CN110941837A - 一种基于元数据的数据权限配置方法及系统 - Google Patents
一种基于元数据的数据权限配置方法及系统 Download PDFInfo
- Publication number
- CN110941837A CN110941837A CN201911096272.5A CN201911096272A CN110941837A CN 110941837 A CN110941837 A CN 110941837A CN 201911096272 A CN201911096272 A CN 201911096272A CN 110941837 A CN110941837 A CN 110941837A
- Authority
- CN
- China
- Prior art keywords
- data
- authority
- metadata
- permission
- configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本发明实施例提供一种基于元数据的数据权限配置方法及系统。该方法包括:系统管理员对数据的权限进行定义和配置;数据权限服务引擎根据定义和配置的权限,生成与所述定义和配置的权限相关联的权限数据;用户对实体业务数据进行操作,并通知所述数据权限服务引擎基于所述权限数据对所述实体业务数据进行权限配置,得到权限配置结果,将所述权限配置结果存储在数据表中;平台根据所述权限数据,判断所述用户是否具有对所述实体业务数据的操作权限。本发明实施例通过基于元数据驱动,将数据权限体系进行定义和配置,使该系统具有业务架构更清晰、配置更灵活、功能更完善、更方便进行优化、接口统一及处理更快捷等优点。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于元数据的数据权限配置方法及系统。
背景技术
在数据平台的应用中,需要对各种数据设置权限,数据权限是指控制业务数据对哪些用户可见、可写,或者其它扩展权限。
在传统业务系统的数据权限平台中,各功能模块具有独立的出口,需要明确各自数据权限业务的数据流向。而在RBAC(Role-Based Access Control,基于角色的权限访问控制)中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限,即受限于对应角色的权限。存储权限数据时,需要根据不断扩展的功能进行持续调整,对结构进行变动,实现方式较为复杂,并需要对各种扩展的权限功能提供对应的独立接口,后期的维护工作量也变得繁琐。另外用户也无法随意扩展和定义自己的数据权限功能,受限于当前系统提供的数据权限功能,需要经过系统的改造和适配,在此基础上,用户才能进行功能扩展,可操作性的自由度很低。
因此,需要提出一种新的数据权限配置方法,能克服上述不足。
发明内容
本发明实施例提供一种基于元数据的数据权限配置方法及系统,用以解决现有技术中采用传统数据进行数据权限的配置,使得架构复杂、可扩展性差、不易实现优化等缺陷。
第一方面,本发明实施例提供一种基于元数据的数据权限配置方法,包括:
系统管理员对系统的数据权限功能进行定义和配置;
数据权限服务引擎根据定义和配置的权限,生成与所述定义和配置的权限相关联的权限数据;
用户对实体业务数据进行操作,并通知所述数据权限服务引擎基于所述权限配置数据对所述实体业务数据生成权限数据,得到权限配置结果,将所述权限配置结果存储在数据表中;
平台根据所述权限数据,判断是否具有对所述实体业务数据的操作权限。
优选地,所述定义和配置的权限,包括单条数据共享功能、上下级数据权限功能和按规则共享数据功能。
优选地,所述用户对实体业务数据进行操作,并通知所述数据权限服务引擎基于所述权限配置数据对所述实体业务数据进行权限数据生成,得到权限配置结果,具体包括:
基于元数据对所述实体业务数据进行数据权限定义,得到元数据权限定义集合;
基于元数据权限定义集合设置元数据权限驱动规则。
优选地,所述基于元数据对所述实体业务数据进行数据权限定义,得到元数据权限定义集合,具体包括:
指定任一实体开启数据权限功能;
指定所述任一实体的任一字段开启数据权限控制;
指定任一数据表来存储所述权限数据。
优选地,所述基于元数据权限定义集合设置元数据权限驱动规则,具体包括:
若开启所述按规则共享数据功能,则触发所述数据权限服务引擎生成所述权限数据;
若关闭所述单条数据共享功能,则自动清理所述权限数据。
优选地,所述权限数据包括所述用户与组的关系存储,以及所述组与共享数据的关系存储。
优选地,所述数据服务引擎采用异步消息处理的模式接收外部消息并异步生成权限数据,包括所述用户自定义的若干处理模块,所述若干处理模块用于生成关联的权限数据,以供外部进行查询、校验并对外提供统一的接口。
第二方面,本发明实施例提供一种基于元数据的数据权限配置系统,包括:
定义配置模块,用于系统管理员对系统的数据权限功能进行定义和配置;
生成模块,用于数据权限服务引擎根据定义和配置的权限,生成与所述定义和配置的权限相关联的权限数据;
配置存储模块,用于用户对实体业务数据进行操作,并通知所述数据权限服务引擎基于所述权限配置数据对所述实体业务数据生成权限数据,得到权限配置结果,将所述权限配置结果存储在数据表中;
判断模块,用于平台根据所述权限数据,判断所述用户是否具有对所述实体业务数据的操作权限。
第三方面,本发明实施例提供一种电子设备,包括:
存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现任一项所述基于元数据的数据权限配置方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现任一项所述基于元数据的数据权限配置方法的步骤。
本发明实施例提供的基于元数据的数据权限配置方法及系统,通过基于元数据驱动,将数据权限体系进行定义和配置,使该系统具有业务架构更清晰、配置更灵活、功能更完善、更方便进行优化、接口统一及处理更快捷等优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于元数据的数据权限配置方法流程图;
图2为本发明实施例提供的基于元数据的数据权限平台整体架构示意图;
图3为本发明实施例提供的业务系统中权限数据模型示意图;
图4本发明实施例提供的一种基于元数据的数据权限配置系统结构图;
图5为本发明实施例提供的电子设备的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种基于元数据的数据权限配置方法流程图,如图1所示,包括:
S1,系统管理员对系统的数据权限功能进行定义和配置;
S2,数据权限服务引擎根据定义和配置的权限,生成与所述定义和配置的权限相关联的权限数据;
S3,用户对实体业务数据进行操作,并通知所述数据权限服务引擎基于所述权限配置数据对所述实体业务数据生成权限数据,得到权限配置结果,将所述权限配置结果存储在数据表中;
S4,平台根据所述权限数据,判断所述用户是否具有对所述实体业务数据的操作权限。
具体地,图2为本发明实施例提供的基于元数据的数据权限平台整体架构示意图,图中描述了基于元数据架构下,新的数据权限平台的整体结构,相比传统业务系统中的数据权限平台,MBPC(Metadata-Based Privilege Control,基于元数据驱动的可扩展数据权限控制体系),系统中所有的数据权限全部都根据元数据配置进行控制,用户也可以根据自身需求扩展定义数据权限功能。
首先系统管理员对数据权限进行定义和配置,数据权限服务引擎会根据系统管理员的定义和配置生成相关的数据权限数据,用户对实体的业务数据进行操作,同时也会通知数据权限服务引擎进行相关的数据权限处理,最后用户在操作实体业务数据的同时会查询数据权限相关的存储判断是否有相关的权限。
从整体来看,业务架构清晰,数据权限功能和MBPC界线明确,数据权限的查询、校验都使用统一的出口,不用关心数据是从哪个数据权限功能共享过来的,数据服务业务与数据权限业务边界更清晰,数据服务业务只关注数据业务本身,不用关心数据权限业务的存在,数据权限业务引用数据服务业务中的数据,利用数据业务本身计算出数据权限相关的数据。
配置方面也具有更高的灵活性,通过元数据配置可以控制整个数据权限的变更,也可以控制到具体的实体和实体中的字段,还可以控制指定实体使用哪些自定义的数据权限功能,在MBPC的上层可根据业务需要灵活扩展数据权限功能。
权限功能不再拘泥于当前系统提供的数据权限功能,基于MBPC,用户可以扩展定义自己的数据权限功能,不局限于RBAC的功能,相比RBAC,MBPC提供更灵活强大的数据权限能力,同时MBPC提供了更抽象的组(Group)概念,在组(Group)的概念中灵活扩展,组(Group)可以是部门(可以包含部门的上下级)、用户(可以包含用户的上下级)、也可以是自己定义的组(Group,可以是上下级组,也可以覆盖指定的部门和用户等等),不再局限于RBAC中的角色概念。组(Group)也可以是角色,相比RBAC本方案(MBPC)覆盖了角色的概念,本方案(MBPC)可以把权限赋予某个组(Group),把用户加入到某个组(Group)来实现角色的功能。
若整个系统需要优化,由于结构统一,无论上层使用的是什么样的数据权限功能,底层的存储结构都是稳定不变的可针对该结构进行持续优化。所有的接口也是统一的,即不论上层提供的是什么数据权限功能,在底层MBPC只提供最基本的接口:读、写或者其它扩展权限。在处理便捷性方面采用了预计算,在数据产生或者数据权限功能配置时,对数据权限相关的数据进行及时调整,避免在用户使用时才实时进行计算带来的性能损耗。
本发明实施例通过基于元数据驱动,将数据权限体系进行定义和配置,使该系统具有业务架构更清晰、配置更灵活、功能更完善、更方便进行优化、接口统一及处理更快捷等优点。
基于上述实施例,所述定义和配置的权限,包括单条数据共享功能、上下级数据权限功能和按规则共享数据功能。
具体地,单条数据共享功能包括将单条数据共享给某个用户或者某组用户,同时配置读或写权限;操作起来灵活方便,普通用户可将自己的数据共享给任何想要共享的目标用户,并同时授予指定权限。
上下级数据权限功能包括用户上下级和部门上下级:用户上下级包括用户是否可看到下级用户的数据;管理员可通过角色配置,指定对某个实体的数据权限配置:只可看到本人的数据、可看到下级用户的数据等。
按规则共享数据功能包括由管理员可配置指定条件将数据共享给某一类用户:一方面是数据源,即数据中的某个字段等于某个指定的值,例如:将数据中所有人字段是张三的数据共享给某一类用户,或者将数据中所属部门字段是市场部的数据共享给某一类用户;另一方面是数据目标,即数据共享给某类目标用户,分为指定的某一组用户(没有层级结构),和指定的某个组织(带有层级结构),例如:指定的部门,或者可指定是共享给当前指定部门的本级用户,或者是本级及下级部门的用户。
本发明实施例通过将权限细分为三类定义,适用于多种场景下的权限对应关系,具有很强的通用性和普适性。
基于上述任一实施例,所述用户对实体业务数据进行操作,并通知所述数据权限服务引擎基于所述权限配置数据对所述实体业务数据进行权限数据生成,得到权限配置结果,具体包括:
基于元数据对所述实体业务数据进行数据权限定义,得到元数据权限定义集合;
基于元数据权限定义集合设置元数据权限驱动规则。
其中,所述基于元数据对所述实体业务数据进行数据权限定义,得到元数据权限定义集合,具体包括:
指定任一实体开启数据权限功能;
指定所述任一实体的任一字段开启数据权限控制;
指定任一数据表来存储所述权限数据。
其中,所述基于元数据权限定义集合设置元数据权限驱动规则,具体包括:
若开启所述按规则共享数据功能,则触发所述数据权限服务引擎生成所述权限数据;
若关闭所述单条数据共享功能,则自动清理所述权限数据。
具体地,权限数据配置首先需要对元数据进行定义,即指定某个实体开启数据权限控制,指定某个字段开启数据权限控制(例如:数据所有人、数据所属部门等等),参加数据权限计算;指定开启某个数据权限功能,例如:开启基于单条数据权限功能的功能、开启基于规则共享数据的功能等等;指定使用哪张数据表参与数据权限的计算,即该实体的数据权限数据存储在哪张表里;其它数据权限相关的配置都可以在该实体的元数据定义中进行配置。
进一步是定义元数据驱动,在元数据配置发生变化后,相关的数据权限生成逻辑会发生调整,从而达到控制数据权限的使用,例如:若开启基于规则共享数据的功能,则会触发MBPC中的权限数据生成引擎开始生成相关的数据权限数据;若关闭基于单条数据共享功能,则会自动清理相关的权限数据。
此处,在MBPC中,权限数据具有功能丰富,支持MBPC上层的各种自定义的数据权限功能;存储集中,所有数据权限功能相关的数据都存储在MBPC内部统一的存储里;接口统一,仅提供最基础的查询、校验等功能,不会根据不同的数据权限功能再提供不同的数据权限接口,若业务需要,也可以基于MBPC提供的接口进行简单包装;集中优化,存储集中,接口统一,所有的优化不会因为数据权限功能的丰富而分散,集中优化底层的存储和接口即可;可追溯,数据是通过什么数据权限功能共享过来的,也可通过统一的接口查询,此类数据也统一存储在数据权限表里的每条数据上;扩展灵活,可通过元数据配置哪些实体、字段等等参与数据权限的计算,随时可进行开启或关闭;数据存储在统一的数据表中;数据容量大,可根据需要进行分库、分区、分表,可按实体进行分表,调整索引和查询SQL;在层级结构数据中,在数据存储中会拉平层级结构,通过简单的SQL可查询出本级有哪些数据,本级及下级有哪些数据。
本发明实施例通过对权限数据基于元数据做了具体的定义和赋值,实现了功能映射和对应关系的设置。
基于上述任一实施例,所述权限数据包括所述用户与组的关系存储,以及所述组与共享数据的关系存储。
具体地,图3为本发明实施例提供的业务系统中权限数据模型示意图,主要有两类存储,一是用户和组的关系存储,即有字段说明该用户在这个组中是什么样的权限;二是共享数据,主要存储实体所创建的每一条数据与组的关系,并且有字段说明该数据是通过哪个数据权限功能将数据共享过来的。
模型中展现了数据关联关系,存储表在进行组与共享数据关联后,就可以查出来当前用户可以看到哪些数据,可查出指定用户对哪些数据有什么权限,可查出哪些数据是通过哪些数据权限功能共享过来的,可查出用户因为归属于哪个组,而拥有数据权限。
本发明实施例通过在业务系统中区分了用户、数据和组之间的存储和数据关联关系,实现了数据共享和数据权限的有效结合。
基于上述任一实施例,所述数据服务引擎采用异步消息处理的模式接收外部消息并异步生成权限数据,包括所述用户自定义的若干处理模块,所述若干处理模块用于生成关联的权限数据,以供外部进行查询、校验并对外提供统一的接口。
具体地,本发明实施例中所采用的数据服务引擎为独立的权限数据生成引擎,支持动态弹性扩展。
该数据服务引擎主要工作方式为异步消息处理,在实体业务数据创建、修改、删除时,会向引擎发送消息;在自定义数据权限功能创建、修改、删除时,会向引擎发送消息;在元数据配置发生变化时,会向引擎发送消息。由于引擎中有若干不同的处理模块,可根据自定义的数据权限功能进行扩展处理模块,不同的处理模块将处理好的数据存储在统一的存储中。
例如,在创建实体业务数据时,发送消息。首先基于规则共享数据的处理模块会计算是否符合规则,如果符合,则存入到共享数据表,根据所配置的规则,将数据共享给目标组,将目标的组ID存储在共享数据表中相对应的字段上;如果不符合,则略过。其次,用户和组的关系存储,在创建组时就已经创建好,此时也有独立的处理模块进行处理,将用户和组的关系存储起来,例如:将某个用户放入到市场部这个部门里,处理模块会将该用户与市场部所在的组绑定起来,存储在数据表中,在创建共享数据时,直接使用这个组ID;市场部在用户和组的关系存储中会有多条数据,市场部会有本级部门的用户组,同时也有市场部本级及下级部门的用户组,在创建共享数据时,根据对应的数据权限功能配置中的设定来决定使用哪个组的ID。
数据服务引擎的具备查询功能,因为存储结构统一,所以可使用统一的SQL片断进行查询,SQL片断可作为整体业务数据查询的一部分,使用方可通过lib包中的接口获取相应的SQL片断,减少外部接口调用;另外数据出口统一,即从统一的数据表中出结果。
数据服务引擎的具备校验功能,当前用户对数据的读、写或者其它扩展权限进行校验,具体包括:查询权限,即读权限,用户可以查询该实体的相关数据,一般来说只要在存储在数据权限表的数据,指定用户都有读取的权限,可以进行正常的SQL查询操作,进行权限的更新,用户对数据可修改,可删除,只需要查询数据权限表中指定的数据权限字段即可判断,其它扩展权限也可同理实现。
可以理解的是,MBPC仅提供最基础的权限接口:查询接口,主要是SQL片断接口,用于拼装到具体的业务查询中;校验接口,用于判断当前用户对数据的读写权限判断。
本发明实施例通过对数据服务引擎进行了全面的功能定义和配置,使其具备很强的业务适应性和可扩展性。
图4本发明实施例提供的一种基于元数据的数据权限配置系统结构图,如图4所示,包括:定义配置模块41、生成模块42、配置存储模块43和判断模块44;其中:
定义配置模块41用于系统管理员对数据的权限进行定义和配置;生成模块42用于数据权限服务引擎根据定义和配置的权限,生成与所述定义和配置的权限相关联的权限数据;配置存储模块43用于用户对实体业务数据进行操作,并通知所述数据权限服务引擎基于所述权限配置数据对所述实体业务数据生成权限数据,得到权限配置结果,将所述权限配置结果存储在数据表中;判断模块44用于平台根据所述权限数据,判断所述用户是否具有对所述实体业务数据的操作权限。
本发明实施例通过基于元数据驱动,将数据权限体系进行定义和配置,使该系统具有业务架构更清晰、配置更灵活、功能更完善、更方便进行优化、接口统一及处理更快捷等优点。
基于上述任一实施例,所述定义配置模块41中的所述定义和配置的权限,包括单条数据共享功能、上下级数据权限功能和按规则共享数据功能。
本发明实施例通过将权限细分为三类定义,适用于多种场景下的权限对应关系,具有很强的通用性和普适性。
基于上述任一实施例,所述配置存储模块43包括定义子模块431和驱动子模块432;其中:
定义子模块431用于基于元数据对所述实体业务数据进行数据权限定义,得到元数据权限定义集合;驱动子模块432用于基于元数据权限定义集合设置元数据权限驱动规则。
其中,定义子模块431具体用于指定任一实体开启数据权限功能;指定所述任一实体的任一字段开启数据权限控制;指定任一数据表来存储所述权限数据。
驱动子模块432具体用于若开启所述按规则共享数据功能,则触发所述数据权限服务引擎生成所述权限数据;若关闭所述单条数据共享功能,则自动清理所述权限数据。
本发明实施例通过对权限数据基于元数据做了具体的定义和赋值,实现了功能映射和对应关系的设置。
基于上述任一实施例,所述生成模块42中的权限数据包括所述用户与组的关系存储,以及所述组与共享数据的关系存储。
本发明实施例通过在业务系统中区分了用户、数据和组之间的存储和数据关联关系,实现了数据共享和数据权限的有效结合。
基于上述任一实施例,所述数据服务引擎采用异步消息处理的模式接收外部消息并异步生成权限数据,包括所述用户自定义的若干处理模块,所述若干处理模块用于生成关联的权限数据,以供外部进行查询、校验并对外提供统一的接口。
本发明实施例通过对数据服务引擎进行了全面的功能定义和配置,使其具备很强的业务适应性和可扩展性。
图5示例了一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行如下方法:系统管理员对系统的数据权限功能进行定义和配置;数据权限服务引擎根据定义和配置的权限,生成与所述定义和配置的权限相关联的权限数据;用户对实体业务数据进行操作,并通知所述数据权限服务引擎基于所述权限配置数据对所述实体业务数据生成权限数据,得到权限配置结果,将所述权限配置结果存储在数据表中;平台根据所述权限数据,判断所述用户是否具有对所述实体业务数据的操作权限。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法,例如包括:系统管理员对系统的数据权限功能进行定义和配置;数据权限服务引擎根据定义和配置的权限,生成与所述定义和配置的权限相关联的权限数据;用户对实体业务数据进行操作,并通知所述数据权限服务引擎基于所述权限配置数据对所述实体业务数据生成权限数据,得到权限配置结果,将所述权限配置结果存储在数据表中;平台根据所述权限数据,判断所述用户是否具有对所述实体业务数据的操作权限。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于元数据的数据权限配置方法,其特征在于,包括:
系统管理员对系统的数据权限功能进行定义和配置;
数据权限服务引擎根据定义和配置的权限,生成与所述定义和配置的权限相关联的权限数据;
用户对实体业务数据进行操作,并通知所述数据权限服务引擎基于所述权限配置数据对所述实体业务数据生成权限数据,得到权限配置结果,将所述权限配置结果存储在数据表中;
平台根据所述权限数据,判断所述用户是否具有对所述实体业务数据的操作权限。
2.根据权利要求1所述的基于元数据的数据权限配置方法,其特征在于,所述定义和配置的权限,包括单条数据共享功能、上下级数据权限功能和按规则共享数据功能。
3.根据权利要求2所述的基于元数据的数据权限配置方法,其特征在于,所述用户对实体业务数据进行操作,并通知所述数据权限服务引擎基于所述权限配置数据对所述实体业务数据进行权限数据生成,得到权限配置结果,具体包括:
基于元数据对所述实体业务数据进行数据权限定义,得到元数据权限定义集合;
基于元数据权限定义集合设置元数据权限驱动规则。
4.根据权利要求3所述的基于元数据的数据权限配置方法,其特征在于,所述基于元数据对所述实体业务数据进行数据权限定义,得到元数据权限定义集合,具体包括:
指定任一实体开启数据权限功能;
指定所述任一实体的任一字段开启数据权限控制;
指定任一数据表来存储所述权限数据。
5.根据权利要求3所述的基于元数据的数据权限配置方法,其特征在于,所述基于元数据权限定义集合设置元数据权限驱动规则,具体包括:
若开启所述按规则共享数据功能,则触发所述数据权限服务引擎生成所述权限数据;
若关闭所述单条数据共享功能,则自动清理所述权限数据。
6.根据权利要求1或2所述的基于元数据的数据权限配置方法,其特征在于,所述权限数据包括所述用户与组的关系存储,以及所述组与共享数据的关系存储。
7.根据权利要求1所述的基于元数据的数据权限配置方法,其特征在于,所述数据服务引擎采用异步消息处理的模式接收外部消息并异步生成权限数据,包括所述用户自定义的若干处理模块,所述若干处理模块用于生成关联的权限数据,以供外部进行查询、校验并对外提供统一的接口。
8.一种基于元数据的数据权限配置系统,其特征在于,包括:
定义配置模块,用于系统管理员对系统的数据权限功能进行定义和配置;
生成模块,用于数据权限服务引擎根据定义和配置的权限,生成与所述定义和配置的权限相关联的权限数据;
配置存储模块,用于用户对实体业务数据进行操作,并通知所述数据权限服务引擎基于所述权限配置数据对所述实体业务数据生成权限数据,得到权限配置结果,将所述权限配置结果存储在数据表中;
判断模块,用于平台根据所述权限数据,判断所述用户是否具有对所述实体业务数据的操作权限。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述基于元数据的数据权限配置方法及系统的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一项所述基于元数据的数据权限配置方法及系统的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911096272.5A CN110941837B (zh) | 2019-11-11 | 2019-11-11 | 一种基于元数据的数据权限配置方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911096272.5A CN110941837B (zh) | 2019-11-11 | 2019-11-11 | 一种基于元数据的数据权限配置方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110941837A true CN110941837A (zh) | 2020-03-31 |
| CN110941837B CN110941837B (zh) | 2022-02-08 |
Family
ID=69907484
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911096272.5A Active CN110941837B (zh) | 2019-11-11 | 2019-11-11 | 一种基于元数据的数据权限配置方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110941837B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111625865A (zh) * | 2020-05-28 | 2020-09-04 | 武汉睿赋软件有限责任公司 | 一种基于规则的实体权限引擎控制方法及控制系统 |
| CN113379300A (zh) * | 2021-06-29 | 2021-09-10 | 浪潮通用软件有限公司 | 一种动态配置数据权限控制粒度的方法、设备及介质 |
| CN115186289A (zh) * | 2022-05-27 | 2022-10-14 | 唐旸 | 基于规则的数据权限控制方法、系统、电子设备和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103646218A (zh) * | 2013-12-12 | 2014-03-19 | 用友软件股份有限公司 | 数据访问权限和行为权限的定义装置和定义方法 |
| CN103729450A (zh) * | 2013-12-31 | 2014-04-16 | 深圳市科漫达智能管理科技有限公司 | 一种集中管理功能权限的方法及装置 |
| US20150143525A1 (en) * | 2006-10-31 | 2015-05-21 | Microsoft Corporation | Analyzing access control configurations |
| CN108920938A (zh) * | 2018-06-26 | 2018-11-30 | 南通森雅商务服务有限公司 | 一种集中管理功能权限的方法及装置 |
-
2019
- 2019-11-11 CN CN201911096272.5A patent/CN110941837B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150143525A1 (en) * | 2006-10-31 | 2015-05-21 | Microsoft Corporation | Analyzing access control configurations |
| CN103646218A (zh) * | 2013-12-12 | 2014-03-19 | 用友软件股份有限公司 | 数据访问权限和行为权限的定义装置和定义方法 |
| CN103729450A (zh) * | 2013-12-31 | 2014-04-16 | 深圳市科漫达智能管理科技有限公司 | 一种集中管理功能权限的方法及装置 |
| CN108920938A (zh) * | 2018-06-26 | 2018-11-30 | 南通森雅商务服务有限公司 | 一种集中管理功能权限的方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111625865A (zh) * | 2020-05-28 | 2020-09-04 | 武汉睿赋软件有限责任公司 | 一种基于规则的实体权限引擎控制方法及控制系统 |
| CN113379300A (zh) * | 2021-06-29 | 2021-09-10 | 浪潮通用软件有限公司 | 一种动态配置数据权限控制粒度的方法、设备及介质 |
| CN115186289A (zh) * | 2022-05-27 | 2022-10-14 | 唐旸 | 基于规则的数据权限控制方法、系统、电子设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110941837B (zh) | 2022-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110941837B (zh) | 一种基于元数据的数据权限配置方法及系统 | |
| US11361097B2 (en) | Dynamically generating sharing boundaries | |
| US20230283520A1 (en) | Intent driven network policy platform | |
| US20210203723A1 (en) | Data Storage Method and Apparatus | |
| US8539575B2 (en) | Techniques to manage access to organizational information of an entity | |
| JP3696639B2 (ja) | ディレクトリサービスのファイルシステムサービスとの統一 | |
| US20190147021A1 (en) | Multiplexing, isolating and collaborative management information system and method | |
| US20080005115A1 (en) | Methods and apparatus for scoped role-based access control | |
| US9703834B2 (en) | Topological query in multi-tenancy environment | |
| US9069987B2 (en) | Secure data access using SQL query rewrites | |
| US20140101129A1 (en) | High performance secure data access in a parallel processing system | |
| WO2012151162A2 (en) | Method and system for dynamically creating and servicing master-slave pairs within and across switch fabrics of a portable computing device | |
| US11822554B2 (en) | Symmetric query processing in a database clean room | |
| CN112835977B (zh) | 一种基于区块链的数据库管理方法及系统 | |
| US11126460B2 (en) | Limiting folder and link sharing | |
| CN103607305A (zh) | 一种分布式网络策略实现方法和装置 | |
| US10250446B2 (en) | Distributed policy store | |
| US20230061347A1 (en) | Multiple access points for data containers | |
| US10642817B2 (en) | Index table update method, and device | |
| CN106789267B (zh) | 公有云管理系统及管理方法 | |
| CA2830880A1 (en) | Managing permission settings applied to applications | |
| US20230409968A1 (en) | Multi-party machine learning using a database cleanroom | |
| WO2011149453A1 (en) | Graph authorization | |
| Mabuchi et al. | An access control model for web-services that supports delegation and creation of authority | |
| Gkioulos et al. | Enhancing usage control for performance: A proposal for systems of systems (research poster) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |