(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210713304.7 (22)申请日 2022.06.22 (65)同一申请的已公布的文献号 申请公布号 CN 114780933 A (43)申请公布日 2022.07.22 (73)专利权人 煜象科技 （杭州） 有限公司 地址 310000 浙江省杭州市西湖区转塘科 技经济区块9号3幢5 01室 (72)发明人 张明政　李磊　 (74)专利代理 机构 杭州中港知识产权代理有限 公司 33353 专利代理师 施建勇 (51)Int.Cl. G06F 21/31(2013.01) G06F 21/45(2013.01)G06F 16/25(2019.01) (56)对比文件 CN 109063436 A,2018.12.21 CN 114218587 A,202 2.03.22 CN 104112085 A,2014.10.2 2 US 6453353 B1,2002.09.17 唐建等.一种数据级安全访问控制方案. 《计 算机系统应用》 .2013,(第09期),76+83 -87. 张甜甜.多应用系统下集中 式权限管理 组件 的研究与实现. 《中国优秀硕士学位 论文全文数 据库信息科技 辑》 .2019,(第12期), 审查员 胡振洲 (54)发明名称 一种支持多应用的数据权限控制方法 (57)摘要 一种支持多应用的数据权限控制方法， 属于 数据处理方法技术领域， 步骤S1， 建立数据权限 控制系统； 步骤S2， 服务启动阶段： 服务启动 时， 获取配置的服务信息， 通过用户单元扫描标注了 注解的接口与数据层， 将服务信息、 接口信息、 数 据层信息整合生成服务的资源信息后发送给注 册中心存储； 步骤S3， 配置中心设置功能权限： 步 骤S4， 策略计算单元， 计算角色对应的权限， 根据 角色查找关联的所有功能。 本方案， 对接入的各 业务系统提供单独的角色、 资源、 权限控制策略、 多个组织架构配 置。 权利要求书2页 说明书6页 附图7页 CN 114780933 B 2022.10.11 CN 114780933 B 1.一种支持多应用的数据权限控制方法， 其特 征在于， 包括以下步骤： 步骤S1， 建立数据权限控制系统， 包括： 数据库、 用户单元、 注册中心、 配置中心、 API服 务单元、 策略计算单 元、 检测单 元、 统计单 元； 步骤S2， 服务启动阶段： 将用户单元集成于接入的业务系统， 并在用户单元中配置好与 注册中心的通信地址， 对需要控制数据权限的接口进 行标注注解； 服务启动时， 获取配置的 服务信息， 通过用户单元扫描标注了注解的接口与数据层， 将服务信息、 接口信息、 数据层 信息整合 生成服务的资源信息后发送给注 册中心存 储； 步骤S3， 配置中心设置功能权限： 配置中心创建应用并绑定使用到的服务资源， 设置该 应用的角色， 为应用选择服务资源， 设置组织架构； 对当前服务的资源信息查看接口信息及 内部的SQL信息， 将SQL关联到接口； 对服务的资源信息进 行功能整合配置， 将 接口关联到功 能； 功能整合配置， 指的是创建页面元素并与服务的资源信息中的接口关联起来； 通过页面 元素绑定服 务的接口完成功能整合； 再将功能绑定 到各个角色， 完成功能权限的设置； 配置中心设置数据权限： 角色关联的功能， 功能关联的接口， 接口关联SQL配置数据权 限， 一个SQ L配置2个以上 数据权限表达式； 配置中心设置检测参数； 所述检测参数包括接口响应时间阈值、 SQL响应时间阈值、 接 口检测参数、 SQ L检测参数； 步骤S4， 策略计算单元， 计算角色对应的权限， 根据角色查找关联的所有功能， 根据这 些功能查找关联的所有接口， 根据这些接口查找关联的所有SQL， 生成由相关联的角色、 功 能和页面元素构成的页面元素信息集合、 由相关联 的角色、 功 能和接口构成的接口信息集 合、 和由相关联的角色、 功能和SQ L构成的SQ L信息集合。 2.根据权利要求1所述的一种支持多应用的数据权限控制方法， 其特征在于， 所述统计 单元， 根据检测单元生成的性能数据， 通过SQL解析工具和执行计划解析工具， 生成统计报 表； 所述SQL解析工具， 解析SQL信息， 支持SQL的分析、 获取SQL中的数据表； 所述执行计划解 析工具， 对SQ L的执行计划解析， 提供优化建议。 3.根据权利要求2所述的一种支持多应用的数据权限控制方法， 其特征在于， 所述数据 权限控制系统， 还包括元字段采集单元； 所述元字段采集单元， 订阅注册中心的SQL信息变 动， 调用SQL解析工具， 扫描业务数据表元字段信息并存储； 同时定时扫描业务数据 表， 若发 现业务数据表中的元字段信息变动， 则联系数据库更新存 储。 4.根据权利要求3所述的一种支持多应用的数据权限控制方法， 其特征在于， 步骤S2 中， 如果一个接口中包含2个以上调用的数据层， 则对需要控制数据权限的数据层进 行标注 注解； 用户单元定时向注册中心发送心跳数据； 所述服务的资源信息， 包括服务名称、 通信 地址、 数据库连接信息、 接口信息、 和接口包 含的数据层SQ L信息。 5.根据权利要求4所述的一种支持多应用的数据权限控制方法， 其特征在于， 步骤S3 中， 数据权限表达式， 采用字段+运算符+值的形式； 数据权限表达式中的字段， 选用扫描元 字段列表后得到的所有列字段； 数据权限表达式中的值， 支持动态参数， 选用扫描动态参数 列表后得到的动态参数。 6.根据权利要求5所述的一种支持多应用的数据权限控制方法， 其特征在于， 步骤S4 中， 策略计算单元， 根据同一用户绑定的2个以上的非互斥角色， 分别合并这些角色的相同 类型的集 合， 从而整合生成该用户的页面元 素信息集 合、 接口信息集 合、 SQL信息集合。权　利　要　求　书 1/2 页 2 CN 114780933 B 27.根据权利要求6所述的一种支持多应用的数据权限控制方法， 其特征在于， 还包括步 骤S5， 性能检测阶段： 检测单元， 通过策 略计算单元获取配置中心的页面元素信息集合、 接 口信息集合、 SQL信息集合、 动态参数列表、 检测参数信息， 对指定用户、 指定应用做性能检 测并记录存 储。 8.根据权利要求7所述的一种支持多应用的数据权限控制方法， 其特征在于， 还包括步 骤S6， 请求调用阶段： 用户登录后， 前端访问API服务单元获取该用户的页面元素集合信息， 根据页面元素集合信息中的菜单类型页面元素， 前端渲 染页面， 展示菜单导航， 并在 进入到 各个页面时控制可 见的页面元 素。 9.根据权利要求8所述的一种支持多应用的数据权限控制方法， 其特征在于， 步骤S6 中， 当应用接收到请求后， 用户单元通过拦截器拦截请求， 根据该用户的接口信息集合判断 请求的接口是否存在于接口信息集合中并做功能权限验证， 验证通过后查询该用户的SQL 信息集合， 通过拦截器拦截SQL的执行， 若该SQL的ID存在于SQL信息集合中， 则获取该SQL的 ID对应的最新版本的除检测参数外完整SQL语句， 替换原SQL语句继续运行并返回， 否则使 用原SQL运行并返回。权　利　要　求　书 2/2 页 3 CN 114780933 B 3