CN114090976A - 权限管理方法、装置、电子设备和存储介质 - Google Patents

权限管理方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN114090976A
CN114090976A CN202111275592.4A CN202111275592A CN114090976A CN 114090976 A CN114090976 A CN 114090976A CN 202111275592 A CN202111275592 A CN 202111275592A CN 114090976 A CN114090976 A CN 114090976A
Authority
CN
China
Prior art keywords
user
authority
information
target
role
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111275592.4A
Other languages
English (en)
Inventor
张潇潇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qingdao Haier Technology Co Ltd
Haier Smart Home Co Ltd
Original Assignee
Qingdao Haier Technology Co Ltd
Haier Smart Home Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qingdao Haier Technology Co Ltd, Haier Smart Home Co Ltd filed Critical Qingdao Haier Technology Co Ltd
Priority to CN202111275592.4A priority Critical patent/CN114090976A/zh
Publication of CN114090976A publication Critical patent/CN114090976A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种权限管理方法、装置、电子设备和存储介质,该方法包括:接收用户访问目标文件中目标信息的请求;响应所述请求,根据用户标识信息,查找用户对应的角色权限信息和用户对应的分组权限信息;其中,所述用户标识信息从所述请求中解析获取;根据所述分组权限信息,确定用户对所述目标文件的访问权限,并根据所述角色权限信息,确定用户对所述目标信息的访问权限;若用户具备对所述目标文件和所述目标信息进行访问的权限,则允许用户对所述目标文件中的目标信息进行访问。本发明实现自动完成权限管理,提高了权限管理的效率,降低了人工成本,且可以实现多维度下权限管理,简化权限管理方式。

Description

权限管理方法、装置、电子设备和存储介质
技术领域
本发明涉及计算机技术领域,尤其涉及一种权限管理方法、装置、电子设备和存储介质。
背景技术
随着大数据时代的到来和数据可视化的发展,各行各业分析的数据量不断增大,越来越多的数据维度呈现在前端报表。因此,数据安全成为首要考虑的问题。而前端BI(Business Intelligence,商业智能)可视化的报表越来越多,查看报表的用户也越来越多。
为了保证数据的安全型,需要为不同的用户,如不同产业不同工贸的用户,分配不同的数据访问权限,即仅允许用户查看访问权限范围内的数据。因此,如何对用户权限进行管理,以保障数据安全是本领域亟待解决的问题。
现有技术中,通过管理人员在系统中手动为每一用户分配相应的访问权限;但是通常用户数量较多,通过管理员手动为每一用户分配访问权限,不仅管理效率低,且需要大量的人力物力。
发明内容
本发明提供一种权限管理方法、装置、电子设备和存储介质,用以解决现有技术中人工为每一用户分配相应的访问权限,管理效率低,需要大量的人力物力的缺陷,实现快速便捷地对权限进行管理。
本发明提供一种权限管理方法,包括:
接收用户访问目标文件中目标信息的请求;
响应所述请求,根据用户标识信息,查找用户对应的角色权限信息和用户对应的分组权限信息;其中,所述用户标识信息从所述请求中解析获取;
根据所述分组权限信息,确定用户对所述目标文件的访问权限,并根据所述角色权限信息,确定用户对所述目标信息的访问权限;
若用户具备对所述目标文件和所述目标信息进行访问的权限,则允许用户对所述目标文件中的目标信息进行访问。
根据本发明提供的一种权限管理方法,还包括:
接收用户申请开通目标权限的请求;
响应用户申请开通目标权限的请求,根据用户标识信息在历史用户列表中查找用户;
在查找到用户的情况下,根据所述目标权限和所述历史用户列表对应的角色列表为用户分配角色,和/或根据所述目标权限和所述历史用户列表对应的分组列表为用户分配分组。
根据本发明提供的一种权限管理方法,根据所述目标权限和所述历史用户列表对应的角色列表为用户分配角色,包括:
在所述角色列表中查找具备所述目标权限中的信息访问权限的角色;
在查找到具备所述信息访问权限的角色情况下,为用户分配具备所述信息访问权限的角色;
在未查找到具备所述信息访问权限的角色情况下,新增具备所述信息访问权限的角色后,将新增的角色分配给用户。
根据本发明提供的一种权限管理方法,根据所述目标权限和所述历史用户列表对应的分组列表为用户分配分组,包括:
在所述分组列表中查找具备所述目标权限中的文件访问权限的分组;
在查找到具备所述文件访问权限的分组情况下,为用户分配具备所述文件访问权限的分组;
在未查找到具备所述文件访问权限的分组情况下,新增具备所述文件访问权限的分组后,将新增的分组分配给用户。
根据本发明提供的一种权限管理方法,还包括:
在未查找到用户的情况下,根据用户申请开通目标权限的请求中的用户个人信息为用户分配角色和/或分组。
根据本发明提供的一种权限管理方法,所述根据用户标识信息,查找用户对应的角色权限信息和用户对应的分组权限信息,包括:
根据所述用户标识信息,查找用户对应的角色标识信息;
根据所述角色标识信息,查找所述角色权限信息;
根据所述用户标识信息,查找用户对应的分组标识信息;
根据所述分组标识信息,查找所述分组权限信息。
根据本发明提供的一种权限管理方法,还包括:
在接收到更新指令时,根据所述更新指令对所述分组权限信息和/或所述角色权限信息进行更新,并将更新结果发送至终端;
其中,所述更新包括增加、删除或修改。
本发明还提供一种权限管理装置,包括:
接收模块,用于接收用户访问目标文件中目标信息的请求;
查找模块,用于响应所述请求,根据用户标识信息,查找用户对应的角色权限信息和用户对应的分组权限信息;其中,所述用户标识信息从所述请求中解析获取;
确定模块,用于根据所述分组权限信息,确定用户对所述目标文件的访问权限,并根据所述角色权限信息,确定用户对所述目标信息的访问权限;
授权模块,用于若用户具备对所述目标文件和所述目标信息进行访问的权限,则允许用户对所述目标文件中的目标信息进行访问。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述权限管理方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述权限管理方法的步骤。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述权限管理方法的步骤。
本发明提供的权限管理方法、装置、电子设备和存储介质,通过根据用户标识信息自动查找获取用户对应的角色权限信息和用户对应的分组权限信息,并联合用户对应的角色权限信息和用户对应的分组权限信息,自动确定用户是否具备访问目标文件和目标信息的权限,在用户具备访问目标文件和目标信息的访问权限的情况下,允许用户对目标文件中的目标信息进行访问;整个权限管理过程,由服务器自动完成,大大提高了权限管理的效率,降低人工成本;并且,通过建立用户标识信息与角色权限信息和分组权限信息之间的关联关系,可以实现多维度下权限管理,简化权限管理方式。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的权限管理方法的流程示意图之一;
图2是本发明提供的权限管理方法中的权限管理时序的结构示意图;
图3是本发明提供的权限管理方法的流程示意图之二;
图4是本发明提供的权限管理方法中用户、角色和分组之间关联关系的结构示意图;
图5是本发明提供的权限管理装置的结构示意图;
图6是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
物联网大数据时代已经到来,BI可视化已经成为大数据时代数据分析的主流趋势;且数据泄露的风险也随之增大,数据安全尤为重要,因此,亟需一种权限管理方法以对行级别数据进行安全管控,对不同维度的数据进行分权管控。
现有技术中系统自带的方法是针对每一个用户单独配置权限,当用户数量多时,导致权限管理繁琐,且耗时。本实施例通过以外部权限表的方式,从数据库底层对权限进行管理,即建立用户与分组权限信息、用户与角色权限信息之间的关联关系,使得用户、角色和分组之间的分配一目了然,支持从多个角度灵活查询和修改权限信息,一方面可以更好地管控数据访问权限,保障数据安全,另一方面大大节约运维成本,提升管理效率,提升用户体验感。
下面结合图1描述本发明的权限管理方法,该方法包括:步骤101,接收用户访问目标文件中目标信息的请求;
其中,本实施例中的执行主体为服务器。
服务器可以支持多个用户同时发送访问目标文件中目标信息的请求,服务器可以每一用户发送的每一访问请求进行接收和响应。
目标文件包含但不限于视频、文档、设备信息和表单等,本实施例对此不作具体地限定。
目标信息是目标文件下的子文件信息。如目标文件为表单,目标信息为表单中的具体行或者列。
可选地,在用户需要对目标文件中目标信息进行访问时,通过客户端向服务器端发送访问目标文件中目标信息的请求;
服务器端实时接收客户端发送的用户访问目标文件中目标信息的请求。
步骤102,响应所述请求,根据用户标识信息,查找用户对应的角色权限信息和用户对应的分组权限信息;其中,所述用户标识信息从所述请求中解析获取;
其中,用户对应的角色可以根据职位等级进行划分和/或职位种类进行划分,本实施例对此不作具体地限定,如用户对应的角色可以包括总裁级别、经理级别、组长级别和普通员工级别。
不同角色对目标文件中的目标信息的访问权限不同,不同分组对目标文件的访问权限不同。
用户标识信息可以是用户的编号或ID(Identity Document,身份标识)等,本实施例对此不作具体地限定。每一用户具有唯一的用户标识信息。
如图2所示,在查找用户对应的角色权限信息和用户对应的分组权限信息之前,
首先,通过BI Server(Business Intelligence Server,商业智能服务)控制台在应用程序安全领域新建分组,并设置分组权限信息;
通过管理工具Enterprise Manager,创建应用程序角色,并将创建的应用程序角色同步至资料库中;
然后,在资料库中建立连接池,创建变量并新建初始化块,通过连接池将数据库中用户和角色加入相应的变量中,通过数据过滤器建立应用程序的角色权限信息;
其中,数据库中存储有用户列表、角色列表、分组列表,以及用户与角色映射关系、用户与分组映射关系等。
通过上述操作,可为不同用户、不同的角色和不同的分组设置不同的权限信息,以使不同分组和不同角色的用户具有不同的访问权限。
在接收到访问请求时,获取用户标识信息,在预先构建的数据库中查找用户对应的角色权限信息,以及用户对应的分组权限信息。
步骤103,根据所述分组权限信息,确定用户对所述目标文件的访问权限,并根据所述角色权限信息,确定用户对所述目标信息的访问权限;
可选地,在分组权限信息中查找目标文件的访问权限,在查找到目标文件的访问权限的情况下,确定用户具备对目标文件的访问权限;
在未查找到目标文件的访问权限的情况下,确定用户不具备对目标文件的访问权限。
并在角色权限信息中查找目标数据的访问权限,在查找到目标数据的访问权限的情况下,确定用户具备对目标数据的访问权限;
在未查找到目标数据的访问权限的情况下,确定用户不具备对目标数据的访问权限。
本实施例只需要根据用户对应的角色权限信息和分组权限信息即可确定用户是否对目标文件和目标信息具有访问权限。
步骤104,若用户具备对所述目标文件和所述目标信息进行访问的权限,则允许用户对所述目标文件中的目标信息进行访问。
可选地,在确定用户是否对目标文件和目标信息具有访问权限后,若获知用户具备访问目标文件和目标信息的访问权限,则允许用户对目标文件中的目标信息进行访问。
在确定用户对目标文件具有访问权限,而对目标信息不具有访问权限的情况下,仅允许用户对目标文件的属性信息进行查看,如名称、文件的标识信息等,而不允许用户对目标文件中的具体内容数据进行查看;
在确定用户对目标文件不具有访问权限的情况下,不允许用户查看目标文件。
需要说明的是,在不允许用户访问目标文件或目标数据的情况下,通过客户端向用户发送提示信息,以供用户输入正确的访问指令或开通新的访问权限等,本实施例对此不作具体地限定。
本实施例中的权限管理可以在Oracle BIEE(Oracle Business IntelligenceEnterprise Edition,Oracle的新的商业智能平台)等平台上实现,以为不同用户分配不同的数据访问权限,进而保证数据的安全管控。
本实施例通过根据用户标识信息自动查找获取用户对应的角色权限信息和用户对应的分组权限信息,并联合用户对应的角色权限信息和用户对应的分组权限信息,自动确定用户是否具备访问目标文件和目标信息的权限,在用户具备访问目标文件和目标信息的访问权限的情况下,允许用户对目标文件中的目标信息进行访问;整个权限管理过程,由服务器自动完成,大大提高了权限管理的效率,降低人工成本;并且,通过建立用户标识信息与角色权限信息和分组权限信息之间的关联关系,可以实现多维度下权限管理,简化权限管理方式。
在上述实施例的基础上,本实施例中还包括:接收用户申请开通目标权限的请求;响应用户申请开通目标权限的请求,根据用户标识信息在历史用户列表中查找用户;在查找到用户的情况下,根据所述目标权限和所述历史用户列表对应的角色列表为用户分配角色,和/或根据所述目标权限和所述历史用户列表对应的分组列表为用户分配分组。
可选地,在用户需要开通目标权限的情况下,通过终端向服务器发送申请开通目标权限的请求;
服务器在接收到用户申请开通目标权限的请求时,根据用户标识信息在数据库的历史用户列表中查找用户,确定用户是否在历史用户列表中存在;在历史用户列表中查找用户的情况下,在历史用户列表对应的角色列表中查找目标权限对应的角色,在历史用户列表对应的分组列表中查找目标权限对应的分组;
根据目标权限对应的分组和/或分组为用户分配相应的角色和/或分组;
在历史用户列表中未查找用户的情况下,将该用户同步至历史用户类别,并为用户创建新的具有目标权限的分组和/或角色;然后,再为用户分配相应的角色和/或分组。
本实施例可实现在用户申请开通目标权限的请求时,可以自动为用户分配相应的角色和分组,以使用户具备目标权限,避免人工管理效率地,人工添加权限信息容易出错的问题,提高管理的效率和准确性。
在上述实施例的基础上,本实施中根据所述目标权限和所述历史用户列表对应的角色列表为用户分配角色,包括:在所述角色列表中查找具备所述目标权限中的信息访问权限的角色;在查找到具备所述信息访问权限的角色情况下,为用户分配具备所述信息访问权限的角色;在未查找到具备所述信息访问权限的角色情况下,新增具备所述信息访问权限的角色后,将新增的角色分配给用户。
其中,目标权限中包括文件访问权限和/或信息访问权限;
如图3所示,根据目标权限为用户分配角色的步骤包括,在数据库构建的历史用户列表对应的角色列表中查找具备目标权限中的信息访问权限的角色;在查找到具备信息访问权限的角色直接将查找到的角色直接分配给用户;在未查找到具备信息访问权限的角色时,先新建具备信息访问权限的角色后,再将新建的角色分配给用户。
本实施例根据用户发送的目标权限中的信息访问权限,即可自动查找到相应的角色,并将查找到的角色分配给用户,以使用户具备信息访问权限,操作简单,管理效率高。
在上述实施例的基础上,本实施例中根据所述目标权限和所述历史用户列表对应的分组列表为用户分配分组,包括:在所述分组列表中查找具备所述目标权限中的文件访问权限的分组;在查找到具备所述文件访问权限的分组情况下,为用户分配具备所述文件访问权限的分组;在未查找到具备所述文件访问权限的分组情况下,新增具备所述文件访问权限的分组后,将新增的分组分配给用户。
如图3所示,根据目标权限为用户分配角色的步骤包括,在数据库构建的历史用户列表对应的分组列表中查找具备目标权限中的文件访问权限的分组;在查找到具备文件访问权限的分组直接将查找到的分组直接分配给用户;在未查找到具备文件访问权限的分组时,先新建具备文件访问权限的分组后,再将新建的分组分配给用户。
本实施例根据用户发送的目标权限中的文件访问权限,即可自动查找到相应的分组,并将查找到的分组分配给用户,以使用户具备信息访问权限,操作简单,管理效率高。
在上述实施例的基础上,本实施例中还包括:在未查找到用户的情况下,根据用户申请开通目标权限的请求中的用户个人信息为用户分配角色和/或分组。
其中,用户个人信息包括但不限于用户的姓名、在职状态、岗位、部门、公司名称等,本实施例对此不作具体地限定。
可选地,在根据用户标识信息在数据库的历史用户列表中查找用户,确定用户不在历史用户列表中的情况下,确定该用户为新用户;可以根据用户个人信息确定用户的角色和分组,并将确定角色和分组分配给用户。
此外,还可以将分配结果同步至用户与分组映射关系和用户与角色映射关系中,以供用户实时查看和/或对用户与分组映射关系和用户与角色映射关系进行更新。
本实施例中即使存在新用户,也可以自动为其分配角色和分组,以使为用户分配相应分组和角色的权限,操作简单,管理效率高。
在上述各实施例的基础上,本实施例中所述根据用户标识信息,查找用户对应的角色权限信息和用户对应的分组权限信息,包括:根据所述用户标识信息,查找用户对应的角色标识信息;根据所述角色标识信息,查找所述角色权限信息;根据所述用户标识信息,查找用户对应的分组标识信息;根据所述分组标识信息,查找所述分组权限信息。
如图4所示,用户列表、用户与角色映射关系、用户与分组映射关系三者之间通过用户标识信息进行关联;
角色列表、角色权限信息、用户与角色映射关系三者之间通过角色标识信息进行关联;其中,角色标识信息可以是编号或ID等,本实施例对此不作具体地限定。每一角色具有唯一的角色标识信息。
分组列表、用户与分组映射关系、分组权限信息三者之间通过分组标识信息进行关联。其中,分组标识信息可以是编号或ID等,本实施例对此不作具体地限定。每一分组具有唯一的分组标识信息。
需要说明的是,用户标识信息、角色标识信息和分组标识信息可以是同类型也可以是不同类型,本实施例对此不作具体地限定,如用户标识信息为用户ID、角色标识信息为角色ID和分组标识信息为分组ID。
可选地,根据用户标识信息,查找用户对应的角色权限信息和用户对应的分组权限信息的步骤包括,
根据用户标识信息在数据库中的用户与角色映射关系中查找用户对应的角色标识信息;
然后,根据用户对应的角色标识信息在角色列表中查找角色权限信息。
根据用户标识信息在数据库中用户与分组映射关系中查找用户对应的分组标识信息;
然后,根据用户对应的分组标识信息在分组列表中查找分组权限信息。
现有技术中权限管理通过人工进行权限管理,在用户较多时,需要对用户的信息进行一一核对,不仅管理效率低,需要耗费大量的人力物力,且在核对过程中很容易出错。
而本实施例可以根据数据库中用户与分组、用户与角色之间的映射关系,可以快速准确地获取用户对应的角色权限信息和用户对应的分组权限信息,进而确定用户的访问权限。
在上述各实施例的基础上,本实施例中还包括:在接收到更新指令时,根据所述更新指令对所述分组权限信息和/或所述角色权限信息进行更新,并将更新结果发送至终端;其中,所述更新包括增加、删除或修改。
其中,更新包括但不限于增加、删除或修改,本实施例对此不作具体地限定。
可选地,在管理员需要对分组权限信息和/或角色权限信息进行更新时,可以通过客户端向服务器发送更新指令;
其中,发送指令的形式包括但不限于语音、文字和物理按键等,本实施例对此不作具体地限定。
服务在接收到更新指令时,在更新指令用于对待更新角色的权限信息进行更新的情况下,根据更新指令中待更新角色的权限信息,在角色列表中查找更新指令中的待更新角色;在查找到的情况下,根据指令中待更新角色的权限信息对查找到的角色权限信息进行更新;
若未查找到,则将更新指令中待更新角色和相应的权限信息添加到角色列表中,以对角色列表进行扩展。
或者,在更新指令用于对待更新分组的权限信息进行更新的情况下,根据更新指令中待更新分组的权限信息,在分组列表中查找更新指令中的待更新分组;在查找到的情况下,根据指令中待更新分组的权限信息对查找到的分组权限信息进行更新;
若未查找到,则将更新指令中待更新分组和相应的权限信息添加到分组列表中,以对分组列表进行扩展。
或者,在更新指令用于对待更新角色和待更新分组的权限信息进行更新的情况下,根据更新指令中待更新分组的权限信息,在分组列表中查找更新指令中的待更新分组;根据更新指令中待更新角色的权限信息,在角色列表中查找更新指令中的待更新角色,在均查找到的情况下,根据指令中待更新分组的权限信息对查找到的分组权限信息进行更新,根据指令中待更新角色的权限信息对查找到的角色权限信息进行更新;
在待更新角色和待更新分组的权限信息中任一权限信息未查找到的情况下,对查找到的权限信息进行更新,对未查找到的权限信息进行扩展。
然后,在接收到用户访问目标文件中目标信息的请求时,可以根据用户标识信息在更新后的角色列表和分组列表中查找用户对应的角色权限信息和用户对应的分组权限信息,以为用户分配相应的访问权限。
还可以根据实际需求对用户与角色映射关系,以及用户与分组映射关系进行更新,具体更新方式与上述更新方式类似。
另外,在接收到查询指令时,可以根据查询指令对分组权限信息、角色权限信息、用户与角色映射关系,以及用户与分组映射关系中的一种或多种进行查询,并将查询结果发送至终端。
本实施例中在接收到更新指令后,即可分组权限信息和/或角色权限信息进行更新,即可以实现对同一分组的用户的权限信息和同一角色的用户的权限信息进行批量更新,操作方便灵活,更能满足用户的不同需求,可扩展性强;大大节省了人工对权限管理的成本,简化权限管理机制。
本实施例通过外部权限表的方式,将用户、角色、分组分别管理,查看起来井井有条,方便权限管理人员批量查询、新增、修改和删除用户权限,大大节省了人工管理的成本,优化管理机制;且通过外部权限表对数据访问权限进行管理,使得用户在访问数据时,仅能向用户展示权限范围内的数据,提高数据安全性。
下面对本发明提供的权限管理装置进行描述,下文描述的权限管理装置与上文描述的权限管理方法可相互对应参照。
如图5所示,本实施例提供一种权限管理装置,该装置包括接收模块501、查找模块502、确定模块503和授权模块504,其中:
接收模块501用于接收用户访问目标文件中目标信息的请求;
其中,本实施例中的执行主体为服务器。
服务器可以支持多个用户同时发送访问目标文件中目标信息的请求,服务器可以每一用户发送的每一访问请求进行接收和响应。
目标文件包含但不限于视频、文档、设备信息和表单等,本实施例对此不作具体地限定。
目标信息是目标文件下的子文件信息。如目标文件为表单,目标信息为表单中的具体行或者列。
可选地,在用户需要对目标文件中目标信息进行访问时,通过客户端向服务器端发送访问目标文件中目标信息的请求;
服务器端实时接收客户端发送的用户访问目标文件中目标信息的请求。
查找模块502用于响应所述请求,根据用户标识信息,查找用户对应的角色权限信息和用户对应的分组权限信息;其中,所述用户标识信息从所述请求中解析获取;
其中,用户对应的角色可以根据职位等级进行划分和/或职位种类进行划分,本实施例对此不作具体地限定,如用户对应的角色可以包括总裁级别、经理级别、组长级别和普通员工级别。
不同角色对目标文件中的目标信息的访问权限不同,不同分组对目标文件的访问权限不同。
用户标识信息可以是用户的编号或ID等,本实施例对此不作具体地限定。每一用户具有唯一的用户标识信息。
如图2所示,在查找用户对应的角色权限信息和用户对应的分组权限信息之前,
首先,通过BI Server控制台在应用程序安全领域新建分组,并设置分组权限信息;
通过管理工具Enterprise Manager,创建应用程序角色,并将创建的应用程序角色同步至资料库中;
然后,在资料库中建立连接池,创建变量并新建初始化块,通过连接池将数据库中用户和角色加入相应的变量中,通过数据过滤器建立应用程序的角色权限信息;
其中,数据库中存储有用户列表、角色列表、分组列表,以及用户与角色映射关系、用户与分组映射关系等。
通过上述操作,可为不同用户、不同的角色和不同的分组设置不同的权限信息,以使不同分组和不同角色的用户具有不同的访问权限。
在接收到访问请求时,获取用户标识信息,在预先构建的数据库中查找用户对应的角色权限信息,以及用户对应的分组权限信息。
确定模块503用于根据所述分组权限信息,确定用户对所述目标文件的访问权限,并根据所述角色权限信息,确定用户对所述目标信息的访问权限;
可选地,在分组权限信息中查找目标文件的访问权限,在查找到目标文件的访问权限的情况下,确定用户具备对目标文件的访问权限;
在未查找到目标文件的访问权限的情况下,确定用户不具备对目标文件的访问权限。
并在角色权限信息中查找目标数据的访问权限,在查找到目标数据的访问权限的情况下,确定用户具备对目标数据的访问权限;
在未查找到目标数据的访问权限的情况下,确定用户不具备对目标数据的访问权限。
本实施例只需要根据用户对应的角色权限信息和分组权限信息即可确定用户是否对目标文件和目标信息具有访问权限。
授权模块504用于若用户具备对所述目标文件和所述目标信息进行访问的权限,则允许用户对所述目标文件中的目标信息进行访问。
可选地,在确定用户是否对目标文件和目标信息具有访问权限后,若获知用户具备访问目标文件和目标信息的访问权限,则允许用户对目标文件中的目标信息进行访问。
在确定用户对目标文件具有访问权限,而对目标信息不具有访问权限的情况下,仅允许用户对目标文件的属性信息进行查看,如名称、文件的标识信息等,而不允许用户对目标文件中的具体内容数据进行查看;
在确定用户对目标文件不具有访问权限的情况下,不允许用户查看目标文件。
需要说明的是,在不允许用户访问目标文件或目标数据的情况下,通过客户端向用户发送提示信息,以供用户输入正确的访问指令或开通新的访问权限等,本实施例对此不作具体地限定。
本实施例中的权限管理可以在Oracle BIEE等平台上实现,以为不同用户分配不同的数据访问权限,进而保证数据的安全管控。
本实施例通过根据用户标识信息自动查找获取用户对应的角色权限信息和用户对应的分组权限信息,并联合用户对应的角色权限信息和用户对应的分组权限信息,自动确定用户是否具备访问目标文件和目标信息的权限,在用户具备访问目标文件和目标信息的访问权限的情况下,允许用户对目标文件中的目标信息进行访问;整个权限管理过程,由服务器自动完成,大大提高了权限管理的效率,降低人工成本;并且,通过建立用户标识信息与角色权限信息和分组权限信息之间的关联关系,可以实现多维度下权限管理,简化权限管理方式。
在上述实施例的基础上,本实施例中还包括分配模块,用于:接收用户申请开通目标权限的请求;响应用户申请开通目标权限的请求,根据用户标识信息在历史用户列表中查找用户;在查找到用户的情况下,根据所述目标权限和所述历史用户列表对应的角色列表为用户分配角色,和/或根据所述目标权限和所述历史用户列表对应的分组列表为用户分配分组。
在上述实施例的基础上,本实施例中分配模块,具体用于:在所述角色列表中查找具备所述目标权限中的信息访问权限的角色;在查找到具备所述信息访问权限的角色情况下,为用户分配具备所述信息访问权限的角色;在未查找到具备所述信息访问权限的角色情况下,新增具备所述信息访问权限的角色后,将新增的角色分配给用户。
在上述实施例的基础上,本实施例中分配模块,还用于:在所述分组列表中查找具备所述目标权限中的文件访问权限的分组;在查找到具备所述文件访问权限的分组情况下,为用户分配具备所述文件访问权限的分组;在未查找到具备所述文件访问权限的分组情况下,新增具备所述文件访问权限的分组后,将新增的分组分配给用户。
在上述实施例的基础上,本实施例中分配模块,还用于:在未查找到用户的情况下,根据用户申请开通目标权限的请求中的用户个人信息为用户分配角色和/或分组。
在上述实施例的基础上,本实施例中查找模块,具体用于:根据所述用户标识信息,查找用户对应的角色标识信息;根据所述角色标识信息,查找所述角色权限信息;根据所述用户标识信息,查找用户对应的分组标识信息;根据所述分组标识信息,查找所述分组权限信息。
在上述实施例的基础上,本实施例中还包括更新模块,用于:在接收到更新指令时,根据所述更新指令对所述分组权限信息和/或所述角色权限信息进行更新,并将更新结果发送至终端;其中,所述更新包括增加、删除或修改。
图6示例了一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)601、通信接口(Communications Interface)602、存储器(memory)603和通信总线604,其中,处理器601,通信接口602,存储器603通过通信总线604完成相互间的通信。处理器601可以调用存储器603中的逻辑指令,以执行权限管理方法,该方法包括:接收用户访问目标文件中目标信息的请求;响应所述请求,根据用户标识信息,查找用户对应的角色权限信息和用户对应的分组权限信息;其中,所述用户标识信息从所述请求中解析获取;根据所述分组权限信息,确定用户对所述目标文件的访问权限,并根据所述角色权限信息,确定用户对所述目标信息的访问权限;若用户具备对所述目标文件和所述目标信息进行访问的权限,则允许用户对所述目标文件中的目标信息进行访问。
此外,上述的存储器603中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的权限管理方法,该方法包括:接收用户访问目标文件中目标信息的请求;响应所述请求,根据用户标识信息,查找用户对应的角色权限信息和用户对应的分组权限信息;其中,所述用户标识信息从所述请求中解析获取;根据所述分组权限信息,确定用户对所述目标文件的访问权限,并根据所述角色权限信息,确定用户对所述目标信息的访问权限;若用户具备对所述目标文件和所述目标信息进行访问的权限,则允许用户对所述目标文件中的目标信息进行访问。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的权限管理方法,该方法包括:接收用户访问目标文件中目标信息的请求;响应所述请求,根据用户标识信息,查找用户对应的角色权限信息和用户对应的分组权限信息;其中,所述用户标识信息从所述请求中解析获取;根据所述分组权限信息,确定用户对所述目标文件的访问权限,并根据所述角色权限信息,确定用户对所述目标信息的访问权限;若用户具备对所述目标文件和所述目标信息进行访问的权限,则允许用户对所述目标文件中的目标信息进行访问。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种权限管理方法,其特征在于,包括:
接收用户访问目标文件中目标信息的请求;
响应所述请求,根据用户标识信息,查找用户对应的角色权限信息和用户对应的分组权限信息;其中,所述用户标识信息从所述请求中解析获取;
根据所述分组权限信息,确定用户对所述目标文件的访问权限,并根据所述角色权限信息,确定用户对所述目标信息的访问权限;
若用户具备对所述目标文件和所述目标信息进行访问的权限,则允许用户对所述目标文件中的目标信息进行访问。
2.根据权利要求1所述的权限管理方法,其特征在于,还包括:
接收用户申请开通目标权限的请求;
响应用户申请开通目标权限的请求,根据用户标识信息在历史用户列表中查找用户;
在查找到用户的情况下,根据所述目标权限和所述历史用户列表对应的角色列表为用户分配角色,和/或根据所述目标权限和所述历史用户列表对应的分组列表为用户分配分组。
3.根据权利要求2所述的权限管理方法,其特征在于,根据所述目标权限和所述历史用户列表对应的角色列表为用户分配角色,包括:
在所述角色列表中查找具备所述目标权限中的信息访问权限的角色;
在查找到具备所述信息访问权限的角色情况下,为用户分配具备所述信息访问权限的角色;
在未查找到具备所述信息访问权限的角色情况下,新增具备所述信息访问权限的角色后,将新增的角色分配给用户。
4.根据权利要求2所述的权限管理方法,其特征在于,根据所述目标权限和所述历史用户列表对应的分组列表为用户分配分组,包括:
在所述分组列表中查找具备所述目标权限中的文件访问权限的分组;
在查找到具备所述文件访问权限的分组情况下,为用户分配具备所述文件访问权限的分组;
在未查找到具备所述文件访问权限的分组情况下,新增具备所述文件访问权限的分组后,将新增的分组分配给用户。
5.根据权利要求2所述的权限管理方法,其特征在于,还包括:
在未查找到用户的情况下,根据用户申请开通目标权限的请求中的用户个人信息为用户分配角色和/或分组。
6.根据权利要求1-5任一所述的权限管理方法,其特征在于,所述根据用户标识信息,查找用户对应的角色权限信息和用户对应的分组权限信息,包括:
根据所述用户标识信息,查找用户对应的角色标识信息;
根据所述角色标识信息,查找所述角色权限信息;
根据所述用户标识信息,查找用户对应的分组标识信息;
根据所述分组标识信息,查找所述分组权限信息。
7.根据权利要求1-5任一所述的权限管理方法,其特征在于,还包括:
在接收到更新指令时,根据所述更新指令对所述分组权限信息和/或所述角色权限信息进行更新,并将更新结果发送至终端;
其中,所述更新包括增加、删除或修改。
8.一种权限管理装置,其特征在于,包括:
接收模块,用于接收用户访问目标文件中目标信息的请求;
查找模块,用于响应所述请求,根据用户标识信息,查找用户对应的角色权限信息和用户对应的分组权限信息;其中,所述用户标识信息从所述请求中解析获取;
确定模块,用于根据所述分组权限信息,确定用户对所述目标文件的访问权限,并根据所述角色权限信息,确定用户对所述目标信息的访问权限;
授权模块,用于若用户具备对所述目标文件和所述目标信息进行访问的权限,则允许用户对所述目标文件中的目标信息进行访问。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述权限管理方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述权限管理方法的步骤。
CN202111275592.4A 2021-10-29 2021-10-29 权限管理方法、装置、电子设备和存储介质 Pending CN114090976A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111275592.4A CN114090976A (zh) 2021-10-29 2021-10-29 权限管理方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111275592.4A CN114090976A (zh) 2021-10-29 2021-10-29 权限管理方法、装置、电子设备和存储介质

Publications (1)

Publication Number Publication Date
CN114090976A true CN114090976A (zh) 2022-02-25

Family

ID=80298386

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111275592.4A Pending CN114090976A (zh) 2021-10-29 2021-10-29 权限管理方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN114090976A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114915453A (zh) * 2022-04-14 2022-08-16 浙江网商银行股份有限公司 访问响应方法以及装置
WO2023201733A1 (zh) * 2022-04-22 2023-10-26 Oppo广东移动通信有限公司 无线通信的方法和设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114915453A (zh) * 2022-04-14 2022-08-16 浙江网商银行股份有限公司 访问响应方法以及装置
WO2023201733A1 (zh) * 2022-04-22 2023-10-26 Oppo广东移动通信有限公司 无线通信的方法和设备

Similar Documents

Publication Publication Date Title
US10757106B2 (en) Resource access control method and device
CN113169952B (zh) 一种基于区块链技术的容器云管理系统
US9237180B2 (en) System and method for verifying configuration item changes
CN110290112B (zh) 权限控制方法、装置、计算机设备及存储介质
CN114090976A (zh) 权限管理方法、装置、电子设备和存储介质
CN106951773B (zh) 用户角色分配校验方法及系统
US20170048115A1 (en) SDN Application Integration, Management and Control Method, System and Device
US20220171870A1 (en) Tenant based permission allocation for a graph database
EP3376403A1 (en) Method of accessing distributed database and device providing distributed data service
CN110532025B (zh) 基于微服务架构的数据处理方法、装置、设备及存储介质
US20090006636A1 (en) System & method for automatically registering a client device
CN108416195B (zh) 跨平台用户权限管理方法、装置、计算机设备及存储介质
CN111046354A (zh) 一种访问和客户端访问管理方法、系统及介质
CN113342775A (zh) 基于云的计算环境中的集中式多租户即服务
CN108268605B (zh) 一种共享空间资源管理方法及系统
US10230735B2 (en) Role-based permissions for hierarchy-based relationships
CN112084021A (zh) 教育系统的界面配置方法、装置、设备及可读存储介质
CN113742369B (zh) 数据权限管理方法、系统和存储介质
US20150254324A1 (en) Framework for continuous processing of a set of documents by multiple software applications
CN110807185A (zh) 系统访问方法、装置及服务器
US20120311115A1 (en) Assignment of agent identifier to cloned device
CN113746676A (zh) 基于容器集群的网卡管理方法、装置、设备、介质及产品
CN108830441B (zh) 资源查询的方法和装置
CN113065801A (zh) 组织架构管理方法、装置、设备及存储介质
KR101728873B1 (ko) 그래프 질의 언어 분산처리시스템 및 그 질의 언어 분산처리방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination