用于数据权限控制的方法和系统技术方案

本发明专利技术公开了一种用于数据权限控制的方法和系统。所述用于数据权限控制的方法可以包括：建立组织机构树模型；按照不同的数据权限要求对数据进行分类；根据不同的数据权限，将用户标识和分类后的数据类型分别归集到所述组织结构树模型的各个节点中；以及根据所述组织机构树模型的节点对用户操作数据的权限进行控制。根据本发明专利技术的各种实施方式，提出了一种轻量级的数据权限控制方案，针对不需要像现有技术那样细粒度的权限控制的情况，所述轻量级的数据权限控制方案可以简单地实现数据权限控制，只要把数据类型和用户挂载到具体的机构树上的具体节点即可实现，不用独立为每一个用户操作配置过滤条件。

Method and system for data access control

The invention discloses a method and a system for Data permission control. The method for data access control can include: the establishment of tree model organization; in accordance with the requirements of different data access for data classification; according to the data of different permissions, each node will be user identification and classification of the data type classification to the tree structure model; and according to the node of the organization the tree model of the user data access control. According to various embodiments of the present invention, a lightweight data access control program, do not need to like the current technologies for fine-grained access control, the lightweight data access control scheme can realize the data access control is simple, as long as the data types and user specific nodes can be mounted to the specific institution the tree, not individually for each user configuration filtering conditions.

【技术实现步骤摘要】

本专利技术涉及通信领域，更为具体而言，涉及一种用于数据权限控制的方法和系统。
技术介绍
不同角色的用户对系统中的不同的数据的操作权限不同。在一个信息系统中，不同角色的用户登录到系统中，看到数据是不一样的。比如总经理登录至系统中能够看到所有的经营数据，销售员登录到系统中只能看到属于他的客户的销售信息，而看不到其他的诸如财务等其他信息。在数据权限控制上，现有技术方案基本上都是通过对用户的某一个操作设置一定过滤条件，这个过滤条件可能是直接通过sql(即StructuredQueryLanguage，结构化查询语言)写出来，也可能是通过json(即JavaScriptObjectNotation，是一种轻量级的数据交换格式)或者xml(即ExtensibleMarkupLanguage，可扩展标记语言)等格式表达的，但最终都是要通过sql表达出来的。比如，销售员只能查看自己维护的客户的订单信息，那么销售员在查看订单的时候，就需要带上过滤条件，即只能查看属于自己的客户。对于其他的用户操作，也一样要带上此类过滤条件。但是，由于不同的用户操作，需要的过滤条件不一样，也就是说，对于不同的用户操作，需要独立写过滤条件(注意：这种过滤条件可能是通过配置文件的方式实现的，也即上面提到的json和xml的方式)，所以此类方案没有一个普适性。在上述方案中，针对不同的操作配置不同的过滤条件以实现数据权限，实现的是细粒度的数据权限控制。比如控制销售员只能查看2014年1月1日之后的某一些用户的订单，这种方案对于每一个用户操作都需要独立配置一套过滤条件，如果某个系统中有100个用户操作，那么就需要独立配置100个过滤条件，这种方法过于繁琐。然而，在大部分情况下，数据权限不用做到如此细粒度，在此种情况下，使用上述方案将会产生许多额外的工作量，同时也增加了系统的复杂度。
技术实现思路
鉴于现有技术的上述缺陷，本专利技术的实施方式提供了一种用于数据权限控制的方法和系统，其提出了一种轻量级的数据权限控制方案。根据本专利技术的一种实施方式，提供了一种用于数据权限控制的方法，所述方法可以包括：建立组织机构树模型；按照不同的数据权限要求对数据进行分类；根据不同的数据权限，将用户标识和分类后的数据类型分别归集到所述组织结构树模型的各个节点中；以及根据所述组织机构树模型的节点对用户操作数据的权限进行控制。根据本专利技术的另一种实施方式，提供了一种数据权限控制系统，所述系统可以包括：组织机构树模块，用于建立组织机构树模型；挂载模块，用于按照不同的数据权限要求对数据进行分类，并将用户标识和分类后的数据类型分别归集到所述组织结构树模型的各个节点中；权限控制模块，用于根据所述组织机构树模型的节点对用户操作数据的权限进行控制。采用本专利技术的各种实施方式具有下述有益效果：根据本专利技术的各种实施方式，提出了一种轻量级的数据权限控制方案，针对不需要像现有技术那样细粒度的权限控制的情况，所述轻量级的数据权限控制方案可以简单地实现数据权限控制，只要把数据类型和用户挂载到具体的机构树上的具体节点即可实现，不用独立为每一个用户操作配置过滤条件。由此，相对于现有技术，工作量得以减少，同时也简化了系统的复杂度。附图说明图1是示出根据本专利技术实施方式的一种用于数据权限控制的方法的流程图；图2是示出根据本专利技术实施方式的一种数据权限控制系统的框图；图3是示出根据本专利技术另一实施方式的一种数据权限控制系统的框图。具体实施方式为了便于理解本专利技术技术方案的各个方面、特征以及优点，下面结合附图对本专利技术进行具体描述。应当理解，下述的各种实施方式只用于举例说明，而非用于限制本专利技术的保护范围。参考图1，示出了本专利技术一种实施方式的用于数据权限控制的方法的处理流程。根据本专利技术实施方式，所述方法可以包括，但不限于下述处理：S110.建立组织机构树模型；S120.按照不同的数据权限要求对数据进行分类；S130.根据不同的数据权限，将用户标识和分类后的数据类型(即数据分类)分别归集到所述组织结构树模型的各个节点中；S140.根据所述组织机构树模型的节点对用户操作数据的权限进行控制。其中，用户操作数据可包括但不限于：用户对数据的查询、写入、更改、删除等。根据本专利技术实施方式，只要把数据类型和用户挂载到具体的机构树上的具体节点即可实现轻量级的数据权限控制，不用独立为每一个用户操作配置过滤条件。由此，相对于现有技术，工作量得以减少，同时也简化了系统的复杂度。在本专利技术的另一种实施方式中，处理S110可以包括：根据组织机构的结构体系，建立带有层级关系的组织机构树；以及为所述组织机构树中的每一个节点分配一个节点标识。在本专利技术的一种实施方式中，处理S140可以包括：允许当前节点的用户能够对当前节点对应的数据类型的数据进行操作。在本专利技术的一种优选实施方式中，处理S130可以包括，但不限于：根据不同的数据权限，建立数据类型与所述组织机构树模型中各节点的节点标识的第一对应关系，建立用户与所述组织机构树模型中各节点的节点标识的第二对应关系。进一步地，处理S140可以包括：基于用户标识和所述第二对应关系确定用户对应的节点标识；根据所述节点标识和所述第一对应关系对用户操作数据的权限进行控制。其中，作为选择，根据所述节点标识和所述第一对应关系对用户操作数据的权限进行控制可以包括：根据所述节点标识和所述第一对应关系确定与所述节点标识对应的数据类型；允许用户对所述确定出的数据类型的数据进行操作。参考图2，其示出了根据本专利技术一种实施方式的数据权限控制系统。在本专利技术实施方式中，所述系统可以包括但不限于：组织机构树模块210、挂载模块220以及权限控制模块230。具体而言，所述组织机构树模块210用于建立组织机构树模型，例如，根据组织机构的结构体系，建立带有层级关系的组织机构树，并且为所述组织机构树中的每一个节点分配一个节点标识。所述挂载模块220用于按照不同的数据权限要求对数据进行分类，并将用户标识和分类后的数据类型分别归集到所述组织结构树模型的各个节点中。并且，所述权限控制模块230用于根据所述组织机构树模型的节点对用户操作数据的权限进行控制。其中，用户操作数据可包括但不限于：用户对数据的查询、写入、更改、删除等。在本专利技术的一种实施方式中，所述挂载模块220可以包括：挂载数据类本文档来自技高网...

【技术保护点】
一种用于数据权限控制的方法，其特征在于，所述方法包括：建立组织机构树模型；按照不同的数据权限要求对数据进行分类；根据不同的数据权限，将用户标识和分类后的数据类型分别归集到所述组织结构树模型的各个节点中；根据所述组织机构树模型的节点对用户操作数据的权限进行控制。

【技术特征摘要】
1.一种用于数据权限控制的方法，其特征在于，所述方法包括：
建立组织机构树模型；
按照不同的数据权限要求对数据进行分类；
根据不同的数据权限，将用户标识和分类后的数据类型分别归集到所述
组织结构树模型的各个节点中；
根据所述组织机构树模型的节点对用户操作数据的权限进行控制。
2.根据权利要求1所述的方法，其特征在于，建立组织机构树模型包括：
根据组织机构的结构体系，建立带有层级关系的组织机构树；
为所述组织机构树中的每一个节点分配一个节点标识。
3.根据权利要求2所述的方法，其特征在于，根据不同的数据权限，将
用户和分类后的数据类型分别归集到所述组织结构树模型的各个节点中包
括：
根据不同的数据权限，建立数据类型与所述组织机构树模型中各节点的
节点标识的第一对应关系，建立用户与所述组织机构树模型中各节点的节点
标识的第二对应关系。
4.根据权利要求1所述的方法，其特征在于，根据所述组织机构树模型
的节点对用户操作数据的权限进行控制包括：
允许当前节点的用户能够对当前节点对应的数据类型的数据进行操作。
5.根据权利要求2所述的方法，其特征在于，根据所述组织机构树模型
的节点对用户操作数据的权限进行控制包括：
基于用户标识和所述第二对应关系确定用户对应的节点标识；
根据所述节点标识和所述第一对应关系对用户操作数据的权限进行控
制。
6.根据权利要求5所述的方法，其特征在于，根据所述节点标识和所述
第一对应关系对用户操作数据的权限进行控制包括：
根据所述节点标识和所述第一对应关系确定与所述节点标识对应的数据
类型；
允许用户对所述确定出的数据类型的数据进行操作。
7.一种数据权限控制系统，其特征在...

【专利技术属性】
技术研发人员：章梦，何明杰，赵欣，丘群业，张兴强，王海潮，何艳萍，胡建波，
申请(专利权)人：中国建设银行股份有限公司，
类型：发明
国别省市：北京;11