CN111191251A - 一种数据权限控制方法、装置及存储介质 - Google Patents

一种数据权限控制方法、装置及存储介质 Download PDF

Info

Publication number
CN111191251A
CN111191251A CN201811352266.7A CN201811352266A CN111191251A CN 111191251 A CN111191251 A CN 111191251A CN 201811352266 A CN201811352266 A CN 201811352266A CN 111191251 A CN111191251 A CN 111191251A
Authority
CN
China
Prior art keywords
data
user
authority
role
data authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811352266.7A
Other languages
English (en)
Inventor
周亮
盛永夫
张�杰
郑光远
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Hangzhou Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201811352266.7A priority Critical patent/CN111191251A/zh
Publication of CN111191251A publication Critical patent/CN111191251A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及计算机技术领域,公开了一种数据权限控制方法、装置及存储介质,用于降低***需要维护的角色的数量,进而降低***维护成本以及提升***开发效率。所述方法包括:获得来自客户端的访问数据资源的用户请求;根据预先建立的用户数据权限分配信息,获得为所述用户分配的至少一项数据权限,其中,所述用户数据权限分配信息包括为用户直接分配的数据权限信息;根据所述至少一项数据权限,从数据库中获取与所述至少一项数据权限对应的数据资源,并向所述客户端反馈获取的数据资源。

Description

一种数据权限控制方法、装置及存储介质
技术领域
本发明涉及计算机技术领域,尤其涉及一种数据权限控制方法、装置及存储介质。
背景技术
目前,各类***建设几乎都会涉及权限的控制,其中,权限包括功能权限和数据权限,功能权限可以理解为:能做什么的问题,如增加销售订单;数据权限可以理解为:能在哪里干什么的问题,如察看上海分公司海淀销售部张三的销售订单。现阶段,大多数权限控制基本上均是基于RBAC(Role-Based Access Control,基于角色控制)模型构建的权限控制***,然而,如何进一步优化基于RBAC的权限控制,以减少开发成本以及提高开发效率,是一个需要解决的技术问题。
发明内容
本发明实施例提供一种数据权限控制方法、装置及存储介质,用于降低***需要维护的角色的数量,进而降低***维护成本以及提升***开发效率。
一方面,本发明实施例提供了一种数据权限控制方法,包括:
获得来自客户端的访问数据资源的用户请求;
根据预先建立的用户数据权限分配信息,获得为所述用户分配的至少一项数据权限,其中,所述用户数据权限分配信息包括为用户直接分配的数据权限信息;
根据所述至少一项数据权限,从数据库中获取与所述至少一项数据权限对应的数据资源,并向所述客户端反馈获取的数据资源。
可选的,所述用户数据权限分配信息还包括通过以下方式为用户分配的数据权限信息:
获得用户申请角色的请求时,获取预先建立的角色与数据权限的对应关系;
当为申请角色的用户分配角色后,根据所述角色与数据权限的对应关系,为申请角色的用户添加与分配的角色对应的数据权限,从而获得为用户分配的数据权限信息。
可选的,所述根据所述至少一项数据权限,从数据库中获取与所述至少一项数据权限对应的数据资源,具体包括:
将所述至少一项数据权限进行拼接,形成访问数据库的特定访问语句;
通过所述特定访问语句访问所述数据库,获得与所述至少一项数据权限对应的数据资源。
可选的,所述获得来自客户端的访问数据资源的用户请求,具体包括:
在确定用户通过所述客户端呈现的登录界面统登录成功时,获取与所述用户对应的目标角色;
根据预先建立的角色与功能权限的对应关系,获得所述目标角色对应的功能权限;
向所述客户端反馈获得的功能权限,以使所述客户端根据获得的功能权限建立功能权限界面;
获得用户基于所述功能权限界面触发的访问数据资源的用户请求。
可选的,所述获得来自客户端的访问数据资源的用户请求之后,所述方法包括:
对所述用户进行功能权限校验,其中,若校验通过,则执行所述根据预先建立的用户数据权限分配信息,获得为所述用户分配的至少一项数据权限,否则拒绝所述用户请求。
可选的,所述用户数据权限分配信息中不同数据权限通过不同的数据编码标识。
一方面,本发明实施例提供了一种数据权限控制装置,包括:
获得单元,用于获得来自客户端的访问数据资源的用户请求;以及用于根据预先建立的用户数据权限分配信息,获得为所述用户分配的至少一项数据权限,其中,所述用户数据权限分配信息包括为用户直接分配的数据权限信息;
发送单元,用于根据所述至少一项数据权限,从数据库中获取与所述至少一项数据权限对应的数据资源,并向所述客户端反馈获取的数据资源。
可选的,所述用户数据权限分配信息还包括通过以下方式为用户分配的数据权限信息,所述获得单元,还用于:
获得用户申请角色的请求时,获取预先建立的角色与数据权限的对应关系;
当为申请角色的用户分配角色后,根据所述角色与数据权限的对应关系,为申请角色的用户添加与分配的角色对应的数据权限,从而获得为用户分配的数据权限信息。
可选的,所述发送单元,还用于:
将所述至少一项数据权限进行拼接,形成访问数据库的特定访问语句;
通过所述特定访问语句访问所述数据库,获得与所述至少一项数据权限对应的数据资源。
可选的,所述获得单元,还用于:
在确定用户通过所述客户端呈现的登录界面统登录成功时,获取与所述用户对应的目标角色;
根据预先建立的角色与功能权限的对应关系,获得所述目标角色对应的功能权限;
向所述客户端反馈获得的功能权限,以使所述客户端根据获得的功能权限建立功能权限界面;
获得用户基于所述功能权限界面触发的访问数据资源的用户请求。
可选的,所述获得单元,还用于:
对所述用户进行功能权限校验,其中,若校验通过,则执行所述根据预先建立的用户数据权限分配信息,获得为所述用户分配的至少一项数据权限,否则拒绝所述用户请求。
可选的,所述用户数据权限分配信息中不同数据权限通过不同的数据编码标识。
一方面,本发明实施例提供了一种信息处理装置,包括至少一个处理器、以及至少一个存储器,其中,所述存储器存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行本发明实施例中的数据权限控制方法的步骤。
一方面,本发明实施例提供了一种存储介质,所述存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行数据权限控制方法的步骤。
在本发明实施例中,在获得来自客户端的访问数据资源的用户请求时,根据预先建立的用户数据权限分配信息,获得为用户分配的至少一项数据权限,其中,预先建立的用户数据权限分配信息包括通过为用户直接分配的数据权限信息,然后再根据至少一项数据权限,从数据库中获取与该至少一项数据权限对应的数据资源,并向客户端反馈获取的数据资源,可见,在该方法中,可直接为用户分配数据权限,减小了***中的角色开销,避免了现有技术中,数据权分配时需要先创建一个角色,然后再给角色分配相关数据权限的情况,所以,减少了需要维护的角色的数量,降低了维护成本以及提升了开发效率。同时由于可直接为用户分配数据权限,也实现了为用户设置个性化数据权限的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例。
图1为本发明实施例提供的一种应用场景示意图;
图2为本发明实施例提供的一种数据权限控制方法流程图;
图3为本发明实施例提供的访问数据资源的用户请求产生流程图;
图4为本发明实施例提供的一种数据权限控制装置。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明技术方案的一部分实施例,而不是全部的实施例。基于本申请文件中记载的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明技术方案保护的范围。
下面对本发明实施例中涉及的部分概念进行介绍。
RBAC技术:认为权限授权实际上是Who、What、How的问题,在RBAC模型中,who、what、how构成了访问权限三元组,也就是Who对What(Which)进行How的操作,也就是“主体”对“客体”的操作,其中who——是权限的拥有者或主体(如:User、Role),what——是资源或对象(Resource、Class)。RBAC把所有的资源都与角色关联,这样有利于统一进行权限管控,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。其中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。
在具体实践过程中,本发明的发明人发现,现有技术在应用RBAC技术作为权限控制体系的时候主要存在以下问题:数据权限依赖于角色而存在,当需要给特定用户分配特定数据权限时候,只能先针对该用户创建与该用户对应的用户角色,再去添加给用户角色分配数据权限,从而增加了***需要维护的角色开销,而角色体系过于庞大时,又会严重影响***的维护成本以及开发效率。
为此,本发明实施例提供了一种数据权限控制方法,该方法在获得来自客户端的访问数据资源的用户请求时,根据预先建立的用户数据权限分配信息,获得为用户分配的至少一项数据权限,其中,预先建立的用户数据权限分配信息包括通过为用户直接分配的数据权限信息,然后再根据至少一项数据权限,从数据库中获取与该至少一项数据权限对应的数据资源,并向客户端反馈获取的数据资源,可见,在该方法中,可直接为用户分配数据权限,减小了***中的角色开销,避免了现有技术中,数据权分配时需要先创建一个角色,然后再给角色分配相关数据权限的情况,所以,减少了需要维护的角色的数量,降低了维护成本以及提升了开发效率。同时由于可直接为用户分配数据权限,也实现了为用户设置个性化数据权限的目的。
本发明实施例中的数据权限控制方法可以应用于如图1所示的应用场景,该应用场景中包括用户终端10以及服务器11,其中,用户终端10中安装有客户端,该客户端的功能可由服务器11支持,其中,用户终端10与服务器11通过网络连接,网络可以为局域网、广域网或移动互联网等通信网络中的任意一种。用户终端10可以为任何能够按照程序运行,自动、高速处理大量数据的智能电子设备,这样的用户终端如电脑,ipad,手机等。服务器11可以是一台服务器,也可以是若干台服务器组成的服务器集群或云计算中心。
在该场景中,当服务器11获得来自用户终端10中访问数据资源的用户请求时,可以根据预先建立的用户数据权限分配信息,获得为所述用户分配的至少一项数据权限,其中,预先建立的用户数据权限分配信息包括通过为用户直接分配的数据权限信息;根据所述至少一项数据权限,从数据库中获取与所述至少一项数据权限对应的数据资源,并向所述客户端反馈获取的数据资源。
需要注意的是,上文提及的应用场景仅是为了便于理解本发明的精神和原理而示出,本发明实施例在此方面不受任何限制。相反,本发明实施例可以应用于适用的任何场景。
下面结合图1所示的应用场景,对本发明实施例提供的数据权限控制方法进行说明。
如图2所示,本发明实施例中提供的一种数据权限控制方法,包括:
步骤201:获得来自客户端的访问数据资源的用户请求。
在本发明实施例中,在用户需要访问***中的数据资源时,可以通过***提供的接口发送访问***中数据资源的用户请求,其中,***可为任意类型的涉及能权限和数据权限控制的***,例如人力管理资源***,数据统计***等,在此就不一一列举了。
在实际应用中,步骤201还可以具体通过图3所示的流程实现:
图3所示的流程,包括:
步骤301:在确定用户通过所述客户端呈现的登录界面统登录成功时,获取与所述用户对应的目标角色;
步骤302:根据预先建立的角色与功能权限的对应关系,获得所述目标角色对应的功能权限;
步骤303:向所述客户端反馈获得的功能权限,以使所述客户端根据获得的功能权限建立功能权限界面;
步骤304:获得用户基于所述功能权限界面触发的访问数据资源的用户请求。
在本发明实施例中,用户可通过其用户终端中的客户端登录***,在用户登陆***时,支持该***的服务器(以下均简称为服务器)可先根据保存的用户信息表,查看该用户信息表中是否记录了登陆用户的信息,若存在该登陆用户的信息,登录成功后,服务器可根据用户与角色对应关系表,获得登录用户在***中的角色,在实际应用中,用户与角色对应关系表可以预先建立,例如用户为张三,在张三注册该***时为张三分配的角色为“管理员”,那么,就可在用户与角色对应关系表中保存张三与角色“管理员”的对应关系,当然,一个用户可以对应一个角色,也可以对应的多个角色。
在本发明实施例中,通过角色管理***的功能权限,其中,功能权限用于对页面显示元素进行控制。因此,服务器可预先建立了色与功能权限对应的关系表,当用户成功登陆***后,服务器可先根据用户与角色对应关系表,获取与登录用户对应的角色,然后根据角色与功能权限对应的关系表,获取与登录用户角色对应的功能权限,然后服务器就可以向用户终端反馈即用户终端中的客户端反馈获取到的该用户角色对应的功能权限,以使用户终端中的客户端根据获得的功能权限建立功能权限界面,用于用户交互。
同样的,在本发明实施例中,一个角色可对应一个功能权限,也可以对应多个功能权限,因此,在登录用户对应的角色,对应一个功能权限时,服务器就会向客户端反馈该登陆用户角色对应的一个功能权限;在登录用户对应的角色,对应多个功能权限时,服务器就会向客户端反馈该登陆用户角色对应的多个功能权限;若登录用户对应的多个角色,那么,服务器就会向客户端反馈该登录用户对应的每个角色各自对应的功能权限。
在客户端接收到服务器反馈的功能权限之后,可根据反馈的功能权限对页面显示元素进行控制,进而展示与反馈的功能权限匹配的页面,通常,该页面包括各种选项即功能按钮供用户选择,功能按钮对应不同的数据权限,其中,数据权限用于对用户可见数据资源进行控制,即不同的数据权限对应不同的数据资源。
在本发明实施例中,可以使用数据编码dataCode来对***的数据权限进行管控,例如可以使用全国省市区自定义编码作为dataCode,也可以其他带有含义的dataCode作为数据权限管控参数,因此,可以在服务器中建立dataCode的信息说明表,用于记录dataCode的详细信息,包括名字、层级、dataCode、类别等信息。
因此,在客户端展示的与反馈的功能权限匹配的页面中,各功能按钮可使用与其对应的数据权限对应的dataCode编码,进而用户基于该页面进行操作时,即选择用户需要访问的数据资源,选择该页面中的一个或多个按钮,那么,用户终端就会根据用户的选择,向服务器发送访问数据资源的用户请求。
步骤202:根据预先建立的用户数据权限分配信息,获得为所述用户分配的至少一项数据权限。
其中,预先建立的用户数据权限分配信息包括通过为用户直接分配的数据权限信息。
在本发明实施例中,为了减小***中的角色开销,降低维护成本以及提升了开发效率,设置了可用直接为用户分配数据权限的方案,也实现了为用户设置个性化数据权限的目的。例如,当用户需要访问北京图书馆的数据资源时,可为用户直接分配访问北京图书馆的数据资源的数据权限,避免现有技术中,需要先建立一个角色如北京管理员,然后,为北京管理员分配访问北京图书馆的数据资源的数据权限,最后为用户分配北京管理员的角色,从而获得访问北京图书馆的数据资源的数据权限,所导致的增加角色开销以及操作复杂的问题。
在本发明实施例中,可预先建立用户数据权限分配信息,在给信息中保存可为用户直接分配的数据权限信息即用户与数据权限的对应关系表。那么,服务器在获得客户端发送的访问数据资源的用户请求时,可根据上述用户数据权限分配信息,确定出与该用户对应的数据权限。
在本发明实施例中个,服务器在获得客户端发送的访问数据资源的用户请求时,也可以再次进行功能权限校验,因此,服务器中可维护一份链接地址url与功能权限的关联表,通过请求url找到唯一对应的功能权限,然后对用户与用户对应角色的所有功能权限进行校验,若校验通过,可根据上述用户数据权限分配信息,确定与该用户对应的数据权限并通过相关接口进行数据获取,否则提醒无权限,终止访问。
同样的,在本发明实施例中,一个用户可对于一项数据权限,也可以对应多项数据权限,那么,当获得的客户端发送的访问数据资源的用户请求对应的用户,对应一项数据权限时,服务器可根据用户数据权限分配信息中的用户与数据权限的对应关系表,确定出该用户对应的一项数据权限;当获得的客户端发送的访问数据资源的用户请求对应的用户,对应多项数据权限时,服务器可根据用户数据权限分配信息中的用户与数据权限的对应关系表,确定出该用户对应的多项数据权限。
为了进一步提升效率,考虑到本次登录用户可能在一个较短时间之前也登录了***访问了数据资源,那么,服务器中缓存中可能还缓存有该用户的数据权限信息,因此,在确定于用户对应的数据权限时,可先去服务器中的缓存中去查询与用户对应的数据权限信息,若缓存中未查询到,则可以再根据用户数据权限分配信息中的用户与数据权限的对应关系表,确定出该用户对应的数据权限。
步骤203:根据所述至少一项数据权限,从数据库中获取与所述至少一项数据权限对应的数据资源,并向所述客户端反馈获取的数据资源。
在本发明实施例中,在获得的客户端发送的访问数据资源的用户请求,并根据用户数据权限分配信息中的用户与数据权限的对应关系表,确定出该用户对应的数据权限之后,服务器可以从数据库中获得与该用户对应的数据权限多样的数据资源。
在本发明实施例中,上述步骤203可以通过以下方式具体实现:将至少一项数据权限进行拼接,形成访问数据库的特定访问语句;然后通过特定访问语句访问数据库,获得与所述至少一项数据权限对应的数据资源。
即在本发明实施例中,在用户对应的数据权限包括多项时,可以通过服务器的后台数据处理层将多项数据权限进行拼接,拼接成范围数据库的特定访问语句,如拼接成数据请求sql语句:dataCode like“0101”%and dataCode like“0102”%。该语句中包括两个数据权限面积dataCode 0101,以及dataCode0102,然后使用拼接后的特定访问语句访问数据库,获得数据库返回的数据资源。然后服务器将数据库返回的数据资源发送给客户端,进而使客户端在页面中显示接收到的数据资源,该数据资源即为用户可见的数据资源。
所以,通过上述方法,在获得来自客户端的访问数据资源的用户请求时,根据预先建立的用户数据权限分配信息,获得为用户分配的至少一项数据权限,其中,预先建立的用户数据权限分配信息包括通过为用户直接分配的数据权限信息,然后再根据至少一项数据权限,从数据库中获取与该至少一项数据权限对应的数据资源,并向客户端反馈获取的数据资源,可见,在该方法中,可直接为用户分配数据权限,减小了***中的角色开销,也实现了角色与数据权限解耦,避免了现有技术中,数据权分配时需要先创建一个角色,然后再给角色分配相关数据权限的情况,所以,减少了需要维护的角色的数量,降低了维护成本以及提升了开发效率。
作为一种可选的方式,在本发明实施例中,用户数据权限分配信息还包括通过以下方式为用户分配的数据权限信息:获得用户申请角色的请求时,获取预先建立的角色与数据权限的对应关系;当为申请角色的用户分配角色后,根据所述角色与数据权限的对应关系,为申请角色的用户添加与分配的角色对应的数据权限,从而获得为用户分配的数据权限信息。
即在本发明实施例中,考虑到实际应用中也会存在需要分配相同数据权限的用户包括多个的情况,因此,本发明实施例中,也可以建立角色与数据权限的对应关系,进而可以选择多个用户添加到角色中,进而根据该角色对应的数据权限分配给添加的多个用户,即给角色下的用户分配权限,但角色并不带有数据权限的相关属性,仅仅是可为添加到角色下的用户增加与该角色对应的数据权限。所以,进一步降低了***的维护成本以及提升了开发效率。
基于同一发明构思,本发明实施例中提供了一种数据权限控制装置,如图4所示,该装置包括:
获得单元40,用于获得来自客户端的访问数据资源的用户请求;以及用于根据预先建立的用户数据权限分配信息,获得为所述用户分配的至少一项数据权限,其中,所述用户数据权限分配信息包括为用户直接分配的数据权限信息;
发送单元41,用于根据所述至少一项数据权限,从数据库中获取与所述至少一项数据权限对应的数据资源,并向所述客户端反馈获取的数据资源。
可选的,所述用户数据权限分配信息还包括通过以下方式为用户分配的数据权限信息,所述获得单元,还用于:
获得用户申请角色的请求时,获取预先建立的角色与数据权限的对应关系;
当为申请角色的用户分配角色后,根据所述角色与数据权限的对应关系,为申请角色的用户添加与分配的角色对应的数据权限,从而获得为用户分配的数据权限信息。
可选的,所述发送单元,还用于:
将所述至少一项数据权限进行拼接,形成访问数据库的特定访问语句;
通过所述特定访问语句访问所述数据库,获得与所述至少一项数据权限对应的数据资源。
可选的,所述获得单元,还用于:
在确定用户通过所述客户端呈现的登录界面统登录成功时,获取与所述用户对应的目标角色;
根据预先建立的角色与功能权限的对应关系,获得所述目标角色对应的功能权限;
向所述客户端反馈获得的功能权限,以使所述客户端根据获得的功能权限建立功能权限界面;
获得用户基于所述功能权限界面触发的访问数据资源的用户请求。
可选的,所述获得单元,还用于:
对所述用户进行功能权限校验,其中,若校验通过,则执行所述根据预先建立的用户数据权限分配信息,获得为所述用户分配的至少一项数据权限,否则拒绝所述用户请求。
可选的,所述用户数据权限分配信息中不同数据权限通过不同的数据编码标识。
基于同一发明构思,本发明实施例中提供了一种信息处理装置,包括至少一个处理器、以及至少一个存储器,其中,所述存储器存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行本发明实施例中的数据权限控制方法的步骤。
基于同一发明构思,本发明实施例中提供了一种存储介质,所述存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行本发明实施例中的数据权限控制方法的步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (13)

1.一种数据权限控制方法,其特征在于,包括:
获得来自客户端访问数据资源的用户请求;
根据预先建立的用户数据权限分配信息,获得为所述用户分配的至少一项数据权限,其中,所述用户数据权限分配信息包括为用户直接分配的数据权限信息;
根据所述至少一项数据权限,从数据库中获取与所述至少一项数据权限对应的数据资源,并向所述客户端反馈获取的数据资源。
2.如权利要求1所述的方法,其特征在于,所述用户数据权限分配信息还包括通过以下方式为用户分配的数据权限信息:
获得用户申请角色的请求时,获取预先建立的角色与数据权限的对应关系;
当为申请角色的用户分配角色后,根据所述角色与数据权限的对应关系,为申请角色的用户添加与分配的角色对应的数据权限,从而获得为用户分配的数据权限信息。
3.如权利要求1或2所述的方法,其特征在于,所述根据所述至少一项数据权限,从数据库中获取与所述至少一项数据权限对应的数据资源,具体包括:
将所述至少一项数据权限进行拼接,形成访问数据库的特定访问语句;
通过所述特定访问语句访问所述数据库,获得与所述至少一项数据权限对应的数据资源。
4.如权利要求3所述的方法,其特征在于,所述获得来自客户端的访问数据资源的用户请求,具体包括:
在确定用户通过所述客户端呈现的登录界面统登录成功时,获取与所述用户对应的目标角色;
根据预先建立的角色与功能权限的对应关系,获得所述目标角色对应的功能权限;
向所述客户端反馈获得的功能权限,以使所述客户端根据获得的功能权限建立功能权限界面;
获得用户基于所述功能权限界面触发的访问数据资源的用户请求。
5.如权利要求4所述的方法,其特征在于,所述获得来自客户端的访问数据资源的用户请求之后,所述方法包括:
对所述用户进行功能权限校验,其中,若校验通过,则执行所述根据预先建立的用户数据权限分配信息,获得为所述用户分配的至少一项数据权限,否则拒绝所述用户请求。
6.如权利要求1所述的方法,其特征在于,所述用户数据权限分配信息中不同数据权限通过不同的数据编码标识。
7.一种数据权限控制装置,其特征在于,包括:
获得单元,用于获得来自客户端访问数据资源的用户请求;以及用于根据预先建立的用户数据权限分配信息,获得为所述用户分配的至少一项数据权限,其中,所述用户数据权限分配信息包括为用户直接分配的数据权限信息;
发送单元,用于根据所述至少一项数据权限,从数据库中获取与所述至少一项数据权限对应的数据资源,并向所述客户端反馈获取的数据资源。
8.如权利要求7所述的装置,其特征在于,所述用户数据权限分配信息还包括通过以下方式为用户分配的数据权限信息,所述获得单元,还用于:
获得用户申请角色的请求时,获取预先建立的角色与数据权限的对应关系;
当为申请角色的用户分配角色后,根据所述角色与数据权限的对应关系,为申请角色的用户添加与分配的角色对应的数据权限,从而获得为用户分配的数据权限信息。
9.如权利要求7或8所述的装置,其特征在于,所述发送单元,还用于:
将所述至少一项数据权限进行拼接,形成访问数据库的特定访问语句;
通过所述特定访问语句访问所述数据库,获得与所述至少一项数据权限对应的数据资源。
10.如权利要求9所述的装置,其特征在于,所述获得单元,还用于:
在确定用户通过所述客户端呈现的登录界面统登录成功时,获取与所述用户对应的目标角色;
根据预先建立的角色与功能权限的对应关系,获得所述目标角色对应的功能权限;
向所述客户端反馈获得的功能权限,以使所述客户端根据获得的功能权限建立功能权限界面;
获得用户基于所述功能权限界面触发的访问数据资源的用户请求。
11.如权利要求10所述的装置,其特征在于,所述获得单元,还用于:
对所述用户进行功能权限校验,其中,若校验通过,则执行所述根据预先建立的用户数据权限分配信息,获得为所述用户分配的至少一项数据权限,否则拒绝所述用户请求。
12.一种数据权限控制装置,其特征在于,包括至少一个处理器、以及至少一个存储器,其中,所述存储器存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求1-6任一项所述方法的步骤。
13.一种存储介质,其特征在于,所述存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如权利要求1-6任一项所述方法的步骤。
CN201811352266.7A 2018-11-14 2018-11-14 一种数据权限控制方法、装置及存储介质 Pending CN111191251A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811352266.7A CN111191251A (zh) 2018-11-14 2018-11-14 一种数据权限控制方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811352266.7A CN111191251A (zh) 2018-11-14 2018-11-14 一种数据权限控制方法、装置及存储介质

Publications (1)

Publication Number Publication Date
CN111191251A true CN111191251A (zh) 2020-05-22

Family

ID=70707282

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811352266.7A Pending CN111191251A (zh) 2018-11-14 2018-11-14 一种数据权限控制方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN111191251A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112100641A (zh) * 2020-11-09 2020-12-18 成都掌控者网络科技有限公司 一种多维授权方法、***、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130111583A1 (en) * 2011-10-27 2013-05-02 International Business Machines Corporation System and method for hybrid role mining
CN107506658A (zh) * 2017-07-10 2017-12-22 上海最会保网络科技有限公司 一种用户权限管理***及方法
CN107895123A (zh) * 2017-11-13 2018-04-10 医渡云(北京)技术有限公司 数据访问权限控制方法及装置、用户权限管理方法
CN108763960A (zh) * 2018-06-04 2018-11-06 北京奇虎科技有限公司 资源权限管理方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130111583A1 (en) * 2011-10-27 2013-05-02 International Business Machines Corporation System and method for hybrid role mining
CN107506658A (zh) * 2017-07-10 2017-12-22 上海最会保网络科技有限公司 一种用户权限管理***及方法
CN107895123A (zh) * 2017-11-13 2018-04-10 医渡云(北京)技术有限公司 数据访问权限控制方法及装置、用户权限管理方法
CN108763960A (zh) * 2018-06-04 2018-11-06 北京奇虎科技有限公司 资源权限管理方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112100641A (zh) * 2020-11-09 2020-12-18 成都掌控者网络科技有限公司 一种多维授权方法、***、设备及存储介质

Similar Documents

Publication Publication Date Title
US10623406B2 (en) Access authentication for cloud-based shared content
US8959114B2 (en) Entitlement management in an on-demand system
US10037430B2 (en) System and method for controlling the on and off state of features of business logic at runtime
RU2598324C2 (ru) Средства управления доступом к онлайновой службе с использованием внемасштабных признаков каталога
US9195707B2 (en) Distributed event system for relational models
WO2018141242A1 (zh) 资源调度的方法、***、服务器和存储介质
CN109656879B (zh) 大数据资源管理方法、装置、设备及存储介质
CN107948203A (zh) 一种容器登录方法、应用服务器、***及存储介质
US10911299B2 (en) Multiuser device staging
CN111191210A (zh) 数据访问权限的控制方法、装置、计算机设备和存储介质
KR20090106541A (ko) 시간 기반 권한부여
US11082429B2 (en) Providing access to content within a computing environment
WO2018119589A1 (zh) 账户管理方法、装置及账户管理***
CN108875387B (zh) 基于ad***的数据处理方法、装置、设备及介质
US11882154B2 (en) Template representation of security resources
US9665732B2 (en) Secure Download from internet marketplace
CN115758459A (zh) 数据权限管理方法及装置
CN111159729A (zh) 权限控制方法、装置及存储介质
CN111752539B (zh) Bi服务集群***及其搭建方法
CN111191251A (zh) 一种数据权限控制方法、装置及存储介质
US10951600B2 (en) Domain authentication
CN107977277B (zh) Erp***中集成第三方***的方法、装置及计算机设备
US20220374532A1 (en) Managed metastorage
US11411813B2 (en) Single user device staging
CN111723401A (zh) 数据访问权限控制方法、装置、***、存储介质及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200522