[发明专利]基于RBAC的企业文件协作与访问控制方法及系统

权利要求书

1.基于RBAC的企业文件协作与访问控制方法，其特征在于包括，

将主体设置为用户和群组，所述用户包括企业内用户和外部协作者，所述群组中至少包括一个企业用户；

所述企业内用户、外部协作者以及群组经过配置后得到协作关系，参与所述企业文件的协作；

根据所述协作关系进行角色配置；

通过所述用户或者群组在所述企业文件上的所述角色的权限，判定是否拥有相应的访问、协作权限；

在进行协作时，根据所述角色的权限对所述企业内用户、外部协作者以及群组中对应的角色权限进行校验；

若校验成功，则允许主体对企业文件进行访问；

还包括根据用户在文件上的角色以及该操作所需的权限进行述如下方式的鉴权：

根据访问接口配置限定，获取当前操作所需操作权限；

根据当前操作对象的类型，通过路由分发然后进行进行权限验证；

按照当前操作对象，获取该对象的所有父节点，获取当前用户在当前对象以及所有祖先节点上参与的所有协作或者群组协作的协作关系集合；

获取所有协作关系集合的角色集合，计算出每个角色的权限，最终获取角色具有权限的并集，得到当前角色对该对象拥有的权限集合；

若所述访问接口配置的所需操作权限在用户对该对象拥有的操作权限集合内，则通过鉴权；若否，则未通过鉴权。

2.如权利要求1所述的企业文件协作与访问控制方法，其特征在于，所述群组是一用户组织实体，与所述企业内用户具有相同的文件操作权限；

所述外部协作者包括一个人用户或者外部企业用户，与企业内用户具有相同的文件操作权限。

3.如权利要求1所述的企业文件协作与访问控制方法，其特征在于，对于同一个企业文件设置有至少一个权限，对同一个企业文件可以具有一个或者多个协作关系，包括用户或者群组。

4.如权利要求1所述的企业文件协作与访问控制方法，其特征在于，根据所述协作关系进行角色配置的方法为：

所述群组或者用户在不同的文件上具有不同的角色，或者在同一个文件上具有一个或者多个协作关系；

所述群组或者用户对应设置至少一个角色，所述角色中设置有不同的操作权限，包括的操作者为：所有者、共同所有者、编辑者、查看者+上传者、查看者、预览者、上传者；

所述群组或者用户的协作关系通过具有协作编辑权限的角色：所述编辑者、共同所有者以及所有者进行设置。

5.如权利要求4所述的企业文件协作与访问控制方法，其特征在于，所述用户或群组在每个文件夹上对应不同角色，在创建所述协作关系时，所述编辑者、共同所有者或者需要所有者，在企业文件上选定协作者和协作角色：

建立所述协作关系{文件，协作者，协作角色}；

将所述协作关系传输到后台服务器，对协作关系和操作者的权限进行访问控制；

根据用户在文件上的角色以及该操作所需的权限进行鉴权；

将所述协作关系记录在数据库中，所述协作关系包括如下的字段：

协作编号、协作文件编号、文件拥有者编号、协作者编号、协作角色、协作者企业编号；

当用户或者群组加入文件夹的协作时，

通过所述协作者企业编号与文件拥有者的企业编号对比，来判定是否属于同一个企业，若是，则属于同一个企业，若不是，则不属于同一个企业。

6.如权利要求1所述的企业文件协作与访问控制方法，其特征在于，所述用户或群组，对企业文件进行协作时，

生成一条协作记录，所述记录包括：文件编号、协作者编号、文件拥有者编号、协作者企业编号，

通过对比所述协作者企业编号和文件拥有者的企业编号，判断当前用户是否为外部协作者，进行权限范围限定。