CN109726579A - 资源访问权限分组方法及设备 - Google Patents
资源访问权限分组方法及设备 Download PDFInfo
- Publication number
- CN109726579A CN109726579A CN201711031968.0A CN201711031968A CN109726579A CN 109726579 A CN109726579 A CN 109726579A CN 201711031968 A CN201711031968 A CN 201711031968A CN 109726579 A CN109726579 A CN 109726579A
- Authority
- CN
- China
- Prior art keywords
- resource
- user
- user grouping
- parent
- access authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本申请的目的是提供一种资源访问权限分组方法及设备,本申请通过建立资源、用户分组和访问权限三者的对应关系,后续对用户分组中的用户变更时,可以根据三者的对应关系,实现该用户对应的资源及其访问权限能够自动变更,无需逐个维护用户对应的资源及其权限的变更,简化操作,保证资源和访问权限实时与用户分组的变更主动同步。另外,本实施例通过资源索引值,可以减少对数据库的查询次数,实现更快速地查询到所述待查询的子资源及其父资源下的用户分组,进而查询到用户分组的访问权限。
Description
技术领域
本申请涉及计算机领域,尤其涉及一种资源访问权限分组方法及设备。
背景技术
在很多微应用中都会有这么一个场景:把多个人加到一个组里面,然后对这个组设置一个特定的权限规则。比如对于考勤组,会把某些部门、某些用户聚在一起建立一个考勤组,同时对这个考勤组设置一个考勤规则,在该考勤组中的用户有按该考勤规则进行考勤的权限;针对某个文件目录,会设置某些部门(包括用户)、某些群(包括用户)、某些用户有查看权限或者编辑权限;对于日志模板,设置某些人、某些部门才有权限查看使用。
而现有技术中,当用户变更时,一般需要业务方自己去逐个维护用户的变更及其对应的权限的变更,操作繁琐。
发明内容
本申请的一个目的是提供一种资源访问权限分组方法及设备,能够解决当用户变更时,需要逐个维护用户的变更及其对应的权限的变更,操作繁琐和查询速度慢的问题。
根据本申请的一个方面,提供了一种资源访问权限分组方法,该方法包括:
建立资源与用户分组的对应关系,所述用户分组包括至少一个用户;
建立所述用户分组与其所对应的资源的访问权限的对应关系;
获取所述资源中的父资源和子资源的的层级的数量,其中,所述资源包括至少两层级的父资源和所述父资源下的子资源;
根据所述父资源和子资源的的层级的数量,建立所述父资源和/或子资源与资源索引值的对应关系,其中,层级的数量在同一阈值区间内的所述父资源和/或子资源与同一个资源索引值对应。
进一步的,上述方法中,建立所述用户分组与其所对应的资源的访问权限的对应关系之后,还包括:
获取所述用户分组中用户的增加和/或删除请求;
根据所述增加和/或删除请求,在对应用户分组中增加和/或删除对应的用户。
进一步的,上述方法中,当所述用户分组与其所对应的资源是父资源时,建立所述用户分组与其所对应的资源的访问权限的对应关系,包括:
建立所述用户分组与其所对应的父资源的访问权限的对应关系;
建立所述用户分组与其所对应的父资源下的子资源的访问权限的对应关系。
进一步的,上述方法中,将层级数在同一阈值区间内的资源归入同一个资源索引之后,还包括:
获取查询某个子资源对应的用户分组的访问权限的请求;
根据所述请求确定所述待查询的子资源的父资源;
根据所述待查询的子资源及其父资源所对应的资源索引值,获取所述待查询的子资源及其父资源下的用户分组。
进一步的,上述方法中,获取所述待查询的子资源及其父资源下的用户分组所对应的资源的访问权限之后,还包括:
以树形结构显示所述待查询的子资源及其父资源下的用户分组,及所述用户分组所对应的资源的访问权限。
进一步的,上述方法中,建立资源与用户分组的对应关系中,
一个用户分组仅与一个资源建立对应关系。
进一步的,上述方法中,建立所述用户分组与其所对应的资源的访问权限的对应关系中,
一个用户分组仅与一个资源的访问权限建立对应关系。
进一步的,上述方法中,建立所述用户分组与其所对应的资源的访问权限的对应关系中,
当同一个资源对应至少两个用户分组时,所述至少两个用户分组中的每个用户分组所分别对应的同一个资源的访问权限不同。
进一步的,上述方法中,所述用户分组包括至少一个用户子分组,所述用户子分组包括至少一个用户。
根据本申请的另一面,还通过一种资源访问权限分组设备,该设备包括:
资源与用户分组装置,用于建立资源与用户分组的对应关系,所述用户分组包括至少一个用户;
用户分组与访问权限装置,用于建立所述用户分组与其所对应的资源的访问权限的对应关系;
索引值装置,用于获取所述资源中的父资源和子资源的的层级的数量,其中,所述资源包括至少两层级的父资源和所述父资源下的子资源;根据所述父资源和子资源的的层级的数量,建立所述父资源和/或子资源与资源索引值的对应关系,其中,层级的数量在同一阈值区间内的所述父资源和/或子资源与同一个资源索引值对应。
根据本申请的另一面,还提供一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
建立资源与用户分组的对应关系,所述用户分组包括至少一个用户;
建立所述用户分组与其所对应的资源的访问权限的对应关系;
获取所述资源中的父资源和子资源的的层级的数量,其中,所述资源包括至少两层级的父资源和所述父资源下的子资源;
根据所述父资源和子资源的的层级的数量,建立所述父资源和/或子资源与资源索引值的对应关系,其中,层级的数量在同一阈值区间内的所述父资源和/或子资源与同一个资源索引值对应。
根据本申请的另一面,还提供一种计算机可读存储介质,其上存储有计算机可执行指令,其中,该计算机可执行指令被处理器执行时使得该处理器:
建立资源与用户分组的对应关系,所述用户分组包括至少一个用户;
建立所述用户分组与其所对应的资源的访问权限的对应关系;
获取所述资源中的父资源和子资源的的层级的数量,其中,所述资源包括至少两层级的父资源和所述父资源下的子资源;
根据所述父资源和子资源的的层级的数量,建立所述父资源和/或子资源与资源索引值的对应关系,其中,层级的数量在同一阈值区间内的所述父资源和/或子资源与同一个资源索引值对应。
与现有技术相比,本申请通过建立资源、用户分组和访问权限三者的对应关系,后续对用户分组中的用户变更时,可以根据三者的对应关系,实现该用户对应的资源及其访问权限能够自动变更,无需逐个维护用户对应的资源及其权限的变更,简化操作,保证资源和访问权限实时与用户分组的变更主动同步。
另外,本实施例通过资源索引值,可以减少对数据库的查询次数,实现更快速地查询到所述待查询的子资源及其父资源下的用户分组,进而查询到用户分组的访问权限。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1示出根据本申请一实施例的资源访问权限分组方法的流程图;
图2示出本申请一实施例的资源、用户分组和访问权限三者的对应关系的示意图;
图3示出本申请一实施例的查询该用户UID是否有该资源路径的访问权限的输入界面示意图;
图4示出本申请一实施例的以树形结构显示查询结果的示意图;
图5示出本申请另一实施例的以树形结构显示查询结果的示意图;
图6示出根据本申请一实施例的用户子分组图的示意图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本申请作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
如图1和2所示,本申请提供一种资源访问权限分组方法,该方法包括:
步骤S1,建立资源与用户分组的对应关系,所述用户分组包括至少一个用户;
例如,可以创建一个用户分组Group,所述用户分组可以是用户、部门或群的集合,所述部门或群中包含至少一个用户,设定这个Group对某个资源Resource有对应关系,所述资源可以包括考勤打卡、文件或日志模板等等;
具体的,可以用resourceURI来标示一个资源,如图2的资源1(Resource_1)、资源2(Resource_2)。resourceURI具体格式:tenant_id:domain:domain_id:*:biz_resource_path,其中,
tenant_id:表示业务方的标示,可以给每一个接入方生成并分配一个唯一的tenantId;
domain:表示代表资源所属的一级域,如ORG/SPACE/.....
domain_id:代表资源所属的一级域的标示,例如,资源所属的一级域为ORG,那么对应的domain_id可以是orgId;
biz_resource_path:标示资源的绝对路径;
另外,当业务方设置某些用户、部门、群对某个资源有特定访问权限时,可以把把这些用户、部门、群加入一个用户分组Group,同时对应生成一个全局唯一的groupId,如图2,用户分组A(GroupA)、用户分组B(GroupB)、用户分组C(GroupC)、用户分组D(GroupD);
步骤S2,建立所述用户分组与其所对应的资源的访问权限的对应关系;
接着上面的步骤S1,在步骤S2中,可以设定这个Group对其所对应的Resource具备的访问权限(Policy),所述访问权限可以包括定权限内容或权限使用规则,如图2所示,用户分组A对资源1有访问权限1(policy_1)、用户分组B对资源1有访问权限3(policy_3)、用户分组C对资源2有访问权限3(policy_3)、用户分组D对资源2有访问权限4(policy_4);
本实施例建立的Resource、Group和Policy三者的对应关系具体可如图2所示;
例如,一个访问权限可以包括一个权限操作点ActionId及由该权限操作点组成的半结构化配置Policy,权限操作点ActionId如读read、写write或执行execute,
Policy可形如:
上述Policy表示对读read、写write和执行execute的权限操作点为允许权限Allow。其中,ActionIdContains代表权限条件,Result代表满足权限条件的结果Allow/Deny;
步骤S3,获取所述资源中的父资源和子资源的层级的数量,其中,所述资源包括至少两层级的父资源和所述父资源下的子资源;
在此,所述资源包括至少两层级的父资源和所述父资源下的子资源,例如,一资源包括父资源/A/和其下的子资源/A/B/两个层级,又如,一资源包括父资源/A/和其下的子资源/A/B/、/A/B/C/三个层级;
父资源是指上层资源,子资源是指下层资源,父资源和子资源是个相对的概念,某一父资源对其下层资源来说是父资源,同时,该父资源对其上层来说是子资源;相应的,某一子资源对其下层资源来说是父资源,同时,该子资源对其上层来说是子资源;
步骤S4,根据所述父资源和子资源的层级的数量,建立所述父资源和/或子资源与资源索引值的对应关系,其中,层级的数量在同一阈值区间内的所述父资源和/或子资源与同一个资源索引值对应;
本实施例中,可以根据所述父资源和子资源的层级的数量,建立所述父资源和/或子资源与资源索引值的对应关系规则,resource_path表示资源绝对路径,query_index可以表示资源绝对路径的索引值,具体可以将query_index作分库分表键,例如可以定义一对应关系的规则如下:
第一阈值区间[0,3):若0≤父资源或子资源的绝对路径的层级的数量<3,则资源绝对路径的索引值取该父资源或子资源的绝对路径的第一级路径;
第二阈值区间[3,6):若3≤父资源或子资源的绝对路径的层级的数量<6,则资源绝对路径的索引值取该父资源或子资源的绝对路径的第一至三级路径;
第二阈值区间[6,9):若6≤父资源或子资源的绝对路径的层级的数量<9,则资源绝对路径的索引值取该父资源或子资源的绝对路径的第一至六级路径;
例如,根据上述对应关系的规则,所述父资源和/或子资源下的用户分组(resource_path)与资源索引值(query_index)的对应关系如下表所示:
表一
其中,根据上述表一中对应关系的规则,例如,
<1>.resourcePath='/A/B/C/',路径深度是3,取第一至三级路径,query_index='/A/B/C',;
<2>resourcePath='/A/B/C/D/E/F/G/H/',路径深度是8,取第一至六级路径,query_index='/A/B/C/D/E/F',;
<3>resourcePath='/A/B/C/D/*',路径深度是4,取第一至三级路径,query_index='/A/B/C';
<4>resourcePath='/A/*',路径深度是1,取第一级路径,query_index='/A'
所述父资源和/或子资源与资源索引值的对应关系规则,可以根据自己的资源的最大的层级的数量进行调整,资源的最大的层级的数量越大,设定的每一阈值区间越大。
在此,本实施例通过建立资源、用户分组和访问权限三者的对应关系,后续对用户分组中的用户变更时,可以根据三者的对应关系,实现该用户对应的资源及其访问权限能够自动变更,无需逐个维护用户对应的资源及其权限的变更,简化操作,保证资源和访问权限实时与用户分组的变更主动同步。
另外,本实施例通过资源索引值,可以减少对数据库的查询次数,实现更快速地查询到所述待查询的子资源及其父资源下的用户分组,进而查询到用户分组的访问权限。
本申请的资源访问权限分组方法一实施例中,建立所述用户分组与其所对应的资源的访问权限的对应关系之后,还包括:
获取所述用户分组中用户的增加和/或删除请求;
根据所述增加和/或删除请求,在对应用户分组中增加和/或删除对应的用户。
在此,利用上一实施例建立的资源、用户分组和访问权限三者的对应关系,后续对用户分组中的用户增加和/或删除时,可以根据三者的对应关系,实现该用户对应的资源及其访问权限能够自动变更,无需逐个维护用户对应的资源及其权限的变更,简化操作。
例如,部门人员变更时,会实时变更Group下的用户列表,群成员变更时,会实时变更Group下的用户列表;
又如,在门禁***中,可以设置某个部门可以进入某个会议室的门禁,当某个用户离开此部门时,只要将该用户从该部门中删除,就可以做到实时取消此人进入此会议室的门禁权限。
本申请的资源访问权限分组方法一实施例中,当所述用户分组与其所对应的资源是父资源时,建立所述用户分组与其所对应的资源的访问权限的对应关系,包括:
建立所述用户分组与其所对应的父资源的访问权限的对应关系;
建立所述用户分组与其所对应的父资源下的子资源的访问权限的对应关系。
本实施例通过在建立用户分组与其所对应的父资源的访问权限的对应关系的同时,建立所述用户分组与其所对应的父资源下的子资源的访问权限的对应关系,实现了父资源能够拥有其下所属的所有子资源的访问权限,即实现了父资源对其下所属的所有子资源的访问权限的继承。
例如,在文件管理***中,可以设置某个部门有查看目录A(父资源)的权限,当A目录下添加子目录(子资源)时,部门下用户即可访问子目录的所有文件。同时,部门新增一个用户时,也可做到可实时查看目录A以及子目录的文件。
又如,对某个group设置有父资源/A/B/(resourcePath='/A/B/*')的访问权限,那么此Group下的用户自动拥有父资源下的各子资源如/A/B/C、/A/B/C1/D1等的访问权限。
具体的,如果biz_resource_pat='/A',则代表用户可访问domain下的/A该父资源本身,用户还可以访问/A下的所有子资源,如/A/B/,/A/B/C/;
如果biz_resource_pat='/A/B/',则代表用户可访问domain下的/A/B父资源本身,用户还可以访问/A/B下的所有子资源,如/A/B/C/,/A/B/C/D/;
如果biz_resource_pat='/',则代表用户可访问domain下的/该父资源本身,用户还可以访问/下的所有子资源,如/A/,/A/B/。
在此,'/'是保留关键字,以'/'来对biz_resource_pat进行分级,所以每一级的资源标识符中不能包含'/',以避免与所述保留关键字发生混淆。
由于父资源对其下所属的所有子资源的访问权限进行了继承,所以在查询拥有某一资源的访问权限的所有用户时,不仅需要获取拥有该资源的访问权限的所有用户,还需要获取拥有该资源的所有父资源的访问权限的所有用户,因为拥有该资源的所有父资源的访问权限的所有用户,也肯定拥有该资源的访问权限,下面通过如下实施例对于如何查询拥有某一资源的权限的所有用户做说明:
本申请的资源访问权限分组方法一实施例中,为了实现查询拥有某一资源的访问权限的所有用户,建立所述用户分组与其所对应的父资源下的子资源的访问权限的对应关系之后,还包括:
获取查询某个子资源对应的用户分组的访问权限的请求;
基于所述请求逐级确定所述待查询的子资源的各级父资源;
逐级获取所述确定的待查询的子资源及其父资源下的用户分组;
对获取到的用户分组进行汇总和去重。
例如,要查询哪些用户对目录/A/B/C/D/E有访问权限,即查询bizResourcePath=‘/A/B/C/D/E’下的所有group列表下的访问权限,假设分表键是Domain:DomainId。
包括进行如下步骤:
查询对/A/B/C/D/E有访问权限的group列表;
查询对/A/B/C/D有访问权限的group列表;
查询对/A/B/C有访问权限的group列表;
查询对/A/B有访问权限的group列表;
查询对/A有访问权限的group列表;
查询对/*有访问权限的group列表;
查出所有的group后,可以在内存做一次汇总(Merge)和去重。
本申请的资源访问权限分组方法一实施例中,为了实现查询拥有某一资源的访问权限的所有用户,建立所述用户分组与其所对应的父资源下的子资源的访问权限的对应关系之后,还包括:
获取查询某个子资源对应的用户分组的访问权限的请求;
基于所述请求,在所述待查询的子资源所在的域下的所有资源中,过滤出所述待查询的子资源的各级父资源;
获取所述过滤出的待查询的子资源及其父资源下的用户分组。
例如,要查询哪些用户对目录(子资源)/A/B/C/D/E有访问权限,
目录(子资源)/A/B/C/D/E所在的域下domain下所有资源Domain:DomainId如下:
1./A/B
1./A/BB
2./A1/B1
3./A2/B2
从而可以从目录(子资源)/A/B/C/D/E所在的域下domain下所有资源Domain:DomainId中匹配出目录(子资源)/A/B/C/D/E的父资源为/A/B。
本实施中,可以将子资源与Domain:DomainId下所有的资源在内存进行对比过滤,进而能获取到所述过滤出的待查询的子资源及其父资源下的用户分组。
本申请的资源访问权限分组方法一实施例中,将层级数在同一阈值区间内的资源归入同一个资源索引之后,还包括:
获取查询某个子资源对应的用户分组的访问权限的请求;
根据所述请求确定所述待查询的子资源的父资源;
根据所述待查询的子资源及其父资源所对应的资源索引值,获取所述待查询的子资源及其父资源下的用户分组。
例如,当需要查询/A/B/C/D/E下的所有Group时,根据上一实施例表一中的父资源和/或子资源下的用户分组(resource_path)与资源索引值(query_index)的对应关系,只需要查询query_index='/A'&&query_index='/A/B/C'的数据即可,然后对查出的数据在内存中进行进一步过滤,可以发现,本实施例中数据库(DB)操作次数可以从原来的5次降低到了2次,假如一次Mysql查询时间需要7ms,那么查询的响应时间降低了21ms(60%)。
本申请的资源访问权限分组方法一实施例中,获取所述待查询的子资源及其父资源下的用户分组所对应的资源的访问权限之后,还包括:
以树形结构显示所述待查询的子资源及其父资源下的用户分组,及所述用户分组所对应的资源的访问权限。
在此,当实现一个权限管理***时,需要一个运维后台可以用来排查问题或者诊断一个用户是否拥有某个资源的权限以及拥有此资源访问权限的原因。比如在一个web页面,如图3所示,可以通过输入资源路径resourceURI和用户UID,来查询该用户UID是否有该资源路径的访问权限,如果直接返回true/false,以表示该用户id对该资源路径拥有权限和没有权限。但是这样不够直观,没有中间过程。不利于诊断和问题排查。
本实施例可以包括如下步骤:
步骤1:如图3所示,输入resourceURI以及用户UID;
步骤2:点击查询按钮
步骤3:输出的结果是一个如图4或5所示树形结构。并且树形结构节点可展开和合并,图4或5中,树形结构代表的业务含义是:用户属于会话ID=53506390这个会话,同时此会话属于group=27001的组,而此资源是初始化只有此group可以访问的,所以用户可以访问此资源,此结果详细列出来了用户为什么可以访问此资源。
本实施例不仅可以判断某个用户分组能否访问某个资源,并且可以通过树形结构会列出为什么可以访问此资源,具体可以通过动态生成利可伸缩的树形结构列出一个资源下所有的用户分组,可以抽象的权限决策清晰化,让开发者或者客户一目了然的看出资源是否可访问,方便开发者和客户排查和诊断问题。本实施例具体可运用在诸如ACL/RBAC/GBAC等权限***中。
本申请的资源访问权限分组方法一实施例中,建立资源与用户分组的对应关系中,
一个用户分组仅与一个资源建立对应关系,保证一个Group仅能归属一个Resource,避免用户更新时所对应的资源发生混淆。
本申请的资源访问权限分组方法一实施例中,建立所述用户分组与其所对应的资源的访问权限的对应关系中,
一个用户分组仅与一个资源的访问权限建立对应关系,保证一个Group只能被赋予一个Policy,避免用户更新时所对应的Policy发生混淆。
本申请的资源访问权限分组方法一实施例中,建立所述用户分组与其所对应的资源的访问权限的对应关系中,
当同一个资源对应至少两个用户分组时,所述至少两个用户分组中的每个用户分组所分别对应的同一个资源的访问权限不同,保证一个Resource可以有多个Group,但是一个Resource下不同的Group肯定对应不用的Policy,即一个Resource下拥有同一Policy的用户会被归纳到同一个Group,避免同一Resource下不同Group的用户更新时Policy发生混淆。
本申请的资源访问权限分组方法一实施例中,所述用户分组包括至少一个用户子分组,所述用户子分组包括至少一个用户。
在此,如图6所示,用户子分组Member是一个用户分组Group下的的组成单元,一个用户分组Group包括一个或多个用户子分组Member,每个用户子分组Member包括至少一个用户Uid,用户子分组Member可以包括子分组类型memberType和子分组标示memberId。
比如Group下有一个用户子分组Member为一个部门(deptId=123),那么memberType='dept',memberId=‘123’;又如,如果Group下有一个用户子分组Member为一个群(cid=456),那么memberType='conv',,memberId='456'。一个group由一个或多个memberId+memberType组成。
在此,本实施例通过在用户分组下设置用户子分组,能够实现每个用户分组下的各个用户集合中的用户的更细粒度的变更,例如,用户分组下有两个用户子分组A1和A2,用户a在用户子分组A1中,不在用户子分组A2中,则只要在用户子分组A1做用户a的删除,不用在用户子分组A2做用户变更。
根据本申请的另一面,还提供一种资源访问权限分组设备,该设备包括:
资源与用户分组装置,用于建立资源与用户分组的对应关系,所述用户分组包括至少一个用户;
用户分组与访问权限装置,用于建立所述用户分组与其所对应的资源的访问权限的对应关系;
索引值装置,用于在建立所述用户分组与其所对应的资源的访问权限的对应关系之后,获取所述资源中的父资源和子资源的的层级的数量,其中,所述资源包括至少两层级的父资源和所述父资源下的子资源;根据所述父资源和子资源的的层级的数量,建立所述父资源和/或子资源与资源索引值的对应关系,其中,层级的数量在同一阈值区间内的所述父资源和/或子资源与同一个资源索引值对应。
本申请的资源访问权限分组设备一实施例中,还包括变更装置,用于在建立所述用户分组与其所对应的资源的访问权限的对应关系之后,获取所述用户分组中用户的增加和/或删除请求;根据所述增加和/或删除请求,在对应用户分组中增加和/或删除对应的用户。
本申请的资源访问权限分组设备一实施例中,用户分组与访问权限装置,用于当所述用户分组与其所对应的资源是父资源时,建立所述用户分组与其所对应的父资源的访问权限的对应关系;建立所述用户分组与其所对应的父资源下的子资源的访问权限的对应关系。
本申请的资源访问权限分组设备一实施例中,还包括查询装置,用于将层级数在同一阈值区间内的资源归入同一个资源索引之后,获取查询某个子资源对应的用户分组的访问权限的请求;根据所述请求确定所述待查询的子资源的父资源;根据所述待查询的子资源及其父资源所对应的资源索引值,获取所述待查询的子资源及其父资源下的用户分组。
本申请的资源访问权限分组设备一实施例中,所述查询装置,还用于以树形结构显示所述待查询的子资源及其父资源下的用户分组,及所述用户分组所对应的资源的访问权限。
本申请的资源访问权限分组设备一实施例中,所述资源与用户分组装置,用于将一个用户分组仅与一个资源建立对应关系。
本申请的资源访问权限分组设备一实施例中,用户分组与访问权限装置中,用于将一个用户分组仅与一个资源的访问权限建立对应关系。
本申请的资源访问权限分组设备一实施例中,用户分组与访问权限装置中,用于当同一个资源对应至少两个用户分组时,使所述至少两个用户分组中的每个用户分组所分别对应的同一个资源的访问权限不同。
本申请的资源访问权限分组设备一实施例中,所述用户分组包括至少一个用户子分组,所述用户子分组包括至少一个用户。
根据本申请的另一面,还提供一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
建立资源与用户分组的对应关系,所述用户分组包括至少一个用户;
建立所述用户分组与其所对应的资源的访问权限的对应关系;
在建立所述用户分组与其所对应的资源的访问权限的对应关系之后,获取所述资源中的父资源和子资源的的层级的数量,其中,所述资源包括至少两层级的父资源和所述父资源下的子资源;
根据所述父资源和子资源的的层级的数量,建立所述父资源和/或子资源与资源索引值的对应关系,其中,层级的数量在同一阈值区间内的所述父资源和/或子资源与同一个资源索引值对应。
根据本申请的另一面,还提供一种计算机可读存储介质,其上存储有计算机可执行指令,其中,该计算机可执行指令被处理器执行时使得该处理器:
建立资源与用户分组的对应关系,所述用户分组包括至少一个用户;
建立所述用户分组与其所对应的资源的访问权限的对应关系;
在建立所述用户分组与其所对应的资源的访问权限的对应关系之后,获取所述资源中的父资源和子资源的的层级的数量,其中,所述资源包括至少两层级的父资源和所述父资源下的子资源;
根据所述父资源和子资源的的层级的数量,建立所述父资源和/或子资源与资源索引值的对应关系,其中,层级的数量在同一阈值区间内的所述父资源和/或子资源与同一个资源索引值对应。
上述设备和计算机可读存储介质各实施例的详细内容,具体可参见各方法实施例的对应部分,在此,不再赘述。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本申请的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (12)
1.一种资源访问权限分组方法,其中,该方法包括:
建立资源与用户分组的对应关系,所述用户分组包括至少一个用户;
建立所述用户分组与其所对应的资源的访问权限的对应关系;
获取所述资源中的父资源和子资源的的层级的数量,其中,所述资源包括至少两层级的父资源和所述父资源下的子资源;
根据所述父资源和子资源的的层级的数量,建立所述父资源和/或子资源与资源索引值的对应关系,其中,层级的数量在同一阈值区间内的所述父资源和/或子资源与同一个资源索引值对应。
2.根据权利要求1所述的方法,其中,建立所述用户分组与其所对应的资源的访问权限的对应关系之后,还包括:
获取所述用户分组中用户的增加和/或删除请求;
根据所述增加和/或删除请求,在对应用户分组中增加和/或删除对应的用户。
3.根据权利要求1所述的方法,其中,当所述用户分组与其所对应的资源是父资源时,建立所述用户分组与其所对应的资源的访问权限的对应关系,包括:
建立所述用户分组与其所对应的父资源的访问权限的对应关系;
建立所述用户分组与其所对应的父资源下的子资源的访问权限的对应关系。
4.根据权利要求1所述的方法,其中,将层级数在同一阈值区间内的资源归入同一个资源索引之后,还包括:
获取查询某个子资源对应的用户分组的访问权限的请求;
根据所述请求确定所述待查询的子资源的父资源;
根据所述待查询的子资源及其父资源所对应的资源索引值,获取所述待查询的子资源及其父资源下的用户分组。
5.根据权利要求4所述的方法,其中,获取所述待查询的子资源及其父资源下的用户分组所对应的资源的访问权限之后,还包括:
以树形结构显示所述待查询的子资源及其父资源下的用户分组,及所述用户分组所对应的资源的访问权限。
6.根据权利要求1所述的方法,其中,建立资源与用户分组的对应关系中,
一个用户分组仅与一个资源建立对应关系。
7.根据权利要求6所述的方法,其中,建立所述用户分组与其所对应的资源的访问权限的对应关系中,
一个用户分组仅与一个资源的访问权限建立对应关系。
8.根据权利要求7所述的方法,其中,建立所述用户分组与其所对应的资源的访问权限的对应关系中,
当同一个资源对应至少两个用户分组时,所述至少两个用户分组中的每个用户分组所分别对应的同一个资源的访问权限不同。
9.根据权利要求1所述的方法,其中,所述用户分组包括至少一个用户子分组,所述用户子分组包括至少一个用户。
10.一种资源访问权限分组设备,其中,该设备包括:
资源与用户分组装置,用于建立资源与用户分组的对应关系,所述用户分组包括至少一个用户;
用户分组与访问权限装置,用于建立所述用户分组与其所对应的资源的访问权限的对应关系;
索引值装置,用于获取所述资源中的父资源和子资源的的层级的数量,其中,所述资源包括至少两层级的父资源和所述父资源下的子资源;
根据所述父资源和子资源的的层级的数量,建立所述父资源和/或子资源与资源索引值的对应关系,其中,层级的数量在同一阈值区间内的所述父资源和/或子资源与同一个资源索引值对应。
11.一种基于计算的设备,其中,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
建立资源与用户分组的对应关系,所述用户分组包括至少一个用户;
建立所述用户分组与其所对应的资源的访问权限的对应关系;
获取所述资源中的父资源和子资源的的层级的数量,其中,所述资源包括至少两层级的父资源和所述父资源下的子资源;
根据所述父资源和子资源的的层级的数量,建立所述父资源和/或子资源与资源索引值的对应关系,其中,层级的数量在同一阈值区间内的所述父资源和/或子资源与同一个资源索引值对应。
12.一种计算机可读存储介质,其上存储有计算机可执行指令,其中,该计算机可执行指令被处理器执行时使得该处理器:
建立资源与用户分组的对应关系,所述用户分组包括至少一个用户;
建立所述用户分组与其所对应的资源的访问权限的对应关系;
获取所述资源中的父资源和子资源的的层级的数量,其中,所述资源包括至少两层级的父资源和所述父资源下的子资源;
根据所述父资源和子资源的的层级的数量,建立所述父资源和/或子资源与资源索引值的对应关系,其中,层级的数量在同一阈值区间内的所述父资源和/或子资源与同一个资源索引值对应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711031968.0A CN109726579B (zh) | 2017-10-27 | 2017-10-27 | 资源访问权限分组方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711031968.0A CN109726579B (zh) | 2017-10-27 | 2017-10-27 | 资源访问权限分组方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109726579A true CN109726579A (zh) | 2019-05-07 |
| CN109726579B CN109726579B (zh) | 2023-04-28 |
Family
ID=66291200
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711031968.0A Active CN109726579B (zh) | 2017-10-27 | 2017-10-27 | 资源访问权限分组方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109726579B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110753059A (zh) * | 2019-10-25 | 2020-02-04 | 苏州浪潮智能科技有限公司 | 一种权限管理方法、设备以及存储介质 |
| CN112069541A (zh) * | 2020-09-08 | 2020-12-11 | 北京百度网讯科技有限公司 | 权限管理、查询方法和装置 |
| CN112465476A (zh) * | 2020-12-17 | 2021-03-09 | 中国农业银行股份有限公司 | 一种访问控制方法、装置、设备及介质 |
| WO2021098275A1 (zh) * | 2019-11-22 | 2021-05-27 | 支付宝(杭州)信息技术有限公司 | 基于智能图计算的隐私资源权限控制方法、装置及设备 |
| CN112988286A (zh) * | 2021-03-12 | 2021-06-18 | 武汉蔚来能源有限公司 | 资源维护方法、装置及计算机存储介质 |
| WO2021137757A1 (en) * | 2019-12-31 | 2021-07-08 | Envision Digital International Pte. Ltd. | Authority management method and apparatus, and electronic device, and storage medium thereof |
| CN113127887A (zh) * | 2019-12-30 | 2021-07-16 | 中移信息技术有限公司 | 数据权限隔离性判断方法、装置、设备及存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003030032A2 (en) * | 2001-09-28 | 2003-04-10 | Oracle International Corporation | An index structure to access hierarchical data in a relational database system |
| US20050228791A1 (en) * | 2004-04-09 | 2005-10-13 | Ashish Thusoo | Efficient queribility and manageability of an XML index with path subsetting |
| CN1848022A (zh) * | 2005-04-13 | 2006-10-18 | 华为技术有限公司 | 一种基于访问控制列表的权限控制方法 |
| US20080306927A1 (en) * | 2007-06-10 | 2008-12-11 | Apple Computer, Inc. | Index Partitioning and Scope Checking |
| US20090125494A1 (en) * | 2007-11-08 | 2009-05-14 | Oracle International Corporation | Global query normalization to improve xml index based rewrites for path subsetted index |
| US20100235907A1 (en) * | 2009-03-11 | 2010-09-16 | Brian Payton Bowman | Authorization Caching In A Multithreaded Object Server |
| CN102129539A (zh) * | 2011-03-11 | 2011-07-20 | 清华大学 | 基于访问控制列表的数据资源权限管理方法 |
| CN102207981A (zh) * | 2011-07-13 | 2011-10-05 | 华为软件技术有限公司 | 管理文件的方法和*** |
| CN102231693A (zh) * | 2010-04-22 | 2011-11-02 | 北京握奇数据***有限公司 | 访问权限的管理方法及装置 |
| US8631028B1 (en) * | 2009-10-29 | 2014-01-14 | Primo M. Pettovello | XPath query processing improvements |
| CN103617295A (zh) * | 2013-12-16 | 2014-03-05 | 北京锐安科技有限公司 | 一种地理信息矢量数据处理的方法和装置 |
-
2017
- 2017-10-27 CN CN201711031968.0A patent/CN109726579B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003030032A2 (en) * | 2001-09-28 | 2003-04-10 | Oracle International Corporation | An index structure to access hierarchical data in a relational database system |
| US20050228791A1 (en) * | 2004-04-09 | 2005-10-13 | Ashish Thusoo | Efficient queribility and manageability of an XML index with path subsetting |
| CN1848022A (zh) * | 2005-04-13 | 2006-10-18 | 华为技术有限公司 | 一种基于访问控制列表的权限控制方法 |
| US20080306927A1 (en) * | 2007-06-10 | 2008-12-11 | Apple Computer, Inc. | Index Partitioning and Scope Checking |
| US20090125494A1 (en) * | 2007-11-08 | 2009-05-14 | Oracle International Corporation | Global query normalization to improve xml index based rewrites for path subsetted index |
| US20100235907A1 (en) * | 2009-03-11 | 2010-09-16 | Brian Payton Bowman | Authorization Caching In A Multithreaded Object Server |
| US8631028B1 (en) * | 2009-10-29 | 2014-01-14 | Primo M. Pettovello | XPath query processing improvements |
| CN102231693A (zh) * | 2010-04-22 | 2011-11-02 | 北京握奇数据***有限公司 | 访问权限的管理方法及装置 |
| CN102129539A (zh) * | 2011-03-11 | 2011-07-20 | 清华大学 | 基于访问控制列表的数据资源权限管理方法 |
| CN102207981A (zh) * | 2011-07-13 | 2011-10-05 | 华为软件技术有限公司 | 管理文件的方法和*** |
| CN103617295A (zh) * | 2013-12-16 | 2014-03-05 | 北京锐安科技有限公司 | 一种地理信息矢量数据处理的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 钮焱等: "一种信息仓库检索***的设计和实现", 《中国集体经济》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110753059A (zh) * | 2019-10-25 | 2020-02-04 | 苏州浪潮智能科技有限公司 | 一种权限管理方法、设备以及存储介质 |
| CN110753059B (zh) * | 2019-10-25 | 2022-01-04 | 苏州浪潮智能科技有限公司 | 一种权限管理方法、设备以及存储介质 |
| WO2021098275A1 (zh) * | 2019-11-22 | 2021-05-27 | 支付宝(杭州)信息技术有限公司 | 基于智能图计算的隐私资源权限控制方法、装置及设备 |
| CN113127887A (zh) * | 2019-12-30 | 2021-07-16 | 中移信息技术有限公司 | 数据权限隔离性判断方法、装置、设备及存储介质 |
| WO2021137757A1 (en) * | 2019-12-31 | 2021-07-08 | Envision Digital International Pte. Ltd. | Authority management method and apparatus, and electronic device, and storage medium thereof |
| CN112069541A (zh) * | 2020-09-08 | 2020-12-11 | 北京百度网讯科技有限公司 | 权限管理、查询方法和装置 |
| CN112069541B (zh) * | 2020-09-08 | 2024-05-07 | 北京百度网讯科技有限公司 | 权限管理、查询方法和装置 |
| CN112465476A (zh) * | 2020-12-17 | 2021-03-09 | 中国农业银行股份有限公司 | 一种访问控制方法、装置、设备及介质 |
| CN112988286A (zh) * | 2021-03-12 | 2021-06-18 | 武汉蔚来能源有限公司 | 资源维护方法、装置及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109726579B (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109726579A (zh) | 资源访问权限分组方法及设备 | |
| US11140166B2 (en) | Multi-tenant authorization | |
| US10977380B2 (en) | Hybrid role and attribute based access control system | |
| US11347883B2 (en) | Access controlled graph query spanning | |
| US10819652B2 (en) | Access management tags | |
| US20210385087A1 (en) | Zero-knowledge identity verification in a distributed computing system | |
| US8429191B2 (en) | Domain based isolation of objects | |
| US8959657B2 (en) | Secure data management | |
| US20200287718A1 (en) | Zero-knowledge identity verification in a distributed computing system | |
| WO2020168692A1 (zh) | 海量数据共享方法、开放共享平台及电子设备 | |
| US20160036860A1 (en) | Policy based data processing | |
| JP2009507275A (ja) | 二重レイヤーアクセス制御リスト | |
| US8245291B2 (en) | Techniques for enforcing access rights during directory access | |
| WO2015108536A1 (en) | Mapping tenant groups to identity management classes | |
| JP2014086083A (ja) | ネットワークアクセス及び受付制御のためのソーシャルグラフの利用 | |
| CN111464487A (zh) | 访问控制方法、装置及*** | |
| Al-Zobbi et al. | Implementing a framework for big data anonymity and analytics access control | |
| US20110225202A1 (en) | Multi-dimensional access control list | |
| US10320798B2 (en) | Systems and methodologies for controlling access to a file system | |
| Syalim et al. | Grouping provenance information to improve efficiency of access control | |
| CN108898027B (zh) | 一种权限控制方法、装置及服务器集群 | |
| Awad et al. | User as a super admin: Giving the end-users full control to manage access to their data in social media networks | |
| US20160337337A1 (en) | Identiy information including a schemaless portion | |
| Mehregan et al. | Design patterns for multiple stakeholders in social computing | |
| US11868494B1 (en) | Synchronization of access management tags between databases |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |