 本发明所要解决的技术问题是提供一种业务权限的管控方法、 管控系 统及计算机可读介质， 以解决企业或大规模组织的大规模业务模块权限管理和验证中的。

9、不 便。 0006 为解决上述技术问题本发明的技术方案如下： 0007 根据本发明实施例的一个方面， 一种业务权限的管控方法， 包括： 0008 通过登录信息登录后， 根据所述登录信息从第一存储区中获取所述登录信息对应 的业务权限信息； 0009 若无， 则调用业务权限管控中心， 根据所述登录信息从第二存储区中获取所述登 录信息对应的业务权限信息； 0010 其中， 所述业务权限信息至少包括第一业务实体范围和第一业务实体可操作数据 范围。 0011 进一步的， 在获取所述业务权限信息之后， 还包括： 0012 对基于所述登录信息登录后的查询或操作指令进行解析， 所述查询或操作指令至 少包括第二。

10、业务实体范围和第二业务实体可操作数据范围； 0013 判断所述第二业务实体范围是否包括在所述第一业务实体范围内； 0014 若是， 则用所述第一业务实体可操作数据范围替换所述第二业务实体可操作数据 范围； 0015 若否， 则拒绝执行所述查询或操作指令。 0016 本实施例的有益效果在于， 使常用登录用户的业务权限信息能在第一存储区中对 说明书 1/10 页 4 CN 110968851 A 4 登录请求做及时响应， 同时使不常用的数量更为广泛的用户的登录信息对应的业务权限信 息存储于第二存储区， 在登录时再由登录模块从业务权限管控中心中调取。 同时， 进一步 的， 在大规模业务模块权限管理和。

11、验证中， 当用户或用户权限发生变动时可由业务模块或 独立于业务模块的业务权限管理模块通过自动截获所述查询或操作指令， 并对所述查询或 操作指令进行自动解析和替换， 从而避免了人为操作会带来工作负担和可能出现的差错。 0017 进一步的， 所述调用业务权限管控中心， 根据所述登录信息从第二存储区中获取 所述登录信息对应的业务权限信息， 包括： 0018 通过所述业务权限管控中心的应用程序接口将所述登录信息传给所述业务权限 管控中心； 0019 所述业务权限管控中心根据所述登录信息在所述第二存储区中查询所述登录信 息对应的业务权限信息； 0020 所述业务权限管控中心通过所述应用程序接口将查询到的。

12、所述业务权限信息传 回。 0021 上述实施方式的有益效果在于， 通过应用程序接口调用所述业务权限管控中心中 服务使登录模块的工作能得到更及时的响应。 0022 进一步的， 所述第一存储区为计算机内部存储器， 包括随机存储器RAM； 所述第二 存储区为计算机外部存储器， 包括硬盘或光盘。 0023 该实施方式的有益效果在于， 利用不同存储区的不同特点使规模小而常用的登录 信息能得到快速及时响应， 使不常用但规模很大的登录信息都能确保找到其对应的业务权 限信息。 0024 进一步的， 所述登录信息包括登录名、 隶属标识、 地理标识和角色标识。 0025 该实施方式的有益效果在于， 通过为登录信息。

13、配置多维度的信息方便通过登录信 息关联更多的业务实体的属性和业务实体的可操作数据。 0026 根据本发明实施例的另一个方面， 一种业务权限的管控系统， 包括： 0027 登录模块， 用于统一认证不同业务的登录请求， 并根据登录信息获取所述登录信 息对应的业务权限信息； 0028 业务模块， 用于根据登录用户的查询或操作指令查询或操作业务实体； 0029 业务权限管控中心， 用于集中管理不同业务的业务权限信息； 0030 第一存储区， 用于在各业务模块中存储业务权限信息； 0031 第二存储区， 用于在业务权限管控中心集中存储各业务模块的业务权限信息。 0032 进一步的， 所述业务模块包括独立。

14、的业务权限管理模块， 所述业务权限管理模块 在登录用户进行查询或操作时自动截获所述查询或操作指令， 并对所述查询或操作指令进 行解析和替换。 0033 本实施例的有益效果在于， 使常用登录用户的业务权限信息能在第一存储区中对 登录请求做到及时响应， 同时使不常用的数量更为广泛的用户的登录信息对应的业务权限 信息存储于业务权限管控中心中的第二存储区， 在登录时再由登录模块从业务权限管控中 心中的第二存储区调取。 并且在大规模业务模块权限管理和验证中， 当用户或用户权限发 生变动时可由业务模块或独立于业务模块的业务权限管理模块通过自动获取所述查询或 操作指令， 并对所述查询或操作指令进行自动解析和。

15、替换。 说明书 2/10 页 5 CN 110968851 A 5 0034 根据本发明实施例的又一个方面， 一种计算机可读介质， 存储计算机程序， 所述计 算机程序可被处理器执行， 实现上述方法中的步骤。 0035 进一步的， 所述第一存储区为计算机内部存储器， 包括随机存储器RAM； 所述第二 存储区为计算机外部存储器， 包括硬盘或光盘。 0036 本发明附加的方面的优点将在下面的描述中部分给出， 部分将从下面的描述中变 得明显， 或通过本发明实践了解到。 附图说明 0037 图1为本发明产品实施例提供的系统框图； 0038 图2为本发明方法实施例提供的方法流程图； 0039 图3为本发明。

16、另一方法实施例提供的方法流程图； 具体实施方式 0040 以下结合附图对本发明的原理和特征进行描述， 所举实施例只用于解释本发明， 并非用于限定本发明的范围。 0041 本发明所述业务实体是代表业务角色执行业务用例时所处理或使用的 “事物” 。 业 务实体是来自现实世界， 它是角色在完成其业务目标过程中使用到或创建出来的， 业务实 体通常是在分析业务流程(即业务用例场景)的过程中发现的， 就是说， 业务实体通常是在 业务用例场景中使用或创建。 业务实体作为类的一个版型， 具有对象的性质， 包括属性和方 法， 同时具有对象的独立性。 业务实体模型是一种逻辑模型， 用于记录业务或业务使用流程 及交。

17、互的实体或事务， 以实现其业务活动和目标。 除了记录实体之外， 业务实体模型还可以 捕获实体的属性， 实体之间的关系和基数信息。 需要注意的是， 业务实体模型记录业务域的 逻辑结构， 而不是物理结构。 当设计类图和数据库模式时， 业务实体模型捕获的信息有助于 软件开发过程的后期阶段， 这是逻辑信息开始转换为物理实现的地方。 0042 一个业务实体通常代表某种对多个业务用例或实例中有价值的事物。 通常来说， 业务实体代表产品的文档或重要组成部分。 有时候， 业务实体也代表一些非实体的对象， 如 关于市场或客户的重要信息。 例如， 饭店中的业务实体有菜单和饮料； 而在机场， 机票和登 机牌是重要的。

18、业务实体。 业务实体范围也就是实体对象的范围， 业务实体可操作数据范围 就是指业务实体所对应的可操作数据， 或者说是用来描述业务实体的可操作数据的范围。 所述业务权限信息中通常至少包括该权限信息所允许操作的业务实体范围和业务实体可 操作数据范围。 对应的， 对业务实体的查询或操作指令中通过也至少包括业务实体范围和 业务实体可操作数据范围。 所述业务权限是指岗位或者角色对应的业务实体的管控和使用 权限， 包含对于业务实体的增加、 删除、 修改、 更新、 订购、 使用等主要的权限， 业务权限管控 就是指针对业务实体的权限进行管控。 0043 本申请实施例中所述业务实体是类的一种版型， 特别适用于业。

19、务建模阶段建立领 域模型。 所述业务实体描述了用什么来达到业务目标及通过什么记录这个业务目标， 所述 业务实体抽象出了问题领域内核心和关键的概念。 0044 下面先就本发明产品实施例的系统构成和功能作用做详细描述， 然后以产品实施 例中的系统为例就方法实施例的实现过程做进一步描述。 说明书 3/10 页 6 CN 110968851 A 6 0045 实施例1 0046 如图1所示， 一种业务权限的管控系统， 包括： 0047 登录模块10， 用于统一认证不同业务的登录请求， 并根据登录信息获取所述登录 信息对应的业务权限信息； 0048 业务模块30， 用于根据登录用户的查询或操作指令查询或。

20、操作业务实体； 0049 业务权限管控中心20， 用于集中管理不同业务的业务权限信息； 0050 第一存储区11， 用于在各业务模块中存储业务权限信息； 0051 第二存储区21， 用于在业务权限管控中心集中存储各业务模块的业务权限信息。 0052 下面以大规模组织内部的权限管控为例来对上述管控系统做进一步说明。 0053 大规模组织内部的行政管理总体上是矩阵式管理模式， 有的部门是纵向管理为 主， 有的部门是横向管理为主， 不过总体上都有条块的管理。 其中的责权关系和工作流程通 常都比较复杂， 工作人员的岗位和相关的业务权限管控相应地也都比较复杂。 目前一般大 规模组织内部的业务权限管控都以。

21、定制化方式完成， 对于每个业务需要每个模块基于自身 使用的业务实体对象进行特定的控制， 从而导致管控方式在整体上较为杂乱。 如果某个业 务权限需要变动， 若统一修改则需要从根本上调整应用逻辑， 若个别修改则很容易带来混 乱。 0054 鉴于上述情况， 大规模组织内部的权限管控中通常解决的问题包括： 0055 1、 统一的业务权限配置 0056 对于角色、 登录级别、 业务实体和动作， 形成完整的配置。 通过抽象的模式由统一 的权限管控系统来实现， 而不是每个业务模块单独处理自身的业务权限。 因为每个业务模 块单独控制时， 若有权限变更， 则只能修改代码的权限控制逻辑， 效率非常低下， 尤其是在。

22、 发生大规模组织架构调整的情况下。 0057 2、 实现业务实体的个性化业务权限要求 0058 对于每个业务实体， 可以个性化设置管控范围和可视范围， 管控范围是指可以管 控业务实体的部门和角色的范围， 可视范围是指可以使用业务实体的部门和角色的范围。 可以支持的管控范围和可视范围包含组织内部有条件共享和组织内部无条件共享等。 如果 业务实体不进行个性化设置， 就认为没有特殊要求， 则默认为组织内部范围内无条件共享。 由于大规模组织内部对于不同数据， 即业务实体， 有不同的密级要求， 因此支持业务实体的 个性化业务权限非常重要。 0059 3、 角色的个性化业务权限控制 0060 每个岗位和角。

23、色都是大规模组织工作流程的一部分， 都会操作一定的业务实体。 角色的个性化权限控制， 就是要设置可以操作的部门范围。 0061 当角色个性化业务权限和业务实体个性化业务权限设置上存在冲突时， 以业务实 体个性化业务权限为优先。 0062 本发明所述的业务权限管控系统在上述应用环境中的具体实现如下： 0063 用户先从统一的登录模块10进行登录， 统一的登录模块10不同于传统的内置于不 同业务模块中的登录模块， 统一的登录模块10可统一认证不同业务模块的登录请求， 并根 据登录信息从业务模块30对应的第一存储区11中， 或通过业务权限管控中心20从其对应的 第二存储区21中获取登录信息对应的业务。

24、权限信息。 说明书 4/10 页 7 CN 110968851 A 7 0064 所述业务模块30， 用于根据登录用户的查询或操作指令查询或操作业务实体， 即 完成具体的业务工作。 0065 所述业务权限管控中心20， 用于集中管理不同业务模块对应的所有注册过的业务 权限信息； 0066 所述第一存储区11为计算机内部存储器， 通常采用随机存储器RAM， 用于在各业务 模块中存储常用或最近使用过的业务权限信息； 0067 所述第二存储区21为计算机外部存储器， 通常采用硬盘或光盘存储器， 用于在业 务权限管控中心或由业务权限管控中心， 集中存储和调用各业务模块的所有注册过的业务 权限信息。 0。

25、068 在上述系统的业务权限管控过程中， 通常还存在对利用所述登录信息登录的用户 的查询或操作指令进行解析和替换的问题。 该部分工作通常是由本发明所述业务权限管控 系统中独立于业务模块之外的业务权限管理模块31来实现。 实际中， 该业务权限管理模块 31也可以是内置于各业务模块之中， 本发明并不以此为限。 0069 本实施例所述的业务权限的管控系统通过配置为登录模块10、 业务模块30、 业务 权限管控中心20、 第一存储区11和第二存储区21， 使常用登录用户的业务权限信息存储在 所述业务模块的第一存储区， 即随机存储器RAM， 使不常用的数量更为广泛的用户的登录信 息对应的业务权限信息存储。

26、于业务权限管控中心中的第二存储区， 即机械或固态硬， 在登 录时由登录模块从所述业务权限管控中心中的第二存储区调取。 从而即保证了对常用登录 用户的快速响应， 又保证了可用业务权限信息的广泛度， 也同时实现了对不同业务模块中 业务权限信息的集中统一管控。 另外， 通过对登录用户的查询或操作指令自动获取后进行 解析和替换， 使企业或大规模组织的大规模业务模块权限管理和验证中， 当用户或用户权 限发生变动时可由业务模块30或独立于业务模块的业务权限管理模块31通过自动获取所 述查询或操作指令， 并对所述查询或操作指令进行自动解析和替换。 0070 以上述产品实施例中的系统为例， 下面就本发明的方法。

27、实施例的实现过程做进一 步描述。 0071 实施例2 0072 如图2所示， 一种业务权限的管控方法， 包括： 0073 S21： 通过登录信息登录后， 根据登录信息从第一存储区中获取所述登录信息对应 的业务权限信息， 所述业务权限信息至少包括第一业务实体范围和第一业务实体可操作数 据范围； 0074 该步骤由上述产品实施例中所述管控系统的登录模块执行， 其中， 所述第一存储 区通常为计算机的内部存储器， 如随机存储器RAM。 0075 S22： 若无， 则调用业务权限管控中心， 根据所述登录信息从第二存储区中获取所 述登录信息对应的业务权限信息； 0076 该步骤中所述的调用仍由所述登录模块。

28、执行， 即在所述第一存储区中未找到所述 登录信息对应的业务权限信息时， 则调用业务权限管控中心， 所述业务权限管控中心根据 所述登录信息从第二存储区中获取所述业务权限信息。 其中， 所述业务权限管控中心及对 应的第二存储区可以与所述登录模块及其对应的第一存储设置于同一计算机中， 也可以设 置于独立的服务器， 主要视权限管控的应用范围和规模而定。 说明书 5/10 页 8 CN 110968851 A 8 0077 S23： 所述业务权限管控中心将从所述第二存储区获取的所述业务权限信息传回 给调用端； 0078 该步骤由所述业务权限管控中心执行， 即将从所述第二存储区获取的所述业务权 限信息传回。

29、给所述登录模块。 0079 所述第二存储区为计算机的外部存储器， 通常为计算机的硬盘， 该计算机可以是 与第一存储器共用的同一计算机， 也可以是独立的服务器。 0080 上述各步骤中的所述业务权限信息均至少包括第一业务实体范围和第一业务实 体可操作数据范围。 0081 本实施例通过使常用登录用户的业务权限信息能在第一存储区中对登录请求做 及时响应， 同时使不常用的数量更为广泛的用户的登录信息对应的业务权限信息存储于第 二存储区， 在登录时再由登录模块从业务权限管控中心中调取。 同时， 进一步的， 在大规模 业务模块权限管理和验证中， 当用户或用户权限发生变动时可由业务模块或独立于业务模 块的业。

30、务权限管理模块通过自动截获所述查询或操作指令， 并对所述查询或操作指令进行 自动解析和替换， 从而避免了人为操作会带来工作负担和可能出现的差错。 0082 实施例3 0083 如图3所示， 一种业务权限的管控方法， 包括： 0084 S31： 通过登录信息登录后， 根据登录信息从第一存储区中获取所述登录信息对应 的业务权限信息， 所述业务权限信息至少包括第一业务实体范围和第一业务实体可操作数 据范围； 0085 该步骤由上述产品实施例中所述管控系统的登录模块执行， 其中， 所述第一存储 区通常为计算机的内部存储器， 如随机存储器RAM。 0086 S32： 若无， 则调用业务权限管控中心， 根。

31、据所述登录信息从第二存储区中获取所 述登录信息对应的业务权限信息； 0087 该步骤中所述的调用仍由所述登录模块执行， 即在所述第一存储区中未找到所述 登录信息对应的业务权限信息时， 则调用业务权限管控中心， 所述业务权限管控中心根据 所述登录信息从第二存储区中获取所述业务权限信息。 其中， 所述业务权限管控中心及对 应的第二存储区可以与所述登录模块及其对应的第一存储设置于同一计算机中， 也可以设 置于独立的服务器， 主要视权限管控的应用范围和规模而定。 0088 S33： 所述业务权限管控中心将从所述第二存储区获取的所述业务权限信息传回 给调用端； 0089 该步骤由所述业务权限管控中心执行。

32、， 即将从所述第二存储区获取的所述业务权 限信息传回给所述登录模块。 0090 所述第二存储区为计算机的外部存储器， 通常为计算机的硬盘， 该计算机可以是 与第一存储器共用的同一计算机， 也可以是独立的服务器。 0091 上述各步骤中的所述业务权限信息均至少包括第一业务实体范围和第一业务实 体可操作数据范围。 0092 S34： 对基于所述登录信息登录后的查询或操作指令进行解析， 所述登录用户利用 所述登录信息登录， 所述查询或操作指令至少包括第二业务实体范围和第二业务实体可操 作数据范围； 说明书 6/10 页 9 CN 110968851 A 9 0093 该步骤由上述产品实施例中所述业务。

33、权限管理模块执行， 其中， 所述登录用户与 所述登录信息是一一对应， 登录用户的查询或操作指令中含有与所述登录信息中相对应的 信息要素， 比如用户名或角色标识等。 0094 S35： 判断所述第二业务实体范围是否包括在所述第一业务实体范围内； 0095 S36： 若是， 则用所述第一业务实体可操作数据范围替换所述第二业务实体可操作 数据范围； 0096 S35和S36均由业务模块或独立的业务权限管理模块自动执行， 用于在每次执行查 询或操作指令时先对指令的业务实体范围进行判断， 进而再对业务实体的可操作数据范围 进行重写和替换。 其要实现的目的就是， 由业务模块或独立于业务模块的业务权限模块先。

34、 从查询或操作指令中解析出所述第二业务实体范围， 如果所述第二业务实体范围在所述业 务权限信息对应的第一业务实体范围内， 则接受所述查询或操作指令， 并将所述第二业务 实体可操作数据范围替换为所述第一业务实体可操作数据范围。 0097 S37： 若否， 则拒绝执行所述查询或操作指令。 0098 进一步的， 所述S32中所述调用业务权限管控中心， 根据所述登录信息从第二存储 区中获取所述登录信息对应的业务权限信息， 包括： 0099 S321： 通过所述业务权限管控中心的应用程序接口将所述登录信息传给所述业务 权限管控中心； 0100 S322： 所述业务权限管控中心根据所述登录信息在所述第二存。

35、储区中查询所述登 录信息对应的业务权限信息； 0101 S323： 所述业务权限管控中心通过所述应用程序接口将查询到的所述业务权限信 息传回。 0102 本实施例通过使常用登录用户的业务权限信息存储于第一存储区的随机存储器 RAM中， 使不常用但数量更为广泛的用户的登录信息对应的业务权限信息存储于业务权限 管控中心中的第二存储区的硬盘或光盘中。 在登录时， 如果是常用登录用户则所述第一存 储区能对登录用户的业务权限信息做出及时响应， 如果是不常用登录用户则从业务权限管 控中心中的第二储存单元中调取登录用户的业务权限信息。 从而即保证了对常用登录用户 的快速响应， 又保证了可用业务权限信息的广泛。

36、度， 也同时实现了对不同业务模块中业务 权限信息的集中统一管控。 另一方面， 通过对登录用户的查询或操作指令自动获取后进行 解析和替换， 使企业或大规模组织的大规模业务模块权限管理和验证中， 当用户或用户权 限发生变动时可自动完成适应性修改， 避免了人工修改会产生的工作负担或人为失误。 0103 上述实施例中， 进一步的所述第一存储区为计算机内部存储器， 包括随机存储器 RAM； 所述第二存储区为计算机外部存储器， 包括硬盘或光盘。 所述第一存储区和所述第二 存储区可以在同一计算机主机上， 也可以是一个在用户终端， 另一个在服务器中。 优选的， 所述第一存储区以计算机内存为存储空间， 第二存储。

37、区以同一计算机的外部存储器， 即硬 盘为存储空间。 0104 该实施方式通过利用不同存储区的不同特点使规模小而常用的登录信息能得到 快速及时响应， 使不常用但规模很大的登录信息能确保找到对应的业务权限信息。 0105 进一步的， 所述登录信息包括登录名、 隶属标识、 地理标识和角色标识。 0106 该实施方式通过为登录信息配置多维度的信息方便通过登录信息关联更多的业 说明书 7/10 页 10 CN 110968851 A 10 务实体的属性和业务实体的可操作数据。 0107 本发明的另一实施例， 一种计算机可读介质， 存储计算机程序， 所述计算机程序可 被处理器执行， 实现上述实施例中的各个。

38、方法步骤。 0108 本实施例所述计算机可读介质， 存储计算机程序， 通过执行所述计算机程序， 使常 用登录用户的业务权限信息存储于第一存储区的随机存储器RAM中， 使不常用但数量更为 广泛的用户的登录信息对应的业务权限信息存储于业务权限管控中心中的第二存储区的 硬盘或光盘中。 在登录时， 如果是常用登录用户则所述第一存储区能对登录用户的业务权 限信息做出及时响应， 如果是不常用登录用户则从业务权限管控中心中的第二储存单元中 调取登录用户的业务权限信息。 从而即保证了对常用登录用户的快速响应， 又保证了可用 业务权限信息的广泛度， 也同时实现了对不同业务模块中业务权限信息的集中统一管控。 同时。

39、通过对登录用户的查询或操作指令自动获取后进行解析和替换， 使企业或大规模组织 的大规模业务模块权限管理和验证中， 当用户或用户权限发生变动时可自动完成适应性修 改， 避免了人工修改会产生的工作负担或人为失误。 0109 上述各实施例的技术方案在实际应用中， 业务权限通常包括有以下几个关键属 性： 0110 访问主体、 访问主体认证级别、 访问动作集和业务实体集， 其中： 0111 访问主体， 是定义谁使用业务实体， 通常使用角色标识来定义， 一个用户有多个角 色时， 也就是有多个访问主体。 0112 访问主体认证级别， 是指面向主体的认证类型， 比如短信认证、 密码认证、 人脸识 别， 认证级。

40、别不同， 则业务权限也不同。 0113 访问动作集， 其作用是对业务对象的操作， 包括对业务对象的管控， 如增加、 删除、 修改或更新， 以及使用。 0114 业务实体集， 是指可操作的业务实体， 如订单或产品列表等。 0115 实际应用中上述各实施例的技术方案基于抽象的业务权限模型进行， 通常包括： 0116 1、 对角色标识、 认证级别、 业务实体集和访问动作集形成完整的配置。 通过对业务 权限的统一配置， 使各业务模块的业务权限由统一的权限管控系统进行管控， 而不是由每 个业务模块单独处理业务权限， 而每个业务模块均可以根据需要调用独立于业务模块之外 的业务权限管理模块。 0117 2、。

41、 对每个业务实体个性化设置管控范围和可视范围， 管控范围是可以管控业务实 体的部门和角色， 可视范围是可以使用实体的部门和角色； 可以支持的管控范围和可视范 围， 以大规模组织机构为例， 包含组织内部共享、 组织内部有条件共享， 多级无条件共享等， 如果业务实体不进行个性化设置， 就认为没有特殊要求， 默认是多级范围内共享。 由于大规 模组织内部对于不同数据， 即业务实体， 有不同的密级要求， 因此支持业务实体的个性化业 务权限非常重要。 0118 3、 角色的个性化业务权限控制， 因为每个岗位和角色都是工作流程的一部分， 都 会操作一定的业务实体， 所以角色的个性化权限控制就是要设置可操作的。

42、数据范围。 0119 4、 通过程序控制接口API提供统一的业务权限管控中心服务， 每个业务模块的权 限的控制最终还需要每个业务模块来实现， 因为业务模块和数据是耦合的， 所以业务权限 管控中心只是服务于各个业务模块。 说明书 8/10 页 11 CN 110968851 A 11 0120 针对业务模块的业务权限控制， 通常有两种方式进行支持： 0121 1)服务模式 0122 每个业务模块， 调用统一的业务权限管控中心的接口， 来验证角色和业务实体的 访问关系是否允许。 这种一般是小批量的应用场景。 0123 2)软件开发工具包SDK模式 0124 面向大批量的数据校验情况， 为了提升效率。

43、， 提供了SDK模式。 这种模式下， 业务模 块只需要调用SDK， 就会从数据集中过滤出该角色能操作的数据集。 0125 上述各实施例的技术方案在实际使用中通常包含三个主要过程： 即开发、 配置和 运行。 0126 1、 开发过程， 即基于访问的数据量和产品架构特点， 开发人员选择合适的服务使 用方式： 调用标准的SDK， 或者通过API调用业务权限管控中心的服务进行业务权限控制。 0127 2、 管理过程， 程序上线运行交付给客户后， 需要客户的业务权限管理配置业务权 限。 首先， 列出组织内所有角色、 系统的认证方式， 可以操作的业务实体， 以及相关动作， 形 成一个业务权限表格。 其次，。

44、 利用业务权限配置界面， 基于表格进行逐条配置。 0128 3、 运行过程， 用户操作某个功能时， 涉及到对某个业务实体的访问。 业务模块获取 业务实体时， 首先由业务权限管理模块进行数据过滤， 过滤后的数据才能被用户操作。 过滤 时需依据角色ID、 动作ID、 认证ID和业务实体ID， 业务权限管理模块获取角色的业务权限范 围、 实体的可视范围、 实体的管控范围后， 进行规制的匹配。 如果匹配通过， 则该数据可以访 问， 如果匹配不通过， 则数据不可访问， 业务模块基于业务权限管理模块过滤后的数据范围 进行后续操作。 0129 读者应理解， 在本说明书的描述中， 参考术语 “一个实施例” 、。

45、“一些实施例” 、“示 例” 、“具体示例” 、 或 “一些示例” 等的描述意指结合该实施例或示例描述的具体特征、 结构、 材料或者特点包含于本发明的至少一个实施例或示例中。 在本说明书中， 对上述术语的示 意性表述不必针对的是相同的实施例或示例。 而且， 描述的具体特征、 结构、 材料或者特点 可以在任一个或多个实施例或示例中以合适的方式结合。 此外， 在不相互矛盾的情况下， 本 领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特 征进行结合和组合。 0130 所属领域的技术人员可以清楚地了解到， 为了描述的方便和简洁， 上述描述的装 置和单元的具体工作过程， 可以。

46、参考前述方法实施例中的对应过程， 在此不再赘述。 0131 在本申请所提供的几个实施例中， 应该理解到， 所揭露的装置和方法， 可以通过其 它的方式实现。 例如， 以上所描述的装置实施例仅仅是示意性的， 例如， 单元的划分， 仅仅为 一种逻辑功能划分， 实际实现时可以有另外的划分方式， 例如多个单元或组件可以结合或 者可以集成到另一个系统， 或一些特征可以忽略， 或不执行。 0132 作为分离部件说明的单元可以是或者也可以不是物理上分开的， 作为单元显示的 部件可以是或者也可以不是物理单元， 即可以位于一个地方， 或者也可以分布到多个网络 单元上。 可以根据实际的需要选择其中的部分或者全部单元。

47、来实现本发明实施例方案的目 的。 0133 另外， 在本发明各个实施例中的各功能单元可以集成在一个处理单元中， 也可以 是各个单元单独物理存在， 也可以是两个或两个以上单元集成在一个单元中。 上述集成的 说明书 9/10 页 12 CN 110968851 A 12 单元既可以采用硬件的形式实现， 也可以采用软件功能单元的形式实现。 0134 集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时， 可 以存储在一个计算机可读取存储介质中。 基于这样的理解， 本发明的技术方案本质上或者 说对现有技术做出贡献的部分， 或者该技术方案的全部或部分可以以软件产品的形式体现 出来， 该计算。

48、机软件产品存储在一个存储介质中， 包括若干指令用以使得一台计算机设备 (可以是个人计算机， 服务器， 或者网络设备等)执行本发明各个实施例方法的全部或部分 步骤。 而前述的存储介质包括： U盘、 移动硬盘、 只读存储器(ROM， Read-OnlyMemory)、 随机存 取存储器(RAM， RandomAccessMemory)、 磁碟或者光盘等各种可以存储程序代码的介质。 0135 以上， 仅为本发明的具体实施方式， 但本发明的保护范围并不局限于此， 任何熟悉 本技术领域的技术人员在本发明揭露的技术范围内， 可轻易想到各种等效的修改或替换， 这些修改或替换都应涵盖在本发明的保护范围之内。 因此， 本发明的保护范围应以权利要 求的保护范围为准。 说明书 10/10 页 13 CN 110968851 A 13 图1 图2 说明书附图 1/2 页 14 CN 110968851 A 14 图3 说明书附图 2/2 页 15 CN 110968851 A 15 。