CN113946837A - 数据访问和数据访问权限的配置方法、设备、存储介质 - Google Patents
数据访问和数据访问权限的配置方法、设备、存储介质 Download PDFInfo
- Publication number
- CN113946837A CN113946837A CN202010679892.8A CN202010679892A CN113946837A CN 113946837 A CN113946837 A CN 113946837A CN 202010679892 A CN202010679892 A CN 202010679892A CN 113946837 A CN113946837 A CN 113946837A
- Authority
- CN
- China
- Prior art keywords
- data
- user
- domain
- authority group
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本发明公开了一种数据访问和数据访问权限的配置方法、设备、存储介质,所述方法包括:接收由用户端发送的数据访问请求;其中,所述数据访问请求包括:所述用户端的用户标识信息;确定出与所述用户标识信息对应的数据权限组;其中,所述数据权限组包括:可访问的数据域的标签,且一个数据域包括多个业务数据;将所述可访问的数据域的标签发送至所述用户端,以使所述用户端根据所述可访问的数据域的标签访问所述业务数据;本发明有效地解决了用户端对系统的业务数据的分权访问控制。
Description
技术领域
本发明涉及数据管理技术领域,特别涉及一种数据访问和数据访问权限的配置方法、设备、存储介质。
背景技术
在大数据技术浪潮下,数据是一个企业最有价值和最有生命的资产。目前数据访问控制模型主要有:ACL(Access Control List,访问控制列表)模型和RBAC(Role-BasedAccess Control,基于角色访问控制)模型。其中,ACL模型就是基于主体、动作和资源对象形成的一个规则,但是该规则与主体高度绑定,灵活性较差;而RBAC模型是抽象出了一个中间层角色(role),主体与角色绑定,但是权限粒度较粗,不能对对象的某个属性进行权限控制。因此,亟需一种可以满足个性化权限控制需求,且高效、安全的数据访问管理方案。
发明内容
本发明的目的在于提供一种数据访问和数据访问权限的配置方法、设备、存储介质,有效地解决了用户端对系统的业务数据的分权访问控制。
根据本发明的一个方面,提供了一种数据访问方法,所述方法包括:
接收由用户端发送的数据访问请求;其中,所述数据访问请求包括:所述用户端的用户标识信息;
确定出与所述用户标识信息对应的数据权限组;其中,所述数据权限组包括:可访问的数据域的标签,且一个数据域包括多个业务数据;
将所述可访问的数据域的标签发送至所述用户端,以使所述用户端根据所述可访问的数据域的标签访问所述业务数据。
可选的,所述确定出与所述用户标识信息对应的数据权限组,具体包括:
判断在预设的用户权限组关联表中是否存在所述用户标识信息;
若是,则在所述用户权限组关联表中确定出与所述用户标识信息关联的数据权限组;
若否,则从所述用户端获取用户属性信息,利用预设的分组规则确定出与所述用户属性信息对应的数据权限组,并将确定出的数据权限组和所述用户标识信息关联存储到所述用户权限组关联表中。
可选的,所述方法还包括:
接收由所述用户端发送的配置创建请求;其中,所述配置创建请求包括:业务配置,且所述业务配置用于对业务数据进行计算和展示;
将所述业务配置添加到与所述用户端的用户标识信息对应的数据权限组中,以供其他属于所述数据权限组的用户端访问所述业务配置。
可选的,在所述将所述可访问的数据域的标签发送至所述用户端之后,所述方法还包括:
接收由所述用户端发送的数据获取请求;其中,所述数据获取请求包括:所述可访问的数据域的标签中的一个或多个目标标签;
从预设的数据库中分别获取与每个目标标签对应的业务数据;
将获取到的业务数据发送至所述用户端。
为了实现上述目的,本发明还提供了一种数据访问权限的配置方法,所述方法包括:
当接收到域创建指令时,将采集的业务数据划分到不同的数据域中,并为业务数据添加对应数据域的标签;
当接收到权限组创建指令时,创建数据权限组,并在所述数据权限组中添加可访问的数据域的标签;
当接收到用户创建指令时,获取用户端的用户标识信息,确定所述用户端对应的数据权限组,并建立所述数据权限组与所述用户标识信息的关联关系。
可选的,所述将采集的业务数据划分到不同的数据域中,并为业务数据添加对应数据域的标签,具体包括:
按照预设的域配置确定出所述业务数据所归属的数据域,并为所述业务数据添加所述数据域的标签;其中,所述域配置用于将属于同一网段的业务数据划分到一个数据域中;
将添加有数据域的标签的业务数据存储到预设的数据库中。
可选的,所述方法还包括:
接收配置更新指令,并根据所述配置更新指令添加新的域配置、删除已有域配置或修改已有域配置。
可选的,所述方法还包括:接收权限组更新指令,并根据所述权限组更新指令删除已有数据权限组、或修改已有数据权限组中的可访问的数据域的标签;和/或,
所述确定所述用户端对应的数据权限组,具体包括:
获取所述用户端的用户属性信息和预设的分组规则;
根据所述预设的分组规则确定所述用户属性信息对应的数据权限组。
为了实现上述目的,本发明还提供一种计算机设备,该计算机设备具体包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述介绍的数据访问方法以及实现上述介绍的数据访问权限的配置方法的步骤。
为了实现上述目的,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述介绍的数据访问方法以及实现上述介绍的数据访问权限的配置方法的步骤。
本发明提供的数据访问和数据访问权限的配置方法、设备、存储介质,采用了ABAC(Attribute-Based Access Control,基于属性的访问控制)模型,系统管理员可以根据访问控制需求,设置多个数据权限组,且为每个数据权限组设置了可访问的业务数据和业务配置的范围,从而有效地解决了用户端对系统的业务数据和业务配置的分权访问控制。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为实施例一提供的数据访问方法的一种可选的流程示意图;
图2为实施例一提供的数据权限组、数据域和业务数据的关系图;
图3为实施例一提供的业务数据的处理过程的示意图;
图4为实施例一提供的数据权限组和业务配置的关系图;
图5为实施例二提供的数据访问权限的配置方法的一种可选的流程示意图;
图6为实施例三提供的数据访问装置的一种可选的组成结构示意图;
图7为实施例四提供的数据访问权限的配置装置的一种可选的组成结构示意图;
图8为实施例五提供的数据访问装置的另一种可选的组成结构示意图;
图9为实施例六提供的计算机设备的一种可选的硬件架构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例提供了一种数据访问方法,如图1所示,该方法具体包括以下步骤:
步骤S101:接收由用户端发送的数据访问请求;其中,所述数据访问请求包括:所述用户端的用户标识信息。
其中,所述用户标识信息为用于唯一标识所述用户端的信息,例如,用户端ID信息。
步骤S102:确定出与所述用户标识信息对应的数据权限组;其中,所述数据权限组包括:可访问的数据域的标签,且一个数据域包括多个业务数据。
在本实施例中,可以由系统管理员预先配置多个数据权限组,也可以在使用过程中,根据需要进行实时配置,数据权限组用于授权用户端访问数据域中业务数据的权限,即用户端无权访问不包含在所述数据权限组中的数据域中的业务数据。此外,在本实施例中,业务数据被划分到不同的数据域中,每个数据域通过唯一的数据域标签进行标识;需要说明的是,多个用户端可对应一个数据权限组、一个数据权限组可包括多个数据域的标签、一个数据域可包括多个业务数据,如图2所示,为数据权限组、数据域和业务数据的关系图,其中,系统管理员可以访问所有的数据权限组。
此外,数据权限组中所包含的数据域可以由系统管理员事先设置,在使用过程中可以根据需要进行增加、删除、修改等操作,因此,所述方法还包括:
接收权限组更新指令,并根据所述权限组更新指令添加新的数据权限组、删除已有数据权限组、或修改已有数据权限组中的可访问的数据域的标签。
具体的,步骤S102,包括:
判断在预设的用户权限组关联表中是否存在所述用户标识信息;
若是,则在所述用户权限组关联表中确定出与所述用户标识信息关联的数据权限组;
若否,则从所述用户端获取用户属性信息,利用预设的分组规则确定出与所述用户属性信息对应的数据权限组,并将确定出的数据权限组和所述用户标识信息关联存储到所述用户权限组关联表中。
在本实施例中,当用户端第一次发送数据访问请求时,由于所述用户端的用户标识信息不存在预设的用户权限组关联表中,所以需要先从所述用户端获取用户属性信息,其中,所述用户属性信息包括所述用户端的各种属性信息,例如:用户岗位信息、用户部门信息、用户级别信息;再将所述用户属性信息与预设的分组规则进行匹配,从而确定出所述用户端所归属的数据权限组,其中,所述分组规则规定了各个数据权限组所需满足的属性信息,且系统管理员可以对分组规则进行修改;最后将所述用户端的用户标识信息和对应的数据权限组关联存储到所述用户权限组关联表中,以便后续通过所述用户权限组关联表确定出与用户标识信息对应的数据权限组。
进一步的,所述方法还包括:
步骤A1:采集业务数据,并按照预设的域配置确定出所述业务数据所归属的数据域,并为所述业务数据添加所述数据域的标签;
其中,域配置为系统管理员事先设置的用于将业务数据划分到不同的数据域中的规则,且系统管理员可以对域配置进行修改;优选的,所述域配置用于将属于同一网段的业务数据划分到一个数据域中;
步骤A2:将添加有数据域的标签的业务数据存储到预设的数据库中。
在本实施例中,所述业务数据包括:日志数据和流量数据,通过采集业务数据,并根据域配置对业务数据进行解析,以为业务数据添加对应的数据域的标签,最终将添加有标签的业务数据存储到数据库中。
优选的,可以为每个数据域设置对应的域配置,将业务数据依次与各个域配置进行比对以确定出业务数据所归属的数据域。
此外,所述方法还包括:
接收配置更新指令,并根据所述配置更新指令添加新的域配置、删除已有域配置或修改已有域配置。
在实际应用中,对业务数据的处理过程如图3所示:
首先,所有类型的日志数据(syslog,SNMP,VVMI)都会通过日志采集器转发到kafka的topic中;所有流量数据,通过在流量外发设备配置外发策略,以将流量数据直接发送到kafka对应的topic中。
其次,kafka中的存储日志数据的topic会被log_app解析插件消费,log_app解析插件根据域配置为日志数据添加对应的数据域的标签,并重新存储到kafka中;kafka中的存储流量数据的topic会被setl_app解析插件消费,setl_app解析插件根据域配置为流量数据添加对应的数据域的标签,并重新存储到kafka中。
最后,kafka中的添加有标签的日志数据和流量数据分别存储到Elasticsearch数据库和Hive数据库中。
更进一步的,所述方法还包括:
步骤B1:接收由所述用户端发送的配置创建请求;其中,所述配置创建请求包括:业务配置,且所述业务配置用于对业务数据进行计算和展示;
步骤B2:将所述业务配置添加到与所述用户端的用户标识信息对应的数据权限组中,以供其他属于所述数据权限组的用户端访问所述业务配置。
业务配置是系统运行过程中由用户端创建的配置数据,如:报表、仪表盘和视图,用于控制和管理业务数据的计算和展示;当用户通过用户端创建了新的业务配置时,根据所述用户端所对应的数据权限组,将新的业务配置添加到所述数据权限组中,以供其他属于所述数据权限组的用户端可以访问新的业务配置,以达到业务配置共享的效果。如图4所示,为数据权限组和业务配置的关系图,其中,系统管理员可以访问所有的数据权限组。
步骤S103:将所述可访问的数据域的标签发送至所述用户端,以使所述用户端根据所述可访问的数据域的标签访问所述业务数据。
具体的,在步骤S103之后,所述方法还包括:
步骤B1:接收由所述用户端发送的数据获取请求;其中,所述数据获取请求包括:所述可访问的数据域的标签中的一个或多个目标标签;
步骤B2:从所述数据库中分别获取与每个目标标签对应的业务数据;
步骤B3:将获取到的业务数据发送至所述用户端。
在本实施例中,由于在数据库中的业务数据均添加有标签,所以根据用户需求,将添加有对应标签的业务数据从所述数据库中提取出来,并发送给用户端。
在本实施例中,采用了ABAC(Attribute-Based Access Control,基于属性的访问控制)模型,系统管理员可以根据访问控制需求,设置多个数据权限组,且为每个数据权限组设置了可访问的业务数据和业务配置的范围,从而有效地解决了用户端对系统的业务数据和业务配置的分权控制。
实施例二
本发明实施例提供了一种数据访问权限的配置方法,如图5所示,该方法具体包括以下步骤:
步骤S501:当接收到域创建指令时,将采集的业务数据划分到不同的数据域中,并为业务数据添加对应数据域的标签。
具体的,所述将采集的业务数据划分到不同的数据域中,并为业务数据添加对应数据域的标签,具体包括:
步骤C1:按照预设的域配置确定出所述业务数据所归属的数据域,并为所述业务数据添加所述数据域的标签;其中,所述域配置用于将属于同一网段的业务数据划分到一个数据域中;
步骤C2:将添加有数据域的标签的业务数据存储到预设的数据库中。
在本实施例中,域配置为系统管理员事先设置的用于将业务数据划分到不同的数据域中的规则,且系统管理员可以对域配置进行修改;所述业务数据包括:日志数据和流量数据,通过采集业务数据,并根据域配置对业务数据进行解析,以为业务数据添加对应的数据域的标签,最终将添加有标签的业务数据存储到数据库中。
优选的,可以为每个数据域设置对应的域配置,将业务数据依次与各个域配置进行比对以确定出业务数据所归属的数据域。此外,所述方法还包括:
接收配置更新指令,并根据所述配置更新指令添加新的域配置、删除已有域配置或修改已有域配置。
步骤S502:当接收到权限组创建指令时,创建数据权限组,并在所述数据权限组中添加可访问的数据域的标签。
在本实施例中,可以设置多个数据权限组,数据权限组用于限制用户端访问数据域和业务配置的权限,即用户端无权访问不包含在所述数据权限组中的数据域和业务配置。此外,在本实施例中,业务数据被划分到不同的数据域中;需要说明的是,多个用户端可对应一个数据权限组、一个数据权限组可包括多个数据域的标签、一个数据域可包括多个业务数据,如图2所示,为数据权限组、数据域和业务数据的关系图,其中,系统管理员可以访问所有的数据权限组。
具体的,所述方法还包括:
接收权限组更新指令,并根据所述权限组更新指令删除已有数据权限组、或修改已有数据权限组中的可访问的数据域的标签。
步骤S503:当接收到用户创建指令时,获取用户端的用户标识信息,确定所述用户端对应的数据权限组,并建立所述数据权限组与所述用户标识信息的关联关系。
其中,所述用户标识信息为用于唯一标识所述用户端的信息,例如,用户端ID信息。
具体的,所述确定所述用户端对应的数据权限组,具体包括:
获取所述用户端的用户属性信息和预设的分组规则;
根据所述预设的分组规则确定所述用户属性信息对应的数据权限组。
其中,所述用户属性信息包括所述用户端的各种属性信息,例如:用户岗位信息、用户部门信息、用户级别信息;将所述用户属性信息与预设的分组规则进行匹配,从而确定出所述用户端所归属的数据权限组,其中,所述分组规则规定了各个数据权限组所需满足的属性信息,且可以对分组规则进行修改;最后将所述用户端的用户标识信息和对应的数据权限组关联的存储到预设的用户权限组关联表中,以便后续通过所述用户权限组关联表确定出与用户标识信息对应的数据权限组。
进一步的,所述方法还包括:
步骤D1:接收由所述用户端发送的配置创建请求;其中,所述配置创建请求包括:业务配置,且所述业务配置用于对业务数据进行计算和展示;
步骤D2:将所述业务配置添加到与所述用户端的用户标识信息对应的数据权限组中,以供其他属于所述数据权限组的用户端访问所述业务配置。
业务配置是系统运行过程中由用户端创建的配置数据,如:报表、仪表盘和视图,用于控制和管理业务数据的计算和展示;当用户通过用户端创建了新的业务配置时,根据所述用户端所对应的数据权限组,将新的业务配置添加到所述数据权限组中,以供其他属于所述数据权限组的用户端可以访问新的业务配置,以达到业务配置共享的效果。如图4所示,为数据权限组和业务配置的关系图,其中,系统管理员可以访问所有的数据权限组。
需要说明的是,上述实施例一和实施例二中的方案既可以单独执行,也可以组合执行。例如,在已经预先完成数据访问权限配置的情况下,可以不进行数据库配置,单独采用实施例一的方案访问数据,也可以单独采用实施例二的方案进行数据权限配置,但是并不进行数据访问;当然也可以在采用实施例一的方案访问数据过程中,根据需要从实施例二中选择部分或全部步骤完成对数据访问权限进行配置、修改等;还可以先通过实施例二的方案完成数据访问权限的配置,然后再通过实施例一中的方案访问相应的数据,也即,采用两个方案组合执行。
实施例三
本发明实施例提供了一种数据访问装置,如图6所示,该装置具体包括以下组成部分:
接收模块601,用于接收由用户端发送的数据访问请求;其中,所述数据访问请求包括:所述用户端的用户标识信息;
确定模块602,用于确定出与所述用户标识信息对应的数据权限组;其中,所述数据权限组包括:可访问的数据域的标签,且一个数据域包括多个业务数据;
发送模块603,用于将所述可访问的数据域的标签发送至所述用户端,以使所述用户端根据所述可访问的数据域的标签访问所述业务数据。
在本实施例中,可以由系统管理员预先配置多个数据权限组,也可以在使用过程中,根据需要进行实时配置,数据权限组用于授权用户端访问数据域中业务数据的权限,即用户端无权访问不包含在所述数据权限组中的数据域中的业务数据。此外,在本实施例中,业务数据被划分到不同的数据域中,每个数据域通过唯一的数据域标签进行标识;需要说明的是,多个用户端可对应一个数据权限组、一个数据权限组可包括多个数据域的标签、一个数据域可包括多个业务数据。
具体的,确定模块602,用于:
判断在预设的用户权限组关联表中是否存在所述用户标识信息;
若是,则在所述用户权限组关联表中确定出与所述用户标识信息关联的数据权限组;
若否,则从所述用户端获取用户属性信息,利用预设的分组规则确定出与所述用户属性信息对应的数据权限组,并将确定出的数据权限组和所述用户标识信息关联存储到所述用户权限组关联表中。
在本实施例中,当用户端第一次发送数据访问请求时,由于所述用户端的用户标识信息不存在预设的用户权限组关联表中,所以需要先从所述用户端获取用户属性信息,其中,所述用户属性信息包括所述用户端的各种属性信息;再将所述用户属性信息与预设的分组规则进行匹配,从而确定出所述用户端所归属的数据权限组,其中,所述分组规则规定了各个数据权限组所需满足的属性信息,且系统管理员可以对分组规则进行修改;最后将所述用户端的用户标识信息和对应的数据权限组关联的存储到所述用户权限组关联表中,以便后续通过所述用户权限组关联表确定出与用户标识信息对应的数据权限组。
进一步的,所述装置还包括:
采集模块,用于采集业务数据,并按照预设的域配置确定出所述业务数据所归属的数据域,并为所述业务数据添加所述数据域的标签;将添加有数据域的标签的业务数据存储到预设的数据库中。
其中,域配置为系统管理员事先设置的用于将业务数据划分到不同的数据域中的规则,且系统管理员可以对域配置进行修改;在本实施例中,所述业务数据包括:日志数据和流量数据,通过采集业务数据,并根据域配置对业务数据进行解析,以为业务数据添加对应的数据域的标签,最终将添加有标签的业务数据存储到数据库中。
更新模块,用于接收配置更新指令,并根据所述配置更新指令添加新的域配置、删除已有域配置或修改已有域配置。
添加模块,用于接收由所述用户端发送的配置创建请求;其中,所述配置创建请求包括:业务配置,且所述业务配置用于对业务数据进行计算和展示;将所述业务配置添加到与所述用户端的用户标识信息对应的数据权限组中,以供其他属于所述数据权限组的用户端访问所述业务配置。
其中,业务配置是系统运行过程中由用户端创建的配置数据,如:报表、仪表盘和视图,用于控制和管理业务数据的计算和展示;当用户通过用户端创建了新的业务配置时,根据所述用户端所对应的数据权限组,将新的业务配置添加到所述数据权限组中,以供其他属于所述数据权限组的用户端可以访问新的业务配置,以达到业务配置共享的效果。
获取模块,用于接收由所述用户端发送的数据获取请求;其中,所述数据获取请求包括:所述可访问的数据域的标签中的一个或多个目标标签;从预设的数据库中分别获取与每个目标标签对应的业务数据;将获取到的业务数据发送至所述用户端。
在本实施例中,由于在数据库中的业务数据均添加有标签,所以根据用户需求,将添加有对应标签的业务数据从所述数据库中提取出来,并发送给用户端。
更进一步的,所述更新模块,还用于:
接收权限组更新指令,并根据所述权限组更新指令添加新的数据权限组、删除已有数据权限组、或修改已有数据权限组中的可访问的数据域的标签。
实施例四
本发明实施例提供了一种数据访问权限的配置装置,如图7所示,该装置具体包括以下组成部分:
划分模块701,用于当接收到域创建指令时,将采集的业务数据划分到不同的数据域中,并为业务数据添加对应数据域的标签;
创建模块702,用于当接收到权限组创建指令时,创建数据权限组,并在所述数据权限组中添加可访问的数据域的标签;
建联模块703,用于当接收到用户创建指令时,获取用户端的用户标识信息,确定所述用户端对应的数据权限组,并建立所述数据权限组与所述用户标识信息的关联关系。
具体的,划分模块701,用于:
按照预设的域配置确定出所述业务数据所归属的数据域,并为所述业务数据添加所述数据域的标签;其中,所述域配置用于将属于同一网段的业务数据划分到一个数据域中;将添加有数据域的标签的业务数据存储到预设的数据库中。
建联模块703,用于:
获取所述用户端的用户属性信息和预设的分组规则;根据所述预设的分组规则确定所述用户属性信息对应的数据权限组。
进一步的,所述装置还包括:
配置更新模块,用于接收配置更新指令,并根据所述配置更新指令添加新的域配置、删除已有域配置或修改已有域配置。
组更新模块,用于接收权限组更新指令,并根据所述权限组更新指令删除已有数据权限组、或修改已有数据权限组中的可访问的数据域的标签。
实施例五
本发明实施例提供了一种数据访问装置,如图8所示,所述装置分别与业务模块和数据库Pg连接,该装置具体包括以下组成部分:代理agent和配置管理;其中,代理agent对外提供功能api接口、配置管理对访问权限规则进行管理,提供restful api方便用户对访问规则的自由配置。
具体的,在代理agent中包括:查询账号与域信息列表单元、资源鉴权单元、生成资源域信息单元、更新资源域信息单元;
其中,查询账号与域信息列表单元用于:接收由用户端发送的并由所述业务模块转发的数据访问请求,其中,所述数据访问请求包括:所述用户端的用户标识信息;并确定出与所述用户标识信息对应的数据权限组,其中,所述数据权限组包括:可访问的数据域的标签和业务配置;并将所述可访问的数据域的标签和业务配置通过所述业务模块发送至所述用户端。
资源鉴权单元,用于接收由所述用户端发送的并由所述业务模块转发的数据获取请求,其中,所述数据获取请求包括:所述可访问的数据域的标签中的一个或多个目标标签;并从预设的数据库中分别获取与每个目标标签对应的业务数据;并将获取到的业务数据通过所述业务模块发送至所述用户端。
生成资源域信息单元,用于生成新的数据权限组,并为新的数据权限组设置对应的数据域的标签和业务配置。
更新资源域信息单元,用于删除已有的数据权限组或修改已有的数据选取组中的数据域的标签和业务配置。
进一步的,配置管理包括:查询域配置单元、增加域配置单元、修改域配置单元、删除域配置单元、查询业务配置单元、增加业务配置单元、修改业务配置单元、删除业务配置单元。
其中,域配置为系统管理员事先设置的用于将业务数据划分到不同的数据域中的规则,且系统管理员可以对域配置进行修改;业务配置用于对业务数据进行计算和展示,业务配置是系统运行过程中由用户端创建的配置数据,如:报表、仪表盘和视图,系统管理员可以对业务配置进行修改。
实施例六
本实施例还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图9所示,本实施例的计算机设备90至少包括但不限于:可通过系统总线相互通信连接的存储器901、处理器902。需要指出的是,图9仅示出了具有组件901-902的计算机设备90,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器901(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器901可以是计算机设备90的内部存储单元,例如该计算机设备90的硬盘或内存。在另一些实施例中,存储器901也可以是计算机设备90的外部存储设备,例如该计算机设备90上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器901还可以既包括计算机设备90的内部存储单元也包括其外部存储设备。在本实施例中,存储器901通常用于存储安装于计算机设备90的操作系统和各类应用软件。此外,存储器901还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器902在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器902通常用于控制计算机设备90的总体操作。
具体的,在本实施例中,处理器902用于执行处理器902中存储的数据访问方法的程序,所述数据访问方法的程序被执行时实现如下步骤:
接收由用户端发送的数据访问请求;其中,所述数据访问请求包括:所述用户端的用户标识信息;
确定出与所述用户标识信息对应的数据权限组;其中,所述数据权限组包括:可访问的数据域的标签,且一个数据域包括多个业务数据;
将所述可访问的数据域的标签发送至所述用户端,以使所述用户端根据所述可访问的数据域的标签访问所述业务数据。
上述方法步骤的具体实施例过程可参见第一实施例,本实施例在此不再重复赘述。
进一步的,在本实施例中,处理器902用于执行处理器902中存储的数据访问权限的配置方法的程序,所述数据访问权限的配置方法的程序被执行时实现如下步骤:
当接收到域创建指令时,将采集的业务数据划分到不同的数据域中,并为业务数据添加对应数据域的标签;
当接收到权限组创建指令时,创建数据权限组,并在所述数据权限组中添加可访问的数据域的标签;
当接收到用户创建指令时,获取用户端的用户标识信息,确定所述用户端对应的数据权限组,并建立所述数据权限组与所述用户标识信息的关联关系。
上述方法步骤的具体实施例过程可参见第二实施例,本实施例在此不再重复赘述。
实施例七
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,所述计算机程序被处理器执行时实现如下方法步骤:
接收由用户端发送的数据访问请求;其中,所述数据访问请求包括:所述用户端的用户标识信息;
确定出与所述用户标识信息对应的数据权限组;其中,所述数据权限组包括:可访问的数据域的标签和业务配置;
将所述可访问的数据域的标签和业务配置发送至所述用户端。
上述方法步骤的具体实施例过程可参见第一实施例,本实施例在此不再重复赘述。
此外,所述计算机程序被处理器执行时还实现如下方法步骤:
当接收到域创建指令时,将采集的业务数据划分到不同的数据域中,并为业务数据添加对应数据域的标签;
当接收到权限组创建指令时,创建数据权限组,并在所述数据权限组中添加可访问的数据域的标签;
当接收到用户创建指令时,获取用户端的用户标识信息,确定所述用户端对应的数据权限组,并建立所述数据权限组与所述用户标识信息的关联关系。
上述方法步骤的具体实施例过程可参见第二实施例,本实施例在此不再重复赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。实施例中涉及的步骤序号,也不用于限定步骤的先后执行顺序,在某些情况下,有些步骤可以顺序执行、并行,或者交换执行顺序。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种数据访问方法,其特征在于,所述方法包括:
接收由用户端发送的数据访问请求;其中,所述数据访问请求包括:所述用户端的用户标识信息;
确定出与所述用户标识信息对应的数据权限组;其中,所述数据权限组包括:可访问的数据域的标签,且一个数据域包括多个业务数据;
将所述可访问的数据域的标签发送至所述用户端,以使所述用户端根据所述可访问的数据域的标签访问所述业务数据。
2.根据权利要求1所述的数据访问方法,其特征在于,所述确定出与所述用户标识信息对应的数据权限组,具体包括:
判断在预设的用户权限组关联表中是否存在所述用户标识信息;
若是,则在所述用户权限组关联表中确定出与所述用户标识信息关联的数据权限组;
若否,则从所述用户端获取用户属性信息,利用预设的分组规则确定出与所述用户属性信息对应的数据权限组,并将确定出的数据权限组和所述用户标识信息关联存储到所述用户权限组关联表中。
3.根据权利要求1所述的数据访问方法,其特征在于,所述方法还包括:
接收由所述用户端发送的配置创建请求;其中,所述配置创建请求包括:业务配置,且所述业务配置用于对业务数据进行计算和展示;
将所述业务配置添加到与所述用户端的用户标识信息对应的数据权限组中,以供其他属于所述数据权限组的用户端访问所述业务配置。
4.根据权利要求1所述的数据访问方法,其特征在于,在所述将所述可访问的数据域的标签发送至所述用户端之后,所述方法还包括:
接收由所述用户端发送的数据获取请求;其中,所述数据获取请求包括:所述可访问的数据域的标签中的一个或多个目标标签;
从预设的数据库中分别获取与每个目标标签对应的业务数据;
将获取到的业务数据发送至所述用户端。
5.一种数据访问权限的配置方法,其特征在于,所述方法包括:
当接收到域创建指令时,将采集的业务数据划分到不同的数据域中,并为业务数据添加对应数据域的标签;
当接收到权限组创建指令时,创建数据权限组,并在所述数据权限组中添加可访问的数据域的标签;
当接收到用户创建指令时,获取用户端的用户标识信息,确定所述用户端对应的数据权限组,并建立所述数据权限组与所述用户标识信息的关联关系。
6.根据权利要求5所述的数据访问权限的配置方法,其特征在于,所述将采集的业务数据划分到不同的数据域中,并为业务数据添加对应数据域的标签,具体包括:
按照预设的域配置确定出所述业务数据所归属的数据域,并为所述业务数据添加所述数据域的标签;其中,所述域配置用于将属于同一网段的业务数据划分到一个数据域中;
将添加有数据域的标签的业务数据存储到预设的数据库中。
7.根据权利要求6所述的数据访问权限的配置方法,其特征在于,所述方法还包括:
接收配置更新指令,并根据所述配置更新指令添加新的域配置、删除已有域配置或修改已有域配置。
8.根据权利要求5所述的数据访问权限的配置方法,其特征在于,所述方法还包括:接收权限组更新指令,并根据所述权限组更新指令删除已有数据权限组、或修改已有数据权限组中的可访问的数据域的标签;和/或,
所述确定所述用户端对应的数据权限组,具体包括:
获取所述用户端的用户属性信息和预设的分组规则;
根据所述预设的分组规则确定所述用户属性信息对应的数据权限组。
9.一种计算机设备,所述计算机设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010679892.8A CN113946837A (zh) | 2020-07-15 | 2020-07-15 | 数据访问和数据访问权限的配置方法、设备、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010679892.8A CN113946837A (zh) | 2020-07-15 | 2020-07-15 | 数据访问和数据访问权限的配置方法、设备、存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113946837A true CN113946837A (zh) | 2022-01-18 |
Family
ID=79326103
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010679892.8A Pending CN113946837A (zh) | 2020-07-15 | 2020-07-15 | 数据访问和数据访问权限的配置方法、设备、存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113946837A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114595484A (zh) * | 2022-05-10 | 2022-06-07 | 上海柯林布瑞信息技术有限公司 | 页面权限控制方法及装置 |
CN114969811A (zh) * | 2022-05-16 | 2022-08-30 | 贵州领航视讯信息技术有限公司 | 一种基于数据分段的数据权限控制方法 |
CN116049882A (zh) * | 2023-01-11 | 2023-05-02 | 安芯网盾(北京)科技有限公司 | 一种基于分组的数据权限控制方法及系统 |
CN117201135A (zh) * | 2023-09-11 | 2023-12-08 | 合芯科技有限公司 | 业务随行方法、装置、计算机设备及存储介质 |
-
2020
- 2020-07-15 CN CN202010679892.8A patent/CN113946837A/zh active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114595484A (zh) * | 2022-05-10 | 2022-06-07 | 上海柯林布瑞信息技术有限公司 | 页面权限控制方法及装置 |
CN114595484B (zh) * | 2022-05-10 | 2022-08-16 | 上海柯林布瑞信息技术有限公司 | 页面权限控制方法及装置 |
CN114969811A (zh) * | 2022-05-16 | 2022-08-30 | 贵州领航视讯信息技术有限公司 | 一种基于数据分段的数据权限控制方法 |
CN116049882A (zh) * | 2023-01-11 | 2023-05-02 | 安芯网盾(北京)科技有限公司 | 一种基于分组的数据权限控制方法及系统 |
CN117201135A (zh) * | 2023-09-11 | 2023-12-08 | 合芯科技有限公司 | 业务随行方法、装置、计算机设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113946837A (zh) | 数据访问和数据访问权限的配置方法、设备、存储介质 | |
CN111181975B (zh) | 一种账号管理方法、装置、设备及存储介质 | |
US9805209B2 (en) | Systems and methodologies for managing document access permissions | |
US9047462B2 (en) | Computer account management system and realizing method thereof | |
CN111199028A (zh) | 资源信息访问方法、装置、计算机设备和存储介质 | |
CN111460496A (zh) | 基于用户角色的权限配置方法、电子装置及存储介质 | |
CN111342992A (zh) | 设备信息变更记录的处理方法及系统 | |
CN111367945A (zh) | 报表查询方法、装置、设备及计算机可读存储介质 | |
WO2019075966A1 (zh) | 数据操作权限隔离方法、应用服务器及计算机可读存储介质 | |
US20130238673A1 (en) | Information processing apparatus, image file creation method, and storage medium | |
CN110046205B (zh) | 一种关系型数据库行安全访问控制方法及系统 | |
CN111857781B (zh) | 资源更新方法及相关设备 | |
CN112785248A (zh) | 人力资源数据跨组织交互方法、装置、设备和存储介质 | |
CN111200645B (zh) | 业务请求处理方法、装置、设备及可读存储介质 | |
CN112084021A (zh) | 教育系统的界面配置方法、装置、设备及可读存储介质 | |
CN110427759B (zh) | 一种支持业务安全标记的网络资源浏览控制方法及系统 | |
CN113076086B (zh) | 元数据管理系统和使用其对模型对象进行建模的方法 | |
CN113419687B (zh) | 一种对象存储方法、系统、设备及存储介质 | |
CN115543428A (zh) | 一种基于策略模板的模拟数据生成方法和装置 | |
CN113127906A (zh) | 基于c/s架构的统一权限管理平台、方法及存储介质 | |
CN111447080B (zh) | 私有网络去中心化控制方法、装置及计算机可读存储介质 | |
CN112583761A (zh) | 安全实体的管理方法、装置、计算机设备和存储介质 | |
CN112783822B (zh) | 一种科学数据共享平台去中心化的数据收割方法和装置 | |
CN111131205B (zh) | 基于Restful接口的权限管理方法和装置 | |
CN108830441B (zh) | 资源查询的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |