[发明专利]一种基于AOP技术的动态数据权限控制方法

说明书

技术领域

本发明属于大数据技术领域，特别涉及一种基于AOP技术的动态数据权限控制方法。

背景技术

数据权限控制是多用户信息系统中的敏感数据访问进行隔离的技术，可能涉及系统中多层次、多维度的业务数据。电网建设工程涉及多种大件设备的运输，变压器等大件设备造价昂贵，运输条件比较严苛，涉及多个利益攸关方：物资管理部门、接收单位、建设单位、设备供应商、设备承运商等均需要访问运输在线监控系统，了解设备运输状态，管控运输安全风险，而相关运输信息比较敏感，必须确保信息安全，根据访问用户所属单位、管理权限进行细粒度数据访问隔离。

现有技术的不足为：1)一般基于查询结果集过滤实现，而在线监控系统数据规模大：秒级采集，单个设备达30000条/每天，运行1年记录数达亿级，系统开销较大；2)每个API均需编码实现，可维护性较差；3)不支持数据访问权限策略动态生效，变更策略后需修改控制代码重新部署生效。

发明内容

本发明的目的是提供一种基于AOP技术的动态数据权限控制方法，解决了现有数据权限控制中策略配置不能动态添加生效，难以灵活响应客户需求的技术问题。

为实现上述目的，本发明采用以下技术方案：

一种基于AOP技术的动态数据权限控制方法，包括如下步骤：

步骤1：建立客户端、控制台、数据库服务器和权限服务器，客户端、控制台、数据库服务器和权限服务器相互之间通过网线通信；

步骤2：在权限服务器中建立数据权限控制策略模块和服务拦截模块；

步骤3：数据权限控制策略模块包括定义集模块和分配执行集模块，管理员通过控制台为资源输入多个条件，并输入每一个条件对应的逻辑计算方式，定义集模块根据资源对应的所有条件创建策略，并将策略集合成定义集；所述资源为数据权限控制的对象；所述策略为所有条件根据自身的逻辑计算方式组合成的逻辑关系式；

步骤4：定义集模块将定义集传送给数据库服务器进行持久化保存；

步骤5：分配执行集模块从定义集模块中读取定义集，并根据用户身份分配给用户相应的策略；

步骤6：在服务拦截模块中建立请求拦截判断模块、数据权限控制策略获取模块和数据权限控制条件输出模块；

用户通过客户端发出业务查询请求，请求拦截判断模块拦截该业务查询请求，请求拦截判断模块解析该业务查询请求中资源路径和请求方法，获取需要查询的资源的属性和用户的身份信息；

步骤7：数据权限控制策略获取模块根据步骤6中获取的资源的属性和用户的身份信息，从分配执行集模块中获取相应的策略；

步骤8：数据权限控制条件输出模块执行数据权限控制策略获取模块获取到的策略，动态构造查询条件，并通过客户端为用户输出查询结果。

所述资源包括运输任务、任务状态位姿信息、任务进度信息和任务报警信息；所述资源存储在数据库服务器中。

在执行步骤3时，管理员可以通过控制台对所述定义集模块中的定义集进行创建、保存、删除和修改的操作。

所述条件为根据使用人的角色、类别和部门来制定的权限。

所述业务查询请求包括用户的身份信息和要查询的资源的信息。

在执行步骤6时，所述资源的属性为资源的名称以及保存路径。

本发明所述的一种基于AOP技术的动态数据权限控制方法，解决了现有数据权限控制中策略配置不能动态添加生效，难以灵活响应客户需求的技术问题，将业务逻辑和数据权限控制分离，可以对数据权限控制灵活配置，从而实现了动态增加、修改或删除数据权限控制策略，而无须修改代码。可以满足多粒度的数据权限控制需求，节约开发成本。

附图说明

图1是本发明的系统结构图；

图2是本发明的流程图。

具体实施方式

如图1和图2所示的一种基于AOP技术的动态数据权限控制方法，包括如下步骤：

步骤1：建立客户端、控制台、数据库服务器和权限服务器，客户端、控制台、数据库服务器和权限服务器相互之间通过网线通信；

步骤2：在权限服务器中建立数据权限控制策略模块和服务拦截模块；

步骤3：数据权限控制策略模块包括定义集模块和分配执行集模块，管理员通过控制台为资源输入多个条件，并输入每一个条件对应的逻辑计算方式，定义集模块根据资源对应的所有条件创建策略，并将策略集合成定义集；所述资源为数据权限控制的对象；所述策略为所有条件根据自身的逻辑计算方式组合成的逻辑关系式；