[发明专利]统一权限管理方法、系统、装置及存储介质

说明书

本发明公开了统一权限管理方法、系统、装置及存储介质，其中统一权限管理方法包括以下步骤：通过可视化界面配置接口数据权限并选择数据权限维度；通过请求接口获取权限维度信息，权限维度信息在各个微服务之间透传；拦截初始SQL，解析初始SQL包括的数据库表并获取表字段，将表字段与权限维度信息中的维度字段进行匹配，匹配成功之后做数据权限隔离。根据本发明公开的统一权限管理方法能够在不改变常规数据访问方法，不侵入微服务的逻辑代码的情况下实现数据权限的隔离，提高信息的安全性。

技术领域

本发明涉及计算机技术领域，特别涉及一种统一权限管理方法、系统、装置及存储介质

背景技术

随着计算机网络的发展，计算机系统功能越来越完善和强大，使用的场景也越来越多，在这样的环境下，权限管理和控制成为计算机技术发展中的一个关键问题。通常情况下，为了确保用户的数据安全，系统会对用户进行权限控制，对用户数据进行数据隔离，不同的用户登陆到系统所看到的数据和实现的功能是不一样的。

对于当前众多的微服务，配合已经成型的系统，在此基础上做数据隔离，目前的做法是，对每个微服务均进行逻辑代码的改造和升级，此改造过程需要理解原有系统的逻辑，非常耗时耗力。

发明内容

本发明旨在至少解决现有技术中存在的技术问题之一。为此，本发明提出一种统一权限管理方法，能够在不改变常规数据访问方法，不侵入微服务的逻辑代码的情况下实现数据权限的隔离，提高信息的安全性。

根据本发明的第一方面实施例的一种统一权限管理方法，包括以下步骤：通过可视化界面配置接口数据权限并选择数据权限维度；通过请求所述接口获取权限维度信息，所述权限维度信息在各个微服务之间透传；拦截初始SQL，解析所述初始SQL包括的数据库表并获取表字段，将所述表字段与所述权限维度信息中的维度字段进行匹配，匹配成功之后做数据权限隔离；其中，所述数据权限隔离包括，将拦截到的所述初始SQL解析成AST树，通过所述权限维度信息识别并编辑所述AST树中条件部分，将编辑后的所述AST树解析成目标SQL，更新所述初始SQL为所述目标SQL。

根据本发明的一些实施例，所述数据权限维度是指数据隔离的维度，包括维度表、连接维度表的数据库地址、账号、密码和维度字段。

根据本发明的一些实施例，通过请求所述接口获取权限维度信息具体指包括：所述接口通过服务过滤器获取session中的用户信息和接口地址，通过所述用户信息获取用户权限维度信息，通过所述接口地址获取接口权限维度信息。

根据本发明的一些实施例，所述微服务集成SDK，所述SDK包括获取所述数据权限维度的操作信息，所述操作信息包括数据透传、SQL拦截、SQL解析和SQL更新。

根据本发明的一些实施例，所述权限维度信息在各个微服务之间透传是通过本地线程进行实现，具体包括：接口请求调用RPC，通过RPC将所述权限维度信息透传到下一个微服务，所述微服务收到RPC的调用请求后将透传的所述权限维度信息放入当前服务的本地线程进行微服务内部透传。

根据本发明的一些实施例，编辑所述AST树中条件部分是指对AST树中条件部分通过所述维度字段和对应的值构造追加条件。

根据本发明的第二方面实施例的一种统一权限管理系统，包括：配置模块，用于通过可视化界面配置接口数据权限并选择数据权限维度；请求模块，用于通过请求接口获取权限维度信息，所述权限维度信息在各个微服务之间透传；数据权限隔离模块，用于拦截初始SQL，解析所述初始SQL包括的数据库表并获取表字段，将所述表字段与所述权限维度信息中的维度字段进行匹配，匹配成功之后做数据权限隔离；其中，所述数据权限隔离包括，将拦截到的所述初始SQL解析成AST树，通过所述权限维度信息识别并编辑所述AST树中条件部分，将编辑后的所述AST树解析成目标SQL，更新所述初始SQL为所述目标SQL。