CN110298195A - 访问控制方法、对象控制装置、管理装置和电子设备 - Google Patents
访问控制方法、对象控制装置、管理装置和电子设备 Download PDFInfo
- Publication number
- CN110298195A CN110298195A CN201910597195.5A CN201910597195A CN110298195A CN 110298195 A CN110298195 A CN 110298195A CN 201910597195 A CN201910597195 A CN 201910597195A CN 110298195 A CN110298195 A CN 110298195A
- Authority
- CN
- China
- Prior art keywords
- access
- target database
- server
- user list
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供了一种由服务端执行的访问控制方法,包括:获取来自客户端的用于访问目标数据库的访问请求,其中,上述访问请求携带有用户信息,上述服务端上创建有上述目标数据库;确定上述目标数据库中存储的访问用户列表是否包含上述用户信息,其中,上述访问用户列表中记录有允许访问上述目标数据库的用户名单;以及响应于上述目标数据库中存储的访问用户列表包含上述用户信息,执行与上述访问请求对应的操作。本公开还提供了一种由控制端执行的访问控制方法、一种由服务端执行的对象控制装置、一种由控制端执行的管理装置、一种访问控制系统、一种电子设备和一种计算机可读存储介质。
Description
技术领域
本公开涉及计算机技术领域,更具体地,涉及一种由服务端执行的访问控制方法、一种由控制端执行的访问控制方法、一种由服务端执行的对象控制装置、一种由控制端执行的管理装置、一种访问控制系统、一种电子设备和一种计算机可读存储介质。
背景技术
在对数据库的访问过程中,对数据库对象(例如存储数据、表结构等)的访问实行安全有效的权限控制,是目前相关技术中越来越关注的重要问题。在相关技术中,对数据库进行管理一般是基于在移动终端上设置数据库客户端工具,相关的访问控制功能绑定在移动终端上的数据库客户端工具内。
但是,在实现本公开构思的过程中,发明人发现相关技术中至少存在如下问题:由于使用其他客户端工具或与数据库直连的数据库访问方式可以绕过客户端工具的控制机制,而摆脱控制机制的控制,因此,依赖移动终端上设置数据库客户端工具实现访问控制功能的方式,存在安全漏洞,将对数据库造成安全隐患。
发明内容
有鉴于此,本公开提供了一种由服务端执行的访问控制方法、一种由控制端执行的访问控制方法、一种由服务端执行的对象控制装置、一种由控制端执行的管理装置、一种访问控制系统、一种电子设备和一种计算机可读存储介质。
本公开的一个方面提供了一种由服务端执行的访问控制方法,包括:获取来自客户端的用于访问目标数据库的访问请求,其中,上述访问请求携带有用户信息,上述服务端上创建有上述目标数据库;确定上述目标数据库中存储的访问用户列表是否包含上述用户信息,其中,上述访问用户列表中记录有允许访问上述目标数据库的用户名单;以及响应于上述目标数据库中存储的访问用户列表包含上述用户信息,执行与上述访问请求对应的操作。
根据本公开的实施例,在确定上述目标数据库中存储的访问用户列表是否包含上述用户信息之前,接收来自控制端的上述访问用户列表;以及将上述访问用户列表存储在上述服务端的上述目标数据库中。
根据本公开的实施例,执行与上述访问请求对应的操作包括:对上述目标数据库中的对象执行与上述访问请求对应的操作;以及记录与上述访问请求对应的操作和执行上述操作后生成的操作结果,生成操作日志。
根据本公开的实施例,上述方法还包括:向上述控制端发送上述操作日志,以便上述控制端根据上述操作日志对上述目标数据库中的对象执行的操作进行监控。
根据本公开的实施例,上述方法还包括:接收来自控制端的对象控制装置的安装包,其中,上述对象控制装置用于确定上述目标数据库中存储的访问用户列表是否包含上述用户信息,并根据确定结果确定是否允许用户访问上述目标数据库;以及在上述服务端安装上述对象控制装置的安装包,以便在上述服务端运行上述对象控制装置。
本公开的另一个方面提供了一种由控制端执行的访问控制方法,包括:向服务端发送访问用户列表,以便上述服务端执行:获取来自客户端的用于访问目标数据库的访问请求,其中,上述访问请求携带有用户信息,上述服务端上创建有上述目标数据库;确定上述目标数据库中存储的上述访问用户列表是否包含上述用户信息,其中,上述访问用户列表中记录有允许访问上述目标数据库的用户名单;以及响应于上述目标数据库中存储的访问用户列表包含上述用户信息,执行与上述访问请求对应的操作。
根据本公开的实施例,上述方法还包括:接收来自上述服务端的操作日志,其中,上述操作日志是由上述服务端执行如下操作生成的:对上述目标数据库中的对象执行与上述访问请求对应的操作;以及记录与上述访问请求对应的操作和执行上述操作后生成的操作结果,生成所示操作日志;根据上述操作日志对上述对上述目标数据库中的对象执行的操作进行监控。
根据本公开的实施例,上述方法还包括:向上述服务端发送对象控制装置的安装包,其中,上述对象控制装置用于确定上述目标数据库中存储的访问用户列表是否包含上述用户信息,并根据确定结果确定是否允许用户访问上述目标数据库。
根据本公开的实施例,上述方法还包括:获取用于编辑或生成上述访问用户列表的用户操作;以及响应于上述用户操作,在上述控制端编辑或生成上述访问用户列表。
根据本公开的实施例,上述控制端还存储有被上述控制端管理的受控数据库名单,上述方法还包括:确定上述受控数据库名单中的每个数据库对应的访问用户列表。
本公开的另一个方面提供了一种由服务端执行的对象控制装置,包括:第一获取模块,用于获取来自客户端的用于访问目标数据库的访问请求,其中,上述访问请求携带有用户信息,上述服务端上创建有上述目标数据库;确定模块,用于确定上述目标数据库中存储的访问用户列表是否包含上述用户信息,其中,上述访问用户列表中记录有允许访问上述目标数据库的用户名单;以及第一响应模块,用于响应于上述目标数据库中存储的访问用户列表包含上述用户信息,指示上述目标数据库执行与上述访问请求对应的操作。
本公开的另一方面提供了一种由控制端执行的管理装置,包括第二发送模块,用于向服务端发送访问用户列表,以便上述服务端执行:获取来自客户端的用于访问目标数据库的访问请求,其中,上述访问请求携带有用户信息,上述服务端上创建有上述目标数据库;确定上述目标数据库中存储的上述访问用户列表是否包含上述用户信息,其中,上述访问用户列表中记录有允许访问上述目标数据库的用户名单;以及响应于上述目标数据库中存储的访问用户列表包含上述用户信息,执行与上述访问请求对应的操作。
本公开的另一方面提供了一种访问控制系统,包括:如上所述的对象控制装置;以及如上所述的管理装置。
本公开的另一方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个指令,其中,当所述一个或多个指令被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上所述的方法。
本公开的另一方面提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器实现如上所述的方法。
本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
根据本公开的实施例,通过在服务端的数据库中存储有允许访问数据库的用户名单,并在服务端确定是否允许用户访问,可以避免非授权用户使用其他工具或与数据库直连的数据库访问方式绕过客户端工具的控制机制,所以至少部分地克服了相关技术中依赖在终端上设置数据库客户端工具实现访问控制功能,存在安全漏洞的技术问题,进而达到了提高数据库的安全性,降低了数据库的安全隐患的技术效果。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的可以应用访问控制方法的示例性系统架构;
图2示意性示出了根据本公开实施例的由服务端执行的访问控制方法的流程图;
图3示意性示出了根据本公开实施例的管理员访问控制端的示意图;
图4示意性示出了根据本公开实施例的在服务端部署对象控制装置的流程图;
图5示意性示出了根据本公开实施例的访问控制系统的框图;
图6示意性示出了根据本公开实施例的授权用户访问控制端和服务端的示意图;
图7示意性示出了根据本公开实施例的非授权用户访问控制端和服务端的示意图;
图8示意性示出了根据本公开实施例的由服务端执行的对象控制装置的框图;以及
图9示意性示出了根据本公开实施例的适于实现上文描述的方法的电子设备的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
本公开的实施例提供了一种由服务端执行的访问控制方法,包括:获取来自客户端的用于访问目标数据库的访问请求,其中,上述访问请求携带有用户信息,上述服务端上创建有上述目标数据库;确定上述目标数据库中存储的访问用户列表是否包含上述用户信息,其中,上述访问用户列表中记录有允许访问上述目标数据库的用户名单;以及响应于上述目标数据库中存储的防问用户列表包含上述用户信息,执行与上述访问请求对应的操作。
图1示意性示出了根据本公开实施例的可以应用访问控制方法的示例性系统架构100。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括客户端101、服务端102、控制端103和网络104。网络104可以是用于在客户端101、服务端102和控制端103之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线和/或无线通信链路等等。
用户可以使用客户端101通过网络104与服务端102交互,以接收或发送消息等。
客户端101可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务端102可以是提供各种服务的服务器,例如对用户利用客户端101所访问的数据库提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的访问请求等数据进行分析等处理,也可以将处理结果(例如根据访问请求获取或生成的信息或数据等)反馈给客户端101。
控制端103可以是服务器,用于对服务端102进行管理,例如,向服务端102发送访问用户列表,确定允许访问服务端102上的目标数据库的用户名单。
应该理解,图1中的客户端101、服务端102、控制端103和网络104的数目仅仅是示意性的。根据实现需要,可以具有任意数目的客户端101、服务端102、控制端103和网络104。
图2示意性示出了根据本公开实施例的由服务端执行的访问控制方法的流程图。
如图2所示,由服务端执行的访问控制方法包括操作S201~S203。
在操作S201,获取来自客户端的用于访问目标数据库的访问请求,其中,访问请求携带有用户信息,服务端上创建有目标数据库。
根据本公开的实施例,在服务端上可以创建一个或多个数据库,用户可以通过客户端请求访问服务端上的任意一个数据库。
根据本公开的实施例,用户信息可以是用户的标识信息。例如,可以是用户账号,或者,根据本公开的实施例,也可以将用户使用的设备标识作为用户信息。
在操作S202,确定目标数据库中存储的访问用户列表是否包含访问请求携带的用户信息,其中,访问用户列表中记录有允许访问目标数据库的用户名单。
在操作S203,响应于目标数据库中存储的访问用户列表包含访问请求携带的用户信息,执行与访问请求对应的操作。
根据本公开的实施例,执行与访问请求对应的操作包括:对目标数据库中的对象执行与访问请求对应的操作;记录与访问请求对应的操作和执行操作后生成的操作结果,生成操作日志。
根据本公开的实施例,例如,当授权的用户A通过对象控制装置的验证后,对数据库对象(例如,table、procedure、function、package、index)进行访问或编译操作,对象管理装置可以记录用户A对数据库对象的具体操作,并将具体的操作信息记录在对象管理装置中,操作信息例如包括新增或修改等操作类型、操作的数据库对象的名称、操作时间、用户A的访问设备名称等信息。
对象控制装置可以记录每一次编译的操作记录,例如包括操作人、数据库实例名称、数据库对象名称、数据库对象类型、数据库对象脚本、操作时间等信息,生成操作日志。
根据本公开的实施例,可以在目标数据库中安装对象控制装置,对象控制装置会对所有访问数据库的用户进行监控,确定是否允许当前用户访问目标数据库。
根据本公开的实施例,在确定目标数据库中存储的访问用户列表是否包含用户信息之前,服务端可以先接收来自控制端的访问用户列表,然后将访问用户列表存储在服务端的目标数据库中。
根据本公开的实施例,控制端存储有被控制端管理的受控数据库名单,控制端可以确定受控数据库名单中的每个数据库对应的访问用户列表。
图3示意性示出了根据本公开实施例的管理员访问控制端的示意图。
根据本公开的实施例,控制端301可以获取用于编辑或生成访问用户列表的用户操作,然后响应于用户操作,在控制端编辑或生成访问用户列表。
如图3所示,根据本公开的实施例,例如,管理员可以通过访问控制端301的管理装置,初始化受控数据库的信息,确定每个受控数据库授权访问的访问用户列表,该访问用户列表包括用户的基本信息(如用户使用的设备名称等)。管理装置可以将收到的初始化的受控数据库信息、授权访问的用户的基本信息(如设备名称等)存储在数据库中。
根据本公开的实施例,管理员可以通过访问模块查看数据库对象的操作历史和历史版本。管理装置可以将请求发送给服务端302的对象控制装置,对象控制装置提取数据库对象的相关信息,直接返回管理装置进行展现。
图4示意性示出了根据本公开实施例的在服务端部署对象控制装置的流程图。
如图4所示,在服务端部署对象控制装置包括操作S401~S402。
在操作S401,接收来自控制端的对象控制装置的安装包,其中,对象控制装置用于确定目标数据库中存储的访问用户列表是否包含用户信息,并根据确定结果确定是否允许用户访问目标数据库。
在操作S402,在服务端安装对象控制装置的安装包,以便在服务端运行对象控制装置。
根据本公开的实施例,控制端可以向服务端发送对象控制装置的安装包,其中,对象控制装置用于确定目标数据库中存储的访问用户列表是否包含用户信息,并根据确定结果确定是否允许用户访问目标数据库。
根据本公开的实施例,控制端可以向服务端发送访问用户列表。根据本公开的实施例,受控数据库名单中包括上述服务端中创建的目标数据库。
图5示意性示出了根据本公开实施例的访问控制系统的框图。
如图5所示,访问控制系统500包括对象控制装置和管理装置。其中,管理装置安装在控制端501,对象控制装置安装在服务端502。
图6示意性示出了根据本公开实施例的授权用户访问控制端和服务端的示意图。
如图6所示,根据本公开的实施例,例如,用户A使用客户端工具603访问服务端602上的目标数据库。由于在目标数据库中安装了对象控制装置,对象控制装置会对所有的数据库访问进行监控并记录,对象控制装置可以根据访问用户的机器名作为唯一标识对访问用户身份进行验证,校验该用户是否为授权访问的用户。由于用户A为授权访问的用户,对象控制装置允许其进行访问。当然,本公开也可以不仅仅通过机器名作为唯一标识对访问用户身份进行验证的方式。
目前,在相关技术中,很多数据库访问控制方法均绑定在客户端工具内,依赖特定的客户端工具。本公开提出的对象控制装置直接在受控数据库上部署,不同客户端工具对数据库的操作都会触发对象控制装置的校验,无论采用何种客户端工具或者直连方式访问受控数据库,都必须接受对象控制装置的监控,用户A不能绕过对象控制装置对数据库进行访问。因此,本公开装置不依赖于特定的客户端工具。
根据本公开的实施例,用户A也可以在控制端601查看自己是否被授权。根据本公开的实施例,控制端601可以有访问模块,访问模块面向用户提供操作界面、接收客户端用户操作指令,控制端601的数据库用于记录用户的基本信息(如使用的设备机器名等)、受控数据库实例的信息等。控制端601的管理装置负责在受控的数据库中安装对象控制装置。
管理装置提供的对象控制装置可以分别部署在多个不同的受控数据库,每一个对象控制装置可以控制一个数据库实例下的某一数据库用户,监控并记录用户对数据库的访问操作,实现访问控制功能。
根据本公开的实施例,通过在服务端602的数据库中存储有允许访问数据库的用户名单,并在服务端602确定是否允许用户访问,可以避免非授权用户使用其他工具或与数据库直连的数据库访问方式绕过客户端工具的控制机制,所以至少部分地克服了相关技术中依赖在终端上设置数据库客户端工具实现访问控制功能,存在安全漏洞的技术问题,进而达到了提高数据库的安全性,降低了数据库的安全隐患的技术效果。
根据本公开的实施例,服务端602可以向控制端601发送操作日志,以便控制端601根据操作日志对目标数据库中的对象执行的操作进行监控。
根据本公开的实施例,控制端601可以接收来自服务端602的操作日志,根据操作日志对对目标数据库中的对象执行的操作进行监控。
根据本公开的实施例,服务端602的对象控制装置可以使用用户信息作为安全控制标识,实现基于数据库用户的访问控制。服务端602可以通过对象控制装置实时监控并记录用户对数据库对象的操作,例如,包括对表结构、存储过程、函数等对象的修改,并记录详细的操作日志。该对象控制装置可以利用数据库管理系统的事务日志、存储过程的调用或者触发器等方法实现。
根据本公开的实施例,控制端601可以通过管理装置在受控数据库上部署对象控制装置,使用服务端602的数据库所在设备的机器名、受控数据库实例名、数据库用户作为访问用户的用户信息,实时监控并记录用户对数据库对象的操作,实现基于机器名、受控数据库实例名、数据库用户的访问控制,例如对表结构、存储过程、函数的访问甚至修改,并记录各用户的详细操作日志。本公开可以使用访问的设备名、受控数据库实例名、数据库用户作为安全控制标识,控制端601根据操作日志对目标数据库中的对象执行的操作进行监控,可实现对多种客户端访问方式的数据库安全访问的全面管理。
通过本公开的实施例,实现了对数据库的访问过程中的安全保护,解决了无法在数据库访问过程中实施安全访问控制,以及对数据库对象实施保护和进行操作历史追溯的技术问题。
图7示意性示出了根据本公开实施例的非授权用户访问控制端和服务端的示意图。
如图7所示,根据本公开的实施例,例如,用户B使用客户端工具703访问服务端702上的目标数据库。用户B可以在控制端701的管理装置上查看是否被授权。由于在目标数据库中安装了对象控制装置,对象控制装置会对所有的数据库访问进行监控并记录,对象控制装置可以根据访问用户B的机器名作为唯一标识对访问用户身份进行验证,校验该访问用户B是否为授权访问的用户。由于访问用户B为非授权访问的用户,对象控制装置不允许其进行访问。根据本公开的实施例,还可以提示限制访问的相关信息。
根据本公开的实施例,用于确定是否允许访问数据库的用户信息可以是用户使用的客户端机器名,基于客户端机器名的数据库访问控制,对于用户访问数据库的方式无限制,用户无论使用何种客户端工具对数据库进行访问均无法绕过本装置对操作进行记录。使用客户端机器名作为用户唯一访问标识,不依赖客户端工具实现权限控制,所有的数据库访问形式均不能绕过本装置的监控与控制,未经本公开授权的用户无法对数据库对象进行操作,避免非授权用户的非法访问,提高了数据库的安全性。
图8示意性示出了根据本公开实施例的由服务端执行的对象控制装置的框图。
如图8所示,由服务端执行的对象控制装置800包括第一获取模块801、确定模块802和第一响应模块803。
第一获取模块801用于获取来自客户端的用于访问目标数据库的访问请求,其中,访问请求携带有用户信息,服务端上创建有目标数据库。
确定模块802用于确定目标数据库中存储的访问用户列表是否包含用户信息,其中,访问用户列表中记录有允许访问目标数据库的用户名单。
第一响应模块803用于响应于目标数据库中存储的访问用户列表包含用户信息,指示目标数据库执行与访问请求对应的操作。
根据本公开的实施例,对象控制装置还包括第一接收模块,用于在确定目标数据库中存储的访问用户列表是否包含用户信息之前,接收来自控制端的访问用户列表;以及存储模块,用于将访问用户列表存储在服务端的目标数据库中。
根据本公开的实施例,第一响应模块用于指示:对目标数据库中的对象执行与访问请求对应的操作;以及记录与访问请求对应的操作和执行操作后生成的操作结果,生成操作日志。
根据本公开的实施例,对象控制装置还包括第一发送模块,用于向控制端发送操作日志,以便控制端根据操作日志对目标数据库中的对象执行的操作进行监控。
根据本公开的实施例,第一接收模块还用于接收来自控制端的对象控制装置的安装包,其中,对象控制装置用于确定目标数据库中存储的访问用户列表是否包含用户信息,并根据确定结果确定是否允许用户访问目标数据库;以及在服务端安装对象控制装置的安装包,以便在服务端运行对象控制装置。
根据本公开的实施例,还提供了一种由控制端执行的管理装置,包括第二发送模块,用于向服务端发送访问用户列表,以便服务端执行:获取来自客户端的用于访问目标数据库的访问请求,其中,访问请求携带有用户信息,服务端上创建有目标数据库;确定目标数据库中存储的访问用户列表是否包含用户信息,其中,访问用户列表中记录有允许访问目标数据库的用户名单;以及响应于目标数据库中存储的访问用户列表包含用户信息,执行与访问请求对应的操作。
根据本公开的实施例,管理装置还包括第二接收模块,用于接收来自服务端的操作日志,其中,操作日志是由服务端执行如下操作生成的:对目标数据库中的对象执行与访问请求对应的操作;以及记录与访问请求对应的操作和执行操作后生成的操作结果,生成所示操作日志;根据操作日志对对目标数据库中的对象执行的操作进行监控。
根据本公开的实施例,第二发送模块还用于向服务端发送对象控制装置的安装包,其中,对象控制装置用于确定目标数据库中存储的访问用户列表是否包含用户信息,并根据确定结果确定是否允许用户访问目标数据库。
根据本公开的实施例,管理装置还包括第二获取模块,用于获取用于编辑或生成访问用户列表的用户操作;以及第二响应模块,用于响应于用户操作,在控制端编辑或生成访问用户列表。
根据本公开的实施例,第二获取模块也可以作为访问模块,可以接收用户的外部操作。
根据本公开的实施例,控制端还存储有被控制端管理的受控数据库名单,管理装置还包括确定模块,用于确定受控数据库名单中的每个数据库对应的访问用户列表。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一获取模块801、确定模块802和第一响应模块803中的任意多个可以合并在一个模块/单元/子单元中实现,或者其中的任意一个模块/单元/子单元可以被拆分成多个模块/单元/子单元。或者,这些模块/单元/子单元中的一个或多个模块/单元/子单元的至少部分功能可以与其他模块/单元/子单元的至少部分功能相结合,并在一个模块/单元/子单元中实现。根据本公开的实施例,第一获取模块801、确定模块802和第一响应模块803中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一获取模块801、确定模块802和第一响应模块803中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
需要说明的是,本公开的实施例中由服务端执行的对象控制装置部分与本公开的实施例中由服务端执行的访问控制方法部分是相对应的,本公开的实施例中由控制端执行的管理装置部分与由控制端执行的访问控制方法部分是相对应的,装置部分的具体描述可参考相应方法部分,在此不再赘述。
图9示意性示出了根据本公开实施例的适于实现上文描述的方法的电子设备的框图。图9示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图9所示,根据本公开实施例的电子设备900包括处理器901,其可以根据存储在只读存储器(ROM)902中的程序或者从存储部分908加载到随机访问存储器(RAM)903中的程序而执行各种适当的动作和处理。处理器901例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器901还可以包括用于缓存用途的板载存储器。处理器901可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 903中,存储有系统900操作所需的各种程序和数据。处理器901、ROM 902以及RAM 903通过总线904彼此相连。处理器901通过执行ROM 902和/或RAM 903中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 902和RAM 903以外的一个或多个存储器中。处理器901也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,系统900还可以包括输入/输出(I/O)接口905,输入/输出(I/O)接口905也连接至总线904。系统900还可以包括连接至I/O接口905的以下部件中的一项或多项:包括键盘、鼠标等的输入部分906;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分907;包括硬盘等的存储部分908;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至I/O接口905。可拆卸介质911,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器910上,以便于从其上读出的计算机程序根据需要被安装入存储部分908。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分909从网络上被下载和安装,和/或从可拆卸介质911被安装。在该计算机程序被处理器901执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质。例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 902和/或RAM 903和/或ROM 902和RAM 903以外的一个或多个存储器。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (18)
1.一种由服务端执行的访问控制方法,包括:
获取来自客户端的用于访问目标数据库的访问请求,其中,所述访问请求携带有用户信息,所述服务端上创建有所述目标数据库;
确定所述目标数据库中存储的访问用户列表是否包含所述用户信息,其中,所述访问用户列表中记录有允许访问所述目标数据库的用户名单;以及
响应于所述目标数据库中存储的访问用户列表包含所述用户信息,执行与所述访问请求对应的操作。
2.根据权利要求1所述的方法,还包括,在确定所述目标数据库中存储的访问用户列表是否包含所述用户信息之前:
接收来自控制端的所述访问用户列表;以及
将所述访问用户列表存储在所述服务端的所述目标数据库中。
3.根据权利要求1所述的方法,其中,执行与所述访问请求对应的操作包括:
对所述目标数据库中的对象执行与所述访问请求对应的操作;以及
记录与所述访问请求对应的操作和执行所述操作后生成的操作结果,生成操作日志。
4.根据权利要求3所述的方法,还包括:
向所述控制端发送所述操作日志,以便所述控制端根据所述操作日志对所述目标数据库中的对象执行的操作进行监控。
5.根据权利要求1所述的方法,还包括:
接收来自控制端的对象控制装置的安装包,其中,所述对象控制装置用于判断所述目标数据库中存储的访问用户列表是否包含所述用户信息,并根据判断结果确定是否允许用户访问所述目标数据库;以及
在所述服务端安装所述对象控制装置的安装包,以便在所述服务端运行所述对象控制装置。
6.一种由控制端执行的访问控制方法,包括:
向服务端发送访问用户列表,以便所述服务端执行:
获取来自客户端的用于访问目标数据库的访问请求,其中,所述访问请求携带有用户信息,所述服务端上创建有所述目标数据库;
判断所述目标数据库中存储的所述访问用户列表是否包含所述用户信息,其中,所述访问用户列表中记录有允许访问所述目标数据库的用户名单;以及
响应于所述目标数据库中存储的访问用户列表包含所述用户信息,执行与所述访问请求对应的操作。
7.根据权利要求6所述的方法,还包括:
接收来自所述服务端的操作日志,其中,所述操作日志是由所述服务端执行如下操作生成的:
对所述目标数据库中的对象执行与所述访问请求对应的操作;以及
记录与所述访问请求对应的操作和执行所述操作后生成的操作结果,生成所示操作日志;
根据所述操作日志对所述对所述目标数据库中的对象执行的操作进行监控。
8.根据权利要求6所述的方法,还包括:
向所述服务端发送对象控制装置的安装包,其中,所述对象控制装置用于判断所述目标数据库中存储的访问用户列表是否包含所述用户信息,并根据判断结果确定是否允许用户访问所述目标数据库。
9.根据权利要求6所述的方法,还包括:
获取用于编辑或生成所述访问用户列表的用户操作;以及
响应于所述用户操作,在所述控制端编辑或生成所述访问用户列表。
10.根据权利要求6所述的方法,其中,所述控制端还存储有被所述控制端管理的受控数据库名单,所述方法还包括:
确定所述受控数据库名单中的每个数据库对应的访问用户列表。
11.一种由服务端执行的对象控制装置,包括:
第一获取模块,用于获取来自客户端的用于访问目标数据库的访问请求,其中,所述访问请求携带有用户信息,所述服务端上创建有所述目标数据库;
确定模块,用于确定所述目标数据库中存储的访问用户列表是否包含所述用户信息,其中,所述访问用户列表中记录有允许访问所述目标数据库的用户名单;以及
第一响应模块,用于响应于所述目标数据库中存储的访问用户列表包含所述用户信息,指示所述目标数据库执行与所述访问请求对应的操作。
12.根据权利要求11所述的装置,其中,所述第一响应模块用于指示:
对所述目标数据库中的对象执行与所述访问请求对应的操作;以及
记录与所述访问请求对应的操作和执行所述操作后生成的操作结果,生成操作日志。
13.根据权利要求12所述的装置,还包括:
第一发送模块,用于向所述控制端发送所述操作日志,以便所述控制端根据所述操作日志对所述目标数据库中的对象执行的操作进行监控。
14.一种由控制端执行的管理装置,包括:
第二发送模块,用于向服务端发送访问用户列表,以便所述服务端执行:
获取来自客户端的用于访问目标数据库的访问请求,其中,所述访问请求携带有用户信息,所述服务端上创建有所述目标数据库;
判断所述目标数据库中存储的所述访问用户列表是否包含所述用户信息,其中,所述访问用户列表中记录有允许访问所述目标数据库的用户名单;以及
响应于所述目标数据库中存储的访问用户列表包含所述用户信息,执行与所述访问请求对应的操作。
15.根据权利要求14所述的装置,还包括:
第二接收模块,用于接收来自所述服务端的操作日志,其中,所述操作日志是由所述服务端执行如下操作生成的:
对所述目标数据库中的对象执行与所述访问请求对应的操作;以及
记录与所述访问请求对应的操作和执行所述操作后生成的操作结果,生成所示操作日志;
根据所述操作日志对所述对所述目标数据库中的对象执行的操作进行监控。
16.一种访问控制系统,包括:
权利要求11至13中任一项所述的对象控制装置;以及
权利要求14或15所述的管理装置。
17.一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个指令,
其中,当所述一个或多个指令被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至10中任一项所述的方法。
18.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器实现权利要求1至10中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910597195.5A CN110298195A (zh) | 2019-07-03 | 2019-07-03 | 访问控制方法、对象控制装置、管理装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910597195.5A CN110298195A (zh) | 2019-07-03 | 2019-07-03 | 访问控制方法、对象控制装置、管理装置和电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110298195A true CN110298195A (zh) | 2019-10-01 |
Family
ID=68030228
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910597195.5A Pending CN110298195A (zh) | 2019-07-03 | 2019-07-03 | 访问控制方法、对象控制装置、管理装置和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110298195A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113238815A (zh) * | 2021-05-13 | 2021-08-10 | 北京京东振世信息技术有限公司 | 一种接口访问控制方法、装置、设备及存储介质 |
| CN113378233A (zh) * | 2021-08-16 | 2021-09-10 | 北京安华金和科技有限公司 | 一种防止通过直连访问数据库的系统和方法 |
| CN116702110A (zh) * | 2023-06-15 | 2023-09-05 | 深圳千岸科技股份有限公司 | 供应链大数据共享方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2526055A (en) * | 2014-03-31 | 2015-11-18 | Perform Media Services Ltd | An improved database access control method and system |
| CN106598835A (zh) * | 2015-10-19 | 2017-04-26 | 广州爱九游信息技术有限公司 | 一种应用的测试方法及装置、系统 |
| CN108537481A (zh) * | 2018-03-27 | 2018-09-14 | 北京华科众合科技有限公司 | 一种基于云服务的智能仓储系统及仓储方法 |
| CN109472159A (zh) * | 2018-11-15 | 2019-03-15 | 泰康保险集团股份有限公司 | 访问控制方法、装置、介质及电子设备 |
| CN109656618A (zh) * | 2018-12-13 | 2019-04-19 | 泰康保险集团股份有限公司 | 源码版本控制方法、配置服务器、介质、电子设备 |
| CN109902497A (zh) * | 2019-02-26 | 2019-06-18 | 南威软件股份有限公司 | 一种面向大数据集群的访问权限管理方法及系统 |
-
2019
- 2019-07-03 CN CN201910597195.5A patent/CN110298195A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2526055A (en) * | 2014-03-31 | 2015-11-18 | Perform Media Services Ltd | An improved database access control method and system |
| CN106598835A (zh) * | 2015-10-19 | 2017-04-26 | 广州爱九游信息技术有限公司 | 一种应用的测试方法及装置、系统 |
| CN108537481A (zh) * | 2018-03-27 | 2018-09-14 | 北京华科众合科技有限公司 | 一种基于云服务的智能仓储系统及仓储方法 |
| CN109472159A (zh) * | 2018-11-15 | 2019-03-15 | 泰康保险集团股份有限公司 | 访问控制方法、装置、介质及电子设备 |
| CN109656618A (zh) * | 2018-12-13 | 2019-04-19 | 泰康保险集团股份有限公司 | 源码版本控制方法、配置服务器、介质、电子设备 |
| CN109902497A (zh) * | 2019-02-26 | 2019-06-18 | 南威软件股份有限公司 | 一种面向大数据集群的访问权限管理方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 王振辉: "Web数据库安全中间件设计与实现", 《科学技术与工程》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113238815A (zh) * | 2021-05-13 | 2021-08-10 | 北京京东振世信息技术有限公司 | 一种接口访问控制方法、装置、设备及存储介质 |
| CN113238815B (zh) * | 2021-05-13 | 2023-08-08 | 北京京东振世信息技术有限公司 | 一种接口访问控制方法、装置、设备及存储介质 |
| CN113378233A (zh) * | 2021-08-16 | 2021-09-10 | 北京安华金和科技有限公司 | 一种防止通过直连访问数据库的系统和方法 |
| CN113378233B (zh) * | 2021-08-16 | 2021-11-30 | 北京安华金和科技有限公司 | 一种防止通过直连访问数据库的系统和方法 |
| CN116702110A (zh) * | 2023-06-15 | 2023-09-05 | 深圳千岸科技股份有限公司 | 供应链大数据共享方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111400676A (zh) | 基于共享权限的业务数据处理方法、装置、设备和介质 | |
| CN111033502B (zh) | 经由区块链使用生物特征数据和不可逆函数进行身份验证 | |
| CN107948203A (zh) | 一种容器登录方法、应用服务器、系统及存储介质 | |
| US9513936B2 (en) | Dynamically loadable composite software application | |
| CN110197058A (zh) | 统一内控安全管理方法、系统、介质及电子设备 | |
| CN110414268A (zh) | 访问控制方法、装置、设备及存储介质 | |
| CN110298195A (zh) | 访问控制方法、对象控制装置、管理装置和电子设备 | |
| CN108289098B (zh) | 分布式文件系统的权限管理方法和装置、服务器、介质 | |
| CN108140098A (zh) | 建立容器之间的信任 | |
| US20150350194A1 (en) | Systems, methods, and software to provide access control in cloud computing environments | |
| CN109634619A (zh) | 可信执行环境实现方法及装置、终端设备、可读存储介质 | |
| CN110245004A (zh) | 命令执行方法、装置、设备及计算机可读存储介质 | |
| CN112492028B (zh) | 云桌面登录方法、装置、电子设备及存储介质 | |
| CN107517124A (zh) | 基于tcp协议远程配置版本管理软件svn权限的方法及装置 | |
| CN112947945B (zh) | 一种多类型应用发布方法、装置、计算机设备和存储介质 | |
| CN110311926A (zh) | 一种应用访问控制方法、系统和介质 | |
| US20200295923A1 (en) | Detection and protection of data in api calls | |
| CN110069911A (zh) | 访问控制方法、装置、系统、电子设备和可读存储介质 | |
| CN111083093B (zh) | 调用端能力的方法、装置、电子设备及存储介质 | |
| CN108173839A (zh) | 权限管理方法及系统 | |
| CN110390184A (zh) | 用于在云中执行应用的方法、装置和计算机程序产品 | |
| CN109891415A (zh) | 针对未经授权的客户端应用程序保护Web服务器 | |
| CN109286620A (zh) | 用户权限管理方法、系统、设备和计算机可读存储介质 | |
| US9355232B2 (en) | Methods for governing the disclosure of restricted data | |
| CN104657187A (zh) | 一种应用安装处理方法、装置和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191001 |
|
| RJ01 | Rejection of invention patent application after publication |