国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      數(shù)據(jù)權限管理方法、數(shù)據(jù)權限管理系統(tǒng)以及業(yè)務管理系統(tǒng)的制作方法

      文檔序號:10553254閱讀:625來源:國知局
      數(shù)據(jù)權限管理方法、數(shù)據(jù)權限管理系統(tǒng)以及業(yè)務管理系統(tǒng)的制作方法
      【專利摘要】本發(fā)明公開了一種數(shù)據(jù)權限管理方法、數(shù)據(jù)權限管理系統(tǒng)以及業(yè)務管理系統(tǒng),涉及計算機技術領域。本發(fā)明的方法包括:數(shù)據(jù)權限管理系統(tǒng)接收業(yè)務系統(tǒng)攔截的用戶的數(shù)據(jù)訪問請求;通過解析數(shù)據(jù)訪問請求獲取用戶欲訪問的對象;從權限配置信息查找用戶對欲訪問的對象的訪問權限信息;將訪問權限信息與數(shù)據(jù)訪問請求進行合并,并返回至業(yè)務系統(tǒng),以便業(yè)務系統(tǒng)繼續(xù)處理帶有訪問權限信息的數(shù)據(jù)訪問請求。本發(fā)明實現(xiàn)了數(shù)據(jù)權限管理系統(tǒng)對各個業(yè)務系統(tǒng)的數(shù)據(jù)權限的統(tǒng)一和集中管理,便于管理和維護。
      【專利說明】
      數(shù)據(jù)權限管理方法、數(shù)據(jù)權限管理系統(tǒng)以及業(yè)務管理系統(tǒng)
      技術領域
      [0001] 本發(fā)明涉及計算機技術領域,特別涉及一種數(shù)據(jù)權限管理方法、數(shù)據(jù)權限管理系 統(tǒng)以及業(yè)務管理系統(tǒng)。
      【背景技術】
      [0002] 權限管理,一般指根據(jù)系統(tǒng)設置的安全規(guī)則或者安全策略,用戶可以訪問而且只 能訪問自己被授權的資源。權限管理分為兩大類,功能級權限控制和數(shù)據(jù)級權限控制,其 中,數(shù)據(jù)權限解決的是主體能對哪些數(shù)據(jù)進行操作的問題,例如,用戶只能查看本人的所有 訂單信息而不能查看其他人的訂單信息。
      [0003] 不同業(yè)務系統(tǒng)支持的數(shù)據(jù)庫類型可能不同,例如多個業(yè)務系統(tǒng)分別支持Oracle、 Mysql、SQL server等,甚至一些業(yè)務系統(tǒng)支持非關系型數(shù)據(jù)庫進行數(shù)據(jù)存儲。這種數(shù)據(jù)庫 的差異性和個性化導致每個業(yè)務系統(tǒng)對于數(shù)據(jù)權限的控制都需要自己處理,管理和維護比 較困難。例如,以硬編碼方式實現(xiàn)的業(yè)務系統(tǒng)的數(shù)據(jù)權限管理,數(shù)據(jù)權限管理邏輯以if/ else等形式與本系統(tǒng)的業(yè)務邏輯耦合在一起,每個業(yè)務系統(tǒng)都需要單獨實現(xiàn)本系統(tǒng)的數(shù)據(jù) 權限管理邏輯,管理和維護比較困難。

      【發(fā)明內(nèi)容】

      [0004] 本發(fā)明所要解決的其中一個技術問題是:如何實現(xiàn)各個業(yè)務系統(tǒng)的數(shù)據(jù)權限的統(tǒng) 一管理,以降低管理和維護的難度。
      [0005] 根據(jù)本發(fā)明的一個方面,提供的一種數(shù)據(jù)權限管理方法,包括:數(shù)據(jù)權限管理系統(tǒng) 接收業(yè)務系統(tǒng)攔截的用戶的數(shù)據(jù)訪問請求;數(shù)據(jù)權限管理系統(tǒng)通過解析數(shù)據(jù)訪問請求獲取 用戶欲訪問的對象;數(shù)據(jù)權限管理系統(tǒng)從權限配置信息查找用戶對欲訪問的對象的訪問權 限信息;數(shù)據(jù)權限管理系統(tǒng)將訪問權限信息與數(shù)據(jù)訪問請求進行合并,并返回至業(yè)務系統(tǒng), 以便業(yè)務系統(tǒng)繼續(xù)處理帶有訪問權限信息的數(shù)據(jù)訪問請求。
      [0006] 在一個實施例中,數(shù)據(jù)權限管理系統(tǒng)從權限配置信息查找用戶對欲訪問的對象的 訪問權限信息包括:數(shù)據(jù)權限管理系統(tǒng)從權限配置信息查找欲訪問的對象對應的權限配置 列表,權限配置列表包括權限分配對象、權限類型和權限表達式;數(shù)據(jù)權限管理系統(tǒng)在權限 配置列表的權限分配對象中查找到用戶,如果數(shù)據(jù)訪問請求中包含的用戶操作與權限配置 列表中該用戶已配置的權限類型匹配,則從權限配置列表中提取用戶對應的權限表達式。
      [0007] 在一個實施例中,數(shù)據(jù)權限管理方法還包括:數(shù)據(jù)權限管理系統(tǒng)采集業(yè)務系統(tǒng)的 數(shù)據(jù)庫信息;數(shù)據(jù)權限管理系統(tǒng)根據(jù)業(yè)務系統(tǒng)的數(shù)據(jù)庫信息從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取權限 配置相關的元數(shù)據(jù)信息;數(shù)據(jù)權限管理系統(tǒng)根據(jù)抓取的元數(shù)據(jù)信息進行權限配置以形成權 限配置信息。
      [0008] 在一個實施例中,數(shù)據(jù)權限管理系統(tǒng)采集的業(yè)務系統(tǒng)的數(shù)據(jù)庫信息包括數(shù)據(jù)庫類 型和數(shù)據(jù)庫連接串;數(shù)據(jù)權限管理系統(tǒng)根據(jù)業(yè)務系統(tǒng)的數(shù)據(jù)庫信息從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓 取權限配置相關的元數(shù)據(jù)信息包括:數(shù)據(jù)權限管理系統(tǒng)根據(jù)數(shù)據(jù)庫連接串連接到業(yè)務系統(tǒng) 的數(shù)據(jù)庫,并且根據(jù)數(shù)據(jù)庫類型從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取權限配置相關且與數(shù)據(jù)庫類型對 應的元數(shù)據(jù)信息,其中,元數(shù)據(jù)信息包括被訪問對象信息及其屬性信息。
      [0009] 在一個實施例中,元數(shù)據(jù)信息包括被訪問對象信息及其屬性信息;數(shù)據(jù)權限管理 系統(tǒng)根據(jù)抓取的元數(shù)據(jù)信息進行權限配置包括:數(shù)據(jù)權限管理系統(tǒng)為被訪問對象配置權限 配置列表,并根據(jù)被訪問對象的屬性信息對其權限配置列表中的權限分配對象、權限類型 和權限表達式進行配置以形成權限配置信息。
      [0010] 在一個實施例中,業(yè)務系統(tǒng)根據(jù)設置的系統(tǒng)過濾標識判斷本業(yè)務系統(tǒng)是否需要進 行數(shù)據(jù)訪問過濾,如果需要,則對用戶的數(shù)據(jù)訪問請求進行攔截;或者,業(yè)務系統(tǒng)攔截用戶 的數(shù)據(jù)訪問請求后,根據(jù)設置的對象過濾標識判斷用戶欲訪問的對象是否需要進行數(shù)據(jù)訪 問過濾,如果需要進行數(shù)據(jù)訪問過濾,則向數(shù)據(jù)權限管理系統(tǒng)發(fā)送數(shù)據(jù)訪問請求。
      [0011]根據(jù)本發(fā)明的第二個方面,提供的一種數(shù)據(jù)權限管理方法,包括:數(shù)據(jù)權限管理系 統(tǒng)采集業(yè)務系統(tǒng)的數(shù)據(jù)庫信息;數(shù)據(jù)權限管理系統(tǒng)根據(jù)業(yè)務系統(tǒng)的數(shù)據(jù)庫信息從業(yè)務系統(tǒng) 的數(shù)據(jù)庫抓取權限配置相關的元數(shù)據(jù)信息;數(shù)據(jù)權限管理系統(tǒng)根據(jù)抓取的元數(shù)據(jù)信息進行 權限配置以形成權限配置信息。
      [0012] 在一個實施例中,數(shù)據(jù)權限管理系統(tǒng)采集的業(yè)務系統(tǒng)的數(shù)據(jù)庫信息包括數(shù)據(jù)庫類 型和數(shù)據(jù)庫連接串;數(shù)據(jù)權限管理系統(tǒng)根據(jù)業(yè)務系統(tǒng)的數(shù)據(jù)庫信息從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓 取權限配置相關的元數(shù)據(jù)信息包括:數(shù)據(jù)權限管理系統(tǒng)根據(jù)數(shù)據(jù)庫連接串連接到業(yè)務系統(tǒng) 的數(shù)據(jù)庫,并且根據(jù)數(shù)據(jù)庫類型從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取權限配置相關且與數(shù)據(jù)庫類型對 應的元數(shù)據(jù)信息,其中,元數(shù)據(jù)信息包括被訪問對象信息及其屬性信息。
      [0013] 在一個實施例中,元數(shù)據(jù)信息包括被訪問對象及其屬性信息;數(shù)據(jù)權限管理系統(tǒng) 根據(jù)抓取的元數(shù)據(jù)信息進行權限配置包括:數(shù)據(jù)權限管理系統(tǒng)為被訪問對象配置權限配置 列表,并根據(jù)被訪問對象的屬性信息對其權限配置列表中的權限分配對象、權限類型和權 限表達式進行配置以形成權限配置信息。
      [0014] 根據(jù)本發(fā)明的第三個方面,提供的一種數(shù)據(jù)權限管理系統(tǒng),包括:數(shù)據(jù)訪問過濾模 塊,和/或,數(shù)據(jù)權限配置模塊;數(shù)據(jù)訪問過濾模塊包括:數(shù)據(jù)訪問請求接收單元,用于接收 業(yè)務系統(tǒng)攔截的用戶的數(shù)據(jù)訪問請求;數(shù)據(jù)訪問請求解析單元,用于通過解析數(shù)據(jù)訪問請 求獲取用戶欲訪問的對象;權限信息獲取單元,用于從權限配置信息查找用戶對欲訪問的 對象的訪問權限信息;權限信息處理單元,用于將訪問權限信息與數(shù)據(jù)訪問請求進行合并, 并返回至業(yè)務系統(tǒng),以便業(yè)務系統(tǒng)繼續(xù)處理帶有訪問權限信息的數(shù)據(jù)訪問請求;數(shù)據(jù)權限 配置模塊包括:業(yè)務系統(tǒng)管理單元,用于采集業(yè)務系統(tǒng)的數(shù)據(jù)庫信息;元數(shù)據(jù)抓取單元,用 于根據(jù)業(yè)務系統(tǒng)的數(shù)據(jù)庫信息從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取權限配置相關的元數(shù)據(jù)信息;權限 配置單元,用于根據(jù)抓取的元數(shù)據(jù)信息進行權限配置以形成權限配置信息。
      [0015] 在一個實施例中,權限信息獲取單元,用于從權限配置信息查找欲訪問的對象對 應的權限配置列表,權限配置列表包括權限分配對象、權限類型和權限表達式;在權限配置 列表的權限分配對象中查找到用戶,如果數(shù)據(jù)訪問請求中包含的用戶操作與權限配置列表 中該用戶已配置的權限類型匹配,則從權限配置列表中提取用戶對應的權限表達式。
      [0016] 在一個實施例中,業(yè)務系統(tǒng)管理單元采集的業(yè)務系統(tǒng)的數(shù)據(jù)庫信息包括數(shù)據(jù)庫類 型和數(shù)據(jù)庫連接串;元數(shù)據(jù)抓取單元,用于根據(jù)數(shù)據(jù)庫連接串連接到業(yè)務系統(tǒng)的數(shù)據(jù)庫,并 且根據(jù)數(shù)據(jù)庫類型從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取權限配置相關且與數(shù)據(jù)庫類型對應的元數(shù)據(jù) 信息,其中,元數(shù)據(jù)信息包括被訪問對象信息及其屬性信息。
      [0017] 在一個實施例中,元數(shù)據(jù)信息包括被訪問對象信息及其屬性信息;權限配置單元, 用于為被訪問對象配置權限配置列表,并根據(jù)被訪問對象的屬性信息對其權限配置列表中 的權限分配對象、權限類型和權限表達式進行配置以形成權限配置信息。
      [0018] 根據(jù)本發(fā)明的第四個方面,提供的一種業(yè)務管理系統(tǒng),包括:業(yè)務系統(tǒng)以及前述第 三方面中任一個實施例中數(shù)據(jù)權限管理系統(tǒng),業(yè)務系統(tǒng),用于對用戶的數(shù)據(jù)訪問請求進行 攔截,將攔截的用戶的數(shù)據(jù)訪問請求發(fā)送至數(shù)據(jù)權限管理系統(tǒng),并接收數(shù)據(jù)權限管理系統(tǒng) 返回的帶有訪問權限信息的數(shù)據(jù)訪問請求繼續(xù)處理。
      [0019] 在一個實施例中,業(yè)務系統(tǒng),還用于根據(jù)設置的系統(tǒng)過濾標識判斷本業(yè)務系統(tǒng)是 否需要進行數(shù)據(jù)訪問過濾,如果需要,則對用戶的數(shù)據(jù)訪問請求進行攔截;或者,攔截用戶 的數(shù)據(jù)訪問請求后,根據(jù)設置的對象過濾標識判斷用戶欲訪問的對象是否需要進行數(shù)據(jù)訪 問過濾,如果需要進行數(shù)據(jù)訪問過濾,則向數(shù)據(jù)權限管理系統(tǒng)發(fā)送數(shù)據(jù)訪問請求。
      [0020] 本發(fā)明實現(xiàn)了數(shù)據(jù)權限管理系統(tǒng)對各個業(yè)務系統(tǒng)的數(shù)據(jù)權限的統(tǒng)一和集中管理, 便于管理和維護。一方面,通過采集各個業(yè)務系統(tǒng)的數(shù)據(jù)庫信息,并依據(jù)采集的信息從業(yè)務 系統(tǒng)的數(shù)據(jù)庫抓取權限配置相關的元數(shù)據(jù)信息,然后根據(jù)抓取的信息進行權限配置,實現(xiàn) 了數(shù)據(jù)權限管理系統(tǒng)對各個業(yè)務系統(tǒng)的數(shù)據(jù)權限的統(tǒng)一和集中配置。另一方面,各個業(yè)務 系統(tǒng)攔截的用戶的數(shù)據(jù)訪問請求均發(fā)送到數(shù)據(jù)權限管理系統(tǒng),由數(shù)據(jù)權限管理系統(tǒng)基于權 限配置信息統(tǒng)一對各個業(yè)務系統(tǒng)進行訪問控制。此外,該集中管理模式還能夠快速響應業(yè) 務系統(tǒng)組織架構的變化和調(diào)整,實現(xiàn)數(shù)據(jù)權限的靈活管理。
      [0021] 通過以下參照附圖對本發(fā)明的示例性實施例的詳細描述,本發(fā)明的其它特征及其 優(yōu)點將會變得清楚。
      【附圖說明】
      [0022] 為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn) 有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以 根據(jù)這些附圖獲得其他的附圖。
      [0023]圖1示出本發(fā)明的一個實施例的業(yè)務管理系統(tǒng)的結(jié)構示意圖。
      [0024] 圖2示出本發(fā)明的一個實施例的數(shù)據(jù)權限管理方法的數(shù)據(jù)權限配置過程的流程示 意圖。
      [0025] 圖3示出本發(fā)明的一個實施例的關系型數(shù)據(jù)庫和非關系型數(shù)據(jù)庫的對比示意圖。
      [0026] 圖4示出本發(fā)明的一個實施例的元數(shù)據(jù)抓取的統(tǒng)一建模語言類圖。
      [0027]圖5示出本發(fā)明的一個實施例的數(shù)據(jù)權限管理方法的數(shù)據(jù)訪問過濾過程的流程示 意圖。
      [0028] 圖6示出本發(fā)明的一個實施例的數(shù)據(jù)權限管理系統(tǒng)的結(jié)構示意圖。
      [0029] 圖7示出本發(fā)明的一個實施例的數(shù)據(jù)權限管理系統(tǒng)進行數(shù)據(jù)權限配置的工作流程 示意圖。
      [0030] 圖8示出本發(fā)明的另一個實施例的數(shù)據(jù)權限管理系統(tǒng)的結(jié)構示意圖。
      【具體實施方式】
      [0031] 下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完 整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例。以下 對至少一個示例性實施例的描述實際上僅僅是說明性的,決不作為對本發(fā)明及其應用或使 用的任何限制?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提 下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
      [0032] 為了實現(xiàn)各個業(yè)務系統(tǒng)的數(shù)據(jù)權限的統(tǒng)一管理,提出本方案。
      [0033] 圖1是本發(fā)明業(yè)務管理系統(tǒng)的一個實施例的結(jié)構示意圖。下面結(jié)合圖1對本發(fā)明的 業(yè)務管理系統(tǒng)的結(jié)構進行描述。
      [0034]如圖1所示,業(yè)務管理系統(tǒng)包括數(shù)據(jù)權限管理系統(tǒng)和業(yè)務系統(tǒng)1、業(yè)務系統(tǒng)2……和 業(yè)務系統(tǒng)n。每個業(yè)務系統(tǒng)通過其數(shù)據(jù)庫實現(xiàn)本系統(tǒng)內(nèi)的數(shù)據(jù)存儲。各個業(yè)務系統(tǒng)支持的數(shù) 據(jù)庫類型可以是相同的,也可以是不同的。每個業(yè)務系統(tǒng)可以支持一種或多種數(shù)據(jù)庫類型。 數(shù)據(jù)權限管理系統(tǒng)對各個業(yè)務系統(tǒng)的數(shù)據(jù)權限進行統(tǒng)一管理。其中,數(shù)據(jù)權限統(tǒng)一管理方 法包括對各個業(yè)務系統(tǒng)進行統(tǒng)一的數(shù)據(jù)權限配置的過程以及數(shù)據(jù)訪問過濾過程。下面分別 描述對各個業(yè)務系統(tǒng)進行統(tǒng)一數(shù)據(jù)權限配置的過程以及數(shù)據(jù)訪問過濾過程的實施例。
      [0035]下面結(jié)合圖2描述數(shù)據(jù)權限管理系統(tǒng)對各個業(yè)務系統(tǒng)進行統(tǒng)一的數(shù)據(jù)權限配置的 過程。
      [0036]圖2為本發(fā)明數(shù)據(jù)權限管理方法的數(shù)據(jù)權限配置過程一個實施例的流程圖。如圖2 所示,該實施例的方法包括:
      [0037]步驟S202,數(shù)據(jù)權限管理系統(tǒng)需要把各個業(yè)務系統(tǒng)管理起來,采集各個業(yè)務系統(tǒng) 的數(shù)據(jù)庫信息。
      [0038]其中,數(shù)據(jù)權限管理系統(tǒng)采集的業(yè)務系統(tǒng)的數(shù)據(jù)庫信息包括數(shù)據(jù)庫類型和數(shù)據(jù)庫 連接串,還可以包括例如業(yè)務系統(tǒng)名稱、業(yè)務系統(tǒng)編碼、數(shù)據(jù)存儲方式(關系型數(shù)據(jù)庫、非關 系型數(shù)據(jù)庫)等,參考表1中所示。表1為數(shù)據(jù)權限管理系統(tǒng)采集的各個業(yè)務系統(tǒng)的數(shù)據(jù)庫信 息的示例。其中,數(shù)據(jù)權限管理系統(tǒng)通過數(shù)據(jù)庫連接串連接到相應的數(shù)據(jù)庫,根據(jù)數(shù)據(jù)庫類 型從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取對應的元數(shù)據(jù)信息以及根據(jù)數(shù)據(jù)庫類型對業(yè)務系統(tǒng)進行數(shù)據(jù) 權限配置。針對關系型和非關系型數(shù)據(jù)庫,需要分別設置不同的連接方式連接到數(shù)據(jù)庫,例 如,關系型數(shù)據(jù)庫可以通過JDBC(Java Data Base Connectivity,Java數(shù)據(jù)庫連接)方式連 接,而非關系型數(shù)據(jù)庫則需要針對具體的數(shù)據(jù)庫類型個性化編寫連接程序。
      [0040] 表 1
      [0041] 步驟S204,數(shù)據(jù)權限管理系統(tǒng)根據(jù)業(yè)務系統(tǒng)的數(shù)據(jù)庫信息從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓 取權限配置相關的元數(shù)據(jù)信息。
      [0042] 在一個實施例中,數(shù)據(jù)權限管理系統(tǒng)根據(jù)數(shù)據(jù)庫連接串連接到業(yè)務系統(tǒng)的數(shù)據(jù) 庫,并且根據(jù)數(shù)據(jù)庫類型從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取權限配置相關且與數(shù)據(jù)庫類型對應的元 數(shù)據(jù)信息。
      [0043] 不同的數(shù)據(jù)存儲方式對應的元數(shù)據(jù)也不相同。如圖3中所示,以關系型數(shù)據(jù)庫和非 關系型數(shù)據(jù)庫MongoDB為例,關系型數(shù)據(jù)庫中抓取數(shù)據(jù)庫(Database)信息、數(shù)據(jù)表(Table) 信息和行信息。非關系型數(shù)據(jù)庫MongoDB中抓取數(shù)據(jù)庫(Database)信息、集合(Col lection) 信息和文檔(Do cument)信息。關系型數(shù)據(jù)庫中的數(shù)據(jù)表(Tab 1 e)信息相當于MongoDB中的集 合(Col lection)信息,關系型數(shù)據(jù)庫中的行信息相當于MongoDB中的文檔(Document)信息。 抓取的元數(shù)據(jù)信息可以返回給數(shù)據(jù)權限配置界面供權限管理人員在進行權限配置時進行 選擇,例如權限管理人員在數(shù)據(jù)權限配置界面通過下拉菜單等形式選擇數(shù)據(jù)庫、數(shù)據(jù)集、 表、列等信息。
      [0044] 抓取的元數(shù)據(jù)信息主要用于后續(xù)的權限配置過程,因此,抓取的元數(shù)據(jù)信息主要 包括被訪問對象信息及其屬性信息。如果是關系型數(shù)據(jù)庫,數(shù)據(jù)權限管理系統(tǒng)從業(yè)務系統(tǒng) 的數(shù)據(jù)庫抓取權限配置相關的業(yè)務表信息及其字段信息;如果是非關系型數(shù)據(jù)庫,數(shù)據(jù)權 限管理系統(tǒng)從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取權限配置相關的集合信息和鍵值(KEY)信息。其中,業(yè) 務表信息例如包括表名,字段信息例如包括字段,如果該字段與數(shù)字相關(例如,字段為金 額,該列存儲具體的數(shù)字),字段信息還可以包括精確度和小數(shù)位數(shù)等信息。同理,集合信息 例如包括集合名,鍵值信息例如包括鍵值,如果該鍵值與數(shù)字相關,鍵值信息還可以包括精 確度和小數(shù)位數(shù)等。
      [0045] 基于上述數(shù)據(jù)權限管理系統(tǒng)從業(yè)務系統(tǒng)抓取元數(shù)據(jù)信息的方法,顯然,除了可以 抓取被訪問對象信息及其屬性信息,還可以根據(jù)不同的需求抓取其他的元數(shù)據(jù)信息。抓取 的元數(shù)據(jù)信息例如可以包括以下幾類,以關系型數(shù)據(jù)庫為例:
      [0046] Database(數(shù)據(jù)庫):可以抓取例如數(shù)據(jù)庫名稱、類型、版本等
      [0047] Schema(數(shù)據(jù)集):不同的關系型數(shù)據(jù)庫中數(shù)據(jù)集略微不同(例如,Orac 1 e: schema, MySQL: catalog,SQL Server: catalog? schema),可以抓取例如數(shù)據(jù)集的名稱、模式等。
      [0048] Table(數(shù)據(jù)表):可以抓取例如表名、類型、主鍵、外鍵、約束、觸發(fā)器、索引和權限 等。
      [0049] Column(列):可以抓取例如名稱、注釋、是否為null、精度、小數(shù)位數(shù)、默認值等。
      [0050] 下面結(jié)合圖4對元數(shù)據(jù)抓取的一個應用實施例進行描述。由于不同類型的數(shù)據(jù)庫 獲取元數(shù)據(jù)的方式以及連接到數(shù)據(jù)庫的方式不同,為了更好地進行擴展以便更好地適應數(shù) 據(jù)庫的類型更新,可以采取策略模式來實現(xiàn)不同數(shù)據(jù)庫的元數(shù)據(jù)的抓取。如圖4中所示, "MysqlDataSource"、"OracleDataSource"等都是包含實現(xiàn)獲取數(shù)據(jù)庫連接串函數(shù)的類,可 以根據(jù)需要連接的數(shù)據(jù)庫類型選擇對應的類。同理,"MysqlMetaCrawler"、 "OracleMetaCrawler"都是包含實現(xiàn)元數(shù)據(jù)抓取函數(shù)的類,可以根據(jù)需要抓取元數(shù)據(jù)類型 的數(shù)據(jù)庫類型選擇對應的類。元數(shù)據(jù)抓取的邏輯實現(xiàn)如下:MetaLoader是整個抓取邏輯的 主入口,通過實例化具體的數(shù)據(jù)源對MetaLoader進行實例化,例如,MetaLoader ml =new MetaLoaderlmpl(MysqlDataSource),從而獲取Mysql數(shù)據(jù)庫的連接串并進行數(shù)據(jù)連接。然 后通過16七3&^¥16沖3(:1:0巧創(chuàng)建具體的元數(shù)據(jù)抓取實例,如1^89]^6七3&^¥161',具體的,通 過創(chuàng)建的MetaCrawler實例AbstractMetaCrawler去獲取該數(shù)據(jù)源下的數(shù)據(jù)表信息或者集 合信息,以及表的字段信息或者鍵值信息,例如,關系型數(shù)據(jù)庫一般通過DatabaseMetaData 對象去獲取這些元數(shù)據(jù),非關系型數(shù)據(jù)庫可以去做定制開發(fā)。然后,MetaCrawler返回抓取 的元數(shù)據(jù)信息給MetaLoader,完成元數(shù)據(jù)抓取過程。
      [0051]步驟S206,數(shù)據(jù)權限管理系統(tǒng)根據(jù)抓取的元數(shù)據(jù)信息進行權限配置以形成權限配 置信息。
      [0052]在一個實施例中,數(shù)據(jù)權限管理系統(tǒng)為被訪問對象配置權限配置列表,并根據(jù)被 訪問對象的屬性信息對其權限配置列表中的權限分配對象、權限類型和權限表達式進行配 置以形成權限配置信息。
      [0053]下面結(jié)合表2示例性的說明數(shù)據(jù)權限配置過程。如表2所示,數(shù)據(jù)權限管理系統(tǒng)根 據(jù)權限管理員的發(fā)送的數(shù)據(jù)權限配置命令為需要進行權限配置的業(yè)務表或者集合生成一 個權限配置列表,權限配置列表中包括權限分配對象、權限類型和權限表達式,根據(jù)需要還 可以包括例如權限分配對象類型、權限表達式描述等,但不限于所舉示例。其中,權限分配 對象類型例如包括個人、角色、分組、職位、崗位或者部門等,還可以根據(jù)權限分配的粒度和 影響的人員范圍,按需劃分為不同的類型。權限分配對象例如包括:根據(jù)個人、角色、分組、 職位、崗位或者部門進行劃分的單個分配對象或集合型分配對象。例如表2中根據(jù)個人劃分 的單個分配對象張三,根據(jù)部門劃分的集合型分配對象財務部,包括財務部的所有員工。權 限類型例如包括查詢、修改、增加、刪除,但不限于所舉示例。優(yōu)選的,權限表達式可以根據(jù) 具體的數(shù)據(jù)庫類型對應的語法生成的具體操作語句,例如,如果是關系型數(shù)據(jù)庫生成的就 是SQL條件語句(格式:字段+操作符+條件值,m 〇ney>10000),如果是MongoDB生成的就是 1〇叫〇08語句(格式:字段名+ ":"+條件值,如{386:33})。如表2中所示,例如權限表達式 m〇ney>100000,數(shù)據(jù)權限管理系統(tǒng)生成該表達式時需要首先獲取字段money,然后根據(jù)權限 管理員的數(shù)據(jù)權限配置命令中的配置條件以及當前數(shù)據(jù)庫的語法規(guī)則生成m〇ney>100000 的權限表達式。權限配置列表也可以返回至數(shù)據(jù)權限配置界面以便權限管理員確認已配置 的權限信息,其中權限表達式描述一項便是為了便于權限管理員確認而設置的。
      [0055] 表 2
      [0056] 上述實施例的方法通過采集各個業(yè)務系統(tǒng)的數(shù)據(jù)庫信息,并依據(jù)采集的信息從業(yè) 務系統(tǒng)的數(shù)據(jù)庫抓取權限配置相關的元數(shù)據(jù)信息,然后根據(jù)抓取的信息進行權限配置,實 現(xiàn)了數(shù)據(jù)權限管理系統(tǒng)對各個業(yè)務系統(tǒng)的數(shù)據(jù)權限的統(tǒng)一和集中配置。便于對各個業(yè)務系 統(tǒng)管理和維護,還能夠快速響應業(yè)務系統(tǒng)組織架構的變化和調(diào)整,實現(xiàn)數(shù)據(jù)權限的靈活管 理。此外,一些比較復雜的數(shù)據(jù)權限配置管理數(shù)據(jù)權限管理系統(tǒng)也能夠?qū)崿F(xiàn)。
      [0057] 數(shù)據(jù)權限配置過程的一個應用實施例如下:權限管理員登陸數(shù)據(jù)權限管理系統(tǒng), 進入數(shù)據(jù)權限配置界面選擇需要配置的業(yè)務系統(tǒng)以及數(shù)據(jù)庫,數(shù)據(jù)權限管理系統(tǒng)根據(jù)已經(jīng) 采集的各個業(yè)務系統(tǒng)的數(shù)據(jù)庫信息,獲取數(shù)據(jù)庫連接串連接到該數(shù)據(jù)庫,并對該數(shù)據(jù)庫中 的所有業(yè)務表的表信息進行抓取,將表名顯示于數(shù)據(jù)權限配置界面供權限管理員選擇,權 限管理員選擇一個業(yè)務表,數(shù)據(jù)權限管理系統(tǒng)對該業(yè)務表中的字段信息進行抓取,將字段 顯示于數(shù)據(jù)權限配置界面供權限管理員選擇,權限管理員選擇字段并輸入配置條件,并通 過顯示界面選擇權限分配對象和權限類型,數(shù)據(jù)權限管理系統(tǒng)根據(jù)數(shù)據(jù)庫類型、字段信息 和配置條件生成權限表達式,并與權限分配對象和權限類型關聯(lián)生成一條權限配置信息寫 入該業(yè)務表的權限配置列表,完成數(shù)據(jù)權限配置過程。在該數(shù)據(jù)權限配置過程中,權限管理 員可以通過數(shù)據(jù)權限配置界面進行選擇,也可以直接輸入數(shù)據(jù)權限配置命令;數(shù)據(jù)權限管 理系統(tǒng)可以抓取元數(shù)據(jù)后進行顯示供權限管理員選擇,也可以在權限管理員選擇后再去抓 取相應的元數(shù)據(jù),只要是通過步驟202至步驟206中描述的方法實現(xiàn)對多個業(yè)務系統(tǒng)的數(shù)據(jù) 權限進行統(tǒng)一配置的過程都屬于本發(fā)明要保護的范圍。
      [0058] 從上述應用實施例可以看出,用戶通過操作界面進行簡單的操作即可對多個業(yè)務 系統(tǒng)進行統(tǒng)一的數(shù)據(jù)權限配置工作,容易學習,易于掌握。
      [0059]數(shù)據(jù)權限管理系統(tǒng)還可以基于權限配置信息對各個業(yè)務系統(tǒng)的用戶的數(shù)據(jù)訪問 請求進行數(shù)據(jù)訪問過濾,下面結(jié)合圖5描述該情形。其中,數(shù)據(jù)訪問過濾中應用的權限配置 信息可以采用前述實施例描述的配置方法得到,也可以采用其他配置方法得到。
      [0060] 圖5為本發(fā)明數(shù)據(jù)權限管理方法的數(shù)據(jù)訪問過濾過程一個實施例的流程圖。如圖5 所示,該實施例的方法包括:
      [0061] 步驟S502,用戶向業(yè)務系統(tǒng)發(fā)送數(shù)據(jù)訪問請求。
      [0062] 其中,所要訪問的業(yè)務系統(tǒng)可能支持不同的數(shù)據(jù)庫類型,因此數(shù)據(jù)訪問請求可以 是與不同數(shù)據(jù)庫對應的操作語句,例如,如果業(yè)務系統(tǒng)支持關系型數(shù)據(jù)庫,則數(shù)據(jù)訪問請求 可以為SQL語句,如果業(yè)務系統(tǒng)支持非關系型數(shù)據(jù)庫如MongoDB,則數(shù)據(jù)訪問請求可以為 MongoDB 語句。
      [0063] 步驟S503,業(yè)務系統(tǒng)根據(jù)設置的系統(tǒng)過濾標識判斷本業(yè)務系統(tǒng)是否需要進行數(shù)據(jù) 訪問過濾,如果需要進行數(shù)據(jù)訪問過濾,則執(zhí)行步驟S504,如果不需要,則直接執(zhí)行用戶的 數(shù)據(jù)訪問請求。
      [0064] 根據(jù)業(yè)務需要可以選擇性地設置系統(tǒng)過濾標識。通過設置系統(tǒng)過濾標識可以減少 業(yè)務系統(tǒng)與數(shù)據(jù)權限管理系統(tǒng)之間交互,提高系統(tǒng)效率。當然,也可以不在業(yè)務系統(tǒng)設置過 濾標識進行判斷,則可以減少對業(yè)務系統(tǒng)的改動。
      [0065]步驟S504,業(yè)務系統(tǒng)攔截用戶的數(shù)據(jù)訪問請求。
      [0066] 在一個實施例中,通過在業(yè)務系統(tǒng)配置攔截器對用戶的數(shù)據(jù)訪問請求進行攔截。
      [0067] -種攔截器的應用示例如下:以業(yè)務系統(tǒng)支持的數(shù)據(jù)庫類型的為關系型數(shù)據(jù)庫為 例,目前大部分支持關系型數(shù)據(jù)庫的業(yè)務系統(tǒng)都采用Spring MVC、Spring、Mybatis等框架, 并使用分層設計進行系統(tǒng)的構架設計,例如包括Controller(控制)層、Service(服務)層、 DA0(Data Access Object,數(shù)據(jù)訪問)層,可以在DA0層設置攔截器對數(shù)據(jù)庫操作語句進行 攔截。業(yè)務系統(tǒng)例如要對所有的SQL語句進行攔截,可以對框架的攔截器Interceptor進行 配置,指定要攔截的類對象、要攔截類的哪個方法和要攔截的方法參數(shù)集合,例如Mybatis 中用攔截器實現(xiàn)對所有SQL語句進行攔截的方式:Olntercepts ({OSignature (type = StatementHandler. class,method =''prepare",args = {Connection, class})}) 〇
      [0068]步驟S505,在業(yè)務系統(tǒng)設置對象過濾標識,業(yè)務系統(tǒng)攔截用戶的數(shù)據(jù)訪問請求后, 對數(shù)據(jù)訪問請求進行解析,獲取用戶欲訪問的業(yè)務表或者集合,并查看該業(yè)務表或者集合 的對象過濾標識,如果該業(yè)務表或者集合需要進行數(shù)據(jù)訪問過濾,則業(yè)務系統(tǒng)將攔截的數(shù) 據(jù)訪問請求發(fā)送至數(shù)據(jù)權限管理系統(tǒng),如果該業(yè)務表或者集合不需要進行數(shù)據(jù)訪問過濾, 則直接執(zhí)行用戶的數(shù)據(jù)訪問請求。
      [0069] 根據(jù)業(yè)務需要可以選擇性地設置對象過濾標識。通過設置對象過濾標識,可以減 少業(yè)務系統(tǒng)與數(shù)據(jù)權限管理系統(tǒng)之間交互,提高系統(tǒng)效率。當然,也可以不在業(yè)務系統(tǒng)設置 該過濾標識進行判斷,則可以減少對業(yè)務系統(tǒng)的改動。
      [0070] 步驟S506,業(yè)務系統(tǒng)將攔截的數(shù)據(jù)訪問請求發(fā)送至數(shù)據(jù)權限管理系統(tǒng),相應的,數(shù) 據(jù)權限管理系統(tǒng)接收業(yè)務系統(tǒng)攔截的用戶的數(shù)據(jù)訪問請求。
      [0071] 在一個實施例中,業(yè)務系統(tǒng)調(diào)用數(shù)據(jù)權限管理系統(tǒng)的接口將攔截的數(shù)據(jù)訪問請求 發(fā)送至數(shù)據(jù)權限管理系統(tǒng)。數(shù)據(jù)權限管理系統(tǒng)的接口例如可以是Web Service接口,但不限 于所舉示例。
      [0072] 根據(jù)安全需要,業(yè)務系統(tǒng)還可以選擇性地對傳輸?shù)男畔⑦M行簽名,數(shù)據(jù)權限管理 系統(tǒng)則相應的進行驗簽,以保證調(diào)用的合法性。根據(jù)安全需要,業(yè)務系統(tǒng)也可以選擇性地對 發(fā)送的數(shù)據(jù)訪問請求進行加密,數(shù)據(jù)權限管理系統(tǒng)則按照相應的解密方法進行解密,以保 證傳輸?shù)目煽啃?,避免?shù)據(jù)訪問請求在傳輸過程被更改。
      [0073]步驟S508,數(shù)據(jù)權限管理系統(tǒng)通過解析數(shù)據(jù)訪問請求獲取用戶欲訪問的對象。 [0074]其中,針對關系型數(shù)據(jù)庫,數(shù)據(jù)權限管理系統(tǒng)通過解析數(shù)據(jù)訪問請求可以獲知用 戶欲訪問的業(yè)務表的表名,對業(yè)務表的具體操作等信息;針對非關系型數(shù)據(jù)庫,數(shù)據(jù)權限管 理系統(tǒng)通過解析數(shù)據(jù)訪問請求可以獲知用戶欲訪問的集合名,對集合的具體操作等信息。 [0075]步驟S510,數(shù)據(jù)權限管理系統(tǒng)從權限配置信息查找用戶對欲訪問的對象的訪問權 限信息。
      [0076]在一個實施例中,數(shù)據(jù)權限管理系統(tǒng)從權限配置信息查找欲訪問的對象對應的權 限配置列表,權限配置列表包括權限分配對象、權限類型和權限表達式;數(shù)據(jù)權限管理系統(tǒng) 在權限配置列表的權限分配對象中查找到用戶,如果數(shù)據(jù)訪問請求中包含的用戶操作與權 限配置列表中該用戶已配置的權限類型匹配,則從權限配置列表中提取用戶對應的權限表 達式;如果匹配不成功,則表明該用戶沒有欲進行的操作的權限。
      [0077] 例如,數(shù)據(jù)權限管理系統(tǒng)通可以通過用戶ID等可以唯一標識該用戶的標識在權限 配置列表的權限分配對象中查找到用戶。此外,在權限分配對象中查找不到該用戶的情況 下可以根據(jù)系統(tǒng)的默認設置進行相應的處理。例如,如果用戶不在權限分配對象的范圍內(nèi), 可以默認設置該用戶的權限不受限制,則將數(shù)據(jù)訪問請求直接返回至業(yè)務系統(tǒng)執(zhí)行即可; 或者,也可以默認設置該用戶對該業(yè)務表沒有權限,因此不再將數(shù)據(jù)訪問請求返回至業(yè)務 系統(tǒng)執(zhí)行。
      [0078]步驟S512,數(shù)據(jù)權限管理系統(tǒng)將訪問權限信息與數(shù)據(jù)訪問請求進行合并,并返回 至業(yè)務系統(tǒng)。其中,合并后的數(shù)據(jù)訪問請求與業(yè)務系統(tǒng)的數(shù)據(jù)庫類型相適應。
      [0079]步驟S514,業(yè)務系統(tǒng)繼續(xù)處理帶有訪問權限信息的數(shù)據(jù)訪問請求。
      [0080]步驟S516,業(yè)務系統(tǒng)將處理后的結(jié)果返給用戶。
      [0081] 在上述實施例中,各個業(yè)務系統(tǒng)攔截的用戶的數(shù)據(jù)訪問請求均發(fā)送到數(shù)據(jù)權限管 理系統(tǒng),由數(shù)據(jù)權限管理系統(tǒng)基于權限配置信息統(tǒng)一對各個業(yè)務系統(tǒng)進行訪問控制。實現(xiàn) 了數(shù)據(jù)權限管理系統(tǒng)對各個業(yè)務系統(tǒng)的數(shù)據(jù)權限的統(tǒng)一和集中管理,便于管理和維護。此 外,該集中管理模式還能夠快速響應業(yè)務系統(tǒng)組織架構的變化和調(diào)整,實現(xiàn)數(shù)據(jù)權限的靈 活管理。
      [0082] 數(shù)據(jù)訪問過濾方法的一個應用實施例如下:用戶欲查詢訂單表中的金額大于 10000的訂單號及其對應的金額,用戶向業(yè)務系統(tǒng)發(fā)出數(shù)據(jù)訪問請求后轉(zhuǎn)換為SQL語句(假 設訂單表所在數(shù)據(jù)庫為關系型數(shù)據(jù)庫)為SELECT ORDER_ID,PRICE from Order where PRICE>100000。業(yè)務系統(tǒng)對該語句進行攔截后發(fā)送至數(shù)據(jù)權限管理系統(tǒng),數(shù)據(jù)權限管理系 統(tǒng)解析該語句獲知用戶欲操作的業(yè)務表為訂單表,則查找訂單表對應的權限配置列表,在 權限分配對象范圍內(nèi)匹配該用戶ID,獲得對應的權限類型為查詢,權限表達式為area = 0001(表示該用戶只能查看訂單區(qū)域為華北的訂單)。數(shù)據(jù)權限管理系統(tǒng)將權限表達式與用 戶的操作語句根據(jù)數(shù)據(jù)庫類型進行合并,得到SELECT 0RDER_ID,PRICE from Order where PRICE>100000and area='0001',并將合并后的語句返回至業(yè)務系統(tǒng)執(zhí)行,業(yè)務系統(tǒng)獲取 對應的業(yè)務數(shù)據(jù)返回給前段,則最終顯示在用戶面前的為訂單表中金額大于10000并且訂 單區(qū)域為華北的訂單號及其對應的金額。
      [0083]本發(fā)明還提供一種數(shù)據(jù)權限管理系統(tǒng),下面結(jié)合圖6對本發(fā)明的數(shù)據(jù)權限管理系 統(tǒng)的一個實施例進行描述。
      [0084]圖6為本發(fā)明數(shù)據(jù)權限管理系統(tǒng)一個實施例的結(jié)構圖。如圖6所示,該系統(tǒng)60包括: 數(shù)據(jù)權限配置模塊600,用于接收數(shù)據(jù)權限配置命令對各個業(yè)務系統(tǒng)的數(shù)據(jù)庫中業(yè)務表進 行數(shù)據(jù)權限配置。數(shù)據(jù)權限配置模塊600包括:
      [0085]業(yè)務系統(tǒng)管理單元602,用于采集業(yè)務系統(tǒng)的數(shù)據(jù)庫信息。
      [0086]其中,業(yè)務系統(tǒng)管理單元602采集的業(yè)務系統(tǒng)的數(shù)據(jù)庫信息包括數(shù)據(jù)庫類型和數(shù) 據(jù)庫連接串。
      [0087]元數(shù)據(jù)抓取單元604,用于根據(jù)業(yè)務系統(tǒng)的數(shù)據(jù)庫信息從該業(yè)務系統(tǒng)的數(shù)據(jù)庫抓 取權限配置相關的元數(shù)據(jù)信息。
      [0088]其中,元數(shù)據(jù)抓取單元604,用于根據(jù)數(shù)據(jù)庫連接串連接到業(yè)務系統(tǒng)的數(shù)據(jù)庫,并 且根據(jù)數(shù)據(jù)庫類型從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取權限配置相關且與數(shù)據(jù)庫類型對應的元數(shù)據(jù) 信息,其中,元數(shù)據(jù)信息包括被訪問對象信息及其屬性信息。由于關系型數(shù)據(jù)庫和非關系型 數(shù)據(jù)庫的元數(shù)據(jù)信息不同,因此,元數(shù)據(jù)抓取單元604,用于在業(yè)務系統(tǒng)的數(shù)據(jù)庫為關系型 數(shù)據(jù)庫的情況下,從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取權限配置相關的業(yè)務表信息及其字段信息;在 業(yè)務系統(tǒng)的數(shù)據(jù)庫為非關系型數(shù)據(jù)庫的情況下,從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取權限配置相關的 集合信息和鍵值信息。其中,業(yè)務表信息例如包括表名,字段信息例如包括字段,如果該字 段與數(shù)字相關(例如,字段為金額,該列存儲具體的數(shù)字),字段信息還可以包括精確度和小 數(shù)位數(shù)等。同理,集合信息例如包括集合名,鍵值信息例如包括鍵值,如果該鍵值與數(shù)字相 關,鍵值信息還可以包括精確度和小數(shù)位數(shù)等。
      [0089] 權限配置單元606,用于根據(jù)抓取的元數(shù)據(jù)信息進行權限配置以形成權限配置信 息。
      [0090] 其中,權限配置單元606,用于為被訪問對象配置權限配置列表,并根據(jù)被訪問對 象的屬性信息對其權限配置列表中的權限分配對象、權限類型和權限表達式進行配置以形 成權限配置信息。其中,權限分配對象例如包括:根據(jù)個人、角色、分組、職位、崗位或者部門 進行劃分的單個分配對象或集合型分配對象;權限類型例如包括查詢、修改、增加、刪除,但 不限于所舉示例。
      [0091] 上述數(shù)據(jù)權限管理系統(tǒng)的實施例通過設置業(yè)務系統(tǒng)管理單元采集各個業(yè)務系統(tǒng) 的數(shù)據(jù)庫信息,并由元數(shù)據(jù)抓取單元依據(jù)采集的信息從業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取權限配置相 關的元數(shù)據(jù)信息,然后由權限配置單元根據(jù)抓取的信息進行權限配置,實現(xiàn)了數(shù)據(jù)權限管 理系統(tǒng)對各個業(yè)務系統(tǒng)的數(shù)據(jù)權限的統(tǒng)一和集中配置,便于維護和管理,該數(shù)據(jù)權限管理 系統(tǒng)還能夠快速響應業(yè)務系統(tǒng)組織架構的變化和調(diào)整,實現(xiàn)數(shù)據(jù)權限的靈活管理。此外,一 些比較復雜的數(shù)據(jù)權限配置管理數(shù)據(jù)權限管理系統(tǒng)也能夠?qū)崿F(xiàn)。
      [0092]下面結(jié)合圖7對數(shù)據(jù)權限管理系統(tǒng)60進行數(shù)據(jù)權限配置的工作流程進行說明。 [0093]步驟S702,權限配置單元606接收權限管理員發(fā)送的數(shù)據(jù)權限配置命令。其中,數(shù) 據(jù)權限配置命令中包括權限管理員欲配置的業(yè)務系統(tǒng)、數(shù)據(jù)庫、業(yè)務表(或集合)、字段(或 鍵值)、權限分配對象、權限類型、配置條件等信息。這些信息可以由權限管理員在數(shù)據(jù)權限 配置界面進行選擇也可以采取手動輸入等方式。
      [0094]步驟S704,權限配置單元606向業(yè)務系統(tǒng)管理單元602發(fā)送業(yè)務系統(tǒng)數(shù)據(jù)庫信息獲 取請求,該請求中例如包括欲配置的業(yè)務系統(tǒng)的信息。
      [0095] 步驟S706,業(yè)務系統(tǒng)管理單元602向權限配置單元606返回欲配置的業(yè)務系統(tǒng)對應 的數(shù)據(jù)庫信息,例如數(shù)據(jù)庫連接串。
      [0096]步驟S708,權限配置單元606向元數(shù)據(jù)抓取單元604發(fā)送元數(shù)據(jù)抓取請求,請求中 例如包括數(shù)據(jù)庫連接串、欲配置的業(yè)務表(或集合)信息等。
      [0097]步驟S710,元數(shù)據(jù)抓取單元604根據(jù)數(shù)據(jù)庫連接串連接到業(yè)務系統(tǒng)的數(shù)據(jù)庫,抓取 業(yè)務表的字段信息(或集合的鍵值信息),然后向權限配置單元606返回抓取的信息。
      [0098]步驟S712,權限配置單元606根據(jù)欲配置的業(yè)務表的字段信息(或集合的鍵值信 息)、配置條件以及數(shù)據(jù)庫類型生成權限表達式。
      [0099] 步驟S714,權限配置單元606將權限表達式與權限分配對象、權限類型相對應寫入 權限表達式列表,完成數(shù)據(jù)權限配置。
      [0100] 步驟S716,權限配置單元606向權限管理員返回權限配置結(jié)果。
      [0101] 從上述實施例可以看出,用戶通過操作界面進行簡單的操作即可對多個業(yè)務系統(tǒng) 進行統(tǒng)一的數(shù)據(jù)權限配置工作,容易學習,易于掌握。
      [0102] 本發(fā)明還提供另一種數(shù)據(jù)權限管理系統(tǒng),下面結(jié)合圖8進行描述。
      [0103] 圖8為本發(fā)明另一種數(shù)據(jù)權限管理系統(tǒng)一個實施例的結(jié)構圖。如圖8所示,該系統(tǒng) 80包括:數(shù)據(jù)訪問過濾模塊800,數(shù)據(jù)訪問過濾模塊800包括:
      [0104] 數(shù)據(jù)訪問請求接收單元802,用于接收業(yè)務系統(tǒng)攔截的用戶的數(shù)據(jù)訪問請求。
      [0105]數(shù)據(jù)訪問請求解析單元804,用于通過解析數(shù)據(jù)訪問請求獲取用戶欲訪問的對象。
      [0106] 其中,針對關系型數(shù)據(jù)庫,數(shù)據(jù)訪問請求解析單元804通過解析數(shù)據(jù)訪問請求可以 獲知用戶欲訪問的業(yè)務表的表名,對業(yè)務表的具體操作等信息;針對非關系型數(shù)據(jù)庫,數(shù)據(jù) 訪問請求解析單元804通過解析數(shù)據(jù)訪問請求可以獲知用戶欲訪問的集合名,對集合的具 體操作等信息。
      [0107] 權限信息獲取單元806,用于從權限配置信息查找用戶對欲訪問的對象的訪問權 限信息。
      [0108] 其中,權限信息獲取單元806,用于從權限配置信息查找欲訪問的對象對應的權限 配置列表,權限配置列表包括權限分配對象、權限類型和權限表達式;在權限配置列表的權 限分配對象中查找到用戶,如果數(shù)據(jù)訪問請求中包含的用戶操作與權限配置列表中該用戶 已配置的權限類型匹配,則述權限配置列表中提取用戶對應的權限表達式。
      [0109] 權限信息處理單元808,用于將訪問權限信息與數(shù)據(jù)訪問請求進行合并,并返回至 業(yè)務系統(tǒng),以便業(yè)務系統(tǒng)繼續(xù)處理帶有訪問權限信息的數(shù)據(jù)訪問請求。
      [0110] 如圖8所示,根據(jù)安全需要,數(shù)據(jù)訪問過濾模塊800還可以包括:驗證單元810,用于 在數(shù)據(jù)訪問請求接收單元接收到業(yè)務系統(tǒng)攔截的用戶的數(shù)據(jù)訪問請求之后,在數(shù)據(jù)訪問請 求解析單元進行解析之前,對業(yè)務系統(tǒng)的合法性進行驗證,如果驗證通過,數(shù)據(jù)訪問請求解 析單元804對數(shù)據(jù)訪問請求進行解析。通過在數(shù)據(jù)權限管理系統(tǒng)設置驗證單元對業(yè)務系統(tǒng) 進行驗證,可以保證調(diào)用的合法性,提高系統(tǒng)的安全性。
      [0111] 根據(jù)安全需要,數(shù)據(jù)訪問過濾模塊800還可以包括:解密單元812,用于在數(shù)據(jù)訪問 請求接收單元接收到業(yè)務系統(tǒng)攔截的用戶的數(shù)據(jù)訪問請求之后,在數(shù)據(jù)訪問請求解析單元 進行解析之前,對接收的數(shù)據(jù)訪問請求進行解密,如果解密成功,數(shù)據(jù)訪問請求解析單元 804對數(shù)據(jù)訪問請求進行解析。通過在數(shù)據(jù)權限管理系統(tǒng)設置解密單元對數(shù)據(jù)訪問請求進 行解密可以保證傳輸?shù)目煽啃?,避免?shù)據(jù)訪問請求在傳輸過程被更改。
      [0112] 如圖8所示該系統(tǒng)80還可以包括前述實施例中的數(shù)據(jù)權限配置模塊600。
      [0113]上述數(shù)據(jù)權限管理系統(tǒng)的實施例中數(shù)據(jù)訪問請求接收單元接收各個業(yè)務系統(tǒng)發(fā) 送的攔截的用戶的數(shù)據(jù)訪問請求,通過數(shù)據(jù)訪問請求解析單元對數(shù)據(jù)訪問請求進行解析, 權限信息獲取單元獲取用戶欲訪問的對象的訪問權限信息,最后由權限信息處理單元將訪 問權限信息與數(shù)據(jù)訪問請求進行合并,并返回至業(yè)務系統(tǒng),實現(xiàn)了統(tǒng)一對各個業(yè)務系統(tǒng)進 行訪問控制。進一步的,該數(shù)據(jù)權限管理系統(tǒng)中還可以設置前述的數(shù)據(jù)權限配置模塊,實現(xiàn) 對各個業(yè)務系統(tǒng)的數(shù)據(jù)權限的統(tǒng)一和集中配置,加強了對各個業(yè)務系統(tǒng)數(shù)據(jù)權限的統(tǒng)一管 理,此外,數(shù)據(jù)權限管理系統(tǒng)還能夠快速響應業(yè)務系統(tǒng)組織架構的變化和調(diào)整,實現(xiàn)數(shù)據(jù)權 限的靈活管理。
      [0114] 本領域普通技術人員可以理解實現(xiàn)上述實施例的全部或部分步驟可以通過硬件 來完成,也可以通過程序來指令相關的硬件完成,所述的程序可以存儲于一種計算機可讀 存儲介質(zhì)中,上述提到的存儲介質(zhì)可以是只讀存儲器,磁盤或光盤等。
      [0115] 以上所述僅為本發(fā)明的較佳實施例,并不用以限制本發(fā)明,凡在本發(fā)明的精神和 原則之內(nèi),所作的任何修改、等同替換、改進等,均應包含在本發(fā)明的保護范圍之內(nèi)。
      【主權項】
      1. 一種數(shù)據(jù)權限管理方法,其特征在于,包括: 數(shù)據(jù)權限管理系統(tǒng)接收業(yè)務系統(tǒng)攔截的用戶的數(shù)據(jù)訪問請求; 所述數(shù)據(jù)權限管理系統(tǒng)通過解析所述數(shù)據(jù)訪問請求獲取所述用戶欲訪問的對象; 所述數(shù)據(jù)權限管理系統(tǒng)從權限配置信息查找所述用戶對所述欲訪問的對象的訪問權 限信息; 所述數(shù)據(jù)權限管理系統(tǒng)將所述訪問權限信息與所述數(shù)據(jù)訪問請求進行合并,并返回至 所述業(yè)務系統(tǒng),以便所述業(yè)務系統(tǒng)繼續(xù)處理帶有訪問權限信息的數(shù)據(jù)訪問請求。2. 根據(jù)權利要求1所述的方法,其特征在于,其中,所述數(shù)據(jù)權限管理系統(tǒng)從權限配置 信息查找所述用戶對所述欲訪問的對象的訪問權限信息包括: 所述數(shù)據(jù)權限管理系統(tǒng)從權限配置信息查找所述欲訪問的對象對應的權限配置列表, 所述權限配置列表包括權限分配對象、權限類型和權限表達式; 所述數(shù)據(jù)權限管理系統(tǒng)在所述權限配置列表的權限分配對象中查找到所述用戶,如果 所述數(shù)據(jù)訪問請求中包含的用戶操作與所述權限配置列表中該用戶已配置的權限類型匹 配,則從所述權限配置列表中提取所述用戶對應的權限表達式。3. 根據(jù)權利要求1所述的方法,其特征在于,還包括: 所述數(shù)據(jù)權限管理系統(tǒng)采集業(yè)務系統(tǒng)的數(shù)據(jù)庫信息; 所述數(shù)據(jù)權限管理系統(tǒng)根據(jù)所述業(yè)務系統(tǒng)的數(shù)據(jù)庫信息從所述業(yè)務系統(tǒng)的數(shù)據(jù)庫抓 取權限配置相關的元數(shù)據(jù)信息; 所述數(shù)據(jù)權限管理系統(tǒng)根據(jù)抓取的元數(shù)據(jù)信息進行權限配置以形成權限配置信息。4. 根據(jù)權利要求3所述的方法,其特征在于, 其中,所述數(shù)據(jù)權限管理系統(tǒng)采集的業(yè)務系統(tǒng)的數(shù)據(jù)庫信息包括數(shù)據(jù)庫類型和數(shù)據(jù)庫 連接串; 所述數(shù)據(jù)權限管理系統(tǒng)根據(jù)所述業(yè)務系統(tǒng)的數(shù)據(jù)庫信息從所述業(yè)務系統(tǒng)的數(shù)據(jù)庫抓 取權限配置相關的元數(shù)據(jù)信息包括: 所述數(shù)據(jù)權限管理系統(tǒng)根據(jù)所述數(shù)據(jù)庫連接串連接到業(yè)務系統(tǒng)的數(shù)據(jù)庫,并且根據(jù)所 述數(shù)據(jù)庫類型從所述業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取權限配置相關且與所述數(shù)據(jù)庫類型對應的元 數(shù)據(jù)信息,其中,所述元數(shù)據(jù)信息包括被訪問對象信息及其屬性信息。5. 根據(jù)權利要求3所述的方法,其特征在于, 其中,所述元數(shù)據(jù)信息包括被訪問對象信息及其屬性信息; 所述數(shù)據(jù)權限管理系統(tǒng)根據(jù)抓取的元數(shù)據(jù)信息進行權限配置包括: 所述數(shù)據(jù)權限管理系統(tǒng)為所述被訪問對象配置權限配置列表,并根據(jù)所述被訪問對象 的屬性信息對其權限配置列表中的權限分配對象、權限類型和權限表達式進行配置以形成 權限配置信息。6. 根據(jù)權利要求1所述的方法,其特征在于, 業(yè)務系統(tǒng)根據(jù)設置的系統(tǒng)過濾標識判斷本業(yè)務系統(tǒng)是否需要進行數(shù)據(jù)訪問過濾,如果 需要進行數(shù)據(jù)訪問過濾,則對用戶的數(shù)據(jù)訪問請求進行攔截; 或者,業(yè)務系統(tǒng)攔截用戶的數(shù)據(jù)訪問請求后,根據(jù)設置的對象過濾標識判斷所述用戶 欲訪問的對象是否需要進行數(shù)據(jù)訪問過濾,如果需要進行數(shù)據(jù)訪問過濾,則向所述數(shù)據(jù)權 限管理系統(tǒng)發(fā)送所述數(shù)據(jù)訪問請求。7. -種數(shù)據(jù)權限管理方法,其特征在于,包括: 數(shù)據(jù)權限管理系統(tǒng)采集業(yè)務系統(tǒng)的數(shù)據(jù)庫信息; 所述數(shù)據(jù)權限管理系統(tǒng)根據(jù)所述業(yè)務系統(tǒng)的數(shù)據(jù)庫信息從所述業(yè)務系統(tǒng)的數(shù)據(jù)庫抓 取權限配置相關的元數(shù)據(jù)信息; 所述數(shù)據(jù)權限管理系統(tǒng)根據(jù)抓取的元數(shù)據(jù)信息進行權限配置以形成權限配置信息。8. 根據(jù)權利要求7所述的方法,其特征在于, 其中,所述數(shù)據(jù)權限管理系統(tǒng)采集的業(yè)務系統(tǒng)的數(shù)據(jù)庫信息包括數(shù)據(jù)庫類型和數(shù)據(jù)庫 連接串; 所述數(shù)據(jù)權限管理系統(tǒng)根據(jù)所述業(yè)務系統(tǒng)的數(shù)據(jù)庫信息從所述業(yè)務系統(tǒng)的數(shù)據(jù)庫抓 取權限配置相關的元數(shù)據(jù)信息包括: 所述數(shù)據(jù)權限管理系統(tǒng)根據(jù)所述數(shù)據(jù)庫連接串連接到業(yè)務系統(tǒng)的數(shù)據(jù)庫,并且根據(jù)所 述數(shù)據(jù)庫類型從所述業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取權限配置相關且與所述數(shù)據(jù)庫類型對應的元 數(shù)據(jù)信息,其中,所述元數(shù)據(jù)信息包括被訪問對象信息及其屬性信息。9. 根據(jù)權利要求7所述的方法,其特征在于, 其中,所述元數(shù)據(jù)信息包括被訪問對象及其屬性信息; 所述數(shù)據(jù)權限管理系統(tǒng)根據(jù)抓取的元數(shù)據(jù)信息進行權限配置包括: 所述數(shù)據(jù)權限管理系統(tǒng)為所述被訪問對象配置權限配置列表,并根據(jù)所述被訪問對象 的屬性信息對其權限配置列表中的權限分配對象、權限類型和權限表達式進行配置以形成 權限配置信息。10. -種數(shù)據(jù)權限管理系統(tǒng),其特征在于,包括:數(shù)據(jù)訪問過濾模塊,和/或,數(shù)據(jù)權限配 置模塊; 所述數(shù)據(jù)訪問過濾模塊包括: 數(shù)據(jù)訪問請求接收單元,用于接收業(yè)務系統(tǒng)攔截的用戶的數(shù)據(jù)訪問請求; 數(shù)據(jù)訪問請求解析單元,用于通過解析所述數(shù)據(jù)訪問請求獲取所述用戶欲訪問的對 象; 權限信息獲取單元,用于從權限配置信息查找所述用戶對所述欲訪問的對象的訪問權 限信息; 權限信息處理單元,用于將所述訪問權限信息與所述數(shù)據(jù)訪問請求進行合并,并返回 至所述業(yè)務系統(tǒng),以便所述業(yè)務系統(tǒng)繼續(xù)處理帶有訪問權限信息的數(shù)據(jù)訪問請求; 所述數(shù)據(jù)權限配置模塊包括: 業(yè)務系統(tǒng)管理單元,用于采集業(yè)務系統(tǒng)的數(shù)據(jù)庫信息; 元數(shù)據(jù)抓取單元,用于根據(jù)所述業(yè)務系統(tǒng)的數(shù)據(jù)庫信息從所述業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取 權限配置相關的元數(shù)據(jù)信息; 權限配置單元,用于根據(jù)抓取的元數(shù)據(jù)信息進行權限配置以形成權限配置信息。11. 根據(jù)權利要求10所述的數(shù)據(jù)權限管理系統(tǒng),其特征在于, 所述權限信息獲取單元,用于從權限配置信息查找所述欲訪問的對象對應的權限配置 列表,所述權限配置列表包括權限分配對象、權限類型和權限表達式;在所述權限配置列表 的權限分配對象中查找到所述用戶,如果所述數(shù)據(jù)訪問請求中包含的用戶操作與所述權限 配置列表中該用戶已配置的權限類型匹配,則從所述權限配置列表中提取所述用戶對應的 權限表達式。12. 根據(jù)權利要求10所述的數(shù)據(jù)權限管理系統(tǒng),其特征在于,其中,所述業(yè)務系統(tǒng)管理 單元采集的業(yè)務系統(tǒng)的數(shù)據(jù)庫信息包括數(shù)據(jù)庫類型和數(shù)據(jù)庫連接串; 所述元數(shù)據(jù)抓取單元,用于根據(jù)所述數(shù)據(jù)庫連接串連接到業(yè)務系統(tǒng)的數(shù)據(jù)庫,并且根 據(jù)所述數(shù)據(jù)庫類型從所述業(yè)務系統(tǒng)的數(shù)據(jù)庫抓取權限配置相關且與所述數(shù)據(jù)庫類型對應 的元數(shù)據(jù)信息,其中,所述元數(shù)據(jù)信息包括被訪問對象信息及其屬性信息。13. 根據(jù)權利要求10所述的數(shù)據(jù)權限管理系統(tǒng),其特征在于,其中,所述元數(shù)據(jù)信息包 括被訪問對象信息及其屬性信息; 所述權限配置單元,用于為所述被訪問對象配置權限配置列表,并根據(jù)所述被訪問對 象的屬性信息對其權限配置列表中的權限分配對象、權限類型和權限表達式進行配置以形 成權限配置信息。14. 一種業(yè)務管理系統(tǒng),其特征在于,包括:業(yè)務系統(tǒng)以及權利要求10-13任一項所述的 數(shù)據(jù)權限管理系統(tǒng); 所述業(yè)務系統(tǒng),用于對用戶的數(shù)據(jù)訪問請求進行攔截,將攔截的用戶的數(shù)據(jù)訪問請求 發(fā)送至所述數(shù)據(jù)權限管理系統(tǒng),并接收所述數(shù)據(jù)權限管理系統(tǒng)返回的帶有訪問權限信息的 數(shù)據(jù)訪問請求繼續(xù)處理。15. 根據(jù)權利要求14所述的業(yè)務管理系統(tǒng),其特征在于, 所述業(yè)務系統(tǒng),還用于根據(jù)設置的系統(tǒng)過濾標識判斷本業(yè)務系統(tǒng)是否需要進行數(shù)據(jù)訪 問過濾,如果需要,則對用戶的數(shù)據(jù)訪問請求進行攔截;或者,攔截用戶的數(shù)據(jù)訪問請求后, 根據(jù)設置的對象過濾標識判斷所述用戶欲訪問的對象是否需要進行數(shù)據(jù)訪問過濾,如果需 要進行數(shù)據(jù)訪問過濾,則向所述數(shù)據(jù)權限管理系統(tǒng)發(fā)送所述數(shù)據(jù)訪問請求。
      【文檔編號】G06F21/62GK105912949SQ201610225858
      【公開日】2016年8月31日
      【申請日】2016年4月13日
      【發(fā)明人】周華旗
      【申請人】北京京東尚科信息技術有限公司, 北京京東世紀貿(mào)易有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1