CN116702213A - 针对多级企业的业务系统数据权限管理方法、装置和设备 - Google Patents
针对多级企业的业务系统数据权限管理方法、装置和设备 Download PDFInfo
- Publication number
- CN116702213A CN116702213A CN202310952298.5A CN202310952298A CN116702213A CN 116702213 A CN116702213 A CN 116702213A CN 202310952298 A CN202310952298 A CN 202310952298A CN 116702213 A CN116702213 A CN 116702213A
- Authority
- CN
- China
- Prior art keywords
- service
- data
- role
- access
- roles
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 71
- 238000000034 method Methods 0.000 claims abstract description 42
- 230000008859 change Effects 0.000 claims abstract description 7
- 230000004048 modification Effects 0.000 claims description 23
- 238000012986 modification Methods 0.000 claims description 23
- 230000008520 organization Effects 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 7
- 230000008878 coupling Effects 0.000 description 4
- 238000010168 coupling process Methods 0.000 description 4
- 238000005859 coupling reaction Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000003491 array Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000000547 structure data Methods 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种针对多级企业的业务系统数据权限管理方法、装置和设备,属于数据权限管理技术领域。该方法、装置和设备,将业务、数据权限、用户三者解耦,基于权限管理模型,预先配置用户与角色的对应关系、业务的访问标识与数据权限类型的对应关系、数据权限类型与角色的对应关系、业务的访问标识与角色的对应关系,方便、快捷,在任一项目需要变更时,可直接变更,解耦了数据权限和业务代码,实现了灵活配置和实时生效的目的;在用户进行业务访问时,全局拦截业务访问请求,从而根据预先配置好的配置信息中的关系来得到业务查询条件,直接通过业务查询条件来访问目标业务的地址,实现跨组织机构的行级数据权限的查询需求。
Description
技术领域
本发明涉及数据权限管理技术领域,具体涉及一种针对多级企业的业务系统数据权限管理方法、装置和设备。
背景技术
在多级企业的应用系统中,大部分都采用RBAC(Role-Based Access Control,基于角色的访问控制)权限管理模型来实现系统的权限管理。RBAC模型包含了用户、角色和权限点,角色与用户和权限点关联,解决了用户和权限点的直接关联的复杂性问题,使得配置更灵活。其中,权限点是系统需要控制的权限范围,一般包含菜单,按钮,功能,API(Application Program Interface,指应用程序编程)接口,URI,数据等。在多级企业级应用系统,由于数据权限既包括同组织机构下的数据权限要求,又包括跨组织机构的特殊数据权限要求,因此,很难精准控制行级数据权限。
相关技术中,通常通过以下方式来设置行级数据权限:
1、不同的业务模块设置不同权限。实现方式通常为:在业务代码中耦合数据权限;或者,更好一点的实现是将角色引入,实现每个业务模块固定的角色数据权限,通过角色配置人员实现灵活变化,这样虽然解耦了数据权限和用户的直接关系,但是无法解决数据权限和业务代码的耦合,使得配置不够灵活;
2、采用ACL(Access Control Lists,访问控制列表)的设计,在业务创建时就开始维护每个用户对每行数据的权限访问控制表,这样可以直观的看到用户的数据权限,但是维护这个表的代价很大,不仅增加了数据冗余,还降低了业务增删改的性能。
因此,如何灵活、低成本对多级企业的业务系统数据权限进行管理,成为现有技术中亟待解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种针对多级企业的业务系统数据权限管理方法、装置和设备,以克服目前配置灵活性差、维护成本高的问题。
为实现以上目的,本发明采用如下技术方案:
一方面,一种针对多级企业的业务系统数据权限管理方法,包括:
获取业务访问请求,所述业务访问请求携带用户信息和目标业务的标识;所述目标业务的标识表征所述目标业务的地址;
基于权限管理模型的预先配置数据,获取所述用户信息对应的第一角色集合,及,具备所述目标业务的地址的访问权限的第二角色集合;其中,所述预先配置数据,包括:用户与角色的对应关系、业务的访问标识与数据权限类型的对应关系、数据权限类型与角色的对应关系、业务的访问标识与角色的对应关系;其中,每个数据权限类型对应的访问权限包括:对本级业务的访问权限、对本级及下级业务的访问权限、不同层级业务的访问权限、全部业务的访问权限、本人业务的访问权限;
判断所述第一角色集合与所述第二角色集合中的角色是否有重合;
若所述第一角色集合与所述第二角色集合中的角色有重合,则根据重合角色和所述目标业务的访问标识,确定数据权限类型集合;根据所述数据权限类型集合生成查询条件,进行业务查询。
可选的,所述基于权限管理模型的预先配置数据,获取所述用户信息对应的第一角色集合,及,具备所述目标业务的地址的访问权限的第二角色集合,包括:
基于权限管理模型中的用户与角色的对应关系,获取所述用户信息对应的第一角色集合;以及,基于权限管理模型中的业务的访问权限与角色的对应关系,获取具备所述地址的访问权限的第二角色集合。
可选的,还包括:
若所述第一角色集合与所述第二角色集合中的角色无重合,则获取所述目标业务的地址的默认查询条件,根据所述默认查询条件进行业务查询。
可选的,还包括:
基于权限管理模型,构建并维护目标企业的企业层级、企业和用户关系;其中,所述目标企业为多级企业;
构建不同角色,并配置用户与角色的对应关系;
构建不同数据权限类型,每个数据权限类型下设置不同业务的访问权限;
分别关联业务访问权限与数据权限类型、角色,配置业务的访问标识与数据权限类型的对应关系、业务的访问标识与角色的对应关系。
可选的,还包括:
响应于数据权限类型修改指令,对所述数据权限类型的访问权限进行修改;
其中,所述数据权限类型修改指令,包括:新增数据权限类型、删除数据权限类型或更改数据权限类型。
可选的,还包括:
响应于角色权限修改指令,对目标角色对应的数据权限类型进行修改;其中,所述角色权限修改指令携带所述目标角色。
可选的,还包括:
响应于业务创建或修改指令,创建或修改业务,并记录每个所述业务的属性信息;其中,所述属性信息,包括创建人信息、创建组织机构信息;
响应于业务配置指令,配置每个业务的所述标识;其中,每个所述业务与该业务的标识一一对应。
可选的,在所述第一角色集合与所述第二角色集合中的角色有重合时,所述根据重合角色和所述目标业务的访问标识,确定数据权限类型集合;根据所述数据权限类型集合生成查询条件,包括:
判断重合角色的个数,当所述重合角色的个数大于1个时,则将所有重合角色,及,目标业务的访问标识确定对应的数据权限类型集合进行拼接;
根据拼接后的数据权限类型集合生成对应的业务查询条件。
又一方面,一种针对多级企业的业务系统数据权限管理装置,包括:
拦截获取模块,用于获取业务访问请求,所述业务访问请求携带用户信息和目标业务的访问标识;所述目标业务的访问标识表征所述目标业务的地址;
确定模块,用于基于权限管理模型的预先配置数据,获取所述用户信息对应的第一角色集合,及,具备所述目标业务的地址的访问权限的第二角色集合;其中,所述预先配置数据,包括:用户与角色的对应关系、业务的访问标识与数据权限类型的对应关系、数据权限类型与角色的对应关系、业务的访问标识与角色的对应关系;其中,每个数据权限类型对应的访问权限包括:对本级业务的访问权限、对本级及下级业务的访问权限、不同层级业务的访问权限、全部业务的访问权限、本人业务的访问权限;
判断模块,用于判断所述第一角色集合与所述第二角色集合中的角色是否有重合;
查询模块,用于在所述第一角色集合与所述第二角色集合中的角色有重合时,则根据重合角色和所述目标业务的访问标识,确定数据权限类型集合;根据所述数据权限类型集合生成查询条件,进行业务查询。
又一方面,一种针对多级企业的业务系统数据权限管理设备,包括处理器和存储器,所述处理器与存储器相连:
其中,所述处理器,用于调用并执行所述存储器中存储的程序;
所述存储器,用于存储所述程序,所述程序至少用于执行上述任一项所述的针对多级企业的业务系统数据权限管理方法;其中,所述存储器,用于预先存储针对多级企业的业务系统数据权限的关系数据。
本发明提供的技术方案至少具备如下有益效果:
将业务、数据权限、用户三者解耦,基于权限管理模型,预先配置用户与角色的对应关系、业务的访问标识与数据权限类型的对应关系、数据权限类型与角色的对应关系、业务的访问标识与角色的对应关系,方便、快捷,在任一项目需要变更时,可直接变更,解耦了数据权限和业务代码,实现了灵活配置和实时生效的目的;在用户进行业务访问时,全局拦截业务访问请求,从而根据预先配置好的配置信息中的关系来得到业务查询条件,直接通过业务查询条件来访问目标业务的地址,实现跨组织机构的行级数据权限的查询需求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种针对多级企业的业务系统数据权限管理方法的流程示意图;
图2为本发明一实施例提供的一种针对多级企业的业务系统数据权限管理装置的结构示意图;
图3为本发明一实施例提供的一种针对多级企业的业务系统数据权限管理设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行详细的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本发明所保护的范围。
如背景技术记载,相关技术中,通常通过以下方式来设置行级数据权限:
1、不同的业务模块设置不同权限。实现方式通常为:在业务代码中耦合数据权限;或者,更好一点的实现是将角色引入,实现每个业务模块固定的角色数据权限,通过角色配置人员实现灵活变化,这样虽然解耦了数据权限和用户的直接关系,但是无法解决数据权限和业务代码的耦合,使得配置不够灵活;
2、采用ACL(Access Control Lists,访问控制列表)的设计,在业务创建时就开始维护每个用户对每行数据的权限访问控制表,这样可以直观的看到用户的数据权限,但是维护这个表的代价很大,不仅增加了数据冗余,还降低了业务增删改的性能。
因此,如何灵活、低成本对多级企业的业务系统数据权限进行管理,成为现有技术中亟待解决的技术问题。
基于此,本发明实施例提供一种针对多级企业的业务系统数据权限管理方法、装置和设备,以克服目前配置灵活性差、维护成本高的问题。
图1是本发明一实施例提供的一种针对多级企业的业务系统数据权限管理方法的流程示意图,请参阅图1,本实施例可以包括以下步骤:
步骤S1、获取业务访问请求,所述业务访问请求携带用户信息和目标业务的访问标识;所述目标业务的访问标识表征所述目标业务的地址。
在一个多级企业中,包括不同部门、不同层级子公司等。可以在任一个多级企业中,进行业务系统数据权限管理,具体管理过程中可以对权限管理模型RBAC进行扩展,将本实施例提供的针对多级企业的业务系统数据权限管理方法集成到RBAC中,也可以以插件的形式运行该方法。
在企业中,每个员工均可以注册一个账号,登陆账号对多个业务进行访问。其中,每个业务包括具体的文件内容、对某些内容的修改等。当用户需要对一个业务进行访问,如,对合同信息进行查阅时,可以发送业务访问请求,此时,全局拦截业务访问请求,从而获取到业务访问请求中携带的用户信息和目标业务的标识。其中,目标业务的标识可以为目标业务的URL(Uniform Resource Locator,统一资源定位符)。
步骤S2、基于权限管理模型的预先配置数据,获取所述用户信息对应的第一角色集合,及,具备所述目标业务的地址的访问权限的第二角色集合;其中,所述预先配置数据,包括:用户与角色的对应关系、业务的访问标识与数据权限类型的对应关系、数据权限类型与角色的对应关系、业务的访问标识与角色的对应关系;其中,每个数据权限类型对应的访问权限包括:对本级业务的访问权限、对本级及下级业务的访问权限、不同层级业务的访问权限、全部业务的访问权限、本人业务的访问权限。
在获取到用户信息和目标业务的标识后,根据基于RBAC预先配置的预先配置信息,来查询确定该用户信息下对应的角色,作为第一角色集合。其中,每个用户可以对应一个或多个角色,例如,某用户对应的角色可以为部门领导、技术员等。同时,根据基于RBAC预先配置的预先配置信息,来查询确定具备目标业务URL访问权限的角色,作为第二角色集合。例如,对业务M的URL具有访问权限的角色为角色A、角色B。
在一些实施例中,可选的,所述基于权限管理模型的预先配置数据,获取所述用户信息对应的第一角色集合,及,具备所述目标业务的地址的访问权限的第二角色集合,包括:
基于权限管理模型中的用户与角色的对应关系,获取所述用户信息对应的第一角色集合;以及,基于权限管理模型中的业务的访问权限与角色的对应关系,获取具备所述地址的访问权限的第二角色集合。
在得到用户信息后,在预先配置的用户与角色的对应关系中,得到与该用户信息相对应的角色,作为第一角色集合;在预先配置的业务的访问标识与角色的对应关系,来确定具备所述地址的访问权限的角色,作为第二角色集合。
步骤S3、判断所述第一角色集合与所述第二角色集合中的角色是否有重合。
在得到第一角色集合和第二角色集合后,判断两个角色集合中是否有相同的角色。
步骤S4、若所述第一角色集合与所述第二角色集合中的角色有重合,则根据重合角色和所述目标业务的访问标识,确定数据权限类型集合;根据所述数据权限类型集合生成查询条件,进行业务查询。
当第一角色集合和第二角色集合中有相同的角色时,将该相同角色作为重合角色,根据重合角色和目标业务的地址来确定对应的所有数据权限类型,作为数据权限类型集合,将该数据权利类型集合对应的权限,作为查询条件,进行业务查询。具体的,可以根据数据权限类型与角色的对应关系,确定到重合角色对应的数据权限类型;根据业务的访问权限与数据权限类型的对应关系,确定目标业务的地址对应的数据权限类型,将得到的数据权利类型交叉从而得到重合的数据权限类型集合。
例如,当相同的角色为部门领导时,根据数据权限类型与角色的对应关系,确定部门领导角色对应的数据权限类型A(数据权限类型A可以为至少一个数据权限类型);根据业务的访问标识与数据权限类型的对应关系,确定目标业务的地址N对应的数据权限类型B,从而将AB的交集作为数据权限类型集合,将AB的交集对应的权限作为查询条件,进行目标业务的查询。
可以理解的是,采用本实施例提供的技术方案,将业务、数据权限、用户三者解耦,基于权限管理模型,预先配置用户与角色的对应关系、业务的访问标识与数据权限类型的对应关系、数据权限类型与角色的对应关系、业务的访问标识与角色的对应关系,方便、快捷,在任一项目需要变更时,可直接变更,解耦了数据权限和业务代码,实现了灵活配置和实时生效的目的;在用户进行业务访问时,全局拦截业务访问请求,从而根据预先配置好的配置信息中的关系来得到业务查询条件,直接通过业务查询条件来访问目标业务的地址,实现跨组织机构的行级数据权限的查询需求。
在上述实施例提供的针对多级企业的业务系统数据权限管理方法中,可选的,还可以包括:若所述第一角色集合与所述第二角色集合中的角色无重合,则获取所述目标业务的地址的默认查询条件,根据所述默认查询条件进行业务查询。
例如,当第一角色集合和第二角色集合中没有相同的角色时,则说明该用户对目标业务没有多级数据访问权限,则按照默认查询条件来进行业务查询。其中,默认查询条件可以为查询预设地址内容、返回空值等。如,可设置当用户无权限访问时,在用户发出业务访问请求后,访问预设地址的内容,或,返回空值等。
可以理解的是,通过设定在两个角色集合无重合时,按照默认查询条件进行业务查询,提升了数据安全性。通过预设默认查询条件,提升了业务访问权限管理的便捷性。
进一步的,对预先配置数据的预先配置过程,进行说明:在上述实施例提供的针对多级企业的业务系统数据权限管理方法中,可选的,还包括:
基于权限管理模型,构建并维护目标企业的企业层级、企业和用户关系;其中,所述目标企业为多级企业;
构建不同角色,并配置用户与角色的对应关系;
构建不同数据权限类型,每个数据权限类型下设置不同业务的访问权限;
分别关联业务访问标识与数据权限类型、角色,配置业务的访问标识与数据权限类型的对应关系、业务的访问标识与角色的对应关系。
具体的,可以基于RBAC模型,预先配置数据:在RBAC模型中,可以包括用户、角色和权限,对于需要进行业务系统数据权限管理的企业,可以根据需求配置并维护目标企业的企业层级、企业和用户关系,例如,设置目标企业的名称,根据目标企业的总公司、子公司等,配置企业层级关系;配置每个用户和企业的关系,如,各企业里的成员用户分别挂到对应企业中,形成企业用户树状结构数据。
根据企业权限管理的需求,创建需要的角色,如:职工、部门领导、子公司领导、集团领导等;并配置角色与用户的关系,如:用户C为职工、用户D为部门领导等。根据需求设置不同数据权限类型,并在每个数据权限类型下设置不同业务的访问权限。其中,每个数据权限类型对应的访问权限可以为:对本级业务的访问权限、对本级及下级业务的访问权限、不同层级业务的访问权限等。设置完数据权限类型后,关联每个数据权限类型和角色,从而配置每个数据权限类型和角色的对应关系。
例如,以某集团企业不同的用户以不同的权限查询合同数据为例,进行数据权限管理说明:
某集团企业的组织机构结构(企业层级)如下:
-集团公司
-综合部
-张三
-法务部
-XXX子公司1
-人力资源部
-法务部
-李四
其中,根据组织结构设置企业层级关系,将各个用户分别挂到目标企业中;将每个用户挂到企业对应的层级关系中。
如企业权限管理的需求为:要求集团公司的领导张三可以查看集团公司和其下级子公司的所有合同数据,以及XXX子公司的法务部领导李四可以查看本部门的所有合同数据。则,根据此需求,创建集团公司的领导角色、子公司的法务部领导角色,配置张三为集团公司的领导,配置李四为XXX子公司的法务部领导。
需要创建两个角色,一个集团领导角色,配置用户张三,一个部门领导角色,配置用户李四。分析需求得到合同业务有两个数据权限类型:A、查询本级及下级公司数据权限,将该数据权限类型与集团领导角色关联;B、查询本部门数据权限,将该数据权限类型与部门领导角色关联。这样在用户查询合同数据的接口API地址时,系统拦截该地址,根据上述实施例提供的针对多级企业的业务系统数据权限管理方法找到对应的权限配置,最后实现数据权限访问控制。
值得说明的是,上述数据权限类型的分类,可以根据需求进行设置,例如可以包括:查询全部数据权限、查询本级及下级组织机构的数据权限、查询本级企业组织机构的数据权限、查询指定组织机构的数据权限、查询本人的数据权限等。其中,企业中组织机构层级也是可以配置的,比如公司,部门等,按照组织机构层级分类不同,可以扩展数据权限分类,如查询本级及下级组织机构的数据权限,扩展为查询本级及下级公司的数据权限、查询本级及下级部门的数据权限,查询本级企业组织机构的数据权限同理扩展。
在上述实施例提供的预先配置过程中,还可以对每个业务及业务的标识进行配置。具体包括:
响应于业务创建或修改指令,创建或修改业务,并记录每个所述业务的属性信息;其中,所述属性信息,包括创建人信息、创建组织机构信息;
响应于业务配置指令,配置每个业务的所述标识;其中,每个所述业务与该业务的标识一一对应。
用户可以创建业务,或,在有业务时,进行业务修改,实现对业务的灵活配置;还可以记录每个业务的属性信息。每个业务都有自己的URI(Uniform Resource Identifier,统一资源标识符)权限点,本申请中,每个业务的URI权限点为业务数据的查询接口URL地址,或者与业务数据查询相关的资源定义。每一个数据权限类型与业务URI权限点、角色进行关联绑定。
可以理解的是,通过预先配置不同用户与角色的对应关系、业务的访问标识与数据权限类型的对应关系、数据类型与角色的对应关系等,为后续拦截目标业务的地址,寻找对应的权限配置提供基础,最终实现数据权限的访问控制。
在上述实施例提供的针对多级企业的业务系统数据权限管理方法中,还包括:响应于数据权限类型修改指令,对所述数据权限类型的访问权限进行修改;
其中,所述数据权限类型修改指令,包括:新增数据权限类型、删除数据权限类型或更改数据权限类型。
具体的,用户可以对数据权限类型进行修改,从而实现对数据权限类型的灵活配置。
在上述实施例提供的针对多级企业的业务系统数据权限管理方法中,还包括:响应于角色权限修改指令,对目标角色对应的数据权限类型进行修改;其中,所述角色权限修改指令携带所述目标角色。
具体的,用户还可以对角色对应的数据权类型进行修改,即,修改该角色的数据权限类型。实现对角色下数据权限类型的灵活配置。
在上述实施例提供的针对多级企业的业务系统数据权限管理方法中,在所述第一角色集合与所述第二角色集合中的角色有重合时,所述根据重合角色和所述目标业务的访问标识,确定数据权限类型集合;根据所述数据权限类型集合生成查询条件,包括:
判断重合角色的个数,当所述重合角色的个数大于1个时,则将所有重合角色,及,目标业务的访问标识确定对应的数据权限类型集合进行拼接;
根据拼接后的数据权限类型集合生成对应的业务查询条件。
例如,当判断到第一角色集合和第二角色集合中相同的角色的个数大于1个时,需要对这些相同角色的访问权限,即,数据权限类型集合进行拼接,从而进行业务查询条件的生成。以相同角色的个数为2为例,进行说明:若相关角色为:集团领导、技术员,集团领导对目标业务N具有查询本公司数据的权限,技术员对目标业务N具有查询本人数据的权限,则拼接查询本公司数据的权限+查询本人数据的权限,生成业务查询条件为:对目标业务N进行本公司和本人数据的查询,以确定用户对目标业务N数据查询范围。当判断到第一角色集合和第二角色集合中相同的角色的个数等于1个时,则直接根据该重合角色进行业务查询条件的生成。
可以理解的是,通过将重合角色的访问权限进行拼接,提升对访问权限的综合管理。本实施例提供的方法,通过可视化灵活配置实现行级数据权限管控,0代码开发,降低了企业应用系统的开发成本。
基于一个总的发明构思,本发明实施例还提供一种针对多级企业的业务系统数据权限管理装置,用于实现上述方法实施例。
图2为本发明一实施例提供的一种针对多级企业的业务系统数据权限管理装置的结构示意图,参阅图2,本实施例提供的装置,可以包括以下结构:
拦截获取模块21,用于获取业务访问请求,所述业务访问请求携带用户信息和目标业务的标识;所述目标业务的标识表征所述目标业务的地址;
确定模块22,用于基于权限管理模型的预先配置数据,获取所述用户信息对应的第一角色集合,及,具备所述目标业务的地址的访问权限的第二角色集合;其中,所述预先配置数据,包括:用户与角色的对应关系、业务的访问标识与数据权限类型的对应关系、数据权限类型与角色的对应关系、业务的访问标识与角色的对应关系;其中,每个数据权限类型对应的访问权限包括:对本级业务的访问权限、对本级及下级业务的访问权限、不同层级业务的访问权限、全部业务的访问权限、本人业务的访问权限;
判断模块23,用于判断所述第一角色集合与所述第二角色集合中的角色是否有重合;
查询模块24,用于在所述第一角色集合与所述第二角色集合中的角色有重合时,则根据重合角色和所述目标业务的地址,确定数据权限类型集合;根据所述数据权限类型集合生成查询条件,进行业务查询。
可选的,确定模块,具体用于基于权限管理模型中的用户与角色的对应关系,获取所述用户信息对应的第一角色集合;以及,基于权限管理模型中的业务的访问标识与角色的对应关系,获取具备所述地址的访问权限的第二角色集合。
可选的,查询模块,还用于若所述第一角色集合与所述第二角色集合中的角色无重合,则获取所述目标业务的地址的默认查询条件,根据所述默认查询条件进行业务查询。
可选的,还包括:配置模块,用于基于权限管理模型,构建并维护目标企业的企业层级、企业和用户关系;其中,所述目标企业为多级企业;
构建不同角色,并配置用户与角色的对应关系;
构建不同数据权限类型,每个数据权限类型下设置不同业务的访问权限;
分别关联业务访问标识与数据权限类型、角色,配置业务的访问标识与数据权限类型的对应关系、业务的访问标识与角色的对应关系。
可选的,配置模块,还用于响应于数据权限类型修改指令,对所述数据权限类型的访问权限进行修改;
其中,所述数据权限类型修改指令,包括:新增数据权限类型、删除数据权限类型或更改数据权限类型。
可选的,配置模块,还用于响应于角色权限修改指令,对目标角色对应的数据权限类型进行修改;其中,所述角色权限修改指令携带所述目标角色。
可选的,配置模块,还用于响应于业务创建或修改指令,创建或修改业务,并记录每个所述业务的属性信息;其中,所述属性信息,包括创建人信息、创建组织机构信息;
响应于业务配置指令,配置每个业务的所述标识;其中,每个所述业务与该业务的标识一一对应。
可选的,查询模块,具体用于判断重合角色的个数,当所述重合角色的个数大于1个时,则将所有重合角色和目标业务访问标识所对应的访问权限进行拼接;
根据拼接后的访问权限生成对应的业务查询条件。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
可以理解的是,采用本实施例提供的技术方案,将业务、数据权限、用户三者解耦,基于权限管理模型,预先配置用户与角色的对应关系、业务的访问标识与数据权限类型的对应关系、数据权限类型与角色的对应关系、业务的访问标识与角色的对应关系,方便、快捷,在任一项目需要变更时,可直接变更,解耦了数据权限和业务代码,实现了灵活配置和实时生效的目的;在用户进行业务访问时,全局拦截业务访问请求,从而根据预先配置好的配置信息中的关系来得到业务查询条件,直接通过业务查询条件来访问目标业务的地址,实现跨组织机构的行级数据权限的查询需求。
基于一个总的发明构思,本发明实施例还提供一种针对多级企业的业务系统数据权限管理设备,用于实现上述方法实施例。
图3为本发明一实施例提供的一种针对多级企业的业务系统数据权限管理设备的结构示意图,参阅图3,本实施例的针对多级企业的业务系统数据权限管理设备包括处理器31和存储器32,处理器31与存储器32相连。其中,处理器31用于调用并执行所述存储器32中存储的程序;存储器32用于存储所述程序,所述程序至少用于执行以上实施例中的针对多级企业的业务系统数据权限管理方法。
本申请实施例提供的针对多级企业的业务系统数据权限管理设备的具体实施方案可以参考以上任意实施例的针对多级企业的业务系统数据权限管理方法的实施方式,此处不再赘述。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种针对多级企业的业务系统数据权限管理方法,其特征在于,包括:
获取业务访问请求,所述业务访问请求携带用户信息和目标业务的访问标识;所述目标业务的访问标识表征所述目标业务的地址;
基于权限管理模型的预先配置数据,获取所述用户信息对应的第一角色集合,及,具备所述目标业务的地址的访问权限的第二角色集合;其中,所述预先配置数据,包括:用户与角色的对应关系、业务的访问标识与数据权限类型的对应关系、数据权限类型与角色的对应关系、业务的访问标识与角色的对应关系;其中,每个数据权限类型对应的访问权限包括:对本级业务的访问权限、对本级及下级业务的访问权限、不同层级业务的访问权限、全部业务的访问权限、本人业务的访问权限;
判断所述第一角色集合与所述第二角色集合中的角色是否有重合;
若所述第一角色集合与所述第二角色集合中的角色有重合,则根据重合角色和所述目标业务的访问标识,确定数据权限类型集合;根据所述数据权限类型集合生成查询条件,进行业务查询。
2.根据权利要求1所述的方法,其特征在于,所述基于权限管理模型的预先配置数据,获取所述用户信息对应的第一角色集合,及,具备所述目标业务的地址的访问权限的第二角色集合,包括:
基于权限管理模型中的用户与角色的对应关系,获取所述用户信息对应的第一角色集合;以及,基于权限管理模型中的业务的访问权限与角色的对应关系,获取具备所述地址的访问权限的第二角色集合。
3.根据权利要求1所述的方法,其特征在于,还包括:
若所述第一角色集合与所述第二角色集合中的角色无重合,则获取所述目标业务的地址的默认查询条件,根据所述默认查询条件进行业务查询。
4.根据权利要求1所述的方法,其特征在于,还包括:
基于权限管理模型,构建并维护目标企业的企业层级、企业和用户关系;其中,所述目标企业为多级企业;
构建不同角色,并配置用户与角色的对应关系;
构建不同数据权限类型,每个数据权限类型下设置不同业务的访问权限;
分别关联业务访问权限与数据权限类型、角色,配置业务的访问标识与数据权限类型的对应关系、业务的访问标识与角色的对应关系。
5.根据权利要求4所述的方法,其特征在于,还包括:
响应于数据权限类型修改指令,对所述数据权限类型的访问权限进行修改;
其中,所述数据权限类型修改指令,包括:新增数据权限类型、删除数据权限类型或更改数据权限类型。
6.根据权利要求4所述的方法,其特征在于,还包括:
响应于角色权限修改指令,对目标角色对应的数据权限类型进行修改;其中,所述角色权限修改指令携带所述目标角色。
7.根据权利要求1所述的方法,其特征在于,还包括:
响应于业务创建或修改指令,创建或修改业务,并记录每个所述业务的属性信息;其中,所述属性信息,包括创建人信息、创建组织机构信息;
响应于业务配置指令,配置每个业务的所述标识;其中,每个所述业务与该业务的标识一一对应。
8.根据权利要求1所述的方法,其特征在于,在所述第一角色集合与所述第二角色集合中的角色有重合时,所述根据重合角色和所述目标业务的访问标识,确定数据权限类型集合;根据所述数据权限类型集合生成查询条件,包括:
判断重合角色的个数,当所述重合角色的个数大于1个时,则将所有重合角色,及,目标业务的访问标识确定对应的数据权限类型集合进行拼接;
根据拼接后的数据权限类型集合生成对应的业务查询条件。
9.一种针对多级企业的业务系统数据权限管理装置,其特征在于,包括:
拦截获取模块,用于获取业务访问请求,所述业务访问请求携带用户信息和目标业务的访问标识;所述目标业务的访问标识表征所述目标业务的地址;
确定模块,用于基于权限管理模型的预先配置数据,获取所述用户信息对应的第一角色集合,及,具备所述目标业务的地址的访问权限的第二角色集合;其中,所述预先配置数据,包括:用户与角色的对应关系、业务的访问标识与数据权限类型的对应关系、数据权限类型与角色的对应关系、业务的访问标识与角色的对应关系;其中,每个数据权限类型对应的访问权限包括:对本级业务的访问权限、对本级及下级业务的访问权限、不同层级业务的访问权限、全部业务的访问权限、本人业务的访问权限;
判断模块,用于判断所述第一角色集合与所述第二角色集合中的角色是否有重合;
查询模块,用于在所述第一角色集合与所述第二角色集合中的角色有重合时,则根据重合角色和所述目标业务的访问标识,确定数据权限类型集合;根据所述数据权限类型集合生成查询条件,进行业务查询。
10.一种针对多级企业的业务系统数据权限管理设备,其特征在于,包括处理器和存储器,所述处理器与存储器相连:
其中,所述处理器,用于调用并执行所述存储器中存储的程序;
所述存储器,用于存储所述程序,所述程序至少用于执行权利要求1-8任一项所述的针对多级企业的业务系统数据权限管理方法;其中,所述存储器,用于预先存储针对多级企业的业务系统数据权限的关系数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310952298.5A CN116702213A (zh) | 2023-08-01 | 2023-08-01 | 针对多级企业的业务系统数据权限管理方法、装置和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310952298.5A CN116702213A (zh) | 2023-08-01 | 2023-08-01 | 针对多级企业的业务系统数据权限管理方法、装置和设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116702213A true CN116702213A (zh) | 2023-09-05 |
Family
ID=87829582
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310952298.5A Pending CN116702213A (zh) | 2023-08-01 | 2023-08-01 | 针对多级企业的业务系统数据权限管理方法、装置和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116702213A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117077120A (zh) * | 2023-10-18 | 2023-11-17 | 深圳竹云科技股份有限公司 | 应用系统权限解析方法、装置、计算机设备、及介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090150981A1 (en) * | 2007-12-06 | 2009-06-11 | Alexander Phillip Amies | Managing user access entitlements to information technology resources |
CN101727470A (zh) * | 2008-10-30 | 2010-06-09 | 鸿富锦精密工业(深圳)有限公司 | 网页显示权限控制系统及方法 |
CN103065074A (zh) * | 2012-12-14 | 2013-04-24 | 北京思特奇信息技术股份有限公司 | 一种基于细粒度进行url权限控制的方法 |
CN112182619A (zh) * | 2020-09-30 | 2021-01-05 | 澳优乳业(中国)有限公司 | 基于用户权限的业务处理方法、系统及电子设备和介质 |
CN112257090A (zh) * | 2020-10-28 | 2021-01-22 | 国寿投资控股有限公司 | 一种角色权限检查的方法和系统 |
CN113704285A (zh) * | 2021-08-30 | 2021-11-26 | 北京达佳互联信息技术有限公司 | 基于权限的检索方法及装置、设备 |
CN113919680A (zh) * | 2021-09-30 | 2022-01-11 | 江苏苏宁银行股份有限公司 | 一种基于通用任务构建管理信息系统的方法 |
-
2023
- 2023-08-01 CN CN202310952298.5A patent/CN116702213A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090150981A1 (en) * | 2007-12-06 | 2009-06-11 | Alexander Phillip Amies | Managing user access entitlements to information technology resources |
CN101727470A (zh) * | 2008-10-30 | 2010-06-09 | 鸿富锦精密工业(深圳)有限公司 | 网页显示权限控制系统及方法 |
CN103065074A (zh) * | 2012-12-14 | 2013-04-24 | 北京思特奇信息技术股份有限公司 | 一种基于细粒度进行url权限控制的方法 |
CN112182619A (zh) * | 2020-09-30 | 2021-01-05 | 澳优乳业(中国)有限公司 | 基于用户权限的业务处理方法、系统及电子设备和介质 |
CN112257090A (zh) * | 2020-10-28 | 2021-01-22 | 国寿投资控股有限公司 | 一种角色权限检查的方法和系统 |
CN113704285A (zh) * | 2021-08-30 | 2021-11-26 | 北京达佳互联信息技术有限公司 | 基于权限的检索方法及装置、设备 |
CN113919680A (zh) * | 2021-09-30 | 2022-01-11 | 江苏苏宁银行股份有限公司 | 一种基于通用任务构建管理信息系统的方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117077120A (zh) * | 2023-10-18 | 2023-11-17 | 深圳竹云科技股份有限公司 | 应用系统权限解析方法、装置、计算机设备、及介质 |
CN117077120B (zh) * | 2023-10-18 | 2024-02-09 | 深圳竹云科技股份有限公司 | 应用系统权限解析方法、装置、计算机设备、及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210273972A1 (en) | Dynamic Hierarchical Tagging System and Method | |
US9455975B2 (en) | Techniques for managing credentials in a distributed computing environment | |
US8452873B2 (en) | Provisioning of resources in a computer network | |
US9258312B1 (en) | Distributed policy enforcement with verification mode | |
US10089371B2 (en) | Extensible extract, transform and load (ETL) framework | |
US20080104220A1 (en) | Identity migration apparatus and method | |
US10812492B2 (en) | Management of collaborative content item modification | |
US7818274B1 (en) | Automatic generation of event-handling rules from system log entries | |
US10721184B2 (en) | Distributed policy enforcement with optimizing policy transformations | |
JP2020537212A (ja) | クライアントデバイスによって実施されるコンテンツ管理システムのワークフロー機能 | |
US20080104080A1 (en) | Method and apparatus to access heterogeneous configuration management database repositories | |
CN108156030B (zh) | 一种配置策略同步的方法及装置 | |
US8387877B2 (en) | Systems and methods for the secure control of data within heterogeneous systems and networks | |
CN116702213A (zh) | 针对多级企业的业务系统数据权限管理方法、装置和设备 | |
US20170206371A1 (en) | Apparatus and method for managing document based on kernel | |
CN112785248B (zh) | 人力资源数据跨组织交互方法、装置、设备和存储介质 | |
US7523506B1 (en) | Approach for managing functionalities within a system | |
US10439897B1 (en) | Method and apparatus for enabling customized control to applications and users using smart tags | |
US9621424B2 (en) | Providing a common interface for accessing and presenting component configuration settings | |
KR101570980B1 (ko) | 멀티 테넌트 환경의 공통 코드 관리 방법, 이를 수행하는 공통 코드 관리 서버 및 이를 저장하는 기록매체 | |
CN111459907A (zh) | 通过模型配置主数据的方法、系统及存储介质 | |
CN116684282B (zh) | 新增云端服务器初始化方法、装置和计算机设备 | |
US20240187441A1 (en) | Dynamic Hierarchical Tagging System and Method | |
CN118133316A (zh) | 一种权限处理方法、装置、设备及可读存储介质 | |
Ramey et al. | Directory Synchronization and Virtualization |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |