CN113452650B - 访问控制方法、装置、设备和存储介质 - Google Patents
访问控制方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN113452650B CN113452650B CN202010214093.3A CN202010214093A CN113452650B CN 113452650 B CN113452650 B CN 113452650B CN 202010214093 A CN202010214093 A CN 202010214093A CN 113452650 B CN113452650 B CN 113452650B
- Authority
- CN
- China
- Prior art keywords
- access
- user
- department
- node
- department node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种访问控制方法、装置、设备和存储介质,该方法包括:响应于用户对多个部门节点中目标部门节点的访问操作,获取目标部门节点和用户的归属部门节点的访问权限配置信息,多个部门节点构成树状结构;根据目标部门节点和归属部门节点的访问权限配置信息,确定与用户的访问操作对应的访问特征;根据与访问特征对应的被选访问规则,输出与目标部门节点对应的访问结果。通过本方案,可以实现对员工的精细化的访问控制。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种访问控制方法、装置、设备和存储介质。
背景技术
随着互联网应用的普及,信息安全已经成为不可忽视的问题。
以企业组织架构信息为例,企业组织架构,指由企业的多个部门节点构成的树状结构。企业组织架构信息属于企业敏感信息,为保证其安全性,需要对其进行访问控制。
企业管理人员可以根据实际需求为企业组织架构上的众多部门节点进行访问权限配置,以便实现不同员工对企业组织架构的访问控制。但是,由于企业组织架构上不同部门节点之间天然具有的父子关系,以及对不同部门节点设置的访问权限各不相同,使得访问控制的执行将变得非常复杂。因此,亟待提供一种智能化的访问权限控制方案来满足企业的实际需求。
发明内容
本发明实施例提供一种访问控制方法、装置、设备和存储介质,可以实现对企业组织架构下各部门节点的智能访问控制。
第一方面,本发明实施例提供一种访问控制方法,该方法包括:
响应于用户对多个部门节点中目标部门节点的访问操作,获取所述目标部门节点和所述用户的归属部门节点的访问权限配置信息,所述多个部门节点构成树状结构;
根据所述目标部门节点和所述归属部门节点的访问权限配置信息,确定与所述用户的访问操作对应的访问特征;
根据与所述访问特征对应的被选访问规则,输出与所述目标部门节点对应的访问结果。
第二方面,本发明实施例提供一种访问控制装置,该装置包括:
获取模块,用于响应于用户对多个部门节点中目标部门节点的访问操作,获取所述目标部门节点和所述用户的归属部门节点的访问权限配置信息,所述多个部门节点构成树状结构;
确定模块,用于根据所述目标部门节点和所述归属部门节点的访问权限配置信息,确定与所述用户的访问操作对应的访问特征;
输出模块,用于根据与所述访问特征对应的被选访问规则,输出与所述目标部门节点对应的访问结果。
第三方面,本发明实施例提供一种电子设备,包括:存储器、处理器;其中,所述存储器上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器至少可以实现如第一方面所述的访问控制方法。
本发明实施例提供了一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器至少可以实现如第一方面所述的访问控制方法。
假设企业组织架构由多个部门节点构成,企业的管理人员可以为这些部门节点配置各自对应的访问权限配置信息。另外,结合不同部门节点的访问权限配置信息以及部门节点之间的父子关系特点,发掘出多种访问特征,这些访问特征反应了任一部门节点的用户(指企业的员工)访问其他部门节点时,相关部门节点的访问权限配置信息所体现出的特征。而这些特征往往使得对员工的访问控制变得复杂,因为此时决定员工能否访问某部门节点的因素是多样化的。为此,总结每种访问特征下影响用户访问结果的因素,为每种访问特征提供多种可选的访问规则以供企业管理人员选择,使得企业管理人员可以根据自身需求选择与每种访问特征对应的合适的访问规则,从而,当某员工对企业组织架构进行访问时,可以根据该员工的归属部门节点和被访问的目标部门节点的访问权限配置信息确定该员工的访问符合哪种访问特征,进而根据与该访问特征对应的被选访问规则来对该员工进行访问控制,以得到该员工的访问结果,实现了对员工的精细化的访问控制。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种企业组织架构的树状结构示意图;
图2为本发明实施例提供的一种访问权限配置过程的界面示意图;
图3为本发明实施例提供的一种访问控制方法的流程图;
图4为本发明实施例提供的一种访问操作触发过程的示意图;
图5为本发明实施例提供的一种第一访问特征的示意图;
图6为本发明实施例提供的一种第二访问特征的示意图;
图7为本发明实施例提供的一种第三访问特征的示意图;
图8为本发明实施例提供的一种第四访问特征的示意图;
图9为本发明实施例提供的一种第五访问特征的示意图;
图10为本发明实施例提供的一种第六访问特征的示意图;
图11为本发明实施例提供的一种访问控制装置的结构示意图;
图12为与图11所示实施例提供的访问控制装置对应的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义,“多种”一般包含至少两种。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
另外,下述各方法实施例中的步骤时序仅为一种举例,而非严格限定。
本发明实施例提供的访问控制方法可以由一电子设备来执行,该电子设备可以是诸如PC机、笔记本电脑、智能手机等终端设备,也可以是服务器。该服务器可以是包含一独立主机的物理服务器,或者也可以为虚拟服务器,或者也可以为云服务器。
可选地,该访问控制方法可以通过电子设备中的处理器运行电子设备中安装的某种即时通信应用程序来实现,当然,不以此为限,比如还可以由其他应用程序来执行,只要这些应用程序可以获取企业的组织架构即可。
可以理解的是,一个企业的企业组织架构,会由众多部门节点组成,如图1所示。而且,部门节点上关联有用户信息,即员工信息,表明哪些员工属于某部门节点所对应的部门。员工信息比如员工的姓名、联系方式等信息。
另外,值得说明的是,本文中的“企业”应该理解为是一种泛指,可以泛指由众多人员构成的团体,这个团体下将众多人员划分成若干组,而且这些用户组之间最终可以形成树状结构。
为执行本发明实施例提供的访问控制方法,首先需要进行如下两方面的设置:一方面,企业的管理人员可以对企业组织架构下包含的多个部门节点进行访问权限的配置;另一方面,企业的管理人员根据提供的至少一种访问特征及其各自对应的多种可选的访问规则,还可以根据企业自身情况针对每种访问特征来选择合适的访问规则。从而,当任一用户(本文中的用户是指企业中的任一员工)来访问企业组织架构时,可以根据企业组织架构下各部门节点的访问权限配置信息以及每种访问特征对应的被选访问规则来确定该用户的访问结果,该访问结果反应了该用户能否查看其想要查看的部门节点所关联的用户信息。
其中,访问特征是基于允许为部门节点设置的访问权限种类以及具有父子关系的部门节点可能存在的访问权限配置情形来发现出的。每种访问特征对应的多种访问规则将会导致不同的访问结果,概括来说,这多种访问规则反应了影响访问结果的因素有多个,不同访问规则的区别在于以不同因素为依据来决策访问结果。
下面,先说明如何进行访问权限的配置:
响应于管理人员对多个部门节点中任一部门节点的访问权限配置操作,显示多种访问权限配置选项;根据对多种访问权限配置选项的选择操作,存储与该任一部门节点对应的访问权限配置信息。另外,还可以显示至少一种访问特征各自对应的多种访问规则,根据对至少一种访问特征各自对应的多种访问规则的选择操作,存储至少一种访问特征各自对应的被选访问规则。其中,实际上,以任一用户的角度来说,该访问特征描述了用户的归属部门节点和被访问的目标部门节点的访问权限配置信息所体现出的特征。在完成上述配置后,可以根据多个部门节点的访问权限配置信息和该至少一种访问特征各自对应的被选访问规则对用户进行访问控制。
下面结合图2来示例性说明上述配置过程。
在图2中,当企业的管理人员触发针对该企业组织结构的配置功能时,可以显示图2中所示的配置界面201,在该配置界面201中可以显示如图1中所示的企业组织架构。另外,可选地,该配置界面201中还可以包括如下两个按钮:角色配置202、访问规则配置203。
当管理人员针对某部门节点(比如图中的部门5)触发访问权限配置操作时,可以显示如图2中所示的权限选择界面204,在该权限选择界面204中显示多种访问权限配置选项。
其中,这些多种访问权限配置选项可以划分为两大类,如权限选择界面204中示意的隐藏和限制访问。另外,每个大类下又可以划分为几个子类。比如隐藏这个大类下设置有如下两个子类:向所有部门隐藏本部门,允许设定部门/设定用户访问本部门。再比如限制访问这个大类下设置有如下三个子类:允许访问自己,允许访问本部门,允许访问设定部门。
基于上述提供的几种选项可知,对于任一部门节点,其访问权限配置信息包括如下任一种:隐藏该部门节点(对应于选择了上述隐藏这个类别),限制该部门节点所关联的用户的访问权限(对应于选择了上述限制访问这个类别)。而进一步地,隐藏该部门节点包括:不允许其他部门节点所关联的用户访问该部门节点所关联的用户(对应于选择了上述向所有部门隐藏本部门这个子类);或者,允许其他设定部门节点所关联的用户访问该部门节点所关联的用户(对应于选择了上述允许设定部门/设定用户访问本部门这个子类)。进一步地,限制该部门节点所关联的用户的访问权限包括如下任一种:该部门节点所关联的任一用户仅可访问自己(对应于选择了上述允许访问自己这个子类);该部门节点所关联的任一用户仅可访问该部门节点所关联的全部用户(对应于选择了上述允许访问本部门这个子类);该部门节点所关联的任一用户可访问该部门节点所关联的全部用户以及其他设定部门节点所关联的用户(对应于选择了上述允许访问设定部门这个子类)。
值得说明的是,针对部门节点所配置的某种访问权限,表明这种访问权限适用于该部门节点所关联的所有用户。
为便于理解,举例来说,假设管理人员对部门5的配置为:向所有部门隐藏本部门。此时意味着只有部门5上所关联的用户可以看到部门5,查看部门5所关联的全部用户信息,而其他部门节点上所关联的用户都看不到部门5,即部门5对其他部门节点所关联的用户而言是隐藏的。
假设管理人员对部门5的配置为:允许设定部门/设定用户访问本部门,并且假设管理人员所配置的设定部门节点为部门7。此时意味着除了部门5上所关联的用户外,部门7上所关联的用户也可以看到部门5,查看部门5所关联的全部用户信息,而剩余的其他部门节点上所关联的用户都看不到部门5。
假设管理人员对部门5的配置为:允许访问自己。此时意味着对于部门5上所关联的任一用户X来说,假设该部门5上关联有10个用户,针对该部门5而言,当该用户X访问即查看该部门5时,仅能够看到自己,而看不到剩余的9个用户。
假设管理人员对部门5的配置为:允许访问本部门。此时意味着对于部门5上所关联的任一用户X来说,假设该部门5上关联有10个用户,针对该部门5而言,当该用户X访问即查看该部门5时,可以看到自己以及剩余的9个用户,即用户X可以查看到部门5上所关联的各用户。
假设管理人员对部门5的配置为:允许访问设定部门,并且管理人员进一步将该设定部门配置为部门节点7。此时意味着对于部门5上所关联的任一用户X来说,其可以查看到部门5和部门7所关联的各个用户,但是查看不了其他部门节点所关联的用户。
以上对可以为部门节点配置的多种访问权限进行了介绍,如前文所述,在配置界面201中还可以包括角色配置202和访问规则配置203这两个按钮。
当管理人员点击角色配置202这个按钮时,可以显示角色配置界面205,在该角色配置界面205中可以配置不同用户角色之间的访问权限。也就是说,本发明实施例中,除了可以针对部门节点进行前文所述的多种访问权限的配置外,还增加了一种访问权限的维度——用户角色。在企业这个应用场景中,用户角色可以以员工职位来表示。用户角色之间的访问权限反应了某种角色的用户可以访问另外某一种或多种角色的用户。比如,角色配置界面205中示意的角色x这个用户角色具有访问角色y和角色z这两种用户角色。
当管理人员点击访问规则配置203这个按钮时,可以显示访问规则配置界面206,在访问规则配置界面206中包括至少一种访问特征以及与每种访问特征对应的多种访问规则,比如图中示意的访问特征A、访问特征B、访问特征C,与访问特征A对应的访问规则a1、访问规则a2,与访问特征B对应的访问规则b1、访问规则b2,与访问特征C对应的访问规则c1、访问规则c2、访问规则c3。从而,针对每种访问特征,管理人员可以根据自身企业的需求而选择合适的访问规则。
本发明实施例中提供的多种访问特征以及每种访问特征所对应的多种访问规则将会在下文中示例性说明。
下面结合以下的一些实施例来说明如何基于上述配置过程得到的配置结果来对用户针对企业组织架构触发的访问进行访问控制。
图3为本发明实施例提供的一种访问控制方法的流程图,如图3所示,该方法包括如下步骤:
301、响应于用户对多个部门节点中目标部门节点的访问操作,获取目标部门节点和用户的归属部门节点的访问权限配置信息,多个部门节点构成树状结构。
302、根据目标部门节点和归属部门节点的访问权限配置信息,确定与用户的访问操作对应的访问特征。
303、根据与访问特征对应的被选访问规则,输出与目标部门节点对应的访问结果。
本发明实施例中的用户可以是企业中的任一员工。以下为便于描述,以任一员工X为例进行说明。
以即时通信应用程序执行本实施例提供的访问控制方法为例,实际应用中,用户X对构成企业组织架构的多个部门节点中目标部门节点的访问操作包括但不限于如下图4所示的情形:
在用户X的终端设备中安装有某即时通信应用程序,当用户X开启该即时通信应用程序并点击通讯录按钮时,会展示该用户X的通讯录,在该通讯录中包含有用户X的众多联系人信息以及其企业组织架构的名称,比如图4中示意的“某某某公司”。当用户X点击该企业组织架构的名称时,即可以认为该用户X触发了针对构成该企业组织架构的多个部门节点的访问操作,此时,上述目标部门节点可以是指该全部多个部门节点。
当然,还有一种情形是,假设此时用户X想要查询另一用户Y的相关信息,该用户Y归属的部门节点称为目标部门节点,此时,可以视为用户X触发了针对包含用户Y的目标部门节点的访问操作。
不管目标部门节点是多个部门节点中的各个部门节点,还是其中的某个部门节点,针对每个部门节点的处理逻辑都是一致的,因此,以目标部门节点为多个部门节点中的任一个部门节点为例进行说明。
基于用户X对目标部门节点触发的访问操作,首先,至少获取用户X的归属部门节点的访问权限配置信息以及被访问的该目标部门节点的访问权限配置信息,进而,根据归属部门节点和目标部门节点的访问权限配置信息确定用户X的访问操作符合哪种访问特征,最终根据与该访问特征对应的被选访问规则输出与目标部门节点对应的访问结果。其中,该访问结果表明用户X是否能够看到目标部门节点,以及在能够看到目标部门节点的情况下,允许其查看目标部门节点所关联的哪些用户的用户信息。
值得说明的是,用户X可能不只归属于一个部门节点,可能归属于至少两个部门节点,此时,上述用户X的归属部门节点是指关联有用户X的全部部门节点。另外,在一些访问特征中,除了关注用户X访问的目标部门节点外,还需要考虑目标部门节点的父链路上的各部门节点的访问权限配置信息,因此,除了获取目标部门节点的访问权限配置信息外,还可以获取目标部门节点的父链路上的各部门节点的访问权限配置信息。其中,以图1中所示的企业组织架构为例,对于其中的部门9这个部门节点来说,其父链路上包含的部门节点包括部门7和部门2。
下面结合以下实施例示例性说明多种访问特征以及每种访问特征对应的多种访问规则。
第一访问特征:用户X具有至少两个归属部门节点,若根据该至少两个归属部门节点的访问权限配置信息和目标部门节点的访问权限配置信息确定用户X在该至少两个归属部门节点中对目标部门节点的访问权限不同,则确定用户X的访问操作对应于第一访问特征。
第一访问特征对应的访问规则包括:第一访问规则和第二访问规则。
第一访问规则为:若用户X在至少两个归属部门节点中均具有对目标部门节点的访问权限,则允许用户X访问目标部门节点所关联的用户信息。
第二访问规则为:若用户X在至少两个归属部门节点中的任一归属部门节点中具有对目标部门节点的访问权限,则允许用户X访问目标部门节点所关联的用户信息。
以图5所示情况为例来说明第一访问特征的含义。在图5中,假设用户X的归属部门节点包括部门节点a和部门节点b,并且假设目标部门节点为部门节点c。
假设部门节点a上未设置访问权限配置信息(表示并不限制部门节点a上所关联的用户的访问权限),部门节点b上被设置了限制访问这个类别的访问权限配置信息(如仅可访问自己/仅可访问本部门/仅可以访问本部门和部门d),部门节点c上未设置访问权限配置信息。
基于上述的配置情况可知,结合部门节点a和部门节点c的访问权限配置信息可知:由于部门节点a未设置访问权限配置信息,从而,从部门节点a的角度来考虑,用户X可以访问部门节点c。结合部门节点b和部门节点c的访问权限配置信息可知:由于部门节点b的访问权限配置信息限制了用户X不能访问部门节点c,从而,从部门节点b的角度来考虑,用户X不可以访问部门节点c。这就导致了分别从部门节点a和部门节点b考虑,用户X对部门节点c的访问权限不同。
此时,第一访问规则描述的是:若部门节点a和部门节点b的访问权限配置信息都使得用户X能够访问部门节点c,则最终确定允许用户X访问部门节点c所关联的用户信息。第二访问规则描述的是:若部门节点a或部门节点b的访问权限配置信息使得用户X能够访问部门节点c,则最终确定允许用户X访问部门节点c所关联的用户信息。
基于此,如果与第一访问特征对应的被选访问规则为第一访问规则,则在上述的举例中,用户X最终被确定为不能访问部门节点c所关联的用户信息。如果与第一访问特征对应的被选访问规则为第二访问规则,则在上述的举例中,用户X最终被确定为可以访问部门节点c所关联的用户信息。
第二访问特征:用户X具有至少两个归属部门节点,若该至少两个归属部门节点中的任一归属部门节点的访问权限配置信息为该任一归属部门节点所关联的任一用户仅可访问自己,并且该至少两个归属部门节点中的其他归属部门节点无访问权限配置信息,则确定用户X的访问操作对应于第二访问特征。
第二访问特征对应的访问规则包括:第三访问规则和第四访问规则。
第三访问规则为:根据所述任一归属部门节点的访问权限配置信息确定不允许用户X访问目标部门节点所关联的用户信息。
第四访问规则为:根据所述其他归属部门节点的访问权限配置信息和目标部门节点的访问权限配置信息确定是否允许用户X访问目标部门节点所关联的用户信息。
以图6所示情况为例来说明第二访问特征的含义。在图6中,假设用户X的归属部门节点包括部门节点a和部门节点b,并且假设目标部门节点为部门节点c。
假设部门节点a上未设置访问权限配置信息,部门节点b上被设置了限制访问这个类别的访问权限配置信息(如仅可访问自己/仅可访问本部门/仅可以访问本部门和部门d),部门节点c上设置了隐藏这个类别的访问权限配置信息,具体为允许用户X访问部门节点c。
基于上述的配置情况可知,结合部门节点a和部门节点c的访问权限配置信息可知:用户X可以访问部门节点c。结合部门节点b和部门节点c的访问权限配置信息可知:用户X不能访问部门节点c。
此时,第三访问规则描述的是:以设置有限制访问这个类别的访问权限配置信息的部门节点b为准,确定不允许用户X访问部门节点c。第四访问规则描述的是:若部门节点a和部门节点c的访问权限配置信息使得用户X能够访问部门节点c,则最终确定允许用户X访问部门节点c所关联的用户信息。
基于此,如果与第二访问特征对应的被选访问规则为第三访问规则,则在上述的举例中,用户X最终被确定为不能访问部门节点c所关联的用户信息。如果与第二访问特征对应的被选访问规则为第四访问规则,则在上述的举例中,用户X最终被确定为可以访问部门节点c所关联的用户信息。
前述第一访问特征和第二访问特征描述的是用户X的归属部门节点有多个的情况下的处理策略。
第三访问特征:若根据归属部门节点的访问权限配置信息确定的用户X对目标部门节点的访问权限,与根据目标部门节点的访问权限配置信息确定的用户X对目标部门节点的访问权限不同,则确定用户X的访问操作对应于第三访问特征。
第三访问特征对应的访问规则包括:第五访问规则和第六访问规则。
第五访问规则为:根据归属部门节点的访问权限配置信息确定是否允许用户X访问目标部门节点所关联的用户信息。
第六访问规则为:根据目标部门节点的访问权限配置信息确定是否允许用户X访问目标部门节点所关联的用户信息。
实际上,第三访问特征描述的是一种冲突情形下的处理策略:当根据归属部门节点的访问权限配置信息确定的用户X对目标部门节点的访问权限与根据目标部门节点的访问权限配置信息确定的用户X对目标部门节点的访问权限不同时,究竟是以归属部门节点的访问权限配置信息为准还是以目标部门节点的访问权限配置信息为准。
以图7所示情况为例来说明第三访问特征的含义。在图7中,假设用户X的归属部门节点为部门节点a,并且假设目标部门节点为部门节点c。
假设部门节点a上被设置了限制访问这个类别的访问权限配置信息,且具体设置为:仅可访问自己,部门节点c上设置了隐藏这个类别的访问权限配置信息,且具体为允许用户X访问部门节点c。
基于上述的配置情况可知,结合部门节点a的访问权限配置信息可知:用户X不可以访问部门节点c。结合部门节点c的访问权限配置信息可知:用户X可以访问部门节点c。在这种冲突情形下,若第三访问特征对应的被选访问规则为第五访问规则,则用户X最终被确定为不能够访问部门节点c所关联的用户信息;若第三访问特征对应的被选访问规则为第六访问规则,则用户X最终被确定为能够访问部门节点c所关联的用户信息。
第四访问特征:若目标部门节点和目标部门节点的父链路上的部门节点的访问权限配置信息均为允许其他设定部门节点所关联的用户访问,并且目标部门节点与父链路上的部门节点各自允许的用户不同,则确定用户X的访问操作对应于第四访问特征。
其中,结合图2中的举例,“允许其他设定部门节点所关联的用户访问”对应于隐藏这个类别下的允许设定部门节点所关联的用户访问这个子类别。
第四访问特征对应的访问规则包括:第七访问规则和第八访问规则。
第七访问规则为:根据目标部门节点的访问权限配置信息和归属部门节点的访问权限配置信息确定是否允许用户X访问所述目标部门节点所关联的用户信息。
第八访问规则为:根据父链路上的部门节点中的根部门节点的访问权限配置信息和归属部门节点的访问权限配置信息确定是否允许用户X访问目标部门节点所关联的用户信息。
以图8所示情况为例来说明第四访问特征的含义。在图8中,假设用户X的归属部门节点为部门节点a,并且假设目标部门节点为部门节点d,部门节点d的父链路上包含部门节点c和部门节点b这两个部门节点。
假设部门节点d上设置了隐藏这个类别的访问权限配置信息,且具体为允许用户X访问部门节点d。部门节点c上设置了隐藏这个类别的访问权限配置信息,且具体为允许用户Y访问部门节点c。部门节点b上设置了隐藏这个类别的访问权限配置信息,且具体为允许用户Z访问部门节点b。
另外,假设部门节点a上未设置访问权限配置信息。
基于上述的配置情况可知,当第四访问特征对应的被选访问规则为第七访问规则时,需要根据部门节点d的访问权限配置信息和部门节点a的访问权限配置信息确定是否允许用户X访问部门节点d所关联的用户信息,确定结果为:允许用户X访问部门节点d所关联的用户信息。当第四访问特征对应的被选访问规则为第八访问规则时,需要根据部门节点b的访问权限配置信息和部门节点a的访问权限配置信息确定是否允许用户X访问部门节点d所关联的用户信息,确定结果为:不允许用户X访问部门节点d所关联的用户信息。
第五访问特征:若目标部门节点和目标部门节点的父链路上的部门节点的访问权限配置信息均为限制各自关联的用户的访问权限,则确定用户X的访问操作对应于第五访问特征。
第五访问特征对应的访问规则包括:第九访问规则、第十访问规则和第十一访问规则。
第九访问规则为:根据目标部门节点的访问权限配置信息和归属部门节点的访问权限配置信息确定是否允许用户X访问目标部门节点所关联的用户信息。
第十访问规则为:根据所述父链路上的部门节点中的根部门节点的访问权限配置信息和归属部门节点的访问权限配置信息确定是否允许用户X访问目标部门节点所关联的用户信息。
第十一访问规则为:若目标部门节点与归属部门节点存在共同父部门节点,则根据共同父部门节点的访问权限配置信息和归属部门节点的访问权限配置信息确定是否允许用户X访问目标部门节点所关联的用户信息。
以图9所示情况为例来说明第五访问特征的含义。在图9中,假设用户X的归属部门节点为部门节点g,并且假设目标部门节点为部门节点f,部门节点f的父链路上包含部门节点e、部门节点b和部门节点a这三个部门节点。
假设部门节点f、部门节点e、部门节点b和部门节点a上都设置了限制访问这个类别的访问权限配置信息,且假设部门节点f上设置的为仅允许用户访问自己,部门节点e上设置的为允许用户访问本部门以及部门g,部门节点b和部门节点a上设置的为允许用户访问本部门。另外,假设部门节点g上未设置访问权限配置信息。
基于上述的配置情况可知,当第五访问特征对应的被选访问规则为第九访问规则时,需要根据部门节点f的访问权限配置信息和部门节点g的访问权限配置信息确定是否允许用户X访问部门节点f所关联的用户信息,确定结果为:不允许用户X访问部门节点f所关联的用户信息。当第五访问特征对应的被选访问规则为第十访问规则时,由于部门节点f的父链路上的根部门节点为部门节点a,则需要根据部门节点a的访问权限配置信息和部门节点g的访问权限配置信息确定是否允许用户X访问部门节点f所关联的用户信息,确定结果为:不允许用户X访问部门节点f所关联的用户信息。当第五访问特征对应的被选访问规则为第十一访问规则时,由于部门节点f和部门节点g的共同父部门节点为部门节点e,则需要根据部门节点e的访问权限配置信息和部门节点g的访问权限配置信息确定是否允许用户X访问部门节点f所关联的用户信息,确定结果为:允许用户X访问部门节点f所关联的用户信息。
第六访问特征:若根据目标部门节点和归属部门节点的访问权限配置信息确定用户X不具有对目标部门节点的访问权限,并且目标部门节点关联有与目标用户角色对应的用户,则确定用户X的访问操作对应于第六访问特征。其中,目标用户角色是指根据用户X的用户角色确定出的允许用户X访问的用户角色。
第六访问特征对应的被选访问规则为:根据目标部门节点和归属部门节点的访问权限配置信息确定不允许用户X访问目标部门节点所关联的用户信息。
以图10所示情况为例来说明第六访问特征的含义。在图10中,假设用户X的归属部门节点为部门节点a,并且假设目标部门节点为部门节点b。假设用户X对应的用户角色为J1,管理人员配置的允许用户角色J1访问的目标用户角色为J2和J3。另外,假设部门节点a上未设置访问权限配置信息,假设部门节点b的访问权限配置信息为:对其他所有部门节点隐藏部门节点b。并且,假设部门节点b中包含用户角色J2和用户角色J3的用户。
基于上述配置情况,第六访问特征对应的被选访问规则所描述的是:虽然从用户角色的角度来说,用户X能够访问部门节点b中的用户角色J2和用户角色J3的用户,但是,由于部门节点b的访问权限配置信息为不允许其他部门节点的用户访问部门节点b,从而,以部门节点a和部门节点b的访问权限配置信息为准,最终确定用户X不能够访问部门节点b中的用户角色J2和用户角色J3的用户。
综上各实施例,通过设置用户角色间的访问权限,相比于以部门节点的粒度而言,可以实现更细粒度的访问控制。通过提供多种访问特征以及每种访问特征下的多种访问规则,可以使得企业管理人员根据自身企业需求来进行个性化的访问规则配置。
以下将详细描述本发明的一个或多个实施例的访问控制装置。本领域技术人员可以理解,这些访问控制装置均可使用市售的硬件组件通过本方案所教导的步骤进行配置来构成。
图11为本发明实施例提供的一种访问控制装置的结构示意图,该访问控制装置可以设置在某电子设备中,具有可以实现为运行于电子设备中的即时通信应用程序中的功能模块。如图11所示,该装置包括:获取模块11、确定模块12、输出模块13。
获取模块11,用于响应于用户对多个部门节点中目标部门节点的访问操作,获取所述目标部门节点和所述用户的归属部门节点的访问权限配置信息,所述多个部门节点构成树状结构。
确定模块12,用于根据所述目标部门节点和所述归属部门节点的访问权限配置信息,确定与所述用户的访问操作对应的访问特征。
输出模块13,用于根据与所述访问特征对应的被选访问规则,输出与所述目标部门节点对应的访问结果。
可选地,所述访问权限配置信息包括如下任一种:
对于任一部门节点,隐藏所述任一部门节点;
对于任一部门节点,限制所述任一部门节点所关联的用户的访问权限。
可选地,所述隐藏所述任一部门节点包括:
不允许其他部门节点所关联的用户访问所述任一部门节点所关联的用户;或者,
允许其他设定部门节点所关联的用户访问所述任一部门节点所关联的用户。
可选地,所述限制所述任一部门节点所关联的用户的访问权限包括如下任一种:
所述任一部门节点所关联的任一用户仅可访问自己;
所述任一部门节点所关联的任一用户仅可访问所述任一部门节点所关联的全部用户;
所述任一部门节点所关联的任一用户可访问所述任一部门节点所关联的全部用户以及其他设定部门节点所关联的用户。
可选地,所述装置还包括:显示模块、存储模块。
显示模块,用于显示至少一种访问特征各自对应的多种访问规则。
存储模块,用于根据对所述至少一种访问特征各自对应的多种访问规则的选择操作,存储所述至少一种访问特征各自对应的被选访问规则。
可选地,所述用户具有至少两个归属部门节点,确定模块12具体用于:若根据所述至少两个归属部门节点的访问权限配置信息和所述目标部门节点的访问权限配置信息确定所述用户在所述至少两个归属部门节点中对所述目标部门节点的访问权限不同,则确定与所述用户的访问操作对应的访问特征为第一访问特征。
可选地,所述第一访问特征对应的被选访问规则为:第一访问规则或第二访问规则。所述第一访问规则为:若所述用户在所述至少两个归属部门节点中均具有对所述目标部门节点的访问权限,则允许所述用户访问所述目标部门节点所关联的用户信息。所述第二访问规则为:若所述用户在所述至少两个归属部门节点中的任一归属部门节点中具有对所述目标部门节点的访问权限,则允许所述用户访问所述目标部门节点所关联的用户信息。
可选地,所述用户具有至少两个归属部门节点,确定模块12具体用于:若所述至少两个归属部门节点中的任一归属部门节点的访问权限配置信息使得所述任一归属部门节点所关联的任一用户不能够访问所述目标部门节点所关联的用户,所述至少两个归属部门节点中的其他归属部门节点无访问权限配置信息,则确定与所述用户的访问操作对应的访问特征为第二访问特征。
可选地,所述第二访问特征对应的被选访问规则为:第三访问规则或第四访问规则。所述第三访问规则为:根据所述任一归属部门节点的访问权限配置信息确定不允许所述用户访问所述目标部门节点所关联的用户信息。所述第四访问规则为:根据所述其他归属部门节点的访问权限配置信息和所述目标部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息。
可选地,确定模块12具体用于:若根据所述归属部门节点的访问权限配置信息确定的所述用户对所述目标部门节点的访问权限,与根据所述目标部门节点的访问权限配置信息确定的所述用户对所述目标部门节点的访问权限不同,则确定与所述用户的访问操作对应的访问特征为第三访问特征。
可选地,所述第三访问特征对应的被选访问规则为:第五访问规则或第六访问规则。所述第五访问规则为:根据所述归属部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息。所述第六访问规则为:根据所述目标部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息。
可选地,确定模块12具体用于:若所述目标部门节点和所述目标部门节点的父链路上的部门节点的访问权限配置信息均为允许其他设定部门节点所关联的用户访问,并且所述目标部门节点与所述父链路上的部门节点各自允许的用户不同,则确定与所述用户的访问操作对应的访问特征为第四访问特征。
可选地,所述第四访问特征对应的被选访问规则为:第七访问规则或第八访问规则。所述第七访问规则为:根据所述目标部门节点的访问权限配置信息和所述归属部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息。所述第八访问规则为:根据所述父链路上的部门节点中的根部门节点的访问权限配置信息和所述归属部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息。
可选地,确定模块12具体用于:若所述目标部门节点和所述目标部门节点的父链路上的部门节点的访问权限配置信息均为限制各自关联的用户的访问权限,则确定与所述用户的访问操作对应的访问特征为第五访问特征。
可选地,所述第五访问特征对应的被选访问规则为:第九访问规则或第十访问规则或第十一访问规则。所述第九访问规则为:根据所述目标部门节点的访问权限配置信息和所述归属部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息。所述第十访问规则为:根据所述父链路上的部门节点中的根部门节点的访问权限配置信息和所述归属部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息。所述第十一访问规则为:若所述目标部门节点与所述归属部门节点存在共同父部门节点,则根据所述共同父部门节点的访问权限配置信息和所述归属部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息。
可选地,确定模块12具体用于:根据所述用户的用户角色确定允许所述用户访问的目标用户角色;根据所述目标部门节点和所述归属部门节点的访问权限配置信息以及所述目标用户角色,确定与所述用户的访问操作对应的访问特征。
可选地,确定模块12具体用于:若根据所述目标部门节点和所述归属部门节点的访问权限配置信息确定所述用户不具有对所述目标部门节点的访问权限,并且所述目标部门节点关联有与所述目标用户角色对应的用户,则确定与所述用户的访问操作对应的访问特征为第六访问特征。
可选地,所述第六访问特征对应的被选访问规则为:根据所述目标部门节点和所述归属部门节点的访问权限配置信息确定不允许所述用户访问所述目标部门节点所关联的用户信息。
图11所示装置可以执行前述图1至图10所示实施例中提供的访问控制方法,详细的执行过程和技术效果参见前述实施例中的描述,在此不再赘述。
在一个可能的设计中,上述图11所示访问控制装置的结构可实现为一电子设备,如图12所示,该电子设备可以包括:处理器21、存储器22。其中,存储器22上存储有可执行代码,当所述可执行代码被处理器21执行时,使处理器21至少可以实现如前述图1至图10所示实施例中提供的访问控制方法。
可选地,该电子设备中还可以包括通信接口23,用于与其他设备进行通信。
另外,本发明实施例提供了一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器至少可以实现如前述图1至图10所示实施例中提供的访问控制方法。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助加必需的通用硬件平台的方式来实现,当然也可以通过硬件和软件结合的方式来实现。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以计算机产品的形式体现出来,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例提供的访问控制方法可以由某种程序/软件来执行,该程序/软件可以由网络侧提供,前述实施例中提及的电子设备可以将该程序/软件下载到本地的非易失性存储介质中,并在其需要执行前述访问控制方法时,通过CPU将该程序/软件读取到内存中,进而由CPU执行该程序/软件以实现前述实施例中所提供的访问控制方法,执行过程可以参见前述图1至图10中的示意。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (20)
1.一种访问控制方法,其特征在于,包括:
响应于用户对多个部门节点中目标部门节点的访问操作,获取所述目标部门节点和所述用户的归属部门节点的访问权限配置信息,所述多个部门节点构成树状结构;
根据所述目标部门节点和所述归属部门节点的访问权限配置信息,确定与所述用户的访问操作对应的访问特征;所述访问特征描述了所述归属部门节点和所述目标部门节点的访问权限配置信息所体现出的特征;
根据与所述访问特征对应的被选访问规则,输出与所述目标部门节点对应的访问结果;
其中,所述用户具有至少两个归属部门节点,所述根据所述目标部门节点和所述归属部门节点的访问权限配置信息,确定与所述用户的访问操作对应的访问特征,包括:
若根据所述至少两个归属部门节点的访问权限配置信息和所述目标部门节点的访问权限配置信息确定所述用户在所述至少两个归属部门节点中对所述目标部门节点的访问权限不同,则确定与所述用户的访问操作对应的访问特征为第一访问特征。
2.根据权利要求1所述的方法,其特征在于,所述访问权限配置信息包括如下任一种:
对于任一部门节点,隐藏所述任一部门节点;
对于任一部门节点,限制所述任一部门节点所关联的用户的访问权限。
3.根据权利要求2所述的方法,其特征在于,所述隐藏所述任一部门节点包括:
不允许其他部门节点所关联的用户访问所述任一部门节点所关联的用户;或者,
允许其他设定部门节点所关联的用户访问所述任一部门节点所关联的用户。
4.根据权利要求2所述的方法,其特征在于,所述限制所述任一部门节点所关联的用户的访问权限包括如下任一种:
所述任一部门节点所关联的任一用户仅可访问自己;
所述任一部门节点所关联的任一用户仅可访问所述任一部门节点所关联的全部用户;
所述任一部门节点所关联的任一用户可访问所述任一部门节点所关联的全部用户以及其他设定部门节点所关联的用户。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
显示至少一种访问特征各自对应的多种访问规则;
根据对所述至少一种访问特征各自对应的多种访问规则的选择操作,存储所述至少一种访问特征各自对应的被选访问规则。
6.根据权利要求1所述的方法,其特征在于,所述第一访问特征对应的被选访问规则为:第一访问规则或第二访问规则;
所述第一访问规则为:若所述用户在所述至少两个归属部门节点中均具有对所述目标部门节点的访问权限,则允许所述用户访问所述目标部门节点所关联的用户信息;
所述第二访问规则为:若所述用户在所述至少两个归属部门节点中的任一归属部门节点中具有对所述目标部门节点的访问权限,则允许所述用户访问所述目标部门节点所关联的用户信息。
7.根据权利要求5所述的方法,其特征在于,所述用户具有至少两个归属部门节点;
所述根据所述目标部门节点和所述归属部门节点的访问权限配置信息,确定与所述用户的访问操作对应的访问特征,包括:
若所述至少两个归属部门节点中的任一归属部门节点的访问权限配置信息使得所述任一归属部门节点所关联的任一用户不能够访问所述目标部门节点所关联的用户,所述至少两个归属部门节点中的其他归属部门节点无访问权限配置信息,则确定与所述用户的访问操作对应的访问特征为第二访问特征。
8.根据权利要求7所述的方法,其特征在于,所述第二访问特征对应的被选访问规则为:第三访问规则或第四访问规则;
所述第三访问规则为:根据所述任一归属部门节点的访问权限配置信息确定不允许所述用户访问所述目标部门节点所关联的用户信息;
所述第四访问规则为:根据所述其他归属部门节点的访问权限配置信息和所述目标部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息。
9.根据权利要求5所述的方法,其特征在于,所述根据所述目标部门节点和所述归属部门节点的访问权限配置信息,确定与所述用户的访问操作对应的访问特征,包括:
若根据所述归属部门节点的访问权限配置信息确定的所述用户对所述目标部门节点的访问权限,与根据所述目标部门节点的访问权限配置信息确定的所述用户对所述目标部门节点的访问权限不同,则确定与所述用户的访问操作对应的访问特征为第三访问特征。
10.根据权利要求9所述的方法,其特征在于,所述第三访问特征对应的被选访问规则为:第五访问规则或第六访问规则;
所述第五访问规则为:根据所述归属部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息;
所述第六访问规则为:根据所述目标部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息。
11.根据权利要求5所述的方法,其特征在于,所述根据所述目标部门节点和所述归属部门节点的访问权限配置信息,确定与所述用户的访问操作对应的访问特征,包括:
若所述目标部门节点和所述目标部门节点的父链路上的部门节点的访问权限配置信息均为允许其他设定部门节点所关联的用户访问,并且所述目标部门节点与所述父链路上的部门节点各自允许的用户不同,则确定与所述用户的访问操作对应的访问特征为第四访问特征。
12.根据权利要求11所述的方法,其特征在于,所述第四访问特征对应的被选访问规则为:第七访问规则或第八访问规则;
所述第七访问规则为:根据所述目标部门节点的访问权限配置信息和所述归属部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息;
所述第八访问规则为:根据所述父链路上的部门节点中的根部门节点的访问权限配置信息和所述归属部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息。
13.根据权利要求5所述的方法,其特征在于,所述根据所述目标部门节点和所述归属部门节点的访问权限配置信息,确定与所述用户的访问操作对应的访问特征,包括:
若所述目标部门节点和所述目标部门节点的父链路上的部门节点的访问权限配置信息均为限制各自关联的用户的访问权限,则确定与所述用户的访问操作对应的访问特征为第五访问特征。
14.根据权利要求13所述的方法,其特征在于,所述第五访问特征对应的被选访问规则为:第九访问规则或第十访问规则或第十一访问规则;
所述第九访问规则为:根据所述目标部门节点的访问权限配置信息和所述归属部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息;
所述第十访问规则为:根据所述父链路上的部门节点中的根部门节点的访问权限配置信息和所述归属部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息;
所述第十一访问规则为:若所述目标部门节点与所述归属部门节点存在共同父部门节点,则根据所述共同父部门节点的访问权限配置信息和所述归属部门节点的访问权限配置信息确定是否允许所述用户访问所述目标部门节点所关联的用户信息。
15.根据权利要求5所述的方法,其特征在于,所述方法还包括:
根据所述用户的用户角色确定允许所述用户访问的目标用户角色;
所述根据所述目标部门节点和所述归属部门节点的访问权限配置信息,确定与所述用户的访问操作对应的访问特征,包括:
根据所述目标部门节点和所述归属部门节点的访问权限配置信息以及所述目标用户角色,确定与所述用户的访问操作对应的访问特征。
16.根据权利要求15所述的方法,其特征在于,所述根据所述目标部门节点和所述归属部门节点的访问权限配置信息以及所述目标用户角色,确定与所述用户的访问操作对应的访问特征,包括:
若根据所述目标部门节点和所述归属部门节点的访问权限配置信息确定所述用户不具有对所述目标部门节点的访问权限,并且所述目标部门节点关联有与所述目标用户角色对应的用户,则确定与所述用户的访问操作对应的访问特征为第六访问特征。
17.根据权利要求16所述的方法,其特征在于,所述第六访问特征对应的被选访问规则为:根据所述目标部门节点和所述归属部门节点的访问权限配置信息确定不允许所述用户访问所述目标部门节点所关联的用户信息。
18.一种访问控制装置,其特征在于,包括:
获取模块,用于响应于用户对多个部门节点中目标部门节点的访问操作,获取所述目标部门节点和所述用户的归属部门节点的访问权限配置信息,所述多个部门节点构成树状结构;
确定模块,用于根据所述目标部门节点和所述归属部门节点的访问权限配置信息,确定与所述用户的访问操作对应的访问特征;所述访问特征描述了所述归属部门节点和所述目标部门节点的访问权限配置信息所体现出的特征;
输出模块,用于根据与所述访问特征对应的被选访问规则,输出与所述目标部门节点对应的访问结果;
其中,所述用户具有至少两个归属部门节点,所述确定模块具体用于:若根据所述至少两个归属部门节点的访问权限配置信息和所述目标部门节点的访问权限配置信息确定所述用户在所述至少两个归属部门节点中对所述目标部门节点的访问权限不同,则确定与所述用户的访问操作对应的访问特征为第一访问特征。
19.一种电子设备,其特征在于,包括:存储器、处理器;其中,所述存储器上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如权利要求1至17中任一项所述的访问控制方法。
20.一种非暂时性机器可读存储介质,其特征在于,所述非暂时性机器可读存储介质上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器执行如权利要求1至17中任一项所述的访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010214093.3A CN113452650B (zh) | 2020-03-24 | 2020-03-24 | 访问控制方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010214093.3A CN113452650B (zh) | 2020-03-24 | 2020-03-24 | 访问控制方法、装置、设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113452650A CN113452650A (zh) | 2021-09-28 |
| CN113452650B true CN113452650B (zh) | 2023-04-07 |
Family
ID=77807493
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010214093.3A Active CN113452650B (zh) | 2020-03-24 | 2020-03-24 | 访问控制方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113452650B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012063896A (ja) * | 2010-09-15 | 2012-03-29 | Hitachi Information Systems Ltd | データアクセス制御システム、データアクセス制御方法及びデータアクセス制御プログラム |
| CN106534199A (zh) * | 2016-12-26 | 2017-03-22 | 盐城工学院 | 大数据环境下基于xacml和saml的分布式系统认证与权限管理平台 |
| CN109889517A (zh) * | 2019-02-14 | 2019-06-14 | 广州小鹏汽车科技有限公司 | 数据处理方法、权限数据集创建方法、装置及电子设备 |
| CN110414268A (zh) * | 2019-07-23 | 2019-11-05 | 北京启迪区块链科技发展有限公司 | 访问控制方法、装置、设备及存储介质 |
| CN110704833A (zh) * | 2019-10-10 | 2020-01-17 | 北京字节跳动网络技术有限公司 | 数据权限配置方法、设备、电子设备及存储介质 |
-
2020
- 2020-03-24 CN CN202010214093.3A patent/CN113452650B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012063896A (ja) * | 2010-09-15 | 2012-03-29 | Hitachi Information Systems Ltd | データアクセス制御システム、データアクセス制御方法及びデータアクセス制御プログラム |
| CN106534199A (zh) * | 2016-12-26 | 2017-03-22 | 盐城工学院 | 大数据环境下基于xacml和saml的分布式系统认证与权限管理平台 |
| CN109889517A (zh) * | 2019-02-14 | 2019-06-14 | 广州小鹏汽车科技有限公司 | 数据处理方法、权限数据集创建方法、装置及电子设备 |
| CN110414268A (zh) * | 2019-07-23 | 2019-11-05 | 北京启迪区块链科技发展有限公司 | 访问控制方法、装置、设备及存储介质 |
| CN110704833A (zh) * | 2019-10-10 | 2020-01-17 | 北京字节跳动网络技术有限公司 | 数据权限配置方法、设备、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113452650A (zh) | 2021-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8819009B2 (en) | Automatic social graph calculation | |
| US11663240B2 (en) | Categorization using organizational hierarchy | |
| US8326874B2 (en) | Model-based implied authorization | |
| US8353005B2 (en) | Unified management policy | |
| JP6306055B2 (ja) | アクセス制御のための自由形式メタデータの使用 | |
| US11770450B2 (en) | Dynamic routing of file system objects | |
| US11178186B2 (en) | Policy rule enforcement decision evaluation with conflict resolution | |
| US20120290545A1 (en) | Collection of intranet activity data | |
| US20110321135A1 (en) | Methods, apparatuses, and computer program products for controlling access to a resource | |
| CN111464487B (zh) | 访问控制方法、装置及系统 | |
| CN116601630A (zh) | 通过动态蜜罐数据库响应生成防御目标数据库攻击 | |
| US11620353B2 (en) | Hyperlink visual indicator | |
| US8073717B2 (en) | Systems for digital management of underwriting insurance contracts | |
| US10083246B2 (en) | Apparatus and method for universal personal data portability | |
| CN113452650B (zh) | 访问控制方法、装置、设备和存储介质 | |
| Fehis et al. | A new distributed chinese wall security policy model | |
| US8073716B2 (en) | Methods for digital management of underwriting insurance contracts | |
| KR101570980B1 (ko) | 멀티 테넌트 환경의 공통 코드 관리 방법, 이를 수행하는 공통 코드 관리 서버 및 이를 저장하는 기록매체 | |
| US20230222240A1 (en) | Governed database connectivity (gdbc) through and around data catalog to registered data sources | |
| US11954231B2 (en) | Recursively adapting a sensitive content masking technique | |
| US20220353298A1 (en) | Embedded and distributable policy enforcement | |
| US11301482B2 (en) | Assist system and assist method | |
| US20230289457A1 (en) | Preventing Illicit Data Transfer and Storage | |
| US20230297721A1 (en) | Systems and methods for creating rules based on security policies | |
| US20160117396A1 (en) | Need to know search results |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |