[发明专利]对使用者进行审批流程及其审批节点授权的方法

说明书

技术领域

本发明涉及一种对使用者进行审批流程及其审批节点授权的方法。

背景技术

基于角色的访问控制（RBAC）是近年来研究最多、思想最成熟的一种数据库权限管理机制，它被认为是替代传统的强制访问控制（MAC）和自主访问控制（DAC）的理想候选。基于角色的访问控制（RBAC）的基本思想是根据企业组织视图中不同的职能岗位划分不同的角色，将数据库资源的访问权限封装在角色中，用户通过被赋予不同的角色来间接访问数据库资源。

在大型应用系统中往往都建有大量的表和视图，这使得对数据库资源的管理和授权变得十分复杂。由用户直接管理数据库资源的存取和权限的收授是十分困难的，它需要用户对数据库结构的了解非常透彻，并且熟悉SQL语言的使用，而且一旦应用系统结构或安全需求有所变动，都要进行大量复杂而繁琐的授权变动，非常容易出现一些意想不到的授权失误而引起的安全漏洞。因此，为大型应用系统设计一种简单、高效的权限管理方法已成为系统和系统用户的普遍需求。

基于角色的权限控制机制能够对系统的访问权限进行简单、高效的管理，极大地降低了系统权限管理的负担和代价，而且使得系统权限管理更加符合应用系统的业务管理规范。

然而，传统基于角色的用户权限管理方法均采用“角色对用户一对多”的关联机制，其“角色”为组/类性质，即一个角色可以同时对应/关联多个用户，角色类似于岗位/职位/工种等概念，这种关联机制下对用户权限的授权基本分为以下三种形式：

1、如图1所示，直接对用户授权，缺点是工作量大、操作频繁且麻烦；

2、如图2所示，对角色（类/组/岗位/工种性质）进行授权（一个角色可以关联多个用户），用户通过角色获得权限；

3、如图3所示，以上两种方式结合。

以上的表述中，2、3均需要对类/组性质的角色进行授权，而通过类/组/岗位/工种性质的角色进行授权的方式有以下缺点：

1、用户权限变化时的操作难：在实际的系统使用过程中，经常因为在运营过程中需要对用户的权限进行调整，比如：在处理员工权限变化的时候，角色关联的某个员工的权限发生变化，我们不能因该个别员工权限的变化而改变整个角色的权限，因为该角色还关联了其他权限未变的员工。因此为了应对该种情况，要么创建新角色来满足该权限发生变化的员工，要么对该员工根据权限需求直接授权（脱离角色）。以上两种处理方式，在角色权限较多的情况下对角色授权不仅所需时间长，而且容易犯错，使用方操作起来繁琐又麻烦，也容易出错导致对系统使用方的损失。

2、要长期记住角色包含的具体权限难：若角色的权限功能点比较多，时间一长，很难记住角色的具体权限，更难记住权限相近的角色之间的权限差别，若要关联新的用户，无法准确判断应当如何选择关联。

3、因为用户权限变化，则会造成角色创建越来越多（若不创建新角色，则会大幅增加直接对用户的授权），更难分清各角色权限的具体差别。

4、调岗时，若要将被调岗用户的很多个权限分配给另外几个用户承担，则处理时必须将被调岗用户的这些权限区分开来，分别再创建角色来关联另外几个用户，这样的操作不仅复杂耗时，而且还很容易发生错误。

在现有的ERP等管理软件系统中，在新增系统的使用者后，需要为新增的使用者进行审批流程的使用权限授权（例如，提交某个表单的表单数据进行审批时使用哪个审批流程）和/或进行审批节点的审批权限授权。现有的进行审批流程的使用权限授权方法是：先找到需要授权的审批流程，再在该审批流程的使用者中增加该使用者，使得该使用者具有该流程的使用权限。由于新增的使用者可能会有多条审批流程的使用权限，这个时候若采用逐条审批流程进行使用权限的授权方法，则会使得授权工作量巨大，而且很容易导致授权错误。现有技术中进行审批节点的审批权限授权的方法为：先找到需要授权的审批节点所属的审批流程，然后从该审批流程中找到需要授权的审批节点，分别将新增的使用者增加到各需要授权的审批节点的审批者中；授权过程比进行审批流程授权更加繁琐，在需要授权的审批节点众多时，同样使得授权工作量巨大，而且很容易出现授权错误。

在公司的运营过程中，由于各种原因需要对某个使用者的审批流程使用权限和/或审批节点的审批权限进行较大幅度的调整，工作量巨大；而且，现有的ERP等软件系统中在进行审批流程、审批节点的授权时需要逐条进行审批流程的使用权限授权、以及逐个进行审批节点的审批节点授权，该授权方法无法一次性显示使用者对系统中所有审批流程或审批节点的当前权限状态，不利于对使用者的权限重新进行授权、很容易出现授权错误。

发明内容