基于SaaS多租户的权限设计方法、系统、设备及存储介质[发明专利]

(12)发明专利申请

(10)申请公布号 CN 112667639 A(43)申请公布日 2021.04.16

(21)申请号 202011636639.0(22)申请日 2020.12.31

(71)申请人 恩亿科（北京）数据科技有限公司

地址 100192 北京市海淀区西小口路66号

东升科技园·北领地D-1楼1层136A(东升地区)(72)发明人 王佳音　

(74)专利代理机构 青岛清泰联信知识产权代理

有限公司 37256

代理人 赵燕(51)Int.Cl.

G06F 16/22(2019.01)G06F 16/27(2019.01)

权利要求书2页 说明书7页 附图2页

()发明名称

基于SaaS多租户的权限设计方法、系统、设备及存储介质(57)摘要

本申请公开了一种基于SaaS多租户的权限设计方法、系统、设备及存储介质，所述方法包括以下步骤：创建Users表，存储每个租户下的用户；创建Roles表，存储系统角色；创建Permissions表，存储每个所述系统角色所对应的权限点；创建User_roles_mapping表，存储所述用户与所述系统角色的对应关系；创建Accounts表，存储可访问数据集；创建Operation表，存储所述可访问数据集和所述系统角色的对应关系；根据所述Users表、Roles表、Permissions表、User_roles_mapping表、Accounts表、Operation表进行用户权限分配。通过本申请，提供一种更加科学合理的权限分配方法，在多租户多角色多数据的背景下更大程度的将角色、功能权限、数据权限解耦。

CN 112667639 ACN 112667639 A

权　利　要　求　书

1/2页

1.一种基于SaaS多租户的权限设计方法，其特征在于，包括如下步骤：用户表创建步骤：创建Users表，存储每个租户下的用户；

存储系统角色；角色表创建步骤：创建Roles表，

权限点设置步骤：创建Permissions表，存储每个所述系统角色所对应的权限点；用户角色对应步骤：创建User_roles_mapping表，存储所述用户与所述系统角色的对应关系；

数据存储步骤：创建Accounts表，存储可访问数据集；数据角色对应步骤：创建Operation表，存储所述可访问数据集和所述系统角色的对应关系；

权限设置步骤：根据所述Users表、Roles表、Permissions表、User_roles_mapping表、Accounts表、Operation表进行用户权限分配。

2.如权利要求1所述的基于SaaS多租户的权限设计方法，其特征在于，所述系统角色包括但不限于：超级管理员、管理员、协作者。

3.如权利要求2所述的基于SaaS多租户的权限设计方法，其特征在于，所述超级管理者的用户权限为进行用户创建、接入数据、对系统内所有数据的读权限及写权限、对数据进行权限下放。

4.如权利要求2所述的基基于SaaS多租户的权限设计方法，其特征在于，所述管理员的用户权限为进行用户创建，对被所述超级管理员授权的数据的读权限、写权限以及进行权限下放。

5.如权利要求2所述的基于SaaS多租户的权限设计方法，其特征在于，所述协作者的用户权限为对被所述管理员授权的数据的读权限及写权限，或只读权限。

6.如权利要求1所述的基于SaaS多租户的权限设计方法，其特征在于，所述权限点设置步骤中还包括将所述权限点与所述可访问数据集进行绑定。

7.一种基于SaaS多租户的权限设计系统，其特征在于，包括：用户表创建模块，创建Users表，存储每个租户下的用户；角色表创建模块，创建Roles表，存储系统角色；权限点设置模块，创建Permissions表，存储每个所述系统角色所对应的权限点；用户角色对应模块，创建User_roles_mapping表，存储所述用户与所述系统角色的对应关系；

数据存储模块，创建Accounts表，存储可访问数据集；数据角色对应模块，创建Operation表，存储所述可访问数据集和所述系统角色的对应关系；

权限设置模块，根据所述Users表、Roles表、Permissions表、User_roles_mapping表、Accounts表、Operation表进行用户权限分配。

8.如权利要求7所述的基于SaaS多租户的权限设计系统，其特征在于，所述权限点设置模块中还包括将所述权限点与所述可访问数据集进行绑定。

9.一种设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的基于SaaS多租户的权限设计方法。

2

CN 112667639 A

权　利　要　求　书

2/2页

10.一种存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1至6中任一项所述的基于SaaS多租户的权限设计方法。

3

CN 112667639 A

说　明　书

1/7页

基于SaaS多租户的权限设计方法、系统、设备及存储介质

技术领域

[0001]本发明涉及的是一种权限管理技术领域。更具体的说，本发明涉及一种基于SaaS多租户的权限设计方法、系统、设备、存储介质。背景技术

[0002]SaaS(Software‑as‑a‑Service的缩写)，意思为软件即服务，即通过网络提供软件服务。SaaS应用软件有免费、付费和增值三种模式，付费通常为“全包”费用，囊括了通常的应用软件许可证费、软件维护费以及技术支持费，将其统一为每个用户的月度租用费。SaaS不仅适用于中小型企业，所有规模企业都可以从SaaS中获利。[0003]目前，SaaS市场一再成为媒体和资本关注的焦点。几乎每个企业都有一个平台梦，国内的企业也在大力发展SaaS平台。在此过程中SaaS平台在各自的业务垂直领域内形成一套业务流程或者操作规范，SaaS平台供应商将应用软件统一部署在自己的服务器上，客户可以根据工作实际需求，通过互联网向厂商定购所需的应用软件服务，按定购的服务多少和时间长短向厂商支付费用，并通过互联网获得SaaS平台供应商提供的服务。[0004]在SaaS软件的权限管理设计方法中，较为常用的设计模式为RBAC模型，RBAC为Role‑Based Access Control，基于角色的访问控制。其基本原理为：[0005]1)对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合；

[0006]2)每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。

[0007]该种设计模式在数据权限和功能权限强关联时，能够发挥其优势，最大程度解耦权限和用户，但当遇到同时功能权限和数据权限松散关联时，无法满足使用需要。发明内容

[0008]本申请实施例提供了一种基于SaaS多租户的权限设计方法，以至少解决相关技术中主观因素影响的问题。

[0009]本发明提供了一种基于SaaS多租户的权限设计方法，所述方法包括以下步骤：[0010]用户表创建步骤：创建Users表，存储每个租户下的用户；[0011]角色表创建步骤：创建Roles表，存储系统角色；[0012]权限点设置步骤：创建Permissions表，存储每个所述系统角色所对应的权限点；[0013]用户角色对应步骤：创建User_roles_mapping表，存储所述用户与所述系统角色的对应关系；

[0014]数据存储步骤：创建Accounts表，存储可访问数据集；[0015]数据角色对应步骤：创建Operation表，存储所述可访问数据集和所述系统角色的对应关系；

[0016]权限设置步骤：根据所述Users表、Roles表、Permissions表、User_roles_mapping

4

CN 112667639 A

说　明　书

2/7页

表、Accounts表、Operation表进行用户权限分配。[0017]作为本发明的进一步改进，所述系统角色包括但不限于：超级管理员、管理员、协作者。

[0018]作为本发明的进一步改进，所述超级管理者的用户权限为进行用户创建、接入数据、对系统内所有数据的读权限及写权限、对数据进行权限下放。[0019]作为本发明的进一步改进，所述管理员的用户权限为进行用户创建，对被所述超级管理员授权的数据的读权限、写权限以及进行权限下放。[0020]作为本发明的进一步改进，所述协作者的用户权限为对被所述管理员授权的数据的读权限及写权限，或只读权限。[0021]作为本发明的进一步改进，所述权限点设置步骤中还包括将所述权限点与所述可访问数据集进行绑定。

[0022]基于相同发明思想，本发明还基于任一项发明创造所揭示的基于SaaS多租户的权限设计方法，揭示了一种基于SaaS多租户的权限设计系统，[0023]所述基于SaaS多租户的权限设计系统包括：[0024]用户表创建模块，创建Users表，存储每个租户下的用户；[0025]角色表创建模块，创建Roles表，存储系统角色；[0026]权限点设置模块，存储每个所述系统角色所对应的权限点；创建Permissions表，[0027]用户角色对应模块，创建User_roles_mapping表，存储所述用户与所述系统角色的对应关系；

[0028]数据存储模块，创建Accounts表，存储可访问数据集；[0029]数据角色对应模块，创建Operation表，存储所述可访问数据集和所述系统角色的对应关系；

[0030]权限设置模块，根据所述Users表、Roles表、Permissions表、User_roles_mapping表、Accounts表、Operation表进行用户权限分配。[0031]作为本发明的进一步改进，所述权限点设置模块中还包括将所述权限点与所述可访问数据集进行绑定。[0032]此外，为实现上述目的，本发明还提供一种设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述的基于SaaS多租户的权限设计方法。[0033]此外，为实现上述目的，本发明还提供一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现所述基于SaaS多租户的权限设计方法。[0034]与现有技术相比，本发明的有益效果如下：[0035]1、提出了一种基于SaaS多租户的权限设计方法，提供一种更加科学合理的权限分配方法，在多租户多角色多数据的背景下更大程度的将角色、功能权限、数据权限解耦；[0036]2、解决角色、用户、数据、功能四者之间的解耦，更灵活、也更容易扩展和维护。[0037]本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

5

CN 112667639 A

说　明　书

3/7页

附图说明

[0038]此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：[0039]图1是本发明实施例提供的一种基于SaaS多租户的权限设计方法整体流程图；[0040]图2是本实施例所揭示的基于SaaS多租户的权限设计表格关系图；

[0041]图3是本实施例提供的一种基于SaaS多租户的权限设计系统结构框架图；[0042]图4是根据本发明实施例的计算机设备的框架图。[0043]以上图中：[0044]1、用户表创建模块；2、角色表创建模块；3、权限点设置模块；4、用户角色对应模块；5、数据存储模块；6、数据角色对应模块；7、权限设置模块；80、总线；81、处理器；82、存储器；83、通信接口。具体实施方式

[0045]为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。[0046]显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。[0047]在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

[0048]除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对

6

CN 112667639 A

说　明　书

4/7页

象，不待表针对对象的特定排序。

[0049]下面结合附图所示的各实施方式对本发明进行详细说明，但应当说明的是，这些实施方式并非对本发明的，本领域普通技术人员根据这些实施方式所作的功能、方法、或者结构上的等效变换或替待，均属于本发明的保护范围之内。[0050]在详细阐述本发明各个实施例之前，对本发明的核心发明思想予以概述，并通过下述若干实施例予以详细阐述。

[0051]本发明可基于SaaS多租户设计用户权限，解决在多租户多角色多数据的背景下，如何更大程度的将角色、功能权限、数据权限解耦的问题。[0052]实施例一：

[0053]参照图1至图2所示，本实例揭示了一种基于SaaS多租户的权限设计方法(以下简称“方法”)的具体实施方式。

[00]具体而言参照图1和图2所示，本实施例所揭示的方法主要包括以下步骤：[0055]步骤S1、创建Users表，存储每个租户下的用户。[0056]具体而言，租户可以理解为部署在云端的客户，比如现在学校的一卡通管理，通常是一个公司来做的，学校本地不需要做任何部署，而这个公司又是服务了很多个学校，那么学校对于公司来说就是一个租户。[0057]具体而言，SaaS多租户架构一共有三种：数据库；共享数据库，隔离数据架构；共享数据库，共享数据架构。数据库为不同的租户数据放在不同的数据库中；共享数据库，隔离数据架构指的是所有租户数据放在同一个数据库中，但是不同租户使用不同的数据表；共享数据库，共享数据架构指的是所有的租户使用相同的数据库相同的表。[0058]然后执行步骤S2、创建Roles表，存储系统角色。[0059]具体而言，在其中一些实施例中，所述系统角色包括但不限于：超级管理员、管理员、协作者。

[0060]具体而言，在其中一些实施例中，其中不同系统角色的权限设置为：[0061]1)最高权限拥有者超级管理员：可以进行用户的创建，接入数据，对系统内所有数据的读权限及写权限，对部分数据进行权限下放；[0062]2)管理权限拥有者管理员：可以进行用户的创建，对被超级管理员授权的数据的读权限及写权限，对被授权数据进行权限下放；[0063]3)协作者：对被管理员授权的数据的读权限及写权限，或只读权限。[00]然后执行步骤S3、创建Permissions表，存储每个所述系统角色所对应的权限点。[0065]具体而言，在其中一些实施例中，Permissions表中存储每个角色所对应的权限点，例如：外部数据接入权限，创建新用户权限。[0066]然后执行步骤S4、创建User_roles_mapping表，存储所述用户与所述系统角色的对应关系。

[0067]然后执行步骤S5、创建Accounts表，存储可访问数据集。[0068]然后执行步骤S6、创建Operation表，存储所述可访问数据集和所述系统角色的对应关系。

[0069]具体而言，在其中一些实施例中，Operation表中存储数据集和角色的对应关系，即每种角色对于数据集的权限(可读可写或只读)，例如超级管理员对数据集X有可读可写

7

CN 112667639 A

说　明　书

5/7页

的权限，又因为张三的角色为超级管理员，那么张三登录时，可以访问和操作数据集X。[0070]具体而言，在其中一些实施例中，所述方法还可以将所述权限点与所述可访问数据集进行绑定，即通过功能和数据绑定的方式完成。例如在Permissions权限表中，将功能和数据绑定，例如规定权限点1为数据接入功能+创建新用户功能+数据集X可读可写功能+数据集Y可读可写功能，权限点2为数据接入功能+创建新用户功能+数据集M可读可写功能+数据集N可读可写功能。

[0071]通过本申请实施例所揭示的一种基于SaaS多租户的权限设计方法，提供一种更加科学合理的权限分配方法，在多租户多角色多数据的背景下更大程度的将角色、功能权限、数据权限解耦；解决角色、用户、数据、功能四者之间的解耦，更灵活、也更容易扩展和维护。[0072]本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。[0073]实施例二：

[0074]结合实施例一所揭示的一种基于SaaS多租户的权限设计方法，本实施例揭示了一种基于SaaS多租户的权限设计系统(以下简称“系统”)的具体实施示例。[0075]参照图3所示，所述系统包括：[0076]用户表创建模块1，创建Users表，存储每个租户下的用户；[0077]存储系统角色；角色表创建模块2，创建Roles表，[0078]权限点设置模块3，创建Permissions表，存储每个所述系统角色所对应的权限点；[0079]存储所述用户与所述系统角色用户角色对应模块4，创建User_roles_mapping表，的对应关系；

[0080]数据存储模块5，创建Accounts表，存储可访问数据集；[0081]数据角色对应模块6，创建Operation表，存储所述可访问数据集和所述系统角色的对应关系；

[0082]权限设置模块7，根据所述Users表、Roles表、Permissions表、User_roles_mapping表、Accounts表、Operation表进行用户权限分配。[0083]具体而言，在其中一些实施例中，所述权限点设置模块3中还包括将所述权限点与所述可访问数据集进行绑定。

[0084]本实施例所揭示的一种基于SaaS多租户的权限设计系统与实施例一所揭示的一种基于SaaS多租户的权限设计方法中其余相同部分的技术方案，请参考实施例一所述，在此不再赘述。

[0085]实施例三:

[0086]结合图4所示，本实施例揭示了一种计算机设备的一种具体实施方式。计算机设备可以包括处理器81以及存储有计算机程序指令的存储器82。[0087]具体地，上述处理器81可以包括处理器(CPU)，或者特定集成电路

简称为ASIC)，或者可以被配置成实施本申(Application Specific Integrated Circuit，

请实施例的一个或多个集成电路。[0088]其中，存储器82可以包括用于数据或指令的大容量存储器。举例来说而非，存储器82可包括硬盘驱动器(Hard Disk Drive，简称为HDD)、软盘驱动器、固态驱动器(Solid State Drive，简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial 

8

CN 112667639 A

说　明　书

6/7页

Bus，简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器82可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器82可在数据处理装置的内部或外部。在特定实施例中，存储器82是非易失性(Non‑Volatile)存储器。在特定实施例中，存储器82包括只读存储器(Read‑Only Memory，简称为ROM)和随机存取存储器(Random Access Memory，简称为RAM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read‑Only Memory，简称为PROM)、可擦除PROM(Erasable Programmable Read‑Only Memory，简称为EPROM)、电可擦除PROM(Electrically Erasable Programmable Read‑Only Memory，简称为EEPROM)、电可改写ROM(Electrically Alterable Read‑Only Memory，简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下，该RAM可以是静态随机存取存储器(Static Random‑Access Memory，简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory，简称为DRAM)，其中，DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory，简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic Random Access Memory，简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random‑Access Memory，简称SDRAM)等。

[00]存储器82可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器81所执行的可能的计算机程序指令。

[0090]处理器81通过读取并执行存储器82中存储的计算机程序指令，以实现上述实施例中的任意一种基于SaaS多租户的权限设计方法。[0091]在其中一些实施例中，计算机设备还可包括通信接口83和总线80。其中，如图4所示，处理器81、存储器82、通信接口83通过总线80连接并完成相互间的通信。[0092]通信接口83用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信端口83还可以实现与其他部件例如：外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。[0093]总线80包括硬件、软件或两者，将计算机设备的部件彼此耦接在一起。总线80包括但不限于以下至少之一：数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非，总线80可包括图形加速接口(Accelerated Graphics Port，简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture，简称为EISA)总线、前端总线(Front Side Bus，简称为FSB)、超传输(Hyper Transport，简称为HT)互连、工业标准架构(Industry Standard Architecture，简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count，简称为LPC)总线、存储器总线、微信道架构(Micro Channel Architecture，简称为MCA)总线、外围组件互连(Peripheral Component Interconnect，简称为PCI)总线、PCI‑Express(PCI‑X)总线、串行高级技术附件(Serial Advanced Technology Attachment，简称为SATA)总线、视频电子标准协会局部(Video Electronics Standards Association Local Bus，简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线80可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线，但本申请考虑任何合适的总线或互连。[0094]该计算机设备可以基于SaaS多租户实现权限设计，从而实现结合图1描述的方法。

9

CN 112667639 A[0095]

说　明　书

7/7页

另外，结合上述实施例中基于SaaS多租户的权限设计方法，本申请实施例可提供

一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种基于SaaS多租户的权限设计方法。

[0096]以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明载的范围。[0097]综上所述，基于本发明的有益效果在于，提出了一种基于SaaS多租户的权限设计方法，提供一种更加科学合理的权限分配方法，在多租户多角色多数据的背景下更大程度的将角色、功能权限、数据权限解耦；解决角色、用户、数据、功能四者之间的解耦，更灵活、也更容易扩展和维护。

[0098]以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

10

CN 112667639 A

说　明　书　附　图

1/2页

图1

11

CN 112667639 A

说　明　书　附　图

2/2页

图2

图3

图4

12