本公開涉及用于訪問控制委派的系統、軟件以及計算機實現的方法。一個示例方法包括識別從始發實體創建派生實體。修改派生實體的定義以包括與所述始發實體的關聯。基于始發訪問控制定義創建派生訪問控制定義。識別所述派生訪問控制定義中的訪問控制條件。通過修改列引用以包括對與始發實體的關聯的引用，來創建修改的訪問控制條件。接收用于所述派生實體的查詢。通過在所述接收的查詢中包括所述修改的訪問控制條件，并展開到所述始發實體的關聯來創建修改的查詢。運行所述修改的查詢，包括評估所述修改的訪問控制條件以確定查詢用戶可訪問的所述派生實體的記錄。

技術領域

本公開涉及用于基于關聯的訪問控制委派的計算機實現的方法、軟件以及系統。

背景技術

與存儲在數據庫中的物理工件(諸如數據庫表)相比，數據庫視圖可以提供更高級別的數據庫中的數據的抽象。可以創建從一個或多個數據庫表中選擇字段的子集的視圖。可以堆疊視圖-例如，可以基于另一視圖創建視圖。可以為特定目的創建視圖，諸如提供要在特定用戶界面中呈現的數據。

發明內容

本公開涉及用于基于關聯的訪問控制委派的計算機實現的系統、軟件以及方法。一個示例方法包括在數據庫系統中識別從始發數據實體創建派生數據實體。始發數據實體與始發訪問控制定義相關聯。自動修改派生數據實體的數據定義以包括與始發實體的關聯。基于始發訪問控制定義創建派生訪問控制定義。在派生訪問控制定義中識別至少一個訪問控制條件。訪問控制條件可以包括至少一個列引用。通過修改每個列引用以包括對與始發數據實體的關聯的引用，自動創建至少一個修改的訪問控制條件。接收對派生數據實體的查詢。該查詢與特定用戶相關聯。通過在接收的查詢中包括至少一個修改的訪問控制條件，并在接收的查詢中展開與始發數據實體的關聯來自動創建修改的查詢。運行修改的查詢，包括評估至少一個修改的訪問控制條件，以確定特定用戶可訪問的派生數據實體的記錄。評估包括訪問始發數據實體的數據。

雖然通常被描述為在有形介質上體現的處理和變換相應數據的計算機實現的軟件，但是一些或所有方面可以是計算機實現的方法，或者進一步包括在用于執行該描述的功能的相應的系統或其他設備中。在附圖和以下描述中闡述了本公開的這些和其他方面以及實施例的細節。根據說明書和附圖以及權利要求，本公開的其他特征、目的以及優點將是顯而易見的。

附圖說明

圖1是示出了用于基于關聯的訪問控制委派的示例系統的框圖。

圖2示出了用于數據訪問控制的示例系統。

圖3示出了用于基于現有實體創建派生實體的示例系統。

圖4示出了用于基于關聯的訪問控制委派的示例系統。

圖5示出了用于查詢的運行時間修改以產生修改的查詢的示例系統。

圖6是用于基于關聯的訪問控制委派的示例方法的流程圖。

具體實施方式

來自數據庫的數據的檢索可以相對于訪問生成的結果集的用戶進行訪問控制。在數據庫系統中可能發生其中實體(例如，表、視圖)以使得期望隱式重用對底層實體的訪問控制的方式彼此為基礎的情況。例如，可以在現有實體上創建投影視圖，以通過列掩蔽來減少所選列的數量或通過附加的選擇謂詞減少行。此類操作可能不需要新的訪問控制方案。

典型的過程可以是將始發實體的訪問控制復制到基于始發實體的派生實體。然而，由于手動復制訪問控制邏輯，這種復制可能導致開發和維護的總成本增加。此外，對派生實體的某些更改可能是不允許的，或者可能導致問題，諸如影響作為始發實體中訪問控制條件一部分的列的更改。