CN111428257B - 一种通过自动审批将数据库元数据开放的系统和方法 - Google Patents
一种通过自动审批将数据库元数据开放的系统和方法 Download PDFInfo
- Publication number
- CN111428257B CN111428257B CN202010235839.9A CN202010235839A CN111428257B CN 111428257 B CN111428257 B CN 111428257B CN 202010235839 A CN202010235839 A CN 202010235839A CN 111428257 B CN111428257 B CN 111428257B
- Authority
- CN
- China
- Prior art keywords
- authority
- module
- approval
- permission
- application form
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种通过自动审批将数据库元数据开放的系统和方法,其包括:申请人管理模块,用于对所有需要访问数据库的用户进行管理;角色自定义模块,用于根据预设的权限审批流程对申请人管理模块中的相应用户赋予不同的角色,不同的角色拥有不同的审批权限;权限申请表创建模块,用于创建权限申请表模板;权限申请模块,用于生成对应的权限申请表并发送到申请表审批模块;申请表审批模块,用于对权限申请表进行自动化流程审批;权限开放模块用于为相应用户开放对应的权限,并在指定期限内回收相应权限;审批流程监控模块用于对整个权限审批流程进行监控。本发明可以广泛应用于数据库技术领域。
Description
技术领域
本发明涉及一种通过自动审批将数据库元数据开放的系统和方法,属于大数据技术领域。
背景技术
现有技术中对数据库信息的安全性是非常重视的,有一些重要的信息是不能对外开放的,访问这些信息时需要通过找到对应管理人员审批签字授权,如果涉及到更多管理层次需要找到每一层次的管理者审批,会造成时间和效率的损失。
发明内容
针对上述问题,本发明的目的是提供一种通过自动审批将数据库元数据开放的系统和方法,该方法利用计算机将在多个参与者之间的需要人工审批的流程,按照对元数据申请的预定规则进行自动审批并传递工作流程。
为实现上述目的,本发明采取以下技术方案:
本发明的第一个方面,是提供一种通过自动审批将数据库元数据开放的系统,其包括:申请人管理模块、角色自定义模块、权限申请表创建模块、权限申请模块、申请表审批模块、权限开放模块以及审批流程监控模块;所述申请人管理模块用于对所有需要访问数据库的用户进行管理;所述角色自定义模块用于根据预设的权限审批规则对申请人管理模块中的相应用户赋予不同的角色,不同的角色拥有不同的审批和数据访问权限;所述权限申请表创建模块用于创建权限申请表模板,并发送到所述权限申请模块;所述权限申请模块用于根据各用户实际的权限需求或所述申请表审批模块发送的驳回说明在预先创建的权限申请表模板中进行权限申请或修改,生成对应的权限申请表并发送到申请表审批模块;所述申请表审批模块用于根据预设的权限审批规则对权限申请表进行自动化流程审批,将审批结果发送到所述权限申请模块和权限开放模块;所述权限开放模块用于根据收到的权限审批表为相应用户开放对应的权限,并在指定期限内回收相应权限;所述审批流程监控模块用于对整个权限审批流程进行监控,并将审批流程的实际情况进行更新后展示到客户端界面。
进一步的,所述角色自定义管理模块仅对数据库管理员开放,用于数据库管理员建立并维护角色-用户映射关系表以及角色-操作权限映射关系表并发送到审批表审批模块,其中,所述角色-用户映射关系表中记录的为不同角色与用户之间的映射关系以及用户与用户之间的管理和被管理关系;所述角色-操作权限映射关系表中记录的为每一角色拥有的对数据库中元数据进行操作的一种或多种操作权限的集合。
进一步的,所述角色-操作权限映射关系表中各角色与数据操作权限采用细粒度分配机制,具体的:
在对HDFS数据资源进行权限分配时,首先,将“HDFS磁盘目录”的每一条目录作为最小分配单元,实现对整个HDFS存储资源的划分,进而得到多个最小分配单元;然后,将不同角色所对应的访问权限与其能够访问的HDFS磁盘目录进行组合,得到相应角色的权限分配资源,该角色在该HDFS磁盘目录上享有相应的访问权限;最后,进行用户与角色之间的关联,若用户为HDFS磁盘目录路径的角色,则该用户能够享有对相应数据的相应操作权限;
在对Hive数据资源和Hbase数据资源进行权限分配时,首先,对Hive和Hbase数据资源所对应的操作权限进行细化,得到每一种数据资源所包括的多种单项操作权限;其次,为不同角色赋予不同的操作权限,其中,每一角色能够拥有多种单项操作权限中的一种或几种;最后,进行用户与角色之间的关联,若用户属于某一类操作权限的角色,则该用户能够享有对相应数据的相应操作权限。
进一步的,在对Hive数据资源和Hbase数据资源进行权限进行细化时,包括以下内容:
Hive数据资源包括表、表字段、存在表中行数据,Hive数据资源的所有单项操作权限包括:建立在表、表字段上的单项操作权限,即:select查询权限、update数据修改权限、create创建操作权限、drop删除操作权限、alter修改表或者字段操作权限、index创建索引权限,其中,当为表字段进行select查询操作权限划分时,需要保证对表字段对应的父表也分配select查询权限;建立在表、存在表中行数据上的单项操作权限:lock锁表和数据行操作权限;包括Hive数据资源的操作权限进行细化时;
Hbase数据资源包括表、列族、列,且所述表和列族是一对多的关系,所述列族和列也是一对多的关系,所述表、列族、列是一一对应的父级和子集关系;Hbase数据资源的所有单项操作权限包括:Table读/读权限、Table创建权限、Table管理员权限、列族读/读权限、列族创建权限、列族管理员权限、列读/读权限、列创建权限、列管理员权限,且需保证当对子集进行权限分配时,保证对应的父级也有相应操作权限。
进一步的,所述权限申请模块包括权限申请表生成模块、权限申请表提交模块以及权限申请表修改模块;
所述权限申请表生成模块用于根据各用户实际的权限需求在预先创建的权限申请表模板中进行权限申请,生成对应的权限申请表;
所述权限申请表提交模块用于将生成的权限申请表发送到所述权限审批模块,同时将权限申请状态从草稿转变为待审批状态,并将权限申请状态发送到所述审批流程监控模块;
所述权限申请表撤回修改模块用于为客户端提供撤回和修改接口,使得客户端用户随时主动或根据申请表审批模块的驳回说明对生成的权限申请表进行撤回和修改,当撤回权限申请表时,权限审批流程结束,当对权限申请表进行修改时,通过权限申请表提交模块将修改后的权限申请表发送到所述权限审批模块。
进一步的,所述申请表审批模块包括审批模块和驳回说明创建模块;
所述审批模块用于根据预设的权限审批规则对权限申请模块发送的权限申请表进行自动化流程审批,若审批通过,则将权限审批表发送到所述权限开放模块,同时将权限申请状态从待审批状态转变为审核通过状态,并发送到所述审批流程监控模块;若审批不通过,则驳回申请,同时将权限申请状态从待审批状态转变为驳回状态,并发送到所述审批流程监控模块;
所述驳回说明创建模块用于在权限申请表不符合预设的权限审批规则时,生成驳回说明发送到所述权限申请模块,供客户端用户根据驳回说明对权限申请表进行修改。
进一步的,所述审批模块根据预设的权限审批规则对权限申请模块发送的权限申请表进行自动化流程审批时,首先,根据角色-用户映射关系表,得到权限申请表所属用户的上一层管理级用户所对应的角色;然后,根据角色-操作权限映射关系表,得到上一层管理级用户所对应的角色所拥有的数据库元数据操作权限;将上一层管理级用户对应的角色所拥有的数据库元数据操作权限与权限申请表上的申请权限进行对比,如果权限申请表上申请的所有操作权限均属于上一层管理级用户对应的角色所拥有的数据库元数据操作权限,则审批通过,否则继续根据角色-用户映射关系表找到更上一层管理级用户及其角色所拥有的操作权限,继续进行对比,直到不符合预设的权限审批规则或不能找到相应的上一层管理级用户时,驳回该权限申请。
进一步的,所述权限开放模块包括权限授权模块、权限延期模块以及权限开放记录模块;
所述权限授权模块用于根据收到的权限审批表为相应用户开放对应的权限,同时将权限申请状态由审核通过状态转变为已授权状态,并发送到所述审批流程监控模块;
所述权限开放记录模块用于记录权限开放时间和权限收回时间,在权限收回时间对相应权限进行收回,同时将权限申请状态由已授权状态转变为已回收状态,并发送到所述审批流程监控模块;
所述权限延期模块用于在权限收回时间之前,根据用户实际需求生成权限延期申请表,并将生成的权限延期申请表发送到所述申请表审批模块进行审批。
本发明的第二个方面,是提供一种通过自动审批将数据库元数据开放的方法,其包括以下步骤:
1)搭建通过审批将数据库元数据开放的系统,该系统包括申请人管理模块、角色自定义模块、权限申请表创建模块、权限申请模块、申请表审批模块、权限开放模块以及审批流程监控模块;
2)在权限申请表中创建权限申请表模板;
3)当用户需要对元数据进行信息进行访问时,通过权限申请模块在创建的权限申请表模板中生成对应的权限申请表;
4)权限审批模块按照预设的权限申请规则对各用户的权限申请表进行审批,若审批通过,则将权限申请表发送到权限开放模块,否则,将驳回说明发送到权限申请模块;
5)权限开放模块根据收到的权限申请表对相应用户开放相应权限,并在权限到期时回收相应用户的相应权限。
进一步的,所述步骤2)中,当用户需要对元数据进行信息进行访问时,通过权限申请模块在创建的权限申请表模板中生成对应的权限申请表的方法,包括以下步骤:
2.1)根据各用户实际的权限需求在预先创建的权限申请表模板中进行权限申请,生成对应的权限申请表;
2.2)将生成的权限申请表发送到权限审批模块,同时将权限申请状态从草稿转变为待审批状态;
2.3)当撤回权限申请表时,权限审批流程结束,当对权限申请表进行修改时,将修改后的权限申请表发送到权限审批模块进行审批。
本发明由于采取以上技术方案,其具有以下优点:1、本申请设置的通过审批将数据库元数据开放的系统,提供了对元数据申请进行自动审批的功能,在多个参与者之间,利用计算机,按照对元数据申请的预定规则自动传递工作流程并进行审批,大大节省了审批时间,提高了工作效率。2、本发明设置有权限申请表创建模块,可以根据实际需求对权限申请表模板进行创建,方式更加灵活。3、本发明设置的角色自定义模块中对数据库元数据进行了细粒度的划分,并在不同权限与角色之间、不同角色与相应级别用户之间建立映射关系,使得不同用户享有不同的数据访问权限,与预设的权限审批规则相匹配,对用户的权限申请审批更符合实际情况。4、本发明设置有申请表审批模块,能够根据预设的权限审批规则对权限申请表进行自动审批,审批速度快,且权限审批规则能够随时根据需求进行修改,适用范围广。5、本发明设置的审批流程监控模块能够对权限审批流程的整个过程进行监控,并实时将权限审批状态展示到客户端,使得审批流程透明化,更便于客户端对审批流程的进度进行把握。因此,本发明可以广泛应用于数据库技术领域。
附图说明
图1是本发明通过自动审批将数据库元数据开放的方法流程图。
具体实施方式
下面结合附图和实施例对本发明进行详细的描述。
本发明提供一种通过自动审批将数据库元数据开放的系统,该系统包括申请人管理模块、角色自定义模块、权限申请表创建模块、权限申请模块、申请表审批模块、权限开放模块以及审批流程监控模块。其中,申请人管理模块用于对所有需要访问数据库的用户进行管理;角色自定义模块用于根据预设的权限审批流程对申请人管理模块中的相应用户赋予不同的角色,不同的角色拥有不同的审批权限;权限申请表创建模块用于创建权限申请表模板,并发送到权限申请模块;权限申请模块用于根据各用户实际的权限需求或申请表审批模块发送的驳回说明在预先创建的权限申请表模板中进行权限申请或修改,生成对应的权限申请表并发送到申请表审批模块;申请表审批模块用于根据预设的权限审批规则对权限申请表进行自动化流程审批,将审批结果发送到权限申请模块和权限开放模块;权限开放模块用于根据收到的权限审批表为相应用户开放对应的权限,并在指定期限内回收相应权限;审批流程监控模块用于对整个权限审批流程进行监控,并将审批流程的实际情况进行更新后展示到客户端界面。
进一步的,角色自定义管理模块仅对数据库管理员开放,用于数据库管理员建立并维护角色-用户映射关系表以及角色-操作权限映射关系表并发送到审批表审批模块,其中,角色-用户映射关系表中记录的为不同角色与用户之间的映射关系,此处的用户对应的为需要访问数据库系统的所有申请人,根据实际情况为每一用户赋予不同级别的角色,每一级别的角色拥有的数据库元数据操作权限与实际情况;角色-操作权限映射关系表中记录的为每一级别的角色拥有的对数据库中元数据进行操作的一种或多种操作权限的集合。
由于本发明数据库元数据主要包括HDFS数据资源、Hive数据资源、HBase数据资源等,因此主要涉及对上述各类数据资源的操作权限的细化,具体的:
在对HDFS数据资源进行权限分配时,首先,将“HDFS磁盘目录”的每一条目录作为最小分配单元,实现对整个HDFS存储资源的划分,进而得到多个最小分配单元;然后,将不同角色所对应的访问权限与其能够访问的HDFS磁盘目录进行组合,得到相应角色的权限分配资源,该角色在该HDFS磁盘目录上享有相应的访问权限;最后,进行用户与角色之间的关联,若用户为HDFS磁盘目录路径的角色,则该用户能够享有对相应数据的相应操作权限;
在对Hive数据资源和Hbase数据资源进行权限分配时,首先,对Hive和Hbase数据资源所对应的操作权限进行细化,得到每一种数据资源所包括的多种单项操作权限;其次,为不同角色赋予不同的操作权限,其中,每一角色能够拥有多种单项操作权限中的一种或几种;最后,进行用户与角色之间的关联,若用户属于某一类操作权限的角色,则该用户能够享有对相应数据的相应操作权限。
其中,由于Hive数据资源包括表、表字段、存在表中行数据,Hive数据资源的所有单项操作权限包括:建立在表、表字段上的单项操作权限,即:select查询权限、update数据修改权限、create创建操作权限、drop删除操作权限、alter修改表或者字段操作权限、index创建索引权限,其中,当为表字段进行select查询操作权限划分时,需要保证对表字段对应的父表也分配select查询权限;建立在表、存在表中行数据上的单项操作权限:lock锁表和数据行操作权限;包括Hive数据资源的操作权限进行细化时。
Hbase数据资源包括表、列族、列,且所述表和列族是一对多的关系,所述列族和列也是一对多的关系,所述表、列族、列是一一对应的父级和子集关系;Hbase数据资源的所有单项操作权限包括:Table读/读权限、Table创建权限、Table管理员权限、列族读/读权限、列族创建权限、列族管理员权限、列读/读权限、列创建权限、列管理员权限,且需保证当对子集进行权限分配时,保证对应的父级也有相应操作权限。
进一步的,权限申请表创建模块创建的权限申请表模板包括资源类型、数据库、数据表、字段、申请内容、申请说明和资源项说明,权限申请表模板可以通过系统底层技术自动获取数据库,数据表,字段的信息进行保存,还可以根据实际需要进行权限申请表相关项的增加、修改和删除功能。
进一步的,权限申请模块中设置有权限申请表生成模块、权限申请表提交模块以及权限申请表修改模块,其中,权限申请表生成模块用于根据各用户实际的权限需求在预先创建的权限申请表模板中进行权限申请,生成对应的权限申请表;权限申请表提交模块用于将生成的权限申请表发送到权限审批模块,同时将权限申请状态从草稿转变为待审批状态,并将权限申请状态发送到审批流程监控模块;权限申请表撤回修改模块用于为客户端提供撤回和修改接口,便于客户端用户随时主动或根据申请表审批模块的驳回说明对生成的权限申请表进行撤回和修改,当撤回权限申请表时,权限审批流程结束,当对权限申请表进行修改时,通过权限申请表提交模块将修改后的权限申请表发送到权限审批模块。
进一步的,申请表审批模块包括审批模块和驳回说明创建模块,其中,审批模块用于根据预设的权限审批规则对权限申请模块发送的权限申请表进行自动化流程审批,若审批通过,则将权限审批表发送到权限开放模块,同时将权限申请状态从待审批状态转变为审核通过状态,并发送到审批流程监控模块;若审批不通过,则将驳回申请表发送到权限申请模块,同时将权限申请状态从待审批状态转变为驳回状态,并发送到审批流程监控模块;驳回说明创建模块用于在权限申请表不符合预设的权限审批规则时,生成驳回说明发送到权限申请模块,供客户端用户根据驳回说明对权限申请表进行修改。
进一步的,审批模块根据预设的权限审批规则对权限申请模块发送的权限申请表进行自动化流程审批时,首先,根据角色-用户映射关系表,得到权限申请表所属用户的上一层管理级用户所对应的角色;然后,根据角色-操作权限映射关系表,得到上一层管理级用户所对应的角色所拥有的数据库元数据操作权限;将上一层管理级用户对应的角色所拥有的数据库元数据操作权限与权限申请表上的申请权限进行对比,如果权限申请表上申请的所有操作权限均属于上一层管理级用户对应的角色所拥有的数据库元数据操作权限,则审批通过,否则继续根据角色-用户映射关系表找到更上一层管理级用户及其角色所拥有的操作权限,继续进行对比,直到不符合预设的权限审批规则或不能找到相应的上一层管理级用户时,驳回该权限申请。
进一步的,权限开放模块包括权限授权模块、权限延期模块以及权限开放记录模块,权限授权模块用于根据收到的权限审批表为相应用户开放对应的权限,同时将权限申请状态由审核通过状态转变为已授权状态,并发送到审批流程监控模块;权限开放记录模块用于记录权限开放时间和权限收回时间,在权限收回时间对相应权限进行收回,同时将权限申请状态由已授权状态转变为已回收状态,并发送到审批流程监控模块;权限延期模块用于在权限收回时间之前,根据用户实际需求生成权限延期申请表,并将生成的权限延期申请表发送到申请表审批模块进行审批。其中,权限延期申请表中包括延期说明和延长期限。
如图1所示,基于上述通过自动审批将数据库元数据开放的系统,本发明提供的一种通过自动审批将数据库元数据开放的方法,包括以下步骤:
1)创建权限申请表模板;
本发明中创建的权限申请表模板包括以下内容:
①资源类型:选择要申请权限的资源类型,例:Hive数据资源,HDFS数据资源,HBase数据资源等等,其选择类型为必选,当选择资源类型为HDFS数据资源、HBase数据资源、队列资源类型时,数据库、数据表、字段三个选项会自动转变为禁用状态;
②数据库:当选择了资源类型后会根据选择的资源类型获取对应的类型的数据库信息,然后选择要申请权限的数据库,其选择类型为可选;
③数据表:当选择了数据库后会根据选择的数据库获取对应数据库中表,然后选择要申请权限的对应表,如果没有选择数据库将会获取所有数据库中的表信息,选择类型为可选;
④字段:当选择了数据表后会根据选择的数据表获取对应数据表中的字段,然后选择要申请权限的对应字段,如果没有选择数据表将会获取所有数据表中的字段信息,选择类型为可选;
⑤申请内容:选择要申请什么类型的权限,权限类型因选中的资源类型而改变,Hive数据资源的权限类型包括:可读权限、修改权限、管理员权限等,HDFS数据资源的权限类型包括:只读权限,仅可修改数据权限、仅可执行应用权限、可修改可执行权限等,HBase数据资源的权限类型包括:只读权限、修改权限、管理员权限等,队列资源的权限类型包括:申请队列资源、队列资源使用权限等;
⑥申请说明:描述申请资源的目的;
⑦资源项说明:根据选择的资源类型填写资源项,当选择资类型后会有相对应资源项说明的提示;例如:选择HBase数据资源后会提示:请填写HBase的数据表、列族、列信息,因为选择HBase资源类型后数据库,数据表,字段是禁用状态所以需要把信息写到资源项说明内。
2)当用户需要对元数据进行信息进行访问时,通过权限申请模块在创建的权限申请表模板中生成对应的权限申请表。
具体的,包括以下步骤:
2.1)根据各用户实际的权限需求在预先创建的权限申请表模板中进行权限申请,生成对应的权限申请表;
2.2)将生成的权限申请表发送到权限审批模块,同时将权限申请状态从草稿转变为待审批状态;
2.3)当需要对权限申请表进行修改时,通过权限申请表撤回修改模块对生成的权限申请表进行撤回和修改,当撤回权限申请表时,权限审批流程结束,当对权限申请表进行修改时,通过权限申请表提交模块将修改后的权限申请表发送到权限审批模块进行审批。
3)权限审批模块按照预设的权限申请规则对各用户的权限申请表进行审批,若审批通过,则将权限申请表发送到权限开放模块,否则,将驳回说明发送到权限申请模块。
4)权限开放模块根据收到的权限申请表对相应用户开放相应权限,并在权限到期时回收相应用户的相应权限。
以上给出一种具体的实施方式,但本发明不局限于所描述的实施方式。本发明的基本思路在于上述方案,对本领域普通技术人员而言,根据本发明的教导,设计出各种变形的模型、公式、参数并不需要花费创造性劳动。在不脱离本发明的原理和精神的情况下对实施方式进行的变化、修改、替换和变形仍落入本发明的保护范围内。
Claims (8)
1.一种通过自动审批将数据库元数据开放的系统,其特征在于其包括:申请人管理模块、角色自定义模块、权限申请表创建模块、权限申请模块、申请表审批模块、权限开放模块以及审批流程监控模块;
所述申请人管理模块用于对所有需要访问数据库的用户进行管理;
所述角色自定义模块用于根据预设的权限审批规则对申请人管理模块中的相应用户赋予不同的角色,不同的角色拥有不同的审批和数据访问权限;
所述权限申请表创建模块用于创建权限申请表模板,并发送到所述权限申请模块;
所述权限申请模块用于根据各用户实际的权限需求或所述申请表审批模块发送的驳回说明在预先创建的权限申请表模板中进行权限申请或修改,生成对应的权限申请表并发送到申请表审批模块;
所述申请表审批模块用于根据预设的权限审批规则对权限申请表进行自动化流程审批,将审批结果发送到所述权限申请模块和权限开放模块;
所述权限开放模块用于根据收到的权限审批表为相应用户开放对应的权限,并在指定期限内回收相应权限;
所述审批流程监控模块用于对整个权限审批流程进行监控,并将审批流程的实际情况进行更新后展示到客户端界面;
所述角色自定义管理模块仅对数据库管理员开放,用于数据库管理员建立并维护角色-用户映射关系表以及角色-操作权限映射关系表并发送到审批表审批模块,其中,所述角色-用户映射关系表中记录的为不同角色与用户之间的映射关系以及用户与用户之间的管理和被管理关系;所述角色-操作权限映射关系表中记录的为每一角色拥有的对数据库中元数据进行操作的一种或多种操作权限的集合;
所述角色-操作权限映射关系表中各角色与数据操作权限采用细粒度分配机制,具体的:在对HDFS数据资源进行权限分配时,首先,将“HDFS磁盘目录”的每一条目录作为最小分配单元,实现对整个HDFS存储资源的划分,进而得到多个最小分配单元;然后,将不同角色所对应的访问权限与其能够访问的HDFS磁盘目录进行组合,得到相应角色的权限分配资源,该角色在该HDFS磁盘目录上享有相应的访问权限;最后,进行用户与角色之间的关联,若用户为HDFS磁盘目录路径的角色,则该用户能够享有对相应数据的相应操作权限;在对Hive数据资源和Hbase数据资源进行权限分配时,首先,对Hive和Hbase数据资源所对应的操作权限进行细化,得到每一种数据资源所包括的多种单项操作权限;其次,为不同角色赋予不同的操作权限,其中,每一角色能够拥有多种单项操作权限中的一种或几种;最后,进行用户与角色之间的关联,若用户属于某一类操作权限的角色,则该用户能够享有相应数据的操作权限。
2.如权利要求1所述的一种通过自动审批将数据库元数据开放的系统,其特征在于:在对Hive数据资源和Hbase数据资源进行权限进行细化时,包括以下内容:
Hive数据资源包括表、表字段、存在表中行数据,Hive数据资源的所有单项操作权限包括:建立在表、表字段上的单项操作权限,即:select查询权限、update数据修改权限、create创建操作权限、drop删除操作权限、alter修改表或者字段操作权限、index创建索引权限,其中,当为表字段进行select查询操作权限划分时,需要保证对表字段对应的父表也分配select查询权限;建立在表、存在表中行数据上的单项操作权限:lock锁表和数据行操作权限;包括Hive数据资源的操作权限进行细化时;
Hbase数据资源包括表、列族、列,且所述表和列族是一对多的关系,所述列族和列也是一对多的关系,所述表、列族、列是一一对应的父级和子集关系;Hbase数据资源的所有单项操作权限包括:Table读/读权限、Table创建权限、Table管理员权限、列族读/读权限、列族创建权限、列族管理员权限、列读/读权限、列创建权限、列管理员权限,且需保证当对子集进行权限分配时,保证对应的父级也有相应操作权限。
3.如权利要求1所述的一种通过自动审批将数据库元数据开放的系统,其特征在于:所述权限申请模块包括权限申请表生成模块、权限申请表提交模块以及权限申请表修改模块;
所述权限申请表生成模块用于根据各用户实际的权限需求在预先创建的权限申请表模板中进行权限申请,生成对应的权限申请表;
所述权限申请表提交模块用于将生成的权限申请表发送到所述申请表审批模块,同时将权限申请状态从草稿转变为待审批状态,并将权限申请状态发送到所述审批流程监控模块;
所述权限申请表撤回修改模块用于为客户端提供撤回和修改接口,使得客户端用户随时主动或根据申请表审批模块的驳回说明对生成的权限申请表进行撤回和修改,当撤回权限申请表时,权限审批流程结束,当对权限申请表进行修改时,通过权限申请表提交模块将修改后的权限申请表发送到所述权限审批模块。
4.如权利要求1所述的一种通过自动审批将数据库元数据开放的系统,其特征在于:所述申请表审批模块包括审批模块和驳回说明创建模块;
所述审批模块用于根据预设的权限审批规则对权限申请模块发送的权限申请表进行自动化流程审批,若审批通过,则将权限审批表发送到所述权限开放模块,同时将权限申请状态从待审批状态转变为审核通过状态,并发送到所述审批流程监控模块;若审批不通过,则驳回申请,同时将权限申请状态从待审批状态转变为驳回状态,并发送到所述审批流程监控模块;
所述驳回说明创建模块用于在权限申请表不符合预设的权限审批规则时,生成驳回说明发送到所述权限申请模块,供客户端用户根据驳回说明对权限申请表进行修改。
5.如权利要求4所述的一种通过自动审批将数据库元数据开放的系统,其特征在于:所述审批模块根据预设的权限审批规则对权限申请模块发送的权限申请表进行自动化流程审批时,首先,根据角色-用户映射关系表,得到权限申请表所属用户的上一层管理级用户所对应的角色;然后,根据角色-操作权限映射关系表,得到上一层管理级用户所对应的角色所拥有的数据库元数据操作权限;将上一层管理级用户对应的角色所拥有的数据库元数据操作权限与权限申请表上的申请权限进行对比,如果权限申请表上申请的所有操作权限均属于上一层管理级用户对应的角色所拥有的数据库元数据操作权限,则审批通过,否则继续根据角色-用户映射关系表找到更上一层管理级用户及其角色所拥有的操作权限,继续进行对比,直到不符合预设的权限审批规则或不能找到相应的上一层管理级用户时,驳回该权限申请。
6.如权利要求1所述的一种通过自动审批将数据库元数据开放的系统,其特征在于:所述权限开放模块包括权限授权模块、权限延期模块以及权限开放记录模块;
所述权限授权模块用于根据收到的权限审批表为相应用户开放对应的权限,同时将权限申请状态由审核通过状态转变为已授权状态,并发送到所述审批流程监控模块;
所述权限开放记录模块用于记录权限开放时间和权限收回时间,在权限收回时间对相应权限进行收回,同时将权限申请状态由已授权状态转变为已回收状态,并发送到所述审批流程监控模块;
所述权限延期模块用于在权限收回时间之前,根据用户实际需求生成权限延期申请表,并将生成的权限延期申请表发送到所述申请表审批模块进行审批。
7.一种通过自动审批将数据库元数据开放的方法,其特征在于包括以下步骤:
1)搭建通过审批将数据库元数据开放的系统,该系统包括申请人管理模块、角色自定义模块、权限申请表创建模块、权限申请模块、申请表审批模块、权限开放模块以及审批流程监控模块;所述角色自定义管理模块仅对数据库管理员开放,用于数据库管理员建立并维护角色-用户映射关系表以及角色-操作权限映射关系表并发送到审批表审批模块,其中,所述角色-用户映射关系表中记录的为不同角色与用户之间的映射关系以及用户与用户之间的管理和被管理关系;所述角色-操作权限映射关系表中记录的为每一角色拥有的对数据库中元数据进行操作的一种或多种操作权限的集合;
所述角色-操作权限映射关系表中各角色与数据操作权限采用细粒度分配机制,具体的:在对HDFS数据资源进行权限分配时,首先,将“HDFS磁盘目录”的每一条目录作为最小分配单元,实现对整个HDFS存储资源的划分,进而得到多个最小分配单元;然后,将不同角色所对应的访问权限与其能够访问的HDFS磁盘目录进行组合,得到相应角色的权限分配资源,该角色在该HDFS磁盘目录上享有相应的访问权限;最后,进行用户与角色之间的关联,若用户为HDFS磁盘目录路径的角色,则该用户能够享有对相应数据的相应操作权限;在对Hive数据资源和Hbase数据资源进行权限分配时,首先,对Hive和Hbase数据资源所对应的操作权限进行细化,得到每一种数据资源所包括的多种单项操作权限;其次,为不同角色赋予不同的操作权限,其中,每一角色能够拥有多种单项操作权限中的一种或几种;最后,进行用户与角色之间的关联,若用户属于某一类操作权限的角色,则该用户能够享有相应数据的操作权限;
2)在权限申请表中创建权限申请表模板;
3)当用户需要对元数据进行信息进行访问时,通过权限申请模块在创建的权限申请表模板中生成对应的权限申请表;
4)权限审批模块按照预设的权限申请规则对各用户的权限申请表进行审批,若审批通过,则将权限申请表发送到权限开放模块,否则,将驳回说明发送到权限申请模块;
5)权限开放模块根据收到的权限申请表对相应用户开放相应权限,并在权限到期时回收相应用户的相应权限。
8.如权利要求7所述的一种通过自动审批将数据库元数据开放的方法,其特征在于:所述步骤2)中,当用户需要对元数据进行信息进行访问时,通过权限申请模块在创建的权限申请表模板中生成对应的权限申请表的方法,包括以下步骤:
2.1)根据各用户实际的权限需求在预先创建的权限申请表模板中进行权限申请,生成对应的权限申请表;
2.2)将生成的权限申请表发送到权限审批模块,同时将权限申请状态从草稿转变为待审批状态;
2.3)当撤回权限申请表时,权限审批流程结束,当对权限申请表进行修改时,将修改后的权限申请表发送到权限审批模块进行审批。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010235839.9A CN111428257B (zh) | 2020-03-30 | 2020-03-30 | 一种通过自动审批将数据库元数据开放的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010235839.9A CN111428257B (zh) | 2020-03-30 | 2020-03-30 | 一种通过自动审批将数据库元数据开放的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111428257A CN111428257A (zh) | 2020-07-17 |
| CN111428257B true CN111428257B (zh) | 2023-09-01 |
Family
ID=71549825
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010235839.9A Active CN111428257B (zh) | 2020-03-30 | 2020-03-30 | 一种通过自动审批将数据库元数据开放的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111428257B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112104599B (zh) * | 2020-07-29 | 2023-07-25 | 视联动力信息技术股份有限公司 | 一种权限管理的方法、装置及介质 |
| CN112015464B (zh) * | 2020-09-02 | 2023-12-26 | 中国银行股份有限公司 | 一种svn仓库权限管理方法及装置 |
| CN112395641A (zh) * | 2020-11-16 | 2021-02-23 | 杭州安恒信息技术股份有限公司 | 一种用户权限配置方法、装置、设备及可读存储介质 |
| CN112819445A (zh) * | 2021-03-10 | 2021-05-18 | 郑州时空隧道信息技术有限公司 | 一种工作流审批方法及系统 |
| CN115577381B (zh) * | 2022-12-09 | 2023-04-11 | 云粒智慧科技有限公司 | 行级数据访问方法、装置和电子设备 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1680951A (zh) * | 2004-07-05 | 2005-10-12 | 中国银行股份有限公司 | 金融企业为客户进行在线授信的系统和方法 |
| CN102523254A (zh) * | 2011-11-29 | 2012-06-27 | 曙光信息产业(北京)有限公司 | 一种云计算环境自动分配系统资源的方法 |
| US9250955B1 (en) * | 2012-12-31 | 2016-02-02 | Emc Corporation | Managing task approval |
| CN105809305A (zh) * | 2014-12-30 | 2016-07-27 | 金蝶软件(中国)有限公司 | 实现流程自动审批的方法和装置 |
| CN107622343A (zh) * | 2017-08-31 | 2018-01-23 | 郑州云海信息技术有限公司 | 一种基于物联网的智能办公系统及办公方法 |
| CN108122088A (zh) * | 2016-11-30 | 2018-06-05 | 上海驭创信息科技有限公司 | 一种审批流自动控制系统及方法 |
| CN108717620A (zh) * | 2017-04-29 | 2018-10-30 | 成都牵牛草信息技术有限公司 | 基于角色对用户一对一的工作流控制方法和系统 |
| CA3066858A1 (en) * | 2017-05-16 | 2018-11-22 | Chengdu Qianniucao Information Technology Co., Ltd. | Method based on form fields for arranging examination and approval roles at workflow examination and approval nodes |
| CN108876074A (zh) * | 2017-05-09 | 2018-11-23 | 国网辽宁省电力有限公司信息通信分公司 | 一种适用于多类资源申请审批的通用调度方法 |
| WO2019029649A1 (zh) * | 2017-08-10 | 2019-02-14 | 成都牵牛草信息技术有限公司 | 对使用者进行审批流程及其审批节点授权的方法 |
| CN109992619A (zh) * | 2019-03-28 | 2019-07-09 | 杭州云毅网络科技有限公司 | 一种数据查询方法、系统、电子设备及存储介质 |
| CN110827005A (zh) * | 2019-11-13 | 2020-02-21 | 广州趣丸网络科技有限公司 | 一种自动化审批方法、系统和设备 |
-
2020
- 2020-03-30 CN CN202010235839.9A patent/CN111428257B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1680951A (zh) * | 2004-07-05 | 2005-10-12 | 中国银行股份有限公司 | 金融企业为客户进行在线授信的系统和方法 |
| CN102523254A (zh) * | 2011-11-29 | 2012-06-27 | 曙光信息产业(北京)有限公司 | 一种云计算环境自动分配系统资源的方法 |
| US9250955B1 (en) * | 2012-12-31 | 2016-02-02 | Emc Corporation | Managing task approval |
| CN105809305A (zh) * | 2014-12-30 | 2016-07-27 | 金蝶软件(中国)有限公司 | 实现流程自动审批的方法和装置 |
| CN108122088A (zh) * | 2016-11-30 | 2018-06-05 | 上海驭创信息科技有限公司 | 一种审批流自动控制系统及方法 |
| CN108717620A (zh) * | 2017-04-29 | 2018-10-30 | 成都牵牛草信息技术有限公司 | 基于角色对用户一对一的工作流控制方法和系统 |
| CN108876074A (zh) * | 2017-05-09 | 2018-11-23 | 国网辽宁省电力有限公司信息通信分公司 | 一种适用于多类资源申请审批的通用调度方法 |
| CA3066858A1 (en) * | 2017-05-16 | 2018-11-22 | Chengdu Qianniucao Information Technology Co., Ltd. | Method based on form fields for arranging examination and approval roles at workflow examination and approval nodes |
| WO2019029649A1 (zh) * | 2017-08-10 | 2019-02-14 | 成都牵牛草信息技术有限公司 | 对使用者进行审批流程及其审批节点授权的方法 |
| CN107622343A (zh) * | 2017-08-31 | 2018-01-23 | 郑州云海信息技术有限公司 | 一种基于物联网的智能办公系统及办公方法 |
| CN109992619A (zh) * | 2019-03-28 | 2019-07-09 | 杭州云毅网络科技有限公司 | 一种数据查询方法、系统、电子设备及存储介质 |
| CN110827005A (zh) * | 2019-11-13 | 2020-02-21 | 广州趣丸网络科技有限公司 | 一种自动化审批方法、系统和设备 |
Non-Patent Citations (1)
| Title |
|---|
| 基于工作流的人力资源管理系统的设计与实现;韩瑶;《CNKI》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111428257A (zh) | 2020-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111428257B (zh) | 一种通过自动审批将数据库元数据开放的系统和方法 | |
| US9536070B2 (en) | Access requests at IAM system implementing IAM data model | |
| US9805209B2 (en) | Systems and methodologies for managing document access permissions | |
| US20120102489A1 (en) | Entitlement lifecycle management in a resource management system | |
| JPH05151049A (ja) | 文書処理方法及び装置 | |
| CN102663008B (zh) | 政府综合业务平台业务库和基础库的构建方法 | |
| CN111625510A (zh) | 一种基于云映射的多源数据共享系统及方法 | |
| CN111198878B (zh) | 一种基础信息调研系统及方法 | |
| CN112801607A (zh) | 一种管理服务平台及构建方法 | |
| CN111125027B (zh) | 一种航空接口控制文件管理系统 | |
| CN110928963B (zh) | 针对运维业务数据表的列级权限知识图谱构建方法 | |
| CN113067871A (zh) | 一种基于区块链技术的数字档案管理方法 | |
| CN116415203A (zh) | 一种基于大数据的政务信息智能融合系统及方法 | |
| US11397825B2 (en) | Encrypted knowledge graph | |
| US8478791B2 (en) | Interoperability across heterogeneous taxonomies | |
| CN112580143A (zh) | 一种基于bim的装配式建筑协同云平台 | |
| US20230409346A1 (en) | Cloud Infrastructure Management | |
| EP4254244A1 (en) | Data asset sharing | |
| CN103745298A (zh) | 基于岗位系统的报表用户权限设置方法及装置 | |
| EP2958306A1 (en) | Aggregation of separate domain data | |
| US20220164465A1 (en) | Controlling access to electronic data assets | |
| Peralta-Velecela et al. | Digital identity proposal for unified medical record using blockchain technology | |
| CN114528563A (zh) | 权限管理方法、装置、电子设备及介质 | |
| CN105930355A (zh) | 一种新型的多源图像数据库设计方法 | |
| CN113918511A (zh) | 一种多要素数据分析处理方法、系统和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 301, 3rd Floor, Building F, Zhizao Street, Zhongguancun, No. 45 Chengfu Road, Haidian District, Beijing, 100080 Applicant after: Beijing Dongfang Jinxin Technology Co.,Ltd. Address before: 9 / F, Jiahe Guoxin building, 15 Baiqiao street, Dongcheng District, Beijing 100062 Applicant before: Beijing Dongfang Jinxin Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |