CN115766296B - 用户账户的权限控制方法、装置、服务器和存储介质 - Google Patents
用户账户的权限控制方法、装置、服务器和存储介质 Download PDFInfo
- Publication number
- CN115766296B CN115766296B CN202310023338.8A CN202310023338A CN115766296B CN 115766296 B CN115766296 B CN 115766296B CN 202310023338 A CN202310023338 A CN 202310023338A CN 115766296 B CN115766296 B CN 115766296B
- Authority
- CN
- China
- Prior art keywords
- user account
- authority
- target
- authority control
- mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本申请涉及一种用户账户的权限控制方法、用户账户的权限控制装置、服务器、存储介质及计算机程序产品。所述方法包括:先获取输入于业务系统中针对于用户账户的账户信息和业务系统的系统类型信息;再基于账户信息,从数据库中获取针对于用户账户的用户类型信息和权限信息;再基于系统类型信息和用户类型信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;其中,权限控制模式用于指示业务系统向用户账户开放操作权限的程度;最后,基于目标权限控制模式和用户账户的权限信息,对用户账户在业务系统中执行的功能操作进行权限控制。采用本方法能够提升对用户进行权限管理时的安全性和数据处理效率。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种用户账户的权限控制方法、用户账户的权限控制装置、服务器、存储介质和计算机程序产品。
背景技术
目前很多企业已建立自己的数据仓库,存储大量有价值的商业机密信息,数据安全对企业生存发展有着举足轻重的影响,因此,企业对数据的权限管理能够有效防止数据资产的外泄、以及保证企业的核心竞争力缺失。
权限管理一般是根据设置的安全规则或者安全策略,来控制用户可以访问且只能访问已被授权的资源、数据。权限管理分为两大类,即功能权限控制和数据权限控制,其中,数据权限控制是指:控制用户能对哪些数据进行哪些操作,例如,控制人力资源部门的普通员工可以查看公司内部部分员工的个人资料数据,控制人力资源部门的部门经理可以查看和修改公司内部所有员工的个人资料数据。
在实际应用过程中,由于用户的角色不单一以及用户需要访问的数据系统的不同,存在用户在访问不同数据系统时的角色叠加和重复授权的问题,从而在处理高并发数据的用户权限管理时,性能不足,效率较低,导致对用户的权限管理的安全性不够。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提升对用户进行权限管理时的安全性和数据处理效率的用户账户的权限控制方法、用户账户的权限控制装置、服务器、存储介质及计算机程序产品。
根据本公开实施例的第一方面,提供一种用户账户的权限控制方法,包括:
获取输入于业务系统中针对于用户账户的账户信息和所述业务系统的系统类型信息;
基于所述账户信息,从数据库中获取针对于所述用户账户的用户类型信息和权限信息;所述权限信息用于指示所述用户账户在业务系统中的操作权限;
基于所述系统类型信息和所述用户类型信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;所述权限控制模式用于指示所述业务系统向所述用户账户开放所述操作权限的程度;
基于所述目标权限控制模式和所述用户账户的权限信息,对所述用户账户在所述业务系统中执行的功能操作进行权限控制。
在一示例性实施例中,所述基于所述系统类型信息和所述用户类型信息,在预设的至少两种权限控制模式中确定出目标权限控制模式,包括:
基于所述系统类型信息,确定所述业务系统中存储的业务数据的第一重要性等级;以及,基于所述用户类型信息,确定所述用户账户的第二重要性等级;
基于所述第一重要性等级和所述二重要性等级所表征的重要程度,在预设的所述至少两种权限控制模式中确定出目标权限控制模式。
在一示例性实施例中,所述第一重要性等级的大小与对应所表征的重要程度正相关,所述第二重要性等级的大小与对应所表征的重要程度正相关;
所述基于所述第一重要性等级和所述二重要性等级所表征的重要程度,在预设的所述至少两种权限控制模式中确定出目标权限控制模式,包括以下三项中的一项:
若所述第一重要性等级大于所述二重要性等级,则在所述至少两种权限控制模式中确定出第一模式作为目标权限控制模式;
若所述第一重要性等级等于所述二重要性等级,则在所述至少两种权限控制模式中确定出第二模式作为目标权限控制模式;
若所述第一重要性等级小于所述二重要性等级,则在所述至少两种权限控制模式中确定出第三模式作为目标权限控制模式;
其中,所述目标权限控制模式用于指示所述业务系统在对应的约束条件下,按照对应的开放程度向所述用户账户开放针对存储的所述业务数据的操作权限的程度;
所述第一模式对应的约束条件多于所述第二模式对应的约束条件,以及所述第二模式对应的约束条件多于所述第三模式对应的约束条件;
所述第一模式对应的开放程度低于所述第二模式对应的开放程度,以及所述第二模式对应的开放程度低于所述第三模式对应的开放程度。
在一示例性实施例中,所述基于所述目标权限控制模式和所述用户账户的权限信息,对所述用户账户在所述业务系统中执行的功能操作进行权限控制,包括:
基于所述用户账户的权限信息,在所述业务系统中存储的各业务数据中确定出匹配于所述用户账户的目标业务数据;
在所述目标权限控制模式所对应的约束条件下,按照对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限。
在一示例性实施例中,在所述按照对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限之前,还包括:
确定所述用户账户是否满足所述目标权限控制模式所对应的约束条件;
其中,所述目标权限控制模式所对应的约束条件包括以下三项中的至少一项:
所述用户账户在对所述目标业务数据执行所述功能操作时所处于的时间节点为预设时间节点;
所述用户账户在对所述目标业务数据执行所述功能操作时所使用的设备地址为预设设备地址;
所述用户账户在对所述目标业务数据执行所述功能操作的次数未达到预设次数阈值。
在一示例性实施例中,所述在所述目标权限控制模式所对应的约束条件下,按照对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限,包括:
若所述用户账户满足所述目标权限控制模式所对应的约束条件,则按照所述目标权限控制模式对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限;
若所述用户账户不满足所述目标权限控制模式所对应的约束条件,则向所述用户账户关闭针对所述目标业务数据执行的功能操作的操作权限。
在一示例性实施例中,所述用户账户针对于所述目标业务数据的操作权限包括:所述用户账户对所述目标业务数据进行浏览操作、下载操作、修改操作和转发操作的功能操作;
所述按照所述目标权限控制模式对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限,包括以下三项中的一项:
响应于所述目标权限控制模式为所述第一模式,向所述用户账户开放针对所述目标业务数据执行的浏览操作的操作权限;
响应于所述目标权限控制模式为所述第二模式,向所述用户账户开放针对所述目标业务数据执行的浏览操作和下载操作的操作权限;
响应于所述目标权限控制模式为所述第三模式,向所述用户账户开放针对所述目标业务数据执行的浏览操作、下载操作、修改操作和转发操作的操作权限。
根据本公开实施例的第二方面,提供一种用户账户的权限控制装置,包括:
第一获取单元,被配置为执行获取输入于业务系统中针对于用户账户的账户信息和所述业务系统的系统类型信息;
第二获取单元,被配置为执行基于所述账户信息,从数据库中获取针对于所述用户账户的用户类型信息和权限信息;所述权限信息用于指示所述用户账户在业务系统中的操作权限;
模式确定单元,被配置为执行基于所述系统类型信息和所述用户类型信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;所述权限控制模式用于指示所述业务系统向所述用户账户开放所述操作权限的程度;
权限控制单元,被配置为执行基于所述目标权限控制模式和所述用户账户的权限信息,对所述用户账户在所述业务系统中执行的功能操作进行权限控制。
根据本公开实施例的第三方面,提供一种服务器,包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令,以实现如上述任一项所述的用户账户的权限控制方法。
根据本公开实施例的第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质中包括计算机程序,当所述计算机程序由服务器的处理器执行时,使得所述服务器能够执行如上述任一项所述的用户账户的权限控制方法。
根据本公开实施例的第五方面,提供一种计算机程序产品,所述计算机程序产品中包括程序指令,所述程序指令被服务器的处理器执行时,使得所述服务器能够执行如上述任一项所述的用户账户的权限控制方法。
本公开的实施例提供的技术方案至少带来以下有益效果:
该方法先通过获取输入于业务系统中针对于用户账户的账户信息和业务系统的系统类型信息;再基于账户信息,从数据库中获取针对于用户账户的用户类型信息和权限信息;其中,权限信息用于指示用户账户在业务系统中的操作权限;再基于系统类型信息和用户类型信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;其中,权限控制模式用于指示业务系统向用户账户开放操作权限的程度;最后,基于目标权限控制模式和用户账户的权限信息,对用户账户在业务系统中执行的功能操作进行权限控制。这样,一方面,利用业务系统的系统类型和用户账户的用户类型来确定对用户账户进行权限控制的模式,能够解决现有技术中用户在访问不同数据系统时的角色叠加和重复授权的问题,从而提升了对用户进行权限管理时的数据处理效率,优化了对用户的权限管理的流程;另一方面,利用确定的目标权限控制模式和用户账户自身被授予的权限,来对用户账户在业务系统中执行的功能操作进行权限控制,提升了对用户进行权限管理时的安全性和有效性,从而能够有效防止企业数据资产的外泄问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理,并不构成对本公开的不当限定。
图1是根据一示例性实施例示出的一种用户账户的权限控制方法的应用环境图。
图2是根据一示例性实施例示出的一种用户账户的权限控制方法的流程图。
图3是根据一示例性实施例示出的一种确定目标权限控制模式步骤的流程图。
图4是根据一示例性实施例示出的一种对用户账户进行权限控制步骤的流程图。
图5是根据另一示例性实施例示出的一种用户账户的权限控制方法的流程图。
图6为根据另一示例性实施例示出的一种用户账户的权限控制方法的模块图。
图7是根据一示例性实施例示出的一种用户账户的权限控制装置框图。
图8是根据一示例性实施例示出的一种用于用户账户的权限控制的服务器的框图。
图9是根据一示例性实施例示出的一种用于用户账户的权限控制的计算机可读存储介质的框图。
图10是根据一示例性实施例示出的一种用于用户账户的权限控制的计算机程序产品的框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例中的术语“和/或”指的是包括相关联的列举项目中的一个或多个的任何和全部的可能组合。还要说明的是:当用在本说明书中时,“包括/包含”指定所陈述的特征、整数、步骤、操作、元件和/或组件的存在,但是不排除一个或多个其他特征、整数、步骤、操作、元件和/或组件和/或它们的组群的存在或添加。
本申请中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
另外,本申请中尽管多次采用术语“第一”、“第二”等来描述各种操作(或各种元件或各种应用或各种指令或各种数据)等,不过这些操作(或元件或应用或指令或数据)不应受这些术语的限制。这些术语只是用于区分一个操作(或元件或应用或指令或数据)和另一个操作(或元件或应用或指令或数据)。例如,第一权限控制模式可以被称为第二权限控制模式,第二权限控制模式也可以被称为第一权限控制模式,仅仅是其两者所包括的范围不同,而不脱离本申请的范围,第一权限控制模式和第二权限控制模式都是针对于业务系统的目标权限控制模式的集合,只是二者并不是相同类别的目标权限控制模式的集合而已。
本申请实施例提供的用户账户的权限控制方法,可以应用于如图1所示的应用环境中。其中,终端102通过通信网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。
在一些实施例中,参考图1,服务器104首先获取输入于业务系统中针对于用户账户的账户信息和所述业务系统的系统类型信息;然后,服务器104再基于所述账户信息,从数据库中获取针对于所述用户账户的用户类型信息和权限信息;其中,所述权限信息用于指示所述用户账户在业务系统中的操作权限;然后,服务器104再基于所述系统类型信息和所述用户类型信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;其中,所述权限控制模式用于指示所述业务系统向所述用户账户开放所述操作权限的程度;最后,服务器104再基于所述目标权限控制模式和所述用户账户的权限信息,对所述用户账户在所述业务系统中执行的功能操作进行权限控制。
在一些实施例中,终端102(如移动终端、固定终端)可以以各种形式来实施。其中,终端102可为包括诸如移动电话、智能电话、笔记本电脑、便携式手持式设备、个人数字助理(PDA,Personal Digital Assistant)、平板电脑(PAD)等等的可以基于目标权限控制模式和用户账户的权限信息,对用户账户在业务系统中执行的功能操作进行权限控制的移动终端,终端102也可以是自动柜员机(Automated Teller Machine,ATM)、自动一体机、数字TV、台式计算机、固式计算机等等的可以基于目标权限控制模式和用户账户的权限信息,对用户账户在业务系统中执行的功能操作进行权限控制的固定终端。
下面,假设终端102是固定终端。然而,本领域技术人员将理解的是,若有特别用于移动目的的操作或者元件,根据本申请公开的实施方式的构造也能够应用于移动类型的终端102。
在一些实施例中,服务器104运行的数据处理组件可以加载正在被执行的可以包括各种附加服务器应用和/或中间层应用中的任何一种,如包括HTTP(超文本传输协议)、FTP(文件传输协议)、CGI(通用网关界面)、RDBMS(关系型数据库管理系统)等。
在一些实施例中,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。服务器104可以适于运行提供前述公开中描述的终端102的一个或多个应用服务或软件组件。
在一些实施例中,应用服务可以包括向用户提供账户登录和应用操作的服务界面,以及对应程序服务等等。其中,软件组件可以包括例如具有根据目标权限控制模式和用户账户的权限信息,对用户账户在业务系统中执行的功能操作进行权限控制功能的应用程序(SDK)或者客户端(APP)。
在一些实施例中,服务器104所提供的具有对用户账户在业务系统中执行的功能操作进行权限控制功能的应用程序或者客户端包括一个在前台向用户提供一对一应用服务的门户端口和多个位于后台进行数据处理的业务系统,以将对用户账户在业务系统中执行的功能操作进行权限控制的功能应用扩展到APP或者客户端,从而能够在任何时间任何地点对用户账户对业务系统中执行的功能操作进行权限控制。
在一些实施例中,APP或者客户端的用户账户的权限控制功能可为运行在用户模式以完成某项或多项特定工作的计算机程序,其可以与用户进行交互,且具有可视的用户界面。其中,APP或者客户端可以包括两部分:图形用户接口(GUI)和引擎(engine),利用这两者能够以用户界面的形式向用户提供多种应用服务的数字化客户系统。
在一些实施例中,用户可以通过预设的输入装置或者自动控制程序向APP或者客户端输入相应的代码数据或者控制参数,以执行服务器104中的计算机程序的应用服务,以及显示用户界面中的应用服务。
在一些实施例中,APP或者客户端运行的操作系统可以包括各种版本的MicrosoftWindows®、Apple Macintosh®和/或Linux操作系统、各种商用或类UNIX®操作系统(包括但不限于各种GNU/Linux操作系统、Google Chrome®OS等)和/或移动操作系统,诸如iOS®、Windows®Phone、Android®OS、BlackBerry®OS、Palm®OS操作系统,以及其它在线操作系统或者离线操作系统,在这里不做具体的限制。
在一些实施例中,如图2所示,提供了一种用户账户的权限控制方法,以该方法应用于图1中的服务器104为例进行说明,该方法包括以下步骤:
步骤S11,获取输入于业务系统中针对于用户账户的账户信息和业务系统的系统类型信息。
在一些实施例中,用户在对应于业务系统的终端计算机上输入用户账户的账户信息,则服务器获取该输入的账户信息和该业务系统的系统类型信息。
在一些实施例中,用户输入的账户信息包括关于用户账户的账户名称和密码。在其他实施例中,用户输入的账户信息还包括例如用户的指纹信息、人脸信息、账户登录环境信息等,这里不做具体限定。
在一些实施例中,业务系统的系统类型信息用于表示业务系统的类型,以及该类型的业务系统中存储的业务数据的重要性程度。
作为一示例,业务系统1为财务系统,在财务系统中存储有财务数据,以及开发工程师预设给财务数据的重要性程度为A级重要,则服务器通过获取的系统类型信息可以确定该业务系统1即为财务系统,对应存储的业务数据为财务数据,以及业务数据的重要性程度为A级重要。
作为另一示例,业务系统2为员工系统,在员工系统中存储有员工数据,以及开发工程师预设给员工数据的重要性程度为B级重要,则服务器通过获取的系统类型信息可以确定该业务系统2即为员工系统,对应存储的业务数据为员工数据,以及员工数据的重要性程度为B级重要。
步骤S12:基于账户信息,从数据库中获取针对于用户账户的用户类型信息和权限信息。
在一些实施例中,不同类型/个体的用户账户具有不同的用户类型信息。例如,企业新入职的实习生,普通员工,某部门的经理、企业的董事长等,他们之间所对应配置的各个用户账户的用户类型信息不相同。
其中,服务器根据用户账户的类型将各个用户账户分类到对应的用户组。
例如,在企业的A部门中具有经理1、员工2、员工3、员工4,则经理1对应为第一种类型的用户账户,员工2、员工3、员工4对应为第二种类型的用户账户,则服务器将第一种类型的用户账户分到用户组1中,以及将第二种类型的用户账户分到用户组2中。
在一实施例中,不同用户类型信息对应的用户账户的重要性等级不同。
例如,开发人员为企业总裁的用户账户配置的重要性等级为等级1级、某部门经理的用户账户配置的重要性等级为等级2级、新入职实习生的用户账户配置的重要性等级为等级3级。其中,1级对应所表征的重要性程度高于2级,2级对应所表征的重要性程度高于3级。
在一实施例中,权限信息用于指示用户账户在业务系统中的操作权限。
在一些实施例中,每个用户账户都具有其在各业务系统中对目标业务数据执行功能操作的操作权限,且这些操作权限被记录于对应用户账户的权限信息中。
其中,若业务系统中的某业务数据不属于对应用户账户的权限信息中记录的目标业务数据,则该用户账户不能对该未记录的业务数据进行功能操作。若业务系统中的某业务数据属于用户账户的权限信息中记录的目标业务数据,则该用户账户能对该记录的业务数据进行功能操作。
例如,某部门的某一普通员工具有用户账户A,且在用户账户A的权限信息中记录有关于财务系统中存储的财务数据B的权限信息,则用户账户A具有对财务系统中的财务数据B的操作权限;而在关于财务系统中存储的初财务数据B以外的其他财务数据,则用户账户A不具有操作权限。
在一实施例中,用户账户针对于业务数据的操作权限包括用户账户对业务数据进行浏览操作、下载操作、修改操作和转发操作的功能操作。再其他实施例中,还可以包括其他的已知功能操作,具在这里不做具体限定。
步骤S13:基于系统类型信息和用户类型信息,在预设的至少两种权限控制模式中确定出目标权限控制模式。
在一实施例中,权限控制模式用于指示业务系统向用户账户开放操作权限的程度。
其中,不同的权限控制模式具有对应不同的所包括的约束条件或者约束条件的组合,不同的约束条件或者约束条件的组合用于指示对应的权限控制模式向用户账户开放操作权限的程度不同。
在一些实施例中,权限控制模式所对应的约束条件包括以下三项中的至少一项:用户账户在对目标业务数据执行功能操作时所处于的时间节点为预设时间节点;用户账户在对目标业务数据执行功能操作时所使用的设备地址为预设设备地址;用户账户在对目标业务数据执行功能操作的次数未达到预设次数阈值。
在一些实施例中,服务器根据系统类型信息所指示的对应业务数据的重要性程度和用户类型信息所指示的对应用户账户的重要性程度,在预设的至少两种权限控制模式中确定出匹配于上述两种重要性程度的目标权限控制模式。
例如,系统类型信息对应业务数据的重要性程度为1级重要,用户类型信息对应用户账户的重要性程度也为1级重要,则匹配于上述两种重要性程度的目标权限控制模式为第一模式;系统类型信息对应业务数据的重要性程度为1级重要,用户类型信息对应用户账户的重要性程度也为2级重要,则匹配于上述两种重要性程度的目标权限控制模式为第二模式;系统类型信息对应业务数据的重要性程度为2级重要,用户类型信息对应用户账户的重要性程度也为1级重要,则匹配于上述两种重要性程度的目标权限控制模式为第三模式。
其中,第一模式对应的约束条件或者约束条件的组合多于第二模式对应的约束条件或者约束条件的组合,以及第二模式对应的约束条件或者约束条件的组合多于第三模式对应的约束条件或者约束条件的组合;以及,第一模式对应的开放程度低于第二模式对应的开放程度,以及第二模式对应的开放程度低于第三模式对应的开放程度。
步骤S14:基于目标权限控制模式和用户账户的权限信息,对用户账户在业务系统中执行的功能操作进行权限控制。
在一些实施例中,若用户账户不满足目标权限控制模式所对应的约束条件,则向用户账户关闭针对业务系统中执行的功能操作的操作权限;若用户账户满足目标权限控制模式所对应的约束条件,则按照目标权限控制模式对应的开放程度向用户账户开放针对业务系统中执行的功能操作的操作权限。
作为第一示例,用户账户A在访问客户系统时对应所属的目标权限控制模式为第二模式,且第二模式对应的约束条件为:①用户账户在针对业务系统中执行的功能操作时所处于的时间节点为预设时间节点;②用户账户在针对业务系统中执行的功能操作的次数未达到预设次数阈值。其中,若用户账户A均满足上述的条件①、②,则服务器按照第二模式对应的开放程度向用户账户A开放针对用户账户A对业务系统中执行的功能操作的操作权限。若用户账户A不满足上述的条件①、②中的任何一项,则服务器向用户账户A关闭针对用户账户A针对业务系统中执行的功能操作的操作权限。
上述的用户账户的权限控制过程中,服务器首先获取输入于业务系统中针对于用户账户的账户信息和所述业务系统的系统类型信息;然后,服务器再基于所述账户信息,从数据库中获取针对于所述用户账户的用户类型信息和权限信息;其中,权限信息用于指示所述用户账户在业务系统中的操作权限;然后,服务器再基于所述系统类型信息和所述用户类型信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;其中,权限控制模式用于指示所述业务系统向所述用户账户开放所述操作权限的程度;最后,服务器再基于所述目标权限控制模式和所述用户账户的权限信息,对所述用户账户在所述业务系统中执行的功能操作进行权限控制。这样,一方面,利用业务系统的系统类型和用户账户的用户类型来确定对用户账户进行权限控制的模式,能够解决现有技术中用户在访问不同数据系统时的角色叠加和重复授权的问题,从而提升了对用户进行权限管理时的数据处理效率,优化了对用户的权限管理的流程;另一方面,利用确定的目标权限控制模式和用户账户自身被授予的权限,来对用户账户在业务系统中执行的功能操作进行权限控制,提升了对用户进行权限管理时的安全性和有效性,从而能够有效防止企业数据资产的外泄问题。
本领域技术人员可以理解地,在具体实施方式的上述方法中,所揭露的方法可以通过更为具体的方式以实现。例如,以上所描述的服务器基于目标权限控制模式和用户账户的权限信息,对用户账户在业务系统中执行的功能操作进行权限控制的实施方式仅仅是示意性的。
示例性地,服务器从数据库中获取针对于用户账户的用户类型信息和权限信息的方式;或者服务器在预设的至少两种权限控制模式中确定出针对于业务系统的目标权限控制模式的方式等等,其仅仅为一种集合的方式,实际实现时可以有另外的划分方式,例如用户账户的账户信息、业务系统的系统类型信息之间可以结合或者可以集合到另一个系统中,或一些特征可以忽略,或不执行。
在一示例性实施例中,参阅图3,图3为本申请中确定目标权限控制模式一实施例的流程示意图。在步骤S13中,服务器基于所述系统类型信息和所述用户类型信息,在预设的至少两种权限控制模式中确定出目标权限控制模式的过程,可以通过以下方式实现:
步骤S131a,基于系统类型信息,确定业务系统中存储的业务数据的第一重要性等级。
在一些实施例中,不同类型业务系统中存储的业务数据的重要性程度不同。例如,财务系统中存储的财务数据、员工系统中存储的员工数据、客户系统中存储的客户数据等等,它们之间对于各个用户账户的优先级、重要性不相同。
因此,基于开发人员的设计,为与本申请中的用户账户的权限控制方法相关联的业务系统中的存储的业务数据均配置有对应的重要性等级。
在一实施例中,不同系统类型信息对应的业务数据的重要性等级不同。
在一实施例中,业务系统中存储的业务数据的第一重要性等级的大小与对应所表征的重要程度正相关。
例如,开发人员为财务系统中存储的财务数据配置第一重要性等级中的等级A级、员工系统中存储的员工数据配置第一重要性等级中的等级B级、客户系统中存储的客户数据配置第一重要性等级中的等级C级。其中,A级对应所表征的重要性程度高于B级,B级对应所表征的重要性程度高于C级。
因此,在一实施例中,服务器根据获取到的业务系统的系统类型信息,确定该业务系统为哪个业务系统,再确定该业务系统中存储的业务数据对应的第一重要性等级。
步骤S131b,基于用户类型信息,确定用户账户的第二重要性等级。
在一些实施例中,不同类型/个体的用户账户的重要性程度不同。例如,企业新入职的实习生、试用员工,某部门的普通员工、某部门的经理、企业的总裁等,他们之间所对应配置的各个用户账户的优先级、重要性不相同。
因此,基于开发人员的设计,为与本申请中的用户账户的权限控制方法相关联的各种类型/个体的用户账户均配置有对应的重要性等级。
在一实施例中,不同用户类型信息对应的用户账户的重要性等级不同。
在一实施例中,用户账户的第二重要性等级的大小与对应所表征的重要程度正相关。
例如,开发人员为企业总裁的用户账户配置第二重要性等级中的等级1级、某部门经理的用户账户配置第二重要性等级中的等级2级、新入职实习生的用户账户配置第二重要性等级中的等级3级。其中,1级对应所表征的重要性程度高于2级,2级对应所表征的重要性程度高于3级。
因此,在一实施例中,服务器根据获取到的针对于用户账户的账户信息,确定该用户账户对应所属的第二重要性等级。
步骤S132,基于第一重要性等级和二重要性等级所表征的重要程度,在预设的至少两种权限控制模式中确定出目标权限控制模式。
在一实施例中,服务器基于第一重要性等级和二重要性等级所表征的重要程度,在预设的至少两种权限控制模式中确定出目标权限控制模式,包括以下三项中的一项:若第一重要性等级大于二重要性等级,则在至少两种权限控制模式中确定出第一模式作为目标权限控制模式;若第一重要性等级等于二重要性等级,则在至少两种权限控制模式中确定出第二模式作为目标权限控制模式;若第一重要性等级小于二重要性等级,则在至少两种权限控制模式中确定出第三模式作为目标权限控制模式。
其中,目标权限控制模式用于指示业务系统在对应的约束条件下,按照对应的开放程度向用户账户开放针对存储的业务数据的操作权限的程度。
在一些实施例中,目标权限控制模式所对应的约束条件包括以下三项中的至少一项:用户账户在对目标业务数据执行功能操作时所处于的时间节点为预设时间节点;用户账户在对目标业务数据执行功能操作时所使用的设备地址为预设设备地址;用户账户在对目标业务数据执行功能操作的次数未达到预设次数阈值。
其中,第一模式对应的约束条件多于第二模式对应的约束条件,以及第二模式对应的约束条件多于第三模式对应的约束条件。
其中,第一模式对应的开放程度低于第二模式对应的开放程度,以及第二模式对应的开放程度低于第三模式对应的开放程度。
作为一示例,第一模式对应的约束条件包括:①用户账户在对目标业务数据执行功能操作时所处于的时间节点为预设时间节点;②用户账户在对目标业务数据执行功能操作时所使用的设备地址为预设设备地址;③用户账户在对目标业务数据执行功能操作的次数未达到预设次数阈值。第二模式对应的约束条件包括:①用户账户在对目标业务数据执行功能操作时所处于的时间节点为预设时间节点;②用户账户在对目标业务数据执行功能操作时所使用的设备地址为预设设备地址。第三模式对应的约束条件包括:①用户账户在对目标业务数据执行功能操作时所处于的时间节点为预设时间节点。
在一示例性实施例中,参阅图4,图4为本申请中对用户账户进行权限控制一实施例的流程示意图。在步骤S14中,服务器基于所述目标权限控制模式和所述用户账户的权限信息,对所述用户账户在所述业务系统中执行的功能操作进行权限控制的过程,具体可以通过以下方式实现:
步骤S141,基于用户账户的权限信息,在业务系统中存储的各业务数据中确定出匹配于用户账户的目标业务数据。
在一些实施例中,每个用户账户都具有其在各业务系统中对目标业务数据执行功能操作的操作权限,且这些操作权限被记录于对应用户账户的权限信息中。
其中,若业务系统中的业务数据不属于用户账户的目标业务数据,则用户账户不能对该对应的业务数据进行功能操作。
例如,某部门的普通员工的用户账户A,其被配置为能够在财务系统中对属于其自身用户账户A的财务数据进行功能操作,则用户账户A的财务数据即为该用户账户A的目标业务数据;而不属于用户账户A的财务数据,该用户账户A无权限进行功能操作。
步骤S142,在目标权限控制模式所对应的约束条件下,按照对应的开放程度向用户账户开放针对目标业务数据执行的功能操作的操作权限。
在一实施例中,用户账户针对于目标业务数据的操作权限包括用户账户对目标业务数据进行浏览操作、下载操作、修改操作和转发操作的功能操作。
在一实施例中,服务器在按照对应的开放程度向用户账户开放针对目标业务数据执行的功能操作的操作权限之前,还包括:确定用户账户是否满足目标权限控制模式所对应的约束条件。
其中,若用户账户不满足目标权限控制模式所对应的约束条件,则向用户账户关闭针对目标业务数据执行的功能操作的操作权限。
其中,若用户账户满足目标权限控制模式所对应的约束条件,则按照目标权限控制模式对应的开放程度向用户账户开放针对目标业务数据执行的功能操作的操作权限。
作为第一示例,用户账户A1在访问业务系统B1时对应所属的目标权限控制模式为第一模式,且第一模式对应的约束条件为:①用户账户在对目标业务数据执行功能操作时所处于的时间节点为预设时间节点;②用户账户在对目标业务数据执行功能操作时所使用的设备地址为预设设备地址;③用户账户在对目标业务数据执行功能操作的次数未达到预设次数阈值。若用户账户A1均满足上述的条件①、②、③,则服务器按照第一模式对应的开放程度向用户账户A1开放针对用户账户A1的目标业务数据执行的功能操作的操作权限。若用户账户A1不满足上述的条件①、②、③中的任何一项,则服务器向用户账户A1关闭针对用户账户A1的目标业务数据执行的功能操作的操作权限。
其中,在第一示例中,服务器响应于目标权限控制模式为第一模式,向用户账户开放针对目标业务数据执行的浏览操作的操作权限。
作为第二示例,用户账户A2在访问业务系统B2时对应所属的目标权限控制模式为第二模式,且第二模式对应的约束条件为:①用户账户在对目标业务数据执行功能操作时所处于的时间节点为预设时间节点;②用户账户在对目标业务数据执行功能操作时所使用的设备地址为预设设备地址。若用户账户A2均满足上述的条件①、②,则服务器按照第二模式对应的开放程度向用户账户A2开放针对用户账户A2的目标业务数据执行的功能操作的操作权限。若用户账户A2不满足上述的条件①、②中的任何一项,则服务器向用户账户A2关闭针对用户账户A2的目标业务数据执行的功能操作的操作权限。
其中,在第二示例中,服务器响应于目标权限控制模式为第二模式,向用户账户开放针对目标业务数据执行的浏览操作和下载操作的操作权限。
作为第三示例,用户账户A3在访问业务系统B3时对应所属的目标权限控制模式为第三模式,且第三模式对应的约束条件为:①用户账户在对目标业务数据执行功能操作时所处于的时间节点为预设时间节点。若用户账户A3满足上述的条件①,则服务器按照第三模式对应的开放程度向用户账户A3开放针对用户账户A3的目标业务数据执行的功能操作的操作权限。若用户账户A3不满足上述的条件①,则服务器向用户账户A3关闭针对用户账户A3的目标业务数据执行的功能操作的操作权限。
其中,在第三示例中,服务器响应于目标权限控制模式为第三模式,向用户账户开放针对目标业务数据执行的浏览操作、下载操作、修改操作和转发操作的操作权限。
为了更清晰阐明本公开实施例提供的用户账户的权限控制方法,以下以另一个具体的实施例对该用户账户的权限控制方法进行说明。在一示例性实施例中,参考图5和图6,图5为根据另一示例性实施例示出的一种用户账户的权限控制方法的流程图,图6为根据另一示例性实施例示出的一种用户账户的权限控制方法的模块图,该用户账户的权限控制方法用于服务器104中,具体包括如下内容:
步骤S21:创建针对于用户账户的角色,并设定各角色针对于操作数据表的操作权限。
其中,服务器根据需要创建的用户账户创建不同的角色,并通过代码授予不同角色应用于业务系统中的各个业务数据不同的操作权限。
例如,服务器创建角色1,授予角色1针对业务系统的数据仓库中所有数据的查询权限;服务器创建角色2,授予角色2针对业务系统的数据仓库中所有数据写权限;服务器创建角色3,授予角色3针对业务系统的数据仓库中所有数据的所有权限。
其中,服务器可以使用ranger来设定各角色对应在数据仓库中针对各数据表的操作权限。例如,服务器基于不同的等级模式,自定义各角色对应的操作权限,包括可以授权某个数据库、某个数据库中某个数据表、某个数据库中某个数据表的某个字段的查询权限、下载权限、修改权限和转发权限。
其中,服务器设定各角色针对于操作数据表的操作权限的类型包括:
ALTER:更改表结构;
CREATE:创建表;
DROP:删除表,或分区;
INDEX:创建和删除索引;
LOCK:锁定表;
SELECT:查询权限;
SHOW_DATABASE:查看数据库权限;
UPDATE:为表加载本地数据的权限。
步骤S22:创建用户账户及用户组,用户组可以包含多个用户账户。
其中,服务器创建对应的各个角色的用户账户及用户所属的用户组。
例如,服务器创建用户组1,用户组1具有用户账户1-3;服务器创建用户组2,用户组2用户账户4-8;服务器创建用户组3,用户组3用户账户9-10。
步骤S23:将各个角色赋给对应用户组,使得用户组下面的各个用户账户都有对应角色的权限。
其中,服务器使用代码将各个角色授权给对应的用户组,使得用户组下面的用户账户都有该各个角色对应的权限。
或者,服务器使用代码将各个角色授权给对应的用户账户,使得对应的用户账户都有其对应角色的权限。
其中,在用户组下面的各个用户账户都有对应角色的权限之后,服务器基于各个用户账户对应具有的权限信息,生成对应于各个用户账户的后台权限表。
其中,该后台权限表用于指示对应的用户账户所具有的可应用于业务系统中对应的业务数据的操作权限。
例如,服务器将角色1-3赋予给用户组1,使得用户组1下面的用户账户1-3都具有角色1-3对应查询权限的操作权限;服务器将角色4-8赋予给用户组2,使得用户组2下面的用户账户4-8都具有角色4-8对应写权限的操作权限;服务器将角色9-10赋予给用户组3,使得用户组3下面的用户账户9-10都具有角色9-10对应所有数据的所有权限的操作权限。
其中,服务器可以将某个数据库的查询权限授予给角色,将这个角色授予给用户,即用户拥有这个数据库的查询权限。也可以直接将某个数据库的查询权限直接授权给用户,即用户拥有这个数据库的查询权限。
步骤S24:为各个用户账户设置账户名称和账户密码,并将各个用户账户的账户名称和账户密码保存。
其中,服务器给账户名称和账户密码的存储格式可以是网页上进行md5转换后的密文等,也可以将账户名称和账户密码的首尾字符互换存储等,可以将加密的账户名称和账户密码存放在文本当中,也可以将账户名称和账户密码存放到接口当中。
其中,账户名称和密码可以使用md5加密、或者错位加密等方式,可以将账户名称和密码存放至txt文件或nacos中,也可以用其它方式存储。
在一种具体实现中,如6所示,共有1-n种权限,对应分别被赋予权限的角色有角色1、角色2和角色3,其中,角色3具有角色1、角色2两者共同的所有权限。然后,将角色3分配到用户组A中,用户组A中下属有用户账户1和用户账户2,以及将角色1分配到用户3中,将角色2分配到用户4中。
其中,如步骤S21-S24所述,其步骤为服务器创建用户账户的过程,如图6所示,图6为服务器创建用户账户过程的模块示意图。
进一步地,如下述步骤S25-步骤S26所述,其步骤为服务器对用户账户在业务系统中对业务数据执行的功能操作进行权限控制的过程。
步骤S25,获取用户的输入名称和输入密码,并与存储的账户名称和账户密码进行匹配。
其中,服务器根据用户的输入名称和输入密码编写成对应的jar包,并放入指定的文件夹中与存储的账户名称和账户密码进行匹配。
其中,如果用户的输入名称与存储的账户名称,和用户的输入密码与存储的账户密码均匹配成功,则登入成功。
步骤S26,响应于用户账户登录成功后,读取后台权限表,获取后台权限表中用户账户对应所拥有的权限信息,并根据权限信息对用户账户在业务系统中对业务数据执行的功能操作进行权限控制。
其中,服务器在用户账户在使用账号名称和密码登录成功后,对登录的用户账户所拥有的权限首先进行鉴权,在鉴权成功后,返回其所拥有的权限信息,然后,用户账户即可以根据所拥有的权限信息来执行对应权限范围内的功能操作。
在一种实施例中,数据仓库中的数据存储在hdfs介质中,服务器可以通过控制用户账户访问hdfs介质中文件的权限,从而通过管理hdfs介质的权限进一步管理数据仓库中的数据。
在一种实施例中,用户只需输入登入的账号,无需密码就可登入系统,然后服务器控制用户账户通过impala程序来访问数据仓库中的数据。
这样,一方面,利用业务系统的系统类型和用户账户的用户类型来确定对用户账户进行权限控制的模式,能够解决现有技术中用户在访问不同数据系统时的角色叠加和重复授权的问题,从而提升了对用户进行权限管理时的数据处理效率,优化了对用户的权限管理的流程;另一方面,利用确定的目标权限控制模式和用户账户自身被授予的权限,来对用户账户在业务系统中执行的功能操作进行权限控制,提升了对用户进行权限管理时的安全性和有效性,从而能够有效防止企业数据资产的外泄问题。
应该理解的是,虽然图2-图6的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-图6中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
可以理解的是,本说明书中上述方法的各个实施例之间相同/相似的部分可互相参见,每个实施例重点说明的是与其他实施例的不同之处,相关之处参见其他方法实施例的说明即可。
图7是本申请实施例提供的一种用户账户的权限控制装置框图。参照图7,该用户账户的权限控制装置10包括:第一获取单元11、第二获取单元12、模式确定单元13、权限控制单元14。
其中,该第一获取单元11,被配置为执行获取输入于业务系统中针对于用户账户的账户信息和所述业务系统的系统类型信息。
其中,该第二获取单元12,被配置为执行基于所述账户信息,从数据库中获取针对于所述用户账户的用户类型信息和权限信息;所述权限信息用于指示所述用户账户在业务系统中的操作权限。
其中,该模式确定单元13,被配置为执行基于所述系统类型信息和所述用户类型信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;所述权限控制模式用于指示所述业务系统向所述用户账户开放所述操作权限的程度。
其中,该权限控制单元14,被配置为执行基于所述目标权限控制模式和所述用户账户的权限信息,对所述用户账户在所述业务系统中执行的功能操作进行权限控制。
在一些实施例中,在基于所述系统类型信息和所述用户类型信息,在预设的至少两种权限控制模式中确定出目标权限控制模式的方面,该模式确定单元13具体还用于:
基于所述系统类型信息,确定所述业务系统中存储的业务数据的第一重要性等级;以及,基于所述用户类型信息,确定所述用户账户的第二重要性等级;
基于所述第一重要性等级和所述二重要性等级所表征的重要程度,在预设的所述至少两种权限控制模式中确定出目标权限控制模式。
在一些实施例中,所述第一重要性等级的大小与对应所表征的重要程度正相关,所述第二重要性等级的大小与对应所表征的重要程度正相关;在所述基于所述第一重要性等级和所述二重要性等级所表征的重要程度,在预设的所述至少两种权限控制模式中确定出目标权限控制模式的方面,该模式确定单元13具体还用于:
若所述第一重要性等级大于所述二重要性等级,则在所述至少两种权限控制模式中确定出第一模式作为目标权限控制模式;
若所述第一重要性等级等于所述二重要性等级,则在所述至少两种权限控制模式中确定出第二模式作为目标权限控制模式;
若所述第一重要性等级小于所述二重要性等级,则在所述至少两种权限控制模式中确定出第三模式作为目标权限控制模式;
其中,所述目标权限控制模式用于指示所述业务系统在对应的约束条件下,按照对应的开放程度向所述用户账户开放针对存储的所述业务数据的操作权限的程度;
所述第一模式对应的约束条件多于所述第二模式对应的约束条件,以及所述第二模式对应的约束条件多于所述第三模式对应的约束条件;
所述第一模式对应的开放程度低于所述第二模式对应的开放程度,以及所述第二模式对应的开放程度低于所述第三模式对应的开放程度。
在一些实施例中,在所述基于所述目标权限控制模式和所述用户账户的权限信息,对所述用户账户在所述业务系统中执行的功能操作进行权限控制的方面,该权限控制单元14具体还用于:
基于所述用户账户的权限信息,在所述业务系统中存储的各业务数据中确定出匹配于所述用户账户的目标业务数据;
在所述目标权限控制模式所对应的约束条件下,按照对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限。
在一些实施例中,在所述按照对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限之前,该权限控制单元14具体还用于:
确定所述用户账户是否满足所述目标权限控制模式所对应的约束条件;
其中,所述目标权限控制模式所对应的约束条件包括以下三项中的至少一项:
所述用户账户在对所述目标业务数据执行所述功能操作时所处于的时间节点为预设时间节点;
所述用户账户在对所述目标业务数据执行所述功能操作时所使用的设备地址为预设设备地址;
所述用户账户在对所述目标业务数据执行所述功能操作的次数未达到预设次数阈值。
在一些实施例中,在所述目标权限控制模式所对应的约束条件下,按照对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限的方面,该权限控制单元14具体还用于:
若所述用户账户满足所述目标权限控制模式所对应的约束条件,则按照所述目标权限控制模式对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限;
若所述用户账户不满足所述目标权限控制模式所对应的约束条件,则向所述用户账户关闭针对所述目标业务数据执行的功能操作的操作权限。
在一些实施例中,所述用户账户针对于所述目标业务数据的操作权限包括:所述用户账户对所述目标业务数据进行浏览操作、下载操作、修改操作和转发操作的功能操作;在所述按照所述目标权限控制模式对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限的方面,该权限控制单元14具体还用于:
响应于所述目标权限控制模式为所述第一模式,向所述用户账户开放针对所述目标业务数据执行的浏览操作的操作权限;
响应于所述目标权限控制模式为所述第二模式,向所述用户账户开放针对所述目标业务数据执行的浏览操作和下载操作的操作权限;
响应于所述目标权限控制模式为所述第三模式,向所述用户账户开放针对所述目标业务数据执行的浏览操作、下载操作、修改操作和转发操作的操作权限。
图8是本申请实施例提供的一种服务器20的框图。例如,服务器20可以为一种电子设备、电子组件或者服务器阵列等等。参照图8,服务器20包括处理器21,其进一步处理器21可以为处理器集合,其可以包括一个或多个处理器,以及服务器20包括由存储器22所代表的存储器资源,其中,存储器22上存储有计算机程序,例如应用程序。在存储器22中存储的计算机程序可以包括一个或一个以上的每一个对应于一组可执行指令的模块。此外,处理器21被配置为执行计算机程序时实现如上述的用户账户的权限控制作方法。
在一些实施例中,服务器20为电子设备,该电子设备中的计算系统可以运行一个或多个操作系统,包括以上讨论的任何操作系统以及任何商用的服务器操作系统。该服务器20还可以运行各种附加服务器应用和/或中间层应用中的任何一种,包括HTTP(超文本传输协议)服务器、FTP(文件传输协议)服务器、CGI(通用网关界面)服务器、超级服务器、数据库服务器等。示例性数据库服务器包括但不限于可从(国际商业机器)等商购获得的数据库服务器。
在一些实施例中,处理器21通常控制服务器20的整体操作,诸如与显示、数据处理、数据通信和记录操作相关联的操作。处理器21可以包括一个或多个处理器组件来执行计算机程序,以完成上述的方法的全部或部分步骤。此外,处理器组件可以包括一个或多个模块,便于处理器组件和其他组件之间的交互。例如,处理器组件可以包括多媒体模块,以方便利用多媒体组件控制用户服务器20和处理器21之间的交互。
在一些实施例中,处理器21中的处理器组件还可以称为CPU(Central ProcessingUnit,中央处理单元)。处理器组件可能是一种电子芯片,具有信号的处理能力。处理器还可以是通用处理器、数字信号处理器(Digital Signal Processor, DSP)、专用集成电路(Application Specific Integrated Circuit, ASIC)、专用集成电路(ApplicationSpecific Integrated Circuit, ASIC)、现场可编程门阵列(Field-Programmable GateArray, FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器组件等。另外,处理器组件可以由集成电路芯片共同实现。
在一些实施例中,存储器22被配置为存储各种类型的数据以支持在服务器20的操作。这些数据的示例包括用于在服务器20上操作的任何应用程序或方法的指令、采集数据、消息、图片、视频等。存储器22可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM)、电可擦除可编程只读存储器(EEPROM)、可擦除可编程只读存储器(EPROM)、可编程只读存储器(PROM)、只读存储器(ROM)、磁存储器、快闪存储器、磁盘、光盘或石墨烯存储器。
在一些实施例中,存储器22可以为内存条、TF卡等,可以存储服务器20中的全部信息,包括输入的原始数据、计算机程序、中间运行结果和最终运行结果都保存在存储器22中。在一些实施例中,它根据处理器21指定的位置存入和取出信息。在一些实施例中,有了存储器22,服务器20才有记忆功能,才能保证正常工作。在一些实施例中,服务器20的存储器22按用途可分为主存储器(内存)和辅助存储器(外存),也有分为外部存储器和内部存储器的分类方法。外存通常是磁性介质或光盘等,能长期保存信息。内存指主板上的存储部件,用来存放当前正在执行的数据和程序,但仅用于暂时存放程序和数据,关闭电源或断电,数据会丢失。
在一些实施例中,服务器20还可以包括:电源组件23被配置为执行服务器20的电源管理,有线或无线网络接口24被配置为将服务器20连接到网络,和输入输出(I/O)接口25。服务器20可以操作基于存储在存储器22的操作系统,例如Windows Server,Mac OS X,Unix,Linux,FreeBSD或类似。
在一些实施例中,电源组件23为服务器20的各种组件提供电力。电源组件23可以包括电源管理系统,一个或多个电源,及其他与为服务器20生成、管理和分配电力相关联的组件。
在一些实施例中,有线或无线网络接口24被配置为便于服务器20和其他设备之间有线或无线方式的通信。服务器20可以接入基于通信标准的无线网络,如WiFi,运营商网络(如2G、3G、4G或5G),或它们的组合。
在一些实施例中,有线或无线网络接口24经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,有线或无线网络接口24还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在一些实施例中,输入输出(I/O)接口25为处理器21和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
图9是本申请实施例提供的一种计算机可读存储介质30的框图。该计算机可读存储介质30上存储有计算机程序31,其中,计算机程序31被处理器执行时实现如上述的用户账户的权限控制方法。
在本申请各个实施例中的各功能单元集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在计算机可读存储介质30中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机可读存储介质30在一个计算机程序31中,包括若干指令用以使得一台计算机设备(可以是个人计算机,系统服务器,或者网络设备等)、电子设备(例如MP3、MP4等,也可以是手机、平板电脑、可穿戴设备等智能终端,也可以是台式电脑等)或者处理器(processor)以执行本申请各个实施方式方法的全部或部分步骤。
图10是本申请实施例提供的一种计算机程序产品40的框图。该计算机程序产品40中包括程序指令41,该程序指令41可由服务器20的处理器执行以实现如上述的用户账户的权限控制方法。
本领域内的技术人员应明白,本申请的实施例可提供有用户账户的权限控制方法、用户账户的权限控制装置10、服务器20、计算机可读存储介质30或计算机程序产品40。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机程序指令41(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品40的形式。
本申请是参照根据本申请实施例中用户账户的权限控制方法、用户账户的权限控制装置10、服务器20、计算机可读存储介质30或计算机程序产品40的流程图和/或方框图来描述的。应理解可由计算机程序产品40实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序产品40到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的程序指令41产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序产品40也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机程序产品40中的程序指令41产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些程序指令41也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的程序指令41提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的,上述的各种方法、装置、电子设备、计算机可读存储介质、计算机程序产品等根据方法实施例的描述还可以包括其他的实施方式,具体的实现方式可以参照相关方法实施例的描述,在此不作一一赘述。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (10)
1.一种用户账户的权限控制方法,其特征在于,所述方法包括:
获取输入于业务系统中针对于用户账户的账户信息和所述业务系统的系统类型信息;
基于所述账户信息,从数据库中获取针对于所述用户账户的用户类型信息和权限信息;所述权限信息用于指示所述用户账户在业务系统中的操作权限;
基于所述系统类型信息和所述用户类型信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;所述权限控制模式用于指示所述业务系统在对应的约束条件下,向所述用户账户开放所述操作权限的程度;所述约束条件包括:所述用户账户在对目标业务数据执行功能操作时所处于的时间节点为预设时间节点、所述用户账户在对目标业务数据执行功能操作时所使用的设备地址为预设设备地址,以及所述用户账户在对目标业务数据执行功能操作的次数未达到预设次数阈值中的至少一项;
基于所述目标权限控制模式和所述用户账户的权限信息,对所述用户账户在所述业务系统中执行的功能操作进行权限控制。
2.根据权利要求1所述的方法,其特征在于,所述基于所述系统类型信息和所述用户类型信息,在预设的至少两种权限控制模式中确定出目标权限控制模式,包括:
基于所述系统类型信息,确定所述业务系统中存储的业务数据的第一重要性等级;以及,基于所述用户类型信息,确定所述用户账户的第二重要性等级;
基于所述第一重要性等级和所述二重要性等级所表征的重要程度,在预设的所述至少两种权限控制模式中确定出目标权限控制模式。
3.根据权利要求2所述的方法,其特征在于,所述第一重要性等级的大小与对应所表征的重要程度正相关,所述第二重要性等级的大小与对应所表征的重要程度正相关;
所述基于所述第一重要性等级和所述二重要性等级所表征的重要程度,在预设的所述至少两种权限控制模式中确定出目标权限控制模式,包括以下三项中的一项:
若所述第一重要性等级大于所述二重要性等级,则在所述至少两种权限控制模式中确定出第一模式作为目标权限控制模式;
若所述第一重要性等级等于所述二重要性等级,则在所述至少两种权限控制模式中确定出第二模式作为目标权限控制模式;
若所述第一重要性等级小于所述二重要性等级,则在所述至少两种权限控制模式中确定出第三模式作为目标权限控制模式;
其中,所述目标权限控制模式用于指示所述业务系统在对应的约束条件下,按照对应的开放程度向所述用户账户开放针对存储的所述业务数据的操作权限的程度;
所述第一模式对应的约束条件多于所述第二模式对应的约束条件,以及所述第二模式对应的约束条件多于所述第三模式对应的约束条件;
所述第一模式对应的开放程度低于所述第二模式对应的开放程度,以及所述第二模式对应的开放程度低于所述第三模式对应的开放程度。
4.根据权利要求3所述的方法,其特征在于,所述基于所述目标权限控制模式和所述用户账户的权限信息,对所述用户账户在所述业务系统中执行的功能操作进行权限控制,包括:
基于所述用户账户的权限信息,在所述业务系统中存储的各业务数据中确定出匹配于所述用户账户的目标业务数据;
在所述目标权限控制模式所对应的约束条件下,按照对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限。
5.根据权利要求4所述的方法,其特征在于,在所述按照对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限之前,还包括以下三项中的至少一项:
基于所述用户账户在对所述目标业务数据执行所述功能操作时所处于的时间节点与预设时间节点,确定所述用户账户是否满足所述目标权限控制模式所对应的约束条件;
基于所述用户账户在对所述目标业务数据执行所述功能操作时所使用的设备地址与预设设备地址,确定所述用户账户是否满足所述目标权限控制模式所对应的约束条件;
基于所述用户账户在对所述目标业务数据执行所述功能操作的次数与预设次数阈值,确定所述用户账户是否满足所述目标权限控制模式所对应的约束条件。
6.根据权利要求4所述的方法,其特征在于,所述在所述目标权限控制模式所对应的约束条件下,按照对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限,包括:
若所述用户账户满足所述目标权限控制模式所对应的约束条件,则按照所述目标权限控制模式对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限;
若所述用户账户不满足所述目标权限控制模式所对应的约束条件,则向所述用户账户关闭针对所述目标业务数据执行的功能操作的操作权限。
7.根据权利要求5所述的方法,其特征在于,所述用户账户针对于所述目标业务数据的操作权限包括:所述用户账户对所述目标业务数据进行浏览操作、下载操作、修改操作和转发操作的功能操作;
所述按照所述目标权限控制模式对应的开放程度向所述用户账户开放针对所述目标业务数据执行的功能操作的操作权限,包括以下三项中的一项:
响应于所述目标权限控制模式为所述第一模式,向所述用户账户开放针对所述目标业务数据执行的浏览操作的操作权限;
响应于所述目标权限控制模式为所述第二模式,向所述用户账户开放针对所述目标业务数据执行的浏览操作和下载操作的操作权限;
响应于所述目标权限控制模式为所述第三模式,向所述用户账户开放针对所述目标业务数据执行的浏览操作、下载操作、修改操作和转发操作的操作权限。
8.一种用户账户的权限控制装置,其特征在于,所述装置包括:
第一获取单元,被配置为执行获取输入于业务系统中针对于用户账户的账户信息和所述业务系统的系统类型信息;
第二获取单元,被配置为执行基于所述账户信息,从数据库中获取针对于所述用户账户的用户类型信息和权限信息;所述权限信息用于指示所述用户账户在业务系统中的操作权限;
模式确定单元,被配置为执行基于所述系统类型信息和所述用户类型信息,在预设的至少两种权限控制模式中确定出目标权限控制模式;所述权限控制模式用于指示所述业务系统在对应的约束条件下,向所述用户账户开放所述操作权限的程度;所述约束条件包括:所述用户账户在对目标业务数据执行功能操作时所处于的时间节点为预设时间节点、所述用户账户在对目标业务数据执行功能操作时所使用的设备地址为预设设备地址,以及所述用户账户在对目标业务数据执行功能操作的次数未达到预设次数阈值中的至少一项;
权限控制单元,被配置为执行基于所述目标权限控制模式和所述用户账户的权限信息,对所述用户账户在所述业务系统中执行的功能操作进行权限控制。
9.一种服务器,其特征在于,包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令,以实现如权利要求1至7中任一项所述的用户账户的权限控制方法。
10.一种计算机可读存储介质,所述计算机可读存储介质中包括计算机程序,其特征在于,当所述计算机程序由服务器的处理器执行时,使得所述服务器能够执行如权利要求1至7中任一项所述的用户账户的权限控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310023338.8A CN115766296B (zh) | 2023-01-09 | 2023-01-09 | 用户账户的权限控制方法、装置、服务器和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310023338.8A CN115766296B (zh) | 2023-01-09 | 2023-01-09 | 用户账户的权限控制方法、装置、服务器和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115766296A CN115766296A (zh) | 2023-03-07 |
CN115766296B true CN115766296B (zh) | 2023-05-23 |
Family
ID=85348331
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310023338.8A Active CN115766296B (zh) | 2023-01-09 | 2023-01-09 | 用户账户的权限控制方法、装置、服务器和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115766296B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115982683A (zh) * | 2023-03-20 | 2023-04-18 | 北京帮邦通达医疗器械有限公司 | 一种企业安全管理方法、系统、终端及存储介质 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009163570A (ja) * | 2008-01-08 | 2009-07-23 | Nec Corp | 文書管理システム、情報処理装置、文書管理方法およびプログラム |
US20110213789A1 (en) * | 2010-02-26 | 2011-09-01 | Salesforce.Com, Inc. | System, method and computer program product for determining an amount of access to data, based on a role |
CN103051623B (zh) * | 2012-12-20 | 2016-05-11 | 微梦创科网络科技(中国)有限公司 | 限制开放平台的调用的方法 |
CN104468630A (zh) * | 2014-12-31 | 2015-03-25 | 北京海尔广科数字技术有限公司 | 智能家电的访问控制方法及装置 |
CN109035501A (zh) * | 2018-07-03 | 2018-12-18 | 广东工业大学 | 一种智能门锁及智能门锁系统 |
CN109472127B (zh) * | 2018-10-11 | 2021-01-22 | 北京三快在线科技有限公司 | 权限处理方法、装置、应用侧设备和存储介质 |
CN111324875A (zh) * | 2020-02-17 | 2020-06-23 | 支付宝(杭州)信息技术有限公司 | 用户数据的操作权限控制、账户管理方法、装置和系统 |
CN113806726A (zh) * | 2021-01-29 | 2021-12-17 | 北京京东拓先科技有限公司 | 一种访问控制方法、装置、电子设备及存储介质 |
CN113946854B (zh) * | 2021-10-29 | 2023-11-03 | 苏州浪潮智能科技有限公司 | 一种文件访问控制方法、装置及计算机可读存储介质 |
CN114564466A (zh) * | 2022-03-15 | 2022-05-31 | 上海维特曼信息科技有限责任公司 | 一种管理数据库的数据库管理系统、方法 |
-
2023
- 2023-01-09 CN CN202310023338.8A patent/CN115766296B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN115766296A (zh) | 2023-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2021203598B2 (en) | Systems and mechanism to control the lifetime of an access token dynamically based on access token use | |
US20220272097A1 (en) | Systems and methods for delegating access to a protected resource | |
US9021594B2 (en) | Intelligent risk level grouping for resource access recertification | |
US11290446B2 (en) | Access to data stored in a cloud | |
US20150074774A1 (en) | System, apparatus, and method for a unified identity wallet | |
US11870882B2 (en) | Data processing permits system with keys | |
US11379601B2 (en) | Detection of sensitive database information | |
US11157643B2 (en) | Systems and methods for delegating access to a protected resource | |
CN115766296B (zh) | 用户账户的权限控制方法、装置、服务器和存储介质 | |
CN111931140A (zh) | 权限管理方法、资源访问控制方法、装置和电子设备 | |
CN116800490A (zh) | 用户账户的权限控制方法、装置、服务器和存储介质 | |
CA3018916A1 (en) | Systems and methods for delegating access to a protected resource | |
US20170201515A1 (en) | Dental wedge | |
CN110175164A (zh) | 一种SparkSQL thriftserver查询及操作Hive的权限控制的方法 | |
US20230370473A1 (en) | Policy scope management | |
US11899814B1 (en) | Method and system for providing control over storage of and access to user data | |
US20240184911A1 (en) | Method and System for Providing Control Over Storage of and Access to User Data | |
Alhamdani | Resilent Access Control Model | |
NZ618683B2 (en) | Access control to data stored in a cloud |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |