CN114065254A - 数据处理方法、装置、电子设备、介质和产品 - Google Patents
数据处理方法、装置、电子设备、介质和产品 Download PDFInfo
- Publication number
- CN114065254A CN114065254A CN202111394869.5A CN202111394869A CN114065254A CN 114065254 A CN114065254 A CN 114065254A CN 202111394869 A CN202111394869 A CN 202111394869A CN 114065254 A CN114065254 A CN 114065254A
- Authority
- CN
- China
- Prior art keywords
- target
- service data
- relation
- data
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 26
- 238000000034 method Methods 0.000 claims abstract description 35
- 238000012545 processing Methods 0.000 claims abstract description 32
- 238000013475 authorization Methods 0.000 claims abstract description 24
- 230000008859 change Effects 0.000 claims description 28
- 238000004590 computer program Methods 0.000 claims description 15
- 238000012217 deletion Methods 0.000 claims description 12
- 230000037430 deletion Effects 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 6
- 238000013461 design Methods 0.000 description 19
- 230000004048 modification Effects 0.000 description 11
- 238000012986 modification Methods 0.000 description 11
- 238000010276 construction Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 238000012544 monitoring process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000007792 addition Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 102100038367 Gremlin-1 Human genes 0.000 description 1
- 101001032872 Homo sapiens Gremlin-1 Proteins 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 235000019580 granularity Nutrition 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本公开涉及一种数据处理方法、装置、电子设备、介质和产品,该方法包括:响应于目标访问请求,获取目标访问对象待访问的目标业务数据;基于预先构建的权限关系图谱,确定目标访问对象与目标业务数据之间是否存在可达的关系节点,权限关系图谱中包括候选访问对象与候选业务数据之间可达的至少一个关系节点,候选业务数据为候选访问对象已授权的业务数据;在确定目标访问对象与目标业务数据之间存在可达的关系节点后,基于目标业务数据处理目标访问请求。从而,基于权限关系图谱灵活配置出每个独立访问对象的业务数据,通过权限关系图谱确定出目标访问对象对目标业务数据的访问权限,实现每个访问对象的独立授权,提高了数据的处理效率。
Description
技术领域
本公开涉及数据处理技术领域,尤其涉及一种数据处理方法、装置、电子设备、介质和产品。
背景技术
权限控制一般为根据系统设置的安全规则或者安全策略,在设置的权限控制下,用户可以访问而且只能访问自己被授权的资源数据。
目前的权限控制机制,主要是通过基于角色的权限访问控制(Role Based AccessControl,RBAC)模型实现,即将用户和权限通过角色间接连接,在用户需要访问某一数据时,通过与角色的关系处理用户的访问请求。
然而,用户与角色、角色与授权数据之间的对应关系为多对多,且需要人工手动配置,导致数据处理效率较低。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种数据处理方法、装置、电子设备、介质和产品。
第一方面,本公开提供了一种数据处理方法,包括:
响应于目标访问请求,获取目标访问对象待访问的目标业务数据;
基于预先构建的权限关系图谱,确定所述目标访问对象与所述目标业务数据之间是否存在可达的关系节点,所述权限关系图谱中包括候选访问对象与候选业务数据之间可达的至少一个关系节点,所述候选业务数据为所述候选访问对象已授权的业务数据;
在确定所述目标访问对象与所述目标业务数据之间存在可达的关系节点后,基于所述目标业务数据处理所述目标访问请求。
在一种可能的设计中,所述基于预先构建的权限关系图谱,确定所述目标访问对象与所述目标业务数据之间是否存在可达的关系节点之前,还包括:
获取业务信息表和对象信息表,所述业务信息表用于描述访问对象和与所述访问对象关联的业务数据,所述对象信息表用于描述各访问对象之间的业务关系;
基于所述业务信息表和所述对象信息表,构建权限关系图谱。
在一种可能的设计中,所述基于所述业务信息表和所述对象信息表,构建权限关系图谱,包括:
基于所述业务信息表建立权限关系图谱的关系节点;
基于所述对象信息表建立每个关系节点之间的连接边;
基于每个关系节点和每个关系节点之间的连接边,确定权限关系图谱。
在一种可能的设计中,所述基于所述对象信息表建立每个关系节点之间的连接边,包括:
为每个访问对象分配业务角色,建立每个业务角色与访问对象的连接边;
基于业务数据的审批流程,建立每个访问对象与业务数据的连接边。
在一种可能的设计中,所述基于每个关系节点和每个关系节点之间的连接边,确定权限关系图谱,包括:
基于每个关系节点和每个所述关系节点之间的连接边,建立权限关系图谱;
根据与每个业务数据关联的点对点授权信息,更新所述权限关系图谱,所述点对点授权信息用于描述业务数据与访问对象之间的授权关系。
在一种可能的设计中,还包括:
响应于权限变更事件,确定变更主体所在的关系节点;
基于所述权限变更事件,修改所述关系节点,或者,修改所述关系节点所在的连接边。
在一种可能的设计中,还包括:
在确定权限关系图谱中的目标关系节点满足预设触发条件时,删除所述目标关系节点,或者,删除所述目标关系节点所在的连接边,所述目标关系节点包括访问对象和/或业务数据;
其中,所述预设触发条件包括如下至少一种:不超过存储时长阈值和不超过连接访问次数阈值。
在一种可能的设计中,还包括:
响应于第一查询请求,从权限关系图谱中查找第一访问对象所在的第一关系节点;
从所述权限关系图谱中查找所述第一关系节点可达的第二关系节点,所述第二关系节点对应一个第二业务数据;
基于所述第二业务数据,响应所述第一查询请求。
在一种可能的设计中,所述目标访问请求中包括:待增添数据、待修改数据和待删除数据中的至少一项;
所述基于所述目标业务数据处理所述目标访问请求,包括:
基于所述目标访问请求中包括的待增添数据,对所述目标业务数据执行增添操作;
或者,基于所述目标访问请求中包括的待修改数据,对所述目标业务数据执行修改操作;
或者,基于所述目标访问请求中包括的待删除数据,对所述目标业务数据执行删除操作。
第二方面,本公开提供了一种数据处理装置,包括:
获取模块,用于响应于目标访问请求,获取目标访问对象待访问的目标业务数据;
确定模块,用于基于预先构建的权限关系图谱,确定所述目标访问对象与所述目标业务数据之间是否存在可达的关系节点,所述权限关系图谱中包括候选访问对象与候选业务数据之间可达的至少一个关系节点,所述候选业务数据为所述候选访问对象已授权的业务数据;
处理模块,用于在确定所述目标访问对象与所述目标业务数据之间存在可达的关系节点后,基于所述目标业务数据处理所述目标访问请求。
在一种可能的设计中,还包括:构建模块;
获取模块,还用于获取业务信息表和对象信息表,所述业务信息表用于描述访问对象和与所述访问对象关联的业务数据,所述对象信息表用于描述各访问对象之间的业务关系;
构建模块,用于基于所述业务信息表和所述对象信息表,构建权限关系图谱。
在一种可能的设计中,构建模块,包括:第一建立单元、第二建立单元和确定单元;
第一建立单元,用于基于所述业务信息表建立权限关系图谱的关系节点;
第二建立单元,用于基于所述对象信息表建立每个关系节点之间的连接边;
确定单元,用于基于每个关系节点和每个关系节点之间的连接边,确定权限关系图谱。
在一种可能的设计中,第二建立单元,具体用于:
为每个访问对象分配业务角色,建立每个业务角色与访问对象的连接边;
基于业务数据的审批流程,建立每个访问对象与业务数据的连接边。
在一种可能的设计中,确定单元,具体用于:
基于每个关系节点和每个所述关系节点之间的连接边,建立权限关系图谱;
根据与每个业务数据关联的点对点授权信息,更新所述权限关系图谱,所述点对点授权信息用于描述业务数据与访问对象之间的授权关系。
在一种可能的设计中,还包括:修改模块;
确定模块,还用于响应于权限变更事件,确定变更主体所在的关系节点;
修改模块,用于基于所述权限变更事件,修改所述关系节点,或者,修改所述关系节点所在的连接边。
在一种可能的设计中,还包括:删除模块;
删除模块,用于在确定权限关系图谱中的目标关系节点满足预设触发条件时,删除所述目标关系节点,或者,删除所述目标关系节点所在的连接边,所述目标关系节点包括访问对象和/或业务数据;
其中,所述预设触发条件包括如下至少一种:不超过存储时长阈值和不超过连接访问次数阈值。
在一种可能的设计中,还包括:查找模块;
查找模块,用于响应于第一查询请求,从权限关系图谱中查找第一访问对象所在的第一关系节点;
查找模块,还用于从所述权限关系图谱中查找所述第一关系节点可达的第二关系节点,所述第二关系节点对应一个第二业务数据;
响应模块,用于基于所述第二业务数据,响应所述第一查询请求。
在一种可能的设计中,所述目标访问请求中包括:待增添数据、待修改数据和待删除数据中的至少一项;
处理模块,具体用于:
基于所述目标访问请求中包括的待增添数据,对所述目标业务数据执行增添操作;
或者,基于所述目标访问请求中包括的待修改数据,对所述目标业务数据执行修改操作;
或者,基于所述目标访问请求中包括的待删除数据,对所述目标业务数据执行删除操作。
第三方面,本公开提供了一种电子设备,包括:存储器和处理器;存储器用于存储程序指令;处理器用于调用存储器中的程序指令使得电子设备执行第一方面及第一方面任一种可能的设计中的数据处理方法。
第四方面,本公开提供了一种计算机存储介质,包括计算机指令,当计算机指令在电子设备上运行时,使得电子设备执行第一方面及第一方面任一种可能的设计中的数据处理方法。
第五方面,本公开提供了一种计算机程序产品,当计算机程序产品在计算机上运行时,使得计算机执行第一方面及第一方面任一种可能的设计中的数据处理方法。
本公开实施例提供的数据处理方法、装置、电子设备、介质和产品,通过预先建立的权限关系图谱实现数据处理,在接收到目标访问请求后,获取目标访问对象待访问的目标业务数据,并基于该权限关系图谱中包括的多个关系节点中,查找目标访问对象与目标业务数据之间是否存在可达的关系节点,以确定出目标访问对象与目标业务数据之间的直接或者间接的关系连接边,从而,确定出目标访问对象对目标业务数据的访问权限,权限关系图谱能够灵活的配置出每个独立访问对象的业务数据,实现每个访问对象的独立授权,提高了数据的处理效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种数据处理方法的流程示意图;
图2为本公开实施例提供的另一种数据处理方法的流程示意图;
图3为本公开实施例提供的一种权限系统的架构示意图;
图4为本公开实施例提供的一种权限关系图谱的结构示意图;
图5为本公开实施例提供的另一种权限关系图谱的结构示意图;
图6为本公开实施例提供的一种数据处理装置的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
示例性地,本公开提供一种数据处理方法、装置、电子设备、介质和产品,通过预先建立的权限关系图谱实现数据处理,在接收到目标访问请求后,获取目标访问对象待访问的目标业务数据,并基于该权限关系图谱中包括的多个关系节点中,查找目标访问对象与目标业务数据之间是否存在可达的关系节点,以确定出目标访问对象与目标业务数据之间的直接或者间接的关系连接边,从而,确定出目标访问对象对目标业务数据的访问权限,权限关系图谱能够灵活的配置出每个独立访问对象的业务数据,实现每个访问对象的独立授权,提高了数据的处理效率。
其中,本公开的数据处理方法由电子设备中安装的客户端来执行。电子设备可以是平板电脑、手机、可穿戴设备、车载设备、增强现实(augmented reality,AR)/虚拟现实(virtual reality,VR)设备、笔记本电脑、超级移动个人计算机(ultra-mobile personalcomputer,UMPC)、上网本、个人数字助理(personaldigital assistant,PDA)、智能电视、智慧屏、高清电视、4K电视、智能音箱、智能投影仪等设备,本公开对电子设备的具体类型不作任何限制。
其中,本公开对电子设备的操作系统的类型不做限定。例如,Android系统、Linux系统、Windows系统、iOS系统等。
具体请参阅图1示例性所示。
图1为本公开实施例提供的一种数据处理方法的流程示意图,如图1所示,本公开提供的数据处理方法可以包括:
S110、响应于目标访问请求,获取目标访问对象待访问的目标业务数据。
其中,电子设备中可部署一个合同全生命周期管理系统,在该系统中,管理人员可预先设置一些配置规则,如在管理后台或者配置中心预先设置用户的角色、能够访问的业务数据的权限等。
在合同流程图流转过程中,涉及到审批节点的改变或者抄送节点的设置等都将影响到权限的变更,本公开实施例能够有效灵活的针对每个目标访问对象(如公司内部的独立员工、独立用户等)进行业务数据权限的独立授权。
其中,目标访问请求为一个用户想要访问某个业务数据时发送的访问请求,目标访问请求中可包括该用户的身份标识和想要访问的业务数据对应的标识等。
需要说明的是,由于不同用户的身份权限不同,因此,一个用户能够访问的业务数据也不同,基于不同用户的身份权限对其能够访问的业务数据进行有效监管是至关重要的。
S120、基于预先构建的权限关系图谱,确定目标访问对象与目标业务数据之间是否存在可达的关系节点。
其中,权限关系图谱中包括候选访问对象与候选业务数据之间可达的至少一个关系节点,候选业务数据为候选访问对象已授权的业务数据。
其中,权限关系图谱为在合同全生命周期管理系统中构建的一个能够描述出多个不同用户和多个业务数据之间的关系。
需要说明的是,一个用户能够访问多个业务数据,一个业务数据页也可以被多个用户进行访问。
其中,权限关系图谱中包含多个候选访问对象和多个候选业务数据,每个候选访问对象与该其能够访问的业务数据之间会存在多个相连的关系节点,一个候选访问对象与一个候选业务数据之间存在的关系节点能够直观识别出该候选业务数据能否被该候选访问对象访问。
举例而言,目标访问对象为对象A,目标业务数据为数据D,在权限关系图谱中若对象A所在的关系节点直接到数据D所在的关系节点,或者对象A所在的关系节点到数据D所在的关系节点之间存在有向连接的至少一个关系节点,则表明对象A具有访问数据D的访问权限。
S130、在确定目标访问对象与目标业务数据之间存在可达的关系节点后,基于目标业务数据处理目标访问请求。
其中,目标访问请求中可包括目标访问对象想要对目标业务数据进行的数据操作,如数据查询、数据修改、数据删除、数据增添等。
其中,目标访问请求中可包括:待增添数据、待修改数据和待删除数据中的至少一项。
可选的,基于目标业务数据处理目标访问请求,包括:
基于目标访问请求中包括的待增添数据,对目标业务数据执行增添操作;
或者,基于目标访问请求中包括的待修改数据,对目标业务数据执行修改操作;
或者,基于目标访问请求中包括的待删除数据,对目标业务数据执行删除操作。
另外,在此基础上,还可以基于目标访问请求中包括的待增添数据,对目标业务数据执行增添操作,基于目标访问请求中包括的待修改数据,对目标业务数据执行修改操作,基于目标访问请求中包括的待删除数据,对目标业务数据执行删除操作。
或者,执行上述操作中的至少一种操作。
从而,在确定出目标访问对象具有对目标业务数据的访问权限之后,能够有效基于目标访问对象的需求操作响应于目标访问请求。
同时,提供了良好的权限主体节点和业务数据增删改性能,在传统权限控制方案中,当某个权限主体节点或者业务数据改动时,需要同时涉及到多表的改动,而本公开实施例中,则只需要单一的对某个关系节点或者某条连接边进行修改即可。
另外,本公开实施例提供的权限关系图谱,还能够通过设置连接边的关系类型实现企业级应用中部门或者leader继承其下属所拥有的数据和功能权限。
本公开实施例提供的数据处理方法,通过预先建立的权限关系图谱实现数据处理,在接收到目标访问请求后,获取目标访问对象待访问的目标业务数据,并基于该权限关系图谱中包括的多个关系节点中,查找目标访问对象与目标业务数据之间是否存在可达的关系节点,以确定出目标访问对象与目标业务数据之间的直接或者间接的关系连接边,从而,确定出目标访问对象对目标业务数据的访问权限,权限关系图谱能够灵活的配置出每个独立访问对象的业务数据,实现每个访问对象的独立授权,提高了数据的处理效率。
图2为本公开实施例提供的另一种数据处理方法的流程示意图。本实施例是在上述实施例的基础上,进一步地,S120之前,本实施例方法还可以包括:
S111、获取业务信息表和对象信息表。
其中,业务信息表可用于描述访问对象和与访问对象关联的业务数据,对象信息表可用于描述各访问对象之间的业务关系。
其中,业务信息表中可包括:一个访问对象能够访问的全部业务数据,和/或,一个业务数据能够被访问的全部访问对象。
除此之外,业务信息表中还可以包括:访问对象和所属部门与业务数据之间的使用关系,访问对象和所属部门与业务数据之间的访问关系/修改关系等。
对象信息表中可包括:第一访问对象和第二访问对象之间的管理关系,如第一访问对象可管理第二访问对象,和/或,第一访问对象/第二访问对象与部门之间的所属关系,如第一访问对象/第二访问对象属于某一部门中的员工等。
需要说明的是,上述提及到的业务信息表和对象信息表中的一些关系信息,可以从数据源(可为独立开发的一个存储系统中的组件)等获取源中将获取上述信息。
S112、基于业务信息表和对象信息表,构建权限关系图谱。
其中,基于业务信息表和对象信息表,构建出各个关系节点,再基于关系节点中的权限主体节点和各关系节点之间的业务关系/管理关系/所属关系,构建基于权限主体节点和各关系节点组成的连接边,得到权限关系图谱,从而,得到包含有多个关系节点和每个关系节点之间的关系的权限关系图谱。
需要说明的是,权限主体节点可为构建一个业务数据的关系节点,可包括访问对象或者某一访问对象的所属部门。
示例性地,图3是一种权限系统的架构示意图。
其中,可将获取到的一些信息表格,如员工表、部门表、业务数据表和业务功能表,导入到存储系统中,其中,存储系统为一个图数据库,可以进行权限关系图节点和连接边的构建,使得能够在业务系统中对某一业务数据进行权限访问。
需要说明的是,图数据库支持有向属性图数据建模,能够支持一些常见的图数据库语言(如Gremlin语言),读写吞吐可扩展到千万gps,延迟为毫米级,能够广泛应用于用户信息和用户关系、用户和其关注内容的联系的存储及查询。
其中,可选的,基于业务信息表和对象信息表,构建权限关系图谱,可包括:
基于业务信息表建立权限关系图谱的关系节点;
基于对象信息表建立每个关系节点之间的连接边;
基于每个关系节点和每个关系节点之间的连接边,确定权限关系图谱。
其中,权限关系图谱的关系节点可包括:业务单据(如业务数据)、人员(如访问对象)、部门、角色、产品线、交易方主体、业务单据类型等。
其中,在进行业务单据节点的构造中,可通过设置其标签(如label)为contract,节点数据(如data)可包含业务单据标识(identity document,id)、业务单据名称、租户id和业务单据编号等实现,节点数据示例可参见如下。
其中,在进行人员节点的构造中,可通过设置其label为employee,节点数据data可包含员工id、员工姓名、租户id等实现。
其中,在进行部门节点的构造中,可通过设置其label为department,节点数据data可包含部门id、部门名称、租户id等实现。
其中,在进行角色节点的构造中,可通过设置其label为role,节点数据data可包含角色id、角色名称、租户id等实现。
其中,在进行产品线节点的构造中,可通过设置其label为productLine,节点数据data可包含产品线id、产品线名称、租户id等实现。
其中,在进行交易方主体节点的构造中,可通过设置其label为legalEntity,节点数据data可包含交易方主体id、交易方主体名称、租户id等实现。
其中,在进行业务单据类型节点的构造中,可通过设置其label为contractCategory,节点数据data可包含业务单据类型id、业务单据类型名称、租户id等实现。
从而,通过确定出的各关系节点,再构建各关系节点之间的连接边,以完整确定出权限关系图谱。
其中,构建出一个业务数据对应权限关系图谱可参见图4示例性所示。
图4中,用户C创建了一个业务数据1,则用户C就拥有业务数据1中全部数据的修改和查看权限。
用户C隶属于部门A_A,部门A_A由用户G管理,用户G由用户H领导,用户H的领导是用户B,且用户G隶属于部门B,部门B由用户I管理,则用户B、用户G、用户H和用户I都具有业务数据1的修改和查看权限。
用户D通过独立授权获得了业务数据1的查看权限。
用户E为业务审批流中的审批用户,自动获得业务数据1的查看权限。
业务数据1属于采购类型,而用户K被授权可以查看采购类型下的全部业务数据,因此,用户K获得了业务数据1的查看权限。
其中,可选的,基于对象信息表建立每个关系节点之间的连接边,包括:
为每个访问对象分配业务角色,建立每个业务角色与访问对象的连接边;
基于业务数据的审批流程,建立每个访问对象与业务数据的连接边。
其中,每个关系节点之间的连接边能够基于至少两个控制权限来控制,如基于角色与规则的控制权限和基于业务单据的审批流来控制权限。
其中,规则可理解为在角色层面配置的业务单据的关联属性,如角色A配置了拥有交易方1和交易方2的业务单据等,交易方可以抽象为业务单据的关联属性。
角色与人员或者部门的关系,建立以员工或者部门为起点,以角色为终点的边,角色与规则的关系,建立以角色为起点,以相关关联属性为终点的边。
其中,基于业务单据的审批流来建模,如业务单据提交人、审批人、抄送人等,建立以人员为起点,以业务单据为终点的边。
从而,通过建立每个业务角色与访问对象的连接边,并建立每个访问对象与业务数据的连接边,有效实现从不同的权限的控制粒度建立关系节点之间的连接边。
示例性地,连接边可包括:部门与部门、人员与人员、人员与部门。人员/部门与角色、规则相关边和业务相关边等。
其中,业务上任务子部门的权限父部门都包含,以父部门为起点,子部门为终点,建立有向边,label可设为departmentRelate,边数据主要存放租户id,节点数据示例如下:
其中,类似于部门,在企业组织架构中,还会存在汇报关系,以上级为起点,下属为终点,建立有向边,label可设为employeeRelate,边数据主要用于存放租户id。
其中,人员会有所属部门,以部门为起点,员工为终点,建立有向边,label可设为departmentEmployeeRelate,边数据主要用于存放租户id。
其中,角色可以绑定人员或者部门,以人员或者部门为起点,角色为终点,建立有向边,label可设为departmentRoleRelate或employeeRoleRelate,边数据主要用于存放租户id。
其中,规则类型边围绕业务单据关联属性进行建模,可分为如下两类。
分类一,角色和关联属性的关系,以角色为起点,以关联属性为终点,建立有向边,label可设为roleAttributeRelate,边数据主要用于存放租户id。
分类二,以关联属性为起点,以业务单据为终点,建立有向边,label可设为attributeContractRelate,边数据主要用于存放租户id。
其中,根据流程参与人,以员工为起点,业务单据为终点,建立有向边,label可设为processParticipant,边数据主要用于存放租户id。
其中,可选的,基于每个关系节点和每个关系节点之间的连接边,确定权限关系图谱,包括:
基于每个关系节点和每个关系节点之间的连接边,建立权限关系图谱;
根据与每个业务数据关联的点对点授权信息,更新权限关系图谱,点对点授权信息用于描述业务数据与访问对象之间的授权关系。
其中,点对点授权,其对应的具体业务场景为给某个员工授权某个业务单据,建立以员工为起点,以业务单据为终点的连接边,即数据相关边。
示例性地,以员工为起点,业务单据为终点,创建有向边,label可设为employeeContractRelate,边数据主要用于存放租户id。
从而,在构建出的初始的权限关系图谱的基础上,添加点对点授权的员工与业务单据的连接边,更加丰富权限关系图谱中的连接边。
基于上述实施例的描述,在构建好权限关系图谱之后,还可以对权限关系图谱中的某一个关系节点进行变更操作,其中,变更操作可包括数据变更和人员变更。
其中,可选的,本实施例方法还可以包括:
响应于权限变更事件,确定变更主体所在的关系节点;
基于权限变更事件,修改关系节点,或者,修改关系节点所在的连接边。
其中,通过监听binlog或者异步事件,来有效识别权限变更事件。
权限变更事件可包括:组织架构变更事件、角色变更事件、业务单据流程流转事件、业务单据关联属性变更事件、业务单据增删、点对点授权等事件。
其中,监听组织架构变更事件,对人员节点(关系节点)、部门节点(关系节点)、人员与人员关联关系(连接边)、部门与部门关联关系(连接边)、人员与部门关联关系(连接边)、人员或部门与角色关联关系(连接边)进行更新调整。
其中,监听角色变更事件,对角色节点(连接边)、人员或部门与角色关联关系(连接边)、规则类型边(连接边)进行更新调整。
其中,监听业务单据流程流转事件,能够对业务相关边(连接边)进行增删改调整。
其中,监听业务单据关联属性变更事件,对产品线(关系节点)、交易方主体(关系节点)、业务单据类型(关系节点)进行增删改调整。
其中,监听业务单据增删,点对点授权等事件,对业务单据(关系节点)、规则相关边(连接边)、数据相关边(连接边)进行增删改调整。
另外,在权限关系图谱构建完成后,还可以基于业务数据的需求定时设置某一个关系节点的删除规则,在满足预先设置的删除规则时,自动删除该关系节点的相关信息。
其中,可选的,本实施例方法还可以包括:
在确定权限关系图谱中的目标关系节点满足预设触发条件时,删除目标关系节点,或者,删除目标关系节点所在的连接边,目标关系节点包括访问对象和/或业务数据;
其中,预设触发条件包括如下至少一种:不超过存储时长阈值和不超过连接访问次数阈值。
其中,可在权限关系图谱中设定关系节点的过期失效处理机制,使得关系节点在满足预设触发条件时,执行自动失效处理,便于有效维护权限关系图谱中关系节点与连接边的数据实时性。
需要说明的是,权限关系图谱除了能够查找某一个访问对象是否具有某一业务数据的访问权限之外,还能够查找一个访问对象能够访问的所有业务数据,或者,某个业务数据能够被访问的全部访问对象。
其中,可选的,本实施例方法还可以包括:
响应于第一查询请求,从权限关系图谱中查找第一访问对象所在的第一关系节点;
从权限关系图谱中查找第一关系节点可达的第二关系节点,第二关系节点对应一个第二业务数据;
基于第二业务数据,响应第一查询请求。
其中,在接收到第一查询请求之后,在权限关系图谱中已第一关系节点为起点,遍历图中查找出全部可达的第二关系节点。
需要说明的是,第二关系节点可对应一个或多个第二业务数据。
从而,在构建完成的权限关系图谱中,能够一次性直接获取到某一访问对象能够访问的全部的业务数据,有效提高业务数据的查找效率。
示例性地,图5提供了一种权限关系图谱的结构示意图,假设第一关系节点为人员D,在图5中,人员D分别为业务单据1的抄送人、业务单据2的审批人和业务单据3的授权人,则确定出的与人员D对应的第二关系节点分别为业务单据1的关系节点、业务单据2的关系节点和业务单据3的关系节点,则与人员D对应的第二业务数据分别为业务单据1、业务单据2和业务单据3。
同理,若想查找人员B是否具有访问业务单据3的权限,可从图5中得出,人员B所在的关系节点到业务单据3所在的关系节点之间不存在可达的关系节点,在确定出人员B不具有访问业务单据3的访问权限。
图6为本公开提供的一种数据处理装置的结构示意图,如图6所示,本实施例的数据处理装置600,包括:获取模块610、确定模块620和处理模块630,其中:
获取模块610,用于响应于目标访问请求,获取目标访问对象待访问的目标业务数据;
确定模块620,用于基于预先构建的权限关系图谱,确定所述目标访问对象与所述目标业务数据之间是否存在可达的关系节点,所述权限关系图谱中包括候选访问对象与候选业务数据之间可达的至少一个关系节点,所述候选业务数据为所述候选访问对象已授权的业务数据;
处理模块630,用于在确定所述目标访问对象与所述目标业务数据之间存在可达的关系节点后,基于所述目标业务数据处理所述目标访问请求。
在本实施例中,可选的,本实施例装置还包括:构建模块;
获取模块610,还用于获取业务信息表和对象信息表,所述业务信息表用于描述访问对象和与所述访问对象关联的业务数据,所述对象信息表用于描述各访问对象之间的业务关系;
构建模块,用于基于所述业务信息表和所述对象信息表,构建权限关系图谱。
在本实施例中,可选的,构建模块,包括:第一建立单元、第二建立单元和确定单元;
第一建立单元,用于基于所述业务信息表建立权限关系图谱的关系节点;
第二建立单元,用于基于所述对象信息表建立每个关系节点之间的连接边;
确定单元,用于基于每个关系节点和每个关系节点之间的连接边,确定权限关系图谱。
在本实施例中,可选的,第二建立单元,具体用于:
为每个访问对象分配业务角色,建立每个业务角色与访问对象的连接边;
基于业务数据的审批流程,建立每个访问对象与业务数据的连接边。
在本实施例中,可选的,确定单元,具体用于:
基于每个关系节点和每个所述关系节点之间的连接边,建立权限关系图谱;
根据与每个业务数据关联的点对点授权信息,更新所述权限关系图谱,所述点对点授权信息用于描述业务数据与访问对象之间的授权关系。
在本实施例中,可选的,本实施例装置还包括:修改模块;
确定模块620,还用于响应于权限变更事件,确定变更主体所在的关系节点;
修改模块,用于基于所述权限变更事件,修改所述关系节点,或者,修改所述关系节点所在的连接边。
在本实施例中,可选的,本实施例装置还包括:删除模块;
删除模块,用于在确定权限关系图谱中的目标关系节点满足预设触发条件时,删除所述目标关系节点,或者,删除所述目标关系节点所在的连接边,所述目标关系节点包括访问对象和/或业务数据;
其中,所述预设触发条件包括如下至少一种:不超过存储时长阈值和不超过连接访问次数阈值。
在本实施例中,可选的,还包括:查找模块;
查找模块,用于响应于第一查询请求,从权限关系图谱中查找第一访问对象所在的第一关系节点;
查找模块,还用于从所述权限关系图谱中查找所述第一关系节点可达的第二关系节点,所述第二关系节点对应一个第二业务数据;
响应模块,用于基于所述第二业务数据,响应所述第一查询请求。
在本实施例中,可选的,所述目标访问请求中包括:待增添数据、待修改数据和待删除数据中的至少一项;
处理模块620,具体用于:
基于所述目标访问请求中包括的待增添数据,对所述目标业务数据执行增添操作;
或者,基于所述目标访问请求中包括的待修改数据,对所述目标业务数据执行修改操作;
或者,基于所述目标访问请求中包括的待删除数据,对所述目标业务数据执行删除操作。
本公开提供的数据处理装置,可执行上述方法实施例,其具体实现原理和技术效果,可参见上述方法实施例,本公开此处不再赘述。
示例性地,本公开提供一种电子设备,包括:一个或多个处理器;存储器;以及一个或多个计算机程序;其中一个或多个计算机程序被存储在存储器中;一个或多个处理器在执行一个或多个计算机程序时,使得电子设备实现前文实施例的数据处理方法。
示例性地,本公开提供一种芯片系统,芯片系统应用于包括存储器和传感器的电子设备;芯片系统包括:处理器;当处理器执行前文实施例的数据处理方法。
示例性地,本公开提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器使得电子设备执行时实现前文实施例的数据处理方法。
示例性地,本公开提供一种计算机程序产品,当计算机程序产品在计算机上运行时,使得计算机执行前文实施例的数据处理方法。
在上述实施例中,全部或部分功能可以通过软件、硬件、或者软件加硬件的组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本公开实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如,固态硬盘(solid state disk,SSD))等。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (13)
1.一种数据处理方法,其特征在于,包括:
响应于目标访问请求,获取目标访问对象待访问的目标业务数据;
基于预先构建的权限关系图谱,确定所述目标访问对象与所述目标业务数据之间是否存在可达的关系节点,所述权限关系图谱中包括候选访问对象与候选业务数据之间可达的至少一个关系节点,所述候选业务数据为所述候选访问对象已授权的业务数据;
在确定所述目标访问对象与所述目标业务数据之间存在可达的关系节点后,基于所述目标业务数据处理所述目标访问请求。
2.根据权利要求1所述的方法,其特征在于,所述基于预先构建的权限关系图谱,确定所述目标访问对象与所述目标业务数据之间是否存在可达的关系节点之前,还包括:
获取业务信息表和对象信息表,所述业务信息表用于描述访问对象和与所述访问对象关联的业务数据,所述对象信息表用于描述各访问对象之间的业务关系;
基于所述业务信息表和所述对象信息表,构建权限关系图谱。
3.根据权利要求2所述的方法,其特征在于,所述基于所述业务信息表和所述对象信息表,构建权限关系图谱,包括:
基于所述业务信息表建立权限关系图谱的关系节点;
基于所述对象信息表建立每个关系节点之间的连接边;
基于每个关系节点和每个关系节点之间的连接边,确定权限关系图谱。
4.根据权利要求3所述的方法,其特征在于,所述基于所述对象信息表建立每个关系节点之间的连接边,包括:
为每个访问对象分配业务角色,建立每个业务角色与访问对象的连接边;
基于业务数据的审批流程,建立每个访问对象与业务数据的连接边。
5.根据权利要求3所述的方法,其特征在于,所述基于每个关系节点和每个关系节点之间的连接边,确定权限关系图谱,包括:
基于每个关系节点和每个所述关系节点之间的连接边,建立权限关系图谱;
根据与每个业务数据关联的点对点授权信息,更新所述权限关系图谱,所述点对点授权信息用于描述业务数据与访问对象之间的授权关系。
6.根据权利要求2-5中任一项所述的方法,其特征在于,还包括:
响应于权限变更事件,确定变更主体所在的关系节点;
基于所述权限变更事件,修改所述关系节点,或者,修改所述关系节点所在的连接边。
7.根据权利要求2-5中任一所述的方法,其特征在于,还包括:
在确定权限关系图谱中的目标关系节点满足预设触发条件时,删除所述目标关系节点,或者,删除所述目标关系节点所在的连接边,所述目标关系节点包括访问对象和/或业务数据;
其中,所述预设触发条件包括如下至少一种:不超过存储时长阈值和不超过连接访问次数阈值。
8.根据权利要求1-5中任一项所述的方法,其特征在于,还包括:
响应于第一查询请求,从权限关系图谱中查找第一访问对象所在的第一关系节点;
从所述权限关系图谱中查找所述第一关系节点可达的第二关系节点,所述第二关系节点对应一个第二业务数据;
基于所述第二业务数据,响应所述第一查询请求。
9.根据权利要求1所述的方法,其特征在于,所述目标访问请求中包括:待增添数据、待修改数据和待删除数据中的至少一项;
所述基于所述目标业务数据处理所述目标访问请求,包括:
基于所述目标访问请求中包括的待增添数据,对所述目标业务数据执行增添操作;
或者,基于所述目标访问请求中包括的待修改数据,对所述目标业务数据执行修改操作;
或者,基于所述目标访问请求中包括的待删除数据,对所述目标业务数据执行删除操作。
10.一种数据处理装置,其特征在于,包括:
获取模块,用于响应于目标访问请求,获取目标访问对象待访问的目标业务数据;
确定模块,用于基于预先构建的权限关系图谱,确定所述目标访问对象与所述目标业务数据之间是否存在可达的关系节点,所述权限关系图谱中包括候选访问对象与候选业务数据之间可达的至少一个关系节点,所述候选业务数据为所述候选访问对象已授权的业务数据;
处理模块,用于在确定所述目标访问对象与所述目标业务数据之间存在可达的关系节点后,基于所述目标业务数据处理所述目标访问请求。
11.一种电子设备,包括:一个或多个处理器;存储器;以及一个或多个计算机程序;其中所述一个或多个计算机程序被存储在所述存储器中;其特征在于,所述一个或多个处理器在执行所述一个或多个计算机程序时,使得所述电子设备实现如权利要求1-9任一项所述的数据处理方法。
12.一种计算机存储介质,其特征在于,包括计算机指令,当所述计算机指令在电子设备上运行时,使得所述电子设备执行如权利要求1-9任一项所述的数据处理方法。
13.一种计算机程序产品,其特征在于,当所述计算机程序产品在计算机上运行时,使得所述计算机执行如权利要求1-9任一项所述的数据处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111394869.5A CN114065254A (zh) | 2021-11-23 | 2021-11-23 | 数据处理方法、装置、电子设备、介质和产品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111394869.5A CN114065254A (zh) | 2021-11-23 | 2021-11-23 | 数据处理方法、装置、电子设备、介质和产品 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114065254A true CN114065254A (zh) | 2022-02-18 |
Family
ID=80279457
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111394869.5A Pending CN114065254A (zh) | 2021-11-23 | 2021-11-23 | 数据处理方法、装置、电子设备、介质和产品 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114065254A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112306687A (zh) * | 2020-10-30 | 2021-02-02 | 平安数字信息科技(深圳)有限公司 | 基于知识图谱的资源分配方法、装置、计算机设备和介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112306687A (zh) * | 2020-10-30 | 2021-02-02 | 平安数字信息科技(深圳)有限公司 | 基于知识图谱的资源分配方法、装置、计算机设备和介质 |
| CN112328712A (zh) * | 2021-01-04 | 2021-02-05 | 清华四川能源互联网研究院 | 基于图数据库的权限管理方法、装置和电子设备 |
-
2021
- 2021-11-23 CN CN202111394869.5A patent/CN114065254A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112306687A (zh) * | 2020-10-30 | 2021-02-02 | 平安数字信息科技(深圳)有限公司 | 基于知识图谱的资源分配方法、装置、计算机设备和介质 |
| CN112328712A (zh) * | 2021-01-04 | 2021-02-05 | 清华四川能源互联网研究院 | 基于图数据库的权限管理方法、装置和电子设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112306687A (zh) * | 2020-10-30 | 2021-02-02 | 平安数字信息科技(深圳)有限公司 | 基于知识图谱的资源分配方法、装置、计算机设备和介质 |
| CN112306687B (zh) * | 2020-10-30 | 2024-06-21 | 深圳平安智汇企业信息管理有限公司 | 基于知识图谱的资源分配方法、装置、计算机设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8402514B1 (en) | Hierarchy-aware role-based access control | |
| US9576020B1 (en) | Methods, systems, and computer program products for storing graph-oriented data on a column-oriented database | |
| US20060004875A1 (en) | CMDB schema | |
| US10831724B2 (en) | Method of reconciling resources in the metadata hierarchy | |
| US20210218809A1 (en) | Dynamic routing of file system objects | |
| US20220171870A1 (en) | Tenant based permission allocation for a graph database | |
| CN111858615A (zh) | 数据库表生成方法、系统、计算机系统和可读存储介质 | |
| CN111199028A (zh) | 资源信息访问方法、装置、计算机设备和存储介质 | |
| US20200342008A1 (en) | System for lightweight objects | |
| US9058470B1 (en) | Actual usage analysis for advanced privilege management | |
| US20070192323A1 (en) | System and method of access and control management between multiple databases | |
| US10685019B2 (en) | Secure query interface | |
| CN114065254A (zh) | 数据处理方法、装置、电子设备、介质和产品 | |
| US10802881B2 (en) | Methods and devices for enabling distributed computers to communicate more effectively in an enterprise requiring flexible approval notifications | |
| US9998498B2 (en) | Cognitive authentication with employee onboarding | |
| CN116472695A (zh) | 基于场景的访问控制 | |
| US10951431B1 (en) | Device registry service | |
| CN112785248A (zh) | 人力资源数据跨组织交互方法、装置、设备和存储介质 | |
| CN116760640A (zh) | 访问控制方法、装置、设备及存储介质 | |
| US20140317008A1 (en) | Method and system for providing and controlling access to candidate information in collections of partner companies | |
| US9009731B2 (en) | Conversion of lightweight object to a heavyweight object | |
| CN115543428A (zh) | 一种基于策略模板的模拟数据生成方法和装置 | |
| US11556661B2 (en) | Data access control system and data access control method | |
| US11522914B1 (en) | Peer-based policy definitions | |
| US10108692B1 (en) | Data set distribution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |