CN106845175B - 一种数据权限的设定方法及装置 - Google Patents
一种数据权限的设定方法及装置 Download PDFInfo
- Publication number
- CN106845175B CN106845175B CN201510886173.2A CN201510886173A CN106845175B CN 106845175 B CN106845175 B CN 106845175B CN 201510886173 A CN201510886173 A CN 201510886173A CN 106845175 B CN106845175 B CN 106845175B
- Authority
- CN
- China
- Prior art keywords
- application system
- authority
- data
- setting
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000012545 processing Methods 0.000 claims description 18
- 238000012216 screening Methods 0.000 claims description 7
- 230000009977 dual effect Effects 0.000 abstract description 7
- 238000007726 management method Methods 0.000 description 28
- 238000013475 authorization Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 238000013523 data management Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000011161 development Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2457—Query processing with adaptation to user needs
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种数据权限的设定方法及装置,用以实现精确且差异化的数据权限控制,达到统一控制和满足差异化权限种类双重目的。所述数据权限的设定方法,包括:创建用于设定多个应用系统中用户数据权限的权限设定树,所述权限设定树中包括预设的包含所有应用系统中用户数据权限的根节点、用于设定每一应用系统中用户数据权限的分支以及每一应用系统对应的分支中的主节点,其中,每一应用系统对应的分支中还包括多层子节点,所述多层子节点以及每一子节点的键值和属性由该应用系统动态设定;在任一应用系统对应的分支中设定该应用系统中用户的数据权限。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种数据权限的设定方法及装置。
背景技术
随着信息化的高速发展,各企业和机构内部分工完成各种业务的应用系统越来越多,应用系统繁多且彼此独立,给用户的使用和管理带来很多困难,因此对各个独立的应用进行整合,实现统一的用户管理满足单点登录是最基本的需求。在统一用户管理的基础上,为各个业务系统进行统一的功能权限和数据权限设定是用户迫切需要的。但在数据权限方面,统一设定存在巨大障碍,由于各业务系统的数据权限随业务运用的需求不同和系统设计上的差异,其设定方式和需要控制的内容五花八门,有的需要从数据表一级控制,有的需要从字段一级控制,有的需要从记录一级控制,更多的需要从组合后的数据内容方面提出控制要求,因此由统一用户管理系统进行统一管理是非常困难的。
目前统一用户管理系统要么对数据权限不进行任何管理,其只提供用户管理,而由各应用系统自行处理数据权限的控制。要么提供一种固定且简单的数据权限控制方式,强制要求各应用系统遵守该种设定模式,对于应用系统特殊的控制需求则进行舍弃。要么是两种方式的组合,即部分应用系统遵从统一控制,部分应用系统则自行设定。
现有技术对于统一用户管理系统数据权限的设定一般采用三种方式解决,具体来说:
第一种方式是统一用户管理系统完全不支持数据权限的设定,由各应用系统自行设定数据权限,其带来的优点是数据权限仍可以按各应用系统业务需求进行差异化精细化的控制,缺点是用户管理和数据权限管理分布在不同系统,应用系统也必须在内部建立用户/角色/组织机构等体系,并从统一用户管理系统同步数据才能进行数据权限设定,每个应用系统都必须重复冗余建设,而且对于管理者和运行维护人员来说,用户管理和权限管理分散在不同处,使用起来非常不便并易产生错误。
第二种方式是由统一用户管理系统提供统一的设定方法,例如:各应用系统向统一用户管理系统注册本系统总共有哪几张具体的数据表,每张数据表有哪些字段,在用户管理系统中可以给角色或用户按照允许访问哪些表哪些字段的方式授予数据权限,然后各应用系统读取用户管理系统对用户所赋予的表和字段的访问设置来控制用户的数据访问权限。这种方式的优点是统一了数据权限的授权设置,用户使用起来一致性好,操作便捷。缺点是授权能力很有限,如果业务系统不是按表-字段模式授权,系统就无法支持。
第三种方式是第一种方式和第二种方式的组合,即统一用户管理系统提供表-字段的简易数据权限统一设定模式,部分能满足业务需求的应用采用统一设定,不能满足业务需求的应用采用同步用户和角色然后自行设定数据权限的方式实现。
现有技术中由于各应用系统根据业务应用需要对数据分类及数据权限的设定要求五花八门,差异巨大,统一用户管理系统只能提供类似于表-字段的简易化统一设定模式,很难满足各业务系统多样化的数据管理和授权控制,严重限制了业务运用的需求。对于复杂的数据控制和授权要求,只能通过各应用系统自行实现,造成的后果是用户管理和数据授权分离,客户运用不便且容易出错,应用系统需要同步用户管理系统的数据并进行冗余存储,造成系统设计开发成本上升,难度提高可靠性降低,同时使得统一用户管理丧失了很大作用。
综上所述,现有技术中在设定各个应用系统中用户的数据权限时,只能提供类似于表-字段的简易化统一设定模式,很难满足多样化的数据管理和授权控制,而且如果通过各应用系统自行设定用户的数据权限,不但难度高,而且可靠性低,同时使得统一用户管理丧失了作用。
发明内容
本发明实施例提供了一种数据权限的设定方法及装置,用以实现精确且差异化的数据权限控制,达到统一控制和满足差异化权限种类双重目的。
本发明实施例提供的一种数据权限的设定方法,该方法包括:创建用于设定多个应用系统中用户数据权限的权限设定树,所述权限设定树中包括预设的包含所有应用系统中用户数据权限的根节点、用于设定每一应用系统中用户数据权限的分支以及每一应用系统对应的分支中的主节点,其中,每一应用系统对应的分支中还包括多层子节点,所述多层子节点以及每一子节点的键值和属性由该应用系统动态设定;在任一应用系统对应的分支中设定该应用系统中用户的数据权限。
本发明实施例提供的上述方法中,创建用于设定多个应用系统中用户数据权限的权限设定树,且每一应用系统对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用系统动态设定,并在该权限设定树中与每一应用系统对应的分支中设定该应用系统中用户的数据权限,与现有技术中只能提供表-字段的简易化统一设定模式,难以满足多样化的数据管理和授权控制相比,在权限设定树的各个分支中设定各个应用系统中用户的数据权限,不但为各个应用系统提供了统一的数据权限设定,而且每一应用系统对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用系统动态设定,各个应用系统使用各自的分支设定用户的数据权限,满足了各个应用系统数据权限与各自业务密切相关,数据权限种类划分差异巨大的特点,从而实现精确且差异化的数据权限控制,达到统一控制和满足差异化权限种类双重目的。
在一种可能的实施方式中,本发明实施例提供的上述方法中,每一应用系统对应的分支中,主节点与该应用系统的名称相对应,所述多层子节点包括多个子节点,且每一子节点与该应用系统中待设定数据权限的键值一一对应;所述在任一应用系统对应的分支中设定该应用系统中用户的数据权限,包括:在任一应用系统对应的分支中的多个子节点中设定该应用系统中用户的数据权限。
在一种可能的实施方式中,本发明实施例提供的上述方法中,任一应用系统对应的分支中,与主节点相连接的多个子节点对应的多个待设定数据权限的键值互不相同。
在一种可能的实施方式中,本发明实施例提供的上述方法中,所述在任一应用系统对应的分支中的多个子节点中设定该应用系统中用户的数据权限,包括:针对所述多个子节点中的任一子节点,在该子节点中设定该应用系统中该子节点对应的键值的权限,所述权限包括以下任意一种:授权、禁止以及跟随当前子节点的上一级子节点的权限设定。
在一种可能的实施方式中,本发明实施例提供的上述方法中,该方法还包括:在查询任一应用系统中任一用户的数据权限时,从所述权限设定树中该应用系统对应的分支中查询该用户在每个子节点上的权限状态。
在一种可能的实施方式中,本发明实施例提供的上述方法中,在从所述权限设定树中该应用系统对应的分支中查询该用户在每个子节点上的权限状态之后,该方法还包括:根据该子节点对应的待设定数据权限的键值的属性对该键值所包含的数据进行筛选。
在一种可能的实施方式中,本发明实施例提供的上述方法中,所述待设定数据权限的键值的属性为限制性结构化查询语言SQL条件。
本发明实施例提供的一种数据权限的设定装置,包括:处理单元,用于创建设定多个应用系统中用户数据权限的权限设定树,所述权限设定树中包括预设的包含所有应用系统中用户数据权限的根节点、用于设定每一应用系统中用户数据权限的分支以及每一应用系统对应的分支中的主节点,其中,每一应用系统对应的分支中还包括多层子节点,所述多层子节点以及每一子节点的键值和属性由该应用系统动态设定;权限设定单元,用于在任一应用系统对应的分支中设定该应用系统中用户的数据权限。
本发明实施例提供的上述装置中,创建用于设定多个应用系统中用户数据权限的权限设定树,且每一应用系统对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用系统动态设定,并在该权限设定树中与每一应用系统对应的分支中设定该应用系统中用户的数据权限,与现有技术中只能提供表-字段的简易化统一设定模式,难以满足多样化的数据管理和授权控制相比,在权限设定树的各个分支中设定各个应用系统中用户的数据权限,不但为各个应用系统提供了统一的数据权限设定,而且每一应用系统对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用系统动态设定,各个应用系统使用各自的分支中设定用户的数据权限,满足了各个应用系统数据权限与各自业务密切相关,数据权限种类划分差异巨大的特点,从而实现精确且差异化的数据权限控制,达到统一控制和满足差异化权限种类双重目的。
在一种可能的实施方式中,本发明实施例提供的上述装置中,每一应用系统对应的分支中,主节点与该应用系统的名称相对应,所述多层子节点包括多个子节点,且每一子节点与该应用系统中待设定数据权限的键值一一对应;所述权限设定单元,具体用于:在任一应用系统对应的分支中的多个子节点中设定该应用系统中用户的数据权限。
在一种可能的实施方式中,本发明实施例提供的上述装置中,任一应用系统对应的分支中,与主节点相连接的多个子节点对应的多个待设定数据权限的键值互不相同。
在一种可能的实施方式中,本发明实施例提供的上述装置中,所述权限设定单元在任一应用系统对应的分支中的多个子节点中设定该应用系统中用户的数据权限,具体用于:针对所述多个子节点中的任一子节点,所述权限设定单元在该子节点中设定该应用系统中该子节点对应的键值的权限,所述权限包括以下任意一种:授权、禁止以及跟随当前子节点的上一级子节点的权限设定。
在一种可能的实施方式中,本发明实施例提供的上述装置中,所述处理单元还用于:在查询任一应用系统中任一用户的数据权限时,从所述权限设定树中该应用系统对应的分支中查询该用户在每个子节点上的权限状态。
在一种可能的实施方式中,本发明实施例提供的上述装置中,所述处理单元从所述权限设定树中该应用系统对应的分支中查询该用户在每个子节点上的权限状态之后,还用于:根据该子节点对应的待设定数据权限的键值的属性对该键值所包含的数据进行筛选。
在一种可能的实施方式中,本发明实施例提供的上述装置中,所述待设定数据权限的键值的属性为限制性结构化查询语言SQL条件。
附图说明
图1为本发明实施例提供的一种数据权限的设定方法的示意流程图;
图2为本发明实施例提供的一种数据权限的设定装置的结构示意图。
具体实施方式
下面结合附图,对本发明实施例提供的一种数据权限的设定方法及装置的具体实施方式进行详细地说明。
本发明实施例提供的一种数据权限的设定方法,如图1所示,该方法包括:
步骤102,创建用于设定多个应用系统中用户数据权限的权限设定树,权限设定树中包括预设的包含所有应用系统中用户数据权限的根节点、用于设定每一应用系统中用户数据权限的分支以及每一应用系统对应的分支中的主节点,其中,每一应用系统对应的分支中还包括多层子节点,多层子节点以及每一子节点的键值和属性由该应用系统动态设定;
步骤104,在任一应用系统对应的分支中设定该应用系统中用户的数据权限。
本发明实施例提供的方法中,创建用于设定多个应用系统中用户数据权限的权限设定树,且每一应用系统对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用系统动态设定,并在该权限设定树中与每一应用系统对应的分支中设定该应用系统中用户的数据权限,与现有技术中只能提供表-字段的简易化统一设定模式,难以满足多样化的数据管理和授权控制相比,在权限设定树的各个分支中设定各个应用系统中用户的数据权限,不但为各个应用系统提供了统一的数据权限设定,而且每一应用系统对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用系统动态设定,各个应用系统使用各自的分支中设定用户的数据权限,满足了各个应用系统数据权限与各自业务密切相关,数据权限种类划分差异巨大的特点,从而实现精确且差异化的数据权限控制,达到统一控制和满足差异化权限种类双重目的。
值得说明的是,现有技术中对各个应用系统统一设定数据权限的方式存在明显的缺陷,具体来说,第一种方式,也即各个应用系统自行设定数据权限的方式,完全不能统一设定,由各个应用系统自行解决权限设定问题,导致设定数据权限方式不统一,开发难度大且用户操作十分不便;第二种方式,也即由统一用户管理系统提供统一的设定方式,只能提供一种固定的表-字段的统一数据权限控制方式,灵活性很差,如果不能满足应用系统的业务要求,则无法设定;第三种方式是前两种方式的组合,仍存在开发难度大且用户操作不便的问题。本发明实施例提供的数据权限的设定方法,能够在同一用户管理系统中对各个应用系统的数据权限进行统一设定,有集中和一致性的设定界面,而且提供了足够的灵活性,使得各个应用系统根据业务需求的不同,各自规划自身不同的数据分类和数据实体,同时满足了统一设定和业务需求各不相同两个方面的要求。其中,应用系统中的用户可以是角色或组织或者机构等。
具体实施时,创建用于设定多个应用系统中用户数据权限的权限设定树,权限设定树中包括预设的包含所有应用系统中用户数据权限的根节点、用于设定每一应用系统中用户数据权限的分支以及每一应用系统对应的分支中的主节点,每一应用系统对应的分支中还包括多层子节点,所述多层子节点以及每一子节点的键值和属性由该应用系统动态设定,每个子节点的键值可以使用标识符设定,并由应用系统进行解释,其中,该权限设定树的根节点为所有应用系统的总数据权限,是预先建立的,不可更改,而该权限设定树的每一分支对应于一个应用系统,也即该权限设定树的每一个分支由一个应用系统使用,该分支中的多层子节点由各应用系统通过接口自行动态创建和维护,并使用该分支为该应用系统中的用户设定数据权限。
在一种可能的实施方式中,本发明实施例提供的方法中,每一应用系统对应的分支中,主节点与该应用系统的名称相对应,所述多层子节点包括多个子节点,且每一子节点与该应用系统中待设定数据权限的键值一一对应;在任一应用系统对应的分支中设定该应用系统中用户的数据权限,包括:在任一应用系统对应的分支中的多个子节点中设定该应用系统中用户的数据权限。
具体实施时,用于设定每一应用系统中用户数据权限的分支包括:与该应用系统名称对应的主节点以及与该主节点连接的用于设定应用系统中用户数据权限的多个子节点,也即该权限设定树中的每一分支用于设定一个应用系统中用户的数据权限,每一分支中的主节点对应应用系统的应用系统名称,与主节点相连接的子节点均由该主节点对应的应用系统使用,该分支内子节点的层级及子节点的数目由各个应用系统通过接口动态创建和维护,各个子节点对应的待设定数据权限的键值和属性也由应用系统自由设定,各个子节点的含义由应用系统自行设定和解释,其中,在任一应用系统对应的分支中设定该应用系统中用户的数据权限时,包括:在任一应用系统对应的分支中的多个子节点中设定该应用系统中用户的数据权限。
值得说明的是,权限设定树还提供访问接口,以供各个应用系统进行访问,提供的接口访问能力包括:遍历浏览本应用系统所属分支的各个节点(包括主节点和多个子节点),获取节点的键值、属性、节点状态、节点的父节点及该节点的子节点;在分支中任意添加子节点,设定子节点的属性;修改分支中任意子节点的键值和属性;删除子节点,删除该分支中的子分支;提供查找功能,可以按名称查找子节点;提供的接口访问为动态数据访问,应用系统运行过程中可随时对分支的各个节点进行增加、删除、修改以及查找等操作。
在一种可能的实施方式中,本发明实施例提供的方法中,任一应用系统对应的分支中,与主节点相连接的多个子节点对应的多个待设定数据权限的键值互不相同。
具体实施时,任一应用系统对应的分支中,与主节点相连接的多个子节点对应的多个待设定数据权限的键值互不相同,也即同一应用系统对应的分支下,各个子节点对应的待设定数据权限的键值互不相同,以确保权限设定树中任一子节点的全名称均不相同,其中,全名称指包含根节点、主节点等全路径的名称,但是不同应用系统对应的不同分支中,子节点对应的待设定数据权限的键值可以相同。
在一种可能的实施方式中,本发明实施例提供的方法中,在任一应用系统对应的分支中的多个子节点中设定该应用系统中用户的数据权限,包括:针对多个子节点中的任一子节点,在该子节点中设定该应用系统中该子节点对应的键值的权限,权限包括以下任意一种:授权、禁止以及跟随当前子节点的上一级子节点的权限设定。
值得说明的是,每个子节点可以有授权、禁止以及跟随当前子节点的上一级子节点的权限设定三种状态,根节点处于跟随当前子节点的上一级子节点的权限设定时,其含义为禁止,而且权限设定树中任一子节点的权限状态改变时,不会联动引起其它子节点的状态自动变化。在具体实施时,为了方便设定授权、禁止以及跟随当前子节点的上一级子节点的权限设定三种状态,可以使用符号或者数字代替三种状态,作为较为一种具体的实施例,√表示该子节点的权限为授权,□表示该子节点的权限为跟随当前子节点的上一级子节点的权限设定,X表示该子节点的权限为禁止;作为另一种较为具体的实施例,1表示该子节点的权限为授权,2表示该子节点的权限为跟随当前子节点的上一级子节点的权限设定,3表示该子节点的权限为禁止,当然,此处并不用于具体限定。
在一种可能的实施方式中,本发明实施例提供的方法中,该方法还包括:在查询任一应用系统中任一用户的数据权限时,从权限设定树中该应用系统对应的分支中查询该用户在每个子节点上的权限状态。
具体实施时,使用权限设定树通过设定每个分支中子节点的权限给每个应用系统中的角色或者用户或者组织设定数据权限之后,各应用系统还可以查询用户的数据权限,当任一应用系统查询指定用户数据权限时,提供接口返回该应用系统在权限设定树中对应的分支,分支中各子节点的权限是该用户所有数据权限的合并,当然,任一子节点上的权限包括:直接对该用户的授权以及通过角色或组织授权再作用到用户上的。其中,应用系统得到的指定用户的数据权限是多种方式授权进行节点状态合并后的数据权限,具体来说,同一子节点进行状态合并时应遵循授权的优先级高于禁止、禁止的优先级高于跟随当前子节点的上一级子节点的权限设定的原则,当然,在其它实施例中也可以设定其它的原则。
在一种可能的实施方式中,本发明实施例提供的方法中,在从权限设定树中该应用系统对应的分支中查询该用户在每个子节点上的权限状态之后,该方法还包括:根据该子节点对应的待设定数据权限的键值的属性对该键值所包含的数据进行筛选。
具体实施时,应用系统在子节点中设定该子节点对应的待设定数据权限的键值的属性,包括属性名和属性值,例如:属性名可以数字或字符串标示,属性值可以以数字、字符串或者二进制数据块的形式存储,较为优选地,待设定数据权限的键值的属性值为限制性结构化查询语言SQL条件,例如:授权访问的SQL条件和禁止访问的SQL条件。在每个子节点中存储该子节点对应的待设定数据权限的键值的属性,以便于在从权限设定树中该应用系统对应的分支中查询该用户在每个子节点上的权限状态之后,能够根据该子节点对应的待设定数据权限的键值的属性对该键值所包含的数据进行筛选。较为优选地,从子节点中取出存储的限制性结构化查询语言SQL条件作为数据筛选的条件,对该子节点对应的待设定数据权限的键值所包含的数据进行筛选。
本发明实施例提供的数据权限的设定方法,支持各个应用系统根据自身业务应用数据权限对其中的设定内容项进行动态定制和解释,由统一用户管理系统按照设定项对用户、角色、机构进行设定赋值后,当用户访问应用系统时,由应用系统读取统一用户管理系统中的对该用户的数据权限设定,并对数据权限设定进行自行解析,获取该用户的数据权限,从而访问应用系统中的数据。
本发明实施例提供的一种数据权限的设定装置,如图2所示,包括:处理单元202,用于创建设定多个应用系统中用户数据权限的权限设定树,权限设定树中包括预设的包含所有应用系统中用户数据权限的根节点、用于设定每一应用系统中用户数据权限的分支以及每一应用系统对应的分支中的主节点,其中,每一应用系统对应的分支中还包括多层子节点,所述多层子节点以及每一子节点的键值和属性由该应用系统动态设定;权限设定单元204,用于在任一应用系统对应的分支中设定该应用系统中用户的数据权限。
本发明实施例提供的装置中,创建用于设定多个应用系统中用户数据权限的权限设定树,且每一应用系统对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用系统动态设定,并在该权限设定树中与每一应用系统对应的分支中设定该应用系统中用户的数据权限,与现有技术中只能提供表-字段的简易化统一设定模式,难以满足多样化的数据管理和授权控制相比,在权限设定树的各个分支中设定各个应用系统中用户的数据权限,不但为各个应用系统提供了统一的数据权限设定,而且每一应用系统对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用系统动态设定,各个应用系统使用各自的分支中设定用户的数据权限,满足了各个应用系统数据权限与各自业务密切相关,数据权限种类划分差异巨大的特点,从而实现精确且差异化的数据权限控制,达到统一控制和满足差异化权限种类双重目的。
在一种可能的实施方式中,本发明实施例提供的装置中,每一应用系统对应的分支中,主节点与该应用系统的名称相对应,所述多层子节点包括多个子节点,且每一子节点与该应用系统中待设定数据权限的键值一一对应;权限设定单元204,具体用于:在任一应用系统对应的分支中的多个子节点中设定该应用系统中用户的数据权限。
在一种可能的实施方式中,本发明实施例提供的装置中,任一应用系统对应的分支中,与主节点相连接的多个子节点对应的多个待设定数据权限的键值互不相同。
在一种可能的实施方式中,本发明实施例提供的装置中,权限设定单元204在任一应用系统对应的分支中的多个子节点中设定该应用系统中用户的数据权限,具体用于:针对多个子节点中的任一子节点,权限设定单元204在该子节点中设定该应用系统中该子节点对应的键值的权限,权限包括以下任意一种:授权、禁止以及跟随当前子节点的上一级子节点的权限设定。
在一种可能的实施方式中,本发明实施例提供的装置中,处理单元202还用于:在查询任一应用系统中任一用户的数据权限时,从权限设定树中该应用系统对应的分支中查询该用户在每个子节点上的权限状态。
在一种可能的实施方式中,本发明实施例提供的装置中,处理单元202从权限设定树中该应用系统对应的分支中查询该用户在每个子节点上的权限状态之后,还用于:根据该子节点对应的待设定数据权限的键值的属性对该键值所包含的数据进行筛选。
在一种可能的实施方式中,本发明实施例提供的装置中,待设定数据权限的键值的属性为限制性结构化查询语言SQL条件。
本发明实施例提供的数据权限的设定装置可以应用在统一用户管理系统中,其中,处理单元202和权限设定单元204均可以采用CPU等处理器。
综上所述,本发明实施例提供的一种数据权限的设定方法及装置,创建用于设定多个应用系统中用户数据权限的权限设定树,且每一应用系统对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用系统动态设定,并在该权限设定树中与每一应用系统对应的分支中设定该应用系统中用户的数据权限,在权限设定树的各个分支中设定各个应用系统中用户的数据权限,不但为各个应用系统提供了统一的数据权限设定,而且每一应用系统对应的分支中的多层子节点以及每个子节点的键值和属性均由该应用系统动态设定,各个应用系统使用各自的分支中设定用户的数据权限,满足了各个应用系统数据权限与各自业务密切相关,数据权限种类划分差异巨大的特点,从而实现精确且差异化的数据权限控制,达到统一控制和满足差异化权限种类双重目的。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种数据权限的设定方法,其特征在于,该方法包括:
创建用于设定多个应用系统中用户数据权限的权限设定树,所述权限设定树中包括预设的包含所有应用系统中用户数据权限的根节点、用于设定每一应用系统中用户数据权限的分支以及每一应用系统对应的分支中的主节点,其中,每一应用系统对应的分支中还包括多层子节点,所述多层子节点以及每一子节点的键值和属性由该应用系统动态设定;
在任一应用系统对应的分支中设定该应用系统中用户的数据权限;
每一应用系统对应的分支中,主节点与该应用系统的名称相对应,所述多层子节点包括多个子节点,且每一子节点与该应用系统中待设定数据权限的键值一一对应;
所述在任一应用系统对应分支中设定该应用系统中用户的数据权限,包括:在任一应用系统对应的分支中的多个子节点中设定该应用系统中用户的数据权限。
2.根据权利要求1所述的方法,其特征在于,任一应用系统对应的分支中,与主节点相连接的多个子节点对应的多个待设定数据权限的键值互不相同。
3.根据权利要求1所述的方法,其特征在于,所述在任一应用系统对应的分支中的多个子节点中设定该应用系统中用户的数据权限,包括:
针对所述多个子节点中的任一子节点,在该子节点中设定该应用系统中该子节点对应的键值的权限,所述权限包括以下任意一种:授权、禁止以及跟随当前子节点的上一级子节点的权限设定。
4.根据权利要求1-3中任一项所述的方法,其特征在于,该方法还包括:在查询任一应用系统中任一用户的数据权限时,从所述权限设定树中该应用系统对应的分支中查询该用户在每个子节点上的权限状态。
5.根据权利要求4所述的方法,其特征在于,在从所述权限设定树中该应用系统对应的分支中查询该用户在每个子节点上的权限状态之后,该方法还包括:根据该子节点对应的待设定数据权限的键值的属性对该键值所包含的数据进行筛选。
6.根据权利要求5所述的方法,其特征在于,所述待设定数据权限的键值的属性为限制性结构化查询语言SQL条件。
7.一种数据权限的设定装置,其特征在于,包括:
处理单元,用于创建设定多个应用系统中用户数据权限的权限设定树,所述权限设定树中包括预设的包含所有应用系统中用户数据权限的根节点、用于设定每一应用系统中用户数据权限的分支以及每一应用系统对应的分支中的主节点,其中,每一应用系统对应的分支中还包括多层子节点,所述多层子节点以及每一子节点的键值和属性由该应用系统动态设定;
权限设定单元,用于在任一应用系统对应的分支中设定该应用系统中用户的数据权限;
每一应用系统对应的分支中,主节点与该应用系统的名称相对应,所述多层子节点包括多个子节点,且每一子节点与该应用系统中待设定数据权限的键值一一对应;
所述权限设定单元,具体用于:在任一应用系统对应的分支中的多个子节点中设定该应用系统中用户的数据权限。
8.根据权利要求7所述的装置,其特征在于,任一应用系统对应的分支中,与主节点相连接的多个子节点对应的多个待设定数据权限的键值互不相同。
9.根据权利要求7所述的装置,其特征在于,所述权限设定单元在任一应用系统对应的分支中的多个子节点中设定该应用系统中用户的数据权限,具体用于:
针对所述多个子节点中的任一子节点,所述权限设定单元在该子节点中设定该应用系统中该子节点对应的键值的权限,所述权限包括以下任意一种:授权、禁止以及跟随当前子节点的上一级子节点的权限设定。
10.根据权利要求7-9中任一项所述的装置,其特征在于,所述处理单元还用于:在查询任一应用系统中任一用户的数据权限时,从所述权限设定树中该应用系统对应的分支中查询该用户在每个子节点上的权限状态。
11.根据权利要求10所述的装置,其特征在于,所述处理单元从所述权限设定树中该应用系统对应的分支中查询该用户在每个子节点上的权限状态之后,还用于:根据该子节点对应的待设定数据权限的键值的属性对该键值所包含的数据进行筛选。
12.根据权利要求11所述的装置,其特征在于,所述待设定数据权限的键值的属性为限制性结构化查询语言SQL条件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510886173.2A CN106845175B (zh) | 2015-12-04 | 2015-12-04 | 一种数据权限的设定方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510886173.2A CN106845175B (zh) | 2015-12-04 | 2015-12-04 | 一种数据权限的设定方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106845175A CN106845175A (zh) | 2017-06-13 |
CN106845175B true CN106845175B (zh) | 2021-03-30 |
Family
ID=59150982
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510886173.2A Active CN106845175B (zh) | 2015-12-04 | 2015-12-04 | 一种数据权限的设定方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106845175B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110062020B (zh) * | 2018-01-19 | 2022-02-01 | 深圳竹云科技有限公司 | 一种身份管理方法及系统 |
CN108804678B (zh) * | 2018-06-12 | 2022-04-15 | 深圳市茁壮网络股份有限公司 | 一种列表节点管理方法及装置 |
CN109379363B (zh) * | 2018-10-25 | 2019-07-12 | 北京开普云信息科技有限公司 | 一种基于集约化治理平台的单点登录集成方法及系统 |
CN114912086A (zh) * | 2022-03-29 | 2022-08-16 | 广州超音速自动化科技股份有限公司 | 一种软件权限管理分配方法及系统 |
CN114780933B (zh) * | 2022-06-22 | 2022-10-11 | 煜象科技(杭州)有限公司 | 一种支持多应用的数据权限控制方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101587439A (zh) * | 2009-06-24 | 2009-11-25 | 用友软件股份有限公司 | 业务系统、权限系统和用于业务系统的数据权限控制方法 |
CN102354356A (zh) * | 2011-09-29 | 2012-02-15 | 用友软件股份有限公司 | 数据权限管理装置和方法 |
CN102402652A (zh) * | 2010-09-16 | 2012-04-04 | 金蝶软件(中国)有限公司 | 一种权限控制的方法、系统及终端 |
CN102411575A (zh) * | 2010-09-21 | 2012-04-11 | 北京大学 | 一种网页显示方法、系统以及服务器 |
CN104346383A (zh) * | 2013-07-31 | 2015-02-11 | 上海云端广告有限公司 | 一种数据权限控制方法和系统 |
-
2015
- 2015-12-04 CN CN201510886173.2A patent/CN106845175B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101587439A (zh) * | 2009-06-24 | 2009-11-25 | 用友软件股份有限公司 | 业务系统、权限系统和用于业务系统的数据权限控制方法 |
CN102402652A (zh) * | 2010-09-16 | 2012-04-04 | 金蝶软件(中国)有限公司 | 一种权限控制的方法、系统及终端 |
CN102411575A (zh) * | 2010-09-21 | 2012-04-11 | 北京大学 | 一种网页显示方法、系统以及服务器 |
CN102354356A (zh) * | 2011-09-29 | 2012-02-15 | 用友软件股份有限公司 | 数据权限管理装置和方法 |
CN104346383A (zh) * | 2013-07-31 | 2015-02-11 | 上海云端广告有限公司 | 一种数据权限控制方法和系统 |
Non-Patent Citations (1)
Title |
---|
《如何在应用系统中实现数据权限的控制功能》;伍华聪;《https://www.cnblogs.com/wuhuacong/p/3664204.html》;20140414;正文第1-4页,以及图1-2 * |
Also Published As
Publication number | Publication date |
---|---|
CN106845175A (zh) | 2017-06-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106845175B (zh) | 一种数据权限的设定方法及装置 | |
US20210103587A1 (en) | Data sharing in database systems | |
US11128465B2 (en) | Zero-knowledge identity verification in a distributed computing system | |
CN100375971C (zh) | 分级布局指定的方法 | |
US11082226B2 (en) | Zero-knowledge identity verification in a distributed computing system | |
US10367824B2 (en) | Policy management, enforcement, and audit for data security | |
US20160294881A1 (en) | Delegating administration rights using application containers | |
CN112654973A (zh) | 跨平台集成云内容项的技术 | |
US20100262624A1 (en) | Discovery of inaccessible computer resources | |
US20140013400A1 (en) | Computer implemented methods and apparatus for managing permission sets and validating user assignments | |
US20230418818A1 (en) | Sharing materialized views in multiple tenant database systems | |
CN111263939A (zh) | 具有增量处理的节点网络 | |
US10963464B2 (en) | Multiple partitioning schemes for partitioned database objects | |
US10489386B2 (en) | Managing transactions requesting non-existing index keys in database systems | |
CN107786355A (zh) | 一种智慧城市信息共享的方法和装置 | |
CN111936996A (zh) | 节点网络的安全数据管理 | |
US10437821B2 (en) | Optimization of split queries | |
CN111274587A (zh) | 控制用户访问对象的系统和方法 | |
Won et al. | Advanced resource management with access control for multitenant Hadoop | |
US8694559B2 (en) | Using database content for multiple business data systems connected to one database | |
US10826985B2 (en) | System and method for content tethering in an enterprise content management system | |
CN103500315A (zh) | 一种信息资源合理分类和使用权限分配系统 | |
CN113986545A (zh) | 用户与角色关联方法及装置 | |
US11194773B2 (en) | Integration of existing databases into a sharding environment | |
CN106534370B (zh) | 端到端的数据管理/操作方法和系统、服务器及终端设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |