[发明专利]基于关系数据模型的业务平台资源访问控制方法及系统

权利要求书

1.基于关系数据模型的业务平台资源访问控制方法，其特征在于，包括如下步骤：

步骤SS1：建立业务系统的关系数据模型；

步骤SS2：定义资源范围表达式的描述语言；

步骤SS3：基于所述关系数据模型及描述语言，配置角色访问策略的资源范围表达式；

步骤SS4：解析所述步骤SS3获得的资源范围表达式，生成SQL查询对象，执行SQL语句得到结果；

步骤SS5：更新资源ID集合查询缓存。

2.根据权利要求1所述的基于关系数据模型的业务平台资源访问控制方法，其特征在于，所述步骤SS1具体包括：

提取出系统中资源类型和资源分组的类型，建立一张资源分组类型表和一张资源分组实例表，为每种类型的资源单独建一张表；

资源分组类型和资源分组实例之间有一对多的关联关系；

资源分组实例是分层级的，同层级的资源分组实例有相同的资源分组类型，资源分组实例和资源分组实例之间有一对多的关联关系；一些类型的资源和资源分组实例之间有多对多的关联关系；另一些资源和资源之间有一对多的关联关系；用户和资源分组实例之间有多对多的关系。

3.根据权利要求1所述的基于关系数据模型的业务平台资源访问控制方法，其特征在于，所述步骤SS2具体包括：所述资源范围表达式的计算结果是一种类型的资源ID集合；所述描述语言定义资源范围表达式的语法和语义，在资源范围表达式中能够表示数据表、字段、关联关系、表连接和过滤条件，以及集合的并、差、交操作。

4.根据权利要求1所述的基于关系数据模型的业务平台资源访问控制方法，其特征在于，所述步骤SS3具体包括：在关系数据模型中找到指定类型的资源到用户之间的关联关系的路径，根据这个路径按照定义好的描述语言配置资源范围表达式，配置好后对所述资源范围表达式的语法和语义进行验证。

5.根据权利要求1所述的基于关系数据模型的业务平台资源访问控制方法，其特征在于，所述步骤SS4中的生成SQL查询对象具体包括：使用解析器对资源范围表达式进行语法和语义分析，把资源范围表达式翻译成一种ORM对象关系映射框架的SQL查询对象；所述执行SQL语句得到结果具体包括：ORM框架中的SQL查询对象适配主流的数据库如MySQL、PostgreSQL、Oracle，调用适配主流数据库直接生成具体的SQL查询语句，然后执行SQL查询语句，得到指定类型的资源ID集合。

6.根据权利要求1所述的基于关系数据模型的业务平台资源访问控制方法，其特征在于，所述步骤SS5具体包括：缓存中存放的是用户ID-角色ID-资源类型ID-操作ID:资源ID集合的键值对，能设置所述键值对的失效期；查询用户的指定角色能访问指定操作的指定类型资源的资源ID集合时，首先会经过缓存，如果缓存中没有有效的资源ID集合，才会执行所述步骤SS4的步骤得到结果并保存在缓存中；当角色访问策略发生变化时，使键中包含这个角色ID的所有键值对失效；当新增资源或者删除资源时，使键中包含这个资源类型ID的所有键值对失效。

7.基于关系数据模型的业务平台资源访问控制系统，其特征在于，包括：

关系数据模块，用于执行：建立业务系统的关系数据模型；

语言定义模块，用于执行：定义资源范围表达式的描述语言；所述资源范围表达式的计算结果是一种类型的资源ID集合；所述描述语言定义资源范围表达式的语法和语义，在资源范围表达式中能够表示数据表、字段、关联关系、表连接和过滤条件，以及集合的并、差、交操作；

配置表达式模块，用于执行：基于所述关系数据模型及描述语言，配置角色访问策略的资源范围表达式，具体为在关系数据模型中找到指定类型的资源到用户之间的关联关系的路径，根据这个路径按照定义好的描述语言配置资源范围表达式，配置好后对所述资源范围表达式的语法和语义进行验证；

解析执行模块，用于执行：解析所述配置表达式模块获得的资源范围表达式，生成SQL查询对象，执行SQL语句得到结果；

更新模块，用于执行：更新资源ID集合查询缓存。