CN115865502B - 权限管控方法、装置、设备及存储介质 - Google Patents
权限管控方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115865502B CN115865502B CN202211562782.9A CN202211562782A CN115865502B CN 115865502 B CN115865502 B CN 115865502B CN 202211562782 A CN202211562782 A CN 202211562782A CN 115865502 B CN115865502 B CN 115865502B
- Authority
- CN
- China
- Prior art keywords
- data
- user
- tenant
- information
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000012545 processing Methods 0.000 claims abstract description 39
- 238000007726 management method Methods 0.000 claims description 93
- 238000012795 verification Methods 0.000 claims description 57
- 238000013507 mapping Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 5
- 238000011161 development Methods 0.000 abstract description 7
- 230000008569 process Effects 0.000 description 11
- 238000013515 script Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000002955 isolation Methods 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013474 audit trail Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本申请提供一种权限管控方法、装置、设备及存储介质,方法包括:接收客户端发送的数据访问请求,数据访问请求中包括用户标识、密码;在管理服务器中获取数据访问请求对应的用户信息,用户信息包括用户认证信息和用户权限信息;根据用户信息,对数据访问请求进行处理。各个服务器集群可以通过管理服务器进行用户集中认证,并可以通过用户权限信息对访问用户进行权限管控,提高了开发效率。
Description
技术领域
本申请涉及大数据平台技术领域,尤其涉及一种权限管控方法、装置、设备及存储介质。
背景技术
大数据平台是一种通过内容共享、资源共用、渠道共建和数据共通等形式来进行服务的网络平台。随着大数据平台的数据规模越来越大,服务器集群数量也会越来越多。
数据开发人员在数据开发过程中进行异构服务器集群间的数据整合加工时,需要在不同的服务器集群注册账号,通过账号登录服务器集群后再申请服务器集群中数据的访问权限,整个申请访问权限的流程长,导致开发效率较低。
发明内容
本申请提供一种权限管控方法、装置、设备及存储介质,提高了开发效率。
第一方面,本申请提供一种权限管控方法,应用于服务器集群,包括:
接收客户端发送的数据访问请求,所述数据访问请求中包括用户标识、密码;
在管理服务器中获取所述数据访问请求对应的用户信息,所述用户信息包括用户认证信息和用户权限信息;
根据所述用户信息,对所述数据访问请求进行处理。
在一种可能的实施方式中,根据所述用户信息,对所述数据访问请求进行处理,包括:
根据所述用户认证信息,确定登录验证结果,所述登录验证结果为允许登录或者拒绝登录;
根据所述用户权限信息,确定访问验证结果,所述访问验证结果为允许访问或者拒绝访问;
根据所述登录验证结果和所述访问验证结果,对所述数据访问请求进行处理。
在一种可能的实施方式中,根据所述登录验证结果和所述访问验证结果,对所述数据访问请求进行处理,包括:
响应于所述登录验证结果为允许登录,且所述访问验证结果为所述允许访问时,确定所述数据访问请求对应的目标数据,并向所述客户端发送所述目标数据的数据信息,所述数据信息包括数据在所述服务器集群中的存储路径;
响应于所述登录验证结果为拒绝登录,或所述访问验证结果为所述拒绝访问时,向所述客户端发送拒绝响应消息。
在一种可能的实施方式中,确定所述数据访问请求对应的目标数据,包括:
在所述用户权限信息中获取租户标识;
确定所述服务器集群中所述租户标识对应的数据集合,并将所述数据集和中的数据确定为所述目标数据。
在一种可能的实施方式中,确定所述服务器集群中所述租户标识对应的数据集合,包括:
确定所述服务器集群中包括的全量数据,所述全量数据中包括多个数据;
确定所述全量数据中各数据对应的租户标识,所述租户标识对应的租户下的各用户具有访问对应数据的权限;
根据所述全量数据中各数据对应的租户标识,确定各租户标识对应的数据集合。
在一种可能的实施方式中,确定所述服务器集群中所述租户标识对应的数据集合,包括:
在所述用户权限信息中获取工作组标识;
确定所述服务器集群中所述工作组标识对应的数据集合,并将所述数据集和中的数据确定为所述目标数据。
在一种可能的实施方式中,确定所述工作组标识对应的数据集合,包括:
确定所述服务器集群中各租户标识对应的数据集合;
确定所述数据集合中各数据对应的工作组标识,所述工作组标识对应的工作组下的各用户具有访问对应资源的权限;
根据所述数据集合中各数据对应的工作组标识,确定个工作组标识对应的资源集合。
第二方面,本申请提供一种权限管控装置,包括接收模块、获取模块和处理模块,其中,
所述接收模块用于,接收客户端发送的数据访问请求,所述数据访问请求中包括用户标识、密码;
所述获取模块用于,在管理服务器中获取所述数据访问请求对应的用户信息,所述用户信息包括用户认证信息和用户权限信息;
所述处理模块用于,根据所述用户信息,对所述数据访问请求进行处理。
在一种可能的实施方式中,所述处理模块具体用于:
根据所述用户认证信息,确定登录验证结果,所述登录验证结果为允许登录或者拒绝登录;
根据所述用户权限信息,确定访问验证结果,所述访问验证结果为允许访问或者拒绝访问;
根据所述登录验证结果和所述访问验证结果,对所述数据访问请求进行处理。
在一种可能的实施方式中,所述处理模块具体用于:
响应于所述登录验证结果为允许登录,且所述访问验证结果为所述允许访问时,确定所述数据访问请求对应的目标数据,并向所述客户端发送所述目标数据的数据信息,所述数据信息包括数据在所述服务器集群中的存储路径;
响应于所述登录验证结果为拒绝登录,或所述访问验证结果为所述拒绝访问时,向所述客户端发送拒绝响应消息。
在一种可能的实施方式中,所述处理模块具体用于:
在所述用户权限信息中获取租户标识;
确定所述服务器集群中所述租户标识对应的数据集合,并将所述数据集和中的数据确定为所述目标数据。
在一种可能的实施方式中,所述处理模块具体用于:
确定所述服务器集群中包括的全量数据,所述全量数据中包括多个数据;
确定所述全量数据中各数据对应的租户标识,所述租户标识对应的租户下的各用户具有访问对应数据的权限;
根据所述全量数据中各数据对应的租户标识,确定各租户标识对应的数据集合。
在一种可能的实施方式中,所述处理模块具体用于:
在所述用户权限信息中获取工作组标识;
确定所述服务器集群中所述工作组标识对应的数据集合,并将所述数据集和中的数据确定为所述目标数据。
在一种可能的实施方式中,所述处理模块具体用于:
确定所述服务器集群中各租户标识对应的数据集合;
确定所述数据集合中各数据对应的工作组标识,所述工作组标识对应的工作组下的各用户具有访问对应资源的权限;
根据所述数据集合中各数据对应的工作组标识,确定个工作组标识对应的资源集合。
第三方面,本申请提供一种电子设备,包括:处理器、存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行命令,使得所述处理器执行如第一方面任一项所述的权限管控方法。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当所述计算机执行指令被处理器执行时用于实现第一方面任一项所述的权限管控方法。
第五方面,本申请提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时,可实现第一方面任一项所述的权限管控方法。
本申请提供一种权限管控方法、装置、设备及存储介质。方法包括:接收客户端发送的数据访问请求,数据访问请求中包括用户标识、密码;在管理服务器中获取数据访问请求对应的用户信息,用户信息包括用户认证信息和用户权限信息;根据用户信息,对数据访问请求进行处理。通过管理服务器进行统一的用户管理,各个服务器集群可以通过管理服务器进行用户集中认证,并可以通过用户权限信息对访问用户进行权限管控。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的一种应用场景示意图;
图2为本申请实施例提供的一种权限管控方法的流程示意图;
图3为本申请实施例提供的另一种权限管控方法的流程示意图;
图4为本申请实施例提供的一种权限管控的流程示意图;
图5为本申请实施例提供的一种权限管控装置的结构示意图;
图6为本申请实施例提供的一种电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请的实施例,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。
下面结合图1,对本申请实施例所适用的应用场景进行说明。
图1为本申请实施例提供的一种应用场景示意图。请参见图1,包括权限管控平台101、管理服务器102以及多个服务器集群103。多个服务器集群103可以与管理服务器102相连。
权限管控平台101可以同时采集各集群的库表信息、接口机信息、计算队列信息、文件目录信息等各类需要进行权限管控的元数据信息。权限管控平台可以使用关系型数据库管理系统(MySQL)进行服务器集群的元数据信息管理。
权限管控平台101还可以配置服务器集群各组件的连接信息,包括集群存储组件、集群权限组件、集群资源管控调度组件等。
权限管控平台101还可以结合哨兵(Sentry)、护林人(Ranger)等大数据权限组件,实现权限的统一管理与下发。权限管控平台101可以实现对数据从采集到加工到调度的全流程权限管控。
在上述应用场景中,服务器集群的数量仅为示例,本申请实施例对服务器集群的数量不作限定,可以是两个,也可以三个,十个等。
在相关技术中,数据开发人员想要访问不同服务器集群时,需要在不同的服务器集群注册账号,通过账号登录服务器集群后再申请服务器集群中数据的访问权限,整个申请访问权限的流程长,导致开发效率较低。
为了解决上述技术问题,本申请提出一种权限管控方法,服务器集群可以接收客户端发送的数据访问请求,数据访问请求中包括用户标识、密码;在管理服务器中获取数据访问请求对应的用户信息,用户信息包括用户认证信息和用户权限信息;根据所述用户信息,对数据访问请求进行处理。通过管理服务器进行统一的用户管理,各个服务器集群可以通过管理服务器进行用户集中认证,并可以通过用户权限信息对访问用户进行权限管控。
下面,通过具体实施例对本申请所示的技术方案进行详细说明。需要说明的是,下面几个实施例可以独立存在,也可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
图2为本申请实施例提供的一种权限管控方法的流程示意图。请参见图2,所述方法可以包括:
S201、接收客户端发送的数据访问请求,数据访问请求中包括用户标识、密码。
本申请的执行主体可以为服务器集群,也可以为设置在服务器集群中的权限管控装置。权限管控装置可以通过软件实现,也可以通过软件和硬件的结合实现。
服务器集群可以是海杜普(Hadoop)集群、云数据平台(Cloudera Data Platform,CDH)集群、霍顿工厂数据平台(Hortonworks Data Platform,HDP)集群、客户数据平台(Customer Data Platform,CDP)集群等多种集群。
客户端可以是指轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)客户端。
客户端可以安装在服务器集群的主机上。
数据开发人员(访问用户)可以通过用户标识以及密码登录客户端,客户端会向服务器集群发送数据访问请求,并在数据访问请求中指示出想要进行访问的用户标识和密码。
S202、在管理服务器中获取数据访问请求对应的用户信息,用户信息包括用户认证信息和用户权限信息。
管理服务器可以是LDAP服务器。
在搭建管理服务器的时候,可以将权限管控平台中的用户体系同步到LDAP服务器。
LDAP服务器上的用户体系可以为三级用户体系。
三级用户体系可以包括租户、工作组和用户三级;其中,一个租户下可以包括多个工作组,一个工作组下可以包括多个用户。
由于LDAP只有组和用户的概念,因此,权限管控平台创建租户时,可以同时创建租户标识和租户组,并分别同步到LDAP服务器的用户和组里,也就是说,权限管控平台中租户下所有用户的gidNumber均为LDAP服务器组的gidNumber,同时把权限管控平台中租户工作组下的成员用户挂到LDAP服务器组下的memberUid上;换言之,在权限管控平台上创建租户时,可以对应在LDAP服务器上创建一个组(可以称为租户组),这个组的标识就是管控平台中租户下所有用户的gidNumber,在权限管控平台上的租户下创建工作组时,也可以在LDAP服务器上创建一个组(可以称为工作组),并将权限管控平台上工作下的所有成员用户挂到LDAP服务器组下的memberUid上。以在LDAP服务器上实现用户和租户的关联,以及用户和工作组的关联,从而在LDAP服务器上实现了三级用户体系。
服务器集群的操作系统可以为Linux操作系统。
当服务器集群在连接LDAP服务器的时候,LDAP服务器可以将其用户体系映射到Linux操作系统,其中,租户和Linux操作系统的主组映射,租户下的工作组与Linux操作系统的附属组映射。
在一种可能的实现中,可以通过以下方式在管理服务器中获取数据访问请求对应的用户信息:服务器集群向管理服务器发送数据访问请求;服务器集群接收管理服务器发送的用户信息。
在一种可能的实现中,管理服务器在接收到服务器集群发送的数据访问请求后,可以将其构建的用户体系映射给服务器集群,服务器集群根据数据访问请求用户标识在用户体系中确定是否有对应的用户标识,若有,则确定用户信息。
在一种可能的实现中,用户认证信息可以包括用户标识、密码。
在一种可能的实现中,用户权限信息可以包括:用户所属工作组的信息以及用户所属租户的信息。
在一种可能的实现中,用户所属工作组的信息可以包括工作组的标识、工作组在服务器集群中对应的数据。用户所属租户的信息可以包括租户的标识、租户在服务器集群中对应的数据。
由于管理服务器在将用户体系映射至服务器集群的Linux操作系统的时候,将租户的所有信息均同步至Linux操作系统的主组中,将租户下工作组的所有信息均同步至Linux操作系统的附属组中。也就是说,用户权限信息也指明了用户标识对应的用户所属的主组以及所属的附属组。
由于用户的gidNumber为租户组的gidNumber,所以用户的主组为租户组;而工作组的memberUid中又包含用户账号,所以用户的附属组为工作组。通过这种映射,又把三级用户体系映射到了服务器集群主机上。保证了上层权限管控平台和底层服务器集群用户体系的统一,实现了同一用户在账号不变的情况下,灵活切换租户和工作组,在相应的权限范围内,跨组、跨租户进行服务器集群操作。
本申请实施例基于LDAP实现了租户、工作组、用户三级用户体系,并通过LDAP服务器进行统一的用户管理,各集群通过访问LDAP服务器进行用户集中认证并拉取租户、工作组信息进行权限管控和数据隔离。
在一种可能的实现中,权限管控平台在创建租户和工作组的时候,权限管控平台会根据预设租户数据存储规范在租户对应的服务器集群上创建与租户对应的目录,并进行权限配置,权限配置可以指示租户下的所有用户只能访问租户对应的目录。
预设租户数据存储规范可以包括以下至少一项:
接口机数据存储在{数据根目录}/{租户名}/{工作组名}目录下;
租户数仓库表数据存储在分布式文件系统(Hadoop Distributed File System,HDFS)上的{数据根目录}/{租户名}/{warehouse}目录下;
租户导入导出的临时数据存储在HDFS上的{数据根目录}/{租户名}/{work}/{工作组名}目录下。
可以通过设置目录的属主和属组以及访问控制列表(Access Control Lists,ACL)对租户数据权限进行管控。换言之,可以根据用户权限信息对租户数据权限进行管控。
在一种可能的实现中,权限管控平台单点操作,可以对服务器集群的数据进行权限配置,同时也可以对各数据的使用情况进行监控。
S203、根据用户信息,对数据访问请求进行处理。
服务器集群的权限组件可以根据用户信息,对数据访问请求进行处理。
图2所示的实施例中,服务器集群接收客户端发送的数据访问请求,数据访问请求中包括用户标识、密码;在管理服务器中获取数据访问请求对应的用户信息,用户信息包括用户认证信息和用户权限信息;根据用户信息,对数据访问请求进行处理。通过管理服务器进行统一的用户管理,各个服务器集群可以通过管理服务器进行用户集中认证,并可以通过用户权限信息对访问用户进行权限管控。
在图2所示实施例的基础上,下面结合图3详细说明权限管控方法。
图3为本申请实施例提供的另一种权限管控方法的流程示意图。请参见图3,包括:
S301、接收客户端发送的数据访问请求,数据访问请求中包括用户标识、密码。
需要说明的是,S301的执行过程可以参见S201的执行过程,此处不再赘述。
S302、在管理服务器中获取数据访问请求对应的用户信息,用户信息包括用户认证信息和用户权限信息。
需要说明的是,S302的执行过程可以参见S202的执行过程,此处不再赘述。
S303、根据用户认证信息,确定登录验证结果。
登录验证结果可以为允许登录或者拒绝登录
在一种可能的实现中,可以通过以下方式确定登录验证结果:确定用户认证信息中的用户标识以及密码与数据访问请求中的用户标识以及密码是否一致,若一致,则可以确定登录验证结果为允许登录,若不一致,则可以确定登录验证结果为拒绝登录。
S304、根据用户权限信息,确定访问验证结果。
访问验证结果可以为允许访问或者拒绝访问。
在一种可能的实现中,可以通过以下方式确定访问验证结果:
若用户所属的租户所对应的服务器集群为用户登录的服务器集群,则可以确定访问验证结果为允许访问;若用户所属的租户所对应的服务器集群不为用户登录的服务器集群,则可以确定访问验证结果为拒绝访问。
S305、根据登录验证结果和访问验证结果,对数据访问请求进行处理。
在一种可能的实现中,可以通过以下方式根据登录验证结果和访问验证结果,对数据访问请求进行处理:
响应于登录验证结果为允许登录,且访问验证结果为允许访问时,确定数据访问请求对应的目标数据,并向客户端发送目标数据的数据信息,数据信息包括数据在服务器集群中的存储路径;响应于登录验证结果为拒绝登录,或访问验证结果为拒绝访问时,向客户端发送拒绝响应消息。
目标数据可以是整个服务器集群的数据,也可以是服务器集群中的部分数据,例如服务器集群中的接口机资源、HDFS存储资源、HIVE库表资源、Yarn队列资源等。
在一种可能的实现中,可以通过以下方式确定数据访问请求对应的目标数据:在用户权限信息中获取租户标识;确定服务器集群中租户标识对应的数据集合,并将数据集和中的数据确定为目标数据。
在一种可能的实现中,可以通过以下方式确定服务器集群中租户标识对应的数据集合,包括:
确定服务器集群中包括的全量数据,全量数据中包括多个数据;确定全量数据中各数据对应的租户标识,租户标识对应的租户下的各用户具有访问对应数据的权限;根据全量数据中各数据对应的租户标识,确定各租户标识对应的数据集合。
在一种可能的实现中,可以通过以下方式确定服务器集群中租户标识对应的数据集合,包括:
在用户权限信息中获取工作组标识;确定服务器集群中工作组标识对应的数据集合,并将数据集和中的数据确定为目标数据。
在一种可能的实现中,可以通过以下方式确定工作组标识对应的数据集合,包括:
确定服务器集群中各租户标识对应的数据集合;确定数据集合中各数据对应的工作组标识,工作组标识对应的工作组下的各用户具有访问对应资源的权限;根据数据集合中各数据对应的工作组标识,确定个工作组标识对应的资源集合。
一种可能的实现中,本申请实施例定义了一种Yarn资源管理规范,可同时支持对租户进行公平调度和容量调度两种调度策略下的队列资源分配,一个租户一个队列,并且支持租户创建子租户并分配队列资源。对于公平调度,以最大资源数作为租户配额;对于容量调度,以容量百分比作为租户配额,由权限管控平台侧保证所有租户容量总和为服务器集群总容量,并且由权限管控平台侧保证所有子租户的容量总和为父租户的容量。
管理员在权限管控平台创建租户时,权限管控平台会默认在服务器集群上创建同名队列,管理员在权限管控平台侧配置好集群总容量后,就可在权限管控平台上为租户分配集群队列资源,做到集群队列资源的动态分配和租户隔离。
在一种可能的实现中,当服务器集群向客户端发送目标数据的数据信息后,客户端可以根据数据信息对服务器集群中的资源进行操作,操作可以包括创建、读和/或写等。
在一种可能的实现中,用户通过客户端提交脚本到服务器集群执行时。由于服务器集群的队列资源以租户为单位进行分配和隔离,而权限管控平台支持通过用户提交脚本。本申请实施例通过在服务器集群上配置禁止用户自己设置队列,并且通过设置Yarn的ACL访问策略和任务队列放置规则,即把租户队列的ACL设置为租户组可访问,而在放置规则中设置为自动提交到用户主组对应的同名队列中,从而实现了三级用户体系下任务的管控和隔离,便于任务的审计追踪。
当用户权限信息下发至各个服务器集群后,不管用户通过上层的数据开发集成开发环境(Integrated DevelopmentEnvironment,IDE)执行结构化查询语言(StructuredQuery Language,SQL)脚本,还是登录底层接口机进行数据加工操作,都会受到权限管控平台的管控,如图4,具体有以下几种形式:
(1)为每个用户所在的组分配一个工作目录,用户可以上传脚本和临时文件到自己的工作目录,在工作目录执行相关Shell命令,无权访问其他组的工作目录。
(2)为每个用户所在的组分配一个HDFS存储目录用于数据的外部表存储以及数据的导入导出,此目录受Sentry、Ranger等大数据权限组件管控。
(3)用户操作HIVE数仓中的库表资源,需申请相应库表的读写权限,否则无权通过开发IDE或者Hive Beeline方式执行SQL脚本。
(4)用户提交脚本上调度只能提交到有权限的Yarn队列上,无权提交到其他队列,保证资源的隔离及有效利用。
本申请实施例通过事先配置每个租户或者工作组所能访问的数据,当租户或者工作组下的用户想要访问对应的数据的时候,服务器集群只需要通过管理服务器获取用户信息即可,根据用户信息即可确定用户的访问权限以及数据隔离的方式。
图5为本申请实施例提供的一种权限管控装置的结构示意图。请参见图5,该权限管控装置10可以包括接收模块11、获取模块12和处理模块13,其中,
接收模块11用于,接收客户端发送的数据访问请求,数据访问请求中包括用户标识、密码;
获取模块12用于,在管理服务器中获取数据访问请求对应的用户信息,用户信息包括用户认证信息和用户权限信息;
处理模块13用于,根据用户信息,对数据访问请求进行处理。
在一种可能的实施方式中,处理模块具体13用于:
根据用户认证信息,确定登录验证结果,登录验证结果为允许登录或者拒绝登录;
根据用户权限信息,确定访问验证结果,访问验证结果为允许访问或者拒绝访问;
根据登录验证结果和访问验证结果,对数据访问请求进行处理。
在一种可能的实施方式中,处理模块13具体用于:
响应于登录验证结果为允许登录,且访问验证结果为允许访问时,确定数据访问请求对应的目标数据,并向客户端发送目标数据的数据信息,数据信息包括数据在服务器集群中的存储路径;
响应于登录验证结果为拒绝登录,或访问验证结果为拒绝访问时,向客户端发送拒绝响应消息。
在一种可能的实施方式中,处理模块13具体用于:
在用户权限信息中获取租户标识;
确定服务器集群中租户标识对应的数据集合,并将数据集和中的数据确定目标数据。
在一种可能的实施方式中,处理模块13具体用于:
确定服务器集群中包括的全量数据,全量数据中包括多个数据;
确定全量数据中各数据对应的租户标识,租户标识对应的租户下的各用户具有访问对应数据的权限;
根据全量数据中各数据对应的租户标识,确定各租户标识对应的数据集合。
在一种可能的实施方式中,处理模块13具体用于:
在用户权限信息中获取工作组标识;
确定服务器集群中工作组标识对应的数据集合,并将数据集和中的数据确定为目标数据。
在一种可能的实施方式中,处理模块13具体用于:
确定服务器集群中各租户标识对应的数据集合;
确定数据集合中各数据对应的工作组标识,工作组标识对应的工作组下的各用户具有访问对应资源的权限;
根据数据集合中各数据对应的工作组标识,确定个工作组标识对应的资源集合。
本申请提供的权限管控装置10可以执行上述权限管控方法实施例所示的技术方案,其实现原理以及有益效果类似,此次不再进行赘述。
图6为本申请实施例提供的一种电子设备的结构示意图。请参见图6,电子设备20包括:存储器21、处理器22。示例性地,存储器21、处理器22,各部分之间通过总线23相互连接。
存储器21存储计算机执行指令;
处理器22执行存储器21存储的计算机执行指令,使得处理器22执行上述任一项的权限管控方法。
图6所示实施例所示的电子设备可以执行上述权限管控方法实施例所示的技术方案,其实现原理以及有益效果类似,此处不再进行赘述。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,当计算机执行指令被处理器执行时用于实现前述任一项所述的权限管控方法。
本申请实施例还提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时,可实现上述权限管控方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
Claims (10)
1.一种权限管控方法,其特征在于,应用于服务器集群,所述方法包括:
接收轻量目录访问协议客户端发送的数据访问请求,所述数据访问请求中包括用户标识、密码;
在轻量目录访问协议服务器中获取所述数据访问请求对应的用户信息,所述用户信息包括用户认证信息和用户权限信息;
其中,所述轻量目录访问协议服务器上的用户体系为三级用户体系,所述三级用户体系包括租户、工作组和用户三级,一个租户包括多个工作组,一个工作组包括多个用户;
所述用户权限信息包括:用户所属工作组的信息以及用户所属租户的信息,所述用户所属工作组的信息包括工作组的标识、工作组在所述服务器集群中对应的数据,所述用户所属租户的信息包括租户的标识、租户在所述服务器集群中对应的数据;
所述服务器集群的Linux操作系统接收所述轻量目录访问协议服务器映射的所述三级用户体系时,将租户的所有信息均同步至Linux操作系统的主组中,将租户下工作组的所有信息均同步至Linux操作系统的附属组中,通过所述映射,将所述三级用户体系映射到服务器集群主机上,基于轻量目录访问协议实现了租户、工作组、用户三级用户体系;
根据所述用户信息,对所述数据访问请求进行处理。
2.根据权利要求1所述的方法,其特征在于,根据所述用户信息,对所述数据访问请求进行处理,包括:
根据所述用户认证信息,确定登录验证结果,所述登录验证结果为允许登录或者拒绝登录;
根据所述用户权限信息,确定访问验证结果,所述访问验证结果为允许访问或者拒绝访问;
根据所述登录验证结果和所述访问验证结果,对所述数据访问请求进行处理。
3.根据权利要求2所述的方法,其特征在于,根据所述登录验证结果和所述访问验证结果,对所述数据访问请求进行处理,包括:
响应于所述登录验证结果为允许登录,且所述访问验证结果为所述允许访问时,确定所述数据访问请求对应的目标数据,并向所述轻量目录访问协议客户端发送所述目标数据的数据信息,所述数据信息包括数据在所述服务器集群中的存储路径;
响应于所述登录验证结果为拒绝登录,或所述访问验证结果为所述拒绝访问时,向所述轻量目录访问协议客户端发送拒绝响应消息。
4.根据权利要求3所述的方法,其特征在于,确定所述数据访问请求对应的目标数据,包括:
在所述用户权限信息中获取租户标识;
确定所述服务器集群中所述租户标识对应的数据集合,并将所述数据集和中的数据确定为所述目标数据。
5.根据权利要求4所述的方法,其特征在于,确定所述服务器集群中所述租户标识对应的数据集合,包括:
确定所述服务器集群中包括的全量数据,所述全量数据中包括多个数据;
确定所述全量数据中各数据对应的租户标识,所述租户标识对应的租户下的各用户具有访问对应数据的权限;
根据所述全量数据中各数据对应的租户标识,确定各租户标识对应的数据集合。
6.根据权利要求4所述的方法,其特征在于,确定所述服务器集群中所述租户标识对应的数据集合,包括:
在所述用户权限信息中获取工作组标识;
确定所述服务器集群中所述工作组标识对应的数据集合,并将所述数据集和中的数据确定为所述目标数据。
7.根据权利要求6所述的方法,其特征在于,确定所述工作组标识对应的数据集合,包括:
确定所述服务器集群中各租户标识对应的数据集合;
确定所述数据集合中各数据对应的工作组标识,所述工作组标识对应的工作组下的各用户具有访问对应资源的权限;
根据所述数据集合中各数据对应的工作组标识,确定个工作组标识对应的资源集合。
8.一种权限管控装置,其特征在于,包括接收模块、获取模块和处理模块,其中,
所述接收模块用于,接收轻量目录访问协议客户端发送的数据访问请求,所述数据访问请求中包括用户标识、密码;
所述获取模块用于,在轻量目录访问协议服务器中获取所述数据访问请求对应的用户信息,所述用户信息包括用户认证信息和用户权限信息;其中,所述轻量目录访问协议服务器上的用户体系为三级用户体系,所述三级用户体系包括租户、工作组和用户三级,一个租户包括多个工作组,一个工作组包括多个用户;所述用户权限信息包括:用户所属工作组的信息以及用户所属租户的信息,所述用户所属工作组的信息包括工作组的标识、工作组在所述服务器集群中对应的数据,所述用户所属租户的信息包括租户的标识、租户在所述服务器集群中对应的数据;所述服务器集群的Linux操作系统接收所述轻量目录访问协议服务器映射的所述三级用户体系时,将租户的所有信息均同步至Linux操作系统的主组中,将租户下工作组的所有信息均同步至Linux操作系统的附属组中,通过所述映射,将所述三级用户体系映射到服务器集群主机上,基于轻量目录访问协议实现了租户、工作组、用户三级用户体系;
所述处理模块用于,根据所述用户信息,对所述数据访问请求进行处理。
9.一种电子设备,其特征在于,包括:处理器、存储器;
所述存储器存储计算机执行指令;所述处理器执行所述存储器存储的计算机执行命令,使得所述处理器执行如权利要求1-7任一项所述的权限管控方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,当所述计算机执行指令被处理器执行时用于实现权利要求1-7任一项所述的权限管控方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211562782.9A CN115865502B (zh) | 2022-12-07 | 2022-12-07 | 权限管控方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211562782.9A CN115865502B (zh) | 2022-12-07 | 2022-12-07 | 权限管控方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115865502A CN115865502A (zh) | 2023-03-28 |
CN115865502B true CN115865502B (zh) | 2024-04-30 |
Family
ID=85670663
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211562782.9A Active CN115865502B (zh) | 2022-12-07 | 2022-12-07 | 权限管控方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115865502B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116415218A (zh) * | 2023-06-08 | 2023-07-11 | 天津金城银行股份有限公司 | 数据权限管理方法、装置、电子设备及存储介质 |
CN117371030A (zh) * | 2023-09-27 | 2024-01-09 | 上海嗨普智能信息科技股份有限公司 | 一种多租户被受限地访问对象存储方法以及管理系统 |
CN118133340B (zh) * | 2024-02-08 | 2024-08-30 | 中电云计算技术有限公司 | 基于Ranger策略的HDFS权限收敛灰度上线实现方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017196774A1 (en) * | 2016-05-11 | 2017-11-16 | Oracle International Corporation | Multi-tenant identity and data security management cloud service |
CN110990150A (zh) * | 2019-11-15 | 2020-04-10 | 北京浪潮数据技术有限公司 | 容器云平台的租户管理方法、系统、电子设备及存储介质 |
CN112291244A (zh) * | 2020-10-30 | 2021-01-29 | 常州微亿智造科技有限公司 | 一种工业生产数据实时处理平台系统多租用户方法 |
CN112613010A (zh) * | 2020-12-28 | 2021-04-06 | 北京世纪互联宽带数据中心有限公司 | 一种认证服务方法、装置、服务器及认证服务系统 |
CN115185946A (zh) * | 2022-07-12 | 2022-10-14 | 广州禾信仪器股份有限公司 | 多租户系统、多租户管理方法、计算机设备和存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109643242B (zh) * | 2016-05-23 | 2023-06-27 | 摩根大通国家银行 | 用于多租户hadoop集群的安全设计和架构 |
-
2022
- 2022-12-07 CN CN202211562782.9A patent/CN115865502B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017196774A1 (en) * | 2016-05-11 | 2017-11-16 | Oracle International Corporation | Multi-tenant identity and data security management cloud service |
CN110990150A (zh) * | 2019-11-15 | 2020-04-10 | 北京浪潮数据技术有限公司 | 容器云平台的租户管理方法、系统、电子设备及存储介质 |
CN112291244A (zh) * | 2020-10-30 | 2021-01-29 | 常州微亿智造科技有限公司 | 一种工业生产数据实时处理平台系统多租用户方法 |
CN112613010A (zh) * | 2020-12-28 | 2021-04-06 | 北京世纪互联宽带数据中心有限公司 | 一种认证服务方法、装置、服务器及认证服务系统 |
CN115185946A (zh) * | 2022-07-12 | 2022-10-14 | 广州禾信仪器股份有限公司 | 多租户系统、多租户管理方法、计算机设备和存储介质 |
Non-Patent Citations (4)
Title |
---|
《Evolution of Access Network Sharing and Its Role in 5G Networks》;Afraz, N;《APPLIED SCIENCES-BASEL》;20191206;全文 * |
Hadoop平台的安全加固方案;丁祥武;张东辉;;计算机工程;20181215(第12期);全文 * |
企业通用容器云平台关键技术;刘汪根;郑淮城;;信息技术与标准化;20200510(第05期);全文 * |
分布式环境下业务模型的数据存储及访问框架;蔡鸿明;姜祖海;姜丽红;;清华大学学报(自然科学版);20170615(第06期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115865502A (zh) | 2023-03-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115865502B (zh) | 权限管控方法、装置、设备及存储介质 | |
WO2022126968A1 (zh) | 微服务访问方法、装置、设备及存储介质 | |
CN109643242B (zh) | 用于多租户hadoop集群的安全设计和架构 | |
CN111159134B (zh) | 面向多租户的分布式文件系统安全访问控制方法及系统 | |
US8544070B2 (en) | Techniques for non repudiation of storage in cloud or shared storage environments | |
US10296440B2 (en) | Multi-tenant aware debugging methods and systems | |
CN108377200B (zh) | 基于ldap与slurm的云用户管理方法及系统 | |
US8108907B2 (en) | Authentication of user database access | |
CN105429999A (zh) | 基于云平台的统一身份认证系统 | |
CN111125674B (zh) | 开放式数据处理系统、开放式数据系统及数据处理方法 | |
CN111695108B (zh) | 一种异构计算环境中多源账号的用户统一账号标识系统 | |
CN107315950B (zh) | 一种云计算平台管理员权限最小化的自动化划分方法及访问控制方法 | |
CN113190529A (zh) | 一种适用MongoDB数据库的多租户数据共享存储系统 | |
CN105957170B (zh) | 一种基于云计算的智能考勤管理方法及系统 | |
CN113986528A (zh) | 一种多租户空间资源管理的方法、系统、设备和存储介质 | |
CN112364336A (zh) | 数据库的统一权限管理方法、装置、设备和计算机可读存储介质 | |
CN112019543A (zh) | 一种基于brac模型的多租户权限系统 | |
CN113821268A (zh) | 一种与OpenStack Neutron融合的Kubernetes网络插件方法 | |
CN110135146B (zh) | 一种数据库权限管理方法 | |
CN201690475U (zh) | 一种企业局域网中的应用服务器访问系统 | |
CN112019495B (zh) | 广域虚拟数据空间账户动态映射机制与数据安全管控方法 | |
CN101827110B (zh) | 一种企业局域网中的应用服务器访问系统 | |
CN111723401A (zh) | 数据访问权限控制方法、装置、系统、存储介质及设备 | |
CN115955346A (zh) | 一种基于身份认证体系的多租户管理系统及方法 | |
CN113448775B (zh) | 多源异构数据备份方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |