[发明专利]数据权限管理系统及方法

说明书

技术领域

本发明涉及计算机软件技术领域，尤其涉及一种数据权限管理系统及方法。

背景技术

软件开发中的权限包含操作权限和数据权限两类。操作权限限制了用户能干什么，比如能使用哪些菜单、能点击哪些按钮，这是权限管理的第一把钥匙。数据权限限制用户能读取哪些数据，这是权限管理的第二把钥匙，数据权限是更进一步的权限管理。数据权限管理与功能权限管理是软件开发中需要解决的两个基础问题。对于数据权限管理，一般的方法是依靠应用程序硬编码的形式来解决，因此无法实现通用、动态配置、热插拔的数据权限管理方式。

因此，亟需提出一种通用、动态配置、热插拔的数据权限管理系统及方法解决上述问题。

发明内容

有鉴于此，本发明提供了一种通用、动态配置、热插拔且简单有效的数据权限管理方法，适用于有数据权限管理需求的业务系统。

本发明一方面提供一种数据权限管理系统，包括：数据元管理器、配置器及解释器；其中，数据元管理器用于标记业务系统中需要进行权限管理的数据；配置器用于针对数据元管理器标记的数据配置数据访问规则；解释器用于拦截用户访问所述业务系统时产生的数据，判断该数据是否被所述数据访问规则所约束；若是，根据所述数据访问规则返回数据。

优选地，所述系统用于数据库的数据权限管理；以及所述需要进行权限管理的数据具体为：数据库中需要进行权限管理的表、所述表中需要进行权限管理的字段、所述字段的数据类型。

优选地，所述配置器包括：规则创建模块，用于基于数据元管理器标记的表、表中的字段、字段的数据类型创建数据访问规则；任一条数据访问规则对应于数据库中的一个表；规则库，用于存储规则创建模块创建的数据访问规则；规则管理模块，用于启动、或关闭、或修改、或删除规则库中的数据访问规则。

优选地，规则库中存储的数据访问规则为JSON格式。

优选地，所述拦截用户访问所述业务系统时产生的数据，判断该数据是否被所述数据访问规则所约束具体为：解释器拦截用户访问数据库时产生的查询语句，提取所述查询语句中的表名，判断所述表名是否在规则库中。

优选地，所述根据所述数据访问规则返回数据具体为：将所述表名对应的数据访问规则组合到所述查询语句中进行查询，将查询结果向用户返回。

本发明另一方面提供一种数据权限管理方法，包括步骤：

S1.标记业务系统中需要进行权限管理的数据；

S2.针对标记的数据配置数据访问规则；

S3.拦截用户访问所述业务系统时产生的数据，判断该数据是否被所述数据访问规则所约束；若是，根据所述数据访问规则返回数据。

优选地，所述方法用于数据库的数据权限管理；以及所述需要进行权限管理的数据具体为：数据库中需要进行权限管理的表、所述表中需要进行权限管理的字段、所述字段的数据类型。

优选地，所述数据访问规则存储于规则库中；以及步骤S3具体为：拦截用户访问数据库时产生的查询语句，提取所述查询语句中的表名，判断所述表名是否在规则库中；若是，将所述表名对应的数据访问规则组合到所述查询语句中进行查询，将查询结果向用户返回。

优选地，步骤S3还包括：若所述表名不在规则库中，以所述查询语句进行查询，向用户返回查询结果。

由以上技术方案可知，本发明通过对需要保护的数据配置数据访问规则，并利用数据访问规则管理用户的访问，从而实现有效的数据权限管理。本发明具有通用、可动态配置、可热插拔的优点。

附图说明

图1是本发明的数据权限管理系统组成示意图。

图2是本发明的数据权限管理方法示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举出优选实施例，对本发明进一步详细说明。然而，需要说明的是，说明书中列出的许多细节仅仅是为了使读者对本发明的一个或多个方面有一个透彻的理解，即便没有这些特定的细节也可以实现本发明的这些方面。

本发明的发明人考虑到，现有的数据权限管理方法多依赖于应用程序硬编码的方式，无法实现通用、动态配置、热插拔的数据权限管理。于是首先为需保护的数据配置数据访问规则，之后将对应的数据访问规则组合到用户查询语句中进行查询，实现了简单有效、通用可靠的数据权限管理。以下详细介绍本发明的技术方案。

图1示出了本发明的数据权限管理系统组成，如图1所示，数据权限管理系统包括：数据元管理器1、配置器2及解释器3。