数据访问权限的控制方法、装置、计算机设备和存储介质与流程

本申请涉及计算机技术领域，特别是涉及一种数据访问权限的控制方法、装置、计算机设备和存储介质。

背景技术：

随着计算机技术的不断发展，各种应用不断涌现。用户可以根据自身需求在计算机设备上安装各种类型的应用，例如个人应用或者企业应用等。为了提高系统安全性，需要对用户在应用内的访问行为和数据操作进行控制。传统的主要基于角色进行访问控制：安全管理人员根据需要定义各种角色，并设置合适的访问权限，而用户根据其责任和资历再被指派为不同的角色，通过分配和取消角色完成用户权限的授予和取消。然而，这种方式灵活化差。

技术实现要素：

基于此，有必要针对上述技术问题，提供一种能够提高权限管理灵活性的数据访问权限的控制方法、装置、计算机设备和存储介质。

一种数据访问权限的控制方法，所述方法包括：监听基于业务应用触发的数据访问指令；所述数据访问指令携带了用户标识以及所需访问数据的数据标识；确定所述用户标识所对应目标用户在所述业务应用的角色；当根据所述角色确定所述目标用户具有对所述业务应用的操作权限时，在预置的组织结构树中确定与所述目标用户对应的组织节点；将所述目标用户对应的组织节点作为当前层级组织节点对所述组织结构树中各组织节点是否具有对所述数据标识所对应目标数据的访问权限进行遍历，直至最低层级的组织节点；当存在与所述当前层级组织节点直接或间接相连的一个或多个低层级组织节点具有对所述目标数据的访问权限时，展示所述目标数据。

在一个实施例中，所述监听基于业务应用触发的数据访问指令包括：在检测到当前处于内网环境时，展示业务应用的登录入口；响应对应于所述登录入口的触发操作，展示第一登录信息输入界面；根据在所述第一登录信息输入界面输入的第一登录信息，展示与所述第一登录信息对应的第二登录信息输入界面；根据在所述第二登录信息输入界面输入的第二登录信息登录业务应用；通过权限管理应用监听基于所述业务应用触发的数据访问指令。

在一个实施例中，所述第一登录信息为通讯号码登录信息；所述根据在所述第一登录信息输入界面输入的第一登录信息，展示与所述第一登录信息对应的第二登录信息输入界面，包括：接收在通讯号码登录信息输入界面输入的通讯号码登录信息；获取与所述通讯号码登录信息对应的组织标识集；当所述组织标识集中包括所述内网环境所对应的目标组织标识时，获取与所述通讯号码登录信息对应、且与所述目标组织标识关联的身份信息；展示与所述身份信息匹配的第二登录信息输入界面。

在一个实施例中，所述通过权限管理应用监听基于所述业务应用触发的数据访问指令包括：当监听到所述数据访问指令时，基于所述权限管理应用向第一服务器发送权限验证请求，使所述第一服务器对目标用户是否具有对所述目标数据的访问权限进行验证，并将验证结果发送至所述业务应用所对应的第二服务器；所述展示所述目标数据包括：接收所述第二服务器在验证结果为验证通过时返回的目标数据。

在一个实施例中，上述数据访问权限的控制方法还包括：获取基于所述权限管理应用触发的组织变更指令；所述组织变更指令包含组织变更需求；根据所述组织变更需求，在所述组织结构树中新增组织节点实现组织分裂，或在所述组织结构树中删除组织节点实现组织合并。

在一个实施例中，上述数据访问权限的控制方法还包括：获取基于所述权限管理应用触发的权限变更指令；所述组织变更指令包含用户标识及权限变更需求；根据所述权限变更指令，在所述组织结构树中新增或删除所述用户标识所对应用户节点与一个或多个组织节点之间的连接边。

一种数据访问权限的控制装置，所述装置包括：访问操作监听模块，用于监听基于业务应用触发的数据访问指令；所述数据访问指令携带了用户标识以及所需访问数据的数据标识；访问权限验证模块，用于当根据所述角色确定所述目标用户具有对所述业务应用的操作权限时，在预置的组织结构树中确定与所述目标用户对应的组织节点；将所述目标用户对应的组织节点作为当前层级组织节点对所述组织结构树中各组织节点是否具有对所述数据标识所对应目标数据的访问权限进行遍历，直至最低层级的组织节点；目标数据访问模块，用于当存在与所述当前层级组织节点直接或间接相连的一个或多个低层级组织节点具有对所述目标数据的访问权限时，展示所述目标数据。

在一个实施例中，所述访问操作监听模块还用于在检测到当前处于内网环境时，展示业务应用的登录入口；响应对应于所述登录入口的触发操作，展示第一登录信息输入界面；根据在所述第一登录信息输入界面输入的第一登录信息，展示与所述第一登录信息对应的第二登录信息输入界面；根据在所述第二登录信息输入界面输入的第二登录信息登录业务应用；通过权限管理应用监听基于所述业务应用触发的数据访问指令。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现本申请任意一个实施例中提供的数据访问权限的控制方法的步骤。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现本申请任意一个实施例中提供的数据访问权限的控制方法的步骤。

上述数据访问权限的控制方法、装置、计算机设备和存储介质，对基于业务应用触发的数据访问指令监听，并在监听到访问指令时自动触发操作权限和数据访问权限的验证；当根据用户标识确定所述目标用户具有对所述业务应用的操作权限时，才进行后续的数据访问权限验证，避免不必要的数据处理步骤，可以节约数据处理资源；通过对预置的组织结构树中与所述目标用户对应组织节点所连接的低层级组织节点对目标数据的访问权限进行遍历，可以实现对当前用户是否具有对目标数据的访问权限的验证；只有在验证通过时，才进行目标数据的展示，提高目标数据完全性。上述过程，通过将操作权限和数据访问权限分离，可以提高权限管理灵活性，根据现实中群组组织架构设置组织结构树，更加符合实际应用场景；基于该组织结构树，可以使不同用户之间权限的动态调整集成，实现权限联动性，高层级用户可完全模拟下级用户访问，提高权限管理效率。

附图说明

图1为一个实施例中数据访问权限的控制方法的应用场景图；

图2为一个实施例中数据访问权限的控制方法的流程示意图；

图3为一个实施例中个人的组织结构树的示意图；

图4为一个实施例中数据访问权限的控制装置的结构框图；

图5为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供的数据访问方法，可以应用于如图1所示的应用环境中。其中，第一终端110与第一服务器120通过网络进行通信；第一终端110与第二服务器130通过网络进行通信；第二终端140与第一服务器120通过网络进行通信；第二终端140与第二服务器130通过网络进行通信。其中，第一终端110上运行了不同的业务应用。第一终端110为业务应用的用户对应的终端。第一终端110中的每个业务应用以插件的方式集成了通用的权限管理应用。权限管理应用用于对用户基于业务应用的数据访问权限进行控制。第二终端140上也运行了权限管理应用。权限管理应用在第二终端140可以单独运行，也可以以插件的方式集成在其他应用中。第二终端140为权限运维人员所对应的终端。第一终端110与第二终端140可以是同一终端，也可以是不同终端。第一终端110与第二终端140分别可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。第一服务器120可以是为权限管理应用提供服务的应用服务器。第二服务器130可以是为业务应用提供服务的应用服务器。第一服务器120与第二服务器130可以是同一服务器，也可以是不同服务器。第一服务器120与第二服务器130分别可以用独立的服务器或者是多个服务器组成的服务器集群来实现。

在一个实施例中，如图2所示，提供了一种数据访问方法，以该方法应用于图1中的第一终端为例进行说明，包括以下步骤：

步骤202，监听基于业务应用触发的数据访问指令；数据访问指令携带了用户标识以及所需访问数据的数据标识。

第一终端上运行有一个或多个业务应用。业务应用的表现形式可以是web网站、app(application，应用程序)或小程序等。业务应用具体可以是社交应用、办公应用、支付应用等。业务应用可以是允许任意自然人使用的应用，比如个人应用等。业务应用也可以是允许组织所包括的自然人在组织内部使用的应用，如企业应用等。

第一终端上还运行了权限管理应用。基于权限管理应用可以实现同时对多个业务应用进行访问权限管控。当权限管理应用独立运行在终端上时，用户可以将需要管控的每个业务应用的访问地址配置在权限管理应用。访问地址是指可以从互联网上得到的资源的位置和访问方法的地址链接，可以是url(uniformresourcelocator，统一资源定位符)。访问地址可以是业务应用的入口页面的访问地址。容易理解，若权限管理应用以插件的方式集成在业务应用中，则用户无需进行访问地址的配置。

第一终端基于权限管理应用监听用户在业务应用触发的数据访问指令。数据访问指令可以是用户在业务应用进行页面浏览、数据下载、数据转发等数据访问操作而触发生成的指令。数据访问指令携带了用户标识和数据标识。用户标识是能够唯一表征用户身份的信息，如身份证号、手机号或用户基于业务应用的注册账号等。数据标识是能够唯一标识用户期望访问的目标数据的信息，具体可以是数据编号、基于数据标题或内容生成的哈希值等。

步骤204，确定用户标识所对应目标用户在业务应用的角色。

步骤206，当根据角色确定目标用户具有对业务应用的操作权限时，在预置的组织结构树中确定与目标用户对应的组织节点。

第一服务器预存储了多个用户个人的组织结构树。个人的组织结构树包括多个组织节点以及用于连接组织节点的连接边。个人的组织结构树还包括用户节点以及用户连接用户节点和组织节点的连接边。与用户节点相连的组织节点可以是用户所属组织节点，也可以是跨部门组织节点。其中，用户所属组织节点是指用户所在的职能部门所对应的组织节点。用户节点与用户所属组织节点为一对一的关系，换言之，一个用户只能有一个所属组织节点。跨部门组织节点是指用户具有其他部门权限的职能部门所对应的组织节点。用户节点与跨部门组织节点可以是多对一的关系，换言之，一个用户可以有多个跨部门组织节点。参考图3，图3为一个实施例中个人的组织结构树的示意图。如图3所示，用户a对应的所属组织节点为组织3，具有组织5和组织9的跨部门职能。

在一个实施例中，个人的组织结构树可以是基于群组的组织结构树构建得到的，具体包括：获取群组的组织结构树；在群组的组织结构树中确定与目标用户对应的所属组织节点和跨组织节点；将目标用户对应的用户标识作为用户节点，在群组的组织结构树中将用户节点与相应的所属组织节点和跨组织节点连接，得到目标用户对应的个人的组织结构树。

其中，本申请所采用的群组的组织结构树可以是根据整个集团的组织架构构建得到的，包括多个层级的组织节点。容易理解，最高层级的组织节点为集团所对应的组织节点。多个业务应用可以共享群组的组织结构树以及基于企业组织结构树构建的个人的组织结构树。个人的组织结构树中的组织节点可以是企业组织结构树中的全部或部分组织节点。权限运维人员可以在第二终端基于权限管理应用对群组的组织结构树或个人的组织结构树进行配置管理，使其能够在统一的平台对多个业务应用进行权限配置管理，提高权限管理效率。

具体地，当监听到数据访问指令时，权限管理应用根据数据访问指令向第一服务器发送权限验证请求。第一服务器根据权限验证请求所携带的用户标识确定所对应目标用户的用户角色。用户角色适用于反映用户权职范围的角色信息。第一服务器预存储了多种用户角色基于不同业务应用的操作权限的对应关系。权限验证请求还携带了业务应用的应用标识。第一服务器根据这种对应关系判断目标用户是否具有应用标识所对应业务应用的操作权限。只有当具有业务应用的操作权限时，第一服务器才进行后续的目标数据拉取操作，提高目标数据的安全性。

进一步地，当具有业务应用的操作权限时，第一服务器获取目标用户个人的组织结构树，在组织结构数中明确目标用户所对应的所属组织节点和跨部门组织节点。

步骤208，将目标用户对应的组织节点作为当前层级组织节点对组织结构树中各组织节点是否具有对数据标识所对应目标数据的访问权限进行遍历，直至最低层级的组织节点。

第一服务器对组织结构树中多层级的组织节点进行遍历。具体地，第一服务器将目标用户对应的组织节点作为当前层级组织节点，验证对当前层级组织节点所连接的下一层次组织节点是否具有对数据标识所对应目标数据的访问权限。若下一层级组织节点具有对目标数据的访问权限，则停止遍历，判断目标用户也具有对目标数据的访问权限。若下一层级组织节点不具备对目标数据的访问权限，则对下一层级组织节点的下一层级组织节点是否具有对数据标识所对应目标数据的访问权限进行验证。如此重复，直至发现至少一个与当前层级组织节点直接或间接相连的低层级组织节点具有对目标数据的访问权限为止。若遍历至最低层级的组织节点，仍未发现与当前层级组织节点直接或间接相连、且具有对目标数据的访问权限的低层级组织节点，则判定目标用户不具备对目标数据的访问权限。

步骤210，当存在与当前层级组织节点直接或间接相连的一个或多个低层级组织节点具有对目标数据的访问权限时，展示目标数据。

在一个实施例中，通过权限管理应用监听基于业务应用触发的数据访问指令包括：当监听到数据访问指令时，基于权限管理应用向第一服务器发送权限验证请求，使第一服务器对目标用户是否具有对目标数据的访问权限进行验证，并将验证结果发送至业务应用所对应的第二服务器；展示目标数据包括：接收

第二服务器在验证结果为验证通过时返回的目标数据。

当判定目标用户不具备对目标数据的访问权限时，第一服务器根据用户标识以及数据标识生成数据下发请求，根据应用标识将数据下发请求发送至相应业务应用所对应的第二服务器。第二服务器根据数据下发请求，拉取与数据标识所对应的目标数据，并将目标数据下发至用户标识对应的第一终端。第一终端基于相应业务应用展示目标数据。

上述过程，管理元可以基于统一的权限管理引用同时对多个业务应用的权限进行配置管控，实时的业务数据仍存储在各自对应的业务应用，实现数据去中心化，保证数据安全可靠性的前提下实现统一权限管理，有效减少面对大型群组中权限管理工作量。

上述数据访问权限的控制方法，对基于业务应用触发的数据访问指令监听，并在监听到访问指令时自动触发操作权限和数据访问权限的验证；当根据用户标识确定目标用户具有对业务应用的操作权限时，才进行后续的数据访问权限验证，避免不必要的数据处理步骤，可以节约数据处理资源；通过对预置的组织结构树中与目标用户对应组织节点所连接的低层级组织节点对目标数据的访问权限进行遍历，可以实现对当前用户是否具有对目标数据的访问权限的验证；只有在验证通过时，才进行目标数据的展示，提高目标数据完全性。上述过程，通过将操作权限和数据访问权限分离，可以提高权限管理灵活性，根据现实中群组组织架构设置组织结构树，更加符合实际应用场景；基于该组织结构树，可以使不同用户之间权限的动态调整集成，实现权限联动性，高层级用户可完全模拟下级用户访问，提高权限管理效率。

在一个实施例中，监听基于业务应用触发的数据访问指令包括：在检测到当前处于内网环境时，展示业务应用的登录入口；响应对应于登录入口的触发操作，展示第一登录信息输入界面；根据在第一登录信息输入界面输入的第一登录信息，展示与第一登录信息对应的第二登录信息输入界面；根据在第二登录信息输入界面输入的第二登录信息登录业务应用；通过权限管理应用监听基于业务应用触发的数据访问指令。

其中，内网环境是指在一个局部的地理范围内的局域网络环境。本实施例中内网环境具体可以是指一个组织所提供的在该组织内部使用的网络环境，比如学校、企业等。内网的覆盖范围较小，在一定程度上能够避免业务应用中的数据的泄露，可以在一定的场景下保障数据的安全性。与内网环境相对应的另一个概念为外网环境，外网环境是指覆盖范围广的广域网络环境，也就是我们通常所说的internet。登录入口具体可以是业务应用中某个页面控件，比如按钮或者超链接等；也可以是图形码，比如二维码或者条形码等。

具体地，在业务应用为允许组织所包括的自然人在组织内部使用的应用的场景下，基于组织内部数据的保密性，终端在检测到当前处于内网环境时，再展示业务应用的登录入口，可以在一定程度上避免组织内部数据的泄露。

在一个实施例中，供目标组织的组织非正式成员登录业务应用的登录入口，也可供目标组织的组织正式成员登录业务应用；但供目标组织的组织正式成员登录业务应用的登录入口，则不可供目标组织的组织非正式成员登录业务应用。可以理解，这里的业务应用为允许组织所包括的自然人在组织内部使用的应用，且多个不同的组织均可设置同一个应用作为业务应用。那么，用户在登录业务应用时，需要以其所属组织的成员角色为依据进行登录，目标组织为用户当前登录业务应用时的成员角色所属的组织。举例说明，假设用户a同时属于组织1和组织2，那么用户a要么以组织1的组织角色登录业务应用，要么以组织2的组织角色登录业务应用，而非以其个人角色登录业务应用。

进一步地，终端可检测对应于登录入口的触发操作，在检测到该触发操作时触发展示业务应用的第一登录信息输入界面。其中，登录信息是用户登录业务应用所需要依据的数据，比如应用账号、通信号码、邮箱或令牌等。

终端根据在第一登录信息输入界面输入的第一登录信息，展示与第一登录信息对应的第二登录信息输入界面。这里的第二登录信息输入界面和上文中的第一登录信息输入界面中输入的登录信息是不同的。比如，应用账号和密码是一种登录信息，通信号码和验证码则是另一种登录信息。不同的第一登录信息也可以是属于不同权限角色对象的同种登录信息。比如，a企业正式员工的通信号码和验证码，与a企业外包员工的通信号码和验证码。

上述实施例，通过将两种方式登录信息结合，提高了登录的安全性。而且，在当前处于内网环境时，才展示目标应用的登录入口以进行登录，进一步提高了登录的安全性。

在一个实施例中，第一登录信息为通讯号码登录信息；根据在第一登录信息输入界面输入的第一登录信息，展示与第一登录信息对应的第二登录信息输入界面，包括：接收在通讯号码登录信息输入界面输入的通讯号码登录信息；获取与通讯号码登录信息对应的组织标识集；当组织标识集中包括内网环境所对应的目标组织标识时，获取与通讯号码登录信息对应、且与目标组织标识关联的身份信息；展示与身份信息匹配的第二登录信息输入界面。

终端接收在第一登录信息输入界面输入的通讯号码登录信息。服务器在校验通信号码登录信息通过后，可查询与该通信号码登录信息对应的组织标识集并反馈至终端。组织标识集是包括多个组织标识的集合。组织标识用于标识一个组织。组织标识具体可以是组织的名称或者代码等。比如，组织为企业时，企业名称可以是该群组的企业标识。终端即可查看该组织标识集中是否包括当前所处内网环境所对应的目标组织标识。

在该组织标识集中包括当前所处内网环境所对应的目标组织标识，表示当前登录的对象为目标组织标识所标识的目标组织的组织成员，且当前登录所处的网络环境为目标组织所提供的内网环境。终端可继续获取与通讯号码登录信息对应、且与目标组织标识关联的身份信，根据该身份信息可以确定与该身份信息匹配的第二登录信息输入界面，并展示该第二登录信息输入界面。

本实施例中，只有当前登录的对象为目标组织标识所标识的目标组织的组织成员，且当前登录所处的网络环境为目标组织所提供的内网环境，才继续后续页面的展示，即进行相应权限范围对应的界面展示和业务应用登录途径，可以避免登录用户获取到不属于其权限范围内的数据而导致数据的泄露。

在一个实施例中，方法还包括：获取基于权限管理应用触发的组织变更指令；组织变更指令包含组织变更需求；根据组织变更需求，在组织结构树中新增组织节点实现组织分裂，或在组织结构树中删除组织节点实现组织合并。

当群组的组织架构发生变化时，可以基于权限管理应用发起组织变更，如组织合并或组织分裂等。具体地，终端获取组织变更指令。组织变更指令包含组织变更需求。基于组织变更指令向服务器发送组织变更请求，使服务器根据组织变更需求，在群组的组织结构树中新增组织节点，以实现组织分裂；或者，在群组的组织结构树中删除组织节点，以实现组织合并，得到变更后的群组组织结构树。

进一步地，服务器根据变更后的群组组织结构树对关联的每个个人的组织结构树进行同步更新。比如，组织节点可“银行”可以分裂为“华东区银行”和“华南区银行”，原来组织节点“银行”对应的用户需要重新分配至“华东区银行”和“华南区银行”中的一个组织节点。再比如，“华东区银行”与“华南区银行”可以合并为一个组织节点“银行”，原来组织节点“华东区银行”和组织节点“华南区银行”对应的用户需要统一归结到“银行”节点。

本实施例中，基于群组的组织业务树响应组织变更需求，实现组织架构动态控制。

在一个实施例中，方法还包括：获取基于权限管理应用触发的权限变更指令；组织变更指令包含用户标识及权限变更需求；根据权限变更指令，在组织结构树中新增或删除用户标识所对应用户节点与一个或多个组织节点之间的连接边。

当在某个业务应用中不具备对某项数据的访问权限时，可以向运维人员提权限变更需求，比如“用户a申请访问业务应用1中的目标数据2”。具体地，终端获取用户基于权限管理应用触发的权限变更指令。权限变更指令包含用户标识和权限变更需求。终端基于权限变更指令向服务器发送权限变更请求，使服务器根据权限变更需求，在用户标识对应的个人的组织结构树中新增或删除用户节点与一个或多个组织节点之间的连接边，得到变更后的个人的组织结构树。

本实施例中，基于个人的组织业务树响应权限变更需求，实现访问权限动态控制。

应该理解的是，虽然图2的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，如图4所示，提供了一种数据访问权限的控制装置，包括：访问操作监听模块402、访问权限验证模块404和访问权限验证模块404，其中：

访问操作监听模块402，用于监听基于业务应用触发的数据访问指令；数据访问指令携带了用户标识以及所需访问数据的数据标识。

访问权限验证模块404，用于当根据角色确定目标用户具有对业务应用的操作权限时，在预置的组织结构树中确定与目标用户对应的组织节点；将目标用户对应的组织节点作为当前层级组织节点对组织结构树中各组织节点是否具有对数据标识所对应目标数据的访问权限进行遍历，直至最低层级的组织节点。

目标数据访问模块406，用于当存在与当前层级组织节点直接或间接相连的一个或多个低层级组织节点具有对目标数据的访问权限时，展示目标数据。

在一个实施例中，访问操作监听模块402还用于在检测到当前处于内网环境时，展示业务应用的登录入口；响应对应于登录入口的触发操作，展示第一登录信息输入界面；根据在第一登录信息输入界面输入的第一登录信息，展示与第一登录信息对应的第二登录信息输入界面；根据在第二登录信息输入界面输入的第二登录信息登录业务应用；通过权限管理应用监听基于业务应用触发的数据访问指令。

在一个实施例中，第一登录信息为通讯号码登录信息；访问操作监听模块402还用于接收在通讯号码登录信息输入界面输入的通讯号码登录信息；获取与通讯号码登录信息对应的组织标识集；当组织标识集中包括内网环境所对应的目标组织标识时，获取与通讯号码登录信息对应、且与目标组织标识关联的身份信息；展示与身份信息匹配的第二登录信息输入界面。

在一个实施例中，访问操作监听模块402还用于当监听到数据访问指令时，基于权限管理应用向第一服务器发送权限验证请求，使第一服务器对目标用户是否具有对目标数据的访问权限进行验证，并将验证结果发送至业务应用所对应的第二服务器；展示目标数据包括：接收第二服务器在验证结果为验证通过时返回的目标数据。

在一个实施例中，上述数据访问权限的控制装置还包括组织变更模块408，用于获取基于权限管理应用触发的组织变更指令；组织变更指令包含组织变更需求；根据组织变更需求，在组织结构树中新增组织节点实现组织分裂，或在组织结构树中删除组织节点实现组织合并。

在一个实施例中，上述数据访问权限的控制装置还包括权限变更模块410，用于获取基于权限管理应用触发的权限变更指令；组织变更指令包含用户标识及权限变更需求；根据权限变更指令，在组织结构树中新增或删除用户标识所对应用户节点与一个或多个组织节点之间的连接边。

关于数据访问权限的控制装置的具体限定可以参见上文中对于数据访问权限的控制方法的限定，在此不再赘述。上述数据访问权限的控制装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种数据访问权限的控制方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图4中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现本申请任意一个实施例中提供数据访问权限的控制方法的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。