数据权限的配置方法及装置与流程

本发明涉及计算机技术领域，尤其是一种数据权限的配置方法及装置。

背景技术：

在当前企业所采用的信息系统当中，不论是何种业务应用，为了实现对其信息数据的保护，权限管理模块都是不可或缺的系统组成部分，而权限本身针对不同的用户操作又划分为功能权限和数据权限两种类型，只有两者同时有效，用户的业务才能顺利进行。功能权限泛指“创建”、“导入”、“停用/启用”等与当前存在业务数据无关的操作限制，而数据权限主要包括对“查询”、“修改”、“删除”依赖于具体数据内容的操作限制。而一个用户可能涉及到大量数据，各数据的权限不同，管理人员很难确认每个用户应该赋予的数据权限。

现有技术会根据业务的需求将一些在业务上不可分割、需要允许用户一起使用的功能，组合成一个权限集合进行统一授权，这里的权限集合称为角色，通过角色来定义用户被允许使用哪些功能和访问哪些数据，以便对权限进行灵活配合。由于某些不同用户在业务上需要具有相同的数据权限，那么这些不同用户在特定业务上具有共性，可以作为抽象的用户来进行权限授予，通过让抽象的用户扮演角色，可以方便用户操作

在实际应用中，对于有较多特殊权限需求的用户来说，采用上述权限配置的方式很难有效的进行权限管理，例如，在需要对某个用户增加或修改新的权限时，为了避免改变其他用户的权限，通常会赋予该权限新的角色。然而，随着增加或修改的权限增多，会产生大量的具有简单权限的角色，无法灵活的对数据权限进行配置。

技术实现要素：

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种数据权限的配置方法及装置，能够灵活的对数据权限进行配置。

一方面，本发明提供了一种数据权限的配置方法，包括：

获取角色权限表，所述角色权限表中包含角色与数据权限之间的对应关系；

为用户配置预设优先角色，所述预设优先角色中的数据权限高于所用户对应角色权限表中的数据权限。

进一步地，在所述为所述用户配置预设优先角色之后，所述方法还包括：

创建用户组，所述用户组中包含具有相同角色的多个用户；

为所述用户组配置预设优先角色，所述预设优先角色中的数据权限高于所述用户组对应角色权限表中的数据权限。

进一步地，所述方法还包括：

当接收到权限变更指令时，根据所述权限变更指令中携带的数据权限对所述预设优先角色中的数据权限进行变更。

进一步地，在所述根据所述权限变更指令中携带的数据权限对所述预设优先角色中的数据权限进行变更之后，所述方法还包括：

接收用户的操作指令；

判断用户或用户所属的用户组是否具有所述操作指令中携带的数据权限；

若是，则执行所述操作指令中携带的数据权限，否则，提示不具有数据操作权限。

另一方面，本发明提供一种数据权限的配置装置，包括：

获取单元，用于获取角色权限表，所述角色权限表中包含有角色与数据权限之间的对应关系；

第一配置单元，用于为用户配置预设优先角色，所述预设优先角色中的数据权限高于所述用户对应角色权限表中的数据权限。

进一步地，所述装置还包括：

创建单元，用于创建用户组，所述用户组中包含具有相同角色的多个用户；

第二配置单元，用于为所述用户组配置预设优先角色，所述预设优先角色中的数据权限高于所述用户组对应角色权限表中的数据权限。

进一步地，所述装置还包括：

变更单元，用于当接收到权限变更指令时，根据所述权限变更指令中携带的数据权限对所述预设优先角色中的数据权限进行变更。

进一步地，所述装置还包括：

接收单元，用于接收用户的操作指令；

判断单元，用于判断用户或用户所属的用户组是否具有所述操作指令中携带的数据权限；

判断单元，具体用于若判断用户或用户所属的用户组具有所述操作指令中携带的数据权限，则执行所述操作指令中携带的数据权限；

判断单元，具体还用于若判断用户或用户所属的用户组不具有所述操作指令中携带的数据权限，则提示不具有数据操作权限。

借由上述技术方案，本发明提供的一种数据权限的配置方法及装置，首先获取用户对应的角色权限表，为用户配置预设优先角色，该预设优先角色中的数据权限高于用户的其他权限。相对于现有的数据权限的配置方法，本发明实施例通过为用户配置预设优先角色，使得权限变更指令中的数据权限仅对用户有效，从而优先执行预设优先角色中的数据权限，使得无需增加过多的角色便可以实现对数据权限的灵活配置，提高了用户对特定数据权限的变更需求。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种数据权限的配置方法流程示意图；

图2示出了本发明实施例提供的用户角色权限表的示意图；

图3示出了本发明实施例提供的另一种数据权限的配置方法流程示意图；

图4示出了本发明实施例提供的另一用户角色权限表的示意图；

图5示出了本发明实施例提供的一种数据权限的配置装置结构示意图；

图6示出了本发明实施例提供的另一种数据权限的配置装置结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明实施例提供了一种数据权限的配置方法，如图1所示，具体步骤包括：

101、获取角色权限表。

其中，角色权限表中可以包含用户所拥有的角色与数据权限之间的对应关系，为了对多个拥有相似权限的用户进行分类管理，定义了角色，例如系统管理员、管理员等角色，如图2所示，从图2中能够清晰的展示出每个用户对应的角色，以及每个角色对应的数据权限，这里的用户为应用系统的具体操作者，用户可以拥有自己的权限信息，例如授权用户对数据的操作信息，如对数据的查询、修改或者删除等操作，这里的角色权限表中记录的角色与权限之间的关系通常是多对多的关系，一个角色可以拥有多个数据权限，一个数据权限也可以同时归属与多个角色。

102、为用户配置预设优先角色。

其中，预设优先角色为具有优先数据权限的角色，该预设优先角色中的数据权限高于用户对应的角色权限表中的数据权限，具有最高的数据权限优先级。由于用户在使用数据权限进行数据操作的过程中，通常会存在需要对数据权限进行变更的情况，如对表1的数据查询权限删除，增加对表2的数据查询权限，对数据库1中某数据的删除操作权限进行删除等，因此，为了保证变更后的数据操作权限能够优先执行，通常优先执行该预设优先角色中的数据权限，以便于后续能够按照变更之后的数据权限进行数据操作。

需要说明的是，由于不同用户可能随时都存在变更数据权限的可能性，这里为每个用户配置预设优先角色，以保证当用户在进行数据操作时，系统能够根据预设优先角色判断用户是否具有该数据操作的权限，如果有权限则优先执行该预设优先角色中的数据权限，使得操作系统在运行的过程中能够灵活配置对应的数据权限，不会新增过多的角色，避免出现角色混乱的现象。

结合上述的实现方式可以看出，本发明实施例提供的一种数据权限的配置方法，首先获取用户对应的角色权限表，为用户配置预设优先角色，该预设优先角色中的数据权限高于用户的其他权限，。相对于现有的数据权限的配置方法，本发明实施例通过为用户配置预设优先角色，使得权限变更指令中的数据权限仅对用户有效，从而优先执行预设优先角色中的数据权限，使得无需增加过多的角色便可以实现对数据权限的灵活配置，提高了用户对特定数据权限的变更需求。

以下为了更加详细地说明本发明提出的一种数据权限的配置方法，特别是针对获取用户对应的角色权限表，本发明实施例还提供了另一种数据权限的配置方法，如图3所示，该方法的具体步骤包括：

201、获取角色权限表。

其中，角色权限表中可以包含用户所拥有的角色与数据权限之间的对应关系，为了对多个拥有相似权限的用户进行分类管理，定义了角色，例如系统管理员、管理员等角色。由于用户的角色信息中记录有角色对应的数据权限，这里的每个数据权限都是一串约定好的数字，例如：100200300，其中，100代表一个库A，200代表一个表A，300代表insert权限，进一步通过角色信息获取用户对应的角色权限表。

需要说明的是，系统可以有且仅具有一个超级用户，该超级用户具有所有数据的操作权限，并且该超级用户可以为其他用户分配角色，为角色设定权限的规则，而系统可以具有多个管理员用户，该管理员用户可以为其他用户分配管理员所具有的角色，为角色设定它所具有的权限规则。

202、为用户配置预设优先角色。

对于本发明实施例的预设优先角色中的数据权限优先级最高，主要适用于经常变更数据权限的复杂用户，通过为用户配置预设优先权角色可以优先执行预设优先角色中的数据权限，从而更好的实现对数据权限的管理。

203、创建用户组。

其中，用户组对应的角色权限表中可以包含用户组所拥有的角色与数据权限之间的对应关系，为了方便对多个用户进行同步管理，通过根据具有相同角色的多个用户创建用户组，方便对具有相同角色的用户进行同时管理。

204、为所述用户组配置预设优先角色。

对于本发明实施例，具体为用户组配置预设优先权角色的方式与步骤204所述的方式相同，在此不赘述。需要说明的是，一个用户可以属于多个用户组，一个组可以有多个用户，当用户组配置有预设优先角色后，该用户组所有的用户均享有该预设优先角色中的数据权限。

需要说明的是，如果一个用户具有对同一数据表的多个数据权限，或者当用户或者用户组所配置的角色中的数据权限有所不同的时候，以最高权限为准，例如，用户具有表1的查看权限，还具有表1所在数据库的修改权限，则该用户同时具有表1的查看权限以及修改权限。

另外，当删除用户组后，该用户组中的用户关系同时被删除，但是删除操作不影响用户组中用户对应的角色信息。

205、当接收到权限变更指令时，根据所述权限变更指令中携带的数据权限对所述预设优先角色中的数据权限进行变更。

对于本发明实施例，由于特殊情况需要对用户权限进行变更，如变更对应数据库或者数据表的查看、修改或者其他数据权限，由于变更后数据权限可能会改变其他用户的数据权限，不利于数据权限的管理，因此不可以将变更后的数据权限赋予其他角色，本发明实施例通过配置的预设优先角色优先执行变更后的数据权限，以实现对经常变更权限的复杂用户或用户组的权限管理，需要说明的是，这里所有的用户或用户组均配置有一个属于该用户或用户组的预设优先角色，当接收求权限变更指令时，该预设优先角色中的优先级高于其他数据权限的优先级，使得变更的数据权限能够优先执行，提高了对特殊数据权限变更的可行性。

206、接收用户的操作指令。

207、判断用户或用户所属的用户组是否具有所述操作指令中携带的数据权限。

需要说明的是，在根据权限变更指令中携带的数据权限对预设优先角色中的数据权限进行变更之后，由于不同的数据权限所对应的操作指令以及该指令对应的操作对象有所不同，本发明实施例首先筛选出具有数据权限的操作对象来排除其他的操作对象，然后判断用户或用户所属的用户组是否具有操作指令中携带的数据权限，从而方便对数据权限进行管理。

这里的操作对象为用户进行数据操作的对象，如数据表、数据库或者报表等，仅对用户或用户组展示出具有数据权限的操作对象，从而当用户或用户组对操作对象进行数据操作时，可以通过用户对应的角色权限表中记录角色以及数据权限之间的对应关系来判断用户是否具有执行该数据操作的权限。

208a、若判断用户或用户所属的用户组具有所述操作指令中携带的数据权限，则执行所述操作指令中携带的数据权限。

当判断出用户或用户所属的用户组具有操作指令中携带的数据权限时，说明用户或用户所属的用户组拥有的角色具有执行该数据操作的权限，则可以执行该数据操作。

与步骤208a相对应的步骤208b、若判断用户或用户所属的用户组不具有所述操作指令中携带的数据权限，则提示不具有数据操作权限。

同理，当判断出用户或用户所属的用户组不具有操作指令中携带的数据权限时，说明用户或用户所属的用户组拥有的角色不具有执行该数据操作的权限，则不能执行该数据操作，进一步提示用户不具有数据操作权限。

对于本发明实施例的具体应用场景可以包括但不限制于下述实现方式：首先获取用户a、用户b以及用户c的身份标识，根据用户的身份标识查询数据库中用户a、用户b以及用户c的角色信息，进一步获取用户a对应的角色权限表，该角色权限表中包括角色1和角色2，以及角色1和角色2对应的数据权限，具体包括表1查询、表1修改以及表2修改的权限，用户b对应的角色权限表，该角色权限表中包括角色2和角色4，以及角色2和角色4对应的数据权限，具体包括表1修改、表2修改以及表3所有的权限，用户c对应的角色权限表，该角色权限表中包括角色3和角色4，以及角色3和角色4对应的数据权限，具体包括表2查询、表2修改以及表3所有的权限，获取到用户对应的角色权限表如图4所示，进一步为用户a、用户b以及用户c分别配置预设优先角色，当接收到权限变更指令为用户a删除表1查询的权限，用户c删除表2修改的权限，进一步将变更的数据权限配置在预设优先角色中，并且该预设优先角色中的数据操作优先于用户其他的数据权限，从而当用户a执行该数据操作时优先执行用户a删除表1查询的权限以及用户c删除表2修改的权限，进一步在根据变更指令对预设优先角色中的数据权限进行变更后，判断用户a是否具有对表1查询的权限，由于变更后的数据权限为用户a删除表1查询的权限，则说明用户a不具有该数据权限，则提示不具有数据操作权限。

在实际操作过程中，对于有较多特殊权限的用户来说，现有的数据权限的配置方法通过为特殊权限增加角色的方式会产生大量具有简单权限的角色，不利于数据权限的管理，本发明实施例提供的另一种数据权限的配置方法，通过为每个用户或者用户组均配置一个预设优先角色，该预设优先角色中的数据权限优先级最高，使得在变更特定权限的时候，全部的变更权限均在预设优先角色中实现，不必增添新角色，能够有效地实现对用户或者用户组数据权限的管理。

进一步地，作为图1所示方法的具体实现，本发明实施例提供一种数据权限的配置装置，该装置实施例与前述方法实施例对应，为便于阅读，本装置不在对前述方法实施例中的细节内容进行逐一赘述，但应当明确，本实施例中的装置能够对应实现前述方法实施例中的全部内容，如图5所示，所述装置包括：

获取单元31，可以用于获取角色权限表，所述角色权限表中包含有角色与数据权限之间的对应关系；

第一配置单元32，可以用于为用户配置预设优先角色，所述预设优先角色中的数据权限高于所述用户对应的角色权限表中的数据权限；

本发明实施例提供的一种数据权限的配置装置，首先获取用户对应的角色权限表，为用户配置预设优先角色，该预设优先角色中的数据权限高于用户的其他权限。相对于现有的数据权限的配置方法，本发明实施例通过为用户配置预设优先角色，使得权限变更指令中的数据权限仅对用户有效，从而优先执行预设优先角色中的数据权限，使得无需增加过多的角色便可以实现对数据权限的灵活配置，提高了用户对特定数据权限的变更需求。

进一步地，如图6所示，所述装置还包括：

创建单元33，可以用于创建用户组，所述用户组中包含具有相同角色的多个用户；

第二配置单元34，可以用于为所述用户组配置预设优先角色，所述预设优先角色中的数据权限高于所述用户组对应角色权限表中的数据权限。

变更单元35，可以用于当接收到权限变更指令时，根据所述权限变更指令中携带的数据权限对所述预设优先角色中的数据权限进行变更。

接收单元36，可以用于接收用户的操作指令；

判断单元37，可以用于判断用户或用户所属的用户组是否具有所述操作指令中携带的数据权限；

进一步地，所述判断单元37，具体可以用于若判断用户或用户所属的用户组具有所述操作指令中携带的数据权限，则执行所述操作指令中携带的数据权限；

所述判断单元37，具体还可以用于若判断用户或用户所属的用户组不具有所述操作指令中携带的数据权限，则提示不具有数据操作权限。

本发明提供的另一种数据权限的配置装置，通过为每个用户或者用户组均配置一个预设优先角色，该预设优先角色中的数据权限优先级最高，使得在变更特定权限的时候，全部的变更权限均在预设优先角色中实现，不必增添新角色，能够有效地实现对用户或者用户组数据权限的管理。

所述数据权限的配置装置包括处理器和存储器，上述获取单元31、第一配置单元32和变更单元33等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来节省人力，能够灵活的对数据权限进行配置。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flashRAM)，存储器包括至少一个存储芯片。

本申请还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序代码：获取角色权限表，所述角色权限表中包含角色与数据权限之间的对应关系，为用户配置预设优先角色，所述预设优先角色中的数据权限高于所用户对应角色权限表中的数据权限。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flashRAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。