CN112906028A - 访问控制方法、装置、电子设备及计算机可读存储介质 - Google Patents
访问控制方法、装置、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112906028A CN112906028A CN202110241871.2A CN202110241871A CN112906028A CN 112906028 A CN112906028 A CN 112906028A CN 202110241871 A CN202110241871 A CN 202110241871A CN 112906028 A CN112906028 A CN 112906028A
- Authority
- CN
- China
- Prior art keywords
- user
- target resource
- authority
- resource
- role
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000004590 computer program Methods 0.000 claims description 6
- 230000003068 static effect Effects 0.000 abstract description 15
- 238000000926 separation method Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 230000002829 reductive effect Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000000670 limiting effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007717 exclusion Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 101100411605 Arabidopsis thaliana RABC1 gene Proteins 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提出一种访问控制方法、装置、电子设备及计算机可读存储介质,该方法包括:当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断用户是否具有访问目标资源的权限;其中,目标资源表征权限系统内的业务动态数据;分配表用于维护用户、资源和角色三者之间的对应关系;角色权限关联表用于维护角色与权限之间的对应关系;若具有访问目标资源的权限,则根据预设的资源表中目标资源的存储索引信息控制用户操作目标资源;资源表用于维护全部业务动态数据的存储索引信息。本发明能够实现动态数据和静态数据的分离,降低权限数据量或者角色数据过大的风险,提高模型的便利性。
Description
技术领域
本发明涉及信息处理技术领域,具体而言,涉及一种访问控制方法、装置、电子设备及计算机可读存储介质。
背景技术
为了满足企业级的统一访问控制后台的高可用性、兼容性、操作便利性等普遍要求,必须有一种既能支持角色管理,又能支持大量数据的权限模型。RBAC(Role-BasedAccessControl,简称RABC)访问控制模型作为目前最广泛应用的模型,能够通过使用角色权限关联表,给不同角色赋予不同权限,在得到角色权限关联表后,通过使用用户角色关联表,为用户分配对应角色,即是用户角色关联表记录用户到角色的映射关系,以实现权限管理。
然而,目前的RABC模型对动态数据和静态数据进行混合处理,这种处理方式对动态数据并不友好,若将动态数据视为权限,会导致权限数据量过大,角色关联权限难以执行;若将动态数据视为角色,会导致角色数据量大增,失去本身用角色模型管理的便利性,致使权限管理效率降低,用户无法对动态数据进行针对性处理。
发明内容
有鉴于此,本发明的目的在于提供一种访问控制方法、装置、电子设备及计算机可读存储介质,用以实现动态数据和静态数据的分离,降低权限数据量或者角色数据过大的风险,提高模型的便利性。
为了实现上述目的,本发明实施例采用的技术方案如下:
第一方面,本发明提供一种访问控制方法,所述方法包括:当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限;其中,所述目标资源表征权限系统内的业务动态数据;所述分配表用于维护用户、资源和角色三者之间的对应关系;所述角色权限关联表用于维护角色与权限之间的对应关系;若具有访问所述目标资源的权限,则根据预设的资源表中所述目标资源的存储索引信息控制所述用户操作所述目标资源;所述资源表用于维护所述全部所述业务动态数据的存储索引信息。
可选地,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限,包括:根据所述用户的用户标识和所述目标资源的资源标识,确定所述用户是否具有访问所述目标资源对应的角色;若存在,则在所述角色权限关联表中确定所述角色是否存在对应的权限。
可选地,在当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限之前,还包括:获取数据系统的接入请求;根据所述数据系统内的所述业务动态数据生成所述分配表和所述资源表。
可选地,所述方法还包括:将所述分配表存储到第一数据分库,所述资源表存储到第二数据分库。
可选地,则根据预设的资源表中所述目标资源的存储索引信息控制所述用户访问所述目标资源,包括:根据预设的资源表中所述目标资源的存储索引信息,控制所述用户通过预设的访问接口,对所述目标资源进行增添操作和/或删除操作。
可选地,所述用户为以下任意一种:实际用户、虚拟用户和用户组。
第二方面,本发明提供一种访问控制装置,包括:判断模块,用于当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限;其中,所述目标资源表征权限系统内的业务动态数据;所述分配表用于表征用户、资源和角色三者之间的对应关系;所述角色权限关联表用于表征角色与权限之间的对应关系;控制模块,用于若具有访问所述目标资源的权限,则根据预设的资源表中所述目标资源的存储索引信息控制所述用户操作所述目标资源;所述资源表用于维护全部所述业务动态数据的存储索引信息。
可选地,判断模块,具体用于:根据所述用户的用户标识和所述目标资源的资源标识,确定所述用户是否具有访问所述目标资源对应的角色;若存在,则在所述角色权限关联表中确定所述角色是否存在对应的权限。
第三方面,本发明提供一种电子设备,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现第一方面所述的访问控制方法。
第四方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的访问控制方法。
本发明实施例提出一种访问控制方法、装置、电子设备及计算机可读存储介质,该方法包括:当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断用户是否具有访问目标资源的权限;其中,目标资源表征权限系统内的业务动态数据;分配表用于维护用户、资源和角色三者之间的对应关系;角色权限关联表用于维护角色与权限之间的对应关系;若具有访问目标资源的权限,则根据预设的资源表中目标资源的存储索引信息控制用户操作目标资源;资源表用于维护全部业务动态数据的存储索引信息。与现有技术的区别在于,现有技术将系统内部的动态数据和静态数据进行混合管理,容易出现权限数据量过大,角色关联权限难以执行的问题或者导致角色数据量大增,失去本身用角色模型管理的便利性,而本申请为了解决这种问题,引入了资源表,通过资源表维护接入系统的动态数据,实现动态数据和静态数据的分离,同时,还引入了分配表,实现将用户、动态数据和角色之间的关联,从而可以在用户访问动态数据时确定用户是否具有该动态数据下的角色,进而根据角色和权限之间的关联关系确定用户是否具有访问权限,不仅可以降低权限数据量或者角色数据过大的风险,提高模型的便利性。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为传统的RABC模型图;
图2为本发明实施例提供的一种RABC模型图;
图3为本发明实施例提供的一种访问控制方法的示意性流程图;
图4为本发明实施例提供的步骤S340的一种实现方式的示意性流程图之一;
图5为本发明实施例提供的步骤S340的一种实现方式的示意性流程图之二;
图6为本发明实施例提供的步骤S340的一种实现方式的示意性流程图之三;
图7为本发明实施例提供的一种访问控制装置的功能模块图;
图8为本发明实施例提供的一种电子设备的方框示意图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
目前,大型企业通常使用多种大小规模不同的系统来处理业务,因为自身业务的需要,这些系统使用的访问控制模型各异。随着业务扩展,企业内部的系统数量逐渐增多,企业内部员工对于资源的访问控制的管理会变得非常繁琐,通常需要跨多个系统进行操作,且人工介入程度较多。由于访问控制模型不兼容,以及传统模型对动态数据无法支撑的原因,导致企业往往难以找到一个有效的模型来进行统一权限系统的建设。
下面以RBAC模型簇来阐述企业内部的权限系统内的访问控制的实现方式进行示例性说明。
访问控制(AccessControl):是指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对电子设备、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一,也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。
RBAC(Role-BasedAccessControl):是一种基于角色进行访问控制的模型族,默认以RBAC0模型为基础。RBAC0包含三个关键概念:用户、角色、权限。参见图1,图1为传统的RABC模型图,在RBAC中,该模型首先定义各种角色、权限,将角色、权限分别记录在角色表和权限表中,通过使用角色权限关联表,给不同角色赋予不同权限,在得到角色权限关联表后,通过使用用户角色关联表,为用户分配对应角色,即是用户角色关联表记录用户到角色的映射关系,以实现权限管理。
RBAC1:在RBAC0的基础上,引入了角色间的继承关系,即角色上有了上下级的区别。角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系仅要求角色继承关系是一个绝对偏序关系,允许角色间的多继承。而受限继承关系则进一步要求角色继承关系是一个树结构,实现角色间的单继承。
RBAC2:在RBAC0的基础上,加入了赋权过程中的约束,包含角色互斥约束、基数约束、先决条件角色约束、运行时互斥约束等。
业务动态数据:区别于业务静态数据,是用户在操作软件过程中动态生成的数据。动态数据具有状态变化多、内容变化频繁、数据量级大、不可预测性等特点。
然而,目前的RABC模型对动态数据和静态数据进行混合处理,这种处理方式对动态数据并不友好,例如,对于RABC1模型而言,若将动态数据视为权限,会导致权限数据量过大,角色关联权限难以执行;若将动态数据视为角色,会导致角色数据量大增,失去本身用角色模型管理的便利性,致使权限管理效率降低。再例如,对于RBAC2而言,其通过工作流本身限制约束动态数据量级,这种方式虽然解决了动态数据状态变化多、内容变化频繁的特点,但在企业级的应用场景中,数据的量级是不可约束的(否则会制约企业自身业务的发展),在这个背景下,该模型处理效率相较传统RBAC族模型并无提升。
因此,为了弥补上述各个模型所存在的缺陷,使得用户可以对动态数据和静态数据分工处理,提高权限管理的效率,本发明为了把用户访问控制的动态数据和静态数据进行分离,本发明首先提供了一种改进的RABC模型,参见图2,图2为本发明实施例提供的一种RABC模型图。
如图2所示,本发明实施例在传统RBAC模型上引入了“资源”的概念,用来标识动态数据,同时还引入“画像”概念,用来关联用户、资源和角色。进而,考虑到实际企业中存在按照人员组织架构进行访问控制的场景,以及公共账户做系统间授权的场景,在用户层面,本发明实施例在传统RBAC模型族的自然用户(自然人)基础上扩展出“虚拟用户”和“用户组”两种细化的用户类型,因此,本发明实施例提供的RABC模型包含的概念以及概念含义如表1所示。
表1
基于上述改进的模型,本发明还引入了“分配表”和“资源表”的概念,其中,分配表用于维护用户、资源和角色三者之间的对应关系。
继续参见图2,图2中示出了本发明实施例中的“分配表”和“资源表”的示例图,其中,在资源表中维护有各个动态数据的存储索引,通过该存储索引即可定位动态数据的存储位置,进而实现对动态数据的针对性操作。在图2所示的分配表中,维护有用户标识、资源标识和角色标识之间的对应关系,通过分配表即可确定某个用户标识对应的用户是否在某个资源下具有某种角色。
需要说明的是,在分配表中,一个用户可以对应有多个资源,每个资源可以对应一个角色。例如,比如小明(用户)在A项目(资源1)里是管理员(角色1),在B项目(资源2)里是开发人员(角色2)。
同时,本发明提供了一个通用的访问控制模型,能指导企业构建适用于自身的统一访问控制系统或中台,在保留角色权限控制的便利性的情况下,兼容多系统多种动态数据的管理,以及兼容包括RBAC、ACL等在内的常用访问控制模型,为员工入离职、转岗等需要统一处理权限的场景提供高可用且灵活的服务支持。
基于上述改进的RABC模型,下面对本发明实施例提供的一种访问控制方法进行示例性说明,请参见图3,图3为本发明实施例提供的一种访问控制方法的示意性流程图,该方法包括:
S340、当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断用户是否具有访问目标资源的权限。
其中,在一些可能的实施例中,上述的用户可以是以下任意一种:自然用户、虚拟用户和用户组。上述的目标资源即可表征系统内的业务动态数据,例如,报表系统产生的报表数据、元数据管理系统中的元数据等。上述的分配表用于维护用户、资源和角色三者之间的对应关系,如图2所示,在分配表中,维护有用户ID、资源ID和角色ID三者之间的对应关系,根据分配表,可以判断一个用户在某个资源下具有某种角色,上述的角色权限关联表用于维护角色与权限之间的对应关系,继续参见图2,角色权限关联表中维护有角色ID和权限ID之间的对应关系,通过某个角色对应的角色ID即可确定该角色对应的权限。
S350、若具有访问目标资源的权限,则根据预设的资源表中目标资源的存储索引信息控制用户操作目标资源。
其中,上述的资源表用于维护全部业务动态数据的存储索引信息,继续参见图2,分配表中维护有多个资源对应的存储索引信息,例如,资源ID为1的资源,对应的存储索引信息为aaa,可以根据资源表定位目标资源的存储索引,进而实现对目标资源的一系列操作,例如,可以对目标资源做限流、存储分片以及合法性校验等针对性操作。
本发明实施例提供的一种访问控制方法,包括:当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限;若具有访问所述目标资源的权限,则根据预设的资源表中所述目标资源的存储索引信息控制所述用户操作所述目标资源;所述资源表用于维护所述全部所述业务动态数据的存储索引信息。与现有技术的区别在于,现有技术将系统内部的动态数据和静态数据进行混合管理,容易出现权限数据量过大,角色关联权限难以执行的问题或者导致角色数据量大增,失去本身用角色模型管理的便利性,而本申请为了解决这种问题,引入了资源表,通过资源表维护接入系统的动态数据,实现动态数据和静态数据的分离,同时,还引入了分配表,实现将用户、动态数据和角色之间的关联,从而可以在用户访问动态数据时确定用户是否具有该动态数据下的角色,进而根据角色和权限之间的关联关系确定用户是否具有访问权限,不仅可以降低权限数据量或者角色数据过大的风险,提高模型的便利性。
需要说明的是,本发明实施例通过限定资源为一个特定值,即可适配RBAC族模型,同时限制为每个用户单独设置一个专属角色,本模型即可适配ACL权限模型。
可选地,本发明实施例在传统模型的基础上,引入了分配表用以维护用户、资源和角色之间的对应关系,基于此,下面给出一种确定用户是否具有访问某个资源的权限的实现方式,参见图4,图4为本发明实施例提供的步骤S340的一种实现方式的示意性流程图,即上述步骤S340可以包括:
S341、根据用户的用户标识和目标资源的资源标识,确定用户是否具有访问目标资源对应的角色。
S342、若存在,则在角色权限关联表中确定所述角色是否存在对应的权限。
可以理解的是,通过查询分配表和角色权限关联表即可确定用户是否具备访问动态数据的权限,避免了将动态数据和静态数据混合管理而带来的权限数据或者角色数据过大的问题,提高了处理速度。
可选地,为了能够统一管理接入权限系统的动态数据,下面给出一种可能的实现方式,参见图5,图5为本发明实施例提供的另一种访问控制方法的示意性流程图之一,该方法还包括:
S310、获取数据系统的接入请求。
在一些可能的实施方式中,上述的数据系统指得能够产生大量动态数据的系统,例如,报表系统、元数据管理系统等。
S320、根据数据系统内的所述业务动态数据生成分配表和资源表。
例如,以报表系统为例,当报表系统接入某个权限控制系统时,权限控制系统会根据报表数据生成资源表,在的资源表里存储报表数据的索引信息,从而实现了将动态数据和静态数据的分离,方便后续对这两种数据的单独处理,进而,为用户分配某个资源下的角色,生成上述的分配表。
可以理解的是,通过资源表实现对动态数据的管理,避免了将动态数据和静态数据混合管理而带来的权限数据或者角色数据过大的问题,通过生成分配表可以快速确定用户是否具有访问动态数据的权限,提高了处理速度。
可选地,在生成资源表和分配表的基础上,为实现提高在大数据量的情况下外部访问的效率的效果,下面给出一种可能的实现方式,参见图6,图6为本发明实施例提供的另一种访问控制方法的示意性流程图之二,该方法还包括:
S330、将分配表存储到第一数据分库,所述资源表存储到第二数据分库。
在一些可能的实施例中,对于数据系统而言,随着时间积累,用户产生的动态数据会越来越多(也就是本发明实施例中的动态数据),分配表和资源表里的数据也会逐渐增多。因此,在实际应用中,可以针对资源表和分配表做数据库水平分库,将分配表存储到第一数据分库,所述资源表存储到第二数据分库,同时在访问这两个表的入口上做了redis和本地缓存组成的二级缓存,以保证在大数据量的情况下外部访问的效率。
可选地,在于实际的应用过程中关键概念容易混淆。由于企业内部分系统权限管理逻需求为简单,对数据的控制粒度很大,没有对权限做细分,导致资源和权限的概念容易混淆,例如,假设针对某个权限管理系统,元数据管理系统是它的一个接入方,在元数据管理系统的需求中,元数据是随着用户使用而增多的动态数据,但对元数据的权限控制粒度很大,要么不能访问,要么能访问并拥有增删改查等一切权限(超管权限)。由于一个动态数据只有一种权限(超管权限),接入方人员往往会把数据和权限的概念混淆,即接入方人员往往会错误的发出“打开某个数据的权限”的指示,但实际上该数据只开放了资源的增删接口,而其他权限需要接入方人员手动定义。
为了解决这种问题,本发明实施例限定了应用场景中只暴露资源的开放接口(即允许动态增删),权限只能预定义,通过操作限制反向引导接入方梳理关键概念,下面给出一种S350可能的实现方式。
根据预设的资源表中目标资源的存储索引信息,控制用户通过预设的访问接口,对目标资源进行增添操作和/或删除操作。
可以理解的是,上述的预设的访问接口可以是增添接口或者删除接口,本发明实施例限定了其应用场景中只暴露资源的开放接口(即允许动态增删),权限只能预定义,通过操作限制反向引导接入方梳理关键概念。
为了执行上述实施例及各个可能的方式中的相应步骤,下面给出一种访问控制装置的实现方式,请参阅图7,图7为本发明实施例提供的一种访问控制装置的功能模块图。需要说明的是,本实施例所提供的访问控制装置70,其基本原理及产生的技术效果和上述实施例相同,为简要描述,本实施例部分未提及之处,可参考上述的实施例中相应内容。该访问控制装置70包括:
判断模块710,用于当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断用户是否具有访问目标资源的权限;
其中,目标资源表征权限系统内的业务动态数据;分配表用于维护用户、资源和角色三者之间的对应关系;角色权限关联表用于维护角色与权限之间的对应关系;
控制模块702,用于若具有访问目标资源的权限,则根据预设的资源表中目标资源的存储索引信息控制用户操作目标资源;资源表用于维护全部业务动态数据的存储索引信息。
可选地,判断模块710,具体用于:根据用户的用户标识和目标资源的资源标识,确定用户是否具有访问目标资源对应的角色;若存在,则在角色权限关联表中确定角色是否存在对应的权限。
可选地,该访问控制装置70还包括:获取模块,用于获取数据系统的接入请求;生成模块,用于根据数据系统内的业务动态数据生成分配表和资源表。
可选地,该访问控制装置70还包括:存储模块,用于将分配表存储到第一数据分库,资源表存储到第二数据分库。
可选地,控制模块720,具体用于:根据预设的资源表中目标资源的存储索引信息,控制用户通过预设的访问接口,对目标资源进行增添操作和/或删除操作。
本发明实施例还提供一种电子设备,如图8,图8为本发明实施例提供的一种电子设备结构框图。该电子设备80包括通信接口801、处理器802和存储器803。该处理器802、存储器803和通信接口801相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器803可用于存储软件程序及模块,如本发明实施例所提供的访问控制方法对应的程序指令/模块,处理器802通过执行存储在存储器803内的软件程序及模块,从而执行各种功能应用以及数据处理。该通信接口801可用于与其他节点设备进行信令或数据的通信。在本发明中该电子设备80可以具有多个通信接口801。
其中,存储器803可以是但不限于,随机存取存储器(RandomAccessMemory,RAM),只读存储器(ReadOnlyMemory,ROM),可编程只读存储器(ProgrammableRead-OnlyMemory,PROM),可擦除只读存储器(ErasableProgrammableRead-OnlyMemory,EPROM),电可擦除只读存储器(ElectricErasableProgrammableRead-OnlyMemory,EEPROM)等。
处理器802可以是一种集成电路芯片,具有信号处理能力。该处理器可以是通用处理器,包括中央处理器(CentralProcessingUnit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DigitalSignalProcessing,DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、现场可编程门阵列(Field-ProgrammableGateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
应当理解的是,图8所示的结构仅为电子设备的结构示意图,所述电子设备还可包括比图8中所示更多或者更少的组件,或者具有与图8所示不同的配置。图8中所示的各组件可以采用硬件、软件或其组合实现。
可选地,上述访问控制装置70中的各个模块可以软件或固件(Firmware)的形式存储于图8所示的存储器803中或固化于该访问控制装置的操作系统(OperatingSystem,OS)中,并可由图8中的处理器802执行。同时,执行上述模块所需的数据、程序的代码等可以存储在存储器803中。
本发明实施例提供一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如前述实施方式中任一项访问控制方法。该计算机可读存储介质可以是,但不限于,U盘、移动硬盘、ROM、RAM、PROM、EPROM、EEPROM、磁碟或者光盘等各种可以存储程序代码的介质。
具体地,该存储介质上的计算机程序被运行时,能够执行上述访问控制方法,从而能够实现动态数据和静态数据的分离,降低权限数据量或者角色数据过大的风险,提高模型的便利性。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取计算机可读存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个计算机可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,电子设备,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种访问控制方法,其特征在于,所述方法包括:
当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限;
其中,所述目标资源表征权限系统内的业务动态数据;所述分配表用于维护用户、资源和角色三者之间的对应关系;所述角色权限关联表用于维护角色与权限之间的对应关系;
若具有访问所述目标资源的权限,则根据预设的资源表中所述目标资源的存储索引信息控制所述用户操作所述目标资源;所述资源表用于维护全部所述业务动态数据的存储索引信息。
2.根据权利要求1所述的访问控制方法,其特征在于,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限,包括:
根据所述用户的用户标识和所述目标资源的资源标识,确定所述用户是否具有访问所述目标资源对应的角色;
若存在,则在所述角色权限关联表中确定所述角色是否存在对应的权限。
3.根据权利要求1所述的访问控制方法,其特征在于,在当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限之前,还包括:
获取数据系统的接入请求;
根据所述数据系统内的所述业务动态数据生成所述分配表和所述资源表。
4.根据权利要求3所述的访问控制方法,其特征在于,所述方法还包括:
将所述分配表存储到第一数据分库,所述资源表存储到第二数据分库。
5.根据权利要求1所述的访问控制方法,其特征在于,则根据预设的资源表中所述目标资源的存储索引信息控制所述用户操作所述目标资源,包括:
根据预设的资源表中所述目标资源的存储索引信息,控制所述用户通过预设的访问接口,对所述目标资源进行增添操作和/或删除操作。
6.根据权利要求1所述的访问控制方法,其特征在于,所述用户为以下任意一种:实际用户、虚拟用户和用户组。
7.一种访问控制装置,其特征在于,包括:
判断模块,用于当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限;
其中,所述目标资源表征权限系统内的业务动态数据;所述分配表用于表征用户、资源和角色三者之间的对应关系;所述角色权限关联表用于表征角色与权限之间的对应关系;
控制模块,用于若具有访问所述目标资源的权限,则根据预设的资源表中所述目标资源的存储索引信息控制所述用户操作所述目标资源;所述资源表用于维护全部所述业务动态数据的存储索引信息。
8.根据权利要求7所述的访问控制装置,其特征在于,判断模块,具体用于:
根据所述用户的用户标识和所述目标资源的资源标识,确定所述用户是否具有访问所述目标资源对应的角色;
若存在,则在所述角色权限关联表中确定所述角色是否存在对应的权限。
9.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现权利要求1-6任一项所述的访问控制方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6中任一项所述的访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110241871.2A CN112906028A (zh) | 2021-03-04 | 2021-03-04 | 访问控制方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110241871.2A CN112906028A (zh) | 2021-03-04 | 2021-03-04 | 访问控制方法、装置、电子设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112906028A true CN112906028A (zh) | 2021-06-04 |
Family
ID=76107665
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110241871.2A Pending CN112906028A (zh) | 2021-03-04 | 2021-03-04 | 访问控制方法、装置、电子设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112906028A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114969834A (zh) * | 2022-07-29 | 2022-08-30 | 广州市千钧网络科技有限公司 | 页面权限的控制方法、装置、存储介质和设备 |
| CN115017484A (zh) * | 2022-08-04 | 2022-09-06 | 北京航天驭星科技有限公司 | 访问控制方法以及装置 |
| CN115065513A (zh) * | 2022-06-02 | 2022-09-16 | 中国联合网络通信集团有限公司 | 资源访问控制方法、装置及存储介质 |
| WO2023051096A1 (zh) * | 2021-09-29 | 2023-04-06 | 华为技术有限公司 | 访问资源的方法及电子设备 |
| CN117034233A (zh) * | 2023-10-09 | 2023-11-10 | 统信软件技术有限公司 | 基于权限的应用管理方法、装置、计算设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103078859A (zh) * | 2012-12-31 | 2013-05-01 | 普天新能源有限责任公司 | 业务系统权限管理方法、设备及系统 |
| CN105653962A (zh) * | 2014-11-14 | 2016-06-08 | 中国科学院沈阳计算技术研究所有限公司 | 一种面向对象的用户角色资源权限模型管理方法 |
| CN110516452A (zh) * | 2019-08-07 | 2019-11-29 | 浙江大搜车软件技术有限公司 | Rbac资源权限分配方法、装置、电子设备和存储介质 |
| CN111199028A (zh) * | 2020-01-06 | 2020-05-26 | 深圳壹账通智能科技有限公司 | 资源信息访问方法、装置、计算机设备和存储介质 |
| CN111563250A (zh) * | 2020-03-25 | 2020-08-21 | 平安国际智慧城市科技股份有限公司 | 权限管理方法、装置、计算机设备和存储介质 |
| CN112347436A (zh) * | 2020-10-27 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种安全资源池内安全组件的权限管理方法及相关组件 |
-
2021
- 2021-03-04 CN CN202110241871.2A patent/CN112906028A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103078859A (zh) * | 2012-12-31 | 2013-05-01 | 普天新能源有限责任公司 | 业务系统权限管理方法、设备及系统 |
| CN105653962A (zh) * | 2014-11-14 | 2016-06-08 | 中国科学院沈阳计算技术研究所有限公司 | 一种面向对象的用户角色资源权限模型管理方法 |
| CN110516452A (zh) * | 2019-08-07 | 2019-11-29 | 浙江大搜车软件技术有限公司 | Rbac资源权限分配方法、装置、电子设备和存储介质 |
| CN111199028A (zh) * | 2020-01-06 | 2020-05-26 | 深圳壹账通智能科技有限公司 | 资源信息访问方法、装置、计算机设备和存储介质 |
| CN111563250A (zh) * | 2020-03-25 | 2020-08-21 | 平安国际智慧城市科技股份有限公司 | 权限管理方法、装置、计算机设备和存储介质 |
| CN112347436A (zh) * | 2020-10-27 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种安全资源池内安全组件的权限管理方法及相关组件 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023051096A1 (zh) * | 2021-09-29 | 2023-04-06 | 华为技术有限公司 | 访问资源的方法及电子设备 |
| CN115065513A (zh) * | 2022-06-02 | 2022-09-16 | 中国联合网络通信集团有限公司 | 资源访问控制方法、装置及存储介质 |
| CN115065513B (zh) * | 2022-06-02 | 2023-10-03 | 中国联合网络通信集团有限公司 | 资源访问控制方法、装置及存储介质 |
| CN114969834A (zh) * | 2022-07-29 | 2022-08-30 | 广州市千钧网络科技有限公司 | 页面权限的控制方法、装置、存储介质和设备 |
| CN115017484A (zh) * | 2022-08-04 | 2022-09-06 | 北京航天驭星科技有限公司 | 访问控制方法以及装置 |
| CN117034233A (zh) * | 2023-10-09 | 2023-11-10 | 统信软件技术有限公司 | 基于权限的应用管理方法、装置、计算设备及存储介质 |
| CN117034233B (zh) * | 2023-10-09 | 2024-01-23 | 统信软件技术有限公司 | 基于权限的应用管理方法、装置、计算设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112906028A (zh) | 访问控制方法、装置、电子设备及计算机可读存储介质 | |
| US10262149B2 (en) | Role access to information assets based on risk model | |
| US11032298B1 (en) | System and method for continuous collection, analysis and reporting of attack paths in a directory services environment | |
| US8402514B1 (en) | Hierarchy-aware role-based access control | |
| US20160292445A1 (en) | Context-based data classification | |
| CN107111626B (zh) | 用于租户的数据管理 | |
| US9323901B1 (en) | Data classification for digital rights management | |
| US11042646B2 (en) | Selecting data storage based on data and storage classifications | |
| JP2005031834A (ja) | データ配置に制限を設けるデータ処理方法、記憶領域制御方法、および、データ処理システム。 | |
| KR20080033376A (ko) | 듀얼 계층 액세스 제어 리스트 | |
| US11244040B2 (en) | Enforcement of password uniqueness | |
| JP2021516811A (ja) | データ匿名化 | |
| US9208332B2 (en) | Scoped resource authorization policies | |
| WO2017016616A1 (en) | Memory access control method and system | |
| US20220368702A1 (en) | System and method for continuous collection, analysis and reporting of attack paths choke points in a directory services environment | |
| CN113711220B (zh) | 控制对存储的数据的访问的方法和系统 | |
| US20230078044A1 (en) | System and method for continuous collection, analysis and reporting of attack paths choke points in a directory services environment | |
| US20230018820A1 (en) | Data security classification for storage systems using security level descriptors | |
| US11936655B2 (en) | Identification of permutations of permission groups having lowest scores | |
| CN111782911A (zh) | 文档管理方法、系统及电子设备 | |
| US11418393B1 (en) | Remediation of detected configuration violations | |
| US10810601B2 (en) | Legislation aware system | |
| US11650975B2 (en) | Online file system consistency check for container data on a clustered filesystem | |
| US20130046720A1 (en) | Domain based user mapping of objects | |
| US11176108B2 (en) | Data resolution among disparate data sources |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |