[发明专利]基于权限配置的数据访问控制的方法

说明书

本发明公开了一种基于权限配置的数据访问控制的方法，包括：对需要进行权限控制的数据字段定义访问权限规则策略；实现策略解析模块；实现数据拦截模块；实现规则匹配模块；本发明通过配置角色对数据权限规则并加以解析利用的方式，解决传统方案中角色的权限或者数据字段发生变化后，因无法实时更新权限判断逻辑而导致数据访问控制失效的问题。

技术领域

本发明涉及信息安全技术领域，特别是一种基于权限配置的数据访问控制的方法。

背景技术

在许多应用开发中都会涉及到权限管理，权限管理主要分两部分，即功能权限和数据访问权限；针对功能权限的控制，已经有很成熟的方案。

数据作为重要的信息载体在服务的前端与服务端进行交互，出于信息安全的考虑，角色划分越来越明确，不同的角色对数据的访问权限不同，在访问同一份数据时，结果可能是不同的。

现在的业务系统开发中，关于数据权限的控制一般都是在代码开发时在业务层对用户角色进行判定调用不同的数据获取语句，或者对访问数据库数据的SQL语句添加涉及数据权限控制的WHERE或者CASE WHEN条件来实现。

这样做的弊端就是在开发时就要详细分析哪些数据需要加入权限控制，并且这些关于数据权限控制的代码散布到整个应用中。一旦需要调整时就要对许多的SQL语句进行修改，很是耗费精力，修改后还需要重新打包上线，繁琐而且滞后。

发明内容

为解决现有技术中存在的问题，本发明的目的是提供一种基于权限配置的数据访问控制的方法，本发明通过配置角色对数据权限规则并加以解析利用的方式，解决传统方案中角色的权限或者数据字段发生变化后，因无法实时更新权限判断逻辑而导致数据访问控制失效的问题。

为实现上述目的，本发明采用的技术方案是：一种基于权限配置的数据访问控制的方法，包括以下步骤：

步骤1、对需要进行权限控制的数据字段定义访问权限规则策略：

定义字段所需权限级别和定义角色权限级别，不同的登录角色对应不同的权限级别，对应能访问到不同级别的数据；根据日志系统配置日志输出规则，先配置数据根级别的权限级别，及root级规则，再配置属性字段的细化权限级别；

步骤2、实现策略解析模块：

编写解析规则策略，并把规则策略放入内存中，开启定时功能，定期获取配置文件并加载，以触发规则策略更新后，同步到内存中；

步骤3、实现数据拦截模块：

编写自定义注解及其实现和拦截器中使用注解生效，当请求的业务接口访问数据时，通过拦截器去判断请求的返回信息中是否包含数据权限控制注解，保证最终通过的数据是已经经过权限控制的数据或者不需要控制的数据；

步骤4、实现规则匹配模块：

在拦截器对数据进行拦截后，先判断属性字段的权限，再判断上层规则，即root级规则。

本发明的有益效果是：

本发明做到低代码侵入度，在应用开发过程中，不需要太多关注数据访问权限控制，只需要指定该数据会受到控制；在应用开发即将完成时，通过对数据字段访问权限和角色所属权限绑定控制规则策略；数据访问控制需要调整时，只需要修改配置的权限规则策略即可。

附图说明

图1为本发明实施例中数据访问权限控制流程图。

具体实施方式

下面结合附图对本发明的实施例进行详细说明。

实施例1

一种基于权限配置的数据访问控制的方法，包括以下步骤：