本申請涉及一種數據庫訪問權限控制方法、裝置、計算機設備和存儲介質，其中，該方法包括：獲取訪問請求；所述訪問請求加蓋有用戶角色戳，所述用戶角色戳包括用戶角色信息；解析所述訪問請求得到用戶角色信息和訪問操作；將所述用戶角色信息和所述訪問操作與預設權限控制表進行匹配，根據匹配結果確定用戶的訪問權限；基于所述訪問權限處理對應的所述訪問請求。通過預先對所述訪問請求加蓋用戶角色戳，實現了基于用戶角色信息對訪問權限的精細化管理。

技術領域

本申請涉及數據安全技術領域，特別是涉及一種數據庫訪問權限控制方法、裝置、計算機設備和存儲介質。

背景技術

訪問控制是對數據庫資源進行保護的重要措施，它主要規定了主體對客體的訪問權限，并在身份識別的基礎上，根據主體身份對資源的訪問加以控制。實施訪問控制技術的目的是防止對任何資源進行未授權的訪問，保障系統資源能在合理范圍內使用。

目前數據庫常用的訪問控制策略通過安全網關截取到應用的SQL請求，對SQL請求進行語義解析，得到SQL請求的操作對象，即庫、表或字段，然后判斷操作對象是否有敏感信息，從而執行放行、阻斷的策略。但由于目前的應用系統都會有多種角色的用戶，每一種角色有不同的訪問權限，這種方式不能對訪問進行精細化的控制。

發明內容

本申請實施例提供了一種數據庫訪問權限控制方法、裝置、計算機設備和存儲介質，以至少解決相關技術中不能對訪問進行精細化的控制的問題。

第一方面，本申請實施例提供了一種數據庫訪問權限控制方法，包括：

獲取訪問請求；所述訪問請求加蓋有用戶角色戳，所述用戶角色戳包括用戶角色信息；

解析所述訪問請求得到用戶角色信息和訪問操作；

將所述用戶角色信息和所述訪問操作與預設權限控制表進行匹配，根據匹配結果確定用戶的訪問權限；

基于所述訪問權限處理對應的所述訪問請求。

在其中一些實施例中，所述獲取訪問請求包括：

獲取待訪問數據庫的開放IP和對應的開放端口；

基于所述開放IP和開放端口獲取訪問流量；

解析所述訪問流量得到訪問請求。

在其中一些實施例中，獲取訪問請求包括：數據庫應用系統安裝有角色戳插件；

所述角色戳插件獲取到用戶的登錄信息，根據所述登錄信息提取用戶角色信息；

所述角色戳插件獲取訪問操作，并根據所述訪問操作以及用戶角色信息生成訪問請求，將所述訪問請求發送至網關，以使網關獲取訪問請求。

在其中一些實施例中，所述將所述用戶角色信息和所述訪問操作與預設權限控制表進行匹配，根據匹配結果確定用戶的訪問權限之前，還包括：

獲取用戶角色信息與訪問操作的控制對應關系；

根據所述控制對應關系配置預設權限控制表。

在其中一些實施例中，所述獲取用戶角色信息與訪問操作的控制對應關系包括：

根據待防護數據庫的業務需求和/或業務標準獲取用戶角色信息與訪問操作的控制對應關系。

在其中一些實施例中，所述控制對應關系包括用戶角色信息與數據表、用戶角色信息與表字段、用戶角色信息與表操作、用戶角色信息與字段操作的對應關系中的至少一種。

在其中一些實施例中，所述基于所述訪問權限處理對應的所述訪問請求包括：

當用戶具有訪問權限時，將所述訪問請求轉發至對應的待訪問數據庫；