[发明专利]一种信息访问权限控制方法

说明书

技术领域

本发明涉及一种信息访问权限控制方法，是一种对任意一个表的任意一条或一批记录进行权限控制的方法，主要应用于信息管理系统，增强对操作员权限控制的灵活性，从而达到信息安全的目的，是对信息管理系统权限控制的补充。

背景技术

二十一世纪是信息技术的时代，飞速发展的计算机技术早已进入企业管理领域，辅助管理企业的生产资料、生产计划，甚至为企业发展战略的决策提给重要的参考依据。计算机辅助企业管理使得各种中小企业的日益壮大，逐渐发展成为大型企业甚至超大型企业。为了保持企业的高速发展，人们对管理水平提出了更高更全面的要求，而信息安全方面则显得尤为重要。

目前对权限控制常用的方法主要有功能权限和内容权限两种。

功能权限的实现比较简单，目前的大多数管理系统在对功能点的控制或者是基于角色的管理上都有较灵活的实现方法。可以采用加法的原则和使用角色的组合来应对企业客户提出的复杂的功能权限要求。比如公司的业务员属于录入员这个角色，负责基础信息的录入，但是无法查看公司的重要报表；而公司领导属于决策者的这个角色，就被允许查看重要报表。这种对功能是否可用的权限控制方法是本技术领域中使用比较普遍的方法，我们通常称它为功能权限。

内容权限解决的是相同功能点下不同用户所看到的数据内容是不同的，它是数据的一种隔离。比如有三个操作员ABC同样都具有信息录入的权限，但是A和B只能看到自己录入的信息，而C做为B的领导，他除了能看到自己的信息以外，还能看到他的下属B录入的信息。内容权限要相对复杂很多，所以很难做到让用户可以根据自己的需求灵活自定义。企业都有着不同的管理系统，因此如果没有能灵活自定义的内容权限的过滤方法，就只能依赖于软件厂商的二次开发，这将给管理系统的实施带来巨大的成本。所以如果能有一种实现内容权限自定义的方法，它将是管理系统中内容权限控制的一个重要补充。

发明内容

本发明主要是解决现有技术所存在的技术问题，提供了一种信息访问权限控制方法。

本发明的上述技术问题主要是通过下述技术方案得以解决的：一种信息访问权限控制方法，其特征在于所述控制方法包括下述步骤：⑴注册内容权限的表对象；⑵设置内容权限的过滤规则并将该过滤规则保存至数据库中；⑶将上述过滤规则赋给需要上述内容权限的用户；⑷相关业务点中的程序根据注册的表对象和用户输入的过滤规则对数据进行过滤并反馈给用户，即分析前面三步确定的三个必要条件，将前面三个条件转化成SQL语句，并与传入的SQL语句进行合并，使其成为一个新的SQL语句，本算法其实就是对业务层代码的一种“劫持”，实现非常简单而且对程序代码具有极少的侵入性，可以在不影响程序员正常的开发流程的情况下将权限过滤应用到业务中。

作为优选，所述步骤⑴中，内容权限的注册在信息管理系统发布前就事先注册到预置的数据库中，在相应模块需要过滤的地方开启内容权限过滤开关，程序会根据此开关的启闭来决定是否启用内容权限的过滤算法。

作为优选，所述步骤⑵中，需要保存用户输入的信息包括参考规则的基础数据id、运算符、规则定义数据、逻辑运算符。

作为优选，所述步骤⑶中，权限管理员根据需要通过步骤⑵配置不同的内容权限过滤规则，然后将这些规则分配给相应的操作员或角色。

作为优选，所述步骤⑷具体为：

第一步，分析SQL语句是否是由UNION或 UNION ALL组合的语句，如果是将UNION的各个并列的SQL子句一一分开，并保存到一个数组中，后期处理时将分别对这些子句一一做处理；如果不包含UNION，则直接返回SQL语句本身；

第二步，对步骤一中的SQL子句做进一步分解，利用关键字FROM、WHERE、GROUP、HAVING、ORDER将SQL语句分解成多个部分，并从中解析出表名、初始过滤条件信息；如果语句中包含JOIN相关信息，则利用JOIN和ON所在的位置，进一步解析出关联表的名称，分解出SQL子句的各个组成部分的内容，后面的步骤中需要用到此步骤分析出的各个部分；

第三步，根据步骤二中求得的表名、系统当前登陆的用户名以及当前登陆的组织信息，去权限过滤规则表中查询与当前用户当前表相关的过滤规则，对规则中的动态变量用实际的参数进行替换：如果查询出来的过滤规则为一项则直接返回该规则，如果过滤规则多于一项则以多个规则交集的形式返回一个字符串；

第四步，将步骤二中分解出来的初始过滤条件和步骤三中从规则数据库里获取的规则条件进行组合，形成一个新的过滤条件，组合格式为“初始过滤条件”AND“过滤规则”；