【技术实现步骤摘要】
本专利技术涉及数据存储领域,尤其涉及一种数据权限同步在物理存储控制方法。
技术介绍
1、随着计算机技术以及互联网技术的发展,各行业开展数字化转型,实现落地的各种数据产品各种各样,其中不乏有数据中台、大数据平台、bi报表等。这些产品都共同具备基于元数据进行数据权限的控制能力。
2、中国专利公开号:cn116011008a,公开了一种基于关系的访问权限控制方法、装置及数据安全访问系统,其中,该方法包括:在权限控制层中,根据主客体关系和三元组配置关系权限;三元组的表达式包括主体描述、关系描述以及客体描述;在访问控制层中的访问控制模块接收到访问请求时,将访问请求传输至权限控制层中,并接收基于关系权限检查访问请求对应的访问者的响应结果,根据响应结果决定是否允许或拒绝转发访问请求至被访问客体。该申请,解决了在大型的业务组织中,角色和属性爆炸带来的管理困难和导致权限控制失效的问题,利用数据和数据使用者的关系和组织结构具有有限清晰明确的特点,来确定的关系权限,进而基于关系权限来简化管理难度,从而避免权限控制失效。
3、但是,现有技术中,还存在以下问题,
4、现有技术中,面向用户为主体(自然人)设置到库、表或字段进行授予读写、只读权限;在查看或使用时,根据授权信息过滤有权限信息,运行时再次进行鉴权,这样授权/鉴权主要集中在业务逻辑层进行处理,一旦越过应用,数据权限就失去控制。比如在数据处理任务支持python或shell脚本,在脚本中直接使用代码连接物理层数据库,越过了业务逻辑层的鉴权功能,业务层设置的数据权限
技术实现思路
1、为此,本专利技术提供一种数据权限同步在物理存储控制方法,用以克服现有技术中授权/鉴权主要集中在业务逻辑层进行处理,一旦越过应用,数据权限就失去控制的问题。
2、为实现上述目的,本专利技术提供一种数据权限同步在物理存储控制方法,其包括:
3、步骤s1,在业务层给予用户设置权限目标的只读、读写权限;
4、步骤s2,将用户和权限目标的权限关系同时在物理存储系统中创建;
5、步骤s3,权限关系被创建后设置针对所述权限关系的访问权限;
6、步骤s4,所述业务层读写物理存储系统中数据时物理存储系统根据用户的权限关系进行权限认证,以判断所述用户是否有权限。
7、进一步地,所述步骤s1中,权限目标包括,库、表和字段。
8、进一步地,所述步骤s2中,数据平台用户和存储层用户同步映射。
9、进一步地,所述步骤s2中,用户与权限目标的权限关系一一对应。
10、进一步地,在数据平台设置权限时,同步在存储层的映射用户设置对应权限。
11、进一步地,所述步骤s1中,在业务层给用户设置数据权限或进行权限回收的操作,包括,针对每个用户在物理层建立对应账号,同步对账号进行权限授予和权限回收。
12、进一步地,所述步骤s4中,优先在逻辑层判断用户使用到库、表和字段是否有权限。
13、进一步地,所述步骤s4中,若判定用户无权限则发出异常警示。
14、进一步地,所述步骤s4中,若判定用户有权限,使用用户对应到账号访问物理存储系统。
15、进一步地,用户创建包括,在mysql中创建数据库用户。
16、包括与现有技术相比,本专利技术包括,步骤s1,在业务层给予用户设置权限目标的只读、读写权限,步骤s2,将用户和权限目标的权限关系同时在物理存储系统中创建,步骤s3,权限关系被创建后设置针对所述权限关系的访问权限,步骤s4,所述业务层读写物理存储系统中数据时物理存储系统根据用户的权限关系进行权限认证,以判断所述用户是否有权限,解决现有业务层逻辑层设置的数据权限,无法在物理层同步控制,无法防止通过脚本读写物理存储的越权问题,且,数据平台用户和存储层用户同步映射,在数据平台设置数据权限时同步在存储层的映射用户设置对应权限,不影响客户体验,提高了数据访问安全。
17、尤其,通过实现不同用户在物理存储系统映射账号,实现物理存储系统账号的权限与用户权限同步,实现了用户访问数据的有效控制。
18、尤其,应用平台实现用户和账号的权限映射,使用者无感知应用,保障数据安全的前提下,提高了用户体验。
本文档来自技高网...【技术保护点】
1.一种数据权限同步在物理存储控制方法,其特征在于,包括:
2.根据权利要求1所述的数据权限同步在物理存储控制方法,其特征在于所述步骤S1中,权限目标包括,库、表和字段。
3.根据权利要求1所述的数据权限同步在物理存储控制方法,其特征在于,所述步骤S2中,数据平台用户和存储层用户同步映射。
4.根据权利要求1所述的数据权限同步在物理存储控制方法,其特征在于,所述步骤S2中,用户与权限目标的权限关系一一对应。
5.根据权利要求1所述的数据权限同步在物理存储控制方法,其特征在于,在数据平台设置权限时,同步在存储层的映射用户设置对应权限。
6.根据权利要求1所述的数据权限同步在物理存储控制方法,其特征在于,所述步骤S1中,在业务层给用户设置数据权限或进行权限回收的操作,包括,针对每个用户在物理层建立对应账号,同步对账号进行权限授予和权限回收。
7.根据权利要求1所述的数据权限同步在物理存储控制方法,其特征在于,所述步骤S4中,优先在逻辑层判断用户使用到库、表和字段是否有权限。
8.根据权利要求1所述的数
9.根据权利要求1所述的数据权限同步在物理存储控制方法,其特征在于,所述步骤S4中,若判定用户有权限,使用用户对应到账号访问物理存储系统。
10.根据权利要求1所述的数据权限同步在物理存储控制方法,其特征在于,用户创建包括,在MySQL中创建数据库用户。
...【技术特征摘要】
1.一种数据权限同步在物理存储控制方法,其特征在于,包括:
2.根据权利要求1所述的数据权限同步在物理存储控制方法,其特征在于所述步骤s1中,权限目标包括,库、表和字段。
3.根据权利要求1所述的数据权限同步在物理存储控制方法,其特征在于,所述步骤s2中,数据平台用户和存储层用户同步映射。
4.根据权利要求1所述的数据权限同步在物理存储控制方法,其特征在于,所述步骤s2中,用户与权限目标的权限关系一一对应。
5.根据权利要求1所述的数据权限同步在物理存储控制方法,其特征在于,在数据平台设置权限时,同步在存储层的映射用户设置对应权限。
6.根据权利要求1所述的数据权限同步在物理存储控制方法,其特征在于,所述步骤s1中...
【专利技术属性】
技术研发人员:高海玲,高经郡,刘兆星,
申请(专利权)人:北京科杰科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。