[发明专利]一种数据权限的控制方法及控制装置

说明书

技术领域

本发明属于计算机信息安全技术领域，尤其涉及一种数据权限的控制方法及控制装置。

背景技术

随着信息化技术和互联网的高速发展，对信息化系统的要求不断提高，在许多应用系统中明确提出要实现权限的控制。

目前基于RBAC模型，将权限分配在角色上，用户通过继承角色来获得权限。权限一般分为功能权限和数据权限，功能权限主要是指角色对某个业务所具有的读、写、查、改、删除等的许可。数据权限主要是指角色可以访问到的业务数据范围。基于RBAC模型的权限管理多侧重于功能权限的控制，对数据权限的控制不灵活，数据权限的颗粒度不能灵活调整。

发明内容

有鉴于此，本发明的目的在于提供一种数据权限的控制方法及控制装置，用于解决现有技术中对数据权限的控制不灵活，数据权限的颗粒度不能灵活调整的问题。

技术方案如下：

本发明提供一种数据权限的控制方法，包括：

接收用户信息；

根据所述用户信息，确定角色信息；

根据所述角色信息，获取与所述角色信息对应的功能权限以及数据权限；

判断所述功能权限是否是配置数据权限；

若判断所述功能权限是配置数据权限，则根据与所述角色信息对应的数据权限访问数据；

根据访问到的数据为至少一个角色信息配置新的数据权限。

优选地，所述根据所述用户信息，确定角色信息包括：

根据所述用户信息，确定与所述用户信息对应的租户信息；其中，所述租户信息与至少一个角色信息存在对应关系；

从与所述租户信息对应的所有角色信息中，确定与所述用户信息对应的角色信息。

优选地，所述根据访问到的数据为至少一个角色信息配置新的数据权限包括：

选择待配置角色信息；

从访问到的数据中，选择待配置数据；

获取所述待配置数据的属性信息；

根据所述属性信息和预设数据规则配置与所述待配置角色信息对应的数据权限。

优选地，所述判断所述功能权限是否是配置数据权限后，还包括：

若判断所述功能权限不是配置数据权限，则根据所述功能权限以及所述数据权限，访问数据。

优选地，所述若判断所述功能权限不是配置数据权限后，所述根据所述功能权限以及所述数据权限访问数据前，还包括：

判断所述数据权限的控制开关是否处于开启状态；

判断所述数据权限的控制开关处于开启状态，则执行根据所述功能权限以及所述数据权限访问数据。

本发明还提供一种数据权限的控制装置，包括：

接收单元，用于接收用户信息；

确定单元，用于根据所述用户信息，确定角色信息；

获取单元，用于根据所述角色信息，获取与所述角色信息对应的功能权限以及数据权限；

第一判断单元，用于判断所述功能权限是否是配置数据权限；

访问单元，用于所述第一判断单元判断所述功能权限是配置数据权限时，根据与所述角色信息对应的数据权限访问数据；

配置单元，用于根据访问到的数据为至少一个角色信息配置新的数据权限。

优选地，所述确定单元包括：

第一确定子单元，用于根据所述用户信息，确定与所述用户信息对应的租户信息；其中，所述租户信息与至少一个角色信息存在对应关系；

第二确定子单元，用于从与所述租户信息对应的所有角色信息中，确定与所述用户信息对应的角色信息。

优选地，所述配置单元包括：

第一选择子单元，用于选择待配置角色信息；

第二选择子单元，用于从访问到的数据中，选择待配置数据；

获取子单元，用于获取所述待配置数据的属性信息；

配置子单元，用于根据所述属性信息和预设数据规则配置与所述待配置角色信息对应的数据权限。

优选地，所述访问单元，还用于所述第一判断单元判断所述功能权限不是配置数据权限时，根据所述功能权限以及所述数据权限，访问数据。

优选地，还包括：第二判断单元，用于判断所述数据权限的控制开关是否处于开启状态；

所述访问单元，还用于所述第二判断单元判断所述数据权限的控制开关处于开启状态时，根据所述功能权限以及所述数据权限访问数据。

与现有技术相比，本发明提供的上述技术方案具有如下优点：