一种数据权限控制方法及系统。所述数据权限控制方法包括:创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息;将所述角色信息与用户信息关联;对用户访问文件页面的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件页面的权限时,通过所述用户访问所述文件页面的请求;在通过所述请求后,对用户访问所述文件中特定数据的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件中特定数据的权限时,通过所述用户访问所述文件中特定数据的请求。所述数据权限控制方法及系统提高了数据安全性。
【技术实现步骤摘要】
本专利技术涉及数据处理
,特别涉及数据权限控制方法及系统。
技术介绍
在商务应用中,数据安全控制是十分重要的。例如,目前的商务应用中对于报表数 据安全的控制手段主要是针对报表页面级的权限控制。也就是说,对于用户是否能够访问 报表进行权限控制。当用户获得了报表的访问权限后,就可以查看报表中的任何数据。然而,随着实际商务应用中数据安全的重要性越来越高,仅仅对报表页面级的权 限控制已无法满足业务需求及信息安全的需求。
技术实现思路
本专利技术解决现有技术在商务应用中仅对报表页面级进行权限控制,无法满足数据 安全需求的问题。为解决上述问题,本专利技术提供一种数据权限控制方法,包括创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息;将所述角色信息与用户信息关联;对用户访问文件页面的请求进行权限检查,仅在与用户信息关联的角色信息具有 访问所述文件页面的权限时,通过所述用户访问所述文件页面的请求;在通过所述请求后,对用户访问所述文件中特定数据的请求进行权限检查,仅在 与用户信息关联的角色信息具有访问所述文件中特定数据的权限时,通过所述用户访问所 述文件中特定数据的请求。相应地,本专利技术还提供一种数据权限控制系统,包括角色信息创建单元,创建具有访问特定文件页面及所述特定文件中特定数据权限 的角色信息;第一关联单元,将所述角色信息与用户信息关联;第一权限控制单元,对用户访问文件页面的请求进行权限检查,仅在与用户信息 关联的角色信息具有访问所述文件页面的权限时,通过所述用户访问所述文件页面的请 求;第二权限控制单元,对具有访问所述文件页面权限的用户访问所述文件中特定数 据的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件中特定数据的 权限时,通过所述用户访问所述文件中特定数据的请求。与现有技术相比,上述数据权限控制方法及系统具有以下优点上述数据权限控 制方法及系统,对不同文件的访问及文件中特定数据的访问创建具有相应权限的角色信 息,基于角色信息分别对用户访问文件页面的请求及访问文件中特定数据的请求进行权限 检查。对于需访问文件中特定数据的用户而言,仅在其关联的角色信息具有相应访问权限 时才能被允许访问,因而进一步增强了数据的安全性。附图说明图1是本专利技术数据权限控制方法的一种实施方式流程图;图2是图1所示数据权限控制方法中创建角色信息的一种实施例流程图;图3是本专利技术数据权限控制系统的一种实施方式结构图;图4是图3所示数据权限控制系统中角色信息创建单元的一种实施例结构图;图5是图3所示数据权限控制系统中第一权限控制单元、第二权限控制单元相互 关系的一种实施例结构图。具体实施例方式参照图1所示,本专利技术数据权限控制方法的一种实施方式包括步骤Si,创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信 息;步骤s2,将所述角色信息与用户信息关联;步骤S3,对用户访问文件页面的请求进行权限检查,判断与用户信息关联的角色 信息是否具有访问所述文件页面的权限,若否,则执行步骤s4,若是,则执行步骤s5 ;步骤s4,拒绝所述用户访问所述文件页面的请求;步骤s5,通过所述用户访问所述文件页面的请求,并对用户访问文件中特定数据 的请求进行权限检查,判断与用户信息关联的角色信息是否具有访问所述文件中特定数据 的权限,若否,则执行步骤s6,若是,则执行步骤s7 ;步骤s6,拒绝所述用户访问所述文件中特定数据的请求;步骤s7,通过所述用户访问所述文件中特定数据的请求。上述数据权限控制方法的实施方式实际上包括两个阶段,即对于访问特定文件中 特定数据的操作进行授权的阶段以及根据所述授权信息进行权限检查及操作控制的阶段。在授权阶段,基于访问特定文件中特定数据必经的两个操作打开文件页面及查 看文件中特定数据,对于访问特定文件中数据的操作进行两级权限授予,即特定文件页面 级访问的权限授予及特定文件中特定数据访问的权限授予,并创建各种角色信息对有权限 访问特定文件中特定数据的操作进行区分。例如,角色信息Role_l有权限访问文件B中的 数据Cl,而角色信息Role_2有权限访问文件B中的数据C2,角色信息Role_3有权限访问 文件D中的数据E1。由于实际进行数据访问操作的都是各个用户,因而需要将所创建的角 色信息与用户信息进行关联。在权限检查及控制阶段,当某一用户提出访问特定文件中特定数据的请求时,同 样依据访问特定文件中特定数据必经的两个操作进行相应的权限检查。即,首先检查与该 用户信息关联的角色信息是否具有对其想访问的文件的页面级进行访问的权限,仅在该用 户信息关联的角色信息具有对所述文件页面级访问的权限时,才会打开所述文件页面。但 此时,该用户依然看不到任何文件中的数据,其还需接受是否具有对其想访问的数据进行 访问的权限检查,仅在该用户信息关联的角色信息具有对所述数据访问的权限时,该用户 才可看到其所想访问的数据。否则,即使该用户打开了文件页面,其也无法看到想访问的数 据。以下结合附图对上述数据权限控制方法进一步举例说明。参照图2所示,创建具有访问特定文件页面及所述特定文件中特定数据权限的角 色信息,可进一步包括步骤sll,对特定文件设置相应的文件代码,对特定文件中特定数据设置相应的数 据对象代码;步骤sl2,创建角色信息,并将所创建的角色信息与所述文件代码、数据对象代码 相关联。假定某一提供用户访问的数据库中有5个报表,则可将所述10个报表分别设置文 件代码为IteportJ R印ort_5。进一步假定该5个报表各自可以按各自具有的分类信息 进行数据的划分,所述分类信息可以为公司信息、工厂信息、分析指标中的一种或多种的组 合。例如,报表IteportJ记录有3家公司信息相关的数据,则该报表Iteport_l可按公司信 息划分为3个数据模块,依次设置数据对象代码为Module_ll、Module_12、Module_13。报 表R印ort_2记录有3种分析指标相关的数据,则该报表R印ort_2可按分析指标划分为3 个数据模块,依次设置数据对象代码为Module_21、Module_22、Module_23。则对报表R印ort_l及R印ort_2,就可设置6种角色信息Role_10 Role_12、 Role_20 Role_22,如将角色信息Role_10与文件代码R印ort_l、数据对象代码 Module_l 1相关联,则角色信息Role_10就有权限对报表Itep0rt_l中数据对象代码 ModuleJl相对应的公司信息相关数据进行访问;将角色信息Role_ll与文件代码 R印ort_l、数据对象代码Module_12相关联,则角色信息Role_l 1就有权限对报表R印ort_l 中数据对象代码Module_12相对应的公司信息相关数据进行访问;将角色信息Role_12与 文件代码R印ort_l、数据对象代码Module_13相关联,则角色信息Role_12就有权限对报 表IteportJ中数据对象代码Module_13相对应的公司信息相关数据进行访问;将角色信息 Role_20与文件R印ort_2、数据对象代码Module_21相关联,则角色信息Role_20就有权限 对报表R印ort_2中数据对象代码Mod本文档来自技高网...
【技术保护点】
一种数据权限控制方法,其特征在于,包括:创建具有访问特定文件页面及所述特定文件中特定数据权限的角色信息;将所述角色信息与用户信息关联;对用户访问文件页面的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件页面的权限时,通过所述用户访问所述文件页面的请求;在通过所述请求后,对用户访问所述文件中特定数据的请求进行权限检查,仅在与用户信息关联的角色信息具有访问所述文件中特定数据的权限时,通过所述用户访问所述文件中特定数据的请求。
【技术特征摘要】
【专利技术属性】
技术研发人员:杨郁州,
申请(专利权)人:无锡华润上华半导体有限公司,无锡华润上华科技有限公司,
类型:发明
国别省市:32[中国|江苏]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。