[发明专利]基于权限的操作控制方法和装置

说明书

本发明公开了一种基于权限的操作控制方法和装置。该方法包括：接收用户的数据操作请求，其中，数据操作请求用于请求对数据进行增删改查操作；获取当前用户的身份标识信息；根据身份标识信息查询用户的数据权限层级；根据用户的数据权限层级确定允许或拒绝用户的数据操作请求。通过本发明，达到了使多层级的用户数据权限管理更灵活的效果。

技术领域

本发明涉及数据库领域，具体而言，涉及一种基于权限的操作控制方法和装置。

背景技术

当前，不论是何种业务应用，不论何种形式的软件，为了实现对其信息数据的保护，权限管理模块都是不可或缺的。权限通常会划分为功能权限和数据权限两种类型。功能权限也叫操作权限，指的是允许或拒绝用户使用系统提供的某个功能。而数据权限指的是允许或拒绝用户进行某个数据的增删改查操作。一般在系统中，功能权限和数据权限应当同时有效。例如，在windows系统中，某用户具有新建一个文件的功能权限，该用户在C盘没有写权限，但在D盘有写权限；则该用户不能把他创建的文件保存在C盘而只能保存在D盘。在这个例子中，能否创建文件是由功能权限来控制的，能否保存文件是由数据权限进行控制的。

功能权限一般使用基于角色访问控制技术RBAC(Role Baesd Access Control)。而在数据权限管理领域，没有统一的技术。一般也有使用基于角色的访问控制技术RABC，或者指定规则引擎，也有一些使用第三方专业软件。

相关技术中，数据权限控制方面，由于用户要访问的数据有多个层级，只能根据角色对用户权限进行区分，不同用户之间的数据权限无法做到相互独立，互不关联。针对相关技术中多层级的用户数据权限管理不够灵活的问题，目前尚未提出有效的解决方案。

发明内容

本发明的主要目的在于提供一种基于权限的操作控制方法和装置，以解决多层级的用户数据权限管理不够灵活的问题。

为了实现上述目的，根据本发明的一个方面，提供了一种基于权限的操作控制方法，该方法包括：接收用户的数据操作请求，其中，所述数据操作请求用于请求对数据进行增删改查操作；获取当前用户的身份标识信息；根据所述身份标识信息查询所述用户的数据权限层级；根据所述用户的数据权限层级确定允许或拒绝所述用户的数据操作请求。

进一步地，所述方法还包括：接收用户的功能操作请求，其中，所述功能操作请求用于请求使用系统提供的功能；根据所述用户的身份标识信息确定所述用户的角色；根据所述用户的角色查询对应的功能权限层级；根据所述功能权限层级确定允许或拒绝所述用户的功能操作请求。

进一步地，根据所述身份标识信息查询所述用户的数据权限层级包括：根据所述身份标识信息查询用户与数据关系表中存储的用户管理的数据类型，其中，所述数据类型用于指示用户的数据权限层级；根据所述数据类型确定所述用户的数据权限层级。

进一步地，根据所述用户的角色查询对应的功能权限层级包括：根据所述用户的角色查询角色与功能关系表中角色对应的功能类型，其中，所述功能类型用于指示用户的功能权限层级；根据所述功能类型确定角色对应的功能权限层级。

为了实现上述目的，根据本发明的另一方面，还提供了一种基于权限的操作控制装置，该装置包括：第一接收单元，用于接收用户的数据操作请求，其中，所述数据操作请求用于请求对数据进行增删改查操作；获取单元，用于获取当前用户的身份标识信息；第一查询单元，用于根据所述身份标识信息查询所述用户的数据权限层级；第一确定单元，用于根据所述用户的数据权限层级确定允许或拒绝所述用户的数据操作请求。

进一步地，所述装置还包括：第二接收单元，用于接收用户的功能操作请求，其中，所述功能操作请求用于请求使用系统提供的功能；第二确定单元，用于根据所述用户的身份标识信息确定所述用户的角色；第二查询单元，用于根据所述用户的角色查询对应的功能权限层级；第三确定单元，用于根据所述功能权限层级确定允许或拒绝所述用户的功能操作请求。