CN110717153A - 一种权限验证方法和装置 - Google Patents
一种权限验证方法和装置 Download PDFInfo
- Publication number
- CN110717153A CN110717153A CN201910945609.9A CN201910945609A CN110717153A CN 110717153 A CN110717153 A CN 110717153A CN 201910945609 A CN201910945609 A CN 201910945609A CN 110717153 A CN110717153 A CN 110717153A
- Authority
- CN
- China
- Prior art keywords
- user
- component resource
- creator
- database
- component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种权限验证方法和装置。一种权限验证方法,包括:获取用户的用户信息、所述用户输入的待操作的组件资源和针对所述组件资源待执行的操作的操作类型;在所述操作类型未通过校验时,验证所述用户信息是否与所述组件资源的创建者信息匹配,如果是,则允许所述用户对所述组件资源执行所述操作类型对应的操作。通过在原有的权限校验上增加用户是否为所请求的组件资源的创建者的验证,保证了组件资源的创建者具有该资源的全部操作权限。
Description
技术领域
本申请涉及数据处理技术,特别涉及一种权限验证方法和装置。
背景技术
Hadoop是一种分布式系统基础架构,具有多种组件,能够让用户开发分布式程序,对大量数据进行高速运算和存储。
而Apache Ranger(以下简称Ranger)是一种集中式安全管理框架,可用于统一管理Hadoop中各组件的权限策略,目前其支持的组件有:HDFS、Hive、HBase、Storm等。对其中的Hive组件,管理员可以针对用户或用户组,为该组件中的数据库、表以及列等资源制定相应的访问或使用权限策略。
但目前Ranger并不支持Hive组件的部分原生权限管理功能。例如,根据Hive的原生权限管理,如果一个用户创建了可操作资源如数据库或表,那么该用户就拥有该数据库或表的所有操作类型的权限。而在Ranger中,如果用户想要对自己创建的资源进行操作,则仍然需要请求Ranger管理员赋予相应的权限,否则Ranger会以无权限为由阻止该操作。上述问题使Hive组件原生的权限管理不能得到有效的支持,用户对自己创建的资源仍需请求操作权限,增加了用户操作的复杂度。
发明内容
针对上述技术问题,本申请提供了一种权限验证方法和装置,技术方案如下:
根据本申请的第一方面,提供一种权限验证方法,该方法包括:
获取用户的用户信息、该用户输入的待操作的组件资源和针对该组件资源待执行的操作的操作类型;
在上述操作类型未通过校验时,验证上述用户信息是否与上述组件资源的创建者信息匹配,如果是,则允许上述用户对上述组件资源执行上述操作类型对应的操作。
根据本申请的第二方面,提供一种权限验证方法,该方法包括:
在获取到用户的用户信息后,若检测到上述用户输入待操作的组件资源和针对上述组件资源待执行的操作的操作类型,则先验证上述用户信息是否与上述组件资源的创建者信息匹配,
如果是,允许上述用户对上述组件资源执行上述操作类型对应的操作;
如果否,针对上述组件资源待执行的操作的操作类型进行校验,若上述操作类型通过校验,则允许上述用户对上述组件资源执行上述操作类型对应的操作。
根据本申请的第三方面,提供一种权限验证装置,该装置包括:
获取单元,用于获取用户的用户信息、上述用户输入的待操作的组件资源和针对上述组件资源待执行的操作的操作类型;
验证单元,用于在上述获取单元获取的上述操作类型未通过校验时,验证上述用户信息是否与上述组件资源的创建者信息匹配,如果是,则允许上述用户对上述组件资源执行上述操作类型对应的操作。
根据本申请的第四方面,提供一种权限验证装置,该装置包括:
获取单元,用于获取用户的用户信息;
检测单元,用于在获取单元获取到上述用户信息后,检测上述用户输入待操作的组件资源和针对上述组件资源待执行的操作的操作类型;
验证单元,用于验证获取单元获取的上述用户信息是否与检测单元检测到的上述组件资源的创建者信息匹配,
如果是,允许上述用户对上述组件资源执行上述操作类型对应的操作;
如果否,针对检测单元检测到的上述操作类型进行校验,若上述操作类型通过校验,则允许上述用户对上述组件资源执行上述操作类型对应的操作。
由以上技术方案可以看出,本申请通过在原有的权限校验上增加了对用户是否为组件资源的创建者的验证,保证了组件资源的创建者具有针对其所创建的资源的所有操作权限,而无需一一向管理员请求,符合用户的操作习惯,简化了用户的操作。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为本申请提供一种权限验证方法流程图;
图2为本申请提供的Ranger权限校验方式流程图;
图3为本申请提供的验证用户信息与创建者信息是否匹配的流程图;
图4为本申请提供的步骤302的实现流程图;
图5为本申请提供的另一种权限验证方法流程图;
图6为本申请提供的权限验证装置结构图;
图7为本申请提供的另一权限验证装置结构图;
图8为本申请提供的一种电子设备的硬件结构示意图。
具体实施方式
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
Hadoop是一个能够对大量数据进行分布式处理的框架,包括多种具有不同功能的组件,它能够使用户在不了解分布式底层细节的情况下,也可以开发分布式程序,从而对大量数据进行高速运算和存储。
为了管理Hadoop中各组件,目前常使用数据安全管理框架诸如Apache Ranger(简称Ranger)来统一管理Hadoop中各组件。这里的数据安全管理框架可为一种集中式数据安全管理框架,配置了Hadoop中各组件的权限策略。
作为一个实施例,上述的组件包括但不限于:HDFS(分布式文件系统)、Hive(基于Hadoop的数据仓库工具)、HBase(分布式面向列的数据库)等。
基于上述Hadoop中各组件的权限策略,可实现只有具有权限的用户才能访问其被授权访问的组件资源和对该组件资源进行操作。这里的操作比如修改组件资源、删除组件资源等。
但是,目前常会出现如下问题:组件资源的创建者假若未被授权访问其创建的组件资源,则既使该组件资源是其创建的,其也不能对其创建的组件资源进行上述操作。
以Hive组件资源为例,这里的Hive组件资源可为数据库、表以及列等资源。基于Hive组件资源的权限策略,则只有被授权的用户才能对Hive组件资源进行操作比如修改、删除组件资源等。假若Hive组件资源的创建者未被授权访问该Hive组件资源,则Hive组件资源的创建者不能访问其创建的Hive组件资源,也不能对其进行上述操作。
为了使创建者未被授权也能够访问其创建的组件资源,本申请提供了一种权限验证方法。通过在如上述数据安全管理框架的权限校验上增加了用户是否为所请求的组件资源的创建者的验证,在用户为组件资源的创建者时,不管用户是否被授权都可对其创建的组件资源进行操作,保证了组件资源的创建者具有该资源的全部操作权限。
为了使本申请的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本申请进行详细描述。
参见图1,图1为本申请提供一种权限验证方法流程图。在一个实施例中,该流程可应用于电子设备比如服务器,这里的服务器部署了数据安全管理框架。这里的数据安全管理框架举例为上述的Ranger。
如图1所示,该流程可包括以下步骤:
步骤101,获取用户的用户信息、该用户输入的待操作的组件资源和针对该组件资源待执行的操作的操作类型。
作为一个实施例,这里的组件资源可为上述Hadoop中的Hive组件资源。
作为一个实施例,用户在输入上述组件资源和操作类型之前,会先访问该组件,此时,即可获取该用户的用户信息。在一个例子中,这里的用户信息包括用户名。
步骤102,在上述操作类型未通过校验时,验证上述用户信息是否与上述组件资源的创建者信息匹配,如果是,则允许该用户对上述组件资源执行上述操作类型对应的操作。
作为一个实施例,这里的操作类型未通过校验是指操作类型与数据安全管理框架存储的权限策略中针对该组件资源的操作类型不一致。其中,这里的权限策略与上述用户信息对应,具体可为:以用户信息为关键字在数据安全管理框架存储的所有权限策略中查找到的包含该关键字的权限策略。当然,作为一个实施例,若以用户信息为关键字在数据安全管理框架存储的所有权限策略中未查找到的包含该关键字的权限策略,也可认为上述的操作类型未通过校验。作为一个实施例,上述的数据安全管理框架为Ranger。下文图2简单举例示出了在Ranger中如何校验上述操作类型的流程,在此不做赘述。
通过图2所示流程可以看出,在按照Ranger权限校验方式对用户进行权限校验时,即使用户是该组件资源的创建者,只要其在Ranger中没有被授予相应的权限,则依然无法对该组件资源进行操作。
因此本申请做出了如下改进:在上述操作类型未通过数据安全管理框架的权限校验时,进一步验证上述用户信息是否与上述组件资源的创建者信息匹配。如果是,则允许该用户对上述组件资源执行上述操作类型对应的操作。这使组件资源的创建者即使在数据安全管理框架中没有被授予相应权限,无法通过权限校验,最终也能够对上述组件资源执行上述操作类型对应的操作。
作为一个实施例,在具体实现时,本步骤102中验证上述用户信息是否与上述组件资源的创建者信息匹配有很多实现方式,下文通过图3举例示出其中一种实现方式,这里暂不赘述。
在一个例子中,若上述操作类型未通过校验,且经验证,上述用户信息与上述组件资源的创建者信息不匹配,则不允许该用户对上述组件资源执行上述操作类型对应的操作。
至此,完成图1所示流程。
通过图1所示流程,本申请在操作类型校验未通过后增加了对用户是否为待操作的组件资源创建者的验证,使组件资源的创建者针对自己所创建的组件资源的所有操作类型的操作都能被允许执行。
下面对上述步骤102中Ranger权限校验方式进行举例描述:
参见图2,图2为本申请提供的Ranger权限校验方式流程图。如图2所示,该流程可包括以下步骤:
步骤201,根据上述获取的用户的用户信息、该用户输入的待操作的组件资源和针对该组件资源待执行的操作的操作类型构建验证关键字。
作为一个实施例,当用户输入的待操作的组件资源比较多时,可针对每一待操作的组件资源,构建该组件资源对应的验证关键字。这里的验证关键字包含该组件资源、用户信息、以及针对该组件资源待执行的操作的操作类型。
作为一个实施例,当用户针对组件资源输入的操作类型比较多时,可针对每一操作类型构建对应的验证关键字。这里的验证关键字包含该操作类型、该组件资源、用户信息。
步骤202,在Ranger预设的资源权限表中查找与验证关键字匹配的授权表项,若查找到,则验证关键字中的操作类型通过校验,否则,验证关键字中的操作类型未通过校验。
作为一个实施例,本步骤202中Ranger预设的资源权限表项可包括:组件资源、针对该组件资源可执行的操作的操作类型和具有该操作类型权限的用户的用户信息。
至此完成图2所示流程,通过图2所示流程实现了Ranger对上述操作类型的校验。需要说明的是,图2只是Ranger权限校验方式的一种举例,并非用于限定。
下面,对上述步骤102中上述操作类型未通过校验时,如何验证上述用户信息是否与上述组件资源的创建者信息匹配进行举例描述:
参照图3,图3为本申请提供的验证用户信息与创建者信息是否匹配的流程图。如图3所示,该流程包括以下步骤:
步骤301,确定上述组件资源所属的数据库。
作为一个实施例,这里的组件资源可为上述Hadoop中的Hive组件资源。
在一个例子中,上述组件资源可为数据库、表和列等。
其中,若该组件资源为数据库,则该组件资源所属的数据库为该数据库本身;比如,假设该组件资源数据库1,则其所属的数据库就是数据库1;
若该组件资源为表,则该组件资源所属的数据库为该表所属的数据库;比如,假设该组件资源为数据库1中的表1,则其所属的数据库就是数据库1;
若该组件资源为列,则该组件资源所属的数据库为该列所在的表的所属的数据库。比如,假设该组件资源为表1中的列3,该表1所属的数据库为数据库1,则列3所属的数据库为数据库1。
上述组件资源可为数据库、表和列等,其他可操作数据库资源与其类似,在此不再赘述。
步骤302,依据该数据库的类型验证上述用户信息是否与上述组件资源的创建者信息匹配。
在具体实现时,步骤302有很多实现方式,下文通过图4举例示出其中一种实现方式,这里暂不赘述。
至此,完成图3所示流程。
通过图3所示流程,本申请实现了验证用户信息是否与组件资源的创建者信息匹配。需要注意的是,图3所示流程只是对上述步骤102中验证上述用户信息是否与上述组件资源的创建者信息匹配的实现方式的一个举例,并非用于限定。
下面对图3所示流程中的步骤302的实现方式进行举例描述:
参见图4,图4为本申请提供的步骤302的实现流程图。如图4所示,该流程包括:
步骤401,检查上述数据库的类型是否为默认Default数据库类型。如果否则执行步骤402,如果是则执行步骤403。
作为一个实施例,数据库有两种类型:默认Default数据库和非默认Default数据库。这里,默认Default数据库为组件的默认数据库。比如用户在创建表时没有设置该表所属的数据库,则该表会被存入该默认Default数据库中。
作为一个实施例,该默认Default数据库可以被所有用户执行不涉及其中已存在的表的操作,如创建表、查看已有表的名称等。
步骤402,获取上述数据库的创建者信息,比较该创建者信息和上述用户信息是否一致,若一致,则确定上述用户为上述组件资源的创建者;若不一致,则依据上述组件资源验证上述用户是否为上述组件资源的创建者。
本步骤402在步骤401中上述数据库不是默认Default数据库的基础上执行。
在一个实施例中,在创建数据库时,会在组件的元数据库中记录该数据库的相关创建信息,如:创建者信息、创建时间等。可通过访问该元数据库来获取上述数据库的创建者信息。
作为一个实施例,该组件的元数据库可为存储在MySQL(关系型数据库管理系统)中的一个数据库。
在一个实施例中,数据库的创建者具有针对该数据库及该数据库内包含的所有资源的全部操作类型的权限。因此若用户为上述数据库的创建者,则可将其确定为上述组件资源的创建者。
若经比较,该创建者信息和上述用户信息不一致,在一个实施例中,依据上述组件资源验证上述用户是否为上述组件资源的创建者可包括以下步骤:
步骤a1,检查上述组件资源是否为数据库,如果是,确定上述用户不为上述组件资源的创建者,如果否,则执行步骤a2;
步骤a2,确定上述组件资源所属的表,比较该表的创建者信息和上述用户信息是否一致,若一致,则确定上述用户为上述组件资源的创建者。
作为一个实施例,若步骤a2中所述表的创建者信息和所述用户信息不一致,则确定所述用户不是所述组件资源的创建者。
步骤403,判断上述组件资源是否为数据库。若是,则确定上述用户是上述组件资源的创建者,若否,则执行步骤404。
本步骤403在步骤401的上述数据库是默认Default数据库的基础上执行。
在一个实施例中,由于该默认Default数据库可以被所有用户执行不涉及其中已存在的表的操作,若上述组件资源为数据库,则可将用户确定为该组件资源的创建者,从而使其具有对该默认Default数据库执行相关操作的权限。
步骤404,确定上述组件资源所属的表,获取该表的创建者信息,比较该创建者信息和上述用户信息是否一致,若一致,则确定上述用户是上述组件资源的创建者,若不一致,则确定上述用户不是上述组件资源的创建者。
本步骤404在步骤403中的上述组件资源不是数据库的基础上执行。
作为一个实施例,在本步骤404中,表的创建者具有针对该表及该表内包含的所有资源的全部操作类型的权限,因此若用户为上述表的创建者,则可将其确定为上述组件资源的创建者。
至此,完成图4所示流程。
通过图4所示流程,实现了依据数据库的类型验证用户是否为组件资源的创建者。
以上是以在对操作类型的校验未通过后,进行用户是否为待操作的组件资源的创建者的验证为例进行的描述。在另一个例子中,验证用户是否为待操作的组件资源的创建者,可在对操作类型的校验之前执行。
下面以在对操作类型的校验之前,先验证用户是否为待操作的组件资源的创建者为例,通过图5所示流程进行描述:
参见图5,图5为本申请提供的另一种权限验证方法流程图。如图5所示,该流程包括以下步骤:
步骤501,获取到用户的用户信息后,若检测到该用户输入待操作的组件资源和针对上述组件资源待执行的操作的操作类型,则先验证上述用户信息是否与上述组件资源的创建者信息匹配,如果是,则允许该用户对上述组件资源执行上述操作类型对应的操作,如果否,则执行步骤502。
在一个实施例中,在具体实现时,本步骤501中验证上述用户信息是否与上述组件资源的创建者信息匹配多种实现方式,上文通过图3示出的一种实现方式,在此不做赘述。
步骤502,针对上述组件资源待执行的操作的操作类型进行校验,若上述操作类型通过校验,则允许该用户对上述组件资源执行上述操作类型对应的操作。
至此,完成图5所示流程。
通过图5所示流程,本申请实现了验证用户是否为待操作的组件资源的创建者,并在当用户不是该待操作的组件资源的创建者时,针对上述操作类型进行校验。
以上对本申请提供的权限验证方法进行了描述,下面与上述权限验证方法相对应的,对本申请提供的权限验证装置进行描述:
参见图6,图6为本申请提供的权限验证装置结构图。如图6所示,该装置包括:
获取单元601,用于获取用户的用户信息、上述用户输入的待操作的组件资源和针对上述组件资源待执行的操作的操作类型;
验证单元602,用于在上述获取单元获取的上述操作类型未通过校验时,验证上述用户信息是否与上述组件资源的创建者信息匹配,如果是,则允许上述用户对上述组件资源执行上述操作类型对应的操作。
在一个例子中,验证单元602验证上述用户信息是否与上述组件资源的创建者信息匹配包括:
确定上述组件资源所属的数据库;
依据上述数据库的类型验证上述用户信息是否与上述组件资源的创建者信息匹配。
作为一个实施例,验证单元602依据上述数据库的类型验证上述用户信息是否与上述组件资源的创建者信息匹配,包括:
检查上述数据库的类型是否为默认Default数据库类型;
如果否,获取上述数据库的创建者信息,比较上述创建者信息和上述用户信息是否一致,若一致,则确定上述用户为上述组件资源的创建者;若不一致,依据上述组件资源验证上述用户是否为上述组件资源的创建者;
如果是,若上述组件资源为数据库,则确定上述用户为上述组件资源的创建者,若上述组件资源不为数据库,则确定上述组件资源所属的表,比较上述表的创建者信息和上述用户信息是否一致,若一致,则确定上述用户为上述组件资源的创建者。
作为一个实施例,验证单元602依据上述组件资源验证上述用户是否为上述组件资源的创建者包括:
检查上述组件资源是否为数据库,如果是,确定上述用户不为上述组件资源的创建者;
如果否,确定上述组件资源所属的表,比较上述表的创建者信息和上述用户信息是否一致,若一致,则确定上述用户为上述组件资源的创建者。
至此,完成对图6所示装置的描述。
图6所示装置是以对操作类型的校验未通过后,进行用户是否为待操作的组件资源的创建者的验证为例进行描述。作为一个例子,本申请还提供一种权限验证装置,该装置在对操作类型的校验之前,先验证用户是否为待操作的组件资源的创建者。
参见图7,图7为本申请提供的另一权限验证装置结构图。如图7所示,该装置包括:
获取单元701,用于获取到用户的用户信息。
检测单元702,用于检测上述用户输入待操作的组件资源和针对上述组件资源待执行的操作的操作类型。
验证单元703,用于验证上述用户信息是否与上述组件资源的创建者信息匹配,如果是,允许上述用户对上述组件资源执行上述操作类型对应的操作;如果否,针对上述组件资源待执行的操作的操作类型进行校验,若上述操作类型通过校验,则允许上述用户对上述组件资源执行上述操作类型对应的操作。
至此,完成对图7所示装置的描述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上对本申请提供的权限验证装置进行了描述,本申请还提供一种电子设备的硬件结构。
参见图8,图8为本申请提供的一种电子设备的硬件结构示意图。如图8所示,该电子设备可以包括处理器801、存储器802。其中,存储器802上存放有计算机程序;处理器801可以通过执行存储器802上所存放的程序,执行上文描述的权限验证方法。
本文中提到的存储器802可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,存储器802可以是:RAM(Radom AccessMemory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
本申请实施例还提供一种存储有计算机程序的机器可读存储介质,例如图8中的存储器802,所述计算机程序可由图8所示电子设备中的处理器801执行以实现上文中描述的权限验证方法。
通过以上实施方式的描述,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器等)执行本申请各个实施例或者实施例的某些部分所述的方法。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (10)
1.一种权限验证方法,其特征在于,该方法包括:
获取用户的用户信息、所述用户输入的待操作的组件资源和针对所述组件资源待执行的操作的操作类型;
在所述操作类型未通过校验时,验证所述用户信息是否与所述组件资源的创建者信息匹配,如果是,则允许所述用户对所述组件资源执行所述操作类型对应的操作。
2.根据权利要求1所述的方法,其特征在于,
验证所述用户信息是否与所述组件资源的创建者信息匹配包括:
确定所述组件资源所属的数据库;
依据所述数据库的类型验证所述用户信息是否与所述组件资源的创建者信息匹配。
3.根据权利要求2所述的方法,其特征在于,
依据所述数据库的类型验证所述用户是否为所述组件资源的创建者包括:
检查所述数据库的类型是否为默认Default数据库类型;
如果所述数据库的类型不是默认Default数据库类型,获取所述数据库的创建者信息,比较所述创建者信息和所述用户信息是否一致,若一致,则确定所述用户为所述组件资源的创建者;若不一致,依据所述组件资源验证所述用户是否为所述组件资源的创建者;
如果所述数据库的类型是默认Default数据库类型,若所述组件资源为数据库,则确定所述用户为所述组件资源的创建者,若所述组件资源不为数据库,则确定所述组件资源所属的表,比较所述表的创建者信息和所述用户信息是否一致,若一致,则确定所述用户为所述组件资源的创建者;若不一致,则确定所述用户不为所述组件资源的创建者。
4.根据权利要求3所述的方法,其特征在于,当所述数据库的类型不是默认Default数据库类型且所述数据库的创建者信息与所述用户信息不一致时,依据所述组件资源验证所述用户是否为所述组件资源的创建者包括:
检查所述组件资源是否为数据库,
如果是,确定所述用户不为所述组件资源的创建者;
如果否,确定所述组件资源所属的表,比较所述表的创建者信息和所述用户信息是否一致,若一致,则确定所述用户为所述组件资源的创建者;若不一致,则确定所述用户不为所述组件资源的创建者。
5.根据权利要求1至4任一所述的方法,其特征在于,
所述组件资源为分布式处理框架Hadoop中组件的组件资源,所述组件资源至少包括:Hive组件资源;
所述操作类型未通过校验是指所述操作类型与数据安全管理框架Ranger存储的权限策略中针对所述组件资源的操作类型不一致,所述权限策略与所述用户信息对应。
6.一种权限验证方法,其特征在于,该方法包括:
在获取到用户的用户信息后,若检测到所述用户输入待操作的组件资源和针对所述组件资源待执行的操作的操作类型,则先验证所述用户信息是否与所述组件资源的创建者信息匹配,
如果是,允许所述用户对所述组件资源执行所述操作类型对应的操作;
如果否,针对所述组件资源待执行的操作的操作类型进行校验,若所述操作类型通过校验,则允许所述用户对所述组件资源执行所述操作类型对应的操作。
7.一种权限验证装置,其特征在于,该装置包括:
获取单元,用于获取用户的用户信息、所述用户输入的待操作的组件资源和针对所述组件资源待执行的操作的操作类型;
验证单元,用于在所述获取单元获取的所述操作类型未通过校验时,验证所述用户信息是否与所述组件资源的创建者信息匹配,如果是,则允许所述用户对所述组件资源执行所述操作类型对应的操作。
8.根据权利要求7所述的装置,其特征在于,所述验证单元验证所述用户信息是否与所述组件资源的创建者信息匹配,包括:
确定所述组件资源所属的数据库;
依据所述数据库的类型验证所述用户信息是否与所述组件资源的创建者信息匹配。
9.根据权利要求8所述的装置,其特征在于,所述验证单元依据所述数据库的类型验证所述用户信息是否与所述组件资源的创建者信息匹配,包括:
验证单元检查所述数据库的类型是否为默认Default数据库类型;
如果所述数据库的类型不是默认Default数据库类型,获取所述数据库的创建者信息,比较所述创建者信息和所述用户信息是否一致,若一致,则确定所述用户为所述组件资源的创建者;若不一致,则验证单元依据所述组件资源验证所述用户是否为所述组件资源的创建者;
如果所述数据库的类型是默认Default数据库类型,若所述组件资源为数据库,则确定所述用户为所述组件资源的创建者,若所述组件资源不为数据库,则确定所述组件资源所属的表,比较所述表的创建者信息和所述用户信息是否一致,若一致,则确定所述用户为所述组件资源的创建者;若不一致,则确定所述用户不为所述组件资源的创建者。
10.一种权限验证装置,其特征在于,该装置包括:
获取单元,用于获取用户的用户信息;
检测单元,用于在获取单元获取到所述用户信息后,检测所述用户输入待操作的组件资源和针对所述组件资源待执行的操作的操作类型;
验证单元,用于验证获取单元获取的所述用户信息是否与检测单元检测到的所述组件资源的创建者信息匹配,
如果是,允许所述用户对所述组件资源执行所述操作类型对应的操作;
如果否,针对检测单元检测到的所述操作类型进行校验,若所述操作类型通过校验,则允许所述用户对所述组件资源执行所述操作类型对应的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910945609.9A CN110717153B (zh) | 2019-09-30 | 2019-09-30 | 一种权限验证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910945609.9A CN110717153B (zh) | 2019-09-30 | 2019-09-30 | 一种权限验证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110717153A true CN110717153A (zh) | 2020-01-21 |
| CN110717153B CN110717153B (zh) | 2021-08-24 |
Family
ID=69211238
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910945609.9A Active CN110717153B (zh) | 2019-09-30 | 2019-09-30 | 一种权限验证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110717153B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111651122A (zh) * | 2020-05-20 | 2020-09-11 | 远景智能国际私人投资有限公司 | 数据删除方法、装置、服务器及存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075254A (zh) * | 2007-06-08 | 2007-11-21 | 北京神舟航天软件技术有限公司 | 数据库表行级数据的自主访问控制方法 |
| CN101640687A (zh) * | 2009-08-31 | 2010-02-03 | 国家信息中心 | 一种权限管理系统及方法 |
| CN102411689A (zh) * | 2011-12-21 | 2012-04-11 | 北京人大金仓信息技术股份有限公司 | 一种对数据库管理员权限进行控制的方法 |
| US20130054803A1 (en) * | 2011-08-31 | 2013-02-28 | Luke Jonathan Shepard | Proxy Authentication |
| CN106407757A (zh) * | 2015-08-10 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 数据库的访问权限处理方法、装置及系统 |
| CN106997368A (zh) * | 2016-01-26 | 2017-08-01 | 中兴通讯股份有限公司 | 一种数据仓库中的数据保护方法及装置 |
| CN107659450A (zh) * | 2017-09-29 | 2018-02-02 | 深圳索信达数据技术股份有限公司 | 大数据集群资源的分配方法、分配装置及存储介质 |
| CN108241797A (zh) * | 2018-01-10 | 2018-07-03 | 郑州云海信息技术有限公司 | 镜像仓库用户权限管理方法、装置、系统及可读存储介质 |
| CN108268780A (zh) * | 2016-12-30 | 2018-07-10 | 航天信息股份有限公司 | 一种用于对系统访问进行控制的方法及装置 |
| CN108900483A (zh) * | 2018-06-13 | 2018-11-27 | 江苏物联网研究发展中心 | 云存储细粒度访问控制方法、数据上传和数据访问方法 |
| CN108959867A (zh) * | 2018-06-05 | 2018-12-07 | 浙江大学 | 一种基于Hive Matedata的多用户数据资产权限安全访问控制方法 |
-
2019
- 2019-09-30 CN CN201910945609.9A patent/CN110717153B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075254A (zh) * | 2007-06-08 | 2007-11-21 | 北京神舟航天软件技术有限公司 | 数据库表行级数据的自主访问控制方法 |
| CN101640687A (zh) * | 2009-08-31 | 2010-02-03 | 国家信息中心 | 一种权限管理系统及方法 |
| US20130054803A1 (en) * | 2011-08-31 | 2013-02-28 | Luke Jonathan Shepard | Proxy Authentication |
| CN102411689A (zh) * | 2011-12-21 | 2012-04-11 | 北京人大金仓信息技术股份有限公司 | 一种对数据库管理员权限进行控制的方法 |
| CN106407757A (zh) * | 2015-08-10 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 数据库的访问权限处理方法、装置及系统 |
| CN106997368A (zh) * | 2016-01-26 | 2017-08-01 | 中兴通讯股份有限公司 | 一种数据仓库中的数据保护方法及装置 |
| CN108268780A (zh) * | 2016-12-30 | 2018-07-10 | 航天信息股份有限公司 | 一种用于对系统访问进行控制的方法及装置 |
| CN107659450A (zh) * | 2017-09-29 | 2018-02-02 | 深圳索信达数据技术股份有限公司 | 大数据集群资源的分配方法、分配装置及存储介质 |
| CN108241797A (zh) * | 2018-01-10 | 2018-07-03 | 郑州云海信息技术有限公司 | 镜像仓库用户权限管理方法、装置、系统及可读存储介质 |
| CN108959867A (zh) * | 2018-06-05 | 2018-12-07 | 浙江大学 | 一种基于Hive Matedata的多用户数据资产权限安全访问控制方法 |
| CN108900483A (zh) * | 2018-06-13 | 2018-11-27 | 江苏物联网研究发展中心 | 云存储细粒度访问控制方法、数据上传和数据访问方法 |
Non-Patent Citations (3)
| Title |
|---|
| DONALD G. GILBERT: "DroSpeGe:rapid access database for new Drosophila species genomes", 《NUCLEIC ACIDS RESEARCH》 * |
| 王文杰 等: "开源大数据治理与安全软件综述", 《技术研究》 * |
| 陈丽 等: "Hadoop大数据平台安全问题和解决方案的综述", 《计算机系统应用》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111651122A (zh) * | 2020-05-20 | 2020-09-11 | 远景智能国际私人投资有限公司 | 数据删除方法、装置、服务器及存储介质 |
| CN111651122B (zh) * | 2020-05-20 | 2023-07-28 | 远景智能国际私人投资有限公司 | 数据删除方法、装置、服务器及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110717153B (zh) | 2021-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107342992B (zh) | 一种系统权限管理方法、装置及计算机可读存储介质 | |
| US10853805B2 (en) | Data processing system utilising distributed ledger technology | |
| US10002152B2 (en) | Client computer for updating a database stored on a server via a network | |
| EP2756445B1 (en) | Securing data usage in computing devices | |
| US8590030B1 (en) | Credential seed provisioning system | |
| US9104888B2 (en) | Secure data storage | |
| KR102236341B1 (ko) | 블록체인-기반 데이터 관리를 위한 시스템 및 방법 | |
| US10673823B2 (en) | Migration containers | |
| EP2962244B1 (en) | Discretionary policy management in cloud-based environment | |
| EP3805962B1 (en) | Project-based permission system | |
| US20200042497A1 (en) | Distributed ledger system | |
| US20110302315A1 (en) | Distributed services authorization management | |
| CN111523098A (zh) | 数据权限管理方法及装置 | |
| CN110717153B (zh) | 一种权限验证方法和装置 | |
| CN109145621B (zh) | 文档管理方法及装置 | |
| US10491635B2 (en) | Access policies based on HDFS extended attributes | |
| US10142344B2 (en) | Credential management system | |
| US10951600B2 (en) | Domain authentication | |
| US9542536B2 (en) | Sustained data protection | |
| CN115442145A (zh) | 一种控制用户访问对象的方法和系统 | |
| KR102350718B1 (ko) | 가변 솔트를 활용한 패스워드 암호화 방법, 이를 위한 장치 및 서버 | |
| US20160337337A1 (en) | Identiy information including a schemaless portion | |
| CN102122333A (zh) | 一种登录文档库系统的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |