CN107844711B - 数据操作权限隔离方法、应用服务器及计算机可读存储介质 - Google Patents

数据操作权限隔离方法、应用服务器及计算机可读存储介质 Download PDF

Info

Publication number
CN107844711B
CN107844711B CN201710962907.XA CN201710962907A CN107844711B CN 107844711 B CN107844711 B CN 107844711B CN 201710962907 A CN201710962907 A CN 201710962907A CN 107844711 B CN107844711 B CN 107844711B
Authority
CN
China
Prior art keywords
data
information
user
view
contextual information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710962907.XA
Other languages
English (en)
Other versions
CN107844711A (zh
Inventor
李佳
王浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN201710962907.XA priority Critical patent/CN107844711B/zh
Priority to PCT/CN2018/076143 priority patent/WO2019075966A1/zh
Publication of CN107844711A publication Critical patent/CN107844711A/zh
Application granted granted Critical
Publication of CN107844711B publication Critical patent/CN107844711B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种数据操作权限隔离方法,所述方法包括:获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中;并同步至当前连接到数据库会话的第二上下文信息中;基于数据表创建数据视图;根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据。本发明还提供一种应用服务器及计算机可读存储介质。本发明可以通过同步上下文信息以获取用户信息。在数据库中建立并保存机构关系图,并结合通过基本表建立视图的方式,实现了对拥有不同权限的特定用户显示不同的特定数据,达到了所述用户可以访问自身部门机构的数据,也可访问下层机构的数据的技术效果。

Description

数据操作权限隔离方法、应用服务器及计算机可读存储介质
技术领域
本发明涉及数据库技术领域,尤其涉及数据操作权限隔离方法、应用服务器及计算机可读存储介质。
背景技术
出于权限隔离和安全管理要求,通常IT系统的数据都要隔离权限进行操作,即只能操作自身授权能操作的数据,不能操作未授权的数据。常见的一种操作权限隔离要求,是上下级权限隔离。举个例子,A机构有下级机构B和C,对数据操作权限隔离的要求是,A机构能操作自身和向下B、C的数据,B机构只能操作自身的数据,C机构同理。
以前对于此类数据操作权限隔离的需求,一般都是通过在系统实现过程中,在代码逻辑中写入,导致每实现一个功能,就必须在代码逻辑中添加权限控制代码。造成了系统管理员开发维护工作量大,且使得功能开发较慢,一旦发生遗漏添加的情况,将出现安全风险。
发明内容
有鉴于此,本发明提出一种数据操作权限隔离方法、应用服务器及计算机可读存储介质,可以通过将应用系统的上下文信息设置到当前数据库会话的上下文信息中,可以迅速完成所述数据库对用户信息的获取。在数据库中建立并保存机构关系图,并结合通过基本表建立视图的方式,实现了对拥有不同权限的特定用户显示不同的特定数据,达到了所述用户可以访问自身部门机构的数据,也可访问下层机构的数据的技术效果。
首先,为实现上述目的,本发明提出一种应用服务器,所述应用服务器包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的数据操作权限隔离程序,所述数据操作权限隔离程序被所述处理器执行时实现如下步骤:
获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中;
将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中;
基于数据表创建数据视图;及
根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据。
可选地,在所述基于数据表创建数据视图的步骤中,所述数据操作权限隔离程序被所述处理器执行时,还实现如下步骤:
获取所述数据表;
以所述数据表为基表,以机构名称/机构编码为关键字条件对所述数据表进行所述数据视图的创建;
设置所述数据视图的操作属性,所述操作属性可设置为可编辑属性或只读属性。
所述数据表内的数据内容包括所述各个机构下的数据资料,所述数据资料可以包括客户资料、业务员资料、保单资料及考勤资料等。
可选地,在所述数据视图根据所述数据库会话的第二上下文信息,显示特定数据的步骤中,所述数据操作权限隔离程序被所述处理器执行时,还实现如下步骤:
所述数据视图获取所述数据库会话的第二上下文信息;
从所述数据库中获取机构关系图,所述机构关系图用于储存各个机构之间的从属关系;
从所述第二上下文信息提取所述操作用户的可操作机构;
所述数据视图根据所述操作用户的可操作机构以及所述机构关系图在所述数据视图中检索并显示对应数据。
可选地,所述数据操作权限隔离程序被所述处理器执行时,为建立所述组织结构图,还实现如下步骤:
获取所述各个机构的机构信息,所述机构信息包括机构名称、机构编号及上下级关系;
根据所述机构信息定义所述机构关系图;
保存所述机构信息和所述机构关系图至所述数据库中。
此外,为实现上述目的,本发明还提供一种数据操作权限隔离方法,该方法应用于应用服务器,所述方法包括:
获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中;
将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中;
基于数据表创建数据视图;及
根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据。
可选地,在所述基于数据表创建数据视图的步骤中,具体包括:
获取所述数据表;
以所述数据表为基表,以机构名称/机构编码为关键字条件对所述数据表进行所述数据视图的创建;
设置所述数据视图的操作属性,所述操作属性可设置为可编辑属性或只读属性。
所述数据表内的数据内容包括所述各个机构下的数据资料,所述数据资料可以包括客户资料、业务员资料、保单资料及考勤资料等。
可选地,在所述数据视图根据所述数据库会话的第二上下文信息,显示特定数据的步骤中,具体包括:
所述数据视图获取所述数据库会话的第二上下文信息;
从所述数据库中获取机构关系图,所述机构关系图用于储存各个机构之间的从属关系;
从所述第二上下文信息提取所述操作用户的可操作机构;
所述数据视图根据所述操作用户的可操作机构以及所述机构关系图在所述数据视图中检索并显示对应数据。
可选地,为建立所述组织结构图,所述方法还包括如下步骤:
获取所述各个机构的机构信息,所述机构信息包括机构名称、机构编号及上下级关系;
根据所述机构信息定义所述机构关系图;
保存所述机构信息和所述机构关系图至所述数据库中。
可选地,所述数据操作权限隔离方法还包括如下步骤:
根据所述数据视图的操作属性判断是否响应所述用户的操作请求;
若所述数据视图为可编辑属性,响应所述用户通过所述数据视图对所述基表执行增删改操作请求;
若所述数据视图为只读属性,拒绝所述用户通过所述数据视图对所述基表执行增删改操作请求。
进一步地,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有数据操作权限隔离程序,所述数据操作权限隔离程序可被至少一个处理器执行,以使所述至少一个处理器执行如上述的数据操作权限隔离方法的步骤。
相较于现有技术,本发明所提出的应用服务器、数据操作权限隔离方法及计算机可读存储介质,首先,获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中;其次,将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中;再次,基于数据表创建数据视图;最后,根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据。这样,可以通过将应用系统的上下文信息设置到当前数据库会话的上下文信息中,可以迅速完成所述数据库对用户信息的获取。在数据库中建立并保存机构关系图,并结合通过基本表建立视图的方式,实现了对拥有不同权限的特定用户显示不同的特定数据,达到了所述用户可以访问自身部门机构的数据,也可访问下层机构的数据的技术效果。
附图说明
图1是本发明应用服务器一可选的硬件架构的示意图;
图2是本发明数据操作权限隔离程序第一实施例的程序模块示意图;
图3是本发明数据操作权限隔离程序第二实施例的程序模块示意图;
图4为本发明数据操作权限隔离方法第一实施例的实施流程示意图;
图5为本发明数据操作权限隔离方法第二实施例的实施流程示意图。
附图标记:
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
参阅图1所示,是本发明应用服务器2一可选的硬件架构的示意图。
本实施例中,所述应用服务器2可包括,但不仅限于,可通过系统总线相互通信连接存储器11、处理器12、网络接口13。需要指出的是,图2仅示出了具有组件11-13的应用服务器2,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
其中,所述应用服务器2可以是机架式服务器、刀片式服务器、塔式服务器或机柜式服务器等计算设备,该应用服务器2可以是独立的服务器,也可以是多个服务器所组成的服务器集群。
所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器11可以是所述应用服务器2的内部存储单元,例如该应用服务器2的硬盘或内存。在另一些实施例中,所述存储器11也可以是所述应用服务器2的外部存储设备,例如该应用服务器2上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(FlashCard)等。当然,所述存储器11还可以既包括所述应用服务器2的内部存储单元也包括其外部存储设备。本实施例中,所述存储器11通常用于存储安装于所述应用服务器2的操作系统和各类应用软件,例如数据操作权限隔离程序200的程序代码等。此外,所述存储器11还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器12在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器12通常用于控制所述应用服务器2的总体操作。本实施例中,所述处理器12用于运行所述存储器11中存储的程序代码或者处理数据,例如运行所述的数据操作权限隔离程序200等。
所述网络接口13可包括无线网络接口或有线网络接口,该网络接口13通常用于在所述应用服务器2与其他电子设备之间建立通信连接。
至此,己经详细介绍了本发明相关设备的硬件结构和功能。下面,将基于上述介绍提出本发明的各个实施例。
首先,本发明提出一种数据操作权限隔离程序200。
参阅图2所示,是本发明数据操作权限隔离程序200第一实施例的程序模块图。
本实施例中,所述数据操作权限隔离程序200包括一系列的存储于存储器11上的计算机程序指令,当该计算机程序指令被处理器12执行时,可以实现本发明各实施例的数据操作权限隔离操作。在一些实施例中,基于该计算机程序指令各部分所实现的特定的操作,数据操作权限隔离程序200可以被划分为一个或多个模块。例如,在图3中,数据操作权限隔离程序200可以被分割成获取模块201、同步模块202、视图创建模块203及显示模块204。其中:
所述获取模块201,用于获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中。
在一实施例中,所述获取模块301可以在所述用户登录所述应用系统时,获取所述用户的用户信息。
所述用户信息包括用户名及可操作机构。
所述可操作机构为所述用户当前所在的部门机构。在一实施例中,第一用户所在的机构为A,所述第一用户的可操作机构为A。
所述获取模块201还用于将所述用户信息保存至所述应用系统的第一上下文信息中。
所述同步模块202,用于将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中;
在一实施例中,在所述应用系统连接所述数据库时,所述同步模块301首先获取自身的上下文信息。
所述上下文信息包括所述用户的用户信息。
所述上下文信息包括所述用户名及所述可操作机构。
所述同步模块202还用于将获取的所述上下文信息设置到当前数据库会话中的所述数据库的上下文信息中。
在一优选实施例中,所述数据库可以为oracle数据库。
在一优选实施例中,所述应用系统可以为J2EE架构系统。
所述视图创建模块203,用于基于数据表创建数据视图。
在一实施例中,所述视图创建模块203具体用于获取所述数据表;以所述数据表为基表,以机构名称/机构编码为关键字条件对所述数据表进行所述数据视图的创建;设置所述数据视图的操作属性。
在一优选实施例中,所述操作属性可设置为可编辑属性或只读属性。
所述显示模块204,用于根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据。
在一实施例中,所述显示模块204具体用于获取所述数据库会话的第二上下文信息;从所述数据库中获取机构关系图,所述机构关系图用于储存各个机构之间的从属关系;从所述第二上下文信息提取所述操作用户的可操作机构;根据所述操作用户的可操作机构以及所述机构关系图在所述数据视图中检索并显示对应数据。
从上文可知,所述应用服务器2的所述获取模块201获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中;所述同步模块202将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中;所述视图创建模块203基于数据表创建数据视图;所述显示模块204根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据。这样,可以通过将应用系统的上下文信息设置到当前数据库会话的上下文信息中,可以迅速完成所述数据库对用户信息的获取。在数据库中建立并保存机构关系图,并结合通过基本表建立视图的方式,实现了对拥有不同权限的特定用户显示不同的特定数据,达到了所述用户可以访问自身部门机构的数据,也可访问下层机构的数据的技术效果。
通过上述程序模块201-204,本发明所提出的数据操作权限隔离程序200,首先,获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中;其次,将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中;再次,基于数据表创建数据视图;最后,根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据。这样,可以通过将应用系统的上下文信息设置到当前数据库会话的上下文信息中,可以迅速完成所述数据库对用户信息的获取。在数据库中建立并保存机构关系图,并结合通过基本表建立视图的方式,实现了对拥有不同权限的特定用户显示不同的特定数据,达到了所述用户可以访问自身部门机构的数据,也可访问下层机构的数据的技术效果。
参阅图3所示,是本发明数据操作权限隔离程序200第二实施例的程序模块图。本实施例中,所述数据操作权限隔离程序200包括一系列的存储于存储器11上的计算机程序指令,当该计算机程序指令被处理器12执行时,可以实现本发明各实施例的数据操作权限隔离操作。在一些实施例中,基于该计算机程序指令各部分所实现的特定的操作,数据操作权限隔离程序200可以被划分为一个或多个模块。例如,在图3中,数据操作权限隔离程序200可以被分割成获取模块201、同步模块202、视图创建模块203、显示模块204及操作模块205。所述各程序模块201-204与本发明数据操作权限隔离程序200第一实施例相同,并在此基础上增加操作模块205。其中:
所述获取模块201,用于获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中。
在一实施例中,所述获取模块301可以在所述用户登录所述应用系统时,获取所述用户的用户信息。
所述用户信息包括用户名及可操作机构。
所述可操作机构为所述用户当前所在的部门机构。在一实施例中,第一用户所在的机构为A,所述第一用户的可操作机构为A。
所述获取模块201还用于将所述用户信息保存至所述应用系统的第一上下文信息中。
所述同步模块202,用于将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中;
在一实施例中,在所述应用系统连接所述数据库时,所述同步模块301首先获取自身的上下文信息。
所述上下文信息包括所述用户的用户信息。
所述上下文信息包括所述用户名及所述可操作机构。
所述同步模块202还用于将获取的所述上下文信息设置到当前数据库会话中的所述数据库的上下文信息中。
在一优选实施例中,所述数据库可以为oracle数据库。
在一优选实施例中,所述应用系统可以为J2EE架构系统。
所述视图创建模块203,用于基于数据表创建数据视图。
在一实施例中,所述视图创建模块203具体用于获取所述数据表;以所述数据表为基表,以机构名称/机构编码为关键字条件对所述数据表进行所述数据视图的创建;设置所述数据视图的操作属性。
在一优选实施例中,所述操作属性可设置为可编辑属性或只读属性。
所述显示模块204,用于根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据。
在一实施例中,所述显示模块204具体用于获取所述数据库会话的第二上下文信息;从所述数据库中获取机构关系图,所述机构关系图用于储存各个机构之间的从属关系;从所述第二上下文信息提取所述操作用户的可操作机构;根据所述操作用户的可操作机构以及所述机构关系图在所述数据视图中检索并显示对应数据。
所述操作模块205,用于根据所述数据视图的操作属性判断是否响应所述用户的操作请求;
在一实施例中,若所述数据视图为可编辑属性,所述操作模块205响应所述用户通过所述数据视图对所述基表执行的增删改操作请求;
在另一实施例中,若所述数据视图为只读属性,所述操作模块205拒绝所述用户通过所述数据视图对所述基表执行的增删改操作请求。
从上文可知,所述应用服务器2的所述获取模块201获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中;所述同步模块202将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中;所述视图创建模块203基于数据表创建数据视图;所述显示模块204根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据;操作模块205,根据所述数据视图的操作属性判断是否响应所述用户的操作请求。这样,可以通过将应用系统的上下文信息设置到当前数据库会话的上下文信息中,可以迅速完成所述数据库对用户信息的获取。在数据库中建立并保存机构关系图,并结合通过基本表建立视图的方式,实现了对拥有不同权限的特定用户显示不同的特定数据,达到了所述用户可以访问自身部门机构的数据,也可访问下层机构的数据的技术效果。同时,通过获取所述数据视图的操作属性,实现了对用户发出的操作请求的响应或拒绝。
通过上述程序模块201-205,本发明所提出的数据操作权限隔离程序200,首先,获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中;其次,将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中;再次,基于数据表创建数据视图;其次,根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据;最后,根据所述数据视图的操作属性判断是否响应所述用户的操作请求。这样,可以通过将应用系统的上下文信息设置到当前数据库会话的上下文信息中,可以迅速完成所述数据库对用户信息的获取。在数据库中建立并保存机构关系图,并结合通过基本表建立视图的方式,实现了对拥有不同权限的特定用户显示不同的特定数据,达到了所述用户可以访问自身部门机构的数据,也可访问下层机构的数据的技术效果。同时,通过获取所述数据视图的操作属性,实现了对用户发出的操作请求的响应或拒绝。
此外,本发明还提出一种数据操作权限隔离方法。
参阅图4所示,是本发明数据操作权限隔离方法第一实施例的实施流程示意图。在本实施例中,根据不同的需求,图4所示的流程图中的步骤的执行顺序可以改变,某些步骤可以省略。
步骤S401,获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中。
在一实施例中,应用系统可以在所述用户登录所述应用系统时,获取所述用户的用户信息。
在一优选实施例中,所述用户信息包括用户名及可操作机构。所述可操作机构为所述用户当前所在的部门机构。在一实施例中,第一用户所在的机构为A,所述第一用户的可操作机构为A。
在另一优选实施例中,将所述用户信息保存至所述应用系统的第一上下文信息中。
步骤S402,将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中。
在本实施例中,在所述应用系统连接所述数据库时,所述应用系统首先获取自身的所述第一上下文信息。所述第一上下文信息包括所述用户的用户信息。进一步的,所述上下文信息包括所述用户名及所述可操作机构。
将获取的所述上下文信息设置到当前数据库会话中的所述数据库的所述第一上下文信息中。
在一优选实施例中,所述数据库可以为oracle数据库。所述应用系统可以为J2EE架构系统。
步骤S403,基于数据表创建数据视图。
在一优选实施例中,所述基于数据表创建数据视图的步骤还包括:
获取所述数据表;
以所述数据表为基表,以机构名称/机构编码为关键字条件对所述数据表进行所述数据视图的创建;
设置所述数据视图的操作属性,所述操作属性可设置为可编辑属性或只读属性。
所述数据表内的数据内容包括所述各个机构下的数据资料,所述数据资料可以包括客户资料、业务员资料、保单资料及考勤资料等。
在本实施例中,所述数据视图可以默认为可编辑属性,即可以通过所述数据视图对所述基表执行增删改操作。
在一优选实施例中,所述数据视图可以设置为只读属性,即不能通过所述数据视图对所述数据表的数据进行增删改操作。
步骤S404,根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据。
在本实施例中,所述数据视图根据所述数据库会话的第二上下文信息,显示特定数据的步骤具体包括:
所述数据视图获取所述数据库会话的第二上下文信息;
从所述数据库中获取机构关系图,所述机构关系图用于储存各个机构之间的从属关系;
从所述第二上下文信息提取所述操作用户的可操作机构,具体的,所述数据库会通过所述上下文信息获取所述用户的可操作机构的机构名称/机构编号。
所述数据视图根据所述操作用户的可操作机构以及所述机构关系图在所述数据视图中检索并显示对应数据。
可选地,所述组织结构图的建立方法可以包括步骤:
获取所述各个机构的机构信息,所述机构信息包括机构名称、机构编号及上下级关系;
根据所述机构信息定义所述机构关系图;
保存所述机构信息和所述机构关系图至所述数据库中。
在本实施例中,所述数据视图根据所述用户的可操作机构的机构名称/机构编号以及所述机构关系图在所述数据视图中检索并显示对应数据。在本实施例中,若所述第一用户的可操作机构为A,所述机构A的上层机构为总公司,所述机构A的下层机构包括机构B与机构C,所述总公司的下层机构还可以包括机构D,所述机构B与所述机构C无下层机构,此时,对于所述第一用户,第一特定数据包括所述机构A、所述机构B与所述机构C下的数据资料。
通过上述步骤S401-404,本发明所提出的数据操作权限隔离方法,首先,获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中;其次,将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中;再次,基于数据表创建数据视图;最后,根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据。这样,可以通过将应用系统的上下文信息设置到当前数据库会话的上下文信息中,可以迅速完成所述数据库对用户信息的获取。在数据库中建立并保存机构关系图,并结合通过基本表建立视图的方式,实现了对拥有不同权限的特定用户显示不同的特定数据,达到了所述用户可以访问自身部门机构的数据,也可访问下层机构的数据的技术效果。
参阅图5所示,是本发明数据操作权限隔离方法第二实施例的实施流程示意图。在本实施例中,根据不同的需求,图5所示的流程图中的步骤的执行顺序可以改变,某些步骤可以省略。
步骤S501,获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中。
在一实施例中,应用系统可以在所述用户登录所述应用系统时,获取所述用户的用户信息。
在一优选实施例中,所述用户信息包括用户名及可操作机构。所述可操作机构为所述用户当前所在的部门机构。在一实施例中,第一用户所在的机构为A,所述第一用户的可操作机构为A。
在另一优选实施例中,将所述用户信息保存至所述应用系统的第一上下文信息中。
步骤S502,将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中。
在本实施例中,在所述应用系统连接所述数据库时,所述应用系统首先获取自身的所述第一上下文信息。所述第一上下文信息包括所述用户的用户信息。进一步的,所述上下文信息包括所述用户名及所述可操作机构。
将获取的所述上下文信息设置到当前数据库会话中的所述数据库的所述第一上下文信息中。
在一优选实施例中,所述数据库可以为oracle数据库。所述应用系统可以为J2EE架构系统。
步骤S503,基于数据表创建数据视图。
在一优选实施例中,所述基于数据表创建数据视图的步骤还包括:
获取所述数据表;
以所述数据表为基表,以机构名称/机构编码为关键字条件对所述数据表进行所述数据视图的创建;
设置所述数据视图的操作属性,所述操作属性可设置为可编辑属性或只读属性。
所述数据表内的数据内容包括所述各个机构下的数据资料,所述数据资料可以包括客户资料、业务员资料、保单资料及考勤资料等。
在本实施例中,所述数据视图可以默认为可编辑属性,即可以通过所述数据视图对所述基表执行增删改操作。
在一优选实施例中,所述数据视图可以设置为只读属性,即不能通过所述数据视图对所述数据表的数据进行增删改操作。
步骤S504,根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据。
在本实施例中,所述数据视图根据所述数据库会话的第二上下文信息,显示特定数据的步骤具体包括:
所述数据视图获取所述数据库会话的第二上下文信息;
从所述数据库中获取机构关系图,所述机构关系图用于储存各个机构之间的从属关系;
从所述第二上下文信息提取所述操作用户的可操作机构,具体的,所述数据库会通过所述上下文信息获取所述用户的可操作机构的机构名称/机构编号。
所述数据视图根据所述操作用户的可操作机构以及所述机构关系图在所述数据视图中检索并显示对应数据。
可选地,所述组织结构图的建立方法可以包括步骤:
获取所述各个机构的机构信息,所述机构信息包括机构名称、机构编号及上下级关系;
根据所述机构信息定义所述机构关系图;
保存所述机构信息和所述机构关系图至所述数据库中。
在本实施例中,所述数据视图根据所述用户的可操作机构的机构名称/机构编号以及所述机构关系图在所述数据视图中检索并显示对应数据。在本实施例中,若所述第一用户的可操作机构为A,所述机构A的上层机构为总公司,所述机构A的下层机构包括机构B与机构C,所述总公司的下层机构还可以包括机构D,所述机构B与所述机构C无下层机构,此时,对于所述第一用户,第一特定数据包括所述机构A、所述机构B与所述机构C下的数据资料。
步骤S505,用于根据所述数据视图的操作属性判断是否响应所述用户的操作请求;
在一实施例中,若所述数据视图为可编辑属性,所述操作模块205响应所述用户通过所述数据视图对所述基表执行的增删改操作请求;
在另一实施例中,若所述数据视图为只读属性,所述操作模块205拒绝所述用户通过所述数据视图对所述基表执行的增删改操作请求。
通过上述步骤S501-505,本发明所提出的数据操作权限隔离方法,首先,获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中;其次,将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中;再次,基于数据表创建数据视图;最再次,根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据;最后,根据所述数据视图的操作属性判断是否响应所述用户的操作请求。这样,可以通过将应用系统的上下文信息设置到当前数据库会话的上下文信息中,可以迅速完成所述数据库对用户信息的获取。在数据库中建立并保存机构关系图,并结合通过基本表建立视图的方式,实现了对拥有不同权限的特定用户显示不同的特定数据,达到了所述用户可以访问自身部门机构的数据,也可访问下层机构的数据的技术效果。同时,通过获取所述数据视图的操作属性,实现了对用户发出的操作请求的响应或拒绝。
下面以第一用户登入应用系统,对数据库进行数据访问为例进行具体说明:
(1)所述第一用户登入所述应用系统时,获取当前所述第一用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中。其中所述第一用户所在的机构为A,即所述第一用户的可操作机构为A。保存所述第一用户的用户可操作信息至所述应用系统的第一上下文信息中。
(2)在所述应用系统连接所述数据库时,所述应用系统首先获取自身的所述第一上下文信息。此时,所述第一上下文信息包括所述第一用户的用户信息。进一步的,所述第一上下文信息包括所述第一用户的用户名及所述可操作机构A。将获取的所述第一上下文信息设置到当前数据库会话中的所述数据库的第二上下文信息中。因此,所述第二上下文信息中包含所述第一用户的用户信息,即所述第二上下文信息中包含了所述第一用户的用户名及可操作机构A。
(3)以所述数据表为基表,以机构名称/机构编码为关键字条件对所述数据表进行所述数据视图的创建,设置所述数据视图的操作属性,所述操作属性可设置为可编辑属性或只读属性。所述数据表内的数据内容包括所述各个机构下的数据资料,所述数据资料可以包括客户资料、业务员资料、保单资料及考勤资料等。在本实施例中,所述数据视图可以默认为可编辑属性,即可以通过所述数据视图对所述基表执行增删改操作。所述数据视图也可以设置为只读属性,即不能通过所述数据视图对所述数据表的数据进行增删改操作。
(4)获取所述数据库会话的所述第二上下文信息,从所述第二上下文信息中提取所述第一用户的可操作机构A。获取所述数据库的机构关系图,所述机构关系图用于储存各个机构之间的从属关系。所述数据视图根据所述操作用户的可操作机构以及所述机构关系图在所述数据视图中检索并显示对应数据。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (6)

1.一种数据操作权限隔离方法,应用于应用服务器,其特征在于,所述方法包括:
获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中;
将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中;
基于数据表创建数据视图;及
根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据,所述数据视图根据所述数据库会话的第二上下文信息,显示特定数据的步骤还包括:
所述数据视图获取所述数据库会话的第二上下文信息;
从所述数据库中获取机构关系图,所述机构关系图用于储存各个机构之间的从属关系;
从所述第二上下文信息提取所述操作用户的可操作机构;
所述数据视图根据所述操作用户的可操作机构以及所述机构关系图在所述数据视图中检索并显示对应数据;
所述基于数据表创建数据视图的步骤还包括:
获取所述数据表;
以所述数据表为基表,以机构名称/机构编码为关键字条件对所述数据表进行所述数据视图的创建;
设置所述数据视图的操作属性,所述操作属性可设置为可编辑属性或只读属性;
所述数据表内的数据内容包括所述各个机构下的数据资料,所述数据资料包括客户资料、业务员资料、保单资料及考勤资料。
2.如权利要求1所述的数据操作权限隔离方法,其特征在于,所述机构关系图的建立方法包括步骤:
获取所述各个机构的机构信息,所述机构信息包括机构名称、机构编号及上下级关系;
根据所述机构信息定义所述机构关系图;
所述机构信息和所述机构关系图保存在所述数据库中。
3.根据权利要求1所述的数据操作权限隔离方法,其特征在于,所述方法还包括:
根据所述数据视图的操作属性判断是否响应所述用户的操作请求;
若所述数据视图为可编辑属性,响应所述用户通过所述数据视图对所述基表执行修改操作请求;
若所述数据视图为只读属性,拒绝所述用户通过所述数据视图对所述基表执行修改操作请求。
4.一种应用服务器,其特征在于,所述应用服务器包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的数据操作权限隔离程序,所述数据操作权限隔离程序被所述处理器执行时实现如下步骤:
获取当前登入应用系统的操作用户的用户信息,将所述用户信息保存至所述应用系统的第一上下文信息中;
将所述第一上下文信息同步至当前连接到数据库会话的第二上下文信息中;
基于数据表创建数据视图;及
根据所述数据库会话的第二上下文信息,透过所述数据视图显示特定数据,所述数据视图根据所述数据库会话的第二上下文信息,显示特定数据步骤,具体包括:
所述数据视图获取所述数据库会话的第二上下文信息;
从所述数据库中获取机构关系图,所述机构关系图用于储存各个机构之间的从属关系;
从所述第二上下文信息提取所述操作用户的可操作机构;
所述数据视图根据所述操作用户的可操作机构以及所述机构关系图在所述数据视图中检索并显示对应数据;
在所述基于数据表创建数据视图的步骤中,所述数据操作权限隔离程序被所述处理器执行时,还实现如下步骤:
获取所述数据表;
以所述数据表为基表,以机构名称/机构编码为关键字条件对所述数据表进行所述数据视图的创建;
设置所述数据视图的操作属性,所述操作属性可设置为可编辑属性或只读属性;
所述数据表内的数据内容包括所述各个机构下的数据资料,所述数据资料包括客户资料、业务员资料、保单资料及考勤资料。
5.如权利要求4所述的应用服务器,其特征在于,所述机构关系图的建立步骤,具体包括:
获取所述各个机构的机构信息,所述机构信息包括机构名称、机构编号及上下级关系;
根据所述机构信息定义所述机构关系图;
所述机构信息和所述机构关系图保存在所述数据库中。
6.一种计算机可读存储介质,所述计算机可读存储介质存储有数据操作权限隔离程序,所述数据操作权限隔离程序可被至少一个处理器执行,以使所述至少一个处理器执行如权利要求1-3中任一项所述的数据操作权限隔离方法的步骤。
CN201710962907.XA 2017-10-16 2017-10-16 数据操作权限隔离方法、应用服务器及计算机可读存储介质 Active CN107844711B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201710962907.XA CN107844711B (zh) 2017-10-16 2017-10-16 数据操作权限隔离方法、应用服务器及计算机可读存储介质
PCT/CN2018/076143 WO2019075966A1 (zh) 2017-10-16 2018-02-10 数据操作权限隔离方法、应用服务器及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710962907.XA CN107844711B (zh) 2017-10-16 2017-10-16 数据操作权限隔离方法、应用服务器及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN107844711A CN107844711A (zh) 2018-03-27
CN107844711B true CN107844711B (zh) 2019-06-07

Family

ID=61662237

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710962907.XA Active CN107844711B (zh) 2017-10-16 2017-10-16 数据操作权限隔离方法、应用服务器及计算机可读存储介质

Country Status (2)

Country Link
CN (1) CN107844711B (zh)
WO (1) WO2019075966A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110134732A (zh) * 2019-05-17 2019-08-16 北京天融信网络安全技术有限公司 一种授权关系数量的展示方法及装置
CN113268517B (zh) * 2020-02-14 2024-04-02 中电长城网际系统应用有限公司 数据分析方法和装置、电子设备、可读介质
CN111639116B (zh) * 2020-05-15 2023-06-09 中国银联股份有限公司 数据访问连接会话保护方法以及装置
CN112416966B (zh) * 2020-12-11 2024-01-26 北京顺达同行科技有限公司 即席查询方法、装置、计算机设备和存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102004866A (zh) * 2009-09-01 2011-04-06 上海杉达学院 用于信息系统的用户身份验证及访问控制的方法及装置
CN102004868A (zh) * 2009-09-01 2011-04-06 上海杉达学院 一种基于角色访问控制的信息系统数据存储层及组建方法
CN102420690A (zh) * 2010-09-28 2012-04-18 上海可鲁系统软件有限公司 一种工业控制系统中身份与权限的融合认证方法及系统
CN103220364A (zh) * 2013-04-27 2013-07-24 清华大学 一种基于云的系统管理训练平台架构
CN103516679A (zh) * 2012-06-25 2014-01-15 上海博腾信息科技有限公司 一种基于角色的办公系统访问控制系统及其实现方法
CN107103529A (zh) * 2016-02-23 2017-08-29 陈馨媛 基于soa框架的银行档案管理系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8745087B2 (en) * 2007-10-01 2014-06-03 Eka Labs, Llc System and method for defining and manipulating roles and the relationship of roles to other system entities
CN101620601A (zh) * 2008-06-30 2010-01-06 上海全成通信技术有限公司 一种基于用户权限的目录树的构建方法
CN101388797B (zh) * 2008-11-05 2011-05-11 杭州华三通信技术有限公司 一种在网管系统中实现权限控制的方法和一种网管系统
CN102354513A (zh) * 2011-05-23 2012-02-15 广东欧珀电子工业有限公司 一种蓝光播放器权限等级设置方法
CN105528556A (zh) * 2015-12-03 2016-04-27 中国人民解放军信息工程大学 一种混合的SQLite3安全访问方法
CN107066457B (zh) * 2016-08-23 2019-12-17 平安科技(深圳)有限公司 用户信息视图构建方法和系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102004866A (zh) * 2009-09-01 2011-04-06 上海杉达学院 用于信息系统的用户身份验证及访问控制的方法及装置
CN102004868A (zh) * 2009-09-01 2011-04-06 上海杉达学院 一种基于角色访问控制的信息系统数据存储层及组建方法
CN102420690A (zh) * 2010-09-28 2012-04-18 上海可鲁系统软件有限公司 一种工业控制系统中身份与权限的融合认证方法及系统
CN103516679A (zh) * 2012-06-25 2014-01-15 上海博腾信息科技有限公司 一种基于角色的办公系统访问控制系统及其实现方法
CN103220364A (zh) * 2013-04-27 2013-07-24 清华大学 一种基于云的系统管理训练平台架构
CN107103529A (zh) * 2016-02-23 2017-08-29 陈馨媛 基于soa框架的银行档案管理系统

Also Published As

Publication number Publication date
WO2019075966A1 (zh) 2019-04-25
CN107844711A (zh) 2018-03-27

Similar Documents

Publication Publication Date Title
CN107844711B (zh) 数据操作权限隔离方法、应用服务器及计算机可读存储介质
CN104395855B (zh) 用户组之间的基于云端的数据项共享和协作
CN107967316A (zh) 一种数据同步方法、设备及计算机可读存储介质
CN110196725A (zh) 配置文件管理方法、装置、计算机设备及存储介质
CN107885804A (zh) 数据库同步方法、应用服务器及计算机可读存储介质
CN110830546A (zh) 基于容器云平台的可用域建设方法、装置、设备
CN105095103B (zh) 用于云环境下的存储设备管理方法和装置
CN103581187A (zh) 访问权限的控制方法及控制系统
WO2019000629A1 (zh) 多数据源数据同步方法、系统、应用服务器及计算机可读存储介质
CN113946837A (zh) 数据访问和数据访问权限的配置方法、设备、存储介质
CN107844519A (zh) 电子装置、数据库查询脚本生成方法及存储介质
CN109408032A (zh) 一种bios客制化快速实现方法、装置、终端及存储介质
CN110135798A (zh) 佣金计算方法、平台、计算机设备及计算机可读存储介质
CN108256986A (zh) 基于云计算的薪资计算方法、应用服务器及计算机可读存储介质
CN112256760B (zh) 一种数据预测方法、装置、计算机设备及存储介质
CN114070847B (zh) 服务器的限流方法、装置、设备及存储介质
CN109062870A (zh) 服务器、业务数据校验的方法及存储介质
CN107967305A (zh) 影像文件上传方法、服务器及可读存储介质
CN107479827A (zh) 一种基于io和元数据分离的混合存储系统实现方法
CN109766313A (zh) 地质项目数据处理方法、装置及计算机设备
CN105357306A (zh) 多平台数据共享系统及其数据共享方法
CN115543428A (zh) 一种基于策略模板的模拟数据生成方法和装置
CN115203672A (zh) 信息访问的管控方法、装置、计算机设备及介质
CN108377198A (zh) 一种基于云平台的节点配置统一批量维护方法
CN113791735A (zh) 视频数据存储方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant