用于数据权限控制的方法和系统的制作方法
【技术领域】
[0001] 本发明涉及通信领域,更为具体而言,涉及一种用于数据权限控制的方法和系统。
【背景技术】
[0002] 不同角色的用户对系统中的不同的数据的操作权限不同。在一个信息系统中,不 同角色的用户登录到系统中,看到数据是不一样的。比如总经理登录至系统中能够看到所 有的经营数据,销售员登录到系统中只能看到属于他的客户的销售信息,而看不到其他的 诸如财务等其他信息。
[0003] 在数据权限控制上,现有技术方案基本上都是通过对用户的某一个操作设置一定 过滤条件,这个过滤条件可能是直接通过sql (即Structured Query Language,结构化查询 语言)写出来,也可能是通过json(即JavaScript Object Notation,是一种轻量级的数据 交换格式)或者xml(即Extensible Markup Language,可扩展标记语言)等格式表达的,但 最终都是要通过sql表达出来的。比如,销售员只能查看自己维护的客户的订单信息,那么 销售员在查看订单的时候,就需要带上过滤条件,即只能查看属于自己的客户。对于其他的 用户操作,也一样要带上此类过滤条件。但是,由于不同的用户操作,需要的过滤条件不一 样,也就是说,对于不同的用户操作,需要独立写过滤条件(注意:这种过滤条件可能是通过 配置文件的方式实现的,也即上面提到的json和xml的方式),所以此类方案没有一个普适 性。
[0004] 在上述方案中,针对不同的操作配置不同的过滤条件以实现数据权限,实现的是 细粒度的数据权限控制。比如控制销售员只能查看2014年1月1日之后的某一些用户的订 单,这种方案对于每一个用户操作都需要独立配置一套过滤条件,如果某个系统中有1〇〇个 用户操作,那么就需要独立配置1〇〇个过滤条件,这种方法过于繁琐。然而,在大部分情况 下,数据权限不用做到如此细粒度,在此种情况下,使用上述方案将会产生许多额外的工作 量,同时也增加了系统的复杂度。
【发明内容】
[0005] 鉴于现有技术的上述缺陷,本发明的实施方式提供了一种用于数据权限控制的方 法和系统,其提出了一种轻量级的数据权限控制方案。
[0006] 根据本发明的一种实施方式,提供了一种用于数据权限控制的方法,所述方法可 以包括:建立组织机构树模型;按照不同的数据权限要求对数据进行分类;根据不同的数据 权限,将用户标识和分类后的数据类型分别归集到所述组织结构树模型的各个节点中;以 及根据所述组织机构树模型的节点对用户操作数据的权限进行控制。
[0007] 根据本发明的另一种实施方式,提供了一种数据权限控制系统,所述系统可以包 括:
[0008] 组织机构树模块,用于建立组织机构树模型;
[0009] 挂载模块,用于按照不同的数据权限要求对数据进行分类,并将用户标识和分类 后的数据类型分别归集到所述组织结构树模型的各个节点中;
[0010] 权限控制模块,用于根据所述组织机构树模型的节点对用户操作数据的权限进行 控制。
[0011] 采用本发明的各种实施方式具有下述有益效果:
[0012] 根据本发明的各种实施方式,提出了一种轻量级的数据权限控制方案,针对不需 要像现有技术那样细粒度的权限控制的情况,所述轻量级的数据权限控制方案可以简单地 实现数据权限控制,只要把数据类型和用户挂载到具体的机构树上的具体节点即可实现, 不用独立为每一个用户操作配置过滤条件。由此,相对于现有技术,工作量得以减少,同时 也简化了系统的复杂度。
【附图说明】
[0013] 图1是示出根据本发明实施方式的一种用于数据权限控制的方法的流程图;
[0014] 图2是示出根据本发明实施方式的一种数据权限控制系统的框图;
[0015]图3是示出根据本发明另一实施方式的一种数据权限控制系统的框图。
【具体实施方式】
[0016] 为了便于理解本发明技术方案的各个方面、特征以及优点,下面结合附图对本发 明进行具体描述。应当理解,下述的各种实施方式只用于举例说明,而非用于限制本发明的 保护范围。
[0017] 参考图1,示出了本发明一种实施方式的用于数据权限控制的方法的处理流程。根 据本发明实施方式,所述方法可以包括,但不限于下述处理:
[0018] S110.建立组织机构树模型;
[0019] S120.按照不同的数据权限要求对数据进行分类;
[0020] S130.根据不同的数据权限,将用户标识和分类后的数据类型(即数据分类)分别 归集到所述组织结构树模型的各个节点中;
[0021] S140.根据所述组织机构树模型的节点对用户操作数据的权限进行控制。其中,用 户操作数据可包括但不限于:用户对数据的查询、写入、更改、删除等。
[0022] 根据本发明实施方式,只要把数据类型和用户挂载到具体的机构树上的具体节点 即可实现轻量级的数据权限控制,不用独立为每一个用户操作配置过滤条件。由此,相对于 现有技术,工作量得以减少,同时也简化了系统的复杂度。
[0023]在本发明的另一种实施方式中,处理S110可以包括:根据组织机构的结构体系,建 立带有层级关系的组织机构树;以及为所述组织机构树中的每一个节点分配一个节点标 识。
[0024]在本发明的一种实施方式中,处理S140可以包括:允许当前节点的用户能够对当 前节点对应的数据类型的数据进行操作。
[0025]在本发明的一种优选实施方式中,处理S130可以包括,但不限于:
[0026]根据不同的数据权限,建立数据类型与所述组织机构树模型中各节点的节点标识 的第一对应关系,建立用户与所述组织机构树模型中各节点的节点标识的第二对应关系。 [0027]进一步地,处理S140可以包括:基于用户标识和所述第二对应关系确定用户对应 的节点标识;根据所述节点标识和所述第一对应关系对用户操作数据的权限进行控制。
[0028] 其中,作为选择,根据所述节点标识和所述第一对应关系对用户操作数据的权限 进行控制可以包括:
[0029] 根据所述节点标识和所述第一对应关系确定与所述节点标识对应的数据类型;
[0030] 允许用户对所述确定出的数据类型的数据进行操作。
[0031] 参考图2,其示出了根据本发明一种实施方式的数据权限控制系统。在本发明实施 方式中,所述系统可以包括但不限于:组织机构树模块210、挂载模块220以及权限控制模块 230〇
[0032] 具体而言,所述组织机构树模块210用于建立组织机构树模型,例如,根据组织机 构的结构体系,建立带有层级关系的组织机构树,并且为所述组织机构树中的每一个节点 分配一个节点标识。所述挂载模块220用于按照不同的数据权限要求对数据进行分类,并将 用户标识和分类后的数据类型分别归集到所述组织结构树模型的各个节点中。并且,所述 权限控制模块230用于根据所述组织机构树模型的节点对用户操作数据的权限进行控制。 其中,用户操作数据可包括但不限于:用户对数据的查询、写入、更改、删除等。
[0033] 在本发明的一种实施方式中,所述挂载模块220可以包括:
[0034] 挂载数据类型单元221,用于根据不同的数据权限建立数据类型与所