CN113836500B - 数据权限控制方法、***、终端以及储存介质 - Google Patents

数据权限控制方法、***、终端以及储存介质 Download PDF

Info

Publication number
CN113836500B
CN113836500B CN202010582484.0A CN202010582484A CN113836500B CN 113836500 B CN113836500 B CN 113836500B CN 202010582484 A CN202010582484 A CN 202010582484A CN 113836500 B CN113836500 B CN 113836500B
Authority
CN
China
Prior art keywords
role
template
resource
user
operation resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010582484.0A
Other languages
English (en)
Other versions
CN113836500A (zh
Inventor
薛颜波
沈邗
罗大地
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Synyi Medical Technology Co ltd
Original Assignee
Shanghai Synyi Medical Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Synyi Medical Technology Co ltd filed Critical Shanghai Synyi Medical Technology Co ltd
Priority to CN202010582484.0A priority Critical patent/CN113836500B/zh
Publication of CN113836500A publication Critical patent/CN113836500A/zh
Application granted granted Critical
Publication of CN113836500B publication Critical patent/CN113836500B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/10Text processing
    • G06F40/166Editing, e.g. inserting or deleting
    • G06F40/186Templates

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明的数据权限控制方法、***、终端以及储存介质,基于一或多个用户或角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。用于解决现有技术中的数据权限管理机制会导致访问控制列表变得非常庞大难以进行维护,或者对多级数据权限的控制时会导致策略变得极其复杂,难以编写和维护,进而导致数据权限控制工作效率大幅度降低的问题。本发明利用用户或角色的元数据,对一或多个权限控制模板策略进行渲染以在私有云环境对复杂数据权限进行中央控制,进而提高了数据权限控制工作效率。

Description

数据权限控制方法、***、终端以及储存介质
技术领域
本发明涉及数据信息处理技术领域,特别是涉及一种数据权限控制方法、***、终端以及储存介质。
背景技术
在云计算和云服务时代,为了保障数据安全,统一集中的数据权限管理机制必不可少。当前,已经有访问控制列表、基于角色的访问控制以及亚马逊权限策略等中心权限控制机制。其中,访问控制列表可以精确的定义具体的数据项,但是随着数据量的增加以及不同用户拥有相同权限的情况,会导致访问控制列表变得非常庞大且难以进行维护。
而基于角色的访问控制难以进行精确到人的数据权限控制。亚马逊的权限策略功能强大,但在对多级数据权限的控制时会导致策略变得极其复杂,难以编写和维护。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种数据权限控制方法、***、终端以及储存介质,用于解决现有技术中的数据权限管理机制会导致访问控制列表变得非常庞大难以进行维护,或者对多级数据权限的控制时会导致策略变得极其复杂,难以编写和维护,进而导致数据权限控制工作效率大幅度降低的问题。
为实现上述目的及其他相关目的,本发明提供一种数据权限控制方法,包括:基于一或多个用户或角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。
于本发明的一实施例中,所述权限控制模板策略包括:操作资源模板部分、操作定义部分以及操作决策部分;其中,所述操作资源模板部分,包括:具有固定格式的占位符模板,用于确定操作资源信息,其中,所述操作资源信息包括:操作资源路径、操作对象以及操作资源本体;所述操作定义部分,用于基于所述操作资源信息,定义操作内容;所述操作决策部分,用于确定所属操作内容是否被允许。
于本发明的一实施例中,所述权限控制策略模板包括:操作资源部分、操作部分以及决策部分;其中,所述操作资源部分,用于基于所述操作资源模板部分来定义所述各用户或角色的操作资源信息;所述操作部分,用于基于所述操作定义部分,来定义所述各用户或角色在其对应的所操作资源信息基础上的息的操作内容;所述决策部分,用于基于所述操作决策部分,来确定定义的各用户或角色的操作内容是否被允许。
于本发明的一实施例中,所述元数据包括:各用户或角色的名称、操作资源路径以及在所述操作资源路径上的操作资源本体。
于本发明的一实施例中,所述方法还包括:基于各角色中具有继承关系的各层级的各子类角色的元数据,分别对所述各子类角色的上层的角色或子类角色的权限控制策略进行渲染,以获得用于控制各子类角色的数据操作权限的权限控制策略。
于本发明的一实施例中,所述占位符模板包括:操作资源路径、操作对象以及操作资源本体占位符。
为实现上述目的及其他相关目的,本发明提供一种数据权限控制***,所述***包括:处理模块,用于基于一或多个用户或角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。
于本发明的一实施例中,所述权限控制模板策略包括:操作资源模板部分、操作定义部分以及操作决策部分;其中,所述操作资源模板部分,包括:具有固定格式的占位符模板,用于确定操作资源信息,其中,所述操作资源信息包括:操作资源路径、操作对象以及操作资源本体;所述操作定义部分,用于基于所述操作资源信息,定义操作内容;所述操作决策部分,用于确定所属操作内容是否被允许。
为实现上述目的及其他相关目的,本发明提供一种数据权限控制终端,包括:存储器,用于存储计算机程序;处理器,用于执行所述的数据权限控制方法。
为实现上述目的及其他相关目的,本发明提供一种计算机存储介质,存储有计算机程序,所述计算机程序运行时实现所述的数据权限控制方法。
如上所述,本发明的一种数据权限控制方法、***、终端以及储存介质,具有以下有益效果:本发明利用用户或角色的元数据,对一或多个权限控制模板策略进行渲染以在私有云环境对复杂数据权限进行中央控制,进而提高了数据权限控制工作效率。
附图说明
图1显示为本发明一实施例中的数据权限控制方法的流程示意图。
图2显示为本发明一实施例中的数据权限控制***的结构示意图。
图3显示为本发明一实施例中的数据权限控制终端的结构示意图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,在下述描述中,参考附图,附图描述了本发明的若干实施例。应当理解,还可使用其他实施例,并且可以在不背离本发明的精神和范围的情况下进行机械组成、结构、电气以及操作上的改变。下面的详细描述不应该被认为是限制性的,并且本发明的实施例的范围仅由公布的专利的权利要求书所限定。这里使用的术语仅是为了描述特定实施例,而并非旨在限制本发明。空间相关的术语,例如“上”、“下”、“左”、“右”、“下面”、“下方”、““下部”、“上方”、“上部”等,可在文中使用以便于说明图中所示的一个元件或特征与另一元件或特征的关系。
在通篇说明书中,当说某部分与另一部分“连接”时,这不仅包括“直接连接”的情形,也包括在其中间把其它元件置于其间而“间接连接”的情形。另外,当说某种部分“包括”某种构成要素时,只要没有特别相反的记载,则并非将其它构成要素,排除在外,而是意味着可以还包括其它构成要素。
其中提到的第一、第二及第三等术语是为了说明多样的部分、成份、区域、层及/或段而使用的,但并非限定于此。这些术语只用于把某部分、成份、区域、层或段区别于其它部分、成份、区域、层或段。因此,以下叙述的第一部分、成份、区域、层或段在不超出本发明范围的范围内,可以言及到第二部分、成份、区域、层或段。
再者,如同在本文中所使用的,单数形式“一”、“一个”和“该”旨在也包括复数形式,除非上下文中有相反的指示。应当进一步理解,术语“包含”、“包括”表明存在所述的特征、操作、元件、组件、项目、种类、和/或组,但不排除一个或多个其他特征、操作、元件、组件、项目、种类、和/或组的存在、出现或添加。此处使用的术语“或”和“和/或”被解释为包括性的,或意味着任一个或任何组合。因此,“A、B或C”或者“A、B和/或C”意味着“以下任一个:A;B;C;A和B;A和C;B和C;A、B和C”。仅当元件、功能或操作的组合在某些方式下内在地互相排斥时,才会出现该定义的例外。
因此,本发明实施例中提供一种数据权限控制方法,用于解决现有技术中的数据权限管理机制会导致访问控制列表变得非常庞大难以进行维护,或者对多级数据权限的控制时会导致策略变得极其复杂,难以编写和维护,进而导致数据权限控制工作效率大幅度降低的问题。本发明利用用户或角色的元数据,对一或多个权限控制模板策略进行渲染以在私有云环境对复杂数据权限进行中央控制,进而提高了数据权限控制工作效率。
下面以附图为参考,针对本发明的实施例进行详细说明,以便本发明所述技术领域的技术人员能够容易地实施。本发明可以以多种不同形态体现,并不限于此处说明的实施例。
如图1所示,展示本发明实施例中的数据权限控制方法的流程示意图。
所述方法包括:
步骤S11:基于一或多个用户或角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。
可选的,基于一或多个用户的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户的数据操作权限的权限控制策略。
或者,
基于一或多个角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各角色的数据操作权限的权限控制策略。
可选的,每个用户或角色对应一或多个权限控制模板策略,其中,每个所述权限控制模板策略包括:操作资源模板部分、操作定义部分以及操作决策部分。
所述操作资源模板部分,包括:具有固定格式的占位符模板,用于确定操作资源信息,其中,所述操作资源信息包括:操作资源路径、操作对象以及操作资源本体;
所述操作定义部分,用于基于所述操作资源信息,定义操作内容;
所述操作决策部分,用于确定所属操作内容是否被允许。
举例来说,“博客应用由用户攥写的具有固定编号的文章可以编辑”的权限控制模板策略策略包括:
(操作资源模板部分)资源:blog:Article/{用户ID}/{blog:文章ID}
(操作定义部分)操作:编辑
(操作决策部分)是否允许:是。
可选的,所述权限控制策略模板包括:操作资源部分、操作部分以及决策部分;其中,所述操作资源部分,用于基于所述操作资源模板部分来定义所述各用户或角色的操作资源信息;所述操作部分,用于基于所述操作定义部分,来定义所述各用户或角色在其对应的所操作资源信息基础上的息的操作内容;所述决策部分,用于基于所述操作决策部分,来确定定义的各用户或角色的操作内容是否被允许。
举例来说,对于用户张三的元信息包括:[用户ID:张三],[blog:文章ID:11],[blog:文章ID:15],对权限控制模板策略进行渲染:
资源:blog:Article/{用户ID}/{blog:文章ID}
操作:编辑
是否允许:是。
获得对应于张三的两个权限控制策略,包括:
资源:blog:Article/张三/11
操作:编辑
是否允许:是
以及,
资源:blog:Article/张三/15
操作:编辑
是否允许:是。
可选的,所述操作资源模板部分与所述各用户或角色的元数据相结合,以获得该角色或用户的权限控制策略中的操作资源部分,用于确定所述各用户或角色的操作资源。具体的,利用所述元数据填充所述占位符模板,获得该角色或用户的权限控制策略中的操作资源部分。
可选的,所述操作部分,基于所述操作定义部分,来定义所述各用户或角色在所述操作资源路径上的操作内容。需要注意的是,在所述操作资源模板确定的操作资源信息的情况下,所述操作定义部分定义所述各用户或角色在所述操作资源路径上的操作内容。举例来说,所述操作内容包括:编辑或读取等操作,在本申请中不作限定。
可选的,所述决策部分,基于所述操作决策部分,用于确定定义的各用户或角色的操作内容是否被允许。优选的,所述操作决策部分在所述操作资源模板确定操作路径以及操作定义部分确定在该操作路径下的操作内容的情况下,确定该操作内容是否被允许。若操作决策部分为允许,所述决策部分也顺延为允许。
可选的,所述占位符模板包括:所述占位符模板包括:操作资源路径、操作对象以及操作资源本体占位符。其中,占位符模板遵循【资源路径:资源实体名/限定筛选条件】的规则。
举例来说,基于以上占位符模板获得的“用户可以编辑博客中的文章”的操作资源模板部分为:
blog:Article/{用户ID}/{blog:文章ID}。
可选的,基于占位符模板的操作资源模板与各用户或角色的元数据相结合,以获得权限控制策略中的操作资源部分,用于确定所述各用户或角色的操作资源。
可选的,所述元数据包括与用户、角色、以及子角色有关的任意信息,根据所述元数据可以对权限控制模板策略进行渲染。所述元数据的内容在本申请中不作限定。
可选的,所述元数据包括:各用户或角色的名称、操作资源路径以及在所述操作资源路径上的操作资源本体。
可选的,若元数据中对应一个权限控制模板策略具有多个符合条件数据,即进行一次渲染即可,不仅节省了时间还大大提高了效率。
可选的,所述元数据对权限控制模板策略中的基于占位符模板的操作资源模板进行渲染,获得权限控制策略中的操作资源部分。所述各用户或角色的名称填充操作资源模板中的占位符模板的用户或角色的名称占位符;同样的,各用户或角色被允许在各操作资源路径上的操作对象填充操作资源模板中的占位符模板的资源路径、以及操作对象占位符。通过以上填充获得对应于各用户或角色权限控制策略中的操作资源部分。
举例来说,对于用户张三,其元数据包括:[用户ID:张三],[blog:文章ID:11];权限控制模板策略中的基于占位符模板的操作资源模板部分为:blog:Article/{用户ID}/{blog:文章ID}。则获得用于控制各用户或角色的数据操作权限的权限控制策略的操作资源部分包括:blog:Article/张三/11。
可选的,若元数据中各用户或角色被允许在各操作资源路径上的操作对象为多个,若操作对象为一个操作路径,对权限控制模板策略中对应该操作路径的基于占位符模板的操作资源模板进行渲染;若操作对象为不同的操作路径,则分别权限控制模板策略中对应操作路径的基于占位符模板的操作资源模板分别进行渲染。
举例来说,对于用户张三,其元数据包括:[用户ID:张三],[blog:文章ID:11],[blog:文章ID:15],对操作资源模板部分为:blog:Article/{用户ID}/{blog:文章ID}进行渲染,获得权限控制策略的操作资源部分包括blog:Article/张三/11和blog:Article/张三/15。
可选的,若各角色分别包括:具有继承关系各子类角色,其中各子类角色构成具有层级关系的树形结构。所述数据权限控制方法还包括:基于各角色中具有继承关系的各层级的各子类角色的元数据,分别对一或多个权限控制策略进行渲染,以获得用于控制各子类角色的数据操作权限的权限控制策略。
具体的,基于一或多个角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各角色的数据操作权限的权限控制策略;
基于各角色中具有继承关系的各层级的各子类角色的元数据,分别对所述各子类角色的上层的角色或子类角色的权限控制策略进行渲染,以获得用于控制各子类角色的数据操作权限的权限控制策略。
由此可知,支持多继承的角色树和基于元数据的模板策略的渲染。
举例来说,角色为人事部,子角色包括:人事部实习生。想要获得人事部实习生的权限控制策略,需先基于一或多个权限控制模板策略进行渲染,获得人事部的权限控制策略;再基于人事部实习生的元数据,对获得的人事部的权限控制策略进行渲染,获得用于控制人事部实习生的数据权限控制的权限控制策略。通过该子角色继承角色的权限控制策略进行渲染,来得到在角色的控制权限的基础上再次限制,获得权限更少的子角色的权限控制策略。
需要注意的是,所述子类角色的层级为一或多个,具体的,第一级子角色继承作为其父角色的角色的权限控制策略来获得第一级子角色的权限控制策略;第二级子角色继承作为其的父角色的第一级角色的权限控制策略来获得第二级子角色的权限控制策略,以此规则来实现更上层级的子角色对该父角色的权限控制策略继承,获得该子角色的权限控制策略。
可选的,若基于一或多个用户或角色的元数据,分别对权限控制模板策略进行渲染失败,具体的,各用户或角色的元数据中没有对应于权限控制模板策略的操作资源模板部分的填充数据,则将该权限控制模板策略丢弃。
与上述实施例原理相似的是,本发明提供一种数据权限控制***。
以下结合附图提供具体实施例:
如图2所示展示本发明实施例中的一种数据权限控制***的结构示意图。
所述***包括:
处理模块21,用于基于一或多个用户或角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。
可选的,基于一或多个用户的元数据,所述处理模块21分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户的数据操作权限的权限控制策略。
或者,
基于一或多个角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各角色的数据操作权限的权限控制策略。
可选的,每个用户或角色对应一或多个权限控制模板策略,其中,每个所述权限控制模板策略包括:操作资源模板部分、操作定义部分以及操作决策部分。
所述操作资源模板部分,包括:具有固定格式的占位符模板,用于确定操作资源信息,其中,所述操作资源信息包括:操作资源路径、操作对象以及操作资源本体;
所述操作定义部分,用于基于所述操作资源信息,定义操作内容;
所述操作决策部分,用于确定所属操作内容是否被允许。
可选的,所述权限控制策略模板包括:操作资源部分、操作部分以及决策部分;其中,所述操作资源部分,用于基于所述操作资源模板部分来定义所述各用户或角色的操作资源信息;所述操作部分,用于基于所述操作定义部分,来定义所述各用户或角色在其对应的所操作资源信息基础上的息的操作内容;所述决策部分,用于基于所述操作决策部分,来确定定义的各用户或角色的操作内容是否被允许。
可选的,所述处理模块21将所述操作资源模板部分与所述各用户或角色的元数据相结合,以获得该角色或用户的权限控制策略中的操作资源部分,用于确定所述各用户或角色的操作资源。具体的,利用所述元数据填充所述占位符模板,获得该角色或用户的权限控制策略中的操作资源部分。
可选的,所述操作部分,基于所述操作定义部分,所述处理模块21来定义所述各用户或角色在所述操作资源路径上的操作内容。需要注意的是,在所述操作资源模板确定的操作资源信息的情况下,所述操作定义部分定义所述各用户或角色在所述操作资源路径上的操作内容。举例来说,所述操作内容包括:编辑或读取等操作,在本申请中不作限定。
可选的,所述决策部分,基于所述操作决策部分,所述处理模块21确定定义的各用户或角色的操作内容是否被允许。优选的,所述操作决策部分在所述操作资源模板确定操作路径以及操作定义部分确定在该操作路径下的操作内容的情况下,确定该操作内容是否被允许。若操作决策部分为允许,所述决策部分也顺延为允许。
可选的,所述占位符模板包括:所述占位符模板包括:操作资源路径、操作对象以及操作资源本体占位符。其中,占位符模板遵循【资源路径:资源实体名/限定筛选条件】的规则。
可选的,所述处理模块21令基于占位符模板的操作资源模板与各用户或角色的元数据相结合,以获得权限控制策略中的操作资源部分,用于确定所述各用户或角色的操作资源。
可选的,所述元数据包括与用户、角色、以及子角色有关的任意信息,根据所述元数据可以对权限控制模板策略进行渲染。所述元数据的内容在本申请中不作限定。
可选的,所述元数据包括:各用户或角色的名称、操作资源路径以及在所述操作资源路径上的操作资源本体。
可选的,若元数据中对应一个权限控制模板策略具有多个符合条件数据,即进行一次渲染即可,不仅节省了时间还大大提高了效率。
可选的,所述元数据对权限控制模板策略中的基于占位符模板的操作资源模板进行渲染,获得权限控制策略中的操作资源部分。所述各用户或角色的名称填充操作资源模板中的占位符模板的用户或角色的名称占位符;同样的,各用户或角色被允许在各操作资源路径上的操作对象填充操作资源模板中的占位符模板的资源路径、以及操作对象占位符。通过以上填充获得对应于各用户或角色权限控制策略中的操作资源部分。
可选的,若元数据中各用户或角色被允许在各操作资源路径上的操作对象为多个,若操作对象为一个操作路径,对权限控制模板策略中对应该操作路径的基于占位符模板的操作资源模板进行渲染;若操作对象为不同的操作路径,则分别权限控制模板策略中对应操作路径的基于占位符模板的操作资源模板分别进行渲染。
可选的,若各角色分别包括:具有继承关系各子类角色,其中各子类角色构成具有层级关系的树形结构。所述数据权限控制方法还包括:基于各角色中具有继承关系的各层级的各子类角色的元数据,分别对一或多个权限控制策略进行渲染,以获得用于控制各子类角色的数据操作权限的权限控制策略。
具体的,基于一或多个角色的元数据,所述处理模块21分别对一或多个权限控制模板策略进行渲染,以获得用于控制各角色的数据操作权限的权限控制策略;
基于各角色中具有继承关系的各层级的各子类角色的元数据,所述处理模块21分别对所述各子类角色的上层的角色或子类角色的权限控制策略进行渲染,以获得用于控制各子类角色的数据操作权限的权限控制策略。
由此可知,所述处理模块21支持多继承的角色树和基于元数据的模板策略的渲染。
需要注意的是,所述子类角色的层级为一或多个,具体的,第一级子角色继承作为其父角色的角色的权限控制策略来获得第一级子角色的权限控制策略;第二级子角色继承作为其的父角色的第一级角色的权限控制策略来获得第二级子角色的权限控制策略,以此规则来实现更上层级的子角色对该父角色的权限控制策略继承,获得该子角色的权限控制策略。
可选的,若基于一或多个用户或角色的元数据,所述处理模块21分别对权限控制模板策略进行渲染失败,具体的,各用户或角色的元数据中没有对应于权限控制模板策略的操作资源模板部分的填充数据,则将该权限控制模板策略丢弃。
如图3所示,展示本发明实施例中的数据权限控制终端30的结构示意图。
所述数据权限控制终端30包括:存储器31及处理器32所述存储器31用于存储计算机程序;所述处理器32运行计算机程序实现如图1所述的数据权限控制方法。
可选的,所述存储器31的数量均可以是一或多个,所述处理器32的数量均可以是一或多个,而图3中均以一个为例。
可选的,所述数据权限控制终端30中的处理器32会按照如图1所述的步骤,将一个或多个以应用程序的进程对应的指令加载到存储器31中,并由处理器32来运行存储在第一存储器31中的应用程序,从而实现如图1所述数据权限控制方法中的各种功能。
可选的,所述存储器31,可能包括但不限于高速随机存取存储器、非易失性存储器。例如一个或多个磁盘存储设备、闪存设备或其他非易失性固态存储设备;所述处理器32,可能包括但不限于中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可选的,所述处理器32可以是通用处理器,包括中央处理器(Central ProcessingUnit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明还提供计算机可读存储介质,存储有计算机程序,所述计算机程序运行时实现如图1所示的数据权限控制方法。所述计算机可读存储介质可包括,但不限于,软盘、光盘、CD-ROM(只读光盘存储器)、磁光盘、ROM(只读存储器)、RAM(随机存取存储器)、EPROM(可擦除可编程只读存储器)、EEPROM(电可擦除可编程只读存储器)、磁卡或光卡、闪存、或适于存储机器可执行指令的其他类型的介质/机器可读介质。所述计算机可读存储介质可以是未接入计算机设备的产品,也可以是已接入计算机设备使用的部件。
综上所述,本发明数据权限控制方法、***、终端及介质,解决了解决现有技术中的数据权限管理机制会导致访问控制列表变得非常庞大难以进行维护,或者对多级数据权限的控制时会导致策略变得极其复杂,难以编写和维护,进而导致数据权限控制工作效率大幅度降低的问题。本发明利用用户或角色的元数据,对一或多个权限控制模板策略进行渲染以在私有云环境对复杂数据权限进行中央控制,进而提高了数据权限控制工作效率。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅示例性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,但凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。

Claims (6)

1.一种数据权限控制方法,其特征在于,包括:
基于一或多个用户或角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略;
其中,
所述权限控制模板策略包括:操作资源模板部分、操作定义部分以及操作决策部分;其中,所述操作资源模板部分,包括:具有固定格式的占位符模板,用于确定操作资源信息,其中,所述操作资源信息包括:操作资源路径、操作对象以及操作资源本体;所述操作定义部分,用于基于所述操作资源信息,定义操作内容;所述操作决策部分,用于确定所属操作内容是否被允许;
所述权限控制策略包括:操作资源部分、操作部分以及决策部分;其中,所述操作资源部分,用于基于所述操作资源模板部分来定义所述各用户或角色的操作资源信息;所述操作部分,用于基于所述操作定义部分,来定义所述各用户或角色在其对应的所操作资源信息基础上的息的操作内容;所述决策部分,用于基于所述操作决策部分,来确定定义的各用户或角色的操作内容是否被允许;
所述元数据包括:各用户或角色的名称、操作资源路径以及在所述操作资源路径上的操作资源本体;
并且其中,将所述操作资源模板部分与所述各用户或角色的元数据相结合,以获得该角色或用户的权限控制策略中的操作资源部分,用于确定所述各用户或角色的操作资源;其中,所述操作资源模板部分与所述各用户或角色的元数据相结合的方式包括:利用所述元数据填充所述操作资源模板部分的占位符模板。
2.根据权利要求1所述的数据权限控制方法,其特征在于,所述方法还包括:
基于各角色中具有继承关系的各层级的各子类角色的元数据,分别对所述各子类角色的上层的角色或子类角色的权限控制策略进行渲染,以获得用于控制各子类角色的数据操作权限的权限控制策略。
3.根据权利要求1所述的数据权限控制方法,其特征在于,所述占位符模板包括:操作资源路径、操作对象以及操作资源本体占位符。
4.一种数据权限控制***,其特征在于,所述***包括:
处理模块,用于基于一或多个用户或角色的元数据,分别对一或多个权限控制模板策略进行渲染,以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略;
其中,
所述权限控制模板策略包括:操作资源模板部分、操作定义部分以及操作决策部分;其中,所述操作资源模板部分,包括:具有固定格式的占位符模板,用于确定操作资源信息,其中,所述操作资源信息包括:操作资源路径、操作对象以及操作资源本体;所述操作定义部分,用于基于所述操作资源信息,定义操作内容;所述操作决策部分,用于确定所属操作内容是否被允许;
所述权限控制策略包括:操作资源部分、操作部分以及决策部分;其中,所述操作资源部分,用于基于所述操作资源模板部分来定义所述各用户或角色的操作资源信息;所述操作部分,用于基于所述操作定义部分,来定义所述各用户或角色在其对应的所操作资源信息基础上的息的操作内容;所述决策部分,用于基于所述操作决策部分,来确定定义的各用户或角色的操作内容是否被允许;
所述元数据包括:各用户或角色的名称、操作资源路径以及在所述操作资源路径上的操作资源本体;
并且其中,处理模块还用于将所述操作资源模板部分与所述各用户或角色的元数据相结合,以获得该角色或用户的权限控制策略中的操作资源部分,用于确定所述各用户或角色的操作资源;其中,所述操作资源模板部分与所述各用户或角色的元数据相结合的方式包括:利用所述元数据填充所述操作资源模板部分的占位符模板。
5.一种数据权限控制终端,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行如权利要求1至3中任一项所述的数据权限控制方法。
6.一种计算机存储介质,其特征在于,存储有计算机程序,所述计算机程序运行时实现如权利要求1至3中任一项所述的数据权限控制方法。
CN202010582484.0A 2020-06-23 2020-06-23 数据权限控制方法、***、终端以及储存介质 Active CN113836500B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010582484.0A CN113836500B (zh) 2020-06-23 2020-06-23 数据权限控制方法、***、终端以及储存介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010582484.0A CN113836500B (zh) 2020-06-23 2020-06-23 数据权限控制方法、***、终端以及储存介质

Publications (2)

Publication Number Publication Date
CN113836500A CN113836500A (zh) 2021-12-24
CN113836500B true CN113836500B (zh) 2023-11-07

Family

ID=78964209

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010582484.0A Active CN113836500B (zh) 2020-06-23 2020-06-23 数据权限控制方法、***、终端以及储存介质

Country Status (1)

Country Link
CN (1) CN113836500B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101515308A (zh) * 2009-03-31 2009-08-26 上海同济同捷科技股份有限公司 汽车产品数据管理***及其协同设计方法
CN101561826A (zh) * 2009-05-18 2009-10-21 汤胤 基于节点粒度语义的在线非结构化文档共享协同方法及其应用
CN102262667A (zh) * 2011-07-27 2011-11-30 北京航空航天大学 一种本源xml数据库中xml文档的访问控制方法
CN102387145A (zh) * 2011-10-21 2012-03-21 北京航空航天大学 协同环境中访问控制策略冲突检测***及方法
CN102880715A (zh) * 2012-10-09 2013-01-16 南京市测绘勘察研究院有限公司 基于云存储的数据池管理方法及***
CN103703443A (zh) * 2011-03-22 2014-04-02 亚马逊技术股份有限公司 针对计算应用程序功能的强大权限管理
CN104967620A (zh) * 2015-06-17 2015-10-07 中国科学院信息工程研究所 一种基于属性访问控制策略的访问控制方法
CN107465653A (zh) * 2016-06-02 2017-12-12 北京京东尚科信息技术有限公司 权限管理***及方法
CN110516176A (zh) * 2019-08-30 2019-11-29 北京东软望海科技有限公司 用户请求的处理方法、装置、电子设备及可读存储介质
CN110956431A (zh) * 2018-09-26 2020-04-03 富泰华工业(深圳)有限公司 数据权限管控方法及***、计算机装置及可读存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070162400A1 (en) * 2006-01-12 2007-07-12 International Business Machines Corporation Method and apparatus for managing digital content in a content management system
US20070214497A1 (en) * 2006-03-10 2007-09-13 Axalto Inc. System and method for providing a hierarchical role-based access control
US8555378B2 (en) * 2009-03-11 2013-10-08 Sas Institute Inc. Authorization caching in a multithreaded object server

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101515308A (zh) * 2009-03-31 2009-08-26 上海同济同捷科技股份有限公司 汽车产品数据管理***及其协同设计方法
CN101561826A (zh) * 2009-05-18 2009-10-21 汤胤 基于节点粒度语义的在线非结构化文档共享协同方法及其应用
CN103703443A (zh) * 2011-03-22 2014-04-02 亚马逊技术股份有限公司 针对计算应用程序功能的强大权限管理
CN102262667A (zh) * 2011-07-27 2011-11-30 北京航空航天大学 一种本源xml数据库中xml文档的访问控制方法
CN102387145A (zh) * 2011-10-21 2012-03-21 北京航空航天大学 协同环境中访问控制策略冲突检测***及方法
CN102880715A (zh) * 2012-10-09 2013-01-16 南京市测绘勘察研究院有限公司 基于云存储的数据池管理方法及***
CN104967620A (zh) * 2015-06-17 2015-10-07 中国科学院信息工程研究所 一种基于属性访问控制策略的访问控制方法
CN107465653A (zh) * 2016-06-02 2017-12-12 北京京东尚科信息技术有限公司 权限管理***及方法
CN110956431A (zh) * 2018-09-26 2020-04-03 富泰华工业(深圳)有限公司 数据权限管控方法及***、计算机装置及可读存储介质
CN110516176A (zh) * 2019-08-30 2019-11-29 北京东软望海科技有限公司 用户请求的处理方法、装置、电子设备及可读存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于RBAC模型的多维权限管理方法;陈庆荣;;工业仪表与自动化装置(第04期);全文 *
基于元数据对象动态运行记录***的设计和实现;蔡延华;任钢;;计算机***应用(第02期);全文 *

Also Published As

Publication number Publication date
CN113836500A (zh) 2021-12-24

Similar Documents

Publication Publication Date Title
RU2728820C1 (ru) Способ и устройство обработки данных на основе блокчейна
US11675774B2 (en) Remote policy validation for managing distributed system resources
CN107203715A (zh) 执行***调用的方法及装置
DE102019108266A1 (de) Techniken zum bereitstellen von isolation auf funktionsebene mit auf fähigkeit basierender sicherheit
Liu et al. Corecube: Core decomposition in multilayer graphs
CN104252454A (zh) 一种面向云计算多租户模式的数据权限控制方法和***
CN113836500B (zh) 数据权限控制方法、***、终端以及储存介质
WO2014107390A2 (en) Managing authorization of actions associated with data objects
CN105159668B (zh) PaaS***中的类加载实现方法及装置
US10726053B2 (en) System for lightweight objects
Solanki et al. Resource and role hierarchy based access control for resourceful systems
CN116956366A (zh) 基于图模型的数据权限管理方法及***、电子设备
US7987443B2 (en) Declarative association of dialog fields
US9009731B2 (en) Conversion of lightweight object to a heavyweight object
US20230004663A1 (en) Classifying data and enforcing data access control using a context-based hierarchical policy
CN113076086B (zh) 元数据管理***和使用其对模型对象进行建模的方法
CN109960503A (zh) 基于Django框架的组件开发方法及装置
CN109240996B (zh) 附件导出方法、装置、计算机设备及计算机可读存储介质
CN110968756B (zh) 网页爬取方法及装置
US20230267114A1 (en) Data confidence fabric policy-based scoring
US20230418964A1 (en) Generating customized policy decision point services for controlling access to computing resources
CN115438047A (zh) 目录树的权限确定方法、装置、存储介质及电子设备
US7987470B1 (en) Converting heavyweight objects to lightwight objects
US10311242B2 (en) Distributed system resource liens
CN112749411A (zh) 安卓文件***的分级管控方法和***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant