权限控制方法、系统、电子设备及计算机可读存储介质与流程

本公开涉及计算机技术领域，特别涉及一种权限控制方法、系统、电子设备及计算机可读存储介质。

背景技术：

对于设有多个机构的公司，为了进行数据的统一管理，设定统一的系统进行各个机构的数据的存储管理，虽然这样可以便于进行数据的统一管理。对于数据管理而言，出于数据的保密要求和数据的规范操作要求，系统中的某些数据不希望被所有的用户查看到，或者对仅希望某些用户可以修改数据，而其他的用户不能进行数据修改。但是现有技术中，在系统中由于未进行权限控制，所以存在数据可能被泄露的风险和数据管理混乱的问题。

由上可知，为了数据的保密和数据的规范操作，如何进行权限控制的问题还有待解决。

技术实现要素：

为了解决相关技术中存在的问题，本公开提供了一种权限控制方法、系统、电子设备及计算机可读存储介质。

第一方面，一种权限控制方法，包括：

终端接收服务端为已登录的用户所下发的权限配置文件；

根据所触发选择的业务，从所述权限配置文件中获取所述业务所对应的子权限配置信息，所述子权限配置信息指示了为所述用户在所述业务中所具有的功能权限和数据权限；

根据所指示的所述功能权限配置得到用户界面，以使所述用户在所述用户界面中根据在所述业务中所具有的功能权限进行对应的操作；以及

根据所指示的所述数据权限生成数据筛选信息，通过所述数据筛选信息向所述服务端发起数据请求，以使所述服务端响应于所述数据请求而返回所述用户在所述业务中具有数据权限的数据。

第二方面，一种权限控制系统，所述系统包括终端和服务端，所述终端包括：

接收模块，被配置为：终端接收服务端为已登录的用户所下发的权限配置文件；

子权限配置信息获取模块，被配置为：根据所触发选择的业务，从所述权限配置文件中获取所述业务所对应的子权限配置信息，所述子权限配置信息指示了为所述用户在所述业务中所具有的功能权限和数据权限；

用户界面配置模块，被配置为：根据所指示的所述功能权限配置得到用户界面，以使所述用户在所述用户界面中根据在所述业务中所具有的功能权限进行对应的操作；以及

数据筛选信息生成模块，被配置为：根据所指示的所述数据权限生成数据筛选信息，通过所述数据筛选信息向所述服务端发起数据请求，以使所述服务端响应于所述数据请求而返回所述用户在所述业务中具有数据权限的数据。

在一实施例中，接收模块包括：

登录请求发送单元，被配置为：向所述服务端发起登录请求；

权限配置文件接收单元，被配置为：接收所述服务端在通过所述登录请求后而为所述用户所下发的权限配置文件。

在一实施例中，所述登录请求中包括所述用户的登录信息，所述系统中的服务端包括：

登录请求接收模块，被配置为：所述服务端接收所述登录请求；

第一登录验证模块，被配置为：根据所述登录请求中的登录信息为所述用户进行登录验证；

角色确定模块，被配置为：在登录验证通过后，根据所述登录信息确定所述用户所对应的角色；

权限配置文件下发模块，被配置为：根据与所述角色所关联的角色权限信息生成所述用户所对应的所述权限配置文件；

第一下发模块，被配置为：向所述终端下发所述权限配置文件。

在另一实施例中，，所述登录请求中包括所述用户的登录信息，所述系统中的服务端包括：

第二登录验证模块，被配置为：所述服务端接收到所述登录请求后，根据所述登录请求中的用户信息进行登录验证；

机构和角色确定模块，被配置为：在登录验证通过后，根据所述登录信息确定所述用户所属机构和为所述用户所配置的角色；

权限信息获取模块，被配置为：获取所述机构所对应的机构权限信息和获取所述角色所对应的角色权限信息；

权限配置文件生成模块，被配置为：根据所获取的所述机构权限信息和所获取的所述角色权限信息生成所述用户所对应的所述权限配置文件；

第二下发模块，被配置为：向所述终端下发所述权限配置文件。

在一实施例中，用户界面配置模块，包括：

界面元素确定单元，被配置为：根据所指示的所述功能权限确定在预设用户界面中所述用户不具有功能权限的界面元素；

更新单元，被配置为：根据所确定的所述界面元素对所述预设用户界面进行更新，得到所述用户界面。

在一实施例中，更新单元包括：

处理单元，被配置为：在所述预设界面中，将所确定的所述界面元素进行处理，以使用户不能对被处理后的所述界面元素进行操作；

用户界面获得单元，被配置为：将处理之后的所述预设界面作为所述用户界面，

在一实施例中，所述终端还包括：

检索项获取模块，被配置为：获取用户在所述用户界面中配置的检索项；

数据请求发起单元，被配置为：根据所述检索项和所述数据筛选信息向所述服务端发起所述数据请求；

数据接收单元，被配置为：接收所述服务器响应于所述数据请求而返回的数据，所返回的所述数据是在所述数据筛选信息所指示的数据源中根据所述检索项进行匹配而得到的。

第三方面，一种电子设备，包括：

处理器；及

存储器，所述存储器上存储有计算机可读指令，所述计算机可读指令被所述处理器执行时实现如上所述的方法。

第四方面，一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如上所述的方法。

本公开的实施例提供的技术方案可以包括以下有益效果：

通过本公开的技术方案，实现了对用户进行权限控制，即通过用户在业务中的功能权限配置对应用户界面，从而，用户仅能根据自身所具有的功能权限在用户界面中触发对应的操作；而且根据用户在业务中的数据权限生成数据筛选信息，并根据数据筛选信息向服务端发送数据请求，从而，从服务端下发到终端的数据中全为用户具有数据权限的数据，而不包括用户不具有数据权限的数据；从而，实现了用户权限的控制，保证了数据的保密性，和数据操作的规范性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并于说明书一起用于解释本发明的原理。

图1是根据一示例性实施例示出的本公开所涉及实施环境的示意图；

图2是根据一示例性实施例示出的一种装置的框图；

图3是根据一示例性实施例示出的一种权限控制方法的流程图；

图4是图3对应实施例的步骤s110在一实施例中的流程图；

图5是图3对应实施例的步骤s111之后步骤在一实施例中的流程图；

图6是图3对应实施例的步骤s111之后步骤在另一实施例中的流程图；

图7是步骤s150在一实施例中的流程图；

图8是图7对应实施例的步骤s152在一实施例中的流程图；

图9是根据另一示例性实施例示出的权限控制方法的流程图；

图10是根据一实施例性实施例示出的权限控制系统中终端的框图；

图11是根据另一示例性实施例示出的电子设备的框图。

通过上述附图，已示出本发明明确的实施例，后文中将有更详细的描述，这些附图和文字描述并不是为了通过任何方式限制本发明构思的范围，而是通过参考特定实施例为本领域技术人员说明本发明的概念。

具体实施方式

这里将详细地对示例性实施例执行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

图1是根据一实施例示出的本公开所涉及的实施环境的示意图。该实施环境包括：至少一个终端100和服务端300。

终端100与服务端300之间建立网络连接。终端100与服务端300之间的关联方式，包括硬件的网络关联方式和/或协议，以及二者之间往来的数据关联方式。在此不进行具体限定。

终端100可以是智能手机、平板电脑、笔记本电脑、台式电脑等其他可供客户端程序运行的通信设备。其中，用户可以终端100登录应用系统的客户端，服务端300中运行应用系统的服务端程序，从而为所登录客户端提供服务，服务端300可以是由一个服务器构成，也可以由多个服务器构成的服务器集群，还可以是云服务器，在此不进行具体限定。

基于终端100与服务300之间的通信连接，从而终端100可以向服务端发起登录请求，而在服务端300通过终端100发起的登录请求后向终端100下发所登录的用户所对应权限配置文件，从而，根据权限配置文件控制用户在应用系统中的权限，例如配置用户界面和生成数据筛选信息等。

图2是根据一示例性实施例示出的一种装置的框图。具有此硬件结构的装置200可以作为图1实施例的终端100，用于执行本公开的权限控制方法。

需要说明的是，该装置只是一个适配于本公开的示例，不能认为是提供了对本公开使用范围的任何限制。该装置也不能解释为需要依赖于或者必须具有图2中示出的示例性的装置200中的一个或者多个组件。

如图2所示，装置200包括：电源210、接口230、至少一存储器250、以及至少一中央处理器(cpu,centralprocessingunits)270。

其中，电源210用于为装置200上的各硬件设备提供工作电压。

接口230包括至少一有线或无线网络接口231、至少一串并转换接口233、至少一输入输出接口235以及至少一usb接口237等，用于与外部设备通信，例如与终端100进行数据传输。

存储器250作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源包括操作系统251、应用程序253及数据255等，存储方式可以是短暂存储或者永久存储。其中，操作系统251用于管理与控制装置200上的各硬件设备以及应用程序253，以实现中央处理器270对海量数据255的计算与处理，其可以是windowsservertm、macosxtm、unixtm、linuxtm、freebsdtm等。应用程序253是基于操作系统251之上完成至少一项特定工作的计算机程序，其可以包括至少一模块(图2中未示出)，每个模块都可以分别包含有对装置200的一系列计算机可读指令。数据255可以是存储于磁盘中的日志、用户信息等。

中央处理器270可以包括一个或多个以上的处理器，并设置为通过总线与存储器250通信，用于运算与处理存储器250中的海量数据255。

如上面所详细描述的，适用本公开的装置200将通过中央处理器270读取存储器250中存储的一系列计算机可读指令的形式来完权限控制方法。

在示例性实施例中，装置200可以被一个或多个应用专用集成电路(applicationspecificintegratedcircuit，简称asic)、数字信号处理器、数字信号处理设备、可编程逻辑器件、现场可编程门阵列、控制器、微控制器、微处理器或其他电子元件实现，用于执行下述权限控制方法。因此，实现本发明并不限于任何特定硬件电路、软件以及两者的组合。

图3是根据一示例性实施例示出的一种权限控制方法的流程图。该权限控制方法，如图3所示，该权限控制方法包括以下步骤：

步骤s110，终端接收服务端为已登录的用户所下发的权限配置文件。

在终端100中，运行有应用系统的客户端程序，从而，用户可以基于终端100中所运行的客户端程序登录至应用系统。而服务端运行有应用系统的服务端程序，从而服务端可以为客户端提供服务。

在终端100中，用户通过输入账号、密码等登录信息向服务端发起登录请求，以登录至服务端的应用系统中。在服务端通过终端所发起的登录请求后，客户端所在用户即为已登录的用户。从而，服务端向该已登录的用户发送权限配置文件中。在终端100中的客户端可以是应用程序客户端也可以是网页客户端，在此不进行具体限定。

其中权限配置文件是与用户相对应的，一用户有其所对应唯一的权限配置文件。权限配置文件指示了所登录用户在应用系统中的多个业务中的权限，包括数据权限和功能权限。

步骤s130，根据所触发选择的业务，从所述权限配置文件中获取所述业务所对应的子权限配置信息，所述子权限配置信息指示了为所述用户在所述业务中所具有的功能权限和数据权限。

应用系统用于管理多个业务中的业务流程，以及对应存储每一业务中的数据。在不同的业务中，由于业务流程的不同，用户的权限也是不同的。从而，在本公开的技术方案中，在用户的权限配置文件中，根据业务来进行权限配置文件中多个子权限配置信息的划分，从而，每一业务有其对应的子权限配置信息。

在用户登录后，交互界面中提供了用户进行业务选择的入口，从而通过侦听用户在该业务选择入口的操作确定用户所选择的业务。

用户所选择业务所对应的子权限配置信息即指示了该用户在所选择业务中的权限。其中所指示的权限包括数据权限和功能权限。

数据权限即指示所登录用户可查看数据的权限，换言之，数据权限指示用户在该业务中可以查看到哪些数据，或者说可以从服务端获取到哪些数据。

功能权限指示了用户在业务中可触发的操作，例如对数据的处理操作，例如删除、新建、修改、下载等操作，在此不进行具体限定。

从而，基于业务进行用户在业务中的权限配置，从而实现控制用户在业务中的权限，可以提高权限配置的速率和效率，而不用一次性进行用户在应用系统的各个业务中的权限配置。

步骤s150，根据所指示的所述功能权限配置得到用户界面，以使所述用户在所述用户界面中根据在所述业务中所具有的功能权限进行对应的操作。

功能权限不同，则用户在业务中可触发的操作也不相同。在本公开的技术方案中，根据用户在业务中所具有的功能权限进行配置对应的用户界面，从而，用户可以基于配置的用户界面进行对应的操作。

在一实施例中，为了使用户在用户界面中根据用所具有的功能权限触发对应的操作，在为用户所配置得到的用户界面中，包括子权限配置信息中所指示的功能权限配置对应的界面元素，从而，用户可以通过触发用户界面中的界面元素来触发对应的操作。例如，如果用户在该业务流程中具有数据修改的功能权限，则对应地配置用于指示进行修改的界面元素，从而，用户可以触发该界面元素启动对数据的修改。

界面元素是指在交互界面中所包含的满足用户交互要求的一系列元素。界面元素例如包括若干操作/命令的菜单，清单中的菜单项可以是文字或则图符，例如各种可触发的控件等，在此不进行具体限定。

以及步骤s170，根据所指示的所述数据权限生成数据筛选信息，通过所述数据筛选信息向所述服务端发起数据请求，以使所述服务端响应于所述数据请求而返回所述用户在所述业务中具有数据权限的数据。

子权限配置信息中所指示的数据权限指示了用户在该业务流程中可以查看或者获取哪些数据。

在步骤s170中所生成的数据筛选信息用于进行用户在该业务中具有数据权限的数据源定位。即按照数据筛选信息在应用系统中所定位到的数据源中的数据是用户在该业务中具有数据权限的数据。

根据在应用系统中所存储数据的分类方式不同，对应的根据子权限配置信息所指示的数据权限生成的数据筛选信息也存在差异。在应用系统中，可以基于标签、数据表、数据库来进行数据的分类，例如，在应用系统中的根据数据的来源或者所来源的业务为数据进行打标签，从而，存储与应用系统中的数据具有对应的标签。例如为每一分类的数据对应配置数据表或者数据库来进行存储。当然，以上进行是示例性对数据分类的举例，不能认为是对本公开使用范围的限制。举例来说，例如基于标签的数据分类，则可以根据子权限配置信息中所指示的功能权限生成基于标签的数据筛选信息，从而，在终端根据数据筛选信息向服务端发起数据请求后，服务端基于数据筛选进行数据标签筛选或者过滤，从而，定位到用户具有数据权限的若干数据(即数据源)，并基于所定位的数据向终端返回用户具有数据权限的数据。

通过本公开的技术方案，实现了对用户进行权限控制，即通过用户在业务中的功能权限配置对应用户界面，从而，用户仅能根据自身所具有的功能权限在用户界面中触发对应的操作；而且根据用户在业务中的数据权限生成数据筛选信息，并根据数据筛选信息向服务端发发送数据请求，从而，从服务端下发到终端的数据中全为用户具有数据权限的数据，而不包括用户不具有数据权限的数据，从而，实现了用户权限的控制，保证了数据的保密性，和数据操作的规范性。

在一实施例中，如图4所示，步骤s110包括：

步骤s111，向所述服务端发起登录请求。

步骤s112，接收所述服务端在通过所述登录请求后而为所述用户所下发的权限配置文件。

在终端上，用户在输入登录信息后，触发向服务器发起登录请求。例如在终端中检测到用户的登录触发操作后，获取用户所输入的登录信息，从而，基于所获取的登录信息向服务端发起登录请求。

在终端向服务器发起登录请求后，服务端对登录请求进行登录验证，其中所进行的登录验证即验证用户的登录信息是否正确，如果正确，则通过终端发起的登录请求，如果不正确，则拒绝终端所发起的登录请求。而在登录请求通过后，用户可以基于所登录的客户端与应用系统进行交互，例如进行数据请求发送等。在本公开的技术方案中，在服务端通过了终端所发起的登录请求后，作为对登录请求的另一响应，服务端向终端下发所登录用户的权限配置文件。从而，终端接收服务端所下发的权限配置文件。

在一实施例中，如图5所示，所述登录请求中包括所述用户的登录信息，步骤s111之后，所述方法还包括：

步骤s210，所述服务端接收所述登录请求。

步骤s220，根据所述登录请求中的登录信息为所述用户进行登录验证。

步骤s230，在登录验证通过后，根据所述登录信息确定所述用户所对应的角色。

步骤s240，根据与所述角色所关联的角色权限信息生成所述用户所对应的所述权限配置文件。

步骤s250，向所述终端下发所述权限配置文件。

为了实现在图4所示实施例中终端发起登录请求后接收到服务端下发的所登录用户所对应的权限配置文件，终端在接收到终端所发起的登录请求后进行对应的处理，从而向终端下发所登录用户对应的权限配置文件。而本实施例，即是根据一实施性实施例示出的服务端在终端执行步骤s111后的执行步骤。

用户的登录信息即用于进行登录应用系统的信息，例如登录名和密码，或者除登录名密码外还包括验证码等，在此不进行具体限定。登录请求中的登录信息用于服务端对发起登录的客户端进行登录验证，即验证登录信息各项数据是否匹配，从而在登录验证通过之后，允许发起登录请求的客户端登录至应用系统。

在该实施例中，用户所对应的角色是应用系统的管理员基于一定规则为用户所配置的角色。例如基于用户的工作岗位配置角色。而在应用系统中，不同的角色具有对应的权限，包括数据权限和角色权限，即每一角色配置有与之关联的角色权限信息，该角色权限信息即指示了该角色所具有的权限。

其中，用户在应用系统中的角色可以是一个，也可以是多个，从而，根据与所述角色所关联的角色权限信息所生成的所述权限配置文件，是根据该用户在应用系统中所具有的全部角色中每一角色的角色权限信息来生成的。

在一实施例中，在根据用户所对应角色的角色权限信息生成用户所对应的权限配置文件的过程中，基于业务对各种角色权限信息进行重新分类，从而，使得权限配置文件中的各子权限配置信息是根据业务来进行分类的，以提高终端根据用户触发选择的业务来获取业务对应的子权限配置信息的速率。进而，在步骤s130中，可以根据用户触发选择的业务，对应从配置文件中获取该业务所对应的子权限配置信息。

在另一实施例中，如图6所示，所述登录请求中包括所述用户的登录信息，步骤s111之后，所述方法还包括：

步骤s310，所述服务端接收到所述登录请求后，根据所述登录请求中的用户信息进行登录验证。

步骤s320，在登录验证通过后，根据所述登录信息确定所述用户所属机构和为所述用户所配置的角色。

步骤s330，获取所述机构所对应的机构权限信息和获取所述角色所对应的角色权限信息。

步骤s340，根据所获取的所述机构权限信息和所获取的所述角色权限信息生成所述用户所对应的所述权限配置文件。

步骤s350，向所述终端下发所述权限配置文件。

在本实施例的技术方案中，基于用户所属的机构，和为用户所配置的角色来确定用户所对应的权限配置文件，也即是所，用户的权限通过用户所属机构的权限和用户所对应角色的权限来进行确定，从而得到该用户在应用系统中的权限配置文件。

在一些有多个分支机构的公司，为了进行数据的统一管理，各个分支机构使用一个系统例如本公开所涉及的应用系统，进行数据的管理和存储。但是由于每个分支机构的所涉及的业务流程和业务数据的不同，如果仅仅靠角色对用户所具有的权限进行控制，则同一用户可能需要配置具有多个角色，从而导致为用户配置角色配置的过程复杂，而且容易出错。而同一机构的用户在所具有的权限上具有共性，例如仅能查看该机构的数据，从而，通过用户所属机构进行初步限定用户的角色，可以减少为用户所配置的角色。

在本实施例中，用户所属机构的机构权限信息和用户所对应角色的角色权限信息即限定了用户在应用系统中的权限。从而，根据机构权限信息和角色权限信息生成用户所对应的权限配置文件。

在一实施例中，在基于机构权限信息和角色权限信息生成用户所对应的权限配置文件的过程中，也同样可以基于用户所对应的机构权限信息和角色权限信息进行整合分类，从而得到每一个业务所对应的子权限配置信息。

在一实施例中，如图7所示，步骤s150包括：

步骤s151，根据所指示的所述功能权限确定在预设用户界面中所述用户不具有功能权限的界面元素。

步骤s152，根据所确定的所述界面元素对所述预设用户界面进行更新，得到所述用户界面。

其中预设用户界面是为满足全部用户所具有的功能权限而进行界面元素配置而得到的用户界面。换言之，对于某一具体的用户而言，根据该用户在该业务中所具有的功能权限，在该预设用户界面中，存在该用户没有功能权限(即用户不可触发操作)的界面元素。

从而，在本实施例中，根据子权限配置信息中所指示的功能权限确定用户在该业务中可触发操作的界面元素，从而与预设用户界面中所设置的界面元素进行对比，得到用户在预设用户界面中不具有功能权限的界面元素。

其中所进行的对比，可以是将根据所确定的可触发操作的界面元素在预设的用户界面中所设置的界面元素中进行过滤，从而，过滤得到在预设用界面中用户不具有功能权限的界面元素。

在一实施例中，如图8所示，步骤s152包括：

步骤s410，在所述预设界面中，将所确定的所述界面元素进行处理，以使用户不能对被处理后的所述界面元素进行操作。

其中对所确定界面元素的处理例如是隐藏或者将所确定的用户界面元素从预设界面中移除，从而，使得在预设用户界面中用户不能触发操作被处理后的界面元素。

步骤s420，将处理之后的所述预设界面作为所述用户界面。

通过步骤s410中在预设用户界面进行所确定界面元素的处理，从而在预设用户界面中未被处理的界面元素是用户可以进行触发操作的界面元素，实现了根据在业务中的功能权限配置用户的用户界面。

在一实施例中，如图9所示，所述终端还执行以下步骤：

步骤s510，获取用户在所述用户界面中配置的检索项。

步骤s520，根据所述检索项和所述数据筛选信息向所述服务端发起所述数据请求。

步骤s530，接收所述服务器响应于所述数据请求而返回的数据，所返回的所述数据是在所述数据筛选信息所指示的数据源中根据所述检索项进行匹配而得到的。

用户为了在应用系统中获取到自己所需的数据，需要在用户界面配置对应的检索项。其中检索项可以是基于检索字段和检索词进行配置，例如通过表格检索，或者构建检索式来配置检索项。对应的，在用户界面中配置了对应的检索项的输入入口，例如配置检索式的输入入口，从而，用户在该输入入口中可以输入检索式，即实现了检索项的配置。在其他实施例中，检索项还可以是基于关键字继续进行配置。当然以上仅仅是示例性举例，不能认为是对本公开使用范围的限制。

如上文所描述，数据筛选信息用于进行用户在业务中具有数据权限的数据源进行定位。

在步骤s520中，根据检索项和数据筛选信息向服务端所发起的数据请求，可以是根据终端和服务端设定的传输格式，对检索项和数据筛选信息进行封装得到数据请求，并向服务端发送数据请求。在一实施例中，可以通过检测用户用户界面中的触发操作进行数据请求的发送。

服务端在接受到终端发起的数据请求后，从数据请求中提取检索项和数据筛选信息，从而，根据检索项和数据筛选信息进行数据搜索。其中所进行的数据搜索，可以是先根据数据筛选信息进行用户具有数据权限的数据源的定位，例如某一数据库，某几个数据表，或者某几个数据标签，然后从所定位到的数据源中，根据用户所配置的检索项进行匹配，将匹配所得到的数据下发到用户所在客户端，即发送到终端。从而，用户在客户端中所看到的数据均为用户具有数据权限的数据，而不能看到用户没有权限的数据，有效实现了用户权限控制，且保证了数据存储的安全性。

在另一实施例中，在步骤s520中，根据检索项和数据筛选信息向服务端所发起的数据请求还可以是根据用户配置的检索项和数据筛选信息生成新的检索项，并基于新生成的检索项向服务端发起数据请求，从而，是服务端在接收到数据请求之后，根据新生成的检索项进行检索，获得与用户所配置的检索项匹配且是用户具有数据权限的数据。

图10是根据一示例性实施例示出的一种权限控制系统中终端的框图，该权限控制系统包括终端和服务端，该终端可以配置于图1所示实施环境的终端中，执行上述方法实施例中任一所示的权限控制方法中的全部或者部分步骤。如图10所示，该终端包括但不限于：

接收模块110，被配置为：终端接收服务端为已登录的用户所下发的权限配置文件。

子权限配置信息获取模块130，被配置为：根据所触发选择的业务，从所述权限配置文件中获取所述业务所对应的子权限配置信息，所述子权限配置信息指示了为所述用户在所述业务中所具有的功能权限和数据权限。

用户界面配置模块150，被配置为：根据所指示的所述功能权限配置得到用户界面，以使所述用户在所述用户界面中根据在所述业务中所具有的功能权限进行对应的操作。以及

数据筛选信息生成模块170，被配置为：根据所指示的所述数据权限生成数据筛选信息，通过所述数据筛选信息向所述服务端发起数据请求，以使所述服务端响应于所述数据请求而返回所述用户在所述业务中具有数据权限的数据。

上述装置中各个模块/单元的功能和作用的实现过程具体详见上述网页的转发控制方法中对应步骤的实现过程，在此不再赘述。

可以理解，这些模块/单元可以通过硬件、软件、或二者结合来实现。当以硬件方式实现时，这些模块可以实施为一个或多个硬件模块，例如一个或多个专用集成电路。当以软件方式实现时，这些模块可以实施为在一个或多个处理器上执行的一个或多个计算机程序，例如图2的处理器218所执行的存储在存储器204中的程序。

在一实施例中，接收模块110包括：

登录请求发送单元，被配置为：向所述服务端发起登录请求。

权限配置文件接收单元，被配置为：接收所述服务端在通过所述登录请求后而为所述用户所下发的权限配置文件。

在一实施例中，所述登录请求中包括所述用户的登录信息，所述系统中的服务端包括：

登录请求接收模块，被配置为：所述服务端接收所述登录请求。

第一登录验证模块，被配置为：根据所述登录请求中的登录信息为所述用户进行登录验证。

角色确定模块，被配置为：在登录验证通过后，根据所述登录信息确定所述用户所对应的角色。

权限配置文件下发模块，被配置为：根据与所述角色所关联的角色权限信息生成所述用户所对应的所述权限配置文件。

第一下发模块，被配置为：向所述终端下发所述权限配置文件。

在另一实施例中，所述登录请求中包括所述用户的登录信息，所述系统中的服务端包括：

第二登录验证模块，被配置为：所述服务端接收到所述登录请求后，根据所述登录请求中的用户信息进行登录验证。

机构和角色确定模块，被配置为：在登录验证通过后，根据所述登录信息确定所述用户所属机构和为所述用户所配置的角色。

权限信息获取模块，被配置为：获取所述机构所对应的机构权限信息和获取所述角色所对应的角色权限信息。

权限配置文件生成模块，被配置为：根据所获取的所述机构权限信息和所获取的所述角色权限信息生成所述用户所对应的所述权限配置文件。

第二下发模块，被配置为：向所述终端下发所述权限配置文件。

在一实施例中，用户界面配置模块，包括：

界面元素确定单元，被配置为：根据所指示的所述功能权限确定在预设用户界面中所述用户不具有功能权限的界面元素。

更新单元，被配置为：根据所确定的所述界面元素对所述预设用户界面进行更新，得到所述用户界面。

在一实施例中，更新单元包括：

处理单元，被配置为：在所述预设界面中，将所确定的所述界面元素进行处理，以使用户不能对被处理后的所述界面元素进行操作。

用户界面获得单元，被配置为：将处理之后的所述预设界面作为所述用户界面。

在一实施例中，所述终端还包括：

检索项获取模块，被配置为：获取用户在所述用户界面中配置的检索项。

数据请求发起单元，被配置为：根据所述检索项和所述数据筛选信息向所述服务端发起所述数据请求。

数据接收单元，被配置为：接收所述服务器响应于所述数据请求而返回的数据，所返回的所述数据是在所述数据筛选信息所指示的数据源中根据所述检索项进行匹配而得到的。

上述装置中各个模块/单元的功能和作用的实现过程具体详见上述面谈审批方法中对应步骤的实现过程，在此不再赘述。

可选的，本公开还提供一种电子设备，该电子设备可以部署于图1所示的终端100或者服务端300中，执行以上方法实施例中任一所示的权限控制方法的全部或者部分步骤。如图11所示，电子设备包括：

处理器1001；及

存储器1002，存储器1002上存储有计算机可读指令，计算机可读指令被处理器1001执行时实现以上方法实施中任一项的方法。

其中，可执行指令被处理器1001执行时实现以上任一实施例中的方法。其中可执行指令比如是计算机可读指令，在处理器1001执行时，处理器通过与存储器之间所连接的通信线/总线1003读取存储于存储器中的计算机可读指令。

该实施例中的装置的处理器执行操作的具体方式已经在有关该权限控制方法的实施例中进行了详细描述，此处将不做详细阐述说明。

在示例性实施例中，还提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现如上任一方法实施例中的方法。其中计算机可读存储介质例如包括计算机程序的存储器250，上述指令可由装置200的中央处理器270执行以实现上述的方法。

该实施例中的处理器执行操作的具体方式已经在有关该权限控制方法的实施例中执行了详细描述，此处将不做详细阐述说明。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围执行各种修改和改变。本发明的范围仅由所附的权利要求来限制。