本發明涉及一種基于圖數據庫的權限管理的方法及系統，包括如下步驟：創建抽象權限管理模型，設定所述抽象權限管理模型中包括的邏輯對象，以及邏輯對象之間的關聯關系；遍歷所述抽象權限管理模型，并轉換為圖數據庫模型；根據所述圖數據庫模型，將權限管理信息轉存儲到圖數據庫中，并在所述圖數據庫中建立對應關系；在進行賬號鑒權時，優先在所述圖數據庫中進行查詢。本發明，在進行賬號鑒權時，返回查詢結果的時間，受數據基數及權限系統層級的影響小，確保返回查詢結果的時間可被用戶接受，權限系統層級可進行更清晰、準確的劃分，提升權限管理的效率，確保獲取到賬號的資源權限的及時性。

技術領域

本發明涉及權限管理領域，具體說是一種基于圖數據庫的權限管理的方法及系統。

背景技術

權限管理，一般指根據系統設置的安全規則或者安全策略，用戶可以訪問且只能訪問自己被授權的資源，不多不少。權限管理幾乎出現在任何系統中，是系統的重要組成部分。

目前，權限管理的實現大多是基于關系型數據庫進行建模、存儲。建模、存儲所用的權限管理數據模型一般包含以下實體對象：賬號、角色、以及被訪問資源，上述實體對象之間可通過主外鍵方式進行關聯。例如：

角色中的主鍵，在賬號中做為外鍵，使賬號與角色進行關聯。

基于關系型數據庫進行建模、存儲的現有權限管理方案的缺陷在于：

在進行賬號鑒權時，需要根據賬號關聯對應角色，再關聯對應資源(指被訪問資源)，則在鑒權中關聯路徑為：賬號-角色-被訪問資源。當權限系統層級增加，例如在角色與資源間增加組織機構，則在鑒權中關聯路徑為：賬號-角色-組織機構-被訪問資源。顯然，隨著權限系統層級的增加，關聯路徑會更長。

在數據量不大的情況下，通過如上所述關聯路徑進行多次關聯查詢，在一定時間內可以查詢得到被訪問資源。但是，在數據基數(數據量)比較大的情況下，例如：賬號在千萬級，組織機構在百萬級，資源數量在億級，通過如上所述關聯路徑進行多次關聯查詢，返回查詢結果的時間會隨數據基數的增大變得越來越長。

特別是在權限系統層級較多的場景下，問題會更明顯。例如：關聯路徑為“賬號-角色-組織機構-一級子機構-...n級子機構-被訪問資源(資源實例)”，顯然進行多次關聯查詢將導致返回查詢結果的時間變長且不可被接受。

公開于該背景技術部分的信息僅僅旨在加深對本發明的總體背景技術的理解，而不應當被視為承認或以任何形式暗示該信息構成已為本領域技術人員所公知的現有技術。

發明內容

針對現有技術中存在的缺陷，本發明的目的在于提供一種基于圖數據庫的權限管理的方法及系統，在進行賬號鑒權時，返回查詢結果的時間，受數據基數及權限系統層級的影響小，確保返回查詢結果的時間可被用戶接受，權限系統層級可進行更清晰、準確的劃分，提升權限管理的效率，確保獲取到賬號的資源權限的及時性。

為達到以上目的，本發明采取的技術方案是：

一種基于圖數據庫的權限管理的方法，其特征在于，包括如下步驟：

創建抽象權限管理模型，設定所述抽象權限管理模型中包括的邏輯對象，以及邏輯對象之間的關聯關系；

遍歷所述抽象權限管理模型，并按如下方式將所述抽象權限管理模型轉換為圖數據庫模型：

獲取所述抽象權限管理模型中的實體，標記所述實體為圖數據庫模型中的節點，

解析被標記的所述實體的實體屬性，標記所述實體屬性為圖數據庫模型中的節點的節點屬性，

獲取所述抽象權限管理模型中的關系，標記所述關系為圖數據庫模型中的邊；

根據所述圖數據庫模型，將對應于具體用戶的權限管理信息轉存儲到圖數據庫的節點中，并在所述圖數據庫中對應的節點間建立邊；