技術領域

本申請涉及權限管理技術領域，特別涉及一種訪問控制方法及裝置。

背景技術

目前，對于數據資源的訪問控制方案中，一般采用基于角色（數據資源）的訪問控制（RBAC）模型。RBAC模型的基本思想是將訪問許可權（權限）分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的權限，例如，由各個用戶在部門中所擔任的角色來確定其各自所擁有的訪問許可權。

RBAC模型通過用戶、角色和權限之間的關系模型來體現訪問控制，其關注點在于用戶和角色、及權限之間的關系，一個用戶可以有多個角色，一個角色可以應用于多個用戶，同樣的，一個角色可以有多個權限，一個權限可以對應多個角色，依據用戶、角色、權限之間的關系定義權限，使得權限與業務的耦合關系較為緊密，當業務需求發生變化時，例如用戶或角色發生變化，權限與業務會隨之發生變動，由此，在業務需求較為復雜的情況下，如數據查詢、操作權限等，由于RBAC模型中權限與業務之間的耦合較為緊密，甚至無法明確的區分出某一個權限和業務，在需求變化發生變動時，權限與業務均會發生變動，使得RBAC模型發生混亂，影響訪問控制的效率。

發明內容

本申請所要解決的技術問題是提供一種訪問控制方法及裝置，用以解決現有訪問控制方案中權限與業務緊耦合使得訪問控制效率較低的技術問題。

本申請提供了一種訪問控制方法，所述方法包括：

接收訪問請求，所述訪問請求包括訪問者標識和數據標識；

依據所述訪問者標識及所述數據標識，在預設的權限表中查詢是否含有與所述訪問請求相對應的目標權限值，如果有，生成第一訪問結果，所述第一訪問結果表明：所述訪問者標識對應的用戶，能夠以所述目標權限值對應的權限對所述數據標識對應的目標數據進行訪問；

其中，所述權限表中包括至少一個權限值，每個所述權限值分別與一個訪問者標識及一個數據標識相對應。

上述方法，優選的，若在所述權限表中未查詢到與所述訪問請求相對應的目標權限值，所述方法還包括：

生成第二訪問結果，所述第二訪問結果表明：所述訪問者標識對應的用戶不能對所述數據標識對應的目標數據進行訪問。

上述方法，優選的，在所述生成第一訪問結果之后，所述方法還包括；

在預設的業務表中查找與所述目標權限值相對應的目標數據明細，所述業務表中包括至少一條數據明細，每條所述數據明細與一個權限值相對應；

生成第三訪問結果，所述第三訪問結果表明：所述訪問者標識對應的用戶能夠以所述目標權限值對應的權限對所述目標數據明細進行訪問。

上述方法，優選的，在所述生成第一訪問結果之后，所述方法還包括：

在預設的查詢表中查找與所述目標權限值相對應的目標查詢類型，所述查詢表中包括至少一個查詢類型，每個所述查詢類型與一個權限值相對應；

生成第四訪問結果，所述第四訪問結果表明：所述訪問者標識對應的用戶，能夠以所述目標查詢類型對應的查詢權限，對所述數據標識對應的目標數據進行訪問。

上述方法，優選的，所述預先設置所述權限表包括：

依據最小權限原則將每個權限定義一個權限值，所述每個權限值組成權限表；

其中，每個權限值分別與一個訪問者標識及一個數據標識相對應。

上述方法，優選的，所述方法還包括：

通過優先排序算法將所述權限表中的權限值進行排序及過濾。

本申請還提供了一種訪問控制裝置，所述裝置包括：

請求接收單元，接收訪問請求，所述訪問請求包括訪問者標識和數據標識；

權限查詢單元，用于依據所述訪問者標識及所述數據標識，在預設的權限表中查詢是否含有與所述訪問請求相對應的目標權限值；

其中，所述權限表中包括至少一個權限值，每個所述權限值分別與一個訪問者標識及一個數據標識相對應；

第一信息生成單元，用于若在所述權限表中查詢到所述目標權限值，生成第一訪問結果，所述第一訪問結果表明：所述訪問者標識對應的用戶，能夠以所述目標權限值對應的權限對所述數據標識對應的目標數據進行訪問。

上述裝置，優選的，所述裝置還包括：

第二信息生成單元，用于若在所述權限表中未查詢到與所述訪問請求信息相對應的目標權限值，生成第二訪問結果，所述第二訪問結果表明：所述訪問者標識對應的用戶不能對所述數據標識對應的目標數據進行訪問。

上述裝置，優選的，所述裝置還包括：