本发明专利技术涉及一种用于检验用户身份及访问权限的方法,尤其是涉及一种应用于财政管理软件系统中的基于对象多维属性空间的数据仓库鉴权方法及系统。本发明专利技术首先能够为用户角色与数据对象的多维属性灵活设置权限关系,然后通过数据权限的设置,限制用户角色可以操作的数据对象的范围,同时实现对数据对象的快速访问。本发明专利技术适用于所有存在数据库和文本数据存储和处理的信息系统,尤其适用于电子政务领域行政办公系统中业务数据与公文的无缝集成与一致检索。
【技术实现步骤摘要】
本专利技术涉及一种用于检验用户身份及访问权限的方法,尤其是涉及一种应用于财政管理软件系统中的基于对象多维属性空间的数据仓库鉴权方法及系统。
技术介绍
在现有的数据仓库鉴权方法中,大多数系统采用基于角色的数据仓库鉴权方法。 基于角色的数据仓库鉴权方法提供了一种以用户一角色一权限为基本结构的访问控制方 式,是解决大型系统统一资源访问控制的主要解决方案,能够满足大多数应用系统的需求, 其缺陷在于没有就数据的控制方面提供完善的解决方案。也就是说,基于角色的数据仓库 鉴权方法是一个粗粒度的鉴权方法,只解决一些相对粗粒度的权限,即仅仅告诉系统谁能 做什么事或者谁不能做什么事,它只是以能为上层的访问控制系统提供服务为目标,无法 满足某些管理系统(譬如,财政管理软件系统)需要将鉴权颗粒度细化到数据对象属性的 需求。
技术实现思路
本专利技术所要解决的技术问题是在使用基于角色的访问控制方法解决粗粒度控制 的基础上如何使用基于对象多维属性空间的数据仓库鉴权方法对数据的访问进行控制的 问题,提供一种能够根据数据对象的多维属性对数据进行访问控制的方法,将数据仓库鉴 权颗粒度细化到数据对象的属性。为了实现上述目的,本专利技术采用的技术方案如下一种基于对象多维属性空间的数据仓库鉴权方法,包括以下步骤(1)在配置期,确定在整个系统中用于数据鉴权的数据对象的属性;(2)在配置期,创建多维属性数据权限组;(3)在配置期,给不同的用户角色授权不同的数据权限组;(4)在运行期,在创建数据对象的同时,生成用户角色相对应的数据对象多维属性 值组合ID ;(5)在运行期,在访问数据时,根据数据对象多维属性值组合ID判断数据对象是 否符合该用户角色相应的数据权限组授权设置,如果符合,则该用户角色可以访问此数据 对象,否则,不能访问。进一步,如上所述的基于对象多维属性空间的数据仓库鉴权方法,步骤(1)用于 数据鉴权的数据对象的属性应该是自始至终存在于业务数据的整个生命周期,并且自数据 对象创建以后,这些属性的值是固定不变的。进一步,如上所述的基于对象多维属性空间的数据仓库鉴权方法,步骤(2)中创 建的每个数据权限组为各个属性不同取值范围的集合。进一步,如上所述的基于对象多维属性空间的数据仓库鉴权方法,步骤(2)中各 个属性的取值范围支持全部权限和部分权限两种模式。进一步,如上所述的基于对象多维属性空间的数据仓库鉴权方法,步骤(4)中生 成的数据对象多维属性值组合ID存储在一张独立的表中,这张表中的一行记录就是一个 数据对象的多维属性值的组合,而在数据对象中只记录数据对象多维属性值组合ID的主 键值。进一步,如上所述的基于对象多维属性空间的数据仓库鉴权方法,步骤(5)中提 供一组接口,在运行期通过校验步骤(4)中生成的数据对象多维属性值组合ID与步骤(3) 中的用户角色对应的数据权限组之间权限关系对数据对象进行访问控制。进一步,如上所述的基于对象多维属性空间的数据仓库鉴权方法,在维护数据对象时,如果用于鉴权的数据对象的属性发生了变更,那么要同时生成新的数据对象多维属 性值组合ID。一种基于对象多维属性空间的数据仓库鉴权系统,包括鉴权属性确定模块,用于确定在整个系统中用于数据鉴权的数据对象的属性;权限组设置模块,用于创建多维属性数据权限组;权限组授权模块,用于给不同的用户角色授权不同的数据权限组;数据对象创建接口模块,用于在创建数据对象的同时,生成用户角色相对应的数 据对象多维属性值组合ID ;数据对象访问接口模块,用于在访问数据时,根据数据对象多维属性值组合ID判 断数据对象是否符合该用户角色相应的数据权限组授权设置。进一步,如上所述的基于对象多维属性空间的数据仓库鉴权系统,还包括多维属性数据权限组信息表模块,用于存储多维属性数据权限组信息;数据对象多维属性值组合ID表模块,用于存储数据对象多维属性值组合ID的数 据信息。本专利技术的有益效果如下本专利技术能够为用户角色与数据对象的多维属性灵活设置 权限关系,然后通过数据权限的设置,限制用户角色可以操作的数据对象的范围,同时实现 对数据对象的快速访问。本专利技术支持数据对象多维属性空间的交叉权限设置,能很好满足 管理软件系统中各个不同职能部门及用户角色对数据对象进行交叉访问控制的要求。本发 明适用于所有存在数据库和文本数据存储和处理的信息系统,尤其适用于电子政务领域行 政办公系统中业务数据与公文的无缝集成与一致检索。附图说明图1为具体实施方式中基于对象多维属性的数据仓库鉴权方法流程图;图2为具体实施方式中基于对象多维属性的数据仓库鉴权系统示意图。具体实施例方式下面结合附图和具体实施方式对本专利技术进行详细描述。如图1所示,一种基于对象多维属性空间的数据仓库鉴权方法,包括以下步骤(1)在配置期,确定在整个系统中用于数据鉴权的数据对象的属性,即确定在整个 系统中数据对象的哪些属性用于数据鉴权。用于鉴权的数据对象的属性不能任意确定,应该是自始至终存在于业务数据的整个生命周期,并且自从数据对象创建以后,这些属性的值是固定不变的。以政府财政预算执行业务系统为例,一般将“业务处(科)室”、“预算单位”、“资金 性质”、“支付方式”、“功能分类”这几个属性作为鉴权属性,预算执行业务数据对象一般都 包含这几个属性,并且自从数据对象创建完成进入业务流程后,这几个属性的值是不会再 改变的。根据以上用于鉴权的数据对象属性的确定原则,并且根据不同业务系统实际需 要,可以对用于鉴权的属性个数及种类进行增加或减少。(2)在配置期,创建多维属性数据权限组,每个数据权限组是各个属性不同取值范 围的集合。各个属性不同取值范围的集合采用笛卡尔集的形式。各个属性的取值范围支持全部权限和部分权限两种模式,在多维属性权限组设置 模块中,为每个属性提供两个选项用于确定其取值范围全部权限、部分权限,二者取其一, 如下表所示当选择全部权限时,表示该权限组拥有当前属性的所有值的权限,选择全部权限, 不会显示出该属性的值集列表。当选择部分权限时,显示出该属性的值集列表,根据需要在 值集列表中复选数据。(3)在配置期,给不同的用户角色授权不同的数据权限组,此处提供了一个配置功 能,将步骤(2)中创建的数据权限组授权给相应的用户角色(4)在运行期,在创建数据对象的同时,生成用户角色相对应的数据对象多维属性 值组合 ID(RCID)。此处引入了 RCID(DataRight CodeCombinations ID)的概念,它是步骤 (2)中某个数据权限组的一个实例。RCID贯穿于数据对象的创建、访问、维护的整个过程。RCID机制的引入是为了提 高基于对象多维属性空间的数据鉴权的效率,在数据仓库中RCID实例存储在一张独立的 表(SyS_right_C0mbinati0n)中,这张表中的一行记录就是一个数据对象的多维属性值的 组合,而数据对象中只记录RCID主键值。简言之,数据对象与其多维鉴权属性值之间通过 RCID进行关联。(5)在运行期,在访问数据时,根据数据对象多维属性值组合ID(RCID)判断数据 对象是否符合该用户角色相应的数据权限组授权设置,如果符合,则该用户角色可以访问 此数据对象,否则,不能访问。此处提供一组接口,在运行期通过校验步骤(4)中生成的数 据对象多本文档来自技高网...
【技术保护点】
一种基于对象多维属性空间的数据仓库鉴权方法,包括以下步骤:(1)在配置期,确定在整个系统中用于数据鉴权的数据对象的属性;(2)在配置期,创建多维属性数据权限组;(3)在配置期,给不同的用户角色授权不同的数据权限组;(4)在运行期,在创建数据对象的同时,生成用户角色相对应的数据对象多维属性值组合ID;(5)在运行期,在访问数据时,根据数据对象多维属性值组合ID判断数据对象是否符合该用户角色相应的数据权限组授权设置,如果符合,则该用户角色可以访问此数据对象,否则,不能访问。
【技术特征摘要】
【专利技术属性】
技术研发人员:曾纪才,闫建军,方益,胡锦锋,朱支群,张奇,
申请(专利权)人:北京用友政务软件有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。