CN106845175A - 一种数据权限的设定方法及装置 - Google Patents
一种数据权限的设定方法及装置 Download PDFInfo
- Publication number
- CN106845175A CN106845175A CN201510886173.2A CN201510886173A CN106845175A CN 106845175 A CN106845175 A CN 106845175A CN 201510886173 A CN201510886173 A CN 201510886173A CN 106845175 A CN106845175 A CN 106845175A
- Authority
- CN
- China
- Prior art keywords
- application system
- authority
- setting
- data
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2457—Query processing with adaptation to user needs
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种数据权限的设定方法及装置,用以实现精确且差异化的数据权限控制,达到统一控制和满足差异化权限种类双重目的。所述数据权限的设定方法,包括:创建用于设定多个应用***中用户数据权限的权限设定树,所述权限设定树中包括预设的包含所有应用***中用户数据权限的根节点、用于设定每一应用***中用户数据权限的分支以及每一应用***对应的分支中的主节点,其中,每一应用***对应的分支中还包括多层子节点,所述多层子节点以及每一子节点的键值和属性由该应用***动态设定;在任一应用***对应的分支中设定该应用***中用户的数据权限。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种数据权限的设定方法及装置。
背景技术
随着信息化的高速发展,各企业和机构内部分工完成各种业务的应用***越来越多,应用***繁多且彼此独立,给用户的使用和管理带来很多困难,因此对各个独立的应用进行整合,实现统一的用户管理满足单点登录是最基本的需求。在统一用户管理的基础上,为各个业务***进行统一的功能权限和数据权限设定是用户迫切需要的。但在数据权限方面,统一设定存在巨大障碍,由于各业务***的数据权限随业务运用的需求不同和***设计上的差异,其设定方式和需要控制的内容五花八门,有的需要从数据表一级控制,有的需要从字段一级控制,有的需要从记录一级控制,更多的需要从组合后的数据内容方面提出控制要求,因此由统一用户管理***进行统一管理是非常困难的。
目前统一用户管理***要么对数据权限不进行任何管理,其只提供用户管理,而由各应用***自行处理数据权限的控制。要么提供一种固定且简单的数据权限控制方式,强制要求各应用***遵守该种设定模式,对于应用***特殊的控制需求则进行舍弃。要么是两种方式的组合,即部分应用***遵从统一控制,部分应用***则自行设定。
现有技术对于统一用户管理***数据权限的设定一般采用三种方式解决,具体来说:
第一种方式是统一用户管理***完全不支持数据权限的设定,由各应用***自行设定数据权限,其带来的优点是数据权限仍可以按各应用***业务需求进行差异化精细化的控制,缺点是用户管理和数据权限管理分布在不同***,应用***也必须在内部建立用户/角色/组织机构等体系,并从统一用户管理***同步数据才能进行数据权限设定,每个应用***都必须重复冗余建设,而且对于管理者和运行维护人员来说,用户管理和权限管理分散在不同处,使用起来非常不便并易产生错误。
第二种方式是由统一用户管理***提供统一的设定方法,例如:各应用***向统一用户管理***注册本***总共有哪几张具体的数据表,每张数据表有哪些字段,在用户管理***中可以给角色或用户按照允许访问哪些表哪些字段的方式授予数据权限,然后各应用***读取用户管理***对用户所赋予的表和字段的访问设置来控制用户的数据访问权限。这种方式的优点是统一了数据权限的授权设置,用户使用起来一致性好,操作便捷。缺点是授权能力很有限,如果业务***不是按表-字段模式授权,***就无法支持。
第三种方式是第一种方式和第二种方式的组合,即统一用户管理***提供表-字段的简易数据权限统一设定模式,部分能满足业务需求的应用采用统一设定,不能满足业务需求的应用采用同步用户和角色然后自行设定数据权限的方式实现。
现有技术中由于各应用***根据业务应用需要对数据分类及数据权限的设定要求五花八门,差异巨大,统一用户管理***只能提供类似于表-字段的简易化统一设定模式,很难满足各业务***多样化的数据管理和授权控制,严重限制了业务运用的需求。对于复杂的数据控制和授权要求,只能通过各应用***自行实现,造成的后果是用户管理和数据授权分离,客户运用不便且容易出错,应用***需要同步用户管理***的数据并进行冗余存储,造成***设计开发成本上升,难度提高可靠性降低,同时使得统一用户管理丧失了很大作用。
综上所述,现有技术中在设定各个应用***中用户的数据权限时,只能提供类似于表-字段的简易化统一设定模式,很难满足多样化的数据管理和授权控制,而且如果通过各应用***自行设定用户的数据权限,不但难度高,而且可靠性低,同时使得统一用户管理丧失了作用。
发明内容
本发明实施例提供了一种数据权限的设定方法及装置,用以实现精确且差异化的数据权限控制,达到统一控制和满足差异化权限种类双重目的。
本发明实施例提供的一种数据权限的设定方法,该方法包括:创建用于设定多个应用***中用户数据权限的权限设定树,所述权限设定树中包括预设的包含所有应用***中用户数据权限的根节点、用于设定每一应用***中用户数据权限的分支以及每一应用***对应的分支中的主节点,其中,每一应用***对应的分支中还包括多层子节点,所述多层子节点以及每一子节点的键值和属性由该应用***动态设定;在任一应用***对应的分支中设定该应用***中用户的数据权限。
本发明实施例提供的上述方法中,创建用于设定多个应用***中用户数据权限的权限设定树,且每一应用***对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用***动态设定,并在该权限设定树中与每一应用***对应的分支中设定该应用***中用户的数据权限,与现有技术中只能提供表-字段的简易化统一设定模式,难以满足多样化的数据管理和授权控制相比,在权限设定树的各个分支中设定各个应用***中用户的数据权限,不但为各个应用***提供了统一的数据权限设定,而且每一应用***对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用***动态设定,各个应用***使用各自的分支设定用户的数据权限,满足了各个应用***数据权限与各自业务密切相关,数据权限种类划分差异巨大的特点,从而实现精确且差异化的数据权限控制,达到统一控制和满足差异化权限种类双重目的。
在一种可能的实施方式中,本发明实施例提供的上述方法中,每一应用***对应的分支中,主节点与该应用***的名称相对应,所述多层子节点包括多个子节点,且每一子节点与该应用***中待设定数据权限的键值一一对应;所述在任一应用***对应的分支中设定该应用***中用户的数据权限,包括:在任一应用***对应的分支中的多个子节点中设定该应用***中用户的数据权限。
在一种可能的实施方式中,本发明实施例提供的上述方法中,任一应用***对应的分支中,与主节点相连接的多个子节点对应的多个待设定数据权限的键值互不相同。
在一种可能的实施方式中,本发明实施例提供的上述方法中,所述在任一应用***对应的分支中的多个子节点中设定该应用***中用户的数据权限,包括:针对所述多个子节点中的任一子节点,在该子节点中设定该应用***中该子节点对应的键值的权限,所述权限包括以下任意一种:授权、禁止以及跟随当前子节点的上一级子节点的权限设定。
在一种可能的实施方式中,本发明实施例提供的上述方法中,该方法还包括:在查询任一应用***中任一用户的数据权限时,从所述权限设定树中该应用***对应的分支中查询该用户在每个子节点上的权限状态。
在一种可能的实施方式中,本发明实施例提供的上述方法中,在从所述权限设定树中该应用***对应的分支中查询该用户在每个子节点上的权限状态之后,该方法还包括:根据该子节点对应的待设定数据权限的键值的属性对该键值所包含的数据进行筛选。
在一种可能的实施方式中,本发明实施例提供的上述方法中,所述待设定数据权限的键值的属性为限制性结构化查询语言SQL条件。
本发明实施例提供的一种数据权限的设定装置,包括:处理单元,用于创建设定多个应用***中用户数据权限的权限设定树,所述权限设定树中包括预设的包含所有应用***中用户数据权限的根节点、用于设定每一应用***中用户数据权限的分支以及每一应用***对应的分支中的主节点,其中,每一应用***对应的分支中还包括多层子节点,所述多层子节点以及每一子节点的键值和属性由该应用***动态设定;权限设定单元,用于在任一应用***对应的分支中设定该应用***中用户的数据权限。
本发明实施例提供的上述装置中,创建用于设定多个应用***中用户数据权限的权限设定树,且每一应用***对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用***动态设定,并在该权限设定树中与每一应用***对应的分支中设定该应用***中用户的数据权限,与现有技术中只能提供表-字段的简易化统一设定模式,难以满足多样化的数据管理和授权控制相比,在权限设定树的各个分支中设定各个应用***中用户的数据权限,不但为各个应用***提供了统一的数据权限设定,而且每一应用***对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用***动态设定,各个应用***使用各自的分支中设定用户的数据权限,满足了各个应用***数据权限与各自业务密切相关,数据权限种类划分差异巨大的特点,从而实现精确且差异化的数据权限控制,达到统一控制和满足差异化权限种类双重目的。
在一种可能的实施方式中,本发明实施例提供的上述装置中,每一应用***对应的分支中,主节点与该应用***的名称相对应,所述多层子节点包括多个子节点,且每一子节点与该应用***中待设定数据权限的键值一一对应;所述权限设定单元,具体用于:在任一应用***对应的分支中的多个子节点中设定该应用***中用户的数据权限。
在一种可能的实施方式中,本发明实施例提供的上述装置中,任一应用***对应的分支中,与主节点相连接的多个子节点对应的多个待设定数据权限的键值互不相同。
在一种可能的实施方式中,本发明实施例提供的上述装置中,所述权限设定单元在任一应用***对应的分支中的多个子节点中设定该应用***中用户的数据权限,具体用于:针对所述多个子节点中的任一子节点,所述权限设定单元在该子节点中设定该应用***中该子节点对应的键值的权限,所述权限包括以下任意一种:授权、禁止以及跟随当前子节点的上一级子节点的权限设定。
在一种可能的实施方式中,本发明实施例提供的上述装置中,所述处理单元还用于:在查询任一应用***中任一用户的数据权限时,从所述权限设定树中该应用***对应的分支中查询该用户在每个子节点上的权限状态。
在一种可能的实施方式中,本发明实施例提供的上述装置中,所述处理单元从所述权限设定树中该应用***对应的分支中查询该用户在每个子节点上的权限状态之后,还用于:根据该子节点对应的待设定数据权限的键值的属性对该键值所包含的数据进行筛选。
在一种可能的实施方式中,本发明实施例提供的上述装置中,所述待设定数据权限的键值的属性为限制性结构化查询语言SQL条件。
附图说明
图1为本发明实施例提供的一种数据权限的设定方法的示意流程图;
图2为本发明实施例提供的一种数据权限的设定装置的结构示意图。
具体实施方式
下面结合附图,对本发明实施例提供的一种数据权限的设定方法及装置的具体实施方式进行详细地说明。
本发明实施例提供的一种数据权限的设定方法,如图1所示,该方法包括:
步骤102,创建用于设定多个应用***中用户数据权限的权限设定树,权限设定树中包括预设的包含所有应用***中用户数据权限的根节点、用于设定每一应用***中用户数据权限的分支以及每一应用***对应的分支中的主节点,其中,每一应用***对应的分支中还包括多层子节点,多层子节点以及每一子节点的键值和属性由该应用***动态设定;
步骤104,在任一应用***对应的分支中设定该应用***中用户的数据权限。
本发明实施例提供的方法中,创建用于设定多个应用***中用户数据权限的权限设定树,且每一应用***对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用***动态设定,并在该权限设定树中与每一应用***对应的分支中设定该应用***中用户的数据权限,与现有技术中只能提供表-字段的简易化统一设定模式,难以满足多样化的数据管理和授权控制相比,在权限设定树的各个分支中设定各个应用***中用户的数据权限,不但为各个应用***提供了统一的数据权限设定,而且每一应用***对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用***动态设定,各个应用***使用各自的分支中设定用户的数据权限,满足了各个应用***数据权限与各自业务密切相关,数据权限种类划分差异巨大的特点,从而实现精确且差异化的数据权限控制,达到统一控制和满足差异化权限种类双重目的。
值得说明的是,现有技术中对各个应用***统一设定数据权限的方式存在明显的缺陷,具体来说,第一种方式,也即各个应用***自行设定数据权限的方式,完全不能统一设定,由各个应用***自行解决权限设定问题,导致设定数据权限方式不统一,开发难度大且用户操作十分不便;第二种方式,也即由统一用户管理***提供统一的设定方式,只能提供一种固定的表-字段的统一数据权限控制方式,灵活性很差,如果不能满足应用***的业务要求,则无法设定;第三种方式是前两种方式的组合,仍存在开发难度大且用户操作不便的问题。本发明实施例提供的数据权限的设定方法,能够在同一用户管理***中对各个应用***的数据权限进行统一设定,有集中和一致性的设定界面,而且提供了足够的灵活性,使得各个应用***根据业务需求的不同,各自规划自身不同的数据分类和数据实体,同时满足了统一设定和业务需求各不相同两个方面的要求。其中,应用***中的用户可以是角色或组织或者机构等。
具体实施时,创建用于设定多个应用***中用户数据权限的权限设定树,权限设定树中包括预设的包含所有应用***中用户数据权限的根节点、用于设定每一应用***中用户数据权限的分支以及每一应用***对应的分支中的主节点,每一应用***对应的分支中还包括多层子节点,所述多层子节点以及每一子节点的键值和属性由该应用***动态设定,每个子节点的键值可以使用标识符设定,并由应用***进行解释,其中,该权限设定树的根节点为所有应用***的总数据权限,是预先建立的,不可更改,而该权限设定树的每一分支对应于一个应用***,也即该权限设定树的每一个分支由一个应用***使用,该分支中的多层子节点由各应用***通过接口自行动态创建和维护,并使用该分支为该应用***中的用户设定数据权限。
在一种可能的实施方式中,本发明实施例提供的方法中,每一应用***对应的分支中,主节点与该应用***的名称相对应,所述多层子节点包括多个子节点,且每一子节点与该应用***中待设定数据权限的键值一一对应;在任一应用***对应的分支中设定该应用***中用户的数据权限,包括:在任一应用***对应的分支中的多个子节点中设定该应用***中用户的数据权限。
具体实施时,用于设定每一应用***中用户数据权限的分支包括:与该应用***名称对应的主节点以及与该主节点连接的用于设定应用***中用户数据权限的多个子节点,也即该权限设定树中的每一分支用于设定一个应用***中用户的数据权限,每一分支中的主节点对应应用***的应用***名称,与主节点相连接的子节点均由该主节点对应的应用***使用,该分支内子节点的层级及子节点的数目由各个应用***通过接口动态创建和维护,各个子节点对应的待设定数据权限的键值和属性也由应用***自由设定,各个子节点的含义由应用***自行设定和解释,其中,在任一应用***对应的分支中设定该应用***中用户的数据权限时,包括:在任一应用***对应的分支中的多个子节点中设定该应用***中用户的数据权限。
值得说明的是,权限设定树还提供访问接口,以供各个应用***进行访问,提供的接口访问能力包括:遍历浏览本应用***所属分支的各个节点(包括主节点和多个子节点),获取节点的键值、属性、节点状态、节点的父节点及该节点的子节点;在分支中任意添加子节点,设定子节点的属性;修改分支中任意子节点的键值和属性;删除子节点,删除该分支中的子分支;提供查找功能,可以按名称查找子节点;提供的接口访问为动态数据访问,应用***运行过程中可随时对分支的各个节点进行增加、删除、修改以及查找等操作。
在一种可能的实施方式中,本发明实施例提供的方法中,任一应用***对应的分支中,与主节点相连接的多个子节点对应的多个待设定数据权限的键值互不相同。
具体实施时,任一应用***对应的分支中,与主节点相连接的多个子节点对应的多个待设定数据权限的键值互不相同,也即同一应用***对应的分支下,各个子节点对应的待设定数据权限的键值互不相同,以确保权限设定树中任一子节点的全名称均不相同,其中,全名称指包含根节点、主节点等全路径的名称,但是不同应用***对应的不同分支中,子节点对应的待设定数据权限的键值可以相同。
在一种可能的实施方式中,本发明实施例提供的方法中,在任一应用***对应的分支中的多个子节点中设定该应用***中用户的数据权限,包括:针对多个子节点中的任一子节点,在该子节点中设定该应用***中该子节点对应的键值的权限,权限包括以下任意一种:授权、禁止以及跟随当前子节点的上一级子节点的权限设定。
值得说明的是,每个子节点可以有授权、禁止以及跟随当前子节点的上一级子节点的权限设定三种状态,根节点处于跟随当前子节点的上一级子节点的权限设定时,其含义为禁止,而且权限设定树中任一子节点的权限状态改变时,不会联动引起其它子节点的状态自动变化。在具体实施时,为了方便设定授权、禁止以及跟随当前子节点的上一级子节点的权限设定三种状态,可以使用符号或者数字代替三种状态,作为较为一种具体的实施例,√表示该子节点的权限为授权,□表示该子节点的权限为跟随当前子节点的上一级子节点的权限设定,X表示该子节点的权限为禁止;作为另一种较为具体的实施例,1表示该子节点的权限为授权,2表示该子节点的权限为跟随当前子节点的上一级子节点的权限设定,3表示该子节点的权限为禁止,当然,此处并不用于具体限定。
在一种可能的实施方式中,本发明实施例提供的方法中,该方法还包括:在查询任一应用***中任一用户的数据权限时,从权限设定树中该应用***对应的分支中查询该用户在每个子节点上的权限状态。
具体实施时,使用权限设定树通过设定每个分支中子节点的权限给每个应用***中的角色或者用户或者组织设定数据权限之后,各应用***还可以查询用户的数据权限,当任一应用***查询指定用户数据权限时,提供接口返回该应用***在权限设定树中对应的分支,分支中各子节点的权限是该用户所有数据权限的合并,当然,任一子节点上的权限包括:直接对该用户的授权以及通过角色或组织授权再作用到用户上的。其中,应用***得到的指定用户的数据权限是多种方式授权进行节点状态合并后的数据权限,具体来说,同一子节点进行状态合并时应遵循授权的优先级高于禁止、禁止的优先级高于跟随当前子节点的上一级子节点的权限设定的原则,当然,在其它实施例中也可以设定其它的原则。
在一种可能的实施方式中,本发明实施例提供的方法中,在从权限设定树中该应用***对应的分支中查询该用户在每个子节点上的权限状态之后,该方法还包括:根据该子节点对应的待设定数据权限的键值的属性对该键值所包含的数据进行筛选。
具体实施时,应用***在子节点中设定该子节点对应的待设定数据权限的键值的属性,包括属性名和属性值,例如:属性名可以数字或字符串标示,属性值可以以数字、字符串或者二进制数据块的形式存储,较为优选地,待设定数据权限的键值的属性值为限制性结构化查询语言SQL条件,例如:授权访问的SQL条件和禁止访问的SQL条件。在每个子节点中存储该子节点对应的待设定数据权限的键值的属性,以便于在从权限设定树中该应用***对应的分支中查询该用户在每个子节点上的权限状态之后,能够根据该子节点对应的待设定数据权限的键值的属性对该键值所包含的数据进行筛选。较为优选地,从子节点中取出存储的限制性结构化查询语言SQL条件作为数据筛选的条件,对该子节点对应的待设定数据权限的键值所包含的数据进行筛选。
本发明实施例提供的数据权限的设定方法,支持各个应用***根据自身业务应用数据权限对其中的设定内容项进行动态定制和解释,由统一用户管理***按照设定项对用户、角色、机构进行设定赋值后,当用户访问应用***时,由应用***读取统一用户管理***中的对该用户的数据权限设定,并对数据权限设定进行自行解析,获取该用户的数据权限,从而访问应用***中的数据。
本发明实施例提供的一种数据权限的设定装置,如图2所示,包括:处理单元202,用于创建设定多个应用***中用户数据权限的权限设定树,权限设定树中包括预设的包含所有应用***中用户数据权限的根节点、用于设定每一应用***中用户数据权限的分支以及每一应用***对应的分支中的主节点,其中,每一应用***对应的分支中还包括多层子节点,所述多层子节点以及每一子节点的键值和属性由该应用***动态设定;权限设定单元204,用于在任一应用***对应的分支中设定该应用***中用户的数据权限。
本发明实施例提供的装置中,创建用于设定多个应用***中用户数据权限的权限设定树,且每一应用***对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用***动态设定,并在该权限设定树中与每一应用***对应的分支中设定该应用***中用户的数据权限,与现有技术中只能提供表-字段的简易化统一设定模式,难以满足多样化的数据管理和授权控制相比,在权限设定树的各个分支中设定各个应用***中用户的数据权限,不但为各个应用***提供了统一的数据权限设定,而且每一应用***对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用***动态设定,各个应用***使用各自的分支中设定用户的数据权限,满足了各个应用***数据权限与各自业务密切相关,数据权限种类划分差异巨大的特点,从而实现精确且差异化的数据权限控制,达到统一控制和满足差异化权限种类双重目的。
在一种可能的实施方式中,本发明实施例提供的装置中,每一应用***对应的分支中,主节点与该应用***的名称相对应,所述多层子节点包括多个子节点,且每一子节点与该应用***中待设定数据权限的键值一一对应;权限设定单元204,具体用于:在任一应用***对应的分支中的多个子节点中设定该应用***中用户的数据权限。
在一种可能的实施方式中,本发明实施例提供的装置中,任一应用***对应的分支中,与主节点相连接的多个子节点对应的多个待设定数据权限的键值互不相同。
在一种可能的实施方式中,本发明实施例提供的装置中,权限设定单元204在任一应用***对应的分支中的多个子节点中设定该应用***中用户的数据权限,具体用于:针对多个子节点中的任一子节点,权限设定单元204在该子节点中设定该应用***中该子节点对应的键值的权限,权限包括以下任意一种:授权、禁止以及跟随当前子节点的上一级子节点的权限设定。
在一种可能的实施方式中,本发明实施例提供的装置中,处理单元202还用于:在查询任一应用***中任一用户的数据权限时,从权限设定树中该应用***对应的分支中查询该用户在每个子节点上的权限状态。
在一种可能的实施方式中,本发明实施例提供的装置中,处理单元202从权限设定树中该应用***对应的分支中查询该用户在每个子节点上的权限状态之后,还用于:根据该子节点对应的待设定数据权限的键值的属性对该键值所包含的数据进行筛选。
在一种可能的实施方式中,本发明实施例提供的装置中,待设定数据权限的键值的属性为限制性结构化查询语言SQL条件。
本发明实施例提供的数据权限的设定装置可以应用在统一用户管理***中,其中,处理单元202和权限设定单元204均可以采用CPU等处理器。
综上所述,本发明实施例提供的一种数据权限的设定方法及装置,创建用于设定多个应用***中用户数据权限的权限设定树,且每一应用***对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用***动态设定,并在该权限设定树中与每一应用***对应的分支中设定该应用***中用户的数据权限,在权限设定树的各个分支中设定各个应用***中用户的数据权限,不但为各个应用***提供了统一的数据权限设定,而且每一应用***对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用***动态设定,各个应用***使用各自的分支中设定用户的数据权限,满足了各个应用***数据权限与各自业务密切相关,数据权限种类划分差异巨大的特点,从而实现精确且差异化的数据权限控制,达到统一控制和满足差异化权限种类双重目的。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (14)
1.一种数据权限的设定方法,其特征在于,该方法包括:
创建用于设定多个应用***中用户数据权限的权限设定树,所述权限设定树中包括预设的包含所有应用***中用户数据权限的根节点、用于设定每一应用***中用户数据权限的分支以及每一应用***对应的分支中的主节点,其中,每一应用***对应的分支中还包括多层子节点,所述多层子节点以及每一子节点的键值和属性由该应用***动态设定;
在任一应用***对应的分支中设定该应用***中用户的数据权限。
2.根据权利要求1所述的方法,其特征在于,每一应用***对应的分支中,主节点与该应用***的名称相对应,所述多层子节点包括多个子节点,且每一子节点与该应用***中待设定数据权限的键值一一对应;
所述在任一应用***对应分支中设定该应用***中用户的数据权限,包括:在任一应用***对应的分支中的多个子节点中设定该应用***中用户的数据权限。
3.根据权利要求2所述的方法,其特征在于,任一应用***对应的分支中,与主节点相连接的多个子节点对应的多个待设定数据权限的键值互不相同。
4.根据权利要求2所述的方法,其特征在于,所述在任一应用***对应的分支中的多个子节点中设定该应用***中用户的数据权限,包括:
针对所述多个子节点中的任一子节点,在该子节点中设定该应用***中该子节点对应的键值的权限,所述权限包括以下任意一种:授权、禁止以及跟随当前子节点的上一级子节点的权限设定。
5.根据权利要求2-4中任一项所述的方法,其特征在于,该方法还包括:在查询任一应用***中任一用户的数据权限时,从所述权限设定树中该应用***对应的分支中查询该用户在每个子节点上的权限状态。
6.根据权利要求5所述的方法,其特征在于,在从所述权限设定树中该应用***对应的分支中查询该用户在每个子节点上的权限状态之后,该方法还包括:根据该子节点对应的待设定数据权限的键值的属性对该键值所包含的数据进行筛选。
7.根据权利要求6所述的方法,其特征在于,所述待设定数据权限的键值的属性为限制性结构化查询语言SQL条件。
8.一种数据权限的设定装置,其特征在于,包括:
处理单元,用于创建设定多个应用***中用户数据权限的权限设定树,所述权限设定树中包括预设的包含所有应用***中用户数据权限的根节点、用于设定每一应用***中用户数据权限的分支以及每一应用***对应的分支中的主节点,其中,每一应用***对应的分支中还包括多层子节点,所述多层子节点以及每一子节点的键值和属性由该应用***动态设定;
权限设定单元,用于在任一应用***对应的分支中设定该应用***中用户的数据权限。
9.根据权利要求8所述的装置,其特征在于,每一应用***对应的分支中,主节点与该应用***的名称相对应,所述多层子节点包括多个子节点,且每一子节点与该应用***中待设定数据权限的键值一一对应;
所述权限设定单元,具体用于:在任一应用***对应的分支中的多个子节点中设定该应用***中用户的数据权限。
10.根据权利要求9所述的装置,其特征在于,任一应用***对应的分支中,与主节点相连接的多个子节点对应的多个待设定数据权限的键值互不相同。
11.根据权利要求9所述的装置,其特征在于,所述权限设定单元在任一应用***对应的分支中的多个子节点中设定该应用***中用户的数据权限,具体用于:
针对所述多个子节点中的任一子节点,所述权限设定单元在该子节点中设定该应用***中该子节点对应的键值的权限,所述权限包括以下任意一种:授权、禁止以及跟随当前子节点的上一级子节点的权限设定。
12.根据权利要求8-11中任一项所述的装置,其特征在于,所述处理单元还用于:在查询任一应用***中任一用户的数据权限时,从所述权限设定树中该应用***对应的分支中查询该用户在每个子节点上的权限状态。
13.根据权利要求12所述的装置,其特征在于,所述处理单元从所述权限设定树中该应用***对应的分支中查询该用户在每个子节点上的权限状态之后,还用于:根据该子节点对应的待设定数据权限的键值的属性对该键值所包含的数据进行筛选。
14.根据权利要求13所述的装置,其特征在于,所述待设定数据权限的键值的属性为限制性结构化查询语言SQL条件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510886173.2A CN106845175B (zh) | 2015-12-04 | 2015-12-04 | 一种数据权限的设定方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510886173.2A CN106845175B (zh) | 2015-12-04 | 2015-12-04 | 一种数据权限的设定方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106845175A true CN106845175A (zh) | 2017-06-13 |
CN106845175B CN106845175B (zh) | 2021-03-30 |
Family
ID=59150982
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510886173.2A Active CN106845175B (zh) | 2015-12-04 | 2015-12-04 | 一种数据权限的设定方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106845175B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108804678A (zh) * | 2018-06-12 | 2018-11-13 | 深圳市茁壮网络股份有限公司 | 一种列表节点管理方法及装置 |
CN109379363A (zh) * | 2018-10-25 | 2019-02-22 | 北京开普云信息科技有限公司 | 一种基于集约化治理平台的单点登录集成方法及*** |
CN110062020A (zh) * | 2018-01-19 | 2019-07-26 | 深圳竹云科技有限公司 | 一种身份管理方法及*** |
CN114553484A (zh) * | 2022-01-18 | 2022-05-27 | 国电南瑞科技股份有限公司 | 一种基于二维安全标记的双重访问权限控制方法及*** |
CN114780933A (zh) * | 2022-06-22 | 2022-07-22 | 煜象科技(杭州)有限公司 | 一种支持多应用的数据权限控制方法 |
CN114912086A (zh) * | 2022-03-29 | 2022-08-16 | 广州超音速自动化科技股份有限公司 | 一种软件权限管理分配方法及*** |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101587439A (zh) * | 2009-06-24 | 2009-11-25 | 用友软件股份有限公司 | 业务***、权限***和用于业务***的数据权限控制方法 |
CN102354356A (zh) * | 2011-09-29 | 2012-02-15 | 用友软件股份有限公司 | 数据权限管理装置和方法 |
CN102402652A (zh) * | 2010-09-16 | 2012-04-04 | 金蝶软件(中国)有限公司 | 一种权限控制的方法、***及终端 |
CN102411575A (zh) * | 2010-09-21 | 2012-04-11 | 北京大学 | 一种网页显示方法、***以及服务器 |
CN104346383A (zh) * | 2013-07-31 | 2015-02-11 | 上海云端广告有限公司 | 一种数据权限控制方法和*** |
-
2015
- 2015-12-04 CN CN201510886173.2A patent/CN106845175B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101587439A (zh) * | 2009-06-24 | 2009-11-25 | 用友软件股份有限公司 | 业务***、权限***和用于业务***的数据权限控制方法 |
CN102402652A (zh) * | 2010-09-16 | 2012-04-04 | 金蝶软件(中国)有限公司 | 一种权限控制的方法、***及终端 |
CN102411575A (zh) * | 2010-09-21 | 2012-04-11 | 北京大学 | 一种网页显示方法、***以及服务器 |
CN102354356A (zh) * | 2011-09-29 | 2012-02-15 | 用友软件股份有限公司 | 数据权限管理装置和方法 |
CN104346383A (zh) * | 2013-07-31 | 2015-02-11 | 上海云端广告有限公司 | 一种数据权限控制方法和*** |
Non-Patent Citations (1)
Title |
---|
伍华聪: "《如何在应用***中实现数据权限的控制功能》", 《HTTPS://WWW.CNBLOGS.COM/WUHUACONG/P/3664204.HTML》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110062020A (zh) * | 2018-01-19 | 2019-07-26 | 深圳竹云科技有限公司 | 一种身份管理方法及*** |
CN108804678A (zh) * | 2018-06-12 | 2018-11-13 | 深圳市茁壮网络股份有限公司 | 一种列表节点管理方法及装置 |
CN109379363A (zh) * | 2018-10-25 | 2019-02-22 | 北京开普云信息科技有限公司 | 一种基于集约化治理平台的单点登录集成方法及*** |
CN114553484A (zh) * | 2022-01-18 | 2022-05-27 | 国电南瑞科技股份有限公司 | 一种基于二维安全标记的双重访问权限控制方法及*** |
CN114553484B (zh) * | 2022-01-18 | 2024-05-24 | 国电南瑞科技股份有限公司 | 一种基于二维安全标记的双重访问权限控制方法及*** |
CN114912086A (zh) * | 2022-03-29 | 2022-08-16 | 广州超音速自动化科技股份有限公司 | 一种软件权限管理分配方法及*** |
CN114780933A (zh) * | 2022-06-22 | 2022-07-22 | 煜象科技(杭州)有限公司 | 一种支持多应用的数据权限控制方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106845175B (zh) | 2021-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106845175A (zh) | 一种数据权限的设定方法及装置 | |
CN104781809B (zh) | 容器数据库 | |
CN100375971C (zh) | 分级布局指定的方法 | |
CA2667142C (en) | Method and apparatus for creating a configurable browser-based forms application | |
CN110188573B (zh) | 分区授权方法、装置、设备及计算机可读存储介质 | |
CN111095238A (zh) | 在分片数据库环境中处理半结构化和非结构化数据 | |
US20100005074A1 (en) | System and method for accessing data | |
CN104471585A (zh) | 用于数据访问控制实施的基于sql转换的优化技术 | |
US20230021770A1 (en) | Medical System and Authority Management Method Therefor | |
NZ279523A (en) | Controlling access to database using security tags | |
CN104160381A (zh) | 多租户环境中租户特定数据集的管理 | |
JPH04216146A (ja) | ユーザ・アクセスの制御方法及びデータ処理システム | |
CN106933891A (zh) | 访问分布式数据库的方法和分布式数据服务的装置 | |
CN111274587B (zh) | 控制用户访问对象的***和方法 | |
US6266661B1 (en) | Method and apparatus for maintaining multi-instance database management systems with hierarchical inheritance and cross-hierarchy overrides | |
CN112230832B (zh) | 一种跨组织用户的分级管理*** | |
KR20020050160A (ko) | 오브젝트 통합 관리 시스템 | |
CN110414257A (zh) | 一种数据访问方法及服务器 | |
Hadjiconstantinou et al. | Routing under uncertainty: an application in the scheduling of field service engineers | |
CN111177698A (zh) | 门户***的处理方法、装置及计算机设备 | |
CN103902637B (zh) | 用于向用户提供计算资源的方法和装置 | |
DE112020004801T5 (de) | Intelligenter datenpool | |
CN110347654B (zh) | 一种上线集群特性的方法和装置 | |
CN110019229B (zh) | 数据库配置*** | |
US20020019824A1 (en) | Method to generically describe and manipulate arbitrary data structures |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |