CN113190609A - 数据仓库管理方法及系统、装置、存储介质、电子设备 - Google Patents

数据仓库管理方法及系统、装置、存储介质、电子设备 Download PDF

Info

Publication number
CN113190609A
CN113190609A CN202110595160.5A CN202110595160A CN113190609A CN 113190609 A CN113190609 A CN 113190609A CN 202110595160 A CN202110595160 A CN 202110595160A CN 113190609 A CN113190609 A CN 113190609A
Authority
CN
China
Prior art keywords
data
request
authority
execution end
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110595160.5A
Other languages
English (en)
Other versions
CN113190609B (zh
Inventor
杨振
张得俊
陈海宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202110595160.5A priority Critical patent/CN113190609B/zh
Publication of CN113190609A publication Critical patent/CN113190609A/zh
Application granted granted Critical
Publication of CN113190609B publication Critical patent/CN113190609B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/283Multi-dimensional databases or data warehouses, e.g. MOLAP or ROLAP
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本公开提供一种数据仓库管理方法及系统、装置、电子设备和计算机可读介质;涉及计算机技术领域。该方法包括:获取数据操作请求,确定数据操作请求中所包含的角色类型;确定角色类型对应的操作组合权限,操作组合权限是由动态选择的至少一个基础操作权限组合生成;根据操作组合权限执行角色授权操作,生成角色类型对应的授权令牌;根据授权令牌与数据操作请求对数据仓库的数据进行数据管理操作。本公开可以定制化动态扩展不同角色类型用户的操作权限,方便地对用户的操作授权进行定制化管理和控制,有效地提升了数据仓库中数据的安全性。

Description

数据仓库管理方法及系统、装置、存储介质、电子设备
技术领域
本公开涉及计算机技术领域,具体而言,涉及一种数据仓库管理方法、数据仓库管理系统、数据仓库管理装置、电子设备以及计算机可读存储介质。
背景技术
Harbor是一款被广泛应用的开源容器镜像仓库的解决方案,它提供了一种基于角色的访问控制机制,支持在多个镜像仓库间的数据同步能力。
在Harbor的技术方案中,用户可以通过账户名与密码的方式进行用户身份认证;进而基于用户所在项目中的角色,进行用户操作授权。
在Harbor的访问控制机制中,一个用户能够以不同的角色来加入一个项目,从而获得对于该项目中镜像仓库的不同操作权限。同时,一个用户能够以不同的角色来加入多个项目,从而在多个项目中获得对于不同镜像仓库的不同操作权限。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种数据仓库管理方法、数据仓库管理系统、数据仓库管理装置、电子设备以及计算机可读存储介质,进而在一定程度上克服现有的镜像仓库解决方案存在用户操作授权不可动态扩展且无法控制用户对资源的操作次数的问题。
根据本公开的一个方面,提供一种数据仓库管理方法,包括:获取数据操作请求,确定数据操作请求中所包含的角色类型;确定角色类型对应的操作组合权限,操作组合权限是由动态选择的至少一个基础操作权限组合生成;根据操作组合权限执行角色授权操作,生成角色类型对应的授权令牌;根据授权令牌与数据操作请求对数据仓库的数据进行数据管理操作。
根据本公开的一个方面,提供一种数据仓库管理系统,包括:请求接收端,用于接收数据操作请求与权限管理请求;身份认证代理端,用于获取权限管理请求所包含的第一身份信息,以及获取数据操作请求所包含的第二身份信息;身份认证执行端,用于根据第一身份信息对权限管理请求进行身份验证操作,以进行用户权限调整操作;根据第二身份信息对数据操作请求进行身份验证操作,以执行角色授权操作并生成对应的授权令牌;数据操作代理端,用于获取通过身份验证操作的数据操作请求的请求内容,根据请求内容进行数据管理操作;数据操作执行端,用于根据请求内容对数据仓库的数据进行读写操作,将经过读写操作后的数据同步至待同步执行端;待同步执行端与数据操作执行端对应同一数据操作代理端。
根据本公开的一个方面,提供一种数据仓库管理装置,包括:角色类型确定模块,用于获取数据操作请求,确定数据操作请求中所包含的角色类型;权限确定模块,用于确定角色类型对应的操作组合权限,操作组合权限是由动态选择的至少一个基础操作权限组合生成;授权响应模块,用于根据操作组合权限执行角色授权操作,生成角色类型对应的授权令牌;数据管理模块,用于根据授权令牌与数据操作请求对数据仓库的数据进行数据管理操作。
在本公开的一种示例性实施例中,数据仓库管理装置还包括:权限管理请求接收模块,用于接收权限管理请求,确定权限管理请求中所包含的第一身份信息;权限管理请求根据作用于待调整用户的权限调整操作生成;第一身份验证模块,用于根据第一身份信息对权限管理请求进行身份验证操作,确定权限管理请求对应的角色类型是否为全权限用户;权限更新模块,用于如果权限管理请求对应的角色类型为全权限用户,则根据权限管理请求更新待调整用户的操作组合权限。
在本公开的一种示例性实施例中,权限更新模块被配置为:获取待调整用户的当前组合权限;根据权限操作请求确定待调整用户的最新组合权限;根据最新组合权限替换当前组合权限,以更新待调整用户的操作组合权限。
在本公开的一种示例性实施例中,数据仓库管理装置还包括请求生成模块,用于接收通过第一页面进行的数据管理操作,根据数据管理操作生成第一操作请求;第一操作请求为全权限用户对应的数据操作请求;接收通过第二页面输入的操作指令,根据操作指令生成第二操作请求;第二操作请求为限制权限用户对应的数据操作请求。
在本公开的一种示例性实施例中,数据仓库管理装置还包括数据管理操作模块,用于确定第一操作请求中所包含的第二身份信息;根据第二身份信息对第一操作请求进行身份验证操作,确定第一操作请求对应的角色类型是否为全权限用户;如果第一操作请求对应的角色类型为全权限用户,则根据第一操作请求进行数据管理操作。
在本公开的一种示例性实施例中,数据管理操作模块还包括数据操作单元,上述数据操作单元被配置为:基于第一操作请求获取数据操作执行端列表;数据操作执行端列表包括至少一数据操作执行端;根据数据操作执行端列表确定与第一操作请求对应的第一目标执行端,以通过第一目标执行端执行数据读写操作;确定数据读写操作对应的更新数据,通过第一目标执行端将更新数据同步至数据操作执行端列表中与第一目标执行端关联的数据操作执行端。
在本公开的一种示例性实施例中,授权响应模块包括授权响应单元,用于获取第二操作请求所包含的请求地址,根据请求地址判断第二操作请求是否为操作授权请求;如果第二操作请求是操作授权请求,则确定第二操作请求中所包含的第三身份信息;根据第三身份信息对第二操作请求进行身份验证操作,并确定身份验证结果;根据操作组合权限对身份验证结果为通过的第二操作请求进行角色授权操作。
在本公开的一种示例性实施例中,授权响应模块还包括令牌生成单元,用于根据身份验证结果为通过的第二操作请求获取数据操作执行端列表,数据操作执行端列表包括至少一数据操作执行端;根据操作组合权限从数据操作执行端列表确定与角色类型对应的第二目标执行端;获取第二目标执行端对应的第二执行端信息,以根据第二执行端信息生成授权令牌。
在本公开的一种示例性实施例中,令牌生成单元包括令牌生成子单元,用于根据第二执行端信息确定第二目标执行端对应的操作请求数据;根据操作请求数据对操作授权请求进行重写处理,以生成重写授权请求;根据重写授权请求生成授权令牌。
在本公开的一种示例性实施例中,数据管理模块包括请求重写单元,用于根据授权令牌对身份验证结果为通过的第二操作请求进行请求重写处理,以生成重写操作请求;执行端确定单元,用于根据重写操作请求从数据操作执行端列表中确定第二目标执行端,以通过第二目标执行端执行数据读写操作;数据同步单元,用于确定数据读写操作对应的更新数据,通过第二目标执行端将更新数据同步至数据操作执行端列表中与第二目标执行端关联的数据操作执行端。
在本公开的一种示例性实施例中,请求重写单元被配置为:根据授权令牌对角色授权操作的授权结果进行重写处理,得到重写授权结果;根据重写授权结果对身份验证结果为通过的第二操作请求进行请求重写操作,以得到重写操作请求,重写操作请求包含授权令牌。
根据本公开的一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的数据仓库管理方法。
根据本公开的一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的数据仓库管理方法。
根据本公开的一个方面,提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质中读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各个实施例中提供的数据仓库管理方法。
本公开示例性实施例可以具有以下部分或全部有益效果:
在本公开的一示例实施方式所提供的数据仓库管理方法中,获取数据操作请求,确定数据操作请求中所包含的角色类型;确定角色类型对应的操作组合权限,操作组合权限是由动态选择的至少一个基础操作权限组合生成;根据操作组合权限执行角色授权操作,生成角色类型对应的授权令牌;根据授权令牌与数据操作请求对数据仓库的数据进行数据管理操作。一方面,通过动态选择基础操作权限生成不同角色类型的操作组合权限,可以对各种不同角色类型的用户权限进行管理,确定不同用户对数据的操作权限。另一方面,根据数据操作请求生成对应的授权令牌,不同角色类型的用户可以根据授权令牌对数据仓库中的数据进行操作,提高了用户操作文件的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了可以应用本公开实施例的一种数据仓库管理方法及装置的示例性系统架构的示意图。
图2示出了适于用来实现本公开实施例的电子设备的计算机系统的结构示意图。
图3示意性示出了根据本公开的一个实施例的数据仓库管理方法的流程图。
图4示意性示出了根据本公开的一个实施例的全权限用户具有的用户权限的界面示意图。
图5示意性示出了根据本公开的一个实施例的开发人员具有的用户权限的界面示意图。
图6示意性示出了根据本公开的一个实施例的运维人员具有的用户权限的界面示意图。
图7示意性示出了根据本公开的一个实施例的测试人员具有的用户权限的界面示意图。
图8示意性示出了根据本公开的一个实施例的全权限用户通过界面进行用户权限管理和数据操作管理的数据交互图。
图9示意性示出了根据本公开的一个实施例的对限制权限用户进行镜像操作授权的数据交互图。
图10示意性示出了根据本公开的一个实施例的限制权限用户进行镜像数据请求的数据交互图。
图11示意性示出了根据本公开的一个实施例数据仓库管理装置的结构图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
区块链底层平台可以包括用户管理、基础服务、智能合约以及运营监控等处理模块。其中,用户管理模块负责所有区块链参与者的身份信息管理,包括维护公私钥生成(账户管理)、密钥管理以及用户真实身份和区块链地址对应关系维护(权限管理)等,并且在授权的情况下,监管和审计某些真实身份的交易情况,提供风险控制的规则配置(风控审计);基础服务模块部署在所有区块链节点设备上,用来验证业务请求的有效性,并对有效请求完成共识后记录到存储上,对于一个新的业务请求,基础服务先对接口适配解析和鉴权处理(接口适配),然后通过共识算法将业务信息加密(共识管理),在加密之后完整一致的传输至共享账本上(网络通信),并进行记录存储;智能合约模块负责合约的注册发行以及合约触发和合约执行,开发人员可以通过某种编程语言定义合约逻辑,发布到区块链上(合约注册),根据合约条款的逻辑,调用密钥或者其它的事件触发执行,完成合约逻辑,同时还提供对合约升级注销的功能;运营监控模块主要负责产品发布过程中的部署、配置的修改、合约设置、云适配以及产品运行中的实时状态的可视化输出,例如:告警、监控网络情况、监控节点设备健康状态等。
平台产品服务层提供典型应用的基本能力和实现框架,开发人员可以基于这些基本能力,叠加业务的特性,完成业务逻辑的区块链实现。应用服务层提供基于区块链方案的应用服务给业务参与方进行使用。
在本文中,需要理解的是,所涉及的术语,比如,镜像(Mirroring)是一种文件存储形式,是冗余的一种类型,一个磁盘上的数据在另一个磁盘上存在一个完全相同的副本即为镜像。镜像仓库可以是用于存储镜像文件的数据仓库。全流量代理可以是客户端与服务端之间的一个中间层,接收客户端发起的请求;对客户端的请求数据进行定制化的修改与重写,然后转发给服务端;服务端在收到修改与重写的请求数据后,进行实际的业务逻辑处理,返回特定的响应数据给中间层;作为中间层的全流量代理对服务端返回的响应数据进行定制化的修改与重写,最终作为本次请求的结果返回给客户端。对于客户端而言,作为中间层的全流量代理在功能上表现为一个正常的服务端;对于服务端而言,作为中间层的全流量代理在功能上表现为一个正常的客户端。全流量代理作为客户端与服务端之间的一个中间层,能够对客户端的请求与服务端的响应数据进行定制化的修改与重写,快速扩展服务端的已有功能。
图1示出了可以应用本公开实施例的一种数据仓库管理方法及装置的示例性应用环境的系统架构的示意图。
如图1所示,系统架构100可以包括终端设备101、102、103中的一个或多个,网络104,服务器105和数据仓库106。其中,数据仓库106可以设置于区块链中的区块链节点设备中。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。终端设备101、102、103可以是具有显示屏的各种电子设备,包括但不限于台式计算机、便携式计算机、智能手机和平板电脑等等。应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。比如服务器105可以是多个服务器组成的服务器集群等。
本公开实施例所提供的数据仓库管理方法一般由服务器105执行,相应地,数据仓库管理装置一般设置于服务器105中。但本领域技术人员容易理解的是,本公开实施例所提供的数据仓库管理方法也可以由终端设备101、102、103执行,相应的,数据仓库管理装置也可以设置于终端设备101、102、103中,本示例性实施例中对此不做特殊限定。举例而言,在一种示例性实施例中,可以是用户通过终端设备101、102、103将权限管理请求或数据操作请求上传至服务器105,服务器通过本公开实施例所提供的数据仓库管理方法将根据权限管理请求中请求内容更新相关用户的用户权限,以及根据数据操作请求中的请求内容对数据仓库106中的数据进行读写操作,并将对应的操作结果返回给终端设备101、102、103等。
图2示出了适于用来实现本公开实施例的电子设备的计算机系统的结构示意图。
需要说明的是,图2示出的电子设备的计算机系统200仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图2所示,计算机系统200包括中央处理单元(CPU)201,其可以根据存储在只读存储器(ROM)202中的程序或者从存储部分208加载到随机访问存储器(RAM)203中的程序而执行各种适当的动作和处理。在RAM 203中,还存储有系统操作所需的各种程序和数据。CPU201、ROM 202以及RAM 203通过总线204彼此相连。输入/输出(I/O)接口205也连接至总线204。
以下部件连接至I/O接口205:包括键盘、鼠标等的输入部分206;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分207;包括硬盘等的存储部分208;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分209。通信部分209经由诸如因特网的网络执行通信处理。驱动器210也根据需要连接至I/O接口205。可拆卸介质211,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器210上,以便于从其上读出的计算机程序根据需要被安装入存储部分208。
特别地,根据本公开的实施例,下文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分209从网络上被下载和安装,和/或从可拆卸介质211被安装。在该计算机程序被中央处理单元(CPU)201执行时,执行本申请的方法和装置中限定的各种功能。在一些实施例中,计算机系统200还可以包括AI(ArtificialIntelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
需要说明的是,本公开所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现如下述实施例中所述的方法。例如,所述的电子设备可以实现如图3、图8~图10所示的各个步骤等。
以下对本公开实施例的技术方案进行详细阐述:
在Harbor的访问控制机制中,一个用户能够以不同的角色来加入一个项目,从而获得对于该项目中镜像仓库的不同操作权限。同时,一个用户能够以不同的角色来加入多个项目,从而在多个项目中获得对于不同镜像仓库的不同操作权限。
比如,一个用户以“受限访客”或“访客”的角色来加入一个项目,那么该用户均能够拉取项目下的所有镜像。但是,当用户作为“受限访客”的角色加入项目时,不能够查看项目中的成员列表;反之,当用户作为“访客”的角色加入项目时,则能够查看项目中的成员列表。再比如,一个用户以“开发人员”或“维护人员”的角色来加入一个项目,那么该用户均能够推送或拉取这一项目下的所有镜像。但是,当用户作为“开发人员”的角色加入项目时,不能够编辑或删除镜像仓库;反之,当用户作为“维护人员”的角色加入项目时,则能够编辑或删除镜像仓库。
当用户在权限范围内进行操作时,Harbor将正常处理操作请求,执行相应的操作逻辑;当用户进行超出权限的操作时,Harbor将拒绝处理操作请求,返回相应的错误提示消息。比如,当一个用户在项目中的角色是“开发人员”时,该用户能够向所在项目推送镜像。但是,当一个用户在项目中的角色是“访客”时,该用户被拒绝向所在项目推送镜像。
然而,上述技术方案存在下述缺陷:
(1)用户身份认证存在安全性较弱、不可扩展的缺点。Harbor的技术方案通过账户名与密码的方式来进行用户身份认证。其中,账户名与密码的验证方式作为一种传统的静态用户身份认证方式,存在安全性较弱的风险。虽然Harbor对于账户名的密码强度存在一定的强度与字符规则要求,但是仍然存在密码破解或意外泄漏的风险。此外,在某些企业或部门内部镜像仓库的使用场景中,用户身份认证的过程需要适配企业或部门的内部身份认证机制。比如,用户在进行身份认证时,需要输入内部系统下发的动态口令,从而提高身份认证的安全性。再比如,用户在进行身份认证时,需要在特定的硬件设备进行本人的生物信息认证(比如面容识别、指纹识别等),从而完成用户身份认证。
(2)用户操作授权存在不可动态扩展的缺点。Harbor的技术方案通过在项目中预先定义多个角色,并将用户绑定到特定角色的方式,来控制用户对于项目中资源的操作授权。其中,Harbor预先定义了多个不同角色,但是角色具有的权限不可扩展或自行编辑,用户不能够精细地控制角色所属的权限。在对于权限具有定制化控制的应用场景中,用户需要自定义某个角色所具有的权限,动态扩展角色的数量以及所具有的权限,满足精细化权限控制需求。
(3)用户操作资源的次数不可进行控制。Harbor的技术方案在对用户操作进行授权后,用户能够对指定资源进行不限次数的相关操作。然而,在定制化的应用场景中,存在用户在被操作授权后,其操作指定资源的次数被要求进行控制的应用需求。比如,镜像仓库要求控制在一定时间段内,用户推送或拉取镜像仓库的次数,以避免可能出现的镜像数据泄露或系统运行异常的情况。
基于上述一个或多个问题,本示例实施方式提供了一种数据仓库管理方法。该数据仓库管理方法可以应用于上述服务器105,也可以应用于上述终端设备101、102、103中的一个或多个,本示例性实施例中对此不做特殊限定。参考图3所示,该数据仓库管理方法可以包括以下步骤S310至步骤S340:
步骤S310.获取数据操作请求,确定数据操作请求中所包含的角色类型。
在本公开的一种示例性实施例中,数据仓库可以是用于存储关键数据的仓库,关键数据可以是任意类型的数据,如代码文件、用户数据、镜像文件等。例如,关键数据可以是镜像文件,则数据仓库可以是镜像仓库。数据操作请求可以是根据用户针对数据仓库中的数据进行访问操作所生成的请求。角色类型可以是数据操作请求中所包含的用户所属的类型。角色类型可以包括全权限用户和限制权限用户(又称自定义用户组);其中,全权限用户可以是具有数据仓库中所有数据操作权限的用户,例如,全权限用户可以是管理员。限制权限用户可以是操作数据仓库的普通用户,例如,限制权限用户包括开发人员、运维人员和测试人员等。
获取针对数据仓库的数据操作请求,在获取到数据操作请求后,可以确定出数据操作请求中所包含的角色类型。通过角色类型可以确定出对数据仓库进行数据操作的具体用户类型,即确定发起数据操作请求的是全权限用户还是普通用户,如果是普通用户,具体是哪一种普通用户,以进一步确定角色类型对应的操作组合权限。
步骤S320.确定角色类型对应的操作组合权限,操作组合权限是由动态选择的至少一个基础操作权限组合生成。
在本公开的一种示例性实施例中,基础操作权限可以是根据数据仓库的数据特点进行抽象整理出的操作权限。对于数据仓库而言,用户针对数据仓库的基础操作权限可以包括编辑数据、查看数据、推送数据、获取数据等,在不同的实际场景中,可以确定出用户针对数据仓库中数据的操作频率,设置不同类型用户进行数据操作的所有基础操作权限。操作组合权限可以是角色类型针对数据仓库具有的具体数据操作权限,操作组合权限可以由一个或多个基础操作权限组合而成。
以镜像仓库为例,可以通过创建项目的方式管理一个项目中的镜像仓库,所有的镜像仓库必定唯一归属于特定的某个项目。为了便于不同角色类型的用户针对镜像仓库中的镜像数据进行数据操作,本公开采用基于角色的访问控制(Role-Based AccessControl,RBAC)的设计思想设置不同角色类型的用户对镜像仓库中的数据的操作权限。
首先,对镜像仓库使用过程中用户所需的基础操作权限进行梳理,确定出所有的基础操作权限。其次,可以确定操作镜像仓库的角色类型,例如,角色类型可以包括全权限用户和限制权限用户。举例而言,全权限用户可以是管理员,且具有针对镜像数据进行操作的所有基础操作权限。限制权限用户可以包括开发人员、运维人员和测试人员等。不同角色类型均可以对应一个用户组,例如,管理员、开发人员、运维人员和测试人员分别对应不同的用户组。管理员可以动态创建多个限制权限用户对应的用户组,确定不同用户组对应的操作组合权限,并将确定出的操作组合权限授予该用户组。然后,管理员可以将用户加入到相应的用户组,则该用户将获得所在用户组对应的操作组合权限。
参考图4,图4示意性示出了根据本公开的一个实施例的全权限用户具有的用户权限的界面示意图。图4中示出了用户针对镜像仓库的所有基础操作权限,基础操作权限可以包括用户对镜像的查看权限、操作次数等,如查看镜像、编辑镜像、拉取镜像(不限次)、拉取镜像(10次/小时)、拉取镜像(60次/小时)、推送镜像(不限次)、推送镜像(10次/小时)、推送镜像(60次/小时)、编辑成员、查看成员、编辑仓库和查看仓库等。管理员具有所有的基础操作权限,即管理员对应的操作组合权限可以是所有基础操作权限组合而成的。
对于限制权限用户,不同角色类型的用户具有不同的操作组合权限。参考图5,图5示意性示出了根据本公开的一个实施例的开发人员具有的用户权限的界面示意图。由图5可知,开发人员对应的操作组合权限包括查看镜像、推送镜像(60次/小时)和查看仓库。参考图6,图6示意性示出了根据本公开的一个实施例的运维人员具有的用户权限的界面示意图。由图6可知,运维人员对应的操作组合权限包括编辑镜像、查看镜像、拉取镜像(60次/小时)、编辑仓库和查看仓库。参考图7,图7示意性示出了根据本公开的一个实施例的测试人员具有的用户权限的界面示意图。由图7可知,测试人员对应的操作组合权限包括查看镜像、拉取镜像(10次/小时)和查看仓库。
在对不同用户组授予操作组合权限时,不同用户组之间的所包含的基础操作权限没有关联,不同用户组之间可以具有完全相同的基础操作权限,也可以具有完全不同的基础操作权限。此外,一个用户可以被加入一个项目下的多个用户组,从而获得多个用户组所授予的基础权限的并集。例如,当一个用户既处于“开发人员”用户组又处于“测试人员”用户组时,该用户对应的操作组合权限包括查看镜像、推送镜像(60次/小时)、拉取镜像(10次/小时)和查看仓库。通过这种方式,可以动态扩展用户操作授权的范围,支持对不同角色类型的用户的镜像操作次数的定制化控制,满足精细化权限控制需求。
步骤S330.根据操作组合权限执行角色授权操作,生成角色类型对应的授权令牌。
在本公开的一种示例性实施例中,角色授权操作可以是根据数据操作请求中所包含的角色类型对应的操作组合权限对该角色类型的用户进行授权操作的过程。授权令牌(token)可以用于表示数据操作请求中所包含的角色类型的用户在数据仓库中的特定数据具有的操作权限,根据授权令牌可以确定特定用户组的用户针对数据仓库中的特定数据的操作权限。
当某一特定角色类型的用户通过客户端进行数据操作请求时,在确定出该角色类型的用户对应的操作组合权限后,数据仓库对应的服务器可以根据确定出的操作组合权限生成对应的授权令牌(即token),并将此token返回给客户端,后续过程中,该用户通过客户端再次进行数据操作请求时,客户端只需带上这个token向数据仓库中请求数据即可,无需再次带上用户名和密码。
举例而言,当数据操作请求中包含的角色类型是管理员时,由于管理员对应的操作组合权限可以是所有基础操作权限组合而成的,因此,管理员对应的授权令牌指示管理员可以对镜像仓库中的所有数据进行操作。当数据操作请求中包含的角色类型是开发人员时,由于开发人员对应的操作组合权限是查看镜像、推送镜像(60次/小时)和查看仓库。因此,开发人员对应的授权令牌指示开发人员可以查看镜像仓库中的镜像文件,并按照每小时60次的频率向镜像仓库中推送镜像文件,同时可以查看镜像仓库。
步骤S340.根据授权令牌与数据操作请求对数据仓库的数据进行数据管理操作。
在本公开的一种示例性实施例中,数据管理操作可以是用户针对数据仓库中的数据进行的读写操作。例如,数据管理操作可以包括对数据仓库中的数据进行查看操作、创建操作、修改操作、删除操作等等。
在生成角色类型的用户对应的授权令牌后,可以根据授权令牌对数据操作请求进行重写操作,以根据重写后的数据操作请求对数据仓库的数据进行数据管理操作。例如,当数据操作请求为开发人员对镜像仓库中的某一镜像文件的删除操作时,根据数据操作请求生成开发人员对应的授权令牌,根据授权令牌对数据操作请求进行重写后,根据重写后的数据操作请求可以删除镜像仓库中的特定镜像文件。由于管理员具有所有的基础操作权限,管理员对数据仓库中的所有数据均具有操作权限,因此,根据管理员对应的授权令牌可以操作数据仓库中的所有数据。
在本示例实施方式所提供的数据仓库管理方法中,获取数据操作请求,并确定数据操作请求中所包含的角色类型;确定角色类型对应的操作组合权限;操作组合权限是由动态选择的至少一个基础操作权限组合生成;根据操作组合权限执行角色授权操作,并生成角色类型对应的授权令牌;根据授权令牌与数据操作请求对数据仓库的数据进行数据管理操作。一方面,通过动态选择基础操作权限生成不同角色类型的操作组合权限,可以对各种不同角色类型的用户权限进行管理,确定不同用户对数据的操作权限。另一方面,根据数据操作请求生成对应的授权令牌,不同角色类型的用户可以根据授权令牌对数据仓库中的数据进行操作,提高了用户操作文件的安全性。
下面,对于本示例实施方式的上述步骤S310~S340进行更加详细的说明,本公开将以镜像仓库为例对上述步骤进行更详细的说明。
在本公开的一种示例性实施例中,接收权限管理请求,确定权限管理请求中所包含的第一身份信息;权限管理请求根据作用于待调整用户的权限调整操作生成;根据第一身份信息对权限管理请求进行身份验证操作,确定权限管理请求对应的角色类型是否为全权限用户;如果权限管理请求对应的角色类型为全权限用户,则根据权限管理请求更新待调整用户的操作组合权限。
其中,权限管理请求可以是数据仓库中的全权限用户对其他角色类型的用户的操作组合权限进行管理操作所生成的请求。第一身份信息可以是发起权限管理请求的用户对应的身份信息。待调整用户可以是权限调整操作所作用的用户。权限调整操作可以是对待调整用户的操作组合权限进行权限调整的操作。身份验证操作可以是对权限管理请求中所包含的第一身份信息进行身份信息验证的操作,用于判断发起权限管理请求的用户是否为全权限用户。
本公开提供了对镜像仓库的全流量代理方案,可以对镜像仓库中的用户身份验证、用户操作授权和数据管理操作(即镜像推送与拉取的操作)进行控制。具体的,管理员可以通过可视化界面管理相关的项目、创建多种不同角色类型(即自定义的用户组)并管理不同角色类型的操作组合权限、管理每个角色类型所包含的用户、管理项目中的镜像仓库数据等。例如,管理员可以编辑不同角色类型的用户的操作组合权限,包括对用户组的操作以及用户组所包含的用户的操作。
参考图8,图8示意性示出了根据本公开的一个实施例的全权限用户通过界面进行用户权限管理和数据操作管理的数据交互图。当管理员对自定义用户组的操作组合权限进行权限管理操作时,管理员可以通过网页页面(web页面)编辑待调整用户的操作组合权限,包括调整某一特定用户组的操作组合权限以及调整待调整用户所处的用户组。
前端页面在接收到权限管理操作后,可以根据权限管理操作生成对应的权限管理请求,并将权限管理请求发送到身份认证代理端(auth-admin)进行身份验证操作。身份认证代理端可以提取权限管理请求中所包含的第一身份信息,并将第一身份信息发送至身份认证执行端(auth-backend)进行身份验证操作,身份认证代理端可以校验本次发起权限管理请求的操作用户是否为管理员。如果本次权限管理请求的操作用户不是管理员,则本次权限管理请求为越权请求,将拒绝相关请求中对于自定义用户组的编辑操作。如果本次权限管理请求的操作用户是管理员,则身份认证代理端根据权限管理请求对待调整用户的操作组合权限进行更新操作,进行编辑权限和校验权限的操作。
在本公开的一种示例性实施例中,获取待调整用户的当前组合权限;根据权限操作请求确定待调整用户的最新组合权限;根据最新组合权限替换当前组合权限,以更新待调整用户的操作组合权限。
其中,当前组合权限可以是管理员在进行权限管理操作之前,待调整用户所对应的操作组合权限。最新组合权限可以管理员基于权限管理操作确定的待调整用户最新对应的操作组合权限。
当管理员对开发人员用户组的操作组合权限进行调整时,可以通过网页页面进行权限调整操作,通过添加或取消权限列表中的基础操作权限,增加或删减待调整用户的操作组合权限中的基础操作权限。在接收到权限管理请求时,可以先确定待调整用户对应的当前组合权限,并根据权限管理请求确定待调整用户对应的最新组合权限,采用最新组合权限替换当前组合权限,以对待调整用户的操作组合权限进行更新操作。
本公开通过扩展基础操作权限的方式,对用户操作资源的次数进行控制。例如,可以根据具体应用需求设置用户拉取或推送镜像文件的次数,可以设置用户拉取镜像的次数为不限次、10次/小时或60次/小时等。通过扩展定义不同操作次数限制的推送镜像与拉取镜像的基础操作权限,并将相关基础操作权限授予特定的用户组的方式,可以有效地控制用户组中的用户在一定时间段内操作资源的次数。
在本公开的一种示例性实施例中,接收通过第一页面进行的数据管理操作,根据数据管理操作生成第一操作请求;第一操作请求为全权限用户对应的数据操作请求;接收通过第二页面输入的操作指令,根据操作指令生成第二操作请求;第二操作请求为限制权限用户对应的数据操作请求。
其中,第一页面可以是用于接收全权限用户的用户操作的页面,例如,第一页面可以是网页页面。数据管理操作可以是全权限用户通过第一页面对数据仓库的数据进行管理的用户操作。第一操作请求可以是根据第一页面中的数据管理操作所生成的请求。第二页面可以是用于接收限制权限用户的用户操作的页面,例如,第二页面可以是命令行界面。操作指令可以是用户对数据仓库中的数据进行数据管理所对应的指令。第二操作请求可以是根据第二页面中的数据管理操作所生成的请求。
当管理员通过web页面进行数据管理操作时,可以基于该数据管理操作生成第一操作请求。如当管理员通过web页面对镜像仓库中的镜像文件进行查看操作、创建操作、修改操作或删除操作时,可以根据这些数据管理操作生成第一操作请求。当限制权限用户通过命令行界面输入操作指令以对数据仓库中的数据进行数据管理操作时,可以根据用户输入的操作指令生成对应的第二操作请求。例如,当开发人员对镜像仓库中的数据进行数据操作时,可以通过命令行界面输入标准的应用容器引擎指令(docker指令),如login指令、push指令、pull指令等等,根据输入的操作指令生成第二操作请求。
在本公开的一种示例性实施例中,确定第一操作请求中所包含的第二身份信息;根据第二身份信息对第一操作请求进行身份验证操作,确定第一操作请求对应的角色类型是否为全权限用户;如果第一操作请求对应的角色类型为全权限用户,则根据第一操作请求进行数据管理操作。
其中,第二身份信息可以是发起第一操作请求的用户对应的身份信息。
继续参考图8,管理员通过web页面编辑项目中的镜像仓库时,如对镜像仓库的创建、查看、删除操作,前端页面将根据管理员的数据管理操作生成第一操作请求,并将第一操作请求被发送到身份认证代理端进行身份验证操作。与管理员编辑自定义用户组类似,身份认证代理端提取请求中的身份参数,身份认证执行端进行身份认证,身份认证代理端在接收到第一数据请求时,可以获取第一操作请求中包含的第二身份信息,检查第一数据请求对应的操作用户是否为管理员。如果第一数据请求对应的操作用户不是管理员,则本次请求为越权请求,将拒绝相关请求中对于项目中镜像仓库的编辑操作。如果第一数据请求对应的操作用户是管理员,身份认证代理端将开始根据第一数据请求执行镜像管理操作。
在本公开的一种示例性实施例中,基于第一操作请求获取数据操作执行端列表;数据操作执行端列表包括至少一数据操作执行端;根据数据操作执行端列表确定与第一操作请求对应的第一目标执行端,以通过第一目标执行端执行数据读写操作;确定数据读写操作对应的更新数据,通过第一目标执行端将更新数据同步至数据操作执行端列表中与第一目标执行端关联的数据操作执行端。
其中,数据操作执行端列表可以是由至少一数据操作执行端的相关信息组成的列表。数据操作执行端可以是实际执行镜像托管和分发、镜像查看与管理能力的操作端。第一目标执行端可以是执行第一操作请求中的相关数据读写操作的执行端。更新数据可以是基于第一操作请求对应的数据读写操作所对应的发生变化的镜像数据。第一关联执行端可以是与第一目标执行端相关联的数据操作执行端。
继续参考图8,当第一操作请求的身份验证操作通过后,针对镜像仓库的第一操作请求将被发送到数据操作代理端(registry-proxy),收到请求的数据操作代理端通过访问身份认证代理端查询数据操作执行端列表,即多个镜像仓库后端的列表,并依据负载均衡进行调度,计算本次镜像管理操作的实际执行后端,即第一目标执行端。接收到第一操作请求的数据操作代理端将镜像管理操作适配不同仓库后端的实现,将适配后的第一操作请求发往通过负载均衡确定的第一目标执行端。收到操作请求的第一目标执行端将执行实际的镜像管理操作,并将操作数据同步至数据操作执行端列表中的其它相关的第一关联执行端。最后,数据操作代理端将第一目标执行端执行镜像操作的结果返回至身份认证代理端,并由身份认证代理端将操作结果返回至前端页面,以供管理员查看与确认。
具体的,确定第一目标执行端的方法可以包括就近访问原则、轮询调度(Round-Robin)算法、加权轮询调度(Weight Round-Robin)算法、最小连接调度(Least-ConnectionScheduling,LC)算法、加权最小连接调度(Weight Least-Connection Scheduling,WLC)算法、源地址散列调度(Source Hash Scheduling,DH)算法、目标地址散列调度(DestinationHash Scheduling,DH)算法、基于局部性的最少链接调度(Locality-Based LeastConnections Scheduling,LBLC)算法等等。
以就近访问原则为例,某部门在A地区与B地区分别部署有数据中心,一种简单确定第一目标执行端的方法就是依据就近访问的原则,将请求负载均衡到距离用户较近的一个数据中心,从而降低数据传输的延迟、提升数据传输的速度。此外,对于镜像管理的写操作(比如创建、修改、删除操作),多个相关的第一关联执行端之间将发生数据同步,从而确保多个第一关联执行端的数据一致性。
在本公开的一种示例性实施例中,获取第二操作请求所包含的请求地址,根据请求地址判断第二操作请求是否为操作授权请求;如果第二操作请求是操作授权请求,则确定第二操作请求中所包含的第三身份信息;根据第三身份信息对第二操作请求进行身份验证操作,并确定身份验证结果;根据操作组合权限对身份验证结果为通过的第二操作请求进行角色授权操作。
其中,请求地址可以是第二操作请求中所包含的服务地址。操作授权请求可以是限制权限用户想要获取镜像仓库中的镜像的操作授权所对应生成的请求。第三身份信息可以是发起第二操作请求的用户对应的身份信息。身份验证结果可以是对第三身份信息进行身份验证操作所得到的结果。角色授权操作可以是与操作授权请求对应的授权响应操作。
在本公开中,限制权限用户可以通过在命令行界面中输入操作指令,如docker指令,通过标准的docker指令对镜像仓库中的镜像进行推送或拉取操作时,首先需要进行镜像操作授权,即完成用户身份认证与用户操作授权,获取进行后续操作的授权令牌(即授权token),进而进行后续操作。
参考图9,图9示意性示出了根据本公开的一个实施例的对限制权限用户进行镜像操作授权的数据交互图。在图9中,限制权限用户可以通过命令行界面发起docker指令对镜像仓库中的镜像进行操作,生成第二操作请求,第二操作请求被发送到指令接收端(cli-proxy)进行统一的请求接入。指令接收端可以根据接收到的第二操作请求中的请求地址(即请求数据中的服务地址),根据第二操作请求中的请求地址判断本次请求是否为镜像操作授权,如果本次请求是操作授权请求,则把第二操作请求转发到身份认证代理端。例如,当请求地址为“-12token镜像仓库地址”格式的地址时,则认为第二操作请求为镜像操作授权请求。
身份认证代理端在接收到转发的操作授权请求后,提取操作授权请求中所包含的第三身份信息,并将第三身份信息发送到身份认证执行端进行实际的身份验证操作,并确定身份验证操作对应的身份验证结果。如果身份验证结果为通过,身份认证代理端将依据管理员在相关项目中配置的自定义用户组的操作组合权限,对本次镜像操作的进行操作授权,即对身份验证结果为通过的第二操作请求进行角色授权操作。如果操作授权通过,则请求接收端可以将镜像操作授权的请求进一步地转发给数据操作代理端,以通过数据操作代理端执行角色授权操作。
在本公开的一种示例性实施例中,根据身份验证结果为通过的第二操作请求获取数据操作执行端列表,数据操作执行端列表包括至少一数据操作执行端;根据操作组合权限从数据操作执行端列表确定与角色类型对应的第二目标执行端;获取第二目标执行端对应的第二执行端信息,以根据第二执行端信息生成授权令牌。
其中,第二目标执行端可以是执行第二操作请求对应的相关数据读写操作的执行端。第二执行端信息可以是第二目标执行端的相关信息。
继续参考图9,接收到身份验证结果为通过的第二操作请求的数据操作代理端可以通过访问身份认证代理端查询数据操作执行端列表;其中,数据操作执行端列表中可以包括一个或多个数据操作执行端。数据操作代理端通过查询数据操作执行端列表并依据负载均衡进行调度,计算本次镜像操作的实际执行后端,即第二目标执行端。在确定出第二目标执行端后,可以获取第二目标执行端对应的第二执行端信息,以根据第二执行端信息生成本次镜像操作授权的授权令牌。
在本公开的一种示例性实施例中,根据第二执行端信息确定第二目标执行端对应的操作请求数据;根据操作请求数据对操作授权请求进行重写处理,以生成重写授权请求;根据重写授权请求生成授权令牌。
其中,操作请求数据可以是根据负载均衡调度设置的第二目标执行端的相关请求数据。重写处理可以是数据操作代理端对操作授权请求进行重写操作的处理过程。重写授权请求可以是数据操作代理端对操作授权请求进行重写处理后生成的请求。
继续参考图9,数据操作代理端可以对镜像操作授权的请求进行重写,设置负载均衡调度所得的第二目标执行端对应的相关请求数据。收到镜像操作授权请求的第二目标执行端执行实际的授权操作,生成本次操作的授权令牌(授权token),并由数据操作代理端和指令接收端进行相关的响应重写处理后返回至用户的docker服务。
在本公开的一种示例性实施例中,根据授权令牌对身份验证结果为通过的第二操作请求进行请求重写处理,以生成重写操作请求;根据重写操作请求从数据操作执行端列表中确定第二目标执行端,以通过第二目标执行端执行数据读写操作;确定数据读写操作对应的更新数据,通过第二目标执行端将更新数据同步至数据操作执行端列表中与第二目标执行端关联的数据操作执行端。
其中,请求重写处理可以是对数据操作请求进行重写操作的处理过程。重写操作请求可以对限制权限用户的数据操作请求进行重写处理后生成的操作请求。第二目标执行端可以是实际执行重写操作请求的数据操作执行端。数据读写操作可以是通过第二目标执行端对镜像仓库中的镜像进行的读写操作。更新数据可以是与第二目标执行端进行数据读写操作所对应的发生变化的镜像数据。与第二目标执行端关联的数据操作执行端可以是与第二目标执行端相关的数据操作执行端,这些数据执行端之间的数据需要保持同步。
在生成授权令牌后,可以根据授权令牌对身份验证结果为通过的第二操作请求进行请求重写处理,生成对应的重写操作请求。重写操作请求的生成过程如下。
在本公开的一种示例性实施例中,根据授权令牌对角色授权操作的授权结果进行重写处理,得到重写授权结果;根据重写授权结果对身份验证结果为通过的第二操作请求进行请求重写操作,以得到重写操作请求,重写操作请求包含授权令牌。
其中,角色授权操作的授权结果可以是执行角色授权操作后返回的授权响应结果。重写授权结果可以是根据授权令牌对角色授权操作的授权结果进行重写处理后得到的授权结果,重写授权结果可以用于返回给用户的docker服务。
继续参考图9,在数据操作执行端生成授权令牌后,可以将生成的授权令牌发送至数据操作代理端,数据操作代理端可以根据收到的授权令牌对角色授权操作的授权结果进行重写处理,生成重写授权结果,并将重写授权结果发送至请求接收端。请求接收端可以根据重写授权结果对身份验证结果为通过的第二操作请求进行请求重写处理,得到重写操作请求;其中,重写操作请求中包含授权令牌。在得到包含授权令牌的重写操作请求后,可以根据重写操作请求对镜像仓库中的镜像进行管理操作。也就是说,在完成镜像操作授权后,用户的docker服务将开始进行镜像的推送与拉取操作,将本地的镜像数据上传到远端的镜像仓库,或者将远端的镜像仓库的镜像数据下载到本地。
参考图10,图10示意性示出了根据本公开的一个实施例的限制权限用户进行镜像数据请求的数据交互图。当用户通过命令行界面发起docker指令操作时,该指令操作的相关请求被发送到指令接收端进行统一的请求接入。指令接收端可以根据请求数据中的服务地址,判断本次请求为镜像操作请求,该镜像操作请求中带有镜像操作授权的授权令牌,从而把带有授权token的请求转发到数据操作代理端。
数据操作代理端在接收到带有授权token的重写操作请求后,可以通过访问身份验证代理端查询多个仓库的数据操作执行端列表,依据负载均衡并结合授权token计算生成授权token的第二目标执行端,第二目标执行端应与第二目标执行端为同一数据操作执行端,从而将重写后的镜像操作请求发往该数据操作执行端。
需要说明的是,一次完整的镜像操作需要具备会话保持能力。即,在一次完整的镜像操作过程中,镜像操作授权与镜像操作请求将被发往同一个数据操作执行端,从而确保一次镜像操作的数据完整性。
在通过第二目标执行端进行数据读写操作时,可以确定出数据读写操作对应的更新数据,以便通过第二目标执行端将更新数据同步至执行端列表中与第二目标执行端关联的数据操作执行端。举例而言,对于镜像的推送操作,第二目标执行端以及与第二目标执行端关联的数据操作执行端之间将发生数据同步,从而确保多个数据操作执行端的数据一致性。
最后,收到镜像操作请求的数据操作执行端在完成相关镜像操作时,由数据操作代理端和指令接收端进行相关的响应重写后,返回至用户的docker服务。
应当注意,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
本示例实施方式中,还提供了一种数据仓库管理系统。该数据仓库管理系统可以包括请求接收端、身份认证代理端、身份认证执行端、数据操作代理端以及数据操作执行端。其中:
请求接收端,用于接收数据操作请求与权限管理请求。请求接收端,即cli-proxy,可以提供统一的接入服务,cli-proxy将限制权限用户(即一般用户)通过命令行界面发起的docker指令,依据请求数据中不同的服务地址,转发到身份认证代理端进行用户身份认证与操作授权,或者转发到数据操作代理端进行镜像操作。
身份认证代理端,用于获取权限管理请求所包含的第一身份信息,以及获取数据操作请求所包含的第二身份信息。身份认证代理端,即auth-admin,可以提供统一的身份认证与操作授权服务。一方面,auth-admin可以依据具体需求对接不同的身份认证执行端,能够动态扩展地对接不同的用户身份认证方式。另一方面,auth-admin依据管理员的用户组配置信息,动态扩展地管理不同用户组所具有的基础权限,并对用户的操作进行授权。
身份认证执行端,用于根据第一身份信息对权限管理请求进行身份验证操作,以进行用户权限调整操作;根据第二身份信息对数据操作请求进行身份验证操作,以执行角色授权操作并生成对应的授权令牌。身份认证执行端,即auth-backend,可以提供具体的用户身份认证能力。依据具体需求的不同,实现预先定义的标准化认证接口后,即可与auth-admin适配对接,从而提供定制化的用户身份认证能力。
具体的,身份认证执行端可以负责实现具体的用户身份认证,适配企业或部门的内部身份认证机制,解决用户身份认证存在安全性较弱、不可扩展的缺点。例如,身份认证执行端可以支持多种身份信息的身份验证操作。包括支持采用静态账户+静态密码、静态账户+动态密码以及身份认证代理端负责实现基于RBAC的用户组权限管理,解决用户操作授权存在不可动态扩展、用户操作资源的次数不可进行控制的缺点。
数据操作代理端,用于获取通过身份验证操作的数据操作请求的请求内容,根据请求内容进行数据管理操作。数据操作代理端,即registry-proxy,可以提供对多个以及不同类型registry-backend的服务能力抽象。通过负载均衡的方式,从多个registry-backend从选择调度某个registry-backend进行实际操作;通过重写请求与响应的方式,屏蔽不同registry-backend服务类型的细节差异,提供一致的镜像托管与分发、镜像查看与管理能力。
数据操作执行端,用于根据请求内容对数据仓库的数据进行读写操作,将经过读写操作后的数据同步至待同步执行端;待同步执行端与数据操作执行端对应同一数据操作代理端。待同步执行端可以是目标执行端进行数据同步操作的数据操作执行端。数据操作执行端registry-backend,可以提供实际的镜像托管与分发、镜像查看与管理能力。例如,数据操作执行端的实现可以是开源的Harbor服务,也可以是某种自研的镜像仓库服务。其中,不同类型的registry-backend可以具有定制化的镜像同步服务、服务容灾等措施,提供高可靠、异地容灾的底层镜像数据存储能力。此外,当存在多个registry-backend时,要求多个registry-backend之间能够进行数据同步服务,提升其故障容灾和镜像分发能力。
进一步的,本示例实施方式中,还提供了一种数据仓库管理装置。该数据仓库管理装置可以应用于一服务器或终端设备。参考图11所示,该数据仓库管理装置1100可以包括角色类型确定模块1110、权限确定模块1120、授权响应模块1130以及数据管理模块1140。其中:
角色类型确定模块1110,用于获取数据操作请求,确定数据操作请求中所包含的角色类型;权限确定模块1120,用于确定角色类型对应的操作组合权限,操作组合权限是由动态选择的至少一个基础操作权限组合生成;授权响应模块1130,用于根据操作组合权限执行角色授权操作,生成角色类型对应的授权令牌;数据管理模块1140,用于根据授权令牌与数据操作请求对数据仓库的数据进行数据管理操作。
在本公开的一种示例性实施例中,数据仓库管理装置还包括:权限管理请求接收模块,用于接收权限管理请求,确定权限管理请求中所包含的第一身份信息;权限管理请求根据作用于待调整用户的权限调整操作生成;第一身份验证模块,用于根据第一身份信息对权限管理请求进行身份验证操作,确定权限管理请求对应的角色类型是否为全权限用户;权限更新模块,用于如果权限管理请求对应的角色类型为全权限用户,则根据权限管理请求更新待调整用户的操作组合权限。
在本公开的一种示例性实施例中,权限更新模块被配置为:获取待调整用户的当前组合权限;根据权限操作请求确定待调整用户的最新组合权限;根据最新组合权限替换当前组合权限,以更新待调整用户的操作组合权限。
在本公开的一种示例性实施例中,数据仓库管理装置还包括请求生成模块,用于接收通过第一页面进行的数据管理操作,根据数据管理操作生成第一操作请求;第一操作请求为全权限用户对应的数据操作请求;接收通过第二页面输入的操作指令,根据操作指令生成第二操作请求;第二操作请求为限制权限用户对应的数据操作请求。
在本公开的一种示例性实施例中,数据仓库管理装置还包括数据管理操作模块,用于确定第一操作请求中所包含的第二身份信息;根据第二身份信息对第一操作请求进行身份验证操作,确定第一操作请求对应的角色类型是否为全权限用户;如果第一操作请求对应的角色类型为全权限用户,则根据第一操作请求进行数据管理操作。
在本公开的一种示例性实施例中,数据管理操作模块还包括数据操作单元,上述数据操作单元被配置为:基于第一操作请求获取数据操作执行端列表;数据操作执行端列表包括至少一数据操作执行端;根据数据操作执行端列表确定与第一操作请求对应的第一目标执行端,以通过第一目标执行端执行数据读写操作;确定数据读写操作对应的更新数据,通过第一目标执行端将更新数据同步至数据操作执行端列表中与第一目标执行端关联的数据操作执行端。
在本公开的一种示例性实施例中,授权响应模块包括授权响应单元,用于获取第二操作请求所包含的请求地址,根据请求地址判断第二操作请求是否为操作授权请求;如果第二操作请求是操作授权请求,则确定第二操作请求中所包含的第三身份信息;根据第三身份信息对第二操作请求进行身份验证操作,并确定身份验证结果;根据操作组合权限对身份验证结果为通过的第二操作请求执行角色授权操作。
在本公开的一种示例性实施例中,授权响应模块还包括令牌生成单元,用于根据身份验证结果为通过的第二操作请求获取数据操作执行端列表;数据操作执行端列表包括至少一数据操作执行端;根据操作组合权限从数据操作执行端列表确定与角色类型对应的第二目标执行端;获取第二目标执行端对应的第二执行端信息,以根据第二执行端信息生成授权令牌。
在本公开的一种示例性实施例中,令牌生成单元包括令牌生成子单元,用于根据第二执行端信息确定第二目标执行端对应的操作请求数据;根据操作请求数据对操作授权请求进行重写处理,以生成重写授权请求;根据重写授权请求生成授权令牌。
在本公开的一种示例性实施例中,数据管理模块包括请求重写单元,用于根据授权令牌对身份验证结果为通过的第二操作请求进行请求重写处理,以生成重写操作请求;执行端确定单元,用于根据重写操作请求从数据操作执行端列表中确定第二目标执行端,以通过第二目标执行端执行数据读写操作;数据同步单元,用于确定数据读写操作对应的更新数据,通过第二目标执行端将更新数据同步至数据操作执行端列表中与第二目标执行端关联的数据操作执行端。
在本公开的一种示例性实施例中,请求重写单元被配置为:根据授权令牌对角色授权操作的授权结果进行重写处理,得到重写授权结果;根据重写授权结果对身份验证结果为通过的第二操作请求进行请求重写操作,以得到重写操作请求,重写操作请求包含授权令牌。
上述数据仓库管理装置中各模块或单元的具体细节已经在对应的数据仓库管理方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

Claims (15)

1.一种数据仓库管理方法,其特征在于,包括:
获取数据操作请求,确定所述数据操作请求中所包含的角色类型;
确定所述角色类型对应的操作组合权限,所述操作组合权限是由动态选择的至少一个基础操作权限组合生成;
根据所述操作组合权限执行角色授权操作,生成所述角色类型对应的授权令牌;
根据所述授权令牌与所述数据操作请求对所述数据仓库的数据进行数据管理操作。
2.根据权利要求1所述的方法,其特征在于,所述角色类型包括全权限用户,所述方法还包括:
接收权限管理请求,确定所述权限管理请求中所包含的第一身份信息;所述权限管理请求根据作用于待调整用户的权限调整操作生成;
根据所述第一身份信息对所述权限管理请求进行身份验证操作,确定所述权限管理请求对应的角色类型是否为全权限用户;
如果所述权限管理请求对应的角色类型为全权限用户,则根据所述权限管理请求更新所述待调整用户的操作组合权限。
3.根据权利要求2所述的方法,其特征在于,所述根据所述权限管理请求更新所述待调整用户的操作组合权限,包括:
获取所述待调整用户的当前组合权限;
根据所述权限操作请求确定所述待调整用户的最新组合权限;
根据所述最新组合权限替换所述当前组合权限,以更新所述待调整用户的操作组合权限。
4.根据权利要求1所述的方法,其特征在于,所述数据操作请求包含第一操作请求和第二操作请求,在所述获取数据操作请求之前,所述方法还包括:
接收通过第一页面进行的数据管理操作,根据所述数据管理操作生成所述第一操作请求;所述第一操作请求为全权限用户对应的数据操作请求;
接收通过第二页面输入的操作指令,根据所述操作指令生成所述第二操作请求;所述第二操作请求为限制权限用户对应的数据操作请求。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
确定所述第一操作请求中所包含的第二身份信息;
根据所述第二身份信息对所述第一操作请求进行身份验证操作,确定所述第一操作请求对应的角色类型是否为全权限用户;
如果所述第一操作请求对应的角色类型为全权限用户,则根据所述第一操作请求进行数据管理操作。
6.根据权利要求5所述的方法,其特征在于,所述根据所述第一操作请求进行数据管理操作,包括:
基于所述第一操作请求获取数据操作执行端列表;所述数据操作执行端列表包括至少一数据操作执行端;
根据所述数据操作执行端列表确定与所述第一操作请求对应的第一目标执行端,以通过所述第一目标执行端执行数据读写操作;
确定所述数据读写操作对应的更新数据,通过所述第一目标执行端将所述更新数据同步至所述数据操作执行端列表中与所述第一目标执行端关联的数据操作执行端。
7.根据权利要求1所述的方法,其特征在于,所述数据操作请求为第二操作请求,所述根据所述操作组合权限执行角色授权操作,包括:
获取所述第二操作请求所包含的请求地址,根据所述请求地址判断所述第二操作请求是否为操作授权请求;
如果所述第二操作请求是所述操作授权请求,则确定所述第二操作请求中所包含的第三身份信息;
根据所述第三身份信息对所述第二操作请求进行身份验证操作,并确定身份验证结果;
根据所述操作组合权限对所述身份验证结果为通过的第二操作请求进行角色授权操作。
8.根据权利要求7所述的方法,其特征在于,所述生成所述角色类型对应的授权令牌,包括:
根据所述身份验证结果为通过的第二操作请求获取数据操作执行端列表,所述数据操作执行端列表包括至少一数据操作执行端;
根据所述操作组合权限从所述数据操作执行端列表确定与所述角色类型对应的第二目标执行端;
获取所述第二目标执行端对应的第二执行端信息,以根据所述第二执行端信息生成所述授权令牌。
9.根据权利要求8所述的方法,其特征在于,所述获取所述第二目标执行端对应的第二执行端信息,以根据所述第二执行端信息生成所述授权令牌,包括:
根据所述第二执行端信息确定所述第二目标执行端对应的操作请求数据;
根据所述操作请求数据对操作授权请求进行重写处理,以生成重写授权请求;
根据所述重写授权请求生成所述授权令牌。
10.根据权利要求1所述的方法,其特征在于,所述数据操作请求包括身份验证结果为通过的第二操作请求,所述根据所述授权令牌与所述数据操作请求对所述数据仓库的数据进行数据管理操作,包括:
根据所述授权令牌对所述身份验证结果为通过的第二操作请求进行请求重写处理,以生成重写操作请求;
根据所述重写操作请求从数据操作执行端列表中确定第二目标执行端,以通过所述第二目标执行端执行数据读写操作;
确定所述数据读写操作对应的更新数据,通过所述第二目标执行端将所述更新数据同步至所述数据操作执行端列表中与所述第二目标执行端关联的数据操作执行端。
11.根据权利要求10所述的方法,其特征在于,所述根据所述授权令牌对所述身份验证结果为通过的第二操作请求进行请求重写处理,以生成重写操作请求,包括:
根据所述授权令牌对所述角色授权操作的授权结果进行重写处理,得到重写授权结果;
根据所述重写授权结果对所述身份验证结果为通过的第二操作请求进行请求重写操作,以得到重写操作请求,所述重写操作请求包含所述授权令牌。
12.一种数据仓库管理系统,其特征在于,包括:
请求接收端,用于接收数据操作请求与权限管理请求;
身份认证代理端,用于获取所述权限管理请求所包含的第一身份信息,以及获取所述数据操作请求所包含的第二身份信息;
身份认证执行端,用于根据所述第一身份信息对所述权限管理请求进行身份验证操作,以进行用户权限调整操作;根据所述第二身份信息对所述数据操作请求进行身份验证操作,以执行角色授权操作并生成对应的授权令牌;
数据操作代理端,用于获取通过所述身份验证操作的数据操作请求的请求内容,根据所述请求内容进行数据管理操作;
数据操作执行端,用于根据所述请求内容对数据仓库的数据进行读写操作,将经过读写操作后的数据同步至待同步执行端;所述待同步执行端与所述数据操作执行端对应同一所述数据操作代理端。
13.一种数据仓库管理装置,其特征在于,包括:
角色类型确定模块,用于获取数据操作请求,确定所述数据操作请求中所包含的角色类型;
权限确定模块,用于确定所述角色类型对应的操作组合权限,所述操作组合权限是由动态选择的至少一个基础操作权限组合生成;
授权响应模块,用于根据所述操作组合权限执行角色授权操作,生成所述角色类型对应的授权令牌;
数据管理模块,用于根据所述授权令牌与所述数据操作请求对所述数据仓库的数据进行数据管理操作。
14.一种电子设备,其特征在于,包括:
处理器;以及
存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现如权利要求1至11中任意一项所述的数据仓库管理方法。
15.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至11中任意一项所述的数据仓库管理方法。
CN202110595160.5A 2021-05-28 2021-05-28 数据仓库管理方法及系统、装置、存储介质、电子设备 Active CN113190609B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110595160.5A CN113190609B (zh) 2021-05-28 2021-05-28 数据仓库管理方法及系统、装置、存储介质、电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110595160.5A CN113190609B (zh) 2021-05-28 2021-05-28 数据仓库管理方法及系统、装置、存储介质、电子设备

Publications (2)

Publication Number Publication Date
CN113190609A true CN113190609A (zh) 2021-07-30
CN113190609B CN113190609B (zh) 2023-11-03

Family

ID=76986316

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110595160.5A Active CN113190609B (zh) 2021-05-28 2021-05-28 数据仓库管理方法及系统、装置、存储介质、电子设备

Country Status (1)

Country Link
CN (1) CN113190609B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114298699A (zh) * 2021-12-28 2022-04-08 北京有竹居网络技术有限公司 非同质化代币的生成方法、获取方法及装置
CN114491495A (zh) * 2022-01-24 2022-05-13 上海脑虎科技有限公司 一种信息系统权限管理装置及方法
CN117034233A (zh) * 2023-10-09 2023-11-10 统信软件技术有限公司 基于权限的应用管理方法、装置、计算设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108011862A (zh) * 2016-10-31 2018-05-08 中兴通讯股份有限公司 镜像仓库授权、访问、管理方法及服务器和客户端
CN112543169A (zh) * 2019-09-20 2021-03-23 中兴通讯股份有限公司 一种认证方法、装置、终端及计算机可读存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108011862A (zh) * 2016-10-31 2018-05-08 中兴通讯股份有限公司 镜像仓库授权、访问、管理方法及服务器和客户端
CN112543169A (zh) * 2019-09-20 2021-03-23 中兴通讯股份有限公司 一种认证方法、装置、终端及计算机可读存储介质

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114298699A (zh) * 2021-12-28 2022-04-08 北京有竹居网络技术有限公司 非同质化代币的生成方法、获取方法及装置
CN114298699B (zh) * 2021-12-28 2024-05-07 北京有竹居网络技术有限公司 非同质化通证的生成方法、获取方法及装置
CN114491495A (zh) * 2022-01-24 2022-05-13 上海脑虎科技有限公司 一种信息系统权限管理装置及方法
CN117034233A (zh) * 2023-10-09 2023-11-10 统信软件技术有限公司 基于权限的应用管理方法、装置、计算设备及存储介质
CN117034233B (zh) * 2023-10-09 2024-01-23 统信软件技术有限公司 基于权限的应用管理方法、装置、计算设备及存储介质

Also Published As

Publication number Publication date
CN113190609B (zh) 2023-11-03

Similar Documents

Publication Publication Date Title
US11824970B2 (en) Systems, methods, and apparatuses for implementing user access controls in a metadata driven blockchain operating via distributed ledger technology (DLT) using granular access objects and ALFA/XACML visibility rules
US11469886B2 (en) System or method to implement record level access on metadata driven blockchain using shared secrets and consensus on read
CN113190609B (zh) 数据仓库管理方法及系统、装置、存储介质、电子设备
US10764290B2 (en) Governed access to RPA bots
CN109598117A (zh) 权限管理方法、装置、电子设备及存储介质
CN108289098B (zh) 分布式文件系统的权限管理方法和装置、服务器、介质
KR20220160021A (ko) 낮은 신뢰 권한 액세스 관리
CN110245499B (zh) Web应用权限管理方法及系统
US20180101690A1 (en) Dynamically Constructed Capability for Enforcing Object Access Order
US10972269B2 (en) Systems and methods for token vault synchronization using a distributed ledger
US20240161078A1 (en) Computing system for configurable off-chain storage for blockchains
CN113271366A (zh) 基于区块链和安全计算的数据共享系统
CN112702348A (zh) 一种系统权限管理方法及装置
CN112132554A (zh) 一种政务信息处理方法、装置、电子设备及存储介质
CN116438778A (zh) 承担的替代身份的持久源值
CN117494186A (zh) 一种基于Alluxio集群数据的权限管理方法、系统及电子设备
CN114297598B (zh) 用户权限处理方法及装置
CN113329060B (zh) 一种基于Fabric联盟链的实习经历证明系统及方法
CN114817395A (zh) 数字资产的关联处理方法、装置、计算机可读介质及电子设备
CN116127427B (zh) 一种办公文档处理方法及系统
JP7409735B1 (ja) 運用設計資料作成装置
CN114553882B (zh) 一种基于区块链的政务数据治理平台
CN114189375B (zh) 一种业务系统管理方法和装置
US20230409400A1 (en) System for resource allocation and monitoring
Demichev et al. Hyperledger-based Data Provenance in Distributed Computing Environments

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40048297

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant