[发明专利]对数据库的访问权限的控制方法、装置及电子设备

说明书

本发明提供了一种对数据库的访问权限的控制方法、装置及电子设备，涉及数据处理技术领域，该方法应用于代理服务模块，代理服务模块与分布式数据查询引擎通信连接，分布式数据查询引擎与数据库通信连接；该方法包括：接收用户基于客户端发送的连接请求，并基于连接请求对用户进行身份认证，如果身份认证通过，则与客户端建立通信连接通道以接收客户端发送的查询请求，其中，查询请求包括用户名和待查询数据信息；根据预存的用户名与可访问数据信息的对应关系，确定客户端是否具有访问数据库中与待查询数据信息对应的数据的权限；如果是，将该查询请求转发至访问数据库中与待查询数据信息对应的数据的。本发明可以提升访问数据库的安全性。

技术领域

本发明涉及数据处理技术领域，尤其是涉及一种对数据库的访问权限的控制方法、装置及电子设备。

背景技术

现有的一些分布式数据查询引擎，在对用户的身份认证环节，仅仅是简单的判定用户是否具有对某个数据库的访问权限。而在云计算的使用场景中，为了最高效率的利用计算等资源，通常一个分布式数据查询引擎系统需要同时为多个租户提供数据查询服务，因此当将现有的分布式数据查询引擎部署在云计算场景下时，会带来租户之间数据不隔离的问题，尤其是对分布式数据库来说，例如：A租户和B租户的数据共同存储在C数据库的不同数据表中，因此，当A租户通过对C数据库的认证之后，A租户也可以访问B租户的相关数据，这存在严重的安全隐患。

发明内容

本发明的目的在于提供一种对数据库的访问权限的控制方法、装置及电子设备，以提高访问在基于分布式数据查询引擎的场景下对数据库访问的安全性。

本发明实施例提供了一种对数据库的访问权限的控制方法，应用于代理服务模块，所述代理服务模块与所述分布式数据查询引擎通信连接，所述分布式数据查询引擎与所述数据库通信连接；所述方法包括：接收用户基于客户端发送的连接请求，并基于所述连接请求对所述用户进行身份认证；如果身份认证通过，则与所述客户端建立通信连接通道以接收客户端发送的查询请求，其中，所述查询请求包括用户名和待查询数据信息；根据预存的用户名与可访问数据信息的对应关系，确定所述客户端是否具有访问所述数据库中与所述待查询数据信息对应的数据的权限；如果是，将所述查询请求转发至所述分布式数据查询引擎，以使得所述分布式数据查询引擎根据所述查询请求对所述数据库进行查询，得到查询结果。

进一步地，所述接收客户端发送的连接请求，并基于所述连接请求对所述客户端进行身份认证的步骤包括：接收客户端发送的连接请求；基于所述连接请求向所述客户端发送认证请求；接收所述客户端发送的身份验证数据包，其中，所述身份验证数据包包括第一令牌，所述第一令牌是所述客户端根据所述认证请求和预存的用户密钥进行加密而生成；基于预设的第二令牌对所述身份验证数据包中的第一令牌进行验证。

进一步地，所述待查询数据信息包括数据库名称、数据表名称和字段名称；所述预存的用户名与可访问数据信息的对应关系包括：用户名与数据库名称的对应关系和/或用户名与数据表名称的对应关系。

进一步地，将所述查询请求转发至所述分布式数据查询引擎的步骤，包括：确定所述待查询数据信息对应的数据源类型；将所述数据源类型添加到所述查询请求中，得到更新后的查询请求；将所述更新后的查询请求转发至所述分布式数据查询引擎。

进一步地，所述分布式数据查询引擎包括主协调服务器和备协调服务器；将所述查询请求转发至所述分布式数据查询引擎的步骤，包括：探测所述主协调服务器是否可用；如果所述主协调服务器不可用，探测所述备协调服务器是否可用；如果所述备协调服务器可用，将所述查询请求转发至所述备协调服务器。

进一步地，在将所述查询请求转发至所述分布式数据查询引擎之后，所述方法还包括：接收所述分布式数据查询引擎基于所述查询请求返回的查询结果；将所述查询结果发送至所述客户端。