[发明专利]数据访问控制方法、装置、存储介质及电子设备

权利要求书

1.一种数据访问控制方法，其特征在于，所述方法包括：

获取客户端向访问接口发送的数据访问请求，其中，所述数据访问请求中携带有所述客户端的访问身份和访问的数据类型；

从与所述访问接口关联的访问控制表达式中确定出与所述访问身份对应的目标访问控制表达式，其中，存在至少两个所述访问身份对应的目标访问控制表达式不同；

确定出与所述数据类型匹配的第一数据，以及，根据所述目标访问控制表达式从所述第一数据中确定出与所述访问身份匹配的第二数据；

将所述第二数据返回所述客户端。

2.根据权利要求1所述的数据访问控制方法，其特征在于，所述访问控制表达式包括：行数据控制表达式和列数据控制表达式，其中，所述行数据控制表达式用于控制数据的数据访问量，所述列数据控制表达式用于控制数据的数据属性；从与所述访问接口关联的访问控制表达式中确定出与所述访问身份对应的目标访问控制表达式，包括：

从所述访问接口关联的行数据控制表达式中确定出与所述访问身份对应的目标行数据控制表达式；以及，从与所述访问接口关联的列数据控制表达式中确定出与所述访问身份对应的目标列数据控制表达式；其中，确定出所述目标行数据控制表达式和所述目标列数据控制表达式表示确定出所述目标访问控制表达式。

3.根据权利要求2所述的数据访问控制方法，其特征在于，根据所述目标访问控制表达式从所述第一数据中确定出与所述访问身份匹配的第二数据，包括：

根据所述目标行数据控制表达式所定义的数据访问量，从所述第一数据中确定出数据量与所述数据访问量匹配的待选数据；

根据所述目标列数据控制表达式所定义的数据属性，从所述待选数据中确定出数据属性与所述定义的数据属性匹配的第二数据。

4.根据权利要求3所述的数据访问控制方法，其特征在于，所述定义的数据属性包括多个子数据属性，根据所述目标列数据控制表达式所定义的数据属性，从所述待选数据中确定出数据属性与所述定义的数据属性匹配的第二数据，包括：

通过将所述待选数据中的每部分数据的子数据属性与所述目标列数据控制表达式中的子数据属性进行匹配，确定出子数据属性与所述目标列数据控制表达式中的子数据属性匹配的第二数据。

5.根据权利要求2所述的数据访问控制方法，其特征在于，在从与所述访问接口关联的访问控制表达式中确定出与所述访问身份对应的目标访问控制表达式之后，以及，在确定出与所述数据类型匹配的第一数据之前，所述方法还包括：

判断所述目标行数据控制表达式和所述目标列数据控制表达式中是否有至少一个表达式的内容为空；

若不为空，执行步骤：确定出与所述数据类型匹配的第一数据。

6.根据权利要求1-5任一所述的数据访问控制方法，其特征在于，在所述访问接口的类型为应用程序编程接口时，在从与所述访问接口关联的访问控制表达式中确定出与所述访问身份对应的目标访问控制表达式之前，所述方法还包括：

确定出所述应用程序编程接口关联的所述应用程序编程接口的方法名、调用所述应用程序编程接口返回的数据的数据类型、所述返回的数据的可访问属性名以及所述返回的数据的可访问方法；

基于所述应用程序编程接口的名称、所述应用程序编程接口的方法名、所述返回的数据的类型、所述返回的数据的可访问属性名和所述返回的数据的可访问方法，生成所述应用程序编程接口关联的访问控制表达式。

7.一种数据访问控制装置，其特征在于，所述装置包括：

请求获取模块，用于获取客户端向访问接口发送的数据访问请求，其中，所述数据访问请求中携带有所述客户端的访问身份和访问的数据类型；

数据处理模块，用于从与所述访问接口关联的访问控制表达式中确定出与所述访问身份对应的目标访问控制表达式，其中，存在至少两个所述访问身份对应的目标访问控制表达式不同；

所述数据处理模块，还用于确定出与所述数据类型匹配的第一数据，以及，根据所述目标访问控制表达式从所述第一数据中确定出与所述访问身份匹配的第二数据；

数据返回模块，用于将所述第二数据返回所述客户端。