CN105740656A - 数据权限管理方法及装置 - Google Patents
数据权限管理方法及装置 Download PDFInfo
- Publication number
- CN105740656A CN105740656A CN201410751385.5A CN201410751385A CN105740656A CN 105740656 A CN105740656 A CN 105740656A CN 201410751385 A CN201410751385 A CN 201410751385A CN 105740656 A CN105740656 A CN 105740656A
- Authority
- CN
- China
- Prior art keywords
- user
- data
- data permission
- information
- organization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种数据权限管理方法及装置。其中,该方法包括:接收来自当前用户的数据请求;响应于数据请求,从预定信息中获取对应于当前用户的用户信息和数据权限信息;根据用户信息和数据权限信息,为当前用户生成数据权限查询请求,使得对当前用户的数据权限进行管理。通过本发明,可以减少对用户表、组织机构表以及业务数据表之间的关联操作,提升用户数据权限的查询效率,改善用户体验。
Description
技术领域
本发明涉及数据管理领域,尤其涉及一种数据权限管理方法及装置。
背景技术
数据权限管理是几乎所有信息管理系统无法回避的话题,例如,要求组织机构A下的用户只能修改或查看A及其以下部门的数据,这样的业务需求非常普遍。有些情况下,组织机构A下的用户可能会被临时借调至组织机构B工作,此时该用户需要拥有组织机构B的数据权限才能正常开展工作。
现有技术中提供了一种对用户数据进行权限控制的方法,该方法主要是将用户的数据权限信息存放于组合条件表中,通过对组合条件表进行查询和维护的方式,对用户数据进行权限控制。基于这种方式,导致该方法无法避免以下问题:(1)在进行判定用户是否拥有数据权限时,会导致数据表、用户表以及组合条件表的表连接,导致查询语句执行效率低下;(2)因为某个用户的数据权限完全独立于其他用户,所以这种表连接是完全没有必要产生的;(3)如果用户的数据权限经常变动,维护组合条件表将变得异常繁重且容易出错;(4)基于组合条件表数据的形成过程,如果组织机构A下的某用户暂时被借调去组织机构B工作,组合条件表中对应于该用户的组合条件不会发生变化,导致该用户依然只拥有组织机构A的数据权限,无法在组织机构B正常开展工作,除非变更该用户的所属组织机构,但是在现实中这种变更往往是不可能实现的。
由此可见,针对组织机构间由于用户工作调动造成的数据权限管理困难的问题,现有技术中并没有给出一种有效的解决方案。
发明内容
本发明提供了一种数据权限管理方法及装置,以解决上述组织机构间由于用户工作调动造成的数据权限管理困难的问题。
本发明提供了如下方案:
根据本发明的一个方面,提供了一种数据权限管理方法,包括:接收来自当前用户的数据请求;响应于数据请求,从预定信息中获取对应于当前用户的用户信息和数据权限信息;根据用户信息和数据权限信息,为当前用户生成数据权限查询请求,使得对当前用户的数据权限进行管理。
优选地,预定信息包括:Session信息,Session信息独立于数据库中的用户表和组织机构表,其中,用户表包括:用户拥有数据权限的组织机构代码字段,以及用户所属的组织机构代码字段。
优选地,用户信息包括:用户标识ID;数据权限信息包括:用户拥有数据权限的所有组织机构的代码列表。
优选地,在接收来自当前用户的数据请求之前,包括:确定用户已经成功登陆信息管理系统;对用户拥有数据权限的组织机构代码字段和组织机构代码表进行关联,得到用户拥有数据权限的所有组织机构的代码列表。
优选地,在用户被从所属的组织机构暂时借调到其它组织机构工作的情况下,该方法还包括:对用户拥有数据权限的组织机构代码字段进行修改操作,不对用户所属的组织机构代码字段进行修改操作。
根据本发明的另一个方面,还提供了一种数据权限管理装置,包括:接收模块,用于接收来自当前用户的数据请求;处理模块,用于响应于数据请求,从预定信息中获取对应于当前用户的用户信息和数据权限信息;生成模块,用于根据用户信息和数据权限信息,为当前用户生成数据权限查询请求,使得对当前用户的数据权限进行管理。
优选地,预定信息包括:Session信息,Session信息独立于数据库中的用户表和组织机构表,其中,用户表包括:用户拥有数据权限的组织机构代码字段,以及用户所属的组织机构代码字段。
优选地,用户信息包括:用户标识ID;数据权限信息包括:用户拥有数据权限的所有组织机构的代码列表。
优选地,该装置还包括:确定模块,用于确定用户已经成功登陆信息管理系统;关联模块,用于对用户拥有数据权限的组织机构代码字段和组织机构代码表进行关联,得到用户拥有数据权限的所有组织机构的代码列表。
优选地,该装置还包括:修改模块,用于在用户被从所属的组织机构暂时借调到其它组织机构工作的情况下,对用户拥有数据权限的组织机构代码字段进行修改操作。
由上述本发明提供的技术方案可以看出,本发明具有以下有益效果:通过将用户信息及用户拥有数据权限的组织机构代码列表储存于Session信息中,减少了大量的用户表、组织机构表以及业务数据表之间的关联操作,大大提升了查询语句的执行效率,改善了用户体验。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的数据权限管理方法流程图;
图2是根据本发明实施例的数据权限管理装置的结构框图;
图3是根据本发明实施例的优选数据权限管理装置的结构框图;
图4是根据本发明优选实施例的用户登录系统的流程图:
图5是根据本发明优选实施例的判定用户是否拥有数据访问权限的流程图。
具体实施方式
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
在本发明实施例中,当用户成功登陆后,可以根据用户名获取当前用户信息和当前用户数据权限组织机构代码列表,并将这两种信息放入Session信息中以方便进行管理,当需要判定用户是否具有数据访问权限时,根据Session中的用户信息、用户数据权限组织机构代码列表生成数据权限判定查询(子)语句即可。
本发明实施例提供了一种数据权限管理方法。图1是根据本发明实施例的数据权限管理方法流程图,如图1所示,该流程包括以下步骤(步骤S102-步骤S106):
步骤S102、接收来自当前用户的数据请求。
步骤S104、响应于数据请求,从预定信息中获取对应于当前用户的用户信息和数据权限信息。
步骤S106、根据用户信息和数据权限信息,为当前用户生成数据权限查询请求,使得对当前用户的数据权限进行管理。
通过上述各个步骤,在当前用户对信息管理系统发出数据请求的情况下,可以使用预先存储的对应于该用户的用户信息和数据权限信息(即用户对哪些数据拥有权限)对当前用户是否对其所请求的数据具有权限,从而可以对当前用户的权限进行管理,例如,可以允许其访问数据,当然也可以拒绝。
在本发明实施例中,预定信息可以包括:Session信息,Session信息是独立于数据库中的用户表和组织机构表的,其中,用户表可以包括:用户拥有数据权限的组织机构代码字段,以及用户所属的组织机构代码字段。
需要说明的是,这里使用Session信息作为存储上述用户信息和数据权限信息的载体仅仅是一种优选的实施方式,其好处是可以将这两种信息独立于用户表和组织机构表进行保存,使得在需要对这两种信息进行修改或其他操作时,无须再对用户表和组织机构表进行关联以创建组合表,避免了关联等类似操作的繁琐性。
进一步地,在本发明实施例中,用户信息可以包括:用户标识(ID);数据权限信息可以包括:用户拥有数据权限的所有组织机构的代码列表。当然,用户拥有数据权限的所有组织机构的代码也可以以其它方式保存,这里以列表方式保存仅仅是一个较为优选的实施方式,任何其它简单,方便保存的其它形式也都是可以考虑的。
在本发明实施例的一个优选实施方式中,在执行步骤S102之前,还可以进行以下操作:先确定用户已经成功登陆信息管理系统,再对用户拥有数据权限的组织机构代码字段和组织机构代码表进行关联,得到用户拥有数据权限的所有组织机构的代码列表。
这样做的目的是方便将所有用户可能需要具有数据权限的组织机构的代码以列表的方式预先保存在上述Session信息中,以便于后续有用户向信息管理系统发出数据请求时对用户的数据权限进行判断或进一步的处理。
在本发明实施例中,如果用户被从所属的组织机构暂时借调到其它组织机构工作,该方法还提供了这样的处理方式:只对用户拥有数据权限的组织机构代码字段进行修改操作,而不对用户所属的组织机构代码字段进行修改操作。
这样以来,无需将用户的数据权限由其所属的组织机构修改到新借调到的组织机构,使得该用户同时具有两个组织结构的数据权限。
对应于上述数据权限管理方法,本发明实施例还提供了一种数据权限管理装置。
图2是根据本发明实施例的数据权限管理装置的结构框图,如图2所示,该装置包括:接收模块10、处理模块20以及生成模块30。其中:
接收模块10,用于接收来自当前用户的数据请求。
处理模块20,用于响应于数据请求,从预定信息中获取对应于当前用户的用户信息和数据权限信息。
生成模块30,用于根据用户信息和数据权限信息,为当前用户生成数据权限查询请求,使得对当前用户的数据权限进行管理。
在本实施例中,预定信息可以包括:Session信息,Session信息独立于数据库中的用户表和组织机构表,其中,用户表可以包括:用户拥有数据权限的组织机构代码字段,以及用户所属的组织机构代码字段。进一步地,用户信息可以包括:用户标识ID;数据权限信息可以包括:用户拥有数据权限的所有组织机构的代码列表。
在图2所示的数据权限管理装置的基础上,本发明实施例还提供了一种优选数据权限管理装置。
图3是根据本发明实施例的优选数据权限管理装置的结构框图,如图3所示,该优选数据权限管理装置还可以包括:确定模块40,用于确定用户已经成功登陆信息管理系统;关联模块50,用于对用户拥有数据权限的组织机构代码字段和组织机构代码表进行关联,得到用户拥有数据权限的所有组织机构的代码列表。
更进一步地,该优选数据权限管理装置还可以包括:修改模块60,用于在用户被从所属的组织机构暂时借调到其它组织机构工作的情况下,对用户拥有数据权限的组织机构代码字段进行修改操作。
通过上述实施例,摒弃了传统的以创建组合条件表的方式对进行数据权限管理的方法,这样就减少了对数据库中各种表的维护工作量,同时在进行判定用户是否拥有数据权限时,也可以避免出现表连接,提高查询语句的执行效率,解决了由于用户在组织机构间频繁调动带来的数据权限变更管理问题,最终实现了一个高效、安全可靠的数据权限管理方法。
为便于理解上述实施例的实现过程,以下结合图4和图5以及优选实施例对上述实施例提供的数据权限管理方法进行更加详细的描述。
优选实施例
在本优选实施例中,用户必须成功登录系统才能获取相应的数据操作(包括增加、删除、修改、查寻等操作)权限,在用户成功登录系统后,可以将其拥有的全部数据权限信息(例如,上述组织机构代码列表)保存于Session信息中。在验证用户的数据权限时,可以直接根据数据的授权信息(例如,组织机构代码)以及保存于Session信息中的用户数据权限信息进行判断,从而确定该用户可以操作哪些数据。
本优选实施例中,在对数据库中的用户表进行设计时,在用户表中添加数据权限组织机构代码字段,可以使用权限组织机构代码字段实现数据权限管理,独立地使用该字段对用户由于工作调用到新组织机构后用户的数据权限,对用户权限进行判断时减少了各种数据表之间的关联,可以大大提升了查询效率。
具体地,新设计的用户表中除了保留的用户所属组织机构代码字段外(用户所属组织机构代码仅作为用户基本信息的一部分,不参与数据权限管理),还新增加了数据权限组织机构代码字段,在默认情况下,这两个字段的值是相同的,但是当用户被临时借调到其它组织机构时,数据权限组织机构代码就会被更新为其它组织机构的代码,而无需修改该用户的所属组织机构代码。例如,设计了用户表T_USER,它包含用户名、密码、用户昵称、所属组织机构代码以及数据权限组织机构代码几个字段。需要说明的是,数据权限组织机构代码字段是用来进行数据权限管理的关键字段。
可以看出,正是通过添加数据权限组织机构代码字段的方式,可以解决由于用户在组织机构间频繁调动带来的数据权限变更管理问题。
在本优选实施例的实施过程中,当用户成功登录系统后,可以通过对用户的数据权限组织机构代码与组织机构代码表进行关联,得到该用户拥有数据权限的所有组织机构代码列表,并将该列表以及当前用户的用户信息储存于Session信息中。
这里可以参照图4,图4是根据本发明优选实施例的用户登录系统的流程图,如图4所示,该流程包括以下步骤:
S402、接收用户输入用户名及密码;
S404、判断用户是否合法,如果合法,执行步骤S406,如果不合法,执行步骤S402;
S406、用户登录成功,将用户对象、用户数据权限组织机构代码列表保存于Session信息中。
当需要判定该用户是否拥有某项数据权限时,不需要再去关联用户表、组织机构表,而可以直接从Session信息中获取当前用户的用户信息和数据权限组织机构代码列表,据此就可以生成高效的数据权限判定查询(子)语句。
这里可以参照图5,图5是根据本发明优选实施例的判定用户是否拥有数据访问权限的流程图,如图5所示,该流程可以包括以下步骤:
S502、从Session信息中获取用户ID、用户数据权限组织机构列表,组合成为数据权限判定查询语句并执行;
S504、根据返回结果判定用户是否拥有数据权限,如果是,执行步骤S506,如果否,执行步骤S508;
S506、继续进行对该数据资源的访问并完成相应操作;
S508、抛出数据权限不足的错误,终止用户对该数据的访问及相关操作。
采用这样的方式,在判定用户是否具有数据操作权限时,就可以减少了大量的用户表、组织机构表以及业务数据表之间的关联,大大提升了查询语句的执行效率,改善了用户体验。
综上所述,本发明实施例摒弃了传统的以创建组合条件表的方式对进行数据权限管理的方法,解决了由于用户在组织机构间频繁调动带来的数据权限变更管理问题,最终实现了一个高效、安全可靠的数据权限管理方法。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种数据权限管理方法,其特征在于,包括:
接收来自当前用户的数据请求;
响应于所述数据请求,从预定信息中获取对应于当前用户的用户信息和数据权限信息;
根据所述用户信息和所述数据权限信息,为所述当前用户生成数据权限查询请求,使得对所述当前用户的数据权限进行管理。
2.根据权利要求1所述的方法,其特征在于,所述预定信息包括:Session信息,所述Session信息独立于数据库中的用户表和组织机构表,其中,所述用户表包括:用户拥有数据权限的组织机构代码字段,以及用户所属的组织机构代码字段。
3.根据权利要求2所述的方法,其特征在于,
所述用户信息包括:用户标识ID;
所述数据权限信息包括:用户拥有数据权限的所有组织机构的代码列表。
4.根据权利要求3所述的方法,其特征在于,在接收来自当前用户的数据请求之前,包括:
确定用户已经成功登陆信息管理系统;
对所述用户拥有数据权限的组织机构代码字段和所述组织机构代码表进行关联,得到所述用户拥有数据权限的所有组织机构的代码列表。
5.根据权利要求2至4中任一项所述的方法,其特征在于,在用户被从所属的组织机构暂时借调到其它组织机构工作的情况下,所述方法还包括:
对所述用户拥有数据权限的组织机构代码字段进行修改操作,不对所述用户所属的组织机构代码字段进行修改操作。
6.一种数据权限管理装置,其特征在于,包括:
接收模块,用于接收来自当前用户的数据请求;
处理模块,用于响应于所述数据请求,从预定信息中获取对应于当前用户的用户信息和数据权限信息;
生成模块,用于根据所述用户信息和所述数据权限信息,为所述当前用户生成数据权限查询请求,使得对所述当前用户的数据权限进行管理。
7.根据权利要求6所述的装置,其特征在于,所述预定信息包括:Session信息,所述Session信息独立于数据库中的用户表和组织机构表,其中,所述用户表包括:用户拥有数据权限的组织机构代码字段,以及用户所属的组织机构代码字段。
8.根据权利要求7所述的装置,其特征在于,
所述用户信息包括:用户标识ID;
所述数据权限信息包括:用户拥有数据权限的所有组织机构的代码列表。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
确定模块,用于确定用户已经成功登陆信息管理系统;
关联模块,用于对所述用户拥有数据权限的组织机构代码字段和所述组织机构代码表进行关联,得到所述用户拥有数据权限的所有组织机构的代码列表。
10.根据权利要求7至9中任一项所述的装置,其特征在于,所述装置还包括:
修改模块,用于在用户被从所属的组织机构暂时借调到其它组织机构工作的情况下,对所述用户拥有数据权限的组织机构代码字段进行修改操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410751385.5A CN105740656A (zh) | 2014-12-09 | 2014-12-09 | 数据权限管理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410751385.5A CN105740656A (zh) | 2014-12-09 | 2014-12-09 | 数据权限管理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105740656A true CN105740656A (zh) | 2016-07-06 |
Family
ID=56239764
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410751385.5A Pending CN105740656A (zh) | 2014-12-09 | 2014-12-09 | 数据权限管理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105740656A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107832462A (zh) * | 2017-11-28 | 2018-03-23 | 北京恒华伟业科技股份有限公司 | 一种数据请求方法及装置 |
CN108280365A (zh) * | 2017-09-19 | 2018-07-13 | 平安科技(深圳)有限公司 | 数据访问权限管理方法、装置、终端设备及存储介质 |
CN109740338A (zh) * | 2018-12-24 | 2019-05-10 | 广东中安金狮科创有限公司 | 权限空间的创建方法、装置和计算机可读存储介质 |
CN110889142A (zh) * | 2019-12-20 | 2020-03-17 | 中国银行股份有限公司 | 一种数据权限管理方法、装置、系统及设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101247395A (zh) * | 2008-03-13 | 2008-08-20 | 武汉理工大学 | 一种Session ID全透明传递的ISAPI访问控制系统 |
CN101917448A (zh) * | 2010-08-27 | 2010-12-15 | 山东中创软件工程股份有限公司 | 基于.net的应用中实现rbac访问权限控制方法 |
CN103701801A (zh) * | 2013-12-26 | 2014-04-02 | 四川九洲电器集团有限责任公司 | 一种资源访问控制方法 |
-
2014
- 2014-12-09 CN CN201410751385.5A patent/CN105740656A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101247395A (zh) * | 2008-03-13 | 2008-08-20 | 武汉理工大学 | 一种Session ID全透明传递的ISAPI访问控制系统 |
CN101917448A (zh) * | 2010-08-27 | 2010-12-15 | 山东中创软件工程股份有限公司 | 基于.net的应用中实现rbac访问权限控制方法 |
CN103701801A (zh) * | 2013-12-26 | 2014-04-02 | 四川九洲电器集团有限责任公司 | 一种资源访问控制方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108280365A (zh) * | 2017-09-19 | 2018-07-13 | 平安科技(深圳)有限公司 | 数据访问权限管理方法、装置、终端设备及存储介质 |
CN107832462A (zh) * | 2017-11-28 | 2018-03-23 | 北京恒华伟业科技股份有限公司 | 一种数据请求方法及装置 |
CN109740338A (zh) * | 2018-12-24 | 2019-05-10 | 广东中安金狮科创有限公司 | 权限空间的创建方法、装置和计算机可读存储介质 |
CN109740338B (zh) * | 2018-12-24 | 2021-08-10 | 广东中安金狮科创有限公司 | 权限空间的创建方法、装置和计算机可读存储介质 |
CN110889142A (zh) * | 2019-12-20 | 2020-03-17 | 中国银行股份有限公司 | 一种数据权限管理方法、装置、系统及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10042680B2 (en) | Cross-domain data sharing with permission control | |
US11627460B2 (en) | Common authorization management service | |
EP2184887B1 (en) | Method, system and terminal for rights control in device management | |
US9900775B2 (en) | On-device authorization of devices for collaboration and association | |
CN111552936B (zh) | 一种基于调度机构级别的跨系统访问权限控制方法及系统 | |
US7937432B2 (en) | State transition management according to a workflow management policy | |
US8365261B2 (en) | Implementing organization-specific policy during establishment of an autonomous connection between computer resources | |
CN108092945B (zh) | 访问权限的确定方法和装置、终端 | |
EP3047626A1 (en) | Multiple resource servers with single, flexible, pluggable oauth server and oauth-protected restful oauth consent management service, and mobile application single sign on oauth service | |
US20050278384A1 (en) | External authentication against a third-party directory | |
CN106878084B (zh) | 一种权限控制方法和装置 | |
US11126460B2 (en) | Limiting folder and link sharing | |
CN105740656A (zh) | 数据权限管理方法及装置 | |
US20170139680A1 (en) | Systems, methods, and media for graphical task creation | |
US9237156B2 (en) | Systems and methods for administrating access in an on-demand computing environment | |
CN108416199A (zh) | 一种应用的用户权限控制方法、装置及服务器 | |
CN105376198A (zh) | 访问控制方法及装置 | |
US10333939B2 (en) | System and method for authentication | |
US9967256B2 (en) | System for delivering messages securely via third-party account | |
CN102377589A (zh) | 实现权限管理控制的方法及终端 | |
CN108900475B (zh) | 用户权限控制方法及装置 | |
CN107203594B (zh) | 一种数据处理设备、方法和计算机可读存储介质 | |
CN113722729B (zh) | 一种权限管理方法、装置、终端、服务器及存储介质 | |
CN112685613B (zh) | 一种资源包查询的方法、装置及信息处理系统 | |
US20130174217A1 (en) | Access control information generating system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160706 |
|
RJ01 | Rejection of invention patent application after publication |