CN113704285A - 基于权限的检索方法及装置、设备 - Google Patents

基于权限的检索方法及装置、设备 Download PDF

Info

Publication number
CN113704285A
CN113704285A CN202111004189.8A CN202111004189A CN113704285A CN 113704285 A CN113704285 A CN 113704285A CN 202111004189 A CN202111004189 A CN 202111004189A CN 113704285 A CN113704285 A CN 113704285A
Authority
CN
China
Prior art keywords
information
data
authority
retrieval
domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111004189.8A
Other languages
English (en)
Inventor
焦阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Dajia Internet Information Technology Co Ltd
Original Assignee
Beijing Dajia Internet Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Dajia Internet Information Technology Co Ltd filed Critical Beijing Dajia Internet Information Technology Co Ltd
Priority to CN202111004189.8A priority Critical patent/CN113704285A/zh
Publication of CN113704285A publication Critical patent/CN113704285A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请提供了一种基于权限的检索方法及装置、电子设备及计算机可读存储介质:获取检索信息,检索信息包括检索发起方的信息,获取依据一个或多个业务系统的权限控制规则生成的第一权限信息,第一权限信息包括由业务系统中的数据构成的数据域以及与数据域对应的权限控制域,权限控制域中包含具有访问对应的数据域的权限的对象的信息,从第一权限信息中获取目标权限控制域以及目标权限控制域对应的数据域;目标权限控制域为包含检索发起方的信息的权限控制域,从目标权限控制域对应的数据域中确定检索信息的检索结果。因为第一权限信息是基于业务系统原有的权限控制规则生成的,所以本申请提供基于权限的检索方法通用于各个业务系统。

Description

基于权限的检索方法及装置、设备
技术领域
本申请涉及数据处理领域,尤其涉及一种基于权限的检索方法及装置、设备。
背景技术
随着互联网的发展,各行各业的业务系统的业务数据也越来越多,业务数据指的是,业务涉及的一切数据,包括业务使用的数据、以及产生的数据。如何安全合理地使用业务数据资源成为数据管理中重要的环节。
目前一般是通过权限控制的方式限制业务数据资源的使用,防止越权使用业务数据资源,从而保证系统资源可以被受控以及合法的使用。
目前,不同的业务系统使用不同的权限控制模型,例如DAC(DiscretionaryAccess Control,自主访问控制)模型、MAC(mandatory access control,强制访问控制)模型、RBAC(role-based access control,基于角色访问控制)模型、以及ACL(accesscontrol list,访问控制列表)模型等。不同的业务系统使用的权限控制规则不同,目前,如果要实现基于权限的检索,需要针对不同业务系统的权限控制模型,开发对应的检索模型,无法实现针对不同的业务系统,采用通用的检索模型进行检索。
发明内容
本申请提供了一种基于权限的检索方法及装置、设备,目的在于解决针对不同的业务系统,如何实现采用通用的检索模型进行检索的问题。
为了实现上述目的,本申请提供了以下技术方案:
一种基于权限的检索方法,包括:
获取检索信息,所述检索信息包括检索发起方的信息;
获取依据一个或多个业务系统的权限控制规则生成的第一权限信息,所述第一权限信息包括由所述业务系统中的数据构成的数据域以及与所述数据域对应的权限控制域,其中,所述权限控制域中包含具有访问对应的数据域的权限的对象的信息;
从所述第一权限信息中获取目标权限控制域以及所述目标权限控制域对应的数据域;所述目标权限控制域为包含所述检索发起方的信息的权限控制域;
从所述目标权限控制域对应的数据域中确定所述检索信息的检索结果。
上述的方法,可选的,所述第一权限信息的生成过程包括:
依据所述一个或多个业务系统的权限控制映射关系,获取数据与数据访问权限信息之间的映射关系;
将所述数据写入所述数据域,将所述数据访问权限信息写入与所述数据域对应的权限控制域。
上述的方法,可选的,所述业务系统中的数据包括多种类型的数据;所述权限控制映射关系包括所述多种类型中的各个类型的数据的权限控制映射规则;
所述将所述数据写入所述数据域包括:
将所述各个类型的数据分别写入与所述类型对应的数据域中。
上述的方法,可选的,所述各个类型的数据包括:主体数据和关联数据,其中,所述各个类型中的至少一种类型的数据为所述主体数据,其它类型的数据为所述主体数据的所述关联数据;
所述将所述数据写入所述数据域,将所述数据访问权限信息写入与所述数据域对应的权限控制域,包括:将所述主体数据写入所述主体数据对应的数据域,将所述关联数据写入所述关联数据对应的数据域;
将所述主体数据和所述关联数据的数据访问权限信息均写入所述主体数据对应的权限控制域。
上述的方法,可选的,所述权限控制规则包括:角色权限控制规则,所述角色权限控制规则指示用户信息与角色信息、以及所述角色信息与数据之间的映射关系;
所述依据所述一个或多个业务系统的权限控制映射关系,获取数据与数据访问权限信息之间的映射关系,包括:
依据所述用户信息与角色信息、以及所述角色信息与数据之间的映射关系,确定所述用户信息与所述数据之间的映射关系;
所述将所述数据访问权限信息写入与所述数据域对应的所述权限控制域包括:
将写入所述数据域中的数据对应的用户信息和角色信息,均写入所述数据域对应的权限控制域。
上述的方法,可选的,在所述从所述第一权限信息中获取目标权限控制域以及所述目标权限控制域对应的数据域之前,还包括:
获取依据所述角色权限控制规则生成的第二权限信息,所述第二权限信息包括所述检索发起方的角色信息;
所述从所述第一权限信息中获取目标权限控制域以及所述目标权限控制域对应的数据域,包括:
从所述第一权限信息中的权限控制域中,选择包含所述检索发起方的信息以及所述检索发起方的角色信息的权限控制域,作为目标权限控制域;
从所述第一权限信息中的数据域中,选择与所述目标权限控制域对应的数据域。
上述的方法,可选的,依据所述角色权限控制规则生成所述第二权限信息的过程包括:
从所述角色权限控制规则中查询所述用户信息与角色信息之间的映射关系,获得所述检索发起方的信息对应的角色信息,其中,所述检索发起方的信息对应的角色信息为所述第二权限信息。
上述的方法,可选的,所述检索信息还包括:
第一信息,所述第一信息包括类型信息和/或角色信息;
所述从所述第一权限信息中获取目标权限控制域,包括:
确定所述第一权限信息中包含所述第一信息以及所述检索发起方的信息的权限控制域为所述目标权限控制域。
上述的方法,可选的,所述检索信息还包括:
第二信息,所述第二信息包括限定检索范围之外的范围的类型信息和/或角色信息;
所述从所述第一权限信息中获取目标权限控制域,包括:
确定所述第一权限信息中不包含所述第二信息且包含所述检索发起方的信息的权限控制域为所述目标权限控制域。
本申请还提供了一种基于权限的检索装置,包括:
第一获取单元,用于获取检索信息,所述检索信息包括检索发起方的信息;
第二获取单元,用于获取依据一个或多个业务系统的权限控制规则生成的第一权限信息,所述第一权限信息包括由所述业务系统中的数据构成的数据域以及与所述数据域对应的权限控制域,其中,所述权限控制域中包含具有访问对应的数据域的权限的对象的信息;
第三获取单元,用于从所述第一权限信息中获取目标权限控制域以及所述目标权限控制域对应的数据域;所述目标权限控制域为包含所述检索发起方的信息的权限控制域;
确定单元,用于从所述目标权限控制域对应的数据域中确定所述检索信息的检索结果。
可选的,所述第二获取单元用于生成所述第一权限信息的过程包括:
所述第二获取单元具体用于,依据所述一个或多个业务系统的权限控制映射关系,获取数据与数据访问权限信息之间的映射关系;将所述数据写入所述数据域,将所述数据访问权限信息写入与所述数据域对应的权限控制域。
可选的,所述业务系统中的数据包括多种类型的数据;所述权限控制映射关系包括所述多种类型中的各个类型的数据的权限控制映射规则;
所述第二获取单元用于将所述数据写入所述数据域包括:
所述第二获取单元具体用于,将所述各个类型的数据分别写入与所述类型对应的数据域中。
可选的,所述各个类型的数据包括:主体数据和关联数据,其中,所述各个类型中的至少一种类型的数据为所述主体数据,其它类型的数据为所述主体数据的所述关联数据;
所述第二获取单元用于将所述数据写入所述数据域,将所述数据访问权限信息写入与所述数据域对应的权限控制域,包括:
所述第二获取单元具体用于,将所述主体数据写入所述主体数据对应的数据域,将所述关联数据写入所述关联数据对应的数据域;将所述主体数据和所述关联数据的数据访问权限信息均写入所述主体数据对应的权限控制域。
可选的,所述权限控制规则包括:角色权限控制规则,所述角色权限控制规则指示用户信息与角色信息、以及所述角色信息与数据之间的映射关系;
所述第二获取单元用于依据所述一个或多个业务系统的权限控制映射关系,获取数据与数据访问权限信息之间的映射关系,包括:
所述第二获取单元具体用于,依据所述用户信息与角色信息、以及所述角色信息与数据之间的映射关系,确定所述角色信息与所述数据之间的映射关系;
所述第二获取单元用于所述依据所述一个或多个业务系统的权限控制映射关系,获取数据与数据访问权限信息之间的映射关系,包括:
所述第二获取单元具体用于,依据所述用户信息与角色信息、以及所述角色信息与数据之间的映射关系,确定所述角色信息与所述数据之间的映射关系;
所述第二获取单元用于将所述数据访问权限信息写入与所述数据域对应的所述权限控制域包括:
所述第二获取单元具体用于,将写入所述数据域中的数据对应的用户信息和角色信息,均写入所述数据域对应的权限控制域。
可选的,还包括:
第四获取单元,用于在所述第三获取单元从所述第一权限信息中获取目标权限控制域以及所述目标权限控制域对应的数据域之前,获取依据所述角色权限控制规则生成的第二权限信息,所述第二权限信息包括所述检索发起方的角色信息;
所述第三获取单元用于从所述第一权限信息中获取目标权限控制域以及所述目标权限控制域对应的数据域包括:
所述第三获取单元具体用于,从所述第一权限信息中的权限控制域中,选择包含所述检索发起方的信息以及所述检索发起方的角色信息的权限控制域,作为目标权限控制域;从所述第一权限信息中的数据域中,选择与所述目标权限控制域对应的数据域。
可选的,所述第四获取单元用于依据所述角色权限控制规则生成所述第二权限信息的过程包括:
所述第四获取单元具体用于,从所述角色权限控制规则中查询所述用户信息与角色信息之间的映射关系,获得所述检索发起方的信息对应的角色信息,其中,所述检索发起方的信息对应的角色信息为所述第二权限信息。
可选的,所述检索信息还包括:
第一信息,所述第一信息包括类型信息和/或角色信息;
所述第三获取单元用于从所述第一权限信息中获取目标权限控制域包括:
所述第三获取单元具体用于,确定所述第一权限信息中包含所述第一信息以及所述检索发起方的信息的权限控制域为所述目标权限控制域。
可选的,所述检索信息还包括:
第二信息,所述第二信息包括限定检索范围之外的范围的类型信息和/或角色信息;
所述第三获取单元用于从所述第一权限信息中获取目标权限控制域包括:
所述第三获取单元具体用于,确定所述第一权限信息中不包含所述第二信息且包含所述检索发起方的信息的权限控制域为所述目标权限控制域。
本申请还提供了一种设备,包括:处理器和存储器,所述存储器用于存储程序;所述处理器用于运行所述程序,以实现上述的基于权限的检索方法。
本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述的基于权限的检索方法。
本申请还提供了一种计算机程序产品,包括计算机程序/指令,其特征在于,所述计算机程序/指令被处理器执行时实现上述的基于权限的检索方法。
本申请所述的技术方案,获取检索信息,检索信息包括检索发起方的信息,获取依据一个或多个业务系统的权限控制规则生成的第一权限信息,第一权限信息包括由业务系统中的数据构成的数据域以及与数据域对应的权限控制域,权限控制域中包含具有访问对应的数据域的权限的对象的信息,从第一权限信息中获取目标权限控制域以及目标权限控制域对应的数据域;目标权限控制域为包含检索发起方的信息的权限控制域,从目标权限控制域对应的数据域中确定检索信息的检索结果。
因为第一权限信息是基于业务系统原有的权限控制规则生成的,所以第一权限信息适用于各个业务系统。且第一权限信息包括由业务系统中的数据构成的数据域以及与数据域对应的权限控制域,所以通过第一权限信息,依据具有访问权限的对象的信息可以检索到各个业务系统的数据,所以本申请提供基于权限的检索方法通用于各个业务系统。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种基于权限的检索方法的应用场景的示例图;
图2为本申请实施例提供的一种基于权限的检索方法中第一权限信息的生成的流程图;
图3为本申请实施例提供的一种基于权限的检索方法的流程图;
图4为本申请实施例提供的另一种基于权限的检索方法的流程图;
图5为本申请实施例提供的另一种基于权限的检索方法的流程图;
图6为本申请实施例提供的另一种基于权限的检索方法的流程图;
图7为本申请实施例提供的一种基于权限的检索装置的结构示意图;
图8为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请实施例适用的场景的示例:
业务系统中的业务数据(以下简称为数据)被存在数据库中。检索引擎响应检索指令,从数据库中查找并输出查找到的数据。为了保障业务数据的安全性,检索引擎执行以下实施例所述的基于权限的检索方法,并且,能够适用使用不同权限控制模型的业务系统。
为了能够实现对不同权限控制模型的业务系统的业务数据的权限检索的通用性,本实施例中,可以执行图2所示的流程,以将不同的权限控制模型的权限控制规则,生成第一权限信息。在以下的实施例中,第一权项信息被规定为:业务数据与具有访问业务数据的权限的用户信息之间的映射关系。业务数据包括但不限于:产品数据。
图2为第一权限信息的生成过程,至少包括以下步骤S201-S202。
S201、依据一个或多个业务系统的权限控制映射关系,获取数据与数据访问权限信息之间的映射关系。
不同的业务系统使用不同的权限控制模型,权限控制模型指示权限控制规则,本实施例中,以权限控制规则为权限控制映射关系为例。
不同的权限控制模型指示的权限控制映射关系通常不同。例如ACL权限控制模型指示的权限控制映射关系为:用户信息(数据访问权限信息的一种示例)与数据之间的映射关系。RBAC权限控制模型指示的权限控制映射关系则包括:用户信息与用户角色之间的映射关系、以及用户角色与数据之间的映射关系。本实施例中,用户信息可以包括但不限于:用户在业务系统中注册的账户、或者用户名。
从上述举例可以看出,权限控制映射关系可能是数据与权限信息(如用户信息)之间的较为简单的映射关系(如ACL权限控制模型指示的权限控制映射关系),也可能是多组映射关系构成的较为复杂的映射关系(如RBAC权限控制模型指示的权限控制映射关系由两组映射关系构成)。
但无论是哪种情况,均能够直接或间接指示业务系统的数据与数据访问权限信息的映射关系。
具体的,对于前者,权限控制映射关系本身即为业务数据与数据访问权限信息的映射关系。例如,ACL权限控制模型使用的映射关系包括产品数据与用户信息之间的映射关系,其中,产品数据属于业务数据,用户信息属于数据访问权限信息,所以ACL权限控制模型使用的映射关系可以直接作为业务数据与数据访问权限信息的映射关系。
对于后者,可以依据多组映射关系,转换得到数据与数据访问权限信息之间的映射关系,例如对于RBAC权限控制模型指示的两组映射关系:用户信息与用户角色之间的映射关系、以及用户角色与数据之间的权限映射关系,可转换为数据与用户信息之间的映射关系。例如,产品数据属于业务数据,要得到产品数据与作为产品数据的访问权限信息的用户信息,需要依据用户信息与用户角色的映射关系,获得与产品数据对应的用户角色对应的用户信息,从而得到产品数据与用户信息的映射关系。
在某些业务系统中,数据被划分为多种类型,即数据包括多种类型的数据,在此情况下,权限控制映射关系通常包括多种类型中各个类型的数据的权限控制映射规则。例如,业务系统中的数据包括任务数据和企业数据两种类型的数据,每种类型的数据都有对应的权限控制映射关系,例如,权限控制映射关系包括:任务数据与用户信息的映射关系、以及企业数据与用户信息的映射关系。
为了与这种情况兼容,在一个实例中,获取各种类型的数据与数据访问权限信息之间的映射关系。
在某些业务系统中,数据被划分为主体数据和关联数据。即数据包括主体数据和关联数据。其中,各个类型中的至少一种类型的数据为主体数据,其它类型的数据为主体数据的关联数据。例如,业务系统的任务数据作为主体数据,企业数据、项目数据、产品数据和团队数据等其他类型数据为关联数据。
在此情况下,权限控制映射关系通常包括主体数据与数据访问权限信息之间的映射关系、以及关联数据与数据访问权限信息之间的映射关系。
为了与这种情况兼容,在一个实例中,获取主体数据以及关联数据各自对应的访问控制权限。
S202、将数据写入数据域,将数据访问权限信息写入与数据域对应的权限控制域,得到第一权限信息。
本步骤中,得到数据与数据访问权限信息之间的映射关系后,将数据写入数据域,将数据访问权限信息写入与数据域对应的权限控制域。也就是说数据域中包含数据,权限控制域中包含数据访问权限信息。
可以理解的是,第一权限信息包括上述数据域、以及与数据域对应的权限控制域。
具体的,在业务系统中的数据包括多种类型的数据的情况下,本步骤的具体实施方式为:将各个类型的数据分别写入与类型对应的数据域中,并将数据访问权限信息写入与数据域对应的权限控制域。
本步骤中,通过将各个类型的数据分别写入与类型对应的数据域中,并将数据访问权限信息写入与数据域对应的权限控制域,使可以实现按类型进行权限控制。
在各个类型的数据包括主体数据和关联数据的情况下,本步骤的具体实施方式为:将主体数据写入主体数据对应的数据域,将关联数据写入关联数据对应的数据域,将主体数据和关联数据的数据访问权限信息均写入主体数据对应的权限控制域。
将主体数据和关联数据的数据访问权限信息均写入主体数据对应的权限控制域,使得在后续的检索过程中,可以通过关联数据的数据访问权限信息,获取得到主体数据,不需要递归或嵌套权限控制,过程简单便利。该过程将在以下检索流程中详细说明。
第一权限信息的一种示例为数据表,数据表中包括多个数据域,每个数据域对应至少一个权限控制域。因为将不同业务系统的权限控制模型指示的数据以及数据对应的数据访问权限信息被写入数据表,所以数据表的体量较大,因此可以被称为“数据宽表”。在一个实例中,数据表中的数据域被配置为存放某种类型的数据、或者主体数据、或者关联数据。
本实施例所述的流程,依据业务系统的权限控制模型,生成第一权限信息,因为不同权限控制模型指示的权限控制信息均能够被写入第一权限信息中,所以为后续通用性检索奠定了基础。并且,还能兼容业务系统对不同维度的数据分别进行权限控制的情况。
基于上述第一权限信息,可以实现适用于使用不同权限控制模型的业务系统的数据检索。以下将对检索流程进行详细说明。
图3为本申请实施例提供的一种基于权限的检索方法,至少包括以下步骤S101-S104。
S301、获取检索信息。
检索信息包括检索发起方的信息。其中,检索发起方的信息包括但不限于用户信息,具体的,检索发起方的信息是检索发起方的唯一标识,例如ID码和账号等。在检索发起方依据检索发起方的信息登录检索系统时,可获取检索发起方的用户信息。
S302、获取第一权限信息。
第一权限信息的具体生成过程以及具体内容均可参考上述实施例,这里不再赘述。可以理解的是,本步骤中,获取第一权限信息的具体方式可以为读取前述图2所示实施例生成的第一权限信息。当然也可以按照上述图2所示实施例的流程生成第一权限信息,这里不做限定。
S303、从第一权限信息中获取目标权限控制域以及目标权限控制域对应的数据域。
目标权限控制域为包含检索发起方的信息的权限控制域。
本步骤中,从第一权限信息中查找确定包含检索发起方的信息的权限控制域,作为目标权限控制域。并根据第一权限信息中权限控制域与数据域之间的对应关系,查找目标权限控制域对应的数据域。
S304、从目标权限控制域对应的数据域中确定检索信息的检索结果。
检索信息中除了包含检索发起方的信息之外,还包括检索关键词,例如产品型号。
从目标权限控制域对应的数据域中,获取与检索关键词匹配的数据,作为检索信息的检索结果。
结合第一权限信息的生成流程以及上述检索步骤,在一种实例中,能够实现数据的按类型检索:
例如检索信息中包含某类产品的类型编号,首先按照检索信息中包含的用户信息查找目标权限控制域,因为第一权限信息中的数据域中包括按照数据的类型分配的数据域,所以,目标权限信息对应的数据域中包含该类型的数据,从而可以查找出与产品的类型编号匹配的数据,例如该类型的产品的生产日期等数据。可见,使用检索信息能够按类型检索数据。
结合第一权限信息的生成流程以及上述检索步骤,在一种实例中,能够实现主体数据和关联数据的联合检索:
例如主体数据为订单数据,包括买卖方、订单号,商品数据,关联数据为商品的生产厂家数据,如果要实现生产厂家能够查询商品的买卖方数据,现有技术中,需要递归或嵌套权限控制,例如,生成厂家先使用自身的信息,查询自身信息权限下的关联数据,再使用关联数据查询到包括买卖方的订单数据。
而因为第一权限信息中,主体数据与关联数据的数据访问权限信息均写入主体数据对应的权限控制域,所以,使用关联数据的权限控制信息能够获取主体数据,从而简化了关联数据的权限方查询主体数据的流程。
本实施例提供的方法,基于第一权限信息实现基于权限的数据检索,因为第一权限信息是基于业务系统原有的权限控制规则生成的,且无论业务系统原有的权限控制规则是何种类型,权限控制规则指示的数据与数据访问权限的对应关系均被写入第一权限信息,所以无需再按照业务系统的权限控制模型的类型,分别设置检索引擎,本实施例所述的检索流程,可以适用于使用不同权限控制模型的业务系统的基于权限的检索。
并且,因为第一权限信息按照数据类型以及主体数据、关联数据的维度,存储数据与数据访问权限信息的对应关系,所以能够实现基于权限的数据类型以及主体数据、关联数据维度的数据检索。
实际中,某些业务系统的权限控制模型限定了角色信息作为数据访问权限信息,为了与这种情况兼容,即为了实现可以基于角色的权限控制,图4为本申请实施例提供的另一种基于权限的检索方法,包括以下步骤S401-S406:
S401、获取检索信息。
S402、获取第一权限信息。
与图2所示的流程类似的,第一权限信息依据权限控制规则生成。本实施例中,权限控制规则包括角色权限控制规则,角色权限控制规则指示用户信息与角色信息、以及角色信息与数据之间的映射关系。角色信息是指,用户在业务系统预先划分的业务要素中承担的角色,如业务要素为任务、企业、项目、团队和产品时,对应的,角色信息可以是任务成员、任务创建员、企业管理员、团队管理员、项目管理员以及产品管理员等。
本实施例中,对于角色权限控制规则指示的映射关系,按照步骤A1-A2被写入第一权限信息:
步骤A1、依据用户信息与角色信息、以及角色信息与数据之间的映射关系,确定用户信息与数据之间的映射关系。
即将用户信息与角色信息、以及角色信息与数据之间的映射关系转换为角色信息与数据之间的映射关系。
步骤A2、将数据写入数据域,并将写入数据域中的数据对应的用户信息和角色信息均写入数据域对应的权限控制域。
将用户信息和角色信息均写入数据域对应的权限控制域,使角色信息也可以作为获取数据域数据的权限。
S403、获取第二权限信息,并通常查询第二权限信息,获得检索发起方的角色信息。
第二权限信息包括用户信息与角色信息之间的映射关系。第二权限信息依据角色权限控制规则预先生成。具体的生成过程为:查询角色权限控制规则指示的用户信息与角色信息之间的映射关系,并将查询到的映射关系作为第二权限信息。
可以理解的是,依据检索发起方的用户信息,从第二权限信息中可以查询到检索发起方的角色信息。
S404、从第一权限信息中的权限控制域中,选择包含检索发起方的信息以及检索发起方的角色信息的权限控制域,作为目标权限控制域。
S405、从第一权限信息中的数据域中,选择与目标权限控制域对应的数据域。
S406、从目标权限控制域对应的数据域中确定检索信息的检索结果。
本实施例提供的方法,本实施例提供的方案,不仅可以通用于各个业务系统,还可以实现基于角色的权限控制。
为了在检索中可以实现跨域获取指定数据(即从各个业务系统指定的数据域中获取数据),图5为本申请实施例提供的另一种基于权限的检索方法,本实施例中与上述实施例相同步骤的实施例方式可以参考上述实施例,此处不再赘述。本实施例包括以下步骤S501-S504:
S501、获取包括检索发起方的信息、以及第一信息的检索信息。
检索范围标识指示被检索的范围,即第一信息至少包括限定检索范围的类型信息和角色信息中的一项。类型信息可以是业务系统的各个业务要素,如任务、企业、团队、项目以及产品等。角色信息可以是用户在业务要素中承担的角色,如业务要素为任务,角色信息可以是任务成员和任务创建员等角色。
本实施例中,以包括各个业务要素的业务系统为例,获取类型信息的方式可以是从检索系统的业务要素的页面中进行检索,使检索信息包括业务要素,也可以在通用的业务界面(即不区分业务要素的界面)中输入包括业务要素标识的检索指令,使检索信息包括指示检索范围为类型信息的第一信息。
获取角色信息的方式可以是在通用的业务界面中输入包括角色信息标识的检索指令,使检索信息包括指示检索范围为角色信息的第一信息。
同时获取类型信息和角色信息的方式可以是从业务要素的页面中输入包括角色信息标识的检索指令使检索信息包括业务要素。也可以在通用的业务界面中输入包括业务要素标识和角色信息标识的检索指令,使检索信息包括限定检索范围为类型信息和角色信息的第一信息。
S502、获取依据一个或多个业务系统的权限控制规则生成的第一权限信息。
S503、确定第一权限信息中包含第一信息以及检索发起方的信息的权限控制域为目标权限控制域。
S504、从目标权限控制域对应的数据域中确定检索信息的检索结果。
本实施例提供的方法,例如,第一信息为角色信息,角色信息为任务创建人,检索发起方的信息为用户名,则将所有包括任务创建人以及用户名的权限控制域都可以作为目标权限控制域,将目标权限控制域对应的数据域则作为目标数据域,并从目标数据域获取数据作为检索结果。因为数据域的数据来源于各个业务系统,所以可以实现了跨域获取指定数据,实现可精准检索。
为了实现在检索中可以屏蔽部分数据域的数据,使检索结果更加直观,图6为本申请实施例提供的另一种基于权限的检索方法,本实施例中与上述实施例相同步骤的实施方式可以参考上述实施例,此处不再赘述。本实施例包括以下步骤S601-S604:
S601、获取包括检索发起方的信息以及第二信息的检索信息。
第二信息指示不检索的范围,即第二信息至少包括限定检索范围之外的范围的类型信息和角色信息中的一项。检索范围之外的范围是指,不是检索范围的范围。
本实施例中,以包括各个业务要素的业务系统为例,获取检索信息的方式可以是从通用的业务界面中输入不包括业务要素标识的检索指令,使检索信息包括指示不检索的范围(即检索范围之外的范围)的第二信息。
S602、获取依据一个或多个业务系统的权限控制规则生成的第一权限信息。
S603、确定第一权限信息中包含检索发起方的信息且不包含第二信息的权限控制域为目标权限控制域。
S604、从目标权限控制域对应的数据域中确定检索信息的检索结果。
本实施例提供的方法,在检索信息包括指示不被检索的范围的第二信息的情况下,可以实现有选择的过滤部分数据,实现精准检索,检索结果更加直观简便。
图7为本申请实施例提供的一种基于权限的检索装置的结构示意图,包括:
第一获取单元701,用于获取检索信息,检索信息包括检索发起方的信息;
第二获取单元702,用于获取依据一个或多个业务系统的权限控制规则生成的第一权限信息,第一权限信息包括由业务系统中的数据构成的数据域以及与数据域对应的权限控制域,其中,权限控制域中包含具有访问对应的数据域的权限的对象的信息;
第三获取单元703,用于从第一权限信息中获取目标权限控制域以及目标权限控制域对应的数据域;目标权限控制域为包含检索发起方的信息的权限控制域;
确定单元704,用于从目标权限控制域对应的数据域中确定检索信息的检索结果。
可选的,所述第二获取单元用于生成所述第一权限信息的过程包括:
所述第二获取单元具体用于,依据所述一个或多个业务系统的权限控制映射关系,获取数据与数据访问权限信息之间的映射关系;将所述数据写入所述数据域,将所述数据访问权限信息写入与所述数据域对应的权限控制域。
可选的,所述业务系统中的数据包括多种类型的数据;所述权限控制映射关系包括所述多种类型中的各个类型的数据的权限控制映射规则;
所述第二获取单元用于将所述数据写入所述数据域包括:
所述第二获取单元具体用于,将所述各个类型的数据分别写入与所述类型对应的数据域中。
可选的,所述各个类型的数据包括:主体数据和关联数据,其中,所述各个类型中的至少一种类型的数据为所述主体数据,其它类型的数据为所述主体数据的所述关联数据;
所述第二获取单元用于将所述数据写入所述数据域,将所述数据访问权限信息写入与所述数据域对应的权限控制域,包括:
所述第二获取单元具体用于,将所述主体数据写入所述主体数据对应的数据域,将所述关联数据写入所述关联数据对应的数据域;将所述主体数据和所述关联数据的数据访问权限信息均写入所述主体数据对应的权限控制域。
可选的,所述权限控制规则包括:角色权限控制规则,所述角色权限控制规则指示用户信息与角色信息、以及所述角色信息与数据之间的映射关系;
所述第二获取单元用于依据所述一个或多个业务系统的权限控制映射关系,获取数据与数据访问权限信息之间的映射关系,包括:
所述第二获取单元具体用于,依据所述用户信息与角色信息、以及所述角色信息与数据之间的映射关系,确定所述角色信息与所述数据之间的映射关系;
所述第二获取单元用于所述依据所述一个或多个业务系统的权限控制映射关系,获取数据与数据访问权限信息之间的映射关系,包括:
所述第二获取单元具体用于,依据所述用户信息与角色信息、以及所述角色信息与数据之间的映射关系,确定所述角色信息与所述数据之间的映射关系;
所述第二获取单元用于将所述数据访问权限信息写入与所述数据域对应的所述权限控制域包括:
所述第二获取单元具体用于,将写入所述数据域中的数据对应的用户信息和角色信息,均写入所述数据域对应的权限控制域。
可选的,还包括:
第四获取单元,用于在所述第三获取单元从所述第一权限信息中获取目标权限控制域以及所述目标权限控制域对应的数据域之前,获取依据所述角色权限控制规则生成的第二权限信息,所述第二权限信息包括所述检索发起方的角色信息;
所述第三获取单元用于从所述第一权限信息中获取目标权限控制域以及所述目标权限控制域对应的数据域包括:
所述第三获取单元具体用于,从所述第一权限信息中的权限控制域中,选择包含所述检索发起方的信息以及所述检索发起方的角色信息的权限控制域,作为目标权限控制域;从所述第一权限信息中的数据域中,选择与所述目标权限控制域对应的数据域。
可选的,所述第四获取单元用于依据所述角色权限控制规则生成所述第二权限信息的过程包括:
所述第四获取单元具体用于,从所述角色权限控制规则中查询所述用户信息与角色信息之间的映射关系,获得所述检索发起方的信息对应的角色信息,其中,所述检索发起方的信息对应的角色信息为所述第二权限信息。
可选的,所述检索信息还包括:
第一信息,所述第一信息包括类型信息和/或角色信息;
所述第三获取单元用于从所述第一权限信息中获取目标权限控制域包括:
所述第三获取单元具体用于,确定所述第一权限信息中包含所述第一信息以及所述检索发起方的信息的权限控制域为所述目标权限控制域。
可选的,所述检索信息还包括:
第二信息,所述第二信息包括限定检索范围之外的范围的类型信息和/或角色信息;
所述第三获取单元用于从所述第一权限信息中获取目标权限控制域包括:
所述第三获取单元具体用于,确定所述第一权限信息中不包含所述第二信息且包含所述检索发起方的信息的权限控制域为所述目标权限控制域。
本实施例提供的基于权限的检索装置通用于各个业务系统。
本申请还提供了一种设备,其结构示意图如图8所示,包括:处理器801和存储器802,存储器802用于存储应用程序,处理器801用于执行应用程序,以实现本申请的基于权限的检索方法,即执行上述方法实施例所述的基于权限的检索方法。
本申请实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种基于权限的检索方法,其特征在于,包括:
获取检索信息,所述检索信息包括检索发起方的信息;
获取依据一个或多个业务系统的权限控制规则生成的第一权限信息,所述第一权限信息包括由所述业务系统中的数据构成的数据域以及与所述数据域对应的权限控制域,其中,所述权限控制域中包含具有访问对应的数据域的权限的对象的信息;
从所述第一权限信息中获取目标权限控制域以及所述目标权限控制域对应的数据域;所述目标权限控制域为包含所述检索发起方的信息的权限控制域;
从所述目标权限控制域对应的数据域中确定所述检索信息的检索结果。
2.根据权利要求1所述的方法,其特征在于,所述第一权限信息的生成过程包括:
依据所述一个或多个业务系统的权限控制映射关系,获取数据与数据访问权限信息之间的映射关系;
将所述数据写入所述数据域,将所述数据访问权限信息写入与所述数据域对应的权限控制域。
3.根据权利要求2所述的方法,其特征在于,所述业务系统中的数据包括多种类型的数据;所述权限控制映射关系包括所述多种类型中的各个类型的数据的权限控制映射规则;
所述将所述数据写入所述数据域包括:
将所述各个类型的数据分别写入与所述类型对应的数据域中。
4.根据权利要求2所述的方法,其特征在于,所述权限控制规则包括:角色权限控制规则,所述角色权限控制规则指示用户信息与角色信息、以及所述角色信息与数据之间的映射关系;
所述依据所述一个或多个业务系统的权限控制映射关系,获取数据与数据访问权限信息之间的映射关系,包括:
依据所述用户信息与角色信息、以及所述角色信息与数据之间的映射关系,确定所述用户信息与所述数据之间的映射关系;
所述将所述数据访问权限信息写入与所述数据域对应的所述权限控制域包括:
将写入所述数据域中的数据对应的用户信息和角色信息,均写入所述数据域对应的权限控制域。
5.根据权利要求1-4任一项所述的方法,所述检索信息还包括:
第一信息,所述第一信息包括限定检索范围的类型信息和/或角色信息;
所述从所述第一权限信息中获取目标权限控制域,包括:
确定所述第一权限信息中包含所述第一信息以及所述检索发起方的信息的权限控制域为所述目标权限控制域。
6.根据权利要求要求1-4任一项所述的方法,所述检索信息还包括:
第二信息,所述第二信息包括限定检索范围之外的范围的类型信息和/或角色信息;
所述从所述第一权限信息中获取目标权限控制域,包括:
确定所述第一权限信息中不包含所述第二信息且包含所述检索发起方的信息的权限控制域为所述目标权限控制域。
7.一种基于权限的检索装置,其特征在于,包括:
第一获取单元,用于获取检索信息,所述检索信息包括检索发起方的信息;
第二获取单元,用于获取依据一个或多个业务系统的权限控制规则生成的第一权限信息,所述第一权限信息包括由所述业务系统中的数据构成的数据域以及与所述数据域对应的权限控制域,其中,所述权限控制域中包含具有访问对应的数据域的权限的对象的信息;
第三获取单元,用于从所述第一权限信息中获取目标权限控制域以及所述目标权限控制域对应的数据域;所述目标权限控制域为包含所述检索发起方的信息的权限控制域;
确定单元,用于从所述目标权限控制域对应的数据域中确定所述检索信息的检索结果。
8.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器用于存储程序;所述处理器用于运行所述程序,以实现权利要求1-6任一项所述的基于权限的检索方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行权利要求1-6任一项所述的基于权限的检索方法。
10.一种计算机程序产品,包括计算机程序/指令,其特征在于,所述计算机程序/指令被处理器执行时实现权利要求1-6任一项所述的基于权限的检索方法。
CN202111004189.8A 2021-08-30 2021-08-30 基于权限的检索方法及装置、设备 Pending CN113704285A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111004189.8A CN113704285A (zh) 2021-08-30 2021-08-30 基于权限的检索方法及装置、设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111004189.8A CN113704285A (zh) 2021-08-30 2021-08-30 基于权限的检索方法及装置、设备

Publications (1)

Publication Number Publication Date
CN113704285A true CN113704285A (zh) 2021-11-26

Family

ID=78656800

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111004189.8A Pending CN113704285A (zh) 2021-08-30 2021-08-30 基于权限的检索方法及装置、设备

Country Status (1)

Country Link
CN (1) CN113704285A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116702213A (zh) * 2023-08-01 2023-09-05 北京太极法智易科技有限公司 针对多级企业的业务系统数据权限管理方法、装置和设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100198804A1 (en) * 2009-02-04 2010-08-05 Queplix Corp. Security management for data virtualization system
CN102664888A (zh) * 2012-04-19 2012-09-12 中国科学院软件研究所 一种基于信任度的访问控制方法及其系统
CN103078859A (zh) * 2012-12-31 2013-05-01 普天新能源有限责任公司 业务系统权限管理方法、设备及系统
CN106487770A (zh) * 2015-09-01 2017-03-08 阿里巴巴集团控股有限公司 鉴权方法及鉴权装置
CN109670768A (zh) * 2018-09-27 2019-04-23 深圳壹账通智能科技有限公司 多业务域的权限管理方法、装置、平台及可读存储介质
CN111861357A (zh) * 2019-06-17 2020-10-30 北京嘀嘀无限科技发展有限公司 权限信息处理方法及系统、计算机设备、存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100198804A1 (en) * 2009-02-04 2010-08-05 Queplix Corp. Security management for data virtualization system
CN102664888A (zh) * 2012-04-19 2012-09-12 中国科学院软件研究所 一种基于信任度的访问控制方法及其系统
CN103078859A (zh) * 2012-12-31 2013-05-01 普天新能源有限责任公司 业务系统权限管理方法、设备及系统
CN106487770A (zh) * 2015-09-01 2017-03-08 阿里巴巴集团控股有限公司 鉴权方法及鉴权装置
CN109670768A (zh) * 2018-09-27 2019-04-23 深圳壹账通智能科技有限公司 多业务域的权限管理方法、装置、平台及可读存储介质
CN111861357A (zh) * 2019-06-17 2020-10-30 北京嘀嘀无限科技发展有限公司 权限信息处理方法及系统、计算机设备、存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116702213A (zh) * 2023-08-01 2023-09-05 北京太极法智易科技有限公司 针对多级企业的业务系统数据权限管理方法、装置和设备

Similar Documents

Publication Publication Date Title
KR102514325B1 (ko) 모델 훈련 시스템 및 방법과, 저장 매체
CN107798038B (zh) 数据响应方法及数据响应设备
CN110889130B (zh) 基于数据库的细粒度数据加密方法、系统及装置
US11487885B2 (en) Enabling and validating data encryption
CN104967620A (zh) 一种基于属性访问控制策略的访问控制方法
CN111931160B (zh) 权限验证方法、装置、终端和存储介质
CN111950013B (zh) 一种基于属性探索的rbac角色快速辅助构建方法
JP2006024059A (ja) 文書管理用コンピュータプログラムならびに文書管理装置および方法
CN115238247A (zh) 基于零信任数据访问控制系统的数据处理方法
CN113704285A (zh) 基于权限的检索方法及装置、设备
CN108683657B (zh) 数据的安全访问方法、装置、终端设备及可读存储介质
US10102216B2 (en) System for associating related digital assets
JP2015130021A (ja) 情報処理装置及び情報処理プログラム
Cho et al. Privacy-preserving similarity measurement for access control policies
CN113779525B (zh) 一种基于角色的Handle系统差异化解析方法
CN110807185A (zh) 系统访问方法、装置及服务器
EP3458979B1 (en) Reconciling foreign key references and table security policies
CN115481442A (zh) 数据库表内数据的加密方法、机器可读存储介质与计算机设备
CN114238273A (zh) 数据库管理方法、装置、设备及存储介质
JP6631091B2 (ja) 情報処理装置及び情報処理プログラム
CN113127906A (zh) 基于c/s架构的统一权限管理平台、方法及存储介质
JP6358819B2 (ja) ワークフロー統合システム
CN114362979B (zh) 一种管理应用的方法和系统
CN114417323B (zh) 数据引用方法、装置、设备及介质
Pardo et al. Analysis of Privacy Policies to Enhance Informed Consent (Extended Version)

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination