(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210385282.6 (22)申请日 2022.04.13 (71)申请人 上海基玉金融信息服 务股份有限公 司 地址 200082 上海市杨 浦区国定支路28号 3027室 (72)发明人 陈建宏　黄祥博　邹华伟　胡凌霄　 (74)专利代理 机构 上海锻创知识产权代理有限 公司 314 48 专利代理师 顾继光 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) (54)发明名称 基于RBAC模型的权限管理系统及方法 (57)摘要 本发明提供了一种基于RBAC模型的权限管 理系统及方法， 包括： 数据层、 逻辑层、 应用层； 数 据层指存储权限管理所需数据的数据库和数据 表， 数据层包含用户模块、 角色模块、 权限模块三 个基础数据模块； 逻辑层指 对应用层的访问控制 逻辑， 具体为Who是否对What进行How的访问操 作， 并对这个逻辑表达进行判断是否为True的求 解过程； 应用层指用户实际操作的、 需要进行权 限控制的前端应用。 本发明基于传统的RBA C模型 建立， 通过角色来管理用户权限， 并在传统RBAC 模型对权限控制的基础上， 将角色抽象成了权限 模板的概念； 本发明通过对用户授予角色， 来初 始化用户的默认权 限， 但在复杂场景下， 支持直 接对用户和权限的关系进行修改。 权利要求书2页 说明书7页 附图5页 CN 114722408 A 2022.07.08 CN 114722408 A 1.一种基于RBAC模型的权限管理系统， 其特 征在于， 包括： 数据层、 逻辑层、 应用层； 所述数据层存储权限管理所需数据的数据库和数据表， 所述数据层包含用户模块、 角 色模块、 权限模块 三个基础数据模块； 所述逻辑层对应用层的访问控制逻辑， 具体为Who是否对What进行How的访问操作， 并 对这个逻辑表达进行判断是否为True的求 解过程； 所述应用层是用户实际操作的、 需要 进行权限控制的前端应用。 2.根据权利要求1所述的基于RBAC模型的权限管理系统， 其特征在于， 所述用户模块登 录并使用某个软件或网站的操作人员， 每个用户都有唯一的User ID， 并被授予不同的角色， 授予后， 该用户默认继承该角色的所有权限。 3.根据权利要求1所述的基于RBAC模型的权限管理系统， 其特征在于， 所述角色模块是 不同的权限组合， 所述系统通过赋予角色相应权限， 并对用户授予某个角色从而来赋予用 户权限， 角色作为权限的模板， 用于为用户赋权 。 4.根据权利要求1所述的基于RBAC模型的权限管理系统， 其特征在于， 所述权限模块对 应用层的访问许可， 权限数据实际直接与用户关联， 对同一角色下 的不同用户进行权限的 定制修改， 且定制修改不影响角色下的权限。 5.根据权利要求1所述的基于RBAC模型的权限管理系统， 其特征在于， 所述权限模块分 为访问权限、 数据权限、 审批 权限三种类型， 权限通常包括有权限和无权限两种状态； 所述访问权限控制用户登录后是否能够在软件或网站中访问某个应用的权限， 当用户 不具备某个应用的访问权限时， 该应用的入口将对该用户隐藏或无法点击； 所述数据权限控制用户在某个应用中能够操作的数据范围的权限， 在涉及数据权限的 应用中， 当用户不具 备某条数据的权限时， 该 条数据将对该用户隐藏或无法操作； 所述审批权限控制用户在某个应用中进行某项操作时， 是否需要被审批、 或是否有权 对其他人的操作进行审批的权限。 6.一种基于RBAC模型的权限管理方法， 其特征在于， 所述方法应用如权利要求1 ‑5任一 项所述的基于RBAC模 型的权限管理系统， 所述方法包括为用户赋予权限的方法和整体判断 逻辑的方法， 所述 为用户赋予权限的方法如下步骤： 步骤S1： 创建角色， 并为角色配置 权限； 步骤S2： 创建用户， 并授予用户某个角色； 步骤S3： 若该用户有特殊的权限需求， 直接修改用户和权限间的绑定关系， 不影响角色 本身的权限。 7.根据权利 要求6所述的基于RBAC模型的权限管理方法， 其特征在于， 所述步骤S2中用 户继承角色的权限作为用户的默认权限。 8.根据权利要求6所述的基于RBAC模型的权限管理方法， 其特征在于， 所述整体判断逻 辑的方法包括如下步骤： 步骤1： 判断用户的访问权限； 步骤2： 判断用户的数据权限； 步骤3： 判断用户的审批权限， 若无需进行审批， 则将操作状态翻转为操作完成， 若需要 进行审批， 则将 操作状态翻转 为待审批 。 9.根据权利要求8所述的基于RBAC模型的权限管理方法， 其特征在于， 所述步骤1中判权　利　要　求　书 1/2 页 2 CN 114722408 A 2断用户的访问权限， 若具备访问权限， 则进入相关应用； 若不具备访问权限， 则阻断用户的 操作。 10.根据权利要求8所述的基于RBAC模型的权限管理方法， 其特征在于， 所述步骤2中判 断用户的数据权限， 若具备全部数据权限， 则对全部数据进行操作； 若具备部分数据权限， 则对部分数据进行操作； 若不具 备数据权限， 则阻断该用户的操作。权　利　要　求　书 2/2 页 3 CN 114722408 A 3