CN107908973A - 一种基于aop技术的动态数据权限控制方法 - Google Patents
一种基于aop技术的动态数据权限控制方法 Download PDFInfo
- Publication number
- CN107908973A CN107908973A CN201711170795.0A CN201711170795A CN107908973A CN 107908973 A CN107908973 A CN 107908973A CN 201711170795 A CN201711170795 A CN 201711170795A CN 107908973 A CN107908973 A CN 107908973A
- Authority
- CN
- China
- Prior art keywords
- module
- resource
- data
- strategy
- permission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于AOP技术的动态数据权限控制方法,属于大数据技术领域,包括建立客户端、控制台、数据库服务器和权限服务器,在权限服务器中建立数据权限控制策略模块和服务拦截模块,解决了现有的数据权限控制中策略配置不能动态添加生效,难以灵活响应客户需求的技术问题,将业务逻辑和数据权限控制分离,可以对数据权限控制灵活配置,从而实现了动态增加、修改或删除数据权限控制策略,而无须修改代码。可以满足多粒度的数据权限控制需求,节约开发成本。
Description
技术领域
本发明属于大数据技术领域,特别涉及一种基于AOP技术的动态数据权限控制方法。
背景技术
数据权限控制是多用户信息系统中的敏感数据访问进行隔离的技术,可能涉及系统中多层次、多维度的业务数据。电网建设工程涉及多种大件设备的运输,变压器等大件设备造价昂贵,运输条件比较严苛,涉及多个利益攸关方:物资管理部门、接收单位、建设单位、设备供应商、设备承运商等均需要访问运输在线监控系统,了解设备运输状态,管控运输安全风险,而相关运输信息比较敏感,必须确保信息安全,根据访问用户所属单位、管理权限进行细粒度数据访问隔离。
现有技术的不足为:1)一般基于查询结果集过滤实现,而在线监控系统数据规模大:秒级采集,单个设备达30000条/每天,运行1年记录数达亿级,系统开销较大;2)每个API均需编码实现,可维护性较差;3)不支持数据访问权限策略动态生效,变更策略后需修改控制代码重新部署生效。
发明内容
本发明的目的是提供一种基于AOP技术的动态数据权限控制方法,解决了现有数据权限控制中策略配置不能动态添加生效,难以灵活响应客户需求的技术问题。
为实现上述目的,本发明采用以下技术方案:
一种基于AOP技术的动态数据权限控制方法,包括如下步骤:
步骤1:建立客户端、控制台、数据库服务器和权限服务器,客户端、控制台、数据库服务器和权限服务器相互之间通过网线通信;
步骤2:在权限服务器中建立数据权限控制策略模块和服务拦截模块;
步骤3:数据权限控制策略模块包括定义集模块和分配执行集模块,管理员通过控制台为资源输入多个条件,并输入每一个条件对应的逻辑计算方式,定义集模块根据资源对应的所有条件创建策略,并将策略集合成定义集;所述资源为数据权限控制的对象;所述策略为所有条件根据自身的逻辑计算方式组合成的逻辑关系式;
步骤4:定义集模块将定义集传送给数据库服务器进行持久化保存;
步骤5:分配执行集模块从定义集模块中读取定义集,并根据用户身份分配给用户相应的策略;
步骤6:在服务拦截模块中建立请求拦截判断模块、数据权限控制策略获取模块和数据权限控制条件输出模块;
用户通过客户端发出业务查询请求,请求拦截判断模块拦截该业务查询请求,请求拦截判断模块解析该业务查询请求中资源路径和请求方法,获取需要查询的资源的属性和用户的身份信息;
步骤7:数据权限控制策略获取模块根据步骤6中获取的资源的属性和用户的身份信息,从分配执行集模块中获取相应的策略;
步骤8:数据权限控制条件输出模块执行数据权限控制策略获取模块获取到的策略,动态构造查询条件,并通过客户端为用户输出查询结果。
所述资源包括运输任务、任务状态位姿信息、任务进度信息和任务报警信息;所述资源存储在数据库服务器中。
在执行步骤3时,管理员可以通过控制台对所述定义集模块中的定义集进行创建、保存、删除和修改的操作。
所述条件为根据使用人的角色、类别和部门来制定的权限。
所述业务查询请求包括用户的身份信息和要查询的资源的信息。
在执行步骤6时,所述资源的属性为资源的名称以及保存路径。
本发明所述的一种基于AOP技术的动态数据权限控制方法,解决了现有数据权限控制中策略配置不能动态添加生效,难以灵活响应客户需求的技术问题,将业务逻辑和数据权限控制分离,可以对数据权限控制灵活配置,从而实现了动态增加、修改或删除数据权限控制策略,而无须修改代码。可以满足多粒度的数据权限控制需求,节约开发成本。
附图说明
图1是本发明的系统结构图;
图2是本发明的流程图。
具体实施方式
如图1和图2所示的一种基于AOP技术的动态数据权限控制方法,包括如下步骤:
步骤1:建立客户端、控制台、数据库服务器和权限服务器,客户端、控制台、数据库服务器和权限服务器相互之间通过网线通信;
步骤2:在权限服务器中建立数据权限控制策略模块和服务拦截模块;
步骤3:数据权限控制策略模块包括定义集模块和分配执行集模块,管理员通过控制台为资源输入多个条件,并输入每一个条件对应的逻辑计算方式,定义集模块根据资源对应的所有条件创建策略,并将策略集合成定义集;所述资源为数据权限控制的对象;所述策略为所有条件根据自身的逻辑计算方式组合成的逻辑关系式;
步骤4:定义集模块将定义集传送给数据库服务器进行持久化保存;
步骤5:分配执行集模块从定义集模块中读取定义集,并根据用户身份分配给用户相应的策略;
步骤6:在服务拦截模块中建立请求拦截判断模块、数据权限控制策略获取模块和数据权限控制条件输出模块;
用户通过客户端发出业务查询请求,请求拦截判断模块拦截该业务查询请求,请求拦截判断模块解析该业务查询请求中资源路径URL(Uniform Resource Locator)和请求方法URL(Uniform Resource Locator),获取需要查询的资源的属性和用户的身份信息;
步骤7:数据权限控制策略获取模块根据步骤6中获取的资源的属性和用户的身份信息,从分配执行集模块中获取相应的策略;
步骤8:数据权限控制条件输出模块执行数据权限控制策略获取模块获取到的策略,动态构造查询条件,并根据查询条件在数据库服务器中调取相应的资源,最后通过客户端为用户输出查询结果。
所述资源包括运输任务、任务状态位姿信息、任务进度信息和任务报警信息;所述资源存储在数据库服务器中。
在执行步骤3时,管理员可以通过控制台对所述定义集模块中的定义集进行创建、保存、删除和修改的操作。
所述条件为根据使用人的角色、类别和部门来制定的权限。
所述业务查询请求包括用户的身份信息和要查询的资源的信息。
在执行步骤6时,所述资源的属性为资源的名称以及保存路径。
使用时,管理员只需在控制台为某个资源添加条件以及条件对应的逻辑计算关系,即可动态生成相应的策略,无需再进行程序代码的编写工作。
对于数据权限控制策略,可以通过控制台定义并持久化保存,经过测试以后分配给相关主体,形成数据权限控制策略分配执行集,如果要使正在执行的策略失效,可将数据权限控制策略分配执行集中的相关策略删除,达到控制策略可定义可插拔的目的。
在数据权限控制策略定义集的基础上,可在多维度主体上分配执行,如用户、角色、部门、单位等,配置灵活,可实现不同粒度的控制。
本发明所述的一种基于AOP技术的动态数据权限控制方法,解决了现有数据权限控制中策略配置不能动态添加生效,难以灵活响应客户需求的技术问题,将业务逻辑和数据权限控制分离,可以对数据权限控制灵活配置,从而实现了动态增加、修改或删除数据权限控制策略,而无须修改代码。可以满足多粒度的数据权限控制需求,节约开发成本。
Claims (6)
1.一种基于AOP技术的动态数据权限控制方法,其特征在于:包括如下步骤:
步骤1:建立客户端、控制台、数据库服务器和权限服务器,客户端、控制台、数据库服务器和权限服务器相互之间通过网线通信;
步骤2:在权限服务器中建立数据权限控制策略模块和服务拦截模块;
步骤3:数据权限控制策略模块包括定义集模块和分配执行集模块,管理员通过控制台为资源输入多个条件,并输入每一个条件对应的逻辑计算方式,定义集模块根据资源对应的所有条件创建策略,并将策略集合成定义集;所述资源为数据权限控制的对象;所述策略为所有条件根据自身的逻辑计算方式组合成的逻辑关系式;
步骤4:定义集模块将定义集传送给数据库服务器进行持久化保存;
步骤5:分配执行集模块从定义集模块中读取定义集,并根据用户身份分配给用户相应的策略;
步骤6:在服务拦截模块中建立请求拦截判断模块、数据权限控制策略获取模块和数据权限控制条件输出模块;
用户通过客户端发出业务查询请求,请求拦截判断模块拦截该业务查询请求,请求拦截判断模块解析该业务查询请求中资源路径和请求方法,获取需要查询的资源的属性和用户的身份信息;
步骤7:数据权限控制策略获取模块根据步骤6中获取的资源的属性和用户的身份信息,从分配执行集模块中获取相应的策略;
步骤8:数据权限控制条件输出模块执行数据权限控制策略获取模块获取到的策略,动态构造查询条件,并通过客户端为用户输出查询结果。
2.如权利要求1所述的一种基于AOP技术的动态数据权限控制方法,其特征在于:所述资源包括运输任务、任务状态位姿信息、任务进度信息和任务报警信息;所述资源存储在数据库服务器中。
3.如权利要求1所述的一种基于AOP技术的动态数据权限控制方法,其特征在于:在执行步骤3时,管理员可以通过控制台对所述定义集模块中的定义集进行创建、保存、删除和修改的操作。
4.如权利要求1所述的一种基于AOP技术的动态数据权限控制方法,其特征在于:所述条件为根据使用人的角色、类别和部门来制定的权限。
5.如权利要求1所述的一种基于AOP技术的动态数据权限控制方法,其特征在于:所述业务查询请求包括用户的身份信息和要查询的资源的信息。
6.如权利要求1所述的一种基于AOP技术的动态数据权限控制方法,其特征在于:在执行步骤6时,所述资源的属性为资源的名称以及保存路径。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711170795.0A CN107908973A (zh) | 2017-11-22 | 2017-11-22 | 一种基于aop技术的动态数据权限控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711170795.0A CN107908973A (zh) | 2017-11-22 | 2017-11-22 | 一种基于aop技术的动态数据权限控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107908973A true CN107908973A (zh) | 2018-04-13 |
Family
ID=61847017
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711170795.0A Pending CN107908973A (zh) | 2017-11-22 | 2017-11-22 | 一种基于aop技术的动态数据权限控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107908973A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108509807A (zh) * | 2018-04-13 | 2018-09-07 | 南京新贝金服科技有限公司 | 一种基于角色的列表数据权限控制系统和方法 |
| CN109088858A (zh) * | 2018-07-13 | 2018-12-25 | 南京邮电大学 | 一种基于权限管理的医疗系统及方法 |
| CN109388958A (zh) * | 2018-09-30 | 2019-02-26 | 四川长虹电器股份有限公司 | 一种基于切面的数据权限管理服务中间件平台方案 |
| CN110727929A (zh) * | 2019-10-12 | 2020-01-24 | 北京明略软件系统有限公司 | 基于aop的行级权限控制方法、装置及客户端 |
| CN112487495A (zh) * | 2020-12-01 | 2021-03-12 | 李孔雀 | 基于大数据和云计算的数据处理方法及大数据服务器 |
| CN114091035A (zh) * | 2021-11-17 | 2022-02-25 | 中国平安人寿保险股份有限公司 | 越权校验方法、装置、设备与存储介质 |
| WO2022089303A1 (zh) * | 2020-10-30 | 2022-05-05 | 京东方科技集团股份有限公司 | 数据使用控制方法及系统、电子设备和存储介质 |
| WO2023026129A1 (en) * | 2021-08-26 | 2023-03-02 | International Business Machines Corporation | Synchronizing access controls for audited code development |
| CN116663070A (zh) * | 2023-08-01 | 2023-08-29 | 和创(北京)科技股份有限公司 | 基于aop引擎的数据权限控制方法、系统、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247395A (zh) * | 2008-03-13 | 2008-08-20 | 武汉理工大学 | 一种Session ID全透明传递的ISAPI访问控制系统 |
| CN104573478A (zh) * | 2014-11-20 | 2015-04-29 | 深圳市远行科技有限公司 | 一种Web应用的用户权限管理系统 |
| WO2015180690A1 (zh) * | 2014-05-30 | 2015-12-03 | 北京奇虎科技有限公司 | 验证信息的读取方法及装置 |
| CN105912949A (zh) * | 2016-04-13 | 2016-08-31 | 北京京东尚科信息技术有限公司 | 数据权限管理方法、数据权限管理系统以及业务管理系统 |
-
2017
- 2017-11-22 CN CN201711170795.0A patent/CN107908973A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247395A (zh) * | 2008-03-13 | 2008-08-20 | 武汉理工大学 | 一种Session ID全透明传递的ISAPI访问控制系统 |
| WO2015180690A1 (zh) * | 2014-05-30 | 2015-12-03 | 北京奇虎科技有限公司 | 验证信息的读取方法及装置 |
| CN104573478A (zh) * | 2014-11-20 | 2015-04-29 | 深圳市远行科技有限公司 | 一种Web应用的用户权限管理系统 |
| CN105912949A (zh) * | 2016-04-13 | 2016-08-31 | 北京京东尚科信息技术有限公司 | 数据权限管理方法、数据权限管理系统以及业务管理系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108509807A (zh) * | 2018-04-13 | 2018-09-07 | 南京新贝金服科技有限公司 | 一种基于角色的列表数据权限控制系统和方法 |
| CN109088858A (zh) * | 2018-07-13 | 2018-12-25 | 南京邮电大学 | 一种基于权限管理的医疗系统及方法 |
| CN109388958A (zh) * | 2018-09-30 | 2019-02-26 | 四川长虹电器股份有限公司 | 一种基于切面的数据权限管理服务中间件平台方案 |
| CN110727929A (zh) * | 2019-10-12 | 2020-01-24 | 北京明略软件系统有限公司 | 基于aop的行级权限控制方法、装置及客户端 |
| WO2022089303A1 (zh) * | 2020-10-30 | 2022-05-05 | 京东方科技集团股份有限公司 | 数据使用控制方法及系统、电子设备和存储介质 |
| CN112487495A (zh) * | 2020-12-01 | 2021-03-12 | 李孔雀 | 基于大数据和云计算的数据处理方法及大数据服务器 |
| WO2023026129A1 (en) * | 2021-08-26 | 2023-03-02 | International Business Machines Corporation | Synchronizing access controls for audited code development |
| US11645069B2 (en) | 2021-08-26 | 2023-05-09 | International Business Machines Corporation | Synchronizing access controls for audited code development |
| CN114091035A (zh) * | 2021-11-17 | 2022-02-25 | 中国平安人寿保险股份有限公司 | 越权校验方法、装置、设备与存储介质 |
| CN116663070A (zh) * | 2023-08-01 | 2023-08-29 | 和创(北京)科技股份有限公司 | 基于aop引擎的数据权限控制方法、系统、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107908973A (zh) | 一种基于aop技术的动态数据权限控制方法 | |
| CN104050248B (zh) | 一种文件存储系统及存储方法 | |
| CN105631026A (zh) | 一种安全数据分析系统 | |
| CN102012981A (zh) | 一种通用权限等级分配与匹配方法及其系统 | |
| CN107612984B (zh) | 一种基于互联网的大数据平台 | |
| CN102402548A (zh) | 一种应用系统的数据查询控制方法及系统 | |
| CN104809597A (zh) | 基于数据融合的数据资源管理平台 | |
| CN105184144A (zh) | 一种多系统权限管理方法 | |
| CN106202346A (zh) | 一种数据加载清洗引擎、调度与存储系统 | |
| CN104408339A (zh) | 一种信息系统中权限管理方法 | |
| CN105894159A (zh) | 一种跨领域跨平台的用户统一管理系统的实现方法 | |
| CN105635320A (zh) | 一种用于调用配置信息的方法与设备 | |
| CN110474897A (zh) | 一种档案使用权限管理系统 | |
| CN105512188A (zh) | 数据连接方法和数据连接系统 | |
| CN104504014A (zh) | 基于大数据平台的数据处理方法和装置 | |
| CN102917006A (zh) | 一种实现计算资源和对象权限的统一控制管理方法及装置 | |
| CN102891768A (zh) | 网络管理的方法和网元 | |
| CN104504010B (zh) | 一种多对多的数据采集系统及其采集方法 | |
| CN104881506A (zh) | 一种基于数据库可配置的管理信息系统权限控制方法 | |
| CN103501345B (zh) | 一种远程集中控制系统的控制方法 | |
| CN104219175B (zh) | 数据交换与服务调用系统及方法 | |
| CN105491078A (zh) | Soa系统中的数据处理方法及装置、soa系统 | |
| CN103440302B (zh) | 实时数据交换的方法和系统 | |
| CN103870549B (zh) | 石油地质软件数据的清理方法及装置 | |
| CN105204869B (zh) | 一种通信系统的数据处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180413 |
|
| RJ01 | Rejection of invention patent application after publication |