業務管理系統、用戶權限控制方法及系統的制作方法
【專利摘要】本發明提供一種業務管理系統、用戶權限控制方法及系統，其通過接收用戶的授權請求；獲取所述用戶的授權請求中攜帶的訪問控制列表匹配數據；在預存的訪問控制列表配置文件中根據所述訪問控制列表匹配數據進行訪問控制列表匹配；根據匹配的訪問控制列表進行該用戶權限的授權控制，當需要更改用戶權限控制的顆粒度時，可擴展對相應訪問控制列表類型元素的定義即可實現，即可方便的實現更細顆粒度的用戶權限控制，而當需要擴展用戶權限控制數據時，只需修改訪問控制列表配置文件即可實現，即更便于擴展。
【專利說明】
業務管理系統、用戶權限控制方法及系統
技術領域
[0001]本發明涉及用戶權限控制技術領域，特別是涉及一種業務管理系統、用戶權限控制方法及系統。
【背景技術】
[0002]業務管理系統中常常涉及用戶權限的控制，在業務管理系統中，用戶權限例如可能是用戶對某個功能模塊的操作、對某個業務的上傳文件的刪改、對某個業務菜單的訪問，或者對某個業務頁面上某個按鈕、某個圖片的可見性控制等，這些都可屬于權限控制的范疇。
[0003]現有技術中，為了實現用戶權限控制，通常采用基于角色的訪問控制(RBAC，Role-Based Access Control)，即用戶通過角色與權限進行關聯。簡單地說，一個用戶擁有若干角色，每一個角色擁有若干權限。這樣，就構造成“用戶-角色-權限”的授權模型。在這種模型中，用戶與角色之間，角色與權限之間，一般者是多對多的關系，如圖1所示，但基于角色的訪問控制技術中一般使用數據庫存儲角色或用戶的權限數據，但使用數據庫存儲用戶權限數據，不容易擴展;且只是基于角色進行用戶權限控制，對用戶權限控制的顆粒度不夠。

【發明內容】

[0004]鑒于上述問題，本發明實施例提供一種業務管理系統、用戶權限控制方法及系統，以方便進行擴展。
[0005]為了解決上述技術問題，本發明實施例提供的一種業務管理系統的用戶權限控制方法，其包括:
[000?]接收用戶的授權請求；
[0007]獲取所述用戶的授權請求中攜帶的訪問控制列表匹配數據；
[0008]在預存的訪問控制列表配置文件中根據所述訪問控制列表匹配數據進行訪問控制列表匹配；
[0009]根據匹配的訪問控制列表進行該用戶權限的授權控制。
[0010]其中，所述訪問控制列表匹配數據是用戶匹配的一個或多個訪問控制列表類型元素數據。
[0011]其中，所述訪問控制列表類型元素包括以下一項或多項:匹配用戶名、匹配角色、匹配數據傳輸方法或HTTP請求方法、匹配操作代碼、匹配資源、匹配參數、匹配控制時間、匹配用戶的IP地址或匹配用戶對資源的操作頻度。
[0012]另外，還包括:
[0013]當需要更改用戶權限控制的顆粒度時，擴展對相應訪問控制列表類型元素的定義。
[0014]其中，所述的訪問控制列表配置文件以文本形式保存。
[0015]另外，還包括:
[0016]當需要擴展用戶權限控制數據時，修改訪問控制列表配置文件。
[0017]相應地，根據本發明實施例的一種業務管理系統的用戶權限控制系統，其包括:
[0018]接收處理模塊，用于接收用戶的授權請求；
[0019]獲取處理模塊，用于獲取所述用戶的授權請求中攜帶的訪問控制列表匹配數據；
[0020]匹配處理模塊，用于在預先保存的訪問控制列表配置文件中根據所述訪問控制列表匹配數據進行訪問控制列表匹配；
[0021]授權控制處理模塊，用于根據匹配的訪問控制列表進行該用戶權限的授權控制。
[0022]其中，所述訪問控制列表匹配數據是用戶匹配的一個或多個訪問控制列表類型元素數據。
[0023]其中，所述訪問控制列表類型元素包括以下一項或多項:匹配用戶名、匹配角色、匹配數據傳輸方法或HTTP請求方法、匹配操作代碼、匹配資源、匹配參數、匹配控制時間、匹配用戶的IP地址或匹配用戶對資源的操作頻度。
[0024]另外，還包括:
[0025]當需要更改用戶權限控制的顆粒度時，擴展對相應訪問控制列表類型元素的定義。
[0026]其中，所述的訪問控制列表配置文件以文本形式保存。
[0027]另外，還包括:
[0028]當需要擴展用戶權限控制數據時，修改訪問控制列表配置文件。
[0029]相應地，根據本發明實施例的一種業務管理系統，包括業務系統和用戶權限控制系統，其特征在于，所述用戶權限控制系統具體包括:
[0030]接收處理模塊，用于接收業務系統發來的用戶的授權請求；
[0031]獲取處理模塊，用于獲取所述用戶的授權請求中攜帶的訪問控制列表匹配數據；
[0032]匹配處理模塊，用于在預先保存的訪問控制列表配置文件中根據所述訪問控制列表匹配數據進行訪問控制列表匹配；
[0033]授權控制處理模塊，用于根據匹配的訪問控制列表進行該用戶權限的授權控制。
[0034]其中，所述訪問控制列表匹配數據是用戶匹配的一個或多個訪問控制列表類型元素數據。
[0035]其中，所述訪問控制列表類型元素包括以下一項或多項:匹配用戶名、匹配角色、匹配數據傳輸方法、匹配操作代碼、匹配資源、匹配參數、匹配控制時間、匹配用戶的IP地址或匹配用戶對資源的操作頻度。
[0036]另外，還包括:
[0037]當需要更改用戶權限控制的顆粒度時，擴展對相應訪問控制列表類型元素的定義。
[0038]其中，所述的訪問控制列表配置文件以文本形式保存。
[0039]另外，還包括:
[0040]當需要擴展用戶權限控制數據時，修改訪問控制列表配置文件。
[0041]根據本發明實施例提供的業務管理系統、用戶權限控制方法及系統，其通過接收用戶的授權請求;獲取所述用戶的授權請求中攜帶的訪問控制列表匹配數據;在預存的訪問控制列表配置文件中根據所述訪問控制列表匹配數據進行訪問控制列表匹配;根據匹配的訪問控制列表進行該用戶權限的授權控制，當需要更改用戶權限控制的顆粒度時，可擴展對相應訪問控制列表類型元素的定義即可實現，即可方便的實現更細顆粒度的用戶權限控制，而當需要擴展用戶權限控制數據時，只需修改訪問控制列表配置文件即可實現，即更便于擴展。
【附圖說明】
[0042]為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明中記載的一些實施例，對于本領域普通技術人員來講，還可以根據這些附圖獲得其他的附圖。
[0043]圖1是根據現有技術基于角色的訪問控制的原理示意圖；
[0044]圖2是根據本發明業務管理系統的具體實施例整體示意圖；
[0045]圖3是根據本發明業務管理系統的用戶權限控制方法的具體實施例流程圖；
[0046]圖4是根據圖2中用戶權限控制系統的一個具體實施例的組成示意圖。
【具體實施方式】
[0047]下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員所獲得的所有其他實施例，都屬于本發明保護的范圍。
[0048]請參閱圖2，其為根據本發明業務管理系統的具體實施例整體示意圖。
[0049]如圖示，本實施例業務管理系統中包括業務系統I和用戶權限控制系統2，具體實現時，業務系統I可以是多個業務子系統，其中每個業務或應用分別對應一個業務子系統，每個業務子系統中的用戶都可以通過用戶權限控制系統2進行權限的集中控制。
[0050]需要說明的，由于用戶權限通過統一的用戶權限控制系統進行集中控制，本實施例的業務管理系統中，即使各業務子系統的權限管理要求不同，也可以采用通用的統一解決方案實現用戶權限控制。
[0051]參考圖3，該圖是根據本發明業務管理系統的用戶權限控制方法的具體實施例流程圖，在本實施例中，業務管理系統的用戶權限控制方法主要包括如下步驟:
[0052]步驟SlOl，接收用戶的授權請求；
[0053]具體實現時，所述用戶的授權請求可以是各個業務子系統的用戶發來的授權請求，這里不再贅述；
[0054]步驟S102，獲取所述用戶的授權請求中攜帶的訪問控制列表匹配數據；
[0055]具體實現時，訪問控制列表匹配數據例如可以是用戶匹配的一個或多個訪問控制列表類型元素數據，需要說明的，本實施例中要預先定義訪問控制列表類型元素，在編寫訪問控制規則時需要引用它們，作為可選地實施例，所述訪問控制列表類型元素可包括以下一項或多項:匹配用戶名、匹配角色、匹配數據傳輸方法或者HTTP請求方法、匹配操作代碼、匹配資源、匹配參數、匹配控制時間、匹配用戶的IP地址或匹配用戶對資源的操作頻度，具體定義說明如下，其中
[0056]基本的ACL元素語法如下:
[0057]acl name type valueI value2...
[0058]ACL元素的值value之間是OR的關系，例如:
[0059]acl SportsGroup user zhang3 li4
[0060]需要說明的，當找到第一個值匹配時，即可停止搜索，因此，具體實現時最好把最可能匹配的值放在列表開頭處，能減少匹配花費時間；
[0061]另外，在多數情況下，可以對一個ACL元素列舉多個值，即可以有多個ACL行使用同一個名字，例如下列兩段配置是等價的:
[0062]acl AllowAccessRes role tv_editor movie_editor zy_editor
[0063]acl AllowAccessRes role tv_editor
[0064]acl AllowAccessRes role movie_editor
[0065]acl AllowAccessRes role zy_editor
[0066]需要說明的，上述相同類型的同名元素是OR的關系，如上例；不同類型的同名元素，后面的元素會覆蓋前面的元素，例如:
[0067]#被覆蓋
[0068]acl myTest user test
[0069]#會覆蓋前面的“myTest”元素
[0070]acl myTest act1n add
[0071]下面詳細說明本實施例的訪問控制列表類型元素:
[0072]1.1.ACL類型元素:user，即匹配用戶名
[0073]匹配后臺用戶登錄名(大小寫敏感)或登錄ID。
[0074]1.2.ACL類型元素:role，即匹配角色
[0075]匹配后臺用戶角色名(大小寫敏感)或角色ID。
[0076]1.3.ACL類型元素:method，即匹配數據傳輸方法或HTTP請求方法
[0077]匹配REQUEST_METH0D，例如GET、PUT、P0ST等(大小寫不敏感)。
[0078]1.4.ACL類型元素:act1n，即匹配操作代碼
[0079]匹配操作代號(大小寫敏感)或操作ID。
[0080]1.5.ACL類型元素:resource，即匹配資源
[0081]匹配資源(操作對象)，包含資源類別代號(大小寫敏感)和資源ID兩部分。
[0082]其中，本實施例定義的對匹配資源的語法規則如下:
[0083]restype[resids]
[0084]例如:
[0085]某類資源全體restype[*]或restype
[0086]某類資源全體子資源restype[123].*
[0087]指定IDrestype[ 123]
[0088]指定多個IDrestype[123，234]
[0089]指定ID 范圍 restype[ 10-99]
[0090]restype[_50](表不 < = 50)
[0091]restype[ 100-](表不 > =100)
[0092]取反restype[!123，234](表示！ =123&&! =234)
[0093]restype[! 10-99](表示 <10&&>99)
[0094]對于具有層級關系的資源類別，可采用以下規則:
[0095]prestypel[presidsl].prestype2[presids2].restype[resids]
[0096]例如:
[0097]#等同于topic[16].page[*]，表示id為16的topic下的所有page
[0098]topic[16].page
[0099]channel
[1095].page
[2594].module[16715]
[0100]channel[123].channel
[1864].ds[*]
[0?0? ] #表示id為32的topic下的所有子資源，等同于topic[32].page[*] topic[32].ds[*]topic[32].page[*].module[*]
[0102]topic[32].*
[0103]1.6.ACL類型元素:param，即匹配參數
[0104]對指定的參數進行普通字符串/數值比較或正則表達式匹配。
[0105]其中語法規則如下:
[0106]paramname = valueI value2…等于，普通字符串比較多個value之間是“或”的關系
[0107]paramname! =va I ue 或
[0108]paramname < > value不等于，普通字符串比較只能有一個value
[0109]paramname >numeric_value大于，普通數值比較只能有一個 numeric_value，且必須是數值
[0110]paramname > =numeric_value大于等于，普通數值比較只能有一個numeric_value，且必須是數值
[0111 ] paramname <numeric_value小于，普通數值比較只能有一個 numeric_value，且必須是數值
paramname < =numeric_value小于等于，普通數值比較只能有一^hnumer ic_vaI ue ,?必須是數值
[0112]paramname =?patternlpattern2..?正則表達式匹配多個pat tern之間是“或”的關系
[0113]paramname是指定要進行匹配的參數名(字母、數字或下劃線“ 的組合)。
[0114]其中正則表達式匹配:patternN是PERL風格的正則表達式，必須包含完整的定界符(任何不是字母、數字或反斜線“\”的字符)和表達式，可以在結束定界符后跟上修正符(參見http: //www.php.net/manual/zh/book.pcre.php)。多個pattern之間是OR的關系。
[0115]需要說明的，上述param類型元素能實現user、resource、act1n等元素類型的功能，但是由于正則表達式比較耗時，所以優先使用前幾種類型或者普通字符串相等匹配。
[0116]1.7.ACL類型元素:time
[0117]本實施例中控制可基于時間的訪問，時間為每天中的具體時間，和每周中的每天。
[0118]具體實現時，日期和時間以系統服務端時間為準，所以設置timeACL時可能需要考慮業務系統所在的時區和時差冋題。
[0119]具體實現時，日期可以單字母來表示，時間可以24小時制來表示，開始時間可以大于結束時間(表示跨越O點)，但兩者不能相同，具體如下:
[0120]符號日
[0121]S 星期日 Sunday
[0122]M 星期一Monday
[0123]T星期二 Tuesday
[0124]W星期三 Wednesday
[0125]H 星期四 Thursday
[0126]F星期五 Friday
[0127]A 星期六 Saturday
[0128]D工作日 Al I weekdays(M-F)
[0129]另外，為了編寫time的訪問控制列表ACL來匹配對應的工作時間，可以按照下述方式編寫:
[0130]acl fforking_hours time MTffHF 08:00-17:00
[0131]或
[0132]acl fforking_hours time D 08:00-17:00
[0133]跨越O點的例子:
[0134]acl Offpeak time 20:00-06:00
[0135]access deny Offpeak...
[0136]等價于:
[0137]acl Offpeak time 06:00-20:00
[0138]access deny!Offpeak...
[0139]同一個time的訪問控制列表ACL可以放置多個日期和時間范圍列表，“日期時間”或單個日期、單個時間都是合法的，例如:
[0140]acl Blah time M 08:00-10:OOffHF 09:00-11:OOSA
[0141]等價于下面3行:
[0142]acl Blah time M 08:00-10:00
[0143]acl Blah time WHF 09:00-11:00
[0144]acl Blah time SA
[0145]1.8.ACL類型元素:ip，即匹配用戶的ip地址
[0146]匹配訪問參數client_ip的IP地址。
[0147]具體實現時，指定IP地址時，可以以IP子網、地址范圍等形式編寫地址，支持標準IP地址寫法(由連接的4個小于256的數字)和無類域間路由規范。
[0148]例如，可以使用如下幾種格式:
[0149]172.16.10.11 單個 IP
[0150]172.16.10.12-172.16.10.20地址范圍
[0151]172.16.10.*通配符形式的網段
[0152]172.16.10.0/255.255.255.0 掩碼方式(mask)
[0153]172.16.10.0/24無類域間路由(CIDR)
[0154]172.16.10.0-172.16.19.0/24多個相鄰子網
[0155]或者例如:下例中的每組是相等的:
[0156]acl Foo ip 172.16.44.21/255.255.255.255
[0157]acl Foo ip 172.16.44.21/32
[0158]acl Foo ip 172.16.44.21
[0159]acl Xyz ip 172.16.55.32/255.255.255.248
[0160]acl Xyz ip 172.16.55.32/28
[0161]acl Bar ip 172.16.66.0/255.255.255.0
[0162]acl Bar ip 172.16.66.0/24
[0163]acl Bar ip 172.16.66.0
[0164]多個相鄰子網:
[0165]或者例如
[0166]acl Bar ip 172.16.10.0—172.16.13.0/24
[0167]等價于下面的行:
[0168]acl Bar ip 172.16.10.0/24
[0169]acl Bar ip 172.16.11.0/24
[0170]acl Bar ip 172.16.12.0/24
[0171]acl Bar ip 172.16.13.0/24
[0172]注意使用IP地址范圍，掩碼只能取一個，不能為范圍里的地址設置多個不同掩碼。
[0173]另外，本實施例中同樣支持一個ipACL里設置多個IP地址值，例如:
[0174]acl Foo ip 172.16.43.10 172.16.43.16 172.16.43.20-172.16.43.50172.16.44.0/24
[0175]1.9.ACL類型元素:freq，即匹配用戶對資源的操作頻度
[0176]控制用戶對資源的操作頻度，如果頻度超過指定值則匹配。
[0177]其語法規則可定義如下:
[0178]{fieldl&field2&...:{times}/{per1d}
[ΟΙ79]其中field只能是restype、resid或act1n，中間用“&”連接。表示對某類/某個資源的某種操作進行頻次統計。
[0180]times表示操作次數，必須是大于O的整形數值。
[0181]per1d表示最近一段時間，必須是大于O的整形數值+單位，單位可以是D(Day)、H(Hour)、M(Minute)或S(Second)，不寫單位的話默認是M0
[0182]由于freq元素是當操作頻度超過指定值時，匹配該ACL元素，所以一般用deny的訪問規則進行控制。
[0183]具體實現時，可和user、resource、act 1n元素一起聯合控制，而且之后再跟一條沒有freq的allow聯合控制規則，例如:
[0184]acl zhang3 user zhang3
[0185]acl allTopic resource topic[*]
[0186]acl deleteAct1n act1n delete
[0187]acl IimitFreq freq restype&act1n:5/1M
[0188]access deny zhang3 allTopic deleteAct1n IimitFreq
[0189]access allow zhang3 allTopic deleteAct1n
[0190]另外，本實施例中還需要設置訪問控制規則，用來允許或拒絕某些動作。
[0191]例如，一種語法如下:
[0192]access allow|deny[!Jaclname[!Jaclname...
[0193]舉例說:
[0194]access allow AllowAccessRes
[0195]access deny!NewsChanneI
[0196]access allow SportsGroup TechGroup FinanceGroup
[0197]access規則的aclname之間是AND關系。
[0198]實際中，也可以采用下述方式，SP:
[0199]access allow ACL1ACL2ACL3
[0200]對該匹配規則來說，請求必須匹配ACLl、ACL2、ACL3中的任何一個。假如這些ACL中的任何一個不匹配請求，停止搜索該規則，并繼續處理下一條。具體實現時，對某個規則來說，將最少匹配的ACL放在首位，能使效率最佳。
[0201]需要說明的，本實施例中也可以支持匿名ACL元素，即在access規則中支持匿名ACL元素，即不需要事先定義的ACL元素，例如:
[0202]access allow{user myname}
[0203]access deny SportsGroup{act1n delete}
[0204]{}中的即為匿名ACL。
[0205]最后，可設置并保存訪問控制列表配置文件，具體實現時，所述的訪問控制列表配置文件最好以文本形式保存，其中訪問控制列表定義如下，即
[0206]access_list: =access規則\n access規則\η...
[0207]其中“\n”是換行符，accessjist按順序匹配，如果能匹配到一條，則停止匹配，如果不能匹配，則換到下一條繼續匹配，因此，具體實現時，通常可將更具體和受限制的訪問列表放在首位。
[0208]步驟S103，預存的訪問控制列表配置文件中根據所述訪問控制列表匹配數據進行訪問控制列表匹配；
[0209]具體實現時，根據上述步驟102預先保存有訪問控制列表配置文件，本步驟中即可讀取預先保存的訪問控制列表配置文件，然后根據所述訪問控制列表匹配數據進行訪問控制列表匹配。
[0210]步驟S104，根據匹配的訪問控制列表進行該用戶權限的授權控制。
[0211]需要說明的，當需要擴展用戶權限控制的維度時，可以增加新的訪問控制列表元素類型；而當需要更改用戶權限控制的顆粒度時，本實施例中可通過擴展對相應訪問控制列表類型元素的定義即可實現，另外，當需要擴展用戶權限控制數據時，修改訪問控制列表配置文件即可實現，而無需像現有技術一樣修改數據庫，另外，本實施例中由于支持匹配控制時間、匹配用戶的IP地址或匹配用戶對資源的操作頻度等各種高級別的權限控制需求，因此，系統設計的復雜度不會明顯提高。
[0212]參考圖4，該圖是根據本發明業務管理系統的用戶權限控制系統的一個具體實施例，本實施例的用戶權限控制系統主要包括:
[0213]接收處理模塊11，用于接收用戶的授權請求；
[0214]具體實現時，所述用戶的授權請求可以是業務系統的各個業務子系統的用戶發來的授權請求，這里不再贅述；
[0215]獲取處理模塊12，用于獲取所述用戶的授權請求中攜帶的訪問控制列表匹配數據；
[0216]具體實現時，參考前述說明，訪問控制列表匹配數據例如可以是用戶匹配的一個或多個訪問控制列表類型元素數據，需要說明的，本實施例中要預先定義訪問控制列表類型元素，在編寫訪問控制規則時需要引用它們，作為可選地實施例，所述訪問控制列表類型元素可包括以下一項或多項:匹配用戶名、匹配角色、匹配數據傳輸方法、匹配操作代碼、匹配資源、匹配參數、匹配控制時間、匹配用戶的IP地址或匹配用戶對資源的操作頻度，具體定義參見上述說明，這里不再贅述。
[0217]匹配處理模塊13，用于在預先保存的訪問控制列表配置文件中根據所述訪問控制列表匹配數據進行訪問控制列表匹配；
[0218]具體實現時，匹配處理模塊13可讀取預先保存的訪問控制列表配置文件，其中所述的訪問控制列表配置文件可以文本形式保存，然后根據所述訪問控制列表匹配數據進行訪問控制列表匹配。
[0219]授權控制處理模塊14，用于根據匹配的訪問控制列表進行該用戶權限的授權控制。
[0220]需要說明的，本實施例中，當需要擴展用戶權限控制的維度時，可以增加新的訪問控制元素類型；而當需要更改用戶權限控制的顆粒度時，本實施例中可通過擴展對相應訪問控制列表類型元素的定義即可實現，另外，當需要擴展用戶權限控制數據時，修改訪問控制列表配置文件即可實現，而無需像現有技術一樣修改數據庫，另外，本實施例中由于支持匹配控制時間、匹配用戶的IP地址或匹配用戶對資源的操作頻度等各種高級別的權限控制需求，因此，系統設計的復雜度不會明顯提高。
[0221]在上述所提供的說明書中，說明了大量具體細節。然而，能夠理解，本發明的實施例可以在沒有這些具體細節的情況下實踐。在一些實例中，并未詳細示出公知的方法、結構和技術，以便不模糊對本說明書的理解。
[0222]類似地，應當理解，為了精簡本公開并幫助理解各個發明方面中的一個或多個，在上面對本發明的示例性實施例的描述中，本發明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而，并不應將該公開的方法解釋成反映如下意圖:即所要求保護的本發明要求比在每個權利要求中所明確記載的特征更多的特征。更確切地說，如下面的權利要求書所反映的那樣，發明方面在于少于前面公開的單個實施例的所有特征。因此，遵循【具體實施方式】的權利要求書由此明確地并入該【具體實施方式】，其中每個權利要求本身都作為本發明的單獨實施例。
[0223]應該注意的是上述實施例對本發明進行說明而不是對本發明進行限制，并且本領域技術人員在不脫離所附權利要求的范圍的情況下可設計出替換實施例。
【主權項】
1.一種業務管理系統的用戶權限控制方法，其特征在于，包括: 接收用戶的授權請求； 獲取所述用戶的授權請求中攜帶的訪問控制列表匹配數據； 在預存的訪問控制列表配置文件中根據所述訪問控制列表匹配數據進行訪問控制列表匹配； 根據匹配的訪問控制列表進行該用戶權限的授權控制。2.根據權利要求1所述的業務管理系統的用戶權限控制方法，其特征在于，所述訪問控制列表匹配數據是用戶匹配的一個或多個訪問控制列表類型元素數據。3.根據權利要求2所述的業務管理系統的用戶權限控制方法，其特征在于，所述訪問控制列表類型元素包括以下一項或多項:匹配用戶名、匹配角色、匹配數據傳輸方法、匹配操作代碼、匹配資源、匹配參數、匹配控制時間、匹配用戶的IP地址或匹配用戶對資源的操作頻度。4.根據權利要求3所述的業務管理系統的用戶權限控制方法，其特征在于，還包括: 當需要更改用戶權限控制的顆粒度時，擴展對相應訪問控制列表類型元素的定義。5.根據權利要求1-4任一項所述的業務管理系統的用戶權限控制方法，其特征在于，所述的訪問控制列表配置文件以文本形式保存。6.根據權利要求5所述的業務管理系統的用戶權限控制方法，其特征在于，還包括: 當需要擴展用戶權限控制數據時，修改訪問控制列表配置文件。7.一種業務管理系統的用戶權限控制系統，其特征在于，包括: 接收處理模塊，用于接收用戶的授權請求； 獲取處理模塊，用于獲取所述用戶的授權請求中攜帶的訪問控制列表匹配數據； 匹配處理模塊，用于在預先保存的訪問控制列表配置文件中根據所述訪問控制列表匹配數據進行訪問控制列表匹配； 授權控制處理模塊，用于根據匹配的訪問控制列表進行該用戶權限的授權控制。8.根據權利要求7所述的業務管理系統的用戶權限控制系統，其特征在于，所述訪問控制列表匹配數據是用戶匹配的一個或多個訪問控制列表類型元素數據。9.根據權利要求8所述的業務管理系統的用戶權限控制系統，其特征在于，所述訪問控制列表類型元素包括以下一項或多項:匹配用戶名、匹配角色、匹配數據傳輸方法、匹配操作代碼、匹配資源、匹配參數、匹配控制時間、匹配用戶的IP地址或匹配用戶對資源的操作頻度。10.根據權利要求9所述的業務管理系統的用戶權限控制系統，其特征在于，還包括: 當需要更改用戶權限控制的顆粒度時，擴展對相應訪問控制列表類型元素的定義。11.根據權利要求7-10任一項所述的業務管理系統的用戶權限控制系統，其特征在于，所述的訪問控制列表配置文件以文本形式保存。12.根據權利要求11所述的業務管理系統的用戶權限控制系統，其特征在于，還包括: 當需要擴展用戶權限控制數據時，修改訪問控制列表配置文件。13.—種業務管理系統，包括業務系統和如權利要求7-12所述的用戶權限控制系統。
【文檔編號】H04L29/06GK105871813SQ201610159042
【公開日】2016年8月17日
【申請日】2016年3月18日
【發明人】董京濤, 邱丹, 馬強, 李 杰, 李明杰, 林岳, 顧思斌, 潘柏宇, 王冀
【申請人】合網絡技術（北京）有限公司, 合一網絡技術(北京)有限公司