一種控制數據訪問權限的方法和系統的製作方法

2023-08-08 15:08:46 2

專利名稱：一種控制數據訪問權限的方法和系統的製作方法
技術領域：
本發明涉及資料庫管理技術，更具體的說是涉及一種控制數據訪問權限的方法和 系統。
背景技術：
隨著信息技術和網絡技術的發展，信息安全成為人們普遍關注的問題。任何企、事 業單位都不希望自己存放在信息網站的數據資源等信息被自己的競爭對手看到，也不希望 企業內部用戶對網站信息的越權訪問或隨意更改資料庫中的數據資源。因此幾乎每個企業 都得會對其系統中的數據資源設置權限管理。所謂權限管理，是指根據系統設置的安全規 則或者安全策略，用戶可以訪問而且只能訪問自己被授權的資源。現有的對數據資源的權限控制可以控制到欄位級，即能控制某一欄位的隱藏或可 見。以某公司的職工表為例，可以設置職工表中的「職稱」隱藏或可見，並對用戶進行授權 操作，當設置某用戶具有訪問「職稱」欄位的權限時，該用戶便可看到職工表中，每個職工的 職稱情況；但對於未被授權的用戶來說，則在訪問該職工表時，就不能看到任何職工的職稱 情況。但在系統應用中，經常會需要對數據資源進行更細粒度的權限控制，現有的欄位 級權限的控制不能滿足要求。仍以上面的職工表為例，可能需要設置某些用戶雖然具有訪 問「職稱」欄位的權限，但只具有訪問「職稱」中為「教授」的職工的相關信息的權限，通過這 種欄位級權限控制不能實現這種權限設置。現有的欄位級權限控制方法不能實現更細粒度 的權限控制。

發明內容
有鑑於此，本發明提供一種控制數據訪問權限的方法和系統，通過本發明的方法 可以實現更細粒度的權限控制。為實現上述目的，本發明提供如下技術方案—種控制數據訪問權限的方法，包括預先針對資料庫表建立數據資源類型表，在所述數據資源類型表中設置指定欄位 的過濾條件；根據所述數據資源類型表，篩選出符合所述欄位過濾條件的數據記錄，建立所述 數據記錄與用戶之間的關聯關係，並將所述關聯關係保存到用戶的訪問權限表；接收用戶對所述數據表的訪問請求，查詢該用戶的訪問權限表，並根據所述關聯 關係，獲取該用戶具有的訪問權限；根據所述訪問權限，對所述資料庫表進行過濾，為該用戶展現指定欄位下符合過 濾條件的記錄。優選的，所述在所述數據資源表設置指定欄位的過濾條件包括根據所述資料庫表中指定欄位具有的數據資源類型，設定過濾所述欄位中指定的數據資源類型的條件。優選的，所述在所述數據資源類型表中設置指定欄位的過濾條件包括在數據資源類型表中設置多個欄位的過濾條件；和/或，設置同一指定欄位的多個過濾條件。優選的，所述建立所述數據記錄與用戶之間的關聯關係包括將所述篩選出符合條件的記錄添加到用戶權限表中，以建立該用戶與所述數據記 錄之間的關聯關係。優選的，所述建立所述數據記錄與用戶之間的關聯關係包括建立所述篩選出的所有數據記錄與用戶之間的關聯關係；或建立所述篩選出的數據記錄中的部分數據記錄與用戶之間的關聯關係。一種控制數據訪問權限的系統，包括類型表建立單元，用於針對資料庫表建立數據資源類型表，在所述數據資源表中 設置指定欄位的過濾條件；權限管理單元，用於根據所述數據資源類型表，篩選出符合所述欄位過濾條件的 數據記錄，建立所述數據記錄與用戶之間的關聯關係，並將所述關聯關係保存到用戶的訪 問權限表；權限判斷單元，用於接收用戶對所述數據表的訪問請求，查詢該用戶的訪問權限 表，並根據訪問權限表中的關聯關係，獲取該用戶具有的訪問權限；數據展現單元，用於根據所述訪問權限，對所述資料庫表進行過濾，為該用戶展現 指定欄位下符合過濾條件的記錄。優選的，所述類型表建立單元通過以下方式設置過濾條件根據所述資料庫表中指定欄位具有的數據資源類型，設置過濾所述欄位中指定的 數據資源類型的條件。優選的，所述類型表建立單元包括條件設定單元，用於在數據資源類型表中設定多個欄位的過濾條件；和/或，設定同一指定欄位的多個過濾條件。優選的，所述權限管理單元通過以下方式設置權限根據所述數據資源類型表，篩選出符合條件的數據記錄，將所述數據記錄添加到 用戶權限表中，以建立該用戶與所述數據記錄之間的關聯關係。優選的，所述權限管理單元包括第一權限管理單元，用於建立所述篩選出的所有數據記錄與用戶之間的關聯關 系；第二權限管理單元，用於建立所述篩選出的數據記錄中的部分數據記錄與用戶之 間的關聯關係。經由上述的技術方案可知，與現有技術相比，本發明公開提供了一種控制數據訪 問權限的方法和系統，通過預先針對某資料庫表建立數據資源類型表，在所述數據資源表 中設置指定欄位的過濾條件，並建立符合所述欄位過濾條件的數據記錄與用戶之間的關聯 關係，當用戶訪問該數據表時，根據所述關聯關係，獲取該用戶具有的訪問權限，對所述數 據庫表進行過濾，為該用戶展現指定欄位下符合過濾條件的記錄，從而實現比欄位級權限控制更細粒度的權限控制。


為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本 發明的實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據 提供的附圖獲得其他的附圖。圖1為本發明一種控制數據訪問權限的方法實施例的流程圖；圖2為本發明一種控制數據訪問權限的系統實施例的結構示意圖。
具體實施例方式下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完 整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基於 本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他 實施例，都屬於本發明保護的範圍。參見圖1，為本發明的方法實施例的流程圖，該方法包括步驟SlOl 預先針對資料庫表建立數據資源類型表，在所述數據資源類型表中設 置指定欄位的過濾條件；其中，建立的數據資源類型表中包含資料庫表的來源，以標明該指定資料庫表位 置，還可以包括對該指定的資料庫表的描述信息等。當需要對指定的資料庫表的欄位進行 更細粒度的權限設置時，就可以在資源類型表中填寫該資料庫表的來源，以實現對該數據 庫表中的欄位進行更細粒度的過濾；針對該指定資料庫表中的欄位，可以進行相應的權限設置，可以設定該欄位的過 濾條件，以得到該欄位下符合條件的記錄。具體對所述數據資源表設置指定欄位的過濾條 件可以為根據所述資料庫表中指定欄位具有的數據資源類型，設定過濾所述欄位中指定 的數據資源類型的條件。其中，欄位的數據資源類型是指同一欄位下區別不同記錄的特徵信息。例如，以單 位職工表為例，職工表中的「職工職位」欄位可能包括車間主任，部門經理、操作工等信息， 這些不同的信息就屬於不同的數據資源類型。當需要設定具有訪問「職工職位」中「操作工」 的數據記錄的權限時，就可以對該設定過濾條件為「職工職位」中為「操作工」的數據資源 類型。其中，可以分別設置對多個欄位進行數據資源類型的過濾條件。同時，對於該數據 庫表中的一個欄位也可以設定多個過濾條件。例如，仍以上述職工表為例，可以在對「職工 職位」的設定過濾條件的同時，對職工表中的「職工工齡」設定過濾條件。另外，對於「職工 職位」的欄位可以在設定對「操作工」的數據資源類型進行過濾的同時，設定對「車間主任」 的數據資源類型的過濾條件。本發明中還可以自定義欄位的數據資源類型，然後對該欄位的數據資源類型進行 過濾。也可以根據需要對欄位設定其他形式的過濾條件。步驟S102 根據所述數據資源類型表，篩選出符合所述欄位過濾條件的數據記錄，建立所述數據記錄與用戶之間的關聯關係，並將所述關聯關係保存到用戶的訪問權限 表；當針對資料庫表建立好數據資源類型表後，就可以進行設定用戶訪問權限的操 作。當需要對用戶進行訪問權限授權時，通過修改用戶的訪問權限表，來為用戶添加或刪除 某項訪問權限。在進行用戶權限授權的操作時，通過查詢所述資源類型表，篩選出符合所述欄位 過濾條件的數據記錄，並建立用戶與該數據記錄之間的關聯關係，使得用戶具有訪問該字 段下符合過濾條件的數據記錄的權限。例如，當對上述職工表建立資源類型表，並在資源 類型表中的「職稱」設定過濾條件為當「職稱」欄位中為「部門主任」的記錄進行篩選。當 為用戶進行權限授權操作時，根據該資源類型表，篩選出職工表中「職稱」欄位中為「部門 主任」的記錄，並建立篩選出的記錄與用戶之間的關聯關係，則該用戶就具有訪問職工表中 「職稱」欄位中為「部門主任」的記錄的權限，而沒有建立該關聯關係的用戶則不具有訪問 「部門主任」的相關記錄的權限。其中，建立所述數據記錄與用戶之間的關聯關係可以為將所述篩選符合條件的 記錄，添加到用戶權限表中，以建立該用戶與所述數據記錄之間的關聯關係。進一步的，就建立所述數據記錄與用戶之間的關聯關係可以為建立所述篩選出 的所有數據記錄與用戶之間的關聯關係；或，建立所述篩選出的數據記錄中的部分數據記 錄與用戶之間的關聯關係。當符合該欄位中符合過濾條件的記錄中也可以根據需要選擇部分記錄，對用戶進 行授權。進行用戶授權時，對不同用戶授予的權限範圍可以不同。步驟S103 接收用戶對所述數據表的訪問請求，查詢該用戶的訪問權限表，並根 據所述關聯關係，獲取該用戶具有的訪問權限；當用戶訪問所述數據表庫時，首先查詢該用戶的訪問權限表，根據訪問權限表中 的關聯關係，確定該用戶具有的訪問權限。步驟S104 根據所述訪問權限，對所述資料庫表進行過濾，為該用戶展現指定字 段下符合過濾條件的記錄。獲取該用戶的訪問權限後，可以依據該權限，對用戶需要訪問的資料庫表進行過 濾，過濾出指定欄位中符合過濾條件，同時滿足該用戶權限的數據記錄展現給該用戶，以便 用戶進行數據訪問。本發明的方法通過預先針對某資料庫表建立數據資源類型表，在所述數據資源表 中設置指定欄位的過濾條件，並建立符合所述欄位過濾條件的數據記錄與用戶之間的關聯 關係，當用戶訪問該數據表時，根據所述關聯關係，獲取該用戶具有的訪問權限，對所述數 據庫表進行過濾，為該用戶展現符合指定欄位下符合過濾條件的記錄。從而能實現欄位級 權限控制不能控制的更細粒度的權限訪問。對應本發明的方法，本發明還提供了一種控制數據訪問權限的系統，參見圖2，該 系統包括類型表建立單元201，用於針對某資料庫表建立數據資源類型表，在所述數據資源 表中設置指定欄位的過濾條件；權限管理單元202，用於根據所述數據資源類型表，篩選出符合所述欄位過濾條件的數據記錄，建立所述數據記錄與用戶之間的關聯關係，並將所述關聯關係保存到用戶的 訪問權限表；權限判斷單元203，用於接收用戶對所述數據表的訪問請求，查詢該用戶的訪問權 限表，並根據訪問權限表中的關聯關係，獲取該用戶具有的訪問權限；數據展現單元204，用於根據所述訪問權限，對所述資料庫表進行過濾，為該用戶 展現指定欄位下符合過濾條件的記錄。其中過濾條件可以有多種，可以根據欄位具有的數據資源類型設定過濾條件，對 應的，類型表建立單元可以通過以下方式設置過濾條件根據所述資料庫表中指定欄位具 有的數據資源類型，設置過濾所述欄位中指定的數據資源類型的條件。進一步的，設定的過濾條件也可以有多個，可以根據需要選擇設定的方式。因此， 類型表建立單元包括條件設定單元，用於在數據資源類型表中設定多個欄位的過濾條件；和/或，設定 同一指定欄位的多個過濾條件。對用戶權限進行管理時，授予用戶訪問權限的方式有很多，優選的，所述權限管理 單元通過以下方式設置權限根據所述數據資源類型表，篩選出符合條件的數據記錄，將所 述數據記錄添加到用戶權限表中，以建立該用戶與所述數據記錄之間的關聯關係。當然，對於授予用戶的權限大小可以不同，優選的，所述權限管理單元包括第一權限管理單元，用於建立所述篩選出的所有數據記錄與用戶之間的關聯關 系；第二權限管理單元，用於建立所述篩選出的數據記錄中的部分數據記錄與用戶之 間的關聯關係。本說明書中各個實施例採用遞進的方式描述，每個實施例重點說明的都是與其他 實施例的不同之處，各個實施例之間相同相似部分互相參見即可。對於實施例公開的裝置 而言，由於其與實施例公開的方法相對應，所以描述的比較簡單，相關之處參見方法部分說 明即可。對所公開的實施例的上述說明，使本領域專業技術人員能夠實現或使用本發明。 對這些實施例的多種修改對本領域的專業技術人員來說將是顯而易見的，本文中所定義的 一般原理可以在不脫離本發明的精神或範圍的情況下，在其它實施例中實現。因此，本發明 將不會被限制於本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一 致的最寬的範圍。
權利要求
1.一種控制數據訪問權限的方法，其特徵在於，包括預先針對資料庫表建立數據資源類型表，在所述數據資源類型表中設置指定欄位的過 濾條件；根據所述數據資源類型表，篩選出符合所述欄位過濾條件的數據記錄，建立所述數據 記錄與用戶之間的關聯關係，並將所述關聯關係保存到用戶的訪問權限表；接收用戶對所述數據表的訪問請求，查詢該用戶的訪問權限表，並根據所述關聯關係， 獲取該用戶具有的訪問權限；根據所述訪問權限，對所述資料庫表進行過濾，為該用戶展現指定欄位下符合過濾條 件的記錄。
2.根據權利要求1所述的方法，其特徵在於，所述在所述數據資源表設置指定欄位的 過濾條件包括根據所述資料庫表中指定欄位具有的數據資源類型，設定過濾所述欄位中指定的數據 資源類型的條件。
3.根據權利要求1所述的方法，其特徵在於，所述在所述數據資源類型表中設置指定 欄位的過濾條件包括在數據資源類型表中設置多個欄位的過濾條件；和/或，設置同一指定欄位的多個過濾條件。
4.根據權利要求1所述的方法，其特徵在於，所述建立所述數據記錄與用戶之間的關 聯關係包括將所述篩選出符合條件的記錄添加到用戶權限表中，以建立該用戶與所述數據記錄之 間的關聯關係。
5.根據權利要求1所述的方法，其特徵在於，所述建立所述數據記錄與用戶之間的關 聯關係包括建立所述篩選出的所有數據記錄與用戶之間的關聯關係；或建立所述篩選出的數據記錄中的部分數據記錄與用戶之間的關聯關係。
6.一種控制數據訪問權限的系統，其特徵在於，包括類型表建立單元，用於針對資料庫表建立數據資源類型表，在所述數據資源表中設置 指定欄位的過濾條件；權限管理單元，用於根據所述數據資源類型表，篩選出符合所述欄位過濾條件的數據 記錄，建立所述數據記錄與用戶之間的關聯關係，並將所述關聯關係保存到用戶的訪問權 限表；權限判斷單元，用於接收用戶對所述數據表的訪問請求，查詢該用戶的訪問權限表，並 根據訪問權限表中的關聯關係，獲取該用戶具有的訪問權限；數據展現單元，用於根據所述訪問權限，對所述資料庫表進行過濾，為該用戶展現指定 欄位下符合過濾條件的記錄。
7.根據權利要求6所述的系統，其特徵在於，所述類型表建立單元通過以下方式設置 過濾條件根據所述資料庫表中指定欄位具有的數據資源類型，設置過濾所述欄位中指定的數據 資源類型的條件。
8.根據權利要求6所述的系統，其特徵在於，所述類型表建立單元包括 條件設定單元，用於在數據資源類型表中設定多個欄位的過濾條件；和/或，設定同一指定欄位的多個過濾條件。
9.根據權利要求6所述的系統，其特徵在於，所述權限管理單元通過以下方式設置權限根據所述數據資源類型表，篩選出符合條件的數據記錄，將所述數據記錄添加到用戶 權限表中，以建立該用戶與所述數據記錄之間的關聯關係。
10.根據權利要求6所述的系統，其特徵在於，所述權限管理單元包括第一權限管理單元，用於建立所述篩選出的所有數據記錄與用戶之間的關聯關係； 第二權限管理單元，用於建立所述篩選出的數據記錄中的部分數據記錄與用戶之間的 關聯關係。
全文摘要
本發明公開一種控制數據訪問權限的方法和系統，該方法包括預先針對資料庫表建立數據資源類型表，在所述數據資源表中設置指定欄位的過濾條件；根據所述數據資源類型表，篩選出符合所述欄位過濾條件的數據記錄，建立所述數據記錄與用戶之間的關聯關係，並將所述關聯關係保存到用戶的訪問權限表；接收用戶對所述數據表的訪問請求，查詢該用戶的訪問權限表，並根據所述關聯關係，獲取該用戶具有的訪問權限；根據所述訪問權限，對所述資料庫表進行過濾，為該用戶展現指定欄位下符合過濾條件的記錄。通過本發明能實現比欄位級權限更細粒度的訪問權限控制。
文檔編號G06F21/00GK102063479SQ20101060134
公開日2011年5月18日 申請日期2010年12月22日 優先權日2010年12月22日
發明者張敏傑, 李瑩, 羅華永 申請人:北京中電普華信息技術有限公司