[发明专利]细粒度客户端使用权限控制方法

说明书

技术领域

本发明涉及计算机应用技术领域，特别是应用于工业现场的制造执行系统中，根据不同的用户角色权限对客户端使用权限进行精细控制的一种方法。

背景技术

在制造执行系统软件中，数据的准确性和安全性会直接影响后续的效率统计、成本核算等，部分行业中，由于生产工序繁多，软件系统的功能复杂，误操作的影响，轻则降低生产效率，造成统计误差，重则无法按时完成交付，造成经济损失。为避免这种人为的误操作及保证系统的安全性，在制造执行系统软件中，根据用户角色实现对业务操作功能的精细化权限控制是非常必要的。

发明内容

本发明为解决上述问题，提出一种细粒度客户端使用权限控制方法，本发明所采用的技术方案是：

[基本概念]

权限：对页面、业务操作功能等的使用方式（以文件夹的权限为例，有只读和更改等权限）；

角色：对功能具有不同使用权限的用户（例如：管理员和普通用户）；

功能：软件表示层即页面中提供的业务操作（软件表示层中分为若干个页面，每个业务页面中又包含若干个功能）。功能的类型包括按钮、数据表格、文本框、下拉列表等。

[权限分类]

基本权限：是指功能的基本属性，一般在功能触发前进行控制，包括权限如下：

（1）可见性（可见、不可见）。

（2）可用性（可用、不可用）。

特殊权限：是指根据实际需求定义的限制，一般在用户触发功能后进行控制，包括权限如下：

（1）二次验证。

（2）控制键值。

对于“二次验证”，是需要再次进行鉴权的权限控制。举例来说，假设某按钮的功能具有二次验证特殊权限控制属性，则用户A触发按钮后，对应的功能不会立即执行，而是先弹出对话框，提示输入具有二次验证权限的用户的授权信息，此功能常用于需要两级审核的业务处理情况。

对于“控制键值”，是对任何需要权限控制对象的抽象或映射（是当使用功能的权限无法通过标志位“0”或“1”简单识别的一种补充方法，控制键值相当于一个参考条件值）。举例来说，假如，角色X对于某个重要功能有可用权限，但还要求需要入职10年以上的员工才能使用，那么可以设置一个“控制键值”为“10”，在功能触发后，首先判断该角色的入职年限，如果大于10，也执行该功能，否则，弹出提示，退出功能）

[详细技术方案]

一种细粒度客户端使用权限控制方法，包括以下步骤：

1)权限与功能关系的数据库的生成，包括：定义用户、角色、页面、功能、角色对于页面的使用权限关系、角色对于页面上的功能的权限关系；

2)生成权限配置模块、权限获取模块、基本权限控制模块以及特殊权限控制模块，以用于在后续步骤中调用这些模块；

所述权限配置模块提供表示层即页面的交互方法，能用于配置角色的具体数据、页面的具体数据、功能的具体数据、角色对于页面的使用权限关系的具体数据、角色对于页面上的功能的权限关系的具体数据；

所述权限获取模块用于获取用户的页面权限和用户在页面上的功能的权限；

所述基本权限控制模块用于根据角色对页面上功能的基本权限值，设置功能的基本属性；

所述特殊权限控制模块用于根据角色对页面上功能的特殊权限值，对功能进行特殊权限控制；

3)上述两个步骤完成后，根据实际需求调用权限配置模块在数据库中分别添加角色的具体数据、页面的具体数据、功能的具体数据、以及角色对于页面的使用权限关系的具体数据、角色对于页面上的功能的权限关系的具体数据；

用户注册，需要至少提供用户名称，选择某种角色，注册信息保存到数据库；

用户登陆，系统根据用户在注册时候选择的角色，调用权限获取模块获取上述已经添加的角色对于页面的使用权限关系的具体数据，从而获取用户的页面权限，根据用户的页面权限，加载对应的页面；

用户选择进入某个页面时，系统根据用户在注册时候选择的角色，调用权限获取模块获取上述已经添加的角色对于页面上的功能的权限关系的具体数据，从而获取、缓存该用户在该页面上的所有功能的权限值，并调用基本权限控制模块设置页面上的功能的基本属性，然后显示该页面上对于该用户可见的功能，隐藏对于该用户不可见的功能，该页面上对于该用户可用的功能被设为可用，不可用的功能被设为不可用；

用户触发页面中某功能后，根据角色对于该功能的特殊权限值，调用特殊权限控制模块对该功能进行特殊权限控制。

所述权限与功能关系的数据库的生成步骤包括以下表格的生成：