【技术实现步骤摘要】
本专利技术涉及用户数据处理领域,尤其涉及一种数据权限控制方法、装置以及电子设备。
技术介绍
1、随着大数据时代的飞速发展,一方面,发挥数据的资源价值不可避免的要进行数据共享,另一方面,数据共享所带来的数据安全问题也不容忽视。因此,对数据进行有效的数据权限控制,已成为至关重要的系统安全防线之一,只有合理进行数据访问权限控制,才能有效降低数据泄露风险,实现无权之人无法访问、有权之人按权访问。
2、目前,数据权限访问控制机制,通常是基于rbac进行简单的角色控制和或者用户组控制,即在系统中设置多个角色,每个角色有不同的菜单访问权限,根据用户对菜单访问的需要给用户赋予不同的角色以进行控制。
3、然而,这类控制方式存在以下问题:第一,前端页面代码冗余性高,无法适应多个角色共享页面的情况;第二,安全性差,一旦用户修改url参数,将很容易越权访问到其他数据;第三,适应性差,对于相同角色要访问不同数据子项、相同角色相同用户对同一子项访问控制的时序性要求等难以满足。
技术实现思路
1、本专利技术提供了一种数据权限控制方法、装置以及电子设备,以提高数据访问安全性、适应性。
2、根据本专利技术的第一方面,提供了一种数据权限控制方法,包括:
3、当接收到目标用户对审核项目的数据访问请求时,获取所述目标用户的关联信息和权限更新配置表;其中,所述关联信息包括目标用户对应的目标访问接口、目标角色类别、用户所属机构;
4、基于所述目标角色类别、所述目标访
5、当所述一级校验结果为通过时,基于所述目标访问接口、所述用户所属机构和所述权限更新配置表对所述数据访问请求进行二级校验,确定二级校验结果;
6、当所述二级校验结果为通过时,基于所述关联信息以及预设子项权限配置表,对所述目标用户开放与所述数据访问请求对应的各个子项数据的操作权限;其中,所述操作权限包括查看数据权限和编辑数据权限。
7、根据本专利技术的第二方面,提供了一种数据权限控制装置,包括:
8、数据获取模块,用于当接收到目标用户对审核项目的数据访问请求时,获取所述目标用户的关联信息和权限更新配置表;其中,所述关联信息包括目标用户对应的目标访问接口、目标角色类别、用户所属机构;
9、第一校验模块,用于基于所述目标角色类别、所述目标访问接口以及角色与访问接口之间的对应关系预设表,对所述数据访问请求进行一级校验,确定一级校验结果;
10、第二校验模块,用于当所述一级校验结果为通过时,基于所述目标访问接口、所述用户所属机构和所述权限更新配置表对所述数据访问请求进行二级校验,确定二级校验结果;
11、数据访问模块,用于当所述二级校验结果为通过时,基于所述关联信息以及预设子项权限配置表,对所述目标用户开放与所述数据访问请求对应的各个子项数据的操作权限;其中,所述操作权限包括查看数据权限和编辑数据权限。
12、根据本专利技术的第三方面,提供了一种电子设备,电子设备包括:
13、至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的计算机程序,计算机程序被至少一个处理器执行,以使至少一个处理器能够执行本专利技术任一实施例的数据权限控制方法。
14、根据本专利技术的第四方面,提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,计算机指令用于使处理器执行时实现本专利技术任一实施例的数据权限控制方法。
15、本专利技术实施例具有以下有益效果:第一,通过预先配置角色与访问接口之间的对应关系预设表、预设父子类权限配置表、预设子项权限配置表,实现灵活配置数据访问权限,按需生成细粒度权限控制记录表,实现无权之人无法访问,有权之人按权访问,相同角色相同机构同一数据不同子项数据访问权限控制。此外,将权限控制从菜单级细化到接口级,与基于用户角色的访问控制方法比,对于不同角色需要在同一页面进行不同的数据操作的情形,能够有效提高前端代码的复用率。同时,通过该装置可灵活配置接口权限校验情况,能够做到业务需要变化时,不改代码,通过修改接口权限配置就能达到数据权限控制变更的目的。第二,通过对动态更新预设父子类权限配置表,得到权限更新配置表,实时捕获业务流程变化,动态更新数据权限与业务权限流程,精准记录父子项的数据状态,结合数据权限校验机制,精准拦截数据权限访问请求,实现相同角色相同机构不同数据访问权限控制与相同角色不同机构同一数据不同时点数据访问权限控制。第三,通过对用户角色接口、流程环节操作、数据操作权限、子类子项权限进行校验,有效避免水平越权、垂直越权、流程逃逸等安全漏洞。
16、应当理解,本部分所描述的内容并非旨在标识本专利技术的实施例的关键或重要特征,也不用于限制本专利技术的范围。本专利技术的其它特征将通过以下的说明书而变得容易理解。
本文档来自技高网...【技术保护点】
1.一种数据权限控制方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,还包括:在所述审核项目执行的过程中,基于至少一个用户的服务端接口请求,对预设父子类权限配置表中的数据内容进行更新,得到所述权限更新配置表;其中,所述预设父子类权限配置表中包括与所述审核项目对应的角色类别维度、机构类别维度、流程阶段维度以及相关文件隶属关系维度的组合配置项。
3.根据权利要求2所述的方法,其特征在于,所述预设父子类权限配置表中包含多个配置行,每个配置行中包括多个配置项;
4.根据权利要求3所述的方法,其特征在于,所述基于至少一个用户的服务端接口请求,对预设父子类权限配置表中的数据内容进行更新,得到所述权限更新配置表,包括:
5.根据权利要求1所述的方法,其特征在于,所述基于所述目标角色类别、所述目标访问接口以及角色与访问接口之间的对应关系预设表,对所述数据访问请求进行一级校验,确定一级校验结果,包括:
6.根据权利要求1所述的方法,其特征在于,所述当所述一级校验结果为通过时,基于所述目标访问接口、所述用户所属机构和所述权
7.根据权利要求6所述的方法,其特征在于,所述基于所述当前处理机构、当前流程环节、当前处理人、用户所属机构以及目标访问接口,确定第一校验结果,包括:
8.根据权利要求1所述的方法,其特征在于,其中,所述二级校验结果包括校验通过结果和检验失败结果,所述检验通过结果包括查看校验通过结果和编辑校验通过结果;所述基于所述目标机构层级行以及当前信息配置行中的配置项,确定二级校验结果,包括:
9.一种数据权限控制装置,其特征在于,包括:
10.一种电子设备,其特征在于,所述电子设备包括:
...【技术特征摘要】
1.一种数据权限控制方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,还包括:在所述审核项目执行的过程中,基于至少一个用户的服务端接口请求,对预设父子类权限配置表中的数据内容进行更新,得到所述权限更新配置表;其中,所述预设父子类权限配置表中包括与所述审核项目对应的角色类别维度、机构类别维度、流程阶段维度以及相关文件隶属关系维度的组合配置项。
3.根据权利要求2所述的方法,其特征在于,所述预设父子类权限配置表中包含多个配置行,每个配置行中包括多个配置项;
4.根据权利要求3所述的方法,其特征在于,所述基于至少一个用户的服务端接口请求,对预设父子类权限配置表中的数据内容进行更新,得到所述权限更新配置表,包括:
5.根据权利要求1所述的方法,其特征在于,所述基于所述目标角色类别、所述目标访问接口以及角色与访问接口之间的对应关系...
【专利技术属性】
技术研发人员:张璐,刘中烨,李金金,
申请(专利权)人:中国农业银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。