[发明专利]一种可扩展的数据权限规则控制方法

说明书

本发明提供一种可扩展的数据权限规则控制方法，属于计算机请求资源访问技术领域，包括定义权限规则变量，明确规则变量类型,规则变量类型包括：上下文变量、SQL变量和程序集变量；根据规则变量类型，定义规则解析方法，上下文变量为系统上下文，SQL变量可以通过SQL直接获取业务数据，程序集变量需要继承虚拟类，通过程序实现业务数据的获取；对定义的权限规则和规则解析方法进行配置；分配时，直接权限对象加载规则变量，通过选择规则变量指定权限对象的资源访问范围；运行时，通过规则解析引擎解析数据分配结果，提供可以访问的资源范围。因此，本发明能够提供灵活的数据权限规则控制。

技术领域

本发明涉及计算机请求资源访问技术，尤其涉及一种可扩展的数据权限规则控制方法。

背景技术

随着业务模块、业务规模的不断增加，对业务资源访问变得越来越复杂。不同的用户群体，可访问的业务资源不同，需要进行资源的数据权限控制。但是很多资源数据权限访问需求不可预见，不可预知，或者是对同一类业务资源的数据访问权限控制不同行业、不同的客户群体需求不同，需要提供不依赖于产品、不依赖行业的可扩展的数据访问控制方法。

发明内容

为了解决以上技术问题，本发明提出了一种可扩展的数据权限规则控制方法。能够做到对资源的数据权限访问权限进行扩展配置。

本发明的技术方案是：

包括如下步骤：

S1：定义规则变量。规则变量包括变量名称、变量编号、变量类型、变量适用范围。变量类型包括上下文变量、SQL变量和程序集变量。

S2：定义规则变量解析方法。基于S1定义的规则变量，定义业务规则的解析方法；

S3：配置对应的配置文件。基于S1、S2定义的规则变量及规则变量解析方法，在服务器端配置文件中进行配置；

S4：分配时，根据权限对象加载S3中配置的规则变量，通过选择规则变量指定权限对象的数据访问范围；

S5：运行时，通过规则解析引擎解析数据分配结果，获取实际可访问的数据权限。

S1所述包括：定义规则变量实体类，其实体类包含的属性为：名称(VariableName)，编号(ValiableCode)，类型(VariableType)，适用范围(VariableScope)。

S2所述包括：定义规则变量解析方法，规则变量分为三种类型：上下文变量(ContextVariable)、SQL变量(SQLVariable)和程序集变量(AssemblyVariable)。

上下文变量，直接使用系统上下文会话中的变量，比如，当前用户(CurrentUser当前登录的用户)、我的组织(CurrentOrg当前登录用户所在的系统组织)。

SQL变量，通过SQL解析确认当前变量值。比如，在复杂业务系统中，存在多种业务，多种业务组织，其中，我的核算部门(MyCostDepartment当前登录的用户对应的核算人员所在的核算部门)，我的行政部门(MyHRDepartment当前登录用户对应的行政人员所在的行政部门)，这些变量可以通过SQL的方式查找并返回数据。SQL变量解析方法中，可以直接使用上下文变量。

程序集变量，通过程序集的方式获取当前变量值。当上下文变量和SQL变量都无法解析一种规则变量时，需要通过程序集的方式进行解析。程序集解析需要统一继承抽象类AbstractAuthorizationRuleVariableParser，实现抽象方法VariableParser(AuthorizationVariableContext rule)，该抽象方法返回值为string类型，表示变量解析值。