[发明专利]数据权限管理装置和方法

说明书

技术领域

本发明涉及数据管理技术，具体而言，涉及数据权限管理装置和方法。

背景技术

在当前企业所采用的信息系统当中，不论是何种业务应用，如：财务、CRM(客户资源)、HR(人力资源)等，为了实现对其信息数据的保护，权限管理模块都是不可或缺的系统组成部分，而权限本身针对不同的用户操作又划分为功能权限和数据权限两种类型。功能权限泛指“创建”、“导入”、“停用/启用”等与当前存在业务数据无关的操作限制，而数据权限主要包括对“查询”、“修改”、“删除”依赖于具体数据内容的操作限制(如：员工A只能查询本人或者下级部门员工创建的数据)，因此数据权限控制相对来说较为复杂，而目前大部分信息系统对于数据权限的控制均采用单一的线性控制或是树状层级控制，如图1、图2所示，且控制位元素简单，多是布尔或下级权限扩散。如果针对特定公司复杂人员机构的业务场景，而在图3中，每一个员工隶属于3个维度：部门+业务+区域，且每一个维度都有其自身的数据控制权限，往往需要进行权限冗余配置或个性化权限模块开发来达到用户需求。因此不但产品本身通用性、移植性较差，而且占用了大量的开发与实施资源。

因此，需要一种新的数据权限管理技术，可以使用户根据实际情况在运行时灵活配置权限管理，通过后台维度扩展和层级扩展实现对复杂的多维度人员组织关系权限的管理。

发明内容

本发明正是基于上述问题，提出了一种新的数据权限管理技术，可以使用户根据实际情况在运行时灵活配置权限管理，通过后台维度扩展和层级扩展实现对复杂的多维度人员组织关系权限的管理。

有鉴于此，本发明提出了一种数据权限管理装置，包括：生成模块，生成为所述数据定义的至少一个管理维度，所述管理维度包括至少一个层级；选择模块，在所述生成模块生成的所述管理维度中，选择需要的管理维度；设定模块，为用户设定对应的管理维度，或为所述用户设定对应于所述管理维度的层级的数据权限；以及存储模块，存储所述用户、所述管理维度与所述数据权限之间的对应关系。在该技术方案中，首先由用户设定可能需要用到的管理维度，这里可能只是简单的单一维度，也可以是多个维度，根据用户的需要可以随意设定。在每一个维度中，可能存在一个或者多个层级，如设定了“区域”和“部门”这两个维度，而对于“区域”还可能包括“北京市”和“上海市”等第二级维度，而“北京市”又可能包括“海淀区”、“宣武区”和“丰台区”等三个第三级维度，这样，由上述共三个等级的维度，构成了一个维度下的三个层级。而对于设定好的多个维度以及某个维度下的多个层级，也可以进行进一步选择出用户需要使用的维度和层级。然后，通过用户给予每个维度或层级下的权限，便可以对多维度的权限进行管理。

在上述技术方案中，优选地，所述生成模块还用于：生成至少一个角色；所述设定模块还用于：为所述角色设定对应的管理维度，或为所述角色设定对应于所述管理维度的层级的数据权限，或将至少一个所述用户与至少一个所述角色进行对应，其中，一个所述用户对应于至少一个所述角色，或一个所述角色对应于至少一个所述用户；以及所述存储模块还用于：存储所述用户与所述角色之间的对应关系及所述角色、所述管理维度与所述数据权限之间的对应关系。在该技术方案中，通过对每个用户所述的维度和层级进行设定，使用户获取对应的权限，从而达到对每个用户的权限进行管理。也可以通过设定角色，这个角色是指拥有某些维度和层级的权限的一类人，从而再将设定好的角色与用户进行关联后，实现对用户权限的批量设定，简化操作。

在上述技术方案中，优选地，所述设定模块还用于：为所述管理维度设定对应的使用方式，所述使用方式用于对所述管理维度的层级选择进行定义。在该技术方案中，对于用户设定的多个层级，用户可以根据实际情况，选择需要使用的层级。可以通过设定对层级的选择方式，如只能使用一个层级或可以同时使用多个层级，从而方便用户的管理。

在上述技术方案中，优选地，包括：所述数据权限用于定义所述用户在所述管理维度的层级限制下对所述数据的访问过程，所述访问过程包括对所述数据的读取、添加、修改和/或删除。在该技术方案中，设定的权限可以是对于数据的操作权限，当然，对于如利用数据进行一些运算、传输等操作也显然包含于其中。

在上述技术方案中，优选地，所述数据权限包括特殊权限，所述特殊权限不受所述管理维度的所述层级限制。在该技术方案中，还可以对一些特殊的用户设定特殊权限，如超级管理员，具有该权限的用户可以不受上述设定的限制，便于及时进行管理。