CN112446022A - 数据权限控制方法、装置、电子设备及存储介质 - Google Patents
数据权限控制方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112446022A CN112446022A CN202011466837.7A CN202011466837A CN112446022A CN 112446022 A CN112446022 A CN 112446022A CN 202011466837 A CN202011466837 A CN 202011466837A CN 112446022 A CN112446022 A CN 112446022A
- Authority
- CN
- China
- Prior art keywords
- data
- user
- access
- request
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 230000005540 biological transmission Effects 0.000 claims description 47
- 238000004590 computer program Methods 0.000 claims description 8
- 239000000126 substance Substances 0.000 claims 1
- 230000008569 process Effects 0.000 abstract description 5
- 238000005516 engineering process Methods 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 7
- 238000007726 management method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及安全技术,揭露一种数据权限控制方法,包括:接收用户向API发出的数据访问请求,构建请求拦截器拦截所述数据访问请求,当拦截所述数据访问请求成功时,解析所述数据访问请求得到用户基本信息集及所述API内的数据对象,判断用户是否具有访问所述数据对象的访问权限,若用户不具有访问所述数据对象的访问权限,生成数据访问失败指令,并返回至用户,若用户具有访问所述数据对象的访问权限,根据所述数据对象生成SQL条件语句,利用所述SQL条件语句,访问所述数据对象得到数据,并将所述数据返回至用户。本发明还揭露数据权限控制装置、电子设备以及存储介质。本发明可解决数据权限控制过程中灵活度较低,消耗较多计算资源的问题。
Description
技术领域
本发明涉及安全领域,尤其涉及一种数据权限控制方法、装置、电子设备及计算机可读存储介质。
背景技术
随着信息交流变得高效便捷的同时,也面临着数据信息容易泄露、丢失甚至恶意破坏的安全威胁。安全威胁种类众多,而这些威胁大多来自于系统内部人员的越权访问。
传统数据权限控制方法中,一般将数据权限控制系统,通过if/else等条件语句与场景业务耦合在一起,虽然可达到权限控制的目的,但灵活度较低,一旦场景业务发生改变,重新进行数据权限控制系统与场景业务的耦合,故需要消耗较多计算资源。
发明内容
本发明提供一种数据权限控制方法、装置、电子设备及计算机可读存储介质,其主要目的在于解决数据权限控制过程中灵活度较低,消耗较多计算资源的问题。
为实现上述目的,本发明提供的一种数据权限控制方法,包括:
接收用户向API发出的数据访问请求,构建请求拦截器,拦截所述数据访问请求;
当拦截所述数据访问请求成功时,解析所述数据访问请求,得到用户基本信息集及所述API内的数据对象;
从所述用户基本信息集中提取用户ID,利用所述用户ID,判断用户是否具有访问所述数据对象的访问权限;
若用户不具有访问所述数据对象的访问权限,生成数据访问失败指令,并返回至用户;
若用户具有访问所述数据对象的访问权限,根据所述数据对象生成SQL条件语句;
利用所述SQL条件语句,访问所述数据对象得到数据,并将所述数据返回至用户。
可选地,所述构建请求拦截器包括:
获取所述数据访问请求的传输配置表;
接收用户输入的拦截对象,根据所述拦截对象,在所述传输配置表中执行拦截配置,得到所述请求拦截器。
可选地,所述获取所述数据访问请求的传输配置表,包括:
访问传输所述数据访问请求的传输系统,从所述传输系统中提取所述传输配置表。
可选地,所述拦截所述数据访问请求,包括:
启动所述传输系统,接收所述数据访问请求,并调用所述请求拦截器;
将所述数据访问请求作为所述请求拦截器的输入参数,运行所述请求拦截器;
查看所述请求拦截器是否运行成功,若所述请求拦截器运行失败,则拦截所述数据访问请求失败,发出拦截失败预警至用户。
可选地,所述解析所述数据访问请求,得到用户基本信息集,包括:
提取所述数据访问请求的IP地址;
利用所述IP地址,获取在所述IP地址下登录所述传输系统的用户ID、姓名、职位及所在部门,并汇总得到所述用户基本信息集。
可选地,所述利用所述用户ID,判断用户是否具有访问所述数据对象的访问权限,包括:
根据所述数据对象,从预构建的权限配置列表中查询是否包含所述用户ID,当所述权限配置列表中查询不包含所述用户ID,生成数据访问失败指令,并返回至用户;
当所述权限配置列表中查询包含所述用户ID,根据所述数据对象生成所述SQL条件语句。
可选地,所述预构建的权限配置列表,包括:
从所述API的数据库中抓取与权限配置相关的元数据信息;
对所述元数据信息进行权限配置,得到所述权限配置列表。
为了解决上述问题,本发明还提供一种数据权限控制装置,所述装置包括:
拦截模块,用于接收用户向API发出的数据访问请求,构建请求拦截器,拦截所述数据访问请求;
数据对象获取模块,用于当拦截所述数据访问请求成功时,解析所述数据访问请求,得到用户基本信息集及所述API内的数据对象;
访问权限判断模块,用于从所述用户基本信息集中提取用户ID,利用所述用户ID,判断用户是否具有访问所述数据对象的访问权限,若用户不具有访问所述数据对象的访问权限,生成数据访问失败指令,并返回至用户,若用户具有访问所述数据对象的访问权限,根据所述数据对象生成SQL条件语句;
数据查询模块,用于利用所述SQL条件语句,访问所述数据对象得到数据,并将所述数据返回至用户。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现上述中任意一项所述的数据权限控制方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,包括存储数据区和存储程序区,存储数据区存储创建的数据,存储程序区存储有计算机程序;其中,所述计算机程序被处理器执行时实现上述中任意一项所述的数据权限控制方法。
本案的主要有益效果为:灵活度较高,即使场景业务发生改变,也不用重新进行if/else等条件语句的耦合,只要需要更新权限控制表即可。
本发明实施例先构建出数据访问请求的请求拦截器,利用所述请求拦截器拦截所述数据访问请求,当拦截所述数据访问请求成功时,判断用户是否具有访问权限,当用户具有访问权限时,根据所述数据对象生成SQL条件语句访问所述数据访问请求对应的数据,相比于背景技术利用硬编码方式与特定场景业务耦合的权限方法来说,本发明实施例主要根据数据访问请求构建出请求拦截器,将拦截下的数据访问请求直接进行权限判断,不需要将所在数据的业务场景耦合至数据权限控制系统内,提高了数据权限控制的灵活度,也释放了耦合过程的资源消耗问题,因此本发明提出的数据权限控制方法、装置及计算机可读存储介质,可以解决数据权限控制过程中灵活度较低,消耗较多计算资源的问题。
附图说明
图1为本发明一实施例提供的数据权限控制方法的流程示意图;
图2为本发明一实施例提供的数据权限控制方法中S1的详细流程示意图;
图3为本发明一实施例提供的数据权限控制装置的模块示意图;
图4为本发明一实施例提供的实现数据权限控制方法的电子设备的内部结构示意图;
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请实施例提供一种数据权限控制方法,所述数据权限控制方法的执行主体包括但不限于服务端、终端等能够被配置为执行本申请实施例提供的该方法的电子设备中的至少一种。换言之,所述数据权限控制方法可以由安装在终端设备或服务端设备的软件或硬件来执行,所述软件可以是区块链平台及桌面应用。所述服务端包括但不限于:单台服务器、服务器集群、云端服务器或云端服务器集群等。
参照图1所示,为本发明一实施例提供的数据权限控制方法的流程示意图。在本实施例中,所述数据权限控制方法包括:
S1、接收用户向API发出的数据访问请求,构建请求拦截器,拦截所述数据访问请求。
本发明实施例中,可使用SQL、MongoDB等语句构建得到数据访问请求。
详细地,参阅图2所示,所述构建请求拦截器包括:
S11、获取所述数据访问请求的传输配置表;
S12、接收用户输入的拦截对象,根据所述拦截对象,在所述传输配置表中执行拦截配置,得到所述请求拦截器。
详细地,传输配置表包含传输所述数据访问请求的通信信息,进一步地,所述获取所述数据访问请求的传输配置表,包括:访问传输所述数据访问请求的传输系统,从所述传输系统中提取所述传输配置表。
本发明实施例中,所述传输系统是以关系型数据库构建的,采用Spring MVC、Spring、Mybatis等构建框架,并使用分层设计理念进行系统构架设计,如本发明实施例中,所述传输系统包括Controller(控制)层、Service(服务)层、DAO(Data Access Object,数据访问)层,进一步地,在所述DAO层中提取出传输配置表。
进一步地,当于所述DAO层中提取出传输配置表后,所述在所述传输配置表中执行拦截配置,包括在所述传输配置表中指定要拦截的类对象、要拦截类的哪个方法及方法参数集合等,从而得到所述请求拦截器。
进一步地,所述拦截所述数据访问请求包括:启动所述传输系统,接收所述数据访问请求,并调用所述传输系统的请求拦截器;将所述数据访问请求作为所述请求拦截器的输入参数,运行所述请求拦截器,查看所述请求拦截器是否运行成功,若所述请求拦截器运行失败,则拦截所述数据访问请求失败,发出拦截失败预警至用户。
若所述请求拦截器运行成功,则拦截所述数据访问请求成功,执行S2。
S2、当拦截所述数据访问请求成功时,解析所述数据访问请求,得到用户基本信息集及所述API内的数据对象。
详细地,所述解析所述数据访问请求,得到用户基本信息集,包括:提取所述数据访问请求的IP地址,利用所述IP地址,获取在所述IP地址下登录所述传输系统的用户ID、姓名、职位及所在部门,并汇总得到所述用户基本信息集。
所述数据对象是通过编程语言进行封装的程序,利用该程序可进行数据访问,如用户张三是子公司的财务部部长,需要访问子公司所在的母公司财务信息,则将母公司财务信息进行编程语言封装所得到封装程序,即为所述数据对象。
S3、从所述用户基本信息集中提取用户ID。
S4、利用所述用户ID,判断用户是否具有访问所述数据对象的访问权限。
详细地,所述利用所述用户ID,判断用户是否具有访问所述数据对象的访问权限,包括:根据所述数据对象,从预构建的权限配置列表中查询是否包含所述用户ID,当所述权限配置列表中查询不包含所述用户ID,执行S5,当所述权限配置列表中查询包含所述用户ID,执行S6。
进一步地,所述预构建的权限配置列表包括:从所述API的数据库中抓取与权限配置相关的元数据信息;对所述元数据信息进行权限配置,得到所述权限配置列表。
本发明实施例中,按照数据库的不同,将元数据信息分为关系型数据库-元数据信息和非关系型数据库-元数据信息。其中,所述关系型数据库-元数据信息包括数据库(Database)信息、数据表(Table)信息和行信息。所述非关系型数据库-元数据信息包括数据库(Database)信息、集合(Collection)信息和文档(Document)信息。其中所述数据库(Database)信息包括在所述API注册的用户ID、姓名、职位等信息,也包括数据库名称、类型、版本等信息;所述Table(数据表)信息或所述集合(Collection)信息,包括表名、类型、主键、外键、约束、触发器、索引等。
进一步地,将抓取的所述元数据信息返回给权限配置人员进行权限配置,例如权限配置人员从所述行信息中选择某几行、某些表等需要进行权限控制,从而得到所述权限配置列表。
本发明较佳实施中,根据所述数据对象,通过权限配置列表需要进行权限控制,则对应查找是否有所述用户ID,若在权限配置列表中查找不到所述用户ID,则执行S5步骤,若在权限配置列表中查找到所述用户ID,则执行S6步骤。
S5、若用户不具有访问所述数据对象的访问权限,生成数据访问失败指令,并返回至用户。
若在权限配置列表中查找不到该用户ID,则用户不具有访问所述数据对象的访问权限,则生成数据访问失败指令,用于通知用户访问数据失败。
S6、若用户具有访问所述数据对象的访问权限,根据所述数据对象生成SQL条件语句。
若在权限配置列表中查找到该用户ID,则表明用户具有访问所述数据对象的访问权限,进一步地,所述根据所述数据对象生成SQL条件语句,包括:从所述权限配置列表中提取数据库(Database)信息、数据表(Table)信息及行信息;从所述数据库(Database)信息中提取与所述数据对象对应的数据库名称;从所述数据表(Table)信息中提取与所述数据对象对应的数据表表名、数据类型、主键、外键;调用预先构建的SQL条件语句自动生成脚本,根据所述数据库名称、所述数据表表名、数据类型、主键、外键,生成所述SQL条件语句。
本发明实施例中,例如用户是子公司的财务部部长,欲查询母公司订单表中金额大于10000的订单号及其对应的金额,故用户向管理整个公司的传输系统发出数据访问请求,当完成S1-S5的权限判断后,将所述数据访问请求转换为SQL条件语句SELECT ORDER_ID,PRICE from Order where PRICE>100000。
S7、利用所述SQL条件语句,访问所述数据对象得到数据,并将所述数据返回至用户。
本发明实施例先构建出数据访问请求的请求拦截器,利用所述请求拦截器拦截所述数据访问请求,当拦截所述数据访问请求成功时,判断用户是否具有访问权限,当用户具有访问权限时,根据所述数据对象生成SQL条件语句访问所述数据访问请求对应的数据,相比于背景技术利用硬编码方式与特定场景业务耦合的权限方法来说,本发明实施例主要根据数据访问请求构建出请求拦截器,将拦截下的数据访问请求直接进行权限判断,不需要将所在数据的业务场景耦合至数据权限控制系统内,提高了数据权限控制的灵活度,也释放了耦合过程的资源消耗问题,因此本发明提出的数据权限控制方法、装置及计算机可读存储介质,可以解决数据权限控制过程中灵活度较低,消耗较多计算资源的问题。
如图3所示,是本发明数据权限控制装置的模块示意图。
本发明所述数据权限控制装置100可以安装于电子设备中。根据实现的功能,所述数据权限控制装置可以包括拦截模块101、数据对象获取模块102、访问权限判断模块103及数据查询模块104。本发所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
所述拦截模块101,用于接收用户向API发出的数据访问请求,构建请求拦截器,拦截所述数据访问请求;
所述数据对象获取模块102,用于当拦截所述数据访问请求成功时,解析所述数据访问请求,得到用户基本信息集及所述API内的数据对象;
所述访问权限判断模块103,用于从所述用户基本信息集中提取用户ID,利用所述用户ID,判断用户是否具有访问所述数据对象的访问权限,若用户不具有访问所述数据对象的访问权限,生成数据访问失败指令,并返回至用户,若用户具有访问所述数据对象的访问权限,根据所述数据对象生成SQL条件语句;
所述数据查询模块104,用于利用所述SQL条件语句,访问所述数据对象得到数据,并将所述数据返回至用户。
本发明实施例所提供的数据权限控制装置100中的各个模块能够在使用时基于与上述的数据权限控制方法采用相同的手段,具体地实施步骤包括:
所述拦截模块101用于接收用户向API发出的数据访问请求,构建请求拦截器,拦截所述数据访问请求。
本发明实施例中,可使用SQL、MongoDB等语句构建得到数据访问请求。
详细地,所述构建请求拦截器包括:获取所述数据访问请求的传输配置表;接收用户输入的拦截对象,根据所述拦截对象,在所述传输配置表中执行拦截配置,得到所述请求拦截器。
详细地,传输配置表包含传输所述数据访问请求的通信信息,进一步地,所述获取所述数据访问请求的传输配置表,包括:访问传输所述数据访问请求的传输系统,从所述传输系统中提取所述传输配置表。
本发明实施例中,所述传输系统是以关系型数据库构建的,采用Spring MVC、Spring、Mybatis等构建框架,并使用分层设计理念进行系统构架设计,如本发明实施例中,所述传输系统包括Controller(控制)层、Service(服务)层、DAO(Data Access Object,数据访问)层,进一步地,在所述DAO层中提取出传输配置表。
进一步地,当于所述DAO层中提取出传输配置表后,所述在所述传输配置表中执行拦截配置,包括在所述传输配置表中指定要拦截的类对象、要拦截类的哪个方法及方法参数集合等,从而得到所述请求拦截器。
进一步地,所述拦截所述数据访问请求包括:启动所述传输系统,接收所述数据访问请求,并调用所述传输系统的请求拦截器;将所述数据访问请求作为所述请求拦截器的输入参数,运行所述请求拦截器,查看所述请求拦截器是否运行成功,若所述请求拦截器运行失败,则拦截所述数据访问请求失败,发出拦截失败预警至用户。
若所述请求拦截器运行成功,则拦截所述数据访问请求成功,执行数据对象获取模块。
所述数据对象获取模块102用于当拦截所述数据访问请求成功时,解析所述数据访问请求,得到用户基本信息集及所述API内的数据对象。
详细地,所述解析所述数据访问请求,得到用户基本信息集,包括:提取所述数据访问请求的IP地址,利用所述IP地址,获取在所述IP地址下登录所述传输系统的用户ID、姓名、职位及所在部门,并汇总得到所述用户基本信息集。
所述数据对象是通过编程语言进行封装的程序,利用该程序可进行数据访问,如用户张三是子公司的财务部部长,需要访问子公司所在的母公司财务信息,则将母公司财务信息进行编程语言封装所得到封装程序,即为所述数据对象。
所述访问权限判断模块103用于从所述用户基本信息集中提取用户ID,利用所述用户ID,判断用户是否具有访问所述数据对象的访问权限,若用户不具有访问所述数据对象的访问权限,生成数据访问失败指令,并返回至用户,若用户具有访问所述数据对象的访问权限,根据所述数据对象生成SQL条件语句。
详细地,所述利用所述用户ID,判断用户是否具有访问所述数据对象的访问权限,包括:根据所述数据对象,从预构建的权限配置列表中查询是否包含所述用户ID。
进一步地,所述预构建的权限配置列表包括:从所述API的数据库中抓取与权限配置相关的元数据信息;对所述元数据信息进行权限配置,得到所述权限配置列表。
本发明实施例中,按照数据库的不同,将元数据信息分为关系型数据库-元数据信息和非关系型数据库-元数据信息。其中,所述关系型数据库-元数据信息包括数据库(Database)信息、数据表(Table)信息和行信息。所述非关系型数据库-元数据信息包括数据库(Database)信息、集合(Collection)信息和文档(Document)信息。其中所述数据库(Database)信息包括在所述API注册的用户ID、姓名、职位等信息,也包括数据库名称、类型、版本等信息;所述Table(数据表)信息或所述集合(Collection)信息,包括表名、类型、主键、外键、约束、触发器、索引等。
进一步地,将抓取的所述元数据信息返回给权限配置人员进行权限配置,例如权限配置人员从所述行信息中选择某几行、某些表等需要进行权限控制,从而得到所述权限配置列表,本发明较佳实施中,根据所述数据对象,通过权限配置列表需要进行权限控制,则对应查找是否有所述用户ID,若在权限配置列表中查找不到所述用户ID,生成数据访问失败指令,并返回至用户,若在权限配置列表中查找到所述用户ID,根据所述数据对象生成SQL条件语句。
若在权限配置列表中查找到该用户ID,则表明用户具有访问所述数据对象的访问权限,进一步地,所述根据所述数据对象生成SQL条件语句,包括:从所述权限配置列表中提取数据库(Database)信息、数据表(Table)信息及行信息;从所述数据库(Database)信息中提取与所述数据对象对应的数据库名称;从所述数据表(Table)信息中提取与所述数据对象对应的数据表表名、数据类型、主键、外键;调用预先构建的SQL条件语句自动生成脚本,根据所述数据库名称、所述数据表表名、数据类型、主键、外键,生成所述SQL条件语句。
本发明实施例中,例如用户是子公司的财务部部长,欲查询母公司订单表中金额大于10000的订单号及其对应的金额,故用户向管理整个公司的传输系统发出数据访问请求,当完成S1-S5的权限判断后,将所述数据访问请求转换为SQL条件语句SELECT ORDER_ID,PRICE from Order where PRICE>100000。
所述数据查询模块104用于利用所述SQL条件语句,访问所述数据对象得到数据,并将所述数据返回至用户。
如图4所示,是本发明实现数据权限控制方法的电子设备的结构示意图。
所述电子设备1可以包括处理器10、存储器11和总线,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如数据权限控制程序12。
其中,所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备1的内部存储单元,例如该电子设备1的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备1的外部存储设备,例如电子设备1上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(SecureDigital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备1的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备1的应用软件及各类数据,例如数据权限控制程序12的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(Control Unit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如执行数据权限控制程序等),以及调用存储在所述存储器11内的数据,以执行电子设备1的各种功能和处理数据。
所述总线可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
图4仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图4示出的结构并不构成对所述电子设备1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备1还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备1还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
进一步地,所述电子设备1还可以包括网络接口,可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备1与其他电子设备之间建立通信连接。
可选地,该电子设备1还可以包括用户接口,用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备1中处理的信息以及用于显示可视化的用户界面。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备1中的所述存储器11存储的数据权限控制程序12是多个指令的组合,在所述处理器10中运行时,可以实现:
接收用户向API发出的数据访问请求,构建请求拦截器,拦截所述数据访问请求;
当拦截所述数据访问请求成功时,解析所述数据访问请求,得到用户基本信息集及所述API内的数据对象;
从所述用户基本信息集中提取用户ID,利用所述用户ID,判断用户是否具有访问所述数据对象的访问权限;
若用户不具有访问所述数据对象的访问权限,生成数据访问失败指令,并返回至用户;
若用户具有访问所述数据对象的访问权限,根据所述数据对象生成SQL条件语句;
利用所述SQL条件语句,访问所述数据对象得到数据,并将所述数据返回至用户。
进一步地,所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
进一步地,所述计算机可用存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。
本发明还提供一种计算机可读存储介质,所述可读存储介质存储有计算机程序,所述计算机程序在被电子设备的处理器所执行时,可以实现:
接收用户向API发出的数据访问请求,构建请求拦截器,拦截所述数据访问请求;
当拦截所述数据访问请求成功时,解析所述数据访问请求,得到用户基本信息集及所述API内的数据对象;
从所述用户基本信息集中提取用户ID,利用所述用户ID,判断用户是否具有访问所述数据对象的访问权限;
若用户不具有访问所述数据对象的访问权限,生成数据访问失败指令,并返回至用户;
若用户具有访问所述数据对象的访问权限,根据所述数据对象生成SQL条件语句;
利用所述SQL条件语句,访问所述数据对象得到数据,并将所述数据返回至用户。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图表记视为限制所涉及的权利要求。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种数据权限控制方法,其特征在于,所述方法包括:
接收用户向API发出的数据访问请求,构建请求拦截器,拦截所述数据访问请求;
当拦截所述数据访问请求成功时,解析所述数据访问请求,得到用户基本信息集及所述API内的数据对象;
从所述用户基本信息集中提取用户ID,利用所述用户ID,判断用户是否具有访问所述数据对象的访问权限;
若用户不具有访问所述数据对象的访问权限,生成数据访问失败指令,并返回至用户;
若用户具有访问所述数据对象的访问权限,根据所述数据对象生成SQL条件语句;
利用所述SQL条件语句,访问所述数据对象得到数据,并将所述数据返回至用户。
2.如权利要求1所述的数据权限控制方法,其特征在于,所述构建请求拦截器包括:
获取所述数据访问请求的传输配置表;
接收用户输入的拦截对象,根据所述拦截对象,在所述传输配置表中执行拦截配置,得到所述请求拦截器。
3.如权利要求2所述的数据权限控制方法,其特征在于,所述获取所述数据访问请求的传输配置表,包括:
访问传输所述数据访问请求的传输系统,从所述传输系统中提取所述传输配置表。
4.如权利要求3所述的数据权限控制方法,其特征在于,所述拦截所述数据访问请求,包括:
启动所述传输系统,接收所述数据访问请求,并调用所述请求拦截器;
将所述数据访问请求作为所述请求拦截器的输入参数,运行所述请求拦截器;
查看所述请求拦截器是否运行成功,若所述请求拦截器运行失败,则拦截所述数据访问请求失败,发出拦截失败预警至用户。
5.如权利要求4所述的数据权限控制方法,其特征在于,所述解析所述数据访问请求,得到用户基本信息集,包括:
提取所述数据访问请求的IP地址;
利用所述IP地址,获取在所述IP地址下登录所述传输系统的用户ID、姓名、职位及所在部门,并汇总得到所述用户基本信息集。
6.如权利要求1所述的数据权限控制方法,其特征在于,所述利用所述用户ID,判断用户是否具有访问所述数据对象的访问权限,包括:
根据所述数据对象,从预构建的权限配置列表中查询是否包含所述用户ID,当所述权限配置列表中查询不包含所述用户ID,生成数据访问失败指令,并返回至用户;
当所述权限配置列表中查询包含所述用户ID,根据所述数据对象生成所述SQL条件语句。
7.如权利要求1至6中任意一项所述的数据权限控制方法,其特征在于,所述预构建的权限配置列表,包括:
从所述API的数据库中抓取与权限配置相关的元数据信息;
对所述元数据信息进行权限配置,得到所述权限配置列表。
8.一种数据权限控制装置,其特征在于,所述装置包括:
拦截模块,用于接收用户向API发出的数据访问请求,构建请求拦截器,拦截所述数据访问请求;
数据对象获取模块,用于当拦截所述数据访问请求成功时,解析所述数据访问请求,得到用户基本信息集及所述API内的数据对象;
访问权限判断模块,用于从所述用户基本信息集中提取用户ID,利用所述用户ID,判断用户是否具有访问所述数据对象的访问权限,若用户不具有访问所述数据对象的访问权限,生成数据访问失败指令,并返回至用户,若用户具有访问所述数据对象的访问权限,根据所述数据对象生成SQL条件语句;
数据查询模块,用于利用所述SQL条件语句,访问所述数据对象得到数据,并将所述数据返回至用户。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任一项所述的数据权限控制方法。
10.一种计算机可读存储介质,包括存储数据区和存储程序区,其特征在于,所述存储数据区存储创建的数据,所述存储程序区存储有计算机程序;其中,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的数据权限控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011466837.7A CN112446022A (zh) | 2020-12-14 | 2020-12-14 | 数据权限控制方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011466837.7A CN112446022A (zh) | 2020-12-14 | 2020-12-14 | 数据权限控制方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112446022A true CN112446022A (zh) | 2021-03-05 |
Family
ID=74739737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011466837.7A Withdrawn CN112446022A (zh) | 2020-12-14 | 2020-12-14 | 数据权限控制方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112446022A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113378225A (zh) * | 2021-06-24 | 2021-09-10 | 平安普惠企业管理有限公司 | 线上敏感数据获取方法、装置、电子设备及存储介质 |
| CN113420327A (zh) * | 2021-06-23 | 2021-09-21 | 平安国际智慧城市科技股份有限公司 | 数据权限控制方法、系统、电子设备及存储介质 |
| CN113486326A (zh) * | 2021-07-02 | 2021-10-08 | 重庆沄析工业互联网有限公司 | 一种基于Mybatis拦截器实现数据行权限的方法 |
| CN113703995A (zh) * | 2021-08-13 | 2021-11-26 | 深圳市中博科创信息技术有限公司 | 前后端数据交互方法、装置、电子设备及存储介质 |
| CN117176484A (zh) * | 2023-11-03 | 2023-12-05 | 湖南华博信息技术有限公司 | 一种工控互联网数据通用权限验证方法 |
-
2020
- 2020-12-14 CN CN202011466837.7A patent/CN112446022A/zh not_active Withdrawn
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113420327A (zh) * | 2021-06-23 | 2021-09-21 | 平安国际智慧城市科技股份有限公司 | 数据权限控制方法、系统、电子设备及存储介质 |
| CN113378225A (zh) * | 2021-06-24 | 2021-09-10 | 平安普惠企业管理有限公司 | 线上敏感数据获取方法、装置、电子设备及存储介质 |
| CN113486326A (zh) * | 2021-07-02 | 2021-10-08 | 重庆沄析工业互联网有限公司 | 一种基于Mybatis拦截器实现数据行权限的方法 |
| CN113703995A (zh) * | 2021-08-13 | 2021-11-26 | 深圳市中博科创信息技术有限公司 | 前后端数据交互方法、装置、电子设备及存储介质 |
| CN113703995B (zh) * | 2021-08-13 | 2024-04-16 | 深圳市中博科创信息技术有限公司 | 前后端数据交互方法、装置、电子设备及存储介质 |
| CN117176484A (zh) * | 2023-11-03 | 2023-12-05 | 湖南华博信息技术有限公司 | 一种工控互联网数据通用权限验证方法 |
| CN117176484B (zh) * | 2023-11-03 | 2024-01-19 | 湖南华博信息技术有限公司 | 一种工控互联网数据通用权限验证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112446022A (zh) | 数据权限控制方法、装置、电子设备及存储介质 | |
| WO2023056943A1 (zh) | 基于物联网规则引擎的终端控制方法、装置、设备及介质 | |
| CN103544074A (zh) | 一种业务的校验方法及装置 | |
| CN112417503A (zh) | 岗位权限授权方法、装置、电子设备及存储介质 | |
| CN112506779A (zh) | 软件接口测试方法、装置、电子设备及存储介质 | |
| CN112580079A (zh) | 权限配置方法、装置、电子设备及可读存储介质 | |
| CN113364753A (zh) | 反爬虫方法、装置、电子设备及计算机可读存储介质 | |
| CN112015815A (zh) | 数据同步方法、装置及计算机可读存储介质 | |
| CN113127915A (zh) | 数据加密脱敏方法、装置、电子设备及存储介质 | |
| CN115081016A (zh) | 日志脱敏方法、装置、电子设备及存储介质 | |
| CN111339098A (zh) | 一种权限管理方法、数据查询方法及装置 | |
| CN112347126B (zh) | 大数据处理方法、装置、设备及介质 | |
| CN113127906A (zh) | 基于c/s架构的统一权限管理平台、方法及存储介质 | |
| CN113434542A (zh) | 数据关系识别方法、装置、电子设备及存储介质 | |
| CN113382017A (zh) | 基于白名单的权限控制方法、装置、电子设备及存储介质 | |
| CN112217639A (zh) | 数据的加密共享方法、装置、电子设备及计算机存储介质 | |
| CN115086047B (zh) | 接口鉴权方法、装置、电子设备及存储介质 | |
| CN112988888B (zh) | 密钥管理方法、装置、电子设备及存储介质 | |
| CN112257078B (zh) | 一种基于tee技术的区块链加解密服务安全可信系统 | |
| CN115102770A (zh) | 基于用户权限的资源访问方法、装置、设备及存储介质 | |
| CN111651509B (zh) | 基于Hbase数据库的数据导入方法、装置、电子设备及介质 | |
| CN114357032A (zh) | 一种数据质量监控方法、装置、电子设备及存储介质 | |
| CN113934729A (zh) | 一种基于知识图谱的数据管理方法、相关设备及介质 | |
| CN113364848A (zh) | 文件缓存方法、装置、电子设备及存储介质 | |
| CN113419718A (zh) | 数据报送方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210305 |