CN111274606A - 一种实现业务通用数据权限管理的系统及其方法 - Google Patents
一种实现业务通用数据权限管理的系统及其方法 Download PDFInfo
- Publication number
- CN111274606A CN111274606A CN202010061750.5A CN202010061750A CN111274606A CN 111274606 A CN111274606 A CN 111274606A CN 202010061750 A CN202010061750 A CN 202010061750A CN 111274606 A CN111274606 A CN 111274606A
- Authority
- CN
- China
- Prior art keywords
- authority
- data
- main body
- configuration
- configuring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 230000014509 gene expression Effects 0.000 claims description 28
- 230000003068 static effect Effects 0.000 claims description 18
- 238000013475 authorization Methods 0.000 claims description 6
- 238000001514 detection method Methods 0.000 claims description 3
- 238000011161 development Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013102 re-test Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
一种实现业务通用数据权限管理的系统,包括有操作主体管理模块、功能权限管理模块、数据操作管理模块、数据行权限管理模块、数据列权限管理模块、结果集权限管理模块;实现数据权限的配置方法,步骤为:1)配置操作主体;2)配置功能权限;3)配置数据行权限;4)配置数据列权限;5)配置结果集权限;实现数据权限的控制方法的步骤为:步骤一,配置操作主体;步骤二,功能权限检查及控制;步骤三,数据操作检查及控制;步骤四,数据行权限检查及控制;步骤五,数据列权限检查及控制;步骤六,数据结果集权限检查及控制;可实现精细化和动态化的进行权限管理。
Description
技术领域
本发明软件权限管理技术领域,具体涉及一种实现业务通用数据权限管理的系统及其方法。
背景技术
现代软件系统越来越复杂,对软件系统中各类权限管理的要求也越来越高,传统的权限管理系统主要完成系统功能权限的管理,而对系统功能对应的数据权限的精细动态管理不足。例如:用户可行某操作,但需要通过权限管理限制该用户只能对满足特定条件的数据操作,操作只能进行特定的数据、字段的更改。
当前的软件系统中实现的权限管理主要存在以下几类:
1)系统权限管理的实现通过代码的实现,系统权限的变更需要进行系统的源代码调整及重新测试部署等,工作量较大,风险比较高。
2)系统的权限管理可进行基于功能的基础配置,典型如RABC(Role-Based AccessControl,基于角色的访问控制)模型的权限管理,主要实现了系统功能权限的基于角色的灵活配置,但对不能满足功能对应数据的精细管理和动态管理,需要实现时一般需要重新开发,实现成本很高。例如某用户只能查看本部门员工信息,同时不能查看员工的身份证号、工资等敏感信息。
3)在系统功能权限的基础上,进一步实现了功能的精细管理,但根据最初需求通过代码的方式实现,对软件系统经常遇到的权限需求变更很难适应,需求变更一般需要重新进行代码开发,实现成本较高。
发明内容
针对现有权限管理技术存在的问题,本发明的目的在于提供一种实现业务通用数据权限管理的系统及其方法,实现精细化和动态化的进行权限管理。
为实现上述目的,本发明的具体技术方案如下:
一种实现业务通用数据权限管理的系统,包括有操作主体模块、功能权限管理模块、数据操作管理模块、数据行权限管理模块、数据列权限管理模块、结果集权限管理模块;通过该系统实现数据操作的精细动态管理,包括基于数据操作主体配置,在功能权限检查通过的基础上,对数据操作的行权限、数据列权限的精细化、动态化管理,可以满足对数据操作的各种权限管理要求,即在什么操作条件下对那些数据的那些字段可以进行什么样的操作;
所述的操作主体管理模块,对操作主体的管理,作为权限控制的输入,包括数据主体的配置,数据主体的标识,操作主体包括但不限于用户或者其他应用,以及为便于权限管理而使用的角色、用户组,用于标识数据操作主体;
所述的功能权限管理模块,对操作主体进行功能操作的权限配置及权限管理,包括但不限于操作接口权限、菜单及按钮权限、操作的时间权限以及各种授权方式;功能权限可通过基于角色的访问控制模型进行实现;数据操作权限基于功能权限实现;
所述的数据操作管理模块,对操作主体进行的操作是否涉及数据操作进行分析和判断,通过数据库操作中间件(如JDBC、ODBC数据库接口)进行拦截和识别,如果涉及数据操作,则进行数据操作权限检查,如果不涉及数据操作,则进行操作执行;
所述的数据行权限管理模块,数据行权限定义了操作主体在进行数据操作时可以操作的数据范围,即对数据操作时可以操作数据表中哪些行的数据进行明确的配置和权限管理;
所述的数据列权限管理模块,数据列权限定义了操作主体在进行数据操作时可以操作的数据字段,即对数据操作时可以操作数据表中哪些列的数据进行明确的配置和权限管理;
所述的结果集权限管理模块,结果集权限管理模块定义了实现操作主体在进行数据操作时,可对数据进行变更的值的范围,即对数据操作时可以变更的数据的值的范围和进行配置和权限管理。
一种实现业务通用数据权限的配置方法,包括以下步骤:
步骤一,配置操作主体
通过操作主体理模块配置操作主体,包括但不限于用户、应用,以及为便于权限管理而使用的角色、子角色、用户组;
步骤二,配置功能权限
在步骤一配置操作主体的基础上,通过功能权限管理模块配置功能权限,包括操作接口权限、菜单权限、按钮权限、操作的时间权限以及各种授权方式,功能权限可通过基于角色的访问控制模型进行实现;
步骤三,配置数据行权限
在步骤二配置操作主体功能权限的基础上,通过数据行权限管理模块配置操作主体的数据行权限,即操作主体拥有功能权限的基础上对所需操作的行的范围进行配置,包括操作主体对数据行范文的静态配置和动态配置;动态配置通过动态表达式的配置实现数据的关联依赖灵活配置,具体实现可支持SQL、JS表达式、或多条件管理人工输入方式;
步骤四,配置数据列权限
在步骤二配置操作主体功能权限的基础上,通过数据列权限管理模块配置操作主体的数据列权限,即操作主体拥有功能权限的基础上对所需操作的列的范围进行配置,包括操作主体对数据行范文的静态配置和动态配置;动态配置通过动态表达式的配置实现数据的关联依赖灵活配置;具体实现可支持SQL、JS表达式、或多条件管理人工输入方式;
步骤五,配置结果集权限
在步骤二、步骤三、步骤四配置操作主体功能权限、数据行权限、数据列权限的基础上,通过结果集权限管理模块配置操作主体的数据结果集权限,即操作主体拥有数据操作权限时,对某数据字段时更改时可以设定的值的范围;结果集权限配置包括静态配置(字段的固定值范围)和动态配置。动态配置通过动态表达式配置实现,具体实现可支持SQL、JS表达式、或多条件管理人工输入方式。
一种实现业务通用数据权限的控制方法,包括以下步骤:
步骤一,操作主体操作
操作主体通过应用系统提供的操作入口进行数据操作,为标识操作主体,操作主体需进行登录操作,或在进行操作时携带操作主体标识,匿名是操作主体的一种特殊形式;
步骤二,功能权限检查及控制
根据功能权限配置的情况,对操作主体的操作功能进行功能权限检查,功能权限检查不通过则返回无权限操作,功能权限检查通过则继续进行步骤三--数据操作检查;
步骤三,数据操作检查及控制
对操作主体的操作进行分析和检查,如果操作如果不涉及数据操作,则进行操作执行,如果涉及数据操作,则进行后续步骤四、步骤五、步骤六的数据行权限、数据列权限、结果集权限检查及控制;
步骤四,数据行权限检查及控制
根据数据行权限配置,对操作主体操作的数据行权限进行权限检查,数据行权限检查不通过,则返回无权限操作,如果数据行权限检查通过,则后续步骤五、步骤六的数据列权限、结果集权限检查及控制;
步骤五,数据列权限检查及控制
根据数据列权限配置,对操作主体操作的数据列权限进行列权限检查,若列权限检查不通过,则返回无权限操作;若列权限检查通过,则后续步骤六结果集权限检查及控制;
步骤六,数据结果集权限检查及控制
根据数据结果集权限配置,对操作主体操作的数据结果集权限进行权限检查,若结果集权限检查不通过,则返回无权限操作;如果结果集权限检测通过,则执行对应的数据操作。
数据操作指对数据的基础操作:包括数据的增加/修改/查看/删除。
本发明的有益效果是:
1)该方法重点关注数据操作权限,对于系统的功能权限可通过类似的方法实现。具有很强的通用性,软件应用系统可根据自己的需要进行集成。数据操作权限管理主要包括数据行权限管理、数据列权限管理、数据结果集权限管理。
2)数据操作权限管理支持热插拔,数据操作权限的配置不需重启系统或服务,提高系统的可靠性、可用性。
3)数据操作权限支持多种配置方式,包括静态数据配置,动态表达式配置,功能强大,配置灵活。
4)数据操作权限支持对业务数据的引用,包括自身业务及其他业务数据(在条件允许时),可灵活支持所有业务场景。
5)数据列权限管理支持列组配置,对权限相同的多个列统一通过列组进行配置,从而简化配置数据。
通过该方法可以实现数据操作权限的精细化和动态化管理,在只通过配置的情况适应不断变化的软件系统权限需求。软件系统的数据权限需求的增加和变化,使用该方法时,仅对应的相关配置的数据的调整,不需重新进行代码开发,不需重复测试,不需系统的重新部署或者系统重启或者应用服务重启,以最小的成本实现最灵活的数据权限管理。
附图说明
图1为本发明的模块图。
图2为本发明数据权限配置的流程图。
图3为本发明权限控制流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步详细说明。
参见图1,一种实现业务通用数据权限管理的系统,包括操作主体管理模块、功能权限管理模块、数据操作管理模块(数据操作检查,权限检查开关)、数据行权限模块(数据行权限,可操作的数据范围,即数据表中哪些行的数据)、数据列权限模块(数据字段及字段的操作结果集)、结果集权限管理模块;通过该系统实现数据操作的精细动态管理,包括基于数据操作主体配置,在功能权限检查通过的基础上,对数据操作的行权限、数据列权限的精细化、动态化管理,可以满足对数据操作的各种权限管理要求,即在什么操作条件下对那些数据的那些字段可以进行什么样的操作;
所述的操作主体管理模块,对操作主体的管理,作为权限控制的输入,包括数据主体的配置,数据主体的标识,操作主体包括但不限于用户或者其他应用,以及为便于权限管理而使用的角色、用户组,用于标识数据操作主体;
所述的功能权限管理模块,对操作主体进行功能操作的权限配置及权限管理,包括但不限于操作接口权限、菜单及按钮权限、操作的时间权限以及各种授权方式;功能权限可通过基于角色的访问控制模型进行实现;数据操作权限基于功能权限实现。
所述的数据操作管理模块,对操作主体进行的操作是否涉及数据操作进行分析和判断,通过数据库操作中间件(如JDBC、ODBC数据库接口)进行拦截和识别,如果涉及数据操作,则进行数据操作权限检查,如果不涉及数据操作,则进行操作执行;
所述的数据行权限管理模块,数据行权限定义了操作主体在进行数据操作时可以操作的数据范围,即对数据操作时可以操作数据表中哪些行的数据进行明确的配置和权限管理;
所述的数据列权限管理模块,数据列权限定义了操作主体在进行数据操作时可以操作的数据字段,即对数据操作时可以操作数据表中哪些列的数据进行明确的配置和权限管理;
所述的结果集权限管理模块,结果集权限管理模块定义了实现操作主体在进行数据操作时,可对数据进行变更的值的范围,即对数据操作时可以变更的数据的值的范围和进行配置和权限管理。
参见图2,一种实现业务通用数据权限的配置方法,包括以下步骤:
步骤一,配置操作主体
通过数据操作主体管理模块配置操作主体,包括但不限于用户、应用,以及为便于权限管理而使用的角色、子角色、用户组;
步骤二,配置功能权限
在步骤一配置操作主体的基础上,通过功能权限管理模块配置功能权限,包括操作接口权限、菜单权限、按钮权限、操作的时间权限以及各种授权方式,功能权限可通过数据操作主体管理模块进行实现;
步骤三,配置数据行权限
在步骤二配置操作主体功能权限的基础上,通过数据行权限管理模块配置操作主体的数据行权限,即操作主体拥有功能权限的基础上对所需操作的行的范围进行配置,包括操作主体对数据行范文的静态配置(固定的数据行)和动态配置;动态配置通过动态表达式的配置实现数据的关联依赖灵活配置,具体实现可支持SQL、JS表达式、或多条件管理人工输入方式;
步骤四,配置数据列权限
在步骤二配置操作主体功能权限的基础上,通过数据列权限管理模块配置操作主体的数据列权限,即操作主体拥有功能权限的基础上对所需操作的列的范围进行配置,包括操作主体对数据行范文的静态配置(固定的数据列)和动态配置;动态配置通过动态表达式的配置实现数据的关联依赖灵活配置;具体实现可支持SQL、JS表达式、或多条件管理人工输入方式;
步骤五,配置结果集权限
在步骤二、步骤三、步骤四配置操作主体功能权限、数据行权限、数据列权限的基础上,通过结果集权限管理模块配置操作主体的数据结果集权限,即操作主体拥有数据操作权限时,对某数据字段时更改时可以设定的值的范围;结果集权限配置包括静态配置(字段的固定值范围)和动态配置。动态配置通过动态表达式配置实现,具体实现可支持SQL、JS表达式、或多条件管理人工输入方式。
参见图3,一种实现业务通用数据权限的控制方法,包括以下步骤:
步骤一:操作主体进行操作
操作主体通过应用系统提供的操作入口(浏览器、客户端、其他应用等)进行数据操作;为标识操作主体,操作主体需进行系统的登录操作,或在进行操作时携带操作主体标识;匿名是操作主体的一种特殊形式;操作主体的定义和管理只是本发明需要使用的基本数据,本发明可支持包括用户、用户组、角色、角色组以及其他方式定义的操作主体类型。操作主体的具体实现可根据各软件系统的实际情况进行实现;
步骤二,功能权限检查及控制
根据功能权限配置情况,对操作主体的操作功能进行功能权限检查,功能权限检查不通过,则返回无权限操作,功能权限检查通过,则进行操作并判断该操作是否涉及数据操作;如果不涉及数据权限,则进行操作执行;如果涉及数据权限则进行后续步骤四、步骤五、步骤六的数据行权限、数据列权限、结果集权限检查及控制;
功能权限管理的定义和管理是一般权限管理的基本部分,本发明可在功能权限管理的基础上实现更加精细及动态化的数据操作管理;
步骤三,数据操作检查及控制
对操作主体的操作进行分析和检查,如果操作如果不涉及数据操作,则进行操作执行,如果涉及数据操作,则进行后续步骤四、步骤五、步骤六的数据行权限、数据列权限、结果集权限检查及控制;
数据操作检查管理功能包括数据操作检查以及数据权限开关控制,是数据操作权限管理的基础部分;
软件系统在实现系统功能时,相关的功能实现统一经过数据操作管理模块进行处理,操作管理模块会对系统的操作是否涉及数据操作进行检查;如果相关功能操作不涉及数据操作则直接返回通过,系统执行操作;数据操作管理模板可以对数据权限的总体开关、数据行权限开关、数据列权限开关、数据结果集开关进行统一配置;如果对应的数据操作管理开关没有打开,则对应数据权限管理不进行权限控制、拦截。只对打开的权限管理部分进行权限管控;
步骤四,数据行权限检查及控制
根据数据行权限配置,对操作主体进行操作的数据行进行权限进行权限检查,数据行权限检查不通过,则返回无权限操作;如果数据行权限检查通过,则后续步骤五、步骤六的数据列权限、结果集权限检查及控制;
数据行权限管理包括对操作主体的行权限进行配置以及对数据操作时的行权限进行管控;
数据操作行权限配置,以操作主体为基础,对操作主体设计的数据表和数据行进行配置,数据行的配置支持静态及动态配置,主要涉及以下因素:
操作主体;操作的数据表;操作的数据行;其中操作的数据行支持静态和动态表达式配置;
静态配置值固定的行数据,如第一行数据;
动态配置支持多种方式的实现,包括但不限于SQL查询条件、JS表达式条件、或者人工界面的复杂条件运算操作,最终根据表达式能够查询到最终的数据列;
动态配置支持动态条件输入,包括操作主体和业务数据部分;
操作主体的动态性包括指动态配置中可引用操作主体的动态条件,例如当前登录用户、当前登录用户部门、当前登录用户角色、用户组等,或和业务数据关联定义如登录用户的部门主管、登录用户的下属等;
操作业务数据的动态性指动态配置可引用当前操的动态条件,如当前操作的流程实例号,当前操作的流程步骤,当前操作对应业务数据状态、或当前业务数据关联业务数据的状态等;
步骤五,数据列权限检查及控制
根据数据列权限配置,对操作主体进行操作的数据列权限进行权限检查,若列权限检查不通过,则返回无权限操作;若列权限检查通过,则后续步骤六结果集权限检查及控制;
数据列权限管理包括对操作主体的列权限进行配置以及对数据操作时的列权限进行管控;
数据操作列权限配置,以操作主体为基础,对操作主体设计的数据表和数据列进行配置,数据列的配置支持静态及动态配置,主要涉及以下因素:
操作主体;操作的数据表;操作的数据列;
其中操作的数据列支持静态和动态表达式配置;
静态配置值固定的行数据,如男/女、政治面貌、民族等固定值数据;
动态配置支持多种方式的实现,包括但不限于SQL查询条件、JS表达式条件、或者人工界面的复杂条件运算操作,最终根据表达式能够查询到最终的数据列;
动态配置支持动态条件输入,包括操作主体和业务数据部分;
操作主体的动态性包括指动态配置中可引用操作主体的动态条件,例如当前登录用户、当前登录用户部门、当前登录用户角色、用户组等,或和业务数据关联定义如登录用户的部门主管、登录用户的下属等;
操作业务数据的动态性指动态配置可引用当前操的动态条件,如当前操作的流程实例号,当前操作的流程步骤,当前操作对应业务数据状态、或当前业务数据关联业务数据的状态等;
步骤六,数据结果集权限检查及控制
根据数据结果集权限配置,对操作主体进行操作的数据结果集进行权限检查,若结果集权限检查不通过,则返回无权限操作;如果结果集权限检测通过,则执行对应的数据操作;
数据结果集权限管理包括对操作主体的结果集权限进行配置以及对数据操作时的结果集权限进行管控;
数据操作行权限配置,以操作主体为基础,对操作主体设计的数据表和数据行进行配置,数据行的配置支持静态及动态配置,主要涉及以下因素:
操作主体;操作的数据表;数据结果集;
其中操作的数据行支持静态和动态表达式配置;
静态配置值固定的行数据,如第一行数据;
动态配置支持多种方式的实现,包括但不限于SQL查询条件、JS表达式条件、或者人工界面的复杂条件运算操作,最终根据表达式能够查询到最终的数据结果集;
动态配置支持动态条件输入,包括操作主体和业务数据部分;
操作主体的动态性包括指动态配置中可引用操作主体的动态条件,例如当前登录用户、当前登录用户部门、当前登录用户角色、用户组等,或和业务数据关联定义如登录用户的部门主管、登录用户的下属等;
操作业务数据的动态性指动态配置可引用当前操的动态条件,如当前操作的流程实例号,当前操作的流程步骤,当前操作对应业务数据状态、或当前业务数据关联业务数据的状态等。
Claims (3)
1.一种实现业务通用数据权限管理的系统,其特征在于,包括有操作主体管理模块、功能权限管理模块、数据操作管理模块、数据行权限管理模块、数据列权限管理模块、结果集权限管理模块;通过该系统实现数据操作的精细动态管理,包括基于数据操作主体配置,在功能权限检查通过的基础上,对数据操作的行权限、数据列权限的精细化、动态化管理;
所述的操作主体管理模块,对操作主体的管理,作为权限控制的输入,包括数据主体的配置,数据主体的标识,操作主体包括但不限于用户或者其他应用,以及为便于权限管理而使用的角色、用户组,用于标识数据操作主体;
所述的功能权限管理模块,对操作主体进行功能操作的权限配置及权限管理,包括但不限于操作接口权限、菜单及按钮权限、操作的时间权限以及各种授权方式;功能权限可通过RBAC进行实现;数据操作权限基于功能权限实现;
所述的数据操作管理模块,对操作主体进行的操作是否涉及数据操作进行分析和判断,通过数据库操作中间件进行拦截和识别,如果涉及数据操作,则进行数据操作权限检查,如果不涉及数据操作,则进行操作执行;
所述的数据行权限管理模块,数据行权限定义了操作主体在进行数据操作时可以操作的数据范围,即对数据操作时可以操作数据表中哪些行的数据进行明确的配置和权限管理;
所述的数据列权限管理模块,数据列权限定义了操作主体在进行数据操作时可以操作的数据字段,即对数据操作时可以操作数据表中哪些列的数据进行明确的配置和权限管理;
所述的结果集权限管理模块,结果集权限管理模块定义了实现操作主体在进行数据操作时,可对数据进行变更的值的范围,即对数据操作时可以变更的数据的值的范围和进行配置和权限管理。
2.一种实现业务通用数据权限的配置方法,其特征在于,包括以下步骤:
步骤一,配置操作主体
通过功能权限管理模块配置操作主体,包括但不限于用户、应用,以及为便于权限管理而使用的角色、子角色、用户组;
步骤二,配置功能权限
在步骤一配置操作主体的基础上,通过功能权限管理模块配置功能权限,包括操作接口权限、菜单权限、按钮权限、操作的时间权限以及各种授权方式,功能权限可通过基于角色的访问控制模型进行实现;
步骤三,配置数据行权限
在步骤二配置操作主体功能权限的基础上,通过数据行权限管理模块配置操作主体的数据行权限,即操作主体拥有功能权限的基础上对所需操作的行的范围进行配置,包括操作主体对数据行范文的静态配置和动态配置;动态配置通过动态表达式的配置实现数据的关联依赖灵活配置,具体实现可支持SQL、JS表达式、或多条件管理人工输入方式;
步骤四,配置数据列权限
在步骤二配置操作主体功能权限的基础上,通过数据列权限管理模块配置操作主体的数据列权限,即操作主体拥有功能权限的基础上对所需操作的列的范围进行配置,包括操作主体对数据行范文的静态配置和动态配置;动态配置通过动态表达式的配置实现数据的关联依赖灵活配置;具体实现可支持SQL、JS表达式、或多条件管理人工输入方式;
步骤五,配置结果集权限
在步骤二、步骤三、步骤四配置操作主体功能权限、数据行权限、数据列权限的基础上,通过结果集权限管理模块配置操作主体的数据结果集权限,即操作主体拥有数据操作权限时,对某数据字段时更改时可以设定的值的范围;结果集权限配置包括静态配置和动态配置。动态配置通过动态表达式配置实现,具体实现可支持SQL、JS表达式、或多条件管理人工输入方式。
3.一种实现业务通用数据权限的控制方法,其特征在于,包括以下步骤:
步骤一,操作主体操作
操作主体通过应用系统提供的操作入口进行数据操作,为标识操作主体,操作主体需进行登录操作,或在进行操作时携带操作主体标识,匿名是操作主体的一种特殊形式;
步骤二,功能权限检查及控制
根据功能权限配置的情况,对操作主体的操作功能进行功能权限检查,功能权限检查不通过则返回无权限操作,功能权限检查通过则继续进行步骤三--数据操作检查;
步骤三,数据操作检查及控制
对操作主体的操作进行分析和检查,如果操作如果不涉及数据操作,则进行操作执行,如果涉及数据操作,则进行后续步骤四、步骤五、步骤六的数据行权限、数据列权限、结果集权限检查及控制;
步骤四,数据行权限检查及控制
根据数据行权限配置,对操作主体操作的数据行权限进行权限检查,数据行权限检查不通过,则返回无权限操作,如果数据行权限检查通过,则后续步骤五、步骤六的数据列权限、结果集权限检查及控制;
步骤五,数据列权限检查及控制
根据数据列权限配置,对操作主体操作的数据列权限进行列权限检查,若列权限检查不通过,则返回无权限操作;若列权限检查通过,则后续步骤六结果集权限检查及控制;
步骤六,数据结果集权限检查及控制
根据数据结果集权限配置,对操作主体操作的数据结果集权限进行权限检查,若结果集权限检查不通过,则返回无权限操作;如果结果集权限检测通过,则执行对应的数据操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010061750.5A CN111274606A (zh) | 2020-01-20 | 2020-01-20 | 一种实现业务通用数据权限管理的系统及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010061750.5A CN111274606A (zh) | 2020-01-20 | 2020-01-20 | 一种实现业务通用数据权限管理的系统及其方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111274606A true CN111274606A (zh) | 2020-06-12 |
Family
ID=71000741
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010061750.5A Pending CN111274606A (zh) | 2020-01-20 | 2020-01-20 | 一种实现业务通用数据权限管理的系统及其方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111274606A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114969811A (zh) * | 2022-05-16 | 2022-08-30 | 贵州领航视讯信息技术有限公司 | 一种基于数据分段的数据权限控制方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101478536A (zh) * | 2008-12-08 | 2009-07-08 | 山东浪潮齐鲁软件产业股份有限公司 | 一种解决权限管理中访问控制的方法 |
CN103632082A (zh) * | 2013-12-10 | 2014-03-12 | 惠州华阳通用电子有限公司 | 一种通用权限管理系统及方法 |
CN103646218A (zh) * | 2013-12-12 | 2014-03-19 | 用友软件股份有限公司 | 数据访问权限和行为权限的定义装置和定义方法 |
EP3333745A1 (fr) * | 2016-12-09 | 2018-06-13 | Thales | Dispositif de gestion des droits d'accès d'utilisateurs à base de rôles et procédé de gestion associé |
US20180336360A1 (en) * | 2017-05-16 | 2018-11-22 | Beyondtrust Software, Inc. | Systems and methods for controlling privileged operations |
-
2020
- 2020-01-20 CN CN202010061750.5A patent/CN111274606A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101478536A (zh) * | 2008-12-08 | 2009-07-08 | 山东浪潮齐鲁软件产业股份有限公司 | 一种解决权限管理中访问控制的方法 |
CN103632082A (zh) * | 2013-12-10 | 2014-03-12 | 惠州华阳通用电子有限公司 | 一种通用权限管理系统及方法 |
CN103646218A (zh) * | 2013-12-12 | 2014-03-19 | 用友软件股份有限公司 | 数据访问权限和行为权限的定义装置和定义方法 |
EP3333745A1 (fr) * | 2016-12-09 | 2018-06-13 | Thales | Dispositif de gestion des droits d'accès d'utilisateurs à base de rôles et procédé de gestion associé |
US20180336360A1 (en) * | 2017-05-16 | 2018-11-22 | Beyondtrust Software, Inc. | Systems and methods for controlling privileged operations |
Non-Patent Citations (1)
Title |
---|
李涛等: "一种B/S模式下基于角色的动态权限管理方法", 《舰船电子工程》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114969811A (zh) * | 2022-05-16 | 2022-08-30 | 贵州领航视讯信息技术有限公司 | 一种基于数据分段的数据权限控制方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108920915B (zh) | 表单字段值操作权限授权方法 | |
CN110472388B (zh) | 一种设备管控系统及其用户权限控制方法 | |
CN107103228B (zh) | 基于角色对用户的一对一的权限授权方法和系统 | |
US20200143077A1 (en) | Role acquisition-based method for authorizing form data | |
CN108921520B (zh) | 统计列表操作权限授权方法 | |
CN107358069B (zh) | 一种基于Hue的权限管理系统 | |
CN110929280B (zh) | 大数据环境下基于元数据实现数据权限控制的系统及其方法 | |
US20200389463A1 (en) | Permission granting method and system based on one-to-one correspondence between roles and users | |
US11775687B2 (en) | Method for authorizing field value of form field by means of third party field | |
CN108875391B (zh) | 系统中员工登录其账户后的权限显示方法 | |
CN115017526A (zh) | 数据库访问方法、装置、电子设备及存储介质 | |
CN111274606A (zh) | 一种实现业务通用数据权限管理的系统及其方法 | |
US11914741B2 (en) | Data security | |
CN109086418B (zh) | 基于列值对统计列表操作权限进行分别授权的方法 | |
CN107944288B (zh) | 一种数据访问控制方法和装置 | |
CN109087001B (zh) | 监察审批操作、授权操作及表单操作的方法 | |
CN111368275A (zh) | 机器人控制方法、装置、设备及存储介质 | |
JPH04147361A (ja) | 処理画面変更処理方式 | |
CN109063439A (zh) | 一种用于Spark SQL的用户权限控制方法和系统 | |
US20240169085A1 (en) | System and method for role based access control for data | |
US11947812B2 (en) | Systems and methods for secure storage of sensitive data | |
WO2018058613A1 (zh) | 基于人才服务系统的信息处理系统及方法 | |
US20230010906A1 (en) | System event analysis and data management | |
Acharya | Event management system project report | |
WO2024112412A1 (en) | System and method for role based access control for data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200612 |
|
RJ01 | Rejection of invention patent application after publication |