本发明专利技术实施例提出一种访问控制方法、装置、电子设备及计算机可读存储介质,该方法包括:当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断用户是否具有访问目标资源的权限;其中,目标资源表征权限系统内的业务动态数据;分配表用于维护用户、资源和角色三者之间的对应关系;角色权限关联表用于维护角色与权限之间的对应关系;若具有访问目标资源的权限,则根据预设的资源表中目标资源的存储索引信息控制用户操作目标资源;资源表用于维护全部业务动态数据的存储索引信息。本发明专利技术能够实现动态数据和静态数据的分离,降低权限数据量或者角色数据过大的风险,提高模型的便利性。提高模型的便利性。提高模型的便利性。
【技术实现步骤摘要】
访问控制方法、装置、电子设备及计算机可读存储介质
[0001]本专利技术涉及信息处理
,具体而言,涉及一种访问控制方法、装置、电子设备及计算机可读存储介质。
技术介绍
[0002]为了满足企业级的统一访问控制后台的高可用性、兼容性、操作便利性等普遍要求,必须有一种既能支持角色管理,又能支持大量数据的权限模型。RBAC(Role
‑
BasedAccessControl,简称RABC)访问控制模型作为目前最广泛应用的模型,能够通过使用角色权限关联表,给不同角色赋予不同权限,在得到角色权限关联表后,通过使用用户角色关联表,为用户分配对应角色,即是用户角色关联表记录用户到角色的映射关系,以实现权限管理。
[0003]然而,目前的RABC模型对动态数据和静态数据进行混合处理,这种处理方式对动态数据并不友好,若将动态数据视为权限,会导致权限数据量过大,角色关联权限难以执行;若将动态数据视为角色,会导致角色数据量大增,失去本身用角色模型管理的便利性,致使权限管理效率降低,用户无法对动态数据进行针对性处理。
技术实现思路
[0004]有鉴于此,本专利技术的目的在于提供一种访问控制方法、装置、电子设备及计算机可读存储介质,用以实现动态数据和静态数据的分离,降低权限数据量或者角色数据过大的风险,提高模型的便利性。
[0005]为了实现上述目的,本专利技术实施例采用的技术方案如下:
[0006]第一方面,本专利技术提供一种访问控制方法,所述方法包括:当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限;其中,所述目标资源表征权限系统内的业务动态数据;所述分配表用于维护用户、资源和角色三者之间的对应关系;所述角色权限关联表用于维护角色与权限之间的对应关系;若具有访问所述目标资源的权限,则根据预设的资源表中所述目标资源的存储索引信息控制所述用户操作所述目标资源;所述资源表用于维护所述全部所述业务动态数据的存储索引信息。
[0007]可选地,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限,包括:根据所述用户的用户标识和所述目标资源的资源标识,确定所述用户是否具有访问所述目标资源对应的角色;若存在,则在所述角色权限关联表中确定所述角色是否存在对应的权限。
[0008]可选地,在当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限之前,还包括:获取数据系统的接入请求;根据所述数据系统内的所述业务动态数据生成所述分配表和所述资源表。
[0009]可选地,所述方法还包括:将所述分配表存储到第一数据分库,所述资源表存储到
第二数据分库。
[0010]可选地,则根据预设的资源表中所述目标资源的存储索引信息控制所述用户访问所述目标资源,包括:根据预设的资源表中所述目标资源的存储索引信息,控制所述用户通过预设的访问接口,对所述目标资源进行增添操作和/或删除操作。
[0011]可选地,所述用户为以下任意一种:实际用户、虚拟用户和用户组。
[0012]第二方面,本专利技术提供一种访问控制装置,包括:判断模块,用于当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限;其中,所述目标资源表征权限系统内的业务动态数据;所述分配表用于表征用户、资源和角色三者之间的对应关系;所述角色权限关联表用于表征角色与权限之间的对应关系;控制模块,用于若具有访问所述目标资源的权限,则根据预设的资源表中所述目标资源的存储索引信息控制所述用户操作所述目标资源;所述资源表用于维护全部所述业务动态数据的存储索引信息。
[0013]可选地,判断模块,具体用于:根据所述用户的用户标识和所述目标资源的资源标识,确定所述用户是否具有访问所述目标资源对应的角色;若存在,则在所述角色权限关联表中确定所述角色是否存在对应的权限。
[0014]第三方面,本专利技术提供一种电子设备,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现第一方面所述的访问控制方法。
[0015]第四方面,本专利技术提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的访问控制方法。
[0016]本专利技术实施例提出一种访问控制方法、装置、电子设备及计算机可读存储介质,该方法包括:当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断用户是否具有访问目标资源的权限;其中,目标资源表征权限系统内的业务动态数据;分配表用于维护用户、资源和角色三者之间的对应关系;角色权限关联表用于维护角色与权限之间的对应关系;若具有访问目标资源的权限,则根据预设的资源表中目标资源的存储索引信息控制用户操作目标资源;资源表用于维护全部业务动态数据的存储索引信息。与现有技术的区别在于,现有技术将系统内部的动态数据和静态数据进行混合管理,容易出现权限数据量过大,角色关联权限难以执行的问题或者导致角色数据量大增,失去本身用角色模型管理的便利性,而本申请为了解决这种问题,引入了资源表,通过资源表维护接入系统的动态数据,实现动态数据和静态数据的分离,同时,还引入了分配表,实现将用户、动态数据和角色之间的关联,从而可以在用户访问动态数据时确定用户是否具有该动态数据下的角色,进而根据角色和权限之间的关联关系确定用户是否具有访问权限,不仅可以降低权限数据量或者角色数据过大的风险,提高模型的便利性。
[0017]为使本专利技术的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
[0018]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对
范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0019]图1为传统的RABC模型图;
[0020]图2为本专利技术实施例提供的一种RABC模型图;
[0021]图3为本专利技术实施例提供的一种访问控制方法的示意性流程图;
[0022]图4为本专利技术实施例提供的步骤S340的一种实现方式的示意性流程图之一;
[0023]图5为本专利技术实施例提供的步骤S340的一种实现方式的示意性流程图之二;
[0024]图6为本专利技术实施例提供的步骤S340的一种实现方式的示意性流程图之三;
[0025]图7为本专利技术实施例提供的一种访问控制装置的功能模块图;
[0026]图8为本专利技术实施例提供的一种电子设备的方框示意图。
具体实施方式
[0027]下面将结合本专利技术实施例中附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种访问控制方法,其特征在于,所述方法包括:当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限;其中,所述目标资源表征权限系统内的业务动态数据;所述分配表用于维护用户、资源和角色三者之间的对应关系;所述角色权限关联表用于维护角色与权限之间的对应关系;若具有访问所述目标资源的权限,则根据预设的资源表中所述目标资源的存储索引信息控制所述用户操作所述目标资源;所述资源表用于维护全部所述业务动态数据的存储索引信息。2.根据权利要求1所述的访问控制方法,其特征在于,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限,包括:根据所述用户的用户标识和所述目标资源的资源标识,确定所述用户是否具有访问所述目标资源对应的角色;若存在,则在所述角色权限关联表中确定所述角色是否存在对应的权限。3.根据权利要求1所述的访问控制方法,其特征在于,在当获得用户针对目标资源的访问请求,根据预设的分配表和角色权限关联表判断所述用户是否具有访问所述目标资源的权限之前,还包括:获取数据系统的接入请求;根据所述数据系统内的所述业务动态数据生成所述分配表和所述资源表。4.根据权利要求3所述的访问控制方法,其特征在于,所述方法还包括:将所述分配表存储到第一数据分库,所述资源表存储到第二数据分库。5.根据权利要求1所述的访问控制方法,其特征在于,则根据预设的资源表中所述目标资源的存储索引信息控制所述用户操作所述目标资源,包括:根据预设的资源表中所述目标资源的...
【专利技术属性】
技术研发人员:钟宇明,陈景雄,
申请(专利权)人:广州虎牙科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。