本申請提供一種數據訪問權限控制方法、裝置、系統、存儲介質及設備，方法應用于對數據管理系統的訪問進行輔助的Hive，數據管理系統包括權限模塊，方法包括：接收對數據管理系統的數據查詢請求；確定出數據查詢請求對應的請求權限信息和用戶身份信息；向權限模塊發送身份查詢請求，以驗證用戶身份信息對應的用戶是否具有與請求權限信息匹配的訪問權限。通過在數據管理系統中設置權限模塊，在利用Hive對數據管理系統進行訪問前，對用戶的訪問權限進行驗證，能夠有效保護數據的安全。并且，針對性地設置權限模塊，不用考慮數據管理系統與分布式存儲系統的用戶對接問題。另外，利用Hive實現這種權限控制方法，幾乎不會存在服務器負載大，穩定性不足等問題。

技術領域

本申請涉及數據處理領域，具體而言，涉及一種數據訪問權限控制方法、裝置、系統、存儲介質及設備。

背景技術

Hive(蜂巢，一種基于大數據分布式存儲系統的數據倉庫工具)是一個由Facebook(臉書)開源，基于Hadoop(一種分布式系統基礎架構)系統的用于解決海量結構化日志的數據統計的數據倉庫工具。在底層，Hive使用HDFS(Hadoop Distributed File System，Hadoop分布式文件系統)進行存儲并將結構化數據文件映射成一張表，并提供類SQL(Structured Query Language，結構化查詢語言)查詢的功能，本質是將HQL(HibernateQuery Language，Hibernate查詢語言，Hive所使用的一種類SQL查詢語言)轉化成MR(MapReduce，映射-規約，Hadoop所采用的一種計算模型，用于大規模數據集的并行運算的編程模型)程序，在其底層采用MR進行計算。

Hive的數據存儲在HDFS中，大部分的查詢、計算由映射-規約完成(但其中包含*的查詢，例如“select*from tbl”不會生成映射-規約任務)，描述Hive數據的數據被稱為Hive的元數據。Hive將元數據存儲在數據庫中，例如MySQL、Derby等數據庫。Hive中的元數據包括表的名字，表的列和分區及其屬性，表的屬性(是否為外部表等)，表的數據所在目錄等。

在Hive使用過程中，出于數據規范與數據安全的角度考慮，非管理員的Hive使用者在使用Hive的過程中執行的操作應當加以限制。若任何Hive使用者都可以在使用Hive時查看所有數據，那么所有的數據信息便毫不設防地暴露在所有的Hive使用者面前，不利于保護數據的安全。因此，需要從數據的訪問權限方面加以限制，對不同用戶開放不同的權限，以盡可能保證數據安全。

在對Hive使用者的數據訪問權限的限制中，目前主要為以下幾種方式：

采用Hive原生權限控制的方式：Hive內部有自身原生的權限控制系統，1.0.X版本的Hive對表權限控制基于Linux(一套免費使用和自由傳播的多用戶、多任務、支持多線程和多CPU的操作系統，CPU表示Central Processing Unit，計算機系統的運算和控制核心，是信息處理、程序運行的最終執行單元)的用戶和用戶組權限。2.0.X版本的Hive可以針對表的Create(創建)、Select(選取)、Truncate(刪減)、Drop(刪除)等操作權限進行控制。由于該方案源于Hive原生，不需要額外安裝其他系統、模塊，僅在Hive-site.xml配置文件中添加對應配置信息，即可通過HQL為用戶添加各類權限。

這種方式在一定程度上滿足了管理員對Hive使用權限的控制需求，但存在這樣的缺陷：首先，由于該部分基于Linux系統用戶提供權限控制服務，在大型分布式數據管理系統中，不同服務器上的用戶及其用戶組各不相同，很難給出一個統一的、規范化的權限控制方案來。其次，即使為Linux系統用戶添加了權限控制，這個用戶的含義也與數據管理系統自身的用戶含義不同，無法實現為數據管理系統用戶添加權限控制的目的。