CN117556396A - 数据访问控制方法、电子设备及存储介质 - Google Patents
数据访问控制方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117556396A CN117556396A CN202311579956.7A CN202311579956A CN117556396A CN 117556396 A CN117556396 A CN 117556396A CN 202311579956 A CN202311579956 A CN 202311579956A CN 117556396 A CN117556396 A CN 117556396A
- Authority
- CN
- China
- Prior art keywords
- data
- user
- jurisdiction
- role
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 230000015654 memory Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了数据访问控制方法、电子设备及存储介质。该方法包括:获取用户所关联的目标权限以及目标数据管辖范围;根据所述目标权限,对所述目标数据管辖范围的数据进行访问控制。该方法由于将数据管辖范围与用户进行了关联,能够降低企业数据泄露的可能性。
Description
技术领域
本申请涉及信息处理技术领域,具体而言,涉及数据访问控制方法、电子设备及存储介质。
背景技术
在企业内部,通常利用RBAC模型(Role-Based Access Control,基于角色的访问控制)来对用户的权限进行控制,该RBAC模型通常将角色(role)绑定对应的权限,然后向用户分配对应的角色,从而实现向该用户分配权限。然而随着科技的不断发展,企业间关系以及企业内部关系的复杂化,目前这种RBAC模型的权限控制方式,容易导致企业的数据泄露。
发明内容
本申请实施例的目的在于提供数据访问控制方法、电子设备及存储介质、电子设备及存储介质,用以解决现有技术中的问题。
本申请实施例第一方面提供了一种数据访问控制方法,包括:
获取用户所关联的目标权限以及目标数据管辖范围;
根据所述目标权限,对所述目标数据管辖范围的数据进行访问控制。
于一实施例中,获取用户所关联的目标权限以及目标数据管辖范围,具体包括:
获取所述用户所关联的角色;
获取所述角色所关联的数据管辖范围,作为所述目标数据管辖范围;以及,获取所述角色所关联的权限,作为所述目标权限。
于一实施例中,所述方法还包括:
预先根据所述用户的业务范围,确定所述目标数据管辖范围,并将所述目标数据管辖范围与所述用户所关联的角色进行关联。
于一实施例中,所述方法还包括:
获取所述用户的所属企业、所属部门以及职级;
根据所述用户的所属企业、所属部门以及职级,从角色库中选取出角色,其中,所选取出的所述角色关联有对应的权限;
将所选取出的所述角色与所述用户进行关联。
于一实施例中,所述方法还包括:
获取所述用户的所属企业、所属部门以及职级;
根据所述用户的所属企业、所属部门以及职级,创建出新的角色,并向所述新的角色分配对应的权限;
将所创建出的所述新的角色与所述用户进行关联。
于一实施例中,数据库设有数据管辖范围字段,其中,所述数据管辖范围字段的不同字段值,分别对应不同的数据管辖范围;以及,
根据所述目标权限,对所述目标数据管辖范围的数据进行展示,具体包括:
根据所述目标数据管辖范围所对应的字段值,从所述数据库中选取出所述目标数据管辖范围的数据;
根据所述目标权限对所述数据进行展示。
本申请实施例第二方面提供了一种数据访问控制方法,包括:
根据用户的业务范围,确定目标数据管辖范围;
将所述目标数据管辖范围与所述用户进行关联,以使得能够根据所述用户所关联的目标权限,对所述目标数据管辖范围的数据进行访问控制。
于一实施例中,将所述目标数据管辖范围与所述用户进行关联,具体包括:将所述目标数据管辖范围与所述用户所关联的角色进行关联。
本申请实施例第三方面提供了一种电子设备,包括:
存储器,用以存储计算机程序;
处理器,用以执行本申请任一实施例的方法。
本申请实施例第四方面提供了一种存储介质,包括:程序,当其在电子设备上运行时,使得电子设备可执行本申请任一实施例的方法。
采用本申请实施例所提供的方法,先获取用户所关联的目标权限以及目标数据管辖范围,然后根据该目标权限,对目标数据管辖范围的数据进行访问控制。该方法由于将数据管辖范围与用户进行了关联,能够降低企业数据泄露的可能性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为目前RBAC模型的具体结构示意图;
图2为本申请一实施例所提供的,电子设备的具体结构示意图;
图3为本申请一实施例所提供的,数据访问控制方法的具体流程示意图;
图4为本申请一实施例所提供的,RDBAC模型的具体结构示意图;
图5为本申请另一实施例所提供的,RDBAC模型的具体结构示意图;
图6为本申请一实施例所提供的,数据访问控制装置的具体结构示意图;
图7为本申请另一实施例所提供的,数据访问控制装置的具体结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。在本申请的描述中,诸如“第一”、“第二”、“第三”等术语仅用于区分描述,而不能理解为指示或暗示相对重要性。
如前所述,在企业内部,通常利用RBAC模型(Role-Based Access Control,基于角色的访问控制)来对用户的权限进行控制,该RBAC模型通常将角色(role)绑定对应的权限,然后向用户分配对应的角色,从而实现向该用户分配权限。然而随着科技的不断发展,企业间关系以及企业内部关系的复杂化,目前这种RBAC模型的权限控制方式,容易导致企业的数据泄露。
比如,目前RBAC模型的权限控制方式中,用户关联一个或多个角色,每个角色分别关联有对应的权限,比如,如图1所示,用户关联有角色1~角色N,而角色1关联有对应的权限11~权限1N,角色2关联有对应的权限21~权限2N,角色N关联有对应的权限N1~权限NN。
此时,若两个用户所关联的角色相同,由于相同的角色所具有的权限相同,因此在该RBAC模型的权限控制方式中,这两个用户所关联的权限也会相同。然而对于规模较大企业的企业内部而言,这两个用户可能处理的是不同业务范围内的业务,因此两者所管辖的数据范围必然会不同,此时若向这两个用户进行同等的数据展示,比如将全部数据均向这两个用户进行展示,容易导致企业数据的泄露。
上述是对于规模较大企业内部的两个不同用户而言,目前RBAC模型的权限控制方式容易导致企业数据的泄露。另外,随着企业间关系的复杂化,比如某些企业需要将数据委托给第三方进行管理,举例来说,企业A和企业B均将数据委托给了第三方的企业C进行管理,此时企业C若利用目前的RBAC模型进行权限控制,可能会出现企业A和企业B的某些员工被分配了相同的角色的情况,此时由于相同的角色所具有的权限相同,该企业A和企业B的这些员工具有相同的权限,能够接触到相同的数据,进而导致企业A和企业B之间的数据泄露。其中,这里的企业A和企业B由于是将数据委托给第三方进行管理,因此将该类企业称之为委托方企业,当然对于上述示例中的规模较大企业,由于其实质上也存在数据委托给第三方的需求,因此也可以称之为委托方企业;该第三方的企业C可以称之为被委托方企业。
因此,对于无论对于企业内部或者企业之间而言,目前的这种RBAC模型的权限控制方式,均容易导致企业的数据泄露。
有鉴于此,本申请实施例提供了数据访问控制方法、装置、电子设备和存储介质,能够用于降低企业数据泄露的可能性。如图2所示为本实施例所提供的一种电子设备2,该电子设备2包括:至少一个处理器21和存储器22,图2中以一个处理器为例。处理器21和存储器22可以通过总线20连接,存储器22存储有可被处理器21执行的指令,指令被处理器21执行,以使电子设备2可执行下述的实施例中方法的全部或部分流程。
比如,在一个实施例中,电子设备2可作为委托方企业的服务器,来执行本申请实施例中方法的全部或部分流程;该电子设备2也可以作为被委托方企业的服务器,来执行本申请实施例中方法的全部或部分流程。
如图3所示为本申请一实施例所提供的数据访问控制方法的流程示意图,该方法部分或全部步骤可由图2所示的电子设备1作为,该方法包括如下步骤:
步骤S31:获取用户所关联的目标权限以及目标数据管辖范围。
需要说明的是,区别与目前的RBAC模型,在本申请实施例所提供的方法中,用户除关联权限之外,还关联数据管辖范围,因此可以将本申请实施例中的模型称之为RDBAC模型(Role And Data-Based Access Control)。
比如结合上述图1所示,用户关联有角色1~角色N,而角色1关联有对应的权限11~权限1N,角色2关联有对应的权限21~权限2N,角色N关联有对应的权限N1~权限NN;该RDBAC模型下RBAC模型的基础上,增加了用户与数据管辖范围的关联,当然对于具体的关联方式,可以是数据管辖范围直接与用户进行关联,比如,如图4所示,用户关联数据管辖范围以及角色1~角色N,而角色1关联有对应的权限11~权限1N,角色2关联有对应的权限21~权限2N,角色N关联有对应的权限N1~权限NN,该关联方式中,数据管辖范围直接与用户进行关联;用户与数据管辖范围的关联方式还可以是,用户关联一个或多个角色,各个角色除分别关联对应的权限之外,还分别关联对应的数据管辖范围,比如如图5所示,用户关联数据管辖范围以及角色1~角色N,角色1除关联有对应的权限11~权限1N之外,还关联数据管辖范围1,角色2除关联有对应的权限21~权限2N之外,还关联数据管辖范围2,角色N除关联有对应的权限N1~权限NN之外,还关联数据管辖范围N。
结合上述图4和图5的RDBAC模型,因此在该步骤S31中,对于获取用户所关联的目标权限的具体方式,可以是先获取该用户所关联的角色,然后获取该角色所关联的权限,作为该目标权限。
而对于获取用户所关联的目标数据管辖范围的具体方式,一方面对于该图4所示的RDBAC模型而言,此时由于数据管辖范围直接与用于关联,此时可以获取该用户直接关联的数据管辖范围,作为该目标数据管辖范围;另一方面对于图5所示的RDBAC模型而言,此时由于数据管辖范围直接关联的是角色,因此可以先获取该用户所关联的角色,然后获取该角色所关联的数据管辖范围,作为该目标数据管辖范围。
需要进一步说明的是,通常还可以对RDBAC模型中的权限进行分级,比如,分为基础权限、中级权限和高级权限,该基础权限通常只能对数据的树形菜单进行访问,即访问数据的结构,因此该基础权限比如可以是菜单访问权限;该中级权限是在基础权限的基础上,通常还可以对包含有数据的页面进行访问,因此该中级权限比如可以是菜单访问权限以及页面访问权限;该高级权限是在中级权限的基础上,通常可以对数据进行操作,包括确认、删除、添加等操作,因此该高级权限比如可以菜单访问权限、页面访问权限以及数据操作权限。
因此,对于该步骤S31中用户所关联的目标权限,比如可以是基础权限、中级权限和高级权限。其中,该用户可以是企业的员工。
步骤S32:根据该目标权限,对目标数据管辖范围的数据进行访问控制。
在通过上述的步骤S31,获取到用户所关联的目标权限以及目标数据管辖范围之后,在该步骤S32中,可以进一步根据该目标权限,对目标数据管辖范围的数据进行访问控制。
比如,在该目标权限具体为基础权限的情况下,可以根据该基础权限(该基础权限包括菜单访问权限),对目标数据管辖范围的数据进行树形菜单的访问控制,比如向该用户展示该目标数据管辖范围的数据的树形菜单。
比如,在该目标权限具体为中级权限的情况下,该中级权限包括菜单访问权限加上页面访问权限,此时可以根据该中级权限,对目标数据管辖范围的数据进行树形菜单和页面(该页面包含有该数据)的访问控制,比如向该用户展示该树形菜单和页面。
比如,在该目标权限具体为高级权限的情况下,该高级权限包括菜单访问权限、页面访问权限以及数据操作权限,此时可以根据该高级权限,对目标数据管辖范围的数据进行树形菜单、页面以及数据操作控件的访问控制,比如向该用户展示该树形菜单、页面和该数据操作控件。其中,能够通过点击或触控该数据操作控件,来实现对数据的操作。
采用本申请实施例所提供的方法,先获取用户所关联的目标权限以及目标数据管辖范围,然后根据该目标权限,对目标数据管辖范围的数据进行访问控制。该方法由于将数据管辖范围与用户进行了关联,能够降低企业数据泄露的可能性。
比如,对于规模较大企业而言,即使企业内部的两个用户所关联的角色相同,并且相同的角色的权限相同,此时这两个用户所关联的权限会相同,此时若这两个用户的数据管辖范围不同,根据各自的权限,显然只能对各自数据管辖范围的数据进行访问控制。比如,用户A和用户B的角色相同,但用户A的数据管辖范围为药房1和药房2,用户B的数据管辖范围为药房1和药房3,此时根据本申请实施例所提供的方法,针对用户A,能够根据用户A的权限,对药房1和药房2的数据进行访问控制;针对用户B,根据用户B的权限,对药房1和药房3的数据进行访问控制,从而时药房2的数据不会被用户B访问,药房3的数据不会被用户A访问,因此能够降低企业数据泄露的可能性。
当然,对于被委托方企业,即使两个不同委托方企业的员工被分配了相同的角色,使得两者的权限相同,此时由于这两个员工属于不同的委托方企业,其数据管辖范围通常并不相同,因此根据权限对各自数据管辖范围的数据进行访问控制时,所能够访问到的数据也并不相同,从而也降低了委托方企业数据泄露的可能性。
当然,上述方法的步骤S31和步骤S32,是从用户访问数据的过程中,对数据进行访问控制。在实际应用中,还可以从将数据管辖范围与用户进行关联的角度,对数据进行访问控制,因此该数据访问控制方法还可以包括先根据用户的业务范围,确定目标数据管辖范围,然后将该目标数据管辖范围与用户进行关联,从而使得能够根据该用户所关联的目标权限,对目标数据管辖范围的数据进行访问控制,比如使得能够执行上述的步骤S31和步骤S32,从而实现对目标数据管辖范围的数据进行访问控制。
其中,根据用户的业务范围,确定目标数据管辖范围,比如可以根据该业务范围来确定该用户的业务类型以及业务所开展的区域等,其中,该业务类型包括财务、销售、客服、中台、销售等,业务所开展的区域比如可以是公司内部、各个省市等区域。其中,不同用户之间,其目标数据管辖范围通常可以相同或不同,比如用户1由于业务类型和业务所开展的区域均与用户2相同,此时用户1和用户2的目标数据管辖范围相同;又比如,用户3和用户4虽然业务类型相同,但业务所开展的区域并不同,此时用户3和用户4的目标数据管辖范围并不相同;又比如,用户5和用户6虽然业务所开展的区域相同,但业务类型不同,此时用户3和用户4的目标数据管辖范围并不相同。因此,若两个用户的业务类型或业务所开展的区域中的之一并不相同,此时两者的目标数据管辖范围并不相同,通常只有在两者的业务类型和业务所开展的区域均相同时,两者的目标数据管辖范围才相同。
当然,在据用户的业务范围,确定出目标数据管辖范围,可以进一步将该目标数据管辖范围与该用户进行关联,结合上述图4和图5所示的RDBAC模型,将目标数据管辖范围与用户进行关联的具体方式,比如可以是将该目标数据管辖范围直接与用户进行关联,还可以是将该目标数据管辖范围与该用户所关联的角色进行关联,从而通过与该角色的关联,来实现与该用户的间接关联。
需要进一步说明的是,在本申请实施例到RDBAC模型中,通常需要预先将用户与数据管辖范围进行关联,比如将数据管辖范围直接与用户进行关联,也可以将数据管辖范围与用户所关联的角色进行关联(间接关联),进而能够执行上述步骤S31,因此在上述的步骤S31之前,该方法还可以包括:预先根据用户的业务范围,确定目标数据管辖范围,然后将该目标数据管辖范围直接与该用户进行关联,或者将该目标数据管辖范围与该用户所关联的角色进行关联,即间接关联。
比如,对于企业的员工(即用户)而言,可以先确定其业务范围,然后根据该业务范围确定该用户的数据管辖范围,进而将该数据管辖范围与该用户进行直接或间接的关联。
当然,对于该RDBAC模型中,用户也需要预先与角色进行关联,从而通过与角色的关联来实现用户与权限之间的关联。对于用户与角色关联的方式,比如可以是先获取该用户的所属企业、所属部门以及职级,然后根据该用户的所属企业、所属部门以及职级,从角色库中选取出角色,其中,所选取出的角色关联有对应的权限,然后将所选取出的角色与该用户进行关联。其中,该角色库中预先存储有多个角色,各个角色分别关联有对应的权限,因此可以根据用户的所属企业、所属部门以及职级,从该角色库中选取出某一个或多个角色,进而将所选取出的角色与该用户进行关联即可。
另外需要说明的是,在角色库中虽然预先存储有多个角色,但这些角色可能均不适用于该用户,因此在实际应用中,还可以创建新的角色,并将该新的角色与用户进行关联。因此,该方法还可以包括获取用户的所属企业、所属部门以及职级,然后根据该用户的所属企业、所属部门以及职级,创建出新的角色,并向该新的角色分配对应的权限,然后将所创建出的新的角色与该用户进行关联。
该创建新的角色并与用户进行关联的方式,相对于从角色库中选取出角色与用户进行关联的方式,通常效率相对较低,因此往往是在角色库中并没有适合于该用户的角色时,才会创建出新的角色并与用户进行关联。当然,在创建出新的角色之后,还可以将该新的角色也存储至角色库中,从而便于后续对该新的角色的调用。
具体来说,比如管理员可以在配置页面创建新的角色,并向该新的角色分配权限,以及将角色与用户进行关联。通常来说,该配置页面可以分为角色配置页面和用户管理页面,其中,管理员能够通过角色配置页面来创建新的角色,并为该新的角色分配权限;能够在用户管理页面来将角色与用户进行关联。
需要进一步说明的是,在本申请实施例中,上述的步骤S32根据该目标权限,对目标数据管辖范围的数据进行访问控制,其中,考虑到数据库中的数据量可能较多,此时为了便于对数据库中目标数据管辖范围的数据进行访问控制,可以在本申请实施例中的数据库设置数据管辖范围字段,该数据管辖范围字段的不同字段值,分别对应不同的数据管辖范围,比如,该数据管辖范围字段的字段值比如可以为药房1,该字段值对应的数据管辖范围为药房1的数据;该数据管辖范围字段的字段值比如还可以为药房2,该字段值对应的数据管辖范围为药房2的数据;该数据管辖范围字段的字段值比如还可以为海淀区药房,该字段值对应的数据管辖范围为海淀区药房的数据。
因此对于上述步骤S32的具体实现方式,比如可以先根据目标数据管辖范围所对应的字段值,从数据库中选取出目标数据管辖范围的数据,然后根据目标权限对该数据进行访问控制。
比如,用户A的目标数据管辖范围为海淀区药房的数据,此时可以根据该目标数据管辖范围所对应的,数据管辖范围字段的字段值,即海淀区药房,从该数据库中选取出海淀区药房的数据,比如可以利用数据管辖范围字段的字段值“海淀区药房”,作为筛选条件进行数据筛选,从而筛选出海淀区药房的数据,然后根据目标权限对该数据进行访问控制。
上述是对本申请实施例所提供的方法的具体说明,为了便于理解,这里可以结合目前的RBAC模型和本申请实施例中的RDBAC模型,对该方法进行进一步的说明。
在实际应用中,通过RBAC模型进行数据访问控制时,通常会创建五张表,分别为:用户表(sys_operator)、角色表(sys_role)、权限表(sys_resource)、用户与角色的关联数据表(sys_operator_role)以及角色与权限的关联数据表(sys_role_resource)。其中,sys_operator用于记录用户;sys_role用于记录角色,在实际应用中,该sys_role通常可以作为角色库;sys_resource用于记录各种权限;sys_operator_role用于记录用户与角色之间的关联关系,比如能够通过该sys_operator_role记录用户A所关联的角色;sys_role_resource用于记录角色与权限之间的关联关系,比如能够通过该sys_role_resource记录角色1所关联的权限。
此时针对某个用户,可以通过该sys_operator查询得到该用户的标识,进而通过sys_operator_role查询得到该用户所关联的角色,进而通过sys_role_resource查询得到各个角色关联的权限,从而得打该用户所关联的权限,进而根据该权限进行数据的访问控制。在该过程中,并没有对该用户的数据管辖范围进行划分,因此该用户往往能够访问数据库中的全部数据。
而本申请实施例所提供的RDBAC模型,在上述五张表的基础上,进一步增加了数据管辖范围记录表,此时结合图4和图5两种RDBAC模型的结构,该数据管辖范围记录表可以直接与用户进行关联,从而能够通过用户的标识直接查询该数据管辖范围记录表,得到用户的数据管辖范围;该数据管辖范围记录表也可以与角色进行关联,从而先通过用户来关联角色,然后在通过角色来查询该数据管辖范围记录表,得到用户的数据管辖范围。当然,针对数据库中的数据,还设置了数据管辖范围字段,该数据管辖范围字段的不同字段值,分别对应不同的数据管辖范围。因此,基于该RDBAC模型,本申请实施例所提供的方法能够获取用户所关联的目标权限和目标数据管辖范围,进而根据该目标权限对目标数据管辖范围的数据进行访问控制,从而限制了用户对数据库中全部数据的访问,提高了安全性。
基于与本申请实施例所提供的数据访问控制方法相同的发明构思,本申请实施例还提供了一种数据访问控制装置,对于该装置实施例中的具体内容,如有不清楚之处,可以参考上述方法中的相关内容。如图6所示,该装置60包括获取单元601和访问控制单元602,其中:
获取单元601,用于获取用户所关联的目标权限以及目标数据管辖范围;
访问控制单元602,用于根据所述目标权限,对所述目标数据管辖范围的数据进行访问控制。
采用本申请实施例所提供的通装置60,由于该装置60采用与本申请实施例所提供的数据访问控制方法相同的发明构思,在该方法能够解决技术问题的前提下,该装置60也能够解决技术问题,这里对此不再赘述。
其中,获取单元601可以具体包括获取子单元,用于获取所述用户所关联的角色;获取所述角色所关联的数据管辖范围,作为所述目标数据管辖范围;以及,获取所述角色所关联的权限,作为所述目标权限。
该装置60还可以包括数据管辖范围与角色关联单元,用于预先根据所述用户的业务范围,确定所述目标数据管辖范围,并将所述目标数据管辖范围与所述用户所关联的角色进行关联。
该装置60还可以包括角色与用户第一关联单元,用于获取所述用户的所属企业、所属部门以及职级;根据所述用户的所属企业、所属部门以及职级,从角色库中选取出角色,其中,所选取出的所述角色关联有对应的权限;将所选取出的所述角色与所述用户进行关联。
该装置60还可以包括角色与用户第二关联单元,用于获取所述用户的所属企业、所属部门以及职级;根据所述用户的所属企业、所属部门以及职级,创建出新的角色,并向所述新的角色分配对应的权限;将所创建出的所述新的角色与所述用户进行关联。
数据库设有数据管辖范围字段,其中,所述数据管辖范围字段的不同字段值,分别对应不同的数据管辖范围;以及,访问控制单元602还可以包括访问控制子单元602,用于根据所述目标数据管辖范围所对应的字段值,从所述数据库中选取出所述目标数据管辖范围的数据;根据所述目标权限对所述数据进行展示。
基于与本申请实施例所提供的数据访问控制方法相同的发明构思,本申请实施例还提供了一种数据访问控制装置,对于该装置实施例中的具体内容,如有不清楚之处,可以参考上述方法中的相关内容。如图7所示,该装置70包括数据管辖范围确定单元701和关联单元702,其中:
数据管辖范围确定单元701,用于根据用户的业务范围,确定目标数据管辖范围;
关联单元702,用于将所述目标数据管辖范围与所述用户进行关联,以使得能够根据所述用户所关联的目标权限,对所述目标数据管辖范围的数据进行访问控制。
采用本申请实施例所提供的通装置70,显然也能够解决技术问题,这里对此不再赘述。
其中,该关联单元702可以具体包括关联子单元,用于将所述目标数据管辖范围与所述用户所关联的角色进行关联。
本申请实施例还提供了一种计算机程序产品,该程序产品被存储在存储介质中,该程序产品被至少一个处理器执行以实现本申请实施例所提供的训练方法的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供了一种存储介质,包括:程序,当其在电子设备上运行时,使得电子设备可执行上述实施例中方法的全部或部分流程。其中,存储介质可为磁盘、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等。存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种数据访问控制方法,其特征在于,包括:
获取用户所关联的目标权限以及目标数据管辖范围;
根据所述目标权限,对所述目标数据管辖范围的数据进行访问控制。
2.根据权利要求1所述的方法,其特征在于,获取用户所关联的目标权限以及目标数据管辖范围,具体包括:
获取所述用户所关联的角色;
获取所述角色所关联的数据管辖范围,作为所述目标数据管辖范围;以及,获取所述角色所关联的权限,作为所述目标权限。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
预先根据所述用户的业务范围,确定所述目标数据管辖范围,并将所述目标数据管辖范围与所述用户所关联的角色进行关联。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
获取所述用户的所属企业、所属部门以及职级;
根据所述用户的所属企业、所属部门以及职级,从角色库中选取出角色,其中,所选取出的所述角色关联有对应的权限;
将所选取出的所述角色与所述用户进行关联。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
获取所述用户的所属企业、所属部门以及职级;
根据所述用户的所属企业、所属部门以及职级,创建出新的角色,并向所述新的角色分配对应的权限;
将所创建出的所述新的角色与所述用户进行关联。
6.根据权利要求1所述的方法,其特征在于,数据库设有数据管辖范围字段,其中,所述数据管辖范围字段的不同字段值,分别对应不同的数据管辖范围;以及,
根据所述目标权限,对所述目标数据管辖范围的数据进行展示,具体包括:
根据所述目标数据管辖范围所对应的字段值,从所述数据库中选取出所述目标数据管辖范围的数据;
根据所述目标权限对所述数据进行展示。
7.一种数据访问控制方法,其特征在于,包括:
根据用户的业务范围,确定目标数据管辖范围;
将所述目标数据管辖范围与所述用户进行关联,以使得能够根据所述用户所关联的目标权限,对所述目标数据管辖范围的数据进行访问控制。
8.根据权利要求6所述的方法,其特征在于,将所述目标数据管辖范围与所述用户进行关联,具体包括:
将所述目标数据管辖范围与所述用户所关联的角色进行关联。
9.一种电子设备,其特征在于,包括:
存储器,用以存储计算机程序;
处理器,用以执行如权利要求1至8中任一项所述的方法。
10.一种存储介质,其特征在于,包括:程序,当其在电子设备上运行时,使得电子设备可执行如权利要求1至8中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311579956.7A CN117556396A (zh) | 2023-11-23 | 2023-11-23 | 数据访问控制方法、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311579956.7A CN117556396A (zh) | 2023-11-23 | 2023-11-23 | 数据访问控制方法、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117556396A true CN117556396A (zh) | 2024-02-13 |
Family
ID=89816469
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311579956.7A Pending CN117556396A (zh) | 2023-11-23 | 2023-11-23 | 数据访问控制方法、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117556396A (zh) |
-
2023
- 2023-11-23 CN CN202311579956.7A patent/CN117556396A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9069788B2 (en) | Truncating data associated with objects in a multi-tenant database | |
US8402044B2 (en) | Systems and methods for secure access of data | |
US8166472B2 (en) | Installation utility system and method | |
CN112632919B (zh) | 一种文档编辑方法、装置、计算机设备和存储介质 | |
US8713207B2 (en) | Instrumenting configuration and system settings | |
CN112445392B (zh) | 组织权限处理方法、装置、电子设备和存储介质 | |
CN108288001B (zh) | 一种组织架构的构建方法及装置 | |
WO2020190545A1 (en) | Profile information layout customization in computer systems | |
CN111177698B (zh) | 门户系统的处理方法、装置及计算机设备 | |
US20210241215A1 (en) | Data processing systems for generating and populating a data inventory | |
CN106682180B (zh) | 数据查询方法及装置 | |
US11405381B2 (en) | Tag-based access permissions for cloud computing resources | |
CN117556396A (zh) | 数据访问控制方法、电子设备及存储介质 | |
US20230185961A1 (en) | Data blurring | |
CN105426780A (zh) | 应用于操作行为审计系统的分类审计方法及系统 | |
US20230195792A1 (en) | Database management methods and associated apparatus | |
US20230011522A1 (en) | Embedded dynamic user interface item segments | |
CN114254371A (zh) | 数据权限处理方法、装置及服务器 | |
WO2020258694A1 (zh) | 一种域名管理方法及系统 | |
CN111552956A (zh) | 一种用于后台管理的角色权限控制方法及装置 | |
EP3759665A1 (en) | Multi-dimensional organization of data for efficient analysis | |
CN115577381B (zh) | 行级数据访问方法、装置和电子设备 | |
CN117195297B (zh) | 基于erp的数据安全与隐私保护系统及方法 | |
CN118133316A (zh) | 一种权限处理方法、装置、设备及可读存储介质 | |
US20230066677A1 (en) | Sensitivity-based database processing and distributed storage |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |