CN110992005B - 大数据应用中实现数据权限控制处理的方法及其系统 - Google Patents
大数据应用中实现数据权限控制处理的方法及其系统 Download PDFInfo
- Publication number
- CN110992005B CN110992005B CN201911337000.XA CN201911337000A CN110992005B CN 110992005 B CN110992005 B CN 110992005B CN 201911337000 A CN201911337000 A CN 201911337000A CN 110992005 B CN110992005 B CN 110992005B
- Authority
- CN
- China
- Prior art keywords
- authority
- data
- user
- organization
- acquiring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000012545 processing Methods 0.000 title claims abstract description 26
- 230000008520 organization Effects 0.000 claims abstract description 104
- 230000007246 mechanism Effects 0.000 claims abstract description 94
- 230000008569 process Effects 0.000 claims abstract description 7
- 238000011161 development Methods 0.000 abstract description 6
- 230000009545 invasion Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/103—Workflow collaboration or project management
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Engineering & Computer Science (AREA)
- Entrepreneurship & Innovation (AREA)
- Operations Research (AREA)
- Economics (AREA)
- Marketing (AREA)
- Data Mining & Analysis (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种大数据应用中实现数据权限控制处理的方法,包括以下步骤:根据机构主管获取业务数据查询的最高组织机构层级;根据业务功能的数据权限配置表,获取该用户的角色的有权机构范围、人员的有权机构范围和机构的有权机构范围;将其中层级最高的有权层级作为用户在其机构序列中拥有的最高的数据查询权限。本发明还涉及一种大数据应用中实现数据权限控制处理的系统。采用了本发明的大数据应用中实现数据权限控制处理的方法及其系统,适用于实现查询归属某个机构的业务数据的数据权限控制,极大的减少了代码侵入度,降低了系统资源占用,简化了开发过程,简化了流程模板的设置,保证了用户良好的使用体验。
Description
技术领域
本发明涉及计算机软件领域,尤其涉及大数据应用领域,具体是指一种大数据应用中实现数据权限控制处理的方法及其系统。
背景技术
数据权限是指对系统用户进行数据资源可见性的控制,通俗的解释就是:“符合某条件的用户只能看到该条件下对应的数据资源”。从当前登录用户的角度来说,数据权限的定义可以解释为:“当前登录的用户只能看到该用户权限范围内的数据资源”。
在企业管理系统中,一般会有大量不同的业务数据,从企业管控的角度看,不同的用户应该只能看到自己拥有权限的业务数据,如何界定用户拥有什么样的数据权限,不同的业务数据处理的方式也有可能不同。在企业大量的业务数据环境下,要抽象一个可以控制大部分业务数据的数据权限设置的方法对于应用开发而言是一种挑战,同时也是必须要解决的问题。
目前企业数据权限控制主要有两种方式:
方式一:针对不同的业务功能做数据权限设置处理,即针对每一个业务功能做具体的针对性的数据权限的控制。
方式二:通用的数据权限模型,一套完整的数据权限控制模型,包括数据源标志模块,资源标志模块,业务规则模块,业务数据对应得元素集合模块以及用户对资源的访问权限模块,具体如图1所示。通过配置数据安全对象模型、用户对于资源的访问权限,动态计算业务规则来实现用户的数据权限控制。
方式一的不足:不同业务功能都需要做特定的开发,开发人员需要理解业务功能的权限控制,业务调整时需要调整对应代码,不够灵活,增加代码开发复杂度及工作量。
方式二的不足:该方式相较于方式一来说灵活度较高,但是该方案的配置复杂度非常高,并且不同的业务功能配置可能不同,业务人员不一定能够正确配置;大数据量时由于每个单元查询都需要获取数据权限接口将有权限的业务数据先查询出来可能会引起性能问题。
发明内容
本发明的目的是克服了上述现有技术的缺点,提供了一种满足结构简单、资源占用少、适用范围广泛的大数据应用中实现数据权限控制处理的方法及其系统。
为了实现上述目的,本发明的大数据应用中实现数据权限控制处理的方法及其系统如下:
该大数据应用中实现数据权限控制处理的方法,其主要特点是,所述的方法包括以下步骤:
(1)根据机构主管获取业务数据查询的最高组织机构层级;
(2)根据业务功能的数据权限配置表,获取该用户的角色的有权机构范围、人员的有权机构范围和机构的有权机构范围;
(3)将其中层级最高的有权层级作为用户在其机构序列中拥有的最高的数据查询权限。
较佳地,所述的步骤(1)具体包括以下步骤:
判断用户是否为所在机构序列的主管,如果是,则机构主管即为该用户所在机构的有权层级;否则,继续步骤(2)。
较佳地,所述的步骤(2)具体包括以下步骤:
(2.1)判断用户以及用户的角色和所在机构是否均在功能权限配置列表内,如果是,则继续步骤(2.2);否则,不给予用户数据权限;
(2.2)根据业务功能的数据权限配置表,判断该用户是否具有特殊权限配置,如果是,则特殊权限配置对应的最高有权层级,继续步骤(2.3);否则,继续步骤(2.3);
(2.3)获取该用户的角色,判断该用户的角色是否具有业务功能的数据权限,如果是,则获取角色对应的最高有权层级,继续步骤(3);否则,继续步骤(3)。
较佳地,所述的步骤(1)中的机构主管具有用户所在机构序列中的该机构层级及以下所有机构层级的数据查询权限。
该大数据应用中实现数据权限控制处理的系统,其主要特点是,所述的系统包括:
数据权限配置表,用于根据机构编号字段获取业务数据的归属机构;
数据接口,与所述的数据权限控制业务表模块相连接,用于进行与组织机构关联的业务数据查询;
数据权限控制程序,与所述的数据权限配置表和数据接口相连接,用于调用所述的数据接口通过以下步骤获取用户的数据查询权限:
(1)根据机构主管获取业务数据查询的最高组织机构层级;
(2)根据业务功能的数据权限配置表,获取该用户的角色的有权机构范围、人员的有权机构范围和机构的有权机构范围;
(3)将其中层级最高的有权层级作为用户在其机构序列中拥有的最高的数据查询权限。
较佳地,所述的数据接口包括:
组织机构系列接口,与所述的数据权限配置表相连接,用于获取用户所在的机构和机构主管,并根据层级和指定机构编号获取机构树所有下级部门;
角色接口,与所述的数据权限配置表相连接,用于获取用户角色以及角色的有权层级;
业务功能数据权限配置接口,与所述的数据权限配置表相连接,用于获取业务功能数据权限以及相关配置。
较佳地,所述的步骤(1)具体包括以下步骤:
判断用户是否为所在机构序列的主管,如果是,则机构主管即为该用户所在机构的有权层级;否则,继续步骤(2)。
较佳地,所述的步骤(2)具体包括以下步骤:
(2.1)判断用户以及用户的角色和所在机构是否均在功能权限配置列表内,如果是,则继续步骤(2.2);否则,不给予用户数据权限;
(2.2)根据业务功能的数据权限配置表,判断该用户是否具有特殊权限配置,如果是,则特殊权限配置对应的最高有权层级,继续步骤(2.3);否则,继续步骤(2.3);
(2.3)获取该用户的角色,判断该用户的角色是否具有业务功能的数据权限,如果是,则获取角色对应的最高有权层级,继续步骤(3);否则,继续步骤(3)。
较佳地,所述的步骤(1)中的机构主管具有用户所在机构序列中的该机构层级及以下所有机构层级的数据查询权限。
采用了本发明的大数据应用中实现数据权限控制处理的方法及其系统,适用于实现查询归属某个机构的业务数据的数据权限控制,具有以下技术效果:只需要根据具体场景实现几个简单的数据查询接口,在业务功能查询条件中增加有权机构的查询条件,就可以满足任何以机构部门为基础的业务数据查询功能的数据权限控制问题。该发明通过程序封装,将业务功能的数据权限控制与业务功能本身进行了有效的解耦,无需针对不同业务功能编写数据权限控制代码。该发明直接通过机构权限控制数据权限,因此只需做好业务功能人员、角色的有权配置即可,简单、方便、易懂,无需做繁琐的配置;本发明只需要在业务查询功能数据初始化时调用获取数据权限接口,极大的减少了代码侵入度,除了控制数据权限,不对原有的业务功能有其他影响,降低了系统资源占用,简化了开发过程,简化了流程模板的设置,保证了用户良好的使用体验。
附图说明
图1为现有技术中的通用的数据权限模型的处理流程图。
图2为本发明的大数据应用中实现数据权限控制处理的方法的示意图。
图3为本发明的大数据应用中实现数据权限控制处理的系统的组织架构示意图。
图4为本发明的大数据应用中实现数据权限控制处理的方法及其系统的实施例的组织架构示意图。
具体实施方式
为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
本发明的该大数据应用中实现数据权限控制处理的方法,其中包括以下步骤:
(1)根据机构主管获取业务数据查询的最高组织机构层级;
判断用户是否为所在机构序列的主管,如果是,则机构主管即为该用户所在机构的有权层级;否则,继续步骤(2);
(2)根据业务功能的数据权限配置表,获取该用户的角色的有权机构范围、人员的有权机构范围和机构的有权机构范围;
(2.1)判断用户以及用户的角色和所在机构是否均在功能权限配置列表内,如果是,则继续步骤(2.2);否则,不给予用户数据权限;
(2.2)根据业务功能的数据权限配置表,判断该用户是否具有特殊权限配置,如果是,则特殊权限配置对应的最高有权层级,继续步骤(2.3);否则,继续步骤(2.3);
(2.3)获取该用户的角色,判断该用户的角色是否具有业务功能的数据权限,如果是,则获取角色对应的最高有权层级,继续步骤(3);否则,继续步骤(3);
(3)将其中层级最高的有权层级作为用户在其机构序列中拥有的最高的数据查询权限。
作为本发明的优选实施方式,所述的步骤(1)中的机构主管具有用户所在机构序列中的该机构层级及以下所有机构层级的数据查询权限。
本发明的该大数据应用中实现数据权限控制处理的系统,其中包括:
数据权限配置表,用于根据机构编号字段获取业务数据的归属机构;
数据接口,与所述的数据权限控制业务表模块相连接,用于进行与组织机构关联的业务数据查询;
数据权限控制程序,与所述的数据权限配置表和数据接口相连接,用于调用所述的数据接口通过以下步骤获取用户的数据查询权限:
(1)根据机构主管获取业务数据查询的最高组织机构层级;
判断用户是否为所在机构序列的主管,如果是,则机构主管即为该用户所在机构的有权层级;否则,继续步骤(2);
(2)根据业务功能的数据权限配置表,获取该用户的角色的有权机构范围、人员的有权机构范围和机构的有权机构范围;
(2.1)判断用户以及用户的角色和所在机构是否均在功能权限配置列表内,如果是,则继续步骤(2.2);否则,不给予用户数据权限;
(2.2)根据业务功能的数据权限配置表,判断该用户是否具有特殊权限配置,如果是,则特殊权限配置对应的最高有权层级,继续步骤(2.3);否则,继续步骤(2.3);
(2.3)获取该用户的角色,判断该用户的角色是否具有业务功能的数据权限,如果是,则获取角色对应的最高有权层级,继续步骤(3);否则,继续步骤(3);
(3)将其中层级最高的有权层级作为用户在其机构序列中拥有的最高的数据查询权限。
作为本发明的优选实施方式,所述的数据接口包括:
组织机构系列接口,与所述的数据权限配置表相连接,用于获取用户所在的机构和机构主管,并根据层级和指定机构编号获取机构树所有下级部门;
角色接口,与所述的数据权限配置表相连接,用于获取用户角色以及角色的有权层级;
业务功能数据权限配置接口,与所述的数据权限配置表相连接,用于获取业务功能数据权限以及相关配置。
作为本发明的优选实施方式,所述的步骤(1)中的机构主管具有用户所在机构序列中的该机构层级及以下所有机构层级的数据查询权限。
本发明的具体实施方式中,为了实现企业应用系统内业务数据权限的控制提供一种基于业务数据的组织机构(部门)归属确定数据查询范围的软件实现方法,该方法使得业务数据权限控制更加简单通用,代码侵入度低,更加灵活,通过配置可实现不同机构层级,不同用户,不同角色拥有对应的数据权限,同时能够减少代码开发工作量,降低维护复杂性,减少对系统资源占用,保证良好的用户使用体验。
本发明的业务功能数据权限具体指的是机构数据权限即机构对应的业务数据,通过配置以及通用的代码实现来限制业务功能的组织机构(部门)查询条件就可以达到数据权限控制的目的。
“机构层级”以及“机构序列”的概念,如图3所示:“主机构”为第一机构层级,“子机构1”和“子机构2”为第二机构层级,“子机构3”和“子机构4”为第三机构层级。其中“员工C”所在机构序列为“主机构—子机构2”,“员工A”所在机构序列为“主机构--子机构1--子机构3”,“员工B”所在机构序列为:“主机构-子机构1-子机构4”。
数据权限获取方案具体如图2所示,在这个方案中用户的数据权限控制主要体现为两种情形:基于机构主管的设置缺省查询归属本级机构及下级机构的业务数据;通过业务功能的数据权限配置功能更加灵活的设置基于角色、人员的有权机构范围的业务数据。下面分别对这两种情形进行描述。
情形一:基于机构主管的设置获取业务数据查询的最高组织机构层级
根据用户所在机构,判断其是否所在机构序列的主管,如果是则取作为机构主管的最小机构层级,作为机构有权层级,拥有用户所属机构序列中该机构层级及以下层级数据的查询权限。
情形二:通过业务功能的数据权限配置功能设置基于角色、人员、机构的有权机构范围
业务功能数据权限配置的目的是配置对应的一个或者一批用户(角色、机构)拥有哪个机构层级以下的数据查询权限。角色是指共同拥有某一个身份的人比如说“财务”,机构是指机构内的全体人员,人员是指某个具体的系统用户。允许同一机构层级同时设置多个“角色”,“机构”,“人员”,表明该角色(机构、人员)人员在所属机构序列中针对该业务功能拥有对应机构层级下的所有数据查询的权限。
获取某个用户针对某个业务功能的最高数据查询权限的方法:
基于情形二判断用户所属的“角色”,“机构”及用户本人是否在该功能权限配置列表内。如果不在则返回空,如果在则判断是否拥有多个有权层级,取有权最高机构层级作为该用户针对该功能的有权机构层级,再与情形一中获得的最高有权机构层级进行比较,取其中最高的有权机构层级作为该用户在该功能上拥有的最高组织机构层级同序列下的数据查询权限。
本发明的核心在于为不同的业务功能提供一套通用、简单、代码侵入度相对较低的处理模型,只需要针对业务功能做好数据权限配置以及增加通用机构权限获取代码就能灵活满足不同业务功能的数据权限控制的需要。
接下来描述本发明的技术实现:
一、依赖接口
本发明适用于与组织机构关联的业务数据查询功能,依赖以下常见接口:
(1)获取组织机构的系列接口:获得人员所在的部门、获得部门的主管、根据层级和指定部门编号获取机构树所有下级部门
(2)获得人员拥有的角色接口
(3)获取业务功能数据权限配置接口
二、业务表设计要求
对于需要使用本方案进行数据权限控制的业务表,需要增加机构编号字段,表示业务数据的归属机构。
三、通用业务功能数据权限获取接口生成实现算法
在业务查询功能页面初始化时调用该接口获取有权限得机构作为查询限制条件。
(1)为使用者提供接口类,实现获取员工所在机构信息、获取机构主管信息、获取功能业务配置信息、获取用户角色信息、根据所在机构及最高有权机构层级获取所有有权机构。
(2)获取作为机构主管的最高层级
(3)获取业务功能配置的最高层级
(4)获取用户所有有权的机构
四、业务查询功能的数据权限控制实现方法
在业务查询功能页面中增加“有权机构”的查询条件,在页面加载前初始化有权机构树数据,具体实现方式为:页面通过JS将用户id及业务功能代码作为参数条件调用本发明的“获取所有有权限的机构”接口,当返回的有权的机构有值时则将此返回值作为隐藏的限制查询条件,如果返回值为空则说明该用户针对这个功能没有任何权限,可设置该用户查询不到任务业务信息也可设置其他某一固定的有权条件,这样就能达到控制不同用户的数据权限了。
业务功能数据权限控制是数据查询常见的场景,本发明以“合同信息查询”作为具体实施例来对本发明进行具体实施方式的验证。
在企业的经营管理中合同是与客户签订的具有法律效用的明确双方权利与义务的文件,是对项目范围、交付要求、标的、付款条件等的约定,合同的签订往往代表着公司的经营效益,因此公司的经营者经常有查询合同相关信息的需求同时相关后台例如公司商务也有合同信息的查询与维护的需求。
假定每个合同都归属到公司的某一个叶子部门,对于合同信息的查询一般可能会有以下几种需求:
(1)公司的负责人需要能看到整个公司所有的合同,事业部主管需要看到所有下属部门的合同信息,叶子部门主管需要看到本部门签订的所有合同信息
(2)公司商务需要查询并且维护公司所有合同信息
(3)事业部助理需要查询属于所在事业部所有下属叶子部门对应的合同信息
(4)事业部某一特定非机构主管的用户因特定情况需要查看事业部所有的合同信息
在这个场景中假定某企业的组织架构及角色设置如图4所示,假定该企业针对“合同信息查询”的数据权限控制有如下的需求:
公司1的主管即员工Z允许查询公司所有的合同信息;
事业部3的主管员工Y允许查询事业部3所有的合同信息;
事业部3助理员工U允许查询事业部3的所有合同信息;
部门8的主管员工X允许查询部门8的合同信息;
公司商务员工V允许查询公司所有合同信息;
部门7的员工I因特定需求允许查询部门7的合同信息;
部门6的员工因特定需求允许查询事业4的所有合同信息。
针对以上场景,需要对于“合同信息查询”功能做具体如下表所示的配置:
功能 | 数据权限层级 | 角色 | 用户 |
合同信息查询 | 1 | 公司商务 | |
合同信息查询 | 2 | 事业部助理 | 员工J |
合同信息查询 | 4 | 员工I |
基于“合同信息查询”功能的数据权限控制的接口实现:
本发明依赖的常见接口均为基础的数据查询接口,这里不做具体的阐述。在“合同信息查询”功能页面上初始化数据之前,页面通过JS将用户id及“合同信息查询”功能代码作为参数条件调用本发明的数据权限接口,当返回的有权的机构有值时则将此返回值作为隐藏的限制查询条件,如果返回值为空则说明该用户针对这个功能没有任何权限,可将“合同信息查询”的某一个条件比如“合同对应销售”设置成该用户,这样该用户就只能查询到销售是他的合同信息,或者因业务需要可设置其他固定的限制条件。以下是“合同信息查询”功能实现数据权限控制的JS示例代码(仅作参考):
通过实现“合同信息查询”功能页面初始化时加载有权机构并设置机构条件后,就能达到控制不同用户查询合同信息的数据权限了。
用户针对“合同信息查询”功能的数据权限获取过程:
员工查询合同信息之前,先判断是否某个机构的主管如果是则返回是机构主管的对应最高层级的机构的对应层级;例如“员工X”对应机构的层级应该是“4”;再去业务功能配置判断该用户是否做特殊权限配置,如果有则返回配置对应的最高层级,例如“员工J”此时返回的对应层级应该是“2”;再获取该用户的角色根据业务功能配置判断该用户的角色是否有做配置,同理取对应最高层级,例如“员工U”作为事业部助理对应机构层级应该“2”。根据以上综合获取其中最小的一个机构层级作为最大权限,以此再根据用户所在机构获取全部有权机构,并将此作为“合同信息”查询的限制定价查询所有归属在有权机构下的合同信息。
通过对“合同信息查询”这个具体业务查询功能基于本发明技术方案的实施方式描述,以及具体的数据权限控制的推演,可以充分了解本发明技术方案的使用方式和特点。
采用了本发明的大数据应用中实现数据权限控制处理的方法及其系统,适用于实现查询归属某个机构的业务数据的数据权限控制,具有以下技术效果:只需要根据具体场景实现几个简单的数据查询接口,在业务功能查询条件中增加有权机构的查询条件,就可以满足任何以机构部门为基础的业务数据查询功能的数据权限控制问题。该发明通过程序封装,将业务功能的数据权限控制与业务功能本身进行了有效的解耦,无需针对不同业务功能编写数据权限控制代码。该发明直接通过机构权限控制数据权限,因此只需做好业务功能人员、角色的有权配置即可,简单、方便、易懂,无需做繁琐的配置;本发明只需要在业务查询功能数据初始化时调用获取数据权限接口,极大的减少了代码侵入度,除了控制数据权限,不对原有的业务功能有其他影响,降低了系统资源占用,简化了开发过程,简化了流程模板的设置,保证了用户良好的使用体验。
在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。
Claims (7)
1.一种大数据应用中实现数据权限控制处理的方法,其特征在于,所述的方法包括以下步骤:
(1)根据机构主管获取业务数据查询的最高组织机构层级;
(2)根据业务功能的数据权限配置表,获取用户的角色的有权机构范围、人员的有权机构范围和机构的有权机构范围;
(3)将其中层级最高的有权层级作为用户在其机构序列中拥有的最高的数据查询权限;
所述的方法通过业务功能的数据权限配置功能设置基于角色、人员、机构的有权机构范围,配置对应的一个或者一批用户拥有某个机构层级以下的数据查询权限;
角色指共同拥有某一个身份的人,机构指机构内的全体人员,人员指某个具体的系统用户;角色、人员、机构的有权机构范围指允许同一机构层级同时设置多个角色、机构、人员,表明该角色、机构、人员在所属机构序列中针对业务功能拥有对应机构层级下的所有数据查询的权限;
所述的步骤(2)具体包括以下步骤:
(2.1)判断用户以及用户的角色和所在机构是否均在功能权限配置列表内,如果是,则继续步骤(2.2);否则,不给予用户数据权限;
(2.2)根据业务功能的数据权限配置表,判断该用户是否具有特殊权限配置,如果是,则特殊权限配置对应的最高有权层级,继续步骤(2.3);否则,继续步骤(2.3);
(2.3)获取该用户的角色,判断该用户的角色是否具有业务功能的数据权限,如果是,则获取角色对应的最高有权层级,继续步骤(3);否则,继续步骤(3)。
2.根据权利要求1所述的大数据应用中实现数据权限控制处理的方法,其特征在于,所述的步骤(1)具体包括以下步骤:
判断用户是否为所在机构序列的主管,如果是,则机构主管即为该用户所在机构的有权层级;否则,继续步骤(2)。
3.根据权利要求1所述的大数据应用中实现数据权限控制处理的方法,其特征在于,所述的步骤(1)中的机构主管具有用户所在机构序列中的该机构层级及以下所有机构层级的数据查询权限。
4.一种大数据应用中实现数据权限控制处理的系统,其特征在于,所述的系统包括:
数据权限配置表,用于根据机构编号字段获取业务数据的归属机构;
数据接口,与所述的数据权限控制业务表模块相连接,用于进行与组织机构关联的业务数据查询;
数据权限控制程序,与所述的数据权限配置表和数据接口相连接,用于调用所述的数据接口通过以下处理获取用户的数据查询权限:
(1)根据机构主管获取业务数据查询的最高组织机构层级;
(2)根据业务功能的数据权限配置表,获取该用户的角色的有权机构范围、人员的有权机构范围和机构的有权机构范围;
(3)将其中层级最高的有权层级作为用户在其机构序列中拥有的最高的数据查询权限;
所述的步骤(2)具体包括以下步骤:
(2.1)判断用户以及用户的角色和所在机构是否均在功能权限配置列表内,如果是,则继续步骤(2.2);否则,不给予用户数据权限;
(2.2)根据业务功能的数据权限配置表,判断该用户是否具有特殊权限配置,如果是,则特殊权限配置对应的最高有权层级,继续步骤(2.3);否则,继续步骤(2.3);
(2.3)获取该用户的角色,判断该用户的角色是否具有业务功能的数据权限,如果是,则获取角色对应的最高有权层级,继续步骤(3);否则,继续步骤(3);
所述的系统通过业务功能的数据权限配置功能设置基于角色、人员、机构的有权机构范围,配置对应的一个或者一批用户拥有某个机构层级以下的数据查询权限。
5.根据权利要求4所述的大数据应用中实现数据权限控制处理的系统,其特征在于,所述的数据接口包括:
组织机构系列接口,与所述的数据权限配置表相连接,用于获取用户所在的机构和机构主管,并根据层级和指定机构编号获取机构树所有下级部门;
角色接口,与所述的数据权限配置表相连接,用于获取用户角色以及角色的有权层级;
业务功能数据权限配置接口,与所述的数据权限配置表相连接,用于获取业务功能数据权限以及相关配置。
6.根据权利要求4所述的大数据应用中实现数据权限控制处理的系统,其特征在于,所述的步骤(1)具体包括以下步骤:
判断用户是否为所在机构序列的主管,如果是,则机构主管即为该用户所在机构的有权层级;否则,继续步骤(2)。
7.根据权利要求4所述的大数据应用中实现数据权限控制处理的系统,其特征在于,所述的步骤(1)中的机构主管具有用户所在机构序列中的该机构层级及以下所有机构层级的数据查询权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911337000.XA CN110992005B (zh) | 2019-12-23 | 2019-12-23 | 大数据应用中实现数据权限控制处理的方法及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911337000.XA CN110992005B (zh) | 2019-12-23 | 2019-12-23 | 大数据应用中实现数据权限控制处理的方法及其系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110992005A CN110992005A (zh) | 2020-04-10 |
CN110992005B true CN110992005B (zh) | 2024-02-06 |
Family
ID=70074663
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911337000.XA Active CN110992005B (zh) | 2019-12-23 | 2019-12-23 | 大数据应用中实现数据权限控制处理的方法及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110992005B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112632500A (zh) * | 2020-12-30 | 2021-04-09 | 绿盟科技集团股份有限公司 | 一种数据管理方法和电子设备 |
CN112926071A (zh) * | 2021-03-03 | 2021-06-08 | 浪潮云信息技术股份公司 | 一种基于政务云管理平台实现的多层级数据权限控制方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101588242A (zh) * | 2008-05-19 | 2009-11-25 | 北京亿企通信息技术有限公司 | 一种实现权限管理的方法及系统 |
CN105404826A (zh) * | 2015-12-22 | 2016-03-16 | 宋连兴 | 一种动态产生业务对象的权限管理方法 |
CN105608366A (zh) * | 2014-11-18 | 2016-05-25 | 华为软件技术有限公司 | 用户权限控制方法和装置 |
CN105787317A (zh) * | 2016-03-23 | 2016-07-20 | 中国电力科学研究院 | 基于多层分级系统的权限控制方法 |
CN106713340A (zh) * | 2017-01-04 | 2017-05-24 | 深圳开维教育信息技术股份有限公司 | 一种多层级的用户权限管理方法 |
CN107545047A (zh) * | 2017-08-17 | 2018-01-05 | 平安科技(深圳)有限公司 | 用户权限数据的查询方法及终端设备 |
CN108009407A (zh) * | 2017-11-29 | 2018-05-08 | 华迪计算机集团有限公司 | 一种对系统用户权限进行分级管理的方法及系统 |
WO2018214889A1 (zh) * | 2017-05-23 | 2018-11-29 | 成都牵牛草信息技术有限公司 | 基于会签的审批节点在审批流程中的设置方法 |
CN109214151A (zh) * | 2018-09-28 | 2019-01-15 | 北京赛博贝斯数据科技有限责任公司 | 用户权限的控制方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130047193A (ko) * | 2011-10-31 | 2013-05-08 | 한국전자통신연구원 | 조직 구조에 상응하는 선설정된 접근 제어 정보를 이용하는 어플리케이션 서비스 전달 방법 및 장치 |
-
2019
- 2019-12-23 CN CN201911337000.XA patent/CN110992005B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101588242A (zh) * | 2008-05-19 | 2009-11-25 | 北京亿企通信息技术有限公司 | 一种实现权限管理的方法及系统 |
CN105608366A (zh) * | 2014-11-18 | 2016-05-25 | 华为软件技术有限公司 | 用户权限控制方法和装置 |
CN105404826A (zh) * | 2015-12-22 | 2016-03-16 | 宋连兴 | 一种动态产生业务对象的权限管理方法 |
CN105787317A (zh) * | 2016-03-23 | 2016-07-20 | 中国电力科学研究院 | 基于多层分级系统的权限控制方法 |
CN106713340A (zh) * | 2017-01-04 | 2017-05-24 | 深圳开维教育信息技术股份有限公司 | 一种多层级的用户权限管理方法 |
WO2018214889A1 (zh) * | 2017-05-23 | 2018-11-29 | 成都牵牛草信息技术有限公司 | 基于会签的审批节点在审批流程中的设置方法 |
CN107545047A (zh) * | 2017-08-17 | 2018-01-05 | 平安科技(深圳)有限公司 | 用户权限数据的查询方法及终端设备 |
CN108009407A (zh) * | 2017-11-29 | 2018-05-08 | 华迪计算机集团有限公司 | 一种对系统用户权限进行分级管理的方法及系统 |
CN109214151A (zh) * | 2018-09-28 | 2019-01-15 | 北京赛博贝斯数据科技有限责任公司 | 用户权限的控制方法及系统 |
Non-Patent Citations (2)
Title |
---|
层次化动态权限控制模型的设计和实现;傅国强;陈锐锆;;计算机工程与设计(03);全文 * |
角色访问控制在青藏铁路电务管理系统中的应用;张嵩;;铁路计算机应用(06);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110992005A (zh) | 2020-04-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109643242B (zh) | 用于多租户hadoop集群的安全设计和架构 | |
US8381306B2 (en) | Translating role-based access control policy to resource authorization policy | |
CN100495422C (zh) | 业务操作权限控制方法 | |
US8032558B2 (en) | Role policy management | |
US9177168B2 (en) | Method of modifying access control for web services using query languages | |
US8850041B2 (en) | Role based delegated administration model | |
CN100492357C (zh) | 最优化行级别数据库安全的系统和方法 | |
EP2405607B1 (en) | Privilege management system and method based on object | |
EP2521066A1 (en) | Fine-grained relational database access-control policy enforcement using reverse queries | |
US20150089575A1 (en) | Authorization policy objects sharable across applications, persistence model, and application-level decision-combining algorithm | |
US20070136291A1 (en) | Access control for elements in a database object | |
US20090205018A1 (en) | Method and system for the specification and enforcement of arbitrary attribute-based access control policies | |
CN112182619A (zh) | 基于用户权限的业务处理方法、系统及电子设备和介质 | |
US6678682B1 (en) | Method, system, and software for enterprise access management control | |
US8719894B2 (en) | Federated role provisioning | |
CN110992005B (zh) | 大数据应用中实现数据权限控制处理的方法及其系统 | |
CN111651738B (zh) | 基于前后端分离架构的细粒度角色权限统一管理方法及电子装置 | |
CN111464487B (zh) | 访问控制方法、装置及系统 | |
US20040088563A1 (en) | Computer access authorization | |
US20040019809A1 (en) | System and method for providing entity-based security | |
CN110968851A (zh) | 一种业务权限的管控方法、管控系统及计算机可读介质 | |
CN113765925B (zh) | 一种基于osac和perm访问控制模型的改进方法 | |
US20150134818A1 (en) | Data sharing method and data sharing gateway configuration | |
CN113220762A (zh) | 大数据应用中实现关键业务字段变更的通用记录处理的方法、装置、处理器及其存储介质 | |
CN113742369B (zh) | 数据权限管理方法、系统和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |