[发明专利]一种数据权限的设定方法及装置

说明书

本发明公开了一种数据权限的设定方法及装置，用以实现精确且差异化的数据权限控制，达到统一控制和满足差异化权限种类双重目的。所述数据权限的设定方法，包括：创建用于设定多个应用系统中用户数据权限的权限设定树，所述权限设定树中包括预设的包含所有应用系统中用户数据权限的根节点、用于设定每一应用系统中用户数据权限的分支以及每一应用系统对应的分支中的主节点，其中，每一应用系统对应的分支中还包括多层子节点，所述多层子节点以及每一子节点的键值和属性由该应用系统动态设定；在任一应用系统对应的分支中设定该应用系统中用户的数据权限。

技术领域

本发明涉及通信技术领域，尤其涉及一种数据权限的设定方法及装置。

背景技术

随着信息化的高速发展，各企业和机构内部分工完成各种业务的应用系统越来越多，应用系统繁多且彼此独立，给用户的使用和管理带来很多困难，因此对各个独立的应用进行整合，实现统一的用户管理满足单点登录是最基本的需求。在统一用户管理的基础上，为各个业务系统进行统一的功能权限和数据权限设定是用户迫切需要的。但在数据权限方面，统一设定存在巨大障碍，由于各业务系统的数据权限随业务运用的需求不同和系统设计上的差异，其设定方式和需要控制的内容五花八门，有的需要从数据表一级控制，有的需要从字段一级控制，有的需要从记录一级控制，更多的需要从组合后的数据内容方面提出控制要求，因此由统一用户管理系统进行统一管理是非常困难的。

目前统一用户管理系统要么对数据权限不进行任何管理，其只提供用户管理，而由各应用系统自行处理数据权限的控制。要么提供一种固定且简单的数据权限控制方式，强制要求各应用系统遵守该种设定模式，对于应用系统特殊的控制需求则进行舍弃。要么是两种方式的组合，即部分应用系统遵从统一控制，部分应用系统则自行设定。

现有技术对于统一用户管理系统数据权限的设定一般采用三种方式解决，具体来说：

第一种方式是统一用户管理系统完全不支持数据权限的设定，由各应用系统自行设定数据权限，其带来的优点是数据权限仍可以按各应用系统业务需求进行差异化精细化的控制，缺点是用户管理和数据权限管理分布在不同系统，应用系统也必须在内部建立用户/角色/组织机构等体系，并从统一用户管理系统同步数据才能进行数据权限设定，每个应用系统都必须重复冗余建设，而且对于管理者和运行维护人员来说，用户管理和权限管理分散在不同处，使用起来非常不便并易产生错误。

第二种方式是由统一用户管理系统提供统一的设定方法，例如：各应用系统向统一用户管理系统注册本系统总共有哪几张具体的数据表，每张数据表有哪些字段，在用户管理系统中可以给角色或用户按照允许访问哪些表哪些字段的方式授予数据权限，然后各应用系统读取用户管理系统对用户所赋予的表和字段的访问设置来控制用户的数据访问权限。这种方式的优点是统一了数据权限的授权设置，用户使用起来一致性好，操作便捷。缺点是授权能力很有限，如果业务系统不是按表-字段模式授权，系统就无法支持。

第三种方式是第一种方式和第二种方式的组合，即统一用户管理系统提供表-字段的简易数据权限统一设定模式，部分能满足业务需求的应用采用统一设定，不能满足业务需求的应用采用同步用户和角色然后自行设定数据权限的方式实现。

现有技术中由于各应用系统根据业务应用需要对数据分类及数据权限的设定要求五花八门，差异巨大，统一用户管理系统只能提供类似于表-字段的简易化统一设定模式，很难满足各业务系统多样化的数据管理和授权控制，严重限制了业务运用的需求。对于复杂的数据控制和授权要求，只能通过各应用系统自行实现，造成的后果是用户管理和数据授权分离，客户运用不便且容易出错，应用系统需要同步用户管理系统的数据并进行冗余存储，造成系统设计开发成本上升，难度提高可靠性降低，同时使得统一用户管理丧失了很大作用。

综上所述，现有技术中在设定各个应用系统中用户的数据权限时，只能提供类似于表-字段的简易化统一设定模式，很难满足多样化的数据管理和授权控制，而且如果通过各应用系统自行设定用户的数据权限，不但难度高，而且可靠性低，同时使得统一用户管理丧失了作用。

发明内容