本申请涉及信息安全,尤其涉及数据权限配置方法、设备及存储介质。
背景技术:
1、rbac(role-based access control,基于角色的访问控制)模型是一种权限管理方式,通过将权限分配给特定角色,再将用户与这些角色关联,实现对权限的间接管理。
2、在相关技术中,管理员通常会在整个业务系统层面创建角色,并为这些角色配置统一的权限。例如,管理员可以设置一个“员工”角色,并配置其查看基本信息的权限,将用户与“员工”关联后,用户便能够访问人事管理子系统和财务管理子系统中的基本信息。
3、然而,随着业务系统日益复杂,不同子系统对数据权限的管理需求变得精细化,上述配置方式难以满足这种细粒度。例如,如果出于业务需求,需要赋予“员工”财务审批权限,管理员却只能为其配置统一的审批权限,这就导致“员工”的审批权限不仅包括财务,还涉及人事等其他领域。因此,现有的数据权限配置方式灵活性不足。
4、上述内容仅用于辅助理解本申请的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
1、本申请的主要目的在于提供一种数据权限配置方法、设备及存储介质,旨在解决数据权限配置的灵活性不足的技术问题。
2、为实现上述目的,本申请提出一种数据权限配置方法,所述方法包括:
3、当检测到管理员的数据角色配置请求时,获取待配置的数据角色;
4、基于管理员选定的系统数据维度,配置所述数据角色的系统数据资源权限;
5、基于所述管理员选定的通用数据维度,配置所述数据角色的通用数据资源权限。
6、在一实施例中,所述基于所述管理员选定的通用数据维度,配置所述数据角色的通用数据资源权限的步骤之后,还包括:
7、确定所述系统数据资源权限对应的系统数据资源,以及所述通用数据资源权限对应的通用数据资源;
8、基于所述管理员对权限级别的选定操作,配置所述系统数据资源和所述通用数据资源的操作权限。
9、在一实施例中,所述基于所述管理员选定的通用数据维度,配置所述数据角色的通用数据资源权限的步骤之后,还包括:
10、当检测到所述管理员的数据角色指派请求时,解析所述数据角色指派请求中的用户标识和目标数据角色;
11、建立所述用户标识和所述目标数据角色的关联关系。
12、在一实施例中,所述建立所述用户标识和所述目标数据角色的关联关系的步骤之前,还包括:
13、若所述目标数据角色属于关键数据角色,则确定所有所述关键数据角色的总数量;
14、若所述总数量低于数量阈值,则执行所述建立所述用户标识和所述目标数据角色的关联关系的步骤。
15、在一实施例中,所述基于所述管理员选定的通用数据维度,配置所述数据角色的通用数据资源权限的步骤之后,还包括:
16、当检测到所述管理员的引用请求时,确定所述引用请求关联的引用数据维度并显示,所述引用数据维度包括若干所述通用数据维度;
17、基于所述管理员对于所述引用数据维度的选定操作,确定对应的引用数据资源权限;
18、对所述引用数据资源权限和所述通用数据资源权限进行去重和取并集处理,并根据处理结果配置所述数据角色的通用数据资源权限。
19、在一实施例中,所述确定所述引用请求关联的引用数据维度并显示的步骤包括:
20、确定所述引用请求中的业务流程类型;
21、根据所述业务流程类型涉及的通用数据维度,确定所述引用数据维度并显示。
22、在一实施例中,所述基于所述管理员选定的通用数据维度,配置所述数据角色的通用数据资源权限的步骤之后,还包括:
23、当检测到用户的登录请求时,对所述登录请求进行身份验证;
24、若身份验证通过,则解析所述登录请求中的目标数据角色和访问请求;
25、确定所述目标数据角色对应的目标数据资源权限;
26、根据访问控制策略,确定所述目标数据资源权限和访问请求对应的访问决策,并执行所述访问决策对应的操作。
27、在一实施例中,所述确定所述目标数据角色对应的目标数据资源权限的步骤包括:
28、若所述目标数据角色的数量为多个,则确定各目标数据角色关联的候选数据资源权限;
29、对所述候选数据资源权限进行去重和合并,得到所述目标数据资源权限。
30、此外,为实现上述目的,本申请还提出一种数据权限配置设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序配置为实现如上文所述的数据权限配置方法的步骤。
31、此外,为实现上述目的,本申请还提出一种存储介质,所述存储介质为计算机可读存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上文所述的数据权限配置方法的步骤。
32、本申请提出的一个或多个技术方案,至少具有以下技术效果:
33、本申请提供了一种数据权限配置方法,基于管理员的交互动作,允许动态配置每个数据角色的权限。这使得管理员可以在运行时对权限进行实时的动态配置,而无需进行系统的重启或重新配置,而且管理员也能够根据实际需求随时调整权限设置,而不需受限于固定的角色与权限关系,从而更有效地应对临时性的权限变更需求。此外,本实施例区分系统数据资源权限和通用数据资源权限,这一划分使得权限设置能够具体到子系统层面,而不是笼统地涵盖整个系统或广泛的功能。这种细粒度的权限划分策略,使得权限分配能够更加精准地匹配特定业务场景的需求,从而有效提升了权限控制的准确性和针对性。综上所述,细粒度的权限划分和灵活的权限配置机制,使得管理员能够独立配置每个数据角色在不同系统中的权限,而无需为应对临时性权限变更而创建多个相似角色。这不仅减少了角色的数量,还有效避免了角色间权限重叠与混乱现象的发生。
1.一种数据权限配置方法,其特征在于,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述基于所述管理员选定的通用数据维度,配置所述数据角色的通用数据资源权限的步骤之后,还包括:
3.如权利要求1所述的方法,其特征在于,所述基于所述管理员选定的通用数据维度,配置所述数据角色的通用数据资源权限的步骤之后,还包括:
4.如权利要求3所述的方法,其特征在于,所述建立所述用户标识和所述目标数据角色的关联关系的步骤之前,还包括:
5.如权利要求1所述的方法,其特征在于,所述基于所述管理员选定的通用数据维度,配置所述数据角色的通用数据资源权限的步骤之后,还包括:
6.如权利要求5所述的方法,其特征在于,所述确定所述引用请求关联的引用数据维度并显示的步骤包括:
7.如权利要求1所述的方法,其特征在于,所述基于所述管理员选定的通用数据维度,配置所述数据角色的通用数据资源权限的步骤之后,还包括:
8.如权利要求7所述的方法,其特征在于,所述确定所述目标数据角色对应的目标数据资源权限的步骤包括:
9.一种数据权限配置设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序配置为实现如权利要求1至8中任一项所述的数据权限配置方法的步骤。
10.一种存储介质,其特征在于,所述存储介质为计算机可读存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述的数据权限配置方法的步骤。
