本申请公开了一种数据访问权限控制方法及装置。其中,该方法包括:获取待执行的结构化查询语言SQL语句,所述SQL语句对应的账户定义为当前账户;从预设的访问权限控制集获取与所述当前账户匹配的附加条件语句;依据所述SQL语句和查找到的与所述当前账户匹配的附加条件语句,生成待查询语句。本申请解决了由于现有的数据级权限管理技术适应性差造成的数据访问权限局限性较大的技术问题。
【技术实现步骤摘要】
本申请涉及数据权限管理领域,具体而言,涉及一种数据访问权限控制方法及装置。
技术介绍
访问权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问且只能访问自己被授权的资源,访问权限管理几乎出现在任何系统里面。现有的访问权限管理分为两大类:功能级权限管理和数据级权限管理。对于数据级权限管理而言,一直没有统一的技术。大部分软件开发人员采用如下两种技术:一种为硬编码,也就是将这种逻辑以if/else等形式与业务代码耦合在一起;另一种为使用第三方专业软件,如一些开源中间件、开源框架等。然而,对于第一种现有技术而言,采用硬编码的方式导致权限控制跟业务逻辑耦合性强,难以测试,且系统组件复用率低,系统后期改动代价非常大,牵一发而动全身,适应性较差;对于第二种现有技术而言,大多第三方专业软件仅限于已定义好的策略,不能适应安全策略变化,当需求发生变化时,这种依赖于第三方专业软件的数据级权限管理方法就无法实现了,必须修改已有的软件才能达到目标,成本也非常高、适应性差,这导致数据级权限管理技术局限性较大,发展停滞不前。针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种数据访问权限控制方法及装置,以至少解决由于现有的数据级权限管理技术适应性差造成的数据访问权限局限性较大的技术问题。根据本申请实施例的一个方面,提供了一种数据访问权限控制方法,包括:获取待执行的结构化查询语言SQL语句,其中,所述SQL语句至少包括条件语句,所述SQL语句对应的账户定义为当前账户;从预设的访问权限控制集获取与所述当前账户匹配的附加条件语句,其中,所述访问权限控制集包括:至少一个账户和任意一个账户对应的附加条件语句;依据所述SQL语句和查找到的与所述当前账户匹配的附加条件语句,生成待查询语句。根据本申请实施例的另一方面,还提供了一种数据访问权限控制装置,包括:调用单元,用于获取待执行的结构化查询语言SQL语句;查找单元,用于从预设的访问权限控制集获取与所述当前账户匹配的附加条件语句;生成单元,用于依据所述SQL语句和查找到的与所述当前账户匹配的附加条件语句,生成待查询语句。可选地,所述SQL语句至少包括条件语句,所述访问权限控制集包括:至少一个账户和任意一个账户对应的附加条件语句。可选地,所述查找单元包括:第一提取模块,用于提取所述访问权限控制集;查找模块,用于从所述访问权限控制集中,查找是否存在与所述当前账户的账户信息对应的第一条件子句;第一确定模块,用于若存在,则将所述第一条件子句确定为所述附加条件语句;若不存在,则从所述访问权限控制集中,根据第二条件子句确定所述附加条件语句,其中,所述第二条件子句是指账户信息为空对应的语句。可选地,所述第一确定模块用于执行以下步骤从所述访问权限控制集中,根据第二条件子句确定所述附加条件语句:从所述访问权限控制集中,查找是否包含有所述第二条件子句;若包含,则将所述第二条件子句确定为所述附加条件语句;若不包含,则将预设附加条件确定为所述附加条件语句,其中,所述预设附加条件为永远为否的表达式。可选地,所述访问权限控制集还包括任意一个账户对应的授权操作,其中,所述授权操作用于指示允许所述任意一个账户执行的操作。可选地,所述查找单元包括:第二提取模块,用于提取所述访问权限控制集;判断模块,用于从所述访问权限控制集中,判断所述SQL语句指示的操作是否为所述当前账户对应的授权操作;第二确定模块,用于若是,则将所述当前账户的账户信息对应的第三条件子句确定为所述附加条件语句;若否,则将预设附加条件确定为所述附加条件语句,其中,所述预设附加条件为永远为否的表达式。可选地,所述生成单元用于执行以下步骤依据所述SQL语句和查找到的与所述当前账户匹配的附加条件语句,生成待查询语句:将所述附加条件语句拼接到所述SQL语句之后,得到所述待查询语句。可选地,上述装置,还包括:执行单元,用于执行所述待查询语句,确定是否存在符合所述待查询语句的数据;若存在,则将所述符合所述待查询语句的数据作为数据查询结果;若不存在,则所述数据查询结果为空。可选地,所述SQL语句为结构化查询语言SQL,所述访问权限控制集为访问控制列表ACL。在本申请实施例中,采用获取待执行的结构化查询语言SQL语句,拼接到SQL语句之后SQL语句对应的账户定义为当前账户;从预设的访问权限控制集获取与拼接到SQL语句之后当前账户匹配的附加条件语句;依据拼接到SQL语句之后SQL语句和查找到的与拼接到SQL语句之后当前账户匹配的附加条件语句,生成待查询语句的方式,通过将SQL(StructuredQueryLanguage,结构化查询语言)语句与预设的访问权限控制集结合起来,其中,访问权限控制集所囊括的附加条件语句也是基于SQL语句设置的,其可以使用各种运算符、函数、范围,并且可以随时定义新的附加条件语句,达到了从任意粒度实现数据级权限控制的目的,从而实现了增加数据访问权限控制的适应性的技术效果,进而解决了由于现有的数据级权限管理技术适应性差造成的数据访问权限局限性较大的技术问题。附图说明此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1是根据本申请实施例的一种运行数据访问权限控制方法的计算机终端的硬件结构框图;图2是根据本申请实施例的一种可选的数据访问权限控制方法的流程示意图;图3是根据本申请实施例的另一种可选的数据访问权限控制方法的流程示意图;图4是根据本申请实施例的又一种可选的数据访问权限控制方法的流程示意图;图5是根据本申请实施例的又一种可选的数据访问权限控制方法的流程示意图;图6(a)是根据本申请实施例的又一种可选的数据访问权限控制方法的流程示意图;图6(b)是根据本申请实施例的又一种可选的数据访问权限控制方法的流程示意图;图7是根据本申请实施例的一种可选的数据访问权限控制装置的结构示意图;图8是根据本申请实施例的一种可选的查找单元的结构示意图;图9是根据本申请实施例的另一种可选的查找单元的结构示意图。具体实施方式为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。首先将本申请实施例涉及的术语解释如下:条件语句:一个表达式的返回值都可以用来判断真假,除非没有任何返回值的本文档来自技高网...
【技术保护点】
一种数据访问权限控制方法,其特征在于,包括:获取待执行的结构化查询语言SQL语句,所述SQL语句对应的账户定义为当前账户;从预设的访问权限控制集获取与所述当前账户匹配的附加条件语句;依据所述SQL语句和查找到的与所述当前账户匹配的附加条件语句,生成待查询语句。
【技术特征摘要】
2015.08.21 CN 20151051870421.一种数据访问权限控制方法,其特征在于,包括:获取待执行的结构化查询语言SQL语句,所述SQL语句对应的账户定义为当前账户;从预设的访问权限控制集获取与所述当前账户匹配的附加条件语句;依据所述SQL语句和查找到的与所述当前账户匹配的附加条件语句,生成待查询语句。2.根据权利要求1所述的方法,其特征在于,所述SQL语句至少包括条件语句,所述访问权限控制集包括:至少一个账户和任意一个账户对应的附加条件语句。3.根据权利要求1所述的方法,其特征在于,所述从预设的访问权限控制集获取与所述当前账户匹配的附加条件语句包括:提取所述访问权限控制集;从所述访问权限控制集中,查找是否存在与所述当前账户的账户信息对应的第一条件子句;若存在,则将所述第一条件子句确定为所述附加条件语句;若不存在,则从所述访问权限控制集中,根据第二条件子句确定所述附加条件语句,其中,所述第二条件子句是指账户信息为空对应的语句。4.根据权利要求3所述的方法,其特征在于,所述从所述访问权限控制集中,根据第二条件子句确定所述附加条件语句包括:从所述访问权限控制集中,查找是否包含有所述第二条件子句;若包含,则将所述第二条件子句确定为所述附加条件语句;若不包含,则将预设附加条件确定为所述附加条件语句,其中,所述预设附加条件为永远为否的表达式。5.根据权利要求2所述的方法,其特征在于,所述访问权限控制集还包括任意一...
【专利技术属性】
技术研发人员:段文国,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。