数据处理方法、权限数据集创建方法、装置及电子设备与流程

本发明涉及计算机数据处理技术领域，具体而言，涉及一种数据处理方法、权限数据集创建方法、装置及电子设备。

背景技术：

随网络信息技术的迅速发展，访问数据信息已成为网络信息交互普遍操作。为了提高访问的安全性，通常需要对访问的对象设置权限。在访问对象具有权限时，才能访问或操作相应数据。在现有技术中，访问权限与数据资源通过强关联实现权限的管理，比如权限与数据资源一一关联。当系统需要新增数据资源或更新数据资源时，需要重新定义权限与资源、用户与权限的关联关系，使得授权范围缺乏灵活性，只能针对个体资源进行授权。

技术实现要素：

本申请提供一种数据处理方法、权限数据集创建方法、装置及电子设备。

为了实现上述目的，本申请实施例所提供的技术方案如下所示：

第一方面，本申请实施例提供一种数据处理方法，所述方法包括：接收用于访问资源的请求报文，所述请求报文中携带有用于确定当前访问对象所访问的目标资源的目标属性集的字段，所述目标属性集包括至少两个属性；从所述字段中获取所述目标属性集；判断与所述当前访问对象对应的权限数据集中是否存在与所述目标属性集中的属性相匹配的目标权限数据，所述目标权限数据用于表示所述当前访问对象具有访问所述目标资源的权限；当所述权限数据集中存在所述目标权限数据时，响应与所述请求报文对应的操作。因为资源包括至少两个属性，每个属性可以对应一个权限数据，所以可以基于资源的属性灵活地定义资源与访问对象的权限关系，从而能够改善现有技术中因无法灵活定义资源权限而使得授权范围缺乏灵活性的技术问题。

结合第一方面，在一些可选的实施方式中，所述权限数据集中的每个所述权限数据包括与预设的资源的一个属性相关联的预设标签值；判断与所述当前访问对象对应的权限数据集中是否存在与所述目标属性集中的属性相匹配的目标权限数据，包括：分别遍历所述目标属性集、与所述权限数据集对应的预设标签值集，并确定所述目标属性集、所述预设标签值集中存在相匹配的目标属性和第一预设标签值；当存在相匹配的所述目标属性及所述第一预设标签值时，确定所述权限数据集中存在所述目标权限数据。基于此，通过标签值来进行匹配，有助于快速准确地判断出访问请求报文是否具有访问权限。

结合第一方面，在一些可选的实施方式中，目标属性集中的属性与第二预设标签值相关联，确定所述目标属性集、所述预设标签值集中存在相匹配的目标属性和第一预设标签值，包括：当存在至少一组表征标签值相同的所述第二预设标签值与所述第一预设标签值时，确定存在相匹配的所述目标属性和所述第一预设标签值。基于此，通过第二预设标签值与第一预设标签值的标签值是否相同来进行匹配，有助于快速准确地判断出访问请求报文是否具有访问权限。

结合第一方面，在一些可选的实施方式中，所述方法还包括：当所述权限数据集中不存在所述目标权限数据时，将所述目标属性集中的属性与预设的黑/白名单中的属性进行匹配以得到匹配结果，并根据所述匹配结果响应与所述请求报文对应的操作。

结合第一方面，在一些可选的实施方式中，在判断与所述当前访问对象对应的权限数据集中是否存在与所述目标属性集中的属性相匹配的目标权限数据之前，所述方法还包括：根据所述请求报文中携带的所述当前访问对象的身份信息获取与所述当前访问对象对应的权限数据集。

结合第一方面，在一些可选的实施方式中，在接收用于访问资源的请求报文之前，所述方法还包括：根据预先获取的每个资源包括的内容及属性集，建立所述属性集中的属性与预设授权操作的关联关系，所述属性集中包括至少两个属性；根据所述关联关系及所述预设授权操作创建实例权限数据集；将所述实例权限数据集中的至少部分预设权限数据作为所述权限数据集赋予预设访问对象。基于此，在扩展资源时，可以根据待扩展资源需要的访问权限，将该资源添加在与访问权限对应的属性下，从而能够通过已有的属性对应的权限对至少一个资源进行授权定义，从而可以灵活的根据资源需要的访问权限而将资源添加在相应的属性下，有助于提高权限定义的灵活性，而无需将资源与权限一一关联。

第二方面，本申请实施例还提供一种权限数据集创建方法，所述方法包括：根据预先获取的每个资源包括的内容及属性集，建立所述属性集中的属性与预设授权操作的关联关系，所述属性集中包括至少两个属性；根据所述关联关系及所述预设授权操作创建实例权限数据集，其中，所述实例权限数据集中的至少部分预设权限数据用于赋予预设访问对象。基于此，在扩展资源时，可以根据待扩展资源需要的访问权限，将该资源添加在与访问权限对应的属性下，从而能够通过已有的属性对应的权限对至少一个资源进行授权定义，从而可以灵活的根据资源需要的访问权限而将资源添加在相应的属性下，有助于提高权限定义的灵活性。

第三方面，本申请实施例还提供一种数据处理装置，所述装置包括：接收单元，用于接收用于访问资源的请求报文，所述请求报文中携带有用于确定当前访问对象所访问的目标资源的目标属性集的字段，所述目标属性集包括至少两个属性；获取单元，用于从所述字段中获取所述目标属性集；判断单元，用于判断与所述当前访问对象对应的权限数据集中是否存在与所述目标属性集中的属性相匹配的目标权限数据，所述目标权限数据用于表示所述当前访问对象具有访问所述目标资源的权限；响应单元，用于当所述权限数据集中存在所述目标权限数据时，响应与所述请求报文对应的操作。

第四方面，本申请实施例还提供一种权限数据集创建装置，所述装置包括：关系建立单元，用于根据预先获取的每个资源包括的内容及属性集，建立所述属性集中的属性与预设授权操作的关联关系，所述属性集中包括至少两个属性；创建单元，用于根据所述关联关系及所述预设授权操作创建实例权限数据集，其中，所述实例权限数据集中的至少部分预设权限数据用于赋予预设访问对象。

第五方面，本申请实施例还提供一种电子设备，包括相互耦合的存储模块、处理模块、通信模块，所述存储模块内存储计算机程序，当所述计算机程序被所述处理模块执行时，使得所述电子设备执行上述的数据处理方法或执行上述的权限数据集创建方法。

第六方面，本申请实施例还提供一种计算机可读存储介质，所述可读存储介质中存储有计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行上述的数据处理方法或执行上述的权限数据集创建方法。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举本申请实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍。应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的电子设备的方框示意图。

图2为本申请实施例提供的数据处理方法的流程示意图。

图3为本申请实施例提供的数据处理装置的方框示意图。

图4为本申请实施例提供的权限数据集创建方法的流程示意图。

图5为本申请实施例提供的权限数据集创建装置的方框示意图。

图标：10-电子设备；11-处理模块；12-通信模块；13-存储模块；100-数据处理装置；110-接收单元；120-获取单元；130-判断单元；140-响应单元；200-权限数据集创建装置；210-关系建立单元；220-创建单元。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。显然，所描述的实施例仅仅是本申请的一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。此外，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

随网络信息技术的迅速发展，访问数据信息已成为网络信息交互普遍操作。为了提高访问的安全性，通常需要对访问的对象设置权限。在访问对象具有权限时，才能访问或操作相应数据。在现有技术中，访问权限与数据资源通过强关联实现权限的管理，比如权限与数据资源一一关联。当系统需要新增数据资源或更新数据资源时，需要重新定义权限与资源、用户与权限的关联关系，使得授权范围缺乏灵活性，只能针对个体资源进行授权。

鉴于上述问题，本申请申请人经过长期研究探索，提出以下实施例以解决上述问题。下面结合附图，对本申请实施例作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

第一实施例

请参照图1，本申请实施例提供的电子设备10可以通过网络与用户终端连接通信连接，以进行数据交互。网络可以是，但不限于，有线网络或无线网络。

电子设备10用于对用户所扮演的访问对象的角色进行权限管理，可以对该访问对象授予访问权限或删除访问权限，该电子设备10可以称为堡垒机。在用户终端通过堡垒机访问数据资源时，堡垒机需要判断该用户终端对应的访问对象是否具有访问权限，在判断出访问对象具有访问权限时，便允许用户终端访问相应的数据。其中，用户可以通过用户终端直接或间接地从堡垒机访问数据资源。

例如，堡垒机中可以存储有用户终端需要访问的数据资源，那么在确定出用户终端具有访问资源的权限后，用户终端可以直接从堡垒机访问资源。若用户终端需要访问的数据资源没有存储在堡垒机中，而是存储在其他服务器或存储系统中时，且该访问仍需要通过该堡垒机进行权限认证时，在权限认证通过后，用户终端可以通过该堡垒机从其他服务器或存储系统中访问相应的数据资源；或者，在权限认证通过后，用户终端可以直接从其他服务器或存储系统中访问相应的数据资源。

在本实施例中，电子设备10可以为服务器，或者该电子设备10可以具有用户终端的功能。服务器可以是但不限于台式服务器、机架式服务器、机柜式服务器、刀片式服务器、云服务器等。用户终端可以是但不限于，智能手机、个人电脑(personalcomputer，pc)、平板电脑、个人数字助理(personaldigitalassistant，pda)、移动上网设备(mobileinternetdevice，mid)、用于从电子设备10访问数据资源的访问服务器等。

请参照图2，在本实施例中，电子设备10可以包括相互耦合的处理模块11、通信模块12、存储模块13，处理模块11、通信模块12、存储模块13各个元件之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。

处理模块11可以是一种集成电路芯片，具有信号的处理能力。上述处理模块11可以是通用处理器。例如，该处理器可以是中央处理器(centralprocessingunit，cpu)、图形处理器(graphicsprocessingunit，gpu)、网络处理器(networkprocessor，np)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。

通信模块12用于通过网络建立电子设备10与用户终端、存储系统设备等的通信连接，并通过网络收发数据。

存储模块13可以是，但不限于，随机存取存储器，只读存储器，可编程只读存储器，可擦除可编程只读存储器，电可擦除可编程只读存储器等。在本实施例中，存储模块13可以用于存储实例权限数据集、权限数据集等。当然，存储模块13还可以用于存储程序，处理模块11在接收到执行指令后，执行该程序。

电子设备10还可以包括数据处理装置100。数据处理装置100包括至少一个可以软件或固件(firmware)的形式存储于存储模块13中或固化在电子设备10操作系统(operatingsystem，os)中的软件功能模块。处理模块11用于执行存储模块13中存储的可执行模块，例如数据处理装置100所包括的软件功能模块及计算机程序等。

可以理解的是，图2所示的结构仅为电子设备10的一种结构示意图，电子设备10还可以包括比图2所示更多或更少的组件。图2中所示的各组件可以采用硬件、软件或其组合实现。

请参照图3，本申请实施例提供的数据处理方法可以应用于上述的电子设备10，由该电子设备10执行或实现数据处理方法的各步骤，能够通过属性对应的权限对属性对应的至少一个资源进行授权，能够改善现有技术中授权范围缺乏灵活性的技术问题。

在本实施例中，电子设备10中可以安装或设置有资源访问系统。用户可以通过预先注册的用户账户及密码登录资源访问系统，然后再进行数据访问。可理解地，用户可以通过网页或者预先安装的与资源访问系统对应的应用程序登录资源访问系统。

其中，资源访问系统可理解为包括各类待访问资源的数据库，可以设置在电子设备10中，也可以设置在其他存储系统中。例如，该资源访问系统中可以包括后台管理模块、数据资产、用户指令等。后台管理模块可以为用于存储数据资产的设备(比如计算机设备、存储系统等)或模块。数据资产包括但不限于文本、图片、表格、视频、应用程序等。用户指令与用户需要执行的操作相对应，包括但不限于，读取数据资产的读取指令，更改数据资产的更改指令、删除数据资产的删除指令等。

下面将对图3所示的数据处理方法的各步骤进行详细描述：

步骤s310，接收用于访问资源的请求报文，请求报文中携带有用于确定当前访问对象所访问的目标资源的目标属性集的字段，目标属性集包括至少两个属性。

在本实施例中，用户需要访问数据时，可以通过用户终端向电子设备10发送请求报文。当前访问对象指当前的发送请求报文的访问对象。访问对象可理解为用户人员在用户终端上的身份，或者为访问资源的用户在用户终端上所扮演的角色。

例如，对于一个企业的人事组织架构，该人事组织架构中可以包括公司、部门、小组、个人员工等组员。其中，公司中可以包括多个部门，每个部门中可以包括多个小组，每个小组中可以包括多位个人员工。假设，一个部门中的成员可以包括经理及普通员工，那么访问对象可以为经理、普通员工、部门等角色。

需要说明的是，通常在发送请求报文之前，用户已经通过用户终端登录通过账户、密码登录了资源访问系统。

请求报文中可以包括访问对象的身份信息、访问的目标资源的标识信息中的至少一种，当然，该请求报文中还可以包括其他内容，这里不再赘述。其中，身份信息可以与该访问对象所具有的权限数据集相关联，以便于电子设备10根据请求报文中携带的身份信息确定出该访问对象的权限数据集。该权限数据集为访问对象在注册用户账号或添加资源时根据需求而赋予给该访问对象的权限数据的集合。

标识信息可以与资源的属性相关联，以便于电子设备10通过请求报文中携带的标识信息来确定该请求报文需要访问的目标资源的目标属性集(目标属性集可理解为目标资源的属性集)。其中，一个标识信息可以对应一个资源中的一个属性，也可以与一个资源中的多个属性或与该资源所有的属性形成的集合相对应。当然，该请求报文中的字段也可以直接携带有目标资源的属性集，使得电子设备10可以直接根据请求报文获取到当前访问对象所访问的目标资源的目标属性集。

在本实施例中，身份信息及标识信息可以根据实际情况进行设置，可以为数字串、字符串等，这里不作具体限定。

作为一种可选的实施方式，在步骤s310之前，方法还可以包括创建实例权限数据集的步骤。创建实例权限数据集可理解创建系统中每个资源对应的权限数据，以组成实例权限数据集。例如，方法还可以包括：根据预先获取的每个资源包括的内容及属性集，建立属性集中的属性与预设授权操作的关联关系，属性集中包括至少两个属性；根据关联关系及预设授权操作创建实例权限数据集；将实例权限数据集中的至少部分预设权限数据作为权限数据集赋予预设访问对象。

在本实施例中，创建实例权限数据集可理解为对资源的访问权限进行定义，以赋予与资源的属性相对应的访问权限，同一个资源可以根据该资源的不同属性而赋予不同的访问权限，或者可以将同一个资源的所有属性赋予同一个访问权限，管理人员可以灵活地配置属性与访问权限之间的关联关系，从而可以灵活对权限进行定义与分配。然后，将预设授权操作与属性相关联，以使得该资源在该属性下具有该授权操作，并基于每个该关联关系及预设授权操作创建实例权限数据，然后汇总一个资源的所有实例权限数据便得到该资源的实例权限数据集。每个资源的实例权限数据集可以存储到数据库中，以作为所有资源的实例权限数据的总集合。

其中，预设的授权操作(即预设授权操作)包括但不限于允许访问、拒绝访问、告警提示、禁止运行，可以根据实际情况进行设置。基于此，可以根据资源的属性确定出相应的权限以及与权限对应的操作。在完成对资源的权限定义后，再将所有资源中的至少部分资源的访问权限赋予指定的用户，从而使得每个用户(或访问对象)拥有相应的权限数据。也就是一个访问对象通常会被赋予一定数量的权限数据以作为该访问对象的权限数据集。

在完成权限定义后，在后续访问资源的过程中，可以通过判断访问对象是否具有该资源的访问权限，来确定访问对象是否可以访问资源。若访问对象具有访问该资源的访问权限，则允许访问对象访问该资源；若访问对象不具有该访问权限，则采用默认的方式来执行。其中，默认的方式可以根据实际情况进行设置，例如，默认的方式可以为拒绝该访问对象访问其资源。

在创建实例权限数据集时，电子设备10可以获取到各类属性的资源(或资产)，然后根据每个资源的内容来确定该资源的属性。属性可以为对资源内容的描述或资源的名称，该属性可以预先与资源的内容进行关联。其中，属性的内容可以根据实际情况进行设置。比如，属性集可以为表格形式的属性表，该属性表中可以包括至少两个属性，从而可以从多个维度来描述资源的特征(一个资源的属性可以作为描述资源特征的一个维度)，而每一维度的属性可以与权限相关联，从而提高对资源权限定义的灵活性。其属性包括但不限于资源的名称、资源的类型、资源的编号、存储资源的主机或服务器名称、该主机或服务器的ip地址、访问该资源的端口(比如ssh端口)、该主机或服务器的系统类型(比如unix、linux等系统)以及对资源内容的简要描述等。当然，该资源的属性还可以包括其他内容，例如该资源的应用/作用，这里对资源的具体属性不作限定。可理解地，资源的名称、资源内容的简要描述均可以根据实际情况进行设置，这里不作具体限定。

一个属性集是一个资源的特征集合，如果是以数据库的方式存储属性集，则属性集的名称可以对应为数据库中的字段名。

可选地，资源在存储到资源访问系统时，各资源的内容中已经携带有相应的属性形成的属性集。该属性可以为人工根据实际情况而设置的，也可以为资源自身携带的，或者由后台系统录入的。因为资源已经具有(或携带有)与该资源对应的属性，所以电子设备10可以根据每个资源的内容读取出该资源的属性，从而获得资源的属性。其中，资源的内容可以根据实际情况进行设置，例如，若资源为文本文档，则资源内容可以为文本文档中的文字。若资源为视频文件，那么资源的内容可以为该视频文件对应的数据内容，或为该视频文件的名称。

可选地，电子设备10可以根据资源的属性集进行权限分组，得到相应的资源组。即，每组资源组中的所有资源可以具有的相同的权限，且该组中的各资源的属性可以存在相同或不相同。然后电子设备10可以建立各属性与该资源组的第一关联关系，以及资源组与实例权限数据的第二关联关系，并基于第一关联关系、第二关联关系创建权限表以作为实例权限数据集。其中，权限表中可以包括但不限于权限的id、权限名称、资源选择器、授权操作。

可理解地，一项访问权限可以作为权限表中的一列表单，该列表单中可以包括但不限于与一项访问权限对应的一个权限id、一个权限名称、一个资源选择器及一个授权操作。其中，资源选择器用于获取访问对象所具有的权限数据集。

在本实施例中，在相同属性下的所有资源可以均与一个实例权限数据对应。当需要扩展资源或权限时，可以将资源添加在相应权限数据对应的属性的资源组中，从而可以根据资源的属性来灵活的设置需要授权资源的访问权限。

基于此，因为是将资源添加在已有的属性的权限下，而属性对应的实例权限数据没有变动，所以也就无需对添加的该资源单独设置访问权限，也就是可以将属性对应的访问权限作为需要添加的资源的访问权限。因此，无需对访问对象所拥有的访问权限进行更改，有助于简化权限定义的操作步骤，使得系统后期维护更为简单，从而有助于降低运维成本。

例如，当需要在资源访问系统中添加新的资源及与该资源对应的访问权限时。可以基于该资源需要的访问权限(可理解为允许指定的访问对象访问该资源的权限)，将该资源添加在与实例权限数据对应的属性的资源组下。此时，无需对用户所具有的权限数据集中的权限数据进行更改，也可以实现资源及权限控制逻辑的更新。

在创建完实例权限数据集后，电子设备10可以将至少部分实例权限数据作为权限数据赋予预设访问对象，预设访问对象可以为管理人员指定的访问对象，可以根据实际情况进行设置，这里不作具体限定。

可选地，电子设备10可以对各类访问对象设置相应的授权生效时间和结束时间，然后根据访问对象的优先级作为权限判断的优先顺序。

例如，用户登录资源访问系统(堡垒机终端或者堡垒机管理后台)后，按照部门->角色->个人成员的权限继承顺序获取用户权限集合(即权限数据集)，个人成员、角色属于一个部门就会继承部门的权限，个人成员属于一个角色就继承角色的权限，并将授权生效时间不在设定范围的权限去除，并根据优先级进行排序，优先级高的排在前面，将最后获取的权限存储于登录的会话(session)中。

当需要在权限控制逻辑中添加新的访问对象时，可以根据该访问对象应当具有的访问权限而将相应的实例权限数据赋予该访问对象，从而使得该访问对象具有该访问对象应当具有的所有访问权限。基于此，无需逐个地将资源的访问权限赋予给访问对象，有助于简化权限定义的操作，提高处理效率。

步骤s320，从字段中获取目标属性集。

在本实施例中，因为请求报文中携带有用于确定当前访问对象所访问的目标资源的目标属性集的字段，所以，当电子设备10接收到该请求报文时，可以根据该请求报文中的该字段确定出该请求报文需要访问的目标资源的目标属性集。

例如，字段中携带有与资源的属性相对应的标识，该标识与属性建立有关联关系。电子设备10可以从字段中读取到该标识，然后基于该标识及该标识对应的关联关系，确定出与该标识对应的属性，该属性即为目标资源的目标属性集。或者，字段中携带的内容便为目标属性集，电子设备10通过解析该字段便能读取到目标资源的目标属性集。

步骤s330，判断与当前访问对象对应的权限数据集中是否存在与目标属性集中的属性相匹配的目标权限数据，目标权限数据用于表示当前访问对象具有访问目标资源的权限。

在本实施例中，电子设备10可以判断权限数据集中是否存在与目标属性集中的属性相匹配的目标权限数据。若存在相匹配的属性及目标权限数据，也就表示当前访问对象具有访问目标资源的访问权限。

其匹配的原理可以为：例如，在给访问对象赋予各类访问权限时，可以将目标资源的属性对应的实例权限数据作为权限数据赋予给访问对象，使得访问对象拥有权限数据集，其中权限数据与属性相关联，以便于在权限认证时来判断权限数据与属性是否相匹配。在进行匹配时，可以将访问对象的权限数据集中的各个权限数据与基于请求报文确定出的目标资源的各个属性进行匹配。若在该权限数据集与目标资源的目标属性集中，存在相关联的属性与目标权限数据，也就意味着存在相匹配的属性及目标权限数据。

可选地，权限数据集中的每个权限数据包括与预设的资源的一个属性相关联的预设标签值。步骤s330可以包括：分别遍历目标属性集、与权限数据集对应的预设标签值集，并确定目标属性集、预设标签值集中存在相匹配的目标属性和第一预设标签值；当存在相匹配的目标属性及第一预设标签值时，确定权限数据集中存在目标权限数据。

可选地，目标属性集中的属性与第二预设标签值相关联。确定目标属性集、预设标签值集中存在相匹配的目标属性和第一预设标签值，包括：当存在至少一组表征标签值相同的第二预设标签值与第一预设标签值时，确定存在相匹配的目标属性和第一预设标签值。

可理解地，可以先从目标属性集中选一个属性，然后基于预先与该属性关联/对应的标签值(也就是第二预设标签值)，可以得到与该属性对应的第二预设标签值，然后将该第二预设标签值与预设标签值集中的每个第一预设标签值进行比对，若存在标签值相同的第一预设标签值及第二预设标签值，则确定存在相匹配的目标属性和第一预设标签值。若两者的标签值不同，则再从目标属性集中选另一个属性，并再重复上述的匹配，直至存在标签值相同的第一预设标签值及第二预设标签值，或目标属性集中的属性匹配完也没有匹配到，才结束匹配的流程。

在本实施例中，第一预设标签值、第二预设标签值可以根据实际情况进行设置。第一预设标签值为权限数据对应的标签的value(值)，为访问对象所拥有的权限数据集对应的预设标签值集中的标签值。一个标签可以对应至少一个属性，一个属性可以与一个权限数据相对应。一个标签的值可以为单值、多值(包括双值)、通配符等。第二预设标签值与第一预设标签值相类似，区别在于，第二预设标签值为目标资源的各个属性对应的标签值，而第一预设标签值为访问对象的权限数据集中的标签值。其中，单值和多值用于精确匹配，通配符用于模糊匹配。

例如，在根据请求报文确定出目标资源的目标属性集后，可以根据目标属性集的第二预设标签值集来与当前访问对象所具有的第一预设标签值集进行比对，若存在一组第一预设标签值与第二预设标签值相同，或存在一组第一预设标签值与第二预设标签值相匹配，那么便认为当前访问对象具有访问目标资源的权限。电子设备10便可以响应该请求报文对应的权限操作。若权限操作为允许访问对象访问目标数据，则用户终端可以从电子设备10访问到目标资源；若权限操作为禁止访问对象访问目标数据，则用户终端无法从电子设备10访问到目标资源。

步骤s340，当权限数据集中存在目标权限数据时，响应与请求报文对应的操作。

在本实施例中，响应与请求报文对应的操作可理解为：在确定请求报文具有访问目标资源的权限后，便可以基于访问权限对应授权操作来响应该请求报文。例如，若授权操作为允许访问，则允许发送该请求报文的用户终端访问目标资源；若授权操作为禁止访问，则禁止该用户终端访问目标资源。

在本实施例中，因为实例权限数据与资源的属性相关联，而同一属性可以对应多个资源，一个资源可以具有多个属性，所以实例权限数据可以同时作为多个资源的访问权限，可以无需与单个资源进行强关联，从而能够改善现有技术中资源授权范围缺乏灵活性的技术问题。

基于上述设计，因为访问权限与资源的属性相对应，当需要对资源进行扩展时，可以将需要添加的资源添加在相应的属性下，而无需对访问对象所具有的权限进行更改，访问对象可以沿用已有的权限数据作为访问权限访问所添加的资源，相比于现有的需要更改权限数据，本申请实施例提供的方法可使得对资源权限定义的方式更灵活。

作为一种可选的实施方式，在判断与当前访问对象对应的权限数据集中是否存在与目标属性集中的属性相匹配的目标权限数据的步骤之前，方法还可以包括：根据请求报文中携带的当前访问对象的身份信息获取与当前访问对象对应的权限数据集。

可理解地，用户在登录资源访问系统后，电子设备10便可以根据用户账户或访问对象的身份信息来确定出该访问对象已经具有的各类访问权限。该访问对象所拥有的各类访问权限便为访问对象对应的权限数据集，该访问权限也就是在创建实例权限数据集时，授予给访问对象的实例权限数据。

作为一种可选的实施方式，方法还可以包括：当权限数据集中不存在目标权限数据时，将目标属性集中的属性与预设的黑/白名单中的属性进行匹配以得到匹配结果，并根据匹配结果响应与请求报文对应的操作。

在本实施例中，黑/白名单中可以根据实际情况存储相应的资源的属性，且黑/白名单中存储的属性互不相同，以便于对无法匹配到的属性进行相应的默认操作。例如，黑名单可以存储允许访问的属性的表单，白名单中可以存储禁止访问的属性的表单。当在黑名单中存在与请求报文对应的属性时，便默认允许访问对象访问目标资源。当白名单中存在与请求报文对应的属性时，便默认禁止访问对象访问目标资源。

可理解地，匹配不成功，也就是说用户没有设置相关资源的权限，根据资源的控制情况可以拒绝或者忽略。可选地，在堡垒机的场景下，后台管理如果没有匹配，默认拒绝访问；主机访问如果没有匹配，默认拒绝访问；执行指令下，如果不匹配，默认不拦截，允许执行。

请参照图3，本申请实施例还提供一种数据处理装置100。该数据处理装置100可以应用于上述的电子设备10中，用于执行或实现如图2所示的数据处理方法的各步骤。其中，数据处理装置100可以包括接收单元110、获取单元120、判断单元130及响应单元140。

接收单元110，用于接收用于访问资源的请求报文，请求报文中携带有用于确定当前访问对象所访问的目标资源的目标属性集的字段，目标属性集包括至少两个属性。

获取单元120，用于从字段中获取目标属性集。

判断单元130，用于判断与当前访问对象对应的权限数据集中是否存在与目标属性集中的属性相匹配的目标权限数据，目标权限数据用于表示当前访问对象具有访问目标资源的权限。

可选地，权限数据集中的每个权限数据包括与预设的资源的一个属性相关联的预设标签值。判断单元130还用于：分别遍历目标属性集、与权限数据集对应的预设标签值集，并确定目标属性集、预设标签值集中存在相匹配的目标属性和第一预设标签值；当存在相匹配的目标属性及第一预设标签值时，确定权限数据集中存在目标权限数据。

可选地，目标属性集中的属性与第二预设标签值相关联。判断单元130还用于：当存在至少一组表征标签值相同的第二预设标签值与第一预设标签值时，确定存在相匹配的目标属性和第一预设标签值。

响应单元140，用于当权限数据集中存在目标权限数据时，响应与请求报文对应的操作。

可选地，数据处理装置100还可以包括匹配单元。当权限数据集中不存在目标权限数据时，匹配单元用于将目标属性集中的属性与预设的黑/白名单中的属性进行匹配以得到匹配结果。响应单元140还可以用于根据匹配结果响应与请求报文对应的操作。

可选地，在判断单元130判断与当前访问对象对应的权限数据集中是否存在与目标属性集中的属性相匹配的目标权限数据之前，获取单元120还可以用于根据请求报文中携带的当前访问对象的身份信息获取与当前访问对象对应的权限数据集。

可选地，数据处理装置100还可以包括权限赋予单元及如图5所示的关系建立单元210、创建单元220。

在接收单元110接收用于访问资源的请求报文之前，获取单元120还用于根据预先获取的每个资源包括的内容及属性集，关系建立单元210用于建立属性集中的属性与预设授权操作的关联关系，属性集中包括至少两个属性；创建单元220用于根据关联关系及预设授权操作创建实例权限数据集；权限赋予单元，用于将实例权限数据集中的至少部分预设权限数据作为权限数据集赋予预设访问对象。

需要说明的是，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的数据处理装置100的具体工作过程，可以参考前述方法中的各步骤对应过程，在此不再过多赘述。

第二实施例

请参照图4，本申请实施例还提供一种权限数据集创建方法。该权限数据集创建方法可以应用于上述的电子设备10中，由电子设备10执行该权限数据集创建方法的各步骤。

在第二实施例中，权限数据集创建方法可以包括以下步骤：

步骤s410，根据预先获取的每个资源包括的内容及属性集，建立属性集中的属性与预设授权操作的关联关系，属性集中包括至少两个属性；

步骤s420，根据关联关系及预设授权操作创建实例权限数据集，其中，实例权限数据集中的至少部分预设权限数据用于赋予预设访问对象。

作为一种可选的实施方式，方法还可以包括：将实例权限数据集中的至少部分实例权限数据赋予预设访问对象。

需要说明的是，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，权限数据集创建方法的各步骤可以参照第一实施例中创建实例权限数据集的各步骤的详细描述，这里不再赘述。

请参照图5，本申请实施例还提供一种权限数据集创建装置200，该权限数据集创建装置200可以应用于上述的电子设备10中，用于执行或实现权限数据集创建方法的各步骤。

可理解地，权限数据集创建装置200包括至少一个可以软件或固件(firmware)的形式存储于存储模块13中或固化在电子设备10操作系统(operatingsystem，os)中的软件功能模块。处理模块11用于执行存储模块13中存储的可执行模块，例如权限数据集创建装置200所包括的软件功能模块及计算机程序等。

在本实施例中，权限数据集创建装置200可以包括关系建立单元210及创建单元220。

关系建立单元210，用于根据预先获取的每个资源包括的内容及属性集，建立属性集中的属性与预设授权操作的关联关系，属性集中包括至少两个属性。

创建单元220，用于根据关联关系及预设授权操作创建实例权限数据集，其中，实例权限数据集中的至少部分预设权限数据用于赋予预设访问对象。

可选地，权限数据集创建装置200还可以包括权限赋予单元，用于将实例权限数据集中的至少部分实例权限数据赋予预设访问对象。

需要说明的是，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的权限数据集创建装置200的具体工作过程，可以参考前述方法中的各步骤对应过程，在此不再过多赘述。

本申请实施例还提供一种计算机可读存储介质。可读存储介质中存储有计算机程序，当计算机程序在计算机上运行时，使得计算机执行如上述实施例中的数据处理方法或权限数据集创建方法。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本申请可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现，基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施场景所述的方法。

综上所述，本申请提供一种数据处理方法、权限数据集创建方法、装置及电子设备。方法包括：接收用于访问资源的请求报文，请求报文中携带有用于确定当前访问对象所访问的目标资源的目标属性集的字段，目标属性集包括至少两个属性；从字段中获取目标属性集；判断与当前访问对象对应的权限数据集中是否存在与目标属性集中的属性相匹配的目标权限数据，目标权限数据用于表示当前访问对象具有访问目标资源的权限；当权限数据集中存在目标权限数据时，响应与请求报文对应的操作。因为资源包括至少两个属性，每个属性可以对应一个权限数据，所以可以基于资源的属性灵活地定义资源与访问对象的权限关系，从而能够改善现有技术中因无法灵活定义资源权限而使得授权范围缺乏灵活性的技术问题。

在本申请所提供的实施例中，应该理解到，所揭露的装置、系统和方法，也可以通过其它的方式实现。以上所描述的装置、系统和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

可以替换的，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。