一种数据权限管理方法及装置与流程

本发明涉及数据处理技术领域，尤其涉及一种数据权限管理方法及装置。

背景技术：

随着信息化的发展以及数字化医疗设备的广泛使用，医疗卫生信息的数据量正在急剧增长。医疗行业数据量每年以48％的速度增长，是增速最快的行业之一，包括产生于医院临床诊治、科研和管理过程的医院信息系统(his)、影像归档和通信系统(pacs)、检验信息系统(lis)和放射信息系统(ris)；互联网、电子商务产生与人群社会化活动有关的公共卫生信息；以及各种健康可穿戴设备随时随地获取的血压、心率、体重、血糖，心电图等。同时由于人体不同部位、不同专科生理数据文件包括格式、形态以及大小等具有很大的差别，而且具有基于非结构化方式设计，意味着在实际的存储和传输管理上，要采取不同的应对策略，为不同的类型的数据提供不同的传输带宽和存储保障策略，这给存储和处理数据带来了很大的复杂性。面对每年总量已经达到eb量级的健康医疗数据，迫切要求拥有更为灵活的计算和存储环境，以便快速、自动地扩展以支持数据的计算分析和存储。

目前，绝大多数医院的信息化系统(比如his、emr、lis、pacs、cis等)通过oracle数据库存储。oracle数据库系统是目前世界上流行的关系数据库管理系统，作为一个通用的数据库系统，它具有完整的数据管理功能；作为一个关系数据库，它是一个完备关系的产品；作为分布式数据库，它实现了分布式处理功能。大数据中心需要汇聚不同系统的数据，需要给医生、管理者或者分析人员开放不同的数据权限，数据权限管理通过预编码实现。

但是，通过预编码实现不同的数据权限，不能灵活地按需配置大数据平台的数据权限。

技术实现要素：

本发明实施例提供了一种数据权限管理方法及装置，以解决现有的通过预编码实现数据权限管理的方法，不能灵活地按需配置数据权限的问题。

为了解决上述问题，第一方面，本发明实施例提供了一种数据权限管理方法，包括：

获取用户输入的权限配置请求消息，其中，所述权限配置请求消息中包括数据接口信息和用户角色信息；

根据所述数据接口信息和所述用户角色信息，对所述数据接口信息对应的后台接口和所述用户角色信息对应的用户角色进行绑定；

根据所述数据接口信息和所述用户角色信息，对所述数据接口信息对应的前端接口和所述用户角色信息对应的用户角色进行绑定；

其中，所述后台接口和所述前端接口一一对应且互相连通。

第二方面，本发明实施例还提供了一种数据权限管理装置，包括：

接收模块，用于获取用户输入的权限配置请求消息，其中，所述权限配置请求消息中包括数据接口信息和用户角色信息；

第一绑定模块，用于根据所述数据接口信息和所述用户角色信息，对所述数据接口信息对应的后台接口和所述用户角色信息对应的用户角色进行绑定；

第二绑定模块，用于根据所述数据接口信息和所述用户角色信息，对所述数据接口信息对应的前端接口和所述用户角色信息对应的用户角色进行绑定；

其中，所述后台接口和所述前端接口一一对应且互相连通。

第三方面，本发明实施例还提供了一种数据权限管理装置，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其中，所述计算机程序被所述处理器执行时实现上述数据权限管理方法的步骤。

第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，其中，所述计算机程序被处理器执行时实现上述数据权限管理方法的步骤。

本发明实施例的数据权限管理方法，通过获取用户输入的权限配置请求消息，该权限配置请求消息中包括数据接口信息和用户角色信息，根据数据接口信息和用户角色信息，对数据接口信息对应的后台接口和用户角色信息对应的用户角色进行绑定，以及根据数据接口信息和用户角色信息，对数据接口信息对应的前端接口和用户角色信息对应的用户角色进行绑定，不仅能够基于用户角色与后台接口和前端接口的绑定，灵活配置相应用户角色的数据权限，还能够针对业务的数据层和展示层分别实现权限管理，在需要修改业务部分的逻辑时，避免二次开发过程。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例的数据权限管理方法的流程图；

图2为本发明具体实例的数据权限管理过程的流程图；

图3为本发明实施例的数据权限管理装置的结构示意图之一；

图4为本发明实施例的数据权限管理装置的结构示意图之二；

图5为本发明实施例的数据权限管理装置的结构示意图之三。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1所示，本发明实施例提供了一种数据权限管理方法，包括如下步骤：

步骤101：获取用户输入的权限配置请求消息。

其中，权限配置请求消息中可包括数据接口信息和用户角色信息，用于请求为用户角色信息对应的用户角色配置相应的数据权限。数据接口信息可包括数据接口名称、数据接口参数等。用户角色信息可包括用户名称、用户所属的角色等。用户在输入权限配置请求消息时，可通过操作相应的大数据可视化界面进行输入。

步骤102：根据数据接口信息和用户角色信息，对数据接口信息对应的后台接口和用户角色信息对应的用户角色进行绑定。

应说明的是，后台接口可包括数据的接入、存储及调用等接口。后台接口一般通过数据权限管理装置的中央控制器(或称为中央处理器)进行注册，中央控制器可以对后台接口进行添加和删除等。后台接口可与数据库连接，用于数据的接入、存储及调用等。

步骤103：根据数据接口信息和用户角色信息，对数据接口信息对应的前端接口和用户角色信息对应的用户角色进行绑定。

应说明的是，前端接口可为可视化界面上的菜单和按钮等。前端接口一般通过数据权限管理装置的中央控制器进行注册，中央控制器可以对前端接口进行添加和删除等。后台接口和前端接口一一对应且互相连通，以保证正常的数据处理过程。

本发明实施例的数据权限管理方法，通过获取用户输入的权限配置请求消息，该权限配置请求消息中包括数据接口信息和用户角色信息，根据数据接口信息和用户角色信息，对数据接口信息对应的后台接口和用户角色信息对应的用户角色进行绑定，以及根据数据接口信息和用户角色信息，对数据接口信息对应的前端接口和用户角色信息对应的用户角色进行绑定，不仅能够基于用户角色与后台接口和前端接口的绑定，灵活配置相应用户角色的数据权限，还能够针对业务的数据层和展示层分别实现权限管理，在需要修改业务部分的逻辑时，避免二次开发过程。

本发明实施例中，在对数据接口信息对应的后台接口和用户角色信息对应的用户角色进行绑定时，可分级进行绑定。具体的，根据业务流程，可在后台中创建若干个相互独立的后台策略模块，每个后台策略模块包括多个后台接口，后台策略模块相互独立可方便模块的权限管理。这样，在绑定后台接口和用户角色时，可先绑定相应的后台策略模块和用户角色，再绑定相应的后台接口和用户角色。步骤102可包括：

根据数据接口信息和用户角色信息，确定数据接口信息对应的后台接口所属的后台策略模块，并对该后台策略模块和用户角色信息对应的用户角色进行绑定；

对该后台策略模块中的数据接口信息对应的后台接口和用户角色信息对应的用户角色进行绑定。

其中，该后台策略模块为如下模块中的至少一种：数据采集模块、数据存储模块、数据转发模块、数据分析模块和数据调用模块等。这样，分级实现后台接口和用户角色的绑定，相比于直接实现后台接口和用户角色的绑定，能够在数据层更精准管理用户角色的数据权限。

对应的，在对数据接口信息对应的前端接口和用户角色信息对应的用户角色进行绑定时，也可分级进行绑定。根据业务流程，可在前端创建若干个相互独立的前端视图模块，每个前端视图模块包括多个前端接口。这样，在绑定前端接口和用户角色时，可先绑定相应的前端视图模块和用户角色，再绑定相应的前端接口和用户角色。步骤103可包括：

根据数据接口信息和用户角色信息，确定数据接口信息对应的前端接口所属的前端视图模块，并对该前端视图模块和用户角色信息对应的用户角色进行绑定；

对前端视图模块中的数据接口信息对应的前端接口和用户角色信息对应的用户角色进行绑定。

进一步的，为了实现大数据的快速展示和异步通信，还可双向绑定前端视图模块的逻辑控制接口层和业务接口层。

这样，分级实现前端接口和用户角色的绑定，相比于直接实现前端接口和用户角色的绑定，能够在展示层更精准管理用户角色的数据权限。

需指出的是，上述说明分级绑定后台接口和用户角色，是以两级为例，但除两级外，也可为三级、四级等，主要可通过细化模块实现，例如将后台策略模块分为多个单元，每个单元分为多个接口(对应于三级)。上述说明分级绑定前端接口和用户角色，是以两级为例，但除两级外，也可为三级、四级等，主要可通过细化模块实现，例如将前端视图模块分为多个单元，每个单元分为多个接口(对应于三级)。

下面，结合图2对本发明具体实现时的一实例进行说明。

本发明具体实例中，数据权限管理装置中的中央控制器负责注册和管理所有的对外数据接口，可对这些数据接口进行添加和删除等。中央控制器包括策略权限控制器、后台接口控制器、功能权限控制器和前端接口控制器，策略权限控制器例如为web.xml，用于管理后台的策略模块，后台接口控制器用于管理相应策略模块中的后台接口，功能权限控制器例如为main.html，用于管理前端的视图模块，前端接口控制器用于管理相应视图模块中的前端接口。后台的框架可为springmvc框架，前端框架可为angularjs框架。

参见图2所示，本发明具体实例的数据权限管理过程为：

首先，用户在view层(视图层，html和js)提交表单，并发送权限配置请求消息(简称请求)至中央控制器，该请求中包括数据接口信息和用户角色信息；其次，中央控制器转发请求至策略权限控制器和功能权限控制器，策略权限控制器查找相应的后台策略模块并与用户角色进行绑定，功能权限控制器查找相应的前端视图模块并与用户角色进行绑定；然后，对于后台策略模块和前端视图模块中的a模块，策略权限控制器将请求发送至model层(数据实体层)中a模块对应的controller层(逻辑控制接口层)，再发送至service层(业务接口层)、dao层(数据访问层)以及数据库db，以进行数据查询和处理；最后，数据处理结果经后台的dao层和service层，借助依赖注入发送至前端a模块service层，再发送至a模块controller层，a模块controller层中的scope变量双向绑定controller层和service层，以将数据处理结果发送至view层的dom元素进行相应操作。

参见图3所示，本发明实施例还提供了一种数据权限管理装置，包括：

获取模块31，用于获取用户输入的权限配置请求消息，其中，所述权限配置请求消息中包括数据接口信息和用户角色信息；

第一绑定模块32，用于根据所述数据接口信息和所述用户角色信息，对所述数据接口信息对应的后台接口和所述用户角色信息对应的用户角色进行绑定；

第二绑定模块33，用于根据所述数据接口信息和所述用户角色信息，对所述数据接口信息对应的前端接口和所述用户角色信息对应的用户角色进行绑定；

其中，所述后台接口和所述前端接口一一对应且互相连通。

本发明实施例的数据权限管理装置，通过获取用户输入的权限配置请求消息，该权限配置请求消息中包括数据接口信息和用户角色信息，根据数据接口信息和用户角色信息，对数据接口信息对应的后台接口和用户角色信息对应的用户角色进行绑定，以及根据数据接口信息和用户角色信息，对数据接口信息对应的前端接口和用户角色信息对应的用户角色进行绑定，不仅能够基于用户角色与后台接口和前端接口的绑定，灵活配置相应用户角色的数据权限，还能够针对业务的数据层和展示层分别实现权限管理，在需要修改业务部分的逻辑时，避免二次开发过程。

本发明实施例中，参见图4所示，所述第一绑定模块32包括：

第一绑定单元321，用于根据所述数据接口信息和所述用户角色信息，确定所述数据接口信息对应的后台接口所属的后台策略模块，并对所述后台策略模块和所述用户角色信息对应的用户角色进行绑定；

第二绑定单元322，用于对所述后台策略模块中的所述数据接口信息对应的后台接口和所述用户角色信息对应的用户角色进行绑定。

进一步的，参见图4所示，所述第二绑定模块33包括：

第三绑定单元331，用于根据所述数据接口信息和所述用户角色信息，确定所述数据接口信息对应的前端接口所属的前端视图模块，并对所述前端视图模块和所述用户角色信息对应的用户角色进行绑定；

第四绑定单元332，用于对所述前端视图模块中的所述数据接口信息对应的前端接口和所述用户角色信息对应的用户角色进行绑定。

可选的，所述装置还包括：

第三绑定模块，用于双向绑定所述前端视图模块的逻辑控制接口层和业务接口层。

可选的，所述后台策略模块可为如下模块中的至少一种：数据采集模块、数据存储模块、数据转发模块、数据分析模块和数据调用模块。

此外，本发明实施例还提供了一种数据权限管理装置，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其中，所述计算机程序被所述处理器执行时可实现上述数据权限管理方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

具体的，参见5所示，本发明实施例还提供了一种数据权限管理装置，所述数据权限管理装置包括总线51、收发机52、天线53、总线接口54、处理器55和存储器56。

在本发明实施例中，所述数据权限管理装置还包括：存储在存储器56上并可在处理器55上运行的计算机程序，其中，所述计算机程序被处理器55执行时可实现如下步骤：

获取用户输入的权限配置请求消息，其中，所述权限配置请求消息中包括数据接口信息和用户角色信息；

根据所述数据接口信息和所述用户角色信息，对所述数据接口信息对应的后台接口和所述用户角色信息对应的用户角色进行绑定；

根据所述数据接口信息和所述用户角色信息，对所述数据接口信息对应的前端接口和所述用户角色信息对应的用户角色进行绑定；

其中，所述后台接口和所述前端接口一一对应且互相连通。

在图5中，总线架构(用总线51来代表)，总线51可以包括任意数量的互联的总线和桥，总线51将包括由处理器55代表的一个或多个处理器和存储器56代表的存储器的各种电路链接在一起。总线51还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口54在总线51和收发机52之间提供接口。收发机52可以是一个元件，也可以是多个元件，比如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。经处理器55处理的数据通过天线53在无线介质上进行传输，进一步，天线53还接收数据并将数据传送给处理器55。

处理器55负责管理总线51和通常的处理，还可以提供各种功能，包括定时，外围接口，电压调节、电源管理以及其他控制功能。而存储器56可以被用于存储处理器55在执行操作时所使用的数据。

可选的，处理器55可以是cpu、asic、fpga或cpld。

本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述数据权限管理方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。